« January 2024 | Main | March 2024 »

February 2024

2024.02.29

米国 White House 米国人の機密個人データを保護する大統領令を発表

こんにちは、丸山満彦です。

前から少し話がありましたが、「懸念国による米国人の一括機微個人データおよび米国政府関連データへのアクセスの防止に関する大統領令」が出されましたね...

 

U.S. White House

・2024.02.28 FACT SHEET: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data

FACT SHEET: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data  ファクトシート:バイデン大統領、米国人の機密個人データを保護する大統領令を発表
Today, President Biden will issue an Executive Order to protect Americans’ sensitive personal data from exploitation by countries of concern. The Executive Order, which marks the most significant executive action any President has ever taken to protect Americans’ data security, authorizes the Attorney General to prevent the large-scale transfer of Americans’ personal data to countries of concern and provides safeguards around other activities that can give those countries access to Americans’ sensitive data. 本日、バイデン大統領は、懸念国による悪用から米国人の機密個人データを保護するための大統領令を発表する。この大統領令は、米国人のデータ・セキュリティーを保護するために、これまでどの大統領も取ったことのない最も重要な行政措置であり、司法長官に米国人の個人データの懸念国への大規模な移転を防止する認可を与え、それらの国が米国人の機密データにアクセスできるようにするその他の活動に対する保護措置を提供する。
The President’s Executive Order focuses on Americans’ most personal and sensitive information, including genomic data, biometric data, personal health data, geolocation data, financial data, and certain kinds of personally identifiable information. Bad actors can use this data to track Americans (including military service members), pry into their personal lives, and pass that data on to other data brokers and foreign intelligence services. This data can enable intrusive surveillance, scams, blackmail, and other violations of privacy. 大統領令は、ゲノムデータ、生体データ、個人健康データ、位置情報データ、財務データ、個人を特定できる情報など、米国人の最も個人的でセンシティブな情報に焦点を当てている。悪質な業者は、このデータを使ってアメリカ人 (軍人を含む) を追跡し、個人生活を詮索し、そのデータを他のデータブローカーや外国の諜報機関に渡すことができる。このデータは、侵入的な監視、詐欺、恐喝、その他のプライバシー侵害を可能にする。
Companies are collecting more of Americans’ data than ever before, and it is often legally sold and resold through data brokers. Commercial data brokers and other companies can sell this data to countries of concern, or entities controlled by those countries, and it can land in the hands of foreign intelligence services, militaries, or companies controlled by foreign governments. 企業はかつてないほど多くのアメリカ人のデータを収集しており、それはしばしば合法的にデータブローカーを通じて販売・転売されている。政府系データブローカーやその他の企業は、このデータを懸念のある国やその国に支配された事業体に売ることができ、外国の諜報機関や軍隊、外国政府に支配された企業の手に渡ることもある。
The sale of Americans’ data raises significant privacy, counterintelligence, blackmail risks and other national security risks—especially for those in the military or national security community. Countries of concern can also access Americans’ sensitive personal data to collect information on activists, academics, journalists, dissidents, political figures, and members of non-governmental organizations and marginalized communities to intimidate opponents of countries of concern, curb dissent, and limit Americans’ freedom of expression and other civil liberties.  アメリカ人のデータが売られることは、プライバシー、防諜、脅迫、その他の国家安全保障上のリスクを引き起こす。 特に軍事や国家安全保障に携わる人々にとってそうである。また、懸念国は米国人の機密個人データにアクセスし、活動家、学者、ジャーナリスト、反体制派、政治家、非政府組織や社会から疎外されたコミュニティのメンバーの情報を収集することで、懸念国の反対派を威嚇し、反対意見を抑制し、米国人の表現の自由やその他の市民的自由を制限することができる。
To protect Americans’ sensitive personal data, President Biden is directing: 米国人の機密個人データを保護するため、バイデン大統領は次のように指示している:
・The Department of Justice to issue regulations that establish clear protections for Americans’ sensitive personal data from access and exploitation by countries of concern. These protections will extend to genomic data, biometric data, personal health data, geolocation data, financial data, and certain kinds of personal identifiers. They will prevent the large-scale transfer of that data to countries of concern—which have a track record of collecting and misusing data on Americans. ・司法省は、懸念国によるアクセスや悪用から米国人の機密個人データを保護するための明確な防御を確立する規制を発行する。これらの防御は、ゲノムデータ、生体データ、個人健康データ、地理位置情報データ、金融データ、およびある種の個人識別データに適用される。これらのデータは、米国人に関するデータを収集し悪用してきた実績のある懸念国への大規模な移転を防止する。
・The Department of Justice to issue regulations that establish greater protection of sensitive government-related data, including geolocation information on sensitive government sites and information about military members. ・司法省は、機密性の高い政府サイトの位置情報や軍人の情報など、政府関連の機密データの保護を強化する規制を制定する。
・The Departments of Justice and Homeland Security to work together to set high security standards to prevent access by countries of concern to Americans’ data through other commercial means, such as data available via investment, vendor, and employment relationships. ・司法省と国土安全保障省は、投資、ベンダー、雇用関係を通じて入手できるデータなど、その他の商業的手段を通じて、懸念国による米国人のデータへのアクセスを防止するための高いセキュリティ標準を設定するために協力すること。
・The Departments of Health and Human Services, Defense, and Veterans Affairs to help ensure that Federal grants, contracts, and awards are not used to facilitate access to Americans’ sensitive health data by countries of concern, including via companies located in the United States. ・保健福祉省、国防総省、退役軍人省は、連邦補助金、契約、賞が、米国に所在する企業経由を含め、懸念国による米国人の機密健康データへのアクセスを促進するために使用されないようにする。
・The Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector (often called “Team Telecom”) to consider the threats to Americans’ sensitive personal data in its reviews of submarine cable licenses. ・米国電気通信サービス部門における外国企業参入評価委員会 (しばしば「チーム・テレコム」と呼ばれる) は、海底ケーブル・ライセンスの審査において、米国人の機密個人データへの脅威を考慮する。
・That these activities do not stop the flow of information necessary for financial services activities or impose measures aimed at a broader decoupling of the substantial consumer, economic, scientific, and trade relationships that the United States has with other countries. ・これらの活動は、金融サービス活動に必要な情報の流れを止めたり、米国が他国と結んでいる実質的な消費者、経済、科学、貿易関係をより広範に切り離すことを目的とした措置を課すものではないこと。
These actions not only align with the U.S.’ longstanding support for the trusted free flow of data, but also are consistent with U.S.’ commitment to an open Internet with strong and effective protections for individuals’ privacy and measures to preserve governments’ abilities to enforce laws and advance policies in the public interest. The Administration will continue its engagements with stakeholders, including technology companies and advocates for privacy, safety, competition, labor, and human rights, to move forward in a way that appropriately balances all these objectives. これらの措置は、信頼されたデータの自由な流れを支持する米国の長年の姿勢に沿うものであるだけでなく、個人のプライバシーを強力かつ効果的に保護し、政府が法律を執行し公共の利益のために政策を推進する能力を維持するための措置を備えた、開かれたインターネットに対する米国のコミットメントにも合致するものである。政権は、テクノロジー企業やプライバシー、安全性、競争、労働、人権を擁護する団体を含む利害関係者との関与を継続し、これらすべての目的を適切にバランスさせる方法で前進させる。
The President has encouraged the Consumer Financial Protection Bureau to consider taking steps, consistent with CFPB’s existing legal authorities, to protect Americans from data brokers that are illegally assembling and selling extremely sensitive data, including that of U.S. military personnel. 大統領は消費者金融保護局に対し、米軍関係者を含む極めて機密性の高いデータを違法に収集・販売しているデータブローカーから米国人を保護するため、CFPBの既存の法的権限に沿った措置を講じることを検討するよう促している。
Additionally, President Biden continues to urge Congress to do its part and pass comprehensive bipartisan privacy legislation, especially to protect the safety of our children. さらにバイデン大統領は、特に子供たちの安全を守るため、超党派の包括的なプライバシー保護法案を可決するよう引き続き議会に要請する。

 

 

・2024.02.28 Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern

Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern 懸念国による米国人の一括機微個人データおよび米国政府関連データへのアクセス防止に関する大統領令
By the authority vested in me as President by the Constitution and the laws of the United States of America, including the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.) (IEEPA), the National Emergencies Act (50 U.S.C. 1601 et seq.) (NEA), and section 301 of title 3, United States Code, 憲法および際緊急経済権限法 (IEEPA) 、国家緊急事態法 (NEA) (50 U.S.C. 1601 et seqを含む米国法により、大統領として私に与えられた認可による、 
 I, JOSEPH R. BIDEN JR., President of the United States of America, hereby expand the scope of the national emergency declared in Executive Order 13873 of May 15, 2019 (Securing the Information and Communications Technology and Services Supply Chain), and further addressed with additional measures in Executive Order 14034 of June 9, 2021 (Protecting Americans’ Sensitive Data from Foreign Adversaries). The continuing effort of certain countries of concern to access Americans’ sensitive personal data and United States Government-related data constitutes an unusual and extraordinary threat, which has its source in whole or substantial part outside the United States, to the national security and foreign policy of the United States. Access to Americans’ bulk sensitive personal data or United States Government-related data increases the ability of countries of concern to engage in a wide range of malicious activities. Countries of concern can rely on advanced technologies, including artificial intelligence (AI), to analyze and manipulate bulk sensitive personal data to engage in espionage, influence, kinetic, or cyber operations or to identify other potential strategic advantages over the United States. Countries of concern can also use access to bulk data sets to fuel the creation and refinement of AI and other advanced technologies, thereby improving their ability to exploit the underlying data and exacerbating the national security and foreign policy threats. In addition, access to some categories of sensitive personal data linked to populations and locations associated with the Federal Government — including the military — regardless of volume, can be used to reveal insights about those populations and locations that threaten national security. The growing exploitation of Americans’ sensitive personal data threatens the development of an international technology ecosystem that protects our security, privacy, and human rights. 私、米国大統領JOSEPH R. BIDEN JR.は、2019年5月15日の大統領令13873 (情報通信技術およびサービスのサプライチェーンの安全確保) で宣言され、2021年6月9日の大統領令14034 (外国敵対者からの米国人の機密データの防御) で追加措置が講じられた国家非常事態の範囲を拡大する。 米国人の機密個人データおよび米国政府関連データにアクセスしようとする特定の懸念国の継続的な努力は、米国の国家安全保障および外交政策にとって、その出所の全部または大部分が米国外にある異常かつ並外れた脅威である。 米国人の大量機密個人データまたは米国政府関連データへのアクセスは、懸念国が幅広い悪意ある活動を行う能力を高める。 懸念諸国は、人工知能 (AI) を含む高度な技術に依存して、機密個人データの一括分析や操作を行い、スパイ活動、影響力行使、運動作戦、サイバー作戦に従事したり、米国に対するその他の潜在的な戦略的優位性を特定したりすることができる。 また、懸念される国々は、大量のデータセットへのアクセスを利用して、AIやその他の先端技術の創造と改良に拍車をかけ、それによって基礎となるデータを悪用する能力を改善し、国家安全保障と外交政策の脅威を悪化させる可能性がある。 加えて、連邦政府 (軍を含む) に関連する集団や場所に関連するいくつかのカテゴリーの機密個人データへのアクセスは、量に関係なく、国家安全保障を脅かすそれらの集団や場所に関する洞察を明らかにするために使用される可能性がある。 米国人の機密個人データの悪用が拡大していることは、われわれの安全、プライバシー、人権を保護する国際的な技術エコシステムの発展を脅かしている。
 Accordingly, to address this threat and to take further steps with respect to the national emergency declared in Executive Order 13873, it is hereby ordered that: 従って、この脅威に対処し、大統領令13873で宣言された国家非常事態に関してさらなる措置を講じるため、ここに命ずる:
 Section 1. Policy. It is the policy of the United States to restrict access by countries of concern to Americans’ bulk sensitive personal data and United States Government-related data when such access would pose an unacceptable risk to the national security of the United States. At the same time, the United States continues to support open, global, interoperable, reliable, and secure flows of data across borders, as well as maintaining vital consumer, economic, scientific, and trade relationships that the United States has with other countries. 第1条 方針。 米国の国家安全保障に容認できないリスクをもたらす場合、米国人の機密個人データおよび米国政府関連データへの関係国によるアクセスを制限することは、米国の方針である。同時に米国は、国境を越えたオープン、グローバル、相互運用可能、信頼できる、安全なデータの流れを引き続き支持し、また米国が他国と築いている消費者、経済、科学、貿易の重要な関係を維持する。

 The continuing effort by countries of concern to access Americans’ bulk sensitive personal data and United States Government-related data threatens the national security and foreign policy of the United States. Such countries’ governments may seek to access and use sensitive personal data in a manner that is not in accordance with democratic values, safeguards for privacy, and other human rights and freedoms. Such countries’ approach stands in sharp contrast to the practices of democracies with respect to sensitive personal data and principles reflected in the Organisation for Economic Co-operation and Development Declaration on Government Access to Personal Data Held by Private Sector Entities. Unrestricted transfers of Americans’ bulk sensitive personal data and United States Government-related data to such countries of concern may therefore enable them to exploit such data for a variety of nefarious purposes, including to engage in malicious cyber-enabled activities. Countries of concern can use their access to Americans’ bulk sensitive personal data and United States Government-related data to track and build profiles on United States individuals, including Federal employees and contractors, for illicit purposes, including blackmail and espionage. Access to Americans’ bulk sensitive personal data and United States Government-related data by countries of concern through data brokerages, third-party vendor agreements, employment agreements, investment agreements, or other such arrangements poses particular and unacceptable risks to our national security given that these arrangements often can provide countries of concern with direct and unfettered access to Americans’ bulk sensitive personal data. Countries of concern can use access to United States persons’ bulk sensitive personal data and United States Government-related data to collect information on activists, academics, journalists, dissidents, political figures, or members of non-governmental organizations or marginalized communities in order to intimidate such persons; curb dissent or political opposition; otherwise limit freedoms of expression, peaceful assembly, or association; or enable other forms of suppression of civil liberties. 米国人の大量の機密個人データおよび米国政府関連データにアクセスしようとする懸念国による継続的な努力は、米国の国家安全保障および外交政策を脅かすものである。 そのような国の政府は、民主主義的価値観、プライバシーの保護、その他の人権や自由に従わない方法で、機密個人データにアクセスし、利用しようとしている可能性がある。 このような国のアプローチは、機密個人データに関する民主主義国の慣行や、「民間事業体が保有する個人データへの政府アクセスに関する経済協力開発機構 (OECD) 宣言」に反映されている原則とは対照的である。 したがって、このような懸念国への米国人の機密個人データおよび米国政府関連データの無制限な移転は、悪意のあるサイバー活動を含むさまざまな悪意のある目的のために、そのようなデータを悪用することを可能にする可能性がある。 懸念国は、米国人の一括機微個人データおよび米国政府関連データへのアクセスを利用して、脅迫やスパイ活動を含む不正な目的のために、連邦職員や請負業者を含む米国個人を追跡し、プロファイルを構築することができる。 データ・ブローカー、サードパーティ・ベンダー契約、雇用契約、投資契約、またはその他のそのような取り決めを通じて、懸念諸国が米国人の一括機微個人データおよび米国政府関連データにアクセスすることは、これらの取り決めがしばしば懸念諸国に米国人の一括機微個人データへの直接的かつ自由なアクセスを提供し得ることを考えると、わが国の国家安全保障に特別かつ容認できないリスクをもたらす。 懸念国は、米国人の一括機微個人データおよび米国政府関連データへのアクセスを利用して、活動家、学者、ジャーナリスト、反体制派、政治家、非政府組織または社会から疎外されたコミュニティのメンバーに関する情報を収集し、そのような人物を脅迫したり、反対意見や政治的反対を抑制したり、表現、平和的集会、結社の自由を制限したり、その他の市民的自由の抑圧を可能にしたりすることができる。
 This risk of access to Americans’ bulk sensitive personal data and United States Government-related data is not limited to direct access by countries of concern. Entities owned by, and entities or individuals controlled by or subject to the jurisdiction or direction of, a country of concern may enable the government of a country of concern to indirectly access such data. For example, a country of concern may have cyber, national security, or intelligence laws that, without sufficient legal safeguards, obligate such entities and individuals to provide that country’s intelligence services access to Americans’ bulk sensitive personal data and United States Government-related data. このような米国人の機密個人データおよび米国政府関連データへのアクセスのリスクは、懸念国による直接アクセスに限定されない。 懸念国が所有する事業体、懸念国が管理する事業体や個人、あるいは懸念国の管轄や指示に従う事業体や個人は、懸念国政府が間接的にかかるデータにアクセスすることを可能にする可能性がある。 例えば、懸念国がサイバー法、国家セキュリ ティ法、諜報関連法を有しており、十分な法的保護措置がない場合、そのような事業体や個人 は、米国人の大量の機密個人データや米国政府関連データへのアクセスをその国の諜報機関に提供す ることを義務付けられる可能性がある。
 These risks may be exacerbated when countries of concern use bulk sensitive personal data to develop AI capabilities and algorithms that, in turn, enable the use of large datasets in increasingly sophisticated and effective ways to the detriment of United States national security. Countries of concern can use AI to target United States persons for espionage or blackmail by, for example, recognizing patterns across multiple unrelated datasets to identify potential individuals whose links to the Federal Government would be otherwise obscured in a single dataset. こうしたリスクは、懸念国が大量の機密個人データを使用してAI機能やアルゴリズムを開発し、それが米国の国家安全保障を損なうような、ますます洗練された効果的な方法で大規模なデータセットを使用することを可能にする場合、さらに悪化する可能性がある。 懸念する国々は、AIを使って米国人をスパイや恐喝の標的にすることができる。例えば、無関係な複数のデータセットのパターンを認識し、単一のデータセットでは連邦政府とのつながりが不明瞭になるような潜在的な個人を特定することができる。
 While aspects of this threat have been addressed in previous executive actions, such as Executive Order 13694 of April 1, 2015 (Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities), as amended, additional steps need to be taken to address this threat. この脅威の側面は、2015年4月1日の大統領令13694 (重要な悪意あるサイバー脅威に関与する特定の人物の財産をブロックする) のようなこれまでの大統領令で対処されてきたが、この脅威に対処するためにはさらなる措置を講じる必要がある。
 At the same time, the United States is committed to promoting an open, global, interoperable, reliable, and secure Internet; protecting human rights online and offline; supporting a vibrant, global economy by promoting cross-border data flows required to enable international commerce and trade; and facilitating open investment. To ensure that the United States continues to meet these important policy objectives, this order does not authorize the imposition of generalized data localization requirements to store Americans’ bulk sensitive personal data or United States Government-related data within the United States or to locate computing facilities used to process Americans’ bulk sensitive personal data or United States Government-related data within the United States. This order also does not broadly prohibit United States persons from conducting commercial transactions, including exchanging financial and other data as part of the sale of commercial goods and services, with entities and individuals located in or subject to the control, direction, or jurisdiction of countries of concern, or impose measures aimed at a broader decoupling of the substantial consumer, economic, scientific, and trade relationships that the United States has with other countries. In addition, my Administration has made commitments to increase public access to the results of taxpayer-funded scientific research, the sharing and interoperability of electronic health information, and patient access to their data. The national security restrictions established in this order are specific, carefully calibrated actions to minimize the risks associated with access to bulk sensitive personal data and United States Government-related data by countries of concern while minimizing disruption to commercial activity. This order shall be implemented consistent with these policy objectives, including by tailoring any regulations issued and actions taken pursuant to this order to address the national security threat posed by access to Americans’ bulk sensitive personal data and United States Government-related data by countries of concern. 同時に米国は、オープンでグローバル、相互運用可能で信頼性が高く安全なインターネットの促進、オンラインとオフラインでの人権の保護、国際商取引と貿易を可能にするために必要な国境を越えたデータの流れの促進による活力あるグローバル経済の支援、オープンな投資の促進にコミットしている。 米国がこれらの重要な政策目標を引き続き達成できるようにするため、本命令は、米国人の大量の機微な個人データまたは米国政府関連データを米国内に保管したり、米国人の大量の機微な個人データまたは米国政府関連データを処理するために使用されるコンピューティング施設を米国内に設置したりするための、一般化されたデータローカリゼーション要件の輸入事業者を認可しない。 また、本命令は、米国人が、懸念国に所在する、あるいは懸念国の支配、指示、管轄下にある事業体や個人と、商業商品やサービスの販売の一環として、金融その他のデータ交換を含む商取引を行うことを広く禁止するものではなく、米国が他国と結んでいる実質的な消費、経済、科学、貿易関係をより広範に切り離すことを目的とした措置を課すものでもない。 さらに、私の政権は、税金が投入された科学研究の成果への一般公開、電子医療情報の共有と相互運用性、患者のデータへのアクセスを拡大することを公約してきた。 本命令で定める国家セキュリティ制限は、商業活動への混乱を最小限に抑えつつ、懸念国による大量の機密個人データおよび米国政府関連データへのアクセスに関連するリスクを最小化するための、具体的かつ慎重に調整された措置である。 本命令は、このような政策目的に沿って実施されるものとし、これには、本命令に従って発行される規制や措置の内容を、懸念国による米国人の大量機微個人データおよび米国政府関連データへのアクセスによってもたらされる国家セキュリティ上の脅威に対処するように調整することも含まれる。
 Sec. 2. Prohibited and Restricted Transactions. (a) To assist in addressing the national emergency described in this order, the Attorney General, in coordination with the Secretary of Homeland Security and in consultation with the heads of relevant agencies, shall issue, subject to public notice and comment, regulations that prohibit or otherwise restrict United States persons from engaging in any acquisition, holding, use, transfer, transportation, or exportation of, or dealing in, any property in which a foreign country or national thereof has any interest (transaction), where the transaction: 第2条 禁止取引および制限取引 (a) 本命令に記載された国家的緊急事態への対処を支援するため、司法長官は、国土安全保障長官と連携し、関係省庁の長と協議の上、米国人が、外国またはその国民が何らかの利害関係を有する財産の取得、保有、使用、移転、輸送、輸出、または取引 (取引) に従事することを禁止または制限する規制を、公示および意見公募に従って発出するものとする:
 (i) involves bulk sensitive personal data or United States Government-related data, as further defined by regulations issued by the Attorney General pursuant to this section; (i) 大量機微個人データまたは米国政府関連データ (本条項に従って司法長官が発行する規則によりさらに定義される) を含む;
 (ii) is a member of a class of transactions that has been determined by the Attorney General, in regulations issued by the Attorney General pursuant to this section, to pose an unacceptable risk to the national security of the United States because the transactions may enable countries of concern or covered persons to access bulk sensitive personal data or United States Government-related data in a manner that contributes to the national emergency described in this order; (ii) 司法長官が、本条項に従って司法長官が発行する規則において、当該取引が、本命令に記載された国家緊急事態に寄与するような方法で、懸念国または対象人物が、機微一括個人データまたは米国政府関連データにアクセスすることを可能にする可能性があるため、米国の国家安全保障に容認できないリスクをもたらすと判断した取引類型の一員である;
 (iii) was initiated, is pending, or will be completed after the effective date of the regulations issued by the Attorney General pursuant to this section; (iii) 本条項に従って司法長官が発布した規則の発効日以降に開始された、保留中である、または完了する予定である;
 (iv) does not qualify for an exemption provided in, or is not authorized by a license issued pursuant to, the regulations issued by the Attorney General pursuant to this section; and (iv) 本節に従って司法長官が発布した規則に規定された免除の資格を有していないか、またはこれに従って発布された認可によって認可されていない。
 (v) is not, as defined by regulations issued by the Attorney General pursuant to this section, ordinarily incident to and part of the provision of financial services, including banking, capital markets, and financial insurance services, or required for compliance with any Federal statutory or regulatory requirements, including any regulations, guidance, or orders implementing those requirements. (v) 本条に基づき司法長官が発行する規則が定義するように、銀行業務、資本市場業務、金融保険業務を含む金融サービスの提供に通常インシデントとして付随し、その一部を構成するものではない、または連邦法または規制要件 (これらの要件を実施する規則、指針、命令を含む) を遵守するために必要なものではない。
 (b) The Attorney General, in consultation with the heads of relevant agencies, is authorized to take such actions, including the promulgation of rules and regulations, and to employ all other powers granted to the President by IEEPA, as may be necessary or appropriate to carry out the purposes of this order. Executive departments and agencies (agencies) are directed to take all appropriate measures within their authority to implement the provisions of this order. (b) 司法長官は、関係省庁の長と協議の上、本命令の目的を遂行するために必要または適切である場合には、規則や規制の公布を含む行動をとり、IEEPAによって大統領に与えられた他のすべての権限を行使する認可を受ける。 大統領令の規定を実施するため、各省庁は認可の範囲内であらゆる適切な措置をとるよう指示される。
 (c) Within 180 days of the date of this order, the Attorney General, in coordination with the Secretary of Homeland Security, and in consultation with the heads of relevant agencies, shall publish the proposed rule described in subsection (a) of this section for notice and comment. This proposed rule shall: (c) 本命令の日付から180日以内に、司法長官は、国土安全保障長官と連携し、関係省庁の長と協議の上、本項 (a) 号に記載された規則案を公表し、通知と意見を求めるものとする。 この規則案は以下の通りである:
 (i) identify classes of transactions that meet the criteria specified in subsection (a)(ii) of this section that are to be prohibited (prohibited transactions); (i) 本項第 (a) 号 (ii) に規定される基準を満たす取引のうち、禁止される取引 (禁止取引) を特定する;
 (ii) identify classes of transactions that meet the criteria specified in subsection (a)(ii) of this section and for which the Attorney General determines that security requirements established by the Secretary of Homeland Security, through the Director of the Cybersecurity and Infrastructure Security Agency, in accordance with the process described in subsection (d) of this section, adequately mitigate the risk of access by countries of concern or covered persons to bulk sensitive personal data or United States Government-related data (restricted transactions); (ii) 本項第 (a) 号 (ii) に規定される基準を満たし、かつ、司法長官が、本項第 (d) 号に記載されるプロセスに従い、サイバーセキュリティ・インフラセキュリティ庁長官を通じて国土安全保障長官が設定したセキュリティ要件が、懸念国または対象者によるバルク機密個人データまたは米国政府関連データへのアクセスのリスクを適切に軽減すると判断する取引のクラス (制限取引) を特定する;
 (iii) identify, with the concurrence of the Secretary of State and the Secretary of Commerce, countries of concern and, as appropriate, classes of covered persons for the purposes of this order; (iii) 国務長官および商務長官の同意を得て、本命令の目的のために、懸念国および必要に応じて対象者のクラスを特定する;
 (iv) establish, as appropriate, mechanisms to provide additional clarity to persons affected by this order and any regulations implementing this order (including by designations of covered persons and licensing decisions); (iv) 必要に応じて、本命令および本命令を実施する規則 (対象者の指定および許可決定によるものを含む) の影響を受ける者にさらなる明確性を提供するためのメカニズムを確立する;
 (v) establish a process to issue (including to modify or rescind), in concurrence with the Secretary of State, the Secretary of Commerce, and the Secretary of Homeland Security, and in consultation with the heads of other relevant agencies, as appropriate, licenses authorizing transactions that would otherwise be prohibited transactions or restricted transactions; (v) 国務長官、商務長官、および国土安全保障長官の同意の下、また必要に応じて他の関連省庁の長と協議の上、禁止取引または制限取引となる取引を認可するライセンスを発行する (変更または取消を含む) プロセスを確立する;
 (vi) further define the terms identified in section 7 of this order and any other terms used in this order or any regulations implementing this order; (vi) 本命令の第7項で識別される用語、および本命令または本命令を実施する規則で使用されるその他の用語をさらに定義する;
 (vii) address, as appropriate, coordination with other United States Government entities, such as the Committee on Foreign Investment in the United States, the Office of Foreign Assets Control within the Department of the Treasury, the Bureau of Industry and Security within the Department of Commerce, and other entities implementing relevant programs, including those implementing Executive Order 13873; Executive Order 14034; and Executive Order 13913 of April 4, 2020 (Establishing the Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector); and (vii) 必要に応じて、対米外国投資委員会、財務省内の外国資産管理局、商務省内の産業安全保障局、および関連プログラムを実施する他の事業体 (大統領令13873、大統領令14034、および2020年4月4日の大統領令13913 (米国電気通信サービス分野における外国参入評価委員会の設置) を含む) など、他の米国政府事業体との調整に対処する。
 (viii) address the need for, as appropriate, recordkeeping and reporting of transactions to inform investigative, enforcement, and regulatory efforts. (viii) 調査、執行、規制の取り組みに情報を提供するため、必要に応じて、取引の記録と報告の必要性に対処する。
 (d) The Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency, shall, in coordination with the Attorney General and in consultation with the heads of relevant agencies, propose, seek public comment on, and publish security requirements that address the unacceptable risk posed by restricted transactions, as identified by the Attorney General pursuant to this section. These requirements shall be based on the Cybersecurity and Privacy Frameworks developed by the National Institute of Standards and Technology. (d) 国土安全保障長官は、サイバーセキュリティ・インフラセキュリティ庁長官を通じ、司法長官と連携し、関連省庁の長と協議の上、本条に基づき司法長官が特定した、制限付き取引がもたらす許容できないリスクに対処するセキュリティ要件を提案し、パブリックコメントを求め、公表する。 これらの要件は、国立標準技術研究所が策定したサイバーセキュリティおよびプライバシーのフレームワークに基づいているものとする。
 (i) The Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency, shall, in coordination with the Attorney General, issue any interpretive guidance regarding the security requirements. (i) 国土安全保障長官は、サイバーセキュリティ・インフラセキュリティ庁長官を通じて、司法長官と連携して、セキュリティ要件に関する解釈ガイダンスを発行する。
 (ii) The Attorney General shall, in coordination with the Secretary of Homeland Security acting through the Director of the Cybersecurity and Infrastructure Security Agency, issue enforcement guidance regarding the security requirements. (ii) 司法長官は、サイバーセキュリティ・インフラセキュリティ庁長官を通じて行動する国土安全保障長官と連携して、セキュリティ要件に関する施行ガイダンスを発行する。
 (e) The Secretary of Homeland Security, in coordination with the Attorney General, is hereby authorized to take such actions, including promulgating rules, regulations, standards, and requirements; issuing interpretive guidance; and employing all other powers granted to the President by IEEPA as may be necessary to carry out the purposes described in subsection (d) of this section.  (e) 国土安全保障長官は、司法長官と連携して、規則、規制、標準、要件の公布、解釈ガイダンスの発行、IEEPAにより大統領に付与された他のすべての権限の行使など、本節 (d) に記載された目的を遂行するために必要と思われる行動をとる認可を受ける。
 (f) In exercising the authority delegated in subsection (b) of this section, the Attorney General, in coordination with the Secretary of Homeland Security and in consultation with the heads of relevant agencies, may, in addition to the rulemaking directed in subsection (c) of this section, propose one or more regulations to further implement this section, including to identify additional classes of prohibited transactions; to identify additional classes of restricted transactions; with the concurrence of the Secretary of State and the Secretary of Commerce, to identify new or remove existing countries of concern and, as appropriate, classes of covered persons for the purposes of this order; and to establish a mechanism for the Attorney General to monitor whether restricted transactions comply with the security requirements established under subsection (d) of this section. (f) 本項第 (b) 号で委任された認可を行使するにあたり、司法長官は、国土安全保障長官と連携し、関係省庁の長と協議の上、本項第 (c) 号で指示された規則制定に加え、禁止される取引の追加クラスを特定することを含め、本条をさらに実施するための1つ以上の規則を提案することができる; また、国務長官および商務長官の同意を得て、本命令の目的のために、新たな懸念国および必要に応じて対象者のクラスを特定または削除すること、ならびに、制限された取引が本条第 (d) 項に基づき設定されたセキュリティ要件を遵守しているかどうかを法務長官が監視するための仕組みを確立することを含む。
 (g) Any proposed regulations implementing this section: (g) 本節を実施する規制案は、以下の通りである:
 (i) shall reflect consideration of the nature of the class of transaction involving bulk sensitive personal data or United States Government-related data, the volume of bulk sensitive personal data involved in the transaction, and other factors, as appropriate; (i) バルク機微個人データまたは米国ガバナンス関連データを含む取引のクラスの性質、取引に関与するバルク機微個人データの量、および適切なその他の要因を考慮しなければならない;
 (ii) shall establish thresholds and due diligence requirements for entities to use in assessing whether a transaction is a prohibited transaction or a restricted transaction; (ii) 取引が禁止された取引または制限された取引であるかどうかを評価する際に、事業体が使用する閾値およびデューディリジェンスの要件を定めなければならない;
 (iii) shall not establish generalized data localization requirements to store bulk sensitive personal data or United States Government-related data within the United States or to locate computing facilities used to process bulk sensitive personal data or United States Government-related data within the United States; (iii) 大量の機微な個人データまたは米国政府関連データを米国内に保管するため、または大量の機微な個人データまたは米国政府関連データを処理するために使用されるコンピューティング施設を米国内に設置するために、一般化されたデータローカリゼーション要件を設定してはならない;
 (iv) shall account for any legal obligations applicable to the United States Government relating to public access to the results of taxpayer-funded scientific research, the sharing and interoperability of electronic health information, and patient access to their data; and (iv) 米国政府に適用される、税金が投入された科学研究の成果への一般公開、電子医療情報の共有と相互運用性、および患者のデータへのアクセスに関する法的義務を考慮しなければならない。
 (v) shall not address transactions to the extent that they involve types of human ‘omic data other than human genomic data before the submission of the report described in section 6 of this order. (v) 本命令の第6項に記載された報告書が提出されるまでは、ヒトゲノムデータ以外のヒト「オーミック」データの種類に関わる取引に対処してはならない。
 (h) The prohibitions promulgated pursuant to this section apply except to the extent provided by law, including by statute or in regulations, orders, directives, or licenses that may be issued pursuant to this order, and notwithstanding any contract entered into or any license or permit granted prior to the effective date of the applicable regulations directed by this order. (h) 本項に従って公布された禁止事項は、法令または本命令に従って発行される規制、命令、指令もしくは許可を含む適用法に規定されている範囲を除き、また、本命令によって指示された適用規則の発効日前に締結された契約または付与された許可もしくは許可にかかわらず、適用される。
 (i) Any transaction or other activity that has the purpose of evading or avoiding, causes a violation of, or attempts to violate any of the prohibitions promulgated pursuant to this section is prohibited. (i) 本項に従って公布された禁止事項のいずれかを回避または回避する目的を持つ、違反を引き起こす、または違反を試みる取引またはその他の活動は禁止される。
 (j) Any conspiracy formed to violate any of the prohibitions promulgated pursuant to this section is prohibited. (j) 本項に従って公布された禁止事項のいずれかに違反するために形成された共謀は禁止される。
 (k) In regulations issued by the Attorney General under this section, the Attorney General may prohibit United States persons from knowingly directing transactions if such transactions would be prohibited transactions under regulations issued pursuant to this order if engaged in by a United States person. (k) 本条に基づき司法長官が発布する規則において、司法長官は、米国人が取引を行う場合、当該取引が本命令に基づき発布される規則により禁止される取引となる場合には、米国人が故意に取引を指示することを禁止することができる。
 (l) The Attorney General may, consistent with applicable law, redelegate any of the authorities conferred on the Attorney General pursuant to this section within the Department of Justice. The Secretary of Homeland Security may, consistent with applicable law, redelegate any of the authorities conferred on the Secretary of Homeland Security pursuant to this section within the Department of Homeland Security. (l) 司法長官は、適用法に従い、司法省内で本条に基づき司法長官に与えられた権限を再委任することができる。 国土安全保障省長官は、適用法に従い、本項に基づき国土安全保障省長官に与えられた権限のいずれかを、国土安全保障省内で再委任することができる。
 (m) The Attorney General, in coordination with the Secretary of Homeland Security and in consultation with the heads of relevant agencies, is hereby authorized to submit recurring and final reports to the Congress related to this order, consistent with section 401(c) of the NEA (50 U.S.C. 1641(c)) and section 204(c) of IEEPA (50 U.S.C. 1703(c)). (m) 司法長官は、国土安全保障長官と連携し、関係省庁の長と協議の上、NEA第401条 (c) (50 U.S.C. 1641 (c) ) およびIEEPA第204条 (c) (50 U.S.C. 1703 (c) ) に則り、本命令に関連する定期報告書および最終報告書を議会に提出する認可を受ける。
Sec. 3. Protecting Sensitive Personal Data. (a) Access to bulk sensitive personal data and United States Government-related data by countries of concern can be enabled through the transmission of data via network infrastructure that is subject to the jurisdiction or control of countries of concern. The risk of access to this data by countries of concern can be, and sometime is, exacerbated where the data transits a submarine cable that is owned or operated by persons owned by, controlled by, or subject to the jurisdiction or direction of a country of concern, or that connects to the United States and terminates in the jurisdiction of a country of concern. Additionally, the same risk of access by a country of concern is further exacerbated in instances where a submarine cable is designed, built, and operated for the express purpose of transferring data, including bulk sensitive personal data or United States Government-related data, to a specific data center located in a foreign jurisdiction. To address this threat, the Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector (Committee) shall, to the extent consistent with its existing authority and applicable law: 第3条 機微な個人データの保護。 (a) 懸念国による大量の機微個人データおよび米国政府関連データへのアクセスは、懸念国の司法権または管理主体であるネットワーク・インフラを介したデータ送信によって可能になる可能性がある。 懸念国がこのデータにアクセスするリスクは、懸念国の所有者、支配者、または管轄権もしくは指示の下にある者が所有または運営する海底ケーブル、あるいは米国に接続し、懸念国の管轄権で終端する海底ケーブルをデータが通過する場合に悪化する可能性があり、時には悪化することもある。 さらに、大量機密個人データや米国政府関連データを含むデータを、外国の司法管轄区にある特定のデータセンターに転送するという明確な目的のために海底ケーブルが設計、建設、運用される場合、懸念国によるアクセスのリスクはさらに悪化する。 この脅威に対処するため、米国電気通信サービス分野における外国参入評価委員会 (委員会) は、その既存の認可および適用法と矛盾しない範囲で、以下のことを行う:
 (i) prioritize, for purposes of and in reliance on the process set forth in section 6 of Executive Order 13913, the initiation of reviews of existing licenses for submarine cable systems that are owned or operated by persons owned by, controlled by, or subject to the jurisdiction or direction of a country of concern, or that terminate in the jurisdiction of a country of concern; (i) 大統領令13913の第6節に規定されたプロセスの目的のため、およびそれに基づき、懸念国の所有、支配、または管轄もしくは指示に服する者が所有または運営する海底ケーブルシステム、または懸念国の管轄内で終端する海底ケーブルシステムの既存免許の審査開始を優先する;
 (ii) issue policy guidance, in consultation with the Committee’s Advisors as defined in section 3(d) of Executive Order 13913, regarding the Committee’s reviews of license applications and existing licenses, including the assessment of third-party risks regarding access to data by countries of concern; and (ii) 大統領令13913条3項 (d) に定義された委員会のアドバイザーと協議の上、懸念国によるデータへのアクセスに関するサードパーティ・リスクの評価を含め、ライセンス申請および既存ライセンスの委員会の審査に関する政策指針を発行する。
 (iii) address, on an ongoing basis, the national security and law enforcement risks related to access by countries of concern to bulk sensitive personal data described in this order that may be presented by any new application or existing license reviewed by the Committee to land or operate a submarine cable system, including by updating the Memorandum of Understanding required under section 11 of Executive Order 13913 and by revising the Committee’s standard mitigation measures, with the approval of the Committee’s Advisors, which may include, as appropriate, any of the security requirements contemplated by section 2(d) of this order. (iii) 海底ケーブルシステムを陸揚げまたは運用するために委員会が審査する新規申請または既存ライセンスによってもたらされる可能性のある、本令に記載されたバルク機微個人データへの懸念国によるアクセスに関連する国家セキュリティおよび法執行リスクに、継続的に対処すること、 これには、大統領令第13913条第11項に基づき要求される覚書を更新すること、および委員会のアドバイザーの承認を得て、委員会の標準軽減措置を改訂することが含まれる。
 (b) Entities in the United States healthcare market can access bulk sensitive personal data, including personal health data and human genomic data, through partnerships and agreements with United States healthcare providers and research institutions. Even if such data is anonymized, pseudonymized, or de-identified, advances in technology, combined with access by countries of concern to large data sets, increasingly enable countries of concern that access this data to re-identify or de-anonymize data, which may reveal the exploitable health information of United States persons. While the United States supports open scientific data and sample sharing to accelerate research and development through international cooperation and collaboration, the following additional steps must be taken to protect United States persons’ sensitive personal health data and human genomic data from the threat identified in this order: (b) 米国ヘルスケア市場の事業体は、米国のヘルスケアプロバイダーや研究機構との提携や契約を通じて、個人健康データやヒトゲノムデータを含む大量の機微な個人データにアクセスすることができる。 そのようなデータが匿名化、仮名化、または非特定化されていたとしても、技術の進歩は、懸念国による大規模データセットへのアクセスと相まって、このデータにアクセスする懸念国がデータを再特定化または非特定化することをますます可能にしており、これにより米国人の搾取可能な健康情報が明らかになる可能性がある。 米国は、国際的な協力と協調を通じて研究開発を加速するために、オープンな科学データとサンプルの共有を支持するが、本命令で特定された脅威から米国人の機微な個人健康データとヒトゲノムデータを保護するために、以下の追加措置を講じなければならない:
 (i) The Secretary of Defense, the Secretary of Health and Human Services, the Secretary of Veterans Affairs, and the Director of the National Science Foundation shall consider taking steps, including issuing regulations, guidance, or orders, as appropriate and consistent with the legal authorities authorizing relevant Federal assistance programs, to prohibit the provision of assistance that enables access by countries of concern or covered persons to United States persons’ bulk sensitive personal data, including personal health data and human genomic data, or to impose mitigation measures with respect to such assistance, which may be consistent with the security requirements adopted under section 2(d) of this order, on the recipients of Federal assistance to address this threat. The Secretary of Defense, the Secretary of Health and Human Services, the Secretary of Veterans Affairs, and the Director of the National Science Foundation shall, in consultation with each other, develop and publish guidance to assist United States research entities in ensuring protection of their bulk sensitive personal data. (i) 国防長官、保健福祉長官、退役軍人長官、および全米科学財団長官は、適切かつ関連する連邦支援プログラムを認可する法的権限に合致するように、規制、ガイダンス、または命令を発行することを含む措置を講じることを検討しなければならない、 個人健康データおよびヒトゲノムデータを含む、米国人のバルク機微個人データへの懸念国または対象者によるアクセスを可能にする援助の提供を禁止するか、またはこの脅威に対処するため、連邦援助の取得者に対して、本命令の第2条 (d) に基づき採択されたセキュリティ要件と一致する可能性のある、かかる援助に関する軽減措置を課す。 国防長官、保健福祉長官、退役軍人長官、および全米科学財団長官は、相互に協議の上、米国の研究事業体がバルク機密個人データの保護を確保するのを支援するためのガイダンスを作成し、公表するものとする。
 (ii) Within 1 year of the date of this order, the Secretary of Defense, the Secretary of Health and Human Services, the Secretary of Veterans Affairs, and the Director of the National Science Foundation shall jointly submit a report to the President through the Assistant to the President for National Security Affairs (APNSA) detailing their progress in implementing this subsection. (ii) 本命令の日付から1年以内に、国防長官、保健福祉長官、退役軍人長官、および全米科学財団長官は、共同で、国家安全保障問題担当大統領補佐官 (APNSA) を通じて、本款の実施状況を詳述した報告書を大統領に提出するものとする。
 (c) Entities in the data brokerage industry enable access to bulk sensitive personal data and United States Government-related data by countries of concern and covered persons. These entities pose a particular risk of contributing to the national emergency described in this order because they routinely engage in the collection, assembly, evaluation, and dissemination of bulk sensitive personal data and of the subset of United States Government-related data regarding United States consumers. The Director of the Consumer Financial Protection Bureau (CFPB) is encouraged to consider taking steps, consistent with CFPB’s existing legal authorities, to address this aspect of the threat and to enhance compliance with Federal consumer protection law, including by continuing to pursue the rulemaking proposals that CFPB identified at the September 2023 Small Business Advisory Panel for Consumer Reporting Rulemaking. (c) データ・ブローカー業界の事業体は、懸念国および対象者による大量の機密個人データおよび米国政府関連データへのアクセスを可能にしている。 これらの事業体は、大量の機微な個人データおよび米国消費者に関する米国政府関連データのサブセットの収集、収集、評価、拡散に日常的に従事しているため、本命令に記載された国家非常事態を助長する特別なリスクをもたらす。 消費者金融保護局 (CFPB) 局長は、この脅威の側面に対処し、連邦消費者保護法の遵守を強化するため、CFPBの既存の法的認可に沿った措置を講じることを検討するよう奨励される。これには、CFPBが2023年9月の消費者報告規則策定に関する中小企業諮問委員会で特定した規則策定案を引き続き追求することも含まれる。
Sec. 4. Assessing the National Security Risks Arising from Prior Transfers of United States Persons’ Bulk Sensitive Personal Data. Within 120 days of the effective date of the regulations issued pursuant to section 2(c) of this order, the Attorney General, the Secretary of Homeland Security, and the Director of National Intelligence, in consultation with the heads of relevant agencies, shall recommend to the APNSA appropriate actions to detect, assess, and mitigate national security risks arising from prior transfers of United States persons’ bulk sensitive personal data to countries of concern. Within 150 days of the effective date of the regulations issued pursuant to section 2(c) of this order, the APNSA shall review these recommendations and, as appropriate, consult with the Attorney General, the Secretary of Homeland Security, and the heads of relevant agencies on implementing the recommendations consistent with applicable law. 第4条 米国人の一括機微個人データの事前移転から生じる国家セキュリティリスクのアセスメント。 本命令の第2条 (c) に従って発行された規則の発効日から120日以内に、司法長官、国土安全保障長官、および国家情報長官は、関連省庁の長と協議の上、米国人のバルク機微個人データの懸念国への事前移転から生じる国家安全保障リスクを検知、評価、軽減するための適切な措置をAPNSAに勧告するものとする。 APNSAは、本命令第2条 (c) に従って発行された規則の発効日から150日以内に、これらの勧告を見直し、必要に応じて、適用法に合致した勧告の実施について、司法長官、国土安全保障長官、および関連省庁の長と協議するものとする。
Sec. 5. Report to the President. (a) Within 1 year of the effective date of the regulations issued pursuant to section 2(c) of this order, the Attorney General, in consultation with the Secretary of State, the Secretary of the Treasury, the Secretary of Commerce, and the Secretary of Homeland Security, shall submit a report to the President through the APNSA assessing, to the extent practicable: 第5条 大統領への報告 (a) 本命令第2条 (c) に従って発布された規則の発効日から1年以内に、司法長官は、国務長官、財務長官、商務長官、および国土安全保障長官と協議の上、APNSAを通じて大統領に、実行可能な範囲で以下の事項を評価した報告書を提出する:
 (i) the effectiveness of the measures imposed under this order in addressing threats to the national security of the United States described in this order; and (i) 本命令に基づく措置が、本命令に記載された米国の国家安全保障に対する脅威に対処する上で有効であったか。
 (ii) the economic impact of the implementation of this order, including on the international competitiveness of United States industry. (ii) 米国産業の国際競争力を含む、本命令の実施による経済的影響。
 (b) In preparing the report described in subsection (a) of this section, the Attorney General shall solicit and consider public comments concerning the economic impact of this order. (b) 本節第 (a) 項に記載された報告書を作成するにあたり、司法長官は、本命令の経済的影響に関するパブリックコメントを求め、検討するものとする。
Sec. 6. Assessing Risks Associated with Human ‘omic Data. Within 120 days of the date of this order, the APNSA, the Assistant to the President and Director of the Domestic Policy Council, the Director of the Office of Science and Technology Policy, and the Director of the Office of Pandemic Preparedness and Response Policy, in consultation with the Secretary of State, the Secretary of Defense, the Secretary of Health and Human Services, the Secretary of Veterans Affairs, the Director of the National Science Foundation, the Director of National Intelligence, and the Director of the Federal Bureau of Investigation, shall submit a report to the President, through the APNSA, assessing the risks and benefits of regulating transactions involving types of human ‘omic data other than human genomic data, such as human proteomic data, human epigenomic data, and human metabolomic data, and recommending the extent to which such transactions should be regulated pursuant to section 2 of this order. This report and recommendation shall consider the risks to United States persons and national security, as well as the economic and scientific costs of regulating transactions that provide countries of concern or covered persons access to these data types. 第6条 ヒトオミックデータに関するリスクアセスメント 本命令の日付から120日以内に、APNSA、大統領補佐官兼国内政策審議会ディレクター、米国科学技術政策局ディレクター、およびパンデミック対策政策局ディレクターは、国務長官、国防長官、保健福祉長官、退役軍人長官、全米科学財団ディレクター、国家情報長官、および国家情報長官と協議を行う、 国家情報長官、連邦捜査局長官と協議の上、APNSAを通じて、ヒトプロテオームデータ、ヒトエピゲノムデータ、ヒトメタボロームデータなど、ヒトゲノムデータ以外のヒトオミックデータを含む取引を規制することのリスクと便益を評価し、そのような取引を本命令の第2項に従ってどの程度規制すべきかを勧告する報告書を大統領に提出しなければならない。 この報告書および勧告は、米国人および国家安全保障に対するリスク、ならびに懸念国または対象者にこれらのデータタイプへのアクセスを提供する取引を規制することの経済的および科学的コストを考慮するものとする。
Sec. 7. Definitions. For purposes of this order: 第7条 定義。 本命令の目的上:
 (a) The term “access” means logical or physical access, including the ability to obtain, read, copy, decrypt, edit, divert, release, affect, alter the state of, or otherwise view or receive, in any form, including through information technology systems, cloud computing platforms, networks, security systems, equipment, or software. (a) 「アクセス」とは、情報技術システム、クラウド・コンピューティング・プラットフォーム、ネットワーク、セキュリティー・システム、機器、またはソフトウェアを通じて、いかなる形であれ、入手、読み取り、コピー、解読、編集、転用、公開、影響、状態の変更、またはその他の閲覧や受信を行う能力を含む、論理的または物理的アクセスを意味する。
 (b) The term “bulk” means an amount of sensitive personal data that meets or exceeds a threshold over a set period of time, as specified in regulations issued by the Attorney General pursuant to section 2 of this order. (b) 「バルク」とは、本命令の第2条に従って司法長官が発行する規則で指定される、一定期間にわたって閾値を満たすか超える量の機微な個人データを意味する。
 (c) The term “country of concern” means any foreign government that, as determined by the Attorney General pursuant to section 2(c)(iii) or 2(f) of this order, has engaged in a long-term pattern or serious instances of conduct significantly adverse to the national security of the United States or the security and safety of United States persons, and poses a significant risk of exploiting bulk sensitive personal data or United States Government-related data to the detriment of the national security of the United States or the security and safety of United States persons, as specified in regulations issued by the Attorney General pursuant to section 2 of this order. (c) 「懸念国」とは、この命令の第2条 (c) (iii) または第2条 (f) に従って司法長官が決定したとおり、米国の国家安全保障または米国人の安全保障および治安に著しく悪影響を及ぼす長期的なパターンまたは深刻な事例を行った外国政府を意味する、 本命令の第2項に従って司法長官が発行する規則で指定されるとおり、米国の国家安全保障または米国人の安全保障および治安を害するために、大量の機密個人データまたは米国政府関連データを悪用する重大なリスクをもたらす。
 (d) The term “covered person” means an entity owned by, controlled by, or subject to the jurisdiction or direction of a country of concern; a foreign person who is an employee or contractor of such an entity; a foreign person who is an employee or contractor of a country of concern; a foreign person who is primarily resident in the territorial jurisdiction of a country of concern; or any person designated by the Attorney General as being owned or controlled by or subject to the jurisdiction or direction of a country of concern, as acting on behalf of or purporting to act on behalf of a country of concern or other covered person, or as knowingly causing or directing, directly or indirectly, a violation of this order or any regulations implementing this order. (d) 「対象者」とは、関係国によって所有され、管理され、または関係国の管轄権もしくは指示に服する事業体、そのような事業体の従業員または請負業者である外国人、関係国の従業員または請負業者である外国人、関係国の領域的管轄権に主として居住する外国人を意味する; または、関係国に所有もしくは統制されている、または関係国の管轄もしくは指揮下にある、関係国もしくはその他の対象者を代表して行動している、または代表して行動すると称している、または本命令もしくは本命令を実施する規則の違反を、直接的または間接的に故意に引き起こした、または指示したと司法長官が指定した者。
 (e) The term “covered personal identifiers” means, as determined by the Attorney General in regulations issued pursuant to section 2 of this order, specifically listed classes of personally identifiable data that are reasonably linked to an individual, and that — whether in combination with each other, with other sensitive personal data, or with other data that is disclosed by a transacting party pursuant to the transaction and that makes the personally identifiable data exploitable by a country of concern — could be used to identify an individual from a data set or link data across multiple data sets to an individual. The term “covered personal identifiers” does not include: (e) 「対象となる個人識別情報」とは、司法長官が本命令の第2条に従って発行する規則において定めるところに従い、個人と合理的に結び付けられる、具体的にリストアップされた個人識別可能なデータのクラスであって、相互の組み合わせ、他の機微な個人データとの組み合わせ、または取引当事者が取引に従って開示する他のデータとの組み合わせのいずれであっても、個人識別可能なデータを懸念国が悪用できるようにするものであり、データセットから個人を識別するため、または複数のデータセットにまたがるデータを個人に結び付けるために使用され得るものをいう。 対象となる個人識別情報」には、以下のものは含まれない:
 (i) demographic or contact data that is linked only to another piece of demographic or contact data (such as first and last name, birth date, birthplace, zip code, residential street or postal address, phone number, and email address and similar public account identifiers); or (i) 別の人口統計学的データまたは連絡先データ (姓名、生年月日、出生地、郵便番号、居住地または郵便住所、電話番号、電子メールアドレス、および類似の公開アカウント識別子など) にのみリンクされる人口統計学的データまたは連絡先データ。
 (ii) a network-based identifier, account-authentication data, or call-detail data that is linked only to another network-based identifier, account-authentication data, or call-detail data for the provision of telecommunications, networking, or similar services. (ii) 電気通信、ネットワーキング、または類似のサービスの提供のために、別のネッ トワークベースの識別子、アカウント認証データ、または通話明細データにのみリンクさ れているネットワークベースの識別子、アカウント認証データ、または通話明細データ。
 (f) The term “entity” means a partnership, association, trust, joint venture, corporation, group, subgroup, or other organization. (f) 「事業体」とは、パートナーシップ、団体、信託、合弁事業、法人、グループ、サブグ ループ、またはその他の組織をいう。
 (g) The term “foreign person” means any person that is not a United States person. (g) 「外国人」とは、米国人以外の者をいう。
 (h) The term “human genomic data” refers to data representing the nucleic acid sequences that constitute the entire set or a subset of the genetic instructions found in a cell. (h) 「ヒトゲノムデータ」とは、細胞内に存在する遺伝命令の全体またはサブセットを構成する核酸配列を代表するデータをいう。
 (i) The term “human ‘omic data” means data generated from humans that characterizes or quantifies human biological molecule(s), such as human genomic data, epigenomic data, proteomic data, transcriptomic data, microbiomic data, or metabolomic data, as further defined by regulations issued by the Attorney General pursuant to section 2 of this order, which may be informed by the report described in section 6 of this order. (i) 「ヒト'オーミック'データ」とは、ヒトゲノム解析データ、エピゲノム解析データ、プロテオミクス解析データ、トランスクリプトーム解析データ、マイクロバイオーム解析データ、メタボローム解析データなど、ヒトの生物学的分子を特徴付けまたは定量化するヒトから生成されたデータを意味する。
 (j) The term “person” means an individual or entity. (j) 「人」とは、個人または事業体を意味する。
 (k) The term “relevant agencies” means the Department of State, the Department of the Treasury, the Department of Defense, the Department of Commerce, the Department of Health and Human Services, the Office of the United States Trade Representative, the Office of the Director of National Intelligence, the Office of the National Cyber Director, the Office of Management and Budget, the Federal Trade Commission, the Federal Communications Commission, and any other agency or office that the Attorney General determines appropriate. (k) 「関係省庁」とは、国務省、財務省、国防総省、商務省、保健福祉省、米国通商代表部、国家情報長官室、国家サイバー長官室、行政管理予算局、連邦取引委員会、連邦通信委員会、および司法長官が適切と判断するその他の省庁を意味する。
 (l) The term “sensitive personal data” means, to the extent consistent with applicable law including sections 203(b)(1) and (b)(3) of IEEPA, covered personal identifiers, geolocation and related sensor data, biometric identifiers, human ‘omic data, personal health data, personal financial data, or any combination thereof, as further defined in regulations issued by the Attorney General pursuant to section 2 of this order, and that could be exploited by a country of concern to harm United States national security if that data is linked or linkable to any identifiable United States individual or to a discrete and identifiable group of United States individuals. The term “sensitive personal data” does not include: (l) 「機微な個人データ」という用語は、IEEPA第203条 (b) (1) および (b) (3) を含む適用法に合致する限りにおいて、対象となる個人識別情報、地理位置情報および関連センサーデータ、生体識別情報、個人健康データ、個人財務データ、またはそれらの組み合わせを意味する、 この命令の第2節に従って司法長官が発行する規則でさらに定義されるもので、そのデータが識別可能な米国個人または識別可能な米国個人の集団にリンクされているかリンク可能である場合、米国の国家安全保障に害を及ぼす懸念のある国が悪用する可能性がある。 機微な個人データ」という用語には、以下は含まれない:
 (i) data that is a matter of public record, such as court records or other government records, that is lawfully and generally available to the public; (i) 裁判所の記録やその他の政府の記録など、公の記録であり、合法的かつ一般的に利用可能なデータ;
 (ii) personal communications that are within the scope of section 203(b)(1) of IEEPA; or (ii) IEEPA第203条 (b) (1) の範囲内にある個人コミュニケーション。
 (iii) information or informational materials within the scope of section 203(b)(3) of IEEPA. (iii) IEEPA第203条 (b) (3) の範囲内の情報または情報資料。
 (m) The term “United States Government-related data” means sensitive personal data that, regardless of volume, the Attorney General determines poses a heightened risk of being exploited by a country of concern to harm United States national security and that: (m) 「米国政府関連データ」とは、量に関係なく、米国の国家安全保障に危害を及ぼす懸念のある国によって悪用されるリスクが高まると司法長官が判断する、機密性の高い個人データを意味する:
 (i) a transacting party identifies as being linked or linkable to categories of current or recent former employees or contractors, or former senior officials, of the Federal Government, including the military, as specified in regulations issued by the Attorney General pursuant to section 2 of this order; (i) 取引当事者が、本命令の第 2 項に従って司法長官が発行する規則で指定される、軍を含む連邦政府の現職員、元職員、元請負業者、元高官のカテゴリーにリンクしている、またはリンク可能であると識別するもの;
 (ii) is linked to categories of data that could be used to identify current or recent former employees or contractors, or former senior officials, of the Federal Government, including the military, as specified in regulations issued by the Attorney General pursuant to section 2 of this order; or (ii) 本命令の第 2 項に従って司法長官が発行する規則で指定される、軍を含む連邦政府の現 在または最近の元従業員もしくは請負業者、または元高官を識別するために使用される可能性の あるデータのカテゴリーにリンクされている。
 (iii) is linked or linkable to certain sensitive locations, the geographical areas of which will be specified publicly, that are controlled by the Federal Government, including the military. (iii) 軍を含む連邦政府によって管理されている、地理的に特定される特定の機密性の高い場所にリンクされている、またはリンク可能である。
 (n) The term “United States person” means any United States citizen, national, or lawful permanent resident; any individual admitted to the United States as a refugee under 8 U.S.C. 1157 or granted asylum under 8 U.S.C. 1158; any entity organized solely under the laws of the United States or any jurisdiction within the United States (including foreign branches); or any person in the United States. (n) 「米国人」とは、米国市民、国民、合法的永住者、合衆国法典第1157条に基づき難民として米国に入国した者、または合衆国法典第1158条に基づき庇護を認められた者、米国法または米国内の司法管轄権 (外国支部を含む) に基づいてのみ組織された事業体、または米国内の者を指す。
Sec. 8. General Provisions. (a) Nothing in this order shall be construed to impair or otherwise affect: 第8条 一般規定。 (a) 本命令のいかなる規定も、これを損なったり、その他の影響を与えたりするようには解釈されない:
 (i) the authority granted by law to an executive department or agency, or the head thereof; or (i) 法律により行政省庁またはその長に与えられた認可。
 (ii) the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals. (ii) 予算案、行政案、立法案に関する行政管理予算局長の機能。
 (b) Nothing in this order shall prohibit transactions for the conduct of the official business of the United States Government by employees, grantees, or contractors thereof, or transactions conducted pursuant to a grant, contract, or other agreement entered into with the United States Government. (b) 本命令のいかなる規定も、米国政府の職員、助成対象者、請負業者による米国政府の公務遂行のための取引、または米国政府との間で締結された助成金、契約、その他の合意に基づいて行われる取引を禁止するものではない。
 (c) Any disputes that may arise among agencies during the consultation processes described in this order may be resolved pursuant to the interagency process described in National Security Memorandum 2 of February 4, 2021 (Renewing the National Security Council System), or any successor document. (c) 本命令に記載された協議プロセス中に国家安全保障局間で生じる可能性のある紛争は、2021年2月4日付国家安全保障覚書2 (国家安全保障会議制度の更新) またはその後継文書に記載された省庁間プロセスに従って解決することができる。
 (d) This order shall be implemented consistent with applicable law and subject to the availability of appropriations. (d) 本命令は、適用法に合致し、充当可能な予算に応じて実施されるものとする。
 (e) This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. (e) 本命令は、米国、その省庁、事業体、その役員、職員、代理人、その他いかなる者に対しても、法律上または衡平法上執行可能な、実体的または手続き上の権利または利益を創出することを意図したものではなく、また創出するものでもない。
JOSEPH R. BIDEN JR. ジョセフ・R・ビデン・ジュニア
THE WHITE HOUSE, ホワイトハウス

 

・2024.02.28 Message to the Congress on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern

Message to the Congress on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern  懸念国による米国人の一括機微個人データおよび米国政府関連データへのアクセス防止に関する議会へのメッセージ
TO THE CONGRESS OF THE UNITED STATES: 米国議会へ
 Pursuant to the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.) (IEEPA), the National Emergencies Act (50 U.S.C. 1601 et seq.), and section 301 of title 3, United States Code, I hereby report that I have issued an Executive Order that expands the scope of the national emergency declared in Executive Order 13873 of May 15, 2019 (Securing the Information and Communications Technology and Services Supply Chain), and further addressed with additional measures in Executive Order 14034 of June 9, 2021 (Protecting Americans’ Sensitive Data from Foreign Adversaries). 国際緊急経済権限法 (IEEPA) 、国家緊急事態法 (50 U.S.C. 1601 et seq. ) 、および米国法典第3編第301条に基づき、2019年5月15日付大統領令13873号 (情報通信技術およびサービスのサプライチェーンの安全確保) で宣言され、2021年6月9日付大統領令14034号 (外国敵対者からの米国人の機密データの防御) で追加措置が講じられた国家非常事態の範囲を拡大する大統領令を発布したことをここに報告する。
 The continuing effort of certain countries of concern to access Americans’ sensitive personal data and United States Government-related data constitutes an unusual and extraordinary threat, which has its source in whole or substantial part outside the United States, to the national security and foreign policy of the United States. Access to Americans’ bulk sensitive personal data or United States Government-related data increases the ability of countries of concern to engage in a wide range of malicious activities, including espionage, influence, kinetic, or cyber operations, or to identify other potential strategic advantages over the United States. 米国人の機密個人データおよび米国政府関連データにアクセスしようとする特定の懸念国の継続的な努力は、米国の国家安全保障および外交政策にとって、その出所の全部または大部分が米国外にある異常かつ並外れた脅威である。 米国人の大量機密個人データまたは米国政府関連データへのアクセスは、懸念国がスパイ活動、影響力活動、運動作戦、サイバー作戦を含む広範な悪意ある活動に従事したり、米国に対するその他の潜在的な戦略的優位性を確認したりする能力を増大させる。
 To address this threat and to take further steps with respect to the national emergency declared in Executive Order 13873, the order authorizes the Attorney General, in coordination with the Secretary of Homeland Security and in consultation with the heads of relevant agencies, to issue, subject to public notice and comment, regulations to prohibit or otherwise restrict the large-scale transfer of Americans’ personal data to countries of concern and to provide safeguards around other activities that can give those countries access to sensitive data. Section 2(b) of the order authorizes the Attorney General, in consultation with the heads of relevant agencies, to take such actions, including the promulgation of rules and regulations, and to employ all other powers granted to the President by IEEPA, as may be necessary or appropriate to carry out the purposes of the order. この脅威に対処し、大統領令13873で宣言された国家非常事態に関してさらなる措置を講じるため、大統領令は司法長官に、国土安全保障長官と連携し、関連省庁の長と協議の上、米国人の個人データの懸念国への大規模な移転を禁止または制限するための規制を公告および意見公募の対象とし、それらの国に機密データへのアクセスを与える可能性のあるその他の活動に対するセーフガードを提供することを認可している。命令の第2節 (b) は、司法長官が関連省庁の長と協議の上、規則や規制の公布を含む行動をとり、命令の目的を遂行するために必要または適切なIEEPAによって大統領に与えられた他のすべての権限を行使することを認可している。
 In addition, section 2(d) of the order authorizes the Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency, in coordination with the Attorney General and in consultation with the heads of relevant agencies, to propose, seek public comment on, and publish security requirements that address the unacceptable risk posed by restricted transactions, as identified by the Attorney General. Section 2(e) of the order authorizes the Secretary of Homeland Security, in coordination with the Attorney General, to take such actions, including promulgating rules, regulations, standards, and requirements; issuing interpretive guidance; and employing all other powers granted to the President by IEEPA as may be necessary to carry out the purposes described in section 2(d) of the order. さらに、同命令の第2節 (d) では、国土安全保障長官が、サイバーセキュリティ・インフラセキュリティ庁長官を通じて、司法長官と連携し、関係省庁の長と協議の上、司法長官が特定した制限付き取引がもたらす許容できないリスクに対処するセキュリティ要件を提案し、パブリックコメントを求め、公表することを認可している。 命令の第2節 (e) は、国土安全保障長官が司法長官と連携して、規則、規制、標準、要件の公布、解釈指針の発行、命令の第2節 (d) に記載された目的を遂行するために必要なIEEPAによって大統領に与えられた他のすべての権限の行使を含む、そのような行動を取ることを認可する。
 I am enclosing a copy of the Executive Order I have issued. この大統領令のコピーを同封する。
 JOSEPH R. BIDEN JR. ジョセフ・R・ビデン・ジュニア
THE WHITE HOUSE, ホワイトハウス
 February 28, 2024. 2024年2月28日

 

Fig1_20210802074601

 


 

連邦官報,,,まだ、掲載されていないように思いますが、まもなく掲載されるはず...

Federal Register

 

| | Comments (0)

Five eyes ロシア対外情報庁による攻撃手法。時代はクラウドですからね...

こんにちは、丸山満彦です。

Five Eyesの関連機関が、ロシア対外情報庁による攻撃手法についてのアラートを公表していますね...

英国

National Cyber Security Centre

・2024.02.26 SVR cyber actors adapt tactics for initial cloud access

・[PDF]

20240229-102023

SVR cyber actors adapt tactics for initial cloud access  SVRサイバーアクターはクラウドへの初期アクセスに戦術を適応させる 
How SVR-attributed actors are adapting to the move of government and corporations to cloud infrastructure  政府や企業のクラウドインフラへの移行に、SVRのサイバー攻撃者はどのように適応しているのか。
Overview  概要 
This advisory details recent tactics, techniques and procedures (TTPs) of the group commonly known as APT29, also known as Midnight Blizzard, the Dukes or Cozy Bear.    本アドバイザリでは、Midnight Blizzard、Dukes、Cozy Bearとしても知られる通称APT29の最近の戦術、技術、手順(TTP)について詳述する。  
The UK National Cyber Security Centre (NCSC) and international partners assess that APT29 is a cyber espionage group, almost certainly part of the SVR, an element of the Russian intelligence services. The US National Security Agency (NSA), the US Cybersecurity and Infrastructure Security Agency (CISA), the US Cyber National Mission Force (CNMF), the Federal Bureau of Investigation (FBI), Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), the Canadian Centre for Cyber Security (CCCS) and the New Zealand National Cyber Security Centre (NCSC) agree with this attribution and the details provided in this advisory.  英国国家サイバーセキュリティセンター(NCSC)と国際的なパートナーは、APT29 はサイバースパイグループであり、ロシア情報機関の一部門である SVR の一部であることはほぼ間違いないと評価している。米国国家安全保障局(NSA)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国サイバー国家任務部隊(CNMF)、連邦捜査局(FBI)、オーストラリア信号総局のオーストラリア・サイバーセキュリティセンター(ASD's ACSC)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC)は、この帰属と本アドバイザリで提供する詳細に同意している。
This advisory provides an overview of TTPs deployed by the actor to gain initial access into the cloud environment and includes advice to detect and mitigate this activity.   このアドバイザリでは、クラウド環境に最初にアクセスするために行為者によって展開されたTTPの概要を提供し、この活動を検知し軽減するためのアドバイスを含む。 
Previous actor activity  これまでの行為者の活動 
The NCSC has previously detailed how Russian Foreign Intelligence Service (SVR) cyber actors have targeted governmental, think tank, healthcare and energy targets for intelligence gain. It has now observed SVR actors expanding their targeting to include aviation, education, law enforcement, local and state councils, government financial departments and military organisations.  NCSCは以前、ロシア対外情報庁(SVR)のサイバー行為者が、政府機関、シンクタンク、ヘルスケア、エネルギーの標的を情報収集のためにどのように狙っているかについて詳述した。今回NCSCは、ロシア対外情報庁のサイバー攻撃者がその標的を航空、教育、法執行機関、地方議会、州議会、政府財務局、軍事組織にまで拡大していることを確認した。
SVR actors are also known for:  SVRの活動家はまた、次のようなことでも知られている: 
the supply chain compromise of SolarWinds software ・ソーラーウィンズ社製ソフトウェアのサプライチェーン侵害
activity that targeted organisations developing the COVID-19 vaccine  ・COVID-19ワクチン開発組織を標的にした活動 
Evolving TTPs  進化するTTP 
As organisations continue to modernise their systems and move to cloud-based infrastructure, the SVR has adapted to these changes in the operating environment.  組織がシステムを近代化し、クラウドベースのインフラに移行し続ける中、SVRはこうした環境の変化に適応してきた。
They have to move beyond their traditional means of initial access, such as exploiting software vulnerabilities in an on-premise network, and instead target the cloud services themselves.  オンプレミス・ネットワークのソフトウェアの脆弱性を突くといった従来の初期アクセス手段から、クラウド・サービスそのものを標的とするようになった。
To access the majority of the victims’ cloud hosted network, actors must first successfully authenticate to the cloud provider. Denying initial access to the cloud environment can prohibit SVR from successfully compromising their target. In contrast, in an on-premise system, more of the network is typically exposed to threat actors.   被害者のクラウドホスティングネットワークの大部分にアクセスするには、アクターはまずクラウドプロバイダへの本人認証に成功しなければならない。クラウド環境への最初のアクセスを拒否することで、SVRはターゲットへの侵害を成功させることができなくなる。これとは対照的に、オンプレミスのシステムでは、一般的にネットワークの多くが脅威行為者にさらされている。 
Below describes in more detail how SVR actors are adapting to continue their cyber operations for intelligence gain. These TTPs have been observed in the last 12 months.  以下では、SVR行為者が諜報活動のためにサイバー作戦を継続するために、どのように適応しているかについて詳しく説明する。これらのTTPは過去12ヶ月間に観察されたものである。
 Access via service and dormant accounts    サービスおよび休眠アカウント経由のアクセス  
Previous SVR campaigns reveal the actors have successfully used brute forcing (T1110) and password spraying to access service accounts. This type of account is typically used to run and manage applications and services. There is no human user behind them so they cannot be easily protected with multi-factor authentication (MFA), making these accounts more susceptible to a successful compromise. Service accounts are often also highly privileged depending on which applications and services they’re responsible for managing. Gaining access to these accounts provides threat actors with privileged initial access to a network, to launch further operations これまでのSVRキャンペーンから、行為者はブルートフォース(T1110)とパスワードスプレーを使用して、サービスアカウントへのアクセスに成功していることが明らかになっている。この種のアカウントは通常、アプリケーションやサービスを実行・管理するために使用される。これらのアカウントの背後には人間のユーザーがいないため、多要素認証(MFA)で簡単に保護することができず、これらのアカウントは侵害に成功しやすくなっている。サービス・アカウントもまた、どのアプリケーションやサービスを管理するかによって、高い権限を持つことが多い。これらのアカウントにアクセスすることで、脅威行為者はネットワークへの特権的な初期アクセス権を得て、さらなる作戦を開始することができる。
SVR campaigns have also targeted dormant accounts belonging to users who no longer work at a victim organisation but whose accounts remain on the system. (T1078.004).   また、SVRキャンペーンでは、被害者の組織ではもう働いていないが、システム上にアカウントが残っているユーザーの休眠アカウントも標的としている。(T1078.004).  
Following an enforced password reset for all users during an incident, SVR actors have also been observed logging into inactive accounts and following instructions to reset the password. This has allowed the actor to regain access following incident response eviction activities.  インシデント発生時に全ユーザーのパスワードが強制的にリセットされた後、SVR行為者が非アクティブなアカウントにログインし、指示に従ってパスワードをリセットすることも確認されている。これにより、行為者はインシデント対応の立ち退き活動後にアクセスを回復することができた。
Cloud-based token authentication  クラウドベースのトークン認証 
Account access is typically authenticated by either username and password credentials or system-issued access tokens. The NCSC and partners have observed SVR actors using tokens to access their victims’ accounts, without needing a password (T1528) アカウントへのアクセスは通常、ユーザー名とパスワードによる本人認証か、システムが発行するアクセストークンによって認証される。NCSCとパートナーは、SVR行為者が被害者のアカウントにアクセスするために、パスワードを必要とせずにトークンを使用していることを確認している(T1528)。
The default validity time of system-issued tokens varies dependant on the system, however cloud platforms should allow administrators to adjust the validity time as appropriate for their users. More information can be found on this in the mitigations section of this advisory.  システムで発行されたトークンのデフォルトの有効時間はシステムによって異なるが、クラウドプラットフォームでは、管理者がユーザーに応じて適切な有効時間を調整できるようにすべきである。詳細については、本アドバイザリの低減セクションを参照されたい。
Enrolling new devices to the cloud  新しいデバイスをクラウドに登録する 
On multiple occasions, the SVR has successfully bypassed password authentication on personal accounts using password spraying and credential reuse. SVR actors have also then bypassed MFA through a technique known as ‘MFA bombing’ or ‘MFA fatigue’, in which the actors repeatedly push MFA requests to a victim’s device until the victim accepts the notification (T1621).   SVRは複数回にわたり、パスワードの散布とクレデンシャルの再利用を使用して、本人アカウントのパスワード認証をバイパスすることに成功している。SVRの行為者はまた、「MFA爆撃」または「MFA疲労」として知られる手法によってMFAを迂回し、行為者は、被害者が通知を受け入れるまで、被害者のデバイスにMFA要求を繰り返しプッシュする(T1621)。 
Once an actor has bypassed these systems to gain access to the cloud environment, SVR actors have been observed registering their own device as a new device on the cloud tenant (T1098.005). If device validation rules are not set up, SVR actors can successfully register their own device and gain access to the network.   アクターがこれらのシステムを迂回してクラウド環境にアクセスすると、SVRアクターは自身のデバイスをクラウドテナント上の新しいデバイスとして登録することが確認されている(T1098.005)。デバイス検証ルールが設定されていない場合、SVRアクターは自身のデバイスを登録し、ネットワークにアクセスすることに成功する。 
By configuring the network with device enrolment policies, there have been instances where these measures have defended against SVR actors and denied them access to the cloud tenant.  デバイス登録ポリシーでネットワークを構成することで、これらの対策がSVR行為者を防御し、クラウドテナントへのアクセスを拒否した事例がある。
Residential proxies  住宅用プロキシ 
As network-level defences improve detection of suspicious activity, SVR actors have looked at other ways to stay covert on the internet. A TTP associated with this actor is the use of residential proxies (T1090.002). Residential proxies typically make traffic appear to originate from IP addresses within internet service provider (ISP) ranges used for residential broadband customers and hide the true source. This can make it harder to distinguish malicious connections from typical users.  This reduces the effectiveness of network defences that use IP addresses as indicators of compromise, and so it is important to consider a variety of information sources such as application and host-based logging for detecting suspicious activity ネットワーク・レベルの検知機能が改善されるにつれ、SVR行為者はインターネット上で隠密に行動するための別の方法に目を向けるようになった。この行為者に関連するTTPは、住宅用プロキシ(T1090.002)の使用である。住宅用プロキシは通常、住宅用ブロードバンド顧客向けに使用されるインターネット・サービス・プロバイダ(ISP)の範囲内のIPアドレスからトラフィックが発信されているように見せかけ、真の発信元を隠す。このため、悪意のある接続を一般的なユーザーと区別することが難しくなる。 このことは、IPアドレスを侵害の指標として使用するネットワーク防御の有効性を低下させるため、疑わしい活動を検知するためには、アプリケーションやホストベースのロギングなど、さまざまな情報源を考慮することが重要である。
Conclusion  結論 
The SVR is a sophisticated actor capable of carrying out a global supply chain compromise such as the 2020 SolarWinds, however the guidance in this advisory shows that a strong baseline of cyber security fundamentals can help defend from such actors.   SVRは、2020年のSolarWindsのようなグローバルなサプライチェーンの侵害を実行できる洗練された行為者である。しかし、この勧告のガイダンスは、サイバーセキュリティの基礎の強固なベースラインがこのような行為者から防御するのに役立つことを示している。 
For organisations that have moved to cloud infrastructure, a first line of defence against an actor such as SVR should be to protect against SVR’s TTPs for initial access. By following the mitigations outlined in this advisory, organisations will be in a stronger position to defend against this threat.  クラウドインフラストラクチャに移行した組織にとって、SVRのような行為者に対する防御の第一線は、SVRの初期アクセスのためのTTPから防御することである。本アドバイザリで説明されている低減策に従うことで、組織はこの脅威に対する防御をより強固なものとすることができる。
Once the SVR gain initial access, the actor is capable of deploying highly sophisticated post compromise capabilities such as MagicWeb, as reported in 2022. Therefore, mitigating against the SVR’s initial access vectors is particularly important for network defenders.   SVRが初期アクセスを獲得すると、2022年に報告されたように、MagicWebのような高度に洗練された侵害後の機能を展開することができる。したがって、SVRの初期アクセスベクターに対する低減は、ネットワーク防御者にとって特に重要である。 
CISA have also produced guidance through their Secure Cloud Business Applications (SCuBA) Project which is designed to protect assets stored in cloud environments.   CISAはまた、クラウド環境に保存された資産を保護するためのSCuBA(Secure Cloud Business Applications)プロジェクトを通じてガイダンスを作成している。 
Some of the TTPs listed in this report, such as residential proxies and exploitation of system accounts, are similar to those reported as recently as January 2024 by Microsoft 本レポートに記載されている住宅用プロキシやシステムアカウントの悪用などの TTP の一部は、2024 年 1 月にマイクロソフト社から報告されたものと類似している。
MITRE ATT&CK®  MITRE ATT&CK 
This report has been compiled with respect to the MITRE ATT&CK® framework, a globally accessible knowledge base of adversary tactics and techniques based on real-world observations.  本レポートは、MITRE ATT&CK® フレームワーク(実世界の観察に基づく敵対者の戦術とテクニックに関するグローバルにアクセス可能な知識ベース)に関して編集されている。

Tactic ID Technique Procedure
Credential Access T1110 Brute forcing The SVR use password spraying and brute forcing as an initial infection vector.
Initial Access T1078.004 Valid Accounts: Cloud Accounts The SVR use compromised credentials to gain access to accounts for cloud services, including system and dormant accounts.
Credential Access T1528 Steal Application Access Token The SVR use stolen access tokens to login to accounts without the need for passwords.
Credential Access T1621 Multi-Factor Authentication Request Generation The SVR repeatedly push MFA requests to a victim’s device until the victim accepts the notification, providing SVR access to the account.
Command and Control T1090.002 Proxy: External Proxy The SVR use open proxies in residential IP ranges to blend in with expected IP address pools in access logs.
Persistence T1098.005 Account Manipulation: Device Registration The SVR attempt to register their own device on the cloud tenant after acquiring access to accounts.
       
戦術 ID 技術 手順
クレデンシャル・アクセス T1110 ブルートフォース SVRは、最初の感染ベクトルとしてパスワードスプレーとブルートフォースを使用する。
初期アクセス T1078.004 有効なアカウント クラウドアカウント SVRは、漏洩した認証情報を使用して、システムや休止アカウントを含むクラウドサービスのアカウントにアクセスする。
クレデンシャルアクセス T1528 アプリケーション・アクセストークンを盗む 盗まれたアクセストークンを使用して、パスワードなしでアカウントにログインする。
クレデンシャルアクセス T1621 多要素認証リクエスト生成的 SVR は、被害者が通知を受け入れるまで、被害者のデバイスに MFA リクエストを繰り返しプッシュし、SVR がアカウントにアクセスできるようにする。
コマンドとコントロール T1090.002 プロキシ 外部プロキシ SVRは、アクセス・ログで予想されるIPアドレス・プールに紛れ込むために、住宅地のIPレンジでオープン・プロキシを使用する。
永続性 T1098.005 アカウントを操作する デバイス登録 SVRはアカウントへのアクセス権を取得した後、クラウド・テナントに自分のデバイスを登録しようとする。

 





米国

インターネット犯罪苦情センター

Internet Crime Complaint Center; IC3

・2024.02.26 SVR Cyber Actors Adapt Tactics for Initial Cloud Access

 

オーストラリア

Australia Cyber Security Centre; ACSC

・2024.02.26 SVR cyber actors adapt tactics for initial cloud access

 


 

ロシアの情報機関..

ロシア語名 英語名 日本語 (wiki) 概要(Wikipedia JP)
Федеральная служба безопасности Federal Security Service 連邦保安庁 連邦保安庁(FSB)は、主に独立国家共同体(CIS)の一部の国において、防諜やその他の国家安全保障、情報収集を担当する機関であり、ロシア大統領に直属する。
Главное управление специальных программ Президента Российской Федерации Main Directorate of Special Programs of the President of the Russian Federation ロシア連邦大統領特別計画本局 ロシア連邦大統領特別計画本局(GUSP)は、ロシア連邦における動員訓練と動員の分野において、ロシア連邦大統領の権限の履行を確保する機能を果たす連邦行政機関である。その権限の範囲は、連邦法 "ロシア連邦における動員準備と動員について "に記載されている。
Служба внешней разведки Российской Федерации Foreign Intelligence Service 対外情報庁 対外情報庁(SVR)は、CIS諸国以外の情報収集に携わる機関で、ロシア大統領に直属する。
Служба внешней разведки Российской Федерации Federal Protective Service 連邦警護局 連邦警護局(FSO)は、ロシア大統領を含む、関連法によって義務付けられた国家高官数名と、特定の連邦財産の警護に関する業務を行う機関で、ロシア大統領に直属する。
Главное управление Генерального штаба ВС РФ GRU 情報総局 情報総局(G.U.)は、以前はGRUとして知られ、2010年以降、正式にはロシア軍参謀本部(GU;一般には以前の略称であるGRUで知られる)の情報総局であり、ロシア軍の主要な情報機関であり、ロシア最大の対外情報機関と言われている[1]

 

 

| | Comments (0)

米国 IC3 電子投票の交付、マーク付け、返送に関するリスクマネジメント (2024.02.14)

こんにちは、丸山満彦です。

2024年はオリンピックの年でもありますが、それ以上に選挙の年ということで盛り上がっている感じですね...

すでに1月に台湾総統選、2月にインドネシア大統領選(世界最大の直接選挙)がありましたが、3月にはロシア大統領選、4月には韓国議会選、インド議会選、6月にはメキシコ大統領選、ヨーロッパ議会選、そして11月にはアメリカ大統領選...

民主主義の国では国民による選挙がまさに国の方針を決めることになりますので、重要なイベントといえます。そんな選挙にもデジタル化の波は押し寄せていますの、サイバーセキュリティ、プライバシーを含めて考慮事項はいくつかありますよね...

まあ、日本では2003年5月に実施された可児市の電子投票が無効になるという事件もあって、すっかり下火(どこもしていない...)になっていますが... そろそろ技術も変わってきたこともあるし、世界で実施されてきている事例もあるので、長く低迷している投票率をあげて民意をより反映させるという意味でも(もちろん、投票率が上がると困る議員や党があるのかもしれませんが...)良いことなのではないかなぁと思ったりすることもあります...

が、不正のリスクはより大きく起こり得るし、システム障害のリスクも常にあるし、それが致命的ということもあるので、なかなか難しいなぁ...と思っているところです...

 

さて...

 

米国の連邦捜査局 FBIの部門である、インターネット犯罪苦情センター (Internet Crime Complaint Center; IC3) が電子投票の交付、マーク付け、返送に関するリスクマネジメントという選挙管理者側に対する文書を公表していますね...

電子投票は効率的な面もあるけど、インターネット経由の返送についてはリスクが高いので紙ですることが推奨されています!インターネット経由による返送は、他に手段がない場合に限るように、、、という感じですね。。。

 

Internet Crime Complaint Center; IC3

・2024.02.14 [PDF] Risk Management for Electronic Ballot Delivery, Marking, and Return

20240229-54355

 

RISK MANAGEMENT FOR ELECTRONIC BALLOT DELIVERY, MARKING, AND RETURN    電子投票の交付、採点、返却に関するリスクマネジメント   
INTRODUCTION  序文 
Some voters face challenges voting in-person and by mail. State and local election officials in many states use email, fax, web portals, and/or web-based applications to facilitate voting remotely for groups like military and overseas voters and voters with specific needs.  有権者の中には、対面投票や郵送による投票が困難な人もいる。多くの州の州・地域の選挙管理者は、軍人や在外有権者、特定のニーズを持つ有権者などのために、電子メール、ファックス、ウェブポータル、および/またはウェブベースのアプリケーションを使用して、遠隔地からの投票を促進している。
The Cybersecurity and Infrastructure Security Agency (CISA), the Election Assistance Commission (EAC), the Federal Bureau of Investigation (FBI), and the National Institute of Standards and Technology (NIST) assess that the risks vary for electronic ballot delivery, marking, and return. While there are effective risk management controls to enable electronic ballot delivery and marking, we recommend paper ballot return as electronic ballot return technologies are high-risk even with controls in place. Recognizing that some election officials are mandated by state law to employ this high-risk process, its use should be limited to voters who have no other means to return their ballot and have it counted. Notably, we assess that electronic delivery of ballots to voters for return by mail is less vulnerable to systemic disruption.  サイバーセキュリティ・インフラセキュリティ庁(CISA)、選挙支援委員会(EAC)、連邦捜査局(FBI)、国立標準技術研究所(NIST)は、電子投票の交付、採点、返送のリスクはさまざまであると評価している。電子投票用紙の交付とマーキングを可能にするための効果的なリスクマネジメントが存在する一方で、電子投票用紙の返送技術は、コントロールを導入していてもリスクが高いため、紙による投票用紙の返送を推奨する。このリスクの高いプロセスを採用することが州法で義務付けられている選挙管理者もいることを認識した上で、その使用は、投票用紙を返送して集計してもらう手段が他にない有権者に限定すべきである。特筆すべきは、郵便で投票用紙を返送するための有権者への電子交付は、システム上の混乱に対して脆弱性が低いと評価できることである。
In this document, we identify risks and considerations for election administrators seeking to use electronic ballot delivery, electronic ballot marking, and/or electronic return of marked ballots. The cybersecurity characteristics of these remote voting solutions are further explored in NISTIR 7551: A Threat Analysis on UOCAVA Voting Systems.  この文書では、電子投票用紙の交付、電子投票用紙の記名、および/または記名された投票用紙の電子返送を利用しようとする選挙管理者のリスクと留意点を明らかにする。これらの遠隔投票ソリューションのサイバーセキュリティ特性は、NISTIR 7551: A Threat Analysis on UOCAVA Voting Systems でさらに検討されている。
RISK OVERVIEW  リスクの概要 
All states use electronic ballot delivery to transmit a digital copy of an unmarked ballot to the intended voter to mark, in compliance with the Military and Overseas Voters Empowerment Act (MOVE). These ballot delivery systems are exposed to typical information security risks of internet-connected systems. The most severe risks to electronic ballot delivery systems are those that would impact the integrity and/or availability of the ballots, such as altering or removing ballot choices. These risks can be reduced and managed through use of appropriate security controls. Additionally, some electronic ballot delivery systems perform functions to verify a voter’s identity before presenting them their assigned ballot. The identification process can use personal identifying information, such as name and driver’s license number, or biometrics. When this verification is improperly configured, remote electronic ballot delivery systems can present additional privacy risks—like the loss or theft of the voter’s personal and/or biometric identity information. These risks may be managed through configuration management and appropriate security controls.   すべての州は、軍および在外有権者権利拡大法(MOVE)に従い、無記名の投票用紙のデジタル・コピーを目的の有権者に送信して記名させるために、電子投票用紙配信を使用している。このような投票用紙交付システムは、インターネットに接続されたシステムの典型的な情報セキュリティリスクにさらされている。電子投票用紙交付システムにとって最も深刻なリスクは、投票用紙の選択肢の変更や削除など、投票用紙の完全性および/または可用性に影響を与えるものである。このようなリスクは、適切なセキュリティコントロールを使用することで、軽減・マネジメントすることができる。さらに、一部の電子投票用紙交付システムは、有権者に割り当てられた投票用紙を提示する 前に、有権者の身元を確認する機能を実行する。識別プロセスは、氏名や運転免許証番号などの個人を特定できる情報、またはバイオメトリクス を使用することができる。この検証の構成が不適切な場合、リモート電子投票用紙配布システムは、有権者の個人 ID 情報および/またはバイオメトリクス ID 情報の損失または盗難など、さらなるプライバシー・リスクをもたらす可能性がある。これらのリスクは、構成マネジメントおよび適切なセキュリ ティ制御によって管理することができる。 
Electronic ballot marking allows voters to mark their ballots outside of a voting center or polling place. Typically, this describes the electronic marking of a digital copy of the blank ballot using the electronic interface. The marked ballot is then returned to the appropriate official.  Risks to electronic ballot marking are best managed through the production of an auditable record, meaning the voted ballot is printed and verified by the voter before being routed to the appropriate official. This auditable record is an important compensating control for detecting a compromise of security in remote voting.     電子投票は、投票者が投票センターや投票所の外で投票用紙に印をつけることを可能にする。一般的には、電子インターフェイスを使用して、白紙の投票用紙のデジタルコピーに電子的に印をつけることを指す。マークされた投票用紙は、その後、適切な係官に返却される。 つまり、投票された投票用紙が印刷され、有権者によって確認された後、適切な係官に返送されるのである。この監査可能な記録は、遠隔投票におけるセキュリティの侵害を検知するための重要な補償管理である。   
Electronic ballot return, the digital return of a voted ballot by the voter, creates significant security risks to the confidentiality of ballot and voter data (e.g., voter privacy and ballot secrecy), integrity of the voted ballot, and availability of the system. We view electronic ballot return as high risk.    投票者による投票済み投票のデジタル返却である電子投票用紙の返却は、投票用紙および投票者データの機密性(投票者のプライバシー・投票の秘密など)、投票済み投票の完全性、システムの可用性に重大なセキュリティリスクをもたらす。私たちは、電子投票用紙の返却はハイリスクであると考えている。  
Securing the return of voted ballots via the internet while ensuring ballot integrity and maintaining voter privacy is difficult, if not impossible, at this time. As the National Academies of Science, Engineering, and Medicine write in Securing the Vote: Protecting American Democracy (2018), “We do not, at present, have the technology to offer a secure method to support internet voting. It is certainly possible that individuals will be able to vote via the internet in the future, but technical concerns preclude the possibility of doing so securely at present.” If election officials choose or are mandated by state law to employ this high-risk process, its use should be limited to voters who have no other means to return their ballot and have it counted. Further, election officials should have a mechanism for voters to check the status of their ballot, as required for provisional ballots and military and overseas voters by the Help America Vote Act and the MOVE Act, respectively.  投票用紙の完全性を確保し、有権者のプライバシーを維持しながら、インターネット経由で投票済み投票用紙の返却を確保することは、現時点では不可能ではないにせよ、困難である。全米科学・工学・医学アカデミーがSecuring the Vote(投票の安全確保)の中で書いているように: 現時点では、インターネット投票をサポートする安全な方法を提供する技術はない。将来、個人がインターネット経由で投票できるようになる可能性は確かにあるが、技術的な懸念から、現時点では安全に投票できる可能性はない。" もし選挙管理者がこのリスクの高いプロセスを採用することを選択したり、州法によって義務付けられたりするのであれば、その使用は、投票用紙を返送して集計してもらう手段が他にない有権者に限定されるべきである。さらに、選挙当局は、Help America Vote ActとMOVE Actがそれぞれ仮投票と軍人・在外投票者に義務付けているように、投票者が自分の投票状況を確認できる仕組みを備えるべきである。
RISK COMPARISON – ELECTRONIC AND MAILED BALLOT RETURN  電子投票と郵送投票のリスク比較 
Some risks of electronic ballot return have a physical analogue to the return mailing of ballots. However, electronic systems present far greater risk to impact a significant number of ballots in seconds.   電子投票のリスクには、投票用紙の返送と物理的に類似したものがある。しかし、電子システムは、数秒のうちに相当数の投票用紙に影響を与えるリスクがはるかに大きい。 
Scale – While mailing of ballots could be vulnerable to localized exploitation, electronic return of ballots could be manipulated at scale. For mailed ballots, an adversary could theoretically gain physical access to a mailed ballot, change the contents, and reinsert it into the mail. This physical man-in-the-middle (MITM) attack is limited to low-volume attacks and mitigated by proper chain of custody procedures by election officials. In comparison, an electronic MITM attack could be conducted from anywhere in world, at high volumes, and could compromise ballot confidentiality, ballot integrity, and/or stop ballot availability.  規模 :投票用紙の郵送は局地的な悪用に対して脆弱性があるが、投票用紙の電子返送は大規模に操作される可能性がある。郵送投票の場合、敵対者は理論上、郵送された投票用紙に物理的にアクセスし、内容を変更し、再び郵送することができる。この物理的な中間者(MITM)攻撃は、少量の攻撃に限定され、選挙管理者による適切な連鎖保管手続きによって低減される。これに比べ、電子的なMITM攻撃は、世界中どこからでも、大量に行われる可能性があり、投票用紙の機密性、投票用紙の完全性攻撃を危うくし、投票用紙の可用性攻撃を止める可能性がある。
Bring Your Own Device – Unlike traditional voting systems, electronic ballot delivery and return systems require a voter to use their own personal devices such as a cell phone, computer, or tablet to access the ballot. A voter’s personal device may not have the necessary safeguards in place. As a result, votes cast through “bring your own device” voting systems may appear intact upon submission despite tampering as a result of an attack on the personal device rather than on the ballot submission application itself. Voters using personal devices increase the potential for an electronic ballot delivery and return system to be exposed to security threats.  ・個人デバイスの持ち込み:従来の投票システムとは異なり、電子投票用紙の交付・返却システムでは、投票者は携帯電話、コンピュータ、タブレットなどの個人所有のデバイスを使って投票用紙にアクセスする必要がある。有権者の個人所有のデバイスには、必要なセーフガードが施されていない可能性がある。その結果、「自分のデバイスを持ち込む」投票システムを通じて投じられた票は、投票用紙提出アプリケーション自体ではなく、個人のデバイスに対する攻撃の結果として改ざんされたにもかかわらず、提出時には無傷のように見える可能性がある。投票者が個人所有のデバイスを使用することで、電子投票用紙の交付・返却システムがセキュリティ上の脅威にさらされる可能性が高まる。
Voter Privacy – Electronic ballot return brings significant risk to voter privacy. Unlike traditional vote by mail where there is separation between the voter’s information and their ballot, many remote voting systems link the two processes together digitally. This makes it difficult to implement strong controls that preserve the privacy of the voter while keeping the system accessible.  有権者のプライバシー :電子投票用紙の返送は、有権者のプライバシーに重大なリスクをもたらす。有権者の情報と投票用紙が分離されている従来の郵送投票とは異なり、多くの遠隔投票システムは、2つのプロセスをデジタル的にリンクさせている。このため、システムにアクセス可能な状態を保ちながら、有権者のプライバシーを守るような強力な管理策を導入することは困難である。
TECHNICAL CONSIDERATIONS FOR ELECTRONIC BALLOT RETURN  電子投票用紙の返却に関する技術的考慮事項 
Some voters, due to specific needs or remote locations, may not be able to print, sign, and mail in a ballot without significant difficulty. While we assess electronic ballot return to be high risk, some jurisdictions already use electronic ballot return systems, and others may decide to assume the risk.   有権者の中には、特殊なニーズや遠隔地のために、投票用紙の印刷、署名、郵送が困難な人もいる。我々は、電子投票用紙の返送はハイリスクであるとアセスメントしているが、すでに電子投票用紙返送システムを使用している管轄区域もあり、また他の管轄区域がリスクを引き受けることを決定する場合もある。 
While risk management activities should lower risk, election officials, network defenders, and the public may all have different perspectives on what level of risk is acceptable for the systems used to administer an election. For those jurisdictions that have accepted the high risk of electronic ballot return, the following guidance identifies cybersecurity best practices for internet- and network-connected election infrastructure. The information provided should be considered a starting point and is not a comprehensive list of defensive cybersecurity actions. Even with these technical security considerations, electronic ballot return remains a high-risk activity. Refer to applicable standards, best practices, and guidance on secure system development, acquisition, and usage.  リスクマネジメント活動によってリスクは低下するはずであるが、選挙管理者、ネットワーク擁護者、そして一般市民は、選挙を管理するために使用されるシステムにどの程度のリスクが許容されるかについて、それぞれ異なる見解を持っているかもしれない。電子投票返送の高いリスクを受け入れている管轄区域のために、以下のガイダンスは、インターネットおよびネットワークに接続された選挙インフラのためのサイバーセキュリティのベストプラクティスを特定するものである。提供される情報は出発点と考えるべきであり、サイバーセキュリティの防御措置の包括的なリストではない。このような技術的なセキュリティ上の配慮があっても、電子投票用紙の返送は依然としてリスクの高い活動である。該当する標準、ベストプラクティス、および安全なシステム開発、取得、使用に関するガイダンスを参照すること。
GENERAL  一般 
・All election systems and technology should be completely separated from systems that are not required for the implementation or use of that specific system.  ・すべての選挙システムおよびテクノロジーは,その特定のシステムの導入または使用に必 要でないシステムから完全に分離されるべきである。
・Any ballots received electronically should be printed or remade as a paper record.  ・電子的に受け取った投票用紙は、印刷するか、紙の記録として作り直すべきである。
・Election officials should implement processes to separate the ballot from the voter’s information in a manner that maintains the secrecy of the ballot.  ・選挙管理者は,投票用紙の機密性を維持する方法で,投票用紙を有権者の情報から分離するプロセスを導入すべきである。
・If the system attempts to verify the voter’s identity through digital signature, biometric capture, or other method, assess whether an attacker could use this to violate ballot secrecy.   ・システムが,デジタル署名,バイオメトリクス・キャプチャ,またはその他の方法によって有権者の身元を確認しようとする場合,攻撃者がこれを使用して投票の秘密を侵害する可能性があるかどうかを評価する。
・The auditability of the results should not rely solely on the data stored digitally within the system.  ・結果の監査可能性は,システム内にデジタル保存されたデータだけに依存すべきではない。
・Best practices for securing voter registration data should be used to protect the personal identifying information that is stored in the voter registration database and used to authenticate voters.  ・有権者登録データを保護するためのベストプラクティスは,有権者登録データベースに保存され,有権者を認証するために使用される個人を特定できる情報を保護するために使用されるべきである。
・Removable storage media (e.g., USB drives, compact flash cards) used to handle sensitive election data should be obtained from a trusted source and erased before being used. To the extent practical, removable storage media should be new.   ・機密性の高い選挙データを扱うために使用されるリムーバブル・ストレージ・メディア(例: USB ドライブ、コンパクト・フラッシュ・カード)は、信頼できる情報源から入手し、使用前に消去すべきである。  
・Follow the domain security best practices issued by the Federal Government available at [web] ・連邦政府が発行したドメイン・セキュリティのベストプラクティス([web])に従う。 
FAX  ファックス 
Facsimile (fax) machines are often used by local election offices and voters. While this may be a convenient tool for distributing or receiving ballots, policy makers should be aware of the risks and challenges associated with fax. Fax has no security protections unless sent over a secured phone line and is generally not considered suitable for sensitive communications. Faxes may be viewed or intercepted by malicious actors with access to phone lines. Furthermore, multipurpose fax machines with networked communications capability can be leveraged by cyber actors to compromise other machines on the network. We recommend election officials using fax machines implement the following best practices.  ファクシミリ(FAX)は、地方の選挙事務所や有権者によく使われている。これは投票用紙の配布や受け取りに便利なツールかもしれないが、政策立案者はファックスに関連するリスクと課題を認識しておく必要がある。ファックスには、保護された電話回線で送信されない限り防御機能がなく、一般に機密性の高いコミュニケーションには適さないと考えられている。ファックスは、電話回線にアクセスできる悪意ある行為者によって閲覧されたり、傍受されたりする可能性がある。さらに、ネットワークコミュニケーション機能を持つ多目的ファックス機は、サイバー行為者によってネットワーク上の他の機械を侵害するために活用される可能性がある。ファクスを使用する選挙関係者には、以下のベストプラクティスを実施することを推奨する。
・Use a no-frills fax machine; multipurpose fax machines typically have modems for external network communications. If you only have a multipurpose fax machine, turn off the Wi-Fi capability and do not plug it into the network—only connect it to the phone line.  ・無装備のファックス機を使用する。多目的ファックス機には通常,外部ネットワークコミュニケーション用のモデムが搭載されている。多目的ファックス機しかない場合は,Wi-Fi機能をオフにし,ネットワークに接続せず,電話回線に接続する。
・Check the configuration to make sure that the fax cannot print more pages than anticipated from a single fax or ballot package.  ・ファクスが1枚のファクスまたは投票パッケージから予想以上のページを印刷できないように設定を確認する。
・Use a dedicated fax machine and fax line for the distribution and receipt of ballots. Do not make the phone number publicly available, and only provide it in the electronic ballot package for voters who have been authorized to vote using electronic return.   ・ー投票用紙のー配布とー受領のーにはー専用のー専用ファクシミリ機とー使用する。電話番号は公開せず,電子投票を認可された有権者のみに電子投票パッケージでプロバイダを提供する。
・Election officials should set up transmission reports when faxing a ballot package to the voter to verify that the ballot package was received by the fax machine it was sent to.  ・選挙職員は,投票用紙一式を有権者にファックス送信する際,送信先のファックス機で投票用紙一式が受信されたことを確認するために,送信報告書を設定すべきである。
・Use a trusted fax machine that has been under your control. Ensure you have enough fax machines and phone lines to handle the anticipated volume.  ・自分の管理下にある信頼できるファックス機を使用する。予想される量を処理できるだけのファックス機と電話回線を確保すること。
・When a public switch telephone line (PSTN) fax machine is not available and internet Protocols are used to fax, treat these systems as internet-connected systems, not as a fax machine using telephone protocols.  ・公衆電話回線(PSTN)のファックスが利用できず、インターネットプロトコルを使用してファックスを送信する場合は、これらのシステムを電話プロトコルを使用したファックスとしてではなく、インターネットに接続されたシステムとして扱うこと。
EMAIL  電子メール 
Email is a nearly ubiquitous communications medium and is widely used by election offices and voters. While this may be a convenient tool for distributing or receiving ballots, policy makers and election officials should be aware of the risks and challenges associated with email. Email provides limited security protections and is generally not considered suitable for sensitive communications. Email may be viewed or tampered with at multiple places in the transmission process, and emails can also be forged to appear as if they were sent from a different address. Furthermore, email is often used in cyberattacks on organizations, such as attackers sending messages with malicious links or attachments to infect computers with malware. This malware could spread to other machines on the network if strong network segmentation techniques are not used.  電子メールは、ほぼどこにでもあるコミュニケーション媒体であり、選挙事務所や有権者に広く使われている。投票用紙の配布や受信には便利なツールかもしれないが、政策立案者や選挙担当者は、電子メールに関連するリスクや課題を認識しておくべきである。電子メールによるセキュリティ保護は限られており、一般に機密性の高いコミュニケーションには適さないと考えられている。電子メールは、送信過程の複数の場所で閲覧されたり改ざんされたりする可能性があり、また、あたかも別のアドレスから送信されたかのように偽装することもできる。さらに、攻撃者が悪意のあるリンクや添付ファイルを付けてメッセージを送り、コンピュータをマルウェアに感染させるなど、組織に対するサイバー攻撃で電子メールが使われることも多い。このマルウェアは、強力なネットワーク・セグメンテーション技術を使用しなければ、ネットワーク上の他のマシンに広がる可能性がある。
・Use a dedicated computer that is separated from the remainder of the election infrastructure to receive and process these ballots. For very small offices that may not have the resources to use a dedicated computer, a virtual machine should be installed to separate these devices.  ・投票用紙の受け取りと処理には,選挙インフラから切り離された専用コン ピュータを使用する。専用コンピュータを使用するリソースがないような非常に小規模なオフィスの場合は,仮想マシンをインストールしてこれらのデバイスを分離する。
・Patch and configure the computer—as well as document viewer software—against known vulnerabilities (e.g., disable active content, including JavaScript and macros.).  ・既知の脆弱性(例えば,JavaScriptやマクロを含むアクティブコンテンツを無効にする。)
・If possible, implement the .gov top-level domain (TLD). The .gov TLD was established to identify U.S.-based government organizations on the internet.    .gov TLDは、インターネット上で米国を拠点とする政府組織を識別するために設立された。
・Use encryption where possible (e.g., implement STARTTLS on your email servers to create a secure connection, encrypt attached files, etc.)  ・可能であれば暗号化を使用する(例:電子メールサーバーにSTARTTLSを実装して安全な接続を作成する、添付ファイルを暗号化するなど)。
・Implement Domain-based Message Authentication, Reporting and Conformance (DMARC) to help identify phishing emails.  ・フィッシングメールの識別のために、Domain-based Message Authentication, Reporting and Conformance (DMARC)を導入する。
・Implement DMARC, DomainKeys Identified Mail (DKIM), and Sender Policy Framework (SPF) on emails to help authenticate emails sent to voters.  ・DMARC、DomainKeys Identified Mail (DKIM)、Sender Policy Framework (SPF)を電子メールに導入し、有権者に送信される電子メールの認証に役立てる。
・Utilize anti-malware detection and encourage voters to as well. Make sure to update the anti-malware regularly.  ・マルウェア検知を活用し,有権者にもそれを奨励する。ー マルウェア対策はー 定期的にー的にー更新する。
・Implement multi-factor authentication (MFA) on any email system used by election officials.  ・選挙管理者が使用する電子メールシステムには、多要素認証(MFA)を導入する。
・Follow best practices for generating and protecting passwords and other authentication credentials.  ・パスワードやその他の認証本人を生成・保護するためのベストプラクティスに従う。
・Use a dedicated, shared email address for receiving ballots, such as Ballots@County.Gov. Implement naming conventions in subject lines that will help identify emails as legitimate (e.g., 2020 Presidential General). While a dedicated, shared email account is typically not a best practice, in this instance, it segregates potentially malicious attachments from the network.  ・投票用紙の受け取りには、専用の共有メールアドレスを使用する(例:Ballots@County.Gov)。件名には、正規のメールであることを識別しやすい命名規則を導入する(例:2020 Presidential General)。専用の共有メールアカウントは、通常、ベストプラクティスではないが、この例では、潜在的に悪意のある添付ファイルをネットワークから隔離する。
WEB-BASED PORTALS, FILE SERVERS, AND APPLICATIONS  ウェブベースのポータル、ファイルサーバー、アプリケーション 
Websites may provide accessible and user-friendly methods for transmitting ballots and other election data. While web applications support stronger security mechanisms than email, they are still vulnerable to cyberattacks. Software vulnerabilities in web applications could allow attackers to modify, read, or delete sensitive information, or to gain access to other systems in the elections infrastructure. Sites that receive public input, such as web forms or uploaded files, may be particularly vulnerable to such attacks and should be used only after careful consideration of the risks, mitigations, and security/software engineering practices that went into that software.  ウェブサイトは、投票用紙やその他の選挙データを送信するための、アクセスしやすく使いやすい方法を提供することができる。ー ウェブアプリケーションはー ウェブアプリケーションはー ウェブアプリケーションはー   ウェブフォームやアップロードされたファイルなど、一般からの入力を受 け入れるサイトは、このような攻撃に対して特に脆弱である可能性があり、そのソフトウ ェアのリスク、低減、セキュリティ/ソフトウェア工学の実践を慎重に検討した後 にのみ使用すべきである。
・Avoid using knowledge-based authentication (e.g., address, driver’s license number, social security number). To the extent practical, implement MFA for employees and voters and mandate MFA for all system administrators and other technical staff (including contractors).  ・知識ベース認証(住所、運転免許証番号、社会保障番号など)の利用を避ける。現実的な範囲で、従業員および有権者に MFA を導入し、すべてのシステム管理者およびそ の他の技術スタッフ(請負業者を含む)に MFA を義務付ける。
・Patch and configure computers as well as document viewer software against known vulnerabilities (i.e., disable active content, including JavaScript and macros.).  ・既知の脆弱性(JavaScriptやマクロを含むアクティブコンテンツを無効にする)に対して、コンピュータや文書ビューアソフトウェアにパッチを当て、設定する。
・If possible, implement the .gov top-level domain (TLD). The .gov TLD was established to identify US-based government organizations on the internet.  ・可能であれば、.govトップレベルドメイン(TLD)を導入する。.gov TLDは、インターネット上で米国を拠点とする政府組織を識別するために設立された。
・Use secure coding practices (e.g., sanitized inputs, parameter checking) for web applications.  ・ウェブアプリケーションには、セキュアなコーディングプラクティス(例:サニタイズされた入力、パラメータチェック)を使用する。
・Encrypt traffic using Hypertext Transfer Protocol Secure (HTTPS) supporting Transport Layer Security (TLS) version 1.2. If you use a file server, ensure it uses a secure file transfer protocol, such as SFTP or FTPS.    ・トランスポート・レイヤー・セキュリティ(TLS)バージョン1.2をサポートするハイパーテキスト・トランスファー・プロトコル・セキュア(HTTPS)を使用してトラフィックを暗号化する。ファイルサーバーを使用する場合は、SFTPやFTPSなどの安全なファイル転送プロトコルを使用していることを確認する。  
・Ensure you have the bandwidth/capacity to handle the anticipated volume of traffic.  ・予想されるトラフィック量に対応できる帯域幅/容量を確保する。
・Obtain outside cybersecurity assessments, such as CISA vulnerability scanning and remote penetration testing.  ・CISA 脆弱性スキャンやリモート侵入テストなど、外部のサイバーセキュリティ評価を受ける。
・Develop a vulnerability management program (VMP). This allows well-meaning cybersecurity researchers to find and disclose vulnerabilities privately to an election official, giving the election official time to implement upgrades and patches before disclosing the information publicly.  ・脆弱性管理プログラム(VMP)を策定する。これにより、善意のサイバーセキュリティ研究者が脆弱性を発見し、選挙担当者に非公開で開示することができ、選挙担当者は情報を公開する前にアップグレードやパッチを実装する時間を得ることができる。
・Place the application on a network that is continuously monitored, such as the network with a web application firewall, an Albert sensor, or an intrusion detection and prevention system.  ・アプリケーションを、Web アプリケーションファイアウォール、アルバートセンサー、 侵入検知・防御システムなど、常時監視されているネットワーク上に配置する。
・Carefully vet any third-party companies or contractors obtaining system access to perform security assessments or regular maintenance.   ・セキュリティ評価または定期保守を実施するためにシステム・アクセス権を取得するサードパーティ企業または請負業者を慎重に審査する。  
・Inform voters to only download the application from the trusted mobile application store.  ・信頼できるモバイル・アプリケーションストアからのみアプリケーションをダウンロードするよう有権者に知らせる。
・Encourage voters to use a trusted network and not an open Wi-Fi network.  ・有権者には,オープンなWi-Fiネットワークではなく,信頼できるネットワークを使用するよう促す。
RESOURCES  リソース 
・CISA services can be located in the CISA Election Infrastructure Security Resource Guide. All services can be requested at cisaservicedesk@cisa.dhs.gov.  ・CISAのサービスは、CISA選挙インフラ・セキュリティ・リソース・ガイドに掲載されている。すべてのサービスはcisaservicedesk@cisa.dhs.gov。
・Become an EI-ISAC Member by going to [web] ・選挙ISAC [web] メンバーになる。
・CISA’s Binding Operational Directive (BOD)18-01 addresses enhancing email and web security.  ・CISAの拘束的運用指令(BOD)18-01は、電子メールとウェブのセキュリティ強化に取り組んでいる。
・NIST Activities on UOCAVA Voting ・UOCAVA投票に関するNISTの活動
・NIST special publication (SP) 800-177 provides recommendations and guidelines for enhancing trust in email.  ・NIST 特別刊行物(SP) 800-177 は、電子メールの信頼性を高めるための勧告とガイドラインを提供している。
・NIST SP 800-52r2 provides guidelines for selection, configuration, and use of TLS.  ・NIST SP 800-52r2 は、TLS の選択、設定、使用に関するガイドラインを提供している。
・FBI’s Protected Voices initiative provides information and guidance on cybersecurity and foreign influence topics.  ・FBIのProtected Voicesイニシアチブは,サイバーセキュリティと外国の影響に関する情報とガイダンスを提供している。
・The EAC’s Election Security Preparedness webpage collects multiple resources that can assist election administrators.   ・EACのElection Security Preparednessウェブページには,選挙管理者を支援する複数のリソースが集められている。
・For more information about how election jurisdictions in the United States vote remotely, please see Uniformed and Overseas Citizens Absentee Voting Act Registration and Voting Processes.   ・米国の選挙管轄区域における遠隔投票の方法については,Uniformed and Overseas Citizens Absentee Voting Act Registration and Voting Processesを参照のこと。

 

 

  ELECTRONIC BALLOT DELIVERY ELECTRONIC BALLOT MARKING ELECTRONIC BALLOT RETURN
Technology Overview Digital copy of blank ballot provided to voter Making voter selections on digital ballot through the electronic interface Electronic transmission of voted ballot
Risk Assessment Low  Moderate High
Identified Risks  Electronic ballot delivery faces security risks to the integrity and availability of a single voter’s unmarked ballot  Electronic ballot marking faces security risks to the integrity and availability of a single voter’s ballot  Electronic ballot return faces significant security risks to the confidentiality, integrity, and availability of voted ballots. These risks can ultimately affect the tabulation and results and, can occur at scale 
       
  電子投票用紙の配布 電子投票の印付け 電子投票用紙の返送
技術概要 白紙投票のデジタルコピーを有権者にプロバイダで提供する 電子インターフェイスを通じてデジタル投票用紙上で有権者の選択を行う 投票済み票の電子送信
リスク評価 低い  中程度 高い
識別されたリスク 投票用紙の電子交付は、有権者1人の無記名投票用紙の完全性と可用性に対するセキュリティリスクに直面する。 電子投票は、一人の投票者の投票用紙の完全性と可用性に対するセキュリティリスクに直面する。 電子投票用紙の返送は、投票用紙の機密性、完全性、可用性に対する重大なセキュリティリスクに直面する。これらのリスクは、最終的に集計や結果に影響を及ぼす可能性があり、また、大規模に発生する可能性がある。

 

1_20240229061401

 


 

参考...

● 電子投票 [wikipedia(JP)] [wikipedia


米国

 

選挙インフラISAC

● Elections Infrastructure Information Sharing & Analysis Center

 

 


 

● 総務省

電磁的記録式投票制度について

内容はすっかり古いですが...

・2005.05 電子投票導入の手引き

 


まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.07 ドイツ 電子投票システムのプロテクションプロファイル、非政治的な選挙を実施するためのITセキュリティ要件についての技術ガイド

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

・2020.05.14 COVID-19でオンライン投票は普及するのか?

 

少し遡って

・2007.12.19 国政選挙でも電子投票ができるようになる?

・2007.01.08 総務省 「電子投票システムの技術的条件の適合確認等について」の公表

・2006.11.12 電子投票 参院選の導入見送り

・2006.10.17 自民党 電子投票促進へ交付金?

・2006.02.11 総務省試算 電子投票を全面導入すると国費負担1400億円

・2005.11.15 総務省 電子投票システム調査検討会発足

・2005.07.19 総務省 電子投票の普及促進 有識者検討会設置

・2005.07.10 可児市市議選 選挙無効確定!

・2005.03.11 名古屋高裁 可児市電子投票 無効!

・2005.02.26 電子投票 韓国は2008年から国選選挙でインターネット投票

| | Comments (0)

2024.02.28

内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定

こんにちは、丸山満彦です。

クリアランス制度等に関連する「重要経済安保情報の保護及び活用に関する法律案」が閣議決定されましたね。これから国会で議論されていくのでしょうね。。。

 

内閣

・2024.02.27 定例閣議案件

 

法案は、

● 内閣

・・重要経済安保情報の保護及び活用に関する法律案

・・[PDF] (概要

20240228-132229

・・経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律の一部を改正する法律案

 

内閣官房 - 第213回 通常国会

法律案 国会提出日 担当部局 資料
重要経済安保情報の保護及び活用に関する法律案 R6.2.27 経済安全保障法制準備室

 

衆議院 - 審議経過

・2024.02.27 重要経済安保情報の保護及び活用に関する法律案

 

参議院

 

 



まるちゃんの情報セキュリティ気まぐれ日記

日本...

・2024.02.20 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)

・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)

・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第9回)

・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第7回)

・2023.08.27 参議院常任委員会調査室・特別調査室:セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.10.19 自民党 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~ (2022.10.04)

 

 

米国...

・2024.02.26 米国 GAO 国防総省インテリジェンス:プログラムの監督を強化しリスクを管理するために必要な行動

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察

・2023.11.05 RAND研究所 多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

 

 

| | Comments (0)

米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0

こんにちは、丸山満彦です。

サイバーセキュリティフレームワーク 2.0が公開されましたね...

本体はこちら...

・[PDF] The NIST Cybersecurity Framework (CSF) 2.0

20240228-50254

・[DOCX] 仮訳

・[PDF] 仮訳

↑ ちょっと直しました...

 

● NIST

プレス...

・2024.02.26 NIST Releases Version 2.0 of Landmark Cybersecurity Framework

NIST Releases Version 2.0 of Landmark Cybersecurity Framework NISTは、重要となるサイバーセキュリティフレームワークのバージョン2.0をリリースした。
The agency has finalized the framework’s first major update since its creation in 2014. NISTは、2014年のフレームワーク策定以来初めてとなる大幅な更新をした。
・NIST’s cybersecurity framework (CSF) now explicitly aims to help all organizations — not just those in critical infrastructure, its original target audience — to manage and reduce risks. ・NISTのサイバーセキュリティフレームワーク(CSF)は、当初の対象であった重要インフラ関係者だけでなく、すべての組織がリスクをマネジメントし、低減できるようにすることを明確に目指している。
・NIST has updated the CSF’s core guidance and created a suite of resources to help all organizations achieve their cybersecurity goals, with added emphasis on governance as well as supply chains. ・NISTは、CSFのコア・ガイダンスを更新し、サプライチェーンだけでなくガバナンスにも重点を置いて、すべての組織がサイバーセキュリティの目標を達成するのを支援する一連のリソースを作成した。
・This update is the outcome of a multiyear process of discussions and public comments aimed at making the framework more effective. ・この更新は、フレームワークをより効果的なものにすることを目的とした、複数年にわたる議論とパブリックコメントのプロセスの成果である。
More roads lead to NIST’s updated cybersecurity framework, which now features quick-start guides aimed at specific audiences, success stories outlining other organizations’ implementations, and a searchable catalog of informative references that allows users to cross-reference the framework’s guidance to more than 50 other cybersecurity documents. NISTのサイバーセキュリティフレームワークの更新にはさらに多くの道があり、特定の対象者を対象としたクイックスタート・ガイド、他組織の導入事例を紹介するサクセス・ストーリー、フレームワークのガイダンスを50以上の他のサイバーセキュリティ文書と相互参照できる有益な参考文献の検索可能なカタログなどが掲載されている。
The National Institute of Standards and Technology (NIST) has updated the widely used Cybersecurity Framework (CSF), its landmark guidance document for reducing cybersecurity risk. The new 2.0 edition is designed for all audiences, industry sectors and organization types, from the smallest schools and nonprofits to the largest agencies and corporations — regardless of their degree of cybersecurity sophistication 国立標準技術研究所(NIST)は、サイバーセキュリティのリスクを低減するための画期的なガイダンス文書であり、広く使用されているサイバーセキュリティフレームワーク(CSF)を更新した。新しい2.0版は、サイバーセキュリティの洗練度に関係なく、小規模な学校や非営利団体から大規模な機関や企業まで、あらゆる対象者、業種、組織タイプ向けに設計されている。
In response to the numerous comments received on the draft version, NIST has expanded the CSF’s core guidance and developed related resources to help users get the most out of the framework. These resources are designed to provide different audiences with tailored pathways into the CSF and make the framework easier to put into action ドラフト版に対して寄せられた多くのコメントを受けて、NIST は CSF のコア・ガイダンスを拡張し、ユーザがフレームワークを最大限に活用できるよう、関連リソースを開発した。これらのリソースは、さまざまな対象者に対して、CSFへの入り口を提供し、フレームワークをより簡単に実行に移せるように設計されている。
“The CSF has been a vital tool for many organizations, helping them anticipate and deal with cybersecurity threats,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “CSF 2.0, which builds on previous versions, is not just about one document. It is about a suite of resources that can be customized and used individually or in combination over time as an organization’s cybersecurity needs change and its capabilities evolve.”  「標準技術担当商務次官兼 NIST 長官のローリー・E・ロカシオ(Laurie E. Locascio)氏は、次のように述べている。「CSF は、多くの組織にとって不可欠なツールであり、サイバーセキュリティの脅威を予測し、対処するのに役立ってきた。旧バージョンをベースとする CSF 2.0 は、単なる 1 つの文書ではない。組織のサイバーセキュリティのニーズが変化し、その能力が進化するにつれて、個別に、あるいは組み合わせてカスタマイズして使用することができる一連のリソースである。」
The CSF 2.0, which supports implementation of the National Cybersecurity Strategy, has an expanded scope that goes beyond protecting critical infrastructure, such as hospitals and power plants, to all organizations in any sector. It also has a new focus on governance, which encompasses how organizations make and carry out informed decisions on cybersecurity strategy. The CSF’s governance component emphasizes that cybersecurity is a major source of enterprise risk that senior leaders should consider alongside others such as finance and reputation. 国家サイバーセキュリティ戦略の実施を支援するCSF 2.0は、病院や発電所などの重要インフラを保護するだけでなく、あらゆるセクターのすべての組織に範囲を拡大している。また、ガバナンスにも新たに焦点が当てられており、組織がサイバーセキュリティ戦略について十分な情報を得た上で意思決定を行い、実行する方法を網羅している。CSF のガバナンスの構成要素は、サイバーセキュリティがエンタープライズ・リスクの主要な要因であり、上級管理者は財務やレピュテーションなどの他のリスクと並んで考慮すべきものであることを強調している。
“Developed by working closely with stakeholders and reflecting the most recent cybersecurity challenges and management practices, this update aims to make the framework even more relevant to a wider swath of users in the United States and abroad,” according to Kevin Stine, chief of NIST’s Applied Cybersecurity Division.  NISTの応用サイバーセキュリティ部門のケビン・スタイン主任は、次のように述べている。「利害関係者と緊密に協力し、最新のサイバーセキュリティ上の課題や管理手法を反映して開発されたこの更新版は、米国内外の幅広いユーザーにとって、より適切なフレームワークとなることを目指している。」
Following a presidential Executive Order, NIST first released the CSF in 2014 to help organizations understand, reduce and communicate about cybersecurity risk. The framework’s core is now organized around six key functions: Identify, Protect, Detect, Respond and Recover, along with CSF 2.0’s newly added Govern function. When considered together, these functions provide a comprehensive view of the life cycle for managing cybersecurity risk. 大統領令に従い、NISTは組織がサイバーセキュリティ・リスクを理解し、削減し、コミュニケーションすることを支援するために、2014年に初めてCSFを発表した。現在、フレームワークの中核は6つの主要機能で構成されている: Identify(識別)、Protect(防御)、Detect(検知)、Respond(対応)、Recover(復旧)の機能に、CSF 2.0 で新たに追加された Govern(ガバナンス)機能を加えたものである。これらの機能を合わせて考えることで、サイバーセキュリティリスクマネジメントのライフサイクルを包括的に捉えることができる。
The updated framework anticipates that organizations will come to the CSF with varying needs and degrees of experience implementing cybersecurity tools. New adopters can learn from other users’ successes and select their topic of interest from a new set of implementation examples and quick-start guides designed for specific types of users, such as small businesses, enterprise risk managers, and organizations seeking to secure their supply chains 更新されたフレームワークは、さまざまなニーズやサイバーセキュリティ・ツールの導入経験を持つ組織が CSF を導入することを想定している。新規採用者は、他のユーザーの成功事例から学び、中小企業、エンタープライズリスクマネジメント、サプライチェーンの安全性を確保しようとする組織など、特定のタイプのユーザー向けに設計された新しい導入事例とクイックスタートガイドのセットから関心のあるトピックを選択することができる。
Csfinfographicnoarrows-final
A new CSF 2.0 Reference Tool now simplifies the way organizations can implement the CSF, allowing users to browse, search and export data and details from the CSF’s core guidance in human-consumable and machine-readable formats. 新しい CSF 2.0 リファレンス・ツールは、組織が CSF を実施する方法を簡素化し、ユーザが CSF のコア・ガイダンスのデータや詳細を、人間が読め、機械が読める形式で閲覧、検索、エクスポートできるようにした。
In addition, the CSF 2.0 offers a searchable catalog of informative references that shows how their current actions map onto the CSF. This catalog allows an organization to cross-reference the CSF’s guidance to more than 50 other cybersecurity documents, including others from NIST, such as SP 800-53 Rev. 5, a catalog of tools (called controls) for achieving specific cybersecurity outcomes. さらに、CSF 2.0 は、現在の行動が CSF にどのようにマッピングされるかを示す、有益な参考文献の検索可能なカタログを提供している。このカタログによって、組織は、CSF のガイダンスを、特定のサイバーセキュリティの成果を達成するためのツール(コントロールと呼ばれる)のカタログである SP 800-53 Rev. 5 など、NIST の他の文書を含む 50 以上の他のサイバーセキュリティ文書と相互参照することができる。
Organizations can also consult the Cybersecurity and Privacy Reference Tool (CPRT), which contains an interrelated, browsable and downloadable set of NIST guidance documents that contextualizes these NIST resources, including the CSF, with other popular resources. And the CPRT offers ways to communicate these ideas to both technical experts and the C-suite, so that all levels of an organization can stay coordinated 組織は、サイバーセキュリティとプライバシー・リファレンス・ツール(CPRT)を参照することもできる。CPRT には、CSF を含むこれらの NIST リソースと他の一般的なリソースを相互に関連付け、閲覧可能でダウンロード可能な NIST ガイダンス文書一式が含まれている。また、CPRTは、これらのアイデアを技術専門家と経営幹部の双方にコミュニケーションする方法を提供しており、組織の全レベルが調整を維持できるようになっている。
NIST plans to continue enhancing its resources and making the CSF an even more helpful resource to a broader set of users, Stine said, and feedback from the community will be crucial.  NISTは今後もリソースを強化し、CSFをより広範なユーザーに役立つリソースにしていく予定であり、コミュニティからのフィードバックは非常に重要であるとスタイン氏は述べた。
“As users customize the CSF, we hope they will share their examples and successes, because that will allow us to amplify their experiences and help others,” he said. “That will help organizations, sectors and even entire nations better understand and manage their cybersecurity risk.”  「ユーザーがCSFをカスタマイズする際に、その事例や成功例を共有してくれることを期待している。「そうすることで、組織やセクター、さらには国全体がサイバーセキュリティ・リスクをよりよく理解し、マネジメントできるようになる。
The CSF is used widely internationally; Versions 1.1 and 1.0 have been translated into 13 languages, and NIST expects that CSF 2.0 also will be translated by volunteers around the world. Those translations will be added to NIST’s expanding portfolio of CSF resources. Over the last 11 years, NIST’s work with the International Organization for Standardization (ISO), in conjunction with the International Electrotechnical Commission (IEC), has helped to align multiple cybersecurity documents. ISO/IEC resources now allow organizations to build cybersecurity frameworks and organize controls using the CSF functions. NIST plans to continue working with ISO/IEC to continue this international alignment. CSF は国際的に広く使用されており、バージョン 1.1 および 1.0 は 13 の言語に翻訳されている。これらの翻訳は、NIST の拡大する CSF リソース・ポートフォリオに追加される予定である。過去 11 年間にわたり、NIST は国際標準化機構(ISO)と協力し、国際電気標準会議(IEC)と連携して、複数のサイバーセキュリティ文書の整合を図ってきた。ISO/IEC のリソースにより、組織はサイバーセキュリティフレームワークを構築し、CSF の機能を使用して制御を整理できるようになった。NIST は、ISO/IEC と協力して、この国際的な整合を継続する計画である。

 

NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0

・2024.02.26 NIST CSWP 29 The NIST Cybersecurity Framework (CSF) 2.0

Abstract 概要
The NIST Cybersecurity Framework (CSF) 2.0 provides guidance to industry, government agencies, and other organizations to manage cybersecurity risks. It offers a taxonomy of high-level cybersecurity outcomes that can be used by any organization — regardless of its size, sector, or maturity — to better understand, assess, prioritize, and communicate its cybersecurity efforts. The CSF does not prescribe how outcomes should be achieved. Rather, it links to online resources that provide additional guidance on practices and controls that could be used to achieve those outcomes. This document describes CSF 2.0, its components, and some of the many ways that it can be used. NIST サイバーセキュリティフレームワーク(CSF)2.0 は、産業界、政府機関、その他の組織がサイバーセキュリティリスクを管理するためのガイダンスを提供する。CSF 2.0 は、サイバーセキュリティの取り組みをよりよく理解し、評価し、優先順位を付け、コミュニケーションするために、組織の規模や業種、成熟度に関係なく、あらゆる組織が利用できる高レベルのサイバーセキュリティ成果の分類法を提供するものである。CSFは、成果をどのように達成すべきかを規定するものではない。むしろ、そのような成果を達成するために使用可能な実践とコントロールに関する追加ガイダンスを提供するオンラインリソースにリンクしている。本文書では、CSF 2.0 とその構成要素、および CSF 2.0 を利用するためのさまざまな方法について説明する。

 

本体...

・[PDF] The NIST Cybersecurity Framework (CSF) 2.0

 

補足資料

NIST CSF Website

CSF 2.0 Quick Start Guides

・・[PDF] NIST Cybersecurity Framework 2.0: RESOURCE & OVERVIEW GUIDE

20240228-54924

 

組織プロファイルの作成・利用ガイド

・[PDF] NIST Cybersecurity Framework 2.0: Quick-Start Guide for Creating and Using Organizational Profiles

20240228-55411

 

ドラフト段階ですが...

ミュニティー・プロファイルの作成ガイド...

・[PDF] NIST CSWP 32 ipd NIST Cybersecurity Framework 2.0: A Guide to Creating Community Profiles

20240228-55051

CSF 2.0 Reference Tool

CSF 2.0 Dataset on CPRT

 

 

 

 

 

 

 

 


 

 まるちゃんの情報セキュリティ気まぐれ日記

CSF

・2023.08.19 米国 NIST サイバーセキュリティフレームワーク 2.0リファレンスツール

・2023.08.11 米国 NIST サイバーセキュリティフレームワーク 2.0案

・2023.08.10 米国 NISTサイバーセキュリティフレームワーク2.0コアと実装例のディスカッションドラフト

・2023.04.26 米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト

・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)

 

こちらも...

PF

・2024.01.28 米国 NIST Privacy Framework 1.1への改定に向けて活動を開始...

 

NIST  SP800-221

・2023.11.20 NIST SP 800-221 情報通信技術リスクのエンタープライズへの影響:エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント, NIST SP 800-221A 情報通信技術(ICT)リスクの成果: ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

・2022.07.25 NIST SP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響:エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理 SP 800-221A (ドラフト) 情報通信技術 (ICT) リスクの成果:ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

 

NIST IR 8286

・2024.03.10 米国 NIST IR 8286C エンタープライズリスクマネジメントと政府監視のためのサイバーセキュリティリスクのステージング

・2022.11.22 NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

| | Comments (0)

Cloud Security Alliance DevSecOpe 柱2:コラボレーションと統合 (2024.02.20)

こんにちは、丸山満彦です。

CSAが「DevSecOpsの6つの柱:柱2:コラボレーションと統合」を公開していますね。。。

2019年から始まっていますが、これで残すところ後1つ...それも3月に発行予定だそうです!

6つの柱は...

発行日 Publication in the Series シリーズ刊行物
2019.08.07 Overview: Six Pillars of DevSecOps 概要 DevSecOpsの6つの柱
2020.02.21 Pillar 1: Collective Responsibility 柱1:集団的責任
2024.02.20 Pillar 2: Collaboration and Integration 柱2:コラボレーションと統合
2022.12.14 Pillar 3: Pragmatic Implementation 柱3:実用的な実装
2022.02.08 Pillar 4: Bridging Compliance and Development 柱4:コンプライアンスと開発の橋渡し
2020.07.06 Pillar 5: Automation 柱5:自動化
2024.03予定 Pillar 6: Measure, Monitor, Report and Action 柱6:測定、監視、報告、行動

 

● Computer Security Alliance

・2024.02.20 The Six Pillars of DevSecOps - Collaboration and Integration

The Six Pillars of DevSecOps - Collaboration and Integration DevSecOpsの6つの柱 - コラボレーションと統合
Security can only be achieved through collaboration, not confrontation” is one of the defining principles of DevSecOps. Essentially, security is a team sport that requires various organizational roles to work together, including business leaders, domain experts, security personnel, architects, software developers, pentesters, SOC analysts, and product managers. This collaboration ensures that the threat landscape is well understood and that the organizational practices for IT activities, including the software development lifecycle, follow proper security hygiene. 「セキュリティは、対立ではなく協調によってのみ達成できる」というのが、DevSecOps を定義する原則の一つである。基本的に、セキュリティはチーム・スポーツであり、ビジネス・リーダー、ドメイン・エキスパート、セキュリティ担当者、アーキテクト、ソフトウェア開発者、ペンテスター、SOCアナリスト、プロダクト・マネージャーなど、さまざまな組織の役割が協力する必要がある。この連携によって、脅威の状況が十分に理解され、ソフトウエア開発ライフサイクルを含む IT 活動の組織的な実践が適切なセキュリティ衛生に従って行われるようになる。
This document highlights this fundamental DevSecOps principle. It provides practical insights that help organizations build a unified environment where security is not an isolated function, but an essential part of software development. This includes how to promote regular, open, and proactive communication between all parties, ensuring that all stakeholders are involved, informed, and working towards a shared vision. 本書は、このDevSecOpsの基本原則に焦点を当てる。セキュリティが孤立した機能ではなく、ソフトウェア開発の本質的な部分となるような統一された環境を組織が構築するのに役立つ実践的な洞察を提供する。これには、すべての関係者間で定期的かつオープンで積極的なコミュニケーションを促進し、すべての利害関係者が確実に関与し、情報を入手し、共有されたビジョンに向かって取り組む方法も含まれる。
Key Takeaways:  重要なポイント 
・Guiding principles for successful DevSecOps communication ・DevSecOps コミュニケーションを成功させるための指導原則
・How to implement a continuous role-based security training program at an organization ・組織で継続的に役割ベースのセキュリティトレーニングプログラムを実施する方法
・How various organizational roles collaborate in an end-to-end DevSecOps delivery pipeline ・エンドツーエンドの DevSecOps デリバリパイプラインにおいて、さまざまな組織の役割がどのように連携するか
・The communication and collaboration required amongst various organizational roles to integrate a new acquisition into existing DevSecOps processes ・新たな買収案件を既存の DevSecOps プロセスに統合するために、様々な組織的役割の間で必要となるコミュニケーションとコラボレーションの方法
・How DevSecOps collaboration principles apply to other technology practices and trends such as Zero Trust, AIOps, and MLSecOps ・DevSecOpsコラボレーションの原則を、ゼロトラスト、AIOps、MLSecOpsなどの他の技術プラクティスやトレンドにどのように適用するか
・This publication is part of an entire series on the Six Pillars of DevSecOps. You can find all the papers in the series that have been released so far here. ・本書は、DevSecOpsの6つの柱に関するシリーズ全体の一部である。これまでに発表されたシリーズの全ペーパーはこちらからご覧いただける。

 

20240227-94130

 

目次...

Acknowledgments 謝辞
Foreword まえがき
Introduction 序文
Goals 目標
Audience 想定読者
Guiding Principles for Successful DevSecOps Collaboration and Integration DevSecOps のコラボレーションと統合を成功させるための指針
The Why and How of a Role-Based Security Training Program 役割ベースのセキュリティトレーニングプログラムの理由と方法
Collaboration and Integration in the End-to-End DevSecOps Delivery Pipeline エンドツーエンドのDevSecOpsデリバリパイプラインにおけるコラボレーションと統合
Integration Process of a New Acquisition into DevSecOps Delivery Pipeline DevSecOpsデリバリパイプラインへの新規買収の統合プロセス
DevSecOps Case Studies DevSecOpsケーススタディ
Convergence Between DevSecOps and Other Technology Practices DevSecOpsと他の技術プラクティスの融合
References 参考文献

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.11 Cloud Security Alliance DevSecOpe 柱4:コンプライアンスと開発の架け橋

・2020.07.08 CSAが「DevSecOpsの6つの柱:自動化」を公開していますね。。。

 

| | Comments (0)

2024.02.27

英国 Oxford Academic サイバー保険市場における持続可能なリスク移転の障壁

こんにちは、丸山満彦です。

Oxford Academic - Journal of Cybersecurity の Volume 10 Issue 1 2024 に「サイバー保険市場における持続可能なリスク移転の障壁」という論文を掲載しています。。。

つい先日、ENISAのサイバー保険の報告書(サイバー保険 - モデルと手法、AIの活用)を紹介しhましたが、それと合わせて、損害保険会社の人に解説をしてもらいたいです...

サイバー保険については、損害データを十分に集めることが難しいため、最適な市場規模よりも実際の市場規模が小さくなるということのようですね。つまり、思った以上には普及しにくい...

参考になる部分も多い、論文だと思いました...

 

● Oxford Academic - Journal of Cybersecurity

・2024.02.07 Volume 10 Issue 1 2024 

Cybers_10_1cover

・2024.02.20 The barriers to sustainable risk transfer in the cyber-insurance market

・[PDF]

 

目次...

The barriers to sustainable risk transfer in the cyber-insurance market サイバー保険市場における持続可能なリスク移転の障壁
Abstract 概要
Introduction 序文
Insurance market structure 保険市場の構造
Technological advancement, information deficiency, and cyber-insurance 技術の進歩、情報不足、そしてサイバー保険
What claims might arise in relation to cyber-insurance? サイバー保険に関連してどのようなクレームが発生する可能性があるか?
What is the motivation for reinsurance involvement in the cyber-insurance market? 再保険がサイバー保険市場に関与する動機は何か?
Relation to existing literature 既存文献との関係
Paper structure 論文構成
Literature review 文献調査
Reinsurance fundamentals 再保険の基礎
Actuarial models 数理モデル
Economic theory on efficiency 効率性に関する経済理論
Ex ante efficiency 事前効率
Ex post efficiency 生前効率
Rational belief equilibria 合理的信念均衡
Model モデル
Insurance buyer 保険購入者
Supply of insurance 保険供給
Insurer objectives 保険会社の目的
Introducing reinsurance 再保険の導入
The reinsurance market 再保険市場
Modelling cyber-risks サイバーリスクのモデル化
Why use subjective probabilities to model cyber-risks サイバーリスクのモデル化に主観的確率を用いる理由
Probability distributions 確率分布
Simulations シミュレーション
Preliminaries 前準備
Simulation strategy シミュレーション戦略
Simulation 1: benchmark simulation シミュレーション1:ベンチマーク・シミュレーション
Simulation 2: reinsurance supply and price シミュレーション2:再保険供給と価格
Insurance supply 保険供給
Interaction between insurance and reinsurance 保険と再保険の相互作用
Simulation procedure シミュレーションの手順
Considering the effect of capital 資本の影響を考慮する
Excess of loss 損害の超過分
Simulation 3: insurance buyers of variable risk シミュレーション3:変動リスクの保険購入者
Discussion 考察
Information asymmetry 情報の非対称性
Cyber-insurer loss experience サイバー保険会社の損害経験
Loss transparency 損害の透明性
Consistency of reference リファレンスの一貫性
Supply and demand 需要と供給
Further work 今後の検討
Conclusions 結論
Acknowledgement 謝辞
Author contributions 著者
Conflict of interest 利益相反
Footnotes 脚注
References 参考文献
Appendix 1: insurer loss distributions 附属書1:保険会社の損失分布

 

 

考察の部分...

Discussion 考察
The simulations show the difficulty of achieving economic efficiency in an artificial cyber-insurance market even using relatively standard distributions and contract structures. However, as has been stressed, just because a market is not efficient does not mean that transactions cannot take place. We now consider some of the further informational barriers to facilitating smooth transfer of cyber-risk. Issues of data transparency, incident measurement, and reporting—making relevant data publicly available—are particularly crucial in enabling agents to make informed pricing decisions. シミュレーションは、比較的標準的な分布と契約構造を用いたとしても、人工的なサイバー保険市場において経済効率を達成することが困難であることを示している。しかし、これまで強調されてきたように、市場が効率的でないからといって取引ができないわけではない。次に、サイバーリスクの円滑な移転を促進するための更なる情報上の障壁について考察する。データの透明性、インシデントの測定、および報告に関する問題は、関連データを一般に公開することであり、エージェントに十分な情報に基づいた価格決定を可能にする上で特に重要である。
Information asymmetry 情報の非対称性
By and large insurance and reinsurance companies operate in environments where high quality precision signals about loss risks exist. For example, in the case of natural catastrophes, their frequencies are well known and established over many periods. Further, there are enough tail events to help construct reasonable approximations of extremes. When it comes to events regarding human interactions, such as crime, illness, death, or accidents, these are reported by statute to the relevant central authorities. This data is publicly available. In both these cases agents at all levels share the public signals and can condition their private expectations on good quality evidence. Of course, there may be variability in the accuracy of private expectations based on individual interpretation of the data or circumstances. This set-up allows the buyers of insurance the calculate their expected loss in a well informed manner and the insurance companies, based on the public information, can quote a premium. In turn the reinsurers share the same beliefs as no further information is available to them regarding the likelihood of the different states of nature. 保険会社や再保険会社の多くは、損害リスクに関する精度の高いシグナルが存在する環境で事業を展開している。例えば、自然災害の場合、その発生頻度はよく知られており、多くの期間にわたって確立されている。さらに、極限値の妥当な近似値を構築するのに役立つ十分なテール・イベントが存在する。犯罪、病気、死亡、事故など、人間の相互作用に関する出来事に関しては、これらは法令によって関連する中央当局に報告される。このデータは一般に公開されている。いずれの場合も、あらゆるレベルの主体が公的なシグナルを共有し、良質な証拠に基づいて私的な期待を条件づけることができる。もちろん、データや状況の個々の解釈に基づき、私的期待の精度にばらつきが生じる可能性はある。このセットアップにより、保険の買い手は十分な情報を得た上で予想損失を計算し、保険会社は公開情報に基づいて保険料を提示することができる。一方、再保険会社も、さまざまな自然現象の可能性に関してそれ以上の情報を得ることができないため、同じ考えを共有している。
When it comes to cyber-risk and cyber-insurance, the state of data curation and sharing is far more nascent than for other insurance perils and it is reasonable to argue that there is no high quality public signal to inform all agents’ priors. In the regulation of the aviation industry, it is standard to require reporting of ‘near misses’ so that lessons can be learnt and procedures updated to lessen the risk of future accidents. It is possible that this might be addressed by vendor telemetry—an insurer might have a series of recommended cyber-security solution providers that their clients could sign up for as part of their insurance package who would share data with the insurer. This raises potential issues of confidentiality. サイバーリスクとサイバー保険に関しては、データの収集と共有の状況は他の保険危険の場合よりもはるかに初期段階にあり、すべての代理店の事前情報を提供する質の高い公的シグナルは存在しないと主張するのは妥当である。航空業界の規制では、「ニアミス」の報告を義務付けることが標準であり、これによって教訓を学び、手順を更新して将来の事故リスクを減らすことができる。保険会社は、保険パッケージの一部として顧客が契約できる一連の推奨サイバーセキュリティ・ソリューション・プロバイダーを用意し、そのプロバイダーは保険会社とデータを共有することができる。この場合、守秘義務の問題が生じる可能性がある。
Cyber-insurer loss experience サイバー保険会社の損害経験
The United States National Association of Insurance Commissioners publishes an annual report on the cyber-insurance market derived from its Property/Casuality Annual Statement  [72]. Table 17 presents this information for the four years currently available. In 2018 and 2019, the data was presented separately for standalone and package policies but in 2020 and 2021 was presented for combined policies. We have adjusted for this to present the data on a consistent basis. 米国保険コミッショナー協会は、損害保険年次報告書[72]からサイバー保険市場に関する年次報告書を公表している。表 17 は、現在入手可能な 4 年間の情報を示している。2018 年と 2019 年は、単体保険とパッケージ保険に分けてデータを提示していたが、2020 年と 2021 年は複合保険に分けて提示している。一貫した基準でデータを提示するため、この点を調整した。
Table 17. 表17.
Cyber-insurer loss experience in the US market (†denotes weighted average by DWP). 米国市場におけるサイバー保険会社の損害実績(†DWP による加重平均を示す)。

1_20240227053601

Source: NAIC, Researcher calculations. 出典 NAIC、研究員の計算による
It is notable that the ransomware epidemic from 2020 to 2021 had a marked effect on experienced loss ratios for some insurers16. However, there are pockets of differentiation. For example, the Hartford Insurance Company specializes in insurance for smaller companies, creating a fairly well diversified portfolio of insurance contracts where the holders are unlikely to fall victim to sophisticated, targeted ransomware attacks given the potential revenue available. For these companies, basic defences and security software should help mitigate against losses. Figure 7 plots the losses experienced in the underwriting year versus the premium written and a linear trend line with intercept fixed at 0. The slope of the fitted trend line is then the loss ratio. The average loss ratio remained fairly stable across the two years, but it is striking that less than 30% of premia received was, on average, retained by the underwriting insurer. The aforementioned NAIC report states that some 50% of premia for cyber-insurance was ceded to the reinsurance market. There is some evidence to support the premise of a disconnect between expected and experienced losses in cyber-insurance pricing. Woods et al. (2021)  [62] develop a distribution of cyber-losses based on insurance company filings in the USA. They note that their model significantly underpredicts losses in relation to ex post losses reported in other literature. The underpricing of premia implies that either Insurers believe they can diversify loss risk. Customers were not willing to pay the technical premium and insurers are pursuing a ‘loss-leader’ strategy. 2020年から2021年にかけて流行したランサムウェアが、一部の保険会社の損害率に顕著な影響を与えたことは注目に値する16。しかし、差別化を図っているところもある。例えば、ハートフォード保険会社は中小企業向けの保険に特化しており、かなり分散された保険契約のポートフォリオを構築している。このような保険契約では、潜在的な収益が見込めることから、保有者が巧妙な標的型ランサムウェア攻撃の被害に遭う可能性は低い。こうした企業にとっては、基本的な防御策とセキュリティ・ソフトウェアが損失を軽減するのに役立つはずだ。図7 は、保険引受年度に発生した損害と収入保険料をプロットしたもので、切片を0 に固定した一次傾向線を用いている。平均的な損害率は2年間を通じてかなり安定しているが、保険料の30%以下しか引受保険会社に留保されていないことは注目に値する。前述のNAIC のレポートによれば、サイバー保険の保険料の約50% は再保険市場に出されている。サイバー保険の価格設定において、予想損害額と経験損害額が乖離しているという前提を裏付ける証拠もある。Woodsら(2021)[62]は、米国の保険会社の届出に基づいてサイバー損害の分布を作成している。彼らは、他の文献で報告されている事後損失と比較して、彼らのモデルが著しく損失を過小評価していることに注目している。保険料の割安感は、保険会社が損害リスクを分散できると考えていることを示唆している。顧客はテクニカル・プレミアムを支払うことを望まず、保険会社は「ロス・リーダー」戦略を追求している。
Figure 7. 図7.保険料
1_20240227064501
US cyber-insurer losses vs premium written. 米国のサイバー保険会社の損害額と収入保険料の比較。
The entry of Arch Insurance also merits comment. Arch insurance provides capacity17 to a relatively new managing general agent, Coalition Inc., providing ‘active cyber-insurance’. Active cyber-insurance is a relatively new product, which merges the roles of an outsourced security provider and a traditional cyber-insurer. This reduces some of the risks of asymmetric information transfer associated with cyber-insurance from the perspective of the insurer. The trade-off between cyber-insurance and security investment has been modelled by Mazzoccoli and Naldi (2020)  [74] and Skeoch (2022)  [75]. アーチ・インシュアランスの参入も注目に値する。アーチ・インシュアランスは、「アクティブ・サイバー保険」を提供する比較的新しいマネージング・ゼネラ ル・エージェント、Coalition Inc.にキャパシティ17をプロバイダとして提供している。アクティブ・サイバー保険は比較的新しい商品であり、アウトソーシング・セキュリティ・プロバイダーと従来のサイバー保険会社の役割を融合させたものである。これにより、保険会社から見たサイバー保険に関連する情報の非対称性移転のリスクをある程度軽減することができる。サイバー保険とセキュリティ投資のトレードオフは、Mazzoccoli and Naldi (2020) [74]とSkeoch (2022) [75]によってモデル化されている。
Comparison to simulated results シミュレーション結果との比較
Comparing the experienced losses by insurance companies, our assumption regarding the adoption by reinsurance firms of their own private distributions for both severity and frequency of successful cyber-incidents and subsequent losses at this stage of development of this nascent market seems well-grounded on the available evidence. 保険会社が経験した損害と比較すると、この黎明期の市場の発展段階において、再保険会社が、成功したサイバーインシデントとその後の損害の重大性と頻度の両方について、彼ら独自の分布を採用するという我々の仮定は、利用可能な証拠に十分根拠があるように思われる。
The evolution of proportional losses across 15 major insurance companies over the period 2018–2021 presented in Table 17 reveals a somewhat unstable path. Both the average loss and its distribution exhibits both wide variability and an increasing trend. Specifically in 2018, average losses were 25.3% of the premia collected and this measure has monotonically increased to 68.3% by 2021. At the same time the maximum losses have more than doubled from 57% to 130% by 2021. The cross-sectional standard deviations exhibit the same monotonic trended pattern. 表17に示された2018年から2021年にかけての主要保険会社15社の比例損害の推移を見ると、やや不安定な経路をたどっていることがわかる。平均損害額とその分布は、大きな変動と増加傾向の両方を示している。具体的には、2018年の平均損害額は徴収保険料の25.3%であり、この指標は単調に増加し、2021年には68.3%となった。同時に、最大損失率は57%から2021年までに130%へと倍以上に増加している。クロスセクションの標準偏差も同じ単調な傾向のパターンを示している。
Attempting to fit a log-normal distribution over the whole period for the companies in the sample using the same methodology for fitting such distributions in the simulations shows that the kernel18 of the empirical distribution deviates significantly from the normal and reveals slight bimodality (Fig. 8). It is also notable that the fitted distributions underestimates the tail of large losses, which is arguably a significant consideration for reinsurance companies. シミュレーションでこのような分布を当てはめたのと同じ方法を用いて、サンプルに含まれる企業について全期間にわたる対数正規分布の当てはめを試みると、経験分布のkernel18が正規分布から大きく逸脱し、わずかな二峰性が明らかになった(図8)。フ ィッティングされた分布はフ ィッティングされた分布はフ ィッティングされた分布フ ィッティングされた分布フ ィッティングされた分布はフ ィッティングされた分布はフ ィッティングされた分布はフ ィッティングされた分布
Figure 8. 図8.
1_20240227064701
Epanechnikov kernel versus fitted log-normal distribution for NAIC reported cyber-insurance loss ratios, 2018–2021. NAICが報告したサイバー保険損害率のエパネチコフカーネルと適合対数正規分布(2018-2021年)。
Faced with such movements of the cross sectional distributions, meaningful aggregation of the losses experienced by individual insurance companies does not seem effective. In the light of this (admittedly cursory) review of the statistical evidence presented in this paper, Assumption 4 in Introducing reinsurance seems justified. このような横断的な分布の動きに直面すると、個々の保険会社が経験した損失を集計することは有効でないように思われる。本稿で提示した統計的証拠を(確かにざっとではあるが)検討すると、再保険導入の前提4は正当化されるように思われる。
Loss transparency 損害の透明性
We consider what happens if agents only selectively claim on losses from an insurer. In an insurance analysis, it is usually assumed that every agent is aware of the incidents they experience. This is a reasonable assumption for some categories of cyber-incidents, such as ransomware, although other cyber-incidents such as data breaches might not be detected until some time after the event. Agents report some incidents to an insurer and thus a claim is made; some incidents go undisclosed (in insurance, this is known as IBNR—incurred but not reported). More formally, at time t, the agent may be aware of the indicent and its damage so the state of the world in which the incident occurs, s is known to them. The agent might inform the insurer about the state so the insurance knowledge of the state s is conditional on the revelation of the agent. Now, the insurer knows that their distribution is not the objective one but only a partial revelation due to the agents selectively choosing to report losses. The insurer then tries to approximate the objective distribution but it will be with error. In the event that reinsurers know that different insurers have different approximations of the true distribution, they will use some kind of averaging across these approximations to quote reinsurance premiums. The results are: 代理店が保険会社に対して選択的にしか損害賠償請求を行わない場合、何が起こるかを考察する。保険分析では通常、すべての代理店が経験したインシデントを把握していると仮定する。これは、ランサムウェアのようないくつかのカテゴリーのサイバーインシデントについては妥当な仮定であるが、データ漏洩のような他のサイバーインシデントについては、インシデント発生後しばらく経たないと検知されない可能性がある。代理店はいくつかのインシデントを保険会社に報告し、それによって保険金請求が行われる。より正式には、時点tにおいて、代理店はインシデントとその損害を認識している可能性があり、インシデントが発生した世界の状態sは代理店にとって既知である。エージェントは保険会社に状態を知らせるかもしれないので、状態sに関する保険知識はエージェントの暴露を条件とする。今、保険者は、代理店が選択的に損失を報告することを選択するため、彼らの分布が客観的なものではなく、部分的な啓示にすぎないことを知っている。保険者は客観的分布を近似しようとするが、誤差が生じる。再保険者は、保険者によって真の分布の近似値が異なることを知っている場合、再保険料の見積もりには、これらの近似値を平均化したものを使用する。結果はこうなる:
・No insurer is offered a fair premium given their approximation of the true distribution. ・どの保険者も、真の分布の近似値を考慮した上で、公正な保険料を提示しない。
・No agent is offered a fair premium as the insurance offer is based on a distribution different to their own. ・どの代理店も、自分たちの分布とは異なる分布に基づいて保険料を提示されるため、公正な保険料を提示されない。
・Objectively measured data is absent at all levels because reporting is a choice. ・客観的に測定されたデータがすべてのレベルで存在しない。
Consistency of reference リファレンスの一貫性
There is a significant problem with the standard actuarial modelling cycle approach to cyber-insurance: the evolution of systems over time, which is quite unique in its complexity in relation to other perils. Calibration of models using events such as WannaCry have poor future predictive power as the security vulnerabilities it exploited have been patched, Windows XP is less widespread than it was and the operating systems that replaced it have better, though of course not perfect, security by design. In economics, this can be couched in clients’ Bayesian updating of their distributions; they do not and cannot observe incidents of other clients (other than indirectly via media reports) so there is no need to converge to a stationary distribution at the client level. The consequence of this is that the insurers and reinsurers may have a better understanding of the fair price of risk, but buyers do not share the same concern and thus are not willing to pay the demanded premium for the insurance. サイバー保険に対する標準的な保険数理モデリング・サイクルのアプローチには大きな問題がある。WannaCryのような事象を利用したモデルのキャリブレーションは、将来の予測力に乏しい。なぜなら、WannaCryが悪用したセキュリティ脆弱性にはパッチが適用され、Windows XPの普及率は以前より低下し、それに取って代わったオペレーティングシステムは、もちろん完全ではないが、設計上のセキュリティが向上しているからである。経済学でいえば、これは顧客によるベイズ的な分布の更新に置き換えることができる。顧客は他の顧客のインシデントを(メディアの報道を介した間接的なもの以外には)観察しないし、観察することもできないので、顧客レベルで定常分布に収束させる必要はない。この結果、保険会社や再保険会社はリスクの適正価格についてよりよく理解しているかもしれないが、買い手は同じ懸念を共有していないため、保険のために要求された保険料を支払おうとしないのである。
Supply and demand 需要と供給
In the insurance industry, it is common to describe the state of the market as ‘hard’ or ‘soft’. In a soft market, supply exceeds demand placing downward pressure on premium, whereas in a hard market the converse is true. Often the experience of losses in a particular class of business will result in a market hardening. This has important implications for the pricing of cyber-insurance by a vendor. In a soft market, the insurer must charge the lowest premium it can actuarially justify to build market share. In a hard market, the insurer should charge the highest realistic premium possible. If the market were efficient, it would converge to some form of equilibrium but if not it may swing between financial imbalances. There is evidence that in the early stages of the cyber-insurance industry, some insurers operated a very experimental approach to pricing. Woods (2023)  [77] provides an account of one large US insurer, AIG, whose Chief Operating Officer admitted that their early cyber-insurance models were a ‘complete guess’. The same insurer then suffered loss ratios of 100% and 130% in 2020 and 2021, respectively (Table 17), suggesting that even if refined and updated, the pricing models may have underestimated the claim frequency or severity. 保険業界では、市場の状態を「ハード」または「ソフト」と表現するのが一般的である。ソフトな市場では供給が需要を上回り、保険料に下落圧力がかかるが、ハードな市場ではその逆となる。多くの場合、特定のクラスの事業で損害が発生すると、市場は硬直化する。このことは、ベンダーによるサイバー保険の価格設定に重要な意味を持つ。ソフトマーケットにおいては、保険会社は市場シェアを拡大するために、保険数理上正当化できる最低の保険料を請求しなければならない。ハードマーケットにおいては、保険者は現実的に可能な限り高い保険料を請求すべきである。市場が効率的であれば、何らかの形で均衡に収束するだろうが、そうでない場合は、財政的不均衡の間で揺れ動く可能性がある。サイバー保険業界の初期段階において、一部の保険会社が非常に実験的なアプローチで保険料設定を行っていたという証拠がある。Woods(2023)[77]は、米国の大手保険会社であるAIGのチーフ・オペレーティング・オフィサーが、初期のサイバー保険モデルは「完全な推測」であったと認めていることを紹介している。この保険会社はその後、2020年と2021年にそれぞれ100%と130%の損害率に見舞われた(表17)。このことは、たとえ精緻化され更新されたとしても、プライシング・モデルがクレーム頻度や重大性を過小評価していた可能性を示唆している。
Further work 今後の検討
We have considered simulations in which losses are uncorrelated. An interesting next step would be to consider the correlation of losses and implement the modeling strategy presented in this paper using more complex loss-generating functions, such as those reviewed in Actuarial models, than the simple joint distributions of severity and frequency used in this paper. It would also be instructive to compare the results of simulations of distributions proposed by Eling et al. (2019)  [32] and Woods et al. (2021)  [62], with insurer loss data. Claims data is deeply confidential to insurance companies, however, so the results of such analysis would unlikely be able to be widely disseminated unless extensively anonymized. 我々は、損害が無相関である場合のシミュレーションを検討した。次のステップとして、損害の相関性を考慮し、本稿で使用した重大度と頻度の単純な結合分布よりも、アクチュアリーモデルで検討されているような、より複雑な損害生成関数を使用して、本稿で示したモデル化戦略を実施することが興味深い。Elingら(2019)[32]やWoodsら(2021)[62]が提案した分布のシミュレーション結果を保険会社の損害データと比較することも有益であろう。しかし、保険金請求データは保険会社にとって深い機密事項であるため、このような分析結果は、広範囲に匿名化されない限り、広く普及することはないだろう。
In the simulations, we focused on the supply dynamics of insurance and in particular the interaction between insurers and reinsurers. The model provides for consideration of buyer preferences, which at this stage we have explored only briefly in the first simulation to illustrate how buyer utility can affect coverage. A further piece of work would be to explore the price sensitivity of buyers of insurance coverage and how these preferences propagate through the information chain to reinsurers. The model simulations considered only a small number of market participants; with a more complex set of interactions, it may be possible to attempt to determine the optimal market size by introducing appropriate constraints and incentives. A further addition might be to consider multiple reinsurers with different risk tolerances; however, this would add considerable complexity to the model and is outside the scope of the framework introduced in this paper. シミュレーションでは、保険の供給ダイナミクス、特に保険会社と再保険会社の相互作用に焦点を当てた。このモデルには買い手の選好を考慮するためのプロバイダが用意されているが、現段階では、買い手の効用が補償にどのような影響を与え得るかを説明するために、最初のシミュレーションで簡単に検討したに過ぎない。さらなる課題としては、保険の買い手の価格感応度や、こうした選好が情報の連鎖を通じてどのように再保険者に伝播するかを検討することであろう。モデル・シミュレーションでは、少数の市場参加者のみを考慮した。より複雑な相互作用があれば、適切な制約とインセンティブを導入することによって、最適な市場規模を決定する試みが可能かもしれない。さらに、リスク許容度の異なる複数の再保険者を考慮することも考えられるが、これはモデルをかなり複雑にするものであり、本稿で紹介した枠組みの範囲外である。
Conclusions 結論
This paper has developed an artificial yet realistically structured model of the cyber-insurance market considering all three levels of agent interactions. The model incorporates the demand choices of the consumers/buyers of cyber-insurance, their suppliers—insurance companies offering contracts—and reinsurance companies providing additional underwriting capacity. 本稿では、3 つのレベルのエージェントの相互作用をすべて考慮した、人工的でありながら現実的な構造のサイバー保険市場モデルを開発した。このモデルには、サイバー保険の消費者/買い手、その供給者である契約を提供する保険会社、追加の引受能力を提供する再保険会社の需要選択が組み込まれている。
The extent to which an insurance market facilitates smooth risk transfer is linked to the sharing of information by participants regarding the distribution of losses. We argue that this condition is very unlikely to hold in the cyber-insurance market. Disagreements on loss expectations means that cyber-insurance contact pricing will be considered inefficient at both the retail and wholesale levels, leading to lower societal benefit. The purpose of this paper was to quantify such inefficiency within the confines of a three-tier market under miscellaneous types of disagreements in loss expectations among the participants at each tier. 保険市場が円滑なリスク移転をどの程度促進するかは、損害の分配に関する参加者の情報共有と関連している。我々は、この条件がサイバー保険市場で成立する可能性は極めて低いと主張する。損害予想に関する意見の相違は、サイバー保険のコンタクト・プライシングがリテール、ホールセール両レベルで非効率的とみなされ、社会的便益の低下につながることを意味する。本稿の目的は、3 層市場の範囲内で、各層の参加者間で損害予想に様々なタイプの不一致がある場合に、そのような非効率性を定量化することである。
To establish a benchmark to gauge the extent of inefficiency, we have simulated a simple market where all agents share a distribution of losses based on two loss frequencies. From this simulation, we obtained the ‘efficient’ measures of reinsurance premium and the proportional participation of reinsurers. We found that simulated loss reduction to the insurers is almost identical to the cost of reinsurance (bar small statistical errors), as expected. This case represents the economically efficient market outcome. 非効率性の程度を測るベンチマークを確立するために、すべてのエージェントが2つの損失頻度に基づく損失分布を共有する単純な市場をシミュレートした。このシミュレーションから、再保険料と再保険者の参加比率の「効率的」指標を求めた。その結果、シミュレートされた保険者の損害削減額は、(統計的な小さな誤差を除けば)予想通り再保険のコストとほぼ同じであることが分かった。このケースは経済的に効率的な市場の結果を代表するものである。
Maintaining all the behavioural parameters from the first simulation, we then proceeded to compute expected losses and reinsurance premiums based on diverse distributions held by insurance companies and reinsurers. Both insurers and reinsurers independently price premiums to meet target loss ratios based on distinct and subjective distributions. Under conditions where losses are close to the modal simulated value, insurers are typically not incentivized to buy reinsurance. However, when considering relatively extreme losses under a ‘stress test’ type scenario, the value of reinsurance emerges to some insurers whose distributions are relatively heavy tailed in comparison to others. For such insurers, the upfront cost of such reinsurance is justified by the avoidance of ruin under high loss scenarios. 最初のシミュレーションの行動パラメータをすべて維持したまま、保険会社と再保険会社が保有する多様な分布に基づいて予想損害額と再保険料を計算した。保険会社も再保険会社も、それぞれ独立した主観的な分布に基づき、目標とする損害率を満たすように保険料の値付けを行う。損害がモーダル・シミュレーション値に近い条件下では、保険者は通常、再保険を購入するインセンティブを持たない。しかし、"ストレステスト "タイプのシナリオで比較的極端な損失を考慮した場合、再保険の価値は、分布が他の保険者に比べて相対的にヘビーテイルである一部の保険者に現れる。そのような保険者にとっては、再保険の前払いコストは、高い損害シナリオの下で破たんを回避することによって正当化される。
Even within the confines of this simple example, the divergence in distributions, expectations, and objectives demonstrates that efficient pricing is hard to achieve. It should be noted that whilst there are specialists in cyber-insurance operating within the reinsurance market, cyber-insurance itself competes with other lines of insurance for allocation of specialty reinsurance capital. Based on this, we used a uniform cost of reinsurance in the second of our two simulations. This is the outcome of the reinsurer holding a private loss distribution. This condition may reduce the reinsurance capital allocated to cyber-insurance. It is notable that, according to industry sources  [2], there are only a limited range of nonproportional reinsurance structures available to the cyber-insurance market; in other words, the vast majority of written reinsurance is quota share. This implies significant uncertainty among tail risks by reinsurers at the present time. この単純な例の範囲内であっても、配分、期待、目的の乖離は、効率的なプライシングが難しいことを示している。再保険市場にはサイバー保険のスペシャリストが存在する一方で、サイバー保険自体も他の保険種目と特殊な再保険資本の配分を巡って競合していることに留意すべきである。これに基づき、2 回のシミュレーションのうち 2 回目では、一律の再保険コストを用いた。これは、再保険者が私的な損害分配を保有した場合の結果である。この条件は、サイバー保険に割り当てられる再保険資本を減少させる可能性がある。業界筋の情報[2] によれば、サイバー保険市場で利用可能な非比例再保険の仕組みは限られており、言い換えれば、再保険の大半はクオータシェアである。つまり、再保険の大半はクオータシェアである。このことは、現時点では再保険者によるテールリスクの不確実性が大きいことを意味している。
Our findings suggest that the cyber-insurance market will continue to face potential financial imbalances. That is, it will be highly profitable for some participants and costly for others. This is already evident in data on cyber-insurer loss data (Table 17). There has been considerable progress in the academic literature on theoretical modelling of cyber-losses and on empirical analysis. However, access to reliable and transparent data remains a problem for researchers as insurance claims data is confidential and highly guarded. Kasper (2019)  [78] has developed a model for evaluating the feasibility of cyber-catastrophe bonds, while more recently Braun et al. (2023)  [79] have noted that an insurance-linked securities market to support cyber-insurance may struggle to develop without better cyber-modelling. It is likely that this will be a high priority for the market, based on an extensive report by the Geneva Association (2023)  [7]. There have been some efforts in the literature to move towards improving cyber-modelling specifically from an insurance perspective, such as Woods et al. (2021)  [62] and Kasper and Grossklags (2022)  [80]. As the literature develops, the model introduced in this paper may provide a convenient framework for evaluating more intricate distributions than the standard ones used for the simulations in this paper. Without a means of accessing reliable data on cyber-losses, insurance buyers will have to continue to form highly subjective probability distributions. In a recent paper, Bajoori et al. (2022)  [81] argue for the creation of an official registry of cyber-security experts with a duty to report, which has also been proposed by the UK Government19. Such public data might allow for the creation of distributions of cyber-losses and help contribute to reducing information asymmetries. 我々の調査結果は、サイバー保険市場が今後も潜在的な財政不均衡に直面することを示唆している。つまり、一部の参加者にとっては収益性が高く、他の参加者にとってはコストがかかるということである。このことは、サイバー保険会社の損害データ(表 17)を見ればすでに明らかである。サイバー損害の理論的モデリングや実証分析に関する学術的な文献はかなり進歩している。ー保険金請求データはー保険金請求データはー保険金請求データはー Kasper(2019)[78]は、サイバー災害債券の実現可能性を評価するためのモデルを開発したが、より最近では、Braunら(2023)[79]は、サイバー保険を支援する保険リンク証券市場は、より優れたサイバー・モデリングなしには発展するのに苦労するかもしれないと指摘している。 Woodsら(2021)[62]やKasper and Grossklags(2022)[80]のように、特に保険の観点からサイバー・モデリングの改善に向けた取り組みが文献の中でなされている。文献が発展するにつれて、本稿で紹介したモデルは、本稿のシミュレーションに使用した標準分布よりも複雑な分布を評価するための便利なフレームワークを提供するかもしれない。サイバー損害に関する信頼できるデータにアクセスする手段がなければ、保険購入者は極めて主観的な確率分布を形成し続けなければならない。最近の論文で、Bajoori et al. (2022) [81]は、報告義務を負うサイバーセキュリティ専門家の公式登録簿の創設を主張しており、これは英国政府も提案している19。このような公開データは、サイバー損害の分布を作成することを可能にし、情報の非対称性の低減に貢献し、情報の非対称性の解消に貢献するかもしれない。

The cyber-insurance market is still at as stage of relative infancy. The current institutional setup does not appear fully conducive to the delivery of efficient market outcomes at this juncture. Achieving efficiency requires commonly held beliefs and stationary loss distributions. Whether such conditions can be achieved and maintained is questionable given the dynamic nature of cyber-threats. Our provisional conclusions are that the most likely market structure will involve firms specializing in particular insurance contracts covering different ranges of loss limits, with varying access to reinsurance based on these contracts. The overall outcome will be that the capital capacity of this market will be below its optimal size under shared informational conditions. サイバー保険市場はまだ比較的未成熟な段階にある。現在の機構は、現時点では、効率的な市場成果を実現するのに十分ではないように思われる。効率性を達成するためには、一般的に信じられている信念と定常的な損害分布が必要である。サイバー脅威のダイナミックな性質を考えると、そのような条件を達成し、維持できるかどうかは疑問である。我々の暫定的な結論としては、最も可能性の高い市場構造は、異なる範囲の損害限度額をカバーする特定の保険契約に特化した企業が、これらの契約に基づく再保険へのアクセスを変化させるというものである。全体的な結果としては、情報共有条件のもとでは、この市場の資本能力は最適規模を下回ることになる。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.23 ENISA サイバー保険 - モデルと手法、AIの活用

・2023.03.03 ENISA EUにおけるサイバー保険の需要サイド (2023.02.23)

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇?

・2021.02.16 ニューヨーク州金融サービス局(NYDFS)サイバー保険リスクフレームワーク (保険通達2021年第2号)at 2021.02.04

 

 

| | Comments (0)

2024.02.26

米国 GAO 国防総省インテリジェンス:プログラムの監督を強化しリスクを管理するために必要な行動

こんにちは、丸山満彦です。

日本ではクリアランス制度の導入等、安全保障の議論が盛り上がっていますが、インテリジェンス・コミュニティー (Intelligence Community; IC) の議論もこれから盛り上がってくるのでしょうかね...

そうなると、インテリジェンス・コミュニティーの活動についての監督についての議論も合わせて、重要となってきますよね...

米国のGAOによるインテリジェンス・コミュニティーに対する監査結果は、日本の法制化の面でも参考になると思います。

ちなみに、日本の特定秘密保護法のもとでは、衆議院に衆議院情報監視審査会、参議院に参議院情報監視審査会が設置されています。しかし、彼らが運用状況を審査しているのか?というと、報告を受けているだけということですよね(特定秘密保護法第十九条(国会への報告等))...

会計検査院が監査はしているとは思いますが、それだけでは踏み込んだ確認はできないので、インテリジェンス・コミュニティー内部で、クリアランスを持った人による監督、それぞれの省庁における内部監査(米国のInspector Generalによる監査)、それから会計検査院の監査、という構造がよいのかもしれませんが、そこまで議論をするかなぁ...。特定秘密保護法でも報告だけなので、そこまでの議論にはならないのですかね...

 

U.S. GAO

・2024.02.13 DOD Intelligence:Actions Needed to Strengthen Program Oversight and Manage Risks

 

DOD Intelligence:Actions Needed to Strengthen Program Oversight and Manage Risks DODインテリジェンス:プログラムの監督を強化しリスクを管理するために必要な行動
GAO-24-106190 GAO-24-106190
Fast Facts 概要
The Department of Defense has an independent office responsible for overseeing DOD's intelligence activities and ensuring that they comply with federal law and agency directives. 国防総省には、国防総省のインテリジェンス活動を監督し、連邦法および防衛情報局の指令に準拠していることを確認する責任を負う独立機関がある。
From 2017-2022, the oversight office recommended hundreds of improvements to DOD's intelligence community. But the office hasn't monitored whether all these recommendations have been implemented. 2017年から2022年にかけて、同監督機関は国防総省の情報コミュニティに対して何百もの改善を勧告した。しかし、これらの勧告がすべて実施されたかどうかは監視されていない。
Also, the oversight office has stopped inspecting individual offices and agencies and has shifted to assessing high-risk areas DOD-wide. Ceasing regular inspections introduces risks that will need to be mitigated. また、監督機関は個々の局や機関の監察をやめ、国防総省全体でリスクの高い分野をアセスメントすることにシフトしている。定期的な監察を中止することは、低減する必要のあるリスクを導入することになる。
Our recommendations to DOD address these and other issues. DODに対する我々の勧告は、これらおよびその他の問題に対処するものである。
Highlights ハイライト
What GAO Found GAOの発見事項
The Department of Defense's (DOD) Senior Intelligence Oversight Official (SIOO) and DOD's intelligence oversight office have conducted oversight of DOD intelligence activities through a variety of means (see figure). For example, inspections of DOD components over the last 5 years have identified over 100 findings and recommendations for improvement to these components' intelligence oversight programs. 国防省(DOD)の上級インテリジェンス監督官(SIOO)とDODインテリジェンスの監督機関は、さまざまな手段でDODのインテリジェンス活動の監視を行ってきた(図参照)。たとえば、過去5年間にわたる国防総省の各部門に対する監察では、100件を超える所見が指摘され、各部門の情報監視プログラムに対する改善勧告が出されている。
Tools Used by the Department of Defense's (DOD) Intelligence Oversight Office 国防省(DOD)のインテリジェンスの監督機関が使用するツール
1_20240225182001
However, GAO identified some risks that could adversely affect the future success of the DOD intelligence oversight office's oversight program: しかしGAOは、国防総省インテリジェンスの監督機関の監視プログラムの将来の成功に悪影響を及ぼしかねないリスクをいくつか特定した:
Incomplete monitoring of recommendations. The intelligence oversight office does not track the status of all recommendations it has made to DOD components. By improving its monitoring of prior recommendations, the office would know if components were addressing identified deficiencies. 勧告の監視が不完全である。インテリジェンスの監督機関は、国防総省の構成機関に行ったすべての勧告の状況を追跡していない。事前勧告の監視を改善すれば、各部門が識別された欠陥に対処しているかどうかを知ることができる。
Halting inspections. In 2022, the office transitioned from conducting inspections of individual components to DOD-wide topic assessments. While assessments on intelligence topics such as DOD's counterdrug-funded analytical support may be warranted, the cessation of more specific inspections introduces risks—such as increased reliance on component oversight programs. Without taking steps to mitigate the risks of ceasing inspections, there may be fewer opportunities to identify improper activities. 監察の停止。2022年、国防総省は個々の部局に対する監察から、国防総省全体のトピック評価へと移行した。DODの麻薬対策資金による分析支援など、情報トピックに関する評価は正当化されるかもしれないが、より具体的な監察の中止は、各部門の監視プログラムへの依存を高めるなどのリスクをもたらす。監察を中止するリスクを軽減する措置を講じなければ、不適切な活動を特定する機会が減少する可能性がある。
Lack of criteria for topic assessments. The office's process for its new topic assessments does not incorporate all 22 standards that GAO identified as necessary to develop high-quality and reliable products. For example, the office met most standards but somewhat met standards for quality control and assessing risk and independence of investigators. If the office meets all 22 standards, the office could increase confidence in the quality and credibility of the oversight information it provides to DOD leadership. トピック評価の基準が欠如している。新しいトピック評価のための事務局のプロセスには、GAOが高品質で信頼性の高い製品を開発するために必要であると識別した22の標準がすべて組み込まれているわけではない。例えば、同事務所はほとんどの標準を満たしているが、品質管理、リスクと調査員の独立性の評価の標準はやや満たしている。もし同事務所が22の標準をすべて満たせば、同事務所がDOD指導部に提供する監視情報の質と信頼性に対する信頼が高まる可能性がある。
By addressing these risks, DOD would be better positioned to ensure its oversight of intelligence activities is effective. これらのリスクに対処することで、DODはインテリジェンス活動の監視が効果的であることを保証する態勢が整うだろう。
Why GAO Did This Study GAOがこの調査を行った理由
DOD recognizes that intelligence oversight is critical in enabling its components that perform authorized intelligence functions to carry out those functions in a manner that protects the constitutional rights of U.S. persons. In 1982, following a period of improper activities—including for example the interception of communications of civil rights protesters—DOD established an independent oversight office headed by the SIOO to oversee all DOD intelligence and intelligence-related activities. 国防総省は、認可された諜報機能を遂行する部局が、米国民の憲法上の権利を保護する形でその機能を遂行できるようにするためには、諜報活動の監視が極めて重要であることを認識している。1982年、公民権デモ参加者のコミュニケーション傍受など不適切な活動が続いたため、国防総省はすべての国防総省の情報および情報関連活動を監督するため、SIOOを長とする独立監督機関を設置した。
GAO was asked to review DOD's intelligence oversight office. This report, among other objectives, assesses the office's oversight activities and the extent to which DOD faces risks to the success of the office's oversight program. GAOは、国防総省のインテリジェンスの監督機関の見直しを依頼された。本報告書は、特に、同監督機関の監視活動と、DODが同監督機関の監視プログラムを成功させるためのリスクにどの程度直面しているかを評価することを目的としている。
GAO reviewed relevant documents, including DOD directives, inspection reports, and planned topic assessments. GAO developed and applied criteria for high-quality and credible reports to the office's intelligence topic assessments. GAO also visited 15 DOD components that conduct intelligence oversight and interviewed relevant officials. GAOは、DODの指令、監察報告書、計画されたトピック評価などの関連文書を検討した。GAOは、同事務所の情報トピック評価について、高品質で信頼できる報告書の基準を作成し、適用した。GAOはまた、情報監視を行う国防総省の15部門を訪問し、関係者にインタビューを行った。
Recommendations 勧告
GAO is making three recommendations to DOD: (1) improve the monitoring of inspection recommendations; (2) mitigate risks of not conducting inspections; and (3) improve its topic assessments by meeting all standards for high-quality and credible reports. DOD agreed with the first two recommendations and partially agreed with the third. GAO continues to believe it is valid, as discussed in the report. (1)監察勧告の監視を改善する、(2)監察を実施しないリスクを軽減する、(3)質が高く信頼できる報告書の標準をすべて満たすことにより、トピックアセスメントを改善する。DODは最初の2つの勧告に同意し、3番目には部分的に同意した。GAOは、報告書で議論されているように、この勧告が有効であると引き続き考えている。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected / Recommendation 影響を受ける機関/勧告
Department of Defense 国防総省
The Secretary of Defense should ensure that DOD's Senior Intelligence Oversight Official improve the DOD intelligence oversight office's monitoring process for inspection recommendations. (Recommendation 1) 国防長官は、国防総省の上級インテリジェンス監督官が監察勧告に対する国防総省インテリジェンスの監督機関の監視プロセスを改善するようにすべきである。(勧告1)
The Secretary of Defense should ensure that DOD's Senior Intelligence Oversight Official take steps to mitigate the risks of not conducting intelligence oversight inspections. (Recommendation 2) 国防長官は、国防総省の上級インテリジェンス監督官がインテリジェンスの監督の監察を実施しないリスクを軽減するための措置を講じるようにすべきである。(勧告2)
The Secretary of Defense should ensure that DOD's Senior Intelligence Oversight Official improves the DOD intelligence oversight office's topic assessment process by fully meeting all 22 standards that GAO identified for producing high-quality and credible reports. (Recommendation 3) 国防長官は、国防総省の上級インテリジェンス監督官が、GAOが高品質で信頼できる報告書を作成するために特定した22の標準をすべて完全に満たすことによって、国防総省インテリジェンスの監督機関のトピック評価プロセスを改善するようにすべきである。(勧告3)

 

 

・[PDF] Highlights Page

・[PDF] Full Report

20240225-190919

 

・[DOCX] 仮訳

・[PDF] 仮訳

 

 

 

 


 

日本の話...今のところ...

 

e-Gov

特定秘密保護法

 

衆議院 - 情報監視審査会

情報監視審査会報告書

提出日 報告書名 概要 全体
2023.06.08 令和4年年次報告書
2022.06.07 令和3年年次報告書
2021.05.11 令和2年年次報告書
2020..03.17 令和元年年次報告書
2019.03.26 平成30年年次報告書
2018.03.28 平成29年年次報告書
2017.03.29 平成28年年次報告書
2016.03.30 平成27年年次報告書

 

 

参議院 - 情報監視審査会

提出日 報告書名 概要 本文
2023.06.02 ・年次報告書
2022.06.03 ・年次報告書
2021.12.10 ・年次報告書
2020.11.12 ・年次報告書
2019.12.04 ・年次報告書
2018.12.06 ・平成29年年次報告書
2017.06.07 ・平成28年年次報告書
2016.03.30 ・平成27年年次報告書

 

 

| | Comments (0)

英国 オーストラリア オンラインの安全とセキュリティに関する協力についての覚書

こんにちは、丸山満彦です。

英国とオーストラリアが「オンラインの安全とセキュリティに関する英国とオーストラリアの協力:覚書 (UK-Australia cooperation in online safety and security: memorandum of understanding)」にサインをしたと公表していますね...

 

S300_mou7

範囲...

harmful online behaviour 有害なオンライン行動
age assurance 年齢保証
safety by design セーフティ・バイ・デザイン
online platforms オンライン・プラットフォーム
child safety 児童の安全
technology-facilitated gender-based violence テクノロジーによって促進されるジェンダーに基づく暴力
safety technology 安全技術
online media and digital literacy オンライン・メディアとデジタル・リテラシー
user privacy and freedom of expression ユーザーのプライバシーと表現の自由
online child sexual exploitation and abuse オンライン上の子どもの性的搾取と虐待
terrorist and violent extremist content テロリストと暴力的過激派コンテンツ
lawful access to data データへの合法的なアクセス
encryption 暗号化
misinformation and disinformation 誤報と偽情報
countering foreign interference 外国からの干渉への対抗
online scams/fraud オンライン詐欺/詐欺
information sharing around regulation 規制をめぐる情報共有
and the impact of new, emerging and , rapidly evolving technologies (such as Artificial Intelligence (AI) – including machine learning and generative AI models) in these areas. およびこれらの分野における(機械学習や生成的AIモデルを含む人工知能(AI)など)新技術、振興技術、急速に進化する技術の影響

 

共同行動...

Global thought leadership and international engagement.  グローバルな思想的リーダーシップと国際的関与
Regulation and enforcement. 規制と執行
Online safety and security principles.  オンラインの安全とセキュリティの原則
Tech industry accountability.  テック業界の説明責任
Countering misinformation and disinformation 誤情報と偽情報への対応
Countering foreign interference.  外国の干渉への対抗
Safety technology.  安全技術
Online media and digital literacy オンラインメディアとデジタルリテラシー

 

● GOV.UK

プレス...

・2024.02.21 Australia and the United Kingdom join forces to advance online safety and security

Australia and the United Kingdom join forces to advance online safety and security オーストラリアと英国がオンラインのセーフティとセキュリティの推進で協力
Memorandum of Understanding to help amplify the world class online safety regimes of both countries. 両国の世界最高水準のオンラインの安全体制を強化するための覚書を締結
Australia and the United Kingdom have today (Tuesday 20 February) co-signed an historic Online Safety and Security Memorandum of Understanding (MoU), ushering in a new era of bilateral cooperation between the two countries to support safer and more positive experience online. オーストラリアと英国は、本日2月20日(火)、歴史的なオンラインの安全とセキュリティに関する覚書に調印した。これは、より安全で前向きなオンライン体験を支援するための二国間協力の新時代を切り開くものである。
The first arrangement of its kind, the MoU has a broad focus and encompasses a wide range of digital online safety and security issues, including illegal content, child safety, age assurance, technology facilitated gender-based violence, and addressing harms caused by rapidly changing technology, like generative artificial intelligence. この種の取り決めとしては初めてとなるこの覚書は、違法コンテンツ、子どもの安全、年齢保証、テクノロジーによって助長されるジェンダーに基づく暴力、生成的人工知能のような急速に変化するテクノロジーによって引き起こされる被害への対処など、デジタル・オンラインの安全性とセキュリティに関する幅広い問題を包含している。
The MoU will help amplify the world class regulatory regimes in both countries, including the UK’s Online Safety Act 2023, and Australia’s Online Safety Act 2021, which seek to make the two countries the safest places in the world to be online. この覚書は、英国のオンライン安全法2023、オーストラリアのオンライン安全法2021を含む、両国の世界最高水準の規制体制を強化するもので、両国のオンラインを世界で最も安全な場所にすることを目指す。
The UK and Australia have a shared commitment to upholding and promoting human rights, fundamental freedoms, democracy and the rule of law, both online and offline, and the MoU enshrines that commitment. 英国とオーストラリアは、オンラインとオフラインの両方において、人権、基本的自由、民主主義、法の支配を支持し促進するという共通のコミットメントを持っており、覚書はそのコミットメントを明確にするものである。
The MoU pledges to deepen and intensify cooperation across several key pillars, including deeper cooperation on online safety and security. 覚書は、オンラインの安全とセキュリティに関する協力の深化を含む、いくつかの重要な柱にわたる協力の深化と強化を約束するものである。
Both governments have committed to closer cooperation in the form of in-person dialogues, coordinated bilateral and multilateral engagement, regulatory engagement, shared research projects, and working with industry to address safety challenges posed by design choices. 両国政府は、直接の対話、二国間および多国間の協調的関与、規制への関与、研究プロジェクトの共有、設計の選択によってもたらされる安全性の課題に対処するための産業界との協力といった形で、より緊密な協力を約束した。
The partnership will allow both countries to lead the international agenda and shape a global consensus on tackling online harms. このパートナーシップにより、両国は国際的なアジェンダをリードし、オンライン上の危害への取り組みに関する世界的なコンセンサスを形成することができる。
The MoU will be taken forward by the UK Department for Science, Innovation and Technology (DSIT) and the Australian Department of Infrastructure, Transport, Regional Development, Communications and the Arts (DITRDCA), in collaboration with other relevant departments and agencies on both sides. この覚書は、英国の科学技術革新省(DSIT)とオーストラリアのインフラ・運輸・地域開発・コミュニケーション・芸術省(DITRDCA)が、双方の関係省庁との協力のもと、進めていく。
For more information, you can find the UK-Australia Online Safety and Security MoU on GOV.UK here. 詳しくは、GOV.UKの英国・豪州オンライン安全・セキュリティ覚書を参照のこと。
Secretary of State for Science, Innovation and Technology, the Rt Hon Michelle Donelan MP said: ミシェル・ドネラン科学技術長官は次のように述べた:
The UK and Australia are at the forefront of online safety, and I am proud of our internationally pioneering approaches which are already helping to create a safer and more secure digital world, protecting our citizens and holding platforms to account.  英国とオーストラリアはオンラインの安全の最前線にあり、国際的に先駆的な取り組みがすでに、より安全でセキュアなデジタル世界の実現、市民の保護、プラットフォームの責任追及に役立っていることを誇りに思う。
The signing of the joint Memorandum today signifies a new chapter in our shared history. I look forward to building on this partnership which will help address the challenges and harness the opportunities of the digital age. 本日の共同覚書への署名は、私たちが共有してきた歴史の新たな章を意味する。私は、デジタル時代の課題に対処し、機会を活用する助けとなるこのパートナーシップを築いていくことを楽しみにしている。
Australian Minister for Communications, the Hon Michelle Rowland MP said: オーストラリアのミシェル・ローランド・コミュニケーション大臣は次のように述べた:
Both Australia and the United Kingdom are resolute in our commitment to keeping our citizens safe online. We are likeminded allies and key partners in the fight for safer and more positive online experiences. オーストラリアと英国は、両国民のオンラインにおける安全確保に断固として取り組んでいる。我々は同じ志を持つ同盟国であり、より安全で前向きなオンライン体験のための戦いにおける重要なパートナーである。
This historic Memorandum of Understanding will bring our two countries closer together, ensuring greater collaboration and engagement as we deal with online harms. この歴史的な覚書により、両国はより緊密な関係を築き、オンライン上の危害に対処するために、より大きな協力と関与を確保することになる。
Working together, we will protect the privacy, safety and security of our citizens, without stifling the innovation that is vital for economic, social and individual progress. 共に協力することで、経済、社会、個人の進歩に不可欠なイノベーションを阻害することなく、市民のプライバシー、安全、安心を守っていく。
Online safety is a shared, global responsibility. We must be proactive in ensuring that our legislative frameworks remain fit-for-purpose, and continue to evolve as new harms emerge. オンラインの安全は、世界共通の責任である。我々は、法律の枠組みが常に目的に適合し、新たな危害の出現に応じて進化し続けるよう、積極的に取り組まなければならない。

 

 

・2024.02.20 UK-Australia cooperation in online safety and security: memorandum of understanding

UK-Australia cooperation in online safety and security: memorandum of understanding オンラインの安全とセキュリティに関する英国とオーストラリアの協力:覚書
Memorandum of Understanding (MoU) signed by the UK and Australia in February 2024 to enhance cooperation in online safety and security. 英国とオーストラリアは2024年2月、オンラインの安全とセキュリティにおける協力を強化するための覚書を締結した。
Details 詳細
The governments of UK and Australia welcome enhanced cooperation in online safety and security. 英国とオーストラリアの両政府は、オンラインの安全とセキュリティにおける協力の強化を歓迎する。
The Memorandum of Understanding (MoU) will help amplify the world class regulatory regimes in both countries, including the UK’s Online Safety Act 2023, and Australia’s Online Safety Act 2021. This MoU will seek to make the two countries the safest places in the world to be online. この覚書は、英国のオンライン安全法(2023年)、オーストラリアのオンライン安全法(2021年)を含む、両国の世界最高水準の規制体制を強化するものである。この覚書は、両国をオンラインにおいて世界で最も安全な場所にすることを目指すものである。
This MoU outlines key principles underscoring the approach of both countries and areas of increased collaboration, including: この覚書は、両国のアプローチを強調する主要原則と、以下のような協力強化分野の概要を示している:
the UK and Australia’s shared commitment to upholding and promoting human rights, fundamental freedoms, democracy and the rule of law, both online and offline オンラインとオフラインの両方において、人権、基本的自由、民主主義、法の支配を支持し、促進するという英国とオーストラリアの共通のコミットメント
a wide range of digital online safety and security issues in scope of the agreement, including illegal content, child safety, age assurance, technology facilitated gender-based violence, and addressing harms caused by rapidly changing technology, such as generative artificial intelligence 違法コンテンツ、児童の安全、年齢保証、テクノロジーによって助長されるジェンダーに基づく暴力、生成的人工知能のような急速に変化するテクノロジーによって引き起こされる被害への対処など、デジタル・オンラインの安全とセキュリティに関する幅広い問題を協定の範囲とする。
a commitment to in-person dialogues, coordinated bilateral and multilateral engagement, regulatory engagement, shared research projects and working with industry to address safety challenges posed by design choices 対面での対話、二国間および多国間の協調的関与、規制への関与、研究プロジェクトの共有、設計上の選択によってもたらされる安全性の課題に対処するための産業界との協力に取り組むこと。

 

覚書...

Notice 通知
UK-Australia cooperation in online safety and security: memorandum of understanding オンラインの安全とセキュリティに関する英国とオーストラリアの協力:覚書
Summary 概要
1. The government of the United Kingdom of Great Britain and Northern Ireland (“the United Kingdom”), as represented by the Department for Science, Innovation and Technology, and the Government of Australia, as represented by the Department of Infrastructure, Transport, Regional Development, Communications and the Arts, (hereafter “both participants”) have decided to establish a forward looking and comprehensive online safety and security memorandum of understanding. 1. グレートブリテンおよび北アイルランド連合王国(以下「英国」)政府(科学技術革新省が代表者)およびオーストラリア政府(インフラストラクチャー・運輸・地域開発・コミュニケーション・芸術省が代表者)(以下「両当事者」)は、オンライン安全・セキュリティに関する前向きかつ包括的な覚書を締結することを決定した。
2. The UK-Australia Online Safety and Security Memorandum of Understanding (hereafter “this MoU”), builds on the existing deep and historic partnership between both participants, including the Australia-UK Ministerial Consultations (AUKMIN) and the UK-Australia Cyber and Critical Technology Partnership. 2. オンラインの安全とセキュリティに関する英国とオーストラリアの協力:覚書(以下、「本覚書」)は、豪英閣僚協議(AUKMIN)や英豪サイバー・ クリティカル・テクノロジー・パートナーシップなど、両参加者間の既存の深く歴史的なパートナーシップを基礎とするものである。
3. This MoU will serve as a strategic framework for both participants to jointly deliver concrete and coordinated online safety and security policy initiatives and outcomes to support their citizens, businesses and economies. 3. 本覚書は、両参加国が市民、企業、経済を支援するための具体的かつ協調的なオンライン安全・セキュリティ政策のイニシアティブと成果を共同で提供するための戦略的枠組みとして機能する。
4. The initial focus and scope of this MoU will be on the following policy areas: harmful online behaviour, age assurance, safety by design, online platforms, child safety, technology-facilitated gender-based violence, safety technology, online media and digital literacy, user privacy and freedom of expression, online child sexual exploitation and abuse, terrorist and violent extremist content, lawful access to data, encryption, misinformation and disinformation, countering foreign interference, online scams/fraud, information sharing around regulation, and the impact of new, emerging and rapidly evolving technologies (such as Artificial Intelligence (AI) – including machine learning and generative AI models) in these areas. 4. 本 覚書 の最初の焦点と範囲は、以下の政策分野とする: 有害なオンライン行動、年齢保証、セーフティ・バイ・デザイン、オンライン・プラットフォーム、子どもの安全、テクノロジーによって促進されるジェンダーに基づく暴力、安全技術、オンライン・メディアとデジタル・リテラシー、ユーザーのプライバシーと表現の自由、オンライン上の子どもの性的搾取と虐待、テロリストと暴力的過激派コンテンツ、データへの合法的なアクセス、暗号化、誤報と偽情報、外国からの干渉への対抗、オンライン詐欺/詐欺、規制をめぐる情報共有、およびこれらの分野における(機械学習や生成的AIモデルを含む人工知能(AI)など)新技術、新興技術、急速に進化する技術の影響。
Background 背景
5. Both participants share a common approach to protecting people from harms that are digital in nature or are facilitated by technology, including the importance of safe, secure and privacy preserving online environments, and the need for government and industry to proactively mitigate harms, now and as technology develops. 5. 両参加者は、安全でセキュアでプライバシーを保護するオンライン環境の重要性、現在および技術の発展に伴い、政府と産業界が積極的に被害を軽減する必要性など、デジタル的な性質または技術によって助長される被害から人々を保護するという共通のアプローチを共有している。
6. Both participants share fundamental values, including freedom of expression, human rights, democracy and the rule of law and are committed to shaping a global consensus on tackling online harms and collaborating on a range of issues relating to online safety and security (as outlined in paragraph 4), through modalities such as in-person dialogues, coordinated bilateral and multilateral engagement, and regulatory engagement. Both participants acknowledge previous initiatives as well as work already underway by both participants to align our interests. 6. 両参加者は、表現の自由、人権、民主主義及び法の支配を含む基本的価値を共有し、直接の対話、協調的な二国間及び多国間の関与、規制当局の関与等の方法を通じて、オンライン上の危害への取り組みに関する世界的な合意を形成し、オンラインの安全及びセキュリティに関する様々な問題(パラグラフ4で概説)について協力することにコミットしている。両参加者は、これまでのイニシアティブや、両参加者により既に進められている、利害を一致させるための作業を認識する。
Strategic objectives 戦略的目標
7. Under this MoU, both participants will take a comprehensive approach to online safety and security, recognising the economic, social and individual benefits that stem from a safe and secure online environment. This MoU will also contribute to mitigating the risks of harm in a rapidly-developing technological landscape – ensuring the protection of the public by reducing long-standing and novel causes of harm, in particular the harms experienced by children, women and other persons or groups in vulnerable situations, while maintaining capabilities in a way that protects privacy, and does not limit freedom of expression or stifle innovation. 7. 本覚書の下、両参加国は、安全でセキュアなオンライン環境からもたらされる経済的、社会的、個人的利益を認識し、オンラインの安全性とセキュリティーに対する包括的なアプローチをとる。本覚書はまた、急速に発展する技術的状況における危害リスクの低減に貢献する。すなわち、プライバシーを保護し、表現の自由を制限したりイノベーションを阻害したりしない形で能力を維持しつつ、危害の長年の原因や新たな原因、特に子どもや女性、その他脆弱な状況にある人や集団が経験する危害を低減することにより、公衆の保護を確保する。
Joint actions 共同行動
8. Global thought leadership and international engagement. Both participants will seek to coordinate engagement with international partners to champion collaborative approaches to online safety and security, helping to contribute to the objectives of this MoU. Both participants will endeavour to make effective use of their differing geographies and memberships of regional and international groupings to promote an approach to online safety that champions their joint commitment to an open, free, safe and secure internet that all users can benefit from. 8. グローバルな思想的リーダーシップと国際的関与。両参加者は、オンライン上の安全及びセキュリティに対する協力的なアプローチを支持し、本 覚書 の目的に貢献するために、国際的なパートナーとの関与を調整するよう努める。両参加国は、地理的な違いや地域的・国際的なグループのメンバーであることを有効に活用し、すべてのユーザーが恩恵を受けることができる、オープンで自由、安全かつセキュアなインターネットへの共同コミットメントを支持するオンライン安全へのアプローチを推進するよう努める。
9. Regulation and enforcement. Both participants’ respective regulatory frameworks provide scope for sharing of information, intelligence and best practice - and for deepened collaboration and investigatory cooperation. Both participants support regulatory coherence and increased coordination between independent regulators at an international level. Both participants will also seek to increase cooperation between their respective law enforcement agencies and regulators to enhance their respective detection, investigative, disruption and enforcement capabilities, including identifying opportunities to collaborate on technical solutions. 9.  規制と執行。両加盟国それぞれの規制の枠組みは、情報、インテリジェンス、ベストプラクティスを共有し、協力と捜査協力を深めるための余地を提供する。両参加国は、規制の一貫性と、国際レベルでの独立した規制当局間の調整の強化を支持する。両参加者はまた、それぞれの検知、捜査、妨害、取締り能力を強化するため、技術的解決策について協力する機会を特定することも含め、それぞれの法執行機関と規制当局の間の協力を強化することを目指す。 
10. Online safety and security principles. Both participants will seek to play a key role in the shaping and promotion of consistent principles and approaches for online safety – including on issues such as the use of age assurance technologies, age-appropriate design, and safety by design principles and practices – building on strong existing cooperation with wider international partners and multi-stakeholder groups. 10. オンラインの安全とセキュリティの原則。両参加国は、より広範な国際的パートナーやマルチステークホルダー・グループとの既存の強力な協力関係を基礎として、年齢保証技術の使用、年齢に応じたデザイン、デザイン原則と実践による安全性といった問題を含め、オンライン安全性のための一貫した原則とアプローチの形成と推進において重要な役割を果たすよう努める。
11. Both participants will seek to amplify existing specifications, procedures, guidelines, standards and principles, and facilitate effective cooperation internationally to ensure safety, privacy and security are built in by design for new and emerging technologies (including AI), advocating an approach that promotes and protects human rights online. 11. 両参加者は、既存の仕様、手順、ガイドライン、標準および原則を拡大し、オンラインにおける人権を促進し保護するアプローチを提唱しつつ、(AIを含む)新しい技術および新興技術について、安全、プライバシーおよびセキュリティが設計によって組み込まれていることを確保するために、国際的に効果的な協力を促進するよう努める。
12. Tech industry accountability. Both participants will seek to coordinate engagement with global technology companies on issues of mutual interest to help ensure safety is built into the design, development and deployment of online platforms, services, systems and products. 12. テック業界の説明責任。両参加者は、オンライン・プラットフォーム、サービス、システムおよび製品の設計、開発および展開に安全が組み込まれていることを確保するのを助けるため、相互の関心事項について、グローバル・テクノロジー企業との関与を調整するよう努める。
13. Both participants will work together to help develop common positions among like-minded partners and enhance collaboration between industry and governments to address challenges posed by design choices, and to ensure end-to-end encryption and technologies that aim to enhance privacy and security do not undermine the right to safety, especially for children, and tightly controlled lawful access to data. Both participants will continue to advocate and encourage industry adoption of existing international transparency frameworks. 13. 両参加者は、志を同じくするパートナー間の共通の立場の策定を支援し、設計の選択によってもたらされる課題に対処するため、また、エンドツーエンドの暗号化及びプライバシー・セキュリティの強化を目指す技術が、特に子どもにとっての安全の権利及び厳格に管理された合法的なデータへのアクセスの権利を損なわないようにするため、産業界と政府間の協力を強化するために協力する。両加盟国は、既存の国際的な透明性の枠組みを引き続き提唱し、業界による採用を奨励する。
14. Countering misinformation and disinformation. Both participants will share best practice and deepen collaboration on countering misinformation and disinformation – a threat to our democracies and social cohesion. Both participants will seek to pursue a programme of targeted joint capacity building and strategic engagement with technology platforms and strengthen the impact of relevant international fora on misinformation and disinformation. 14. 誤情報と偽情報に対抗する。両参加者は、民主主義と社会的結束に対する脅威である誤情報と偽情報に対抗するため、ベストプラクティスを共有し、協力を深める。両参加者は、的を絞った共同能力構築プログラムを追求し、技術プラットフォームとの戦略的な関わりを深め、誤情報と偽情報に関する関連国際フォーラムの影響力を強化する。
15. Countering foreign interference. Both participants will share best practice and deepen collaboration of responses to foreign interference, particularly foreign information manipulation and interference activities that threaten democracy, and community interference (transnational repression). Both participants will leverage new and existing forums, as well as strengthening our strong bilateral relationship, to pursue a programme of knowledge sharing, and to develop tangible policy responses to shared problems. 15. 外国の干渉に対抗する。両参加者は、外国からの干渉、特に民主主義を脅かす外国による情報操作や干渉活動、地域社会からの干渉(国境を越えた抑圧)への対応について、ベストプラクティスを共有し、協力を深める。両参加者は、知識共有のプログラムを追求し、共有された問題に対する具体的な政策対応を開発するために、強力な二国間関係を強化するだけでなく、新しい、そして既存のフォーラムを活用する。
16. Safety technology. Both participants will seek to stimulate the growth and promotion of an innovative, resilient and trusted international safety technology sector through policy interventions which support more efficient routes to market for safety technology solutions and innovations. Both participants will seek to share evidence on technologies that can protect safety and trust in information online, especially where this is challenged by emerging technologies such as AI. 16. 安全技術 両参加者は、安全技術ソリューションとイノベーションの市場投入をより効率的に支援する政策介入を通じて、革新的でレジリエンスが高く、信頼される国際的な安全技術セクターの成長と促進を促すことを目指す。両参加者は、特にAIのような新興技術によってオンライン情報の安全性と信頼性が脅かされている場合、これを保護することができる技術に関する証拠を共有することを目指す。
17. Online media and digital literacy (including online safety education). Both participants recognise the importance of empowering and educating their citizens to make safe and informed choices online. Both participants will develop and promote evidence-based online media and digital literacy initiatives for all user groups, particularly under-served communities and groups most at-risk of harm, in response to online harms, including misinformation and disinformation. 17. オンラインメディアとデジタルリテラシー(オンライン安全教育を含む)。両参加国は、オンライン上で安全かつ十分な情報に基づいた選択ができるよう市民をエンパワーし、教育することの重要性を認識する。両参加国は、誤情報や偽情報を含むオンライン上の危害に対応するため、すべての利用者グループ、特に十分なサービスを受けていないコミュニティや危害のリスクが最も高いグループのために、エビデンスに基づくオンラインメディアとデジタルリテラシーのイニシアティブを開発し、推進する。
Governance ガバナンス
18. This MoU will establish a new annual online safety and security policy dialogue to review strategic progress under the MoU, including helping to set future priorities and areas of cooperation. 18. 本覚書は、将来の優先事項及び協力分野の設定を支援することを含め、本覚書の下での戦略的進捗をレビューするため、オンライン安全・セキュリティ政策対話を新たに毎年設ける。
19. This will be complemented by suitable arrangements for governance and practical discussion of individual topics and policy areas. 19. この対話は、ガバナンスのための適切な取り決めや、個々のテーマや政策分野についての実際的な議論によって補完される。
20. Both participants will engage with industry, academia and civil society groups as necessary to ensure the outputs and outcomes of this MoU deliver for all sections of society. 20. 両参加者は、本覚書の成果及び成果が社会のあらゆる層に確実に提供されるよう、必要に応じて産業界、学界及び市民社会グループと関与する。
21. In the implementation of this MoU, both participants will maintain high security standards and robust governance arrangements for the handling and processing of sensitive information. 21. 本覚書の実施において、両参加国は、機密情報の取り扱いと処理に関して、高いセキュリテ ィ標準と強固なガバナンス体制を維持する。
22. The scope, objectives and nature of cooperation will be reviewed in response to domestic and international developments and priorities. 22. 協力の範囲、目的および性質は、国内外の進展および優先事項に応じて見直される。
Administration 管理
23. This MoU may be amended at any time by the mutual written consent of both participants. 23. この覚書は、双方の参加者の書面による同意により、いつでも改正することができる。
24. This MoU may be terminated by either participant giving at least six month’s written notice to the other participant. The participants will consult to determine how any outstanding matters should be dealt with. 24. 本覚書は、いずれかの参加者が他方の参加者に少なくとも6ヶ月前に書面で通知することにより、終了することができる。参加者は、未解決の問題をどのように処理すべきかについて協議する。
25. Any disputes about the interpretation or application of the MoU will be resolved by consultations between the Participants, and will not be referred to any national or international tribunal or third party for settlement. 25. 本覚書の解釈または適用に関する紛争は、参加者間の協議によって解決されるものとし、いかなる国内法廷または国際法廷もしくはサードパーティにも解決を委ねられないものとする。
26. This MoU will come into effect on the date it has been signed on behalf of the participants and will remain in effect until terminated in accordance with Paragraph 24. 26. 本覚書は、参加者を代表して署名された日に発効し、第24項に従って終了するまで効力を有する。
27. This MoU represents the understanding reached between the participants and does not create any legally binding rights or obligations. Nothing in this MoU will alter or affect any existing agreements between the participants. Both participants acknowledge that this MoU will not be deemed as an international agreement and will not constitute or create legal obligations governed by international law. 27. 本覚書は、参加者間の合意を代表するものであり、いかなる法的拘束力のある権利または義務も生じさせない。本覚書のいかなる内容も、参加者間の既存の合意を変更したり、影響を与えたりするものではない。両参加者は、本覚書が国際合意とはみなされず、国際法に準拠する法的義務を構成または創出しないことを認める。
Signatories 署名者
Signed in London, UK on 20 February 2024. 2024年2月20日、英国ロンドンにて署名。
For the Government of the United Kingdom, The Rt Hon Michelle Donelan MP, Secretary of State for Science Innovation and Technology                                          英国政府、ミシェル・ドネラン科学イノベーション担当国務大臣(Rt Hon Michelle Donelan MP)。                                   
For the Government of Australia, Hon Michelle Rowland MP, Minister for Communications オーストラリア政府、ミシェル・ローランド コミュニケーション担当大臣

 

 

 


● オーストライア連邦政府

ローランド通信大臣の記者会見

・2023.02.21 Press Conference - MoU signing between Australia and the United Kingdom

Press Conference - MoU signing between Australia and the United Kingdom 記者会見 - オーストラリアと英国の覚書調印式
JOURNALIST: Secretary, I was just talking to the Minister earlier about this challenge of the negotiations you have to have with the tech companies about the encryption problem, which is quite a sort of binary issue of, you know, you either decrypt to make the Online Safety Bill work, or you allow them to keep encrypting. Have you actually cracked that problem yet in the UK? 記者  長官、私は先ほど大臣と、オンライン安全法案を成立させるために暗号化を解除するか、あるいは暗号化を継続させるかという、ある種二律背反的な問題である暗号化問題について、技術企業との交渉の課題について話していたところです。暗号化を解除してオンライン安全法案を成立させるか、暗号化を継続させるかだ。英国ではこの問題はまだ解決していないのか?
SECRETARY OF STATE FOR SCIENCE, INNOVATION AND TECHNOLOGY, RT HON MICHELLE DONELAN: I don't see it necessarily as a binary issue in relation to our Online Safety Act that we've successfully launched our piece of legislation; it gained royal assent a few months ago and we're now in the implementation stage. When it comes to encryption, we have said that shouldn't be a barrier to meeting the aims of our piece of legislation, and at its heart, it's about protecting children. And I believe that that is the primary responsibility of any Government: keeping people safe, especially children. And that must include the online world as well as the offline world. What we have done is put in a safety mechanism which might not have to be used, but it may, in a scenario where if there was an evidence base, that a platform that had encrypted, or was about to encrypt, was awash, for instance, with child abuse and sexual exploitation, and the regulator could ask them to research technology which would protect the spirit of encryption, but would enable the detection of those types of instances. In a scenario where other things had been explored, and that was still the case, they could then ask them to actually deploy that technology. Now, we may never get to that stage, because that is more of a last resort, but here in the UK, we did do a proof of concept and as well to highlight the fact that it is possible to make sure that we are continuing to prioritise children regardless of the issue of encryption. ミシェル・ドネラン科学・イノベーション・技術担当国務長官:オンライン安全法に関しては、必ずしも二律背反の問題とは考えていない; 数ヶ月前に勅許を取得し、現在は実施段階にある。暗号化に関して言えば、それは我々の法律の目的を達成するための障壁であってはならない。私は、それが政府の第一の責任であると信じている。そしてそれは、オフラインの世界だけでなく、オンラインの世界も含まなければならない。例えば、暗号化された、あるいは暗号化されようとしているプラットフォームが、児童虐待や性的搾取であふれかえっているという証拠があれば、規制当局は、暗号化の精神を保護しつつ、そのような事例を検知できるような技術を研究するよう求めることができる。他の方法が検討され、それでも問題が解決しない場合は、その技術を実際に導入するよう求めることができる。しかし、ここ英国では、暗号化の問題に関係なく、子どもたちを優先し続けることが可能であるという事実を強調するために、概念実証を行った。


JOURNALIST: The EU has obviously announced an inquiry to TikTok today and some of the Terms of Reference include sort of age verification for children and things like that. I was just more interested, I mean, how valuable are multilateral agreements or bilateral agreements or multilateral whether it be through the G7s, G20s, or something today, in terms of dealing with tech organisations instead of sort of jurisdictions going ahead and their own way? 記者: EUは今日、明らかにTikTokへの調査を発表し、付託事項の一部には子どもの年齢検証などが含まれている。つまり、多国間協定や二国間協定、あるいはG7やG20といった多国間協定は、各法域が独自に進めるのではなく、技術的な組織と対処する上でどの程度の価値があるのだろうかということだ。
DONELAN: Well, I see, today's Memorandum of Understanding is very much a new era of cooperation. And when you think about online safety, both of our nations were amongst the first to act in a comprehensive way on this agenda, because we share common values, and we recognise how important it is that we're making the online world as safe as possible and what I hope this achieves, is that we encourage other nations to take that plunge and to recognise that it is possible and doable. And that we can, we need to stay on top of this agenda as technology develops, including the impact of AI. And when we carved out our legislation, we did work very closely with tech organisations to make sure that everything that we're asking them to do was actually doable, and achievable. And that they were preparing in the meantime, whilst we were producing our legislation. But I think our agreement is showing that this isn't just something that individual, a couple of individual countries recognise as an important agenda, but this is a movement across the world. And this isn't sparked because politicians one day woke up and thought this would be an important thing to explore - a spark - because the people in both of our countries have been crying out for more protections for their children online and for more say over the content that they see. ドネラン :今日の覚書は、協力の新時代を象徴するものだ。ネットの安全について考えるとき、日米両国はこの議題について包括的な形で行動した最初の国のひとつであり、共通の価値観を共有しているからであり、我々は共通の価値観を共有しており、オンライン世界を可能な限り安全にすることがいかに重要であるかを認識している。そして、これが達成されることを望むのは、他の国々がこの課題に踏み切ることを奨励し、それが可能であり、実行可能であることを認識することである。かた、AIの影響も含め、テクノロジーが発展するにつれて、我々はこの課題を常に把握しておく必要がある。この法案を策定する際、我々は技術系組織と緊密に協力し、我々が彼らに求めていることがすべて実際に実行可能であり、達成可能であることを確認した。そして、我々が法案を作成している間、彼らは準備を進めていた。しかし、今回の合意は、これが単に個々の、あるいはいくつかの国が重要な課題として認識していることではなく、世界全体の動きであることを示していると思う。これは、政治家がある日目覚めて、これは重要なことだと思いついたから始まったものではない。


MINISTER FOR COMMUNICATIONS, HON MICHELLE ROWLAND: I certainly endorse all of the Minister's comments, and just to also add that we both see this very much as an ongoing piece of work for us. This is not a set and forget. We had very good discussions just earlier about the need to keep this alive, to keep on top of emerging harms as they arise and to think about the next steps as we take this forward. So, it is a very exciting day for both our countries. But more importantly, it's about ensuring the safety of our citizens and our most vulnerable citizens as they navigate what is essentially a new world. Lastly, I would like to endorse the Minister's comments about the ecosystem and the need for industry to continue to work with governments, regulators and civil society to make the online space a safer one. It is imperative that we continue to work together; this MOU provides an excellent basis for some of the key issues that have arisen, and to ensure that we remain on top of the need for regulation that is relevant, that has efficacy, is capable of being implemented, and that ultimately achieves its outcome of keeping our citizens safe. ミシェル・ローランド通信大臣:大臣のコメントはすべて支持する。これは一度決めれば後は忘れても良いというものではない。私たちは先ほど、この活動を継続させ、新たな危害が発生した場合にはそれを常に把握し、この活動を前進させるための次のステップについて考える必要性について、非常に良い議論をした。両国にとって非常にエキサイティングな日だ。しかし、より重要なことは、本質的に新しい世界を航海する私たちの市民と最も脆弱な市民の安全を確保することである。最後に、エコシステムと、オンライン空間をより安全なものにするために政府、規制当局、市民社会と協力し続ける産業界の必要性についての大臣のコメントを支持したい。この覚書は、これまで生じてきたいくつかの重要な問題について、また、適切で、実効性があり、実施可能で、最終的に市民の安全を守るという目的を達成するための規制の必要性について、私たちが常に注意を怠らないようにするための、優れた基礎を提供するものである。
JOURNALIST: Do the tech companies sort of, is there a bit of regulatory forum shopping? Do they come to you and say: ‘look, it's done this way in the US, or done this way in the EU, why isn’t it done this way?’ Are they, you know, even as you look to kind of harmonize and work together, are the tech companies either trying to sort of force you down to a lowest common denominator or drive wedges between you? Is that a tactic they use? 記者: ハイテク企業は、規制の場で買い物をするようなことがあるのだろうか?米国ではこうなっている、EUではこうなっている。調和を図り、協力し合おうとしているにもかかわらず、ハイテク企業はあなた方を最小公倍数に押し込めようとしたり、あなた方との間にくさびを打ち込もうとしているのだろうか?それは彼らが使う戦術なのか?
DONELAN: I don't think that happened to either of us, because we were first movers in this area, and we were leading, and we are by the MOU, trying to encourage as well, other nations to follow. We want to continue to lead on this agenda and combine our expertise, and share our notes and enable our regulators to work closer together on this agenda. So, certainly, it wasn't the case that we were being pulled backwards, we're trying to pull everybody forwards on this agenda. ドネラン:私たち双方にそのようなことが起こったとは思わない。なぜなら、私たちはこの分野で先陣を切り、リードしてきたからだ。我々は、このアジェンダをリードし続け、我々の専門知識を結集し、メモを共有し、規制当局がこのアジェンダでより緊密に協力できるようにしたい。だから、私たちが後方に引っ張られているのではなく、このアジェンダで皆を前方に引っ張ろうとしているのだ。
JOURNALIST: Following on from that, is it difficult to regulate the tech industry generally, because, you know, they have access to - they've always been one step ahead of you technologically, you know, does feel like you're always playing catch up with where the tech is at, and does the MoU sort of help that at all?   記者: 続けてお願いします。技術的に常に一歩先を行っているため、常に技術の進歩に追っかけているるような感じがするが、覚書はその助けになるのか。
DONELAN: One of the points within the MoU is the fact that we want to continue to work together on the emergence of new technologies, like AI, etc. And these are incredibly important agendas. My own Department was responsible for the creation of the AI Safety Summit just a few months ago, which obviously, Australia we're part of, and we signed an MoU there around Quantum. So, we're very much staying at the top of and up to speed with the technological advances and making sure that our legislation and regulation is fit for purpose and future-proof. But when it comes to the legislation that we carved out in the UK, we grounded it in common sense and made sure that it was going to actually deliver the ask of our British public about empowering adults and enabling them to have more say with the content that they see, protecting free speech, whilst at its heart, protecting our children. ドネラン:覚書のポイントのひとつは、AIなどの新技術の出現に関して協力し続けたいということだ。これらは非常に重要な課題だ。つい数カ月前、オーストラリアも参加しているAIセーフティ・サミットの創設を担当したのが私の省庁で、そこで量子に関する覚書を締結した。このように、私たちは技術の進歩の最先端に立ち、そのスピードに対応し、私たちの法律や規制が目的に適い、将来を見据えていることを確認している。しかし、英国で策定した法律に関しては、常識的な根拠に基づいており、成人に権限を与え、彼らが見るコンテンツについてより多くの発言権を持てるようにし、言論の自由を守ると同時に、その核心は子どもたちを守ることであるという、英国国民の要望を実際に実現するものであることを確認した。

 

| | Comments (0)

2024.02.25

ソーシャルメディア (SNS) は民主主義にとって良いことか?国別調査 by Pew Reserch Centre

こんにちは、丸山満彦です。

米国の調査会社のPew Reserch Centerが27カ国を対象に、ソーシャルメディア (SNS) は民主主義にとって良いことか?ということを調査していますが、興味深い結果です...

Sr_240223_socialmediademocracy_11

出典:https://www.pewresearch.org/short-reads/2024/02/23/majorities-in-most-countries-surveyed-say-social-media-is-good-for-democracy/sr_24-02-23_social-media-democracy_1/

 

Pew Reserch Center

・2024.02.23 Majorities in most countries surveyed say social media is good for democracy

 

先進国の中では、日本はすこしずれている。米国とフランスも世界全体から見ると少し極端?という感じですね...

この順位を見て、政治の透明性が低い国は、秘密をあばいてくれそうなSNSにちょっと期待しているところがあるのかなぁ...という気もしました。一方、選挙にセンシティブな国はSNSによる世論操作的なことも気になり、SNSにネガティブな感情があるのかも...と思ったりしました。

国の民主主義の程度を示す指数として、エコノミストの民主主義指数[wikipedia]や、V-Dem研究所の民主主義指数[wikipedia]が知られているわけですが、ちょっと比較してみましたが、なんとなく傾向はありそうなんだけども、ピタッという感じではないですね(あくまで軽く見ただけです...)。

 

 

| | Comments (0)

日本公認会計士協会 租税調査会研究報告第40号「デジタル経済下におけるPE概念の課題と考察」

こんにちは、丸山満彦です。

これは興味深い報告書です...

簡単にいうと...例えば、電子商取引で得た収益に関する課税はどこの国がするのか?という問題ですね...。従来の商取引の場合は、企業の本社がある国(居住地国)で全ての課税が行われます。が、海外に事業所等(恒久的施設(Permanent Establishment; PE)がある場合は、当該国(源泉地国)が第一次課税権を持ちます。つまり、居住地国と源泉地国の二重課税が生じるわけですが、そこは各国での租税条約等により、解決していました。

PEがあれば、そこで活動している国も税金を徴収できるということになります。。。ところが、、、ソフトウェアの販売といったときにどうなるかという問題が生じます。。。例えば、米国のSAAS事業者が日本にはなんの設備も持たない状況で、ウェブ上で取引が完結してしまう場合です。日本にPEがないということになり、日本での事業について課税ができないということになりかねないですよね。。。で、デジタル化が進んだ現在にといては従来のPEの概念では、とうも問題があるのではないか...ということを整理したのがこの話ですね...

(税金はあまり得意ではないので、自信がないけど...(^^;;)

 

日本公認会計士協会

・2024.02.22 租税調査会研究報告第40号「デジタル経済下におけるPE概念の課題と考察」の公表について

・[PDF] (downloaded)

20240224-20122

 

 

目次...

Ⅰ はじめに

Ⅱ 従来型経済における伝統的PE概念とその課題
1.伝統的なPE概念
2.伝統的なPE概念に関する課題
3.BEPSプロジェクトを踏まえたPEの見直し
(1) OECD
モデル条約の改正の概要
(2) BEPS防止措置実施条約による措置
(3) 国内法の改正

Ⅲ デジタル経済下におけるPE概念の課題
1.IT革命による経済社会の抜本的変容とPE課税(BEPS行動計画1を中心に)
2.現代のデジタル経済・社会における伝統的なPE概念の課題~事例による考察
(1)
モバイルアプリケーションビジネス
(2) 越境EC
(3) 在宅勤務を前提とする雇用形態
(4) 小括

Ⅳ デジタル経済に対応するPE概念構築の試み~BEPS2.0 における提案
1.2019年1月OECD POLICY NOTE2019年2月PUBLIC CONSULTATION DOCUMENT及び2019年5月の作業報告書
(1) The
“user participation” proposal(ユーザー参加)
(2) The “marketing intangibles” proposal(マーケティング上の無形資産)
(3) Significant Economic Presence(重要な経済的存在)

2.201910OECD PROPOSAL
3.2022年2月11 PUBLIC CONSULTATION DOCUMENT

Ⅴ PE概念によらない経済のデジタル化への対応方法の模索
1.BEPS2.0 におけるPILLAR 1(デジタル経済下における市場国での課税)
2.UNITED NATIONS MODEL TAX CONVENTION ARTICLE 12 B(自動デジタルサービスへの対応)
3.EU におけるデジタル課税の試み
4.仕向地主義課税
(1)
仕向地主義課税と事業所得に関する課税原則
(2) デジタルサービス課税
(3) 仕向地主義のキャッシュフロー法人税

5.小括

Ⅵ おわりに


 

| | Comments (0)

2024.02.24

中国 中央インターネット情報弁公室他 2024年全国民のデジタルリテラシーとスキルを向上させるための作業の要点

こんにちは、丸山満彦です。

中国が、2024年度の「全国民のデジタルリテラシーとスキルを向上させるための作業の要点」を発表していますね...

内容は次のような感じ

1. ハイレベルな複合デジタル人材の育成
・教師と学生のデジタルリテラシーとスキルの全面的な向上
・指導的幹部と公務員のデジタル職務遂行能力の向上
・ハイレベルのデジタル専門職の育成
・地方のデジタル人材の育成
・業界のデジタル人材の育成

2. デジタルデバイドの解消の加速
・デジタル・アクセシビリティの構築
・インクルーシブな公共サービスの提供

3. より強く、より良く、より大きなデジタル経済の支援
・企業のデジタルトランスフォーメーションとアップグレードの加速
・デジタル消費者需要の空間の拡大

4. 知的で便利なデジタル生活シナリオの拡大
・包括的で効率的なデジタル公共サービスの推進
・主要生活区域のデジタル化レベルの向上

5. 積極的、健全かつ秩序あるサイバースペースの創造
・相互構築と共有の社会的雰囲気の創出
・法と倫理のデジタルルールの構築
・安全で秩序あるデジタル環境の維持

6. 支援、保障、調整と連携の強化
・連携した支援体制の改善
・質の高いデジタル資源の供給の増大
・国際交流・協力への積極的な参加

テーマ的にはどこの国も大きく違わないような気がします。ただ、目的が違うので、やり方が変わってくる感じですかね...

国家互联网信息办公室

・2024.02.21 中央网信办等四部门印发《2024年提升全民数字素养与技能工作要点》

中央网信办等四部门印发《2024年提升全民数字素养与技能工作要点》 中央インターネット情報弁公室など4部門、2024年に全国民のデジタルリテラシーとスキルを向上させるための作業ポイントを発表
近日,中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2024年提升全民数字素养与技能工作要点》(以下简称《工作要点》)。《工作要点》指出,2024年是中华人民共和国成立75周年,是习近平总书记提出网络强国战略目标10周年,是我国全功能接入国际互联网30周年,做好今年的提升全民数字素养与技能工作,要以习近平新时代中国特色社会主义思想为指导,以助力提高人口整体素质、服务现代化产业体系建设、促进全体人民共同富裕为目标,推动全民数字素养与技能提升行动取得新成效,以人口高质量发展支撑中国式现代化。 このほど、中央インターネット情報弁公室(CNIO)、教育部、工業情報化部、人力資源・社会保障部(MOHRSS)が共同で、「2024年全人民のデジタルリテラシーと技能の向上に関する作業要点」(以下、「作業要点」)を発表した。 作業要点」は、2024年は中華人民共和国建国75周年、習近平総書記がネットワーク強国の戦略目標を提唱してから10周年、中国が国際インターネットに全面的にアクセスしてから30周年に当たることを指摘し、今年の全人民のデジタルリテラシーと技能の向上作業は、習近平の「新時代の中国の特色ある社会主義思想」を指針とし、全人民の総合的な資質の向上を助け、現代産業システム建設に貢献し、共栄を促進することを目的として行われるべきだと指摘した。 また、全人民のデジタルリテラシーと技能を高め、新たな成果を達成するための行動を推進し、国民の質の高い発展を伴う中国式の現代化を支援する。
《工作要点》明确了年度工作目标:到2024年底,我国全民数字素养与技能发展水平迈上新台阶,数字素养与技能培育体系更加健全,数字无障碍环境建设全面推进,群体间数字鸿沟进一步缩小,智慧便捷的数字生活更有质量,网络空间更加规范有序,助力提高数字时代我国人口整体素质,支撑网络强国、人才强国建设。 [作業ポイント] 2024年末までに、中国全人民のデジタルリテラシーとスキルの発展水準が新たなレベルに達し、デジタルリテラシーとスキルの育成システムがより健全になり、デジタルアクセシビリティの建設が全面的に推進され、グループ間のデジタル格差がさらに縮まり、スマートで便利なデジタル生活がより質の高いものになり、サイバースペースがより標準化され、整然としたものになり、デジタル時代における中国国民の全体的な質の向上に貢献する。 強力なネットワーク国家と強力な人材国家の建設を支援する。
《工作要点》部署了6个方面17项重点任务。一是培育高水平复合型数字人才,包括全面提升师生数字素养与技能、提高领导干部和公务员数字化履职能力、培育高水平数字工匠、培育乡村数字人才、壮大行业数字人才队伍。二是加快弥合数字鸿沟,包括建设数字无障碍环境、提供普惠包容的公益服务。三是支撑做强做优做大数字经济,包括加快企业数字化转型升级、扩展数字消费需求空间。四是拓展智慧便捷的数字生活场景,包括推动数字公共服务普惠高效、提升重点生活领域数字化水平。五是打造积极健康有序的网络空间,包括营造共建共享社会氛围、构建数字法治道德规范、维护安全有序数字环境。六是强化支撑保障和协调联动,包括完善协同支撑体系、加大优质数字资源供给、积极参与国际交流合作。 [作業ポイント] 6つの分野で17の重要なタスクを展開した。 第一に、ハイレベルな複合デジタル人材の育成。これは、以下を含む。教師と学生のデジタルリテラシーとスキルの全面的な向上、指導的幹部と公務員のデジタル職務遂行能力の向上、ハイレベルのデジタル専門職の育成、地方のデジタル人材の育成、業界のデジタル人材の育成。第二に、デジタルデバイドの解消の加速。これは、以下を含む。デジタル・アクセシビリティの構築、インクルーシブな公共サービスの提供。第三に、より強く、より良く、より大きなデジタル経済の支援。これは、以下を含む。企業のデジタルトランスフォーメーションとアップグレードの加速、デジタル消費者需要の空間の拡大。第四に、知的で便利なデジタル生活シナリオの拡大。これは、以下を含む。包括的で効率的なデジタル公共サービスの推進、主要生活区域のデジタル化レベルの向上。第五に、積極的、健全かつ秩序あるサイバースペースの創造。これは、以下を含む。相互構築と共有の社会的雰囲気の創出、法と倫理のデジタルルールの構築、安全で秩序あるデジタル環境の維持。第六に、支援、保障、調整と連携の強化。これは、以下を含む。連携した支援体制の改善、質の高いデジタル資源の供給の増大、国際交流・協力への積極的な参加。

 

これは、2022年にも公表されています。。。

・2022.03.02 四部门联合印发《2022年提升全民数字素养与技能工作要点》

 

1_20210612030101

 

| | Comments (0)

世界経済フォーラム (WEF) 金融セクターのための量子セキュリティ - グローバルな規制アプローチへの情報提供

こんにちは、丸山満彦です。

耐量子暗号への移行については、いろいろと大変であろうことは多くの方は認識していると思いますが、特に金融セクターは独特のシステムが多いと想定されることと、社会への影響が大きいので、その移行は慎重かつ確実に行う必要があるため、さらに大変なのだろうと思います...

 

World Economic Forum - Whitepaper

・2024.02.17 Quantum Security for the Financial Sector: Informing Global Regulatory Approaches

Quantum Security for the Financial Sector: Informing Global Regulatory Approaches 金融セクターの量子セキュリティ: グローバルな規制アプローチへの情報提供
This white paper, developed by the World Economic Forum in collaboration with the Financial Conduct Authority, offers guidance for businesses and regulators to ensure a collaborative and globally harmonized approach to quantum security. このホワイトペーパーは、世界経済フォーラムが金融行動監視機構と共同で作成したもので、量子セキュリティに対する協調的かつグローバルに調和したアプローチを確保するために、企業と規制当局にガイダンスを提供するものである。
This white paper, developed by the World Economic Forum in collaboration with the Financial Conduct Authority, offers guidance for businesses and regulators to ensure a collaborative and globally harmonized approach to quantum security. このホワイトペーパーは、世界経済フォーラムが金融行動監視機構と共同で作成したもので、量子セキュリティに対する協調的かつグローバルに調和したアプローチを確保するためのガイダンスを企業と規制当局に提供するものである。
Quantum technologies have the potential to revolutionize financial services, improving computation, modelling and fraud detection. However, they also pose significant cybersecurity risks of systemic disruptions. These risks underscore the need for a unified, global and cross-industry approach to quantum security. 量子技術は、計算、モデリング、不正検知を改善し、金融サービスに革命をもたらす可能性を秘めている。しかし、量子技術はシステム破壊という重大なサイバーセキュリティ・リスクをもたらす。これらのリスクは、量子セキュリティに対する統一された、グローバルかつ業界横断的なアプローチの必要性を強調している。

 

・[PDF]

20240224-05601

・[DOCX] 仮訳

・[PDF] 仮訳

 

 

目次...

Contents 内容
Foreword まえがき
Executive summary エグゼクティブサマリー
Introduction 序文
Emerging quantum risks and opportunities in the financial sector 金融セクターにおける新たな量子リスクと機会
Taking a harmonized approach to quantum security 量子セキュリティーへの調和の取れたアプローチ
Bringing together industry and regulatory authorities 産業界と認可当局を結びつける
1. Current landscape 1. 現在の状況
Regulatory perspective 規制の観点
Industry perspective 業界の視点
Joint regulator-industry perspective 規制当局と業界の共同視点
2. Guiding principles 2. 指針
Reuse and repurpose 再利用と再目的化
Establish non-negotiables 譲れないものを確立する
Increase transparency 透明性を高める
Avoid fragmentation 断片化を避ける
3. Industry-regulator journey to a quantum- secure economy 3. 量子安全経済への産業界と規制当局の旅
Phase 1. Prepare 第1段階:準備
Phase 2: Clarify 第2段階:明確化
Phase 3: Guide 第3段階:ガイド
Phase 4: Transition and monitor 第4段階:移行とモニタリング
Conclusion 結論
Appendix 附属書
Contributors 貢献者
Endnotes 巻末資料

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー 
This paper presents four guiding principles and a roadmap to inform global regulatory and industry approaches for a quantum- secure financial sector. 本稿では、量子的な安全性を持つ金融セクターの実現に向けたグローバルな規制・産業界のアプローチについて、4つの指針とロードマップを提示する。
In an era marked by rapid digitalization, the financial sector stands on the brink of a transformation from a digital economy to a quantum economy. Quantum computing promises to revolutionize operations across the financial sector, with the potential to disrupt portfolio management and improve risk management. However, it also comes with challenges, as quantum computing could render most current encryption schemes obsolete, threatening consumer protections and the integrity of digital infrastructures and economies. The severity of these risks, combined with an uncertain timeline to transition to new security models, requires stakeholders to take proactive measures. 急速なデジタル化が進む中、金融セクターはデジタル経済から量子経済への転換の瀬戸際に立たされている。量子コンピューティングは、ポートフォリオマネジメントを破壊し、リスクマネジメントを改善する可能性を秘めており、金融セクター全体のオペレーションに革命をもたらすことを約束している。しかし、量子コンピューティングには課題も伴う。量子コンピューティングによって、現在の暗号化スキームのほとんどが時代遅れになり、消費者保護やデジタルインフラと経済の完全性が脅かされる可能性があるからだ。このようなリスクの深刻さに加え、新たなセキュリティモデルへの移行スケジュールが不透明であることから、関係者は事前対策を講じる必要がある。
Addressing quantum-enabled cybersecurity risks in the financial sector is a complex task, given the sector’s legacy infrastructure, the nature of quantum technology, and the interconnectedness of the industry. The global nature of the financial sector and the common threat posed by quantum technology require close collaboration between industry and regulators. Recognizing the need for a coordinated approach, the World Economic Forum, in collaboration with the Financial Conduct Authority (FCA), initiated a dialogue to help the financial sector transition to a quantum-secure future. This effort brought together regulators, central banks, industry players and academia for coordinated roundtables and curated discussions.  金融セクターのレガシーインフラ、量子技術の性質、業界の相互接続性を考慮すると、金融セクターにおける量子技術を活用したサイバーセキュリティリスクに対処することは複雑な課題である。金融セクターのグローバルな性質と量子技術がもたらす共通の脅威は、産業界と規制当局の緊密な連携を必要とする。協調したアプローチの必要性を認可した世界経済フォーラムは、金融行動監視機構(FCA)と協力し、金融セクターが量子的安全性の高い未来に移行するのを支援するための対話を開始した。この取り組みでは、規制当局、中央銀行、業界関係者、学識経験者が一堂に会し、調整された円卓会議やキュレートされた議論が行われた。
This collaborative approach produced four guiding principles along with a roadmap to serve as a blueprint to reduce complexity and align stakeholders’ activities. These principles, to reuse and repurpose, establish non-negotiables, avoid fragmentation and increase transparency, are overarching and should inform actions throughout the transition to a quantum-secure economy.  この協力的なアプローチにより、複雑さを軽減し、利害関係者の活動を調整するための青写真となるロードマップとともに、4つの指針が生み出された。これらの原則は、再利用と再目的化、譲れない事項の設定、断片化の回避、透明性の向上など包括的なものであり、量子安全保障経済への移行全体を通しての行動に反映されるべきものである。
The transition itself is a journey, and this paper provides a four-phase roadmap: prepare, clarify, guide, and transition and monitor. This roadmap will help the financial sector establish a more collaborative, harmonized and globally informed approach, ensuring that the financial sector is well-prepared for the security challenges that the quantum transition poses. This paper establishes the groundwork for future discussions between industry stakeholders and regulatory authorities towards a quantum-secure financial sector.  移行そのものが旅であり、本稿は「準備」「明確化」「ガイド」「移行とモニタリング」という4段階のロードマップを提供する。このロードマップは、金融セクターがより協調的、調和的でグローバルな情報に基づいたアプローチを確立し、金融セクターが量子移行がもたらすセキュリティの課題に対して十分な備えができることを保証するものである。本稿は、量子セキュリティの金融セクターに向けた、業界関係者と規制当局の今後の議論に向けた基盤を確立するものである。

 

 

 

 

| | Comments (0)

2024.02.23

ENISA サイバー保険 - モデルと手法、AIの活用

こんにちは、丸山満彦です。

ENISAからサイバー保険 - モデルと手法、AIの活用という報告書が公表されていますね...

興味深い内容だと思います。ぜひ、損害保険会社の人に解説をしてもらいたいです...

研究トピックとして 23の項目が挙げられています。。。

1 IMPROVING THE PROCESS OF CYBER RISK ASSESSMENT サイバーリスク評価のプロセスを改善する
2 IDENTIFYING RELEVANT CO-VARIABLES / IMPROVING INDIVIDUAL PRICING 関連する共同変数を特定する/個々の価格設定を改善する
3 MODELLING AND ESTIMATING LOSS FREQUENCY AND SEVERITY 損失頻度と重大性のモデル化と推定
4 MODELLING OF SYSTEMIC RISK IN NETWORK MODELS ネットワーク・モデルにおけるシステミック・リスクのモデル化
5 MODELLING DYNAMIC STRATEGIC INTERACTION ダイナミックな戦略的相互作用のモデル化
6 UNDERSTANDING MULTILAYER NETWORKS 多層ネットワークを理解する
7 PRICING IDIOSYNCRATIC, SYSTEMATIC, AND SYSTEMIC RISK 特異リスク、システマティック・リスク、システミック・リスクのプライシング
8 DATA FOR SYSTEMIC CYBER RISK システミック・サイバーリスクに関するデータ
9 ADAPTING EXISTING ML METHODS TO THE SPECIFIC STYLIZED FACTS OF CYBER 既存のML手法をサイバー犯罪特有の様式化された事実に適応させる。
10 ESTIMATION OF MODELS FOR CYBER RISK (E.G. COMBINING STATISTICAL ESTIMATION AND EXPERT OPINION) サイバーリスクに関するモデルの推定(統計的推定と専門家の意見の組合わせ等)
11 CYBER ASSISTANCE サイバーアシスタンス
12 HEDGING ACCUMULATION RISKS 累積リスクのヘッジ
13 CYBER RISK AS AN ASSET CLASS 資産クラスとしてのサイバーリスク
14 CLOSING THE CYBER-INSURANCE GAP サイバー保険ギャップを埋める
15 OPTIMAL CONTRACT DESIGN 最適な契約設計
16 BEHAVIORAL CHALLENGES 行動上の課題
17 CYBER INSURANCE FOR THE PRIVATE CUSTOMER SEGMENT 個人顧客向けサイバー保険
18 RESILIENCE OF SYSTEMS システムの回復力
19 ROBUSTNESS OF MODELS モデルの堅牢性
20 DATA COLLECTION データ収集
21 WELFARE AND REGULATORY IMPLICATIONS 福祉と規制への影響
22 EXPLAINABLE AI FOR CYBER RISK サイバーリスクに対する説明可能なAI
23 VISION: AUTONOMOUS CYBER RISK MANAGEMENT ビジョン:自律的なサイバーリスク管理

 

ENISA

・2024.02.21 Cyber Insurance - Models and methods and the use of AI

[PDF]

20240223-02824

・[DOCX] 仮訳

・[PDF] 仮訳

 

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1.はじめに
1.1 PROBLEM DESCRIPTION 1.1 問題の説明
1.2 AIMS AND SCOPE 1.2 目的と範囲
1.3 METHODOLOGY AND SOURCES 1.3 方法論と情報源
1.4 REPORT STRUCTURE 1.4 レポートの構成
2. CYBER RISK AND CYBER INSURANCE 2.サイバーリスクとサイバー保険
2.1 BACKGROUND 2.1 背景
2.2 TASKS OF THE CYBER-INSURANCE INDUSTRY 2.2 サイバー保険業界の課題
2.2.1 Pricing 2.2.1 価格設定
2.2.2 Portfolio-risk management / regulatory capital 2.2.2 ポートフォリオ・リスク管理/規制資本
2.2.3 Reserving 2.2.3 予約
2.2.4 Reinsurance 2.2.4 再保険
2.2.5 Prevention of future losses 2.2.5 将来の損失防止
2.3 CHALLENGES AND IMPLICATIONS 2.3 課題と意味合い
2.3.1 Challenges 2.3.1 課題
2.3.2 Implications for cyber insurance 2.3.2 サイバー保険への影響
3. CONTEXT OF DATA 3.データの文脈
3.1 CYBER-RELATED DATA CURRENTLY AVAILABLE AND USED 3.1 現在入手可能で利用されているサイバー関連データ
3.1.1 Attacks on IT-systems 3.1.1 ITシステムへの攻撃
3.1.2 Data breaches 3.1.2 データ侵害
3.1.3 Cyber loss data (financial consequences) 3.1.3 サイバー損害データ(経済的影響)
3.1.4 Meta-information on insured companies (idiosyncratic, systematic, and systemic) 3.1.4 被保険者に関するメタ情報(特異的、システマティック、システミック)
3.2 STYLIZED FACTS AND CHALLENGES OF DATA ON CYBER LOSSES 3.2 サイバー損害に関するデータの様式化された事実と課題
3.2.1 (Non-) availability of data 3.2.1 データの(非)入手可能性
3.2.2 Technological progress; non-stationarity of data 3.2.2 技術進歩;データの非定常性
3.2.3 Accumulation of losses 3.2.3 損失の累積
3.2.4 Diversity of risks 3.2.4 リスクの多様性
3.2.5 Information asymmetries 3.2.5 情報の非対称性
3.3 VISION: POOLING DATA FROM DIFFERENT SOURCES 3.3 ビジョン:異なるソースからのデータをプールする
4. TYPES OF CYBER RISK / MODELLING APPROACHES 4.サイバーリスクの種類/モデル化アプローチ
4.1 IDIOSYNCRATIC RISK, SYSTEMATIC RISK, AND SYSTEMIC RISK 4.1 特異的リスク、システマティック・リスク、システミック・リスク
4.2 CLASSICAL ACTUARIAL APPROACHES 4.2 古典的な保険数理アプローチ
4.3 CONTAGION MODELS 4.3 伝染モデル
4.4 STRATEGIC INTERACTION 4.4 戦略的相互作用
4.5 KEY MODELLING CHALLENGES AND PRICING TECHNIQUES 4.5 主要なモデル化の課題と価格設定手法
5. STATISTICAL METHODS, MACHINE LEARNING, AND AI 5.統計的手法、機械学習、AI
5.1 STATUS QUO OF STOCHASTIC METHODS USED IN CYBER 5.1 サイバー分野で使われる確率的手法の現状
5.2 OVERVIEW ON ML AND AI METHODS 5.2 ML/AI法の概要
5.3 METHODS OF ML/AI USED IN THE INSURANCE INDUSTRY 5.3 保険業界で使われているMI/AIの手法
6. VISION FOR FUTURE RESEARCH 6.将来の研究ビジョン
7. CONCLUSION 7.結論
8. GLOSSARY ON INSURANCE TERMINOLOGY 8.保険用語集
9. BIBLIOGRAPHY 9.参考文献

 

エグゼクティブサマリー

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Research and innovation (R&I) are important indicators for a society to measure progress, growth and development in any field. But progress and growth in our increasingly digital society cannot be achieved without trust. Investing in cybersecurity R&I is key to increasing knowledge about new and emerging threats and developing new technologies, tools and strategies to protect systems, networks and data. Failure to do so can have devastating consequences for building trust in the use of digital technologies by individuals, organisations and society as a whole.  研究・イノベーション(R&I)は、社会があらゆる分野における進歩、成長、発展を測る重要な指標である。しかし、ますますデジタル化する社会における進歩と成長は、信頼なくしては達成できない。サイバーセキュリティR&Iへの投資は、新しく出現する脅威に関する知識を増やし、システム、ネットワーク、データを保護するための新しい技術、ツール、戦略を開発するための鍵となる。これを怠れば、個人、組織、社会全体によるデジタル技術の利用に対する信頼構築に壊滅的な結果をもたらしかねない。 
The main objective of this report is to introduce cyber risk and cyber insurance, provide an overview of existing research and modelling approaches, and identify gaps for upcoming research projects. The key findings from this report are as follows:  本報告書の主な目的は、サイバーリスクとサイバー保険を紹介し、既存の研究とモデル化アプローチの概要を提供し、今後の研究プロジェクトのギャップを明らかにすることである。本レポートの主要な発見は以下の通りである: 
·        The current state of the cyber insurance industry is critically reviewed and the academic literature on cyber-risk modelling is summarized;  ·        サイバー保険業界の現状を批判的にレビューし、サイバーリスク・モデリングに関する学術文献を要約する; 
·        We argue that among the most challenging parts of this interdisciplinary modelling task are (i) the solid understanding of the specific vulnerability of an individual firm on the one hand, and (ii) the interrelationships between firms on the other side, the latter resulting in systemic and systematic risks;  ·        我々は、この学際的なモデリング作業で最も困難なのは、(i)一方では個々の企業の具体的な脆弱性をしっかりと理解することであり、(ii)他方では企業間の相互関係であり、後者はシステミック・リスクやシステマティック・リスクをもたらすものであると主張する; 
·        We show that advanced statistical methods from ML/AI have the potential to be used in cyber-risk modelling and cyber insurance;  ·        我々は、ML/AIによる高度な統計手法がサイバーリスク・モデリングやサイバー保険に利用できる可能性があることを示す; 
·        A major obstacle to the further development and use of advanced statistical tools is the lack of publicly available data. We therefore advocate the creation of publicly available cyber-related data pools to foster research;  ·        高度な統計ツールのさらなる開発と利用を阻む大きな障害は、一般に利用可能なデータが不足していることである。そこで我々は、研究を促進するために、一般に利用可能なサイバー関連データプールの創設を提唱する; 
·        Cyber losses exhibit statistical properties that have to be accounted for in modelling: in particular non-linear dependencies leading to accumulation risk in portfolios, non-stationary loss processes resulting from technological progress and human interaction, and heavy tailed loss distributions;  ·        サイバー損害は、モデル化において説明しなければならない統計的特性を示している。特に、ポートフォリオにおける累積リスクにつながる非線形依存性、技術進歩や人的相互作用に起因する非定常な損害プロセス、重い尾を引く損害分布などである; 
·        We argue that cyber insurance, especially when combined with appropriate cyber assistance services, can enhance both the benefits to individual companies and the resilience of the global IT infrastructure;  ·        サイバー保険は、特に適切なサイバー支援サービスと組み合わせることで、個々の企業にとっての利益とグローバルなITインフラの回復力の両方を高めることができると主張する; 
·        A long list of specific challenges and issues for further research is given.  ·        具体的な課題や今後の研究課題については、長いリストが挙げられている。 
In 2023, ENISA produced a report analysing the current perspectives and challenges of operators of essential services (OESs)[1] in relation to the subscription of cyber insurance services. The report provides information and statistics on the selection, purchase and use of cyber insurance as a tool to mitigate cyber risks in daily business life. While this report provides an overview of the demand side and in particular the requirements of OESs for the use of cyber insurance, this present study highlights what is needed to address some of the challenges from a technical (actuarial) perspective to make cyber insurance more effective from the supply side. For example, how to increase the efficiency of cyber risk assessment and analysis to make cyber insurance more affordable and more suitable as a risk mitigation strategy for OESs. In addition, this current study also provides some practical recommendations on how to improve the maturity of risk management practises in terms of identifying, mitigating and quantifying risk exposure. The combined reading of these two reports will lead to a better understanding of how cyber insurance can be made more effective as a tool to mitigate cyber risks.  2023年、ENISAはサイバー保険サービスの加入に関連する重要サービス事業者(OES)[1] の現在の展望と課題を分析した報告書を作成した。本レポートは、日常業務におけるサイバーリスクを軽減するツールとしてのサイバー保険の選択、購入、利用に関する情報と統計を提供している。この報告書は、需要側、特にOESがサイバー保険を利用する際の要件についての概要を提供しているが、本研究では、供給側からサイバー保険をより効果的なものにするために、技術的(保険数理的)観点からいくつかの課題に対処するために必要なことを強調している。例えば、サイバー保険をより手頃なものにし、OESのリスク軽減戦略としてより適切なものにするために、サイバーリスクの評価と分析の効率を高める方法である。加えて、本研究では、リスク・エクスポージャーの特定、軽減、定量化という観点から、リスク管理実務の成熟度をいかに向上させるかについて、実践的な提言も行っている。これら2つの報告書を合わせて読むことで、サイバーリスクを軽減するツールとしてサイバー保険をより効果的にする方法についての理解が深まるだろう。 

 

 


 

こちらも是非...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.03 ENISA EUにおけるサイバー保険の需要サイド (2023.02.23)

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇?

・2021.02.16 ニューヨーク州金融サービス局(NYDFS)サイバー保険リスクフレームワーク (保険通達2021年第2号)at 2021.02.04

 

 

| | Comments (0)

2024.02.22

米国 CISA FBI EPA 水道システムの安全性を確保するためのトップ・サイバー・アクションを公表

こんにちは、丸山満彦です。

米高のCISA、EPA(環境保護庁)、FBIが、「水道システムの安全性を確保するためのトップ・サイバー・アクション」を公表していますね。。。

23日に米国水道協会、WaterISAC、MS-ISACによる、水道システムを悪意のあるサイバー活動から守るための追加リソースが含まれたものに更新されたようです。。。

 

Cybersecurity & infrastructure Security Agency; CISA

・2024.02.21 CISA, EPA, and FBI Release Top Cyber Actions for Securing Water Systems

CISA, EPA, and FBI Release Top Cyber Actions for Securing Water Systems CISA、EPA、FBIが水道システムの安全確保に向けたサイバー上のトップアクションを発表
TToday, CISA, the Environmental Protection Agency (EPA), and the Federal Bureau of Investigation (FBI) released the joint fact sheet Top Cyber Actions for Securing Water Systems. This fact sheet outlines the following practical actions Water and Wastewater Systems (WWS) Sector entities can take to better protect water systems from malicious cyber activity and provides actionable guidance to implement concurrently: 本日、CISA、環境保護庁(EPA)、連邦捜査局(FBI)は、共同ファクトシート「水道システムの安全性を確保するためのトップ・サイバー・アクション」を発表した。このファクトシートは、悪意あるサイバー活動から水道システムをより良く守るために上下水道システム(WWS)セクター事業体が取ることができる以下の実践的な行動の概要を示し、同時に実施するための行動指針を提供している:
・Reduce Exposure to the Public-Facing Internet ・公衆向けインターネットへのエクスポージャーを減らす
・Conduct Regular Cybersecurity Assessments ・定期的なサイバーセキュリティ評価の実施
・Change Default Passwords Immediately ・デフォルトのパスワードを直ちに変更する
・Conduct an Inventory of Operational Technology/Information Technology Assets ・運用技術/情報技術資産のインベントリを実施する
・Develop and Exercise Cybersecurity Incident Response and Recovery Plans ・サイバーセキュリティ・インシデント対応・復旧計画を策定し、実施する。
・Backup OT/IT Systems ・OT/ITシステムをバックアップする
・Reduce Exposure to Vulnerabilities ・脆弱性へのエクスポージャーを減らす
・Conduct Cybersecurity Awareness Training ・サイバーセキュリティ意識向上およびトレーニングの実施
CISA, EPA, and FBI urge all WWS Sector and critical infrastructure organizations to review the fact sheet and implement the actions to improve resilience to cyber threat activity. Organizations can visit cisa.gov/water for additional sector tools, information, and resources. CISA、EPA、FBIは、すべてのWWSセクターおよび重要インフラ組織に対し、ファクトシートを検討し、 サイバー脅威活動に対するレジリエンスを向上させるための行動を実施するよう促す。各組織は cisa.gov/water でその他のセクターツール、情報、リソースを参照できる。

 

[2024.02.24追記]

・2024.02.23 Updated: Top Cyber Actions for Securing Water Systems

[追記終り]

・2024.02.21 Top Cyber Actions for Securing Water Systems

 ・[PDF]

20240222-20105

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.26 米国 CISA FBI EPA 上下水道システム部門向けインシデント対応ガイド (2024.01.18)

・2023.06.24 NIST ホワイトペーパー [プロジェクト概要] 上下水道セクターのサイバーセキュリティ: 上下水道システムにおけるサイバーリスクを軽減するための実践的なリファレンスデザイン

・2022.11.06 NIST ホワイトペーパー(ドラフト) 【プロジェクト概要】上下水道事業の安全確保:上下水道システムセクターのためのサイバーセキュリティ

 

・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)

 

| | Comments (0)

米国 国防総省 CMMCパブリックコメント募集の 手引きビデオを公開 (2023.02.15)

こんにちは、丸山満彦です。

2023.12.26にサイバーセキュリティ成熟度認証規則案を公表し、2024.02.26まで、コメントを受け付けますが、そのためには、サイバーセキュリティ成熟度認証規則案について理解が重要ということで、このビデオを公表したようですね。。。

ビデオは40分です。

 

U.S. Department of Defense

・2024.02.15 Defense Department Releases Companion Video for CMMC Public Comment Period

 

Defense Department Releases Companion Video for CMMC Public Comment Period 国防総省、CMMCパブリックコメント募集の 手引きビデオを公開
The Defense Department has released a detailed video that explains the nuances, complexities and importance of the recently published proposed rule for its Cybersecurity Maturity Model Certification program.  国防総省は、最近公表されたサイバーセキュリティ成熟度モデル認証プログラムの規則案のニュアンス、複雑さ、重要性を説明する詳細なビデオを公開した。
The video is designed to better inform members of the defense industrial base and other interested parties about the proposed rule for the CMMC program and to help those stakeholders better prepare their own comments and input that will be reviewed before the CMMC program proposed rule is finalized.  このビデオは、防衛産業基盤のメンバーやその他の関係者にCMMCプログラムの規則案についてよりよく伝え、関係者がCMMCプログラムの規則案が最終決定される前に検討されるコメントや意見をよりよく準備できるようにするためのものである。
A 60-day public comment period on the proposed rule opened Dec. 26, 2023. The public comment period closes Feb. 26 at 11:59 p.m. Comments received during the public comment period will be reviewed and will inform the final rule.  規則案に対する60日間のパブリックコメント期間は、2023年12月26日に開始された。パブリックコメント期間は2月26日午後11時59分に終了する。パブリックコメント期間中に寄せられた意見は検討され、最終規則に反映される。
The Cybersecurity Maturity Model Certification program gives the Defense Department a mechanism to verify the readiness of defense contractors both large and small to handle controlled unclassified information and federal contract information in accordance with federal regulations.  サイバーセキュリティ成熟度モデル認証プログラムは、国防総省に、管理対象非機密情報と連邦契約情報を連邦規則に従って取り扱う準備ができているかどうかを、大小を問わず国防請負業者が検証する仕組みを提供する。
A big part of this program is the use of authorized CMMC "third-party assessment organizations," or C3PAOs, to conduct CMMC Level 2 certification assessments for companies seeking that assessment level. CMMC Level 3 assessments will be conducted by the Department. このプログラムの大部分は、認可されたCMMC「サードパーティ評価機関」(C3PAO)を利用して、その評価レベルを求める企業に対してCMMCレベル2の認証評価を実施することである。CMMCレベル3の審査は同局が行う。
The C3PAOs are not paid by the department but will instead be paid by defense industrial base companies seeking verification of compliance. The department does, however, play a role in setting the requirements for the C3PAOs.  C3PAOは国防総省から報酬を受けるのではなく、準拠の検証を求める防衛産業基盤企業から報酬を受ける。しかし、防衛省はC3PAOの要件を設定する役割を果たす。
Gurpreet Bhatia, the DOD Chief Information Officer's principal director for cybersecurity, said that the CMMC program will play an important role in helping keep important DOD information within the department and out of the hands of adversaries.  国防総省最高情報責任者(CIO)のサイバーセキュリティ担当責任者であるガープリート・バティア(Gurpreet Bhatia)は、CMMCプログラムは、国防総省の重要な情報を省内にとどめ、敵の手に渡らないようにする上で重要な役割を果たすと述べた。

Spotlight: Engineering in the DOD

スポットライト:DODにおけるエンジニアリング
"Exfiltration from defense contractors is a problem that threatens our economic and national security," Bhatia said. "Malicious cyber actors continue to target defense contractors. Attacks focus both on large prime contractors and smaller subcontractors in lower tiers. Although DOD has had contract requirements that intended to address this for several years, the defense industrial base has been slow to implement."  バティアは次のように述べた。「防衛請負業者からの流出は、我々の経済と国家安全保障を脅かす問題です。悪意のあるサイバー行為者は、国防請負業者を標的にし続けています。攻撃は、大規模な元請け業者と、それ以下の階層の小規模な下請け業者の両方に焦点を当てています。国防総省は数年前から、この問題に対処するための契約要件を定めていたが、防衛産業基盤はなかなか実行に移しませんでした。」
The CMMC program, Bhatia said, is designed to better help defense contractors be compliant with regulations related to cyber security and to also help the DOD keep track of who is and isn't compliant.  バティアは次のように述べた。「CMMCプログラムは、防衛請負業者がサイバーセキュリティに関連する規制を遵守するのをより良く支援し、DODが誰が遵守し、誰が遵守していないかを追跡するのにも役立つように設計されています。」
"We're committed to implementing the CMMC Program," Bhatia said. "The added emphasis it will bring to protecting DOD's information is important."  バディアは次のように述べた。「我々はCMMCプログラムの実施に全力を注いでいます。DODの情報保護にさらなる重点を置くことは重要です。」
Bhatia also said that he hopes the defense industry and other stakeholders will take the opportunity to provide comment on the DOD's proposed CMMC rule so that their input can be considered when drafting the final rule.  バティアはまた、次のように述べた。「防衛産業や他の利害関係者がDODのCMMC規則案に対してコメントを提供する機会を持ち、最終規則を起草する際に彼らの意見を考慮できるようにすることを望んでいます。」
"It's important that we receive comments that clearly articulate your perspective so that the department can address those key concerns in the final rule," he said. "We must work together to enhance cybersecurity and protect DOD information from exfiltration."  バティアは次のように述べた。「国防総省が最終規則で重要な懸念に対処できるよう、皆さんの視点を明確に示すコメントをいただくことが重要です。我々は、サイバーセキュリティを強化し、DOD情報を流出から守るために協力しなければなりません。」

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)

 

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations

・2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

| | Comments (0)

2024.02.21

警察庁 ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウン関係とランサムウェアによる暗号化被害データに関する復号ツールの開発

 こんにちは、丸山満彦です。

警察庁が、「ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウンに関するユーロポールのプレスリリースについて」と「ランサムウェアLockBitによる暗号化被害データに関する復号ツールの開発について」を発表していますね...

日本の国際連携も進んでいますし、かつ成果も出ている感じですかね...

 

警察庁

・2023.02.21 ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウンに関するユーロポールのプレスリリースについて

・[PDF]

20240221-151816


ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウンに関するユーロポールのプレスリリースについて

1 プレスリリースの概要

ユーロポールは、欧州を含む世界各国の重要インフラ等に対しランサム ウェア被害を与えたなどとして、ランサムウェア攻撃グループLockBitの一員とみられる被疑者を外国捜査機関が検挙するとともに、関連犯罪イン フラのテイクダウンを協力して行った旨をプレスリリースした。 同プレスリリースにおいては、関係各国で関連するランサムウェア事案 の捜査を行っており、当該捜査について、日本警察を含む外国捜査機関等 の国際協力が言及されている。

2 日本警察の協力

関東管区警察局サイバー特別捜査隊と各都道府県警察は、我が国で発生 したランサムウェア事案について、外国捜査機関等とも連携して捜査を推進しており、捜査で得られた情報を外国捜査機関等に提供している。 我が国を含め、世界的な規模で攻撃が行われているランサムウェア事案 をはじめとするサイバー事案の捜査に当たっては、こうした外国捜査機関 等との連携が不可欠であるところ、引き続き、サイバー空間における一層 の安全・安心の確保を図るため、サイバー事案の厳正な取締りや実態解明、 外国捜査機関等との連携を推進する。


 

 

 

・2023.02.21 ランサムウェアによる暗号化被害データに関する復号ツールの開発について

・[PDF]

20240221-152158

 


ランサムウェアLockBitによる暗号化被害データに関する復号ツールの開発について

1 LockBit被害データ復号ツールの概要等

関東管区警察局サイバー特別捜査隊において、ランサムウェアLockBit によって暗号化された被害データを復号するツールを開発し、令和5年12 月、警察庁サイバー警察局からユーロポールに提供した。ユーロポールでは、世界中の被害企業等の被害回復が可能となるよう、令和6年2月、日 本警察が開発した復号ツールとして情報発信し、その活用を促すことを発表した。 この度の情報発信については、日本警察とユーロポールにおいて、この復号ツールの有意性が実証され、ランサムウェア対策を世界規模で進める観点から実施することとしたものである。 なお、関東管区警察局サイバー特別捜査隊では、リバースエンジニアリング解析に基づき、数ヶ月以上の期間を費やして、ランサムウェアLockBitの暗号化の仕組みを分析し、復号ツールを開発した。

2 日本警察の今後の対応

日本国内の被害企業等に対して、最寄りの警察署への相談を促すと共に、 相談があった場合には、その求めに応じ、復号ツールを活用して被害回復作業を実施することとしている。


 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.21 米国 英国 LockBitのネットワークに侵入し破壊

・2023.09.13 英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書

・2023.07.26 Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)

・2023.06.16 Five Eyes ドイツ フランス LookBitに対する包括的なアドバイザリーを公表

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

 

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

| | Comments (0)

英国 日本 サイバー防衛隊司令木村顕継陸将補の訪英とサイバー専門家との会談

こんにちは、丸山満彦です。

日本のサイバー防衛隊 [wikipedia] 司令木村顕継陸将補が英国の戦略司令部を訪問し、サイバー専門家と会談をしたようですね...

昨年5月の広島サミットの直前に締結した広島アコード([PDF] 原文 [PDF] 仮訳)の一環ですね...

該当箇所はここですかね。。。

Establish a Japan-UK Cyber Partnership that will strengthen our public-private partnerships, advance shared international interests and enhance our cyber capabilities. We will strengthen the Japan-UK Bilateral Consultations on Cyber Issues to advance the full spectrum of cyber cooperation and further reinforce collaboration on promoting the rule of law in cyberspace, responding to emerging threats and enhancing capacity building efforts. 日英サイバー・パートナーシップを創設して、官民連携を強化し、共有された国際的な利益を増進させ、我々のサイバー能力を強化する。生じつつある脅 威に対応し、能力構築に向けた取組を強化させつつ、あらゆるサイバー協力を 前進させ、サイバー空間における法の支配の促進に係る連携を一層促進するため、日英サイバー協議を強化する。

 

ちなみに、日本の防衛省のウェブページには公表されていません(ちょうど、ミュンヘン安保会議ですからね。。。)

 

GOV.UK

・2024.02.20 Strategic Command shares cyber expertise with Japan

1_20240221120201

Strategic Command shares cyber expertise with Japan 戦略軍、サイバー専門知識を日本と共有
A delegation from the Japanese Cyber Defense Command met with cyber experts at various Strategic Command locations. 日本のサイバー防衛司令部からの代表団は、戦略司令部の様々な場所でサイバー専門家と会談した。
Leading cyber is one of the core priorities for Strategic Command, including sharing our expertise and knowledge with international partners to help protect global security. 世界の安全保障を守るために、国際的なパートナーと専門知識と知識を共有することを含め、サイバー分野をリードすることは戦略軍にとって中核的な優先事項の一つである。
Major General Akisugu Kimura, Commander of the Cyber Defense Command, visited the UK to learn more about Strategic Command’s role at the forefront of digital capabilities within Defence. This is of particular importance to Japan which has committed to boost their number of cyber operators from 800 to 4,000 by 2027. サイバー防衛司令部の司令官である木村顕継陸将補は、国防におけるデジタル能力の最前線における戦略軍の役割について学ぶために英国を訪問した。これは、2027年までにサイバーオペレーターの数を800人から4000人に増やすことを約束している日本にとって、特に重要なことである。
The Major General and General Jim Hockenhull, Commander Strategic Command, met in Whitehall to reinforce both nation’s commitment to working closely together. 戦略軍司令官のジム・ホッケンハル少将はホワイトホールで会談し、緊密に協力するという両国のコミットメントを強化した。
The meeting follows General Hockenhull’s visit to Tokyo last year, during which he discussed regional threats with officials from across the Japan Self-Defense Forces . ホッケンハル少将は昨年東京を訪問し、自衛隊の幹部と地域の脅威について話し合った。
Personnel from Defence Intelligence, including Chief of Defence Intelligence Adrian Bird, discussed their experiences in utilising cyber capabilities for intelligence, surveillance, and reconnaissance. エイドリアン・バード国防情報局長を含む国防情報局の職員は、サイバー能力を情報・監視・偵察に活用した経験について話し合った。
Visiting Corsham, the Major General met personnel actively working on the digital frontline and Director Operations Rear Admiral Nick Washer. コーシャムを訪問した陸将補は、デジタル最前線で活躍する職員やニック・ウォッシャー作戦部長少将に会った。
Our commitment to develop skills within the digital space was evidenced during a tour of the Defence Cyber Academy that offers world-leading training across the Armed Forces. デジタル空間におけるスキル開発に対する我々のコミットメントは、軍全体で世界トップクラスの訓練を提供する国防サイバー・アカデミーを視察した際に証明された。
The UK’s relationship with Japan was strengthened in May 2023 when Prime Ministers of both nations signed the Cyber Partnership agreement and the landmark Hiroshima Accord. The Hiroshima Accord is an ambitious global strategic partnership covering defence, trade, science and technology collaboration, and working together to tackle global issues like climate change. 英国と日本の関係は、2023年5月に両国の首相がサイバーパートナーシップ協定と画期的な広島合意に署名したことで強化された。ヒロシマ・アコードは、防衛、貿易、科学技術協力、気候変動などの地球規模の問題への協力などを含む野心的な世界戦略的パートナーシップである。
Find out more about The Hiroshima Accord: An enhanced UK-Japan global strategic partnership. 日英広島アコードの詳細はこちら: 強化された日英世界戦略パートナーシップ

 

 


 

広島アコード

外務省

・2023.05.18 日英首脳ワーキング・ディナー

・「強化された日英のグローバルな戦略的パートナーシップに関する広島アコード」

・[PDF] 英文

・[PDF] 仮訳

・[PDF] 概要

20240221-121052

 

GOV.UK

・2023.05.18 The Hiroshima Accord

 

 

| | Comments (0)

米国 英国 LockBitのネットワークに侵入し破壊

こんにちは、丸山満彦です。

米国の司法省、財務省、英国の国家犯罪対策庁、NCSC、ユーロポールがロシアのLockBitのネットワークに侵入し破壊し、復号鍵を取得し、容疑者を起訴し、資産を凍結したと発表していますね。。。

各国ともランサムウェアには手を焼いていますからね。。。

1_20240221061901

 


 

米国...

U.S. Department of Justice

・2024.02.20 U.S. and U.K. Disrupt LockBit Ransomware Variant

U.S. and U.K. Disrupt LockBit Ransomware Variant 米国と英国がLockBitランサムウェアの亜種を破壊する
U.S. Indictment Charges Two Russian Nationals with Attacks Against Multiple U.S. and International Victims; FBI Seizes Infrastructure; and Department of Treasury Takes Additional Action Against LockBit 米国および国際的な複数の被害者に対する攻撃で2人のロシア人を起訴;FBIがインフラを押収、財務省がLockBitに追加措置を取る
The Department of Justice joined the United Kingdom and international law enforcement partners in London today to announce the disruption of the LockBit ransomware group, one of the most active ransomware groups in the world that has targeted over 2,000 victims, received more than $120 million in ransom payments, and made ransom demands totaling hundreds of millions of dollars. 司法省は本日、ロンドンで英国および国際的な法執行機関のパートナーとともに、2,000人以上の被害者を標的とし、1億2,000万ドル以上の身代金の支払いを受け、総額数億ドルの身代金要求を行ってきた世界で最も活発なランサムウェアグループの1つであるLockBitランサムウェアグループの破壊を発表した。
The U.K. National Crime Agency’s (NCA) Cyber Division, working in cooperation with the Justice Department, Federal Bureau of Investigation (FBI), and other international law enforcement partners disrupted LockBit’s operations by seizing numerous public-facing websites used by LockBit to connect to the organization’s infrastructure and seizing control of servers used by LockBit administrators, thereby disrupting the ability of LockBit actors to attack and encrypt networks and extort victims by threatening to publish stolen data. 英国国家犯罪捜査局(NCA)のサイバー部門は、司法省、連邦捜査局(FBI)、その他の国際的な法執行パートナーと協力し、LockBitが組織のインフラに接続するために使用していた多数の一般向けウェブサイトを押収し、LockBitの管理者が使用していたサーバーを押収することで、LockBitの運営を妨害し、LockBitの行為者がネットワークを攻撃して暗号化し、盗んだデータを公開すると脅して被害者を恐喝する能力を停止させた。
“For years, LockBit associates have deployed these kinds of attacks again and again across the United States and around the world. Today, U.S. and U.K. law enforcement are taking away the keys to their criminal operation,” said Attorney General Merrick B. Garland. “And we are going a step further — we have also obtained keys from the seized LockBit infrastructure to help victims decrypt their captured systems and regain access to their data. LockBit is not the first ransomware variant the Justice Department and its international partners have dismantled. It will not be the last.” 「何年もの間、LockBitの仲間は、米国や世界中でこの種の攻撃を何度も何度も展開してきた。今日、米国と英国の法執行機関は、彼らの犯罪活動の鍵を取り上げている。「そして我々はさらに一歩進んで、押収したLockBitのインフラから鍵を入手し、被害者が押収したシステムを復号化し、データへのアクセスを取り戻すのを支援している。LockBitは、司法省とその国際的パートナーが解体した最初のランサムウェアの亜種ではない。最後でもないだろう」。
Additionally, the NCA, in cooperation with the FBI and international law enforcement partners, has developed decryption capabilities that may enable hundreds of victims around the world to restore systems encrypted using the LockBit ransomware variant. Beginning today, victims targeted by this malware are encouraged to contact the FBI at [web] to enable law enforcement to determine whether affected systems can be successfully decrypted. さらに、NCAはFBIおよび国際的な法執行パートナーと協力し、世界中の数百人の被害者がLockBitランサムウェア亜種で暗号化されたシステムを復元できる可能性のある復号化機能を開発した。本日より、このマルウェアに狙われた被害者はFBI([web])に連絡し、被害を受けたシステムの復号化に成功するかどうかを法執行機関が判断できるようにすることが推奨される。
“Today’s actions are another down payment on our pledge to continue dismantling the ecosystem fueling cybercrime by prioritizing disruptions and placing victims first,” said Deputy Attorney General Lisa Monaco. “Using all our authorities and working alongside partners in the United Kingdom and around the world, we have now destroyed the online backbone of the LockBit group, one of the world’s most prolific ransomware gangs. But our work does not stop here: together with our partners, we are turning the tables on LockBit — providing decryption keys, unlocking victim data, and pursuing LockBit’s criminal affiliates around the globe.” リサ・モナコ司法副長官は、「本日の措置は、混乱を優先し、被害者を最優先することで、サイバー犯罪に拍車をかけているエコシステムを解体し続けるという我々の誓約の新たな下支えとなる」と述べた。「あらゆる権限を駆使し、英国をはじめ世界中のパートナーと協力することで、我々は今、世界で最も多発するランサムウェア集団のひとつであるLockBitグループのオンライン・バックボーンを破壊した。しかし、我々の仕事はここで終わらない。パートナーとともに、我々はLockBitに逆転を仕掛けている。復号化キーのプロバイダを提供し、被害者データのロックを解除し、世界中にいるLockBitの犯罪関連者を追求している。
The Justice Department also unsealed an indictment obtained in the District of New Jersey charging Russian nationals Artur Sungatov and Ivan Kondratyev, also known as Bassterlord, with deploying LockBit against numerous victims throughout the United States, including businesses nationwide in the manufacturing and other industries, as well as victims around the world in the semiconductor and other industries. Today, additional criminal charges against Kondratyev were unsealed in the Northern District of California related to his deployment in 2020 of ransomware against a victim located in California. 司法省はまた、Bassterlordとしても知られるロシア人のArtur SungatovとIvan Kondratyevを、製造業やその他の業界の米国中の企業、および半導体やその他の業界の世界中の被害者を含む、米国中の多数の被害者に対してLockBitを展開したとして、ニュージャージー州で得た起訴状を公開した。本日、Kondratyevに対する追加の刑事告発がカリフォルニア州北部地区で行われ、2020年にカリフォルニア州に所在する被害者に対するランサムウェアの展開に関連するものであった。
Finally, the Department also unsealed two search warrants issued in the District of New Jersey that authorized the FBI to disrupt multiple U.S.-based servers used by LockBit members in connection with the LockBit disruption. As disclosed by those search warrants, those servers were used by LockBit administrators to host the so-called “StealBit” platform, a criminal tool used by LockBit members to organize and transfer victim data. 最後に、同局はニュージャージー州で発行された2通の捜査令状も公開した。この令状は、LockBitの破壊工作に関連して、LockBitのメンバーが使用していた複数の米国拠点のサーバーを妨害することをFBIに認可するものである。これらの捜索令状で明らかにされているように、これらのサーバーはLockBitの管理者がいわゆる「StealBit」プラットフォームをホストするために使用していた。
“Today, the FBI and our partners have successfully disrupted the LockBit criminal ecosystem, which represents one of the most prolific ransomware variants across the globe,” said FBI Director Christopher A. Wray. “Through years of innovative investigative work, the FBI and our partners have significantly degraded the capabilities of those hackers responsible for launching crippling ransomware attacks against critical infrastructure and other public and private organizations around the world. This operation demonstrates both our capability and commitment to defend our nation's cybersecurity and national security from any malicious actor who seeks to impact our way of life. We will continue to work with our domestic and international allies to identify, disrupt, and deter cyber threats, and to hold the perpetrators accountable.” FBIのクリストファー・A・レイ長官は、次のように述べた。「今日、FBIと我々のパートナーは、世界中で最も多発しているランサムウェアの代表者であるLockBitの犯罪エコシステムを破壊することに成功した。長年の革新的な捜査活動を通じて、FBIと我々のパートナーは、世界中の重要インフラやその他の公的・私的組織に対して破壊的なランサムウェア攻撃を仕掛けているハッカーの能力を大幅に低下させた。この作戦は、我々の生活様式に影響を与えようとする悪意ある行為者から、我が国のサイバーセキュリティと国家安全保障を守る我々の能力とコミットメントを示すものである。我々は、サイバー脅威を特定し、混乱させ、抑止し、犯人の責任を追及するために、国内外の同盟国と協力し続ける」。
According to the indictment obtained in the District of New Jersey, from at least as early as January 2021, Sungatov allegedly deployed LockBit ransomware against victim corporations and took steps to fund additional LockBit attacks against other victims. Sungatov allegedly deployed LockBit ransomware against manufacturing, logistics, insurance, and other companies located in Minnesota, Indiana, Puerto Rico, Wisconsin, Florida, and New Mexico. Additionally, as early as August 2021, Kondratyev similarly began to allegedly deploy LockBit against multiple victims. Kondratyev, operating under the online alias “Bassterlord,” allegedly deployed LockBit against municipal and private targets in Oregon, Puerto Rico, and New York, as well as additional targets located in Singapore, Taiwan, and Lebanon. Both Sungatov and Kondratyev are alleged to have joined in the global LockBit conspiracy, also alleged to have included Russian nationals Mikhail Pavlovich Matveev and Mikhail Vasiliev, as well as other LockBit members, to develop and deploy LockBit ransomware and to extort payments from victim corporations. ニュージャージー州で入手した起訴状によると、Sungatovは少なくとも2021年1月の早い時期から、被害企業に対してLockBitランサムウェアを展開し、他の被害者に対してLockBitの攻撃を追加するための資金を調達する手段を講じたとされている。Sungatovは、ミネソタ、インディアナ、プエルトリコ、ウィスコンシン、フロリダ、ニューメキシコに所在する製造、物流、保険、その他の企業に対してLockBit ランサムウェアを展開したとされる。さらに、2021年8月の時点で、Kondratyevも同様に、複数の被害者に対してLockBitを展開し始めたとされている。Kondratyevは「Bassterlord」というオンライン偽名で活動し、オレゴン州、プエルトリコ、ニューヨークの自治体や民間の標的、さらにシンガポール、台湾、レバノンの標的に対してLockBit を展開したとされる。SungatovとKondratyevの両名は、ロシア人のMikhail Pavlovich MatveevとMikhail Vasiliev、および他のLockBitメンバーも参加したとされる世界的なLockBitの陰謀に加わり、LockBitランサムウェアを開発・展開し、被害企業から支払いを強要したとされている。
“Today’s indictment, unsealed as part of a global coordinated action against the most active ransomware group in the world, brings to five the total number of LockBit members charged by my office and our FBI and Computer Crime and Intellectual Property Section partners for their crimes,” said U.S. Attorney Philip R. Sellinger for the District of New Jersey. “And, even with today’s disruption of LockBit, we will not stop there. Our investigation will continue, and we remain as determined as ever to identify and charge all of LockBit’s membership — from its developers and administrators to its affiliates. We will put a spotlight on them as wanted criminals. They will no longer hide in the shadows.” ニュージャージー州のフィリップ・R・セリンジャー連邦検事は次のように述べた。 「世界で最も活発なランサムウェア・グループに対する世界的な協調行動の一環として封印が解かれた今日の起訴により、私のオフィスとFBI、コンピュータ犯罪・知的財産課のパートナーによって起訴されたLockBitのメンバーは合計5人になった。そして、今日のLockBitの破壊をもって、私たちは終わるつもりはない。私たちの捜査は継続し、LockBitのメンバー全員(開発者や管理者から関連者まで)を特定し、告発する決意をこれまでと同様に固めている。我々は彼らを指名手配犯としてスポットライトを当てる。彼らはもはや影に隠れることはない」。
With the indictment unsealed today, a total of five LockBit members have now been charged for their participation in the LockBit conspiracy. In May 2023, two indictments were unsealed in Washington, D.C., and the District of New Jersey charging Matveev with using different ransomware variants, including LockBit, to attack numerous victims throughout the United States, including the Washington, D.C., Metropolitan Police Department. Matveev is currently the subject of a reward of up to $10 million through the U.S. Department of State’s Transnational Organized Crime Rewards Program, with information accepted through the FBI tip website at [web]. In November 2022, a criminal complaint was filed in the District of New Jersey charging Vasiliev in connection with his participation in the LockBit global ransomware campaign. Vasiliev, a dual Russian-Canadian national, is currently in custody in Canada awaiting extradition to the United States. In June 2023, Russian national Ruslan Magomedovich Astamirov was charged by criminal complaint in the District of New Jersey for his participation in the LockBit conspiracy, including his deployment of LockBit against victims in Florida, Japan, France, and Kenya. Astamirov is currently in custody in the United States awaiting trial. 本日公開された起訴状により、LockBitの陰謀に参加した合計5人のLockBit メンバーが起訴された。2023年5月、ワシントンD.C.とニュージャージー州地区で、LockBitを含むさまざまなランサムウェアの亜種を使用し、ワシントンD.C.警視庁を含む米国中の多数の被害者を攻撃した罪で、マトヴェエフを起訴する2件の起訴状が公開された。マトヴェエフは現在、米国務省の国際組織犯罪報奨金プログラムを通じて最高1,000万ドルの報奨金の対象となっており、FBIの報告サイト([web])で情報を受け付けている。2022年11月、ニュージャージー州地区で、LockBitグローバル・ランサムウェア・キャンペーンへのワシーリエフの参加に関連して、ワシーリエフを告発する刑事告訴状が提出された。ロシアとカナダの二重国籍者であるワシーリエフは、現在カナダで身柄を拘束され、米国への身柄引き渡しを待っている。2023年6月、ロシア国籍のルスラン・マゴメドビッチ・Astamirovは、フロリダ、日本、フランス、ケニアの被害者に対するLockBitの展開を含むLockBitの陰謀への参加により、ニュージャージー州地区で刑事告訴された。Astamirovは現在米国で拘留され、裁判を待っている。
Kondratyev, according to the indictment obtained in the Northern District of California and unsealed today, is also charged with three criminal counts arising from his use of the Sodinokibi, also known as REvil, ransomware variant to encrypt data, exfiltrate victim information, and extort a ransom payment from a corporate victim based in Alameda County, California. カリフォルニア州北部地区で入手され、本日公開された起訴状によると、Kondratyevはまた、データを暗号化し、被害者情報を流出させ、カリフォルニア州アラメダ郡に拠点を置く企業の被害者から身代金の支払いを強要するために、REvilとしても知られるランサムウェアの亜種Sodinokibiを使用したことに起因する3つの刑事訴因で起訴されている。
The LockBit ransomware variant first appeared around January 2020 and, leading into today’s operation, had grown into one of the most active and destructive variants in the world. LockBit members have executed attacks against more than 2,000 victims in the United States and around the world, making at least hundreds of millions of U.S. dollars in ransom demands and receiving over $120 million in ransom payments. The LockBit ransomware variant, like other major ransomware variants, operates in the “ransomware-as-a-service” (RaaS) model, in which administrators, also called developers, design the ransomware, recruit other members — called affiliates — to deploy it, and maintain an online software dashboard called a “control panel” to provide the affiliates with the tools necessary to deploy LockBit. Affiliates, in turn, identify and unlawfully access vulnerable computer systems, sometimes through their own hacking or at other times by purchasing stolen access credentials from others. Using the control panel operated by the developers, affiliates then deploy LockBit within the victim computer system, allowing them to encrypt and steal data for which a ransom is demanded to decrypt or avoid publication on a public website maintained by the LockBit developers, often called a data leak site. LockBitランサムウェアの亜種は2020年1月頃に初めて出現し、今日の作戦に至るまで、世界で最も活発で破壊的な亜種の1つに成長していた。LockBitのメンバーは、米国および世界中の2,000人以上の被害者に対して攻撃を実行し、少なくとも数億米ドルの身代金要求を行い、1億2,000万ドル以上の身代金の支払いを受けた。LockBitランサムウェア亜種は、他の主要なランサムウェア亜種と同様、「ransomware-as-a-service」(RaaS)モデルで動作する。このモデルでは、開発者とも呼ばれる管理者がランサムウェアを設計し、アフィリエイトと呼ばれる他のメンバーを募り、アフィリエイトにLockBitを展開するのに必要なツールを提供するために「コントロールパネル」と呼ばれるオンラインソフトウェアダッシュボードを管理する。アフィリエイトは次に、脆弱性のあるコンピューター・システムを特定し、不法にアクセスする。あるときは自らハッキングを行い、またあるときは他人から盗んだアクセス認証情報を購入する。開発者が操作するコントロール・パネルを使って、アフィリエイトは被害者のコンピューター・システム内にLockBitを展開し、データを暗号化して盗み、そのデータを復号化したり、LockBit開発者が管理する公開ウェブサイト(しばしばデータ漏洩サイトと呼ばれる)での公開を回避するために身代金を要求する。
The FBI Newark Field Office is investigating the LockBit ransomware variant. FBIニューアーク支局は、LockBitランサムウェアの亜種を捜査している。
Assistant U.S. Attorneys Andrew M. Trombly, David E. Malagold, and Vinay Limbachia for the District of New Jersey and Trial Attorneys Jessica C. Peck, Debra Ireland, and Jorge Gonzalez of the Criminal Division’s Computer Crime and Intellectual Property Section are prosecuting the charges against Sungatov and Kondratyev unsealed today in the District of New Jersey. The Justice Department’s Cybercrime Liaison Prosecutor to Eurojust and Office of International Affairs also provided significant assistance. ニュージャージー地区担当のアンドリュー・M・トロンブリー連邦検事補、デビッド・E・マラゴールド、ヴィナイ・リンバキア、およびディビジョン刑事部コンピューター犯罪・知的財産課のジェシカ・C・ペック、デブラ・アイルランド、ホルヘ・ゴンザレス各裁判官は、ニュージャージー地区で本日封印解除されたスンガトフとKondratyevに対する起訴を担当している。司法省の欧州司法機構サイバー犯罪リエゾンプロスペクターおよび国際局も重要な援助を提供した。
The disruption announced today was the result of a joint operation between the FBI; NCA South West Regional Organised Crime Unit; France’s Gendarmerie Nationale Cyberspace Command; Germany’s Landeskriminalamt Schleswig-Holstein and the Bundeskriminalamt; Switzerland’s Federal Office of Police, Public Prosecutor’s Office of the Canton of Zurich, and Zurich Cantonal Police; Japan’s National Policy Agency; Australian Federal Police; Sweden’s Polismyndighetens; Royal Canadian Mounted Police; Politie Dienst Regionale Recherche Oost-Brabant of the Netherlands; Finland’s Poliisi; Europol; and Eurojust. 本日発表された混乱は、FBI、NCA南西地域組織犯罪ユニット、フランス国家国家憲兵サイバー空間司令部、ドイツ・シュレスヴィヒ=ホルシュタイン州陸軍犯罪捜査局および連邦犯罪捜査局による共同作戦の結果であった; スイスの連邦警察、チューリヒ州検察庁、チューリヒ州警察、日本の警察庁、オーストラリア連邦警察、スウェーデンのポリスミンディヘテンス、カナダ騎馬警察、オランダのPoliisi、フィンランドのPoliisi、欧州刑事警察機構、欧州司法機構。
The FBI Phoenix Field Office and Assistant U.S. Attorney Helen L. Gilbert are investigating and prosecuting the case against Kondratyev in the Northern District of California. FBIフェニックス支局とヘレン・L・ギルバート連邦検事補は、カリフォルニア州北部地区でKondratyevに対する事件を捜査・起訴している。
Additionally, the Department of the Treasury’s Office of Foreign Assets Control announced today that it is designating Sungatov and Kondratyev for their roles in launching cyberattacks. さらに、財務省外国資産管理局は本日、サイバー攻撃を開始する役割を果たしたとして、SungatovとKondratyevを指定すると発表した。
As mentioned above, victims of LockBit should contact the FBI at [web] for further information. Additional details on protecting networks against LockBit ransomware are available at StopRansomware.gov. These include Cybersecurity and Infrastructure Security Agency Advisories AA23-325A, AA23-165A, and AA23-075A. 上記の通り、LockBitの被害者は、FBI ([web]) に連絡して詳しい情報を得るべきである。LockBitランサムウェアからネットワークを防御するための詳細は、StopRansomware.govで入手できる。これには、サイバーセキュリティ・インフラセキュリティ庁の勧告AA23-325A、AA23-165A、AA23-075Aが含まれる。
Watch the Attorney General’s remarks: 司法長官の発言を見る:
An indictment is merely an allegation. Under U.S. law, all defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 起訴は単なる申し立てに過ぎない。米国の法律では、法廷で合理的な疑いを超えて有罪が証明されるまでは、すべての被告は無罪と推定される。

 




Watch U.S. and U.K. Disrupt LockBit Ransomware Variant on YouTube.

 

 

財務省

U.S. Department of Treasury

・2024.02.20 United States Sanctions Affiliates of Russia-Based LockBit Ransomware Group

United States Sanctions Affiliates of Russia-Based LockBit Ransomware Group 米国、ロシアを拠点とするランサムウェア「LockBit」グループの関連者を制裁する
The United States imposes sanctions on affiliates of group responsible for ransomware attacks on the U.S. financial sector 米国、米国金融セクターへのランサムウェア攻撃に関与したグループの関連者に制裁を科す
WASHINGTON — Today, the United States is designating two individuals who are affiliates of the Russia-based ransomware group LockBit. This action is the first in an ongoing collaborative effort with the U.S. Department of Justice, Federal Bureau of Investigation, and our international partners targeting LockBit. ワシントン発 - 米国は本日、ロシアを拠点とするランサムウェア・グループ「LockBit 」の関係者2名を制裁対象に指定した。この措置は、米国司法省、連邦捜査局、およびLockBitを標的とする国際的パートナーとの継続的な共同作業の第一弾である。
“The United States will not tolerate attempts to extort and steal from our citizens and institutions,” said Deputy Secretary of the Treasury Wally Adeyemo. “We will continue our whole-of-government approach to defend against malicious cyber activities, and will use all available tools to hold the actors that enable these threats accountable.” 「米国は、市民や機構から恐喝や窃盗を行おうとする試みを容認しない。「我々は、悪意あるサイバー脅威から身を守るため、政府を挙げてのアプローチを継続し、これらの脅威を可能にする脅威行為者の責任を追及するため、利用可能なあらゆる手段を用いていく。
Russia continues to offer safe harbor for cybercriminals where groups such as LockBit are free to launch ransomware attacks against the United States, its allies, and partners. These ransomware attacks have targeted critical infrastructure, including hospitals, schools, and financial institutions. Notably, LockBit was responsible for the November 2023 ransomware attack against the Industrial and Commercial Bank of China’s (ICBC) U.S. broker-dealer. The United States is a global leader in the fight against cybercrime and is committed to using all available authorities and tools to defend Americans from cyber threats. In addition to the actions announced today, the U.S. government provides critical resources to support potential victims in protecting against and responding to ransomware attacks. For example, last year, the Cybersecurity & Infrastructure Security Agency in conjunction with other U.S. Departments and Agencies and foreign partners published two cybersecurity advisories, “Understanding Ransomware Threat Actors: LockBit” and “LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability.” These advisories detail the threats posed by this group and provide recommendations to reduce the likelihood and impact of future ransomware incidents. ロシアはサイバー犯罪者に安全な港を提供し続けており、LockBitのようなグループが米国やその同盟国、パートナーに対して自由にランサムウェア攻撃を仕掛けている。これらのランサムウェア攻撃は、病院、学校、金融機構などの重要なインフラを標的にしている。特に、2023年11月に中国工商銀行(ICBC)の米国ブローカー・ディーラーに対して行われたランサムウェア攻撃は、LockBitによるものだった。米国はサイバー犯罪との闘いにおける世界的リーダーであり、サイバー脅威から米国人を守るため、あらゆる認可と手段を駆使することを約束する。本日発表された措置に加え、米国政府はランサムウェア攻撃に対する防御と対応において、潜在的な被害者を支援するための重要なリソースを提供している。例えば、サイバーセキュリティ・インフラ・セキュリティ庁は昨年、他の米省庁や海外のパートナーとともに、2つのサイバーセキュリティ勧告「ランサムウェア脅威行為者の理解」を発表した: LockBit」と「LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability」である。これらの勧告は、このグループによる脅威を詳述し、将来のランサムウェアインシデントの可能性と影響を低減するための推奨事項を提供している。
This action follows other recent actions taken by the U.S. against Russian cybercriminals, including the recent trilateral designation of Alexander Ermakov, a Russian national involved in the 2022 ransomware attack against Medibank Private Limited, in coordination with Australia and the United Kingdom and last year’s bilateral sanctions actions against the Trickbot Cybercrime Group with the United Kingdom. Russia has enabled ransomware attacks by cultivating and co-opting criminal hackers. Treasury has previously stressed that Russia must take concrete steps to prevent cyber criminals from freely operating in its jurisdiction. Today’s actions reflect the United States’ commitment to combatting cybercrime and pursuing the bad actors that target victims across the United States, its allies, and its partners. 今回の措置は、Medibank Private Limitedに対する2022年のランサムウェア攻撃に関与したロシア人、アレクサンドル・エルマコフをオーストラリアおよびイギリスと連携して三国間で指定したことや、昨年のイギリスとのTrickbotサイバー犯罪グループに対する二国間制裁措置など、米国がロシアのサイバー犯罪者に対して最近とった他の措置に続くものである。ロシアは犯罪ハッカーを育成し、協力することでランサムウェア攻撃を可能にしてきた。財務省は以前から、ロシアはサイバー犯罪者が自国の司法管轄区で自由に活動することを防ぐために具体的な措置を講じなければならないと強調してきた。本日の行動は、サイバー犯罪と闘い、米国、その同盟国、パートナー国全体の被害者を狙う悪質業者を追及するという米国のコミットメントを反映したものである。
LOCKBIT: A MALICIOUS RUSSIAN RANSOMWARE GROUP LockBit :悪質なロシアのランサムウェアグループ
LockBit is a Russia-based ransomware group first observed in 2019 and best known for its ransomware variant of the same name. LockBit operates on a Ransomware-as-a-Service (RaaS) model, where the group licenses its ransomware software to affiliated cybercriminals in exchange for a percentage of the paid ransoms. LockBit is known for its double extortion tactics, where its cybercriminals exfiltrate vast amounts of data from its victims before encrypting the victim’s computer systems and demanding ransom payments. LockBit was the most deployed ransomware variant globally in 2022 and remains prolific today. LockBitは2019年に初めて観測されたロシアを拠点とするランサムウェア・グループで、同名のランサムウェア亜種で最もよく知られている。LockBitはRansomware-as-a-Service(RaaS)モデルで活動しており、同グループは支払われた身代金のパーセンテージと引き換えに、提携するサイバー犯罪者にランサムウェア・ソフトウェアをライセンスしている。LockBitは、その二重の恐喝戦術で知られており、サイバー犯罪者は被害者のコンピュータシステムを暗号化し、身代金の支払いを要求する前に、被害者から膨大な量のデータを流出させる。LockBitは2022年に世界的に最も導入されたランサムウェアの亜種であり、現在も多発している。
OFAC’s investigation identified LockBit as responsible for the ransomware attack on ICBC, which occurred on November 9, 2023. The ransomware attack disrupted ICBC’s U.S. broker-dealer, affecting the settlement of over $9 billion worth of assets backed by Treasury securities. The ransomware attack caused a blackout of ICBC’s computer systems, resulting in a loss of e-mail and communications. ICBC’s inability to access its systems caused securities to be delivered for settlement with no funds backing the trades. OFACの調査では、2023年11月9日に発生したICBCへのランサムウェア攻撃の犯人がLockBitであることが特定された。このランサムウェア攻撃はICBCの米国のブローカー・ディーラーを混乱させ、財務省証券を裏付けとする90億ドル以上の資産の決済に影響を与えた。ランサムウェア攻撃はICBCのコンピューターシステムの停電を引き起こし、電子メールとコミュニケーションの喪失をもたらした。ICBCがシステムにアクセスできなかったため、取引の裏付けとなる資金がないまま決済のために証券が引き渡された。
OFAC TARGETS AFFILIATES OF LOCKBIT RANSOMWARE GROUP OFAC、LockBit ランサムウェア・グループの関連者を標的にする
Ivan Gennadievich Kondratiev, a Russian national located in Novomokovsk, Russia, is a LockBit affiliate and leader of the LockBit affiliate sub-group, the National Hazard Society. Kondratiev is commonly known in the cybercriminal world as “Bassterlord” and “Fisheye,” and he also has ties to REvil, RansomEXX and Avaddon ransomware groups. Kondratiev has actively engaged in LockBit ransomware attacks. ロシアのノボモコフスクに住むロシア人のIvan Gennadievich KondratievはLockBit の関連者であり、LockBit 関連者のサブグループであるNational Hazard Societyのリーダーである。Kondratyevはサイバー犯罪者の世界では一般的に「Bassterlord」や「Fisheye」として知られており、REvil、RansomEXX、Avaddonランサムウェアグループとも関係がある。KondratyevはLockBitランサムウェア攻撃に積極的に関与している。
Artur Sungatov, a Russian national, is a Lockbit ransomware group affiliate and has actively engaged in LockBit ransomware attacks. ロシア国籍のArtur SungatovはLockbitランサムウェア・グループの関連者であり、LockBitランサムウェア攻撃に積極的に関与している。
OFAC is designating each of these individuals pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757, for being responsible for or complicit in, or having engaged in, directly or indirectly, an activity described in subsection (a)(ii)(D) of section 1 of E.O. 13694, as amended. OFACは、大統領令(E.O.)13694(E.O.13757により改正)に従い、E.O.13694の第1節(a)(ii)(D)に記載された活動に直接的または間接的に責任または加担している、または関与しているとして、これら各個人を指定する。
SANCTIONS IMPLICATIONS 制裁への影響
As a result of today’s action, all property and interests in property of the designated persons described above that are in the United States or in the possession or control of U.S. persons are blocked and must be reported to OFAC. In addition, any entities that are owned, directly or indirectly, individually or in the aggregate, 50 percent or more by one or more blocked persons are also blocked. Unless authorized by a general or specific license issued by OFAC, or exempt, OFAC’s regulations generally prohibit all transactions by U.S. persons or within (or transiting) the United States that involve any property or interests in property of designated or otherwise blocked persons. In addition, persons that engage in certain transactions with the individuals designated today may themselves be exposed to designation. 本日の措置の結果、米国内にある、または米国人の所有もしくは管理下にある、上記の指定された人物のすべての財産および財産の権利は封鎖され、OFACに報告しなければならない。さらに、直接的または間接的に、個人または総計で50%以上を1人以上の阻止対象者が所有している事業体も阻止される。OFACが発行した一般又は特定のライセンスにより認可されるか、又は免除されない限り、OFACの規制は、一般的に、指定又はその他の方法でブロックされた者の財産又は財産権に関わる、米国人による又は米国内(又は米国を通過する)における全ての取引を禁止している。加えて、今日指定されている個人と特定の取引を行う者は、自らも指定にさらされる可能性がある。
The power and integrity of OFAC sanctions derive not only from its ability to designate and add persons to the Specially Designated Nationals and Blocked Persons (SDN) List but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 here. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here. OFACの制裁の威力と完全性は、特別指定国民およびブロック対象者(SDN)リストに人物を指定し、追加する能力だけでなく、法律に従ってSDNリストから人物を削除する意思からも導き出される。制裁の最終的な目標は、罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求めるプロセスに関する情報については、OFACのよくある質問897を参照のこと。OFAC制裁リストからの削除要請の提出プロセスに関する詳細情報については、こちらを参照のこと。
See OFAC’s Updated Advisory on Potential Sanctions Risk for Facilitating Ransomware Payments for information on the actions that OFAC would consider to be mitigating factors in any related enforcement action involving ransomware payments with a potential sanctions risk. For information on complying with sanctions applicable to virtual currency, see OFAC’s Sanctions Compliance Guidance for the Virtual Currency Industry. 潜在的な制裁リスクを伴うランサムウェアの支払いに関連する関連執行措置において、OFACが軽減要因とみなす措置に関する情報については、OFACの「ランサムウェアの支払の促進に関する潜在的制裁リスクに関する最新勧告」を参照のこと。仮想通貨に適用される制裁の遵守に関する情報については、OFACの仮想通貨業界向け制裁遵守ガイダンス(Sanctions Compliance Guidance for the Virtual Currency Industry)を参照のこと。

 

 

 

 


 

英国

 

● National Crime Agency; NCA

・2024.02.20 International investigation disrupts the world’s most harmful cyber crime group

International investigation disrupts the world’s most harmful cyber crime group 国際捜査により、世界で最も有害なサイバー犯罪グループが壊滅する
The National Crime Agency is today, Tuesday 20 February, revealing details of an international disruption campaign targeting LockBit, the world’s most harmful cyber crime group. 国家犯罪対策庁は本日2月20日(火)、世界で最も有害なサイバー犯罪グループであるLockBit を標的とした国際的混乱キャンペーンの詳細を明らかにした。
Today, after infiltrating the group’s network, the NCA has taken control of LockBit’s services, compromising their entire criminal enterprise. 本日、同グループのネットワークに侵入したNCAは、LockBit のサービスをコントロールし、犯罪エンタープライズ全体を危険にさらした。
LockBit have been in operation for four years and during that time, attacks utilising their ransomware were prolific. LockBit ransomware attacks targeted thousands of victims around the world, including in the UK, and caused losses of billions of pounds, dollars and euros, both in ransom payments and in the costs of recovery. The group provided ransomware-as-a-service to a global network of hackers or ‘affiliates’, supplying them with the tools and infrastructure required to carry out attacks. LockBit は4年前から活動しており、その間、彼らのランサムウェアを利用した攻撃は多発していた。LockBit のランサムウェア攻撃は、英国を含む世界中の数千人の被害者を標的とし、身代金の支払いと復旧費用の両方で数十億ポンド、ドル、ユーロの損失をもたらした。このグループは、ハッカーや「関連者」のグローバルネットワークにランサムウェア・アズ・ア・サービスをプロバイダとして提供し、攻撃実行に必要なツールやインフラを提供していた。
When a victim’s network was infected by LockBit’s malicious software, their data was stolen and their systems encrypted. A ransom would be demanded in cryptocurrency for the victim to decrypt their files and prevent their data from being published. 被害者のネットワークがLockBit の悪意あるソフトウェアに感染すると、データが盗まれ、システムが暗号化される。被害者がファイルを復号化し、データが公開されないようにするために、暗号通貨で身代金が要求される。
The NCA has taken control of LockBit’s primary administration environment, which enabled affiliates to build and carry out attacks, and the group’s public-facing leak site on the dark web, on which they previously hosted, and threatened to publish, data stolen from victims. Instead, this site will now host a series of information exposing LockBit’s capability and operations, which the NCA will be posting daily throughout the week. NCAは、LockBitの主要な管理環境を掌握した。この環境は、関連者が攻撃を構築し実行することを可能にし、ダークウェブ上の同グループの一般向けリークサイトも掌握した。代わりに、このサイトではLockBitの能力と作戦を暴露する一連の情報をホストすることになり、NCAは今週中毎日これを掲載する予定である。
The Agency has also obtained the LockBit platform’s source code and a vast amount of intelligence from their systems about their activities and those who have worked with them and used their services to harm organisations throughout the world. NCAはまた、LockBit・プラットフォームのソースコードと、彼らのシステムから、彼らの活動や、彼らと協力し、世界中の組織に危害を加えるために彼らのサービスを利用した人々に関する膨大な量のインテリジェンスを入手した。
Some of the data on LockBit’s systems belonged to victims who had paid a ransom to the threat actors, evidencing that even when a ransom is paid, it does not guarantee that data will be deleted, despite what the criminals have promised. LockBitのシステム上のデータの一部は、脅威行為者に身代金を支払った被害者のものであり、身代金を支払ったとしても、犯罪者が約束したにもかかわらず、データが削除される保証はないことを証明している。
The NCA, working closely with the FBI, and supported by international partners from nine other countries, have been covertly investigating LockBit as part of a dedicated taskforce called Operation Cronos. NCAはFBIと緊密に協力し、他の9カ国の国際的なパートナーの支援を受けて、「オペレーション・クロノス」と呼ばれる専門タスクフォースの一部として、LockBitを秘密裏に調査してきた。
LockBit had a bespoke data exfiltration tool, known as Stealbit, which was used by affiliates to steal victim data. Over the last 12 hours this infrastructure, based in three countries, has been seized by members of the Op Cronos taskforce, and 28 servers belonging to LockBit affiliates have also been taken down. LockBitは、Stealbitとして知られる特注のデータ流出ツールを持ち、関連者が被害者データを盗むために使用していた。この12時間で、3カ国を拠点とするこのインフラがOp Cronosタスクフォースのメンバーによって押収され、LockBit関連者に属する28のサーバーもダウンさせられた。
The technical infiltration and disruption is only the beginning of a series of actions against LockBit and their affiliates. In wider action coordinated by Europol, two LockBit actors have been arrested this morning in Poland and Ukraine, over 200 cryptocurrency accounts linked to the group have been frozen. 技術的な侵入と混乱は、LockBitとその関連者に対する一連の行動の始まりに過ぎない。欧州刑事警察機構によって調整された広範な行動では、今朝、ポーランドとウクライナで2人のLockBit関係者が逮捕され、グループに関連する200以上の暗号通貨口座が凍結された。
The US Department of Justice has announced that two defendants responsible for using LockBit to carry out ransomware attacks have been criminally charged, are in custody, and will face trial in the US. 米国司法省は、LockBitを使ってランサムウェア攻撃を行った2人の被告が刑事告発され、身柄を拘束され、米国で裁判を受けると発表した。
The US has also unsealed indictments against two further individuals, who are Russian nationals, for conspiring to commit LockBit attacks. 米国はまた、LockBit攻撃を共謀したとして、ロシア国籍のさらなる2人の個人に対する起訴状も公開した。
As a result of our work, the NCA and international partners are in a position to assist LockBit victims. The Agency has obtained over 1,000 decryption keys and will be contacting UK-based victims in the coming days and weeks to offer support and help them recover encrypted data. 我々の活動の結果、NCAと国際パートナーはLockBit被害者を支援できる立場にある。同庁は1000以上の復号鍵を入手し、今後数日から数週間のうちに英国在住の被害者に連絡を取り、支援を提供し、暗号化されたデータの復旧を支援する予定である。
FBI and Europol will be supporting victims elsewhere. FBIと欧州刑事警察機構は、他の地域の被害者を支援する予定である。
National Crime Agency Director General, Graeme Biggar said: “This NCA-led investigation is a ground-breaking disruption of the world’s most harmful cyber crime group. It shows that no criminal operation, wherever they are, and no matter how advanced, is beyond the reach of the Agency and our partners. 国家犯罪対策庁長官のグレーム・ビガー氏は次のように述べた: 「このNCA主導の捜査は、世界で最も有害なサイバー犯罪グループの画期的な崩壊である。犯罪組織がどこにあろうとも、またどれほど高度であろうとも、当庁とパートナーの手の届かないところにある犯罪組織は存在しないということを示している。
“Through our close collaboration, we have hacked the hackers; taken control of their infrastructure, seized their source code, and obtained keys that will help victims decrypt their systems. 「我々の緊密な協力により、我々はハッカーをハッキングし、彼らのインフラを制御し、ソースコードを押収し、被害者がシステムを復号化するのに役立つキーを入手した。
“As of today, LockBit are locked out. We have damaged the capability and most notably, the credibility of a group that depended on secrecy and anonymity. 「今日現在、LockBitはロックアウトされている。我々は、秘密主義と匿名性に依存していたグループの能力と、とりわけ信頼性にダメージを与えた。
“Our work does not stop here. LockBit may seek to rebuild their criminal enterprise. However, we know who they are, and how they operate. We are tenacious and we will not stop in our efforts to target this group and anyone associated with them.” 「われわれの仕事はここで終わらない。LockBitは犯罪エンタープライズの再建を目指すかもしれない。しかし、我々は彼らが誰であり、どのように活動しているかを知っている。我々は粘り強く、このグループと彼らに関係する人物を標的にする努力を止めない。
Home Secretary James Cleverly said: “The National Crime Agency’s world leading expertise has delivered a major blow to the people behind the most prolific ransomware strain in the world. ジェームズ・クレバリー内務大臣は言った: 「国家犯罪捜査局の世界をリードする専門知識は、世界で最も多発するランサムウェアの背後にいる人々に大きな打撃を与えた。
“The criminals running LockBit are sophisticated and highly organised, but they have not been able to escape the arm of UK law enforcement and our international partners. 「LockBitを実行している犯罪者は洗練され、高度に組織化されているが、英国の法執行機関や我々の国際的なパートナーの手から逃れることはできなかった。
“The UK has severely disrupted their sinister ambitions and we will continue going after criminal groups who target our businesses and institutions.” 「英国は彼らの邪悪な野望を大きく妨害しており、我々は今後も我々の企業や機構を標的にする犯罪グループを追及していく。
U.S. Attorney General Merrick B. Garland said: “For years, LockBit associates have deployed these kinds of attacks again and again across the United States and around the world. Today, U.S and U.K. law enforcement are taking away the keys to their criminal operation. メリック・B・ガーランド米司法長官は次のように述べた: 「何年もの間、LockBitの仲間は、米国や世界中でこの種の攻撃を繰り返し展開してきた。今日、米国と英国の法執行機関は、彼らの犯罪活動の鍵を取り上げている。
“And we are going a step further - we have also obtained keys from the seized LockBit infrastructure to help victims decrypt their captured systems and regain access to their data. LockBit is not the first ransomware variant the U.S. Justice Department and its international partners have dismantled. It will not be the last.” 「私たちはさらに一歩進んで、押収したLockBitのインフラから鍵を入手し、被害者が押収したシステムを復号化してデータへのアクセスを取り戻すのを支援している。LockBitは、米国司法省とその国際的パートナーが解体した最初のランサムウェアの亜種ではない。最後でもないだろう」。
FBI Director Christopher A. Wray said: "Today, the FBI and our partners have successfully disrupted the LockBit criminal ecosystem, which represents one of the most prolific ransomware variants across the globe. FBIのクリストファー・A・レイ長官はこう述べた: 「今日、FBIと我々のパートナーは、世界中で最も多発しているランサムウェアの亜種の1つであるLockBitの犯罪エコシステムを破壊することに成功した。
"Through years of innovative investigative work, the FBI and our partners have significantly degraded the capabilities of those hackers responsible for launching crippling ransomware attacks against critical infrastructure and other public and private organizations around the world. This operation demonstrates both our capability and commitment to defend our nation's cybersecurity and national security from any malicious actor who seeks to impact our way of life. We will continue to work with our domestic and international allies to identify, disrupt, and deter cyber threats, and to hold the perpetrators accountable." 「長年の革新的な捜査活動を通じて、FBIと我々のパートナーは、世界中の重要インフラやその他の公的・私的組織に対して破壊的なランサムウェア攻撃を仕掛けているハッカーの能力を大幅に低下させた。この作戦は、我々の生活様式に影響を与えようとする悪意ある行為者から、我が国のサイバーセキュリティと国家安全保障を守る我々の能力とコミットメントを示すものである。我々は、サイバー脅威を特定し、混乱させ、抑止し、加害者の責任を追及するために、国内外の同盟国と引き続き協力していく。
The NCA leads the UK law enforcement response to tackling cyber crime, disrupting offenders where possible by enabling criminal justice outcomes, and also through a broad range of other means including online disruption, sanctions, travel bans, and working with partners like NCSC to ensure technology is secure and safe by design. NCAは、サイバー犯罪に取り組む英国の法執行機関の対応を主導し、刑事司法上の結果を可能にすることで可能な限り犯罪者を混乱させるほか、オンライン妨害、制裁措置、渡航禁止、NCSCのようなパートナーとの協力による技術の安全性と設計による安全性の確保など、幅広い手段を通じている。
The NCA’s National Cyber Crime Unit also works with a network of Regional Cyber Crime Units based in the nine Regional Organised Crime Units (ROCU) of England and Wales. This operation developed from work by the South West ROCU, and continues to be supported by personnel there. NCAの全国サイバー犯罪対策ユニットは、イングランドとウェールズの9つの地域組織犯罪対策ユニット(ROCU)を拠点とする地域サイバー犯罪対策ユニットのネットワークとも連携している。 この活動は、南西部ROCUの活動から発展したもので、現在も同組織の職員が支援している。
Public engagement is key to this response so it is vital that organisations report if they are the victim of a ransomware attack. The earlier people report, the quicker the NCA and partners are able to assess new methodologies and limit the damage they can do to others. ランサムウェア攻撃の被害にあった場合、各組織が報告することが重要である。報告が早ければ早いほど、NCAとパートナーは新しい手法を迅速に評価し、他者に与える被害を抑えることができる。
If you are in the UK, you should use the Government’s Cyber Incident Signposting Site as soon as possible for direction on which agencies to report your incident to. 英国内にいる場合は、政府のサイバーインシデント・シグナリングサイトをできるだけ早く利用し、どの機関にインシデントを報告すべきか指示を仰ぐべきである。

 

 

National Cyber Security Centre; NCSC

・2024.02.20 NCSC statement on law enforcement's disruption of LockBit ransomware operation

NCSC statement on law enforcement's disruption of LockBit ransomware operation 法執行機関によるLockBitランサムウェア作戦の妨害に関するNCSCの声明
The National Crime Agency (NCA) has announced that it is conducting a months-long campaign with international partners to disrupt the threat posed by the LockBit ransomware operation. 国家犯罪対策庁(NCA)は、ランサムウェア「LockBit」による脅威を阻止するため、国際的なパートナーとともに数カ月にわたるキャンペーンを実施していることを発表した。
Today, law enforcement has taken control of technical infrastructure which underpins the LockBit operation, including its primary platform and leak site where data stolen from victims in ransomware attacks have previously been hosted. 本日、法執行機関は、主要プラットフォームや、ランサムウェア攻撃で被害者から盗まれたデータがホストされていたリークサイトなど、LockBit作戦を支える技術インフラを掌握した。
The seizure of the criminal infrastructure aims to reduce the threat to the UK, while data obtained through the campaign will help law enforcement progress their investigations. 犯罪基盤の押収は英国への脅威を減らすことを目的としており、キャンペーンを通じて得られたデータは法執行機関の捜査の進展に役立つだろう。
Ransomware remains the most significant cyber threat facing UK organisations and they are strongly encouraged to take action to help protect themselves online. ランサムウェアは依然として英国の組織が直面する最も重要なサイバー脅威であり、オンライン上で自らを守るための行動を取ることが強く奨励されている。
The NCSC has published a range of advice and guidance to help organisations understand, mitigate and respond to ransomware attacks. NCSCは、組織がランサムウェア攻撃を理解し、軽減し、対応するための様々なアドバイスやガイダンスを発表している。
Jonathon Ellison, NCSC Director for National Resilience and Future Technology, said: NCSCのナショナル・レジリエンス&フューチャー・テクノロジー担当ディレクターであるジョナソン・エリソン氏は、次のように述べている:
“We welcome the disruptive action taken by the NCA and its partners against the LockBit ransomware operation, undermining cyber criminals’ ability to inflict harm in the UK and around the world. 「我々は、NCAとそのパートナーがLockBitランサムウェアの作戦に対して破壊的な行動をとり、英国および世界中で被害を与えるサイバー犯罪者の能力を弱体化させたことを歓迎する。
“Ransomware is an acute and present danger to UK businesses and the damage that attacks cause can have a significant toll on finances, operations and reputations. 「ランサムウェアは英国企業にとって現在進行形の危険であり、攻撃が引き起こす被害は財務、業務、評判に大きな打撃を与えかねない。
“We urge all organisations to follow the guidance on the NCSC website to help reduce their risk of falling victim and to ensure they are well-prepared to respond effectively if the worst happens.” 「NCSCのウェブサイトに掲載されているガイダンスに従うことで、被害に遭うリスクを軽減し、最悪の事態が発生した場合に効果的に対応できるよう、すべての組織が万全の態勢を整えることを強く求める"
Last year, the NCSC warned that LockBit presented the highest ransomware threat to businesses in the UK and that it was almost certainly the most deployed ransomware strain globally. 昨年、NCSCは、LockBitは英国内の企業にとって最も脅威の大きいランサムウェアであり、世界的にも最も多く展開されているランサムウェアであることはほぼ間違いないと警告した。
In September, the NCSC and NCA also published a joint report outlining how the tactics of organised crime groups have evolved in recent years, giving rise to a complex cyber criminal ecosystem which underpins ransomware attacks. また9月には、NCSCとNCAは、組織犯罪グループの手口が近年どのように進化し、ランサムウェア攻撃を支える複雑なサイバー犯罪エコシステムを生み出したかを概説する共同報告書を発表した。
In the event of a cyber incident, organisations are encouraged to report via [web] . サイバーインシデントが発生した場合、組織は[web]

 

 


 

欧州

Europol

・2024.02.20 Law enforcement disrupt world’s biggest ransomware operation
1_20240221090701 1_20240221090801

 

Law enforcement disrupt world’s biggest ransomware operation 法執行機関が世界最大のランサムウェア作戦を妨害する
LockBit was the most deployed ransomware variant across the world LockBitは世界中で最も配備されたランサムウェアの亜種だった
In a significant breakthrough in the fight against cybercrime, law enforcement from 10 countries have disrupted the criminal operation of the LockBit ransomware group at every level, severely damaging their capability and credibility. サイバー犯罪との闘いにおける重要なブレークスルーとして、10カ国の法執行機関はLockBitランサムウェアグループの犯罪活動をあらゆるレベルで妨害し、彼らの能力と信頼性に深刻なダメージを与えた。
LockBit is widely recognised as the world’s most prolific and harmful ransomware, causing billions of euros worth of damage. LockBitは世界で最も多発し、数十億ユーロ相当の被害をもたらしている有害なランサムウェアとして広く認識されている。
This international sweep follows a complex investigation led by the UK's National Crime Agency in the framework of an international taskforce known as ‘Operation Cronos’, coordinated at European level by Europol and Eurojust. この国際的な掃討作戦は、欧州刑事警察機構と欧州司法機構によって欧州レベルで調整された「クロノス作戦」として知られる国際的なタスクフォースの枠組みの中で、英国国家犯罪局が主導した複雑な捜査に続くものである。
The months-long operation has resulted in the compromise of LockBit’s primary platform and other critical infrastructure that enabled their criminal enterprise. This includes the takedown of 34 servers in the Netherlands, Germany, Finland, France, Switzerland, Australia, the United States and the United Kingdom. 数ヶ月にわたる捜査の結果、LockBitの主要プラットフォームと、彼らの犯罪エンタープライズを可能にしたその他の重要なインフラが侵害された。これには、オランダ、ドイツ、フィンランド、フランス、スイス、オーストラリア、米国、英国にある34のサーバーの撤去が含まれる。
In addition, two LockBit actors have been arrested in Poland and Ukraine at the request of the French judicial authorities. Three international arrest warrants and five indictments have also been issued by the French and U.S. judicial authorities. さらに、フランスの司法当局の要請により、LockBitの関係者2名がポーランドとウクライナで逮捕された。また、フランスと米国の司法当局により、3件の国際逮捕状と5件の起訴状が発行された。
Authorities have frozen more than 200 cryptocurrency accounts linked to the criminal organisation, underscoring the commitment to disrupt the economic incentives driving ransomware attacks. 認可当局は、犯罪組織に関連する200以上の暗号通貨口座を凍結しており、ランサムウェア攻撃の原動力となっている経済的インセンティブを崩壊させるというコミットメントを強調している。
The UK's National Crime Agency has now taken control of the technical infrastructure that allows all elements of the LockBit service to operate, as well as their leak site on the dark web, on which they previously hosted the data stolen from victims in ransomware attacks. 英国の国家犯罪捜査局は現在、LockBit・サービスの全要素を稼働させる技術インフラと、以前ランサムウェア攻撃で被害者から盗んだデータをホスティングしていたダークウェブ上のリークサイトを管理下に置いている。
At present, a vast amount of data gathered throughout the investigation is now in the possession of law enforcement. This data will be used to support ongoing international operational activities focused on targeting the leaders of this group, as well as developers, affiliates, infrastructure and criminal assets linked to these criminal activities. 現在、捜査を通じて集められた膨大なデータが法執行機関の手元にある。このデータは、このグループのリーダーや、これらの犯罪活動に関連する開発者、関連者、インフラ、犯罪資産を標的とすることに焦点を当てた、進行中の国際的な作戦活動を支援するために使用される。
The world’s most harmful ransomware 世界で最も有害なランサムウェア
LockBit first emerged at the end of 2019, first calling itself ‘ABCD’ ransomware. Since then, it has grown rapidly and in 2022 it became the most deployed ransomware variant across the world. LockBitは2019年末に初めて出現し、最初は「ABCD」ランサムウェアと名乗った。それ以来、急速に成長し、2022年には世界中で最も配備されているランサムウェアの亜種となった。
The group is a ‘ransomware-as-a-service’ operation, meaning that a core team creates its malware and runs its website, while licensing out its code to affiliates who launch attacks. このグループは「ransomware-as-a-service(ランサムウェア・アズ・ア・サービス)」オペレーションであり、コアチームがマルウェアを作成し、ウェブサイトを運営する一方で、攻撃を仕掛けるアフィリエイトにコードをライセンス供与している。
LockBit’s attack presence is seen globally, with hundreds of affiliates recruited to conduct ransomware operations using LockBit tools and infrastructure. Ransom payments were divided between the LockBit core team and the affiliates, who received on average three-quarters of the ransom payments collected. LockBitの攻撃は世界規模で展開されており、LockBitのツールやインフラを使用してランサムウェアを実行するために何百もの関連者がリクルートされている。身代金の支払いは、LockBitのコアチームとアフィリエイトの間で分配され、アフィリエイトは集めた身代金の平均4分の3を受け取っていた。
The ransomware group is also infamous for experimenting with new methods for pressuring their victims into paying ransoms. Triple extortion is one such method which includes the traditional methods of encrypting the victim's data and threatening to leak it, but also incorporates Distributed Denial-of-Service (DDoS) attacks as an additional layer of pressure. このランサムウェア・グループは、被害者に身代金の支払いを迫る新しい方法を試していることでも有名だ。トリプル恐喝は、被害者のデータを暗号化し、それを漏らすと脅すという従来の手法に加え、さらなる圧力として分散型サービス拒否(DDoS)攻撃を取り入れたものだ。
The gang's move to triple extortion was partly influenced by a DDoS attack they themselves experienced, which impeded their ability to publish stolen data. In response, LockBit enhanced their infrastructure to resist such attacks. このギャング団が3重の恐喝に移行したのは、彼ら自身が経験したDDoS攻撃の影響もあり、盗まれたデータを公開する能力が阻害されたからだ。これを受けて、LockBitはこのような攻撃に対抗できるようインフラを強化した。
This infrastructure is now under law enforcement control, and more than 14 000 rogue accounts responsible for exfiltration or infrastructure have been identified and referred for removal by law enforcement. このインフラストラクチャーは現在、法執行機関の管理下にあり、流出やインフラストラクチャーに責任のある14,000以上の不正アカウントが特定され、法執行機関による削除のために照会されている。
Europol’s coordinating role 欧州刑事警察機構の調整役
With countries involved on either side of the world, Europol – which hosts the world’s biggest network of liaison officers from EU Member States – played a central role in coordinating the international activity. 欧州刑事警察機構は、EU加盟国からの連絡担当官で構成される世界最大のネットワークを擁しており、この国際的な活動を調整する上で中心的な役割を果たした。
Europol’s European Cybercrime Centre (EC3) organised 27 operational meetings, and four technical one-week sprints to develop the investigative leads in preparation of the final phase of the investigation. 欧州刑事警察機構の欧州サイバー犯罪センター(EC3)は、捜査の最終段階に備えて、27の作戦会議と、捜査の手がかりを得るための4回の技術的な1週間スプリントを組織した。
Europol also provided analytical, crypto-tracing and forensic support to the investigation, and facilitated the information exchange in the framework of the Joint Cybercrime Action Taskforce (J-CAT) hosted at its headquarters. In addition, three Europol experts were deployed to the command post in London during the action phase. 欧州刑事警察機構はまた、分析、暗号トレース、フォレンジックなどの捜査支援も提供し、欧州刑事警察機構本部が主催する合同サイバー犯罪対策タスクフォース(J-CAT)の枠組みで情報交換を促進した。さらに、欧州刑事警察機構(Europol)の専門家3名が、活動期間中、ロンドンの司令部に派遣された。
In total, over 1 000 operational messages have been exchanged on this case via Europol’s secure information channel SIENA, making it one of EC3’s most active investigations. 欧州刑事警察機構(Europol)の安全な情報チャンネル「SIENA」を通じて、この事件に関して合計1,000件以上の作戦メッセージが交換され、EC3で最も活発な捜査のひとつとなった。
The case was opened at Eurojust in April 2022 at the request of the French authorities. Five coordination meetings were hosted by the Agency to facilitate judicial cooperation and to prepare for the joint action. この事件は2022年4月、フランス当局の要請により欧州司法機構(Eurojust)で捜査が開始された。司法協力を促進し、共同捜査の準備を進めるため、5回の調整会議がユーロジャストによって開催された。
Decryption tools available on No More Ransom No More Ransom で利用可能な復号ツール
With Europol’s support, the Japanese Police, the National Crime Agency and the Federal Bureau of Investigation have concentrated their technical expertise to develop decryption tools designed to recover files encrypted by the LockBit Ransomware. 欧州刑事警察機構の支援のもと、日本の警察、国家犯罪対策庁、連邦捜査局は、LockBit ランサムウェアによって暗号化されたファイルを復元するために設計された復号化ツールを開発するために、それぞれの技術的専門知識を集中させた。
These solutions have been made available for free on the ‘No More Ransom’ portal, available in 37 languages. So far, more than 6 million victims across the globe have benefitted from No More Ransom which contains over 120 solutions capable of decrypting more than 150 different types of ransomware. これらのソリューションは、「No More Ransom」ポータルサイトで37カ国語で無料公開されている。No More Ransomには、150種類以上のランサムウェアを解読できる120以上のソリューションが含まれている。
Report it to the police 警察に報告する
This investigation shows that law enforcement has the capabilities to disrupt high harm cybercriminals and reduce the ransomware threat. However, continued victim and private sector engagement is key to us continuing this work. 今回の捜査は、法執行機関には、被害が大きいサイバー犯罪者を混乱させ、ランサムウェアの脅威を減らす能力があることを示している。しかし、被害者と民間セクターの継続的な関与が、この活動を継続するための鍵となる。
The first step to putting cybercriminals behind bars is to report cybercrime when it happens. The earlier people report, the quicker law enforcement is able to assess new methodologies and limit the damage they can cause. サイバー犯罪者を刑務所に入れるための第一歩は、サイバー犯罪が発生したときに報告することである。通報が早ければ早いほど、法執行機関は新しい手口を迅速に評価し、被害を抑えることができる。
Reporting cybercrime can be as simple as clicking a button on a web browser. Europol has compiled a list of the reporting websites in EU Member States. サイバー犯罪の報告は、ウェブ・ブラウザのボタンをクリックするのと同じくらい簡単にできる。欧州刑事警察機構は、EU加盟国の報告用ウェブサイトのリストをまとめている。
Robust cybersecurity measures are also key. Europol has put together some tips and advice on how to prevent ransomware from infecting your electronic devices. 強固なサイバーセキュリティ対策も重要である。欧州刑事警察機構は、ランサムウェアによる電子機器への感染を防ぐためのヒントとアドバイスをまとめた。
Taskforce Operation Cronos タスクフォース「クロノス作戦」
This activity forms part of an ongoing, concerted campaign by the international Operation Cronos taskforce to target and disrupt LockBit ransomware. The following authorities are part of this taskforce: この活動は、LockBitランサムウェアを標的とし、破壊するための国際的なタスクフォース「Operation Cronos」による進行中の協調キャンペーンの一環である。以下の認可機関がこのタスクフォースに参加している:
・France: National Gendarmerie (Gendarmerie Nationale – Unité nationale cyber C3N) ・フランス 国家憲兵隊(Gendarmerie Nationale - Unité nationale cyber C3N)
・Germany: State Bureau of Criminal Investigation Schleswig-Holstein(LKA Schleswig-Holstein), Federal Criminal Police Office (Bundeskriminalamt) ・ドイツ シュレースヴィヒ・ホルシュタイン州捜査局(LKA Schleswig-Holstein)、連邦刑事警察(Bundeskriminalamt)
・The Netherlands: National Police (Team Cybercrime Zeeland-West-Brabant, Team Cybercrime Oost-Brabant, Team High Tech Crime) & Public Prosecutor’s Office Zeeland-West-Brabant ・オランダ 国家警察(ゼーラント=ウェスト=ブラバント州サイバー犯罪チーム、ウースト=ブラバント州サイバー犯罪チーム、ハイテク犯罪チーム)、ゼーラント=ウェスト=ブラバント州検察庁
・Sweden: Swedish Police Authority ・スウェーデン スウェーデン警察認可
・Australia: Australian Federal Police (AFP) ・オーストラリア オーストラリア連邦警察(AFP)
・Canada: Royal Canadian Mounted Police (RCMP) ・カナダ カナダ王立騎馬警察(RCMP)
・Japan: National Police Agency (警察庁) ・日本 警察庁
・United Kingdom: National Crime Agency (NCA), South West Regional Organised Crime Unit (South West ROCU) ・イギリス 国家犯罪対策庁(NCA)南西部地域組織犯罪対策ユニット(South West ROCU)
・United States: U.S. Department of Justice (DOJ), Federal Bureau of Investigation (FBI) Newark ・米国 米国司法省(DOJ)、連邦捜査局(FBI)ニューアーク
・Switzerland: Swiss Federal Office of Police (fedpol), Public Prosecutor's Office of the canton of Zurich, Zurich Cantonal Police ・スイス スイス連邦警察庁(fedpol)、チューリッヒ州検察庁、チューリッヒ州警察
The successful action was made possible thanks to the support of the following countries: この活動の成功は、以下の国々の支援のおかげである:
・Finland: National Police (Poliisi) ・フィンランド フィンランド:国家警察(Poliisi)
・Poland: Central Cybercrime Bureau Cracow (Centralne Biuro Zwalczania Cyberprzestępczości - Zarząd w Krakowie) ・ポーランド クラクフ中央サイバー犯罪局(Centralne Biuro Zwalczania Cyberprzestępczości - Zarząd w Krakowie)
・New Zealand: New Zealand Police (Nga Pirihimana O Aotearoa) ・ニュージーランド ニュージーランド警察(Nga Pirihimana O Aotearoa)
・Ukraine: Prosecutor General`s office of Ukraine (Офіс Генерального прокурора України), Cybersecurity Department of the Security Service of Ukraine (Служба безпеки України), National Police of Ukraine (Національна поліція України) ・ウクライナ ウクライナ検察総局(Офіс Генерального прокурора України)、 ウクライナ治安局サイバーセキュリティ部(Служба безпеки України)、ウクライナ国家警察(Національна поліція України)

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.21 警察庁 ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウン関係とランサムウェアによる暗号化被害データに関する復号ツールの開発

・2023.09.13 英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書

・2023.07.26 Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)

・2023.06.16 Five Eyes ドイツ フランス LookBitに対する包括的なアドバイザリーを公表

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

 

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

 

| | Comments (0)

2024.02.20

欧州データ保護監督者 通信の秘密を守ることは基本的権利に不可欠である (ネット上の児童虐待と通信の秘密の保護の間で...) (2024.01.29)

こんにちは、丸山満彦です。

欧州データ保護監督者 (European Data Protection Supervisor; EDPS) [wikipedia] のこの話は、日本でも当てはまる話ですよね...

ネット上の児童虐待の話は重大な人権問題であるのはわかるけど、だからといって現状のやり方が自動的にはOKということにはならないよね...という話ですかね。。。

さて、一方、日本では安全保障問題が盛り上がっているので、そのうちプライバシーと安全保障の間の問題も、いろいろ出てくるような気がしますね... 欧州との関係で考えると、そこで安易に安全保障側に振らないことが重要ですかね。日本の場合は、右っぽい人が、国家安全が重要だろうと血気盛んに主張(だからといって戦争になったら先頭にたって戦うわけでもなさそうなんですが...)しそうですが、安易にそちらに流れてもダメですね。。。

米国は表向き米国市民以外(なので欧州人も含まれる)の通信傍受をしていますが、そこが個人データの移転で問題になる部分であったりしますからね...

 

● European Data Protection Supervisor; EDPS

・2024.01.29 Preserving the confidentiality of communications is essential to fundamental rights

 

Preserving the confidentiality of communications is essential to fundamental rights 通信の秘密保持は基本的権利に不可欠である
The EDPS has issued an Opinion on the proposed Regulation to extend the temporary derogation from certain provisions of the ePrivacy Directive to combat child sexual abuse online. The Regulation would allow providers of certain independent interpersonal communication services to continue to apply specific technologies to private communications in order to detect child sexual abuse material for two more years, whilst negotiations for a long-term Regulation are ongoing. EDPSは、オンライン上の児童性的虐待に対抗するため、eプライバシー指令の特定条項の一時的適用除外を延長する規則案に関する意見を発表した。同規則は、特定の独立した対人通信サービスのプロバイダーに対し、児童への性的虐待を検出するために、個人的な通信に特定の技術を適用し続けることを2年間認めるもので、その一方で、長期的な規則の交渉が継続される。
In its Opinion, the EDPS expresses concern about the aims of this Regulation, which would, in effect, restrict individuals’ fundamental rights to privacy and personal data, including their right to the confidentiality of communications. The EDPS also highlights that the recommendations previously issued in its Opinion on temporary derogations from the ePrivacy Directive 2020 were not fully addressed, further putting individuals at risk. EDPSは意見書の中で、この規制の目的について懸念を表明している。この規制は、事実上、通信の秘密に対する権利を含め、プライバシーと個人情報に関する個人の基本的権利を制限するものである。EDPSはまた、ePrivacy指令2020からの一時的な適用除外に関する意見で以前に出された勧告が十分に対処されておらず、個人をさらに危険にさらしていることを強調している。
Wojciech Wiewiórowski, EDPS, said: “Extending the validity of the Regulation on temporary derogations from the ePrivacy Directive is not a formality. It would perpetuate the already-existing risks to individuals’ privacy and their personal data, which should by no means become the norm. This proposed Regulation should not be adopted until the necessary safeguards are put in place”. EDPSのWojciech Wiewiórowski氏は次のように述べた: 「eプライバシー指令の一時的な適用除外に関する規則の有効性を延長することは、形式的なものではない。それは、個人のプライバシーと個人データに対する既存のリスクを永続させるものであり、決して常態化すべきではない。必要な保護措置が講じられるまで、この規則案は採択されるべきではない」。
The EDPS underscores that, although the use of specific technologies to detect child sexual abuse material would remain voluntary, it is still the EU’ s co-legislators responsibility to put in place measures to ensure that the Regulation complies with the EU’s Charter of Fundamental Rights. EDPSは、児童性的虐待を検出するための特定技術の使用は任意であるものの、同規則がEUの基本権憲章に準拠することを確実にするための措置を講じることは、EUの共同立法者の責任であることを強調している。
In line with its previously issued recommendations, the EDPS reiterates that the proposed Regulation does not include sufficient and effective safeguards to prevent general and indiscriminate monitoring of private electronic communications. Putting these safeguards in place is important, especially given the high error rates observed with certain technologies used for detecting child sexual abuse materials or child solicitation, such as grooming. The EDPS underscores the significant risk that technologies used to detect child sexual abuse material may flag consensually produced and shared imagery. EDPSは、以前に発表した勧告に沿って、提案されている規則には、私的な電子通信の一般的かつ無差別な監視を防止するための十分かつ効果的な保護措置が含まれていないことを改めて指摘する。特に、児童性的虐待の材料や、グルーミングのような児童の勧誘を検出するために使用される特定の技術に高いエラー率が観察されていることを考えると、こうした保護措置を設けることは重要である。EDPSは、児童性的虐待の素材を検知するために使用される技術が、合意に基づいて作成され共有された画像にフラグを立てる可能性があるという重大なリスクを強調している。
Whilst the EDPS fully supports the aim to combat child sexual abuse as a terrible crime, this Regulation is not the solution. The goal of combatting child sexual abuse must be pursued with the necessary safeguards for individuals’ private communications, and, by extension, their fundamental rights to privacy and personal data. EDPSは、児童性的虐待を恐ろしい犯罪として撲滅する目的を全面的に支持するが、本規制は解決策ではない。児童性的虐待撲滅という目標は、個人の私的通信、ひいてはプライバシーや個人情報に対する基本的権利に必要な保護措置を講じた上で追求されなければならない。

 

・2024.01.29 EDPS Opinion 8/2024 on the Proposal for a Regulation amending Regulation (EU) 2021/1232 on a temporary derogation from certain ePrivacy provisions for combating CSAM

 

・[PDF

20240220-101606

 

 

Opinion 8/2024 on the Proposal for a Regulation amending Regulation (EU) 2021/1232 on a temporary derogation from certain ePrivacy provisions for combating CSAM CSAM対策のための特定のeプライバシー規定からの一時的な適用除外に関する規則(EU)2021/1232の改正規則案に関する意見書8/2024
The European Data Protection Supervisor (EDPS) is an independent institution of the EU, responsible under Article 52(2) of Regulation 2018/1725 ‘With respect to the processing of personal data… for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to data protection, are respected by Union institutions and bodies’, and under Article 52(3)‘… for advising Union institutions and bodies and data subjects on all matters concerning the processing of personal data’.  欧州データ保護監督者(EDPS)はEUの独立機関であり、規則2018/1725の第52条2項「個人データの処理に関し...自然人の基本的権利および自由、特にデータ保護に対する権利が、EUの機関および団体によって尊重されることを確保すること」、および第52条3項「...個人データの処理に関するすべての事項について、EUの機関および団体ならびにデータ主体に助言すること」に基づいて責任を負う。 
Wojciech Rafał Wiewiórowski was appointed as Supervisor on 5 December 2019 for a term of five years.  Wojciech Rafał Wiewiórowski氏は2019年12月5日に5年の任期で監督官に任命された。
Under Article 42(1) of Regulation 2018/1725, the Commission shall ‘following the adoption of proposals for a legislative act, of recommendations or of proposals to the Council pursuant to Article 218 TFEU or when preparing delegated acts or implementing acts, consult the EDPS where there is an impact on the protection of individuals’ rights and freedoms with regard to the processing of personal data’.  規則2018/1725の第42条1項に基づき、欧州委員会は、「TFEU第218条に基づき、立法行為の提案、勧告もしくは理事会への提案の採択後、または委任法もしくは実施法を準備する際、個人データの処理に関して個人の権利および自由の保護に影響がある場合、EDPSに相談する」ものとされている。 
This Opinion relates to the Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) 2021/1232 of the European Parliament and of the Council on a temporary derogation from certain provisions of Directive 2002/58/EC for the purpose of combating online child sexual abuse[1]. This Opinion does not preclude any future additional comments or recommendations by the EDPS, in particular if further issues are identified or new information becomes available. Furthermore, this Opinion is without prejudice to any future action that may be taken by the EDPS in the exercise of his powers pursuant to Regulation (EU) 2018/1725.  本意見書は、オンライン児童性的虐待[1]に対処する目的で、指令2002/58/ECの特定の規定からの一時的な適用除外に関する欧州議会及び理事会規則(EU)2021/1232を改正する欧州議会及び理事会規則の提案に関するものである。本意見書は、EDPSによる今後の追加的なコメントや勧告を妨げるものではなく、特に、さらなる問題が特定されたり、新たな情報が入手可能になったりした場合には、この限りでない。さらに、本意見書は、規則(EU)2018/1725に基づきEDPSがその権限を行使して将来とる可能性のある措置を損なうものではない。 
Executive Summary  要旨 
On 30 November 2023, the European Commission issued the Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) 2021/1232 on a temporary derogation from certain provisions of Directive 2002/58/EC for the purpose of combating online child sexual abuse. The objective of the Proposal is to introduce a limited time extension to Regulation (EU) 2021/1232 (“Interim Regulation”) to enable providers of certain numberindependent interpersonal communications services to use specific technologies for the processing of personal and other data to detect online child sexual abuse on their services, while interinstitutional negotiations on a long-term Regulation continue.  2023年11月30日、欧州委員会は、オンライン児童性的虐待対策を目的とした指令2002/58/ECの特定条項の一時的適用除外に関する規則(EU)2021/1232を改正する欧州議会および理事会規則案を発表した。この提案の目的は、長期的な規則に関する機関間交渉が継続される間、特定の番号非依存型対人通信サービスのプロバイダーが、そのサービス上でオンライン児童性的虐待を検出するために、個人データおよびその他のデータの処理に特定の技術を使用することを可能にするために、規則(EU)2021/1232(「暫定規則」)に期間限定の延長を導入することである。 
The EDPS does not consider the proposed extension of validity of the Interim Regulation a formality. Already in his 2020 Opinion, the EDPS considered that the proposal should not be adopted, even in the form a temporary derogation, until the recommendations included in that Opinion were addressed.  EDPSは、提案されている暫定規則の有効期間延長を形式的なものとは考えていない。EDPSはすでに2020年意見書で、同意見書に盛り込まれた勧告に対処するまでは、一時的な適用除外という形であっても、同提案を採択すべきではないと考えている。 
The mere fact that providers of electronic communication services apply detection technologies on a voluntary basis does not dispense the co-legislature from its responsibility of establishing a comprehensive legal framework which meets the requirements of Articles 7 and 8 of the Charter of Fundamental Rights of the European Union.  電子通信サービスのプロバイダーが自主的に検知技術を適用しているという事実だけで、欧州連合基本権憲章第7条および第8条の要件を満たす包括的な法的枠組みを確立するという共同立法府の責任が免除されるわけではない。 
The EDPS notes that the concerns and recommendations expressed in his 2020 Opinion have not been fully addressed by the co-legislators when adopting the Interim Regulation. In particular, the Interim Regulation does not contain effective safeguards against general and indiscriminate monitoring of private commuincations. In this regard, the EDPS remains particularly concerned by the relatively high error rates of current detection technologies, especially those for detecting new child sexual abuse materials or child solicitation (‘grooming’). The EDPS also wishes to draw attention to the significant risk that technologies to detect CSAM may flag consensually produced and shared imagery.  EDPSは、2020年意見書で表明された懸念と勧告が、暫定規則の採択に際して共同立法者によって十分に対処されていないことに留意する。特に、暫定規則には、私的通信の一般的かつ無差別的な監視に対する効果的なセーフガードは含まれていない。この点に関して、EDPSは、現在の検知技術、特に新たな児童性的虐待の材料や児童の勧誘(「グルーミング」)を検知する技術のエラー率が比較的高いことを特に懸念している。EDPSはまた、CSAMを検知する技術が、合意に基づいて作成・共有された画像にフラグを立てる重大なリスクにも注意を喚起したい。
Given the significant outstanding concerns, the EDPS recommends not to adopt the Proposal until the necessary safeguards are integrated.  未解決の重大な懸念を考慮し、EDPSは、必要な保護措置が統合されるまで、本提案を採択しないことを勧告する。 
Contents  内容 
1. Introduction 1. はじめに
2. General remarks 2. 総論
3. Legal basis and necessity and proportionality 3. 法的根拠および必要性と比例性
4. Transparency and data subject rights 4. 透明性とデータ主体の権利
5. Duration of the temporary derogation 5. 一時的適用除外の期間
6. Further considerations 6. さらなる検討事項
7. Conclusions 7. 結論
THE EUROPEAN DATA PROTECTION SUPERVISOR,  欧州データ保護監督者 は、
Having regard to the Treaty on the Functioning of the European Union,  欧州連合の機能に関する条約を考慮し、
Having regard to Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (‘EUDPR’)[2], and in particular Article 42(1) thereof,  欧州連合の機関、団体、事務所及び機関による個人データの処理に関する自然人の保護並びに当該データの自由な移動に関する2018年10月23日の欧州議会及び理事会の規則(EU)2018/1725を考慮し、規則(EC)No 45/2001及び決定No 1247/2002/EC(以下「EUDPR」)[2]を廃止し、特にその第42条(1)を考慮し、
HAS ADOPTED THE FOLLOWING OPINION:  以下の意見を採択した: 
1. Introduction  1. はじめに 
1. On 30 November 2023, the European Commission issued the Proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) 2021/1232 of the European Parliament and of the Council on a temporary derogation from certain provisions of Directive 2002/58/EC for the purpose of combating online child sexual abuse[3] (‘the Proposal’).  1. 2023年11月30日、欧州委員会は、オンライン児童性的虐待[3]に対処する目的で、指令2002/58/ECの特定の規定からの一時的な適用除外に関する欧州議会および理事会規則(EU)2021/1232を改正する欧州議会および理事会規則の提案(「提案」)を発表した。
2. The objective of the Proposal is to introduce a limited time extension to Regulation (EU) 2021/1232 (“Interim Regulation”)[4] to enable providers of certain number-independent interpersonal communications services to use specific technologies for the processing of personal and other data to detect online child sexual abuse on their services, while interinstitutional negotiations on the proposal for a long-term Regulation[5] continue[6].  2. 本提案の目的は、特定の番号非依存型対人通信サービスのプロバイダーが、そのサービス上でオンライン児童性的虐待を検知するために、個人データおよびその他のデータの処理に関する特定の技術を使用できるようにするために、規則(EU)2021/1232(「暫定規則」)[4]に期間限定の延長を導入することであり、その一方で、長期規則[5]の提案に関する機関間交渉は継続される[6]。 
3. On 10 November 2020, the EDPS provided his Opinion on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online[7] (which later became the Interim Regulation). On 28 July 2022, the EDPS has, together with the European Data Protection Board (EDPB), issued Joint Opinion 04/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse[8] ( the long-term Regulation Proposal). Both Opinions remain relevant in the context of the current Proposal.  3. 2020年11月10日、EDPSは、オンライン児童性的虐待撲滅を目的とした指令2002/58/ECからの一時的な適用除外の提案[7](後に暫定規則となる)に関する意見を提出した。2022年7月28日、EDPSは欧州データ保護委員会(EDPB)とともに、児童の性的虐待を防止し、撲滅するための規則を定めた欧州議会及び理事会規則案[8](長期規則案)に関する共同意見書04/2022を発表した。両意見は、現行の提案の文脈においても引き続き妥当である。
4. The present Opinion of the EDPS is issued in response to a consultation by the European Commission of 30 November 2023, pursuant to Article 42(1) of EUDPR. The EDPS notes that no reference to this consultation has been made in a Recital, and recommends inserting such reference in accordance with the established practice[9].  4. EDPSの本意見は、EUDPR第42条1項に基づき、2023年11月30日に欧州委員会が行った諮問に応えるために出されたものである。EDPSは、この協議に関する言及がリサイタルでなされていないことに留意し、確立された慣行[9]に従って、そのような言及を挿入することを推奨する。 
2. General remarks  2. 総論 
5. According to the explanatory memorandum[10], it is uncertain that the inter-institutional negotiations on the Proposal for a long-term Regulation will conclude for the long-term Regulation to enter into force and to apply before the Interim Regulation is set to expire. The proposed extension, until August 2026, would ensure that child sexual abuse online can be effectively and lawfully combated without interruptions until the long-term regime created by the proposed Regulation is agreed.  5. 説明文書[10]によると、暫定規則の期限が切れる前に長期規則を発効させ、適用するために、長期規則の提案に関する機関間交渉がまとまるかどうかは不透明である。提案されている2026年8月までの延長は、同規則案によって創設される長期的な体制が合意されるまでの間、オンライン上の児童性的虐待を中断することなく、効果的かつ合法的に撲滅できることを保証するものである。 
6. The EDPS does not consider the proposed extension of validity of the Interim Regulation a formality. Already in his 2020 Opinion, the EDPS considered that the mere fact that providers of electronic communication services would apply the detection technologies on a voluntary basis does not dispense the co-legislature from its responsibility of establishing a comprehensive legal framework which meets the requirements of Articles 7 and 8 of the Charter of Fundamental Rights of the European Union. The EDPS also noted that the general, indiscriminate and automated analysis of all text-based communications transmitted through number-independent interpersonal communications services with a view of identifying new potential infringements did not respect the principle of necessity and proportionality. Even if the technology used was limited to the use of “relevant key indicators”, the deployment of such general and indiscriminate analysis would be excessive.[11] The EDPS therefore considered that the proposal should not be adopted, even in the form a temporary derogation, until the recommendations included in that Opinion were addressed.[12]  6. EDPSは、暫定規則の有効期間延長案を形式的なものとは考えていない。EDPSはすでに2020年意見書で、電子通信サービスのプロバイダーが自主的に検知技術を適用するという事実だけで、欧州連合基本権憲章第7条および第8条の要件を満たす包括的な法的枠組みを確立するという共同立法府の責任を免除するものではないとした。EDPSはまた、新たな侵害の可能性を特定する目的で、番号非依存型対人通信サービスを通じて送信されるすべてのテキストベースの通信を一般的かつ無差別に自動分析することは、必要性と比例性の原則を尊重していないと指摘した。使用される技術が「関連する主要指標」の使用に限定されていたとしても、そのような一般的かつ無差別的な分析の展開は行き過ぎである[11]。 したがって、EDPSは、同意見に含まれる勧告に対処するまでは、一時的な適用除外という形であっても、同提案を採用すべきではないと考えた[12]。
7. These EDPS takes note that his concerns and recommendations have not been fully addressed by the co-legislators when adopting the Interim Regulation. In particular, the Interim Regulation does not contain safeguards against general and indiscriminate monitoring, and also the question of a valid legal basis under the GDPR remains unsolved. The EDPS underlines that these issues should be taken into account when considering the proposed extension.  7. EDPSは、暫定規則の採択に際し、共同立法者が自らの懸念と勧告に十分に対処していないことに留意している。特に、暫定規則は一般的かつ無差別的な監視に対するセーフガードを含んでおらず、またGDPRにおける有効な法的根拠の問題も未解決のままである。EDPSは、提案されている延長を検討する際には、これらの問題を考慮すべきであると強調する。 
8. In addition, the EDPS wishes to draw attention to important developments subsequent to the adoption of the Interim Regulation. For example, the impact assessment[13] accompanying the Proposal for a long-term Regulation[14], which provided industry information on current technical solutions, has shed additional light on the legal and technical issues that emerge in practice. On 23 October 2023, the EDPS organised a seminar dedicated to the ongoing legislative works on the Proposal for a long-term regulation, which yielded further insights on the unintended consequences of the deployment of CSAM detection technologies[15]. This Opinion also builds on this increased knowledge when assessing the Proposal.  8. さらに、EDPSは、暫定規則の採択後の重要な進展にも注意を喚起したい。例えば、長期規則案[14]に付随する影響評価[13]は、現在の技術的解決策に関する業界情報を提供するものであったが、この影響評価によって、実務上顕在化する法的・技術的問題にさらなる光が当てられることになった。2023年10月23日、EDPSは、現在進行中の長期規制案に関する立法作業に特化したセミナーを開催し、CSAM検知技術の展開が意図しない結果をもたらすことに関するさらなる洞察を得た[15]。本意見書もまた、本提案を評価する際に、この増加した知見に基づくものである。
3. Legal basis and necessity and proportionality  3. 法的根拠および必要性と比例性 
9. In his 2020 Opinion, the EDPS recommended clarifying which legal basis of the GDPR would be applicable[16]. The Interim Regulation does not contain such clarification, resulting in different legal application practices among providers, according to the implementation report[17]. The EDPS reiterates his previous recommendation to clarify which legal basis of the GDPR would be applicable to the voluntary processing of content or traffic data for the purpose of detecting child sexual abuse online.  9. EDPS は 2020 年意見書で、GDPR のどの法的根拠が適用されるかを明確にすることを推奨した[16]。実施報告書[17]によれば、暫定規則にはそのような明確化は含まれておらず、その結果、プロバイダー間で異なる法的適用慣行が行われている。EDPSは、オンライン上の児童性的虐待を検知する目的でコンテンツやトラフィックデータを自主的に処理する場合、GDPRのどの法的根拠が適用されるかを明確にするよう、前回の勧告を繰り返す。 
10. The EDPS remains of the opinion that the general, indiscriminate and automated analysis of all text-based communications transmitted through number-independent interpersonal communications services with a view of identifying new potential infringements did not respect the principle of necessity and proportionality. Even if the technology used was limited to the use of “relevant key indicators”, the EDPS considers the deployment of such general and indiscriminate analysis excessive.[18]  10. EDPSは、新たな侵害の可能性を特定する目的で、番号非依存型対人通信サービスを通じて送信されるすべてのテキストベースの通信を一般的、無差別的、かつ自動的に分析することは、必要性と比例性の原則を尊重するものではないとの見解を維持している。使用された技術が「関連する主要指標」の使用に限定されていたとしても、EDPSはそのような一般的かつ無差別的な分析の展開は行き過ぎであると考える[18]。 
11. The EDPS notes that the Interim Regulation, while generally referring to strict necessity and proportionality[19], in reality does not provide for specific and effective safeguards against general and indiscriminate monitoring.  11. EDPSは、暫定規則は一般的に厳格な必要性と比例性[19]に言及しているものの、実際には一般的かつ無差別的な監視に対する具体的かつ効果的なセーフガードを規定していないことに留意する。
12. In his 2020 Opinion, the EDPS considered that the Proposal should clarify whether the detection technologies would be applied to all communications exchanged by all users or to a subset of them. In the latter case, according to the Opinion, it would be necessary to clarify the criteria by which the technologies would be applied to a specific subset of communications[20].  12. 2020年意見書において、EDPSは、本提案が、全ユーザーが交換するすべての通信に適用されるのか、それとも一部の通信に適用されるのかを明確にすべきであると考えた。後者の場合、同意見によれば、当該技術を特定の通信のサブセットに適用する基準を明確にする必要がある[20]。
13. The EDPS notes that the Interim Regulation does not explicitly require providers to limit the deployment of detection technologies to a subset of communications, and also does not provide the criteria according to which the providers could do so voluntarily.  13. EDPSは、暫定規則がプロバイダに対し、検知技術の導入を通信のサブセットに限定することを明確に要求しておらず、また、プロバイダが自主的にそうすることができる基準も示していないことに留意する。 
14. The EDPS in his 2020 Opinion encouraged the co-legislature to spell out, in the text of the Proposal, which categories of data would amount to “relevant data” in relation to each of the processing purposes[21]. The EDPS notes that the Interim Regulation refers to “content data and related traffic data” in very general terms and does not specify which data categories may be processed for which purpose.  14. EDPSは2020年意見書において、共同立法体に対し、各処理目的との関係で、どのカテゴリのデータが「関連するデータ」に相当するかを提案の文中に明記するよう促した[21]。EDPSは、暫定規則が「コンテンツ・データ及び関連するトラフィック・データ」について非常に一般的な用語で言及しており、どのデータ・カテゴリーがどの目的で処理されるかを明示していないことに留意する。
15. The EDPS had further expressed concerns that the reporting of individuals and blocking of the concerned user’s account might not be strictly necessary and proportionate in all instances, for example in the case of unsolicited receipt of CSAM.[22] He also expressed concern that the procedure within the provider was not addressed. These concerns remain equally valid with regard to the Interim Regulation.  15. EDPSはさらに、例えばCSAMの未承諾受信の場合など、個人への報告や当該ユーザーのアカウントのブロッキングが、すべての場合において厳密に必要かつ適切であるとは限らないという懸念を表明していた[22]。また、プロバイダ内の手続きに対処していないことにも懸念を表明していた。これらの懸念は、暫定規則に関しても同様に有効である。 
4. Transparency and data subject rights  4. 透明性とデータ主体の権利 
16. With regard to transparency and data subject rights, the EDPS had recommended the introduction of additional measures to ensure transparency and exercise of data subject rights, subject, where strictly necessary, to narrowly defined restrictions (e.g., where necessary to protect the confidentiality of an ongoing investigation).[23] The EDPS notes that the Interim Regulation provides for the information of all users in Article 3(1)(g)(v) and of those affected by removal, suspension or blocking in point (vi).  16. 透明性とデータ主体の権利に関して、EDPSは、厳密に必要な場合には、狭義の制限(例えば、進行中の調査の秘密を保護するために必要な場合)を条件として、透明性とデータ主体の権利の行使を確保するための追加的な措置の導入を勧告していた[23]。EDPSは、暫定規則が第3条(1)(g)(v)で全ユーザーの情報を、(vi)で削除、停止、またはブロッキングの影響を受ける者の情報を規定していることに留意する。
17. The EDPS also urged the co-legislators to provide further clarity as to when the right to human review would become applicable and which entity would be in charge of carrying out this review[24]. Art. 3(1)(f) of the Interim Regulation does not provide such clarification, however, leading to seemingly different practices by providers[25]. The EDPS recalls that, depending on the circumstances under which human review is required, the use of detection technologies could result in automated decision making within the meaning of Article 22 GDPR.[26]  17. EDPSはまた、共同立法者に対し、人的審査の権利がいつから適用されるのか、どの主体がこの審査の実施を担当するのかについて、さらに明確にするよう求めた[24]。しかしながら、暫定規則の第3条1項(f)はそのような明確化を規定していないため、プロバイダーによって一見異なる実務が行われているように思われる[25]。EDPSは、人間によるレビューが必要とされる状況によっては、検知技術の使用はGDPR第22条の意味における自動意思決定につながる可能性があることを想起している[26]。
5. Duration of the temporary derogation  5. 一時的な適用除外の期間 
18. With regard to duration, the EDPS had expressed the view that a five-year period as initially proposed was too long and did not seem proportional given the absence of (a) a prior demonstration of the proportionality of the envisaged measure and (b) the inclusion of sufficient safeguards within the text of the legislation. He recommended that the validity of any transitional measure should not exceed 2 years.[27]  18. 期間に関して、EDPSは、(a)想定される措置の比例性が事前に証明されていないこと、(b)法律の条文に十分なセーフガードが含まれていないことを考慮すると、当初提案された5年間という期間は長すぎ、比例しているとは思えないとの見解を示した。同氏は、いかなる経過措置の有効期間も2年を超えてはならないと勧告した[27]。
19. In view of the shortcomings outlined above, the EDPS maintains this position.  19. 上記の欠点を考慮し、EDPSはこの立場を維持する。 
6. Further considerations  6. さらなる検討事項 
20. The EDPS recalls that level of intrusion resulting from the deployment of CSAM detection measures may vary depending on the technology used. In all three types of detectable material, known CSAM, new CSAM and grooming, the technologies currently available rely on the automated processing of content data of all affected users. The technologies used to analyse the content are often complex, typically involving the use of AI. As a result, the behaviour of this technology may not be fully comprehensible for the user of the service. Moreover, the technologies currently available, especially those for detecting new CSAM or grooming, are known to have relatively high error rates. Consequently, there is the risk of significant number of innocent people being reported to the law enforcement authorities (directly or through the National Center for Missing and Exploited Children), based on a detection of ‘potential’ CSAM or grooming[28].  20. EDPSは、CSAM検出手段の配備によって生じる侵入のレベルは、使用される技術によっ て異なる可能性があることを想起する。既知の CSAM、新しい CSAM、グルーミングという 3 種類の検出可能なものすべてにおいて、現在利用可能な技術は、影響を受けるすべてのユーザのコンテンツデータの自動処理に依存している。コンテンツを分析するために使用される技術は複雑であることが多く、一般的にAIの使用を伴う。その結果、この技術の動作は、サービスの利用者にとって完全に理解できるものではないかもしれない。さらに、現在利用可能な技術、特に新しいCSAMやグルーミングを検出する技術は、エラー率が比較的高いことが知られている。その結果、「潜在的な」CSAMまたはグルーミングの検出に基づいて、相当数の無実の人々が法執行当局に(直接またはNational Center for Missing and Exploited Childrenを通じて)報告される危険性がある[28]。
21. As the EDPB and the EDPS have already stated in their Joint Opinion on the long-term Proposal, performance indicators found in the literature, some of which are highlighted in the Impact Assessment Report that accompanied the long-term Proposal,[29] provide very little information on the conditions that were used for their computation and their adequacy with real life conditions, meaning that their real-world performance could be significantly lower than what is expected, leading to less accuracy and a higher percentage of ‘false positives’.[30]  21. EDPBとEDPSが長期提案に関する共同意見[29]ですでに述べているように、文献に見られる性能指標は、長期提案に添付された影響評価報告書[29]で強調されているものもあるが、その計算に使用された条件や実際の生活条件との適合性に関する情報をほとんど提供していないため、実際の性能が期待されるものよりも著しく低くなる可能性があり、精度が低下し、「偽陽性」の割合が高くなることを意味する[30]。
22. The EDPS stresses that while it seems from the Commission Report on the implementation of the Interim Regulation that providers include the corrective element of human review in their calculation of reliability, it is necessary that the technology used in itself is sufficiently reliable. Human review, while protecting against adverse automated decision-making and indispensable, on its own already constitutes an interference. Therefore, it should not be invoked justify the use of detection technologies that are insufficiently reliable.  22. EDPSは、暫定規則の実施に関する欧州委員会の報告書からは、プロバイダーが信頼性の計算に人的レビューという修正要素を含めているように見えるが、使用される技術自体が十分に信頼できるものであることが必要であると強調する。人間による審査は、不利な自動意思決定から保護するものであり、不可欠なものではあるが、それだけではすでに干渉を構成している。従って、信頼性が不十分な検知技術の使用を正当化するために、これを持ち出すべきではない。 
23. As indicated in the Impact Assessment Report[31] and in the European Parliamentary Research Service’s study[32] the accuracy rate of technologies for detection of text-based grooming is much lower than the accuracy rate of technologies for the detection of known CSAM. The assumption that artificial intelligence systems are available and working for the detection of unknown CSAM and for the detection of solicitation of children,[33] and could be considered as state-of-the-art, is insufficiently supported by evidence. Even seemingly high levels of accuracy (for instance, the accuracy of certain grooming detection tools is 88%),[34] must be considered in light of the envisaged practical use of the detection tools and the severity of the risks that an incorrect assessment of a given material would entail for the relevant data subjects. Therefore, the EDPB and EDPS had considered in their Joint Opinion that, with such a high risk processing, 12% failure rate presents a high risk to data subjects who have been subject to false positives, even when there are safeguards in place to prevent false reports to law enforcement.[35]  23. 影響評価報告書[31]や欧州議会調査局の調査[32]に示されているように、テキストベースのグルーミングを検知する技術の精度率は、既知のCSAMを検知する技術の精度率よりもはるかに低い。未知のCSAMの検知や児童への勧誘の検知[33]のために人工知能システムが利用可能であり、機能しており、最先端技術であると考えられるという仮定は、証拠による裏付けが不十分である。一見高精度に見えるレベル(例えば、ある種のグルーミング検知ツールの精度は88%である)[34]であっても、検知ツールの想定される実用的な使用方法と、ある資料の誤った評価が関連するデータ対象者にもたらすリスクの重大性に照らして検討されなければならない。したがって、EDPBとEDPSは共同意見において、このような高リスクの処理では、法執行機関への虚偽の報告を防止するための保護措置が講じられている場合であっても、12%の不合格率は、誤検出の対象となったデータ主体に対して高いリスクをもたらすと考えていた[35]。
24. Lastly, the EDPS would like to place particular emphasis on findings that were presented by experts at the EDPS seminar on CSAM, which highlight the general problem of automated detection: the technology cannot identify the context in which images are shared. Several participants of the EDPS seminar on the long-term CSAM Proposal warned that technologies to detect CSAM would flag consensually produced and shared imagery, as these technologies cannot properly consider the context in which the exchange takes place. As experts pointed out, platform moderators would not be able to filter (legal) consensual material because they too would not know the context of the exchange. As a result, there would be a risk for criminal prosecutions, but even if law enforcement authorities drop the charges, the investigation alone would be disturbing and constitute a violation of children’s rights.[36]  24. 最後に、EDPSは、CSAMに関するEDPSセミナーで専門家が発表した知見に特に重点を置きた い。この知見は、自動検知の一般的な問題点を浮き彫りにしている。長期的なCSAM提案に関するEDPSセミナーの参加者の何人かは、CSAMを検知する技術は、交換が行われる文脈を適切に考慮することができないため、合意に基づいて制作・共有された画像にフラグを立てることになると警告した。専門家が指摘するように、プラットフォームのモデレーターもまた、交換の文脈を知らないため、(合法的な)合意のある素材をフィルタリングすることはできないだろう。その結果、刑事訴追のリスクが生じるが、法執行当局が告訴を取り下げたとしても、捜査だけでも不穏なものとなり、子どもの権利の侵害となる[36]。 
25. In the same vein, a Member State’s Cybercrime Centre and Contact Point has underlined that there is a significant risk that innocent members of the public would be made subject to official investigations.[37] This is said to be particularly true with regard to the AI-based miscategorisation of cases where the visual material itself is detected accurately, but the situation under criminal law is misjudged.[38] To give an example, this includes cases where children below the age of criminal responsibility have posted material themselves, or communications between young people in consensual contexts.[39]  25. 同じように、ある加盟国のサイバー犯罪センター及びコンタクト・ポイントは、無実の一般市民が公的な捜査の対象となる重大なリスクがあることを強調している[37]。これは、視覚的な素材自体は正確に検出されるが、刑法上の状況が誤って判断される場合のAIに基づく誤分類に関して特に当てはまると言われている[38]。一例を挙げると、刑事責任を負う年齢に満たない児童が自ら素材を投稿した場合や、同意的な文脈における青少年間のコミュニケーションがこれに含まれる[39]。 
7. Conclusions  7. 結論 
26. In light of the above, the EDPS makes the following recommendations:  26. 以上を踏まえ、EDPSは以下の提言を行う: 
(1) not to adopt the Proposal, until the necessary safeguards and all the outstanding missing elements, as identified in these specific recommendations, are introduced in the legal framework, notably  (1)これらの具体的な勧告で指摘されているように、必要な保護措置とすべての未解決の要素が法的枠組みに導入されるまで、本提案を採択しないこと。
o to clarify which legal basis of the GDPR would be applicable to the voluntary processing of content or traffic data for the purpose of detecting child sexual abuse online,  o オンライン上での児童の性的虐待を検知する目的で、コンテンツやトラフィックデータを自主的に処理する場合、GDPRのどの法的根拠が適用されるかを明確にすること、 
o to provide for specific and effective safeguards against general and indiscriminate monitoring,  o 一般的かつ無差別的な監視に対する具体的かつ効果的なセーフガードを規定する、 
o to specify which data categories may be processed for which purpose in Article 3(1)(h) of the Interim Regulation, and  o 暫定規則の第3条1項(h)において、どのデータカテゴリーをどの目的で処理するかを規定する。
o to provide further clarity as to when the right to human review would become applicable and which entity would be in charge of carrying out this review.  o 人によるレビューの権利がいつから適用されるのか、またこのレビューを実施するのはどの団体なのかをさらに明確にすること。
(2) to take fully into account the concerns and the additional risk stemming from measures to detect CSAM in interpersonal communications, identified during the discussions on the Proposal for a long-term CSAM Regulation.  (2) 長期的なCSAM規制の提案に関する議論の中で確認された、対人コミュニケーションにおけるCSAMを検出するための措置に起因する懸念と追加的なリスクを十分に考慮すること。
Brussels, 24 January 2024  ブリュッセル、2024年1月24日 
 (e-signed)   (電子署名) 
Wojciech Rafał WIEWIÓROWSKI  Wojciech Rafał WIEWIÓROWSKI 

 

[1] COM(2023) 777 final.  [1] COM(2023) 777 final. 
[2] OJ L 295, 21.11.2018, p. 39.  [2] OJ L 295, 21.11.2018, p. 39. 
[3] COM(2023) 777 final.  [3] COM(2023) 777 final. 
[4] Regulation 2021/1232/EU of the European Parliament and of the Council of 14 July 2021 on a temporary derogation from certain provisions of Directive 2002/58/EC as regards the use of technologies by providers of number-independent interpersonal communications services for the processing of personal and other data for the purpose of combating online child sexual abuse, OJ L 274, 30.7.2021, p. 41.  [4] 2021年7月14日付欧州議会及び理事会規則2021/1232/EUは、オンライン児童性的虐待に対抗する目的で個人データ及びその他のデータを処理するための番号非依存型対人通信サービスのプロバイダーによる技術の使用に関する指令2002/58/ECの特定の規定からの一時的な適用除外について、OJ L 274, 30.7.2021, p. 41. 
[5] Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, COM/2022/209 final.  [5] 児童の性的虐待を防止し、撲滅するための規則を定めた欧州議会および理事会規則の提案, COM/2022/209 final. 
[6] COM(2023) 777 final, p. 1.  [6] COM(2023) 777 final, p. 1. 
[7] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, issued on 10 November 2020.  [7] EDPS意見書07/2020(オンライン児童性的虐待撲滅のための指令2002/58/ECからの一時的な適用除外の提案)、2020年11月10日発行。
[8] EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, issued on 28 July 2022.  [EDPB-EDPS Joint Opinion 4/2022は、児童の性的虐待を防止し、撲滅するための規則を定めた欧州議会および理事会規則の提案に関するもので、2022年7月28日に発表された。
[9] See e.g. the Joint Handbook of the EP, the Council and the Commission for the presentation and drafting of acts subject to the ordinary legislative procedure, March 2022 edition, page 37.  [9] 通常立法手続きの対象となる法律の提示と起草に関する欧州議会、理事会、欧州委員会の共同ハンドブック(2022年3月版、37ページ)などを参照のこと。
[10] COM(2023) 777 final, p. 1.  [10] COM(2023) 777 final, p. 1. 
[11] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 26.  [11] オンラインにおける児童の性的虐待と闘うための指令2002/58/ECからの一時的な適用除外の提案に関するEDPS意見書07/2020、パラ26。
[12] Ibid, para. 51.  [12] 同上、para. 51. 
[13] Commission staff working document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, SWD(2022) 209 final.  [13] 欧州委員会のスタッフ作業文書、「児童の性的虐待を防止し、撲滅するための規則を定めた欧州議会および理事会規則の提案」に付随する影響評価報告書、SWD(2022) 209 final。
[14] Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, COM/2022/209 final.  [14] 児童の性的虐待を防止し、撲滅するための規則を定めた欧州議会および理事会規則の提案、COM/2022/209 final. 
[15] The event agenda, briefing note, video recording and summary report can be accessed here: [web] [15] イベントのアジェンダ、ブリーフィング・ノート、ビデオ録画、サマリー・レポートは、[web]
[16] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 18.  [16] オンラインにおける児童の性的虐待と闘うための指令2002/58/ECからの一時的な適用除外の提案に関するEDPS意見書07/2020、para. 18. 
[17] Report from the Commission to the European Parliament and the Council on the implementation of Regulation (EU) 2021/1232 of the European Parliament and of the Council of 14 July 2021 on a temporary derogation from certain provisions of Directive 2002/58/EC as regards the use of technologies by providers of number-independent interpersonal communications services for the processing of personal and other data for the purpose of combating online child sexual abuse, COM/2023/797 final, p. 6. 18  [17] オンライン上での児童の性的虐待に対抗する目的で、番号非依存型対人通信サービスのプロバイダーが個人情報およびその他のデータを処理するための技術の使用に関する指令2002/58/ECの特定の規定からの一時的な適用除外に関する2021年7月14日の欧州議会および理事会の規則(EU)2021/1232の実施に関する欧州委員会から欧州議会および理事会への報告書、COM/2023/797 final、p.6. 18. 
[18] See in the same vein also the EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, para. 70. [18] 同様の意見として、児童の性的虐待を防止し撲滅するための規則を定めた欧州議会および理事会規則案に関するEDPB-EDPS共同意見4/2022、para. 70.
[19] See Article 3(1) of the Interim Regulation.  [19] 暫定規則第3条1項参照。
[20] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 30  [20] オンラインにおける児童の性的虐待と闘うための指令2002/58/ECからの一時的な適用除外の提案に関するEDPS意見書07/2020、para. 30 
[21] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 33.  [オンライン児童性的虐待撲滅のための指令 2002/58/EC からの一時的適用除外の提案に関する EDPS 意見書 07/2020, para. 33. 
[22] Ibid, para. 34.  [22] 同上、para. 34. 
[23] Ibid, para. 39.  [23] 同上、パラ。39. 
[24] Ibid, para. 27.  [24] 同書、パラ27。 
[25] COM/2023/797 final, p. 12.  [25] COM/2023/797 final, p. 12. 
[26] See also EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 27.  [26] オンラインにおける児童の性的虐待と闘うための指令2002/58/ECからの一時的な適用除外の提案に関するEDPS意見書07/2020、パラ27も参照のこと。
[27] EDPS Opinion 07/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online, para. 50.  [オンライン児童性的虐待撲滅のための指令 2002/58/EC からの一時的適用除外の提案に関する EDPS 意見書 07/2020, para. 50. 
[28] EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, para 52.  [28] EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, para. 
[29] SWD(2022) 209 final.  [29] SWD(2022) 209 final. 
[30] EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, para. 63.  [30] EDPB-EDPS Joint Opinion 4/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, para. 63. 
[31] SWD(2022) 209 final, Annex 8, p. 281-283.  [31] SWD(2022) 209 final, Annex 8, p. 281-283. 
[32] European Parliamentary Research Service, Complementary impact assessment of April 2023, p. 15-18.  [32] European Parliamentary Research Service, Complementary impact assessment of April 2023, p. 15-18. 
[33] See Impact Assessment Report, SWD(2022) 209 final, pp. 281-282. [33] 影響評価報告書、SWD(2022) 209 final、281-282頁参照。
[34] Ibid, p. 283.  [34] 同上、283頁。
[35] EDPB-EDPS Joint Opinion 04/2022 of 28 July 2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, downloadable at: [pdf] , paragraph 86.  35] EDPB-EDPS Joint Opinion 04/2022 on the Proposal for a Regulation of the European Parliament and of the Council laying down rules to prevent and combat child sexual abuse, downloadable at: [pdf] , paragraph 86. [
[36] EDPS, Summary Report on the EDPS Seminar on the CSAM proposal: “The Point of No Return?”, p. 4, downloadable at [web] . In the same vein, see also Statement by the Child Protection Association (Der Kinderschutzbund Bundesverband e.V.) on the Public Hearing of the Digital Affairs Committee on "Chat Control" on Wednesday, March 1, 2023, p. 2: ‘We also fear that when scanning is carried out without any reason, children and young people will be criminalized much more frequently - a trend that is already visible in German crime statistics. This is due to the fact that children and young people themselves often send images that can be classified as pornographic, making them liable to prosecution’.  [36] EDPS, Summary Report on the EDPS Seminar on the CSAM proposal: 「The Point of No Return?", p. 4, downloadable at [web]. 同じ意味で、2023年3月1日(水)のデジタル問題委員会の「チャット・コントロール」に関する公聴会における児童保護協会(Der Kinderschutzbund Bundesverband e.V.)の声明(p.2)も参照されたい。これは、子どもや若者自身がしばしばポルノに分類される画像を送信し、訴追の対象となるためである」。
[37] The Cologne Prosecutor-General’s Office, The Cybercrime Centre and Contact Point of North Rhine-Westphalia – ZAC NRW, Statement for the public hearing held by the German Bundestag’s Committee on Digital Affairs on the subject of “chat control” on 1 March 2023, p. 9.  [37] ケルン検事総長室、ノルトライン=ヴェストファーレン州サイバー犯罪センターおよびコンタクトポイント(ZAC NRW)、2023年3月1日にドイツ連邦議会のデジタル問題委員会が「チャット規制」をテーマに開催した公聴会のための声明、p.9。
[38] Ibid.  [38] 同上。
[39] Ibid.  [39] 同上。

 

 


 

通信の秘密とフィルタリングについては、「インターネット上の海賊版対策に関する検討会議」での議論で熱く検討した歴史も忘れずに...

資料としては、

知的財産戦略本部検証・評価・企画委員会 コンテンツ分野会合(第3回)の森先生の資料がわかりやすいかもです...

・2018.02.16 資料3:[PDF] 森弁護士 説明資料

20240220-140013

 

 

 

 

| | Comments (0)

米国 NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイドを公表 (2024.02.14)

こんにちは、丸山満彦です。

NISTが、NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイドを公表していますね...

NIST - ITL

プレス...

・2024.02.14 Just Published | Final SP 800-66r2, Implementing the HIPAA Security Rule: A Cybersecurity Resource Guide

Just Published | Final SP 800-66r2, Implementing the HIPAA Security Rule: A Cybersecurity Resource Guide 発行されたばかり|最終版 SP 800-66r2『HIPAA セキュリティ規則の実施』: サイバーセキュリティ・リソース・ガイド
Today, NIST published the final version of Special Publication (SP) 800-66r2 (Revision 2), Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide. This publication, revised in collaboration with the U.S. Department of Health and Human Services (HHS) Office for Civil Rights, provides guidance for regulated entities (i.e., HIPAA-covered entities and business associates) on assessing and managing risks to electronic Protected Health Information (ePHI), identifies typical activities that a regulated entity might consider implementing as part of an information security program, and presents guidance that regulated entities can utilize in whole or in part to help improve their cybersecurity posture and assist with achieving compliance with the HIPAA Security Rule. 本日、NISTは特別刊行物(SP)800-66r2(改訂2)「医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティ・リソース・ガイド」の最終版を公表した。本書は、米国保健社会福祉省(HHS)の市民権局と共同で改訂されたものであり、規制対象事業体(すなわち、HIPAA の適用対象事業体および業務提携事業体)に対して、電子的な保護対象医療情報(ePHI)に対するリスクのアセスメントおよび管理に関するガイダンスを提供し、規制対象事業体が情報セキュリティ・プログラムの一環として実施を検討する可能性のある典型的な活動を特定し、規制対象事業体がサイバーセキュリティ態勢を改善し、HIPAA セキュリティ・ルールへの準拠を達成するために、その全部または一部を活用できるガイダンスを提示するものである。
To assist regulated entities, key document content has been posted online. A list of resources (e.g., guidance, templates, tools) that regulated entities can consult for assistance about particular topics has been hosted on the SP 800-66r2 web page (see under “Supplemental Material” in the gray Documentation box). Additionally, the key activities, descriptions, and sample questions from the tables in Section 5 of the publication have been posted in NIST’s Cybersecurity and Privacy Reference Tool (CPRT). The content in CPRT also includes mappings of the HIPAA Security Rule’s standards and implementation specifications to NIST Cybersecurity Framework Subcategories and SP 800-53r5 security controls as well as listings of NIST publications relevant to each HIPAA Security Rule standard. Readers may draw upon these NIST publications and mappings for assistance in implementing HIPAA Security Rule standards and implementation specifications. 規制対象事業体を支援するため、主要な文書の内容はオンラインに掲載されている。特定のトピックに関する支援のために、規制対象事業体が参照できるリソース(ガイダンス、テンプレート、ツールなど)のリストは、SP 800-66r2 のウェブページにホストされている(灰色の文書ボックスの「補足資料」を参照)。さらに、本書のセクション 5 の表にある主要な活動、説明、及び質問例は、NIST のサイバーセキュリティ及びプライバシ リファレンスツール(CPRT)に掲載されている。CPRTのコンテンツには、HIPAAセキュリティ規則の標準および実装仕様とNISTサイバーセキュリティフレームワークサブカテゴリーおよびSP800-53r5セキュリティコントロールとのマッピングや、HIPAAセキュリティ規則の各標準に関連するNIST出版物のリストも含まれている。読者は、HIPAAセキュリティ規則の標準および実装仕様を実装する際の支援として、これらのNIST出版物およびマッピングを利用することができる。

 

本文...

・2024.02.14 NIST SP 800-66 Rev. 2  Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide

NIST SP 800-66 Rev. 2  Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイド
Abstract 概要
The HIPAA Security Rule focuses on safeguarding electronic protected health information (ePHI) held or maintained by regulated entities. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. This publication provides practical guidance and resources that can be used by regulated entities of all sizes to safeguard ePHI and better understand the security concepts discussed in the HIPAA Security Rule. HIPAA セキュリティ規則は、規制対象事業体が保持または維持する電子的な保護対象医療情報(ePHI)の保護に重点を置いている。規制対象事業体が作成、受領、維持、または送信する ePHI は、合理的に予測される脅威、危険、および許容されない使用や開示から保護されなければならない。本書は、あらゆる規模の規制対象事業体がePHIを保護し、HIPAAセキュリティ規則で議論されているセキュリティの概念をよりよく理解するために利用できる実践的なガイダンスとリソースを提供する。

 

・[PDF] SP.800-66r2

20240220-61304

 

 

目次...

Executive Summary 要旨
1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的と範囲
1.2. Applicability 1.2. 適用範囲
1.3. Document Organization 1.3. 文書の構成
1.4. How to Use This Document 1.4. この文書の使用方法
2. HIPAA Security Rule 2. HIPAAセキュリティ規則
2.1. Security Rule Goals and Objectives 2.1. セキュリティ規則の目標と目的
2.2. Security Rule Organization 2.2. セキュリティ規則の組織
3. Risk Assessment Guidance 3. リスクアセスメントのガイダンス
3.1. HIPAA Risk Assessment Requirements 3.1. HIPAAリスクアセスメントの要件
3.2. How to Conduct the Risk Assessment 3.2. リスクアセスメントの実施方法
3.3. Risk Assessment Results Affect Risk Management 3.3. リスクアセスメントの結果はリスクマネジメントに影響する
3.4. Risk Assessment Resources 3.4. リスクアセスメントのリソース
4. Risk Management Guidance 4. リスクマネジメントガイダンス
4.1. HIPAA Risk Management Requirements 4.1. HIPAAリスクマネジメント要件
4.2. Determining Risks to ePHI in Accordance With Organizational Risk Tolerance 4.2. 組織のリスク許容度に従ったePHIに対するリスクの決定
4.3. Selecting Additional Security Controls to Reduce Risk to ePH 4.3. ePHに対するリスクを低減するための追加的セキュリティコントロールの選択
4.4. Documenting Risk Management Activities 4.4. リスクマネジメント活動の文書化
5. Considerations When Implementing the HIPAA Security Rule 5. HIPAAセキュリティ規則を実施する際の考慮事項
5.1. Administrative Safeguards 5.1. 管理上の保護措置
5.1.1. Security Management Process (§ 164.308(a) 1) 5.1.1. セキュリティ管理プロセス(§164.308(a) 1)
5.1.2. Assigned Security Responsibility (§ 164.308(a)(2)) 5.1.2. 割り当てられたセキュリティ責任(§164.308(a)(2)
5,1.3. Workforce Security (§ 164.308) 5,1.3. 従業員のセキュリティ(§164.308)
5.1.4. Information Access Management (§ 164.308(a)(4) 5.1.4. 情報アクセス管理(§164.308(a)(4)
5.1.5. Security Awareness and Training (§ 164.308(a)(5)) 5.1.5. セキュリティ意識向上およびトレーニング(§164.308(a)(5)
5.1.6. Security Incident Procedures (§ 164.308(a)(6)) 5.1.6. セキュリティインシデント手順(§164.308(a)(6)
5.1.7. Contingency Plan (§ 164.300 (a) ( 5.1.7. コンティンジェンシープラン(§164.300 (a) (
5.1.8. Evaluation (§ 164.308(a)(8)) 5.1.8. 評価(§164.308(a)(8)
5.1.9. Business Associate Contracts and Other Arrangements (§ 164.308(b)(1) 5.1.9. 業務提携契約およびその他の取り決め(§164.308(b)(1)
5.2. Physical Safeguards 5.2. 物理的保護措置
5.2.1. Facility Access Controls (§ 164.310(a) 5.2.1. 施設アクセス管理(§164.310(a)
5.2.2. Workstation Use (§ 164.310(b) 5.2.2. ワークステーションの使用(§164.310(b)
5.2.3. Workstation Security (§ 164.310(c)) 5.2.3. ワークステーションのセキュリティ(§164.310(c)
5.2.4. Device and Media Controls (§ 164.310(d) 5.2.4. デバイスおよびメディアの管理(§164.310(d)
5.3. Technical Safeguards 5.3. 技術的保護
5.3.1. Access Control (§ 164.312(a)) 5.3.1. アクセス管理(§164.312(a)
5.3.2. Audit Controls (§ 164.312(b) 5.3.2. 監査統制(§164.312(b)
5.3.3. Integrity (§ 164.312(c) 5.3.3. 完全性(§164.312(c)
5.3.4. Person or Entity Authentication (§ 164.312(d) 5.3.4. 本人または事業体の認証(§164.312(d)
5.3.5. Transmission Security (§ 164.312(e)(1)) 5.3.5. 伝送セキュリティ(§164.312(e)(1)
5.4. Organizational Requirements 5.4. 組織要件
5.4.1. Business Associate Contracts or Other Arrangements (§ 164.314(a) 5.4.1. 業務提携契約またはその他の取り決め(§164.314(a)
5.4.2. Requirements for Group Health Plans (§ 164.314(b) 5.4.2. グループ医療計画に対する要件(§164.314(b)
5.5. Policies and Procedures and Documentation Requirements 5.5. 方針および手順、ならびに文書化の要件
5.5.1. Policies and Procedures (§ 164.316(a) 5.5.1. 方針および手順(§164.316(a)
5.5.2. Documentation (§ 164.316(b)) 5.5.2. 文書化(§164.316(b)
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、および頭字語のリスト
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Risk Assessment Table 附属書 C. リスクアセスメント表
Appendix D. Security Rule Standards and Implementation Specifications Crosswalk 附属書 D. セキュリティルール標準と実施仕様のクロスウォーク
Appendix E. National Online Informative References (OLIR) Program 附属書 E.全国オンライン情報参照(OLIR)プログラム
Appendix F. HIPAA Security Rule Resources (Informative) 附属書 F. HIPAAセキュリティ規則のリソース(参考情報)
Appendix G. Change Log 附属書 G. 変更ログ

 

エグゼクティブ・サマリー

Executive Summary  要旨 
This publication aims to help educate readers about the security standards included in the Health Insurance Portability and Accountability Act (HIPAA) Security Rule [Sec. Rule], as amended by the Modifications to the HIPAA Privacy, Security, Enforcement, and Breach Notification Rules Under the Health Information Technology for Economic and Clinical Health Act [HITECH] and the Genetic Information Nondiscrimination Act and Other Modifications to the HIPAA Rules [OMNIBUS],[1] as well as assist regulated entities[2] in their implementation of the Security Rule. It includes a brief overview of the HIPAA Security Rule, provides guidance for regulated entities on assessing and managing risks to electronic protected health information (ePHI), identifies typical activities that a regulated entity might consider implementing as part of an information security program, and lists additional resources that regulated entities may find useful when implementing the Security Rule.  本書は、 医療保険の相互運用性と説明責任に関する法律 (HIPAA)セキュリティ規則[Sec. Rule]に含まれるセキュリティ標準について、経済的および臨床的健康のための医療情報技術法 [HITECH]および遺伝情報無差別法およびHIPAA規則のその他の変更点 [OMNIBUS][1]に基づくHIPAAのプライバシー、セキュリティ、施行、および侵害通知規則の修正により改正された読者の理解を助けるとともに、規制対象事業体[2]によるセキュリティ規則の実施を支援することを目的としている。本書には、HIPAAセキュリティ規則の簡単な概要、電子的な保護されるべき医療情報(ePHI)に対するリスクのアセスメントと管理に関する規制対象事業体へのガイダンスの提供、情報セキュリティ・プログラムの一環として規制対象事業体が実施を検討し得る典型的な活動の特定、および規制対象事業体がセキュリティ規則を実施する際に有用と思われるその他のリソースのリストが含まれている。
The Security Rule is flexible, scalable, and technology-neutral. For that reason, there is no one single compliance approach that will work for all regulated entities. This publication presents guidance that entities can utilize in whole or in part to help improve their cybersecurity posture and assist with achieving compliance with the Security Rule.  セキュリティ規則は、柔軟性があり、拡張可能であり、技術中立的である。そのため、すべての規制対象事業体に有効な単一のコンプライアンス・アプローチは存在しない。本書は、事業体がサイバーセキュリティ態勢を改善し、セキュリティ規則への準拠を達成するために、全体的または部分的に活用できるガイダンスを示すものである。
The HIPAA Security Rule specifically focuses on safeguarding the confidentiality, integrity, and availability of ePHI. All HIPAA-regulated entities must comply with the requirements of the Security Rule. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. In general, the requirements, standards, and implementation specifications of the Security Rule apply to the following regulated entities:   HIPAA セキュリティ規則は、特に ePHI の機密性、完全性、および可用性の保護に焦点を当てている。すべてのHIPAA規制事業体は、セキュリティ規則の要件を遵守しなければならない。規制対象事業体が作成、受領、維持、または送信するePHIは、合理的に予測される脅威、危険、および許容されない使用および/または開示から保護されなければならない。一般に、セキュリティ規則の要件、標準、および実施仕様は、以下の規制対象事業体に適用される:  
•       Covered Healthcare Providers — Any provider of medical or other health services or supplies who transmits any health information in electronic form in connection with a transaction for which the U.S. Department of Health and Human Services (HHS) has adopted a standard.  ・対象医療プロバイダ - 米国保健社会福祉省(HHS)が標準を採用した取引に関連して、医療情報またはその他の医療サービスもしくは医療用品を電子形式で送信するプロバイダ。
•       Health Plans — Any individual or group plan that provides or pays the cost of medical care (e.g., a health insurance issuer and the Medicare and Medicaid programs).  ・医療プラン-医療を提供し、または医療費を支払う個人または団体プラン(健康保険発行者、メディケアおよびメディケイド・プログラムなど)。
•       Healthcare Clearinghouses — A public or private entity that processes another entity’s healthcare transactions from a standard format to a non-standard format or vice versa.  ・ヘルスケア・クリアリングハウス(Healthcare Clearinghouses) - 他の事業体のヘルスケア・トランザクションを標準フォーマットから非標準フォーマットに,またはその逆に処理する公的または民間の事業体。
•       Business Associate — A person or entity[3] that performs certain functions or activities that involve the use or disclosure of protected health information on behalf of or provides services to a covered entity. A business associate is liable for their own HIPAA violations.   ・業務提携者(Business Associate)- 保護されるべき医療情報の使用または開示を伴う特定の機能または活動を、対象事業体に代わって行う、または対象事業体にサービスを提供する個人または事業体[3]。ビジネス・アソシエイトは、自らのHIPAA違反に対して責任を負う。 
The Security Rule is separated into six main sections that each include several standards that a regulated entity must meet. Many of the standards contain implementation specifications. An implementation specification is a more detailed description of the method or approach that regulated entities can use to meet a particular standard. Implementation specifications are either required or addressable. Regulated entities must comply with required implementation specifications. Regulated entities must perform an assessment to determine whether each addressable implementation specification is a reasonable and appropriate safeguard to implement in the regulated entity’s environment.  セキュリティ規則は6つの主要なセクションに分かれており、それぞれに規制対象事業体が満たさなければならないいくつかの標準が含まれている。標準の多くには実装仕様が含まれている。実装仕様とは、規制対象事業体が特定の標準を満たすために使用できる方法またはアプローチのより詳細な記述である。実施仕様には、必須または対応可能のいずれかがある。規制対象事業体は、要求される実施仕様に準拠しなければならない。規制対象事業体は、対応可能な各実装仕様が、規制対象事業体の環境において実施する合理的で適切なセーフガードであるかどうかを判断するための評価を実施しなければならない。
The assessment, analysis, and management of risk to ePHI provide the foundation for a regulated entity’s Security Rule compliance efforts and the protection of ePHI. Readers are reminded of the Security Rule’s flexibility of approach. The HHS Office for Civil Rights (OCR) does not prescribe any particular risk assessment or risk management methodology. Section 3 and Sec. 4 provide background information about risk assessment and risk management processes, respectively, as well as approaches that regulated entities may choose to use in assessing and managing risk to ePHI.  ePHIに対するリスクのアセスメント、分析、およびマネジメントは、規制対象事業体のセキュリテ ィルール遵守の取り組みとePHI保護の基礎となる。読者は、セキュリティ規則の柔軟なアプローチに留意されたい。HHS市民権局(OCR)は、特定のリスクアセスメントやリスクマネジメント手法を規定しない。セクション3およびセクション4は、それぞれリスクアセスメントおよびリスクマネジメントプロセス、ならびにePHIのリスクアセスメントおよびリスクマネジメントにおいて規制対象事業体が選択できるアプローチに関する背景情報を提供する。
Many regulated entities may benefit from more specific guidance concerning how to comply with the standards and implementation specifications of the Security Rule. To that end, Sec. 5 highlights considerations for a regulated entity when implementing the Security Rule. Key activities, descriptions, and sample questions are provided for each standard. The key activities suggest actions that are often associated with the security functions suggested by that standard. Many of these key activities are often included in a robust security program and may be useful to regulated entities. The descriptions provide expanded explanations about each of the key activities and the types of activities that a regulated entity may pursue when implementing the standard. The sample questions are a non-exhaustive list of questions that a regulated entity may ask itself to determine whether the standard has been adequately implemented.  多くの規制対象事業体は、セキュリティ規則の標準および実施仕様に準拠する方法に関して、より具体的なガイダンスを得ることができる。そのため、Sec.5では、規制対象事業体がセキュリティ規則を実施する際に考慮すべき事項を示す。各標準について、主要な活動、説明、および質問例がプロバイダとして提供されている。主要な活動は、その標準が示唆するセキュリティ機能に関連することが多い行動を示唆している。これらの主要な活動の多くは、強固なセキュリティプログラムに含まれることが多く、規制対象事業体にとって有用であろう。説明では、各重点活動と、標準を実施する際に規制対象事業体が追求する可能性のある活動の種類につい て、詳しく説明している。質問例は、標準が適切に実施されているかどうかを判断するために、規制対象事業体が自らに問うことができる質問の非網羅的なリストである。
Regulated entities may implement the Security Rule more effectively if they are shown controls catalogs and cybersecurity activities that align with each standard. To assist regulated entities, this publication includes mappings of the Security Rule’s standards and implementation specifications to Cybersecurity Framework [NIST CSF] Subcategories and applicable security controls detailed in NIST Special Publication (SP) 800-53r5 (Revision 5), Security and Privacy Controls for Information Systems and Organizations [SP 800-53]. The mapping also lists additional NIST publications relevant to each Security Rule standard. Readers may draw upon these NIST publications and mappings for assistance in implementing the Security Rule.  規制対象事業体は、各基準に沿った管理目録とサイバーセキュリティ活動を示されれば、セキュリティ規則をより効果的に実施することができる。規制対象事業体を支援するために、本書では、セキュリティルールの標準と実装仕様のマッピングを、サイバーセキュリティフレームワーク[NIST CSF]のサブカテゴリーと、NIST 特別刊行物(SP)800-53r5(改訂 5)「情報システムおよび組織のセキュリティおよびプライバシー統制」[SP 800-53]に詳述されている該当するセキュリティ統制に掲載している。このマッピングには、各セキュリティルールの標準に関連するNISTの追加刊行物も記載されている。読者は、セキュリティ規則を実施する際の支援として、これらのNIST出版物やマッピングを利用することができる。
Additionally, Appendix F links to a wide variety of resources (e.g., guidance, templates, tools) that regulated entities may find useful for complying with the Security Rule and improving the security posture of their organizations. For ease of use, the resources are organized by topic. Regulated entities could consult these resources when they need additional information or guidance about a particular topic.   さらに、附属書Fは、規制対象事業体がセキュリティルールに準拠し、組織のセキュリティ態勢を改善するために有用と思われる多種多様なリソース(ガイダンス、テンプレート、ツールなど)へのリンクを掲載している。使いやすいように、リソースはトピックごとに整理されている。規制対象事業体は、特定のトピックに関する追加情報やガイダンスが必要な場合に、これらのリソースを参照することができる。 
The Security Rule is scalable and flexible by design. While the required standards and implementation specifications are the same for all regulated entities, reasonable and appropriate implementations of such standards and implementation specifications may be different for different organizations. For example, all regulated entities are required to implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI. An implementation of generating and examining these required audit logs that is reasonable and appropriate to reduce applicable risks to ePHI will often be vastly different for a small medical practice than for a national health plan.  セキュリティ規則は、設計上、拡張性と柔軟性を備えている。要求される標準と実装仕様はすべての規制対象事業体にとって同じであるが、そのような標準と実装仕様の合理的かつ適切な実装は、組織によって異なる可能性がある。例えば、すべての規制対象事業体は、ePHIを含む、またはePHIを使用する情報システムにおける活動を記録し、調査するハードウェア、ソフトウェア、および/または手続き上の仕組みを実装することが求められる。ePHIに適用されるリスクを低減するために合理的かつ適切な、これらの要求される監査ログの生成および検査の実施は、小規模な診療所と全国規模のヘルスプランとでは、しばしば大きく異なるであろう。
[1] For the remainder of this document, references to and discussions about the Security Rule will be to the Security Rule as amended by the Omnibus Rule unless otherwise specified.  [1] 本書の残りの部分では、特に断りのない限り、セキュリティ規則への言及およびセキュリティ規則に関する議論は、オムニバス規則により改正されたセキュリティ規則を指すものとする。
[2] A “regulated entity” refers to both covered entities and business associates as defined in the Security Rule. Business associates also include business associates’ subcontractors who have access to protected health information (PHI).  [2] 「規制対象事業体」とは、セキュリティ規則で定義される対象事業体と業務関連体の両方を指す。ビジネスアソシエイトには、保護された医療情報(PHI)にアクセスできるビジネスアソシエイトの下請業者も含まれる。
[3] A member of the covered entity’s workforce is not a business associate. A covered healthcare provider, health plan, or healthcare clearinghouse can be a business associate of another covered entity.  [3] 対象事業体の従業員は、ビジネスアソシエイトではない。対象となる医療プロバイダ、ヘルスプラン、またはヘルスケア・クリアリングハウスは、他の 対象事業体のビジネス・アソシエイトとなることができる。

 

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.26 NIST SP 800-66 Rev. 2 (ドラフト) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則の実装:サイバーセキュリティリソースガイド

 

| | Comments (0)

経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)

こんにちは、丸山満彦です。

2024.01.19に内閣官房の経済安全保障推進会議経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議で [PDF] 最終とりまとめが公表されたことを受けて、経団連が提言を公表していますね。。。

経団連からの提言は⚪︎と⚪︎以外があって、⚪︎以外について提言がされています。経団連からは原一郎常務理事が出席されていましたね...

 

この制度に限りませんが、国が制度を導入する際の経済性分析は欠かせないと思います。もちろん、安全保障の分野なので、それが阻害された場合の損害の大きさは大きく計算が困難だし、その発生可能性を見積もるのも簡単ではないのですが、制度運用のコストを分析し、制度実施をする前にそれも公表することが重要かと思います。

この辺りの透明性についての議論が日本全体ですくないように思いますね... 自民党の裏金問題でもそうですが、説明責任を十分に果たさず、透明性が欠如したままでは民主主義は成り立たないし、特に安全保障問題のような、国民の自由等を制限しかねない問題に対処する場合に、国民の信頼が得にくくなるでしょうね... これが日本人の限界かもですが... 日本人の限界は日本の限界...

 

さて...

 

2. 経団連の基本的な考え方...

20240220-51310

 

3. 新たな制度の具体的な方向性についての提言部分

20240220-51910

20240220-51935

20240220-52033

20240220-52120

 

4. CI以外の重要な情報の取り扱いについての提言部分

20240220-52132_20240220052601

 

5. 特定秘密制度等とのシームレスな運用についての提言...

20240220-52355

 

 

 

日本経済団体連合会

・2024.02.15 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言-有識者会議最終とりまとめを踏まえて-

・[PDF] 概要

20240220-51512

 

本文

目次的...


1.背景・経緯

2.基本的な考え方

3.新たな制度の具体的な方向性


  1. (1)情報指定の範囲
  2. (2)情報の管理・提供ルール

    1. ① 個人に対するクリアランス(個人の信頼性に関する調査と評価)
    2. ② 事業者に対するクリアランス(民間事業者等に対する情報保全)
  3. (3)プライバシーや労働法制等との関係
  4. (4)漏えい等の罰則
  5. (5)情報保全を適切に実施していくための取組み

4.CI以外の重要な情報の取扱い

5.特定秘密制度等とのシームレスな運用


 

・[PDF] 本文

20240220-53056

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)

 

 

| | Comments (0)

2024.02.19

中国 TC260 国家標準 「クラウドコンピューティングサービスの情報セキュリティ技術セキュリティ能力評価方法」公開草案 (2024.02.04)

こんにちは、丸山満彦です。

中国の家情報セキュリティ標準化技術委員会 (TC260) が「クラウドコンピューティングサービスの情報セキュリティ技術セキュリティ能力評価方法」公開草案を公表し、意見募集をしていますね。。。

これは、中国独自の標準ですかね。。。

引用標準としては、

GB/T 25069 信息安全技术 术语 GB/T 25069 情報セキュリティ技術用語集
GB/T 31167—2023 信息安全技术 云计算服务安全指南 GB/T 31167-2023 情報セキュリティ技術 クラウドコンピューティングサービスセキュリティガイドライン
GB/T 31168—2023 信息安全技术 云计算服务安全能力要求 GB/T 31168-2023 情報セキュリティ技術 クラウドコンピューティングサービスセキュリティ能力要件
GB/T 37972—2019 信息安全技术 云计算服务运行监管框架 GB/T 37972-2019 情報セキュリティ技術クラウドコンピューティングサービス運営規制枠組み

の4つがあります...

 

● 全国信息安全标准化技术委员会

・2024.02.04 关于国家标准《信息安全技术 云计算服务安全能力评估方法》征求意见稿征求意见的通知

ドラフトはこちら...

・[PDF] 信息安全技术 云计算服务安全能力评估方法-标准文本 (downloaded)

20240219-135956

 

目次...

前言 前書き
引言 序文
1 范围 1 範囲
2 规范性引用文件 2 引用規格
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 概述 5 概要
5.1 评估原则 5.1 アセスメントの原則
5.2 评估内容 5.2 アセスメントの内容
5.3 评估证据 5.3 アセスメントの証拠
5.4 评估实施过程 5.4 アセスメント実施プロセス
5.5 综合评估 5.5 総合アセスメント
6 系统开发与供应链安全评估方法 6 システム開発及びサプライチェーンのセキュリティアセスメントの方法論
6.1 资源分配 6.1 資源配分
6.2 系统生命周期 6.2 システムライフサイクル
6.3 采购过程 6.3 調達プロセス
6.4 系统文档 6.4 システムの文書化
6.5 关键性分析 6.5 重要度分析
6.6 外部服务 6.6 外部サービス
6.7 开发商安全体系架构 6.7 開発者セキュリティアーキテクチャ
6.8 开发过程、标准和工具 6.8 開発プロセス、標準及びツール
6.9 开发过程配置管理 6.9 開発プロセスの構成管理
6.10 开发商安全测试和评估 6.10 開発者セキュリティテストと評価
6.11 开发商提供的培训 6.11 開発者が提供するトレーニング
6.12 组件真实性 6.12 コンポーネントの真正性
6.13 不被支持的系统组件 6.13 サポートされないシステムコンポーネント
6.14 供应链保护 6.14 サプライチェーンの保護
7 系统与通信保护评估方法 7 システムと通信の保護評価手法
7.1 边界保护 7.1 境界防御
7.2 传输保密性和完整性 7.2 送信の機密性と完全性
7.3 网络中断 7.3 ネットワーク停止
7.4 可信路径 7.4 信頼された経路
7.5 密码使用和管理 7.5 パスワードの使用と管理
7.6 设备接入保护 7.6 機器のアクセス保護
7.7 移动代码 7.7 モバイルコード
7.8 会话认证 7.8 セッション認証
7.9 恶意代码防护 7.9 悪意のあるコードの保護
7.10 内存防护 7.10 メモリ保護
7.11 系统虚拟化安全性 7.11 システム仮想化のセキュリティ
7.12 网络虚拟化安全性 7.12 ネットワーク仮想化のセキュリティ
7.13 存储虚拟化安全性 7.13 ストレージ仮想化のセキュリティ
7.14 安全管理功能的通信保护 7.14 セキュリティ管理機能の通信保護
8 访问控制评估方法 8 アクセス制御の評価方法
8.1 用户标识与鉴别 8.1 ユーザ識別と認証
8.2 标识符管理 8.2 識別子の管理
8.3 鉴别凭证管理 8.3 識別認証情報管理
8.4 鉴别凭证反馈 8.4 認証クレデンシャルのフィードバック
8.5 密码模块鉴别 8.5 パスワードモジュール認証
8.6 账号管理 8.6 アカウント管理
8.7 访问控制的实施 8.7 アクセス制御の実装
8.8 信息流控制 8.8 情報フロー制御
8.9 最小特权 8.9 最小特権
8.10 未成功的登录尝试 8.10 ログイン試行失敗
8.11 系统使用通知 8.11 システム利用通知
8.12 前次访问通知 8.12 前回のアクセス通知
8.13 并发会话控制 8.13 同時セッション制御
8.14 会话锁定 8.14 セッションのロックアウト
8.15 未进行标识和鉴别情况下可采取的行动 8.15 識別及び認証に失敗した場合に取り得る措置
8.16 安全属性 8.16 セキュリティ属性
8.17 远程访问 8.17 リモートアクセス
8.18 无线访问 8.18 無線アクセス
8.19 外部信息系统的使用 8.19 外部情報システムの利用
8.20 可供公众访问的内容 8.20 一般にアクセス可能なコンテンツ
8.21 Web访问安全 8.21 ウェブアクセスのセキュリティ
8.22 API访问安全 8.22 APIアクセスのセキュリティ
9 数据保护评估方法 9 データ保護の評価方法
9.1 通用数据安全 9.1 一般的なデータセキュリティ
9.2 介质访问和使用 9.2 メディアへのアクセスと利用
9.3 剩余信息保护 9.3 残留情報の保護
9.4 数据使用保护 9.4 データ利用保護
9.5 数据共享保护 9.5 データ共有の保護
9.6 数据迁移保护 9.6 データ移行の保護
10 配置管理评估方法 10 構成管理の評価方法
10.1 配置管理 10.1 構成管理
10.2 基线配置 10.2 ベースライン構成
10.3 变更控制 10.3 変更管理
10.4 配置参数的设置 10.4 構成パラメータの設定
10.5 最小功能原则 10.5 最小機能の原則
10.6 信息系统组件清单 10.6 情報システム構成要素一覧
11 维护管理评估方法 11 保守管理の評価方法
11.1 受控维护 11.1 管理保守
11.2 维护工具 11.2 保守ツール
11.3 远程维护 11.3 遠隔保守
11.4 维护人员 11.4 メンテナンススタッフ
11.5 及时维护 11.5 適時メンテナンス
11.6 缺陷修复 11.6 欠陥の修復
11.7 安全功能验证 11.7 安全機能の検証
11.8 软件和固件完整性 11.8 ソフトウェアとファームウェアの完全性
12应急响应评估方法 12 緊急時対応の評価手法
12.1事件处理计划 12.1 事故対応計画
12.2事件处理 12.2 事故処理
12.3事件报告 12.3 インシデント報告
12.4事件处理支持 12.4 インシデント対応サポート
12.5安全报警 12.5 セキュリティ警告
12.6错误处理 12.6 エラー処理
12.7应急响应计划 12.7 緊急対応計画
12.8应急培训 12.8 緊急対応訓練
12.9应急演练 12.9 緊急時対応訓練
12.10信息系统备份 12.10 情報システムのバックアップ
12.11支撑客户的业务连续性计划 12.11 顧客支援のための事業継続計画
12.12电信服务 12.12 電気通信サービス
13 审计评估方法 13 監査の評価方法
13.1 可审计事件 13.1 監査対象事象
13.2 审计记录内容 13.2 監査記録の内容
13.3 审计记录存储容量 13.3 監査記録の保存容量
13.4 审计过程失败时的响应 13.4 監査プロセスが失敗した場合の対応
13.5 审计的审查、分析和报告 13.5 監査レビュー、分析、報告
13.6 审计处理和报告生成 13.6 監査処理およびレポート生成
13.7 时间戳 13.7 タイムスタンプ
13.8 审计信息保护 13.8 監査情報の保護
13.9 抗抵赖性 13.9 否認防止
13.10 审计记录留存 13.10 監査記録の保持
14 风险评估与持续监控评估方法 14 リスクアセスメントと継続的モニタリングの評価方法
14.1 风险评估 14.1 リスク評価
14.2 脆弱性扫描 14.2 脆弱性スキャン
14.3 持续监控 14.3 継続的モニタリング
14.4 信息系统监测 14.4 情報システムの監視
14.5 垃圾信息监测 14.5 スパム監視
15 安全组织与人员 15 セキュリティ組織と人員
15.1 安全策略与规程 15.1 セキュリティ方針と手順
15.2 安全组织 15.2 セキュリティ組織
15.3 岗位风险与职责 15.3 職務リスクと責任
15.4 人员筛选 15.4 人員の選別
15.5 人员离职 15.5 人員の分離
15.6 人员调动 15.6 人員の異動
15.7 第三方人员安全 15.7 第三者の人的セキュリティ
15.8 人员处罚 15.8 人的制裁
15.9 安全培训 15.9 安全トレーニング
16 物理与环境安全评估方法 16 物理的および環境的安全性評価方法論
16.1 物理设施与设备选址 16.1 物理的施設・設備の配置
16.2 物理和环境规划 16.2 物理的環境計画
16.3 物理环境访问授权 16.3 物理的環境へのアクセス許可
16.4 物理环境访问控制 16.4 物理的環境アクセス制御
16.5 输出设备访问控制 16.5 出力機器アクセス制御
16.6 物理访问监控 16.6 物理的アクセス監視
16.7 访客访问记录 16.7 ゲストアクセスロギング
16.8 设备运送和移除 16.8 機器の配信と削除
附录A(资料性)常见云计算服务脆弱性问题 附属書A (参考)クラウドコンピューティングサービスに共通する脆弱性の問題
参考文献 参考文献

 


 

ちなみに、ISO/IEC 27001, 27005の中国版の標準も意見募集がされていました。。。

2024.01.04 关于国家标准《信息安全技术 信息安全风险管理指导》征求意见稿征求意见的通知  国家標準「情報セキュリティ技術情報セキュリティリスク管理ガイダンス」に関する意見募集の通知 ISO/IEC 27005
2024.01.04 关于国家标准《信息安全技术 信息安全管理体系 要求》征求意见稿征求意见的通知  国家標準「情報セキュリティ技術 情報セキュリティマネジメントシステム要件」に関する意見募集の通知 ISO/IEC 27001

 

| | Comments (0)

ENISA 低軌道(LEO)衛星通信のサイバーセキュリティ評価

こんにちは、丸山満彦です。

日本ではH3ロケットの打ち上げが成功し、今後の衛星打ち上げ競争への遅れの懸念も少しは緩和されたかもしれません。。。まずは、よかったと思います。ただ、世の中進歩は早いので、米国、中国、欧州、ロシアもさらに競争力のあるロケットを開発してくると思いますので、これからの運用技術の改善や、あらたなロケットの開発に継続的に取り組まなければならないということなのでしょうね。。。GDPが相対的に低下してきていることから、資金面では更なる苦労が想定されますが、経済力も技術力も国際的なレベルにしていく必要gるのでしょうね。。。

さて、欧州のENISAが、これからのインターネット通信インフラの一部を担うであろう、低軌道(LEO)衛星通信についてのサイバーセキュリティ評価の文書を公表していますね。。。

経済産業省の産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化) - 宇宙産業サブワーキンググループ の委員もしているので、気になるところです(^^)

NISTの、

  • NIST IR 8401 衛星地上セグメント サイバーセキュリティフレームワークの衛星指揮制御への適用
  • NIST IR 8270 商業衛星運用のためのサイバーセキュリティ序文(第2ドラフト)
  • NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワークプロファイル -初期公開ドラフト

は紹介されているのに、経済産業省の

・2023.03.31 民間宇宙システ ムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

が紹介されていないのは、ちょっと寂しいですね...

ENISA

・2024.02.15 Low Earth Orbit (LEO) SATCOM Cybersecurity Assessment

Low Earth Orbit (LEO) SATCOM Cybersecurity Assessment 低軌道(LEO)衛星通信のサイバーセキュリティ評価
This report explores the cybersecurity of Low Earth Orbit (LEO) constellations providing telecommunications services (LEO satcom). Examining various threats and risks-technical, financial, or commercial the landscape of potential attacks is vast. It includes traditional cyber threats targeting user and control segments (terminals, gateways, telemetry tracking, command stations, and interconnection networks), extending to satellite-specific attacks. Consequently, LEO satcom systems require a tailored security approach. 本報告書では、電気通信サービスを提供する低軌道(LEO)衛星通信(LEO satcom)のサイバーセキュリティを調査している。技術的、財政的、商業的な様々な脅威とリスクを検証しており、潜在的な攻撃の状況は膨大である。ユーザーと制御セグメント(端末、ゲートウェイ、テレメトリ・トラッキング、コマンド・ステーション、相互接続ネットワーク)を標的とする従来のサイバー脅威から、衛星固有の攻撃まで含まれる。その結果、LEO衛星通信システムは、カスタマイズされたセキュリティ・アプローチを必要とする。

 

・[PDF]

20240219-61613

・[DOCX] 仮訳

・[PDF] 仮訳

 

 

目次...

LIST OF ABREVIATIONS 略語リスト
1. INTRODUCTION 1 序文
1.1 BACKGROUND 1.1 背景
1.2 SCOPE AND OBJECTIVES 1.2 範囲と目的
1.3 TARGET AUDIENCE 1.3 対象読者
1.4 STRUCTURE OF THE REPORT 1.4 報告書の構成
2. LEO SATCOM OVERVIEW 2 低軌道(LEO)衛星の概要
2.1 INVENTORY OF LEO SATELLITES COMMUNICATIONS SERVICES 2.1 低軌道(LEO)衛星通信サービス目録
2.2 THE FINANCIAL DIMENSION OF LEO CONSTELLATIONS 2.2 低軌道(LEO)衛星の金融的側面
2.3 COMPARISON TO GEOSTATIONARY SATELLITE COMMUNICATION SYSTEMS 2.3 静止衛星通信システムとの比較
3. LEO SATCOM ASSETS AND INFRASTRUCTURES 3 低軌道(LEO)衛星通信の資産とインフラ
3.1 LEO SATCOM SYSTEM ARCHITECTURE 3.1 低軌道(LEO)衛星通信システム・アーキテクチャ
3.2 ORGANISATION OF SPACE PROJECTS 3.2 宇宙プロジェクトの組織
3.3 TECHNOLOGY AND SUPPLY CHAIN 3.3 テクノロジーとサプライチェーン
4. SECURITY CHALLENGES FOR LEO SATCOM SYSTEMS AND SERVICES 4 低軌道(LEO)衛星通信システムおよびサービスにおけるセキュリティの課題
4.1 TECHNICAL RISKS 4.1 技術的リスク
4.2 FINANCIAL AND COMMERCIAL RISKS 4.2 金融・商業リスク
4.3 MALICIOUS THREATS 4.3 悪意のある脅威
4.4 NON-MALICIOUS THREATS 4.4 悪意のない脅威
4.5 CYBER INCIDENTS ON LEO SATCOM SYSTEMS 4.5 低軌道(LEO)衛星通信システムへのサイバーインシデント
5. STANDARDS AND RECOMMENDATIONS FOR SATCOM CYBERSECURITY 5 衛星通信のサイバーセキュリティに関する標準と 推奨事項
5.1 EUROPEAN COOPERATION FOR SPACE STANDARDIZATION 5.1 宇宙標準化のための欧州協力
5.2 CONSULTATIVE COMMITTEE FOR SPACE DATA SYSTEMS 5.2 宇宙データ空間システム諮問委員会
5.3 EUROPEAN TELECOMMUNICATION STANDARDs INSTITUTE 5.3 欧州電気通信標準機構
5.4 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY 5.4 国立標準技術研究所
5.5 EUROPEAN SPACE AGENCY AND AEROSPACE CORPORATION THREAT FRAMEWORKS 5.5 欧州宇宙機関と航空宇宙企業の脅威の枠組み
5.6 OTHER INITIATIES 5.6 その他の取り組み
5.7 OUTLOOK ON FORTHCOMING INITIATIVES 5.7 今後の取り組みについて
6. CYBERSECURITY STRENGTHS AND WEAKNESSES OF SATCOM IN COMPARISON TO TERRESTRIAL NETWORKS 6 地上波ネットワークとの比較における衛星通信のサイバーセキュリティの強みと弱み
7. CONCLUSIONS 7 結論

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー
This report covers the topic of cybersecurity of Low Earth Orbit (LEO) constellations delivering telecommunications services (LEO satcom in short). The key specifics of an LEO satcom system may be summed up as (a) many assets forming the space and ground segments and (b) a worldwide distribution of the services delivered by those assets. These two aspects usually differentiate satcom systems from terrestrial and other space systems (such as geostationary satellites), where the service coverage under the responsibility of a single organisation/system is smaller. The global nature of LEO satcom also calls for tailored cybersecurity treatment.  本報告書は、電気通信サービスを提供する低軌道(LEO)コンステレーション(略して低軌道(LEO)衛星通信)のサイバーセキュリティをテーマとしている。低軌道(LEO)衛星通信システムの主な特徴は、(a)宇宙および地上セグメントを形成する多くの資産と、(b)これらの資産によって提供されるサービスの世界的な分布である。これら2つの側面は、通常、衛星通信システムを、単一の組織/システムの責任下でのサービス範囲が狭い地上および他の宇宙システム(静止衛星など)と区別する。また、低軌道(LEO)衛星通信のグローバルな特性は、サイバーセキュリティに特化した対応を求めている。 
When looking at different threats and incurred risks (whether technical, financial or commercial), the landscape of possible attacks is rich. It includes classic cyber threats as found in terrestrial systems that target the user and control segments (terminals, gateways, telemetry tracking and command stations, and interconnection networks). But it also extends to attacks focusing specifically on the satellites forming the space segment. For these reasons, LEO satcom systems deserve a tailored approach when it comes to their security. This situation is acknowledged by actors in the sector and has resulted in several initiatives, among them the European Space Agency (ESA) Space Attacks and Countermeasures Engineering Shield (SPACE-SHIELD).  さまざまな脅威と発生するリスク(技術的、財政的、商業的の別を問わない)を見てみると、想定される攻撃は多岐にわたる。その中には、地上システムで見られるような、ユーザーと制御セグメント(端末、ゲートウェイ、テレメトリー追跡とコマンドステーション、相互接続ネットワーク)を標的とする古典的なサイバー脅威も含まれる。しかし、宇宙セグメントを形成する衛星に特化した攻撃にも及んでいる。このような理由から、低軌道(LEO)衛星通信システムのセキュリティに関しては、そのシステムに合わせたアプローチが必要である。このような状況は、この分野の関係者にも認識されており、欧州宇宙機関(ESA)の「宇宙攻撃と対策エンジニアリング・シールド(SPACE-SHIELD)」など、いくつかのイニシアティブを生み出している。 
The survey on past cyber incidents shows that most attacks fall roughly into two categories: data theft through reverse engineering of user link transmission techniques; and denial of service, targeting either the ground or space segments, possibly resulting in a service degradation or outage. The first category of incidents calls for the use of common encryption techniques. The second calls for standards and recommendations in cyber protection, which are applicable to all segments of space systems.  過去のサイバーインシデントに関する調査によると、ほとんどの攻撃は、ユーザーリンク伝送技術のリバースエンジニアリングによるデータ窃盗と、地上セグメントまたは宇宙セグメントのいずれかを標的としたサービス妨害の2つのカテゴリーに大別される。インシデントの最初のカテゴリーでは、一般的な暗号化技術の使用が求められる。2つ目は、宇宙システムのすべてのセグメントに適用可能なサイバー保護の標準と勧告を求めるものである。 
The report also includes a comparison of LEO satcom and broadband terrestrial cellular networks based on cyber threat exposure and impact severity. The case of cellular networks is believed to be a representative case of more generic terrestrial networks. Based on technical considerations only, the comparison reveals that the cyber risk is higher for space systems.  また、サイバー脅威のエクスポージャーと影響の重大性に基づいて、低軌道(LEO)衛星通信ネットワークとブロードバンド地上セルラーネットワークの比較も行っている。セルラーネットワークのケースは、より一般的な地上ネットワークの代表者であると考えられる。技術的な検討のみに基づく比較では、サイバーリスクは宇宙システムの方が高いことが明らかになった。 
Concluding, the report shows that the cyber protection needs of LEO satcom systems extend beyond what exists for terrestrial systems. The advent of commercial mega-constellations is a clear call for a coordinated approach in space systems security by means of standards, recommendations, information sharing and training.  最後に、この報告書は、LEO衛星通信システムのサイバー保護ニーズは、地上システムに存在するものを超えていることを示している。商業的なメガコンステレーションの出現は、標準、勧告、情報共有、訓練によって、宇宙システムのセキュリティに協調的なアプローチを求める明確な要請である。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.26 NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル

・2023.08.01 NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティフレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

| | Comments (0)

世界経済フォーラム (WEF) 貿易に重要な海峡

こんにちは、丸山満彦です。

貿易品の90%は、海上輸送のようですね。。。島国の日本は海路が重要ですよね。。。

5つの重要な海路について簡単に紹介されていますね。。。

  1. イギリス海峡
  2. マラッカ海峡
  3. ホルムズ海峡
  4. スエズ運河
  5. パナマ運河

 

World Economic Forum - Whitepaper

・2024.02.15 These are the world's most vital waterways for global trade

 

1. イギリス海峡  [wikipedia]

ドーバー海峡を含む英仏海峡は、世界で最も交通量の多い航路だそうです。。。

01_20240219021801

 

 

2. マラッカ海峡 [wikipedia]

インド洋と太平洋を結ぶ海路...毎年約94,000隻、世界の貿易品の30%がマラッカ海峡を通るようです。

02_20240219022301

 

 

3. ホルムズ海峡 [wikipedia]

イランとオマーンの間に挟まれ、ペルシャ湾とアラビア海を結んでいますね。。。世界の石油消費量の5分の1にあたる約2100万バレル、世界の液化天然ガスの20%毎日通過しているそうです。。。 

03_20240219022801

 

 

4. スエズ運河 [wikipedia]

地中海と紅海を結び、 毎年平均2万隻以上、毎日60隻弱以上の船舶が通過しているそうです。全長は約200Km。喜望峰を回る約9,000kmをぐっと減らし、8日〜10日早くいけるようですね。。。

でも、ニュースにもなっていますが、紅海の治安の悪化で、通貨する船が減っているようですね。。。

04_20240219023901

 

 

5. パナマ運河 [wikipedia]

太平洋と大西洋を結ぶ約80kmの運河。距離はスエズ運河よりも短いが、起伏がある(途中にあるガトゥン湖は海抜26m)ので閘門式運河となっていますね。。。このため、大量の水が必要で、雨が少ないと通せる船の量が減る...

現在、年間やく14,000隻の船が通過しているようですね。。。

また、閘門による船の大きさの制限がありますね。。。第二次世界大戦中に米国が製造した超弩級戦艦アイオワ級もパナマ運河が通れるように33mの幅に制限されていましたね。。。

05_20240219025601

 

 

全く情報セキュリティには関係しないのですが、まぁ、気まぐれ日記...ということで...

 

 

 

| | Comments (0)

2024.02.18

ドイツ BSI TR-03182 電子メール認証:電子メールによるID詐欺への対応

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik; BSI) が、電子メールによるID詐欺への対応にも繋がる、電子メール認証の技術文書、BSI TR-03182 電子メール認証を公表していますね。。。

Bundesamt für Sicherheit in der Informationstechnik; BSI

プレス...

・2024.02.16 Neue TR des BSI: Identitätsmissbrauch in E-Mail bekämpfen

Neue TR des BSI: Identitätsmissbrauch in E-Mail bekämpfen 新しいBSI TR:電子メールにおけるID詐欺に