« January 2024 | Main

February 2024

2024.02.23

ENISA サイバー保険 - モデルと手法、AIの活用

こんにちは、丸山満彦です。

ENISAからサイバー保険 - モデルと手法、AIの活用という報告書が公表されていますね...

興味深い内容だと思います。ぜひ、損害保険会社の人に解説をしてもらいたいです...

研究トピックとして 23の項目が挙げられています。。。

1 IMPROVING THE PROCESS OF CYBER RISK ASSESSMENT サイバーリスク評価のプロセスを改善する
2 IDENTIFYING RELEVANT CO-VARIABLES / IMPROVING INDIVIDUAL PRICING 関連する共同変数を特定する/個々の価格設定を改善する
3 MODELLING AND ESTIMATING LOSS FREQUENCY AND SEVERITY 損失頻度と重大性のモデル化と推定
4 MODELLING OF SYSTEMIC RISK IN NETWORK MODELS ネットワーク・モデルにおけるシステミック・リスクのモデル化
5 MODELLING DYNAMIC STRATEGIC INTERACTION ダイナミックな戦略的相互作用のモデル化
6 UNDERSTANDING MULTILAYER NETWORKS 多層ネットワークを理解する
7 PRICING IDIOSYNCRATIC, SYSTEMATIC, AND SYSTEMIC RISK 特異リスク、システマティック・リスク、システミック・リスクのプライシング
8 DATA FOR SYSTEMIC CYBER RISK システミック・サイバーリスクに関するデータ
9 ADAPTING EXISTING ML METHODS TO THE SPECIFIC STYLIZED FACTS OF CYBER 既存のML手法をサイバー犯罪特有の様式化された事実に適応させる。
10 ESTIMATION OF MODELS FOR CYBER RISK (E.G. COMBINING STATISTICAL ESTIMATION AND EXPERT OPINION) サイバーリスクに関するモデルの推定(統計的推定と専門家の意見の組合わせ等)
11 CYBER ASSISTANCE サイバーアシスタンス
12 HEDGING ACCUMULATION RISKS 累積リスクのヘッジ
13 CYBER RISK AS AN ASSET CLASS 資産クラスとしてのサイバーリスク
14 CLOSING THE CYBER-INSURANCE GAP サイバー保険ギャップを埋める
15 OPTIMAL CONTRACT DESIGN 最適な契約設計
16 BEHAVIORAL CHALLENGES 行動上の課題
17 CYBER INSURANCE FOR THE PRIVATE CUSTOMER SEGMENT 個人顧客向けサイバー保険
18 RESILIENCE OF SYSTEMS システムの回復力
19 ROBUSTNESS OF MODELS モデルの堅牢性
20 DATA COLLECTION データ収集
21 WELFARE AND REGULATORY IMPLICATIONS 福祉と規制への影響
22 EXPLAINABLE AI FOR CYBER RISK サイバーリスクに対する説明可能なAI
23 VISION: AUTONOMOUS CYBER RISK MANAGEMENT ビジョン:自律的なサイバーリスク管理

 

ENISA

・2024.02.21 Cyber Insurance - Models and methods and the use of AI

[PDF]

20240223-02824

・[DOCX] 仮訳

・[PDF] 仮訳

 

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1.はじめに
1.1 PROBLEM DESCRIPTION 1.1 問題の説明
1.2 AIMS AND SCOPE 1.2 目的と範囲
1.3 METHODOLOGY AND SOURCES 1.3 方法論と情報源
1.4 REPORT STRUCTURE 1.4 レポートの構成
2. CYBER RISK AND CYBER INSURANCE 2.サイバーリスクとサイバー保険
2.1 BACKGROUND 2.1 背景
2.2 TASKS OF THE CYBER-INSURANCE INDUSTRY 2.2 サイバー保険業界の課題
2.2.1 Pricing 2.2.1 価格設定
2.2.2 Portfolio-risk management / regulatory capital 2.2.2 ポートフォリオ・リスク管理/規制資本
2.2.3 Reserving 2.2.3 予約
2.2.4 Reinsurance 2.2.4 再保険
2.2.5 Prevention of future losses 2.2.5 将来の損失防止
2.3 CHALLENGES AND IMPLICATIONS 2.3 課題と意味合い
2.3.1 Challenges 2.3.1 課題
2.3.2 Implications for cyber insurance 2.3.2 サイバー保険への影響
3. CONTEXT OF DATA 3.データの文脈
3.1 CYBER-RELATED DATA CURRENTLY AVAILABLE AND USED 3.1 現在入手可能で利用されているサイバー関連データ
3.1.1 Attacks on IT-systems 3.1.1 ITシステムへの攻撃
3.1.2 Data breaches 3.1.2 データ侵害
3.1.3 Cyber loss data (financial consequences) 3.1.3 サイバー損害データ(経済的影響)
3.1.4 Meta-information on insured companies (idiosyncratic, systematic, and systemic) 3.1.4 被保険者に関するメタ情報(特異的、システマティック、システミック)
3.2 STYLIZED FACTS AND CHALLENGES OF DATA ON CYBER LOSSES 3.2 サイバー損害に関するデータの様式化された事実と課題
3.2.1 (Non-) availability of data 3.2.1 データの(非)入手可能性
3.2.2 Technological progress; non-stationarity of data 3.2.2 技術進歩;データの非定常性
3.2.3 Accumulation of losses 3.2.3 損失の累積
3.2.4 Diversity of risks 3.2.4 リスクの多様性
3.2.5 Information asymmetries 3.2.5 情報の非対称性
3.3 VISION: POOLING DATA FROM DIFFERENT SOURCES 3.3 ビジョン:異なるソースからのデータをプールする
4. TYPES OF CYBER RISK / MODELLING APPROACHES 4.サイバーリスクの種類/モデル化アプローチ
4.1 IDIOSYNCRATIC RISK, SYSTEMATIC RISK, AND SYSTEMIC RISK 4.1 特異的リスク、システマティック・リスク、システミック・リスク
4.2 CLASSICAL ACTUARIAL APPROACHES 4.2 古典的な保険数理アプローチ
4.3 CONTAGION MODELS 4.3 伝染モデル
4.4 STRATEGIC INTERACTION 4.4 戦略的相互作用
4.5 KEY MODELLING CHALLENGES AND PRICING TECHNIQUES 4.5 主要なモデル化の課題と価格設定手法
5. STATISTICAL METHODS, MACHINE LEARNING, AND AI 5.統計的手法、機械学習、AI
5.1 STATUS QUO OF STOCHASTIC METHODS USED IN CYBER 5.1 サイバー分野で使われる確率的手法の現状
5.2 OVERVIEW ON ML AND AI METHODS 5.2 ML/AI法の概要
5.3 METHODS OF ML/AI USED IN THE INSURANCE INDUSTRY 5.3 保険業界で使われているMI/AIの手法
6. VISION FOR FUTURE RESEARCH 6.将来の研究ビジョン
7. CONCLUSION 7.結論
8. GLOSSARY ON INSURANCE TERMINOLOGY 8.保険用語集
9. BIBLIOGRAPHY 9.参考文献

 

エグゼクティブサマリー

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Research and innovation (R&I) are important indicators for a society to measure progress, growth and development in any field. But progress and growth in our increasingly digital society cannot be achieved without trust. Investing in cybersecurity R&I is key to increasing knowledge about new and emerging threats and developing new technologies, tools and strategies to protect systems, networks and data. Failure to do so can have devastating consequences for building trust in the use of digital technologies by individuals, organisations and society as a whole.  研究・イノベーション(R&I)は、社会があらゆる分野における進歩、成長、発展を測る重要な指標である。しかし、ますますデジタル化する社会における進歩と成長は、信頼なくしては達成できない。サイバーセキュリティR&Iへの投資は、新しく出現する脅威に関する知識を増やし、システム、ネットワーク、データを保護するための新しい技術、ツール、戦略を開発するための鍵となる。これを怠れば、個人、組織、社会全体によるデジタル技術の利用に対する信頼構築に壊滅的な結果をもたらしかねない。 
The main objective of this report is to introduce cyber risk and cyber insurance, provide an overview of existing research and modelling approaches, and identify gaps for upcoming research projects. The key findings from this report are as follows:  本報告書の主な目的は、サイバーリスクとサイバー保険を紹介し、既存の研究とモデル化アプローチの概要を提供し、今後の研究プロジェクトのギャップを明らかにすることである。本レポートの主要な発見は以下の通りである: 
·        The current state of the cyber insurance industry is critically reviewed and the academic literature on cyber-risk modelling is summarized;  ·        サイバー保険業界の現状を批判的にレビューし、サイバーリスク・モデリングに関する学術文献を要約する; 
·        We argue that among the most challenging parts of this interdisciplinary modelling task are (i) the solid understanding of the specific vulnerability of an individual firm on the one hand, and (ii) the interrelationships between firms on the other side, the latter resulting in systemic and systematic risks;  ·        我々は、この学際的なモデリング作業で最も困難なのは、(i)一方では個々の企業の具体的な脆弱性をしっかりと理解することであり、(ii)他方では企業間の相互関係であり、後者はシステミック・リスクやシステマティック・リスクをもたらすものであると主張する; 
·        We show that advanced statistical methods from ML/AI have the potential to be used in cyber-risk modelling and cyber insurance;  ·        我々は、ML/AIによる高度な統計手法がサイバーリスク・モデリングやサイバー保険に利用できる可能性があることを示す; 
·        A major obstacle to the further development and use of advanced statistical tools is the lack of publicly available data. We therefore advocate the creation of publicly available cyber-related data pools to foster research;  ·        高度な統計ツールのさらなる開発と利用を阻む大きな障害は、一般に利用可能なデータが不足していることである。そこで我々は、研究を促進するために、一般に利用可能なサイバー関連データプールの創設を提唱する; 
·        Cyber losses exhibit statistical properties that have to be accounted for in modelling: in particular non-linear dependencies leading to accumulation risk in portfolios, non-stationary loss processes resulting from technological progress and human interaction, and heavy tailed loss distributions;  ·        サイバー損害は、モデル化において説明しなければならない統計的特性を示している。特に、ポートフォリオにおける累積リスクにつながる非線形依存性、技術進歩や人的相互作用に起因する非定常な損害プロセス、重い尾を引く損害分布などである; 
·        We argue that cyber insurance, especially when combined with appropriate cyber assistance services, can enhance both the benefits to individual companies and the resilience of the global IT infrastructure;  ·        サイバー保険は、特に適切なサイバー支援サービスと組み合わせることで、個々の企業にとっての利益とグローバルなITインフラの回復力の両方を高めることができると主張する; 
·        A long list of specific challenges and issues for further research is given.  ·        具体的な課題や今後の研究課題については、長いリストが挙げられている。 
In 2023, ENISA produced a report analysing the current perspectives and challenges of operators of essential services (OESs)[1] in relation to the subscription of cyber insurance services. The report provides information and statistics on the selection, purchase and use of cyber insurance as a tool to mitigate cyber risks in daily business life. While this report provides an overview of the demand side and in particular the requirements of OESs for the use of cyber insurance, this present study highlights what is needed to address some of the challenges from a technical (actuarial) perspective to make cyber insurance more effective from the supply side. For example, how to increase the efficiency of cyber risk assessment and analysis to make cyber insurance more affordable and more suitable as a risk mitigation strategy for OESs. In addition, this current study also provides some practical recommendations on how to improve the maturity of risk management practises in terms of identifying, mitigating and quantifying risk exposure. The combined reading of these two reports will lead to a better understanding of how cyber insurance can be made more effective as a tool to mitigate cyber risks.  2023年、ENISAはサイバー保険サービスの加入に関連する重要サービス事業者(OES)[1] の現在の展望と課題を分析した報告書を作成した。本レポートは、日常業務におけるサイバーリスクを軽減するツールとしてのサイバー保険の選択、購入、利用に関する情報と統計を提供している。この報告書は、需要側、特にOESがサイバー保険を利用する際の要件についての概要を提供しているが、本研究では、供給側からサイバー保険をより効果的なものにするために、技術的(保険数理的)観点からいくつかの課題に対処するために必要なことを強調している。例えば、サイバー保険をより手頃なものにし、OESのリスク軽減戦略としてより適切なものにするために、サイバーリスクの評価と分析の効率を高める方法である。加えて、本研究では、リスク・エクスポージャーの特定、軽減、定量化という観点から、リスク管理実務の成熟度をいかに向上させるかについて、実践的な提言も行っている。これら2つの報告書を合わせて読むことで、サイバーリスクを軽減するツールとしてサイバー保険をより効果的にする方法についての理解が深まるだろう。 

 

 


 

こちらも是非...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.03 ENISA EUにおけるサイバー保険の需要サイド (2023.02.23)

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇?

・2021.02.16 ニューヨーク州金融サービス局(NYDFS)サイバー保険リスクフレームワーク (保険通達2021年第2号)at 2021.02.04

 

 

| | Comments (0)

2024.02.22

米国 CISA FBI EPA 水道システムの安全性を確保するためのトップ・サイバー・アクションを公表

こんにちは、丸山満彦です。

米高のCISA、EPA(環境保護庁)、FBIが、「水道システムの安全性を確保するためのトップ・サイバー・アクション」を公表していますね。。。

 

Cybersecurity & infrastructure Security Agency; CISA

・2024.02.21 CISA, EPA, and FBI Release Top Cyber Actions for Securing Water Systems

 

CISA, EPA, and FBI Release Top Cyber Actions for Securing Water Systems CISA、EPA、FBIが水道システムの安全確保に向けたサイバー上のトップアクションを発表
TToday, CISA, the Environmental Protection Agency (EPA), and the Federal Bureau of Investigation (FBI) released the joint fact sheet Top Cyber Actions for Securing Water Systems. This fact sheet outlines the following practical actions Water and Wastewater Systems (WWS) Sector entities can take to better protect water systems from malicious cyber activity and provides actionable guidance to implement concurrently: 本日、CISA、環境保護庁(EPA)、連邦捜査局(FBI)は、共同ファクトシート「水道システムの安全性を確保するためのトップ・サイバー・アクション」を発表した。このファクトシートは、悪意あるサイバー活動から水道システムをより良く守るために上下水道システム(WWS)セクター事業体が取ることができる以下の実践的な行動の概要を示し、同時に実施するための行動指針を提供している:
・Reduce Exposure to the Public-Facing Internet ・公衆向けインターネットへのエクスポージャーを減らす
・Conduct Regular Cybersecurity Assessments ・定期的なサイバーセキュリティ評価の実施
・Change Default Passwords Immediately ・デフォルトのパスワードを直ちに変更する
・Conduct an Inventory of Operational Technology/Information Technology Assets ・運用技術/情報技術資産のインベントリを実施する
・Develop and Exercise Cybersecurity Incident Response and Recovery Plans ・サイバーセキュリティ・インシデント対応・復旧計画を策定し、実施する。
・Backup OT/IT Systems ・OT/ITシステムをバックアップする
・Reduce Exposure to Vulnerabilities ・脆弱性へのエクスポージャーを減らす
・Conduct Cybersecurity Awareness Training ・サイバーセキュリティ意識向上およびトレーニングの実施
CISA, EPA, and FBI urge all WWS Sector and critical infrastructure organizations to review the fact sheet and implement the actions to improve resilience to cyber threat activity. Organizations can visit cisa.gov/water for additional sector tools, information, and resources. CISA、EPA、FBIは、すべてのWWSセクターおよび重要インフラ組織に対し、ファクトシートを検討し、 サイバー脅威活動に対するレジリエンスを向上させるための行動を実施するよう促す。各組織は cisa.gov/water でその他のセクターツール、情報、リソースを参照できる。

 

・2024.02.21 Top Cyber Actions for Securing Water Systems

 ・[PDF]

20240222-20105

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.26 米国 CISA FBI EPA 上下水道システム部門向けインシデント対応ガイド (2024.01.18)

・2023.06.24 NIST ホワイトペーパー [プロジェクト概要] 上下水道セクターのサイバーセキュリティ: 上下水道システムにおけるサイバーリスクを軽減するための実践的なリファレンスデザイン

・2022.11.06 NIST ホワイトペーパー(ドラフト) 【プロジェクト概要】上下水道事業の安全確保:上下水道システムセクターのためのサイバーセキュリティ

 

・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)

 

| | Comments (0)

米国 国防総省 CMMCパブリックコメント募集の 手引きビデオを公開 (2023.02.15)

こんにちは、丸山満彦です。

2023.12.26にサイバーセキュリティ成熟度認証規則案を公表し、2024.02.26まで、コメントを受け付けますが、そのためには、サイバーセキュリティ成熟度認証規則案について理解が重要ということで、このビデオを公表したようですね。。。

ビデオは40分です。

 

U.S. Department of Defense

・2024.02.15 Defense Department Releases Companion Video for CMMC Public Comment Period

 

Defense Department Releases Companion Video for CMMC Public Comment Period 国防総省、CMMCパブリックコメント募集の 手引きビデオを公開
The Defense Department has released a detailed video that explains the nuances, complexities and importance of the recently published proposed rule for its Cybersecurity Maturity Model Certification program.  国防総省は、最近公表されたサイバーセキュリティ成熟度モデル認証プログラムの規則案のニュアンス、複雑さ、重要性を説明する詳細なビデオを公開した。
The video is designed to better inform members of the defense industrial base and other interested parties about the proposed rule for the CMMC program and to help those stakeholders better prepare their own comments and input that will be reviewed before the CMMC program proposed rule is finalized.  このビデオは、防衛産業基盤のメンバーやその他の関係者にCMMCプログラムの規則案についてよりよく伝え、関係者がCMMCプログラムの規則案が最終決定される前に検討されるコメントや意見をよりよく準備できるようにするためのものである。
A 60-day public comment period on the proposed rule opened Dec. 26, 2023. The public comment period closes Feb. 26 at 11:59 p.m. Comments received during the public comment period will be reviewed and will inform the final rule.  規則案に対する60日間のパブリックコメント期間は、2023年12月26日に開始された。パブリックコメント期間は2月26日午後11時59分に終了する。パブリックコメント期間中に寄せられた意見は検討され、最終規則に反映される。
The Cybersecurity Maturity Model Certification program gives the Defense Department a mechanism to verify the readiness of defense contractors both large and small to handle controlled unclassified information and federal contract information in accordance with federal regulations.  サイバーセキュリティ成熟度モデル認証プログラムは、国防総省に、管理対象非機密情報と連邦契約情報を連邦規則に従って取り扱う準備ができているかどうかを、大小を問わず国防請負業者が検証する仕組みを提供する。
A big part of this program is the use of authorized CMMC "third-party assessment organizations," or C3PAOs, to conduct CMMC Level 2 certification assessments for companies seeking that assessment level. CMMC Level 3 assessments will be conducted by the Department. このプログラムの大部分は、認可されたCMMC「サードパーティ評価機関」(C3PAO)を利用して、その評価レベルを求める企業に対してCMMCレベル2の認証評価を実施することである。CMMCレベル3の審査は同局が行う。
The C3PAOs are not paid by the department but will instead be paid by defense industrial base companies seeking verification of compliance. The department does, however, play a role in setting the requirements for the C3PAOs.  C3PAOは国防総省から報酬を受けるのではなく、準拠の検証を求める防衛産業基盤企業から報酬を受ける。しかし、防衛省はC3PAOの要件を設定する役割を果たす。
Gurpreet Bhatia, the DOD Chief Information Officer's principal director for cybersecurity, said that the CMMC program will play an important role in helping keep important DOD information within the department and out of the hands of adversaries.  国防総省最高情報責任者(CIO)のサイバーセキュリティ担当責任者であるガープリート・バティア(Gurpreet Bhatia)は、CMMCプログラムは、国防総省の重要な情報を省内にとどめ、敵の手に渡らないようにする上で重要な役割を果たすと述べた。

Spotlight: Engineering in the DOD

スポットライト:DODにおけるエンジニアリング
"Exfiltration from defense contractors is a problem that threatens our economic and national security," Bhatia said. "Malicious cyber actors continue to target defense contractors. Attacks focus both on large prime contractors and smaller subcontractors in lower tiers. Although DOD has had contract requirements that intended to address this for several years, the defense industrial base has been slow to implement."  バティアは次のように述べた。「防衛請負業者からの流出は、我々の経済と国家安全保障を脅かす問題です。悪意のあるサイバー行為者は、国防請負業者を標的にし続けています。攻撃は、大規模な元請け業者と、それ以下の階層の小規模な下請け業者の両方に焦点を当てています。国防総省は数年前から、この問題に対処するための契約要件を定めていたが、防衛産業基盤はなかなか実行に移しませんでした。」
The CMMC program, Bhatia said, is designed to better help defense contractors be compliant with regulations related to cyber security and to also help the DOD keep track of who is and isn't compliant.  バティアは次のように述べた。「CMMCプログラムは、防衛請負業者がサイバーセキュリティに関連する規制を遵守するのをより良く支援し、DODが誰が遵守し、誰が遵守していないかを追跡するのにも役立つように設計されています。」
"We're committed to implementing the CMMC Program," Bhatia said. "The added emphasis it will bring to protecting DOD's information is important."  バディアは次のように述べた。「我々はCMMCプログラムの実施に全力を注いでいます。DODの情報保護にさらなる重点を置くことは重要です。」
Bhatia also said that he hopes the defense industry and other stakeholders will take the opportunity to provide comment on the DOD's proposed CMMC rule so that their input can be considered when drafting the final rule.  バティアはまた、次のように述べた。「防衛産業や他の利害関係者がDODのCMMC規則案に対してコメントを提供する機会を持ち、最終規則を起草する際に彼らの意見を考慮できるようにすることを望んでいます。」
"It's important that we receive comments that clearly articulate your perspective so that the department can address those key concerns in the final rule," he said. "We must work together to enhance cybersecurity and protect DOD information from exfiltration."  バティアは次のように述べた。「国防総省が最終規則で重要な懸念に対処できるよう、皆さんの視点を明確に示すコメントをいただくことが重要です。我々は、サイバーセキュリティを強化し、DOD情報を流出から守るために協力しなければなりません。」

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)

 

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations

・2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

| | Comments (0)

2024.02.21

警察庁 ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウン関係とランサムウェアによる暗号化被害データに関する復号ツールの開発

 こんにちは、丸山満彦です。

警察庁が、「ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウンに関するユーロポールのプレスリリースについて」と「ランサムウェアLockBitによる暗号化被害データに関する復号ツールの開発について」を発表していますね...

日本の国際連携も進んでいますし、かつ成果も出ている感じですかね...

 

警察庁

・2023.02.21 ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウンに関するユーロポールのプレスリリースについて

・[PDF]

20240221-151816


ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウンに関するユーロポールのプレスリリースについて

1 プレスリリースの概要

ユーロポールは、欧州を含む世界各国の重要インフラ等に対しランサム ウェア被害を与えたなどとして、ランサムウェア攻撃グループLockBitの一員とみられる被疑者を外国捜査機関が検挙するとともに、関連犯罪イン フラのテイクダウンを協力して行った旨をプレスリリースした。 同プレスリリースにおいては、関係各国で関連するランサムウェア事案 の捜査を行っており、当該捜査について、日本警察を含む外国捜査機関等 の国際協力が言及されている。

2 日本警察の協力

関東管区警察局サイバー特別捜査隊と各都道府県警察は、我が国で発生 したランサムウェア事案について、外国捜査機関等とも連携して捜査を推進しており、捜査で得られた情報を外国捜査機関等に提供している。 我が国を含め、世界的な規模で攻撃が行われているランサムウェア事案 をはじめとするサイバー事案の捜査に当たっては、こうした外国捜査機関 等との連携が不可欠であるところ、引き続き、サイバー空間における一層 の安全・安心の確保を図るため、サイバー事案の厳正な取締りや実態解明、 外国捜査機関等との連携を推進する。


 

 

 

・2023.02.21 ランサムウェアによる暗号化被害データに関する復号ツールの開発について

・[PDF]

20240221-152158

 


ランサムウェアLockBitによる暗号化被害データに関する復号ツールの開発について

1 LockBit被害データ復号ツールの概要等

関東管区警察局サイバー特別捜査隊において、ランサムウェアLockBit によって暗号化された被害データを復号するツールを開発し、令和5年12 月、警察庁サイバー警察局からユーロポールに提供した。ユーロポールでは、世界中の被害企業等の被害回復が可能となるよう、令和6年2月、日 本警察が開発した復号ツールとして情報発信し、その活用を促すことを発表した。 この度の情報発信については、日本警察とユーロポールにおいて、この復号ツールの有意性が実証され、ランサムウェア対策を世界規模で進める観点から実施することとしたものである。 なお、関東管区警察局サイバー特別捜査隊では、リバースエンジニアリング解析に基づき、数ヶ月以上の期間を費やして、ランサムウェアLockBitの暗号化の仕組みを分析し、復号ツールを開発した。

2 日本警察の今後の対応

日本国内の被害企業等に対して、最寄りの警察署への相談を促すと共に、 相談があった場合には、その求めに応じ、復号ツールを活用して被害回復作業を実施することとしている。


 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.21 米国 英国 LockBitのネットワークに侵入し破壊

・2023.09.13 英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書

・2023.07.26 Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)

・2023.06.16 Five Eyes ドイツ フランス LookBitに対する包括的なアドバイザリーを公表

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

 

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

| | Comments (0)

英国 日本 サイバー防衛隊司令木村顕継陸将補の訪英とサイバー専門家との会談

こんにちは、丸山満彦です。

日本のサイバー防衛隊 [wikipedia] 司令木村顕継陸将補が英国の戦略司令部を訪問し、サイバー専門家と会談をしたようですね...

昨年5月の広島サミットの直前に締結した広島アコード([PDF] 原文 [PDF] 仮訳)の一環ですね...

該当箇所はここですかね。。。

Establish a Japan-UK Cyber Partnership that will strengthen our public-private partnerships, advance shared international interests and enhance our cyber capabilities. We will strengthen the Japan-UK Bilateral Consultations on Cyber Issues to advance the full spectrum of cyber cooperation and further reinforce collaboration on promoting the rule of law in cyberspace, responding to emerging threats and enhancing capacity building efforts. 日英サイバー・パートナーシップを創設して、官民連携を強化し、共有された国際的な利益を増進させ、我々のサイバー能力を強化する。生じつつある脅 威に対応し、能力構築に向けた取組を強化させつつ、あらゆるサイバー協力を 前進させ、サイバー空間における法の支配の促進に係る連携を一層促進するため、日英サイバー協議を強化する。

 

ちなみに、日本の防衛省のウェブページには公表されていません(ちょうど、ミュンヘン安保会議ですからね。。。)

 

GOV.UK

・2024.02.20 Strategic Command shares cyber expertise with Japan

1_20240221120201

Strategic Command shares cyber expertise with Japan 戦略軍、サイバー専門知識を日本と共有
A delegation from the Japanese Cyber Defense Command met with cyber experts at various Strategic Command locations. 日本のサイバー防衛司令部からの代表団は、戦略司令部の様々な場所でサイバー専門家と会談した。
Leading cyber is one of the core priorities for Strategic Command, including sharing our expertise and knowledge with international partners to help protect global security. 世界の安全保障を守るために、国際的なパートナーと専門知識と知識を共有することを含め、サイバー分野をリードすることは戦略軍にとって中核的な優先事項の一つである。
Major General Akisugu Kimura, Commander of the Cyber Defense Command, visited the UK to learn more about Strategic Command’s role at the forefront of digital capabilities within Defence. This is of particular importance to Japan which has committed to boost their number of cyber operators from 800 to 4,000 by 2027. サイバー防衛司令部の司令官である木村顕継陸将補は、国防におけるデジタル能力の最前線における戦略軍の役割について学ぶために英国を訪問した。これは、2027年までにサイバーオペレーターの数を800人から4000人に増やすことを約束している日本にとって、特に重要なことである。
The Major General and General Jim Hockenhull, Commander Strategic Command, met in Whitehall to reinforce both nation’s commitment to working closely together. 戦略軍司令官のジム・ホッケンハル少将はホワイトホールで会談し、緊密に協力するという両国のコミットメントを強化した。
The meeting follows General Hockenhull’s visit to Tokyo last year, during which he discussed regional threats with officials from across the Japan Self-Defense Forces . ホッケンハル少将は昨年東京を訪問し、自衛隊の幹部と地域の脅威について話し合った。
Personnel from Defence Intelligence, including Chief of Defence Intelligence Adrian Bird, discussed their experiences in utilising cyber capabilities for intelligence, surveillance, and reconnaissance. エイドリアン・バード国防情報局長を含む国防情報局の職員は、サイバー能力を情報・監視・偵察に活用した経験について話し合った。
Visiting Corsham, the Major General met personnel actively working on the digital frontline and Director Operations Rear Admiral Nick Washer. コーシャムを訪問した陸将補は、デジタル最前線で活躍する職員やニック・ウォッシャー作戦部長少将に会った。
Our commitment to develop skills within the digital space was evidenced during a tour of the Defence Cyber Academy that offers world-leading training across the Armed Forces. デジタル空間におけるスキル開発に対する我々のコミットメントは、軍全体で世界トップクラスの訓練を提供する国防サイバー・アカデミーを視察した際に証明された。
The UK’s relationship with Japan was strengthened in May 2023 when Prime Ministers of both nations signed the Cyber Partnership agreement and the landmark Hiroshima Accord. The Hiroshima Accord is an ambitious global strategic partnership covering defence, trade, science and technology collaboration, and working together to tackle global issues like climate change. 英国と日本の関係は、2023年5月に両国の首相がサイバーパートナーシップ協定と画期的な広島合意に署名したことで強化された。ヒロシマ・アコードは、防衛、貿易、科学技術協力、気候変動などの地球規模の問題への協力などを含む野心的な世界戦略的パートナーシップである。
Find out more about The Hiroshima Accord: An enhanced UK-Japan global strategic partnership. 日英広島アコードの詳細はこちら: 強化された日英世界戦略パートナーシップ

 

 


 

広島アコード

外務省

・2023.05.18 日英首脳ワーキング・ディナー

・「強化された日英のグローバルな戦略的パートナーシップに関する広島アコード」

・[PDF] 英文

・[PDF] 仮訳

・[PDF] 概要

20240221-121052

 

GOV.UK

・2023.05.18 The Hiroshima Accord

 

 

| | Comments (0)

米国 英国 LockBitのネットワークに侵入し破壊

こんにちは、丸山満彦です。

米国の司法省、財務省、英国の国家犯罪対策庁、NCSC、ユーロポールがロシアのLockBitのネットワークに侵入し破壊し、復号鍵を取得し、容疑者を起訴し、資産を凍結したと発表していますね。。。

各国ともランサムウェアには手を焼いていますからね。。。

1_20240221061901

 


 

米国...

U.S. Department of Justice

・2024.02.20 U.S. and U.K. Disrupt LockBit Ransomware Variant

U.S. and U.K. Disrupt LockBit Ransomware Variant 米国と英国がLockBitランサムウェアの亜種を破壊する
U.S. Indictment Charges Two Russian Nationals with Attacks Against Multiple U.S. and International Victims; FBI Seizes Infrastructure; and Department of Treasury Takes Additional Action Against LockBit 米国および国際的な複数の被害者に対する攻撃で2人のロシア人を起訴;FBIがインフラを押収、財務省がLockBitに追加措置を取る
The Department of Justice joined the United Kingdom and international law enforcement partners in London today to announce the disruption of the LockBit ransomware group, one of the most active ransomware groups in the world that has targeted over 2,000 victims, received more than $120 million in ransom payments, and made ransom demands totaling hundreds of millions of dollars. 司法省は本日、ロンドンで英国および国際的な法執行機関のパートナーとともに、2,000人以上の被害者を標的とし、1億2,000万ドル以上の身代金の支払いを受け、総額数億ドルの身代金要求を行ってきた世界で最も活発なランサムウェアグループの1つであるLockBitランサムウェアグループの破壊を発表した。
The U.K. National Crime Agency’s (NCA) Cyber Division, working in cooperation with the Justice Department, Federal Bureau of Investigation (FBI), and other international law enforcement partners disrupted LockBit’s operations by seizing numerous public-facing websites used by LockBit to connect to the organization’s infrastructure and seizing control of servers used by LockBit administrators, thereby disrupting the ability of LockBit actors to attack and encrypt networks and extort victims by threatening to publish stolen data. 英国国家犯罪捜査局(NCA)のサイバー部門は、司法省、連邦捜査局(FBI)、その他の国際的な法執行パートナーと協力し、LockBitが組織のインフラに接続するために使用していた多数の一般向けウェブサイトを押収し、LockBitの管理者が使用していたサーバーを押収することで、LockBitの運営を妨害し、LockBitの行為者がネットワークを攻撃して暗号化し、盗んだデータを公開すると脅して被害者を恐喝する能力を停止させた。
“For years, LockBit associates have deployed these kinds of attacks again and again across the United States and around the world. Today, U.S. and U.K. law enforcement are taking away the keys to their criminal operation,” said Attorney General Merrick B. Garland. “And we are going a step further — we have also obtained keys from the seized LockBit infrastructure to help victims decrypt their captured systems and regain access to their data. LockBit is not the first ransomware variant the Justice Department and its international partners have dismantled. It will not be the last.” 「何年もの間、LockBitの仲間は、米国や世界中でこの種の攻撃を何度も何度も展開してきた。今日、米国と英国の法執行機関は、彼らの犯罪活動の鍵を取り上げている。「そして我々はさらに一歩進んで、押収したLockBitのインフラから鍵を入手し、被害者が押収したシステムを復号化し、データへのアクセスを取り戻すのを支援している。LockBitは、司法省とその国際的パートナーが解体した最初のランサムウェアの亜種ではない。最後でもないだろう」。
Additionally, the NCA, in cooperation with the FBI and international law enforcement partners, has developed decryption capabilities that may enable hundreds of victims around the world to restore systems encrypted using the LockBit ransomware variant. Beginning today, victims targeted by this malware are encouraged to contact the FBI at [web] to enable law enforcement to determine whether affected systems can be successfully decrypted. さらに、NCAはFBIおよび国際的な法執行パートナーと協力し、世界中の数百人の被害者がLockBitランサムウェア亜種で暗号化されたシステムを復元できる可能性のある復号化機能を開発した。本日より、このマルウェアに狙われた被害者はFBI([web])に連絡し、被害を受けたシステムの復号化に成功するかどうかを法執行機関が判断できるようにすることが推奨される。
“Today’s actions are another down payment on our pledge to continue dismantling the ecosystem fueling cybercrime by prioritizing disruptions and placing victims first,” said Deputy Attorney General Lisa Monaco. “Using all our authorities and working alongside partners in the United Kingdom and around the world, we have now destroyed the online backbone of the LockBit group, one of the world’s most prolific ransomware gangs. But our work does not stop here: together with our partners, we are turning the tables on LockBit — providing decryption keys, unlocking victim data, and pursuing LockBit’s criminal affiliates around the globe.” リサ・モナコ司法副長官は、「本日の措置は、混乱を優先し、被害者を最優先することで、サイバー犯罪に拍車をかけているエコシステムを解体し続けるという我々の誓約の新たな下支えとなる」と述べた。「あらゆる権限を駆使し、英国をはじめ世界中のパートナーと協力することで、我々は今、世界で最も多発するランサムウェア集団のひとつであるLockBitグループのオンライン・バックボーンを破壊した。しかし、我々の仕事はここで終わらない。パートナーとともに、我々はLockBitに逆転を仕掛けている。復号化キーのプロバイダを提供し、被害者データのロックを解除し、世界中にいるLockBitの犯罪関連者を追求している。
The Justice Department also unsealed an indictment obtained in the District of New Jersey charging Russian nationals Artur Sungatov and Ivan Kondratyev, also known as Bassterlord, with deploying LockBit against numerous victims throughout the United States, including businesses nationwide in the manufacturing and other industries, as well as victims around the world in the semiconductor and other industries. Today, additional criminal charges against Kondratyev were unsealed in the Northern District of California related to his deployment in 2020 of ransomware against a victim located in California. 司法省はまた、Bassterlordとしても知られるロシア人のArtur SungatovとIvan Kondratyevを、製造業やその他の業界の米国中の企業、および半導体やその他の業界の世界中の被害者を含む、米国中の多数の被害者に対してLockBitを展開したとして、ニュージャージー州で得た起訴状を公開した。本日、Kondratyevに対する追加の刑事告発がカリフォルニア州北部地区で行われ、2020年にカリフォルニア州に所在する被害者に対するランサムウェアの展開に関連するものであった。
Finally, the Department also unsealed two search warrants issued in the District of New Jersey that authorized the FBI to disrupt multiple U.S.-based servers used by LockBit members in connection with the LockBit disruption. As disclosed by those search warrants, those servers were used by LockBit administrators to host the so-called “StealBit” platform, a criminal tool used by LockBit members to organize and transfer victim data. 最後に、同局はニュージャージー州で発行された2通の捜査令状も公開した。この令状は、LockBitの破壊工作に関連して、LockBitのメンバーが使用していた複数の米国拠点のサーバーを妨害することをFBIに認可するものである。これらの捜索令状で明らかにされているように、これらのサーバーはLockBitの管理者がいわゆる「StealBit」プラットフォームをホストするために使用していた。
“Today, the FBI and our partners have successfully disrupted the LockBit criminal ecosystem, which represents one of the most prolific ransomware variants across the globe,” said FBI Director Christopher A. Wray. “Through years of innovative investigative work, the FBI and our partners have significantly degraded the capabilities of those hackers responsible for launching crippling ransomware attacks against critical infrastructure and other public and private organizations around the world. This operation demonstrates both our capability and commitment to defend our nation's cybersecurity and national security from any malicious actor who seeks to impact our way of life. We will continue to work with our domestic and international allies to identify, disrupt, and deter cyber threats, and to hold the perpetrators accountable.” FBIのクリストファー・A・レイ長官は、次のように述べた。「今日、FBIと我々のパートナーは、世界中で最も多発しているランサムウェアの代表者であるLockBitの犯罪エコシステムを破壊することに成功した。長年の革新的な捜査活動を通じて、FBIと我々のパートナーは、世界中の重要インフラやその他の公的・私的組織に対して破壊的なランサムウェア攻撃を仕掛けているハッカーの能力を大幅に低下させた。この作戦は、我々の生活様式に影響を与えようとする悪意ある行為者から、我が国のサイバーセキュリティと国家安全保障を守る我々の能力とコミットメントを示すものである。我々は、サイバー脅威を特定し、混乱させ、抑止し、犯人の責任を追及するために、国内外の同盟国と協力し続ける」。
According to the indictment obtained in the District of New Jersey, from at least as early as January 2021, Sungatov allegedly deployed LockBit ransomware against victim corporations and took steps to fund additional LockBit attacks against other victims. Sungatov allegedly deployed LockBit ransomware against manufacturing, logistics, insurance, and other companies located in Minnesota, Indiana, Puerto Rico, Wisconsin, Florida, and New Mexico. Additionally, as early as August 2021, Kondratyev similarly began to allegedly deploy LockBit against multiple victims. Kondratyev, operating under the online alias “Bassterlord,” allegedly deployed LockBit against municipal and private targets in Oregon, Puerto Rico, and New York, as well as additional targets located in Singapore, Taiwan, and Lebanon. Both Sungatov and Kondratyev are alleged to have joined in the global LockBit conspiracy, also alleged to have included Russian nationals Mikhail Pavlovich Matveev and Mikhail Vasiliev, as well as other LockBit members, to develop and deploy LockBit ransomware and to extort payments from victim corporations. ニュージャージー州で入手した起訴状によると、Sungatovは少なくとも2021年1月の早い時期から、被害企業に対してLockBitランサムウェアを展開し、他の被害者に対してLockBitの攻撃を追加するための資金を調達する手段を講じたとされている。Sungatovは、ミネソタ、インディアナ、プエルトリコ、ウィスコンシン、フロリダ、ニューメキシコに所在する製造、物流、保険、その他の企業に対してLockBit ランサムウェアを展開したとされる。さらに、2021年8月の時点で、Kondratyevも同様に、複数の被害者に対してLockBitを展開し始めたとされている。Kondratyevは「Bassterlord」というオンライン偽名で活動し、オレゴン州、プエルトリコ、ニューヨークの自治体や民間の標的、さらにシンガポール、台湾、レバノンの標的に対してLockBit を展開したとされる。SungatovとKondratyevの両名は、ロシア人のMikhail Pavlovich MatveevとMikhail Vasiliev、および他のLockBitメンバーも参加したとされる世界的なLockBitの陰謀に加わり、LockBitランサムウェアを開発・展開し、被害企業から支払いを強要したとされている。
“Today’s indictment, unsealed as part of a global coordinated action against the most active ransomware group in the world, brings to five the total number of LockBit members charged by my office and our FBI and Computer Crime and Intellectual Property Section partners for their crimes,” said U.S. Attorney Philip R. Sellinger for the District of New Jersey. “And, even with today’s disruption of LockBit, we will not stop there. Our investigation will continue, and we remain as determined as ever to identify and charge all of LockBit’s membership — from its developers and administrators to its affiliates. We will put a spotlight on them as wanted criminals. They will no longer hide in the shadows.” ニュージャージー州のフィリップ・R・セリンジャー連邦検事は次のように述べた。 「世界で最も活発なランサムウェア・グループに対する世界的な協調行動の一環として封印が解かれた今日の起訴により、私のオフィスとFBI、コンピュータ犯罪・知的財産課のパートナーによって起訴されたLockBitのメンバーは合計5人になった。そして、今日のLockBitの破壊をもって、私たちは終わるつもりはない。私たちの捜査は継続し、LockBitのメンバー全員(開発者や管理者から関連者まで)を特定し、告発する決意をこれまでと同様に固めている。我々は彼らを指名手配犯としてスポットライトを当てる。彼らはもはや影に隠れることはない」。
With the indictment unsealed today, a total of five LockBit members have now been charged for their participation in the LockBit conspiracy. In May 2023, two indictments were unsealed in Washington, D.C., and the District of New Jersey charging Matveev with using different ransomware variants, including LockBit, to attack numerous victims throughout the United States, including the Washington, D.C., Metropolitan Police Department. Matveev is currently the subject of a reward of up to $10 million through the U.S. Department of State’s Transnational Organized Crime Rewards Program, with information accepted through the FBI tip website at [web]. In November 2022, a criminal complaint was filed in the District of New Jersey charging Vasiliev in connection with his participation in the LockBit global ransomware campaign. Vasiliev, a dual Russian-Canadian national, is currently in custody in Canada awaiting extradition to the United States. In June 2023, Russian national Ruslan Magomedovich Astamirov was charged by criminal complaint in the District of New Jersey for his participation in the LockBit conspiracy, including his deployment of LockBit against victims in Florida, Japan, France, and Kenya. Astamirov is currently in custody in the United States awaiting trial. 本日公開された起訴状により、LockBitの陰謀に参加した合計5人のLockBit メンバーが起訴された。2023年5月、ワシントンD.C.とニュージャージー州地区で、LockBitを含むさまざまなランサムウェアの亜種を使用し、ワシントンD.C.警視庁を含む米国中の多数の被害者を攻撃した罪で、マトヴェエフを起訴する2件の起訴状が公開された。マトヴェエフは現在、米国務省の国際組織犯罪報奨金プログラムを通じて最高1,000万ドルの報奨金の対象となっており、FBIの報告サイト([web])で情報を受け付けている。2022年11月、ニュージャージー州地区で、LockBitグローバル・ランサムウェア・キャンペーンへのワシーリエフの参加に関連して、ワシーリエフを告発する刑事告訴状が提出された。ロシアとカナダの二重国籍者であるワシーリエフは、現在カナダで身柄を拘束され、米国への身柄引き渡しを待っている。2023年6月、ロシア国籍のルスラン・マゴメドビッチ・Astamirovは、フロリダ、日本、フランス、ケニアの被害者に対するLockBitの展開を含むLockBitの陰謀への参加により、ニュージャージー州地区で刑事告訴された。Astamirovは現在米国で拘留され、裁判を待っている。
Kondratyev, according to the indictment obtained in the Northern District of California and unsealed today, is also charged with three criminal counts arising from his use of the Sodinokibi, also known as REvil, ransomware variant to encrypt data, exfiltrate victim information, and extort a ransom payment from a corporate victim based in Alameda County, California. カリフォルニア州北部地区で入手され、本日公開された起訴状によると、Kondratyevはまた、データを暗号化し、被害者情報を流出させ、カリフォルニア州アラメダ郡に拠点を置く企業の被害者から身代金の支払いを強要するために、REvilとしても知られるランサムウェアの亜種Sodinokibiを使用したことに起因する3つの刑事訴因で起訴されている。
The LockBit ransomware variant first appeared around January 2020 and, leading into today’s operation, had grown into one of the most active and destructive variants in the world. LockBit members have executed attacks against more than 2,000 victims in the United States and around the world, making at least hundreds of millions of U.S. dollars in ransom demands and receiving over $120 million in ransom payments. The LockBit ransomware variant, like other major ransomware variants, operates in the “ransomware-as-a-service” (RaaS) model, in which administrators, also called developers, design the ransomware, recruit other members — called affiliates — to deploy it, and maintain an online software dashboard called a “control panel” to provide the affiliates with the tools necessary to deploy LockBit. Affiliates, in turn, identify and unlawfully access vulnerable computer systems, sometimes through their own hacking or at other times by purchasing stolen access credentials from others. Using the control panel operated by the developers, affiliates then deploy LockBit within the victim computer system, allowing them to encrypt and steal data for which a ransom is demanded to decrypt or avoid publication on a public website maintained by the LockBit developers, often called a data leak site. LockBitランサムウェアの亜種は2020年1月頃に初めて出現し、今日の作戦に至るまで、世界で最も活発で破壊的な亜種の1つに成長していた。LockBitのメンバーは、米国および世界中の2,000人以上の被害者に対して攻撃を実行し、少なくとも数億米ドルの身代金要求を行い、1億2,000万ドル以上の身代金の支払いを受けた。LockBitランサムウェア亜種は、他の主要なランサムウェア亜種と同様、「ransomware-as-a-service」(RaaS)モデルで動作する。このモデルでは、開発者とも呼ばれる管理者がランサムウェアを設計し、アフィリエイトと呼ばれる他のメンバーを募り、アフィリエイトにLockBitを展開するのに必要なツールを提供するために「コントロールパネル」と呼ばれるオンラインソフトウェアダッシュボードを管理する。アフィリエイトは次に、脆弱性のあるコンピューター・システムを特定し、不法にアクセスする。あるときは自らハッキングを行い、またあるときは他人から盗んだアクセス認証情報を購入する。開発者が操作するコントロール・パネルを使って、アフィリエイトは被害者のコンピューター・システム内にLockBitを展開し、データを暗号化して盗み、そのデータを復号化したり、LockBit開発者が管理する公開ウェブサイト(しばしばデータ漏洩サイトと呼ばれる)での公開を回避するために身代金を要求する。
The FBI Newark Field Office is investigating the LockBit ransomware variant. FBIニューアーク支局は、LockBitランサムウェアの亜種を捜査している。
Assistant U.S. Attorneys Andrew M. Trombly, David E. Malagold, and Vinay Limbachia for the District of New Jersey and Trial Attorneys Jessica C. Peck, Debra Ireland, and Jorge Gonzalez of the Criminal Division’s Computer Crime and Intellectual Property Section are prosecuting the charges against Sungatov and Kondratyev unsealed today in the District of New Jersey. The Justice Department’s Cybercrime Liaison Prosecutor to Eurojust and Office of International Affairs also provided significant assistance. ニュージャージー地区担当のアンドリュー・M・トロンブリー連邦検事補、デビッド・E・マラゴールド、ヴィナイ・リンバキア、およびディビジョン刑事部コンピューター犯罪・知的財産課のジェシカ・C・ペック、デブラ・アイルランド、ホルヘ・ゴンザレス各裁判官は、ニュージャージー地区で本日封印解除されたスンガトフとKondratyevに対する起訴を担当している。司法省の欧州司法機構サイバー犯罪リエゾンプロスペクターおよび国際局も重要な援助を提供した。
The disruption announced today was the result of a joint operation between the FBI; NCA South West Regional Organised Crime Unit; France’s Gendarmerie Nationale Cyberspace Command; Germany’s Landeskriminalamt Schleswig-Holstein and the Bundeskriminalamt; Switzerland’s Federal Office of Police, Public Prosecutor’s Office of the Canton of Zurich, and Zurich Cantonal Police; Japan’s National Policy Agency; Australian Federal Police; Sweden’s Polismyndighetens; Royal Canadian Mounted Police; Politie Dienst Regionale Recherche Oost-Brabant of the Netherlands; Finland’s Poliisi; Europol; and Eurojust. 本日発表された混乱は、FBI、NCA南西地域組織犯罪ユニット、フランス国家国家憲兵サイバー空間司令部、ドイツ・シュレスヴィヒ=ホルシュタイン州陸軍犯罪捜査局および連邦犯罪捜査局による共同作戦の結果であった; スイスの連邦警察、チューリヒ州検察庁、チューリヒ州警察、日本の警察庁、オーストラリア連邦警察、スウェーデンのポリスミンディヘテンス、カナダ騎馬警察、オランダのPoliisi、フィンランドのPoliisi、欧州刑事警察機構、欧州司法機構。
The FBI Phoenix Field Office and Assistant U.S. Attorney Helen L. Gilbert are investigating and prosecuting the case against Kondratyev in the Northern District of California. FBIフェニックス支局とヘレン・L・ギルバート連邦検事補は、カリフォルニア州北部地区でKondratyevに対する事件を捜査・起訴している。
Additionally, the Department of the Treasury’s Office of Foreign Assets Control announced today that it is designating Sungatov and Kondratyev for their roles in launching cyberattacks. さらに、財務省外国資産管理局は本日、サイバー攻撃を開始する役割を果たしたとして、SungatovとKondratyevを指定すると発表した。
As mentioned above, victims of LockBit should contact the FBI at [web] for further information. Additional details on protecting networks against LockBit ransomware are available at StopRansomware.gov. These include Cybersecurity and Infrastructure Security Agency Advisories AA23-325A, AA23-165A, and AA23-075A. 上記の通り、LockBitの被害者は、FBI ([web]) に連絡して詳しい情報を得るべきである。LockBitランサムウェアからネットワークを防御するための詳細は、StopRansomware.govで入手できる。これには、サイバーセキュリティ・インフラセキュリティ庁の勧告AA23-325A、AA23-165A、AA23-075Aが含まれる。
Watch the Attorney General’s remarks: 司法長官の発言を見る:
An indictment is merely an allegation. Under U.S. law, all defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 起訴は単なる申し立てに過ぎない。米国の法律では、法廷で合理的な疑いを超えて有罪が証明されるまでは、すべての被告は無罪と推定される。

 




Watch U.S. and U.K. Disrupt LockBit Ransomware Variant on YouTube.

 

 

財務省

U.S. Department of Treasury

・2024.02.20 United States Sanctions Affiliates of Russia-Based LockBit Ransomware Group

United States Sanctions Affiliates of Russia-Based LockBit Ransomware Group 米国、ロシアを拠点とするランサムウェア「LockBit」グループの関連者を制裁する
The United States imposes sanctions on affiliates of group responsible for ransomware attacks on the U.S. financial sector 米国、米国金融セクターへのランサムウェア攻撃に関与したグループの関連者に制裁を科す
WASHINGTON — Today, the United States is designating two individuals who are affiliates of the Russia-based ransomware group LockBit. This action is the first in an ongoing collaborative effort with the U.S. Department of Justice, Federal Bureau of Investigation, and our international partners targeting LockBit. ワシントン発 - 米国は本日、ロシアを拠点とするランサムウェア・グループ「LockBit 」の関係者2名を制裁対象に指定した。この措置は、米国司法省、連邦捜査局、およびLockBitを標的とする国際的パートナーとの継続的な共同作業の第一弾である。
“The United States will not tolerate attempts to extort and steal from our citizens and institutions,” said Deputy Secretary of the Treasury Wally Adeyemo. “We will continue our whole-of-government approach to defend against malicious cyber activities, and will use all available tools to hold the actors that enable these threats accountable.” 「米国は、市民や機構から恐喝や窃盗を行おうとする試みを容認しない。「我々は、悪意あるサイバー脅威から身を守るため、政府を挙げてのアプローチを継続し、これらの脅威を可能にする脅威行為者の責任を追及するため、利用可能なあらゆる手段を用いていく。
Russia continues to offer safe harbor for cybercriminals where groups such as LockBit are free to launch ransomware attacks against the United States, its allies, and partners. These ransomware attacks have targeted critical infrastructure, including hospitals, schools, and financial institutions. Notably, LockBit was responsible for the November 2023 ransomware attack against the Industrial and Commercial Bank of China’s (ICBC) U.S. broker-dealer. The United States is a global leader in the fight against cybercrime and is committed to using all available authorities and tools to defend Americans from cyber threats. In addition to the actions announced today, the U.S. government provides critical resources to support potential victims in protecting against and responding to ransomware attacks. For example, last year, the Cybersecurity & Infrastructure Security Agency in conjunction with other U.S. Departments and Agencies and foreign partners published two cybersecurity advisories, “Understanding Ransomware Threat Actors: LockBit” and “LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability.” These advisories detail the threats posed by this group and provide recommendations to reduce the likelihood and impact of future ransomware incidents. ロシアはサイバー犯罪者に安全な港を提供し続けており、LockBitのようなグループが米国やその同盟国、パートナーに対して自由にランサムウェア攻撃を仕掛けている。これらのランサムウェア攻撃は、病院、学校、金融機構などの重要なインフラを標的にしている。特に、2023年11月に中国工商銀行(ICBC)の米国ブローカー・ディーラーに対して行われたランサムウェア攻撃は、LockBitによるものだった。米国はサイバー犯罪との闘いにおける世界的リーダーであり、サイバー脅威から米国人を守るため、あらゆる認可と手段を駆使することを約束する。本日発表された措置に加え、米国政府はランサムウェア攻撃に対する防御と対応において、潜在的な被害者を支援するための重要なリソースを提供している。例えば、サイバーセキュリティ・インフラ・セキュリティ庁は昨年、他の米省庁や海外のパートナーとともに、2つのサイバーセキュリティ勧告「ランサムウェア脅威行為者の理解」を発表した: LockBit」と「LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability」である。これらの勧告は、このグループによる脅威を詳述し、将来のランサムウェアインシデントの可能性と影響を低減するための推奨事項を提供している。
This action follows other recent actions taken by the U.S. against Russian cybercriminals, including the recent trilateral designation of Alexander Ermakov, a Russian national involved in the 2022 ransomware attack against Medibank Private Limited, in coordination with Australia and the United Kingdom and last year’s bilateral sanctions actions against the Trickbot Cybercrime Group with the United Kingdom. Russia has enabled ransomware attacks by cultivating and co-opting criminal hackers. Treasury has previously stressed that Russia must take concrete steps to prevent cyber criminals from freely operating in its jurisdiction. Today’s actions reflect the United States’ commitment to combatting cybercrime and pursuing the bad actors that target victims across the United States, its allies, and its partners. 今回の措置は、Medibank Private Limitedに対する2022年のランサムウェア攻撃に関与したロシア人、アレクサンドル・エルマコフをオーストラリアおよびイギリスと連携して三国間で指定したことや、昨年のイギリスとのTrickbotサイバー犯罪グループに対する二国間制裁措置など、米国がロシアのサイバー犯罪者に対して最近とった他の措置に続くものである。ロシアは犯罪ハッカーを育成し、協力することでランサムウェア攻撃を可能にしてきた。財務省は以前から、ロシアはサイバー犯罪者が自国の司法管轄区で自由に活動することを防ぐために具体的な措置を講じなければならないと強調してきた。本日の行動は、サイバー犯罪と闘い、米国、その同盟国、パートナー国全体の被害者を狙う悪質業者を追及するという米国のコミットメントを反映したものである。
LOCKBIT: A MALICIOUS RUSSIAN RANSOMWARE GROUP LockBit :悪質なロシアのランサムウェアグループ
LockBit is a Russia-based ransomware group first observed in 2019 and best known for its ransomware variant of the same name. LockBit operates on a Ransomware-as-a-Service (RaaS) model, where the group licenses its ransomware software to affiliated cybercriminals in exchange for a percentage of the paid ransoms. LockBit is known for its double extortion tactics, where its cybercriminals exfiltrate vast amounts of data from its victims before encrypting the victim’s computer systems and demanding ransom payments. LockBit was the most deployed ransomware variant globally in 2022 and remains prolific today. LockBitは2019年に初めて観測されたロシアを拠点とするランサムウェア・グループで、同名のランサムウェア亜種で最もよく知られている。LockBitはRansomware-as-a-Service(RaaS)モデルで活動しており、同グループは支払われた身代金のパーセンテージと引き換えに、提携するサイバー犯罪者にランサムウェア・ソフトウェアをライセンスしている。LockBitは、その二重の恐喝戦術で知られており、サイバー犯罪者は被害者のコンピュータシステムを暗号化し、身代金の支払いを要求する前に、被害者から膨大な量のデータを流出させる。LockBitは2022年に世界的に最も導入されたランサムウェアの亜種であり、現在も多発している。
OFAC’s investigation identified LockBit as responsible for the ransomware attack on ICBC, which occurred on November 9, 2023. The ransomware attack disrupted ICBC’s U.S. broker-dealer, affecting the settlement of over $9 billion worth of assets backed by Treasury securities. The ransomware attack caused a blackout of ICBC’s computer systems, resulting in a loss of e-mail and communications. ICBC’s inability to access its systems caused securities to be delivered for settlement with no funds backing the trades. OFACの調査では、2023年11月9日に発生したICBCへのランサムウェア攻撃の犯人がLockBitであることが特定された。このランサムウェア攻撃はICBCの米国のブローカー・ディーラーを混乱させ、財務省証券を裏付けとする90億ドル以上の資産の決済に影響を与えた。ランサムウェア攻撃はICBCのコンピューターシステムの停電を引き起こし、電子メールとコミュニケーションの喪失をもたらした。ICBCがシステムにアクセスできなかったため、取引の裏付けとなる資金がないまま決済のために証券が引き渡された。
OFAC TARGETS AFFILIATES OF LOCKBIT RANSOMWARE GROUP OFAC、LockBit ランサムウェア・グループの関連者を標的にする
Ivan Gennadievich Kondratiev, a Russian national located in Novomokovsk, Russia, is a LockBit affiliate and leader of the LockBit affiliate sub-group, the National Hazard Society. Kondratiev is commonly known in the cybercriminal world as “Bassterlord” and “Fisheye,” and he also has ties to REvil, RansomEXX and Avaddon ransomware groups. Kondratiev has actively engaged in LockBit ransomware attacks. ロシアのノボモコフスクに住むロシア人のIvan Gennadievich KondratievはLockBit の関連者であり、LockBit 関連者のサブグループであるNational Hazard Societyのリーダーである。Kondratyevはサイバー犯罪者の世界では一般的に「Bassterlord」や「Fisheye」として知られており、REvil、RansomEXX、Avaddonランサムウェアグループとも関係がある。KondratyevはLockBitランサムウェア攻撃に積極的に関与している。
Artur Sungatov, a Russian national, is a Lockbit ransomware group affiliate and has actively engaged in LockBit ransomware attacks. ロシア国籍のArtur SungatovはLockbitランサムウェア・グループの関連者であり、LockBitランサムウェア攻撃に積極的に関与している。
OFAC is designating each of these individuals pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757, for being responsible for or complicit in, or having engaged in, directly or indirectly, an activity described in subsection (a)(ii)(D) of section 1 of E.O. 13694, as amended. OFACは、大統領令(E.O.)13694(E.O.13757により改正)に従い、E.O.13694の第1節(a)(ii)(D)に記載された活動に直接的または間接的に責任または加担している、または関与しているとして、これら各個人を指定する。
SANCTIONS IMPLICATIONS 制裁への影響
As a result of today’s action, all property and interests in property of the designated persons described above that are in the United States or in the possession or control of U.S. persons are blocked and must be reported to OFAC. In addition, any entities that are owned, directly or indirectly, individually or in the aggregate, 50 percent or more by one or more blocked persons are also blocked. Unless authorized by a general or specific license issued by OFAC, or exempt, OFAC’s regulations generally prohibit all transactions by U.S. persons or within (or transiting) the United States that involve any property or interests in property of designated or otherwise blocked persons. In addition, persons that engage in certain transactions with the individuals designated today may themselves be exposed to designation. 本日の措置の結果、米国内にある、または米国人の所有もしくは管理下にある、上記の指定された人物のすべての財産および財産の権利は封鎖され、OFACに報告しなければならない。さらに、直接的または間接的に、個人または総計で50%以上を1人以上の阻止対象者が所有している事業体も阻止される。OFACが発行した一般又は特定のライセンスにより認可されるか、又は免除されない限り、OFACの規制は、一般的に、指定又はその他の方法でブロックされた者の財産又は財産権に関わる、米国人による又は米国内(又は米国を通過する)における全ての取引を禁止している。加えて、今日指定されている個人と特定の取引を行う者は、自らも指定にさらされる可能性がある。
The power and integrity of OFAC sanctions derive not only from its ability to designate and add persons to the Specially Designated Nationals and Blocked Persons (SDN) List but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 here. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here. OFACの制裁の威力と完全性は、特別指定国民およびブロック対象者(SDN)リストに人物を指定し、追加する能力だけでなく、法律に従ってSDNリストから人物を削除する意思からも導き出される。制裁の最終的な目標は、罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求めるプロセスに関する情報については、OFACのよくある質問897を参照のこと。OFAC制裁リストからの削除要請の提出プロセスに関する詳細情報については、こちらを参照のこと。
See OFAC’s Updated Advisory on Potential Sanctions Risk for Facilitating Ransomware Payments for information on the actions that OFAC would consider to be mitigating factors in any related enforcement action involving ransomware payments with a potential sanctions risk. For information on complying with sanctions applicable to virtual currency, see OFAC’s Sanctions Compliance Guidance for the Virtual Currency Industry. 潜在的な制裁リスクを伴うランサムウェアの支払いに関連する関連執行措置において、OFACが軽減要因とみなす措置に関する情報については、OFACの「ランサムウェアの支払の促進に関する潜在的制裁リスクに関する最新勧告」を参照のこと。仮想通貨に適用される制裁の遵守に関する情報については、OFACの仮想通貨業界向け制裁遵守ガイダンス(Sanctions Compliance Guidance for the Virtual Currency Industry)を参照のこと。

 

 

 

 


 

英国

 

● National Crime Agency; NCA

・2024.02.20 International investigation disrupts the world’s most harmful cyber crime group

International investigation disrupts the world’s most harmful cyber crime group 国際捜査により、世界で最も有害なサイバー犯罪グループが壊滅する
The National Crime Agency is today, Tuesday 20 February, revealing details of an international disruption campaign targeting LockBit, the world’s most harmful cyber crime group. 国家犯罪対策庁は本日2月20日(火)、世界で最も有害なサイバー犯罪グループであるLockBit を標的とした国際的混乱キャンペーンの詳細を明らかにした。
Today, after infiltrating the group’s network, the NCA has taken control of LockBit’s services, compromising their entire criminal enterprise. 本日、同グループのネットワークに侵入したNCAは、LockBit のサービスをコントロールし、犯罪エンタープライズ全体を危険にさらした。
LockBit have been in operation for four years and during that time, attacks utilising their ransomware were prolific. LockBit ransomware attacks targeted thousands of victims around the world, including in the UK, and caused losses of billions of pounds, dollars and euros, both in ransom payments and in the costs of recovery. The group provided ransomware-as-a-service to a global network of hackers or ‘affiliates’, supplying them with the tools and infrastructure required to carry out attacks. LockBit は4年前から活動しており、その間、彼らのランサムウェアを利用した攻撃は多発していた。LockBit のランサムウェア攻撃は、英国を含む世界中の数千人の被害者を標的とし、身代金の支払いと復旧費用の両方で数十億ポンド、ドル、ユーロの損失をもたらした。このグループは、ハッカーや「関連者」のグローバルネットワークにランサムウェア・アズ・ア・サービスをプロバイダとして提供し、攻撃実行に必要なツールやインフラを提供していた。
When a victim’s network was infected by LockBit’s malicious software, their data was stolen and their systems encrypted. A ransom would be demanded in cryptocurrency for the victim to decrypt their files and prevent their data from being published. 被害者のネットワークがLockBit の悪意あるソフトウェアに感染すると、データが盗まれ、システムが暗号化される。被害者がファイルを復号化し、データが公開されないようにするために、暗号通貨で身代金が要求される。
The NCA has taken control of LockBit’s primary administration environment, which enabled affiliates to build and carry out attacks, and the group’s public-facing leak site on the dark web, on which they previously hosted, and threatened to publish, data stolen from victims. Instead, this site will now host a series of information exposing LockBit’s capability and operations, which the NCA will be posting daily throughout the week. NCAは、LockBitの主要な管理環境を掌握した。この環境は、関連者が攻撃を構築し実行することを可能にし、ダークウェブ上の同グループの一般向けリークサイトも掌握した。代わりに、このサイトではLockBitの能力と作戦を暴露する一連の情報をホストすることになり、NCAは今週中毎日これを掲載する予定である。
The Agency has also obtained the LockBit platform’s source code and a vast amount of intelligence from their systems about their activities and those who have worked with them and used their services to harm organisations throughout the world. NCAはまた、LockBit・プラットフォームのソースコードと、彼らのシステムから、彼らの活動や、彼らと協力し、世界中の組織に危害を加えるために彼らのサービスを利用した人々に関する膨大な量のインテリジェンスを入手した。
Some of the data on LockBit’s systems belonged to victims who had paid a ransom to the threat actors, evidencing that even when a ransom is paid, it does not guarantee that data will be deleted, despite what the criminals have promised. LockBitのシステム上のデータの一部は、脅威行為者に身代金を支払った被害者のものであり、身代金を支払ったとしても、犯罪者が約束したにもかかわらず、データが削除される保証はないことを証明している。
The NCA, working closely with the FBI, and supported by international partners from nine other countries, have been covertly investigating LockBit as part of a dedicated taskforce called Operation Cronos. NCAはFBIと緊密に協力し、他の9カ国の国際的なパートナーの支援を受けて、「オペレーション・クロノス」と呼ばれる専門タスクフォースの一部として、LockBitを秘密裏に調査してきた。
LockBit had a bespoke data exfiltration tool, known as Stealbit, which was used by affiliates to steal victim data. Over the last 12 hours this infrastructure, based in three countries, has been seized by members of the Op Cronos taskforce, and 28 servers belonging to LockBit affiliates have also been taken down. LockBitは、Stealbitとして知られる特注のデータ流出ツールを持ち、関連者が被害者データを盗むために使用していた。この12時間で、3カ国を拠点とするこのインフラがOp Cronosタスクフォースのメンバーによって押収され、LockBit関連者に属する28のサーバーもダウンさせられた。
The technical infiltration and disruption is only the beginning of a series of actions against LockBit and their affiliates. In wider action coordinated by Europol, two LockBit actors have been arrested this morning in Poland and Ukraine, over 200 cryptocurrency accounts linked to the group have been frozen. 技術的な侵入と混乱は、LockBitとその関連者に対する一連の行動の始まりに過ぎない。欧州刑事警察機構によって調整された広範な行動では、今朝、ポーランドとウクライナで2人のLockBit関係者が逮捕され、グループに関連する200以上の暗号通貨口座が凍結された。
The US Department of Justice has announced that two defendants responsible for using LockBit to carry out ransomware attacks have been criminally charged, are in custody, and will face trial in the US. 米国司法省は、LockBitを使ってランサムウェア攻撃を行った2人の被告が刑事告発され、身柄を拘束され、米国で裁判を受けると発表した。
The US has also unsealed indictments against two further individuals, who are Russian nationals, for conspiring to commit LockBit attacks. 米国はまた、LockBit攻撃を共謀したとして、ロシア国籍のさらなる2人の個人に対する起訴状も公開した。
As a result of our work, the NCA and international partners are in a position to assist LockBit victims. The Agency has obtained over 1,000 decryption keys and will be contacting UK-based victims in the coming days and weeks to offer support and help them recover encrypted data. 我々の活動の結果、NCAと国際パートナーはLockBit被害者を支援できる立場にある。同庁は1000以上の復号鍵を入手し、今後数日から数週間のうちに英国在住の被害者に連絡を取り、支援を提供し、暗号化されたデータの復旧を支援する予定である。
FBI and Europol will be supporting victims elsewhere. FBIと欧州刑事警察機構は、他の地域の被害者を支援する予定である。
National Crime Agency Director General, Graeme Biggar said: “This NCA-led investigation is a ground-breaking disruption of the world’s most harmful cyber crime group. It shows that no criminal operation, wherever they are, and no matter how advanced, is beyond the reach of the Agency and our partners. 国家犯罪対策庁長官のグレーム・ビガー氏は次のように述べた: 「このNCA主導の捜査は、世界で最も有害なサイバー犯罪グループの画期的な崩壊である。犯罪組織がどこにあろうとも、またどれほど高度であろうとも、当庁とパートナーの手の届かないところにある犯罪組織は存在しないということを示している。
“Through our close collaboration, we have hacked the hackers; taken control of their infrastructure, seized their source code, and obtained keys that will help victims decrypt their systems. 「我々の緊密な協力により、我々はハッカーをハッキングし、彼らのインフラを制御し、ソースコードを押収し、被害者がシステムを復号化するのに役立つキーを入手した。
“As of today, LockBit are locked out. We have damaged the capability and most notably, the credibility of a group that depended on secrecy and anonymity. 「今日現在、LockBitはロックアウトされている。我々は、秘密主義と匿名性に依存していたグループの能力と、とりわけ信頼性にダメージを与えた。
“Our work does not stop here. LockBit may seek to rebuild their criminal enterprise. However, we know who they are, and how they operate. We are tenacious and we will not stop in our efforts to target this group and anyone associated with them.” 「われわれの仕事はここで終わらない。LockBitは犯罪エンタープライズの再建を目指すかもしれない。しかし、我々は彼らが誰であり、どのように活動しているかを知っている。我々は粘り強く、このグループと彼らに関係する人物を標的にする努力を止めない。
Home Secretary James Cleverly said: “The National Crime Agency’s world leading expertise has delivered a major blow to the people behind the most prolific ransomware strain in the world. ジェームズ・クレバリー内務大臣は言った: 「国家犯罪捜査局の世界をリードする専門知識は、世界で最も多発するランサムウェアの背後にいる人々に大きな打撃を与えた。
“The criminals running LockBit are sophisticated and highly organised, but they have not been able to escape the arm of UK law enforcement and our international partners. 「LockBitを実行している犯罪者は洗練され、高度に組織化されているが、英国の法執行機関や我々の国際的なパートナーの手から逃れることはできなかった。
“The UK has severely disrupted their sinister ambitions and we will continue going after criminal groups who target our businesses and institutions.” 「英国は彼らの邪悪な野望を大きく妨害しており、我々は今後も我々の企業や機構を標的にする犯罪グループを追及していく。
U.S. Attorney General Merrick B. Garland said: “For years, LockBit associates have deployed these kinds of attacks again and again across the United States and around the world. Today, U.S and U.K. law enforcement are taking away the keys to their criminal operation. メリック・B・ガーランド米司法長官は次のように述べた: 「何年もの間、LockBitの仲間は、米国や世界中でこの種の攻撃を繰り返し展開してきた。今日、米国と英国の法執行機関は、彼らの犯罪活動の鍵を取り上げている。
“And we are going a step further - we have also obtained keys from the seized LockBit infrastructure to help victims decrypt their captured systems and regain access to their data. LockBit is not the first ransomware variant the U.S. Justice Department and its international partners have dismantled. It will not be the last.” 「私たちはさらに一歩進んで、押収したLockBitのインフラから鍵を入手し、被害者が押収したシステムを復号化してデータへのアクセスを取り戻すのを支援している。LockBitは、米国司法省とその国際的パートナーが解体した最初のランサムウェアの亜種ではない。最後でもないだろう」。
FBI Director Christopher A. Wray said: "Today, the FBI and our partners have successfully disrupted the LockBit criminal ecosystem, which represents one of the most prolific ransomware variants across the globe. FBIのクリストファー・A・レイ長官はこう述べた: 「今日、FBIと我々のパートナーは、世界中で最も多発しているランサムウェアの亜種の1つであるLockBitの犯罪エコシステムを破壊することに成功した。
"Through years of innovative investigative work, the FBI and our partners have significantly degraded the capabilities of those hackers responsible for launching crippling ransomware attacks against critical infrastructure and other public and private organizations around the world. This operation demonstrates both our capability and commitment to defend our nation's cybersecurity and national security from any malicious actor who seeks to impact our way of life. We will continue to work with our domestic and international allies to identify, disrupt, and deter cyber threats, and to hold the perpetrators accountable." 「長年の革新的な捜査活動を通じて、FBIと我々のパートナーは、世界中の重要インフラやその他の公的・私的組織に対して破壊的なランサムウェア攻撃を仕掛けているハッカーの能力を大幅に低下させた。この作戦は、我々の生活様式に影響を与えようとする悪意ある行為者から、我が国のサイバーセキュリティと国家安全保障を守る我々の能力とコミットメントを示すものである。我々は、サイバー脅威を特定し、混乱させ、抑止し、加害者の責任を追及するために、国内外の同盟国と引き続き協力していく。
The NCA leads the UK law enforcement response to tackling cyber crime, disrupting offenders where possible by enabling criminal justice outcomes, and also through a broad range of other means including online disruption, sanctions, travel bans, and working with partners like NCSC to ensure technology is secure and safe by design. NCAは、サイバー犯罪に取り組む英国の法執行機関の対応を主導し、刑事司法上の結果を可能にすることで可能な限り犯罪者を混乱させるほか、オンライン妨害、制裁措置、渡航禁止、NCSCのようなパートナーとの協力による技術の安全性と設計による安全性の確保など、幅広い手段を通じている。
The NCA’s National Cyber Crime Unit also works with a network of Regional Cyber Crime Units based in the nine Regional Organised Crime Units (ROCU) of England and Wales. This operation developed from work by the South West ROCU, and continues to be supported by personnel there. NCAの全国サイバー犯罪対策ユニットは、イングランドとウェールズの9つの地域組織犯罪対策ユニット(ROCU)を拠点とする地域サイバー犯罪対策ユニットのネットワークとも連携している。 この活動は、南西部ROCUの活動から発展したもので、現在も同組織の職員が支援している。
Public engagement is key to this response so it is vital that organisations report if they are the victim of a ransomware attack. The earlier people report, the quicker the NCA and partners are able to assess new methodologies and limit the damage they can do to others. ランサムウェア攻撃の被害にあった場合、各組織が報告することが重要である。報告が早ければ早いほど、NCAとパートナーは新しい手法を迅速に評価し、他者に与える被害を抑えることができる。
If you are in the UK, you should use the Government’s Cyber Incident Signposting Site as soon as possible for direction on which agencies to report your incident to. 英国内にいる場合は、政府のサイバーインシデント・シグナリングサイトをできるだけ早く利用し、どの機関にインシデントを報告すべきか指示を仰ぐべきである。

 

 

National Cyber Security Centre; NCSC

・2024.02.20 NCSC statement on law enforcement's disruption of LockBit ransomware operation

NCSC statement on law enforcement's disruption of LockBit ransomware operation 法執行機関によるLockBitランサムウェア作戦の妨害に関するNCSCの声明
The National Crime Agency (NCA) has announced that it is conducting a months-long campaign with international partners to disrupt the threat posed by the LockBit ransomware operation. 国家犯罪対策庁(NCA)は、ランサムウェア「LockBit」による脅威を阻止するため、国際的なパートナーとともに数カ月にわたるキャンペーンを実施していることを発表した。
Today, law enforcement has taken control of technical infrastructure which underpins the LockBit operation, including its primary platform and leak site where data stolen from victims in ransomware attacks have previously been hosted. 本日、法執行機関は、主要プラットフォームや、ランサムウェア攻撃で被害者から盗まれたデータがホストされていたリークサイトなど、LockBit作戦を支える技術インフラを掌握した。
The seizure of the criminal infrastructure aims to reduce the threat to the UK, while data obtained through the campaign will help law enforcement progress their investigations. 犯罪基盤の押収は英国への脅威を減らすことを目的としており、キャンペーンを通じて得られたデータは法執行機関の捜査の進展に役立つだろう。
Ransomware remains the most significant cyber threat facing UK organisations and they are strongly encouraged to take action to help protect themselves online. ランサムウェアは依然として英国の組織が直面する最も重要なサイバー脅威であり、オンライン上で自らを守るための行動を取ることが強く奨励されている。
The NCSC has published a range of advice and guidance to help organisations understand, mitigate and respond to ransomware attacks. NCSCは、組織がランサムウェア攻撃を理解し、軽減し、対応するための様々なアドバイスやガイダンスを発表している。
Jonathon Ellison, NCSC Director for National Resilience and Future Technology, said: NCSCのナショナル・レジリエンス&フューチャー・テクノロジー担当ディレクターであるジョナソン・エリソン氏は、次のように述べている:
“We welcome the disruptive action taken by the NCA and its partners against the LockBit ransomware operation, undermining cyber criminals’ ability to inflict harm in the UK and around the world. 「我々は、NCAとそのパートナーがLockBitランサムウェアの作戦に対して破壊的な行動をとり、英国および世界中で被害を与えるサイバー犯罪者の能力を弱体化させたことを歓迎する。
“Ransomware is an acute and present danger to UK businesses and the damage that attacks cause can have a significant toll on finances, operations and reputations. 「ランサムウェアは英国企業にとって現在進行形の危険であり、攻撃が引き起こす被害は財務、業務、評判に大きな打撃を与えかねない。
“We urge all organisations to follow the guidance on the NCSC website to help reduce their risk of falling victim and to ensure they are well-prepared to respond effectively if the worst happens.” 「NCSCのウェブサイトに掲載されているガイダンスに従うことで、被害に遭うリスクを軽減し、最悪の事態が発生した場合に効果的に対応できるよう、すべての組織が万全の態勢を整えることを強く求める"
Last year, the NCSC warned that LockBit presented the highest ransomware threat to businesses in the UK and that it was almost certainly the most deployed ransomware strain globally. 昨年、NCSCは、LockBitは英国内の企業にとって最も脅威の大きいランサムウェアであり、世界的にも最も多く展開されているランサムウェアであることはほぼ間違いないと警告した。
In September, the NCSC and NCA also published a joint report outlining how the tactics of organised crime groups have evolved in recent years, giving rise to a complex cyber criminal ecosystem which underpins ransomware attacks. また9月には、NCSCとNCAは、組織犯罪グループの手口が近年どのように進化し、ランサムウェア攻撃を支える複雑なサイバー犯罪エコシステムを生み出したかを概説する共同報告書を発表した。
In the event of a cyber incident, organisations are encouraged to report via [web] . サイバーインシデントが発生した場合、組織は[web]

 

 


 

欧州

Europol

・2024.02.20 Law enforcement disrupt world’s biggest ransomware operation
1_20240221090701 1_20240221090801

 

Law enforcement disrupt world’s biggest ransomware operation 法執行機関が世界最大のランサムウェア作戦を妨害する
LockBit was the most deployed ransomware variant across the world LockBitは世界中で最も配備されたランサムウェアの亜種だった
In a significant breakthrough in the fight against cybercrime, law enforcement from 10 countries have disrupted the criminal operation of the LockBit ransomware group at every level, severely damaging their capability and credibility. サイバー犯罪との闘いにおける重要なブレークスルーとして、10カ国の法執行機関はLockBitランサムウェアグループの犯罪活動をあらゆるレベルで妨害し、彼らの能力と信頼性に深刻なダメージを与えた。
LockBit is widely recognised as the world’s most prolific and harmful ransomware, causing billions of euros worth of damage. LockBitは世界で最も多発し、数十億ユーロ相当の被害をもたらしている有害なランサムウェアとして広く認識されている。
This international sweep follows a complex investigation led by the UK's National Crime Agency in the framework of an international taskforce known as ‘Operation Cronos’, coordinated at European level by Europol and Eurojust. この国際的な掃討作戦は、欧州刑事警察機構と欧州司法機構によって欧州レベルで調整された「クロノス作戦」として知られる国際的なタスクフォースの枠組みの中で、英国国家犯罪局が主導した複雑な捜査に続くものである。
The months-long operation has resulted in the compromise of LockBit’s primary platform and other critical infrastructure that enabled their criminal enterprise. This includes the takedown of 34 servers in the Netherlands, Germany, Finland, France, Switzerland, Australia, the United States and the United Kingdom. 数ヶ月にわたる捜査の結果、LockBitの主要プラットフォームと、彼らの犯罪エンタープライズを可能にしたその他の重要なインフラが侵害された。これには、オランダ、ドイツ、フィンランド、フランス、スイス、オーストラリア、米国、英国にある34のサーバーの撤去が含まれる。
In addition, two LockBit actors have been arrested in Poland and Ukraine at the request of the French judicial authorities. Three international arrest warrants and five indictments have also been issued by the French and U.S. judicial authorities. さらに、フランスの司法当局の要請により、LockBitの関係者2名がポーランドとウクライナで逮捕された。また、フランスと米国の司法当局により、3件の国際逮捕状と5件の起訴状が発行された。
Authorities have frozen more than 200 cryptocurrency accounts linked to the criminal organisation, underscoring the commitment to disrupt the economic incentives driving ransomware attacks. 認可当局は、犯罪組織に関連する200以上の暗号通貨口座を凍結しており、ランサムウェア攻撃の原動力となっている経済的インセンティブを崩壊させるというコミットメントを強調している。
The UK's National Crime Agency has now taken control of the technical infrastructure that allows all elements of the LockBit service to operate, as well as their leak site on the dark web, on which they previously hosted the data stolen from victims in ransomware attacks. 英国の国家犯罪捜査局は現在、LockBit・サービスの全要素を稼働させる技術インフラと、以前ランサムウェア攻撃で被害者から盗んだデータをホスティングしていたダークウェブ上のリークサイトを管理下に置いている。
At present, a vast amount of data gathered throughout the investigation is now in the possession of law enforcement. This data will be used to support ongoing international operational activities focused on targeting the leaders of this group, as well as developers, affiliates, infrastructure and criminal assets linked to these criminal activities. 現在、捜査を通じて集められた膨大なデータが法執行機関の手元にある。このデータは、このグループのリーダーや、これらの犯罪活動に関連する開発者、関連者、インフラ、犯罪資産を標的とすることに焦点を当てた、進行中の国際的な作戦活動を支援するために使用される。
The world’s most harmful ransomware 世界で最も有害なランサムウェア
LockBit first emerged at the end of 2019, first calling itself ‘ABCD’ ransomware. Since then, it has grown rapidly and in 2022 it became the most deployed ransomware variant across the world. LockBitは2019年末に初めて出現し、最初は「ABCD」ランサムウェアと名乗った。それ以来、急速に成長し、2022年には世界中で最も配備されているランサムウェアの亜種となった。
The group is a ‘ransomware-as-a-service’ operation, meaning that a core team creates its malware and runs its website, while licensing out its code to affiliates who launch attacks. このグループは「ransomware-as-a-service(ランサムウェア・アズ・ア・サービス)」オペレーションであり、コアチームがマルウェアを作成し、ウェブサイトを運営する一方で、攻撃を仕掛けるアフィリエイトにコードをライセンス供与している。
LockBit’s attack presence is seen globally, with hundreds of affiliates recruited to conduct ransomware operations using LockBit tools and infrastructure. Ransom payments were divided between the LockBit core team and the affiliates, who received on average three-quarters of the ransom payments collected. LockBitの攻撃は世界規模で展開されており、LockBitのツールやインフラを使用してランサムウェアを実行するために何百もの関連者がリクルートされている。身代金の支払いは、LockBitのコアチームとアフィリエイトの間で分配され、アフィリエイトは集めた身代金の平均4分の3を受け取っていた。
The ransomware group is also infamous for experimenting with new methods for pressuring their victims into paying ransoms. Triple extortion is one such method which includes the traditional methods of encrypting the victim's data and threatening to leak it, but also incorporates Distributed Denial-of-Service (DDoS) attacks as an additional layer of pressure. このランサムウェア・グループは、被害者に身代金の支払いを迫る新しい方法を試していることでも有名だ。トリプル恐喝は、被害者のデータを暗号化し、それを漏らすと脅すという従来の手法に加え、さらなる圧力として分散型サービス拒否(DDoS)攻撃を取り入れたものだ。
The gang's move to triple extortion was partly influenced by a DDoS attack they themselves experienced, which impeded their ability to publish stolen data. In response, LockBit enhanced their infrastructure to resist such attacks. このギャング団が3重の恐喝に移行したのは、彼ら自身が経験したDDoS攻撃の影響もあり、盗まれたデータを公開する能力が阻害されたからだ。これを受けて、LockBitはこのような攻撃に対抗できるようインフラを強化した。
This infrastructure is now under law enforcement control, and more than 14 000 rogue accounts responsible for exfiltration or infrastructure have been identified and referred for removal by law enforcement. このインフラストラクチャーは現在、法執行機関の管理下にあり、流出やインフラストラクチャーに責任のある14,000以上の不正アカウントが特定され、法執行機関による削除のために照会されている。
Europol’s coordinating role 欧州刑事警察機構の調整役
With countries involved on either side of the world, Europol – which hosts the world’s biggest network of liaison officers from EU Member States – played a central role in coordinating the international activity. 欧州刑事警察機構は、EU加盟国からの連絡担当官で構成される世界最大のネットワークを擁しており、この国際的な活動を調整する上で中心的な役割を果たした。
Europol’s European Cybercrime Centre (EC3) organised 27 operational meetings, and four technical one-week sprints to develop the investigative leads in preparation of the final phase of the investigation. 欧州刑事警察機構の欧州サイバー犯罪センター(EC3)は、捜査の最終段階に備えて、27の作戦会議と、捜査の手がかりを得るための4回の技術的な1週間スプリントを組織した。
Europol also provided analytical, crypto-tracing and forensic support to the investigation, and facilitated the information exchange in the framework of the Joint Cybercrime Action Taskforce (J-CAT) hosted at its headquarters. In addition, three Europol experts were deployed to the command post in London during the action phase. 欧州刑事警察機構はまた、分析、暗号トレース、フォレンジックなどの捜査支援も提供し、欧州刑事警察機構本部が主催する合同サイバー犯罪対策タスクフォース(J-CAT)の枠組みで情報交換を促進した。さらに、欧州刑事警察機構(Europol)の専門家3名が、活動期間中、ロンドンの司令部に派遣された。
In total, over 1 000 operational messages have been exchanged on this case via Europol’s secure information channel SIENA, making it one of EC3’s most active investigations. 欧州刑事警察機構(Europol)の安全な情報チャンネル「SIENA」を通じて、この事件に関して合計1,000件以上の作戦メッセージが交換され、EC3で最も活発な捜査のひとつとなった。
The case was opened at Eurojust in April 2022 at the request of the French authorities. Five coordination meetings were hosted by the Agency to facilitate judicial cooperation and to prepare for the joint action. この事件は2022年4月、フランス当局の要請により欧州司法機構(Eurojust)で捜査が開始された。司法協力を促進し、共同捜査の準備を進めるため、5回の調整会議がユーロジャストによって開催された。
Decryption tools available on No More Ransom No More Ransom で利用可能な復号ツール
With Europol’s support, the Japanese Police, the National Crime Agency and the Federal Bureau of Investigation have concentrated their technical expertise to develop decryption tools designed to recover files encrypted by the LockBit Ransomware. 欧州刑事警察機構の支援のもと、日本の警察、国家犯罪対策庁、連邦捜査局は、LockBit ランサムウェアによって暗号化されたファイルを復元するために設計された復号化ツールを開発するために、それぞれの技術的専門知識を集中させた。
These solutions have been made available for free on the ‘No More Ransom’ portal, available in 37 languages. So far, more than 6 million victims across the globe have benefitted from No More Ransom which contains over 120 solutions capable of decrypting more than 150 different types of ransomware. これらのソリューションは、「No More Ransom」ポータルサイトで37カ国語で無料公開されている。No More Ransomには、150種類以上のランサムウェアを解読できる120以上のソリューションが含まれている。
Report it to the police 警察に報告する
This investigation shows that law enforcement has the capabilities to disrupt high harm cybercriminals and reduce the ransomware threat. However, continued victim and private sector engagement is key to us continuing this work. 今回の捜査は、法執行機関には、被害が大きいサイバー犯罪者を混乱させ、ランサムウェアの脅威を減らす能力があることを示している。しかし、被害者と民間セクターの継続的な関与が、この活動を継続するための鍵となる。
The first step to putting cybercriminals behind bars is to report cybercrime when it happens. The earlier people report, the quicker law enforcement is able to assess new methodologies and limit the damage they can cause. サイバー犯罪者を刑務所に入れるための第一歩は、サイバー犯罪が発生したときに報告することである。通報が早ければ早いほど、法執行機関は新しい手口を迅速に評価し、被害を抑えることができる。
Reporting cybercrime can be as simple as clicking a button on a web browser. Europol has compiled a list of the reporting websites in EU Member States. サイバー犯罪の報告は、ウェブ・ブラウザのボタンをクリックするのと同じくらい簡単にできる。欧州刑事警察機構は、EU加盟国の報告用ウェブサイトのリストをまとめている。
Robust cybersecurity measures are also key. Europol has put together some tips and advice on how to prevent ransomware from infecting your electronic devices. 強固なサイバーセキュリティ対策も重要である。欧州刑事警察機構は、ランサムウェアによる電子機器への感染を防ぐためのヒントとアドバイスをまとめた。
Taskforce Operation Cronos タスクフォース「クロノス作戦」
This activity forms part of an ongoing, concerted campaign by the international Operation Cronos taskforce to target and disrupt LockBit ransomware. The following authorities are part of this taskforce: この活動は、LockBitランサムウェアを標的とし、破壊するための国際的なタスクフォース「Operation Cronos」による進行中の協調キャンペーンの一環である。以下の認可機関がこのタスクフォースに参加している:
・France: National Gendarmerie (Gendarmerie Nationale – Unité nationale cyber C3N) ・フランス 国家憲兵隊(Gendarmerie Nationale - Unité nationale cyber C3N)
・Germany: State Bureau of Criminal Investigation Schleswig-Holstein(LKA Schleswig-Holstein), Federal Criminal Police Office (Bundeskriminalamt) ・ドイツ シュレースヴィヒ・ホルシュタイン州捜査局(LKA Schleswig-Holstein)、連邦刑事警察(Bundeskriminalamt)
・The Netherlands: National Police (Team Cybercrime Zeeland-West-Brabant, Team Cybercrime Oost-Brabant, Team High Tech Crime) & Public Prosecutor’s Office Zeeland-West-Brabant ・オランダ 国家警察(ゼーラント=ウェスト=ブラバント州サイバー犯罪チーム、ウースト=ブラバント州サイバー犯罪チーム、ハイテク犯罪チーム)、ゼーラント=ウェスト=ブラバント州検察庁
・Sweden: Swedish Police Authority ・スウェーデン スウェーデン警察認可
・Australia: Australian Federal Police (AFP) ・オーストラリア オーストラリア連邦警察(AFP)
・Canada: Royal Canadian Mounted Police (RCMP) ・カナダ カナダ王立騎馬警察(RCMP)
・Japan: National Police Agency (警察庁) ・日本 警察庁
・United Kingdom: National Crime Agency (NCA), South West Regional Organised Crime Unit (South West ROCU) ・イギリス 国家犯罪対策庁(NCA)南西部地域組織犯罪対策ユニット(South West ROCU)
・United States: U.S. Department of Justice (DOJ), Federal Bureau of Investigation (FBI) Newark ・米国 米国司法省(DOJ)、連邦捜査局(FBI)ニューアーク
・Switzerland: Swiss Federal Office of Police (fedpol), Public Prosecutor's Office of the canton of Zurich, Zurich Cantonal Police ・スイス スイス連邦警察庁(fedpol)、チューリッヒ州検察庁、チューリッヒ州警察
The successful action was made possible thanks to the support of the following countries: この活動の成功は、以下の国々の支援のおかげである:
・Finland: National Police (Poliisi) ・フィンランド フィンランド:国家警察(Poliisi)
・Poland: Central Cybercrime Bureau Cracow (Centralne Biuro Zwalczania Cyberprzestępczości - Zarząd w Krakowie) ・ポーランド クラクフ中央サイバー犯罪局(Centralne Biuro Zwalczania Cyberprzestępczości - Zarząd w Krakowie)
・New Zealand: New Zealand Police (Nga Pirihimana O Aotearoa) ・ニュージーランド ニュージーランド警察(Nga Pirihimana O Aotearoa)
・Ukraine: Prosecutor General`s office of Ukraine (Офіс Генерального прокурора України), Cybersecurity Department of the Security Service of Ukraine (Служба безпеки України), National Police of Ukraine (Національна поліція України) ・ウクライナ ウクライナ検察総局(Офіс Генерального прокурора України)、 ウクライナ治安局サイバーセキュリティ部(Служба безпеки України)、ウクライナ国家警察(Національна поліція України)

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.21 警察庁 ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウン関係とランサムウェアによる暗号化被害データに関する復号ツールの開発

・2023.09.13 英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書

・2023.07.26 Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)

・2023.06.16 Five Eyes ドイツ フランス LookBitに対する包括的なアドバイザリーを公表

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

 

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

 

| | Comments (0)

2024.02.20

欧州データ保護監督者 通信の秘密を守ることは基本的権利に不可欠である (ネット上の児童虐待と通信の秘密の保護の間で...) (2024.01.29)

こんにちは、丸山満彦です。

欧州データ保護監督者 (European Data Protection Supervisor; EDPS) [wikipedia] のこの話は、日本でも当てはまる話ですよね...

ネット上の児童虐待の話は重大な人権問題であるのはわかるけど、だからといって現状のやり方が自動的にはOKということにはならないよね...という話ですかね。。。

さて、一方、日本では安全保障問題が盛り上がっているので、そのうちプライバシーと安全保障の間の問題も、いろいろ出てくるような気がしますね... 欧州との関係で考えると、そこで安易に安全保障側に振らないことが重要ですかね。日本の場合は、右っぽい人が、国家安全が重要だろうと血気盛んに主張(だからといって戦争になったら先頭にたって戦うわけでもなさそうなんですが...)しそうですが、安易にそちらに流れてもダメですね。。。

米国は表向き米国市民以外(なので欧州人も含まれる)の通信傍受をしていますが、そこが個人データの移転で問題になる部分であったりしますからね...

 

● European Data Protection Supervisor; EDPS

・2024.01.29 Preserving the confidentiality of communications is essential to fundamental rights

 

Preserving the confidentiality of communications is essential to fundamental rights 通信の秘密保持は基本的権利に不可欠である
The EDPS has issued an Opinion on the proposed Regulation to extend the temporary derogation from certain provisions of the ePrivacy Directive to combat child sexual abuse online. The Regulation would allow providers of certain independent interpersonal communication services to continue to apply specific technologies to private communications in order to detect child sexual abuse material for two more years, whilst negotiations for a long-term Regulation are ongoing. EDPSは、オンライン上の児童性的虐待に対抗するため、eプライバシー指令の特定条項の一時的適用除外を延長する規則案に関する意見を発表した。同規則は、特定の独立した対人通信サービスのプロバイダーに対し、児童への性的虐待を検出するために、個人的な通信に特定の技術を適用し続けることを2年間認めるもので、その一方で、長期的な規則の交渉が継続される。
In its Opinion, the EDPS expresses concern about the aims of this Regulation, which would, in effect, restrict individuals’ fundamental rights to privacy and personal data, including their right to the confidentiality of communications. The EDPS also highlights that the recommendations previously issued in its Opinion on temporary derogations from the ePrivacy Directive 2020 were not fully addressed, further putting individuals at risk. EDPSは意見書の中で、この規制の目的について懸念を表明している。この規制は、事実上、通信の秘密に対する権利を含め、プライバシーと個人情報に関する個人の基本的権利を制限するものである。EDPSはまた、ePrivacy指令2020からの一時的な適用除外に関する意見で以前に出された勧告が十分に対処されておらず、個人をさらに危険にさらしていることを強調している。
Wojciech Wiewiórowski, EDPS, said: “Extending the validity of the Regulation on temporary derogations from the ePrivacy Directive is not a formality. It would perpetuate the already-existing risks to individuals’ privacy and their personal data, which should by no means become the norm. This proposed Regulation should not be adopted until the necessary safeguards are put in place”. EDPSのWojciech Wiewiórowski氏は次のように述べた: 「eプライバシー指令の一時的な適用除外に関する規則の有効性を延長することは、形式的なものではない。それは、個人のプライバシーと個人データに対する既存のリスクを永続させるものであり、決して常態化すべきではない。必要な保護措置が講じられるまで、この規則案は採択されるべきではない」。
The EDPS underscores that, although the use of specific technologies to detect child sexual abuse material would remain voluntary, it is still the EU’ s co-legislators responsibility to put in place measures to ensure that the Regulation complies with the EU’s Charter of Fundamental Rights. EDPSは、児童性的虐待を検出するための特定技術の使用は任意であるものの、同規則がEUの基本権憲章に準拠することを確実にするための措置を講じることは、EUの共同立法者の責任であることを強調している。
In line with its previously issued recommendations, the EDPS reiterates that the proposed Regulation does not include sufficient and effective safeguards to prevent general and indiscriminate monitoring of private electronic communications. Putting these safeguards in place is important, especially given the high error rates observed with certain technologies used for detecting child sexual abuse materials or child solicitation, such as grooming. The EDPS underscores the significant risk that technologies used to detect child sexual abuse material may flag consensually produced and shared imagery. EDPSは、以前に発表した勧告に沿って、提案されている規則には、私的な電子通信の一般的かつ無差別な監視を防止するための十分かつ効果的な保護措置が含まれていないことを改めて指摘する。特に、児童性的虐待の材料や、グルーミングのような児童の勧誘を検出するために使用される特定の技術に高いエラー率が観察されていることを考えると、こうした保護措置を設けることは重要である。EDPSは、児童性的虐待の素材を検知するために使用される技術が、合意に基づいて作成され共有された画像にフラグを立てる可能性があるという重大なリスクを強調している。
Whilst the EDPS fully supports the aim to combat child sexual abuse as a terrible crime, this Regulation is not the solution. The goal of combatting child sexual abuse must be pursued with the necessary safeguards for individuals’ private communications, and, by extension, their fundamental rights to privacy and personal data. EDPSは、児童性的虐待を恐ろしい犯罪として撲滅する目的を全面的に支持するが、本規制は解決策ではない。児童性的虐待撲滅という目標は、個人の私的通信、ひいてはプライバシーや個人情報に対する基本的権利に必要な保護措置を講じた上で追求されなければならない。

 

・2024.01.29 EDPS Opinion 8/2024 on the Proposal for a Regulation amending Regulation (EU) 2021/1232 on a temporary derogation from certain ePrivacy provisions for combating CSAM

 

・[PDF

20240220-101606

 

 

Opinion 8/2024 on the Proposal for a Regulation amending Regulation (EU) 2021/1232 on a temporary derogation from certain ePrivacy provisions for combating CSAM CSAM対策のための特定のeプライバシー規定からの一時的な適用除外に関する規則(EU)2021/1232の改正規則案に関する意見書8/2024
The European Data Protection Supervisor (EDPS) is an independent institution of the EU, responsible under Article 52(2) of Regulation 2018/1725 ‘With respect to the processing of personal data… for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to data protection, are respected by Union institutions and bodies’, and under Article 52(3)‘… for advising Union institutions and bodies and data subjects on all matters concerning the processing of personal data’.  欧州データ保護監督者(EDPS)はEUの独立機関であり、規則2018/1725の第52条2項「個人データの処理に関し...自然人の基本的権利および自由、特にデータ保護に対する権利が、EUの機関および団体によって尊重されることを確保すること」、および第52条3項「...個人データの処理に関するすべての事項について、EUの機関および団体ならびにデータ主体に助言すること」に基づいて責任を負う。 
Wojciech Rafał Wiewiórowski was appointed as Supervisor on 5 December 2019 for a term of five years.  Wojciech Rafał Wiewiórowski氏は2019年12月5日に5年の任期で監督官に任命された。
Under Article 42(1) of Regulation 2018/1725, the Commission shall ‘following the adoption of proposals for a legislative act, of recommendations or of proposals to the Council pursuant to Article 218 TFEU or when preparing delegated acts or implementing acts, consult the EDPS where there is an impact on the protection of individuals’ rights and freedoms with regard to the processing of personal data’.  規則2018/1725の第42条1項に基づき、欧州委員会は、「TFEU第218条に基づき、立法行為の提案、勧告もしくは理事会への提案の採択後、または委任法もしくは実施法を準備する際、個人データの処理に関して個人の権利および自由の保護に影響がある場合、EDPSに相談する」ものとされている。 
This Opinion relates to the Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) 2021/1232 of the European Parliament and of the Council on a temporary derogation from certain provisions of Directive 2002/58/EC for the purpose of combating online child sexual abuse[1]. This Opinion does not preclude any future additional comments or recommendations by the EDPS, in particular if further issues are identified or new information becomes available. Furthermore, this Opinion is without prejudice to any future action that may be taken by the EDPS in the exercise of his powers pursuant to Regulation (EU) 2018/1725.  本意見書は、オンライン児童性的虐待[1]に対処する目的で、指令2002/58/ECの特定の規定からの一時的な適用除外に関する欧州議会及び理事会規則(EU)2021/1232を改正する欧州議会及び理事会規則の提案に関するものである。本意見書は、EDPSによる今後の追加的なコメントや勧告を妨げるものではなく、特に、さらなる問題が特定されたり、新たな情報が入手可能になったりした場合には、この限りでない。さらに、本意見書は、規則(EU)2018/1725に基づきEDPSがその権限を行使して将来とる可能性のある措置を損なうものではない。 
Executive Summary  要旨 
On 30 November 2023, the European Commission issued the Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) 2021/1232 on a temporary derogation from certain provisions of Directive 2002/58/EC for the purpose of combating online child sexual abuse. The objective of the Proposal is to introduce a limited time extension to Regulation (EU) 2021/1232 (“Interim Regulation”) to enable providers of certain numberindependent interpersonal communications services to use specific technologies for the processing of personal and other data to detect online child sexual abuse on their services, while interinstitutional negotiations on a long-term Regulation continue.  2023年11月30日、欧州委員会は、オンライン児童性的虐待対策を目的とした指令2002/58/ECの特定条項の一時的適用除外に関する規則(EU)2021/1232を改正する欧州議会および理事会規則案を発表した。この提案の目的は、長期的な規則に関する機関間交渉が継続される間、特定の番号非依存型対人通信サービスのプロバイダーが、そのサービス上でオンライン児童性的虐待を検出するために、個人データおよびその他のデータの処理に特定の技術を使用することを可能にするために、規則(EU)2021/1232(「暫定規則」)に期間限定の延長を導入することである。 
The EDPS does not consider the proposed extension of validity of the Interim Regulation a formality. Already in his 2020 Opinion, the EDPS considered that the proposal should not be adopted, even in the form a temporary derogation, until the recommendations included in that Opinion were addressed.  EDPSは、提案されている暫定規則の有効期間延長を形式的なものとは考えていない。EDPSはすでに2020年意見書で、同意見書に盛り込まれた勧告に対処するまでは、一時的な適用除外という形であっても、同提案を採択すべきではないと考えている。 
The mere fact that providers of electronic communication services apply detection technologies on a voluntary basis does not dispense the co-legislature from its responsibility of establishing a comprehensive legal framework which meets the requirements of Articles 7 and 8 of the Charter of Fundamental Rights of the European Union.  電子通信サービスのプロバイダーが自主的に検知技術を適用しているという事実だけで、欧州連合基本権憲章第7条および第8条の要件を満たす包括的な法的枠組みを確立するという共同立法府の責任が免除されるわけではない。 
The EDPS notes that the concerns and recommendations expressed in his 2020 Opinion have not been fully addressed by the co-legislators when adopting the Interim Regulation. In particular, the Interim Regulation does not contain effective safeguards against general and indiscriminate monitoring of private commuincations. In this regard, the EDPS remains particularly concerned by the relatively high error rates of current detection technologies, especially those for detecting new child sexual abuse materials or child solicitation (‘grooming’). The EDPS also wishes to draw attention to the significant risk that technologies to detect CSAM may flag consensually produced and shared imagery.  EDPSは、2020年意見書で表明された懸念と勧告が、暫定規則の採択に際して共同立法者によって十分に対処されていないことに留意する。特に、暫定規則には、私的通信の一般的かつ無差別的な監視に対する効果的なセーフガードは含まれていない。この点に関して、EDPSは、現在の検知技術、特に新たな児童性的虐待の材料や児童の勧誘(「グルーミング」)を検知する技術のエラー率が比較的高いことを特に懸念している。EDPSはまた、CSAMを検知する技術が、合意に基づいて作成・共有された画像にフラグを立てる重大なリスクにも注意を喚起したい。
Given the significant outstanding concerns, the EDPS recommends not to adopt the Proposal until the necessary safeguards are integrated.  未解決の重大な懸念を考慮し、EDPSは、必要な保護措置が統合されるまで、本提案を採択しないことを勧告する。 
Contents  内容 
1. Introduction 1. はじめに
2. General remarks 2. 総論
3. Legal basis and necessity and proportionality 3. 法的根拠および必要性と比例性
4. Transparency and data subject rights 4. 透明性とデータ主体の権利
5. Duration of the temporary derogation 5. 一時的適用除外の期間
6. Further considerations 6. さらなる検討事項
7. Conclusions 7. 結論
THE EUROPEAN DATA PROTECTION SUPERVISOR,  欧州データ保護監督者 は、
Having regard to the Treaty on the Functioning of the European Union,  欧州連合の機能に関する条約を考慮し、
Having regard to Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (‘EUDPR’)[2], and in particular Article 42(1) thereof,  欧州連合の機関、団体、事務所及び機関による個人データの処理に関する自然人の保護並びに当該データの自由な移動に関する2018年10月23日の欧州議会及び理事会の規則(EU)2018/1725を考慮し、規則(EC)No 45/2001及び決定No 1247/2002/EC(以下「EUDPR」)[2]を廃止し、特にその第42条(1)を考慮し、
HAS ADOPTED THE FOLLOWING OPINION:  以下の意見を採択した: 
1. Introduction  1. はじめに 
1. On 30 November 2023, the European Commission issued the Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) 2021/1232 of the European Parliament and of the Council on a temporary derogation from certain provisions of Directive 2002/58/EC for the purpose of combating online child sexual abuse[3] (‘the Proposal’).  1. 2023年11月30日、欧州委員会は、オンライン児童性的虐待[3]に対処する目的で、指令2002/58/ECの特定の規定からの一時的な適用除外に関する欧州議会および理事会規則(EU)2021/1232を改正する欧州議会および理事会規則の提案(「提案」)を発表した。
2. The objective of the Proposal is to introduce a limited time extension to Regulation (EU) 2021/1232 (“Interim Regulation”)[4] to enable providers of certain number-independent interpersonal communications services to use specific technologies for the processing of personal and other data to detect online child sexual abuse on their services, while interinstitutional negotiations on the proposal for a long-term Regulation[5] continue[6].  2. 本提案の目的は、特定の番号非依存型対人通信サービスのプロバイダーが、そのサービス上でオンライン児童性的虐待を検知するために、個人データおよびその他のデータの処理に関する特定の技術を使用できるようにするために、規則(EU)2021/1232(「暫定規則」)[4]に期間限定の延長を導入することであり、その一方で、長期規則[5]の提案に関する機関間交渉は継続される[6]。 
3. On 10 November 2020, the EDPS provided his Opinion on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online[7] (which later became the Interim Regulation). On 28 July 2022, the EDPS has, together with the European Data Protection Board (EDPB), issued Joint Opinion 04/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse[8] ( the long-term Regulation Proposal). Both Opinions remain relevant in the context of the current Proposal.  3. 2020年11月10日、EDPSは、オンライン児童性的虐待撲滅を目的とした指令2002/58/ECからの一時的な適用除外の提案[7](後に暫定規則となる)に関する意見を提出した。2022年7月28日、EDPSは欧州データ保護委員会(EDPB)とともに、児童の性的虐待を防止し、撲滅するための規則を定めた欧州議会及び理事会規則案[8](長期規則案)に関する共同意見書04/2022を発表した。両意見は、現行の提案の文脈においても引き続き妥当である。
4. The present Opinion of the EDPS is issued in response to a consultation by the European Commission of 30 November 2023, pursuant to Article 42(1) of EUDPR. The EDPS notes that no reference to this consultation has been made in a Recital, and recommends inserting such reference in accordance with the established practice[9].  4. EDPSの本意見は、EUDPR第42条1項に基づき、2023年11月30日に欧州委員会が行った諮問に応えるために出されたものである。EDPSは、この協議に関する言及がリサイタルでなされていないことに留意し、確立された慣行[9]に従って、そのような言及を挿入することを推奨する。 
2. General remarks  2. 総論 
5. According to the explanatory memorandum[10], it is uncertain that the inter-institutional negotiations on the Proposal for a long-term Regulation will conclude for the long-term Regulation to enter into force and to apply before the Interim Regulation is set to expire. The proposed extension, until August 2026, would ensure that child sexual abuse online can be effectively and lawfully combated without interruptions until the long-term regime created by the proposed Regulation is agreed.  5. 説明文書[10]によると、暫定規則の期限が切れる前に長期規則を発効させ、適用するために、長期規則の提案に関する機関間交渉がまとまるかどうかは不透明である。提案されている2026年8月までの延長は、同規則案によって創設される長期的な体制が合意されるまでの間、オンライン上の児童性的虐待を中断することなく、効果的かつ合法的に撲滅できることを保証するものである。 
6. The EDPS does not consider the proposed extension of validity of the Interim Regulation a formality. Already in his 2020 Opinion, the EDPS considered that the mere fact that providers of electronic communication services would apply the detection technologies on a voluntary basis does not dispense the co-legislature from its responsibility of establishing a comprehensive legal framework which meets the requirements of Articles 7 and 8 of the Charter of Fundamental Rights of the European Union. The EDPS also noted that the general, indiscriminate and automated analysis of all text-based communications transmitted through number-independent interpersonal communications services with a view of identifying new potential infringements did not respect the principle of necessity and proportionality. Even if the technology used was limited to the use of “relevant key indicators”, the deployment of such general and indiscriminate analysis would be excessive.[11] The EDPS therefore considered that the proposal should not be adopted, even in the form a temporary derogation, until the recommendations included in that Opinion were addressed.[12]  6. EDPSは、暫定規則の有効期間延長案を形式的なものとは考えていない。EDPSはすでに2020年意見書で、電子通信サービスのプロバイダーが自主的に検知技術を適用するという事実だけで、欧州連合基本権憲章第7条および第8条の要件を満たす包括的な法的枠組みを確立するという共同立法府の責任を免除するものではないとした。EDPSはまた、新たな侵害の可能性を特定する目的で、番号非依存型対人通信サービスを通じて送信されるすべてのテキストベースの通信を一般的かつ無差別に自動分析することは、必要性と比例性の原則を尊重していないと指摘した。使用される技術が「関連する主要指標」の使用に限定されていたとしても、そのような一般的かつ無差別的な分析の展開は行き過ぎである[11]。 したがって、EDPSは、同意見に含まれる勧告に対処するまでは、一時的な適用除外という形であっても、同提案を採用すべきではないと考えた[12]。
7. These EDPS takes note that his concerns and recommendations have not been fully addressed by the co-legislators when adopting the Interim Regulation. In particular, the Interim Regulation does not contain safeguards against general and indiscriminate monitoring, and also the question of a valid legal basis under the GDPR remains unsolved. The EDPS underlines that these issues should be taken into account when considering the proposed extension.  7. EDPSは、暫定規則の採択に際し、共同立法者が自らの懸念と勧告に十分に対処していないことに留意している。特に、暫定規則は一般的かつ無差別的な監視に対するセーフガードを含んでおらず、またGDPRにおける有効な法的根拠の問題も未解決のままである。EDPSは、提案されている延長を検討する際には、これらの問題を考慮すべきであると強調する。 
8. In addition, the EDPS wishes to draw attention to important developments subsequent to the adoption of the Interim Regulation. For example, the impact assessment[13] accompanying the Proposal for a long-term Regulation[14], which provided industry information on current technical solutions, has shed additional light on the legal and technical issues that emerge in practice. On 23 October 2023, the EDPS organised a seminar dedicated to the ongoing legislative works on the Proposal for a long-term regulation, which yielded further insights on the unintended consequences of the deployment of CSAM detection technologies[15]. This Opinion also builds on this increased knowledge when assessing the Proposal.  8. さらに、EDPSは、暫定規則の採択後の重要な進展にも注意を喚起したい。例えば、長期規則案[14]に付随する影響評価[13]は、現在の技術的解決策に関する業界情報を提供するものであったが、この影響評価によって、実務上顕在化する法的・技術的問題にさらなる光が当てられることになった。2023年10月23日、EDPSは、現在進行中の長期規制案に関する立法作業に特化したセミナーを開催し、CSAM検知技術の展開が意図しない結果をもたらすことに関するさらなる洞察を得た[15]。本意見書もまた、本提案を評価する際に、この増加した知見に基づくものである。
3. Legal basis and necessity and proportionality  3. 法的根拠および必要性と比例性 
9. In his 2020 Opinion, the EDPS recommended clarifying which legal basis of the GDPR would be applicable[16]. The Interim Regulation does not contain such clarification, resulting in different legal application practices among providers, according to the implementation report[17]. The EDPS reiterates his previous recommendation to clarify which legal basis of the GDPR would be applicable to the voluntary processing of content or traffic data for the purpose of detecting child sexual abuse online.  9. EDPS は 2020 年意見書で、GDPR のどの法的根拠が適用されるかを明確にすることを推奨した[16]。実施報告書[17]によれば、暫定規則にはそのような明確化は含まれておらず、その結果、プロバイダー間で異なる法的適用慣行が行われている。EDPSは、オンライン上の児童性的虐待を検知する目的でコンテンツやトラフィックデータを自主的に処理する場合、GDPRのどの法的根拠が適用されるかを明確にするよう、前回の勧告を繰り返す。 
10. The EDPS remains of the opinion that the general, indiscriminate and automated analysis of all text-based communications transmitted through number-independent interpersonal communications services with a view of identifying new potential infringements did not respect the principle of necessity and proportionality. Even if the technology used was limited to the use of “relevant key indicators”, the EDPS considers the deployment of such general and indiscriminate analysis excessive.[18]  10. EDPSは、新たな侵害の可能性を特定する目的で、番号非依存型対人通信サービスを通じて送信されるすべてのテキストベースの通信を一般的、無差別的、かつ自動的に分析することは、必要性と比例性の原則を尊重するものではないとの見解を維持している。使用された技術が「関連する主要指標」の使用に限定されていたとしても、EDPSはそのような一般的かつ無差別的な分析の展開は行き過ぎであると考える[18]。 
11. The EDPS notes that the Interim Regulation, while generally referring to strict necessity and proportionality[19], in reality does not provide for specific and effective safeguards against general and indiscriminate monitoring.  11. EDPSは、暫定規則は一般的に厳格な必要性と比例性[19]に言及しているものの、実際には一般的かつ無差別的な監視に対する具体的かつ効果的なセーフガードを規定していないことに留意する。
12. In his 2020 Opinion, the EDPS considered that the Proposal should clarify whether the detection technologies would be applied to all communications exchanged by all users or to a subset of them. In the latter case, according to the Opinion, it would be necessary to clarify the criteria by which the technologies would be applied to a specific subset of communications[20].  12. 2020年意見書において、EDPSは、本提案が、全ユーザーが交換するすべての通信に適用されるのか、それとも一部の通信に適用されるのかを明確にすべきであると考えた。後者の場合、同意見によれば、当該技術を特定の通信のサブセットに適用する基準を明確にする必要がある[20]。
13. The EDPS notes that the Interim Regulation does not explicitly require providers to limit the deployment of detection technologies to a subset of communications, and also does not provide the criteria according to which the providers could do so voluntarily.  13. EDPSは、暫定規則がプロバイダに対し、検知技術の導入を通信のサブセットに限定することを明確に要求しておらず、また、プロバイダが自主的にそうすることができる基準も示していないことに留意する。 
14. The EDPS in his 2020 Opinion encouraged the co-legislature to spell out, in the text of the Proposal, which categories of data would amount to “relevant data” in relation to each of the processing purposes[21]. The EDPS notes that the Interim Regulation refers to “content data and related traffic data” in very general terms and does not specify which data categories may be processed for which purpose.  14. EDPSは2020年意見書において、共同立法体に対し、各処理目的との関係で、どのカテゴリのデータが「関連するデータ」に相当するかを提案の文中に明記するよう促した[21]。EDPSは、暫定規則が「コンテンツ・データ及び関連するトラフィック・データ」について非常に一般的な用語で言及しており、どのデータ・カテゴリーがどの目的で処理されるかを明示していないことに留意する。
15. The EDPS had further expressed concerns that the reporting of individuals and blocking of the concerned user’s account might not be strictly necessary and proportionate in all instances, for example in the case of unsolicited receipt of CSAM.[22] He also expressed concern that the procedure within the provider was not addressed. These concerns remain equally valid with regard to the Interim Regulation.  15. EDPSはさらに、例えばCSAMの未承諾受信の場合など、個人への報告や当該ユーザーのアカウントのブロッキングが、すべての場合において厳密に必要かつ適切であるとは限らないという懸念を表明していた[22]。また、プロバイダ内の手続きに対処していないことにも懸念を表明していた。これらの懸念は、暫定規則に関しても同様に有効である。 
4. Transparency and data subject rights  4. 透明性とデータ主体の権利 
16. With regard to transparency and data subject rights, the EDPS had recommended the introduction of additional measures to ensure transparency and exercise of data subject rights, subject, where strictly necessary, to narrowly defined restrictions (e.g., where necessary to protect the confidentiality of an ongoing investigation).[23] The EDPS notes that the Interim Regulation provides for the information of all users in Article 3(1)(g)(v) and of those affected by removal, suspension or blocking in point (vi).  16. 透明性とデータ主体の権利に関して、EDPSは、厳密に必要な場合には、狭義の制限(例えば、進行中の調査の秘密を保護するために必要な場合)を条件として、透明性とデータ主体の権利の行使を確保するための追加的な措置の導入を勧告していた[23]。EDPSは、暫定規則が第3条(1)(g)(v)で全ユーザーの情報を、(vi)で削除、停止、またはブロッキングの影響を受ける者の情報を規定していることに留意する。
17. The EDPS also urged the co-legislators to provide further clarity as to when the right to human review would become applicable and which entity would be in charge of carrying out this review[24]. Art. 3(1)(f) of the Interim Regulation does not provide such clarification, however, leading to seemingly different practices by providers[25]. The EDPS recalls that, depending on the circumstances under which human review is required, the use of detection technologies could result in automated decision making within the meaning of Article 22 GDPR.[26]  17. EDPSはまた、共同立法者に対し、人的審査の権利がいつから適用されるのか、どの主体がこの審査の実施を担当するのかについて、さらに明確にするよう求めた[24]。しかしながら、暫定規則の第3条1項(f)はそのような明確化を規定していないため、プロバイダーによって一見異なる実務が行われているように思われる[25]。EDPSは、人間によるレビューが必要とされる状況によっては、検知技術の使用はGDPR第22条の意味における自動意思決定につながる可能性があることを想起している[26]。
5. Duration of the temporary derogation  5. 一時的な適用除外の期間 
18. With regard to duration, the EDPS had expressed the view that a five-year period as initially proposed was too long and did not seem proportional given the absence of (a) a prior demonstration of the proportionality of the envisaged measure and (b) the inclusion of sufficient safeguards within the text of the legislation. He recommended that the validity of any transitional measure should not exceed 2 years.[27]  18. 期間に関して、EDPSは、(a)想定される措置の比例性が事前に証明されていないこと、(b)法律の条文に十分なセーフガードが含まれていないことを考慮すると、当初提案された5年間という期間は長すぎ、比例しているとは思えないとの見解を示した。同氏は、いかなる経過措置の有効期間も2年を超えてはならないと勧告した[27]。
19. In view of the shortcomings outlined above, the EDPS maintains this position.  19. 上記の欠点を考慮し、EDPSはこの立場を維持する。 
6. Further considerations  6. さらなる検討事項 
20. The EDPS recalls that level of intrusion resulting from the deployment of CSAM detection measures may vary depending on the technology used. In all three types of detectable material, known CSAM, new CSAM and grooming, the technologies currently available rely on the automated processing of content data of all affected users. The technologies used to analyse the content are often complex, typically involving the use of AI. As a result, the behaviour of this technology may not be fully comprehensible for the user of the service. Moreover, the technologies currently available, especially those for detecting new CSAM or grooming, are known to have relatively high error rates. Consequently, there is the risk of significant number of innocent people being reported to the law enforcement authorities (directly or through the National Center for Missing and Exploited Children), based on a detection of ‘potential’ CSAM or grooming[28].  20. EDPSは、CSAM検出手段の配備によって生じる侵入のレベルは、使用される技術によっ て異なる可能性があることを想起する。既知の CSAM、新しい CSAM、グルーミングという 3 種類の検出可能なものすべてにおいて、現在利用可能な技術は、影響を受けるすべてのユーザのコンテンツデータの自動処理に依存している。コンテンツを分析するために使用される技術は複雑であることが多く、一般的にAIの使用を伴う。その結果、この技術の動作は、サービスの利用者にとって完全に理解できるものではないかもしれない。さらに、現在利用可能な技術、特に新しいCSAMやグルーミングを検出する技術は、エラー率が比較的高いことが知られている。その結果、「潜在的な」CSAMまたはグルーミングの検出に基づいて、相当数の無実の人々が法執行当局に(直接またはNational Center for Missing and Exploited Childrenを通じて)報告される危険性がある[28]。
21. As the EDPB and the EDPS have already stated in their Joint Opinion on the long-term Proposal, performance indicators found in the literature, some of which are highlighted in the Impact Assessment Report that accompanied the long-term Proposal,[29] provide very little information on the conditions that were used for their computation and their adequacy with real life conditions, meaning that their real-world performance could be significantly lower than what is expected, leading to less accuracy and a higher percentage of ‘false positives’.[30]  21. EDPBとEDPSが長期提案に関する共同意見[29]ですでに述べているように、文献に見られる性能指標は、長期提案に添付された影響評価報告書[29]で強調されているものもあるが、その計算に使用された条件や実際の生活条件との適合性に関する情報をほとんど提供していないため、実際の性能が期待されるものよりも著しく低くなる可能性があり、精度が低下し、「偽陽性」の割合が高くなることを意味する[30]。
22. The EDPS stresses that while it seems from the Commission Report on the implementation of the Interim Regulation that providers include the corrective element of human review in their calculation of reliability, it is necessary that the technology used in itself is sufficiently reliable. Human review, while protecting against adverse automated decision-making and indispensable, on its own already constitutes an interference. Therefore, it should not be invoked justify the use of detection technologies that are insufficiently reliable.  22. EDPSは、暫定規則の実施に関する欧州委員会の報告書からは、プロバイダーが信頼性の計算に人的レビューという修正要素を含めているように見えるが、使用される技術自体が十分に信頼できるものであることが必要であると強調する。人間による審査は、不利な自動意思決定から保護するものであり、不可欠なものではあるが、それだけではすでに干渉を構成している。従って、信頼性が不十分な検知技術の使用を正当化するために、これを持ち出すべきではない。 
23. As indicated in the Impact Assessment Report[31] and in the European Parliamentary Research Service’s study[32] the accuracy rate of technologies for detection of text-based grooming is much lower than the accuracy rate of technologies for the detection of known CSAM. The assumption that artificial intelligence systems are available and working for the detection of unknown CSAM and for the detection of solicitation of children,[33] and could be considered as state-of-the-art, is insufficiently supported by evidence. Even seemingly high levels of accuracy (for instance, the accuracy of certain grooming detection tools is 88%),[34] must be considered in light of the envisaged practical use of the detection tools and the severity of the risks that an incorrect assessment of a given material would entail for the relevant data subjects. Therefore, the EDPB and EDPS had considered in their Joint Opinion that, with such a high risk processing, 12% failure rate presents a high risk to data subjects who have been subject to false positives, even when there are safeguards in place to prevent false reports to law enforcement.[35]  23. 影響評価報告書[31]や欧州議会調査局の調査[32]に示されているように、テキストベースのグルーミングを検知する技術の精度率は、既知のCSAMを検知する技術の精度率よりもはるかに低い。未知のCSAMの検知や児童への勧誘の検知[33]のために人工知能システムが利用可能であり、機能しており、最先端技術であると考えられるという仮定は、証拠による裏付けが不十分である。一見高精度に見えるレベル(例えば、ある種のグルーミング検知ツールの精度は88%である)[34]であっても、検知ツールの想定される実用的な使用方法と、ある資料の誤った評価が関連するデータ対象者にもたらすリスクの重大性に照らして検討されなければならない。したがって、EDPBとEDPSは共同意見において、このような高リスクの処理では、法執行機関への虚偽の報告を防止するための保護措置が講じられている場合であっても、12%の不合格率は、誤検出の対象となったデータ主体に対して高いリスクをもたらすと考えていた[35]。
24. Lastly, the EDPS would like to place particular emphasis on findings that were presented by experts at the EDPS seminar on CSAM, which highlight the general problem of automated detection: the technology cannot identify the context in which images are shared. Several participants of the EDPS seminar on the long-term CSAM Proposal warned that technologies to detect CSAM would flag consensually produced and shared imagery, as these technologies cannot properly consider the context in which the exchange takes place. As experts pointed out, platform moderators would not be able to filter (legal) consensual material because they too would not know the context of the exchange. As a result, there would be a risk for criminal prosecutions, but even if law enforcement authorities drop the charges, the investigation alone would be disturbing and constitute a violation of children’s rights.[36]  24. 最後に、EDPSは、CSAMに関するEDPSセミナーで専門家が発表した知見に特に重点を置きた い。この知見は、自動検知の一般的な問題点を浮き彫りにしている。長期的なCSAM提案に関するEDPSセミナーの参加者の何人かは、CSAMを検知する技術は、交換が行われる文脈を適切に考慮することができないため、合意に基づいて制作・共有された画像にフラグを立てることになると警告した。専門家が指摘するように、プラットフォームのモデレーターもまた、交換の文脈を知らないため、(合法的な)合意のある素材をフィルタリングすることはできないだろう。その結果、刑事訴追のリスクが生じるが、法執行当局が告訴を取り下げたとしても、捜査だけでも不穏なものとなり、子どもの権利の侵害となる[36]。 
25. In the same vein, a Member State’s Cybercrime Centre and Contact Point has underlined that there is a significant risk that innocent members of the public would be made subject to official investigations.[37] This is said to be particularly true with regard to the AI-based miscategorisation of cases where the visual material itself is detected accurately, but the situation under criminal law is misjudged.[38] To give an example, this includes cases where children below the age of criminal responsibility have posted material themselves, or communications between young people in consensual contexts.[39]  25. 同じように、ある加盟国のサイバー犯罪センター及びコンタクト・ポイントは、無実の一般市民が公的な捜査の対象となる重大なリスクがあることを強調している[37]。これは、視覚的な素材自体は正確に検出されるが、刑法上の状況が誤って判断される場合のAIに基づく誤分類に関して特に当てはまると言われている[38]。一例を挙げると、刑事責任を負う年齢に満たない児童が自ら素材を投稿した場合や、同意的な文脈における青少年間のコミュニケーションがこれに含まれる[39]。 
7. Conclusions  7. 結論 
26. In light of the above, the EDPS makes the following recommendations:  26. 以上を踏まえ、EDPSは以下の提言を行う: 
(1) not to adopt the Proposal, until the necessary safeguards and all the outstanding missing elements, as identified in these specific recommendations, are introduced in the legal framework, notably  (1)これらの具体的な勧告で指摘されているように、必要な保護措置とすべての未解決の要素が法的枠組みに導入されるまで、本提案を採択しないこと。
o to clarify which legal basis of the GDPR would be applicable to the voluntary processing of content or traffic data for the purpose of detecting child sexual abuse online,  o オンライン上での児童の性的虐待を検知する目的で、コンテンツやトラフィックデータを自主的に処理する場合、GDPRのどの法的根拠が適用されるかを明確にすること、 
o to provide for specific and effective safeguards against general and indiscriminate monitoring,  o 一般的かつ無差別的な監視に対する具体的かつ効果的なセーフガードを規定する、 
o to specify which data categories may be processed for which purpose in Article 3(1)(h) of the Interim Regulation, and  o 暫定規則の第3条1項(h)において、どのデータカテゴリーをどの目的で処理するかを規定する。
o to provide further clarity as to when the right to human review would become applicable and which entity would be in charge of carrying out this review.  o 人によるレビューの権利がいつから適用されるのか、またこのレビューを実施するのはどの団体なのかをさらに明確にすること。
(2) to take fully into account the concerns and the additional risk stemming from measures to detect CSAM in interpersonal communications, identified during the discussions on the Proposal for a long-term CSAM Regulation.  (2) 長期的なCSAM規制の提案に関する議論の中で確認された、対人コミュニケーションにおけるCSAMを検出するための措置に起因する懸念と追加的なリスクを十分に考慮すること。
Brussels, 24 January 2024  ブリュッセル、2024年1月24日 
 (e-signed)   (電子署名) 
Wojciech Rafał WIEWIÓROWSKI  Wojciech Rafał WIEWIÓROWSKI 

 

[1] COM(2023) 777 final.  [1] COM(2023) 777 final. 
[2] OJ L 295, 21.11.2018, p. 39.  [2] OJ L 295, 21.11.2018, p. 39. 
[3] COM(2023) 777 final.  [3] COM(2023) 777 final. 
[4] Regulation 2021/1232/EU of the European Parliament and of the Council of 14 July 2021 on a temporary derogation from certain provisions of Directive 2002/58/EC as regards the use of technologies by providers of number-independent interpersonal communications services for the processing of personal and other data for the purpose of combating online child sexual abuse, OJ L 274, 30.7.2021, p. 41.  [4] 2021年7月14日付欧州議会及び理事会規則2021/1232/EUは、オンライン児童性的虐待に対抗する目的で個人データ及びその他のデータを処理するための番号非依存型対人通信サービスのプロバイダーによる技術の使用に関する指令2002/58/ECの特定の規定からの一時的な適用除外について、OJ L 274, 30.7.2021, p. 41. 
[5] Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, COM/2022/209 final.  [5] 児童の性的虐待を防止し、撲滅するための規則を定めた欧州議会および理事会規則の提案, COM/2022/209 final. 
[6] COM(2023) 777 final, p. 1.  [6] COM(2023) 777 final, p. 1. 
[7] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, issued on 10 November 2020.  [7] EDPS意見書07/2020(オンライン児童性的虐待撲滅のための指令2002/58/ECからの一時的な適用除外の提案)、2020年11月10日発行。
[8] EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, issued on 28 July 2022.  [EDPB-EDPS Joint Opinion 4/2022は、児童の性的虐待を防止し、撲滅するための規則を定めた欧州議会および理事会規則の提案に関するもので、2022年7月28日に発表された。
[9] See e.g. the Joint Handbook of the EP, the Council and the Commission for the presentation and drafting of acts subject to the ordinary legislative procedure, March 2022 edition, page 37.  [9] 通常立法手続きの対象となる法律の提示と起草に関する欧州議会、理事会、欧州委員会の共同ハンドブック(2022年3月版、37ページ)などを参照のこと。
[10] COM(2023) 777 final, p. 1.  [10] COM(2023) 777 final, p. 1. 
[11] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 26.  [11] オンラインにおける児童の性的虐待と闘うための指令2002/58/ECからの一時的な適用除外の提案に関するEDPS意見書07/2020、パラ26。
[12] Ibid, para. 51.  [12] 同上、para. 51. 
[13] Commission staff working document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, SWD(2022) 209 final.  [13] 欧州委員会のスタッフ作業文書、「児童の性的虐待を防止し、撲滅するための規則を定めた欧州議会および理事会規則の提案」に付随する影響評価報告書、SWD(2022) 209 final。
[14] Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, COM/2022/209 final.  [14] 児童の性的虐待を防止し、撲滅するための規則を定めた欧州議会および理事会規則の提案、COM/2022/209 final. 
[15] The event agenda, briefing note, video recording and summary report can be accessed here: [web] [15] イベントのアジェンダ、ブリーフィング・ノート、ビデオ録画、サマリー・レポートは、[web]
[16] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 18.  [16] オンラインにおける児童の性的虐待と闘うための指令2002/58/ECからの一時的な適用除外の提案に関するEDPS意見書07/2020、para. 18. 
[17] Report from the Commission to the European Parliament and the Council on the implementation of Regulation (EU) 2021/1232 of the European Parliament and of the Council of 14 July 2021 on a temporary derogation from certain provisions of Directive 2002/58/EC as regards the use of technologies by providers of number-independent interpersonal communications services for the processing of personal and other data for the purpose of combating online child sexual abuse, COM/2023/797 final, p. 6. 18  [17] オンライン上での児童の性的虐待に対抗する目的で、番号非依存型対人通信サービスのプロバイダーが個人情報およびその他のデータを処理するための技術の使用に関する指令2002/58/ECの特定の規定からの一時的な適用除外に関する2021年7月14日の欧州議会および理事会の規則(EU)2021/1232の実施に関する欧州委員会から欧州議会および理事会への報告書、COM/2023/797 final、p.6. 18. 
[18] See in the same vein also the EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, para. 70. [18] 同様の意見として、児童の性的虐待を防止し撲滅するための規則を定めた欧州議会および理事会規則案に関するEDPB-EDPS共同意見4/2022、para. 70.
[19] See Article 3(1) of the Interim Regulation.  [19] 暫定規則第3条1項参照。
[20] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 30  [20] オンラインにおける児童の性的虐待と闘うための指令2002/58/ECからの一時的な適用除外の提案に関するEDPS意見書07/2020、para. 30 
[21] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 33.  [オンライン児童性的虐待撲滅のための指令 2002/58/EC からの一時的適用除外の提案に関する EDPS 意見書 07/2020, para. 33. 
[22] Ibid, para. 34.  [22] 同上、para. 34. 
[23] Ibid, para. 39.  [23] 同上、パラ。39. 
[24] Ibid, para. 27.  [24] 同書、パラ27。 
[25] COM/2023/797 final, p. 12.  [25] COM/2023/797 final, p. 12. 
[26] See also EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 27.  [26] オンラインにおける児童の性的虐待と闘うための指令2002/58/ECからの一時的な適用除外の提案に関するEDPS意見書07/2020、パラ27も参照のこと。
[27] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 50.  [オンライン児童性的虐待撲滅のための指令 2002/58/EC からの一時的適用除外の提案に関する EDPS 意見書 07/2020, para. 50. 
[28] EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, para 52.  [28] EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, para. 
[29] SWD(2022) 209 final.  [29] SWD(2022) 209 final. 
[30] EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, para. 63.  [30] EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, para. 63. 
[31] SWD(2022) 209 final, Annex 8, p. 281-283.  [31] SWD(2022) 209 final, Annex 8, p. 281-283. 
[32] European Parliamentary Research Service, Complementary impact assessment of April 2023, p. 15-18.  [32] European Parliamentary Research Service, Complementary impact assessment of April 2023, p. 15-18. 
[33] See Impact Assessment Report, SWD(2022) 209 final, pp. 281-282. [33] 影響評価報告書、SWD(2022) 209 final、281-282頁参照。
[34] Ibid, p. 283.  [34] 同上、283頁。
[35] EDPB-EDPS Joint Opinion 04/2022 of 28 July 2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, downloadable at: [pdf] , paragraph 86.  35] EDPB-EDPS Joint Opinion 04/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, downloadable at: [pdf] , paragraph 86. [
[36] EDPS, Summary Report on the EDPS Seminar on the CSAM proposal: “The Point of No Return?”, p. 4, downloadable at [web] . In the same vein, see also Statement by the Child Protection Association (Der Kinderschutzbund Bundesverband e.V.) on the Public Hearing of the Digital Affairs Committee on "Chat Control" on Wednesday, March 1, 2023, p. 2: ‘We also fear that when scanning is carried out without any reason, children and young people will be criminalized much more frequently - a trend that is already visible in German crime statistics. This is due to the fact that children and young people themselves often send images that can be classified as pornographic, making them liable to prosecution’.  [36] EDPS, Summary Report on the EDPS Seminar on the CSAM proposal: 「The Point of No Return?", p. 4, downloadable at [web]. 同じ意味で、2023年3月1日(水)のデジタル問題委員会の「チャット・コントロール」に関する公聴会における児童保護協会(Der Kinderschutzbund Bundesverband e.V.)の声明(p.2)も参照されたい。これは、子どもや若者自身がしばしばポルノに分類される画像を送信し、訴追の対象となるためである」。
[37] The Cologne Prosecutor-General’s Office, The Cybercrime Centre and Contact Point of North Rhine-Westphalia – ZAC NRW, Statement for the public hearing held by the German Bundestag’s Committee on Digital Affairs on the subject of “chat control” on 1 March 2023, p. 9.  [37] ケルン検事総長室、ノルトライン=ヴェストファーレン州サイバー犯罪センターおよびコンタクトポイント(ZAC NRW)、2023年3月1日にドイツ連邦議会のデジタル問題委員会が「チャット規制」をテーマに開催した公聴会のための声明、p.9。
[38] Ibid.  [38] 同上。
[39] Ibid.  [39] 同上。

 

 


 

通信の秘密とフィルタリングについては、「インターネット上の海賊版対策に関する検討会議」での議論で熱く検討した歴史も忘れずに...

資料としては、

知的財産戦略本部検証・評価・企画委員会 コンテンツ分野会合(第3回)の森先生の資料がわかりやすいかもです...

・2018.02.16 資料3:[PDF] 森弁護士 説明資料

20240220-140013

 

 

 

 

| | Comments (0)

米国 NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイドを公表 (2024.02.14)

こんにちは、丸山満彦です。

NISTが、NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイドを公表していますね...

NIST - ITL

プレス...

・2024.02.14 Just Published | Final SP 800-66r2, Implementing the HIPAA Security Rule: A Cybersecurity Resource Guide

Just Published | Final SP 800-66r2, Implementing the HIPAA Security Rule: A Cybersecurity Resource Guide 発行されたばかり|最終版 SP 800-66r2『HIPAA セキュリティ規則の実施』: サイバーセキュリティ・リソース・ガイド
Today, NIST published the final version of Special Publication (SP) 800-66r2 (Revision 2), Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide. This publication, revised in collaboration with the U.S. Department of Health and Human Services (HHS) Office for Civil Rights, provides guidance for regulated entities (i.e., HIPAA-covered entities and business associates) on assessing and managing risks to electronic Protected Health Information (ePHI), identifies typical activities that a regulated entity might consider implementing as part of an information security program, and presents guidance that regulated entities can utilize in whole or in part to help improve their cybersecurity posture and assist with achieving compliance with the HIPAA Security Rule. 本日、NISTは特別刊行物(SP)800-66r2(改訂2)「医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティ・リソース・ガイド」の最終版を公表した。本書は、米国保健社会福祉省(HHS)の市民権局と共同で改訂されたものであり、規制対象事業体(すなわち、HIPAA の適用対象事業体および業務提携事業体)に対して、電子的な保護対象医療情報(ePHI)に対するリスクのアセスメントおよび管理に関するガイダンスを提供し、規制対象事業体が情報セキュリティ・プログラムの一環として実施を検討する可能性のある典型的な活動を特定し、規制対象事業体がサイバーセキュリティ態勢を改善し、HIPAA セキュリティ・ルールへの準拠を達成するために、その全部または一部を活用できるガイダンスを提示するものである。
To assist regulated entities, key document content has been posted online. A list of resources (e.g., guidance, templates, tools) that regulated entities can consult for assistance about particular topics has been hosted on the SP 800-66r2 web page (see under “Supplemental Material” in the gray Documentation box). Additionally, the key activities, descriptions, and sample questions from the tables in Section 5 of the publication have been posted in NIST’s Cybersecurity and Privacy Reference Tool (CPRT). The content in CPRT also includes mappings of the HIPAA Security Rule’s standards and implementation specifications to NIST Cybersecurity Framework Subcategories and SP 800-53r5 security controls as well as listings of NIST publications relevant to each HIPAA Security Rule standard. Readers may draw upon these NIST publications and mappings for assistance in implementing HIPAA Security Rule standards and implementation specifications. 規制対象事業体を支援するため、主要な文書の内容はオンラインに掲載されている。特定のトピックに関する支援のために、規制対象事業体が参照できるリソース(ガイダンス、テンプレート、ツールなど)のリストは、SP 800-66r2 のウェブページにホストされている(灰色の文書ボックスの「補足資料」を参照)。さらに、本書のセクション 5 の表にある主要な活動、説明、及び質問例は、NIST のサイバーセキュリティ及びプライバシ リファレンスツール(CPRT)に掲載されている。CPRTのコンテンツには、HIPAAセキュリティ規則の標準および実装仕様とNISTサイバーセキュリティフレームワークサブカテゴリーおよびSP800-53r5セキュリティコントロールとのマッピングや、HIPAAセキュリティ規則の各標準に関連するNIST出版物のリストも含まれている。読者は、HIPAAセキュリティ規則の標準および実装仕様を実装する際の支援として、これらのNIST出版物およびマッピングを利用することができる。

 

本文...

・2024.02.14 NIST SP 800-66 Rev. 2  Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide

NIST SP 800-66 Rev. 2  Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイド
Abstract 概要
The HIPAA Security Rule focuses on safeguarding electronic protected health information (ePHI) held or maintained by regulated entities. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. This publication provides practical guidance and resources that can be used by regulated entities of all sizes to safeguard ePHI and better understand the security concepts discussed in the HIPAA Security Rule. HIPAA セキュリティ規則は、規制対象事業体が保持または維持する電子的な保護対象医療情報(ePHI)の保護に重点を置いている。規制対象事業体が作成、受領、維持、または送信する ePHI は、合理的に予測される脅威、危険、および許容されない使用や開示から保護されなければならない。本書は、あらゆる規模の規制対象事業体がePHIを保護し、HIPAAセキュリティ規則で議論されているセキュリティの概念をよりよく理解するために利用できる実践的なガイダンスとリソースを提供する。

 

・[PDF] SP.800-66r2

20240220-61304

 

 

目次...

Executive Summary 要旨
1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的と範囲
1.2. Applicability 1.2. 適用範囲
1.3. Document Organization 1.3. 文書の構成
1.4. How to Use This Document 1.4. この文書の使用方法
2. HIPAA Security Rule 2. HIPAAセキュリティ規則
2.1. Security Rule Goals and Objectives 2.1. セキュリティ規則の目標と目的
2.2. Security Rule Organization 2.2. セキュリティ規則の組織
3. Risk Assessment Guidance 3. リスクアセスメントのガイダンス
3.1. HIPAA Risk Assessment Requirements 3.1. HIPAAリスクアセスメントの要件
3.2. How to Conduct the Risk Assessment 3.2. リスクアセスメントの実施方法
3.3. Risk Assessment Results Affect Risk Management 3.3. リスクアセスメントの結果はリスクマネジメントに影響する
3.4. Risk Assessment Resources 3.4. リスクアセスメントのリソース
4. Risk Management Guidance 4. リスクマネジメントガイダンス
4.1. HIPAA Risk Management Requirements 4.1. HIPAAリスクマネジメント要件
4.2. Determining Risks to ePHI in Accordance With Organizational Risk Tolerance 4.2. 組織のリスク許容度に従ったePHIに対するリスクの決定
4.3. Selecting Additional Security Controls to Reduce Risk to ePH 4.3. ePHに対するリスクを低減するための追加的セキュリティコントロールの選択
4.4. Documenting Risk Management Activities 4.4. リスクマネジメント活動の文書化
5. Considerations When Implementing the HIPAA Security Rule 5. HIPAAセキュリティ規則を実施する際の考慮事項
5.1. Administrative Safeguards 5.1. 管理上の保護措置
5.1.1. Security Management Process (§ 164.308(a) 1) 5.1.1. セキュリティ管理プロセス(§164.308(a) 1)
5.1.2. Assigned Security Responsibility (§ 164.308(a)(2)) 5.1.2. 割り当てられたセキュリティ責任(§164.308(a)(2)
5,1.3. Workforce Security (§ 164.308) 5,1.3. 従業員のセキュリティ(§164.308)
5.1.4. Information Access Management (§ 164.308(a)(4) 5.1.4. 情報アクセス管理(§164.308(a)(4)
5.1.5. Security Awareness and Training (§ 164.308(a)(5)) 5.1.5. セキュリティ意識向上およびトレーニング(§164.308(a)(5)
5.1.6. Security Incident Procedures (§ 164.308(a)(6)) 5.1.6. セキュリティインシデント手順(§164.308(a)(6)
5.1.7. Contingency Plan (§ 164.300 (a) ( 5.1.7. コンティンジェンシープラン(§164.300 (a) (
5.1.8. Evaluation (§ 164.308(a)(8)) 5.1.8. 評価(§164.308(a)(8)
5.1.9. Business Associate Contracts and Other Arrangements (§ 164.308(b)(1) 5.1.9. 業務提携契約およびその他の取り決め(§164.308(b)(1)
5.2. Physical Safeguards 5.2. 物理的保護措置
5.2.1. Facility Access Controls (§ 164.310(a) 5.2.1. 施設アクセス管理(§164.310(a)
5.2.2. Workstation Use (§ 164.310(b) 5.2.2. ワークステーションの使用(§164.310(b)
5.2.3. Workstation Security (§ 164.310(c)) 5.2.3. ワークステーションのセキュリティ(§164.310(c)
5.2.4. Device and Media Controls (§ 164.310(d) 5.2.4. デバイスおよびメディアの管理(§164.310(d)
5.3. Technical Safeguards 5.3. 技術的保護
5.3.1. Access Control (§ 164.312(a)) 5.3.1. アクセス管理(§164.312(a)
5.3.2. Audit Controls (§ 164.312(b) 5.3.2. 監査統制(§164.312(b)
5.3.3. Integrity (§ 164.312(c) 5.3.3. 完全性(§164.312(c)
5.3.4. Person or Entity Authentication (§ 164.312(d) 5.3.4. 本人または事業体の認証(§164.312(d)
5.3.5. Transmission Security (§ 164.312(e)(1)) 5.3.5. 伝送セキュリティ(§164.312(e)(1)
5.4. Organizational Requirements 5.4. 組織要件
5.4.1. Business Associate Contracts or Other Arrangements (§ 164.314(a) 5.4.1. 業務提携契約またはその他の取り決め(§164.314(a)
5.4.2. Requirements for Group Health Plans (§ 164.314(b) 5.4.2. グループ医療計画に対する要件(§164.314(b)
5.5. Policies and Procedures and Documentation Requirements 5.5. 方針および手順、ならびに文書化の要件
5.5.1. Policies and Procedures (§ 164.316(a) 5.5.1. 方針および手順(§164.316(a)
5.5.2. Documentation (§ 164.316(b)) 5.5.2. 文書化(§164.316(b)
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、および頭字語のリスト
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Risk Assessment Table 附属書 C. リスクアセスメント表
Appendix D. Security Rule Standards and Implementation Specifications Crosswalk 附属書 D. セキュリティルール標準と実施仕様のクロスウォーク
Appendix E. National Online Informative References (OLIR) Program 附属書 E.全国オンライン情報参照(OLIR)プログラム
Appendix F. HIPAA Security Rule Resources (Informative) 附属書 F. HIPAAセキュリティ規則のリソース(参考情報)
Appendix G. Change Log 附属書 G. 変更ログ

 

エグゼクティブ・サマリー

Executive Summary  要旨 
This publication aims to help educate readers about the security standards included in the Health Insurance Portability and Accountability Act (HIPAA) Security Rule [Sec. Rule], as amended by the Modifications to the HIPAA Privacy, Security, Enforcement, and Breach Notification Rules Under the Health Information Technology for Economic and Clinical Health Act [HITECH] and the Genetic Information Nondiscrimination Act and Other Modifications to the HIPAA Rules [OMNIBUS],[1] as well as assist regulated entities[2] in their implementation of the Security Rule. It includes a brief overview of the HIPAA Security Rule, provides guidance for regulated entities on assessing and managing risks to electronic protected health information (ePHI), identifies typical activities that a regulated entity might consider implementing as part of an information security program, and lists additional resources that regulated entities may find useful when implementing the Security Rule.  本書は、 医療保険の相互運用性と説明責任に関する法律 (HIPAA)セキュリティ規則[Sec. Rule]に含まれるセキュリティ標準について、経済的および臨床的健康のための医療情報技術法 [HITECH]および遺伝情報無差別法およびHIPAA規則のその他の変更点 [OMNIBUS][1]に基づくHIPAAのプライバシー、セキュリティ、施行、および侵害通知規則の修正により改正された読者の理解を助けるとともに、規制対象事業体[2]によるセキュリティ規則の実施を支援することを目的としている。本書には、HIPAAセキュリティ規則の簡単な概要、電子的な保護されるべき医療情報(ePHI)に対するリスクのアセスメントと管理に関する規制対象事業体へのガイダンスの提供、情報セキュリティ・プログラムの一環として規制対象事業体が実施を検討し得る典型的な活動の特定、および規制対象事業体がセキュリティ規則を実施する際に有用と思われるその他のリソースのリストが含まれている。
The Security Rule is flexible, scalable, and technology-neutral. For that reason, there is no one single compliance approach that will work for all regulated entities. This publication presents guidance that entities can utilize in whole or in part to help improve their cybersecurity posture and assist with achieving compliance with the Security Rule.  セキュリティ規則は、柔軟性があり、拡張可能であり、技術中立的である。そのため、すべての規制対象事業体に有効な単一のコンプライアンス・アプローチは存在しない。本書は、事業体がサイバーセキュリティ態勢を改善し、セキュリティ規則への準拠を達成するために、全体的または部分的に活用できるガイダンスを示すものである。
The HIPAA Security Rule specifically focuses on safeguarding the confidentiality, integrity, and availability of ePHI. All HIPAA-regulated entities must comply with the requirements of the Security Rule. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. In general, the requirements, standards, and implementation specifications of the Security Rule apply to the following regulated entities:   HIPAA セキュリティ規則は、特に ePHI の機密性、完全性、および可用性の保護に焦点を当てている。すべてのHIPAA規制事業体は、セキュリティ規則の要件を遵守しなければならない。規制対象事業体が作成、受領、維持、または送信するePHIは、合理的に予測される脅威、危険、および許容されない使用および/または開示から保護されなければならない。一般に、セキュリティ規則の要件、標準、および実施仕様は、以下の規制対象事業体に適用される:  
•       Covered Healthcare Providers — Any provider of medical or other health services or supplies who transmits any health information in electronic form in connection with a transaction for which the U.S. Department of Health and Human Services (HHS) has adopted a standard.  ・対象医療プロバイダ - 米国保健社会福祉省(HHS)が標準を採用した取引に関連して、医療情報またはその他の医療サービスもしくは医療用品を電子形式で送信するプロバイダ。
•       Health Plans — Any individual or group plan that provides or pays the cost of medical care (e.g., a health insurance issuer and the Medicare and Medicaid programs).  ・医療プラン-医療を提供し、または医療費を支払う個人または団体プラン(健康保険発行者、メディケアおよびメディケイド・プログラムなど)。
•       Healthcare Clearinghouses — A public or private entity that processes another entity’s healthcare transactions from a standard format to a non-standard format or vice versa.  ・ヘルスケア・クリアリングハウス(Healthcare Clearinghouses) - 他の事業体のヘルスケア・トランザクションを標準フォーマットから非標準フォーマットに,またはその逆に処理する公的または民間の事業体。
•       Business Associate — A person or entity[3] that performs certain functions or activities that involve the use or disclosure of protected health information on behalf of or provides services to a covered entity. A business associate is liable for their own HIPAA violations.   ・業務提携者(Business Associate)- 保護されるべき医療情報の使用または開示を伴う特定の機能または活動を、対象事業体に代わって行う、または対象事業体にサービスを提供する個人または事業体[3]。ビジネス・アソシエイトは、自らのHIPAA違反に対して責任を負う。 
The Security Rule is separated into six main sections that each include several standards that a regulated entity must meet. Many of the standards contain implementation specifications. An implementation specification is a more detailed description of the method or approach that regulated entities can use to meet a particular standard. Implementation specifications are either required or addressable. Regulated entities must comply with required implementation specifications. Regulated entities must perform an assessment to determine whether each addressable implementation specification is a reasonable and appropriate safeguard to implement in the regulated entity’s environment.  セキュリティ規則は6つの主要なセクションに分かれており、それぞれに規制対象事業体が満たさなければならないいくつかの標準が含まれている。標準の多くには実装仕様が含まれている。実装仕様とは、規制対象事業体が特定の標準を満たすために使用できる方法またはアプローチのより詳細な記述である。実施仕様には、必須または対応可能のいずれかがある。規制対象事業体は、要求される実施仕様に準拠しなければならない。規制対象事業体は、対応可能な各実装仕様が、規制対象事業体の環境において実施する合理的で適切なセーフガードであるかどうかを判断するための評価を実施しなければならない。
The assessment, analysis, and management of risk to ePHI provide the foundation for a regulated entity’s Security Rule compliance efforts and the protection of ePHI. Readers are reminded of the Security Rule’s flexibility of approach. The HHS Office for Civil Rights (OCR) does not prescribe any particular risk assessment or risk management methodology. Section 3 and Sec. 4 provide background information about risk assessment and risk management processes, respectively, as well as approaches that regulated entities may choose to use in assessing and managing risk to ePHI.  ePHIに対するリスクのアセスメント、分析、およびマネジメントは、規制対象事業体のセキュリテ ィルール遵守の取り組みとePHI保護の基礎となる。読者は、セキュリティ規則の柔軟なアプローチに留意されたい。HHS市民権局(OCR)は、特定のリスクアセスメントやリスクマネジメント手法を規定しない。セクション3およびセクション4は、それぞれリスクアセスメントおよびリスクマネジメントプロセス、ならびにePHIのリスクアセスメントおよびリスクマネジメントにおいて規制対象事業体が選択できるアプローチに関する背景情報を提供する。
Many regulated entities may benefit from more specific guidance concerning how to comply with the standards and implementation specifications of the Security Rule. To that end, Sec. 5 highlights considerations for a regulated entity when implementing the Security Rule. Key activities, descriptions, and sample questions are provided for each standard. The key activities suggest actions that are often associated with the security functions suggested by that standard. Many of these key activities are often included in a robust security program and may be useful to regulated entities. The descriptions provide expanded explanations about each of the key activities and the types of activities that a regulated entity may pursue when implementing the standard. The sample questions are a non-exhaustive list of questions that a regulated entity may ask itself to determine whether the standard has been adequately implemented.  多くの規制対象事業体は、セキュリティ規則の標準および実施仕様に準拠する方法に関して、より具体的なガイダンスを得ることができる。そのため、Sec.5では、規制対象事業体がセキュリティ規則を実施する際に考慮すべき事項を示す。各標準について、主要な活動、説明、および質問例がプロバイダとして提供されている。主要な活動は、その標準が示唆するセキュリティ機能に関連することが多い行動を示唆している。これらの主要な活動の多くは、強固なセキュリティプログラムに含まれることが多く、規制対象事業体にとって有用であろう。説明では、各重点活動と、標準を実施する際に規制対象事業体が追求する可能性のある活動の種類につい て、詳しく説明している。質問例は、標準が適切に実施されているかどうかを判断するために、規制対象事業体が自らに問うことができる質問の非網羅的なリストである。
Regulated entities may implement the Security Rule more effectively if they are shown controls catalogs and cybersecurity activities that align with each standard. To assist regulated entities, this publication includes mappings of the Security Rule’s standards and implementation specifications to Cybersecurity Framework [NIST CSF] Subcategories and applicable security controls detailed in NIST Special Publication (SP) 800-53r5 (Revision 5), Security and Privacy Controls for Information Systems and Organizations [SP 800-53]. The mapping also lists additional NIST publications relevant to each Security Rule standard. Readers may draw upon these NIST publications and mappings for assistance in implementing the Security Rule.  規制対象事業体は、各基準に沿った管理目録とサイバーセキュリティ活動を示されれば、セキュリティ規則をより効果的に実施することができる。規制対象事業体を支援するために、本書では、セキュリティルールの標準と実装仕様のマッピングを、サイバーセキュリティフレームワーク[NIST CSF]のサブカテゴリーと、NIST 特別刊行物(SP)800-53r5(改訂 5)「情報システムおよび組織のセキュリティおよびプライバシー統制」[SP 800-53]に詳述されている該当するセキュリティ統制に掲載している。このマッピングには、各セキュリティルールの標準に関連するNISTの追加刊行物も記載されている。読者は、セキュリティ規則を実施する際の支援として、これらのNIST出版物やマッピングを利用することができる。
Additionally, Appendix F links to a wide variety of resources (e.g., guidance, templates, tools) that regulated entities may find useful for complying with the Security Rule and improving the security posture of their organizations. For ease of use, the resources are organized by topic. Regulated entities could consult these resources when they need additional information or guidance about a particular topic.   さらに、附属書Fは、規制対象事業体がセキュリティルールに準拠し、組織のセキュリティ態勢を改善するために有用と思われる多種多様なリソース(ガイダンス、テンプレート、ツールなど)へのリンクを掲載している。使いやすいように、リソースはトピックごとに整理されている。規制対象事業体は、特定のトピックに関する追加情報やガイダンスが必要な場合に、これらのリソースを参照することができる。 
The Security Rule is scalable and flexible by design. While the required standards and implementation specifications are the same for all regulated entities, reasonable and appropriate implementations of such standards and implementation specifications may be different for different organizations. For example, all regulated entities are required to implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI. An implementation of generating and examining these required audit logs that is reasonable and appropriate to reduce applicable risks to ePHI will often be vastly different for a small medical practice than for a national health plan.  セキュリティ規則は、設計上、拡張性と柔軟性を備えている。要求される標準と実装仕様はすべての規制対象事業体にとって同じであるが、そのような標準と実装仕様の合理的かつ適切な実装は、組織によって異なる可能性がある。例えば、すべての規制対象事業体は、ePHIを含む、またはePHIを使用する情報システムにおける活動を記録し、調査するハードウェア、ソフトウェア、および/または手続き上の仕組みを実装することが求められる。ePHIに適用されるリスクを低減するために合理的かつ適切な、これらの要求される監査ログの生成および検査の実施は、小規模な診療所と全国規模のヘルスプランとでは、しばしば大きく異なるであろう。
[1] For the remainder of this document, references to and discussions about the Security Rule will be to the Security Rule as amended by the Omnibus Rule unless otherwise specified.  [1] 本書の残りの部分では、特に断りのない限り、セキュリティ規則への言及およびセキュリティ規則に関する議論は、オムニバス規則により改正されたセキュリティ規則を指すものとする。
[2] A “regulated entity” refers to both covered entities and business associates as defined in the Security Rule. Business associates also include business associates’ subcontractors who have access to protected health information (PHI).  [2] 「規制対象事業体」とは、セキュリティ規則で定義される対象事業体と業務関連体の両方を指す。ビジネスアソシエイトには、保護された医療情報(PHI)にアクセスできるビジネスアソシエイトの下請業者も含まれる。
[3] A member of the covered entity’s workforce is not a business associate. A covered healthcare provider, health plan, or healthcare clearinghouse can be a business associate of another covered entity.  [3] 対象事業体の従業員は、ビジネスアソシエイトではない。対象となる医療プロバイダ、ヘルスプラン、またはヘルスケア・クリアリングハウスは、他の 対象事業体のビジネス・アソシエイトとなることができる。

 

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.26 NIST SP 800-66 Rev. 2 (ドラフト) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則の実装:サイバーセキュリティリソースガイド

 

| | Comments (0)

経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)

こんにちは、丸山満彦です。

2024.01.19に内閣官房の経済安全保障推進会議経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議で [PDF] 最終とりまとめが公表されたことを受けて、経団連が提言を公表していますね。。。

経団連からの提言は⚪︎と⚪︎以外があって、⚪︎以外について提言がされています。経団連からは原一郎常務理事が出席されていましたね...

 

この制度に限りませんが、国が制度を導入する際の経済性分析は欠かせないと思います。もちろん、安全保障の分野なので、それが阻害された場合の損害の大きさは大きく計算が困難だし、その発生可能性を見積もるのも簡単ではないのですが、制度運用のコストを分析し、制度実施をする前にそれも公表することが重要かと思います。

この辺りの透明性についての議論が日本全体ですくないように思いますね... 自民党の裏金問題でもそうですが、説明責任を十分に果たさず、透明性が欠如したままでは民主主義は成り立たないし、特に安全保障問題のような、国民の自由等を制限しかねない問題に対処する場合に、国民の信頼が得にくくなるでしょうね... これが日本人の限界かもですが... 日本人の限界は日本の限界...

 

さて...

 

2. 経団連の基本的な考え方...

20240220-51310

 

3. 新たな制度の具体的な方向性についての提言部分

20240220-51910

20240220-51935

20240220-52033

20240220-52120

 

4. CI以外の重要な情報の取り扱いについての提言部分

20240220-52132_20240220052601

 

5. 特定秘密制度等とのシームレスな運用についての提言...

20240220-52355

 

 

 

日本経済団体連合会

・2024.02.15 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言-有識者会議最終とりまとめを踏まえて-

・[PDF] 概要

20240220-51512

 

本文

目次的...


1.背景・経緯

2.基本的な考え方

3.新たな制度の具体的な方向性


  1. (1)情報指定の範囲
  2. (2)情報の管理・提供ルール

    1. ① 個人に対するクリアランス(個人の信頼性に関する調査と評価)
    2. ② 事業者に対するクリアランス(民間事業者等に対する情報保全)
  3. (3)プライバシーや労働法制等との関係
  4. (4)漏えい等の罰則
  5. (5)情報保全を適切に実施していくための取組み

4.CI以外の重要な情報の取扱い

5.特定秘密制度等とのシームレスな運用


 

・[PDF] 本文

20240220-53056

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)

 

 

| | Comments (0)

2024.02.19

中国 TC260 国家標準 「クラウドコンピューティングサービスの情報セキュリティ技術セキュリティ能力評価方法」公開草案 (2024.02.04)

こんにちは、丸山満彦です。

中国の家情報セキュリティ標準化技術委員会 (TC260) が「クラウドコンピューティングサービスの情報セキュリティ技術セキュリティ能力評価方法」公開草案を公表し、意見募集をしていますね。。。

これは、中国独自の標準ですかね。。。

引用標準としては、

GB/T 25069 信息安全技术 术语 GB/T 25069 情報セキュリティ技術用語集
GB/T 31167—2023 信息安全技术 云计算服务安全指南 GB/T 31167-2023 情報セキュリティ技術 クラウドコンピューティングサービスセキュリティガイドライン
GB/T 31168—2023 信息安全技术 云计算服务安全能力要求 GB/T 31168-2023 情報セキュリティ技術 クラウドコンピューティングサービスセキュリティ能力要件
GB/T 37972—2019 信息安全技术 云计算服务运行监管框架 GB/T 37972-2019 情報セキュリティ技術クラウドコンピューティングサービス運営規制枠組み

の4つがあります...

 

● 全国信息安全标准化技术委员会

・2024.02.04 关于国家标准《信息安全技术 云计算服务安全能力评估方法》征求意见稿征求意见的通知

ドラフトはこちら...

・[PDF] 信息安全技术 云计算服务安全能力评估方法-标准文本 (downloaded)

20240219-135956

 

目次...

前言 前書き
引言 序文
1 范围 1 範囲
2 规范性引用文件 2 引用規格
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 概述 5 概要
5.1 评估原则 5.1 アセスメントの原則
5.2 评估内容 5.2 アセスメントの内容
5.3 评估证据 5.3 アセスメントの証拠
5.4 评估实施过程 5.4 アセスメント実施プロセス
5.5 综合评估 5.5 総合アセスメント
6 系统开发与供应链安全评估方法 6 システム開発及びサプライチェーンのセキュリティアセスメントの方法論
6.1 资源分配 6.1 資源配分
6.2 系统生命周期 6.2 システムライフサイクル
6.3 采购过程 6.3 調達プロセス
6.4 系统文档 6.4 システムの文書化
6.5 关键性分析 6.5 重要度分析
6.6 外部服务 6.6 外部サービス
6.7 开发商安全体系架构 6.7 開発者セキュリティアーキテクチャ
6.8 开发过程、标准和工具 6.8 開発プロセス、標準及びツール
6.9 开发过程配置管理 6.9 開発プロセスの構成管理
6.10 开发商安全测试和评估 6.10 開発者セキュリティテストと評価
6.11 开发商提供的培训 6.11 開発者が提供するトレーニング
6.12 组件真实性 6.12 コンポーネントの真正性
6.13 不被支持的系统组件 6.13 サポートされないシステムコンポーネント
6.14 供应链保护 6.14 サプライチェーンの保護
7 系统与通信保护评估方法 7 システムと通信の保護評価手法
7.1 边界保护 7.1 境界防御
7.2 传输保密性和完整性 7.2 送信の機密性と完全性
7.3 网络中断 7.3 ネットワーク停止
7.4 可信路径 7.4 信頼された経路
7.5 密码使用和管理 7.5 パスワードの使用と管理
7.6 设备接入保护 7.6 機器のアクセス保護
7.7 移动代码 7.7 モバイルコード
7.8 会话认证 7.8 セッション認証
7.9 恶意代码防护 7.9 悪意のあるコードの保護
7.10 内存防护 7.10 メモリ保護
7.11 系统虚拟化安全性 7.11 システム仮想化のセキュリティ
7.12 网络虚拟化安全性 7.12 ネットワーク仮想化のセキュリティ
7.13 存储虚拟化安全性 7.13 ストレージ仮想化のセキュリティ
7.14 安全管理功能的通信保护 7.14 セキュリティ管理機能の通信保護
8 访问控制评估方法 8 アクセス制御の評価方法
8.1 用户标识与鉴别 8.1 ユーザ識別と認証
8.2 标识符管理 8.2 識別子の管理
8.3 鉴别凭证管理 8.3 識別認証情報管理
8.4 鉴别凭证反馈 8.4 認証クレデンシャルのフィードバック
8.5 密码模块鉴别 8.5 パスワードモジュール認証
8.6 账号管理 8.6 アカウント管理
8.7 访问控制的实施 8.7 アクセス制御の実装
8.8 信息流控制 8.8 情報フロー制御
8.9 最小特权 8.9 最小特権
8.10 未成功的登录尝试 8.10 ログイン試行失敗
8.11 系统使用通知 8.11 システム利用通知
8.12 前次访问通知 8.12 前回のアクセス通知
8.13 并发会话控制 8.13 同時セッション制御
8.14 会话锁定 8.14 セッションのロックアウト
8.15 未进行标识和鉴别情况下可采取的行动 8.15 識別及び認証に失敗した場合に取り得る措置
8.16 安全属性 8.16 セキュリティ属性
8.17 远程访问 8.17 リモートアクセス
8.18 无线访问 8.18 無線アクセス
8.19 外部信息系统的使用 8.19 外部情報システムの利用
8.20 可供公众访问的内容 8.20 一般にアクセス可能なコンテンツ
8.21 Web访问安全 8.21 ウェブアクセスのセキュリティ
8.22 API访问安全 8.22 APIアクセスのセキュリティ
9 数据保护评估方法 9 データ保護の評価方法
9.1 通用数据安全 9.1 一般的なデータセキュリティ
9.2 介质访问和使用 9.2 メディアへのアクセスと利用
9.3 剩余信息保护 9.3 残留情報の保護
9.4 数据使用保护 9.4 データ利用保護
9.5 数据共享保护 9.5 データ共有の保護
9.6 数据迁移保护 9.6 データ移行の保護
10 配置管理评估方法 10 構成管理の評価方法
10.1 配置管理 10.1 構成管理
10.2 基线配置 10.2 ベースライン構成
10.3 变更控制 10.3 変更管理
10.4 配置参数的设置 10.4 構成パラメータの設定
10.5 最小功能原则 10.5 最小機能の原則
10.6 信息系统组件清单 10.6 情報システム構成要素一覧
11 维护管理评估方法 11 保守管理の評価方法
11.1 受控维护 11.1 管理保守
11.2 维护工具 11.2 保守ツール
11.3 远程维护 11.3 遠隔保守
11.4 维护人员 11.4 メンテナンススタッフ
11.5 及时维护 11.5 適時メンテナンス
11.6 缺陷修复 11.6 欠陥の修復
11.7 安全功能验证 11.7 安全機能の検証
11.8 软件和固件完整性 11.8 ソフトウェアとファームウェアの完全性
12应急响应评估方法 12 緊急時対応の評価手法
12.1事件处理计划 12.1 事故対応計画
12.2事件处理 12.2 事故処理
12.3事件报告 12.3 インシデント報告
12.4事件处理支持 12.4 インシデント対応サポート
12.5安全报警 12.5 セキュリティ警告
12.6错误处理 12.6 エラー処理
12.7应急响应计划 12.7 緊急対応計画
12.8应急培训 12.8 緊急対応訓練
12.9应急演练 12.9 緊急時対応訓練
12.10信息系统备份 12.10 情報システムのバックアップ
12.11支撑客户的业务连续性计划 12.11 顧客支援のための事業継続計画
12.12电信服务 12.12 電気通信サービス
13 审计评估方法 13 監査の評価方法
13.1 可审计事件 13.1 監査対象事象
13.2 审计记录内容 13.2 監査記録の内容
13.3 审计记录存储容量 13.3 監査記録の保存容量
13.4 审计过程失败时的响应 13.4 監査プロセスが失敗した場合の対応
13.5 审计的审查、分析和报告 13.5 監査レビュー、分析、報告
13.6 审计处理和报告生成 13.6 監査処理およびレポート生成
13.7 时间戳 13.7 タイムスタンプ
13.8 审计信息保护 13.8 監査情報の保護
13.9 抗抵赖性 13.9 否認防止
13.10 审计记录留存 13.10 監査記録の保持
14 风险评估与持续监控评估方法 14 リスクアセスメントと継続的モニタリングの評価方法
14.1 风险评估 14.1 リスク評価
14.2 脆弱性扫描 14.2 脆弱性スキャン
14.3 持续监控 14.3 継続的モニタリング
14.4 信息系统监测 14.4 情報システムの監視
14.5 垃圾信息监测 14.5 スパム監視
15 安全组织与人员 15 セキュリティ組織と人員
15.1 安全策略与规程 15.1 セキュリティ方針と手順
15.2 安全组织 15.2 セキュリティ組織
15.3 岗位风险与职责 15.3 職務リスクと責任
15.4 人员筛选 15.4 人員の選別
15.5 人员离职 15.5 人員の分離
15.6 人员调动 15.6 人員の異動
15.7 第三方人员安全 15.7 第三者の人的セキュリティ
15.8 人员处罚 15.8 人的制裁
15.9 安全培训 15.9 安全トレーニング
16 物理与环境安全评估方法 16 物理的および環境的安全性評価方法論
16.1 物理设施与设备选址 16.1 物理的施設・設備の配置
16.2 物理和环境规划 16.2 物理的環境計画
16.3 物理环境访问授权 16.3 物理的環境へのアクセス許可
16.4 物理环境访问控制 16.4 物理的環境アクセス制御
16.5 输出设备访问控制 16.5 出力機器アクセス制御
16.6 物理访问监控 16.6 物理的アクセス監視
16.7 访客访问记录 16.7 ゲストアクセスロギング
16.8 设备运送和移除 16.8 機器の配信と削除
附录A(资料性)常见云计算服务脆弱性问题 附属書A (参考)クラウドコンピューティングサービスに共通する脆弱性の問題
参考文献 参考文献

 


 

ちなみに、ISO/IEC 27001, 27005の中国版の標準も意見募集がされていました。。。

2024.01.04 关于国家标准《信息安全技术 信息安全风险管理指导》征求意见稿征求意见的通知  国家標準「情報セキュリティ技術情報セキュリティリスク管理ガイダンス」に関する意見募集の通知 ISO/IEC 27005
2024.01.04 关于国家标准《信息安全技术 信息安全管理体系 要求》征求意见稿征求意见的通知  国家標準「情報セキュリティ技術 情報セキュリティマネジメントシステム要件」に関する意見募集の通知 ISO/IEC 27001

 

| | Comments (0)

ENISA 低軌道(LEO)衛星通信のサイバーセキュリティ評価

こんにちは、丸山満彦です。

日本ではH3ロケットの打ち上げが成功し、今後の衛星打ち上げ競争への遅れの懸念も少しは緩和されたかもしれません。。。まずは、よかったと思います。ただ、世の中進歩は早いので、米国、中国、欧州、ロシアもさらに競争力のあるロケットを開発してくると思いますので、これからの運用技術の改善や、あらたなロケットの開発に継続的に取り組まなければならないということなのでしょうね。。。GDPが相対的に低下してきていることから、資金面では更なる苦労が想定されますが、経済力も技術力も国際的なレベルにしていく必要gるのでしょうね。。。

さて、欧州のENISAが、これからのインターネット通信インフラの一部を担うであろう、低軌道(LEO)衛星通信についてのサイバーセキュリティ評価の文書を公表していますね。。。

経済産業省の産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化) - 宇宙産業サブワーキンググループ の委員もしているので、気になるところです(^^)

NISTの、

  • NIST IR 8401 衛星地上セグメント サイバーセキュリティフレームワークの衛星指揮制御への適用
  • NIST IR 8270 商業衛星運用のためのサイバーセキュリティ序文(第2ドラフト)
  • NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワークプロファイル -初期公開ドラフト

は紹介されているのに、経済産業省の

・2023.03.31 民間宇宙システ ムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

が紹介されていないのは、ちょっと寂しいですね...

ENISA

・2024.02.15 Low Earth Orbit (LEO) SATCOM Cybersecurity Assessment

Low Earth Orbit (LEO) SATCOM Cybersecurity Assessment 低軌道(LEO)衛星通信のサイバーセキュリティ評価
This report explores the cybersecurity of Low Earth Orbit (LEO) constellations providing telecommunications services (LEO satcom). Examining various threats and risks-technical, financial, or commercial the landscape of potential attacks is vast. It includes traditional cyber threats targeting user and control segments (terminals, gateways, telemetry tracking, command stations, and interconnection networks), extending to satellite-specific attacks. Consequently, LEO satcom systems require a tailored security approach. 本報告書では、電気通信サービスを提供する低軌道(LEO)衛星通信(LEO satcom)のサイバーセキュリティを調査している。技術的、財政的、商業的な様々な脅威とリスクを検証しており、潜在的な攻撃の状況は膨大である。ユーザーと制御セグメント(端末、ゲートウェイ、テレメトリ・トラッキング、コマンド・ステーション、相互接続ネットワーク)を標的とする従来のサイバー脅威から、衛星固有の攻撃まで含まれる。その結果、LEO衛星通信システムは、カスタマイズされたセキュリティ・アプローチを必要とする。

 

・[PDF]

20240219-61613

・[DOCX] 仮訳

・[PDF] 仮訳

 

 

目次...

LIST OF ABREVIATIONS 略語リスト
1. INTRODUCTION 1 序文
1.1 BACKGROUND 1.1 背景
1.2 SCOPE AND OBJECTIVES 1.2 範囲と目的
1.3 TARGET AUDIENCE 1.3 対象読者
1.4 STRUCTURE OF THE REPORT 1.4 報告書の構成
2. LEO SATCOM OVERVIEW 2 低軌道(LEO)衛星の概要
2.1 INVENTORY OF LEO SATELLITES COMMUNICATIONS SERVICES 2.1 低軌道(LEO)衛星通信サービス目録
2.2 THE FINANCIAL DIMENSION OF LEO CONSTELLATIONS 2.2 低軌道(LEO)衛星の金融的側面
2.3 COMPARISON TO GEOSTATIONARY SATELLITE COMMUNICATION SYSTEMS 2.3 静止衛星通信システムとの比較
3. LEO SATCOM ASSETS AND INFRASTRUCTURES 3 低軌道(LEO)衛星通信の資産とインフラ
3.1 LEO SATCOM SYSTEM ARCHITECTURE 3.1 低軌道(LEO)衛星通信システム・アーキテクチャ
3.2 ORGANISATION OF SPACE PROJECTS 3.2 宇宙プロジェクトの組織
3.3 TECHNOLOGY AND SUPPLY CHAIN 3.3 テクノロジーとサプライチェーン
4. SECURITY CHALLENGES FOR LEO SATCOM SYSTEMS AND SERVICES 4 低軌道(LEO)衛星通信システムおよびサービスにおけるセキュリティの課題
4.1 TECHNICAL RISKS 4.1 技術的リスク
4.2 FINANCIAL AND COMMERCIAL RISKS 4.2 金融・商業リスク
4.3 MALICIOUS THREATS 4.3 悪意のある脅威
4.4 NON-MALICIOUS THREATS 4.4 悪意のない脅威
4.5 CYBER INCIDENTS ON LEO SATCOM SYSTEMS 4.5 低軌道(LEO)衛星通信システムへのサイバーインシデント
5. STANDARDS AND RECOMMENDATIONS FOR SATCOM CYBERSECURITY 5 衛星通信のサイバーセキュリティに関する標準と 推奨事項
5.1 EUROPEAN COOPERATION FOR SPACE STANDARDIZATION 5.1 宇宙標準化のための欧州協力
5.2 CONSULTATIVE COMMITTEE FOR SPACE DATA SYSTEMS 5.2 宇宙データ空間システム諮問委員会
5.3 EUROPEAN TELECOMMUNICATION STANDARDs INSTITUTE 5.3 欧州電気通信標準機構
5.4 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY 5.4 国立標準技術研究所
5.5 EUROPEAN SPACE AGENCY AND AEROSPACE CORPORATION THREAT FRAMEWORKS 5.5 欧州宇宙機関と航空宇宙企業の脅威の枠組み
5.6 OTHER INITIATIES 5.6 その他の取り組み
5.7 OUTLOOK ON FORTHCOMING INITIATIVES 5.7 今後の取り組みについて
6. CYBERSECURITY STRENGTHS AND WEAKNESSES OF SATCOM IN COMPARISON TO TERRESTRIAL NETWORKS 6 地上波ネットワークとの比較における衛星通信のサイバーセキュリティの強みと弱み
7. CONCLUSIONS 7 結論

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー
This report covers the topic of cybersecurity of Low Earth Orbit (LEO) constellations delivering telecommunications services (LEO satcom in short). The key specifics of an LEO satcom system may be summed up as (a) many assets forming the space and ground segments and (b) a worldwide distribution of the services delivered by those assets. These two aspects usually differentiate satcom systems from terrestrial and other space systems (such as geostationary satellites), where the service coverage under the responsibility of a single organisation/system is smaller. The global nature of LEO satcom also calls for tailored cybersecurity treatment.  本報告書は、電気通信サービスを提供する低軌道(LEO)コンステレーション(略して低軌道(LEO)衛星通信)のサイバーセキュリティをテーマとしている。低軌道(LEO)衛星通信システムの主な特徴は、(a)宇宙および地上セグメントを形成する多くの資産と、(b)これらの資産によって提供されるサービスの世界的な分布である。これら2つの側面は、通常、衛星通信システムを、単一の組織/システムの責任下でのサービス範囲が狭い地上および他の宇宙システム(静止衛星など)と区別する。また、低軌道(LEO)衛星通信のグローバルな特性は、サイバーセキュリティに特化した対応を求めている。 
When looking at different threats and incurred risks (whether technical, financial or commercial), the landscape of possible attacks is rich. It includes classic cyber threats as found in terrestrial systems that target the user and control segments (terminals, gateways, telemetry tracking and command stations, and interconnection networks). But it also extends to attacks focusing specifically on the satellites forming the space segment. For these reasons, LEO satcom systems deserve a tailored approach when it comes to their security. This situation is acknowledged by actors in the sector and has resulted in several initiatives, among them the European Space Agency (ESA) Space Attacks and Countermeasures Engineering Shield (SPACE-SHIELD).  さまざまな脅威と発生するリスク(技術的、財政的、商業的の別を問わない)を見てみると、想定される攻撃は多岐にわたる。その中には、地上システムで見られるような、ユーザーと制御セグメント(端末、ゲートウェイ、テレメトリー追跡とコマンドステーション、相互接続ネットワーク)を標的とする古典的なサイバー脅威も含まれる。しかし、宇宙セグメントを形成する衛星に特化した攻撃にも及んでいる。このような理由から、低軌道(LEO)衛星通信システムのセキュリティに関しては、そのシステムに合わせたアプローチが必要である。このような状況は、この分野の関係者にも認識されており、欧州宇宙機関(ESA)の「宇宙攻撃と対策エンジニアリング・シールド(SPACE-SHIELD)」など、いくつかのイニシアティブを生み出している。 
The survey on past cyber incidents shows that most attacks fall roughly into two categories: data theft through reverse engineering of user link transmission techniques; and denial of service, targeting either the ground or space segments, possibly resulting in a service degradation or outage. The first category of incidents calls for the use of common encryption techniques. The second calls for standards and recommendations in cyber protection, which are applicable to all segments of space systems.  過去のサイバーインシデントに関する調査によると、ほとんどの攻撃は、ユーザーリンク伝送技術のリバースエンジニアリングによるデータ窃盗と、地上セグメントまたは宇宙セグメントのいずれかを標的としたサービス妨害の2つのカテゴリーに大別される。インシデントの最初のカテゴリーでは、一般的な暗号化技術の使用が求められる。2つ目は、宇宙システムのすべてのセグメントに適用可能なサイバー保護の標準と勧告を求めるものである。 
The report also includes a comparison of LEO satcom and broadband terrestrial cellular networks based on cyber threat exposure and impact severity. The case of cellular networks is believed to be a representative case of more generic terrestrial networks. Based on technical considerations only, the comparison reveals that the cyber risk is higher for space systems.  また、サイバー脅威のエクスポージャーと影響の重大性に基づいて、低軌道(LEO)衛星通信ネットワークとブロードバンド地上セルラーネットワークの比較も行っている。セルラーネットワークのケースは、より一般的な地上ネットワークの代表者であると考えられる。技術的な検討のみに基づく比較では、サイバーリスクは宇宙システムの方が高いことが明らかになった。 
Concluding, the report shows that the cyber protection needs of LEO satcom systems extend beyond what exists for terrestrial systems. The advent of commercial mega-constellations is a clear call for a coordinated approach in space systems security by means of standards, recommendations, information sharing and training.  最後に、この報告書は、LEO衛星通信システムのサイバー保護ニーズは、地上システムに存在するものを超えていることを示している。商業的なメガコンステレーションの出現は、標準、勧告、情報共有、訓練によって、宇宙システムのセキュリティに協調的なアプローチを求める明確な要請である。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.26 NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティ・フレームワーク・プロファイル

・2023.08.01 NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

| | Comments (0)

世界経済フォーラム (WEF) 貿易に重要な海峡

こんにちは、丸山満彦です。

貿易品の90%は、海上輸送のようですね。。。島国の日本は海路が重要ですよね。。。

5つの重要な海路について簡単に紹介されていますね。。。

  1. イギリス海峡
  2. マラッカ海峡
  3. ホルムズ海峡
  4. スエズ運河
  5. パナマ運河

 

World Economic Forum - Whitepaper

・2024.02.15 These are the world's most vital waterways for global trade

 

1. イギリス海峡  [wikipedia]

ドーバー海峡を含む英仏海峡は、世界で最も交通量の多い航路だそうです。。。

01_20240219021801

 

 

2. マラッカ海峡 [wikipedia]

インド洋と太平洋を結ぶ海路...毎年約94,000隻、世界の貿易品の30%がマラッカ海峡を通るようです。

02_20240219022301

 

 

3. ホルムズ海峡 [wikipedia]

イランとオマーンの間に挟まれ、ペルシャ湾とアラビア海を結んでいますね。。。世界の石油消費量の5分の1にあたる約2100万バレル、世界の液化天然ガスの20%毎日通過しているそうです。。。 

03_20240219022801

 

 

4. スエズ運河 [wikipedia]

地中海と紅海を結び、 毎年平均2万隻以上、毎日60隻弱以上の船舶が通過しているそうです。全長は約200Km。喜望峰を回る約9,000kmをぐっと減らし、8日〜10日早くいけるようですね。。。

でも、ニュースにもなっていますが、紅海の治安の悪化で、通貨する船が減っているようですね。。。

04_20240219023901

 

 

5. パナマ運河 [wikipedia]

太平洋と大西洋を結ぶ約80kmの運河。距離はスエズ運河よりも短いが、起伏がある(途中にあるガトゥン湖は海抜26m)ので閘門式運河となっていますね。。。このため、大量の水が必要で、雨が少ないと通せる船の量が減る...

現在、年間やく14,000隻の船が通過しているようですね。。。

また、閘門による船の大きさの制限がありますね。。。第二次世界大戦中に米国が製造した超弩級戦艦アイオワ級もパナマ運河が通れるように33mの幅に制限されていましたね。。。

05_20240219025601

 

 

全く情報セキュリティには関係しないのですが、まぁ、気まぐれ日記...ということで...

 

 

 

| | Comments (0)

2024.02.18

ドイツ BSI TR-03182 電子メール認証:電子メールによるID詐欺への対応

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik; BSI) が、電子メールによるID詐欺への対応にも繋がる、電子メール認証の技術文書、BSI TR-03182 電子メール認証を公表していますね。。。

Bundesamt für Sicherheit in der Informationstechnik; BSI

プレス...

・2024.02.16 Neue TR des BSI: Identitätsmissbrauch in E-Mail bekämpfen

Neue TR des BSI: Identitätsmissbrauch in E-Mail bekämpfen 新しいBSI TR:電子メールにおけるID詐欺に対抗する
Cyberangriffe mit Hilfe von E-Mails sind weiterhin eine große Bedrohung für Unternehmen, Organisationen und Bürgerinnen und Bürger. Insbesondere Phishing-Mails, mit denen Zugangsdaten oder ganze Identitäten gestohlen werden sollen, sind ein weithin genutztes Angriffsmittel. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun die Technische Richtlinie E-Mail-Authentifizierung (TR-03182) veröffentlicht, die E-Mail-Service-Providern eine Richtschnur im Vorgehen gegen Phishing und Spoofing, also das Fälschen des Absendernamens, zur Verfügung stellt. Die Maßnahmen müssen ausschließlich durch die jeweiligen Diensteanbieter umgesetzt werden, die ihre Kundinnen und Kunden damit aktiv schützen können. 電子メールを使ったサイバー攻撃は、企業、組織、市民にとって大きな脅威であり続けている。特にフィッシングメールは、アクセスデータやID全体を盗むことを目的としており、攻撃の手段として広く使われている。ドイツ連邦情報セキュリティ局(BSI)はこのたび、電子メール認証に関する技術ガイドライン(TR-03182)を発表し、電子メール・サービス・プロバイダーに対し、フィッシングやなりすまし(送信者名の改ざん)対策のガイドラインを提供した。この対策は、各サービス・プロバイダーが独占的に実施する必要があり、プロバイダーはこれを利用して顧客を積極的に保護することができる。
BSI-Präsidentin Claudia Plattner: "Wir müssen Cybersicherheit pragmatisch gestalten und im Rahmen des digitalen Verbraucherschutzes die Anwenderinnen und Anwender, wann immer es geht, aktiv schützen. Die Technische Richtlinie zur E-Mail-Authentifizierung setzt genau hier an." BSIのクラウディア・プラットナー会長は、「サイバーセキュリティに対して現実的なアプローチをとり、デジタル消費者保護の一環として可能な限りユーザーを積極的に保護しなければならない。電子メール認証に関するテクニカルガイドラインは、まさにここにある。
Die TR-03182 formuliert Maßnahmen, mit denen Inhalt und Absender einer E-Mail authentifiziert werden können. So wird mit Hilfe des Standards SPF (Sender Policy Framework) die grundsätzliche Berechtigung zum Senden von E-Mails im Auftrag einer bestimmten Domain geprüft. Der ebenfalls in der Technischen Richtlinie geforderte Standard DKIMDomain Key Identified Mail (Domain Key Identified Mail) bindet jede gesendete E-Mail kryptographisch an die Domain. Damit wird die bereits etablierte TR-03108 (Sicherer E-Mail-Transport), die sich auf den sicheren E-Mail-Transport von Punkt zu Punkt bezieht, fachlich und technisch ergänzt. So können Mail-Anbieter ihre Kundinnen und Kunden vor Identitätsmissbrauch (Spoofing und Phishing) und unberechtigtem Mitlesen und Manipulation (Man-in-the-middle-Angriffen) schützen. Selbst neu entdeckte Angriffsmethoden wie das SMTP-Smuggling werden durch das Umsetzen der Maßnahmen erschwert. TR-03182は、電子メールの内容と送信者を認証するために使用できる手段を策定している。たとえば、SPF(Sender Policy Framework)標準は、特定のドメインに代わって電子メールを送信するための基本的な権限をチェックするために使用される。DKIM(Domain Key Identified Mail)規格は、技術ガイドラインでも要求されているもので、送信されるすべての電子メールをドメインに暗号的に結びつける。これは、すでに確立されているTR-03108(セキュア電子メール・トランスポート)を補完するもので、専門的にも技術的にも、ポイントからポイントへのセキュアな電子メール・トランスポートに関するものである。これにより、メールプロバイダはID詐欺(なりすましやフィッシング)および無許可の読み取りや操作(中間者攻撃)から顧客を保護することができる。SMTP密輸のような新たに発見された攻撃手法も、対策を実施することでより困難になる。
Große Mail-Anbieter haben bereits angekündigt, für das massenhafte Zustellen von E-Mails künftig Mechanismen zur E-Mail-Authentifizierung zu fordern. Die TR-03182 berücksichtigt diese geforderten Technologien bereits. 主要なメールプロバイダは、今後電子メールの大量配信に電子メール認証メカニズムを要求することをすでに発表している。TR-03182はすでにこれらの要求技術を考慮している。

 

技術文書...

・2024.02.16 BSI TR-03182 E-Mail-Authentifizierung

BSI TR-03182 E-Mail-Authentifizierung BSI TR-03182 電子メール認証
Ein Großteil unserer Kommunikation findet heutzutage digital statt. Die E-Mail ist dabei nach wie vor ein weit verbreitetes Medium. E-Mail-Authentifizierung schützt vor Angriffen, bei denen die Identität vertrauenswürdiger Sender vorgegaukelt wird (z.B. Spoofing und Phishing). 現在、コミュニケーションの大部分はデジタルで行われている。電子メールは今でも広く使われているメディアである。電子メール認証は、信頼できる送信者の身元を偽る攻撃(スプーフィングやフィッシ ングなど)から保護するものである。
Die Technische Richtlinie "E-Mail-Authentifizierung" (BSI TR-03182) definiert prüfbare Anforderungen an E-Mail-Diensteanbieter. Ziel der Technischen Richtlinie (TR) ist die Erhöhung der Vergleichbarkeit und Verbreitung authentischer E-Mail-Kommunikation. 技術ガイドライン「電子メール認証」(BSI TR-03182)は、電子メール・サービス・ プロバイダのための検証可能な要件を定義している。技術ガイドライ ン(TR)の目的は、真正な電子メール・コミュニケーションの比較可能性と普及を高めること である。
Ein "E-Mail-Diensteanbieter" oder "Betreiber eines E-Mail-Dienstes in seiner Organisation" kann mit der Konformität zur TR auch einen unabhängigen Nachweis über die Sicherheitsleistung seines E-Mail-Dienstes erbringen. 電子メール・サービス・プロバイダ」または「組織内の電子メール・サービス運営者」は、 TR に準拠することによって、電子メール・サービスのセキュリティ性能の独立した証明を提 供することもできる。
Idealerweise werden die Maßnahmen für E-Mail-Authentifizierung durch Maßnahmen für Sicheren E-Mail-Transport ergänzt. Hierzu wurde die Technische Richtlinie BSI TR-03108 Sicherer E-Mail-Transport veröffentlicht. 理想的には、電子メール認証対策は、安全な電子メール伝送対策によって補完される。技術ガイドライン BSI TR-03108 Secure e-mail transport は、この目的のために発行された。
Konzeptionelle Übersicht von BSI TR-03108 und BSI TR-03182: BSI TR-03108 および BSI TR-03182 の概念概要:

1_20240218012701

 

技術文書

本文...

・2024.01.14 BSI TR-03182 Email Authentication, Version 1.0

20240218-13317

Table of Contents  目次 
1  Introduction 1 序文
2  Email Authentication 2 電子メール本人認証
3  Objectives 3 目的
4  Requirements 4 要件
4.1  Functional Requirements 4.1 機能要件
4.1.1  (TR-03182-01-M) SPF Record 4.1.1 (TR-03182-01-M) SPFレコード
4.1.2  (TR-03182-02-M) SPF Verification 4.1.2 (TR-03182-02-M) SPF検証
4.1.3  (TR-03182-03-M) DKIM Key Material 4.1.3 (TR-03182-03-M) DKIM 鍵材料
4.1.4  (TR-03182-04-M) Signing DKIM 4.1.4 (TR-03182-04-M) DKIMへの署名
4.1.5  (TR-03182-05-M) DKIM Verification 4.1.5 (TR-03182-05-M) DKIM 検証
4.1.6  (TR-03182-06-M) DMARC Policy 4.1.6 (TR-03182-06-M) DMARCポリシー
4.1.7  (TR-03182-07-M) Verifying DMARC 4.1.7 (TR-03182-07-M) DMARCの検証
4.1.8  (TR-03182-08-M) Sending DMARC Reports 4.1.8 (TR-03182-08-M) DMARCレポートの送信
4.1.9  (TR-03182-09-M) Receiving DMARC Reports 4.1.9 (TR-03182-09-M) DMARC報告の受信
4.1.10  (TR-03182-10-M) Evaluating DMARC Reports 4.1.10 (TR-03182-10-M) DMARC報告の評価
4.1.11  (TR-03182-11-M) Unused Domains 4.1.11 (TR-03182-11-M) 未使用ドメイン
4.2  Non-Functional Requirements 4.2 非機能要件
4.2.1  (TR-03182-12-M) Security Concept 4.2.1 (TR-03182-12-M) セキュリティ概念
4.2.2  (TR-03182-13-M) Data Protection 4.2.2 (TR-03182-13-M) データ防御
4.2.3  (TR-03182-14-M) Mandatory Reporting 4.2.3 (TR-03182-14-M) 報告の義務付け
4.2.4  (TR-03182-15-M) Transparency 4.2.4 (TR-03182-15-M) 透明性
5  Proof of Compliance 5 コンプライアンスの証明
5.1  IT Security Labels 5.1 ITセキュリティラベル
5.2  Certification to Technical Guidelines 5.2 技術ガイドラインに対する認証
6  Key Words for Requirement Levels 6 要求レベルのキーワード
7  Glossary 7 用語集
Bibliography 参考文献

 

・2024.01.24 BSI TR-03182-P Testspecification, Version 1.0


20240218-13334

目次...

1  Introduction 1 序文
2  Testing 2 テスト
2.1   Interfaces 2.1 インターフェース
2.2  Target of Evaluation (TOE) 2.2 評価対象(TOE)
2.3  Conformity Email Test Infrastructure (CETI) 2.3 適合性電子メールテスト基盤(CETI)
2.4  Test Tools 2.4 テストツール
2.5  Test Messages 2.5 テストメッセージ
2.6  DNS-Resolution 2.6 DNS解決
2.7  Authoritative DNSSEC 2.7 権威あるDNSSEC
2.8  Test Operator 2.8 テストオペレーター
3  Profiles 3 プロファイル
4  Implementation Conformance Statement 4 実装適合性宣言
4.1  User Information Source 4.1 ユーザー情報ソース
4.2  Unused Domains 4.2 未使用ドメイン
4.3  Online Interfaces 4.3 オンラインインターフェース
4.4  Operational Information 4.4 運用情報
4.5  DMARC Evaluation 4.5 DMARCの評価
4.6  DMARC Quarantine 4.6 DMARCの検疫
4.7  Profiles 4.7 プロファイル
4.8  DNS Resource Records 4.8 DNSリソースレコード
4.9  Location 4.9 所在地
4.10  Certificate Information 4.10 証明書情報
5  Configuration 5 設定
5.1  Test Setup 5.1 テスト設定
5.2  DNS Zone and Record Specification 5.2 DNSゾーンとレコードの仕様
6  Test Cases 6 テストケース
6.1  Module A – User Interface 6.1 モジュール A - ユーザーインターフェース
6.2  Module B – DNSSEC 6.2 モジュール B - DNSSEC
6.3  Module C – Inbound SPF 6.3 モジュール C - インバウンド SPF
6.4  Module D – Outbound SPF 6.4 モジュール D - 送信 SPF
6.5  Module E – Inbound DKIM 6.5 モジュール E - インバウンド DKIM
6.6  Module F – Outbound DKIM 6.6 モジュール F - アウトバウンド DKIM
6.7  Module G – Inbound DMARC 6.7 モジュール G - インバウンド DMARC
6.8  Module H – Outbound DMARC 6.8 モジュール H - アウトバウンド DMARC
6.9  Module I – Inbound DMARC Reports 6.9 モジュール I - インバウンド DMARC レポート
6.10  Module J – Outbound DMARC Reports 6.10 モジュール J - アウトバウンド DMARC レポート
6.11 Module K – DMARC Monitoring 6.11 モジュール K - DMARC 監視
6.12 Module L – Unused Domains 6.12 モジュール L - 未使用ドメイン
6.13 Security Concept 6.13 セキュリティコンセプト
7   Test Case Notation 7 テストケースの表記
8   Keywords 8 キーワード
Bibliography 参考文献

 

 

 

| | Comments (0)

MITRE Intelligence after next: 国家情報(インテリジェンス)戦略2023 その後...

こんにちは、丸山満彦です。

2020年に始まったMITREのIntelligence after nextシリーズはいつのまにか、20本以上の論文がたまっていますね。。。今回は昨年発表された国家情報(インテリジェンス)戦略2023の6つのゴール(目標)を達成するためのロードマップを示しているということのようです。。。

まずは、このブログでも紹介していますが、ベースとなる米国の国家情報(インテリジェンス)戦略...

・2023.08.09 2023 National Intelligence Strategy

 ・[PDF] downloaded

20230811-164335

 

6つの目標...

GOAL 1: Position the IC for Intensifying Strategic Competition 目標1:激化する戦略的競争にICを位置づける。
GOAL 2: Recruit, Develop, and Retain a Talented and Diverse Workforce that Operates as a United Community 目標2: 一体となった共同体として活動する有能で多様な人材を採用、育成、維持する。
GOAL 3: Deliver Interoperable and Innovative Solutions at Scale  目標3:相互運用可能で革新的なソリューションを大規模に提供する。
GOAL 4: Diversify, Expand, and Strengthen Partnerships  目標4:パートナーシップの多様化、拡大、強化 
GOAL 5: Expand IC Capabilities and Expertise on Transnational Challenges 目標5:国境を越えた課題に対するICの能力と専門知識を拡大する。
GOAL 6: Enhance Resilience 目標6:レジリエンスの強化

 

6つの目標の達成のためのMITREの支援...

目標1 激化する戦略的競争にICを位置づける。 Meeting the China Challenge: Key Focus Areas for the Intelligence Community 中国の挑戦への対応:情報コミュニティの重点分野
目標2  一体となった共同体として活動する有能で多様な人材を採用、育成、維持する。 Enabling Neurodiverse Talent in the Intelligence Community 情報コミュニティにおける神経障害のある人材の活用
目標3 相互運用可能で革新的なソリューションを大規模に提供する。 Rethinking Collection Management to Better Track Mobile Targets モバイル・ターゲットをよりよく追跡するための収集管理再考
目標4 パートナーシップの多様化、拡大、強化  Radical Transparency: Expanding Partnerships with Commercial Intelligence Sharing 根本的な透明性:商業情報共有とのパートナーシップの拡大
目標5 国境を越えた課題に対するICの能力と専門知識を拡大する。 Accelerating the Fight Against the U.S. Fentanyl Crisis Through a Comprehensive Approach 包括的アプローチを通じた米国のフェンタニル危機との闘いの加速
目標6 レジリエンスの強化 Critical Infrastructure Resilience Through a Shared Operational Environment 運用環境の共有による重要インフラのレジリエンス

 

戦略目標1

・2023.12.29 Intelligence After Next: Meeting the China Challenge—Key Focus Areas for the Intelligence Community

Intelligence After Next: Meeting the China Challenge—Key Focus Areas for the Intelligence Community  インテリジェンス・アフター・ネクスト 中国への挑戦-情報コミュニティの重点分野
Goal 1: Position the IC for Intensifying Strategic Competition 目標1:激化する戦略的競争にICを位置づける
The Intelligence Community is not positioned to tackle full-spectrum competition with the People's Republic of China. It must broaden capabilities in key areas and reorient to a whole-of-government approach. We have identified five focus areas requiring urgent attention, resources, and leadership. 情報コミュニティは、中華人民共和国との全面的な競争に取り組める状況にない。重要な分野で能力を拡大し、政府全体のアプローチに方向転換しなければならない。我々は、緊急の注意、資源、リーダーシップを必要とする5つの重点分野を特定した。
Meeting the China Challenge: Key Focus Areas for the Intelligence Community 中国の挑戦への対応:情報コミュニティの重点分野
20240217-203425
The People’s Republic of China (PRC) is posing a complex and dynamic challenge to the U.S. Intelligence Community. The Community must be prepared to support decision makers and warfighters along the competition spectrum, from low-scale tension to hot conflict; however, it is not positioned optimally to tackle the full spectrum of competition with the PRC. It must broaden capabilities in key areas and reorient its approach toward the whole of government, efforts that will increasingly push it toward the open-source world and greater transparency with government partners. 中華人民共和国(PRC)は、米国の情報コミュニティに複雑かつダイナミックな課題を突きつけている。情報コミュニティは、小規模な緊張状態から高温の紛争に至るまで、競争範囲に沿って意思決定者と戦闘員を支援する準備を整えなければならないが、中華人民共和国との競争の全範囲に取り組むための最適な位置づけにはない。主要分野で能力を拡大し、政府全体へのアプローチを方向転換する必要がある。その努力は、オープンソースの世界と政府パートナーとのより高い透明性に向けてますます推進されるだろう。
We have identified five focus areas requiring urgent attention, resources, and top-level government leadership engagement. These include: economic and technological conflict; global influence projection, foundational knowledge; supply chain threats; and intelligence advantage. われわれは、緊急の関心とリソース、そして政府トップレベルのリーダーシップの関与が必要な5つの重点分野を特定した。それらは、経済的・技術的衝突、グローバルな影響力の拡大、基礎知識、サプライチェーンの脅威、そして諜報活動の優位性である。

 

・2024.01.05 Intelligence After Next: Enabling Neurodiverse Talent in the Intelligence Community

Intelligence After Next: Enabling Neurodiverse Talent in the Intelligence Community  インテリジェンス・アフター・ネクスト 情報コミュニティにおける神経障害のある人材の活用を可能にする
Goal 2: Recruit, Develop, and Retain a Talented and Diverse Workforce that Operates as a United Community 目標2:共同体として活動する有能で多様な人材を採用、育成、維持する
The Intelligence Community (IC) should pursue an intentional neurodiverse talent program to support the intelligence mission, including better understanding the composition and needs of the IC’s existing neurodistinct workforce and increasing recruiting of neurodistinct talent. 情報コミュニティ(IC)は、情報ミッションを支援するため、意図的な神経多様性人材プログラムを追求すべきである。これには、ICの既存の神経多様性人材の構成とニーズをよりよく理解し、神経多様性人材の採用を増やすことが含まれる。
Enabling Neurodiverse Talent in the Intelligence Community 情報コミュニティにおける神経障害のある人材の活用
20240217-203435
As the Intelligence Community (IC) calls for more diversity of thought to address an increasingly complex, diverse, and dynamic threat landscape, the cognitive differences observed in neurodistinct groups such as those with autism, attention-deficit hyperactivity disorder (ADHD), and dyslexia can be advantageous for intelligence work. Individuals with these neurodistinct conditions bring exceptional strengths in areas such as visual processing and cognitive originality, comprise a considerable and growing portion of the general population, and remain underemployed compared to their neurotypical counterparts. In other words, the neurodiverse community represents a potentially valuable and largely underappreciated source of new talent for the IC. 情報コミュニティ(IC)が、ますます複雑化、多様化、ダイナミック化する脅威の状況に対処するため、より多様な思考を求めている中、自閉症、注意欠陥多動性障害(ADHD)、失読症などの神経識別グループに見られる認知の違いは、情報業務に有利に働く可能性がある。これらの神経障害を持つ人々は、視覚処理や認知的独創性といった分野で卓越した強みを発揮し、一般人口のかなりの部分を占め、その数は増加の一途をたどっている。言い換えれば、神経障害者のコミュニティは、ICにとって潜在的に貴重でありながら、ほとんど過小評価されている新しい才能の源泉である。
We recommend the IC pursue an intentional and purposeful neurodiverse talent program to support the intelligence mission. This includes better understanding the composition and needs of the IC’s existing neurodistinct workforce; increasing awareness and acceptance of neurodiversity within IC organizations; and increasing recruiting, hiring, and retention of neurodistinct talent. われわれは、情報部の任務を支援するために、意図的かつ目的意識的に神経障害のある人材を育成するプログラムをICが追求することを推奨する。これには、ICの既存の神経障害のある労働力の構成とニーズをよりよく理解すること、ICの組織内で神経障害の多様性に対する認識と受容を高めること、神経障害のある人材の募集、雇用、保持を増やすことが含まれる。

 

・2024.01.12 Intelligence After Next: Rethinking Collection Management to Better Track Mobile Targets

Intelligence After Next: Rethinking Collection Management to Better Track Mobile Targets  インテリジェンス・アフター・ネクスト モバイル・ターゲットをよりよく追跡するためにコレクション管理を再考する
Goal 3: Deliver Interoperable and Innovative Solutions at Scale  目標3:相互運用可能で革新的なソリューションを大規模に提供する 
The urgent need to maintain custody of large numbers of mobile military targets simultaneously makes traditional collection tasking and management processes increasingly obsolete. We propose an alternative object-based collection management approach. 多数の移動軍事目標を同時に管理する緊急の必要性により、従来の収集タスク設定と管理プロセスはますます時代遅れになりつつある。我々は、オブジェクトベースの代替収集管理アプローチを提案する。
Rethinking Collection Management to Better Track Mobile Targets モバイルターゲットをよりよく追跡するためにコレクション管理を再考する
20240217-203451
The emerging urgent mission need to maintain custody of large numbers of mobile military targets—simultaneously—makes the traditional collection tasking and management processes increasingly obsolete. Currently, these processes are fractionalized by individual intelligence sources and organized around static geographical areas of interest, making it difficult to provide persistent target custody. Increasing numbers of collection options further add to the complexity of the problem, as intelligence, surveillance, and reconnaissance and other collection mission managers struggle to identify and hand off targets between potential collectors. 多数の移動軍事標的を同時に保管するという新たな緊急任務の必要性により、従来の収集任務と管理プロセスはますます時代遅れになりつつある。現在、このようなプロセスは個々の情報源によって細分化され、静的な地理的関心地域を中心に組織されているため、持続的な目標捕捉を提供することは困難である。識別、監視、偵察、その他の収集任務管理者が、潜在的収集者間でターゲットを識別し、引き渡すのに苦労しているためである。
We propose an alternative object-based collection management approach, aligned to current Intelligence Community and DoD governance and authorities but organized around specific target types, characteristics, and behaviors that potentially offer a more effective method of tasking and managing collection. The result would be a library of mini-collection strategies that could be dynamically applied as needed for the targets and conditions encountered. Controls could be identified within each strategy, which could activate, deactivate, or modify collection plans based on different scenarios to appropriately balance sensor resource utilization. This approach will enable effective management of collection tradeoffs between sensor types and access opportunities, diversifying collection plans and increasing the probability of meeting essential intelligence needs. 現在の情報コミュニティと国防総省のガバナンスと権限に沿いつつも、特定のターゲット・タイプ、特性、行動を中心に組織化され、潜在的により効果的なタスク設定と収集管理の方法を提供する、オブジェクト・ベースの代替収集管理アプローチを提案する。その結果、遭遇するターゲットや状況に応じて動的に適用できるミニ収集戦略のライブラリーができあがる。制御は各戦略内で識別され、センサリソース利用の適切なバランスをとるために、さまざまなシナリオに基づいて収集計画をアクティブにしたり、非アクティブにしたり、修正したりすることができる。このアプローチは、センサーの種類とアクセス機会の間の収集トレードオフの効果的な管理を可能にし、収集計画を多様化し、必要不可欠な情報ニーズを満たす確率を高める。

 

 

・2024.01.19 Intelligence After Next: Radical Transparency—Expanding Partnerships with Commercial Intelligence Sharing

Intelligence After Next: Radical Transparency—Expanding Partnerships with Commercial Intelligence Sharing  インテリジェンス・アフター・ネクスト 根本的な透明性-商業情報共有とのパートナーシップの拡大
Goal 4: Diversify, Expand, and Strengthen Partnerships 目標4:パートナーシップの多様化、拡大、強化
Sharing commercial intelligence with U.S. and foreign partners should be a key part of our intelligence strategy. Enabling partners to see what we see through commercial intelligence will promote a level playing field for democratized intelligence. 商業情報を米国内外のパートナーと共有することは、情報戦略の重要な部分である。商業インテリジェンスを通じて我々が見ているものをパートナーも見られるようにすることで、民主化されたインテリジェンスのための公平な競争の場を促進することができる。
Radical Transparency: Expanding Partnerships with Commercial Intelligence Sharing 根本的な透明性 商業情報共有によるパートナーシップの拡大
20240217-203507
The Intelligence Community (IC) has made considerable progress in sharing intelligence with partners in unclassified venues. These efforts focus on expanding access beyond Five Eyes partners and beyond even government entities to non-governmental organizations, citizen groups, commercial organizations, and others that can create positive impact aligned to U.S. and partner interests. The information platforms take heavy advantage of commercial intelligence, the capabilities of which are beginning to rival even the best funded governmental intelligence organizations. 情報コミュニティ(IC)は、機密扱いのない場でのパートナーとの情報共有においてかなりの進歩を遂げてきた。こうした努力は、ファイブ・アイズ・パートナーのみならず、政府事業体の枠を超えて、非政府組織、市民グループ、営利団体、その他、米国とパートナーの利害に一致したプラスの影響を生み出すことができる組織へのアクセスを拡大することに焦点を当てている。情報プラットフォームは商業インテリジェンスを大いに活用し、その能力は資金力のある政府情報機関にも匹敵するようになってきている。
Today, they can help the U.S. expand the capabilities of our partners and allies without compromising sources and methods. By sharing commercial intelligence capabilities with our allies, we promote a level playing field for democratized intelligence. This will build trust and strengthen partnerships while also serving as a force multiplier for our own IC: expanding our sensor networks, inoculating our partners against foreign malign activity, and growing a cadre of intelligence professionals in partner nations trained on the value of ethics, analytic standards, apolitical reporting, and transparency itself. 今日、情報源や方法を妥協することなく、米国がパートナーや同盟国の能力を拡大するのを助けることができる。商業インテリジェンス能力を同盟国と共有することで、民主化されたインテリジェンスのための公平な競争の場を促進する。これは、信頼を築き、パートナーシップを強化すると同時に、わが国の国際情報局(IC)の戦力増強にもなる。センサー・ネットワークを拡大し、外国の悪意ある活動からパートナーを守り、倫理、分析標準、非政治的な報告、透明性そのものの価値について訓練を受けた情報専門家の幹部をパートナー諸国で育てるのである。

 

 

・2024.02.08 Intelligence After Next: Accelerating the Fight Against the U.S. Fentanyl Crisis Through a Comprehensive Approach

Intelligence After Next: Accelerating the Fight Against the U.S. Fentanyl Crisis Through a Comprehensive Approach  インテリジェンス・アフター・ネクスト 包括的アプローチを通じて、米国のフェンタニル危機との闘いを加速する
Goal 5: Expand IC Capabilities and Expertise on Transnational Challenges 目標5:国境を越えた課題に対するICの能力と専門知識を拡大する
The opioid epidemic poses a threat to U.S. national security. The IC can play a pivotal role in countering this threat by more fully integrating law enforcement throughout the intelligence process to supplement current whole-of-government capabilities. オピオイドの蔓延は米国の国家安全保障に脅威をもたらしている。現在の政府全体の能力を補完するために、情報プロセス全体を通じて法執行機関をより完全に統合することによって、ICはこの脅威に対抗する上で極めて重要な役割を果たすことができる。
Accelerating the Fight Against the U.S. Fentanyl Crisis Through a Comprehensive Approach 包括的アプローチを通じて米国のフェンタニル危機との闘いを加速する
20240217-203518
The United States has been pursuing a counternarcotics mission for decades, exemplifying the evolving complexities of the threat and presenting opportunities to learn from past efforts.  Nevertheless, the opioid epidemic continues to escalate, with Chinese chemical and pharmaceutical companies shipping fentanyl precursors to transnational criminal organizations to manufacture in Mexico, enabling the entry of fentanyl into the United States. This epidemic poses a public health, economic, and national security threat, accentuating the need for a comprehensive, fully integrated counternarcotic approach. 米国は何十年もの間、麻薬対策に取り組んでおり、脅威の複雑さが進化していることを示すとともに、過去の取り組みから学ぶ機会を提供している。 それにもかかわらず、オピオイドの蔓延はエスカレートし続けており、中国の化学・製薬企業がフェンタニル前駆体を国際犯罪組織に出荷し、メキシコで製造させることで、米国へのフェンタニル流入を可能にしている。この蔓延は公衆衛生、経済、国家安全保障上の脅威であり、包括的で完全に統合された対麻薬アプローチの必要性を際立たせている。
The USG is presented with opportunities to implement long-standing approaches by leveraging available data, integrating stovepiped efforts, and applying evidence-based public health reforms. These three methods are complementary, and integrating efforts should be a high priority for the USG. The PRC’s role in exacerbating the fentanyl crisis reinforces the need for the IC to bridge the necessary gaps for law enforcement. The IC can play a pivotal role in countering this threat by more fully integrating law enforcement throughout the intelligence process to supplement current whole-of-government capabilities. 米国政府は、入手可能なデータを活用し、縦割りの取り組みを統合し、エビデンスに基づく公衆衛生改革を適用することによって、長年のアプローチを実施する機会を与えられている。これら3つの方法は補完的であり、取り組みの統合は米政府にとって最優先事項である。フェンタニルの危機を悪化させたPRCの役割は、法執行に必要なギャップを埋めるICの必要性を強調している。ICは、現在の政府全体の能力を補完するために、情報プロセス全体を通じて法執行機関をより完全に統合することによって、この脅威に対抗する上で極めて重要な役割を果たすことができる。

 

 

・2024.02.15 Intelligence After Next: Stronger Together—Critical Infrastructure Resilience Through a Shared Operational Environment

Intelligence After Next: Stronger Together—Critical Infrastructure Resilience Through a Shared Operational Environment  インテリジェンス・アフター・ネクスト 共に強く-重要インフラのレジリエンスを、共有された運用環境で実現する
Goal 6: Enhance Resilience 目標6:レジリエンスの強化
To protect U.S. critical infrastructure from cyber threats, the IC must lead an evolution in public-private partnerships. Establishing transparency and robust information exchanges between the IC and private sector will be key to a state of resilience. 米国の重要インフラをサイバー脅威から守るために、情報局は官民パートナーシップの進化をリードしなければならない。ICと民間セクター間の透明性と強固な情報交換を確立することが、レジリエンスを高める鍵となる。
Critical Infrastructure Resilience Through a Shared Operational Environment 運用環境の共有による重要インフラのレジリエンス
20240217-203531_20240217203801
The 2023 National Intelligence Strategy emphasizes the role of the Intelligence Community (IC) in ensuring the resilience of the Nation, its allies, and its partners. The strategy specifically identifies protecting the Nation’s critical infrastructure through a deeper understanding of the implications of destabilizing trends and improved early warning. Transparency and robust information exchanges between the private sector and the IC will be core to realizing a state of resilience. 2023年国家情報戦略は、国家、同盟国、パートナーのレジリエンスを確保する上での情報コミュニティ(IC)の役割を強調している。この戦略では、不安定化する傾向の意味をより深く理解し、早期警戒を改善することで、国家の重要インフラを保護することを特に強調している。民間部門と情報システム部門との間の透明性と強固な情報交換は、レジリエンス状態を実現するための中核となる。
Traditionally, the U.S. government (USG) has leveraged public-private partnerships (PPPs) for exchanging critical information between parties. To defend U.S. critical infrastructure from adversaries’ cyber operations, a PPP must bring together a diverse mix of threat vector, infrastructure domain, operations, business, and intelligence experience to understand the implications of destabilizing trends, to develop mitigation courses of action, and to improve early warning. 従来、米国政府(USG)は、当事者間の重要な情報交換に官民パートナーシップ(PPP)を活用してきた。米国の重要インフラを敵のサイバー作戦から防衛するためには、PPP が脅威のベクトル、インフラ領域、運用、ビジネス、インテリジェンスの多様な経験を結集し、不安定化する傾向の意味を理解し、低減策を策定し、早期警戒を改善する必要がある。
The Office of the Director of National Intelligence (ODNI), working with relevant departments and agencies with homeland security and domestic authorities, should spearhead initiatives that address systemic issues with information sharing, transparency, and trust between the public and private sectors. Perhaps most significantly, this kind of new PPP can flourish only by leveraging modern technology, enabling increased data sharing, remote participation, and coordination principles, necessary to ensure resilience against existential threats. 国家情報保障長官室(ODNI)は、国土安全保障や国内の権限を持つ関係省庁とともに、情報共有、透明性、官民間の信頼に関する制度的問題に取り組むイニシアティブの先頭に立つべきである。おそらく最も重要なことは、このような新しい PPP は、現代の技術を活用し、データ共有の拡大、遠隔地からの参加、そして、実存的脅威に対するレジリエンスを確保するために必要な調整原則を可能にすることによってのみ、花開くことができるということである。

To succeed, the ODNI must promote much needed policy changes, establish standardized technical requirements, a

nd develop capabilities to enhance the transparency and robustness of PPP information exchanges. ODNI is uniquely positioned within the IC to advocate for and to ensure these changes are implemented. Only through an integrated shared operational environment between the IC and critical infrastructure operators can we match the pace of the threat environment. An integrated shared operational environment will advance analysis, improve warning, and encourage development of effective and timely mitigations that enhance our resilience at scale.

成功させるために、ODNI は必要な政策変更を推進し、標準化された技術要件を確立し、PPP 情報交換の透明性と堅牢性を高める能力を開発しなければならない。ODNI は、IC 内において、このような変更を提唱し、確実に実施するためのユニークな立場にある。IC と重要インフラ事業者の間の統合された共有運用環境を通じてのみ、脅威環境のペースに合わせることができる。統合された共有運用環境は、分析を進め、警告を改善し、効果的でタイムリーな低減策の開発を促し、大規模なレジリエンスを強化する。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.11 米国 国家情報戦略 2023

・2021.02.28 MITRE "Intelligence After Next"

 

 

 

| | Comments (0)

2024.02.17

米国 NIST 「非倫理的な被験者研究における過去の過ちを避ける: 人工知能の原理から実践への移行」

こんにちは、丸山満彦です。

NISTが、NISTの研究者による「非倫理的な被験者研究における過去の過ちを避ける: 人工知能の原理から実践への移行」という論文が、IEEEの『Computer』2月号に、掲載されたと公表していますね。。。

機械学習等によるAIは新しい概念かもしれないけど、新しい技術をどのように社会に実装すべきか?という話は、過去からその時々であったわけですから、先例に学ぶということは重要なことですね。。。

今回は、ベルモント・レポートが紹介されていますね。。。

NIST - ITL

・2024.02.15 NIST Researchers Suggest Historical Precedent for Ethical AI Research

NIST Researchers Suggest Historical Precedent for Ethical AI Research NISTの研究者が、倫理的なAI研究のための歴史的先例を提案する
The Belmont Report’s guidelines could help avoid repeating past mistakes in AI-related human subjects research. ベルモント・レポートのガイドラインは、AI関連の被験者研究で過去の過ちを繰り返すことを避けるのに役立つだろう。
・A research paper suggests that a watershed report on ethical treatment of human subjects would translate well as a basis for ethical research in AI. ・ある研究論文が、人体に対する倫理的取り扱いに関する流域の報告書が、AIにおける倫理的研究の基礎としてうまく機能することを示唆している。
・This 1979 work, the Belmont Report, has its findings codified in federal regulations, which apply to government-funded research. ・この1979年の著作であるベルモント・レポートは、その所見を連邦規則に成文化し、政府資金による研究に適用している。
・Applying the Belmont Report’s principles to human subjects in AI research could bring us closer to trustworthy and responsible use of AI. ・ベルモント・レポートの原則をAI研究の被験者に適用すれば、信頼に足る責任あるAIの利用に近づくことができるだろう。
If we train artificial intelligence (AI) systems on biased data, they can in turn make biased judgments that affect hiring decisions, loan applications and welfare benefits — to name just a few real-world implications. With this fast-developing technology potentially causing life-changing consequences, how can we make sure that humans train AI systems on data that reflects sound ethical principles?  偏ったデータで人工知能(AI)システムを訓練すれば、そのシステムが偏った判断を下し、雇用の決定やローンの申請、生活保護の受給などに影響を及ぼす可能性がある。この急速に発展している技術が、人生を変えるような結果を引き起こす可能性がある中で、人間が健全な倫理原則を反映したデータでAIシステムを訓練するようにするにはどうすればよいのだろうか?
A multidisciplinary team of researchers at the National Institute of Standards and Technology (NIST) is suggesting that we already have a workable answer to this question: We should apply the same basic principles that scientists have used for decades to safeguard human subjects research. These three principles — summarized as “respect for persons, beneficence and justice” — are the core ideas of 1979’s watershed Belmont Report, a document that has influenced U.S. government policy on conducting research on human subjects . 国立標準技術研究所(NIST)の学際的研究チームは、この疑問に対する実行可能な答えがすでにあることを示唆している: 科学者たちが何十年もの間、被験者研究を保護するために用いてきたのと同じ基本原則を適用すべきだというのである。 - 「人の尊重、与益、正義」として要約される - この3つの原則は、1979年に発表された『ベルモント・レポート』の核となる考え方であり、被験者を対象とする研究の実施に関する米国政府の政策に影響を与えた文書である。
The team has published its work in the February issue of IEEE’s Computer magazine, a peer-reviewed journal. While the paper is the authors’ own work and is not official NIST guidance, it dovetails with NIST’s larger effort to support the development of trustworthy and responsible AI.  研究チームは、査読付き学術誌であるIEEEの『Computer』誌2月号にこの研究成果を発表した。この論文は著者ら自身の研究であり、NISTの公式ガイダンスではないが、信頼できる責任あるAIの開発を支援するNISTの大きな取り組みと密接な関係がある。
“We looked at existing principles of human subjects research and explored how they could apply to AI,” said Kristen Greene, a NIST social scientist and one of the paper’s authors. “There’s no need to reinvent the wheel. We can apply an established paradigm to make sure we are being transparent with research participants, as their data may be used to train AI.” 「NISTの社会科学者で、論文の著者の一人であるクリステン・グリーンは、「我々は、被験者研究の既存の原則を検討し、それがAIにどのように適用できるかを探った。「車輪を再発明する必要はない。研究参加者のデータがAIの訓練に使用される可能性があるため、研究参加者に対して透明性を確保するために、確立されたパラダイムを適用することができる」。
The Belmont Report arose from an effort to respond to unethical research studies, such as the Tuskegee syphilis study, involving human subjects. In 1974, the U.S. created the National Commission for the Protection of Human Subjects of Biomedical and Behavioral Research, and it identified the basic ethical principles for protecting people in research studies. A U.S. federal regulation later codified these principles in 1991’s Common Rule, which requires that researchers get informed consent from research participants. Adopted by many federal departments and agencies, the Common Rule was revised in 2017 to take into account changes and developments in research.   ベルモント・レポートは、タスキーギ梅毒研究など、人間を対象とした非倫理的な研究への対応から生まれた。1974年、米国は生物医学・行動学研究の被験者保護のための国家委員会を設立し、研究において人々を保護するための基本的な倫理原則を明らかにした。その後、米国の連邦規則が1991年の共通規則としてこれらの原則を成文化し、研究者が研究参加者からインフォームド・コンセントを得ることを義務付けた。多くの連邦省庁で採用されているこの共通規則は、研究の変化や発展を考慮し、2017年に改訂された。 
There is a limitation to the Belmont Report and Common Rule, though: The regulations that require application of the Belmont Report’s principles apply only to government research. Industry, however, is not bound by them.   しかし、ベルモント・レポートと共通規則には限界がある: ベルモント・レポートの原則の適用を求めるガバナンスは、政府研究にのみ適用される。しかし、産業界はこれらに拘束されない。 
The NIST authors are suggesting that the concepts be applied more broadly to all research that includes human subjects. Databases used to train AI can hold information scraped from the web, but the people who are the source of this data may not have consented to its use — a violation of the “respect for persons” principle.   NISTの著者は、この原則をより広く、人間を対象とするすべての研究に適用することを提案している。AIの訓練に使われるデータベースには、ウェブからかき集めた情報が格納されていることがあるが、このデータの提供者である個人は、その使用に同意していない可能性がある。 
“For the private sector, it is a choice whether or not to adopt ethical review principles,” Greene said.  「民間企業にとって、倫理的審査の原則を採用するかどうかは選択の問題です」とグリーンは言う。
While the Belmont Report was largely concerned with inappropriate inclusion of certain individuals, the NIST authors mention that a major concern with AI research is inappropriate exclusion, which can create bias in a dataset against certain demographics. Past research has shown that face recognition algorithms trained primarily on one demographic will be less capable of distinguishing individuals in other demographics. ベルモント・レポートは、特定の個人を不適切に取り込むことに大きな懸念を抱いていたが、NISTの著者は、AI研究の主な懸念は不適切な除外であり、データセットに特定の属性に対するバイアスを生じさせる可能性があると言及している。過去の研究では、主にある人口統計に基づいて訓練された顔認識アルゴリズムは、他の人口統計の個人を区別する能力が低くなることが示されている。
Applying the report’s three principles to AI research could be fairly straightforward, the authors suggest. Respect for persons would require subjects to provide informed consent for what happens to them and their data, while beneficence would imply that studies be designed to minimize risk to participants. Justice would require that subjects be selected fairly, with a mind to avoiding inappropriate exclusion.  この報告書の3原則をAI研究に適用することは、かなり簡単なことだと著者は提案する。人の尊重は、被験者とそのデータに何が起こるかについて、インフォームド・コンセントを提供することを要求し、受益は、参加者のリスクを最小限に抑えるように研究を設計することを意味する。正義は、不適切な除外を避けることを念頭に置き、被験者を公平に選ぶことを要求する。
Greene said the paper is best seen as a starting point for a discussion about AI and our data, one that will help companies and the people who use their products alike.  グリーン氏は、この論文はAIと私たちのデータについての議論の出発点として見るのが最善であり、企業とその製品を使用する人々を同様に助けるものであると述べた。
“We’re not advocating more government regulation. We’re advocating thoughtfulness,” she said. “We should do this because it’s the right thing to do.” 「我々は政府による規制強化を主張しているのではない。我々は思慮深さを提唱しているのだ。「正しいことなのだから、そうすべきだ。

 

で論文...

IEEE Computer Society Digital Library

MagazinesComputer - 2024.02

Avoiding Past Mistakes in Unethical Human Subjects Research: Moving From Artificial Intelligence Principles to Practice

・[PDF]

20240217-111316

 

話題になっている、ベルモント・レポート

U.S. Department of Human and Health Services

・1979.04.18 Read the Belmont Report

・[PDF]

20240217-111819

 

 

| | Comments (0)

グローバル内部監査基準 (2024.01.09)

こんにちは、丸山満彦です。

内部監査人協会が、グローバル内部監査基準を公開していました... 1年後の2025.01.09に適用開始でも早期適用奨励...現在のは2017年版(日本語版)...

現在は英語だけですが、内部監査人協会 (The Institute of Internal Auditors; IIA) から日本語版も公開される予定ですね。。。

詳細な比較はしていないですが、2017年版から構成がガラッと変わっていますね。。。2017年

 

日本内部監査協会

・ 2024.01.12 「グローバル内部監査基準™」公表のお知らせ

 

The Institute of Internal Auditors; IIA

・2024.01.09 2024 Global Internal Audit Standards

 

・[PDF

20240217-00844

 

目次...

Contents 内容
Acknowledgements 謝辞
About the International Professional Practices Framework 国際プロフェッショナル・プラクティス・フレームワークについて
Fundamentals of the Global Internal Audit Standards グローバル内部監査基準の基礎
Glossary 用語集
Domain I: Purpose of Internal Auditing ドメイン I:内部監査の目的
Domain II: Ethics and Professionalism ドメイン II:倫理とプロフェッショナリズム
Principle 1 Demonstrate Integrity 原則1 誠実さを示す
Standard 1.1 Honesty and Professional Courage 基準1.1 誠実さと専門職としての勇気
Standard 1.2 Organization’s Ethical Expectations 基準1.2 組織の倫理的期待
Standard 1.3 Legal and Ethical Behavior 基準1.3 法的および倫理的行動
Principle 2 Maintain Objectivity 原則2 客観性の維持
Standard 2.1 Individual Objectivity 基準2.1 個人の客観性
Standard 2.2 Safeguarding Objectivity 基準2.2 客観性の保護
Standard 2.3 Disclosing Impairments to Objectivity 基準2.3 客観性の減損の開示
Principle 3 Demonstrate Competency 原則3 力量を示す
Standard 3.1 Competency 基準3.1 力量
Standard 3.2 Continuing Professional Development 基準3.2 継続的な専門能力開発
Principle 4 Exercise Due Professional Care 原則4 専門職として十分な注意を払う
Standard 4.1 Conformance with the Global Internal Audit Standards 基準4.1 グローバル内部監査基準への適合
Standard 4.2 Due Professional Care 基準4.2 専門職としての正当な注意
Standard 4.3 Professional Skepticism 基準4.3 専門職としての懐疑心
Principle 5 Maintain Confidentiality 原則5 機密保持
Standard 5.1 Use of Information 基準5.1 情報の利用
Standard 5.2 Protection of Information 基準5.2 情報の防御
Domain III: Governing the Internal Audit Function ドメインⅢ:内部監査機能のガバナンス
Principle 6 Authorized by the Board 原則6 取締役会による認可
Standard 6.1 Internal Audit Mandate 基準6.1 内部監査の義務
Standard 6.2 Internal Audit Charter 基準6.2 内部監査憲章
Standard 6.3 Board and Senior Management Support 基準6.3 取締役会および最高経営者による支援
Principle 7 Positioned Independently 原則7 独立した立場
Standard 7.1 Organizational Independence 基準7.1 組織の独立性
Standard 7.2 Chief Audit Executive Qualifications 基準7.2 最高監査責任者の資格
Principle 8 Overseen by the Board 原則8 取締役会による監督
Standard 8.1 Board Interaction 基準8.1 取締役会の相互作用
Standard 8.2 Resources 基準8.2 資源
Standard 8.3 Quality 基準8.3 品質
Standard 8.4 External Quality Assessment 基準8.4 外部品質評価
Domain IV: Managing the Internal Audit Function ドメインIV:内部監査機能の管理
Principle 9 Plan Strategically 原則9 戦略的計画立案
Standard 9.1 Understanding Governance, Risk Management, and Control Processes 基準9.1 ガバナンス、リスクマネジメント、および管理プロセスの理解
Standard 9.2 Internal Audit Strategy 基準9.2 内部監査戦略
Standard 9.3 Methodologies 基準9.3 方法論
Standard 9.4 Internal Audit Plan 基準9.4 内部監査計画
Standard 9.5 Coordination and Reliance 基準9.5 調整と依存
Principle 10 Manage Resources 原則10 資源の管理
Standard 10.1 Financial Resource Management 基準10.1 財務資源管理
Standard 10.2 Human Resources Management 基準10.2 人事管理
Standard 10.3 Technological Resources 基準10.3 技術的資源
Principle 11 Communicate Effectively 原則11 効果的な伝達
Standard 11.1 Building Relationships and Communicating with Stakeholders 基準11.1 ステークホルダーとの関係構築とコミュニケーション
Standard 11.2 Effective Communication 基準11.2 効果的な伝達
Standard 11.3 Communicating Results 基準11.3 結果の伝達
Standard 11.4 Errors and Omissions 基準11.4 誤謬と不作為
Standard 11.5 Communicating the Acceptance of Risks 基準11.5 リスクの受容のコミュニケーション
Principle 12 Enhance Quality 原則12 品質の向上
Standard 12.1 Internal Quality Assessment 基準12.1 内部品質評価
Standard 12.2 Performance Measurement 基準12.2 パフォーマンス測定
Standard 12.3 Oversee and Improve Engagement Performance 基準12.3 業務・パフォーマンスの監督と改善
Domain V: Performing Internal Audit Services ドメインV:内部監査業務の実施
Principle 13 Plan Engagements Effectively 原則13 業務を効果的に計画する
Standard 13.1 Engagement Communication 基準13.1 業務コミュニケーション
Standard 13.2 Engagement Risk Assessment 基準13.2 業務リスクアセスメント
Standard 13.3 Engagement Objectives and Scope 基準13.3 業務の目的及び範囲
Standard 13.4 Evaluation Criteria 基準13.4 評価基準
Standard 13.5 Engagement Resources 基準13.5 業務資源
Standard 13.6 Work Program 基準13.6 作業プログラム
Principle 14 Conduct Engagement Work 原則14 業務活動の実施
Standard 14.1 Gathering Information for Analyses and Evaluation 基準14.1 分析と評価のための情報収集
Standard 14.2 Analyses and Potential Engagement Findings 基準14.2 分析と潜在的な関与の発見
Standard 14.3 Evaluation of Findings 基準14.3 調査結果の評価
Standard 14.4 Recommendations and Action Plans 基準14.4 勧告と行動計画
Standard 14.5 Engagement Conclusions 基準14.5 業務の結論
Standard 14.6 Engagement Documentation 基準14.6 業務の文書化
Principle 15 Communicate Engagement Results and Monitor Action Plans 原則15 業務結果の伝達と行動計画のモニタリング
Standard 15.1 Final Engagement Communication 基準15.1 業務の最終的伝達
Standard 15.2 Confirming the Implementation of Recommendations or Action Plans 基準15.2 勧告またはアクションプランの実施確認
Applying the Global Internal Audit Standards in the Public Sector 公的セクターにおける内部監査グローバル基準の適用
Laws and/or Regulations 法規制
Governance and Organizational Structure ガバナンスと組織構造
Funding 資金調達

 

2017年版との対比表...

・[PDF] Mapping of the 2017 Standards to the 2024 Standards

20240217-02507

 

 

| | Comments (0)

2024.02.16

米国 MITRE 海港における中国技術の影響力

こんにちは、丸山満彦です。

名古屋港湾がランサムウェアにやられて、あっーーーということで、港湾運送事業も基幹インフラになることになったようですが、周りを海に囲まれた国では特に港湾は重要です。第二次世界大戦の時に日本も英国もそれはおもいしったと思います...

そして今は、クレーンとかも含めて港湾設備というのは重要ですよね..

さて、MITREが港湾における中国技術の影響力という報告書を出していますね...


中国企業は60カ国の100の港でターミナルを所有または運営している。中国はまた、クレーン(上海振華重工有限公司、ZPMC)や物流管理システム(国家運輸物流公共情報プラットフォーム、LOGINK)を含む港湾技術の主要プレーヤーでもある。ZPMCのコンテナクレーンの世界市場シェアは70%である。ZPMCのクレーンは、米国の港湾におけるクレーンの80%を占め、10の戦略港湾に導入されている。


ということのようです。一帯一路を進めるとそうなりますよね... 世界各国に港湾設備をつくりそこで使われるクレーンとかの製造にも力を入れる...

 

MITRE

・2024.02.13 Chinese Technology Influence in U.S. Seaports

 

Chinese Technology Influence in U.S. Seaports 米国海港における中国技術の影響力
This paper proposes four notional courses of action on how to address risks posed by Chinese technology in U.S. seaports, summarizes findings in this domain, and identifies actions for further discovery to capture and quantify the level of risk. 本稿では、米国の港湾における中国の技術がもたらすリスクに対処する方法について、4つの想定行動指針を提案し、この領域で得られた知見を要約し、リスクのレベルを把握し定量化するためのさらなる発見のための行動を特定する。
The proliferation of Chinese technology throughout U.S. seaports presents economic, transportation, and national security risks. A deeper understanding of these risks is required to inform decision making on how to address them as well as potential threats. 米国の港湾における中国技術の拡散は、経済、輸送、国家安全保障上のリスクをもたらす。潜在的な脅威と同様に、これらのリスクへの対処方法に関する意思決定に情報を提供するためには、これらのリスクをより深く理解することが必要である。
This paper proposes four notional courses of action on how to address risks posed by Chinese technology in U.S. seaports, summarizes findings that have been captured in this domain, and identifies actions for further discovery to capture and quantify the level of risk. 本稿では、米国の港湾における中国の技術がもたらすリスクに対処する方法について、4つの想定行動指針を提案し、この領域で把握された知見を要約し、リスクのレベルを把握・定量化するためのさらなる発見のための行動を特定する。
American seaports play a significant role in the U.S. and world economy. In 2018, $2.2 trillion in freight moved through U.S. ports, which in turn supported 30.7 million jobs and generated $378.1 billion in tax revenue for federal, state, and local authorities. The American Association of Port Authorities reports that 15,000 jobs are created for every additional $1 billion in exports shipped out of U.S. seaports. According to the U.S. Department of Transportation (USDOT), the nation’s ports handled 41 percent (over $1.8 trillion) of U.S. international trade by value in 2021. Today, over $6 billion in cargo is handled every week by U.S. ports, with an annual economic activity value of $5.4 trillion. 米国の海港は、米国および世界経済において重要な役割を果たしている。2018年には、2.2兆ドルの貨物が米国の港を通過し、その結果、3,070万人の雇用を支え、連邦、州、地方当局に3,781億ドルの税収をもたらした。米国港湾協会によれば、米国の港湾から輸出される貨物が10億ドル増えるごとに、1万5,000人の雇用が創出されるという。米国運輸省(USDOT)によると、2021年、米国の港湾は米国国際貿易の41%(1兆8,000億ドル以上)を取り扱っていた。現在、米国の港湾では毎週60億ドル以上の貨物が取り扱われ、年間の経済活動額は5兆4,000億ドルに上る。
Seaports also play a vital role in national defense. Several U.S. commercial seaports have been designated as Strategic Seaports by the Department of Defense (DoD). Strategic Seaports are intended for use in military deployments because of their large staging areas, connection to rail infrastructure, and ability to load non-containerized cargo. Strategic Seaports are expected to make facilities available to the military with as little as 48 hours’ notice, and for extended periods of time, if necessary. また、海港は国防においても重要な役割を果たしている。米国のいくつかの商業港は、国防総省(DoD)によって戦略港湾に指定されている。戦略的海港は、大規模なステージング・エリア、鉄道インフラとの接続、コンテナ貨物以外の貨物の積み込みが可能なことから、軍事展開での使用を目的としている。戦略港湾は、わずか48時間前の通告で、また必要であれば長期間、軍に施設を提供することが期待されている。
There is growing concern about Chinese influence in U.S. seaports. The Chinese government has made a concerted effort to expand its influence into seaports around the world. Chinese companies own or operate terminals in 100 ports in 60 countries. China is also a major player in port technology, including cranes (Shanghai Zhenhua Heavy Industries Company Limited, or ZPMC) and logistics management systems (National Transportation and Logistics Public Information Platform, or LOGINK). ZPMC has a 70 percent global market share in container cranes. ZPMC cranes constitute 80 percent of cranes in U.S. ports, and they are present in 10 Strategic Seaports. Global adoption of LOGINK presents economic and national security risks to the U.S. Through LOGINK, the Chinese government has significant visibility into shipping and supply chains, providing opportunities to spot vulnerabilities and track shipments of U.S. military cargo on commercial freight. 米国の港湾における中国の影響力に対する懸念が高まっている。中国政府は、世界中の港湾に影響力を拡大するための努力を重ねている。中国企業は60カ国の100の港でターミナルを所有または運営している。中国はまた、クレーン(上海振華重工有限公司、ZPMC)や物流管理システム(国家運輸物流公共情報プラットフォーム、LOGINK)を含む港湾技術の主要プレーヤーでもある。ZPMCのコンテナクレーンの世界市場シェアは70%である。ZPMCのクレーンは、米国の港湾におけるクレーンの80%を占め、10の戦略港湾に導入されている。LOGINKの世界的な採用は、米国に経済的リスクと国家安全保障上のリスクをもたらす。LOGINKを通じて、中国政府は海運とサプライチェーンを大幅に可視化することができ、脆弱性を発見し、商業貨物による米軍貨物の輸送を追跡する機会を提供する。
The federal government, particularly Congress, has expressed concern on the topic of Chinese influence in ports. A November 2022 bicameral letter to the President urged action “to halt the spread of LOGINK, a Chinese Communist Party controlled digital platform for maritime data-sharing,” and a subsequent letter in April 2023 from the House Committee on Homeland Security to the Secretary of Homeland Security expressed concern “about existing vulnerabilities at our nation’s maritime ports. We are particularly concerned about technology employed by Chinese-manufactured cranes operating in U.S. ports, which significantly increases the cybersecurity risk to business operations systems and terminal industrial control systems.” In May 2023, the House Subcommittee on Transportation and Maritime Security held a hearing titled “Evaluating High-Risk Security Vulnerabilities at our Nation’s Ports.” 連邦政府、特に議会は、港湾における中国の影響力について懸念を表明している。2022年11月の大統領宛ての両院合同書簡では、「中国共産党が管理する海上データ共有のためのデジタル・プラットフォームであるLOGINKの拡散を食い止める」ための行動を促し、続く2023年4月の国土安全保障下院委員会から国土安全保障長官宛ての書簡では、「わが国の海港に存在する脆弱性について」懸念を表明している。特に、米国の港湾で稼働している中国製造のクレーンが採用している技術について懸念している。"これは、業務運営システムやターミナルの産業制御システムに対するサイバーセキュリティ・リスクを著しく増大させるものである。2023年5月、下院運輸・海事安全保障小委員会は、"わが国の港湾における高リスクのセキュリティ脆弱性の評価 "と題する公聴会を開催した。
Recent legislation addresses Chinese influence in ports. Section 3529 of the National Defense Authorization Act for Fiscal Year 2023, Study of Cybersecurity and National Security Threats Posed by Foreign Manufactured Cranes at U.S. Ports, commissioned a study by the Maritime Administrator, in consultation with the Secretary of Homeland Security, the Secretary of Defense, and the Director of the Cybersecurity & Infrastructure Security Agency to “assess whether there are cybersecurity or national security threats posed by foreign manufactured cranes at United States ports.” In March 2023, Rep. Michelle Steel (R-CA) and Sen. Tom Cotton (R-AR) introduced draft legislation in the Securing Maritime Data from Communist China Act of 2023, which calls for the ban of “the free, Chinese state-owned logistics platform LOGINK from being used by U.S. military or commercial interests at ports at home or abroad.” Included in the proposed legislation: 最近の法律では、港湾における中国の影響力が取り上げられている。2023会計年度国防認可法第3529条「米国港湾における外国製クレーンがもたらすサイバーセキュリティおよび国家安全保障上の脅威の研究」は、「米国港湾における外国製クレーンがもたらすサイバーセキュリティまたは国家安全保障上の脅威があるかどうかを評価する」ため、国土安全保障長官、国防長官、サイバーセキュリティ・インフラセキュリティ庁長官と協議の上、海事行政官に研究を委託した。2023年3月、ミシェル・スティール下院議員(共和党、カリフォルニア州選出)とトム・コットン上院議員(共和党、アリゾナ州選出)は、「2023年共産主義中国からの海上データセキュリティ法(Securing Maritime Data from Communist China Act of 2023)」の法案を提出した。この法案は、"中国国営の無料物流プラットフォームLOGINKを、国内外の港湾で米国の軍事・商業関係者が使用することを禁止する "ことを求めている。この法案に含まれるもの
・Ban all DoD usage and DoD contracts with entities using or sharing data with the platform. ・国防総省のすべての利用を禁止し、同プラットフォームを利用したり、同プラットフォームとデータを共有したりする事業体との国防総省との契約を禁止する。
・Require the President to prohibit entities in the United States from using or sharing data with LOGINK. ・大統領に対し、米国内の事業体によるLOGINKの使用やデータ共有を禁止するよう求める。
・Require the administration to report on the threat of LOGINK, including a report on U.S. port bans. ・LOGINKの脅威について、米国の入港禁止に関する報告書を含む報告を政権に求める。
・Work with international partners to stop its use and prevent its inclusion in any economic/ trade package. ・国際的なパートナーと協力し、LOGINKの使用を阻止し、経済・貿易パッケージに組み込まれないようにする。

 

・[PDF]

20240216-104248

・[DOCX] 仮訳

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.30 内閣官房 経済安全保障法制に関する有識者会議(第9回) 2024.01.29 - 港湾運送事業は基幹インフラに、病院は基幹インフラにはしない...

・2023.03.22 ENISA 輸送セクターのサイバー脅威状況

・2021.10.07 Atlantic Council 海事サイバーセキュリティに関する協力

・2021.01.08 米国 海事サイバーセキュリティ計画の公表

 

| | Comments (0)

英国 Oxford Academic 後手に回る:国土安全保障省とテロ対策担当者が直面する技術的課題

こんにちは、丸山満彦です。

Oxford Academic - Journal of Cybersecurity の Volume 10 Issue 1 2024 の「後手に回る:国土安全保障省とテロ対策担当者が直面する技術的課題」という論文を掲載しています。。。

次の4つを課題としてあげていますね。。。

  1. 用語の明確化
  2. 分析官のためのテクノロジーとサイバーセキュリティのロードマップの作成
  3. 職員のための追加トレーニング時間の割り当て
  4. 民間企業とのパートナーシップの構築などの改善

 

● Oxford Academic - Journal of Cybersecurity

・2024.02.07 Volume 10 Issue 1 2024 

Cybers_10_1cover

Behind the curve: technology challenges facing the homeland intelligence and counterterrorism workforce 

Abstract 要旨
Those charged with protecting the homeland through intelligence analysis, particularly in counterterrorism, must be capable of rapidly adopting innovative technologies to detect and prevent exploitation and disruption of vulnerable critical infrastructures. However, implementing these responses requires a highly skilled technical workforce that is continually provided with timely educational and training programs. Yet, questions remain regarding the technical aptitude necessary to respond to today’s terrorism threats and the Department of Homeland Security’s ability to provide consistent and rigorous standards for technology training and education. By surveying analysts, we examine what, if any, educational and training programs have been provided to adapt and remain technologically competitive and effectively utilize emerging technologies. We find a distinct need to focus on improvements that involve clarifying terms, building a technology and cybersecurity roadmap for analysts, allocating additional training time for employees, and building partnerships with private industry. 情報分析、特にテロ対策を通じて国土防衛を担う者は、脆弱な重要インフラの悪用や破壊を検知・防止するために、革新的な技術を迅速に導入する能力を備えていなければならない。しかし、このような対応を実施するには、タイムリーな教育訓練プログラムを継続的に提供される高度に熟練した技術労働力が必要である。しかし、今日のテロの脅威に対応するために必要な技術的適性や、国土安全保障省が技術訓練や教育に一貫した厳格な標準を提供する能力については、疑問が残る。分析官を調査することで、技術的競争力を維持し、新興技術を効果的に活用するために、どのような教育・訓練プログラムが提供されてきたかを検証する。その結果、用語の明確化、分析官のためのテクノロジーとサイバーセキュリティのロードマップの作成、職員のための追加トレーニング時間の割り当て、民間企業とのパートナーシップの構築などの改善に焦点を当てる必要性があることがわかった。

 

 

最後のディスカッションの部分...

First, we recommend developing a roadmap for basic and specialized technological competency training for DHS intelligence and counterterrorism analysts. The current workforce faces challenges in understanding technology training pathways, and resources provided by NICCS and the Workforce Framework for Cybersecurity (NICE Framework) can provide a starting point for building and aligning knowledge, skills, and abilities for intelligence and counterterrorism professionals in DHS. We found roadmaps and recommendations from academic COEs on technology courses and curricula; however, a roadmap for specifically DHS intelligence and counterterrorism is lacking. As a result of this finding, our research produced a draft technology and cybersecurity curriculum roadmap that connected certain skills offered in existing courses. Utilizing active and current courses to meet training requirements would improve resources and meet analysts’ demands. This technology and cybersecurity roadmap is currently being circulated within DHS as part of the larger research project but may be published shortly. 第1に、DHSの情報・テロ対策分析官を対象とした基本的・専門的技術能力訓練のロードマップを作成することを提言する。現在の労働力は技術訓練の道筋を理解する上で課題に直面しており、NICCSとサイバーセキュリティのための労働力フレームワーク(NICEフレームワーク)が提供するリソースは、DHSの情報・テロ対策専門家の知識、技能、能力を構築し、整合させるための出発点となり得る。しかし、DHSの情報・テロ対策に特化したロードマップは不足している。この発見の結果、既存のコースで提供されている特定のスキルを関連付けた、テクノロジーとサイバーセキュリティのカリキュラム・ロードマップのドラフトが作成された。訓練要件を満たすために、有効かつ最新のコースを活用することは、リソースを改善し、分析官の要求に応えることになる。このテクノロジーとサイバーセキュリティのロードマップは、現在、大規模な研究プロ ジェクトの一環としてDHS内で回覧されているが、間もなく公表される可能性がある。
Second, DHS and its components should increase their annual required training and education time allocation to include a focused approach for areas aligned with basic and specialized technology and cybersecurity education. We found that the DHS workforce can receive consistent, updated, and relevant technology training as long as there is an increase in allocated time. Private companies specifically allocate time and resources to ensure that analysts advance their education and workforce development. Private companies have different educational philosophies from those of the government sector, and if their analysts are untrained or stagnant in their ability to compete with other companies or defend against their systems, the company will go out of business or experience a major revenue loss. The comparison and compatibility of these two sectors are key to understanding and developing the way forward and improving the DHS’s technological capabilities, designing recruitment and training programs. The DHS will need to make a stronger effort to allocate additional training time for its employees to gain technological competency, in addition to already allotted core competencies. 第2に、基本的な技術や専門的な技術、サイバーセキュリティ教育に沿った分野に重点的なアプローチを含むよう、年間必要訓練・教育時間の配分を増やすべきである。DHSの職員は、割り当て時間を増やしさえすれば、一貫性があり、最新かつ適切な技術訓練を受けることができる。民間企業では、分析官の教育や人材育成を確実に進めるために、特に時間とリソースを割り当てている。民間企業には政府部門とは異なる教育理念があり、分析官が訓練を受けていなかったり、他社と競争したり、システムを防御する能力が停滞していたりすれば、企業は倒産するか、大きな収入減に見舞われる。この2つのセクターの比較と互換性は、今後の進め方を理解し発展させ、DHSの技術能力を改善し、採用や訓練プログラムを設計する上で重要な鍵となる。DHSは、すでに割り当てられているコアコンピテンシーに加え、職員が技術的能力を身につけるための追加的な訓練時間を割り当てる努力を強化する必要がある。
Third, we found that technologies from the private and commercial sectors are vital in helping the DHS workforce understand the potential areas related to professional development. This is because of the speed and agility of the private sector and investments in technology R&D. Even if the government is never able to stay up with emerging technologies, ensuring that there is a viable and existing partnership with the private sector is more important and advantageous. A DHS can benefit from the private sector through its ability to incentivize and promote training, which is of vital importance within its organization. This means a concentrated effort on government–private industry engagement programs or job shadowing. The DOD and other agencies commonly practice engagement to train their program managers in the best practices used by the industry. Likewise, the DHS Office of Intelligence and Analysis has a private sector engagement program whose mission is to ensure that critical private sector infrastructure owners and operators are equipped with information to fulfill their mission, but these programs are focused on information exchange rather than professional development. If training and education time is increased, along with personnel development through engagement or job shadowing, this would significantly improve DHS’s consumption of advanced training in technology. 第3に、DHSの職員が専門能力開発に関連する潜在的分野を理解する上で、民間・商業部門の技術が不可欠であることが分かった。これは、民間セクターのスピードと機敏性、および技術研究開発への投資によるものである。政府が新興技術に遅れを取らないようにすることは不可能だとしても、民間部門と実行可能で既存のパートナーシップを確保することは、より重要で有利である。国土安全保障省(DHS)は、その組織内で極めて重要な役割を果たす研修の輸入・促進能力を通じて、民間部門から恩恵を受けることができる。これは、政府と民間企業の連携プログラムやジョブシャドウイングに集中的に取り組むことを意味する。国防総省や他の省庁は一般的に、業界で使用されているベスト・プラクティスをプログラム・マネージャーに教育するために、エンゲージメントを実践している。同様に、DHSの情報分析局には、重要な民間インフラ所有者や運営者が、その使命を果たすための情報を確実に入手できるようにすることを使命とする民間企業参画プログラムがあるが、これらのプログラムは、専門家育成というよりは、情報交換に重点を置いている。研修や教育の時間を増やすとともに、関与やジョブシャドウイングを通じた人材育成を行えば、DHSの高度な技術研修の消費は大幅に改善されるであろう。
Finally, DHS should collaborate with COEs to produce core competency training and education modules, especially in technologies that can be adopted, modified, and distributed online according to their training requirements. We found that technology training and education delivery formats, in both the government and private sectors, are moving toward online platforms, self-paced training, online courses, and webinars by academia, contractors, and technology vendors. Many participants expressed mixed opinions on this trend but agreed that this development was due to a lack of funding or time allocated to training and education. Training conducted through an online medium can significantly ease or eliminate the constraints faced by government and private sector employees. However, the same participants expressed the continued need to conduct training in person, either due to security classifications or due to the need to work more with students in person. 最後に、DHSはCOEと協力し、特に研修要件に応じて採用、変更、オンライン配信が可能な技術に関するコアコンピテンシー研修・教育モジュールを作成すべきである。技術訓練・教育の提供形態は、政府部門、民間部門を問わず、学術機関、請負業者、技術ベンダーによるオンライン・プラットフォーム、自習型訓練、オンライン・コース、ウェビナーへと移行していることがわかった。多くの参加者は、この傾向について様々な意見を述べたが、このような動きは、トレーニングや教育に割り当てられる資金や時間の不足が原因であることに同意した。オンライン媒体を通じて実施されるトレーニングは、政府や民間企業の従業員が直面する制約を大幅に緩和、解消することができる。しかし、同じ参加者は、セキュリティ分類のため、あるいは、より多くの生徒と直接仕事をする必要があるため、直接会って研修を実施する必要性が引き続きあることを表明した。

 

 

| | Comments (0)

2024.02.15

NICT NICTER観測レポート 2023

こんにちは、丸山満彦です。

NICTがNICTER観測レポート 2023を公表していますね。。。

2016年から公表しています...

 

NIST

プレス...

・2023.02.13 NICTER観測レポート2023の公開

 

レポート

・ 2023.02.13 NICTER観測レポート 2023

 

Mirai の感染ホスト数の推移(全体)...

1_20240215141901

 

 

Mirai の感染ホスト数の推移(日本)

1_20240215142201

 

・[PDF]

20240215-130102

 

 

 

 

| | Comments (0)

CSA 調査結果 セキュリティ改善の現状 2024

こんにちは、丸山満彦です。

クラウド・セキュリティ・アライアンス (Cloud Security Alliance; CSA) がセキュリティ改善の現状 2024という調査結果をを公表しています。。。

自社の対策のベンチマークの一つとして目を通すのはよいかもですね。。。ただし、2,037件あるサンプルはほとんど北米組織。

20240215-122047

 

Key Takeaways: 主な要点
・Only 23% of organizations report full visibility in their cloud environments. ・クラウド環境の完全な可視化を報告している組織は23%に過ぎない。
・63% of organizations consider duplicate alerts a moderate to significant challenge.  ・63%の組織が重複アラートを中程度から重大な課題と考えている。
・61% of organizations use between 3-6 different detection tools.  ・61%の組織が3~6種類の検知ツールを使用している。
・About 75% of organizations have security teams spending over 20% of their time performing manual tasks when addressing security alerts. ・約75%の組織で、セキュリティチームがセキュリティアラートに対処する際に、時間の20%以上を手作業に費やしている。
・18% of organizations take more than four days to address critical vulnerabilities. ・18% の組織が、重要な脆弱性への対応に 4 日以上かかっている。
・Over half of the vulnerabilities addressed by organizations tend to recur within a month of remediation. ・組織が対処した脆弱性の半数以上が、修復後 1 カ月以内に再発する傾向がある。
・18% of organizations report no collaboration or counterproductive relationships between security and development teams. ・18% の組織が、セキュリティチームと開発チームとの間で協力関係がない、または逆効果であると報告している。

 

Cloud Security Alliance; CSA

・2024.02.13 The State of Security Remediation 2024

 

20240215-122243

 

 

プレス...

・2024.02.14 Cloud Security Alliance Survey Finds 77% of Respondents Feel Unprepared to Deal with Security Threats

 

Cloud Security Alliance Survey Finds 77% of Respondents Feel Unprepared to Deal with Security Threats クラウド・セキュリティ・アライアンス調査、回答者の77%がセキュリティ脅威への対応に不安を感じていることが判明
Results highlight the importance of unified visibility across code-to-cloud environments to counter risks effectively リスクに効果的に対処するためには、コード・トゥ・クラウド環境全体を一元的に可視化することが重要であることが浮き彫りになった。
SEATTLE – Feb. 14, 2024 – A new survey and report on The State of Security Remediation from the Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications, and best practices to help ensure a secure cloud computing environment, found that more than 77% of respondents feel unprepared to deal with security threats. Commissioned by Dazz, the leader in security remediation, CSA surveyed more than 2,000 IT and security professionals on the challenges they are facing in their remediation operations practices, as well as critical areas of improvement. シアトル発 - 2024年2月14日 - 安全なクラウドコンピューティング環境を確保するための標準、認証、ベストプラクティスの定義に取り組む世界有数の組織であるクラウドセキュリティアライアンス(CSA)が発表した「セキュリティ対応の現状」に関する新たな調査と報告書によると、回答者の77%以上がセキュリティの脅威に対応する準備ができていないと感じていることが分かった。CSAは、セキュリティ修復のリーダーであるDazzの委託を受け、2,000人以上のITおよびセキュリティの専門家を対象に、修復業務の実践において直面している課題と、改善すべき重要な分野について調査を行った。
“The survey found that the number of security tools an organization has isn’t nearly as important as the tools’ efficiency and their ability to reduce vulnerabilities. Companies need a more nuanced approach that focuses on tools’ integration and intelligent orchestration,” said Hillary Baron, lead author and Senior Technical Director for Research, Cloud Security Alliance. “As cybersecurity threats evolve, organizations must adapt by seeking better visibility into their code-to-cloud environment, identifying ways to accelerate remediation, strengthening organizational collaboration, and streamlining processes to counter risks effectively.” 「調査の結果、組織が保有するセキュリティ・ツールの数は、ツールの効率性や脆弱性を削減する能力ほど重要ではないことがわかった。企業は、ツールの統合とインテリジェントなオーケストレーションに焦点を当てた、より微妙なアプローチを必要としている。「サイバーセキュリティの脅威が進化するにつれ、企業はコード・トゥ・クラウド環境の可視性を高め、修復を加速する方法を特定し、組織的な連携を強化し、効果的にリスクに対抗するためのプロセスを合理化することで適応しなければならない。
Among the survey’s other key findings: この調査の他の主要な調査結果の中には、次のようなものがある:
A significant concern exists regarding the prevalence of vulnerabilities in code and their tendency to recur. This finding highlighted a pattern of quick-fix approaches rather than sustainable, long-term solutions. A substantial 38% of respondents estimated that between 21% and 40% of their code contains vulnerabilities; 19% noted that 41-60% of their code contains vulnerabilities, and 13% identified vulnerabilities in 61-80% of their code. Compounding this issue was the finding that over half of the vulnerabilities addressed by organizations tend to recur within a month of remediation. コードに脆弱性が蔓延し、それが再発する傾向には大きな懸念がある。この調査結果では、持続可能で長期的な解決策ではなく、応急処置的なアプローチのパターンが浮き彫りになった。回答者の実に38%が、自分たちのコードの21%から40%に脆弱性が含まれていると推定しており、19%がコードの41%から60%に脆弱性が含まれていると指摘し、13%がコードの61%から80%に脆弱性があると特定した。この問題をさらに深刻にしているのが、組織が対処した脆弱性の半数以上が、修復後1カ月以内に再発する傾向があるという結果だ。
Many organizations are struggling to achieve visibility in their cloud environments. Only 23% of organizations reported full visibility with 77% experiencing less-than-optimal transparency, strongly suggesting that the complexity of these environments—particularly with the integration of containers and serverless architectures—poses significant challenges. 多くの組織が、クラウド環境の可視化に苦戦している。完全な可視性を報告した組織はわずか23%で、77%は可視性が最適でないと回答している。これは、これらの環境の複雑さ、特にコンテナやサーバーレスアーキテクチャの統合が大きな課題となっていることを強く示唆している。
False positives and duplicate alerts pose significant challenges. Sixty-three percent of organizations consider duplicate alerts a moderate to significant challenge, while 60% view false positives similarly, highlighting the inefficiencies and drawbacks of too much data coming at security teams. The high rate of organizations struggling with this could be attributed to overlapping functionalities among tools, or a lack of refined integration and fine-tuning, leading to alert fatigue, prioritization challenges and, ultimately, slower incident response times. 誤検知や重複アラートが大きな課題となっている。組織の63%が重複アラートを中程度から重大な課題と考えており、60%が偽陽性を同様に捉えている。これは、セキュリティ・チームに寄せられるデータが多すぎることによる非効率性と欠点を浮き彫りにしている。このような問題に苦慮している組織の割合が高いのは、ツール間で機能が重複していたり、統合や微調整が不十分であったりするため、アラートに対する疲労感や優先順位付けの難しさ、ひいてはインシデント対応時間の遅延につながっている可能性がある。
The proliferation of security tooling is creating complexities. The escalating trend of alert overload is a significant challenge facing organizations. With 61% of organizations using between three and six different detection tools and 45% planning to increase their security tooling budget in the coming year (indicating that more are likely to be introduced), the landscape is becoming increasingly complex. This proliferation of tools, while enhancing security coverage, also leads to a surge in alerts, including a high volume of false positives. セキュリティ対策ツールの急増が複雑さを生み出している。アラート過多の傾向が深刻化していることは、組織が直面する重大な課題である。61%の組織が3~6種類の検知ツールを使用しており、45%が来年度にセキュリティ対策ツールの予算増額を計画している(さらに多くのツールが導入される可能性が高いことを示している)ことから、状況はますます複雑になっている。このようなツールの急増は、セキュリティの網羅性を高める一方で、大量の誤検知を含むアラートの急増にもつながっている。
Significant room for improvement exists in the remediation process. Seventy-five percent of organizations reported their security teams spend over 20% of their time performing manual tasks when addressing security alerts, despite 83% reporting they use at least some automation in their remediation process. 改善プロセスには大きな改善の余地がある。組織の 75 パーセントが、セキュリティチームがセキュリティアラートに対処する際、時間の 20 パーセント以上を手作業に費やしていると回答している。また、83%の組織が、改善プロセスにおいて少なくとも何らかの自動化を実施していると回答している。
Slow response times to vulnerabilities indicate potential gaps in prioritization and response strategies. Eighteen percent of organizations reported taking more than 4 days to address critical vulnerabilities, with 3% exceeding two weeks. This slow response may result in prolonged risk periods, increasing the likelihood that companies will become the victim of a breach. 脆弱性への対応に時間がかかるということは、優先順位付けと対応戦略にギャップがある可能性を示している。18%の組織が、重要な脆弱性への対応に4日以上、3%が2週間以上かかると回答している。このような対応の遅さは、リスク期間の長期化を招き、企業が侵害の被害者となる可能性を高める可能性がある。
The survey was conducted online by CSA in December 2023 and received 2,037 responses from IT and security professionals from organizations of various sizes and locations. CSA research analysts performed the data analysis and interpretation for this report. Sponsors are CSA Corporate Members who support the research project’s findings but have no added influence on the content development or editing rights of CSA research. 本調査は、CSA が 2023 年 12 月にオンラインで実施したもので、さまざまな規模や場所に所在する組織の IT およびセキュ リティの専門家から 2,037 件の回答を得た。CSA の調査アナリストが本レポートのデータ分析と解釈を行った。スポンサーとは、調査プロジェクトの調査結果を支援する CSA 法人会員であるが、CSA 調査のコンテンツ開発や編集権に追加的な影響力を持つことはない。

 

 

 

| | Comments (0)

経済産業省 IPAにAIセーフティ・インスティテュートを設立

こんにちは、丸山満彦です。

IPAにAIセーフティ・インスティテュートを設置しましたね。。。広島G7の流れですね。。。2023年11月の英国、2024年2月の米国に続いて日本もですね...

AIの安全性評価の基準や実施手法を検討することになるようですね。。。

AIセーフティ・インスティテュートの所長はAIの専門家ですが、実はAIの専門家より法学の専門家の方が向いているのかも知れませんね。。。本質はAIに関する技術ではなく、AIの利用の話なので、社会への実装の問題ですからね。。。もちろん、チームにはAIの専門家も必要ですが...

ちなみに、米国の人工知能安全研究所(USAISI)の所長のElizabeth Kellyさんは、銀行業務系の出身で、ホワイトハウス国家経済会議の経済政策担当大統領特別補佐官を経験し、AIの大統領令の策定にも関わっていたということのようですね。。。主に、プライバシーの保護、労働者と消費者の支援、AIガバナンスに関する同盟国やパートナーとの行政の関与を主導したようです。。。

一方、英国のIan Hogarth[wikipedia]さんは、機械学習の専門家ですね。。。北京の清華大学で中国語を学んだようですね。。。

 

経済産業省

・ 2024.02.14 AIセーフティ・インスティテュートを設立しました


AIの安全性に対する国際的な関心の高まりを踏まえ、AIの安全性の評価手法の検討等を行う機関として、内閣府をはじめとする関係省庁、関係機関の協力の下、本日独立行政法人情報処理推進機構(IPA)にAIセーフティ・インスティテュートを設置しました。

AIの安全性に対する国際的な関心の高まりを踏まえ、AIの安全性の評価手法の検討等を行う機関として、AIセーフティ・インスティテュート(所長:村上明子氏)を本日設立しました。同機関は、内閣府をはじめ関係省庁、関係機関の協力の下、独立行政法人情報処理推進機構(IPA)に設置されます。

我が国として、AIの安全性評価に関する基準や手法の検討等を進めるにあたり、米国や英国のAIセーフティ・インスティテュートをはじめ、諸外国の同様の機関と連携を深めてまいります。

経済産業省としても、IPAに加え、国立研究開発法人産業技術総合研究所も通じて培ってきたAIの知見や、構築してきた国内外とのネットワークを活用しながら、AIセーフティ・インスティテュートの活動に貢献していきます。

1.AIセーフティ・インスティテュートの主な業務内容(暫定)

  • 安全性評価に係る調査、基準等の検討
  • 安全性評価の実施手法に関する検討
  • 他国の関係機関(英米のAIセーフティ・インスティテュート等)との国際連携に関する業務

 

内閣府

・2024.02.14 AIセーフティ・インスティテュートの設立について

 

IPA

・2024.02.14 AIセーフティ・インスティテュートを設立

 

AIセーフティ・インスティテュート

1_20240215011201

・2024.02.14 AIセーフティ・インスティテュートを設立しました。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2024.02.13 米国 AI安全研究所を設立

 

英国...

・2023.11.05 英国 AI安全研究所の設立 (2023.11.02)

 

 

 

 

| | Comments (0)

米国 NIST SP 800-204D DevSecOps CI/CD パイプラインにおけるソフトウェアサプライチェーンセキュリティの統合戦略

こんにちは、丸山満彦です。

NISTが、DevSecOpsの継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略に関する文書、NIST SP 800-204Dを公表しています。。。

ドラフトの時にも感じたのですが、この文書は難しいですね。。。

 

NIST - ITL

・2024.02.12 Integrating Software Supply Chain Security in DevSecOps CI/CD Pipelines | NIST Publishes SP 800-204D

Integrating Software Supply Chain Security in DevSecOps CI/CD Pipelines | NIST Publishes SP 800-204D DevSecOpsのCI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合する|NIST、SP 800-204Dを発表
Today, NIST is releasing Special Publication (SP) 800-204D, Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines. 本日、NISTは特別刊行物(SP)800-204D「Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines」を公開する。
Cloud-native applications are made up of multiple loosely coupled components called microservices. This class of applications is generally developed through an agile software development life cycle (SDLC) paradigm called DevSecOps, which uses flow processes called continuous integration/continuous delivery (CI/CD) pipelines. Analyses of recent software attacks and vulnerabilities have led both government and private-sector organizations to focus on the activities involved in the entire SDLC. The collection of these activities is called the software supply chain (SSC). The integrity of these individual activities contributes to the overall security of an SSC. Threats can arise from attack vectors unleashed by malicious actors during SSC activities, as well as defects introduced when due diligence practices are not followed by legitimate actors during the SDLC. クラウドネイティブなアプリケーションは、マイクロサービスと呼ばれる複数の疎結合コンポーネントで構成されている。このクラスのアプリケーションは、一般的にDevSecOpsと呼ばれるアジャイルソフトウェア開発ライフサイクル(SDLC)パラダイムを通じて開発され、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインと呼ばれるフロープロセスを使用する。最近のソフトウェア攻撃と脆弱性の分析によって、政府と民間の両方の組織が SDLC 全体に関わる活動に注目するようになった。これらの活動の集合体は、ソフトウェアサプライチェーン(SSC)と呼ばれる。これらの個々の活動の完全性は、SSC 全体のセキュリティに貢献する。脅威は、SSC の活動中に悪意のある行為者によって放たれる攻撃ベクトルから、また、SDLC の間、正当な行為者によってデューディリジェンスの実践が守られなかったときにもたらされる欠陥から生じる可能性がある。
Executive Order (EO) 14028, NIST’s Secure Software Development Framework (SSDF), other government initiatives, and industry forums have discussed the security of SSCs and provided a roadmap to enhance the security of all deployed software. NIST SP 800-204D uses this roadmap as the basis for developing actionable measures to integrate the various building blocks of SSC security assurance into CI/CD pipelines to enhance organizations' preparedness to address SSC security in the development and deployment of cloud-native applications. To demonstrate that the SSC security integration strategies for CI/CD pipelines meet the objectives of SSDF, a mapping of these strategies to the high-level practices in the SSDF has also been provided. 大統領令(EO)14028、NIST のセキュアソフトウェア開発フレームワーク(SSDF)、他の政府のイニシアティブ、および業界のフォーラムは、SSC のセキュリティについて議論し、すべての配備されたソフトウェアのセキュリティを強化するためのロードマップを提供してきました。NIST SP 800-204D は、このロードマップを基にして、SSC セキュリティ保証のさまざまなビルディングブロックを CI/CD パイプラインに統合するための実行可能な対策を策定し、クラウドネイティブなアプリケーションの開発・展開における SSC セキュリティに対処するための組織の準備態勢を強化する。CI/CD パイプラインのための SSC セキュリティ統合戦略が SSDF の目的に合致していることを示すために、これらの戦略と SSDF のハイレベルプラクティスとのマッピングも提供されている。

 

・2024.02.12 NIST SP 800-204D Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines

NIST SP 800-204D Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines NIST SP 800-204D DevSecOps CI/CD パイプラインにおけるソフトウェアサプライチェーンセキュリティの統合戦略
Abstract 概要
The predominant application architecture for cloud-native applications consists of multiple microservices, accompanied in some instances by a centralized application infrastructure, such as a service mesh, that provides all application services. This class of applications is generally developed using a flexible and agile software development paradigm called DevSecOps. A salient feature of this paradigm is the use of flow processes called continuous integration and continuous deployment (CI/CD) pipelines, which initially take the software through various stages (e.g., build, test, package, and deploy) in the form of source code through operations that constitute the software supply chain (SSC) in orde・r to deliver a new version of software. This document outlines strategies for integrating SSC security measures into CI/CD pipelines. クラウドネイティブアプリケーションの主なアプリケーションアーキテクチャは、複数のマイクロサービスで構成され、場合によっては、すべてのアプリケーションサービスを提供するサービスメッシュのような集中型のアプリケーションインフラストラクチャが付随する。このクラスのアプリケーションは一般的に、DevSecOpsと呼ばれる柔軟でアジャイルなソフトウェア開発パラダイムを使用して開発される。このパラダイムの顕著な特徴は、継続的インテグレーションと継続的デプロイメント(CI/CD)パイプラインと呼ばれるフロープロセスを使用することである。このパイプラインは、新しいバージョンのソフトウェアを提供するために、最初にソースコードの形で、ソフトウェアサプライチェーン(SSC)を構成するオペレーションを通じて、様々なステージ(例えば、ビルド、テスト、パッケージ、デプロイ)を経てソフトウェアを提供する。この文書では、SSC のセキュリティ対策を CI/CD パイプラインに統合するための戦略を概説する。

 

・[PSD] SP 800-204D

20240214-85327

・[DOCX] 仮訳

 

目次...

Executive Summary エグゼクティブ・サマリー
1. Introduction 1. はじめに
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Target Audience 1.3. 想定読者
1.4. Relationship to Other NIST Documents 1.4. 他のNIST文書との関係
1.5. Document Structure 1.5. 文書の構造
2. Software Supply Chain (SSC) — Definition and Model 2. ソフトウェア・サプライ・チェーン(SSC) - 定義とモデル
2.1. Definition 2.1. 定義
2.2. Economics of Security 2.2. セキュリティの経済性
2.3. Governance Model 2.3. ガバナンス・モデル
2.4. SSC Model 2.4. SSCモデル
2.4.1. Software Supply Chain Defects 2.4.1. ソフトウェア・サプライチェーンの欠陥
2.4.2. Software Supply Chain Attacks 2.4.2. ソフトウェアサプライチェーン攻撃
3. SSC Security — Risk Factors and Mitigation Measures 3. 新生サービサーのセキュリティ-リスク要因と軽減策
3.1. Risk Factors, Targets, and Types of Exploits in an SSC 3.1. SSC におけるリスク要因、標的、およびエクスプロイトの種類
3.1.1. Developer Environment 3.1.1. 開発者環境
3.1.2. Threat Actors 3.1.2. 脅威の主体
3.1.3. Attack Vectors 3.1.3. 攻撃ベクトル
3.1.4. Attack Targets (Assets) 3.1.4. 攻撃目標(資産)
3.1.5. Types of Exploits 3.1.5. エクスプロイトの種類
3.2. Mitigation Measures 3.2. 緩和策
3.2.1. Baseline Security 3.2.1. ベースライン・セキュリティ
3.2.2. Controls for Interacting With SCM Systems 3.2.2. SCMシステムとの対話のためのコントロール
4. CI/CD Pipelines — Background, Security Goals, and Entities to be Trusted 4. CI/CDパイプライン - 背景、セキュリティ目標、信頼されるべきエンティティ
4.1. Broad Security Goals for CI/CD Pipelines 4.1. CI/CDパイプラインの大まかなセキュリティ目標
4.2. Entities That Need Trust in CI/CD Pipelines — Artifacts and Repositories 4.2. CI/CDパイプラインで信頼が必要なエンティティ - 中間品とリポジトリ
5. Integrating SSC Security Into CI/CD Pipelines 5. SSCセキュリティをCI/CDパイプラインに組み込む
5.1. Securing Workflows in CI Pipelines 5.1. CIパイプラインでワークフローを保護する
5.1.1. Secure Build 5.1.1. セキュア・ビルド
5.1.2. Secure Pull-Push Operations on Repositories 5.1.2. リポジトリに対する安全なプル・プッシュ操作
5.1.3. Integrity of Evidence Generation During Software Updates 5.1.3. ソフトウェア更新時の証拠生成の完全性
5.1.4. Secure Code Commits 5.1.4. 安全なコード・コミット
5.2. Securing Workflows in CD Pipelines 5.2. CDパイプラインのワークフローを保護する
5.2.1. Secure CD Pipeline — Case Study (GitOps) 5.2.1. セキュアなCDパイプライン - ケーススタディ(GitOps)
5.3. SSC Security for CI/CD Pipelines — Implementation Strategy 5.3. CI/CDパイプラインのためのSSCセキュリティ - 実装戦略
6. Summary and Conclusions 6. まとめと結論
References 参考文献
Appendix A. Mapping of Recommended Security Tasks in CI/CD Pipelines to Recommended High-Level Practices in SSDF 附属書A. CI/CD パイプラインで推奨されるセキュリティタスクと、SSDF で推奨されるハイレベルプラクティスとのマッピング
Appendix B. Justification for the Omission of Certain Measures Related to SSDF Practices in This Document 附属書B. 本文書においてSSDFの実施に関連する特定の措置が省略されている正当な理由

 

1_20240215002701

ソフトウェア・サプライ・チェーン(SSC)の各要素間の相互作用[1] ステップ[2]

 

[1] 「アクター」とは、ビルド・オーケストレーターのような、人間以外の場合もある。

[2] SSCステップはSSCアクティビティ(例えばビルド)を表す。

 

SP800-204シリーズ...

Release Date Series Number Title タイトル
2019.08.07 SP 800-204 Security Strategies for Microservices-based Application Systems マイクロサービスベースのアプリケーションシステムのセキュリティ戦略
2020.05.27 SP 800-204A Building Secure Microservices-based Applications Using Service-Mesh Architecture サービスメッシュ・アーキテクチャを使用したセキュアなマイクロサービスベースのアプリケーションの構築
2021.08.06 SP 800-204B Attribute-based Access Control for Microservices-based Applications using a Service Mesh サービスメッシュを使用したマイクロサービスベースのアプリケーションのための属性ベースのアクセス制御
2022.03.08 SP 800-204C Implementation of DevSecOps for a Microservices-based Application with Service Mesh サービスメッシュを使ったマイクロサービスベースのアプリケーションのDevSecOpsの実装
2024.02.12 SP 800-204D Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines DevSecOps CI/CDパイプラインにおけるソフトウェアサプライチェーンセキュリティの統合戦略

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2022.03.12 NIST SP 800-204C サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施

・2021.10.01 NIST SP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施

・2021.08.07 NIST SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

・2021.01.29 NIST SP 800-204B (Draft) サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

 

 

 

| | Comments (0)

2024.02.14

ドイツ BSI TR-03179-1 中央銀行デジタル通貨-第1部:バックエンドシステムに関する要求事項 (2023.02.08)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik; BSI) が、中央銀行がデジタル通貨を発行する際のバックエンドシステムに関するセキュリティ要求事項についての技術文書を公表していますね。。。

今回は第1部としてバックエンドシステムですが、まもなく第2部としてフロントエンドシステムが公表される予定です。

しかし、ドイツって中央銀行による通貨の発行は行われていないのになんでだろう...EU向け???

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.02.08 [PDF] TR-03179-1: "Central Bank Digital Currency - Part 1: Requirements on backend systems" (v1.0)

20240213-61643

・[DOCX] 仮訳

 

目次...

1 Introduction 1 序文
1.1 Subject and Purpose of the Technical Guideline 1.1 技術指針の主題と目的
1.2 Scope of the Technical Guideline 1.2 技術指針の範囲
1.3 Overview of the Technical Guideline 1.3 技術指針の概要
1.4 Terms 1.4 用語
2 Overview of security requirements 2 セキュリティ要件の概要
2.1 Life cycle, entities and components 2.1 ライフサイクル、事業体、構成要素
2.2 General considerations 2.2 一般的な考慮事項
2.2.1  Delegation of responsibility 2.2.1 責任の委譲
2.2.2  Higher-level functionality 2.2.2 高次機能
2.2.3  Crypto-agility 2.2.3 暗号アジリティ
2.2.4  Technical design choices 2.2.4 テクニカル・デザインの選択
2.3 High-level security analysis 2.3 ハイレベル・セキュリティ分析
3 Requirements 3 要件
3.1 Functional requirements 3.1 機能要件
3.1.1  Primary intended purpose 3.1.1 主な目的
3.1.2  Creation 3.1.2 創出 (Creation)
3.1.3  Distribution 3.1.3 流通 (Distribution)
3.1.4  Revocation 3.1.4 失効
3.1.5  Exchange 3.1.5 交換
3.1.6  Update 3.1.6 更新
3.1.7  Recovery (OPTIONAL) 3.1.7 回復(オプション)
3.1.8  Payment 3.1.8 支払い
3.2 Transaction-related security requirements 3.2 取引関連のセキュリティ要件
3.2.1  CBDC notes in general 3.2.1 CBDC 注記全般
3.2.2  Validity check for CBDC notes 3.2.2 CBDC紙幣の有効性チェック
3.2.3  Double Spending 3.2.3 二重支払い
3.2.4  Transferring CBDC notes 3.2.4 CBDC紙幣の譲渡
3.2.5  Monitoring failed validity checks 3.2.5 有効性チェックの失敗を監視する
3.3 General security requirements 3.3 一般的なセキュリティ要件
3.3.1  Information Security Management System 3.3.1 情報セキュリティマネジメントシステム
3.3.2  Emergency management and incident handling 3.3.2 緊急事態管理とインシデントハンドリング
3.3.3  Appropriate cryptographic measures 3.3.3 適切な暗号対策
3.3.4  Secure handling and storage of key material 3.3.4 鍵素材の安全な取り扱いと保管
3.3.5  Secure Communication 3.3.5 安全な通信
3.3.6  Authentication of personnel 3.3.6 本人認証
3.3.7  Role management 3.3.7 役割管理
3.3.8  Trustworthy personnel 3.3.8 信頼できる人材
3.3.9  Hardened IT systems and networks supporting logging and monitoring 3.3.9 ロギングと監視をサポートする、強化されたITシステムとネットワーク
3.3.10 Application-level logging and archiving  3.3.10 アプリケーションレベルのロギングとアーカイブ
3.3.11 Physical and environmental security  3.3.11 物理的・環境的安全保障
3.3.12 Availability of services  3.3.12 サービスの利用可能性
3.3.13 Scalability  3.3.13 スケーラビリティ
3.3.14 Documentation  3.3.14 ドキュメンテーション
Annex A: Comparison of CBDC and cash  附属書A:CBDCと現金の比較
Glossary  用語集
List of abbreviations  略語一覧
Bibliography  参考文献

 

 

要件の全体像...

 

1_20240214060701

 

ライフサイクルと関係する機関...

1_20240214060801

| | Comments (0)

2024.02.13

米国 AI安全研究所を設立

こんにちは、丸山満彦です。

英国で、2023.11.02 にAI安全研究所が開設され(このブログ)、日本でもAI安全研究所(AIセーフティ・インスティテュート: AISI)を2月14日にIPAに設立するという話がありますが(ウェブサイトは2024.02.01に開設されています)...

G7が2023.10.30に採択したHiroshima Process International Guiding Principles for Organizations Developing Advanced AI System高度なAIシステムを開発する組織向けの広島プロセス国際指針の行動指針8/11で次のようになっていて、

8 Prioritize research to mitigate societal, safety and security risks and prioritize investment in effective mitigation measures.  8 社会的、安全、セキュリティ上のリスクを軽減するための研究を優先し、効果的な軽減策への投資を優先する。 

続く2023.11.01-02に西欧諸国だけでなく、中国も含めて英国ブレッチリーで、AI安全性サミットが開催され、そこで英国はAI安全研究所の設立を発表しましたね。。。

そして、米国も。。。

しかし、AISICメンバーを見ると、層の厚さを感じます...

 

商務省...

U.S. Department of Commerce

1_20240212232701

プレス...

・2024.02.08 Biden-Harris Administration Announces First-Ever Consortium Dedicated to AI Safety

Biden-Harris Administration Announces First-Ever Consortium Dedicated to AI Safety バイデン-ハリス政権、AIの安全性に特化した初のコンソーシアムを発表
Consortium housed under NIST U.S. AI Safety Institute includes more than 200 leading AI stakeholders to help advance the development and deployment of safe, trustworthy AI. NIST米国AI安全研究所の下に設置されたコンソーシアムには、安全で信頼できるAIの開発と普及を促進するために、200以上の主要なAI関係者が参加している。
Today, U.S. Secretary of Commerce Gina Raimondo announced the creation of the U.S. AI Safety Institute Consortium (AISIC), which will unite AI creators and users, academics, government and industry researchers, and civil society organizations in support of the development and deployment of safe and trustworthy artificial intelligence (AI). The consortium will be housed under the U.S. AI Safety Institute (USAISI) and will contribute to priority actions outlined in President Biden’s landmark Executive Order, including developing guidelines for red-teaming, capability evaluations, risk management, safety and security, and watermarking synthetic content ジーナ・ライモンド米商務長官は本日、米国AI安全研究所コンソーシアム(AISIC)の設立を発表した。同コンソーシアムは、安全で信頼できる人工知能(AI)の開発と普及を支援するため、AIの開発者と利用者、学者、政府および産業界の研究機関、市民団体を結集する。このコンソーシアムは、米国AI安全研究所(USAISI)の下に置かれ、レッドチーム、能力評価、リスクマネジメント、安全・セキュリティ、合成コンテンツの電子透かしに関するガイドラインの策定など、バイデン大統領の画期的な大統領令で示された優先的行動に貢献する。
“The U.S. government has a significant role to play in setting the standards and developing the tools we need to mitigate the risks and harness the immense potential of artificial intelligence. President Biden directed us to pull every lever to accomplish two key goals: set safety standards and protect our innovation ecosystem. That’s precisely what the U.S. AI Safety Institute Consortium is set up to help us do,” said Secretary Raimondo. “Through President Biden’s landmark Executive Order, we will ensure America is at the front of the pack – and by working with this group of leaders from industry, civil society, and academia, together we can confront these challenges to develop the measurements and standards we need to maintain America’s competitive edge and develop AI responsibly.” 「米国政府は、標準を設定し、リスクを軽減し、人工知能の巨大な可能性を活用するために必要なツールを開発する上で、重要な役割を担っている。バイデン大統領は、安全基準の設定とイノベーション・エコシステムの保護という2つの重要な目標を達成するために、あらゆる手段を駆使するよう指示した。それこそが、米国AI安全研究所コンソーシアムが設立された目的なのです」とライモンド長官は語った。「バイデン大統領の画期的な大統領令を通じて、我々はアメリカが先頭を走ることを確実にする。産業界、市民社会、学界のリーダーからなるこのグループと協力することで、我々は共にこれらの課題に立ち向かい、アメリカの競争力を維持し、責任を持ってAIを開発するために必要な測定と標準を開発することができる。
“To keep pace with AI, we have to move fast and make sure everyone – from the government to the private sector to academia – is rowing in the same direction. Thanks to President Biden's landmark Executive Order, the AI Safety Consortium provides a critical forum for all of us to work together to seize the promise and manage the risks posed by AI,” said Bruce Reed, White House Deputy Chief of Staff. 「AIと歩調を合わせるためには、政府から民間セクター、学界に至るまで、すべての人が同じ方向を向いていることを確認し、迅速に行動しなければならない。バイデン大統領の画期的な大統領令のおかげで、AIセーフティ・コンソーシアムは、AIがもたらす可能性を捉え、リスクをマネジメントするために、私たち全員が協力するための重要なフォーラムを提供している」と、ホワイトハウス副主席補佐官のブルース・リードは語った。
The consortium includes more than 200 member companies and organizations that are on the frontlines of creating and using the most advanced AI systems and hardware, the nation’s largest companies and most innovative startups, civil society and academic teams that are building the foundational understanding of how AI can and will transform our society, and representatives of professions with deep engagement in AI’s use today. The consortium represents the largest collection of test and evaluation teams established to date and will focus on establishing the foundations for a new measurement science in AI safety. The consortium also includes state and local governments, as well as non-profits, and will work with organizations from like-minded nations that have a key role to play in developing interoperable and effective tools for safety around the world. コンソーシアムには、最先端のAIシステムやハードウェアを開発・使用する最前線にいる200以上の企業や組織、国内最大手企業や最も革新的な新興企業、AIがどのように我々の社会を変革しうるかについての基礎的な理解を構築している市民団体や学術チーム、そして今日のAI利用に深く関与している専門職の代表者が参加している。このコンソーシアムは、これまでに設立されたテスト・評価チームの最大の集合体であり、AIの安全性における新たな測定科学の基礎を確立することに重点を置く。コンソーシアムには、州政府や地方自治体、非営利団体も参加し、世界中の安全に関する相互運用可能で効果的なツールの開発において重要な役割を担う、志を同じくする国々の組織とも協力する。
The full list of consortium participants is available here. コンソーシアム参加者の全リストはこちらで入手できる。

 

NIST 

1_20240212232501

・2024.02.08 Biden-Harris Administration Announces First-Ever Consortium Dedicated to AI Safety

Biden-Harris Administration Announces First-Ever Consortium Dedicated to AI Safety バイデン-ハリス政権は、AIの安全性に特化した初のコンソーシアムを発表した。
Consortium includes more than 200 leading AI stakeholders and will support the U.S. AI Safety Institute at the National Institute of Standards and Technology. コンソーシアムには200以上の主要なAI関係者が参加し、国立標準技術研究所の米国AI安全研究所を支援する。
Today, U.S. Secretary of Commerce Gina Raimondo announced the creation of the U.S. AI Safety Institute Consortium (AISIC), which will unite AI creators and users, academics, government and industry researchers, and civil society organizations in support of the development and deployment of safe and trustworthy artificial intelligence (AI). The consortium will be housed under the U.S. AI Safety Institute (USAISI) and will contribute to priority actions outlined in President Biden’s landmark Executive Order, including developing guidelines for red-teaming, capability evaluations, risk management, safety and security, and watermarking synthetic content ジーナ・ライモンド米商務長官は本日、米国AI安全性研究所コンソーシアム(AISIC)の設立を発表した。同コンソーシアムは、安全で信頼できる人工知能(AI)の開発と普及を支援するため、AIのクリエーターとユーザー、学者、政府および産業界の研究機関、市民団体を統合する。このコンソーシアムは、米国AI安全研究所(USAISI)の下に置かれ、レッドチーム、能力評価、リスクマネジメント、安全・セキュリティ、合成コンテンツの電子透かしに関するガイドラインの策定など、バイデン大統領の画期的な大統領令で示された優先的行動に貢献する。
The consortium includes more than 200 member companies and organizations that are on the frontlines of creating and using the most advanced AI systems and hardware, the nation’s largest companies and most innovative startups, civil society and academic teams that are building the foundational understanding of how AI can and will transform our society, and representatives of professions with deep engagement in AI’s use today. The consortium represents the largest collection of test and evaluation teams established to date and will focus on establishing the foundations for a new measurement science in AI safety. The consortium also includes state and local governments, as well as non-profits, and will work with organizations from like-minded nations that have a key role to play in developing interoperable and effective tools for safety around the world. このコンソーシアムには、最先端のAIシステムやハードウェアを開発・利用する最前線にいる200以上の企業や組織、国内最大手企業や最も革新的な新興企業、AIがどのように社会を変革しうるか、また変革していくかという基礎的な理解を構築している市民団体や学術チーム、そして今日のAI利用に深く関与している専門職の代表者が参加している。このコンソーシアムは、これまでに設立されたテスト・評価チームの最大の集合体であり、AIの安全性における新たな測定科学の基礎を確立することに重点を置く。このコンソーシアムには、州政府や地方自治体、非営利団体も参加しており、世界中の安全のために相互運用可能で効果的なツールを開発する上で重要な役割を担う、志を同じくする国々の組織とも協力していく。
“AI is moving the world into very new territory. And like every new technology, or every new application of technology, we need to know how to measure its capabilities, its limitations, its impacts. That is why NIST brings together these incredible collaborations of representatives from industry, academia, civil society and the government, all coming together to tackle challenges that are of national importance.”  「AIは世界を非常に新しい領域へと導いている。そして、あらゆる新しい技術、あるいは技術のあらゆる新しい応用のように、我々はその能力、限界、影響を測定する方法を知る必要がある。だからこそNISTは、産業界、学術界、市民社会、政府の代表者が、国家的に重要な課題に取り組むために、このような素晴らしいコラボレーションを実現させているのだ。
— Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio at a Feb. 8, 2024, press briefing announcing the consortium - 標準技術担当商務次官兼NIST理事ローリー・E・ロカシオ、2024年2月8日、コンソーシアム発表記者会見にて
The full list of consortium participants is available online. コンソーシアム参加者の全リストはオンラインで入手できる。
Read the full Department of Commerce press release. 商務省のプレスリリースを読む。

 

コンソーシアムのウェブサイト...

NIST - U.S. ARTIFICIAL INTELLIGENCE SAFETY INSTITUTE

U.S. ARTIFICIAL INTELLIGENCE SAFETY INSTITUTE 米国人工知能安全研究所
On February 7, 2024 US Secretary of Commerce Gina Raimondo announced key members of the executive leadership team to lead the U.S. AI Safety Institute (USAISI), which will be established at the National Institute of Standards and Technology (NIST). Read announcement.  2024年2月7日、ジーナ・ライモンド米商務長官は、国立標準技術研究所(NIST)に設立される米国AI安全研究所(USAISI)を率いる幹部チームの主要メンバーを発表した。発表を読む。
In support of efforts to create safe and trustworthy artificial intelligence (AI), NIST is establishing the U.S. Artificial Intelligence Safety Institute (USAISI). To support this Institute, NIST has created the U.S. AI Safety Institute Consortium. The Consortium brings together more than 200 organizations to develop science-based and empirically backed guidelines and standards for AI measurement and policy, laying the foundation for AI safety across the world. This will help ready the U.S. to address the capabilities of the next generation of AI models or systems, from frontier models to new applications and approaches, with appropriate risk management strategies. 安全で信頼できる人工知能(AI)の実現に向けた取り組みを支援するため、NISTは米国人工知能安全研究所(USAISI)を設立する。この研究所を支援するため、NISTは米国人工知能安全研究所コンソーシアムを設立した。このコンソーシアムには200以上の組織が参加し、科学的根拠と実証的裏付けに基づいたAIの測定と政策に関するガイドラインと標準を開発し、世界中のAIの安全性の基礎を築く。これにより米国は、フロンティアモデルから新しいアプリケーションやアプローチまで、次世代のAIモデルやシステムの能力に適切なリスクマネジメント戦略で対応できるようになる。
Artificial Intelligence Safety Institute Consortium (AISIC) 人工知能安全研究所コンソーシアム(AISIC)
MEMBERS メンバー
MEMBER PERSPECTIVES  メンバーの視点 
WORKING GROUPS ワーキンググループ
FAQS  よくある質問 
Overview  概要 
On February 8, 2024, U.S. Secretary of Commerce Gina Raimondo announced the creation of the U.S. AI Safety Institute Consortium (AISIC). Housed under NIST, the Consortium will unite AI creators and users, academics, government and industry researchers, and civil society organizations in support of the development and deployment of safe and trustworthy artificial intelligence (AI). Read announcement.  2024年2月8日、ジーナ・ライモンド米商務長官は、米国AI安全研究所コンソーシアム(AISIC)の設立を発表した。同コンソーシアムはNISTの傘下に置かれ、安全で信頼できる人工知能(AI)の開発と普及を支援するため、AIの創造者と利用者、学者、政府および産業界の研究者、市民団体を結びつける。発表を読む。
Read member perspectives.  メンバーの見解を読む。
Building upon its long track record of working with the private and public sectors and its history of reliable and practical measurement and standards-oriented solutions, NIST works with research collaborators through the AISIC who can support this vital undertaking. Specifically, it will: NISTは、民間部門および公的部門との協力における長年の実績と、信頼性が高く実用的な測定および標準指向ソリューションの歴史に基づき、AISICを通じて、この重要な事業を支援できる研究協力者と協力する。具体的には
・Establish a knowledge and data sharing space for AI stakeholders ・AI関係者のための知識とデータ共有空間を確立する。
・Engage in collaborative and interdisciplinary research and development through the performance of the Research Plan ・研究計画の遂行を通じて、共同的かつ学際的な研究開発に取り組む。
・Prioritize research and evaluation requirements and approaches that may allow for a more complete and effective understanding of AI’s impacts on society and the US economy ・AIが社会と米国経済に与える影響をより完全かつ効果的に理解するための研究・評価要件とアプローチに優先順位をつける。
・Identify and recommend approaches to facilitate the cooperative development and transfer of technology and data between and among Consortium Members ・コンソーシアムメンバー間およびメンバー間での技術やデータの共同開発および移転を促進するためのアプローチを識別し、推奨する。
・Identify mechanisms to streamline input from federal agencies on topics within their direct purviews ・連邦機関が直接管轄するトピックについて、連邦機関からのインプットを効率化するメカニズムを特定する。
・Enable assessment and evaluation of test systems and prototypes to inform future AI measurement efforts ・将来のAI測定の取り組みに情報を提供するため、テストシステムやプロトタイプの評価と査定を可能にする。
To create a lasting approach for continued joint research and development, the work of the consortium will be open and transparent and provide a hub for interested parties to work together in building and maturing a measurement science for trustworthy and responsible AI.   継続的な共同研究開発のための永続的なアプローチを構築するため、コンソーシアムの活動はオープンで透明性のあるものとし、信頼できる責任あるAIのための測定科学を構築し成熟させるために、関係者が協力するためのハブを提供する。 
Consortium members contributions will support one of the following areas: コンソーシアムメンバーの貢献は、以下の分野のいずれかをサポートする:
1. Develop new guidelines, tools, methods, protocols and best practices to facilitate the evolution of industry standards for developing or deploying AI in safe, secure, and trustworthy ways 新しいガイドライン、ツール、手法、プロトコル、ベストプラクティスを開発し、安全、安心、信頼できる方法でAIを開発・導入するための業界標準の進化を促進する。
2. Develop guidance and benchmarks for identifying and evaluating AI capabilities, with a focus on capabilities that could potentially cause harm  潜在的に危害をもたらす可能性のある能力を中心に、AIの能力を識別・評価するためのガイダンスとベンチマークを開発する。 
3. Develop approaches to incorporate secure-development practices for generative AI, including special considerations for dual-use foundation models, including デュアルユースの基盤モデルに対する特別な配慮を含む、生成的AIに対する安全な開発手法を取り入れるためのアプローチを開発する。
・Guidance related to assessing and managing the safety, security, and trustworthiness of models and related to privacy-preserving machine learning;  モデルの安全性、セキュリティ、信頼性を評価・管理するためのガイダンス、およびプライバシーを保護する機械学習に関連するガイダンス; 
・Guidance to ensure the availability of testing environments テスト環境の利用可能性を確保するためのガイダンス
4. Develop and ensure the availability of testing environments テスト環境の開発と利用可能性の確保
5. Develop guidance, methods, skills and practices for successful red-teaming and privacy-preserving machine learning レッドチームとプライバシー保護機械学習を成功させるためのガイダンス、方法、スキル、プラクティスを開発する。
6. Develop guidance and tools for authenticating digital content デジタルコンテンツの本人認証のためのガイダンスとツールを開発する。
7. Develop guidance and criteria for AI workforce skills, including risk identification and management, test, evaluation, validation, and verification (TEVV), and domain-specific expertise リスクの特定とマネジメント、テスト、評価、検証、検証(TEVV)、ドメイン固有の専門知識など、AI労働者のスキルに関するガイダンスと基準を策定する。
8. Explore the complexities at the intersection of society and technology, including the science of how humans make sense of and engage with AI in different contexts 人間がどのようにAIを理解し、様々な文脈でAIと関わっていくかという科学を含め、社会と技術の交差点における複雑性を探求する。
9. Develop guidance for understanding and managing the interdependencies between and among AI actors along the lifecycle ライフサイクルに沿ったAI関係者間の相互依存関係を理解し管理するためのガイダンスを作成する。
Membership Process 入会プロセス
Organizations had 75 days (between Nov. 2, 2023, and Jan. 15, 2024) to submit a letter of interest as described in the Federal Register. 75日間(2023年11月2日~2024年1月15日)の間に、連邦官報に記載された関心事項を提出する。
NIST received over 600 Letters of Interest from organizations across the AI stakeholder community and the United States. As of February 8, 2024, the consortium includes more than 200 member companies and organizations.  NISTは、AI関係者コミュニティおよび米国内の組織から600通を超える関心状を受け取った。2024年2月8日現在、コンソーシアムには200以上の企業・団体が加盟している。
NIST will continue to onboard organizations into the Consortium, which submitted Letters of Interest prior to the January 15, 2024, deadline. For questions, contact usaisi@nist.gov.  NISTは、2024年1月15日の期限前に関心表明書を提出した組織のコンソーシアムへの加入を継続する。質問については、usaisi@nist.gov。
There may be continuing opportunity to participate in the Consortium even after initial activity commences for participants not selected initially or which submitted their letter of interest after the selection process. Selected participants will be required to enter into a consortium CRADA with NIST.  At NIST’s discretion, entities which are not permitted to enter into CRADAs pursuant to law may be allowed to participate in the Consortium pursuant to separate non-CRADA agreement. 当初選考されなかった参加者、あるいは選考後に関心表明書を提出した参加者については、最初の活動開始後もコンソーシアムに参加する機会が継続される可能性がある。選定された参加者は、NISTとコンソーシアムCRADAを締結することが求められる。 NISTの裁量により、法律に従ってCRADAを締結することが許可されていない事業体は、別途の非CRADA契約に従ってコンソーシアムへの参加を許可される場合がある。
NIST cannot guarantee that all submissions will be used, or the products proposed by respondents will be used in consortium activities. Each prospective participant will be expected to work collaboratively with NIST staff and other project participants under the terms of the Consortium CRADA. NISTは、すべての提出書類が使用されること、あるいは回答者が提案した製品がコンソーシアムの活動で使用されることを保証することはできない。各参加予定者は、コンソーシアムCRADAの条件の下で、NISTのスタッフおよび他のプロジェクト参加者と協力的に作業することが期待される。
An evaluation copy of the Artificial Intelligence Safety Institute Consortium Cooperative Research and Development Agreement (CRADA) is now available (read here). 人工知能安全性研究所コンソーシアム共同研究開発契約(CRADA)の評価コピーは現在入手可能である(ここを読む)。
Members  メンバー 

 

人事関係...

商務省...

U.S. Department of Commerce

U.S. Commerce Secretary Gina Raimondo Announces Key Executive Leadership at U.S. AI Safety Institute ジーナ・ライモンド米商務長官、米国AI安全研究所の主要幹部体制を発表
The National Institute for Standards and Technology (NIST) at Commerce will house the U.S. AI Safety Institute  商務省の国立標準技術研究所(NIST)に米国AI安全研究所が設置される。
U.S. Secretary of Commerce Gina Raimondo announced today key members of the executive leadership team to lead the U.S. AI Safety Institute (AISI), which will be established at the National Institute for Standards and Technology (NIST). Raimondo named Elizabeth Kelly to lead the Institute as its inaugural Director and Elham Tabassi to serve as Chief Technology Officer. The U.S. AI Safety Institute was established under NIST at the direction of President Biden to support the responsibilities assigned to the Department of Commerce under the President’s landmark Executive Order. ジーナ・ライモンド米商務長官は本日、国立標準技術研究所(NIST)に設立される米国AI安全研究所(AISI)を率いる幹部チームの主要メンバーを発表した。ライモンド氏は、初代所長としてエリザベス・ケリー氏を、最高技術責任者としてエルハム・タバシ氏を指名した。米国AI安全研究所は、大統領の画期的な大統領令により商務省に割り当てられた機構をサポートするため、バイデン大統領の指示によりNISTの下に設立された。
“For the United States to lead the world in the development of safe, responsible AI, we need the brightest minds at the helm. I’m proud to announce that Elizabeth Kelly will lead the AI Safety Institute. I’m also thrilled that Elham Tabassi will expand her work at NIST and play a central role on our executive leadership team. Together, they will provide the direction and expertise we need to mitigate the risks that come with the development of this generation-defining technology, so that we can harness its potential,” said Secretary Raimondo. “Thanks to President Biden’s leadership, we’re in a position of power to meet the challenges posed by AI, while fostering America’s greatest strength: innovation.”  ライモンド長官は以下のように述べた。「米国が安全で責任あるAIの開発で世界をリードするためには、最も優秀な頭脳が必要だ。エリザベス・ケリーがAI安全機構を率いることを発表できることを誇りに思う。また、エルハム・タバシがNISTでの仕事を拡大し、我々のエグゼクティブ・リーダーシップ・チームで中心的な役割を果たしてくれることを嬉しく思う。彼らは共に、この生成的技術の開発に伴うリスクを軽減し、その可能性を活用できるようにするために必要な方向性と専門知識をプロバイダとして提供してくれるだろう。バイデン大統領のリーダーシップのおかげで、われわれはAIがもたらす課題に対応する力を持ち、同時にアメリカの最大の強みであるイノベーションを育むことができる。
“Elizabeth has been a driving force behind President Biden’s AI executive order to advance safe, secure, and trustworthy AI. I am thrilled that she will now be standing up the AI Safety Institute under Secretary Raimondo’s leadership,” said Bruce Reed, Deputy Chief of Staff to the President ブルース・リード大統領補佐官は、以下のように述べた。「エリザベスは、安全、安心、信頼できるAIを推進するため、バイデン大統領のAI大統領令を後押ししてきた。彼女がライモンド長官のリーダーシップの下で、AI安全機構を立ち上げることになり、感激している。」
“Elizabeth Kelly is a great choice to lead the AI Safety Institute, which is essential for governing and benefitting from AI. She brings an understanding of the real-world implications of AI—how the use of this powerful technology affects people and business. I’m confident she will build on NIST’s strong track record to deliver on the charges in President Biden’s executive order,” said White House Office of Science and Technology Policy Director and former NIST Director Arati Prabhakar. ホワイトハウスの米国科学技術政策局局長で元NIST局長のアラティ・プラバカール氏は以下のように述べた。「エリザベス・ケリーは、AIをガバナンスし、その恩恵を享受するために不可欠なAI安全機構を率いるにふさわしい人物だ。彼女は、AIの現実世界への影響について理解しており、この強力な技術の使用が人々やビジネスにどのような影響を与えるかを理解している。彼女はNISTの強力な実績を基に、バイデン大統領の大統領令の責任を果たしてくれると確信している。」
“Elizabeth is a talented leader who shaped the President’s agenda on tech and financial regulation and worked to build broad coalitions of stakeholders. She was a key contributor to the design and implementation of the President’s Executive Order on Artificial Intelligence. Elizabeth has been a valued member of President Biden’s team at the White House, and we are delighted that she will continue to advance the President’s agenda on AI at the Department of Commerce,” said Lael Brainard, National Economic Advisor ラエル・ブレイナード国家経済顧問は以下のように述べた。「エリザベスは、技術および金融規制に関する大統領のアジェンダを形成し、利害関係者の幅広い連合体の構築に取り組んだ才能あるリーダーだ。彼女は、人工知能に関する大統領令の策定と実施に大きく貢献した。エリザベスはホワイトハウスでバイデン大統領のチームの重要なメンバーであり、彼女が商務省でAIに関する大統領のアジェンダを引き続き推進してくれることを嬉しく思う。
“I am confident that under the leadership of Elizabeth Kelly, and Elham Tabassi, the U.S. AI Safety Institute will be well positioned to develop the measurement science needed to promote safe and trustworthy development of AI,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio 標準技術担当商務次官兼NIST理事 ローリー・E・ロカシオ氏は以下のように述べた。「エリザベス・ケリーとエルハム・タバシのリーダーシップの下、米国AI安全研究所は、AIの安全で信頼できる開発を促進するために必要な測定科学を開発するのに適した位置にあると確信している。
“The Safety Institute’s ambitious mandate to develop guidelines, evaluate models, and pursue fundamental research will be vital to addressing the risks and seizing the opportunities of AI. I am thrilled to work with the talented NIST team and the broader AI community to advance our scientific understanding and foster AI safety. While our first priority will be executing the tasks assigned to NIST in President Biden’s executive order, I look forward to building the Institute as a long-term asset for the country and the world,” said Elizabeth Kelly, Special Assistant to the President for Economic Policy エリザベス・ケリー大統領特別補佐官(経済政策担当)は以下のように述べた。「ガイドラインを策定し、モデルを評価し、基礎研究を行うという安全研究所の野心的な任務は、AIのリスクに対処し、機構を活用するために不可欠である。優秀なNISTチームや幅広いAIコミュニティと協力し、科学的理解を深め、AIの安全性を促進できることをうれしく思う。バイデン大統領の大統領令でNISTに与えられた機構を遂行することが最優先だが、私はこの研究所を国と世界の長期的な資産として構築することを楽しみにしている」と
“The USAISI will advance American leadership globally in responsible AI innovations that will make our lives better. We must have a firm understanding of the technology, its current and emerging capabilities, and limitations. NIST is taking the lead to create the science, practice, and policy of AI safety and trustworthiness. I am thrilled to be part of this remarkable team, leading the effort to develop science-based, and empirically backed guidelines and standards for AI measurement and policy,” said Elham Tabassi, Chief AI Advisor for NIST NISTのチーフAIアドバイザーであるエルハム・タバシ氏は、以下のように述べた。「USAISIは、私たちの生活をより良いものにする責任あるAIイノベーションにおいて、世界的に米国のリーダーシップを前進させる。我々は、技術、その現状と新たな能力、限界をしっかりと理解しなければならない。NISTは、AIの安全性と信頼性についての科学、実践、政策を率先して構築している。私はこの素晴らしいチームの一員となり、科学的根拠に基づき、実証的に裏付けされたAIの測定と政策に関するガイドラインと標準を開発する取り組みをリードできることに興奮している」
Elizabeth Kelly, as AISI Director, will be responsible for providing executive leadership, management, and oversight of the AI Safety Institute and coordinating with other AI policy and technical initiatives throughout the Department, NIST, and across the government. Elizabeth Kelly serves as Special Assistant to the President for Economic Policy at the White House National Economic Council, where she helps lead the Administration's efforts on financial regulation and technology policy, including artificial intelligence. Elizabeth was a driving force behind the domestic components of the AI executive order, spearheading efforts to promote competition, protect privacy, and support workers and consumer, and helped lead Administration engagement with allies and partners on AI governance. Elizabeth holds a J.D. from Yale Law School, an MSc in Comparative Social Policy from the University of Oxford, and a B.A. from Duke University. エリザベス・ケリーは、AISI所長として、AI安全研究所のエグゼクティブ・リーダーシップ、管理、監督を行い、政府、NIST、そして政府全体の他のAI政策・技術機構との調整を行う。エリザベス・ケリーは、ホワイトハウス国家経済会議の経済政策担当大統領特別補佐官として、金融規制と人工知能を含む技術政策に関する政権の取り組みを主導している。エリザベス・ケリーは、AI大統領令の国内部門を牽引し、競争の促進、プライバシーの保護、労働者と消費者の支援に率先して取り組み、また、AIガバナンスに関する同盟国やパートナーとの政府関与を主導した。彼女はエール大学ロースクールで法学博士号、オックスフォード大学で比較社会政策の修士号、デューク大学で学士号を取得している。
Elham Tabassi, as the Chief Technology Officer, will be responsible for leading key technical programs of the institute, focused on supporting the development and deployment of AI that is safe, secure and trustworthy. She will be responsible for shaping efforts at NIST and with the broader AI community to conduct research, develop guidance, and conduct evaluations of AI models including advanced large language models in order to identify and mitigate AI safety risks. Elham Tabassi has played a leading role in the Department’s AI work at NIST, and in 2023 was named one of TIME Magazine’s 100 Most Influential People in AI. As NIST’s Trustworthy and Responsible AI program lead, she spearheaded development of the widely acclaimed NIST AI Risk Management Framework (AI RMF), a voluntary tool that supports better management of risks to individuals, organizations, and society associated with AI. Tabassi is a Senior Research Scientist and most recently served as the Associate Director for Emerging Technologies in NIST’s Information Technology Laboratory (ITL). In that role, she helped guide strategic direction for research, development, standards, testing and evaluation in the areas of emerging technologies such as artificial intelligence.  エルハム・タバシは、最高技術責任者として、安全、安心、信頼できるAIの開発と普及を支援することに重点を置き、研究所の主要な技術機構を率いる。彼女は、AIの安全性リスクを特定し、軽減するために、NISTおよびより広範なAIコミュニティとともに、研究を実施し、ガイダンスを開発し、高度な大規模言語モデルを含むAIモデルの評価を実施するための取り組みを形成する責任を負う。エルハム・タバシは、NISTにおける同省のAI業務で指導的な役割を果たし、2023年にはTIME誌の「AI分野で最も影響力のある100人」に選出された。NISTのTrustworthy and Responsible AIプログラムリーダーとして、AIに関連する個人、組織、社会に対するリスクマネジメントの向上を支援する自主的なツールであり、広く称賛されているNIST AIリスクマネジメントフレームワーク(AI RMF)の開発の陣頭指揮を執った。タバシは上級研究員であり、直近ではNISTの情報技術研究所(ITL)の新興技術担当副所長を務めた。その職務において、彼女は人工知能などの新興技術分野における研究、開発、標準、試験、評価の戦略的方向性を導くのに貢献した。

 

NIST...

・2024.02.07 U.S. Commerce Secretary Gina Raimondo Announces Key Executive Leadership at U.S. AI Safety Institute 

U.S. Commerce Secretary Gina Raimondo Announces Key Executive Leadership at U.S. AI Safety Institute  ジーナ・ライモンド米商務長官、米国AI安全研究所の主要幹部を発表
The National Institute for Standards and Technology (NIST) at Commerce will house the U.S. AI Safety Institute. 米国商務省の国立標準技術研究所(NIST)に米国AI安全研究所が設置される。
U.S. Secretary of Commerce Gina Raimondo announced today key members of the executive leadership team to lead the U.S. AI Safety Institute (AISI), which will be established at the National Institute for Standards and Technology (NIST). Raimondo named Elizabeth Kelly to lead the institute as its inaugural director and Elham Tabassi to serve as chief technology officer. The U.S. AI Safety Institute was established under NIST at the direction of President Biden to support the responsibilities assigned to the Department of Commerce under the president’s landmark Executive Order. ジーナ・ライモンド米商務長官は本日、国立標準技術研究所(NIST)に設立される米国AI安全研究所(AISI)を率いる幹部チームの主要メンバーを発表した。ライモンド氏は、初代所長としてエリザベス・ケリー氏を、最高技術責任者としてエルハム・タバシ氏を指名した。米国AI安全研究所は、大統領の画期的な大統領令により商務省に割り当てられた機構を支援するため、バイデン大統領の指示によりNISTの下に設立された。
“I am confident that under the leadership of Elizabeth Kelly, and Elham Tabassi, the U.S. AI Safety Institute will be well positioned to develop the measurement science needed to promote safe and trustworthy development of AI,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. 「エリザベス・ケリーとエルハム・タバシのリーダーシップの下で、米国AI安全研究所は、AIの安全で信頼できる開発を促進するために必要な測定科学を開発するのに適した立場にあると確信している。
“The Safety Institute’s ambitious mandate to develop guidelines, evaluate models, and pursue fundamental research will be vital to addressing the risks and seizing the opportunities of AI. I am thrilled to work with the talented NIST team and the broader AI community to advance our scientific understanding and foster AI safety. While our first priority will be executing the tasks assigned to NIST in President Biden’s executive order, I look forward to building the institute as a long-term asset for the country and the world,” said Elizabeth Kelly, special assistant to the president for economic policy.  「ガイドラインを策定し、モデルを評価し、基礎研究を行うという安全研究所の野心的な任務は、AIのリスクに対処し、機構を活用するために不可欠である。優秀なNISTチームや幅広いAIコミュニティと協力し、科学的理解を深め、AIの安全性を促進できることをうれしく思う。バイデン大統領の大統領令でNISTに与えられた機構を遂行することが最優先だが、私はこの研究所を国と世界の長期的な資産として構築することを楽しみにしている」と、経済政策担当大統領特別補佐官のエリザベス・ケリーは語った。
“The USAISI will advance American leadership globally in responsible AI innovations that will make our lives better. We must have a firm understanding of the technology, its current and emerging capabilities, and limitations. NIST is taking the lead to create the science, practice, and policy of AI safety and trustworthiness. I am thrilled to be part of this remarkable team, leading the effort to develop science-based, and empirically backed guidelines and standards for AI measurement and policy,” said Elham Tabassi, chief AI advisor for NIST. 「USAISIは、我々の生活をより良くする責任あるAIイノベーションにおいて、世界的に米国のリーダーシップを前進させるだろう。われわれは、この技術、その現在および将来の能力、そして限界についてしっかりと理解しなければならない。NISTは、AIの安全性と信頼性の科学、実践、政策を率先して構築している。NISTのチーフAIアドバイザーであるエルハム・タバシ氏は、「私はこの素晴らしいチームの一員として、科学的根拠に基づき、実証的に裏付けされたAIの測定と政策に関するガイドラインと標準を開発する取り組みをリードできることに興奮している」と語った。
Read the complete news release on the Department of Commerce website. 商務省のウェブサイトでニュースリリース全文を読む。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.05 英国 AI安全研究所の設立 (2023.11.02)

 

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

・2023.10.30 英国 科学技術革新省 フロンティアAI:その能力とリスク - ディスカッション・ペーパー

・2023.08.25 英国 AIサミットは11月1日2日にブレッチリー・パークで開催

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

 

・2023.10.31 外務省 G7 広島AIプロセスに関するG7首脳声明

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.10.30 中国 グローバルAIガバナンス・イニシアティブ (2023.10.19)

・2023.10.30 経団連 AI活用戦略Ⅱ -わが国のAI-Powered化に向けて- (2023.10.17)

・2023.10.25 インド AIに関する専門家の報告書「インディアAI 2023」を公表 (2023.10.14)

| | Comments (0)

NIST SP 800-223 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

こんにちは、丸山満彦です。

昨年2月に公表された、NIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態が、ほぼ1年後に確定して公表されましたね...

 

高性能コンピューティングの参照モデル...

HPC System Reference Architecture and Main Components  HPCシステム・リファレンス・アーキテクチャと主要コンポーネント 
The HPC system is complex and evolving, and a common lexicon can help describe and identify an HPC system’s architecture, critical elements, security threats, and potential risks. An HPC system is divided into four function zones:   HPCシステムは複雑で進化しており、共通の語彙は、HPCシステムのアーキテクチャ、重要な要素、セキュリティ脅威、潜在的リスクを記述し、識別するのに役立つ。HPCシステムは4つの機能領域に分けられる:  
1.    The high-performance computing zone consists of a pool of compute nodes connected by one or more high-speed networks. The high-performance computing zone provides key services specifically designed to run parallel jobs at scale.   1.    高性能コンピューティング領域は、1つ以上の高速ネットワークで接続されたコンピュート・ノードのプールで構成される。高性能コンピューティング領域は、並列ジョブを大規模に実行するために特別に設計された主要なサービスを提供する。  
2.    The data storage zone comprises one or multiple high-speed parallel file systems that provide data storage service for user data. The high-speed parallel file systems are designed to store very large data sets and provide fast access to data for reading and writing.  2.    データ保存領域は、ユーザーデータのデータ保存サービスを提供する1つまたは複数の高速並列ファイルシステムで構成される。高速並列ファイルシステムは、非常に大きなデータセットを格納し、読み書きのためのデータへの高速アクセスを提供するように設計されている。 
3.    The access zone has one or more nodes that are connected to external networks, such as the broader organizational network or the internet. This zone provides the means for authenticating and authorizing the access and connections of users and administrators. The access zone provides various services, including interactive shells, web-based portals, data transfer, data visualization, and others.   3.    アクセス領域には、より広範な組織ネットワークやインターネットなどの 外部ネットワークに接続される1つ以上のノードがある。この領域は、ユーザーや管理者のアクセスや接続を認証・認可する手段を提供する。アクセス領域は、インタラクティブ・シェル、ウェブベースのポータル、データ転送、データ可視化など、さまざまなサービスを提供する。  
4.    The management zone comprises multiple management nodes and/or cloud service clusters through which HPC management services are provided. The management zone allows HPC system administrators to configure and manage the HPC system, including the configuration of compute nodes, storage, networks, provisioning, identity management, auditing, system monitoring, and vulnerability assessment. Various management software modules (e.g., job schedulers, workflow management, and the Domain Name System [DNS]) run in the management zone.  4.    管理領域は、複数の管理ノードおよび/またはクラウドサービスクラスタから構成され、これらを通じてHPCマネージメントサービスが提供される。管理領域では、HPCシステム管理者が、コンピュートノード、ストレージ、ネットワーク、プロビジョニング、ID管理、監査、システム監視、脆弱性評価などのHPCシステムの設定と管理を行うことができる。さまざまな管理ソフトウェアモジュール(ジョブスケジューラ、ワークフロー管理、ドメインネームシステム[DNS]など)は、管理領域で実行される。 

 

1_20240212065501

 

 

NIST - ITL

・2024.02.09 NIST SP 800-223 High-Performance Computing Security: Architecture, Threat Analysis, and Security Posture

NIST SP 800-223 High-Performance Computing Security: Architecture, Threat Analysis, and Security Posture NIST SP 800-223 高性能コンピューティング・セキュリティ: アーキテクチャ、脅威分析、セキュリティ体制
Abstract 概要
Security is essential component of high-performance computing (HPC). HPC systems often differ based on the evolution of their system designs, the applications they run, and the missions they support. An HPC system may also have its own unique security requirements, follow different security guidance, and require tailored security solutions. Their complexity and uniqueness impede the sharing of security solutions and knowledge. This NIST Special Publication aims to standardize and facilitate the information and knowledge-sharing of HPC security using an HPC system reference architecture and key components as the basis of an HPC system lexicon. This publication also analyzes HPC threats, considers current HPC security postures and challenges, and makes best-practice recommendations. セキュリティはハイパフォーマンス・コンピューティング(HPC)に不可欠な要素である。HPCシステムは、システム設計の進化、実行するアプリケーション、サポートするミッションによって異なることが多い。また、HPCシステムには独自のセキュリティ要件があり、異なるセキュリティガイダンスに従わなければならない場合もある。その複雑さと独自性が、セキュリティソリューションと知識の共有を妨げている。本NIST特別刊行物は、HPCシステム辞書の基礎となるHPCシステム参照アーキテクチャと主要コンポーネントを使用して、HPCセキュリティに関する情報と知識の共有を標準化し、促進することを目的としている。また、本書はHPCの脅威を分析し、現在のHPCセキュリティの姿勢と課題を考察し、ベストプラクティスの推奨を行う。

 

・[PDF] SP.800-223

20240211-213427

 

・[DOCX] 仮訳

・[PDF] 仮訳

 

目次...

1. Introduction 1. 序文
2. HPC System Reference Architecture and Main Components 2. HPCシステム・リファレンス・アーキテクチャと主要コンポーネント
2.1. Main Components 2.1. 主要コンポーネント
2.1.1. Components of the High-Performance Computing Zone 2.1.1. 高性能コンピューティング領域のコンポーネント
2.1.2. Components of the Data Storage Zone 2.1.2. データ保存領域の構成要素
2.1.3. Parallel File System 2.1.3. 並列ファイルシステム
2.1.4. Archival and Campaign Storage 2.1.4. アーカイブとキャンペーン・ストレージ
2.1.5. Burst Buffer 2.1.5. バースト・バッファ
2.1.6. Components of the Access Zone 2.1.6. アクセス領域の構成要素
2.1.7. Components of the Management Zone 2.1.7. 管理領域の構成要素
2.1.8. General Architecture and Characteristics 2.1.8. 一般的なアーキテクチャと特徴
2.1.9. Basic Services 2.1.9. 基本サービス
2.1.10. Configuration Management 2.1.10. 構成管理
2.1.11. HPC Scheduler and Workflow Management 2.1.11. HPCスケジューラとワークフロー管理
2.1.12. HPC Software 2.1.12. HPCソフトウェア
2.1.13. User Software 2.1.13. ユーザーソフトウェア
2.1.14. Site-Provided Software and Vendor Software 2.1.14. サイト提供ソフトウェアおよびベンダーソフトウェア
2.1.15. Containerized Software in HPC 2.1.15. HPCにおけるコンテナ化されたソフトウェア
3. HPC Threat Analysis 3. HPCの脅威分析
3.1. Key HPC Security Characteristics and Use Requirements  3.1. 主なHPCセキュリティ特性と使用要件 
3.2. Threats to HPC Function Zones 3.2. HPC機能領域への脅威
3.2.1. Access Zone Threats 3.2.1. アクセス領域の脅威
3.2.2. Management Zone Threats 3.2.2. 管理領域の脅威
3.2.3. High-Performance Computing Zone Threats 3.2.3. 高性能コンピューティング領域の脅威
3.2.4. Data Storage Zone Threats 3.2.4. データ保存領域の脅威
3.3. Other Threats 3.3. その他の脅威
4. HPC Security Posture, Challenges, and Recommendations 4. HPCセキュリティ体制、課題、提言
4.1. HPC Access Control via Network Segmentation 4.1. ネットワーク・セグメンテーションによるHPCアクセス制御
4.2. Compute Node Sanitization 4.2. 計算ノードのサニタイゼーション
4.3. Data Integrity Protection 4.3. データの完全性防御
4.4. Securing Containers 4.4. コンテナの保護
4.5. Achieving Security While Maintaining HPC Performance 4.5. HPC性能を維持しながらセキュリティを実現する
4.6. Challenges to HPC Security Tools 4.6. HPCセキュリティツールの課題
References 参考文献
Appendix A. HPC Architecture Variants 附属書A. HPCアーキテクチャのバリエーション
A.1. Diskless Booting HPC A.1. ディスクレスブートHPC
A.2. Virtualized and Containerized HPC Environments A.2. 仮想化およびコンテナ化されたHPC環境
A.3. Cloud HPC Environments A.3. クラウドHPC環境

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.30 NIST IR 8476 第3回 高性能コンピューティングセキュリティワークショップ: NIST-NSF合同ワークショップ報告書

・2023.07.21 CSA ハイパフォーマンス・コンピューティング机上演習ガイド

・2023.02.08 NIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

 

 

| | Comments (0)

2024.02.12

Five Eyes 中華人民共和国の支援を受けたサイバーアクターが米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断... (2024.02.07)

こんにちは、丸山満彦です。

Five Eyesのサイバーセキュリティ機関(オーストラリアACSCカナダCCCSニュージーランドNCSC英国NCSC米国CISA)等が、共同で、中華人民共和国の支援を受けたサイバーアクター (Volt Typhoon) が米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断し、警告と対策を公表していますね。。。

このブログでも紹介しましたが、2024.01.31 に米国司法省が、民間と協力してVolt Typhoonのボットネットを破壊したと公表していましたが(このブログ)、その関係ですかね。。。昨年2023.05.24にVolt TyphoonについてのアラートをFive Eyesで公表していますね(このブログ)。。。米国はVolt Typhoonの動きは相当気にしているようですね...

‘living off the land; LOTL’ という用語がキーワードなんですが、訳語が難しいですね。。。私は「現地調達」としたのですが、「自給自足」、「環境寄生型」と訳しているケースもありますね。。。自給自足が近いですかね。。。

 

まずは、米国から...その後はアルファベット順に...

CISA

・2024.02.07 CISA and Partners Release Advisory on PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance

CISA and Partners Release Advisory on PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance CISAとパートナーは、中国が支援するボルト台風の活動に関する勧告と現地調達手法の識別と低減のためのガイドラインの補足を発表した。
Today, CISA, the National Security Agency (NSA), and the Federal Bureau of Investigation (FBI) released a joint Cybersecurity Advisory (CSA), PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure alongside supplemental Joint Guidance: Identifying and Mitigating Living off the Land Techniques. 本日、CISA、国家安全保障局(NSA)、連邦捜査局(FBI)は、共同サイバーセキュリティ・アドバイザリ(CSA)「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」を、補足的な共同ガイダンスとともに発表した: 現地調達手法の識別と低減」と併せて発表した。
The following federal agencies and international organizations are additional co-authors on the joint advisory and guidance: 以下の連邦政府機関および国際機関は、共同勧告およびガイダンスの追加共著者である:
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Administration (TSA) ・米国運輸保安局(TSA)
・Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) ・オーストラリア信号総局(ASD)のオーストラリア・サイバー・セキュリティ・センター(ACSC)
・Canadian Centre for Cyber Security (CCCS) a part of the Communications Security Establishment (CSE) ・カナダ・サイバーセキュリティセンター(CCCS)(コミュニケーション・セキュリティ・エスタブリッシュメント(CSE)の一部
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
Volt Typhoon actors are seeking to pre-position themselves—using living off the land (LOTL) techniques—on IT networks for disruptive or destructive cyber activity against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. The advisory provides actionable information from U.S. incident response activity that can help all organizations: ボルト・タイフーンの行動主体は、米国との重大な危機または紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー活動のために、現地調達(LOTL)技術を用いてITネットワーク上に事前に配置しようとしている。この勧告は、米国のインシデント対応活動から、すべての組織に役立つ実用的な情報を提供する:
1. Recognize Volt Typhoon techniques, 1. ボルト・タイフーンのテクニックを認識する、
2. Assess whether Volt Typhoon techniques have compromised your organization, 2. ボルト・タイフーンのテクニックがあなたの組織を危険にさらしているかどうかを評価する、
3. Secure your networks from these adversarial techniques by implementing recommended mitigations. 3. 推奨される低減策を実施することにより、これらの敵対的手法からネットワークを保護する。
To supplement the advisory, the Joint Guidance provides threat detection information and mitigations applicable to LOTL activity, regardless of threat actor. Additionally, CISA has published Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers, which provides technology manufactures guidance on protecting their products from Volt Typhoon compromises
.
この勧告を補足するために、共同ガイダンスは、脅威行為者に関係なく、LOTL の活動に適用可能な脅威検知情報と低減策を提供している。さらに、CISA は「Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers(設計による安全確保:SOHO 機器製造者のためのセキュリティ設計改善)」を発表し、Volt Typhoon による侵害から自社製品を保護するための技術製造者向けガイダンスを提供している。
CISA and its partners strongly urge critical infrastructure organizations and technology manufacturers to read the joint advisory and guidance to defend against this threat. For more information on People’s Republic of China (PRC) state-sponsored actors, visit People's Republic of China Cyber Threat. To learn more about secure by design principles and practices, visit Secure by Design. CISAとそのパートナーは、重要インフラ組織と技術製造者がこの脅威から身を守るために共同勧告とガイダンスを読むよう強く求めている。中華人民共和国(PRC)の国家支援行為者の詳細については、中華人民共和国のサイバー脅威を参照のこと。セキュア・バイ・デザインの原則と実践の詳細については、セキュア・バイ・デザインを参照のこと。

 

アドバイザリー...

・2024.02.07 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure

AA24-038A

PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure 中華人民共和国の国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する
ACTIONS TO TAKE TODAY TO MITIGATE VOLT TYPHOON ACTIVITY: 台風の活動を軽減するために、今すぐ取るべき行動
1. Apply patches for internet-facing systems. Prioritize patching critical vulnerabilities in appliances known to be frequently exploited by Volt Typhoon. 1. インターネットに接続するシステムにパッチを適用する。ボルト・タイフーンに頻繁に悪用されることが知られているアプライアンスの重要な脆弱性に優先的にパッチを適用する。
2. Implement phishing-resistant MFA. 2. フィッシングに強いMFAを導入する。
3. Ensure logging is turned on for application, access, and security logs and store logs in a central system. 3. アプリケーション・ログ、アクセス・ログ、セキュリティ・ログを確実に記録し、中央システムに保存する。
SUMMARY 概要
The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), and Federal Bureau of Investigation (FBI) assess that People’s Republic of China (PRC) state-sponsored cyber actors are seeking to pre-position themselves on IT networks for disruptive or destructive cyberattacks against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. サイバーセキュリティ・インフラ・セキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)は、中華人民共和国(PRC)の国家に支援されたサイバー・アクターが、米国との間で重大な危機や紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー攻撃のために、ITネットワーク上に事前に配置しようとしていると評価している。
CISA, NSA, FBI and the following partners are releasing this advisory to warn critical infrastructure organizations about this assessment, which is based on observations from the U.S. authoring agencies’ incident response activities at critical infrastructure organizations compromised by the PRC state-sponsored cyber group known as Volt Typhoon (also known as Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite, and Insidious Taurus): CISA、NSA、FBI、および以下のパートナーは、ボルト・タイフーン(別名Vanguard Panda、BRONZE SILHOUETTE、Dev-0391、UNC3236、Voltzite、およびInsidious Taurus)として知られるPRC国家支援サイバー・グループによって侵害された重要インフラ組織における米国認可機関のインシデント対応活動からの観察に基づくこの評価について、重要インフラ組織に警告するためにこの勧告を発表する:
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Administration (TSA) ・米国運輸保安局(TSA)
・Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) ・オーストラリア信号総局(ASD)のオーストラリア・サイバー・セキュリティ・センター(ACSC)
・Canadian Centre for Cyber Security (CCCS), a part of the Communications Security Establishment (CSE) ・コミュニケーション・セキュリティ・エスタブリッシュメント(CSE)の一部であるカナダ・サイバーセキュリティセンター(CCCS)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
The U.S. authoring agencies have confirmed that Volt Typhoon has compromised the IT environments of multiple critical infrastructure organizations—primarily in CommunicationsEnergyTransportation Systems, and Water and Wastewater Systems Sectors—in the continental and non-continental United States and its territories, including Guam. Volt Typhoon’s choice of targets and pattern of behavior is not consistent with traditional cyber espionage or intelligence gathering operations, and the U.S. authoring agencies assess with high confidence that Volt Typhoon actors are pre-positioning themselves on IT networks to enable lateral movement to OT assets to disrupt functions. The U.S. authoring agencies are concerned about the potential for these actors to use their network access for disruptive effects in the event of potential geopolitical tensions and/or military conflicts. CCCS assesses that the direct threat to Canada’s critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well, due to cross-border integration. ASD’s ACSC and NCSC-NZ assess Australian and New Zealand critical infrastructure, respectively, could be vulnerable to similar activity from PRC state-sponsored actors. 米国の認可機関は、ボルト・タイフーンが米国本土および非大陸、グアムを含むその領土にある、主にコミュニケーション、エネルギー、輸送システム、上下水道システム部門の複数の重要インフラ組織のIT環境を侵害したことを確認した。ヴォルト・タイフーンの標的の選択と行動パターンは、伝統的なサイバースパイ活動や情報収集活動とは一致せず、米国の認可機関は、ボルト・タイフーンの行為者は、機能を混乱させるためにOT資産への横方向の移動を可能にするために、ITネットワーク上にあらかじめ配置されていると高い確信をもって評価している。米国の認可機関は、潜在的な地政学的緊張や軍事衝突が発生した場合に、これらの行為者がネットワークアクセスを破壊的効果のために利用する可能性を懸念している。CCCSは、カナダの重要インフラに対するPRCの国家支援行為者の直接的脅威は、米国のインフラに対する脅威より低い可能性が高いが、米国のインフラが中断された場合、国境を越えた統合により、カナダも影響を受ける可能性が高いと評価している。ASDのACSCとNCSC-NZは、それぞれオーストラリアとニュージーランドの重要インフラを評価しているが、PRCの国家支援者による同様の活動に対して脆弱性を持つ可能性がある。
As the authoring agencies have previously highlighted, the use of living off the land (LOTL) techniques is a hallmark of Volt Typhoon actors’ malicious cyber activity when targeting critical infrastructure. The group also relies on valid accounts and leverage strong operational security, which combined, allows for long-term undiscovered persistence. In fact, the U.S. authoring agencies have recently observed indications of Volt Typhoon actors maintaining access and footholds within some victim IT environments for at least five years. Volt Typhoon actors conduct extensive pre-exploitation reconnaissance to learn about the target organization and its environment; tailor their tactics, techniques, and procedures (TTPs) to the victim’s environment; and dedicate ongoing resources to maintaining persistence and understanding the target environment over time, even after initial compromise. 認可機関が以前に強調したように、現地調達(LOTL)テクニックの使用は、重要インフラを標的にしたときのVolt Typhoon行為者の悪意あるサイバー活動の特徴である。このグループはまた、有効なアカウントに依存し、強力な運用セキュリティを活用することで、発見されずに長期的に存続することを可能にしている。実際、米国の認可機関は最近、ヴォルト・タイフーン活動家が少なくとも5年間は被害者のIT環境にアクセスし、その足場を維持している兆候を観察している。Volt Typhoonの行為者は、標的の組織とその環境について知るために、大規模な事前偵察を行い、被害者の環境に合わせて戦術、技術、手順(TTP)を調整し、最初の侵害後でさえ、長期にわたって標的の環境を理解し、持続性を維持するために継続的なリソースを費やしている。
The authoring agencies urge critical infrastructure organizations to apply the mitigations in this advisory and to hunt for similar malicious activity using the guidance herein provided, along with the recommendations found in joint guide Identifying and Mitigating Living Off the Land Techniques. These mitigations are primarily intended for IT and OT administrators in critical infrastructure organizations. Following the mitigations for prevention of or in response to an incident will help disrupt Volt Typhoon’s accesses and reduce the threat to critical infrastructure entities. 認可機関は、重要インフラ組織が本勧告の軽減策を適用し、共同ガイド「現地調達手法の特定と軽減」に記載されている推奨事項とともに、本指針に記載されているガイダンスを使用して同様の悪意ある活動を狩ることを強く推奨する。これらの低減は、主に重要インフラ組織の IT および OT 管理者を対象としている。インシデントの発生を防止するため、あるいはインシデントに対応するための低減策に従うことは、ボルト・タイフーン のアクセスを妨害し、重要インフラ事業体への脅威を低減するのに役立つ。
If activity is identified, the authoring agencies strongly recommend that critical infrastructure organizations apply the incident response recommendations in this advisory and report the incident to the relevant agency (see Contact Information section). 活動が確認された場合、重要インフラ組織は、本勧告のインシデント対応に関する推奨事項を適用し、関連機関(「連絡先情報」セクションを参照)にインシデントを報告することを強く推奨する。
For additional information, see joint advisory People’s Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection and U.S. Department of Justice (DOJ) press release U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure. For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories webpage. 追加情報については、共同勧告「中華人民共和国が現地調達して検知を逃れるサイバー行為者」および米国司法省(DOJ)のプレスリリース「米国政府、重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊」を参照のこと。中華人民共和国が国家をスポンサーとする悪質なサイバー活動の詳細については、CISAの中国サイバー脅威の概要と勧告のウェブページを参照のこと。

 

・[PDF

20240211-175420

 

ボルト・タイフーンの活動例

1_20240211183201

 

 

・2023.02.07 MAR-10448362-1.v1 Volt Typhoon

MAR-10448362-1.v1 Volt Typhoon MAR-10448362-1.v1 ボルト・タイフーン
Summary 概要
Description 説明
CISA received three files for analysis obtained from a critical infrastructure compromised by the People’s Republic of China (PRC) state-sponsored cyber group known as Volt Typhoon. CISAは、ボルト・タイフーンとして知られる中華人民共和国(PRC)国家支援サイバー・グループによって侵害された重要インフラから入手した3つの分析用ファイルを受け取った。
The submitted files enable discovery and command-and-control (C2): (1) An open source Fast Reverse Proxy Client (FRPC) tool used to open a reverse proxy between the compromised system and a Volt Typhoon C2 server; (2) a Fast Reverse Proxy (FRP) that can be used to reveal servers situated behind a network firewall or obscured through Network Address Translation (NAT); and (3) a publicly available port scanner called ScanLine. (1)侵害されたシステムとボルト・タイフーンのC2サーバーとの間にリバース・プロキシを開くために使用されるオープン・ソースのFast Reverse Proxy Client (FRPC)ツール、(2)ネットワーク・ファイアウォールの背後にある、またはネットワーク・アドレス変換(NAT)によって隠されているサーバーを明らかにするために使用できるFast Reverse Proxy (FRP)、(3)ScanLineと呼ばれる一般に入手可能なポート・スキャナー。
For more information on Volt Typhoon see, joint Cybersecurity Advisory PRC State-Sponsored Actors Compromise, and Maintain Persistent Access to, U.S. Critical Infrastructure. For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories, webpage. ボルト・タイフーンの詳細については、共同サイバーセキュリティ・アドバイザリー「PRC State-Sponsored Actors Compromise, and Maintain Persistent Access to, U.S. Critical Infrastructure」を参照のこと。中国国家が支援する悪質なサイバー活動の詳細については、CISAの「中国サイバー脅威の概要と勧告」ウェブページを参照のこと。

 

・[PDF]

20240211-182507

 


 

オーストラリア

Australian Signal Directorete - Cyber Security Centre

・2024.02.08 Identifying and Mitigating Living Off the Land Techniques

Identifying and Mitigating Living Off the Land Techniques 現地調達手法の識別と低減
Summary 概要
Introduction 序文
Living off the Land 現地調達
Network Defense Weaknesses ネットワーク防御の弱点
Best Practice Recommendations ベストプラクティスの推奨
Detection and Hunting Recommendations 検知とハンティングのすすめ
Remediation 修復
Secure by Design: Recommendations for Software Manufacturers セキュア・バイ・デザイン ソフトウェア製造事業者への提言
Resources リソース
References 参考文献
Disclaimer 免責事項
Acknowledgements 謝辞
Appendix A: LOTL in WIndows, Linux, MacOS, and Hybrid Environments 附属書 A: Windows、Linux、MacOS、およびハイブリッド環境における LOTL
Appendix B: Third-Party Tools for LOTL 附属書 B: LOTL 用サードパーティ製ツール
Appendix C: Known Lolbins Used Maliciously 附属書C:悪意を持って使用されている既知のLolbins
Summary 概要
This Guide, authored by the U.S. Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), and the following agencies (hereafter referred to as the authoring agencies), provides information on common living off the land (LOTL) techniques and common gaps in cyber defense capabilities. 本ガイドは、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査 局(FBI)、及び以下の機関(以下、認可機関と呼ぶ)によって作成され、現地調達(LOTL)の一般的な手 法及びサイバー防御能力における一般的なギャップに関する情報を提供する。
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Agency (TSA) ・米国運輸保安庁(TSA)
・Australian Signals Directorate’s Australian Cyber Security Centre (ASD's ACSC) ・オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ASD's ACSC)
・Canadian Centre for Cyber Security (CCCS) ・カナダ・サイバーセキュリティセンター(CCCS)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
The joint guide for network defenders focuses on how to mitigate identified gaps and to detect and hunt for LOTL activity. The information in this joint guide is derived from a previously published joint advisory; incident response engagements undertaken by several of the authoring agencies; red team assessments by several of the authoring agencies using LOTL for undetected, persistent access; and collaborative efforts with industry. ネットワーク防衛者のための共同ガイドは、識別されたギャップを軽減し、LOTL の活動を検知し、ハントする方法に重点を置いている。この共同ガイドの情報は、以前に発表された共同アドバイザリ、認可機関のいくつかによって実施されたインシデント対応業務、未検出の持続的アクセスに LOTL を使用する認可機関のいくつかによるレッドチーム評価、および産業界との共同作業から得られたものである。
The authoring agencies have observed cyber threat actors, including the People’s Republic of China (PRC) [1],[2] and Russian Federation [3] state-sponsored actors, leveraging LOTL techniques to compromise and maintain persistent access to critical infrastructure organizations. The authoring agencies are releasing this joint guide for network defenders (including threat hunters) as the malicious use of LOTL techniques is increasingly emerging in the broader cyber threat environment. 認可機関は、中華人民共和国(PRC)[1]、[2]、ロシア連邦[3]などの国家に支援されたサイバー脅威行為者が、LOTL 技術を活用し て重要インフラ組織を侵害し、持続的なアクセスを維持していることを確認している。認可機関は、ネットワーク防御者(脅威ハンターを含む)のために、LOTL 手法の悪意ある利用が広範なサイ バー脅威環境においてますます顕在化していることから、この共同ガイドを公開する。
Cyber threat actors leveraging LOTL abuse native tools and processes on systems, often using “living off the land binaries” (LOLBins). They use LOTL in multiple IT environments, including on-premises, cloud, hybrid, Windows, Linux, and macOS environments. LOTL enables cyber threat actors to conduct their operations discreetly as they can camouflage activity with typical system and network behavior, potentially circumventing basic endpoint security capabilities. LOTL を活用するサイバー脅威行為者は、システム上のネイティブなツールやプロセスを悪用し、多くの場合「現地調達バイナリ」(LOLBin)を使用する。彼らは、オンプレミス、クラウド、ハイブリッド、Windows、Linux、macOS 環境など、複数の IT 環境で LOTL を使用する。LOTL は、典型的なシステムやネットワークの動作で活動をカモフラージュできるため、サイバー脅威行為者が目立たないように活動を行うことを可能にし、基本的なエンドポイントセキュリティ機能を回避できる可能性がある。
LOTL is particularly effective because: LOTL が特に効果的な理由は以下の通りである:
・Many organizations lack effective security and network management practices (such as established baselines) that support detection of malicious LOTL activity—this makes it difficult for network defenders to discern legitimate behavior from malicious behavior and conduct behavioral analytics, anomaly detection, and proactive hunting. ・多くの組織では、悪意のある LOTL アクティビティの検知をサポートする効果的なセキュリティおよびネットワーク管理の実践(確立されたベースラインなど)が欠如しているため、ネットワーク防御者が正当な挙動と悪意のある挙動を識別し、行動分析、異常検知、プロアクティブ・ハンティングを実施することが困難である。
・There is a general lack of conventional indicators of compromise (IOCs) associated with the activity, complicating network defenders’ efforts to identify, track, and categorize malicious behavior. ・一般的に、この活動に関連する従来の侵害指標(IOC)が欠如しているため、悪意のある行動を識別、追跡、分類するネットワーク防御者の取り組みが複雑になっている。
・It enables cyber threat actors to avoid investing in developing and deploying custom tools. ・これにより、サイバー脅威行為者はカスタムツールの開発・導入への投資を避けることができる。
Even for organizations adopting best practices, distinguishing malicious LOTL activity from legitimate behavior is challenging because network defenders often: ベスト・プラクティスを採用している組織であっても、悪意のある LOTL アクティビティと正当なアクティビティを区別することは困難である:
・Operate in silos separate from IT teams and their operational workflows; ・IT チームやその運用ワークフローから切り離されたサイロの中で運用されている;
・Rely predominantly on untuned endpoint detection and response (EDR) systems, which may not alert to LOTL activity, and discrete IOCs that attackers can alter or obfuscate to avoid detection; ・LOTL アクティビティに警告を発しない可能性のある、チューニングされていないエンドポイント検知・対 応(EDR)システムや、攻撃者が検知を回避するために変更または難読化できる個別の IOC に主に依存している;
・Maintain default logging configurations, which do not comprehensively log indicators of LOTL techniques or sufficiently detailed information to differentiate malicious activity from legitimate IT administrative activity; and ・LOTL 手法の指標や、悪意のある活動と正当な IT 管理活動を区別するための十分詳細な情報を包括的に記録しない、デフォルトのロギング設定を維持している。
・Have difficulty in identifying a relatively small volume of malicious activity within large volumes of log data. ・大量のログデータの中から比較的少量の悪意のある活動を識別することが困難である。
The authoring agencies strongly urge critical infrastructure organizations to apply the following prioritized best practices and detection guidance to hunt for potential LOTL activity. These recommendations are part of a multifaceted cybersecurity strategy that enables effective data correlation and analysis. There is no foolproof solution to fully prevent or detect LOTL activity, but by applying these best practices organizations can best position themselves for more effective detection and mitigation. 認可機関は、重要なインフラストラクチャ組織に対し、以下の優先順位の高いベストプラクティスと検 出ガイダンスを適用し、潜在的な LOTL 活動を探索するよう強く要請する。これらの推奨事項は、効果的なデータ相関と分析を可能にする多面的なサイバーセキュリティ戦略の一部である。LOTL 活動を完全に防止または検知するための確実な解決策は存在しないが、これらのベストプラクティスを適用することで、組織はより効果的な検知と低減のための最適なポジションを確保することができる。
Detection Best Practices: 検知のベストプラクティス:
1. Implement detailed logging and aggregate logs in an out-of-band, centralized location that is write-once, read-many to avoid the risk of attackers modifying or erasing logs. 1. 攻撃者がログを変更または消去するリスクを回避するため、詳細なロギングを実施し、ログを帯域外の一元化された場所に集約する。
2. Establish and continuously maintain baselines of network, user, administrative, and application activity and least privilege restrictions. 2. ネットワーク、ユーザー、管理者、アプリケーションのアクティビティと最小権限制限のベースラインを確立し、継続的に維持する。
3. Build or acquire automation (such as machine learning models) to continually review all logs to compare current activities against established behavioral baselines and alert on specified anomalies. 3. 機械学習モデルなどの)自動化を構築または導入し、すべてのログを継続的にレビューして、確立された行動ベースラインと現在のアクティビティを比較し、指定された異常についてアラートを発する。
4. Reduce alert noise by fine-tuning via priority (urgency and severity) and continuously review detections based on trending activity. 4. 優先度(緊急度と重要度)を微調整してアラートのノイズを減らし、傾向のあるアクティビティに基づいて検知を継続的にレビューする。
5. Leverage user and entity behavior analytics (UEBA). 5. ユーザーと事業体の行動分析(UEBA)を活用する。
Hardening Best Practices: ハードニングのベストプラクティス
1. Apply and consult vendor-recommended guidance for security hardening. 1. ベンダが推奨するセキュリティ堅牢化ガイダンスを適用し、参照する。
2. Implement application allowlisting and monitor use of common LOLBins. 2. アプリケーションの許可リストを実装し、一般的な LOLBIN の使用を監視する。
3. Enhance IT and OT network segmentation and monitoring. 3. IT および OT ネットワークのセグメンテーションと監視を強化する。
4. Implement authentication and authorization controls for all human-to-software and software-to-software interactions regardless of network location. 4. ネットワークの場所に関係なく、本人からソフトウエア、ソフトウエアからソフトウエアへのすべてのインタラクションに対して認証と認可の管理を実施する。
For details and additional recommendations, see the Best Practice Recommendations and Detection and Hunting Recommendations sections. If LOTL activity is identified, defenders should report the activity to the relevant agencies, as applicable, and apply the remediation guidance in this guide. 詳細とその他の推奨事項については、「ベスト・プラクティスの推奨事項」と「検知とハンティングの 推奨事項」のセクションを参照のこと。LOTL の活動が確認された場合、識別は、該当する場合、その活動を関連機関に報告し、本ガイドの修正ガイダンスを適用する。
Additionally, this guide provides recommendations for software manufacturers to reduce the prevalence of exploitable flaws in software that enable LOTL. In many cases, software defects or unsecure default configurations allow cyber threat actors to carry out malicious cyber activity using LOTL techniques. The authoring agencies strongly encourage software manufacturers to take ownership of their customers’ security outcomes by applying the secure by design recommendations in this guide and in CISA’s joint secure by design guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software. さらに、本ガイドは、LOTL を可能にするソフトウェアの悪用可能な欠陥の蔓延を減少させるために、ソフ トウェア製造事業者に対する勧告を提供する。多くの場合、ソフトウェアの欠陥や安全でない初期設定により、サイバー脅威行為者は LOTL の技法を用いて悪意あるサイバー活動を行うことができる。認可機関は、ソフトウェア製造事業者に対し、本ガイド及び CISA の共同セキュア・バイ・デザイン・ガイド「サイバーセキュリティ・リスクのバランスをシフトする:セキュア・バイ・デザイン・ソフトウェアの原則とアプローチ」のセキュア・バイ・デザインの推奨事項を適用することで、顧客のセキュリティ成果にオーナーシップを持つことを強く推奨する。
Technology manufacturers can reduce the effectiveness of LOTL techniques by producing products that are secure by design, including by: 技術製造事業者は、以下のようなセキュア・バイ・デザインの製品を製造することで、LOTL 手法の有効性を低減することができる:
・Disabling or removing unnecessary protocols by default. ・不要なプロトコルをデフォルトで無効化または削除する。
・Limiting network reachability to the extent feasible. ・実現可能な範囲でネットワークへの到達性を制限する。
・Limiting processes and programs running with elevated privileges. ・昇格した権限で実行されるプロセスやプログラムを制限する。
・Enabling phishing-resistant MFA as a default feature. ・フィッシングに強いMFAをデフォルトの機能として有効にする。
・Providing high-quality secure logging at no additional charge beyond processing and storage costs. ・高品質で安全なロギングを、処理コストや保管コスト以上の追加料金なしでプロバイダが提供する。
・Eliminating default passwords and credentials when installing software. ・ソフトウェアをインストールする際のデフォルトのパスワードや認証情報をなくす。
・Limiting or removing dynamic code execution. ・動的なコード実行を制限または削除する。

 

・2024.02.08 Identifying and Mitigating Living Off the Land Techniques

 

・2024.02.08 PRC state-sponsored actors compromise and maintain persistent access to U.S. critical infrastructure

 

 


 

カナダ...

・2024.02.07 Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land

Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land 米国の重要インフラを侵害し、持続的なアクセスを維持する中国国家支援行為者に関する共同勧告、および現地調達の特定と低減に関する共同ガイダンス
The Canadian Centre for Cyber Security  (the Cyber Centre) has joined the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA) and the following international partners in releasing a cyber security advisory on PRC state-sponsored actors malicious cyber activity targeting critical infrastructure  using living off the land (LOTL) techniques: カナダ・サイバーセキュリティセンター(以下、サイバーセンター)は、サイバーセキュリティ・インフラセキュリティ庁(以下、CISA)、国家安全保障局(以下、NSA)、および以下の国際的パートナーとともに、LOTL(Living Off the Land:現地調達)技術を使用して重要インフラを標的とするPRC国家支援行為者の悪質なサイバー活動に関するサイバーセキュリティ勧告を発表した:
・Australian Cyber Security Centre (ACSC) ・オーストラリア・サイバーセキュリティセンター(ACSC)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
・United Kingdom (UK) National Cyber Security Centre (NCSC-UK) ・英国(UK)国家サイバーセキュリティセンター(NCSC-UK)
This joint cyber security advisory, PRC State-Sponsored Actors Compromise  and Maintain Persistent Access to U.S. Critical Infrastructure, warns that PRC state-sponsored cyber actors are seeking to pre-position for disruptive or destructive cyber attacks against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. CISA and the Cyber Centre have released this guidance alongside the ASCS and the NCSC-UK. この共同サイバーセキュリティ勧告「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」は、PRCの国家支援を受けているサイバー・アクターが、米国との重大な危機または紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー攻撃のための事前準備を行おうとしていることを警告している。CISAとサイバーセンターは、ASCSとNCSC-UKとともにこのガイダンスを発表した。
The Cyber Centre assesses that the direct threat to Canada's critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well, due to cross-border integration. サイバーセンターは、中国の国家支援行為者がカナダの重要インフラに与える直接的脅威は、米国のインフラに与える脅威よりも低い可能性が高いが、米国のインフラが破壊された場合、国境を越えた統合により、カナダも影響を受ける可能性が高いと評価している。
Accompanying guidance has also been released by CISA, NSA, ACSC, and NCSC-UK. Identifying and Mitigating Living Off the Land provides insight into techniques and common gaps in network defence capabilities. CISA、NSA、ACSC、NCSC-UKからも付随するガイダンスが発表されている。現地調達手法の識別と低減」は、ネットワーク防御能力におけるテクニックと一般的なギャップについての洞察を提供する。
Cyber threat  actors leveraging LOTL abuse native tools and processes on systems. They use LOTL in multiple IT environments, including on-premises, cloud and hybrid. LOTL enables cyber threat actors to conduct their operations discreetly as they can camouflage activity with typical system and network behaviour, potentially circumventing basic endpoint security capabilities. LOTL を活用するサイバー脅威行為者は、システム上のネイティブ・ツールやプロセスを悪用する。彼らは、オンプレミス、クラウド、ハイブリッドを含む複数の IT 環境で LOTL を使用する。LOTL は、典型的なシステムやネットワークの動作で活動をカモフラージュできるため、サイバー脅威行為者が目立たないように活動を行うことを可能にし、基本的なエンドポイントセキュリティ機能を回避する可能性がある。
We are releasing this joint guidance for network defenders (including threat hunters) due to the identification of cyber threat actors, including the People’s Republic of China (PRC) and Russian Federation state-sponsored actors, using LOTL in compromised critical infrastructure organizations. 中華人民共和国(PRC)やロシア連邦の国家支援行為を含むサイバー脅威行為者が、侵害された重要インフラ組織で LOTL を使用していることが確認されたため、我々はネットワーク防御者(脅威ハンターを含む)向けにこの共同ガイダンスを発表する。
Read the joint guidance and advisory: 共同ガイダンスと勧告を読む:
・Identifying and Mitigating Living Off the Land ・現地調達手法の識別と低減」を読む。
・PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure ・中華人民共和国の国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する

 

 


 

ニュージーランド...

National Cyber Security Centre; NCSC

・2024.02.08  Joint Advisory: PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance

 

Joint Advisory: PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance 共同勧告 PRCが支援するボルト台風の活動と現地調達手法の識別と低減のためのガイドラインの補足
Today, the National Cyber Security Centre (NCSC) has joined international partners in publishing joint guidance titled, ‘Identifying and Mitigating Living Off the Land' and a cyber security advisory titled, ‘PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure’.  本日、米国サイバーセキュリティセンター(NCSC)は、国際的なパートナーとともに、「現地調達手法の識別と低減」と題する共同ガイダンスと、「PRC国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持」と題するサイバーセキュリティ勧告を発表した。
The joint guidance, ‘Identifying and Mitigating Living Off the Land’ (LOTL) provides information on common LOTL techniques and gaps in cyber defense capabilities. It also provides guidance for network defenders to mitigate identified gaps and to detect and hunt for LOTL activity. The authoring agencies are releasing this joint advisory for network defenders (including threat hunters) due to the identification of cyber threat actors, including the People’s Republic of China (PRC) and Russian Federation state-sponsored actors, using LOTL in compromised critical infrastructure organisations. The authoring agencies strongly urge critical infrastructure organisations to apply the prioritised security best practices and detection guidance to hunt for potential LOTL activity. These recommendations are part of a multifaceted cybersecurity strategy that enables effective data correlation and analysis. 共同ガイダンスの「現地調達(LOTL)手法の識別と低減」は、一般的なLOTLテクニックとサイバー防衛能力のギャップに関する情報を提供している。また、識別されたギャップを軽減し、LOTL 活動を検知し、狩猟するためのネットワーク防衛者向けのガイダンスも提供している。認可機関は、中華人民共和国(PRC)やロシア連邦の国家支援行為を含むサイバー脅威行為者が、侵害された重要インフラ組織で LOTL を使用していることが確認されたため、ネットワーク防御者(脅威ハンターを含む)向けにこの共同勧告を発表する。認可機関は、重要インフラ組織に対し、優先順位の高いセキュリティのベストプラクティスと検知ガイダ ンスを適用し、潜在的な LOTL 活動を探索するよう強く要請する。これらの勧告は、効果的なデータ相関と分析を可能にする多面的なサイバーセキュリティ戦略の一部である。
The joint advisory, ‘PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure’ urges critical infrastructure organisations to apply the mitigations and hunt for similar malicious activity using the guidance within this advisory in parallel to the Identifying and Mitigating Living Off the Land guidance. These mitigations are intended for IT and OT administrators in critical infrastructure organisations to reduce risk and impact of future compromise or detect and mitigate if malicious activity is discovered. Following the mitigations for prevention or in response to an incident will help disrupt Volt Typhoon’s accesses and reduce the threat to critical infrastructure entities. 共同勧告「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」は、重要インフラ組織に対し、現地調達手法の識別と低減のためのガイドラインと並行して、本勧告内のガイダンスを使用して、低減策を適用し、同様の悪意ある活動を探すよう促している。これらの低減策は、重要インフラ組織のITおよびOT管理者が、将来の侵害のリスクと影響を低減すること、または悪意のある活動が発見された場合にそれを検知し低減することを目的としている。予防のため、あるいはインシデントに対応するために、これらの軽減策に従うことで、ボルト・タイフーンのアクセスを妨害し、重要インフラ事業体への脅威を軽減することができる。
If activity is identified, we strongly recommend that critical infrastructure organisations apply the incident response recommendations in this advisory and report the incident to [mail] 活動が確認された場合、重要インフラ組織はこの勧告にあるインシデント対応の推奨事項を適用し、インシデントを [mail]
に報告することを強く推奨する。

 


 

最後はUK...

National Cyber Security Centre

・2024.02.07 NCSC and partners issue warning about state-sponsored cyber attackers hiding on critical infrastructure networks

 

NCSC and partners issue warning about state-sponsored cyber attackers hiding on critical infrastructure networks NCSCとパートナーは、重要インフラネットワークに潜伏する国家支援のサイバー攻撃者について警告を発している。
GCHQ’s National Cyber Security Centre and partners share details of how threat actors are using built-in tools to camouflage themselves on victims’ systems. GCHQのナショナル・サイバー・セキュリティ・センターとパートナーは、脅威行為者が被害者のシステム上でカモフラージュするために内蔵ツールを使用している方法の詳細を共有する。
・New joint advisory and guidance reveal state-sponsored actors are among attackers using ‘living off the land’ techniques to persist on critical infrastructure networks ・新たな共同勧告とガイダンスにより、重要インフラ・ネットワークに潜伏する「現地調達」テクニックを使用する攻撃者の中に、国家の支援を受けた行為者が含まれていることが明らかになった。
・UK critical infrastructure operators urged to follow advice to help detect and mitigate malicious activity ・英国の重要インフラ事業者は、悪意のある活動を検知・軽減するための助言に従うよう要請された。
The UK and allies have issued a fresh warning to critical infrastructure operators today (Wednesday) about the threat from cyber attackers using sophisticated techniques to camouflage their activity on victims’ networks. 英国と同盟国は本日(水曜日)、重要インフラ事業者に対し、被害者のネットワーク上での活動をカモフラージュする高度なテクニックを使用するサイバー攻撃者の脅威について、新たな警告を発した。
The National Cyber Security Centre – a part of GCHQ – and agencies in the US, Australia, Canada and New Zealand have detailed how threat actors have been exploiting native tools and processes built into computer systems to gain persistent access and avoid detection. GCHQの一部である国家サイバーセキュリティセンターと米国、オーストラリア、カナダ、ニュージーランドの国家安全保障局は、脅威行為者がコンピュータシステムに組み込まれたネイティブツールやプロセスを悪用して、持続的なアクセスを獲得し、検知を回避していることを詳述した。
This kind of tradecraft, known as ‘living off the land’, allows attackers to operate discreetly, with malicious activity blending in with legitimate system and network behaviour making it difficult to differentiate – even by organisations with more mature security postures. このような手口は「現地調達」と呼ばれ、攻撃者が目立たないように活動することを可能にし、悪意のある活動が正当なシステムやネットワークの動作に紛れ込むことで、より成熟したセキュリティ体制を持つ組織であっても区別が難しくなる。
The NCSC assesses it is likely this type of activity poses a threat to UK critical national infrastructure and so all providers are urged to follow the recommended actions to help detect compromises and mitigate vulnerabilities. NCSCは、この種の活動が英国の重要な国家インフラに脅威を与えている可能性が高いと評価しており、すべてのプロバイダに対して、侵害を検知し脆弱性を軽減するために推奨されるアクションに従うよう求めている。
The new ‘Identifying and Mitigating Living Off The Land’ guidance warns that China state-sponsored and Russia state-sponsored actors are among the attackers that have been observed living off the land on compromised critical infrastructure networks . 新しい「現地調達手法の識別と低減」ガイダンスは、侵害された重要インフラ・ネットワーク上で現地調達していることが確認されている攻撃者の中には、中国国家とロシア国家に支援された行為者が含まれていると警告している。
Meanwhile, a separate advisory shares specific details about China state-sponsored actor Volt Typhoon which has been observed using living off the land techniques to compromise US critical infrastructure systems. 一方、別の勧告では、米国の重要インフラシステムを侵害するために現地調達のテクニックを使用していることが確認されている中国国家支援行為者ボルト・タイフーンについて、具体的な詳細を共有している。
The Deputy Prime Minister Oliver Dowden said: オリバー・ダウデン副首相は次のように述べた:
“In this new dangerous and volatile world where the frontline is increasingly online, we must protect and future proof our systems. 「この危険で不安定な新しい世界では、最前線はますますオンライン化されており、我々はシステムを保護し、将来に備えなければならない。
“Earlier this week, I announced an independent review to look at cyber security as an enabler to build trust, resilience and unleash growth across the UK economy.” 「今週初め、私は、信頼とレジリエンスを構築し、英国経済全体の成長を解き放つための手段として、サイバーセキュリティを検討する独立したレビューを発表した。
By driving up the resilience of our critical infrastructure across the UK we will defend ourselves from cyber attackers that would do us harm.” 英国全体の重要インフラのレジリエンスを向上させることで、我々に危害を加えるサイバー攻撃者から身を守ることができる。
Paul Chichester, NCSC Director of Operations, said: NCSCのディレクターであるポール・チチェスター氏は、次のように述べた:
“It is vital that operators of UK critical infrastructure heed this warning about cyber attackers using sophisticated techniques to hide on victims’ systems. 「英国の重要インフラの運営者は、被害者のシステムに隠れるために洗練されたテクニックを使うサイバー攻撃者に関するこの警告に耳を傾けることが不可欠である。
“Threat actors left to carry out their operations undetected present a persistent and potentially very serious threat to the provision of essential services. 「脅威行為者が発見されないまま作戦を遂行することは、重要なサービスの提供に対する持続的かつ潜在的に非常に深刻な脅威となる。
“Organisations should apply the protections set out in the latest guidance to help hunt down and mitigate any malicious activity found on their networks.” 「組織は、最新のガイダンスに示された防御を適用し、ネットワーク上で発見された悪意のある活動を追跡し、軽減するのに役立てるべきである。
The new advisory and joint guidance provide an update to a warning issued last May about China state-sponsored activity seen against critical infrastructure networks in the US that could be used against networks worldwide. この新しい勧告と共同ガイダンスは、昨年5月に発表された、米国内の重要インフラ・ネットワークに対する中国の国家支援活動に関する警告を更新したもので、世界中のネットワークに対して使用される可能性がある。
They include the latest advice to help network defenders identify living off the land activity and to mitigate and remediate if a compromise is detected. これらのガイダンスには、ネットワーク防御者が現地調達の活動を特定し、侵害が検知された場合に低減と修復を行うのに役立つ最新のアドバイスが含まれている。
While organisations should ensure they adopt a defence-in-depth approach as part of cyber security best practice, the 'Identifying and Mitigating Living Off The Land' guidance provides priority recommendations, which include: 組織は、サイバーセキュリティのベストプラクティスの一環として、徹底的な防御アプローチを確実に採用すべきであるが、「現地調達の識別と低減」ガイダンスは、以下を含む優先順位の高い推奨事項を提供している:
・Implementing logging and aggregate logs in an out-of-band, centralised location ・ロギングを実施し、帯域外の一元化された場所にログを集約する。
・Establishing a baseline of network, user and application activity and use automation to continually review all logs and compare activity ・ネットワーク、ユーザー、アプリケーションのアクティビティのベースラインを確立し、自動化を使用してすべてのログを継続的にレビューし、アクティビティを比較する。
・Reducing alert noise ・アラートノイズを減らす
・Implementing application allow listing ・アプリケーションの許可リストを実装する
・Enhancing network segmentation and monitoring ・ネットワークのセグメンテーションと監視を強化する
・Implementing authentication controls ・本人認証の導入
・Leveraging user and entity behaviour analytics (UEBA) ・ユーザーと事業体の行動分析(UEBA)の活用
Both products can be read on the CISA website: どちらの製品もCISAのウェブサイトで読むことができる:
Identifying and Mitigating Living Off The Land ・現地調達の識別と低減
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to US Critical Infrastructure ・中国国家支援機関が米国の重要インフラを侵害し、持続的なアクセスを維持する

 


 

 ● まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.03 米国 司法省 重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊(だから、IoT認証が重要...)

・2023.08.20 CISA 官民サイバー防衛共同体 (JCDC) による「遠隔監視・管理 (RMM) システムのサイバー防衛計画」

・2023.06.11 Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)

 

 

 

| | Comments (0)

2024.02.11

JNSA インシデント損害額調査レポート 第2版

こんにちは、丸山満彦です。

JNSA(調査研究部会インシデント被害調査ワーキンググループ)が2021年夏に初版を公表した「インシデント損害額調査レポート」の第2版が公表されていますね。。。

10月に速報版が公表されていたものです...

 

経営者やシステム担当者にインシデントが発生すると、お金がかかることを理解してもらうことが目的の一部のようです。。。

 

JNSA

・2024.02.09 インシデント損害額調査レポート 第2版

 

報告書

インシデント損害額調査レポート第2版

20240211-53414

目次...

 

 

 
エグゼクティブサマリー  

I はじめに

II インシデントの概要 
1.インシデントとは
2.インシデント発生時の対応の流れ
(1)初動対応および調査
(2)対外的対応(外向きの対応)
(3)復旧および再発防止(内向きの対応) 

3.インシデント発生時において生じる損害
The 座談会「インシデントレスポンス事業者」編~

III インシデント発生時の対応およびそのコスト
1
.費用損害(事故対応損害)
(1)初動対応および調査
セキュリティコラム「インシデント報告会について思うこと」
(2)対外的対応(外向きの対応)
(3)復旧および再発防止(内向きの対応)

セキュリティコラム「再発防止策の現場」
セキュリティコラムCSIRT担当が思うこと」
2
.賠償損害
セキュリティコラム「リスクコミュニケーションの重要性」
The 座談会「弁護士」編~
3
.利益損害
セキュリティコラム「ランサムウェア被害で倒産した中小企業のハナシ」
セキュリティコラム「サイバー保険」
4
.金銭損害
5
.行政損害
6
.無形損害
The 座談会「マスコミ」編~

IV モデルケース(フィクション)
1.サポート詐欺
2.軽微なマルウェア感染(エモテット)
3.ECサイトからのクレジットカード情報等の漏えい
4.ランサムウェア感染

V あとがき

VI 用語集

VII 参考文献・資料

変更履歴


参考...

20240211-55643

 

別紙 被害組織調査

20240211-53508

被害組織のデータは興味深いですね。。。

おそらく B to C の企業(飲食等)は規模が小さい企業も多いので、かなり小さな企業の場合、システムの利用の程度が少ないのと、個人情報の漏えいがないと公表もしていないという理由もあるのかもしれないですね。。。

1_20240211061401

 

サイバー攻撃の公表件数が個人情報保護法の改正の影響もあって?上昇していますね。。。

20240211-61704

 

 

公表されるインシデントは、ランサムウェア感染が増えていますね。。。二重脅迫の影響ですかね。。。

20240211-61941

 

 

インシデント公表企業全体と、ランサムウェア公表企業の比較...(色は関係ないです...(^^))

1_20240211062601

 

ランサムウェアを商売にしている組織への販売目的?の情報収集のエモテットは...

 

1_20240211064001

 

 

いろいろと興味深い...

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.31 JNSA サイバー攻撃被害組織アンケート調査(速報版) (2023.10.24)

 

| | Comments (0)

2024.02.10

米国 GAO 人工知能:国土安全保障省がサイバーセキュリティのために責任ある利用を確保するには、重要な慣行を完全に実施することが役立つ

こんにちは、丸山満彦です。

GAOが国土安全保障省がサイバーセキュリティ対策のために利用しているAIの適切性についての検査をしたようですね。。。個人情報を自動検出する機能にAIを利用しているが、それが適切な管理がされていないということで、8つの勧告を出していますね。。。

 

U.S. Government Accountability Office

・2024.02.07 Artificial Intelligence:Fully Implementing Key Practices Could Help DHS Ensure Responsible Use for Cybersecurity

 

Artificial Intelligence:Fully Implementing Key Practices Could Help DHS Ensure Responsible Use for Cybersecurity  人工知能:DHSがサイバーセキュリティのために責任ある利用を確保するには、重要な慣行を完全に実施することが役立つ
GAO-24-106246 GAO-24-106246
Fast Facts 速報
While responsible use of artificial intelligence can improve security, irresponsible use may pose risks. We looked at what the Department of Homeland Security is doing to ensure responsible use of its AI for cybersecurity. 人工知能の責任ある利用はセキュリティを向上させるが、無責任な利用はリスクをもたらす可能性がある。我々は、国土安全保障省がサイバーセキュリティのためのAIの責任ある利用を確保するために何をしているかを調べた。
DHS created a public inventory of "AI use cases"—how it uses AI. But DHS doesn't verify whether each case is correctly characterized as AI. Of the 2 cybersecurity cases in the inventory, we found 1 isn't AI. DHSは「AIユースケース」(AIをどのように使用しているか)の公開目録を作成した。しかし、DHSは各ケースがAIとして正しく分類されているかどうかを検証していない。インベントリにある2つのサイバーセキュリティ事例のうち、1つはAIではないことがわかった。
DHS also hasn't ensured that the data used to develop the AI use case we assessed is reliable—which is an accountability practice in our AI framework. DHSはまた、われわれが評価したAIユースケースの開発に使用されたデータが信頼できるものであることを保証していない。
Our recommendations address these and other issues. われわれの勧告は、これらとその他の問題に対処するものである。
Highlights ハイライト
What GAO Found GAOが発見したこと
To promote transparency and inform the public about how artificial intelligence (AI) is being used, federal agencies are required by Executive Order No. 13960 to maintain an inventory of AI use cases. The Department of Homeland Security (DHS) has established such an inventory, which is posted on the Department's website. 透明性を促進し、人工知能(AI)がどのように利用されているかを国民に知らせるため、連邦政府機関は大統領令第13960号により、AIユースケースのインベントリーを維持することが義務付けられている。国土安全保障省(DHS)はこのような目録を作成し、同省のウェブサイトに掲載している。
However, DHS's inventory of AI systems for cybersecurity is not accurate. Specifically, the inventory identified two AI cybersecurity use cases, but officials told us one of these two was incorrectly characterized as AI. Although DHS has a process to review use cases before they are added to the AI inventory, the agency acknowledges that it does not confirm whether uses are correctly characterized as AI. Until it expands its process to include such determinations, DHS will be unable to ensure accurate use case reporting. しかし、サイバーセキュリティに関するDHSのAIシステム目録は正確ではない。具体的には、この目録は2つのAIサイバーセキュリティのユースケースを識別しているが、関係者によると、この2つのうち1つはAIとして誤って分類されているとのことである。DHSには、AIインベントリーに追加する前にユースケースをレビューするプロセスがあるが、同省は、ユースケースがAIとして正しく分類されているかどうかを確認していないことを認めている。このような判定を含むようにプロセスを拡大するまでは、DHSは正確なユースケース報告を保証できないだろう。
DHS has implemented some but not all of the key practices from GAO's AI Accountability Framework for managing and overseeing its use of AI for cybersecurity. GAO assessed the one remaining cybersecurity use case known as Automated Personally Identifiable Information (PII) Detection—against 11 AI practices selected from the Framework (see figure). DHSは、サイバーセキュリティのためのAI利用を管理・監督するために、GAOのAIアカウンタビリティ・フレームワークにある重要なプラクティスを一部実施しているが、すべてではない。GAOは、「個人を特定できる情報(PII)の自動検知」として知られる残る1つのサイバーセキュリティのユースケースを、フレームワークから選ばれた11のAIプラクティスに対して評価した(図参照)。
Status of the Department of Homeland Security's Implementation of Selected Key Practices to Manage and Oversee Artificial Intelligence for Cybersecurity 国土安全保障省による、サイバーセキュリティのための人工知能を管理・監督するための主要なプラクティスの実施状況
1_20240210062301
GAO found that DHS fully implemented four of the 11 key practices and implemented five others to varying degrees in the areas of governance, performance, and monitoring. It did not implement two practices: documenting the sources and origins of data used to develop the PII detection capabilities, and assessing the reliability of data, according to officials. GAO's AI Framework calls for management to provide reasonable assurance of the quality, reliability, and representativeness of the data used in the application, from its development through operation and maintenance. Addressing data sources and reliability is essential to model accuracy. Fully implementing the key practices can help DHS ensure accountable and responsible use of AI. GAOは、国土安全保障省が11の主要プラクティスのうち4つを完全に実施し、他の5つはガバナンス、パフォーマンス、モニタリングの分野で程度の差こそあれ実施していることを明らかにした。DHSは2つのプラクティスを実施していなかった。関係者によると、PII検知機能の開発に使用されたデータのソースと出所を文書化することと、データの信頼性を評価することである。GAOのAIフレームワークでは、アプリケーションの開発から運用・保守に至るまで、アプリケーションで使用されるデータの品質、信頼性、代表者性について合理的な保証を提供することを管理者に求めている。データソースと信頼性への対応は、モデルの精度にとって不可欠である。重要なプラクティスを完全に実施することで、DHSは説明責任を果たし、責任あるAIの利用を確保することができる。
Why GAO Did This Study GAOが本調査を実施した理由
Executive Order No. 14110, issued in October 2023, notes that while responsible AI use has the potential to help solve urgent challenges and make the world more secure, irresponsible use could exacerbate societal harms and pose risks to national security. Consistent with requirements of Executive Order No. 13960, issued in 2020, DHS has maintained an inventory of its AI use cases since 2022. 2023年10月に発布された大統領令第14110号は、責任あるAIの利用は緊急課題の解決や世界の安全性向上に役立つ可能性がある一方で、無責任な利用は社会的危害を悪化させ、国家安全保障にリスクをもたらす可能性があると指摘している。2020年に発令された大統領令第13960号の要件に従い、DHSは2022年以降、AIの使用事例の目録を整備してきた。
This report examines the extent to which DHS (1) verified the accuracy of its inventory of AI systems for cybersecurity and (2) incorporated selected practices from GAO's AI Accountability Framework to manage and oversee its use of AI for cybersecurity. 本報告書は、DHSが(1)サイバーセキュリティのためのAIシステムのインベントリの正確性を検証し、(2)サイバーセキュリティのためのAIの利用を管理・監督するために、GAOのAIアカウンタビリティ・フレームワークから選択したプラクティスを取り入れた程度を検証する。
GAO reviewed relevant laws, OMB guidance, and agency documents, and interviewed DHS officials. GAO applied 11 key practices from the Framework to DHS's AI cybersecurity use case—Automated PII Detection. DHS uses this tool to prevent unnecessary sharing of PII. GAO selected the 11 key practices to reflect all four Framework principles, align with early stages of AI adoption, and be highly relevant to the specific use case. GAOは、関連する法律、OMBガイダンス、省庁の文書を検討し、DHS職員にインタビューを行った。GAOは、フレームワークの11の主要なプラクティスを、DHSのAIサイバーセキュリティのユースケースである自動PII検知に適用した。DHSはPIIの不必要な共有を防ぐためにこのツールを使用している。GAOは、フレームワークの4つの原則をすべて反映し、AI導入の初期段階に合致し、特定のユースケースに関連性が高い11の重要なプラクティスを選択した。
Recommendations 勧告
GAO is making eight recommendations to DHS, including that it (1) expand its review process to include steps to verify the accuracy of its AI inventory submissions, and (2) fully implement key AI Framework practices such as documenting sources and ensuring the reliability of the data used. DHS concurred with the eight recommendations. GAOはDHSに対し、(1)AIインベントリ提出の正確性を検証するステップを含む審査プロセスを拡大すること、(2)情報源の文書化や使用データの信頼性の確保など、AIフレームワークの主要な慣行を完全に実施することなど、8つの勧告を行っている。DHSは8つの勧告に同意した。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected/Recommendation 影響を受ける省庁/勧告
Department of Homeland Security 国土安全保障省
The Chief Technology Officer should expand its review process to include steps to verify the accuracy of its AI inventory submissions. (Recommendation 1) 最高技術責任者(CTO)は、AIインベントリの提出の正確性を検証するステップを含むよう、レビュー・プロセスを拡大すべきである。(勧告1)
The Director of CISA should develop metrics to consistently measure progress toward all stated goals and objectives for Automated PII Detection. (Recommendation 2) CISA長官は、自動PII検知に関するすべての目標と目的に対する進捗状況を一貫して測定するための指標を開発すべきである。(勧告2)
The Director of CISA should clearly define the roles and responsibilities and delegation of authority of all relevant stakeholders involved in managing and overseeing the implementation of the Automated PII Detection component to ensure effective operations and sustained oversight. (Recommendation 3) CISA長官は、効果的な運用と持続的な監視を確保するため、自動PII検知コンポーネントの実施管理・監督に関与するすべての関係者の役割と責任および認可を明確に定義すべきである。(勧告3)
The Director of CISA should document the sources and origins of data used to develop the Automated PII Detection component. (Recommendation 4) CISA長官は、自動PII検知コンポーネントの開発に使用されたデータの出所と起源を文書化すべきである。(勧告4)
The Director of CISA should take steps to assess and document the reliability of data used to enhance the representativeness, quality, and accuracy of the Automated PII Detection component. (Recommendation 5) CISA長官は、自動PII検知コンポーネントの代表者、品質、精度を高めるために使用されるデータの信頼性を評価し、文書化するための措置を講じるべきである。(勧告5)
The Director of CISA should document its process for optimizing the elements used within the Automated PII Detection component. (Recommendation 6) CISA長官は、自動PII検知コンポーネント内で使用される要素を最適化するプロセスを文書化すべきである。(勧告6)
The Director of CISA should document its methods for testing performance including limitations, and corrective actions taken to minimize undesired effects of the Automated PII Detection component to ensure transparency about the system's performance. (Recommendation 7) CISA長官は、システムの性能に関する透明性を確保するため、自動PII検知コンポーネントの望ましくない影響を最小化するためにとられた制限および是正措置を含む性能のテスト方法を文書化すべきである。(勧告7)
The Director of CISA should establish specific procedures and frequencies to monitor the Automated PII Detection component to ensure it performs as intended. (Recommendation 8) CISA長官は、自動PII検知コンポーネントが意図したとおりに動作することを保証するために、それを監視する具体的な手順と頻度を確立すべきである。(勧告8)

 

・[PDF] Full Report

20240210-62822

 

・[DOCX] 仮訳

・[PDF] 仮訳

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

 

 

 

| | Comments (0)

米国 GAO サイバーセキュリティ:国家サイバー長官は、効果的な戦略を実施するために追加的な行動を取る必要がある (2024.02.01)

こんにちは、丸山満彦です。

GAOが、国家サイバー長官室(ONCD)に対して監査をしていますね。。。国家サイバーセキュリティ戦略と実施計画等を確認したようですね。。。勧告は2つで、成果志向のパフォーマンス指標の開発、リソースと推定コストの算定...という感じですかね。。。

 

U.S. Government Accountability Office

・2024.02.01 Critical Infrastructure Protection:Agencies Need to Enhance Oversight of Ransomware Practices and Assess Federal Support

サイバーセキュリティ:国家サイバー長官は、効果的な戦略を実施するために追加的な行動を取る必要がある。 サイバーセキュリティ:国家サイバー長官は、効果的な戦略を実施するために追加的な行動を取る必要がある。
GAO-24-106916 GAO-24-106916
Fast Facts 速報
Cyberattacks threaten federal information systems and the nation's critical infrastructure. The Office of the National Cyber Director leads national cyber policy and strategy. サイバー攻撃は連邦政府の情報システムと国家の重要インフラを脅かしている。国家サイバー長官室は、国家のサイバー政策と戦略を主導している。
The Office has a plan to implement the White House's National Cybersecurity Strategy. As of January 2024, the strategy and plan provide a good foundation, but the Office still needs to include more details in the plan to ensure that the strategy can be implemented consistently and effectively government-wide. 同室はホワイトハウスの国家サイバーセキュリティ戦略を実施計画を持っている。2024年1月現在、戦略と計画は良い基盤を提供しているが、戦略を政府全体で一貫して効果的に実施できるようにするため、事務局は計画にさらに詳細を含める必要がある。
Specifically, we recommended that the Office establish performance measures and estimate implementation costs. 具体的には、パフォーマンス指標を設定し、実施コストを見積もるよう勧告した。
Highlights ハイライト
What GAO Found GAOが発見したこと
The National Cybersecurity Strategy and its implementation plan jointly addressed four of six desirable characteristics identified in prior GAO work and partially addressed the other two (see figure). 国家サイバーセキュリティ戦略とその実施計画は、GAOの先行研究で特定された6つの望ましい特性のうち4つに共同で対処し、残りの2つには部分的に対処していた(図参照)。
Extent to Which the March 2023 National Cybersecurity Strategy and July 2023 Implementation Plan Addressed GAO's Desirable Characteristics of a National Strategy 2023年3月の国家サイバーセキュリティ戦略と2023年7月の実施計画がGAOの国家戦略の望ましい特性にどの程度対応しているか
1_20240209142701
For the partially addressed characteristics, the documents did not fully describe: 部分的に対応している特徴については、文書では十分に説明されていなかった:
Outcome-oriented performance measures. Office of the National Cyber Director (ONCD) staff said it was not realistic to develop outcome-oriented measures at this point. However, GAO believes it is feasible to develop such measures where applicable. For example, regarding the key initiative of disrupting ransomware attempts, the Department of the Treasury already collects information on the number and dollar value of ransomware-related incidents—for 2021 the reported total dollar value was about $886 million. This demonstrates that developing such measures is feasible and can be used for measuring effectiveness. 成果志向のパフォーマンス指標:国家サイバー長官室(Office of the National Cyber Director:ONCD)のスタッフは、現時点では成果志向の指標を開発することは現実的ではないと述べた。しかし、GAOは、該当する場合にはそのような指標を開発することは可能であると考えている。例えば、ランサムウェアの試みを中断させるという重要なイニシアチブに関して、財務省はすでにランサムウェア関連のインシデントの件数と金額に関する情報を収集しており、2021年の総額は約8億8600万ドルであったと報告されている。このことは、このような手段を開発することが実現可能であり、効果測定に使用できることを示している。
Resources and estimated costs. While the implementation plan outlined initiatives that require executive visibility and interagency coordination, it did not identify how much it will cost to implement the initiatives. ONCD staff said estimating the cost to implement the entire strategy was unrealistic. However, while certain initiatives may not warrant a specific cost estimate, other activities supporting some of the key initiatives with potentially significant costs justify the development of a cost estimate. Such cost estimates are essential to effectively managing programs. Without such information, uncertainty can emerge about investing in programs. リソースと推定コスト:実施計画では、行政の可視化と省庁間の調整を必要とする取り組みについて概説しているが、取り組みの実施にどれだけの費用がかかるかについては明らかにしていない。ONCDのスタッフは、戦略全体を実施するためのコストを見積もることは非現実的であると述べた。しかし、ある種のイニシアティブは具体的なコスト見積もりは正当化されないかもしれないが、重要なイニシアティブのいくつかを支える他の活動で、潜在的に大きなコストがかかるものは、コスト見積もりの作成が正当化される。このようなコスト見積もりは、プログラムを効果的に管理するために不可欠である。このような情報がなければ、プログラムへの投資に不確実性が生じる。
Without actions to address these shortcomings, ONCD will likely lack information on plan outcomes and encounter uncertainty on funding of activities. これらの欠点に対処するアクションがなければ、ONCDは計画の成果に関する情報が不足し、活動の資金調達に不確実性が生じる可能性が高い。
Why GAO Did This Study GAOがこの調査を行った理由
For over 25 years GAO has identified cybersecurity as a high-risk area. During this period, the threat of cyber-based intrusions and attacks on IT systems by malicious actors has continued to grow. GAOは25年以上にわたり、サイバーセキュリティを高リスク分野と認識してきた。この間、悪意ある者によるITシステムへのサイバーベースの侵入や攻撃の脅威は増大し続けてきた。
A national strategy to guide the government's cybersecurity activities is needed to address this threat. Recognizing the need for national cybersecurity leadership, Congress established ONCD to support the nation's cybersecurity and lead the development of a national strategy. In March 2023, the White House issued the National Cybersecurity Strategy to outline how the administration will manage the nation's cybersecurity. In July 2023, ONCD issued an implementation plan defining how the strategy will be executed. この脅威に対処するためには、政府のサイバーセキュリティ活動の指針となる国家戦略が必要である。サイバーセキュリティにおける国家的リーダーシップの必要性を認識した議会は、国家のサイバーセキュリティを支援し、国家戦略の策定を主導するためにONCDを設立した。2023年3月、ホワイトハウスは国家サイバーセキュリティ戦略を発表し、政権がどのように国家のサイバーセキュリティを管理するかを概説した。2023年7月、ONCDは戦略の実行方法を定義する実行計画を発表した。
GAO's objective was to examine the extent to which the National Cybersecurity Strategy and implementation plan addressed desirable characteristics of a national strategy. To do so, GAO assessed relevant documents and other evidence against desirable characteristics of a national strategy. GAO also interviewed ONCD staff. GAOの目的は、国家サイバーセキュリティ戦略と実施計画が国家戦略の望ましい特性にどの程度対応しているかを調査することであった。そのために、GAOは国家戦略の望ましい特性に照らして関連文書やその他の証拠を評価した。GAOはまた、ONCDのスタッフにもインタビューを行った。
Recommendations 勧告
GAO is making two recommendations to ONCD to develop outcome-oriented measures and estimate costs of implementation activities. ONCD agreed with GAO's recommendation on outcome-oriented measures but disagreed with the recommendation on estimating costs. GAO continues to believe that ONCD should assess the plan's initiatives to identify those that warrant a cost estimate and develop such cost estimates. GAOはONCDに対し、成果志向の尺度を開発し、実施活動のコストを見積もるよう、2つの勧告を行う。ONCDはGAOの成果志向の指標に関する勧告には同意したが、コスト見積もりに関する勧告には同意しなかった。GAOは引き続き、ONCDが計画のイニシアチブを評価し、コスト見積もりが必要なものを特定し、そのようなコスト見積もりを作成すべきであると考えている。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected/Recommendation 影響を受ける機関/勧告
Office of the National Cyber Director 国家サイバー局長室
The Director of ONCD should work with relevant federal entities to assess the initiatives that lend themselves to outcome-oriented performance measures and develop such performance measures for those initiatives in a timely manner to gauge effectiveness in meeting the goals and objectives of the National Cybersecurity Strategy. (Recommendation 1) ONCD長官は、関連する連邦機関と協力し、成果指向のパフォーマンス指標に適したイニシアチブを評価し、国家サイバーセキュリティ戦略の目標と目的を達成するための有効性を測定するために、それらのイニシアチブのパフォーマンス指標を適時に開発すべきである。(勧告1)
Office of the National Cyber Director 国家サイバー局長室
The Director of ONCD should work with relevant federal entities to assess the initiatives to identify those that warrant a cost estimate and develop such cost estimates. (Recommendation 2) ONCD長官は、関連する連邦機関と協力して、コスト見積もりが必要なイニシアチブを評価し、そのようなコスト見積もりを作成すべきである。(勧告 2)

 

・[PDF] Full Report

20240209-141158

 

・[DOCX] 仮訳

 


 

●  まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.05 米国 GAO 重要インフラ保護:国家サイバーセキュリティ戦略は情報共有のパフォーマンス指標と方法に取り組む必要がある

 

サイバー戦略

・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

 

関連

・2023.10.24 米国 国家サイバーインシデント対応計画2024に向けて改訂中...

・2023.09.19 米国 国防総省サイバー戦略 2023(要約)(2023.09.12)

・2023.08.14 米国 K-12(幼稚園から高校まで)の学校のサイバーセキュリティを強化する新たな取り組みを開始 (2023.08.07)

・2023.08.14 米国 CISA他 情報提供依頼: オープンソースソフトウェア・セキュリティ: 長期的な重点分野と優先順位付け

・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026

・2023.08.02 米国 国家サイバー人材・教育戦略

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

 

 

 

| |