米国 IC3 電子投票の交付、マーク付け、返送に関するリスクマネジメント (2024.02.14)
こんにちは、丸山満彦です。
2024年はオリンピックの年でもありますが、それ以上に選挙の年ということで盛り上がっている感じですね...
すでに1月に台湾総統選、2月にインドネシア大統領選(世界最大の直接選挙)がありましたが、3月にはロシア大統領選、4月には韓国議会選、インド議会選、6月にはメキシコ大統領選、ヨーロッパ議会選、そして11月にはアメリカ大統領選...
民主主義の国では国民による選挙がまさに国の方針を決めることになりますので、重要なイベントといえます。そんな選挙にもデジタル化の波は押し寄せていますの、サイバーセキュリティ、プライバシーを含めて考慮事項はいくつかありますよね...
まあ、日本では2003年5月に実施された可児市の電子投票が無効になるという事件もあって、すっかり下火(どこもしていない...)になっていますが... そろそろ技術も変わってきたこともあるし、世界で実施されてきている事例もあるので、長く低迷している投票率をあげて民意をより反映させるという意味でも(もちろん、投票率が上がると困る議員や党があるのかもしれませんが...)良いことなのではないかなぁと思ったりすることもあります...
が、不正のリスクはより大きく起こり得るし、システム障害のリスクも常にあるし、それが致命的ということもあるので、なかなか難しいなぁ...と思っているところです...
さて...
米国の連邦捜査局 FBIの部門である、インターネット犯罪苦情センター (Internet Crime Complaint Center; IC3) が電子投票の交付、マーク付け、返送に関するリスクマネジメントという選挙管理者側に対する文書を公表していますね...
電子投票は効率的な面もあるけど、インターネット経由の返送についてはリスクが高いので紙ですることが推奨されています!インターネット経由による返送は、他に手段がない場合に限るように、、、という感じですね。。。
● Internet Crime Complaint Center; IC3
・2024.02.14 [PDF] Risk Management for Electronic Ballot Delivery, Marking, and Return
RISK MANAGEMENT FOR ELECTRONIC BALLOT DELIVERY, MARKING, AND RETURN | 電子投票の交付、採点、返却に関するリスクマネジメント |
INTRODUCTION | 序文 |
Some voters face challenges voting in-person and by mail. State and local election officials in many states use email, fax, web portals, and/or web-based applications to facilitate voting remotely for groups like military and overseas voters and voters with specific needs. | 有権者の中には、対面投票や郵送による投票が困難な人もいる。多くの州の州・地域の選挙管理者は、軍人や在外有権者、特定のニーズを持つ有権者などのために、電子メール、ファックス、ウェブポータル、および/またはウェブベースのアプリケーションを使用して、遠隔地からの投票を促進している。 |
The Cybersecurity and Infrastructure Security Agency (CISA), the Election Assistance Commission (EAC), the Federal Bureau of Investigation (FBI), and the National Institute of Standards and Technology (NIST) assess that the risks vary for electronic ballot delivery, marking, and return. While there are effective risk management controls to enable electronic ballot delivery and marking, we recommend paper ballot return as electronic ballot return technologies are high-risk even with controls in place. Recognizing that some election officials are mandated by state law to employ this high-risk process, its use should be limited to voters who have no other means to return their ballot and have it counted. Notably, we assess that electronic delivery of ballots to voters for return by mail is less vulnerable to systemic disruption. | サイバーセキュリティ・インフラセキュリティ庁(CISA)、選挙支援委員会(EAC)、連邦捜査局(FBI)、国立標準技術研究所(NIST)は、電子投票の交付、採点、返送のリスクはさまざまであると評価している。電子投票用紙の交付とマーキングを可能にするための効果的なリスクマネジメントが存在する一方で、電子投票用紙の返送技術は、コントロールを導入していてもリスクが高いため、紙による投票用紙の返送を推奨する。このリスクの高いプロセスを採用することが州法で義務付けられている選挙管理者もいることを認識した上で、その使用は、投票用紙を返送して集計してもらう手段が他にない有権者に限定すべきである。特筆すべきは、郵便で投票用紙を返送するための有権者への電子交付は、システム上の混乱に対して脆弱性が低いと評価できることである。 |
In this document, we identify risks and considerations for election administrators seeking to use electronic ballot delivery, electronic ballot marking, and/or electronic return of marked ballots. The cybersecurity characteristics of these remote voting solutions are further explored in NISTIR 7551: A Threat Analysis on UOCAVA Voting Systems. | この文書では、電子投票用紙の交付、電子投票用紙の記名、および/または記名された投票用紙の電子返送を利用しようとする選挙管理者のリスクと留意点を明らかにする。これらの遠隔投票ソリューションのサイバーセキュリティ特性は、NISTIR 7551: A Threat Analysis on UOCAVA Voting Systems でさらに検討されている。 |
RISK OVERVIEW | リスクの概要 |
All states use electronic ballot delivery to transmit a digital copy of an unmarked ballot to the intended voter to mark, in compliance with the Military and Overseas Voters Empowerment Act (MOVE). These ballot delivery systems are exposed to typical information security risks of internet-connected systems. The most severe risks to electronic ballot delivery systems are those that would impact the integrity and/or availability of the ballots, such as altering or removing ballot choices. These risks can be reduced and managed through use of appropriate security controls. Additionally, some electronic ballot delivery systems perform functions to verify a voter’s identity before presenting them their assigned ballot. The identification process can use personal identifying information, such as name and driver’s license number, or biometrics. When this verification is improperly configured, remote electronic ballot delivery systems can present additional privacy risks—like the loss or theft of the voter’s personal and/or biometric identity information. These risks may be managed through configuration management and appropriate security controls. | すべての州は、軍および在外有権者権利拡大法(MOVE)に従い、無記名の投票用紙のデジタル・コピーを目的の有権者に送信して記名させるために、電子投票用紙配信を使用している。このような投票用紙交付システムは、インターネットに接続されたシステムの典型的な情報セキュリティリスクにさらされている。電子投票用紙交付システムにとって最も深刻なリスクは、投票用紙の選択肢の変更や削除など、投票用紙の完全性および/または可用性に影響を与えるものである。このようなリスクは、適切なセキュリティコントロールを使用することで、軽減・マネジメントすることができる。さらに、一部の電子投票用紙交付システムは、有権者に割り当てられた投票用紙を提示する 前に、有権者の身元を確認する機能を実行する。識別プロセスは、氏名や運転免許証番号などの個人を特定できる情報、またはバイオメトリクス を使用することができる。この検証の構成が不適切な場合、リモート電子投票用紙配布システムは、有権者の個人 ID 情報および/またはバイオメトリクス ID 情報の損失または盗難など、さらなるプライバシー・リスクをもたらす可能性がある。これらのリスクは、構成マネジメントおよび適切なセキュリ ティ制御によって管理することができる。 |
Electronic ballot marking allows voters to mark their ballots outside of a voting center or polling place. Typically, this describes the electronic marking of a digital copy of the blank ballot using the electronic interface. The marked ballot is then returned to the appropriate official. Risks to electronic ballot marking are best managed through the production of an auditable record, meaning the voted ballot is printed and verified by the voter before being routed to the appropriate official. This auditable record is an important compensating control for detecting a compromise of security in remote voting. | 電子投票は、投票者が投票センターや投票所の外で投票用紙に印をつけることを可能にする。一般的には、電子インターフェイスを使用して、白紙の投票用紙のデジタルコピーに電子的に印をつけることを指す。マークされた投票用紙は、その後、適切な係官に返却される。 つまり、投票された投票用紙が印刷され、有権者によって確認された後、適切な係官に返送されるのである。この監査可能な記録は、遠隔投票におけるセキュリティの侵害を検知するための重要な補償管理である。 |
Electronic ballot return, the digital return of a voted ballot by the voter, creates significant security risks to the confidentiality of ballot and voter data (e.g., voter privacy and ballot secrecy), integrity of the voted ballot, and availability of the system. We view electronic ballot return as high risk. | 投票者による投票済み投票のデジタル返却である電子投票用紙の返却は、投票用紙および投票者データの機密性(投票者のプライバシー・投票の秘密など)、投票済み投票の完全性、システムの可用性に重大なセキュリティリスクをもたらす。私たちは、電子投票用紙の返却はハイリスクであると考えている。 |
Securing the return of voted ballots via the internet while ensuring ballot integrity and maintaining voter privacy is difficult, if not impossible, at this time. As the National Academies of Science, Engineering, and Medicine write in Securing the Vote: Protecting American Democracy (2018), “We do not, at present, have the technology to offer a secure method to support internet voting. It is certainly possible that individuals will be able to vote via the internet in the future, but technical concerns preclude the possibility of doing so securely at present.” If election officials choose or are mandated by state law to employ this high-risk process, its use should be limited to voters who have no other means to return their ballot and have it counted. Further, election officials should have a mechanism for voters to check the status of their ballot, as required for provisional ballots and military and overseas voters by the Help America Vote Act and the MOVE Act, respectively. | 投票用紙の完全性を確保し、有権者のプライバシーを維持しながら、インターネット経由で投票済み投票用紙の返却を確保することは、現時点では不可能ではないにせよ、困難である。全米科学・工学・医学アカデミーがSecuring the Vote(投票の安全確保)の中で書いているように: 現時点では、インターネット投票をサポートする安全な方法を提供する技術はない。将来、個人がインターネット経由で投票できるようになる可能性は確かにあるが、技術的な懸念から、現時点では安全に投票できる可能性はない。" もし選挙管理者がこのリスクの高いプロセスを採用することを選択したり、州法によって義務付けられたりするのであれば、その使用は、投票用紙を返送して集計してもらう手段が他にない有権者に限定されるべきである。さらに、選挙当局は、Help America Vote ActとMOVE Actがそれぞれ仮投票と軍人・在外投票者に義務付けているように、投票者が自分の投票状況を確認できる仕組みを備えるべきである。 |
RISK COMPARISON – ELECTRONIC AND MAILED BALLOT RETURN | 電子投票と郵送投票のリスク比較 |
Some risks of electronic ballot return have a physical analogue to the return mailing of ballots. However, electronic systems present far greater risk to impact a significant number of ballots in seconds. | 電子投票のリスクには、投票用紙の返送と物理的に類似したものがある。しかし、電子システムは、数秒のうちに相当数の投票用紙に影響を与えるリスクがはるかに大きい。 |
・Scale – While mailing of ballots could be vulnerable to localized exploitation, electronic return of ballots could be manipulated at scale. For mailed ballots, an adversary could theoretically gain physical access to a mailed ballot, change the contents, and reinsert it into the mail. This physical man-in-the-middle (MITM) attack is limited to low-volume attacks and mitigated by proper chain of custody procedures by election officials. In comparison, an electronic MITM attack could be conducted from anywhere in world, at high volumes, and could compromise ballot confidentiality, ballot integrity, and/or stop ballot availability. | ・規模 :投票用紙の郵送は局地的な悪用に対して脆弱性があるが、投票用紙の電子返送は大規模に操作される可能性がある。郵送投票の場合、敵対者は理論上、郵送された投票用紙に物理的にアクセスし、内容を変更し、再び郵送することができる。この物理的な中間者(MITM)攻撃は、少量の攻撃に限定され、選挙管理者による適切な連鎖保管手続きによって低減される。これに比べ、電子的なMITM攻撃は、世界中どこからでも、大量に行われる可能性があり、投票用紙の機密性、投票用紙の完全性攻撃を危うくし、投票用紙の可用性攻撃を止める可能性がある。 |
・Bring Your Own Device – Unlike traditional voting systems, electronic ballot delivery and return systems require a voter to use their own personal devices such as a cell phone, computer, or tablet to access the ballot. A voter’s personal device may not have the necessary safeguards in place. As a result, votes cast through “bring your own device” voting systems may appear intact upon submission despite tampering as a result of an attack on the personal device rather than on the ballot submission application itself. Voters using personal devices increase the potential for an electronic ballot delivery and return system to be exposed to security threats. | ・個人デバイスの持ち込み:従来の投票システムとは異なり、電子投票用紙の交付・返却システムでは、投票者は携帯電話、コンピュータ、タブレットなどの個人所有のデバイスを使って投票用紙にアクセスする必要がある。有権者の個人所有のデバイスには、必要なセーフガードが施されていない可能性がある。その結果、「自分のデバイスを持ち込む」投票システムを通じて投じられた票は、投票用紙提出アプリケーション自体ではなく、個人のデバイスに対する攻撃の結果として改ざんされたにもかかわらず、提出時には無傷のように見える可能性がある。投票者が個人所有のデバイスを使用することで、電子投票用紙の交付・返却システムがセキュリティ上の脅威にさらされる可能性が高まる。 |
・Voter Privacy – Electronic ballot return brings significant risk to voter privacy. Unlike traditional vote by mail where there is separation between the voter’s information and their ballot, many remote voting systems link the two processes together digitally. This makes it difficult to implement strong controls that preserve the privacy of the voter while keeping the system accessible. | ・有権者のプライバシー :電子投票用紙の返送は、有権者のプライバシーに重大なリスクをもたらす。有権者の情報と投票用紙が分離されている従来の郵送投票とは異なり、多くの遠隔投票システムは、2つのプロセスをデジタル的にリンクさせている。このため、システムにアクセス可能な状態を保ちながら、有権者のプライバシーを守るような強力な管理策を導入することは困難である。 |
TECHNICAL CONSIDERATIONS FOR ELECTRONIC BALLOT RETURN | 電子投票用紙の返却に関する技術的考慮事項 |
Some voters, due to specific needs or remote locations, may not be able to print, sign, and mail in a ballot without significant difficulty. While we assess electronic ballot return to be high risk, some jurisdictions already use electronic ballot return systems, and others may decide to assume the risk. | 有権者の中には、特殊なニーズや遠隔地のために、投票用紙の印刷、署名、郵送が困難な人もいる。我々は、電子投票用紙の返送はハイリスクであるとアセスメントしているが、すでに電子投票用紙返送システムを使用している管轄区域もあり、また他の管轄区域がリスクを引き受けることを決定する場合もある。 |
While risk management activities should lower risk, election officials, network defenders, and the public may all have different perspectives on what level of risk is acceptable for the systems used to administer an election. For those jurisdictions that have accepted the high risk of electronic ballot return, the following guidance identifies cybersecurity best practices for internet- and network-connected election infrastructure. The information provided should be considered a starting point and is not a comprehensive list of defensive cybersecurity actions. Even with these technical security considerations, electronic ballot return remains a high-risk activity. Refer to applicable standards, best practices, and guidance on secure system development, acquisition, and usage. | リスクマネジメント活動によってリスクは低下するはずであるが、選挙管理者、ネットワーク擁護者、そして一般市民は、選挙を管理するために使用されるシステムにどの程度のリスクが許容されるかについて、それぞれ異なる見解を持っているかもしれない。電子投票返送の高いリスクを受け入れている管轄区域のために、以下のガイダンスは、インターネットおよびネットワークに接続された選挙インフラのためのサイバーセキュリティのベストプラクティスを特定するものである。提供される情報は出発点と考えるべきであり、サイバーセキュリティの防御措置の包括的なリストではない。このような技術的なセキュリティ上の配慮があっても、電子投票用紙の返送は依然としてリスクの高い活動である。該当する標準、ベストプラクティス、および安全なシステム開発、取得、使用に関するガイダンスを参照すること。 |
GENERAL | 一般 |
・All election systems and technology should be completely separated from systems that are not required for the implementation or use of that specific system. | ・すべての選挙システムおよびテクノロジーは,その特定のシステムの導入または使用に必 要でないシステムから完全に分離されるべきである。 |
・Any ballots received electronically should be printed or remade as a paper record. | ・電子的に受け取った投票用紙は、印刷するか、紙の記録として作り直すべきである。 |
・Election officials should implement processes to separate the ballot from the voter’s information in a manner that maintains the secrecy of the ballot. | ・選挙管理者は,投票用紙の機密性を維持する方法で,投票用紙を有権者の情報から分離するプロセスを導入すべきである。 |
・If the system attempts to verify the voter’s identity through digital signature, biometric capture, or other method, assess whether an attacker could use this to violate ballot secrecy. | ・システムが,デジタル署名,バイオメトリクス・キャプチャ,またはその他の方法によって有権者の身元を確認しようとする場合,攻撃者がこれを使用して投票の秘密を侵害する可能性があるかどうかを評価する。 |
・The auditability of the results should not rely solely on the data stored digitally within the system. | ・結果の監査可能性は,システム内にデジタル保存されたデータだけに依存すべきではない。 |
・Best practices for securing voter registration data should be used to protect the personal identifying information that is stored in the voter registration database and used to authenticate voters. | ・有権者登録データを保護するためのベストプラクティスは,有権者登録データベースに保存され,有権者を認証するために使用される個人を特定できる情報を保護するために使用されるべきである。 |
・Removable storage media (e.g., USB drives, compact flash cards) used to handle sensitive election data should be obtained from a trusted source and erased before being used. To the extent practical, removable storage media should be new. | ・機密性の高い選挙データを扱うために使用されるリムーバブル・ストレージ・メディア(例: USB ドライブ、コンパクト・フラッシュ・カード)は、信頼できる情報源から入手し、使用前に消去すべきである。 |
・Follow the domain security best practices issued by the Federal Government available at [web] | ・連邦政府が発行したドメイン・セキュリティのベストプラクティス([web])に従う。 |
FAX | ファックス |
Facsimile (fax) machines are often used by local election offices and voters. While this may be a convenient tool for distributing or receiving ballots, policy makers should be aware of the risks and challenges associated with fax. Fax has no security protections unless sent over a secured phone line and is generally not considered suitable for sensitive communications. Faxes may be viewed or intercepted by malicious actors with access to phone lines. Furthermore, multipurpose fax machines with networked communications capability can be leveraged by cyber actors to compromise other machines on the network. We recommend election officials using fax machines implement the following best practices. | ファクシミリ(FAX)は、地方の選挙事務所や有権者によく使われている。これは投票用紙の配布や受け取りに便利なツールかもしれないが、政策立案者はファックスに関連するリスクと課題を認識しておく必要がある。ファックスには、保護された電話回線で送信されない限り防御機能がなく、一般に機密性の高いコミュニケーションには適さないと考えられている。ファックスは、電話回線にアクセスできる悪意ある行為者によって閲覧されたり、傍受されたりする可能性がある。さらに、ネットワークコミュニケーション機能を持つ多目的ファックス機は、サイバー行為者によってネットワーク上の他の機械を侵害するために活用される可能性がある。ファクスを使用する選挙関係者には、以下のベストプラクティスを実施することを推奨する。 |
・Use a no-frills fax machine; multipurpose fax machines typically have modems for external network communications. If you only have a multipurpose fax machine, turn off the Wi-Fi capability and do not plug it into the network—only connect it to the phone line. | ・無装備のファックス機を使用する。多目的ファックス機には通常,外部ネットワークコミュニケーション用のモデムが搭載されている。多目的ファックス機しかない場合は,Wi-Fi機能をオフにし,ネットワークに接続せず,電話回線に接続する。 |
・Check the configuration to make sure that the fax cannot print more pages than anticipated from a single fax or ballot package. | ・ファクスが1枚のファクスまたは投票パッケージから予想以上のページを印刷できないように設定を確認する。 |
・Use a dedicated fax machine and fax line for the distribution and receipt of ballots. Do not make the phone number publicly available, and only provide it in the electronic ballot package for voters who have been authorized to vote using electronic return. | ・ー投票用紙のー配布とー受領のーにはー専用のー専用ファクシミリ機とー使用する。電話番号は公開せず,電子投票を認可された有権者のみに電子投票パッケージでプロバイダを提供する。 |
・Election officials should set up transmission reports when faxing a ballot package to the voter to verify that the ballot package was received by the fax machine it was sent to. | ・選挙職員は,投票用紙一式を有権者にファックス送信する際,送信先のファックス機で投票用紙一式が受信されたことを確認するために,送信報告書を設定すべきである。 |
・Use a trusted fax machine that has been under your control. Ensure you have enough fax machines and phone lines to handle the anticipated volume. | ・自分の管理下にある信頼できるファックス機を使用する。予想される量を処理できるだけのファックス機と電話回線を確保すること。 |
・When a public switch telephone line (PSTN) fax machine is not available and internet Protocols are used to fax, treat these systems as internet-connected systems, not as a fax machine using telephone protocols. | ・公衆電話回線(PSTN)のファックスが利用できず、インターネットプロトコルを使用してファックスを送信する場合は、これらのシステムを電話プロトコルを使用したファックスとしてではなく、インターネットに接続されたシステムとして扱うこと。 |
電子メール | |
Email is a nearly ubiquitous communications medium and is widely used by election offices and voters. While this may be a convenient tool for distributing or receiving ballots, policy makers and election officials should be aware of the risks and challenges associated with email. Email provides limited security protections and is generally not considered suitable for sensitive communications. Email may be viewed or tampered with at multiple places in the transmission process, and emails can also be forged to appear as if they were sent from a different address. Furthermore, email is often used in cyberattacks on organizations, such as attackers sending messages with malicious links or attachments to infect computers with malware. This malware could spread to other machines on the network if strong network segmentation techniques are not used. | 電子メールは、ほぼどこにでもあるコミュニケーション媒体であり、選挙事務所や有権者に広く使われている。投票用紙の配布や受信には便利なツールかもしれないが、政策立案者や選挙担当者は、電子メールに関連するリスクや課題を認識しておくべきである。電子メールによるセキュリティ保護は限られており、一般に機密性の高いコミュニケーションには適さないと考えられている。電子メールは、送信過程の複数の場所で閲覧されたり改ざんされたりする可能性があり、また、あたかも別のアドレスから送信されたかのように偽装することもできる。さらに、攻撃者が悪意のあるリンクや添付ファイルを付けてメッセージを送り、コンピュータをマルウェアに感染させるなど、組織に対するサイバー攻撃で電子メールが使われることも多い。このマルウェアは、強力なネットワーク・セグメンテーション技術を使用しなければ、ネットワーク上の他のマシンに広がる可能性がある。 |
・Use a dedicated computer that is separated from the remainder of the election infrastructure to receive and process these ballots. For very small offices that may not have the resources to use a dedicated computer, a virtual machine should be installed to separate these devices. | ・投票用紙の受け取りと処理には,選挙インフラから切り離された専用コン ピュータを使用する。専用コンピュータを使用するリソースがないような非常に小規模なオフィスの場合は,仮想マシンをインストールしてこれらのデバイスを分離する。 |
・Patch and configure the computer—as well as document viewer software—against known vulnerabilities (e.g., disable active content, including JavaScript and macros.). | ・既知の脆弱性(例えば,JavaScriptやマクロを含むアクティブコンテンツを無効にする。) |
・If possible, implement the .gov top-level domain (TLD). The .gov TLD was established to identify U.S.-based government organizations on the internet. | .gov TLDは、インターネット上で米国を拠点とする政府組織を識別するために設立された。 |
・Use encryption where possible (e.g., implement STARTTLS on your email servers to create a secure connection, encrypt attached files, etc.) | ・可能であれば暗号化を使用する(例:電子メールサーバーにSTARTTLSを実装して安全な接続を作成する、添付ファイルを暗号化するなど)。 |
・Implement Domain-based Message Authentication, Reporting and Conformance (DMARC) to help identify phishing emails. | ・フィッシングメールの識別のために、Domain-based Message Authentication, Reporting and Conformance (DMARC)を導入する。 |
・Implement DMARC, DomainKeys Identified Mail (DKIM), and Sender Policy Framework (SPF) on emails to help authenticate emails sent to voters. | ・DMARC、DomainKeys Identified Mail (DKIM)、Sender Policy Framework (SPF)を電子メールに導入し、有権者に送信される電子メールの認証に役立てる。 |
・Utilize anti-malware detection and encourage voters to as well. Make sure to update the anti-malware regularly. | ・マルウェア検知を活用し,有権者にもそれを奨励する。ー マルウェア対策はー 定期的にー的にー更新する。 |
・Implement multi-factor authentication (MFA) on any email system used by election officials. | ・選挙管理者が使用する電子メールシステムには、多要素認証(MFA)を導入する。 |
・Follow best practices for generating and protecting passwords and other authentication credentials. | ・パスワードやその他の認証本人を生成・保護するためのベストプラクティスに従う。 |
・Use a dedicated, shared email address for receiving ballots, such as Ballots@County.Gov. Implement naming conventions in subject lines that will help identify emails as legitimate (e.g., 2020 Presidential General). While a dedicated, shared email account is typically not a best practice, in this instance, it segregates potentially malicious attachments from the network. | ・投票用紙の受け取りには、専用の共有メールアドレスを使用する(例:Ballots@County.Gov)。件名には、正規のメールであることを識別しやすい命名規則を導入する(例:2020 Presidential General)。専用の共有メールアカウントは、通常、ベストプラクティスではないが、この例では、潜在的に悪意のある添付ファイルをネットワークから隔離する。 |
WEB-BASED PORTALS, FILE SERVERS, AND APPLICATIONS | ウェブベースのポータル、ファイルサーバー、アプリケーション |
Websites may provide accessible and user-friendly methods for transmitting ballots and other election data. While web applications support stronger security mechanisms than email, they are still vulnerable to cyberattacks. Software vulnerabilities in web applications could allow attackers to modify, read, or delete sensitive information, or to gain access to other systems in the elections infrastructure. Sites that receive public input, such as web forms or uploaded files, may be particularly vulnerable to such attacks and should be used only after careful consideration of the risks, mitigations, and security/software engineering practices that went into that software. | ウェブサイトは、投票用紙やその他の選挙データを送信するための、アクセスしやすく使いやすい方法を提供することができる。ー ウェブアプリケーションはー ウェブアプリケーションはー ウェブアプリケーションはー ウェブフォームやアップロードされたファイルなど、一般からの入力を受 け入れるサイトは、このような攻撃に対して特に脆弱である可能性があり、そのソフトウ ェアのリスク、低減、セキュリティ/ソフトウェア工学の実践を慎重に検討した後 にのみ使用すべきである。 |
・Avoid using knowledge-based authentication (e.g., address, driver’s license number, social security number). To the extent practical, implement MFA for employees and voters and mandate MFA for all system administrators and other technical staff (including contractors). | ・知識ベース認証(住所、運転免許証番号、社会保障番号など)の利用を避ける。現実的な範囲で、従業員および有権者に MFA を導入し、すべてのシステム管理者およびそ の他の技術スタッフ(請負業者を含む)に MFA を義務付ける。 |
・Patch and configure computers as well as document viewer software against known vulnerabilities (i.e., disable active content, including JavaScript and macros.). | ・既知の脆弱性(JavaScriptやマクロを含むアクティブコンテンツを無効にする)に対して、コンピュータや文書ビューアソフトウェアにパッチを当て、設定する。 |
・If possible, implement the .gov top-level domain (TLD). The .gov TLD was established to identify US-based government organizations on the internet. | ・可能であれば、.govトップレベルドメイン(TLD)を導入する。.gov TLDは、インターネット上で米国を拠点とする政府組織を識別するために設立された。 |
・Use secure coding practices (e.g., sanitized inputs, parameter checking) for web applications. | ・ウェブアプリケーションには、セキュアなコーディングプラクティス(例:サニタイズされた入力、パラメータチェック)を使用する。 |
・Encrypt traffic using Hypertext Transfer Protocol Secure (HTTPS) supporting Transport Layer Security (TLS) version 1.2. If you use a file server, ensure it uses a secure file transfer protocol, such as SFTP or FTPS. | ・トランスポート・レイヤー・セキュリティ(TLS)バージョン1.2をサポートするハイパーテキスト・トランスファー・プロトコル・セキュア(HTTPS)を使用してトラフィックを暗号化する。ファイルサーバーを使用する場合は、SFTPやFTPSなどの安全なファイル転送プロトコルを使用していることを確認する。 |
・Ensure you have the bandwidth/capacity to handle the anticipated volume of traffic. | ・予想されるトラフィック量に対応できる帯域幅/容量を確保する。 |
・Obtain outside cybersecurity assessments, such as CISA vulnerability scanning and remote penetration testing. | ・CISA 脆弱性スキャンやリモート侵入テストなど、外部のサイバーセキュリティ評価を受ける。 |
・Develop a vulnerability management program (VMP). This allows well-meaning cybersecurity researchers to find and disclose vulnerabilities privately to an election official, giving the election official time to implement upgrades and patches before disclosing the information publicly. | ・脆弱性管理プログラム(VMP)を策定する。これにより、善意のサイバーセキュリティ研究者が脆弱性を発見し、選挙担当者に非公開で開示することができ、選挙担当者は情報を公開する前にアップグレードやパッチを実装する時間を得ることができる。 |
・Place the application on a network that is continuously monitored, such as the network with a web application firewall, an Albert sensor, or an intrusion detection and prevention system. | ・アプリケーションを、Web アプリケーションファイアウォール、アルバートセンサー、 侵入検知・防御システムなど、常時監視されているネットワーク上に配置する。 |
・Carefully vet any third-party companies or contractors obtaining system access to perform security assessments or regular maintenance. | ・セキュリティ評価または定期保守を実施するためにシステム・アクセス権を取得するサードパーティ企業または請負業者を慎重に審査する。 |
・Inform voters to only download the application from the trusted mobile application store. | ・信頼できるモバイル・アプリケーションストアからのみアプリケーションをダウンロードするよう有権者に知らせる。 |
・Encourage voters to use a trusted network and not an open Wi-Fi network. | ・有権者には,オープンなWi-Fiネットワークではなく,信頼できるネットワークを使用するよう促す。 |
RESOURCES | リソース |
・CISA services can be located in the CISA Election Infrastructure Security Resource Guide. All services can be requested at cisaservicedesk@cisa.dhs.gov. | ・CISAのサービスは、CISA選挙インフラ・セキュリティ・リソース・ガイドに掲載されている。すべてのサービスはcisaservicedesk@cisa.dhs.gov。 |
・Become an EI-ISAC Member by going to [web] . | ・選挙ISAC [web] メンバーになる。 |
・CISA’s Binding Operational Directive (BOD)18-01 addresses enhancing email and web security. | ・CISAの拘束的運用指令(BOD)18-01は、電子メールとウェブのセキュリティ強化に取り組んでいる。 |
・NIST Activities on UOCAVA Voting | ・UOCAVA投票に関するNISTの活動 |
・NIST special publication (SP) 800-177 provides recommendations and guidelines for enhancing trust in email. | ・NIST 特別刊行物(SP) 800-177 は、電子メールの信頼性を高めるための勧告とガイドラインを提供している。 |
・NIST SP 800-52r2 provides guidelines for selection, configuration, and use of TLS. | ・NIST SP 800-52r2 は、TLS の選択、設定、使用に関するガイドラインを提供している。 |
・FBI’s Protected Voices initiative provides information and guidance on cybersecurity and foreign influence topics. | ・FBIのProtected Voicesイニシアチブは,サイバーセキュリティと外国の影響に関する情報とガイダンスを提供している。 |
・The EAC’s Election Security Preparedness webpage collects multiple resources that can assist election administrators. | ・EACのElection Security Preparednessウェブページには,選挙管理者を支援する複数のリソースが集められている。 |
・For more information about how election jurisdictions in the United States vote remotely, please see Uniformed and Overseas Citizens Absentee Voting Act Registration and Voting Processes. | ・米国の選挙管轄区域における遠隔投票の方法については,Uniformed and Overseas Citizens Absentee Voting Act Registration and Voting Processesを参照のこと。 |
ELECTRONIC BALLOT DELIVERY | ELECTRONIC BALLOT MARKING | ELECTRONIC BALLOT RETURN | |
Technology Overview | Digital copy of blank ballot provided to voter | Making voter selections on digital ballot through the electronic interface | Electronic transmission of voted ballot |
Risk Assessment | Low | Moderate | High |
Identified Risks | Electronic ballot delivery faces security risks to the integrity and availability of a single voter’s unmarked ballot | Electronic ballot marking faces security risks to the integrity and availability of a single voter’s ballot | Electronic ballot return faces significant security risks to the confidentiality, integrity, and availability of voted ballots. These risks can ultimately affect the tabulation and results and, can occur at scale |
電子投票用紙の配布 | 電子投票の印付け | 電子投票用紙の返送 | |
技術概要 | 白紙投票のデジタルコピーを有権者にプロバイダで提供する | 電子インターフェイスを通じてデジタル投票用紙上で有権者の選択を行う | 投票済み票の電子送信 |
リスク評価 | 低い | 中程度 | 高い |
識別されたリスク | 投票用紙の電子交付は、有権者1人の無記名投票用紙の完全性と可用性に対するセキュリティリスクに直面する。 | 電子投票は、一人の投票者の投票用紙の完全性と可用性に対するセキュリティリスクに直面する。 | 電子投票用紙の返送は、投票用紙の機密性、完全性、可用性に対する重大なセキュリティリスクに直面する。これらのリスクは、最終的に集計や結果に影響を及ぼす可能性があり、また、大規模に発生する可能性がある。 |
参考...
● 電子投票 [wikipedia(JP)] [wikipedia]
米国
● U.S. Election Assistance Commission
選挙インフラISAC
● Elections Infrastructure Information Sharing & Analysis Center
● 総務省
内容はすっかり古いですが...
・2005.05 電子投票導入の手引き
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.06.07 ドイツ 電子投票システムのプロテクションプロファイル、非政治的な選挙を実施するためのITセキュリティ要件についての技術ガイド
・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル
・2020.05.14 COVID-19でオンライン投票は普及するのか?
少し遡って
・2007.12.19 国政選挙でも電子投票ができるようになる?
・2007.01.08 総務省 「電子投票システムの技術的条件の適合確認等について」の公表
・2006.11.12 電子投票 参院選の導入見送り
・2006.10.17 自民党 電子投票促進へ交付金?
・2006.02.11 総務省試算 電子投票を全面導入すると国費負担1400億円
・2005.11.15 総務省 電子投票システム調査検討会発足
・2005.07.19 総務省 電子投票の普及促進 有識者検討会設置
・2005.07.10 可児市市議選 選挙無効確定!
・2005.03.11 名古屋高裁 可児市電子投票 無効!
・2005.02.26 電子投票 韓国は2008年から国選選挙でインターネット投票
・
Comments