« February 2024 | Main | April 2024 »

March 2024

2024.03.31

米国 連邦政府機関の人工知能利用におけるガバナンス、イノベーション、リスク管理を推進するためのOMBの方針

こんにちは、丸山満彦です。

ホワイトハウスが、連邦政府機関の人工知能利用におけるガバナンス、イノベーション、リスク管理を推進するためのOMB(行政管理予算局)の方針を発表していますね。。。

米国は、このブログでも紹介していますが、AIに対する大統領令14110を公表してから、150日になるこのタイミングでOMBの方針を示しましたね...

ホワイトハウスのロゴも発表時はコウモリでしたが、今日はウサギになっています...

20240330-72423

 

U.S. The White House

・2024.03.28 FACT SHEET: Vice President Harris Announces OMB Policy to Advance Governance, Innovation, and Risk Management in Federal Agencies’ Use of Artificial Intelligence

 

FACT SHEET: Vice President Harris Announces OMB Policy to Advance Governance, Innovation, and Risk Management in Federal Agencies’ Use of Artificial Intelligence ファクトシート:ハリス副大統領、連邦政府機関の人工知能利用におけるガバナンス、イノベーション、リスク管理を推進するためのOMB方針を発表
Administration announces completion of 150-day actions tasked by President Biden’s landmark Executive Order on AI バイデン大統領によるAIに関する画期的な大統領令が課した150日間の措置の完了を発表
Today, Vice President Kamala Harris announced that the White House Office of Management and Budget (OMB) is issuing OMB’s first government-wide policy to mitigate risks of artificial intelligence (AI) and harness its benefits – delivering on a core component of the President Biden’s landmark AI Executive Order.  The Order directed sweeping action to strengthen AI safety and security, protect Americans’ privacy, advance equity and civil rights, stand up for consumers and workers, promote innovation and competition, advance American leadership around the world, and more. Federal agencies have reported that they have completed all of the 150-day actions tasked by the E.O, building on their previous success of completing all 90-day actions . 本日、カマラ・ハリス副大統領は、ホワイトハウスの行政管理予算局(OMB)が、人工知能(AI)のリスクを軽減し、その利点を活用するためのOMB初の政府全体の方針を発表することを発表した。 この大統領令は、AIの安全性とセキュリティの強化、米国人のプライバシーの保護、公平性と公民権の向上、消費者と労働者の支援、イノベーションと競争の促進、世界における米国のリーダーシップの推進など、多岐にわたる行動を指示している。連邦政府機関は、E.O.によって課せられた150日間の行動をすべて完了したと報告している。
This multi-faceted direction to Federal departments and agencies builds upon the Biden-Harris Administration’s record of ensuring that America leads the way in responsible AI innovation. In recent weeks, OMB announced that the President’s Budget invests in agencies’ ability to responsibly develop, test, procure, and integrate transformative AI applications across the Federal Government. 連邦省庁に対するこの多面的な指示は、バイデン-ハリス政権が、米国が責任あるAI技術革新の先導者となることを確実にした実績に基づいている。ここ数週間で、OMBは大統領予算が、連邦政府全体で変革的なAIアプリケーションを責任を持って開発、テスト、調達、統合する各省庁の能力に投資することを発表した。
In line with the President’s Executive Order, OMB’s new policy directs the following actions: 大統領の大統領令に沿って、OMBの新方針は以下の行動を指示している:
Address Risks from the Use of AI AI利用によるリスクに対処する
This guidance places people and communities at the center of the government’s innovation goals. Federal agencies have a distinct responsibility to identify and manage AI risks because of the role they play in our society, and the public must have confidence that the agencies will protect their rights and safety. このガイダンスは、政府のイノベーション目標の中心に人とコミュニティを据えている。連邦政府機関は、AIが我々の社会で果たす役割のため、AIリスクを特定し管理する明確な責任があり、国民は、連邦政府機関が彼らの権利と安全を保護するという信頼を持たなければならない。
By December 1, 2024, Federal agencies will be required to implement concrete safeguards when using AI in a way that could impact Americans’ rights or safety. These safeguards include a range of mandatory actions to reliably assess, test, and monitor AI’s impacts on the public, mitigate the risks of algorithmic discrimination, and provide the public with transparency into how the government uses AI. These safeguards apply to a wide range of AI applications from health and education to employment and housing. 2024年12月1日までに、連邦政府機関は、米国人の権利や安全に影響を与える可能性のある方法でAIを使用する場合、具体的なセーフガードを実施することが義務付けられる。これらのセーフガードには、AIが一般市民に与える影響を確実に評価、テスト、監視し、アルゴリズムによる差別のリスクを軽減し、政府がどのようにAIを使用するかについて透明性を市民に提供するための、さまざまな義務的措置が含まれる。これらのセーフガードは、健康、教育、雇用、住宅に至るまで、幅広いAIの応用に適用される。
For example, by adopting these safeguards, agencies can ensure that: 例えば、これらのセーフガードを採用することで、各省庁は以下を確実にすることができる:
・When at the airport, travelers will continue to have the ability to opt out from the use of TSA facial recognition without any delay or losing their place in line. ・空港では、旅行者はTSA顔認証の使用をオプトアウトする能力を持ち続ける。
・When AI is used in the Federal healthcare system to support critical diagnostics decisions, a human being is overseeing the process to verify the tools’ results and avoids disparities in healthcare access. ・AIが連邦政府のヘルスケア・システムで重要な診断の決定をサポートするために使用される場合、人間がそのプロセスを監督してツールの結果を検証し、ヘルスケア・アクセスにおける格差を回避する。
・When AI is used to detect fraud in government services there is human oversight of impactful decisions and affected individuals have the opportunity to seek remedy for AI harms. ・AIが政府サービスの不正を検出するために使用される場合、影響力のある決定を人間が監督し、影響を受ける個人はAIの被害に対する救済を求める機会がある。
If an agency cannot apply these safeguards, the agency must cease using the AI system, unless agency leadership justifies why doing so would increase risks to safety or rights overall or would create an unacceptable impediment to critical agency operations.    政府機関がこれらのセーフガードを適用できない場合、政府機関の指導者が、そうすることで安全や権利全体に対するリスクが高まる、あるいは重要な政府機関の業務に受け入れがたい支障が生じるという理由を正当化しない限り、政府機関はAIシステムの使用を中止しなければならない。  
To protect the federal workforce as the government adopts AI, OMB’s policy encourages agencies to consult federal employee unions and adopt the Department of Labor’s forthcoming principles on mitigating AI’s potential harms to employees. The Department is also leading by example, consulting with federal employees and labor unions both in the development of those principles and its own governance and use of AI. 政府がAIを採用する際に連邦政府職員を保護するため、OMBの方針は、連邦職員組合と協議し、職員に対するAIの潜在的な害を軽減するための労働省の近日発表予定の原則を採用するよう各機関に奨励している。労働省はまた、これらの原則の策定と、自らのガバナンスおよびAIの利用の両方において、連邦職員および労働組合と協議し、模範を示している。
The guidance also advises Federal agencies on managing risks specific to their procurement of AI. Federal procurement of AI presents unique challenges, and a strong AI marketplace requires safeguards for fair competition, data protection, and transparency. Later this year, OMB will take action to ensure that agencies’ AI contracts align with OMB policy and protect the rights and safety of the public from AI-related risks. The RFI issued today will collect input from the public on ways to ensure that private sector companies supporting the Federal Government follow the best available practices and requirements. ガイダンスはまた、AIの調達に特有のリスク管理についても連邦政府機関に助言している。連邦政府によるAIの調達には特有の課題があり、強力なAI市場には公正な競争、データ保護、透明性のためのセーフガードが必要である。OMBは今年後半、各省庁のAI契約がOMBの方針と合致し、AI関連のリスクから国民の権利と安全を守ることを確実にするための措置を講じる。本日発表されたRFIは、連邦政府を支援する民間企業が利用可能な最善の慣行と要件に従うことを確実にする方法について、一般からの意見を収集するものである。
Expand Transparency of AI Use AI利用の透明性を拡大する
The policy released today requires Federal agencies to improve public transparency in their use of AI by requiring agencies to publicly: 本日発表された政策では、連邦政府機関に対し、AI利用の透明性を高めるよう求めている:
・Release expanded annual inventories of their AI use cases, including identifying use cases that impact rights or safety and how the agency is addressing the relevant risks. ・権利や安全に影響を与えるユースケースを特定し、関連するリスクにどのように対処しているかを含め、AIのユースケースの年次目録を拡大して公表する。
・Report metrics about the agency’s AI use cases that are withheld from the public inventory because of their sensitivity. ・機密性が高いため公開を控えているAIユースケースについて、その指標を報告すること。
・Notify the public of any AI exempted by a waiver from complying with any element of the OMB policy, along with justifications for why. ・OMBポリシーのいずれかの要素への準拠を免除されたAIについて、その理由を正当化する理由とともに国民に通知する。
・Release government-owned AI code, models, and data, where such releases do not pose a risk to the public or government operations. ・政府所有のAIのコード、モデル、データについては、その公開が国民や政府の業務にリスクをもたらさない場合に公開する。
Today, OMB is also releasing detailed draft instructions to agencies detailing the contents of this public reporting. 本日OMBは、この公開報告の内容を詳述した、各省庁への詳細な指示案も発表している。
Advance Responsible AI Innovation 責任あるAIイノベーションを推進する
OMB’s policy will also remove unnecessary barriers to Federal agencies’ responsible AI innovation. AI technology presents tremendous opportunities to help agencies address society’s most pressing challenges. Examples include: OMBの方針は、連邦政府機関の責任あるAIイノベーションに対する不必要な障壁も取り除く。AI技術は、各省庁が社会の最も差し迫った課題に対処するのに役立つ多大な機会を提供する。その例には以下が含まれる:
Addressing the climate crisis and responding to natural disasters. The Federal Emergency Management Agency is using AI to quickly review and assess structural damage in the aftermath of hurricanes, and the National Oceanic and Atmospheric Administration is developing AI to conduct more accurate forecasting of extreme weather, flooding, and wildfires. 気候危機への対応や自然災害への対応:連邦緊急事態管理庁は、ハリケーンの直後における構造物の損傷を迅速に確認・評価するためにAIを使用しており、米国海洋大気庁は、異常気象、洪水、山火事のより正確な予測を行うためにAIを開発している。
Advancing public health. The Centers for Disease Control and Prevention is using AI to predict the spread of disease and detect the illicit use of opioids, and the Center for Medicare and Medicaid Services is using AI to reduce waste and identify anomalies in drug costs. 公衆衛生の向上:疾病管理予防センターはAIを使って病気の蔓延を予測し、オピオイドの不正使用を検知している。メディケア・メディケイド・サービスセンターはAIを使って無駄を省き、薬剤費の異常を特定している。
Protecting public safety. The Federal Aviation Administration is using AI to help deconflict air traffic in major metropolitan areas to improve travel time, and the Federal Railroad Administration is researching AI to help predict unsafe railroad track conditions. 公共の安全を守る:連邦航空局は、大都市圏の航空交通の混雑を緩和して移動時間を改善するためにAIを活用し、連邦鉄道管理局は、安全でない線路の状態を予測するためにAIを研究している。
Advances in generative AI are expanding these opportunities, and OMB’s guidance encourages agencies to responsibly experiment with generative AI, with adequate safeguards in place. Many agencies have already started this work, including through using AI chatbots to improve customer experiences and other AI pilots. OMBのガイダンスは、適切な保護措置を講じた上で、各機関が責任を持ってジェネレーティブAIの実験を行うことを奨励している。多くの機関は、顧客体験を改善するためのAIチャットボットの使用や、その他のAIパイロットなどを通じて、すでにこの作業に着手している。
Grow the AI Workforce AI人材の育成
Building and deploying AI responsibly to serve the public starts with people. OMB’s guidance directs agencies to expand and upskill their AI talent. Agencies are aggressively strengthening their workforces to advance AI risk management, innovation, and governance including: 国民に奉仕するために責任を持ってAIを構築・導入することは、人材から始まる。OMBのガイダンスは、各省庁にAI人材の拡大とスキルアップを指示している。各省庁は、AIのリスク管理、イノベーション、ガバナンスを推進するため、積極的に人材を強化している:
・By Summer 2024, the Biden-Harris Administration has committed to hiring 100 AI professionals to promote the trustworthy and safe use of AI as part of the National AI Talent Surge created by Executive Order 14110 and will be running a career fair for AI roles across the Federal Government on April 18. ・2024年夏までに、バイデン-ハリス政権は、大統領令14110によって創設されたNational AI Talent Surgeの一環として、AIの信頼できる安全な利用を促進するために100人のAI専門家を雇用することを約束し、4月18日に連邦政府全体でAI職務のキャリアフェアを実施する予定である。
・To facilitate these efforts, Office of Personnel Management has issued guidance on pay and leave flexibilities for AI roles, to improve retention and emphasize the importance of AI talent across the Federal Government. ・こうした取り組みを促進するため、人事管理局はAI職の給与や休暇の柔軟性に関するガイダンスを発表し、連邦政府全体でAI人材の確保を改善し、その重要性を強調している。
・The Fiscal Year 2025 President’s Budget includes an additional $5 million to expand General Services Administration’s government-wide AI training program, which last year had over 4,800 participants from across 78 Federal agencies.   ・2025会計年度の大統領予算には、ゼネラル・サービス・アドミニストレーションの政府全体のAI研修プログラムを拡大するための500万ドルの追加予算が含まれており、昨年は78の連邦政府機関から4800人以上の参加者があった。 
Strengthen AI Governance AIガバナンスの強化
To ensure accountability, leadership, and oversight for the use of AI in the Federal Government, the OMB policy requires federal agencies to: 連邦政府におけるAI利用の説明責任、リーダーシップ、監視を確保するため、OMBの方針は連邦政府機関に以下を求めている:
・Designate Chief AI Officers, who will coordinate the use of AI across their agencies. Since December, OMB and the Office of Science and Technology Policy have regularly convened these officials in a new Chief AI Officer Council to coordinate their efforts across the Federal Government and to prepare for implementation of OMB’s guidance. ・AI最高責任者(Chief AI Officer)を任命し、各機関におけるAIの利用を調整する。12月以降、OMBと科学技術政策局は、連邦政府全体の取り組みを調整し、OMBの指針の実施に備えるため、これらの担当者を新しいAI最高責任者会議に定期的に招集している。
・Establish AI Governance Boards, chaired by the Deputy Secretary or equivalent, to coordinate and govern the use of AI across the agency. As of today, the Departments of Defense, Veterans Affairs, Housing and Urban Development, and State have established these governance bodies, and every CFO Act agency is required to do so by May 27, 2024. ・副長官またはそれに相当する者が議長を務めるAIガバナンス委員会を設置し、政府機関全体でAIの利用を調整・管理する。今日現在、国防総省、退役軍人省、住宅都市開発省、国務省がこれらのガバナンス機関を設立しており、すべてのCFO法機関は2024年5月27日までに設立することが義務付けられている。
In addition to this guidance, the Administration announcing several other measures to promote the responsible use of AI in Government: このガイダンスに加え、政府は政府におけるAIの責任ある利用を促進するためのいくつかの措置を発表した:
OMB will issue a request for information (RFI) on Responsible Procurement of AI in Government, to inform future OMB action to govern AI use under Federal contracts; OMBは、政府におけるAIの責任ある調達に関する情報提供要請書(RFI)を発行し、連邦契約におけるAIの使用を管理するためのOMBの今後の行動に情報を提供する;
Agencies will expand 2024 Federal AI Use Case Inventory reporting, to broadly expand public transparency in how the Federal Government is using AI; 各省庁は、2024年連邦AIユースケース・インベントリーの報告を拡大し、連邦政府がAIをどのように利用しているかについて、広く国民の透明性を拡大する;
The Administration has committed to hire 100 AI professionals by Summer 2024 as part of the National AI Talent Surge to promote the trustworthy and safe use of AI. 政府は、AIの信頼できる安全な利用を促進するため、国家AI人材急増計画の一環として、2024年夏までに100人のAI専門家を雇用することを約束した。
With these actions, the Administration is demonstrating that Government is leading by example as a global model for the safe, secure, and trustworthy use of AI. The policy announced today builds on the Administration’s Blueprint for an AI Bill of Rights and the National Institute of Standards and Technology (NIST) AI Risk Management Framework, and will drive Federal accountability and oversight of AI, increase transparency for the public, advance responsible AI innovation for the public good, and create a clear baseline for managing risks. これらの行動により、政府は、安全、安心、信頼できるAI利用の世界的モデルとして、模範を示している。本日発表された政策は、AI権利章典のための政権の青写真と米国標準技術局(NIST)のAIリスク管理フレームワークに基づいており、AIに対する連邦政府の説明責任と監督を推進し、国民に対する透明性を高め、公益のための責任あるAIイノベーションを推進し、リスク管理のための明確な基準値を作成する。
It also delivers on a major milestone 150 days since the release of Executive Order 14110, and the table below presents an updated summary of many of the activities federal agencies have completed in response to the Executive Order. これはまた、大統領令14110の発表から150日という大きな節目を実現するものであり、以下の表は、大統領令に対応して連邦政府機関が完了した多くの活動の最新の概要を示している。

1_20240330212801

 

・2024.03.28 

Press Call by Vice President Harris On Artificial Intelligence ハリス副大統領による人工知能に関するプレスコール
Via Teleconference 電話会議にて
THE VICE PRESIDENT:  Thank you, Director Young.  And I — I want to thank you for your longstanding leadership to our country.  From your days on Capitol Hill to your leadership here at the White House, you have been responsible for ensuring that our nation puts resources into future-forward policy in so many ways.  So, thank you, Director Young, for your leadership.  副大統領:ありがとう、ヤング局長。 あなたの長年にわたるわが国に対するリーダーシップに感謝したい。 国会議員時代から、ここホワイトハウスでのリーダーシップに至るまで、あなたは、わが国が未来に向けた政策に多くの資源を投入することを確実にする責任を担ってきた。 だから、ヤング監督、あなたのリーダーシップに感謝する。
And greetings to everyone.  Thank you for joining us.  そして皆さんにご挨拶を。 ご参加ありがとう。
So, I believe that all leaders from government, civil society, and the private sector have a moral, ethical, and societal duty to make sure that artificial intelligence is adopted and advanced in a way that protects the public from potential harm while ensuring everyone is able to enjoy its full benefit.  私は、政府、市民社会、民間セクターのすべてのリーダーには、人工知能が潜在的な危害から国民を守りつつ、誰もがその恩恵を十分に享受できるような形で採用され、進歩するようにする道徳的、倫理的、社会的義務があると信じている。
As Director Young mentioned, last year at the AI Safety Summit in London, I laid out our nation’s vision for the future of AI — a vision for a future where AI is used to advance the public interest.  And I’m going to emphasize that: advance the public interest.  ヤング局長が言及したように、昨年ロンドンで開催されたAIセーフティ・サミットで、私はAIの未来に対する我が国のビジョン、つまりAIが公共の利益を増進するために利用される未来に対するビジョンを示した。 そして、私はそれを強調するつもりだ。
As a follow up to that presentation, months ago now, I am proud to announce three new binding requirements to promote the safe, secure, and responsible use of AI by our federal government.  数ヶ月前の発表に続くものとして、私は、連邦政府によるAIの安全、安心かつ責任ある利用を促進するための、3つの新たな拘束力のある要件を発表できることを誇りに思う。
First, we are announcing new standards to protect rights and safety.  When government agencies use AI tools, we will now require them to verify that those tools do not endanger the rights and safety of the American people.  まず、権利と安全を守るための新しい基準を発表する。 政府機関がAIツールを使用する際、そのツールがアメリカ国民の権利と安全を脅かさないことを検証することを義務づける。
I’ll give you an example.  If the Veterans Administration wants to use AI in VA hospitals to help doctors diagnose patients, they would first have to demonstrate that AI does not produce racially biased diagnoses.  So, that I offer as an example. 例を挙げよう。 もし退役軍人局がVA病院でAIを使い、医師が患者を診断する手助けをしたいと考えた場合、まずAIが人種的に偏った診断を行わないことを証明しなければならない。 だから、これは一例として挙げたのだ。
The second requirement — binding requirement relates to transparency.  The American people have a right to know that when and how their government is using AI that it is being used in a responsible way.  And we want to do it in a way that holds leaders accountable for the responsible use of AI.  Transparency often, and we believe, should facilitate accountability.  2つ目の要件は、透明性に関するものだ。 アメリカ国民は、政府がいつ、どのようにAIを使用しているのか、それが責任ある方法で使用されているのかを知る権利がある。 そして私たちは、リーダーがAIの責任ある使用について説明責任を負うような方法でそれを行いたいと考えている。 透明性はしばしば、そして我々は説明責任を促進するべきだと信じている。
And so, today, President Biden and I are requiring that every year, U.S. government agencies publish online a list of their AI systems, an assessment of the risks those systems might pose, and how those risks are being managed.  そこで今日、バイデン大統領と私は、米国政府機関が毎年、AIシステムのリストと、それらのシステムがもたらす可能性のあるリスクの評価、そしてそれらのリスクがどのように管理されているかをオンラインで公表することを求めている。
Third and finally, a requirement that relates to internal oversight.  We have directed all federal agencies to designate a chief AI officer with the experience, expertise, and authority to oversee all — I’m going to emphasize that — all AI technologies used by that agency.  And this is to make sure that AI is used responsibly, understanding that we must have senior leaders across our government who are specifically tasked with overseeing AI adoption and use.  3つ目は、内部監視に関する要件である。 我々はすべての連邦政府機関に対し、その機関が使用するすべてのAI技術を監督する経験、専門知識、権限を持つAI最高責任者を指名するよう指示した。 これは、AIが責任を持って使用されることを確認するためであり、AIの採用と使用を監督する特別な任務を負う上級指導者を政府全体に配置する必要があることを理解している。
In conclusion, I’ll say that these three new requirements have been shaped in consultation with leaders from across the public and private sectors, from computer scientists to civil rights leaders to legal scholars and business leaders.  結論として、これら3つの新たな要件は、コンピューター科学者から公民権運動の指導者、法学者、ビジネス・リーダーに至るまで、官民の指導者と協議して策定されたものであることを申し上げたい。
President Biden and I intend that these domestic policies will serve as a model for global action.  Again, I will reference my presentation in the United Kingdom as an example of our intention to provide standards that adopt universal rules and norms for the responsible and safe use of AI.  バイデン大統領と私は、これらの国内政策が世界的な行動のモデルとなることを意図している。 繰り返しになるが、AIの責任ある安全な利用のために普遍的なルールと規範を採用する基準を提供するという私たちの意図を示す一例として、英国での私のプレゼンテーションを紹介する。
And to that end, we will continue to call on all nations to follow our lead and put the public interest first when it comes to government use of AI.  そしてそのために、私たちはすべての国に対し、政府によるAIの利用に関しては、私たちのリードに倣い、公共の利益を最優先するよう求め続けていく。
I thank you all again.  And now I will turn it back over to our director of our Office of Management and Budget, Shalanda Young.  Thank you, Director Young.  皆さんに改めて感謝する。 それでは、管理予算局のシャランダ・ヤング局長に話を戻そう。 ヤング局長、ありがとう。
                            END                              終わり 

 

・[PDF] M-24-10 MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES

20240330-224526

 

・[DOCX] 仮訳

・[PDF] 仮訳

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.15 連邦政府テクノロジー・リーダーがOMBのAI政策ドラフトについて知っておくべきことトップ10

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

 

| | Comments (0)

2024.03.30

米国 CISA 意見募集 2022年重要インフラ向けサイバーインシデント報告法(CIRCIA) の規則案を公表

こんにちは、丸山満彦です。

2022年重要インフラ向けサイバーインシデント報告法の規則案が公表されました...

2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)は、ランサムウェアの身代金を払ったら報告しろっという内容を含む法律ですね...

 

CISA

・2024.03.27 CISA Marks Important Milestone in Addressing Cyber Incidents; Seeks Input on CIRCIA Notice of Proposed Rulemaking

CISA Marks Important Milestone in Addressing Cyber Incidents; Seeks Input on CIRCIA Notice of Proposed Rulemaking CISAはサイバーインシデントへの対応において重要なマイルストーンとなるを置いた: CIRCIA規則案公示に関する意見募集
WASHINGTON – Today, the Federal Register posted for public inspection the Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) Notice of Proposed Rulemaking (NPRM), which CISA was required to develop by the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). This marks a major step in bolstering America’s cybersecurity.  ワシントン発-本日、連邦官報は、国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)が、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)によりCISAに策定を義務付けられていた規則策定提案公告(NPRM)を一般公開した。これはアメリカのサイバーセキュリティを強化する大きな一歩となる。
Implementation of CIRCIA will improve CISA’s ability to use cybersecurity incident and ransomware payment information reported to the agency to identify patterns in real-time, fill critical information gaps, rapidly deploy resources to help entities that are suffering from cyber attacks, and inform others who would be potentially affected. When information about cyber incidents is shared quickly, CISA can use this information to render assistance and provide warning to prevent other organizations from falling victim to a similar incident. This information is also critical to identifying trends that can help efforts to protect the homeland. The NPRM will soon formally publish in the Federal Register, following which the public will have 60 days to submit written comments to inform the direction and substance of the Final Rule.  CIRCIAの改善は、CISAに報告されたサイバーセキュリティインシデントとランサムウェアの支払い情報を利用して、リアルタイムでパターンを特定し、重要な情報のギャップを埋め、サイバー攻撃を受けている事業体を支援するためにリソースを迅速に配置し、影響を受ける可能性のある他の事業者に情報を提供するCISAの能力を向上させる。サイバーインシデントに関する情報が迅速に共有されれば、CISAはこの情報を利用して支援を提供し、他の組織が同様のインシデントの犠牲にならないよう警告を発することができる。また、この情報は、国土を守る取り組みに役立つ傾向を特定するためにも重要である。NPRMは間もなく連邦官報に正式に掲載され、その後一般市民は60日以内に最終規則の方向性と内容を決定するための意見書を提出することができる。
“Cyber incident reports submitted to us through CIRCIA will enable us to better protect our nation’s critical infrastructure,” said Secretary of Homeland Security Alejandro N. Mayorkas.  “CIRCIA enhances our ability to spot trends, render assistance to victims of cyber incidents, and quickly share information with other potential victims, driving cyber risk reduction across all critical infrastructure sectors. The proposed rule is the result of collaboration with public and private stakeholders, and DHS welcomes feedback during the public comment period on the direction and substance of the final rule.” アレハンドロ・N・マヨルカス国土安全保障長官は次のように述べた。「CIRCIAを通じて提出されたサイバーインシデント報告書により、わが国の重要インフラをよりよく保護することができるようになる。 CIRCIAは、傾向を把握し、サイバーインシデントの被害者に支援を提供し、他の潜在的な被害者と情報を迅速に共有する能力を強化し、すべての重要インフラ部門にわたってサイバーリスク削減を推進する。この規則案は、官民の利害関係者との協力の結果であり、DHSは、最終規則の方向性と内容に関するパブリック・コメント期間中のフィードバックを歓迎する。」
"CIRCIA is a game changer for the whole cybersecurity community, including everyone invested in protecting our nation’s critical infrastructure,” said CISA Director Jen Easterly. “It will allow us to better understand the threats we face, spot adversary campaigns earlier, and take more coordinated action with our public and private sector partners in response to cyber threats. We look forward to additional feedback from the critical infrastructure community as we move towards developing the Final Rule." CISAのディレクターのジェン・イーストリーは次のように述べた。「CIRCIAは、わが国の重要インフラの保護に投資するすべての人を含むサイバーセキュリティ・コミュニティ全体にとって、ゲームチェンジャーである。私たちが直面する脅威をよりよく理解し、敵のキャンペーンをより早く察知し、サイバー脅威に対して官民のパートナーとより協調した行動をとることができるようになる。最終規則の策定に向けて、重要インフラコミュニティからのさらなるフィードバックを期待している。」
Since September 2022, CISA has solicited input from public and private sector stakeholders, including the critical infrastructure community, as the agency developed the NPRM, and this open comment period is another opportunity for stakeholders to submit written comments on the NPRM. The NPRM contains proposed regulations for cyber incident and ransom payment reporting, as well as other aspects of the CIRCIA regulatory program. Implementation of CIRCIA enables CISA to develop insight into the cyber threat landscape to drive cyber risk reduction across the nation and to provide early warning to entities who may be at risk of targeting. The comments CISA received through the Request for Information (RFI) and listening sessions over the past year helped shape this NPRM. In turn, robust input on the NPRM will support our ability to implement CIRCIA to drive national cyber risk reduction. 2022年9月以来、CISAはNPRMの策定にあたり、重要インフラ・コミュニティを含む官民の利害関係者から意見を募っており、今回の意見公募期間も、利害関係者がNPRMに対する意見書を提出する機会となる。NPRM は、サイバーインシデントおよび身代金支払報告に関する規制案、ならびに CIRCIA 規制プログラムのその他の側面を含んでいる。CIRCIAの実施により、CISAはサイバー脅威の状況についての洞察を深め、全国的なサイバーリスクの低減を推進し、標的となるリスクのある事業体に対して早期に警告を発することができる。CISAが過去1年間に情報要求(RFI)およびリスニング・セッションを通じて受け取った意見は、このNPRMの形成に役立った。その結果、NPRM に対する積極的な意見は、国家的なサイバー・リスク削減を推進する CIRCIA の実施能力を支援することになる。
Visit cisa.gov/CIRCIA to learn more. 詳細は cisa.gov/CIRCIA を参照されたい。

 

Federal Register

・2024.03.27 Cyber Incident Reporting for Critical Infrastructure Act

・[PDF] 6 CFR Part 226 [Docket No. CISA-2022-0010] RIN 1670-AA04 Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting Requirements

20240329-181555

 

目次...

TABLE OF CONTENTS 目次
I. PUBLIC PARTICIPATION I. 市民参加
II. EXECUTIVE SUMMARY II. 要旨
A. PURPOSE AND SUMMARY OF THE REGULATORY ACTION A. 規制措置の目的と概要
B. SUMMARY OF COSTS AND BENEFITS B. 費用と便益の概要
III. BACKGROUND AND PURPOSE III. 背景と目的
A. LEGAL AUTHORITY A. 法的認可
B. CURRENT CYBER INCIDENT REPORTING LANDSCAPE B. 現在のサイバーインシデント報告状況
C. PURPOSE OF REGULATION C. 規制の目的
i. Purposes of the CIRCIA Regulation i. CIRCIA規則の目的
ii. How the Regulatory Purpose of CIRCIA Influenced the Design of the Proposed CIRCIA Regulation ii. CIRCIAの規制目的が提案されたCIRCIA規制の設計にどのような影響を与えたか。
D. HARMONIZATION EFFORTS D. ハーモナイゼーションの取り組み
E. INFORMATION SHARING REQUIRED BY CIRCIA E. CIRCIAが求める情報共有
F. SUMMARY OF STAKEHOLDER COMMENTS F. 利害関係者のコメントの要約
i. General Comments i. 一般的コメント
ii. Comments on the Definition of Covered Entity ii. 対象事業体の定義に関するコメント
iii. Comments on the Definition of Covered Cyber Incident and Substantial Cyber Incident  iii. 対象となるサイバーインシデント及び実質的なサイバーインシデントの定義に関する意見 
iv. Comments on Other Definitions iv. その他の定義に関する意見
v. Comments on Criteria for Determining whether the Domain Name System Exception Applies  v. ドメインネームシステムの例外が適用されるかどうかの判断基準に関する意見 
vi. Comments on Manner and Form of Reporting, Content of Reports, and Reporting Procedures  vi. 報告の方法・形式、報告内容、報告手順に関する意見 
vii. Comments on the Deadlines for Submission of CIRCIA Reports  vii. CIRCIA 報告書の提出期限に関する意見 
viii. Comments on Third-Party Submitters  viii. サードパーティ提出者に関する意見 
ix. Comments on Data and Records Preservation Requirements ix. データおよび記録の保存要件に関するコメント
x. Comments on Other Existing Cyber Incident Reporting Requirements and the Substantially Similar Reporting Exception  x. その他の既存のサイバーインシデント報告要件および実質的に類似した報告例外に関する意見 
xi. Comments on Noncompliance and Enforcement  xi. コンプライアンス違反と執行に関する意見 
xii. Comments on Treatment and Restrictions on Use of CIRCIA Reports  xii. CIRCIA 報告書の取り扱いと使用制限に関するコメント 
IV. DISCUSSION OF PROPOSED RULE IV. 規則案の検討
A. DEFINITIONS A. 定義
i. Covered Entity  i. 対象事業体 
ii. Cyber Incident, Covered Cyber Incident, and Substantial Cyber Incident  ii. サイバーインシデント、対象サイバーインシデント、実質的サイバーインシデント 
iii. CIRCIA Reports  iii. CIRCIAレポート 
iv. Other Definitions iv. その他の定義
v. Request for Comments on Proposed Definitions v. 定義案に関する意見要求
B. APPLICABILITY B. 適用範囲
i. Interpreting the CIRCIA Statutory Definition of Covered Entity  i. CIRCIAの対象事業体の法定定義の解釈 
ii. Determining if an Entity is in a Critical Infrastructure Sector ii. 事業体が重要インフラ部門に属するかどうかの判断
iii. Clear Description of the Types of Entities that Constitute Covered Entities Based on Statutory Factors  iii. 法定要因に基づく、対象事業体を構成する事業体の種類の明確な説明 
iv. Explanation of Specific Proposed Applicability Criteria iv. 具体的な適用基準案の説明
v. Other Approaches Considered to Describe Covered Entity  v. 対象事業体を説明するために検討された他のアプローチ 
vi. Request for Comments on Applicability Section vi. 適用セクションに関する意見要求
C. REQUIRED REPORTING ON COVERED CYBER INCIDENTS AND RANSOM PAYMENTS C. 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務
i. Overview of Reporting Requirements i. 報告要件の概要
ii. Reporting of Single Incidents Impacting Multiple Covered Entities ii. 複数の対象事業体に影響を与える単一インシデントの報告
D. EXCEPTIONS TO REQUIRED REPORTING ON COVERED CYBER INCIDENTS AND RANSOM PAYMENTS D. 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務の例外
i. Substantially Similar Reporting Exception  i. 実質的に類似した報告の例外 
ii. Domain Name System (DNS) Exception ii. ドメインネームシステム(DNS)の例外
iii. Exception for Federal Agencies Subject to Federal Information Security Modernization Act Reporting Requirements iii. 連邦情報セキュリティ近代化法(Federal Information Security Modernization Act)報告要件の対象となる連邦機関の例外
E. MANNER, FORM, AND CONTENT OF REPORTS E. 報告の方法、形式および内容
i. Manner of Reporting  i. 報告の方法 
ii. Form for Reporting  ii. 報告の書式 
iii. Content of Reports  iii. 報告の内容 
iv. Timing of Submission of CIRCIA Reports  iv. CIRCIA報告書の提出時期 
v. Report Submission Procedures v. 報告書提出手順
vi. Request for Comments on Proposed Manner, Form, and Content of Reports vi. 報告書の様式、内容に関する意見要求
F. DATA AND RECORDS PRESERVATION REQUIREMENTS F. データおよび記録の保存要件
i. Types of Data That Must be Preserved  i. 保存されなければならないデータの種類 
ii. Required Preservation Period  ii. 必要な保存期間 
iii. Data Preservation Procedural Requirements iii. データ保存の手続き要件
iv. Request for Comments on Proposed Data Preservation Requirements iv. データ保全要件案に関する意見要求
G. ENFORCEMENT G. 実施
i. Overview i. 概要
ii. Request for Information  ii. 情報提供の要請 
iii. Subpoena  iii. 召喚状 
iv. Service of an RFI, Subpoena, or Notice of Withdrawal  iv. RFI、召喚状、または撤回通知の送達 
v. Enforcement of Subpoenas  v. 召喚状の執行 
vi. Acquisition, Suspension, and Debarment Enforcement Procedures  vi. 取得、一時停止、および資格剥奪の執行手続き 
vii. Penalty for False Statements and Representations  vii. 虚偽の陳述および表明に対する罰則 
viii. Request for Comments on Proposed Enforcement viii. 施行案に関する意見要求
H. PROTECTIONS H. 防御
i. Treatment of Information and Restrictions on Use  i. 情報の取り扱いと使用制限 
ii. Protection of Privacy and Civil Liberties  ii. プライバシーと自由の防御 
iii. Digital Security iii. デジタル・セキュリティ
iv. Request for Comments on Proposed Protections iv. 防御案に対する意見要求
I. SEVERABILITY I. 可逆性
V. STATUTORY AND REGULATORY ANALYSES V. 法規制に関する分析
A. REGULATORY PLANNING AND REVIEW A. 規制の計画と見直し
i. Number of Reports  i. 報告書の数 
ii. Industry Cost ii. 業界コスト
iii. Government Cost  iii. 政府コスト 
iv. Combined Costs  iv. 複合コスト 
v. Benefits  v. 利益 
vi. Accounting Statement  vi. 会計計算書 
vii. Alternatives vii. 代替案
B. SMALL ENTITIES B. 小規模事業体
C. ASSISTANCE FOR SMALL ENTITIES C. 小規模事業体に対する支援
D. COLLECTION OF INFORMATION D. 情報収集
E. FEDERALISM E. 連邦主義
F. UNFUNDED MANDATES REFORM ACT F. 義務不履行改革法
G. TAKING OF PRIVATE PROPERTY G. 私有財産の収奪
H. CIVIL JUSTICE REFORM H. 民事司法改革
I. PROTECTION OF CHILDREN I. 子どもの保護
J. INDIAN TRIBAL GOVERNMENTS J. インディアン部族政府
K. ENERGY EFFECTS K. エネルギーへの影響
L. TECHNICAL STANDARDS L. 技術標準
M. NATIONAL ENVIRONMENTAL POLICY ACT M. 国家環境政策法
VI. PROPOSED REGULATION  VI. 規制案 

 

規則案...

 VI. Proposed Regulation   VI. 規則案 
List of Subjects in 6 CFR Part 226 6 CFR Part 226の対象リスト
Computer Technology, Critical Infrastructure, Cybersecurity, Internet, Reporting and Recordkeeping Requirements.  コンピュータ技術、重要インフラ、サイバーセキュリティ、インターネット、報告および記録要件。
For the reasons stated in the preamble, and under the authority of 6 U.S.C. 681 through 681e and 6 U.S.C. 681g, the Department of Homeland Security proposes to add chapter II, consisting of part 226 to title 6 of the Code of Regulations to read as follows: 前文に記載された理由により、また合衆国法律集第 6 編第 681 条から第 681e 条および第 6 編第 681 条第 681g 条の認可に基づき、国土安全保障省は、規則集第 6 編第 226 部からなる第 II 章を以下のように追加することを提案する:
CHAPTER II--DEPARTMENT OF HOMELAND SECURITY, CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY 第 II 章--国土安全保障省、サイバーセキュリティ・インフラセキュリティ庁
PART 226—COVERED CYBER INCIDENT AND RANSOM PAYMENT REPORTING 第 226 部:対象となるサイバーインシデントおよび身代金支払報告
Sec. セクション
226.1 Definitions. 226.1 定義
226.2 Applicability. 226.2 適用可能性
226.3 Required reporting on covered cyber incidents and ransom payments. 226.3 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務
226.4 Exceptions to required reporting on covered cyber incidents and ransom payments. 226.4 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務の例外
226.5 CIRCIA Report submission deadlines. 226.5 CIRCIA 報告書の提出期限
226.6 Required manner and form of CIRCIA Reports. 226.6 CIRCIA 報告書の要求される方法および形式
226.7 Required information for CIRCIA Reports. 226.7 CIRCIA 報告書に必要な情報
226.8 Required information for Covered Cyber Incident Reports. 226.8 対象サイバーインシデント報告書に必要な情報
226.9 Required information for Ransom Payment Reports. 226.9 身代金支払報告書に必要な情報
226.10 Required information for Joint Covered Cyber Incident and Ransom Payment Reports. 226.10 合同対象サイバーインシデントおよび身代金支払報告書に必要な情報
226.11 Required information for Supplemental Reports. 226.11 補足報告に必要な情報。
226.12 Third party reporting procedures and requirements. 226.12 サードパーティ報告手順および要件
226.13 Data and records preservation requirements. 226.13 データおよび記録の保存要件
226.14 Request for information and subpoena procedures. 226.14 情報要求および召喚手続き
226.15 Civil enforcement of subpoenas. 226.15 召喚状の民事執行
226.16 Referral to the Department of Homeland Security Suspension and Debarment Official. 226.16 国土安全保障省の資格停止および資格剥奪担当官への照会
226.17 Referral to Cognizant Contracting Official or Attorney General. 226.17 担当の契約担当官または司法長官への照会
226.18 Treatment of information and restrictions on use. 226.18 情報の取り扱いと使用制限
226.19 Procedures for protecting privacy and civil liberties. 226.19 プライバシーおよび市民的自由を保護するための防御措置。
226.20 Other procedural measures. 226.20 その他の手続き上の措置
AUTHORITY: 6 U.S.C. 681 – 681e, 6 U.S.C. 681g; Sections 2240-2244 and 2246 of the Homeland Security Act of 2002, Pub. L. 107–296, 116 Stat. 2135, as amended by Pub. L. 117-103 and Pub. L. 117-263 (Dec. 23, 2022).  認可:6 U.S.C. 681~681e、6 U.S.C. 681g、2002 年国土安全保障法(Homeland Security Act of 2002, Pub. L.107-296、116 Stat. L.117-103およびPub. L.117-263(2022年12月23日)により改正された。
§ 226.1 Definitions. § 226.1 定義
For the purposes of this part: 本編における定義:
CIRCIA means the Cyber Incident Reporting for Critical Infrastructure Act of 2022, as amended, in 6 U.S.C. 681 – 681g.
CIRCIAとは、6 U.S.C.681~681gにある、改正された2022年重要インフラ法を意味する。
CIRCIA Agreement means an agreement between CISA and another Federal agency that meets the requirements of § 226.4(a)(2), has not expired or been terminated, and, when publicly posted by CISA in accordance with § 226.4(a)(5), indicates the availability of a substantially similar reporting exception for use by a covered entity.  CIRCIA 合意とは、226.4 条(a)(2)の要件を満たし、失効または終了しておらず、226.4 条(a)(5)に従って CISA が公示する場合、対象事業体が実質的に同様の報告例外を利用できることを示す、CISA と他の連邦機関との間の合意をいう。
CIRCIA Report means a Covered Cyber Incident Report, Ransom Payment Report, Joint Covered Cyber Incident and Ransom Payment Report, or Supplemental Report, as defined under this part. CIRCIA 報告書とは、本編に基づき定義されるとおり、対象サイバーインシデント報告書、身代金支払 報告書、共同対象サイバーインシデント及び身代金支払報告書、又は補足報告書をいう。
Cloud service provider means an entity offering products or services related to cloud computing, as defined by the National Institute of Standards and Technology in Nat’l Inst. of Standards & Tech., NIST Special Publication 800-145, and any amendatory or superseding document relating thereto. クラウドサービスプロバイダとは、国立標準技術研究所の NIST 特別刊行物(NIST 特別刊行物 800-145)、およびこれに関連する修正文書または優先文書によって定義される、クラウドコンピューティングに関連する製品またはサービスを提供する事業体をいう。
Covered cyber incident means a substantial cyber incident experienced by a covered entity. 対象サイバーインシデントとは、対象事業体が経験した実質的なサイバーインシデントをいう。
Covered Cyber Incident Report means a submission made by a covered entity or a third party on behalf of a covered entity to report a covered cyber incident as required by this part. A Covered Cyber Incident Report also includes any responses to optional questions and additional information voluntarily submitted as part of a Covered Cyber Incident Report.  対象サイバーインシデント報告とは、対象事業体または対象事業体を代行するサードパーティが、本部の定めるところに従い、対象サイバーインシデントを報告するために提出するものをいう。対象サイバーインシデント報告には、任意の質問に対する回答および対象サイバーインシデント報告の一部として自主的に提出された追加情報も含まれる。
Covered entity means an entity that meets the criteria set forth in § 226.2 of this part. 対象事業体とは、本編第 226.2 条に定める基準を満たす事業体をいう。
Cyber incident means an occurrence that actually jeopardizes, without lawful authority, the integrity, confidentiality, or availability of information on an information system; or actually jeopardizes, without lawful authority, an information system. サイバーインシデントとは、合法的な権限なしに、情報システム上の情報の完全性、機密性、または可用性を実際に危険にさらす、または合法的な権限なしに、情報システムを実際に危険にさらす事象をいう。
Cybersecurity and Infrastructure Security Agency or CISA means the Cybersecurity and Infrastructure Security Agency as established under section 2202 of the Homeland Security Act of 2002 (6 U.S.C. 652), as amended by the Cybersecurity and Infrastructure Security Agency Act of 2018 and subsequent laws, or any successor organization.  サイバーセキュリティ・インフラセキュリティ庁または CISA とは、2002 年国土安全保障法(6 U.S.C. 652)第 2202 条に基づき設立されたサイバーセキュリティ・インフラセキュリティ庁、2018 年サイバーセキュリティ・インフラセキュリティ庁法およびその後の法律により改正されたサイバーセキュリティ・インフラセキュリティ庁、またはその後継組織をいう。
Cybersecurity threat means an action, not protected by the First Amendment to the Constitution of the United States, on or through an information system that may result in an unauthorized effort to adversely impact the security, availability, confidentiality, or integrity of an information system or information that is stored on, processed by, or transiting an information system. This term does not include any action that solely involves a violation of a consumer term of service or a consumer licensing agreement. サイバーセキュリティ上の脅威とは、情報システム上で、または情報システムを通じて、米国憲法修正第1条によって保護されない行為であって、情報システム、または情報システムに保存され、情報システムによって処理され、または情報システムを通過する情報のセキュリティ、可用性、機密性、または完全性に悪影響を及ぼす不正な努力をもたらす可能性のある行為をいう。この用語には、消費者向けサービス条件または消費者向けライセンス契約の違反のみを伴う行為は含まれない。
Director means the Director of CISA, any successors to that position within the Department of Homeland Security, or any designee. 長官とは、CISA長官、国土安全保障省内の同職の後継者、または被指名人をいう。
Information system means a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information, including, but not limited to, operational technology systems such as industrial control systems, supervisory control and data acquisition systems, distributed control systems, and programmable logic controllers. 情報システムとは、情報の収集、処理、保守、使用、共有、普及または処分のために組織された情報リソースの個別の集合をいい、産業制御システム、監視制御およびデータ収集システム、分散制御システム、プログラマブル・ロジック・コントローラなどの運用技術システムを含むが、これらに限定されない。
Joint Covered Cyber Incident and Ransom Payment Report means a submission made by a covered entity or a third party on behalf of a covered entity to simultaneously report both a covered cyber incident and ransom payment related to the covered cyber incident being reported, as required by this part. A Joint Covered Cyber Incident and Ransom Payment Report also includes any responses to optional questions and additional information voluntarily submitted as part of the report. 共同対象サイバーインシデントおよび身代金支払報告書とは、本編で義務付けられているとおり、対象事業体または対象事業体を代行するサードパーティが、報告される対象サイバーインシデントに関連する対象サイバーインシデントおよび身代金支払の両方を同時に報告するために提出するものをいう。対象となるサイバーインシデントおよび身代金支払の共同報告には、任意の質問に対する回答および報告の一部として任意に提出された追加情報も含まれる。
Managed service provider means an entity that delivers services, such as network, application, infrastructure, or security services, via ongoing and regular support and active administration on the premises of a customer, in the data center of the entity, such as hosting, or in a third-party data center. マネージド・サービス・プロバイダとは、顧客の構内、ホスティングなどの事業体のデータセンター、またはサードパーティ・データセンターにおいて、継続的かつ定期的なサポートおよび能動的な管理を通じて、ネットワーク、アプリケーション、インフラストラクチャ、またはセキュリティサービスなどのサービスを提供する事業体をいう。
Personal information means information that identifies a specific individual or nonpublic information associated with an identified or identifiable individual. Examples of personal information include, but are not limited to, photographs, names, home addresses, direct telephone numbers, social security numbers, medical information, personal financial information, contents of personal communications, and personal web browsing history. 個人を特定できる情報とは、特定の個人を識別する情報、または識別された個人もしくは識別できる個人に関連する非公開情報をいう。個人情報の例としては、写真、氏名、自宅住所、直通電話番号、社会保障番号、医療情報、個人財務情報、個人コミュニケーションの内容、個人のウェブ閲覧履歴などが挙げられるが、これらに限定されない。
Ransom payment means the transmission of any money or other property or asset, including virtual currency, or any portion thereof, which has at any time been delivered as ransom in connection with a ransomware attack.  身代金の支払いとは、ランサムウェア攻撃に関連して身代金として引き渡された、仮想通貨を含む金銭その他の財産または資産、またはその一部の送信をいう。
Ransom Payment Report means a submission made by a covered entity or a third party on behalf of a covered entity to report a ransom payment as required by this part. A Ransom Payment Report also includes any responses to optional questions and additional information voluntarily submitted as part of a Ransom Payment Report.  身代金支払報告とは、本編の定めるところに従い、対象事業体または対象事業体に代わってサードパーティが身代金支払を報告するために提出するものをいう。身代金支払報告には、任意の質問に対する回答および身代金支払報告の一部として任意 に提出された追加情報も含まれる。
Ransomware attack means an occurrence that actually or imminently jeopardizes, without lawful authority, the integrity, confidentiality, or availability of information on an information system, or that actually or imminently jeopardizes, without lawful authority, an information system that involves, but need not be limited to, the following: ランサムウェア攻撃とは、情報システム上の情報の完全性、機密性、または可用性を、合法的な 権限なく、実際に、または差し迫った形で危険にさらす、または情報システムを、合法的な 権限なく、実際に、または差し迫った形で危険にさらすような発生を意味するが、これらに 限定される必要はない:
(1) The use or the threat of use of:  (1)以下の使用または使用の脅威: 
(i) Unauthorized or malicious code on an information system; or  (i) 情報システム上で不正または悪意のあるコードを使用すること。
(ii) Another digital mechanism such as a denial-of-service attack;  (ii) サービス妨害(DoS)攻撃などの別のデジタル・メカニズム; 
(2) To interrupt or disrupt the operations of an information system or compromise the confidentiality, availability, or integrity of electronic data stored on, processed by, or transiting an information system; and (2) 情報システムの運用を妨害もしくは混乱させること、または情報システムに保存され、情報システムによって処理され、もしくは情報システムを通過する電子データの機密性、可用性、もしくは完全性を侵害すること。
(3) To extort a ransom payment. (3) 身代金の支払いを強要すること。
(4) Exclusion. A ransomware attack does not include any event where the demand for a ransom payment is: (4) 除外。ランサムウェア攻撃には、身代金の支払要求が以下のような事象は含まれない:
(i) Not genuine; or (i) 真正でない。
(ii) Made in good faith by an entity in response to a specific request by the owner or operator of the information system. (ii) 情報システムの所有者または運営者による特定の要求に応じて、事業体によって誠実に行われた。
State, Local, Tribal, or Territorial Government entity or SLTT Government entity means an organized domestic entity which, in addition to having governmental character, has sufficient discretion in the management of its own affairs to distinguish it as separate from the administrative structure of any other governmental unit, and which is one of the following or a subdivision thereof: 州、地方、部族、または準州政府事業体(State, Local, Tribal, or Territorial Government entity)またはSLTT政府事業体(SLTT Government entity)とは、政府としての性格を有することに加え、他のいかなる政府単位の行政機構とも区別されるように、自らの事務の管理において十分な裁量権を有する組織化された国内事業体を意味し、以下のいずれかまたはその下位区分である:
(1) A State of the United States, the District of Columbia, the Commonwealth of Puerto Rico, the Virgin Islands, Guam, American Samoa, the Commonwealth of the Northern Mariana Islands, and any possession of the United States;  (1) 米国の州、コロンビア特別区、プエルトリコ連邦、バージン諸島、グアム、米領サモア、北マリアナ諸島連邦、および米国の属領; 
(2) A county, municipality, city, town, township, local public authority, school district, special district, intrastate district, council of governments, regardless of whether the council of governments is incorporated as a nonprofit corporation under State law, regional or interstate government entity, or agency or instrumentality of a Local government;  (2) 郡、自治体、市、町、郷、地方公共団体、学区、特別区、州内地区、自治体評議会(自治体評議会が州法に基づく非営利法人として法人化されているか否かを問わない)、地域政府または州間政府事業体、または地方政府の機関または組織; 
(3) An Indian tribe, band, nation, or other organized group or community, or other organized group or community, including any Alaska Native village or regional or village corporation as defined in or established pursuant to 43 U.S.C. 1601 et seq., which is recognized as eligible for the special programs and services provided by the United States to Indians because of their status as Indians; and  (3) インディアンの部族、バンド、国民、その他の組織化された集団または共同体、あるいは 43 U.S.C.1601.他に従って定義または設立されたアラスカ先住民の村、地域または村社会を含むその他の組織化された集団または共同体であって、インディア ンであることを理由に米国がインディアンに提供する特別なプログラムやサービスを受ける資格があると認 められているもの。
(4) A rural community, unincorporated town or village, or other public entity. (4) 農村コミュニティ、法人化されていない町村、またはその他の事業体。
Substantial cyber incident means a cyber incident that leads to any of the following:  実質的なサイバーインシデントとは、以下のいずれかにつながるサイバーインシデントをいう: 
(1) A substantial loss of confidentiality, integrity or availability of a covered entity’s information system or network;  (1) 対象事業体の情報システムまたはネットワークの機密性、完全性または可用性の重大な損失; 
(2) A serious impact on the safety and resiliency of a covered entity’s operational systems and processes; (2) 対象事業体の業務システムおよびプロセスの安全性およびレジリエンスに対する重大な影響;
(3) A disruption of a covered entity’s ability to engage in business or industrial operations, or deliver goods or services;  (3) 対象事業体の事業活動もしくは産業活動、または商品もしくはサービスの提供能力の中断; 
(4) Unauthorized access to a covered entity’s information system or network, or any nonpublic information contained therein, that is facilitated through or caused by a: (4) 対象事業体の情報システムおよびネットワーク、またはそこに含まれる非公開情報への不正アクセ スであって、以下を通じて容易になったもの、または以下に起因するもの:
(i) Compromise of a cloud service provider, managed service provider, or other third-party data hosting provider; or  (i) クラウドサービス・プロバイダ、マネージドサービス・プロバイダ、またはその他のサードパーティ・データ・ホスティング・プロバイダの危殆化。
(ii) Supply chain compromise. (ii) サプライチェーンの侵害
(5) A “substantial cyber incident” resulting in the impacts listed in paragraphs (1) through (3) in this definition includes any cyber incident regardless of cause, including, but not limited to, any of the above incidents caused by a compromise of a cloud service provider, managed service provider, or other third-party data hosting provider; a supply chain compromise; a denial-of-service attack; a ransomware attack; or exploitation of a zero-day vulnerability.  (5) 本定義の第(1)項から第(3)項までに列挙される影響をもたらす「実質的なサイバーインシデント」には、クラウドサービス・プロバイダ、マネージドサービス・プロバイダ、またはその他のサードパーティデータホスティングプロバイダの危殆化、サプライチェーンの危殆化、サービス妨害攻撃、ランサムウェア攻撃、またはゼロデイ脆弱性の悪用によって引き起こされる上記のインシデントを含むが、これらに限定されない、原因の如何を問わないあらゆるサイバーインシデントが含まれる。
(6) The term “substantial cyber incident” does not include:  (6) 「実質的なサイバーインシデント」という用語には、以下は含まれない: 
(i) Any lawfully authorized activity of a United States Government entity or SLTT Government entity, including activities undertaken pursuant to a warrant or other judicial process;  (i) 米国政府事業体またはSLTT政府事業体の合法的に認可された活動(令状またはその他の司法手続に従って行われる活動を含む); 
(ii) Any event where the cyber incident is perpetrated in good faith by an entity in response to a specific request by the owner or operator of the information system; or  (ii) サイバー・インシデントが、情報システムの所有者または運営者による特定の要請に応じて、事業体によって誠実に実行された場合。
(iii) The threat of disruption as extortion, as described in 6 U.S.C. 650(22). (iii) 6 U.S.C.650(22)に記載されているように、恐喝として破壊の恐れがある場合。
Supplemental report means a submission made by a covered entity or a third party on behalf of a covered entity to update or supplement a previously submitted Covered Cyber Incident Report or to report a ransom payment made by the covered entity after submitting a Covered Cyber Incident Report as required by this part. A supplemental report also includes any responses to optional questions and additional information voluntarily submitted as part of a supplemental report. 補足報告とは、対象事業体または対象事業体に代わって第三者が、以前に提出された対象サイ バーインシデント報告書を更新または補足するために、または本編の定めるところに従って対象サイ バーインシデント報告書を提出した後に対象事業体が行った身代金の支払いを報告するために提出するものをいう。補足報告には、任意の質問に対する回答および補足報告の一部として自主的に提出された追加情報も含まれる。
Supply chain compromise means a cyber incident within the supply chain of an information system that an adversary can leverage, or does leverage, to jeopardize the confidentiality, integrity, or availability of the information system or the information the system processes, stores, or transmits, and can occur at any point during the life cycle. サプライチェーンの危殆化とは、情報システムのサプライチェーン内において、敵対者が情報シス テムまたはシステムが処理、保存、送信する情報の機密性、完全性、または可用性を危うくする ために利用することができる、または利用するサイバーインシデントを意味し、ライフサイクル のどの時点においても発生する可能性がある。
Virtual currency means the digital representation of value that functions as a medium of exchange, a unit of account, or a store of value. Virtual currency includes a form of value that substitutes for currency or funds.  仮想通貨とは、交換媒体、勘定単位、または価値の保管庫として機能する価値のデジタル表現を意味する。仮想通貨には、通貨または資金の代わりとなる価値の形態も含まれる。
§ 226.2 Applicability. § 226.2 適用可能性
This part applies to an entity in a critical infrastructure sector that either:  本編は、以下のいずれかに該当する重要インフラ部門の事業体に適用される: 
(a) Exceeds the small business size standard. Exceeds the small business size standard specified by the applicable North American Industry Classification System Code in the U.S. Small Business Administration’s Small Business Size Regulations as set forth in 13 CFR part 121; or (a) 中小企業標準を超える。13 CFR part 121 に規定される米国中小企業局の中小企業規 則(Small Business Size Regulations)の該当する北米産業分類システムコードによって指定される中小企業規格を超える。
(b) Meets a sector-based criterion. Meets one or more of the sector-based criteria provided below, regardless of the specific critical infrastructure sector of which the entity considers itself to be part:  (b) 業種別基準を満たす。事業体が属する特定の重要インフラ部門にかかわらず、以下に示す部門別基準を1つ以上満たしている: 
(1) Owns or operates a covered chemical facility. The entity owns or operates a covered chemical facility subject to the Chemical Facility Anti-Terrorism Standards pursuant to 6 CFR part 27; (1) 対象となる化学施設を所有または運営している。事業体は、6 CFRパート27に従った化学施設テロ対策標準の対象となる化学施設を所有または運営している;
(2) Provides wire or radio communications service. The entity provides communications services by wire or radio communications, as defined in 47 U.S.C. 153(40), 153(59), to the public, businesses, or government, as well as one-way services and two-way services, including but not limited to: (2) 有線または無線によるコミュニケーションサービスをプロバイダとして提供する。事業体は、47 U.S.C. 153(40)、153(59)に定義される有線または無線通信によるコミュニケーション・サービスを、一般市民、企業、または政府に対して、一方向サービスおよび双方向サービスとして提供する:
(i) Radio and television broadcasters;  (i) ラジオ・テレビ放送事業者; 
(ii) Cable television operators;  (ii) ケーブルテレビ事業者 
(iii) Satellite operators;  (iii) 衛星通信事業者 
(iv) Telecommunications carriers;  (iv) 電気通信事業者 
(v) Submarine cable licensees required to report outages to the Federal  (v) 47 CFR 4.15に基づき、連邦通信委員会に停電を報告する必要がある海底ケーブル免許事業者。
Communications Commission under 47 CFR 4.15;  (v) 47 CFR 4.15に基づき連邦コミュニケーション委員会に停電を報告する必要がある海底ケーブル免許業者; 
(vi) Fixed and mobile wireless service providers;  (vi) 固定および移動無線サービスプロバイダ; 
(vii) Voice over Internet Protocol providers; or (vii) ボイス・オーバー・インターネット・プロトコル・プロバイダ。
(viii) Internet service providers;  (viii) インターネット・サービス・プロバイダ; 
(3) Owns or operates critical manufacturing sector infrastructure. The entity owns or has business operations that engage in one or more of the following categories of manufacturing: (3) 重要な製造部門のインフラを所有または運営している。事業体は、以下のカテゴリーの1つ以上に従事する製造業を所有または事業展開している:
(i) Primary metal manufacturing;  (i) 一次金属製造業; 
(ii) Machinery manufacturing;  (ii) 機械製造; 
(iii) Electrical equipment, appliance, and component manufacturing; or  (iii) 電気機器、器具、部品製造業;または 
(iv) Transportation equipment manufacturing; (iv) 輸送機器製造;
(4) Provides operationally critical support to the Department of Defense or processes, stores, or transmits covered defense information. The entity is a contractor or subcontractor required to report cyber incidents to the Department of Defense pursuant to the definitions and requirements of the Defense Federal Acquisition Regulation Supplement 48 CFR 252.204-7012;
(4) 国防総省に運用上重要な支援を提供する、または対象となる国防情報を処理、保管、伝送する。事業体は、国防連邦調達規則補遺 48 CFR 252.204-7012 の定義および要件に従って、サイバーインシデントを国防総省に報告する必要がある請負業者または下請業者である;
(5) Performs an emergency service or function. The entity provides one or more of the following emergency services or functions to a population equal to or greater than 50,000 individuals: (5) 緊急サービスまたは機能を実行する。事業体は、50,000 人以上の人口に対し、以下の緊急サービスまたは機能の 1 つ以上を提供する:
(i) Law enforcement;  (i) 法執行; 
(ii) Fire and rescue services;  (ii) 消防および救助サービス; 
(iii) Emergency medical services;  (iii) 緊急医療サービス 
(iv) Emergency management; or (iv) 緊急事態管理
(v) Public works that contribute to public health and safety;  (v) 公共衛生および安全に寄与する公共事業; 
(6) Bulk electric and distribution system entities. The entity is required to report cybersecurity incidents under the North American Electric Reliability Corporation Critical Infrastructure Protection Reliability Standards or required to file an Electric Emergency Incident and Disturbance Report OE-417 form, or any successor form, to the Department of Energy; (6) バルク電気および配電系統事業体。事業体は、北米電気信頼性委員会の重要インフラ保護信頼性基準に基づきサイバーセキュリティインシデントを報告する必要があるか、または電気緊急インシデントおよび妨害行為報告書OE-417フォーム、またはその後継フォームをエネルギー省に提出する必要がある;
(7) Owns or operates financial services sector infrastructure. The entity owns or operates any legal entity that qualifies as one or more of the following financial services entities: (7) 金融サービス部門のインフラを所有または運営している。事業体は、以下の1つ以上の金融サービス事業体に該当する法人を所有または運営している:
(i) A banking or other organization regulated by: (i) 以下の規制を受ける銀行またはその他の組織:
(A) The Office of the Comptroller of the Currency under 12 CFR parts 30 and 53, which includes all national banks, Federal savings associations, and Federal branches and agencies of foreign banks; (A) 通貨監督庁(Office of the Comptroller of the Currency)12 CFR 第 30 部および第 53 部に基づき規制される銀行またはその他の組織;
(B) The Federal Reserve Board under: (B) 以下の連邦準備制度理事会:
(1) 12 CFR parts 208, 211, 225, or 234, which includes all U.S. bank holding companies, savings and loans holding companies, state member banks, the U.S. operations of foreign banking organizations, Edge and agreement corporations, and certain designated financial market utilities; or  (1) 12 CFR 第 208 部、第 211 部、第 225 部、または第 234 部に基づく連邦準備制度理事会。これには、全ての米国銀行持株会社、貯蓄貸付持株会社、加盟国銀行、外国銀行組織の米国事業、エッジ・アンド・アグリーメント・コーポレーション、および特定の指定金融市場公益事業が含まれる。
(2) 12 U.S.C. 248(j), which includes the Federal Reserve Banks;  (2) 12 U.S.C. 248(j)(連邦準備銀行を含む; 
(C) The Federal Deposit Insurance Corporation under 12 CFR part 304, which includes all insured state nonmember banks, insured state-licensed branches of foreign banks, and insured State savings associations; (C)連邦預金保険公社は、12 CFR part 304 に基づき、すべての被保険州非加盟銀行、外国銀行の被保険州認可支店、および被保険州貯蓄組合を含む;
(ii) A Federally insured credit union regulated by the National Credit Union Administration under 12 CFR part 748;  (ii) 12 CFR part 748 に基づき全米信用組合管理局によって規制されている連邦政府被保険信用組合; 
(iii) A designated contract market, swap execution facility, derivatives clearing organization, or swap data repository regulated by the Commodity Futures Trading Commission under 17 CFR parts 37, 38, 39, and 49; (iii) 17 CFR part 37, 38, 39, 49 に基づき商品先物取引委員会が規制する指定契約市場、スワップ執行機 関、デリバティブ清算機関、またはスワップデータリポジトリ;
(iv) A futures commission merchant or swap dealer regulated by the Commodity Futures Trading Commission under 17 CFR parts 1 and 23; (iv) 17 CFR 第 1 部及び第 23 部に基づき商品先物取引委員会が規制する先物取引業者又はスワップ・ディーラー;
(v) A systems compliance and integrity entity, security-based swap dealer, or security-based swap data repository regulated by the Securities and Exchange Commission under Regulation Systems Compliance and Integrity or Regulation Security-Based Swap Regulatory Regime, 17 CFR part 242;  (v) 証券取引委員会により、17CFR part 242「システム・コンプライアンス及び完全性規制」または「セキュリテ ィ・ベース・スワップ規制」に基づき規制されているシステム・コンプライアンス及び完全性事 業体、セキュリティ・ベース・スワップ・ディーラー、またはセキュリティ・ベース・スワップ・ データ保管所; 
(vi) A money services business as defined in 31 CFR 1010.100(ff); or (vi) 31 CFR 1010.100(ff)に定義されるマネーサービス事業。
(vii) Fannie Mae and Freddie Mac as defined in 12 CFR 1201.1; (vii) 12 CFR 1201.1 に定義されるファニーメイおよびフレディマック;
(8) Qualifies as a State, local, Tribal, or territorial government entity. The entity is a State, local, Tribal, or territorial government entity for a jurisdiction with a population equal to or greater than 50,000 individuals; (8) 州、地方、部族、または準州の政府事業体に該当する。事業体は、人口 50,000 人以上の管轄区域の州、地方、部族、または準州の政府機関である;
(9) Qualifies as an education facility. The entity qualifies as any of the following types of education facilities:  (9) 教育施設である。事業体は、以下の種類の教育施設のいずれかに該当する: 
(i) A local educational agency, educational service agency, or state educational agency, as defined under 20 U.S.C. 7801, with a student population equal to or greater than 1,000 students; or  (i) 学生数が1,000人以上の、U.S.C.第7801条に基づいて定義される地方教育機関、教育サー ビス機関、または州教育機関。
(ii) An institute of higher education that receives funding under Title IV of the Higher Education Act, 20 U.S.C. 1001 et seq., as amended; (ii) 高等教育法 Title IV(合衆国法典第 20 編第 1001 条ほか、改正されたもの)に基づき資金援助 を受ける高等教育機関;
(10) Involved with information and communications technology to support elections processes. The entity manufactures, sells, or provides managed services for information and communications technology specifically used to support election processes or report and display results on behalf of State, Local, Tribal, or Territorial governments, including but not limited to: (10) 選挙プロセスを支援するための情報通信技術に関与している。事業体は、州、地方、部族、または準州政府に代わって、選挙プロセスを支援するため、または結果を報告・表示するために特別に使用される情報通信技術を製造、販売、またはマネージドサービス・プロバイダーとして提供している:
(i) Voter registration databases;  (i) 有権者登録データベース; 
(ii) Voting systems; and (ii) 投票システム
(iii) Information and communication technologies used to report, display, validate, or finalize election results;  (iii) 選挙結果の報告、表示、検証、確定に使用される情報通信技術; 
(11) Provides essential public health-related services. The entity provides one or more of the following essential public health-related services: (11) 必要不可欠な公衆衛生関連サービスをプロバイダとして提供する。事業体は、以下の一つ以上の必須公衆衛生関連サービスを提供する:
(i) Owns or operates a hospital, as defined by 42 U.S.C. 1395x(e), with 100 or more beds, or a critical access hospital, as defined by 42 U.S.C. 1395x(mm)(1); (i) 42 U.S.C.1395x(e)に定義される、100 床以上の病院、または 42 U.S.C.1395x(mm)(1)に定義される重要アクセス病院を所有または運営する;
(ii) Manufactures drugs listed in appendix A of the Essential Medicines Supply Chain and Manufacturing Resilience Assessment developed pursuant to section 3 of E.O. 14017; or
(ii) E.O. 14017 の第 3 項に従って作成された必須医薬品サプライチェーンおよび製造レジリエンス・アセスメントの付録 A に記載されている医薬品を製造している。

(iii) Manufactures a Class II or Class III device as defined by 21 U.S.C. 360c; (iii) 21 U.S.C. 360c で定義されるクラスⅡまたはクラスⅢの機器を製造する;
(12) Information technology entities. The entity meets one or more of the following criteria: (12) 情報技術事業体。事業体は、以下の基準の 1 つ以上を満たす:
(i) Knowingly provides or supports information technology hardware, software, systems, or services to the Federal government; (i) 情報技術のハードウェア、ソフトウェア、システム、またはサービスを、連邦政府 に故意にプロバイダまたはサポートする;
(ii) Has developed and continues to sell, license, or maintain any software that has, or has direct software dependencies upon, one or more components with at least one of these attributes:  (ii)以下の属性の少なくとも1つを持つ1つまたは複数のコンポーネントを持つ、またはそれに直接依存するソフトウェアを開発し、販売、ライセンス供与、または保守を継続している: 
(A) Is designed to run with elevated privilege or manage privileges;  (A) 昇格した特権で実行されるか、特権を管理するように設計されている; 
(B) Has direct or privileged access to networking or computing resources; (B) ネットワークまたはコンピューティングリソースに直接または特権的にアクセスする;
(C) Is designed to control access to data or operational technology;  (C) データまたは運用技術へのアクセスを制御するように設計されている; 
(D) Performs a function critical to trust; or  (D) 信頼に不可欠な機能を実行する。
(E) Operates outside of normal trust boundaries with privileged access;  (E) 特権アクセスにより、通常の信頼境界の外で運用される; 
(iii) Is an original equipment manufacturer, vendor, or integrator of operational technology hardware or software components; (iii) 運用技術のハードウェアまたはソフトウェア・コンポーネントの製造事業者、ベンダー、またはインテグレーターである;
(iv) Performs functions related to domain name operations;  (iv) ドメイン名の運用に関連する機能を実行する; 
(13) Owns or operates a commercial nuclear power reactor or fuel cycle Facility. The entity owns or operates a commercial nuclear power reactor or fuel cycle facility licensed to operate under the regulations of the Nuclear Regulatory Commission, 10 CFR chapter I; (13) 商業用原子炉または燃料サイクル施設を所有または運営している。事業体は、原子力規制委員会の規制(10CFR第I章)に基づ いて操業することを許可された商業用原子炉または燃料サイクル施設を所有または操業する;
(14) Transportation system entities. The entity is required by the Transportation Security Administration to report cyber incidents or otherwise qualifies as one or more of the following transportation system entities: (14) 輸送システム事業体。事業体は、運輸保安局からサイバーインシデントの報告を求められているか、そうでなければ以下の運輸システム事業体の一つ以上に該当する:
(i) A freight railroad carrier identified in 49 CFR 1580.1(a)(1), (4), or (5); (i) 49 CFR 1580.1(a)(1)、(4)または(5)で識別される貨物鉄道事業者;
(ii) A public transportation agency or passenger railroad carrier identified in 49 CFR 1582.1(a)(1)-(4); (ii) 49 CFR 1582.1(a)(1)~(4)で識別される公共交通機関または旅客鉄道事業者;
(iii) An over-the-road bus operator identified in 49 CFR 1584.1; (iii) 49 CFR 1584.1 で特定される道路バス事業者;
(iv) A pipeline facility or system owner or operator identified in 49 CFR 1586.101; (iv) 49 CFR 1586.101で特定されるパイプライン施設またはシステムの所有者または運営者;
(v) An aircraft operator regulated under 49 CFR part 1544;  (v) 49 CFR パート 1544 に基づき規制される航空機運航者; 
(vi) An indirect air carrier regulated under 49 CFR part 1548;  (vi) 49 CFR part 1548 に基づき規制される間接航空運送事業者; 
(vii) An airport operator regulated under 49 CFR part 1542; or  (vii) 49 CFR part 1542 に基づき規制される空港運営者。
(viii) A Certified Cargo Screening Facility regulated under 49 CFR part 1549; (viii) 49 CFR part 1549 に基づき規制される認定貨物スクリーニング施設;
(15) Subject to regulation under the Maritime Transportation Security Act. The entity owns or operates a vessel, facility, or outer continental shelf facility subject to 33 CFR parts 104, 105, or 106; or  (15) 海上輸送安全法に基づく規制対象。事業体は、33 CFR part 104、105、または 106 の対象となる船舶、施設、または大陸棚外施設を所有または運営する。
(16) Owns or operates a qualifying community water system or publicly owned treatment works. The entity owns or operates a community water system, as defined in 42 U.S.C. 300f(15), or a publicly owned treatment works, as defined in 40 CFR 403.3(q), for a population greater than 3,300 people. (16) 適格な地域水道システムまたは公営の処理施設を所有または運営している。事業体は、42 U.S.C. 300f(15)に定義される地域水道、または 40 CFR 403.3(q)に定義される公有処理施設を、3,300 人以上の人口のために所有または運営している。
§ 226.3 Required reporting on covered cyber incidents and ransom payments. § 226.3 対象となるサイバーインシデントおよび身代金の支払いに関する報告義務
(a) Covered cyber incident. A covered entity that experiences a covered cyber incident must report the covered cyber incident to CISA in accordance with this part.  (a) 対象サイバーインシデント。対象サイバーインシデントを経験した対象事業体は、本編に従い、対象サイバーインシデントを CISA に報告しなければならない。
(b) Ransom payment. A covered entity that makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, as the result of a ransomware attack against the covered entity must report the ransom payment to CISA in accordance with this part. This reporting requirement applies to a covered entity even if the ransomware attack that resulted in a ransom payment is not a covered cyber incident subject to the reporting requirements of this part. If a covered entity makes a ransom payment that relates to a covered cyber incident that was previously reported in accordance with paragraph (a) of this section, the covered entity must instead submit a supplemental report in accordance with paragraph (d)(1)(ii) of this section. (b) 身代金の支払い。対象事業体に対するランサムウェア攻撃の結果として、身代金の支払いを行う、または対象事業体に代わ って他の事業体に身代金の支払いを行わせる対象事業体は、本編に従い、身代金の支払いを CISA に報告しなければならない。この報告要件は、身代金支払の原因となったランサムウェア攻撃が、本編の報告要件の対象となる対象サイバーインシデントでない場合であっても、対象事業体に適用される。対象事業体が、本項の(a)項に従って以前に報告された対象サイバーインシデントに関連する身代金の支払いを行った場合、対象事業体は代わりに、本項の(d)(1)(ii)項に従って補足報告を提出しなければならない。
(c) Covered cyber incident and ransom payment. A covered entity that experiences a covered cyber incident and makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, that is related to that covered cyber incident may report both events to CISA in a Joint Covered Cyber Incident and Ransom Payment Report in accordance with this part. If a covered entity, or a third party acting on the covered entity’s behalf, submits a Joint Covered Cyber Incident and Ransom Payment Report in accordance with this part, the covered entity is not required to also submit reports pursuant to paragraph (a) and (b) of this section. (c) 対象となるサイバーインシデントおよび身代金の支払い。対象となるサイバーインシデントを経験し、身代金の支払いを行った、または対象となるサイバーインシデントに関連する身代金の支払いを他の事業体に代行させた対象事業体は、本編に従い、対象となるサイバーインシデントおよび身代金支払い共同報告書において、両方の事象を CISA に報告することができる。対象事業体または対象事業体の代理を務めるサードパーティが、本編に従って共同対象サイ バーインシデントおよび身代金支払報告書を提出する場合、対象事業体は、本項(a)および(b)に従った報告書も提出する必要はない。
(d) Supplemental Reports--(1) Required Supplemental Reports. A covered entity must promptly submit Supplemental Reports to CISA about a previously reported covered cyber incident in accordance with this part unless and until such date that the covered entity notifies CISA that the covered cyber incident at issue has concluded and has been fully mitigated and resolved. Supplemental Reports must be promptly submitted by the covered entity if: (d) 補足報告書--(1) 必須の補足報告書。対象事業体は、対象事業体が問題の対象サイバーインシデントが終結し、完全に低減され解決されたと CISA に通知しない限り、またその日まで、本編に従い、以前に報告された対象サイバーインシデントに関する補足報告を CISA に速やかに提出しなければならない。以下の場合、対象事業体は速やかに補足報告書を提出しなければならない:
(i) Substantial new or different information becomes available. Substantial new or different information includes but is not limited to any information that the covered entity was required to provide as part of a Covered Cyber Incident Report but did not have at the time of submission; or (i) 実質的に新しいまたは異なる情報が入手可能となった場合。実質的に新しいまたは異なる情報には、対象事業体が対象サイバーインシデント報告書の一部 として提供することを義務付けられていたが、提出時に持っていなかった情報が含まれるが、こ れらに限定されない。
(ii) The covered entity makes a ransom payment, or has another entity make a ransom payment on the covered entity’s behalf, that relates to a covered cyber incident that was previously reported in accordance with paragraph (a) of this section.  (ii) 対象事業体が、本項の(a)項に従って以前に報告された対象サイバーインシデントに関連して、身代金の支払いを行うか、または対象事業体に代わって他の事業体に身代金の支払いを行わせる。
(2) Optional notification that a covered cyber incident has concluded. A covered entity may submit a Supplemental Report to inform CISA that a covered cyber incident previously reported in accordance with paragraph (a) of this section has concluded and been fully mitigated and resolved. (2) 対象となるサイバーインシデントが終了したことの任意の通知。対象事業体は、本項の(a)項に従って以前に報告された対象サイバーインシデントが終結し、完全に低減され解決されたことを CISA に通知するために、補足報告を提出することができる。
§ 226.4 Exceptions to required reporting on covered cyber incidents and ransom payments. § 226.4 対象のサイバーインシデント及び身代金の支払いに関する報告義務の例外
(a) Substantially similar reporting exception--(1) In general. A covered entity that reports a covered cyber incident, ransom payment, or information that must be submitted to CISA in a supplemental report to another Federal agency pursuant to the terms of a CIRCIA Agreement will satisfy the covered entity’s reporting obligations under § 226.3. A covered entity is responsible for confirming that a CIRCIA Agreement is applicable to the covered entity and the specific reporting obligation it seeks to satisfy under this part, and therefore, qualifies for this exemption.  (a) 実質的に類似した報告の例外--(1) 一般的に。対象となるサイバーインシデント、身代金の支払い、またはCIRCIA協定の条件に従って他の連邦機関への補足報告でCISAに提出しなければならない情報を報告する対象事業体は、226.3条に基づく対象事業体の報告義務を満たす。対象事業体は、CIRCIA合意が対象事業体に適用され、本編に基づき充足しようとする特定の報告義務に適用され、したがって本免除の対象となることを確認する責任を負う。
(2) CIRCIA Agreement requirements. A CIRCIA Agreement may be entered into and maintained by CISA and another Federal agency in circumstances where CISA has determined the following: (2) CIRCIA協定の要件。CISAが以下のように判断した場合、CISAと他の連邦機関によりCIRCIA合意が締結され、維持されることがある:
(i) A law, regulation, or contract exists that requires one or more covered entities to report covered cyber incidents or ransom payments to the other Federal agency; (i) 1つ以上の対象事業体が、対象となるサイバー・インシデントまたは身代金の支払いを他の連邦機 関に報告することを要求する法律、規制、または契約が存在する;
(ii) The required information that a covered entity must submit to the other Federal agency pursuant to a legal, regulatory, or contractual reporting requirement is substantially similar information to that which a covered entity is required to include in a CIRCIA Report as specified in §§ 226.7 through 226.11, as applicable; (ii) 法律、規制、または契約上の報告要件に従って、対象事業体が他の連邦機関に提出しなければならな い必要な情報が、該当する場合、第 226.7 条から第 226.11 条に規定される CIRCIA 報告書に対象事 業体が記載することを義務付けられている情報と実質的に類似している;
(iii) The applicable law, regulation, or contract requires covered entities to report covered cyber incidents or ransom payments to the other Federal agency within a substantially similar timeframe to those for CIRCIA Reports specified in § 226.5; and  (iii) 適用法、規制、または契約により、対象事業体は、226.5 条に規定される CIRCIA 報告書と実質的に同様の期間内に、対象となるサイバーインシデントまたは身代金の支払いを他の連邦機関に報告することが義務付けられている。
(iv) CISA and the other Federal agency have an information sharing mechanism in place. (iv) CISA と他の連邦機関は、情報共有の仕組みを有している。
(3) Substantially similar information determination. CISA retains discretion to determine what constitutes substantially similar information for the purposes of this part. In general, in making this determination, CISA will consider whether the specific fields of information reported by the covered entity to another Federal agency are functionally equivalent to the fields of information required to be reported in CIRCIA Reports under §§ 226.7 through 226.11, as applicable. (3) 実質的に類似した情報の判断。CISAは、本編の目的上、何が実質的に類似した情報を構成するかを決定する裁量権を保持する。一般に、CISAは、この判定を行うにあたり、対象事業体が他の連邦機関に報告する特定の情報分野が、該当する場合、§226.7から§226.11に基づきCIRCIAレポートで報告することが要求される情報分野と機能的に同等であるかどうかを考慮する。
(4) Substantially similar timeframe. Reporting in a substantially similar timeframe means that a covered entity is required to report covered cyber incidents, ransom payments, or supplemental reports to another Federal agency in a timeframe that enables the report to be shared by the Federal agency with CISA by the applicable reporting deadline specified for each type of CIRCIA Report under § 226.5.  (4) 実質的に同様のタイムフレーム。実質的に類似した時間枠での報告とは、対象事業体が、226.5 条に基づき、CIRCIA 報告書の種類ごとに指定された該当する報告期限までに、連邦機関が CISA と報告書を共有できる時間枠で、対象となるサイバーインシデント、身代金の支払い、または補足的な報告書を他の連邦機関に報告することが求められることをいう。
(5) Public posting of CIRCIA Agreements. CISA will maintain an accurate catalog of all CIRCIA Agreements on a public-facing website and will make CIRCIA Agreements publicly available, to the maximum extent practicable. An agreement will be considered a CIRCIA Agreement for the purposes of this section when CISA publishes public notice concerning the agreement on such website and until notice of termination or expiration has been posted as required under § 226.4(a)(6). (5) CIRCIA 協定の公開。CISA は、全ての CIRCIA Agreements の正確なカタログを公開ウェブサイト上に維持し、CIRCIA Agreements を可能な限り公開する。CISA が当該ウェブサイトに当該契約に関する公告を掲載した時点、及び§226.4(a)(6)に基づき要求される終了または失効通知が掲載されるまでは、当該契約は本条項において CIRCIA 契約とみなされる。
(6) Termination or expiration of a CIRCIA Agreement. CISA may terminate a CIRCIA Agreement at any time. CISA will provide notice of the termination or expiration of CIRCIA Agreements on the public-facing website where the catalog of CIRCIA Agreements is maintained.  (6) CIRCIA 協定の終了又は失効。CISA はいつでも CIRCIA 協定を終了することができる。CISA は、CIRCIA 協定のカタログが維持されている一般向けウェブサイト上で、CIRCIA 協定の終了または失効を通知する。
(7) Continuing supplemental reporting requirement. Covered entities remain subject to the supplemental reporting requirements specified under § 226.3(d), unless the covered entity submits the required information to another Federal agency pursuant to the terms of a CIRCIA Agreement.  (7) 補足報告要件の継続。対象事業体が、CIRCIA 協定の条件に従って他の連邦機関に必要な情報を提出しない限り、対象事 業体は、引き続き§226.3(d)に定める補足報告要件の対象となる。
(8) Communications with CISA. Nothing in this section prevents or otherwise restricts CISA from contacting any entity that submits information to another Federal agency, nor is any entity prevented from communicating with, or submitting a CIRCIA Report to, CISA.  (8) CISAとのコミュニケーション。本節のいかなる規定も、CISAが他の連邦機関に情報を提出する事業体とコミュニケーションすることを妨げるものではなく、また、事業体がCISAとコミュニケーションすること、またはCISAにCIRCIA報告書を提出することを妨げるものではない。
(b) Domain Name System exception. The following entities, to the degree that they are considered a covered entity under § 226.2, are exempt from the reporting requirements in this part: (b) ドメインネームシステムの例外。以下の事業体は、226.2 条に基づき対象事業体とみなされる限りにおいて、本編の報告義務を免除される:
(1) The Internet Corporation for Assigned Names and Numbers; (1) ICANN: The Internet Corporation for Assigned Names and Numbers;
(2) The American Registry for Internet Numbers;  (2) 米国インターネット番号登録局; 
(3) Any affiliates controlled by the covered entities listed in paragraphs (b)(1) and (2) of this section; and
(3) 本項第(b)(1)および(2)に記載される対象事業体が管理する関連会社。
(4) The root server operator function of a covered entity that has been recognized by the Internet Corporation for Assigned Names and Numbers as responsible for operating one of the root identities and has agreed to follow the service expectations established by the Internet Corporation for Assigned Names and Numbers and its Root Server System Advisory Committee. (4) ICANNによってルートアイデンティティの1つを運用する責任があると認められ、ICANNおよびそのルートサーバシステム諮問委員会によって確立されたサービス期待に従うことに同意した対象事業体のルートサーバ運用者機能。
(c) FISMA report exception. Federal agencies that are required by the Federal Information Security Modernization Act, 44 U.S.C. 3551 et seq., to report incidents to CISA are exempt from reporting those incidents as covered cyber incidents under this part. (c) FISMA報告書の例外。連邦情報セキュリティ近代化法(44 U.S.C. 3551 et seq.)によりインシデントを CISA に報告することが義務付けられている連邦機関は、当該インシデントを本編の対象サイバーインシデントとして報告することを免除される。
§ 226.5 CIRCIA Report submission deadlines. § 226.5 CIRCIA 報告書の提出期限
Covered entities must submit CIRCIA Reports in accordance with the submission deadlines specified in this section. 対象事業体は、本項に定める提出期限に従い、CIRCIA 報告書を提出しなければならない。
(a) Covered Cyber Incident Report deadline. A covered entity must submit a Covered Cyber Incident Report to CISA no later than 72 hours after the covered entity reasonably believes the covered cyber incident has occurred. (a) 対象サイバーインシデント報告書の期限。対象事業体は、対象サイバーインシデントが発生したと合理的に考えてから 72 時間以内に、対象サイ バーインシデント報告書を CISA に提出しなければならない。
(b) Ransom Payment Report deadline. A covered entity must submit a Ransom Payment Report to CISA no later than 24 hours after the ransom payment has been disbursed.  (b) 身代金支払報告期限。対象事業体は、身代金支払が行われた後 24 時間以内に、身代金支払報告書を CISA に提出しなければならない。
(c) Joint Covered Cyber Incident and Ransom Payment Report deadline. A covered entity that experiences a covered cyber incident and makes a ransom payment within 72 hours after the covered entity reasonably believes a covered cyber incident has occurred may submit a Joint Covered Cyber Incident and Ransom Payment Report to CISA no later than 72 hours after the covered entity reasonably believes the covered cyber incident has occurred.  (c) 合同の対象サイバーインシデントおよび身代金支払報告期限。対象事業体が対象サイバーインシデントが発生したと合理的に考えてから 72 時間以内に、対象サイ バーインシデントを経験し、身代金の支払いを行う対象事業体は、対象事業体が対象サイバーインシデ ントが発生したと合理的に考えてから 72 時間以内に、対象サイバーインシデント及び身代金支払い共同 報告書を CISA に提出することができる。
(d) Supplemental Report Deadline. A covered entity must promptly submit supplemental reports to CISA. If a covered entity submits a supplemental report on a ransom payment made after the covered entity submitted a Covered Cyber Incident Report, as required by § 226.3(d)(1)(ii), the covered entity must submit the Supplemental Report to CISA no later than 24 hours after the ransom payment has been disbursed. (d) 補足報告期限。対象事業体は、速やかに CISA に補足報告を提出しなければならない。対象事業体が226.3(d)(1)(ii)により義務付けられている対象サイバーインシデント報告書を提出した後に行われた身代金の支払いについて補足報告を提出する場合、対象事業体は、身代金の支払いが行われた後24時間以内に補足報告書をCISAに提出しなければならない。
§ 226.6 Required manner and form of CIRCIA Reports. § 226.6 CIRCIA 報告書の要求される方法および形式
A covered entity must submit CIRCIA Reports to CISA through the web-based CIRCIA Incident Reporting Form available on CISA’s website or in any other manner and form of reporting approved by the Director.  対象事業体は、CISAのウェブサイトで入手可能なウェブベースのCIRCIAインシデント報告書を通じて、又は所長が承認したその他の報告の方法及び形態で、CISAにCIRCIA報告書を提出しなければならない。
§ 226.7 Required information for CIRCIA Reports. § 226.7 CIRCIA 報告書に必要な情報
A covered entity must provide the following information in all CIRCIA Reports to the extent such information is available and applicable to the event reported: 対象事業体は、すべての CIRCIA 報告書において、報告された事象に該当する情報が入手可能な限り、 以下の情報を提供しなければならない:
(a) Identification of the type of CIRCIA Report submitted by the covered entity;  (a) 対象事業体が提出した CIRCIA 報告書の種類の特定; 
(b) Information relevant to establishing the covered entity’s identity, including the covered entity’s:  (a) 対象事業体により提出された CIRCIA 報告書の種類の特定: 
(1) Full legal name;  (1) 正式名称; 
(2) State of incorporation or formation;  (2) 法人設立または結成の州; 
(3) Affiliated trade names;  (3) 関連商号 
(4) Organizational entity type;  (4) 組織事業体の種類; 
(5) Physical address;  (5) 物理的住所 
(6) Website;  (6) ウェブサイト 
(7) Internal incident tracking number for the reported event;  (7) 報告された事象の社内インシデント追跡番号; 
(8) Applicable business numerical identifiers;  (8) 該当する事業者識別番号; 
(9) Name of the parent company or organization, if applicable; and (9) 親会社または組織の名称(該当する場合)。
(10) The critical infrastructure sector or sectors in which the covered entity considers itself to be included;  (10) 対象事業体が含まれると考える重要インフラ部門またはセクター; 
(c) Contact information, including the full name, email address, telephone number, and title for: (c) 以下の氏名、電子メールアドレス、電話番号、役職を含む連絡先情報:
(1) The individual submitting the CIRCIA Report on behalf of the covered entity; (1) 対象事業体を代表して CIRCIA 報告書を提出する者;
(2) A point of contact for the covered entity if the covered entity uses a third party to submit the CIRCIA Report or would like to designate a preferred point of contact that is different from the individual submitting the report; and  (2) 対象事業体が CIRCIA 報告書の提出にサードパーティを使用する場合、または報告書提出者 と異なる優先連絡先を指定したい場合は、対象事業体の連絡先。
(3) A registered agent for the covered entity, if neither the individual submitting the CIRCIA Report, nor the designated preferred point of contact are a registered agent for the covered entity; and  (3) CIRCIA 報告書を提出する個人または指定された優先連絡先のいずれも対象事業体の登録 代理人でない場合は、対象事業体の登録代理人。
(d) If a covered entity uses a third party to submit a CIRCIA Report on the covered entity’s behalf, an attestation that the third party is expressly authorized by the covered entity to submit the CIRCIA Report on the covered entity’s behalf. (d) 対象事業体が、対象事業体に代わって CIRCIA 報告書を提出するためにサードパーティを使 用する場合、当該サードパーティが、対象事業体に代わって CIRCIA 報告書を提出するこ とを対象事業体から明示的に認可されている旨の宣誓書。
§ 226.8 Required information for Covered Cyber Incident Reports. § 226.8 対象サイバーインシデント報告書に必要な情報
A covered entity must provide all the information identified in § 226.7 and the following information in a Covered Cyber Incident Report, to the extent such information is available and applicable to the covered cyber incident: 対象事業体は、226.7 条で特定されるすべての情報および以下の情報を、当該情報が入手可能であり、対象サイ バーインシデントに該当する限り、対象サイバーインシデント報告書に提供しなければならない:
(a) A description of the covered cyber incident, including but not limited to: (a) 対象となるサイバーインシデントの説明(以下を含むが、これに限定されない:
(1) Identification and description of the function of the affected networks, devices, and/or information systems that were, or are reasonably believed to have been, affected by the covered cyber incident, including but not limited to:  (1) 対象となるサイバーインシデントにより影響を受けた、または受けたと合理的に考えられるネットワーク、デバイス、および/または情報システムの機能の特定および説明: 
(i) Technical details and physical locations of such networks, devices, and/or information systems; and  (i) 当該ネットワーク、デバイス、および/または情報システムの技術的な詳細および物理的な場所。
(ii) Whether any such information system, network, and/or device supports any elements of the intelligence community or contains information that has been determined by the United States Government pursuant to an Executive Order or statute to require protection against unauthorized disclosure for reasons of national defense or foreign relations, or any restricted data, as defined in 42 U.S.C. 2014(y); (ii)当該情報システム、ネットワーク、および/またはデバイスが、インテリジェンス・コミュニティの要素をサポートしているかどうか、または大統領令もしくは法令に従って米国政府が国防もしくは外交関係を理由に不正な開示から保護する必要があると決定した情報、または合衆国法典第42編2014(y)に定義される制限データを含んでいるかどうか;
(2) A description of any unauthorized access, regardless of whether the covered cyber incident involved an attributed or unattributed cyber intrusion, identification of any informational impacts or information compromise, and any network location where activity was observed; (2) 対象となるサイバーインシデントが帰属するサイバー侵入であるか帰属しないサイバー侵入であるかにかかわらず、不正アクセスの説明、情報への影響または情報漏洩の特定、および活動が観察されたネットワークの場所;
(3) Dates pertaining to the covered cyber incident, including but not limited to:  (3) 対象となるサイバーインシデントに関連する日付: 
(i) The date the covered cyber incident was detected;  (i) 対象のサイバーインシデントが検知された日; 
(ii) The date the covered cyber incident began;  (ii) 対象のサイバーインシデントが開始した日; 
(iii) If fully mitigated and resolved at the time of reporting, the date the covered cyber incident ended;  (iii) 報告時に完全に低減され解決されている場合は、対象となるサイバーインシデントが終了した日; 
(iv) The timeline of compromised system communications with other systems; and (iv) 侵害されたシステムの他のシステムとのコミュニケーションのタイムライン。
(v) For covered cyber incidents involving unauthorized access, the suspected duration of the unauthorized access prior to detection and reporting; and (v) 不正アクセスを伴う対象サイバーインシデントについては、検知および報告前の不正アクセスの疑い期間。
(4) The impact of the covered cyber incident on the covered entity’s operations, such as information related to the level of operational impact and direct economic impacts to operations; any specific or suspected physical or informational impacts; and information to enable CISA’s assessment of any known impacts to national security or public health and safety; (4) 業務上の影響のレベル及び業務への直接的な経済的影響に関連する情報など、対象事業体の業務に対す る対象サイバーインシデントの影響、具体的な又は疑われる物理的又は情報的な影響、並びに国家安全保障又は公衆衛生 及び安全に対する既知の影響の CISA による評価を可能にする情報;
(b) The category or categories of any information that was, or is reasonably believed to have been, accessed or acquired by an unauthorized person or persons; (b) 許可されていない者によりアクセス又は取得された、又はされたと合理的に考えられる情報のカテゴリー;
(c) A description of any vulnerabilities exploited, including but not limited to the specific products or technologies and versions of the products or technologies in which the vulnerabilities were found; (c) 脆弱性が悪用された場合の説明(脆弱性が発見された特定の製品または技術、製品または技術のバージョンを含むが、これらに限定されない);
(d) A description of the covered entity’s security defenses in place, including but not limited to any controls or measures that resulted in the detection or mitigation of the incident; (d)インシデントの検知又は低減につながった管理又は防御策を含むが、これに限定されな い、対象事業体の実施中のセキュリティ防御策の記述;
(e) A description of the type of incident and the tactics, techniques, and procedures used to perpetrate the covered cyber incident, including but not limited to any tactics, techniques, and procedures used to gain initial access to the covered entity’s information systems, escalate privileges, or move laterally, if applicable; (e)インシデントの種類、及び対象事業体の情報システムへの最初のアクセス、権限の昇格、又は横 断的な移動に使用された戦術、技術、及び手順を含むがこれらに限定されない、対象サイ バーインシデントを実行するために使用された戦術、技術、及び手順の説明(該当する場合);
(f) Any indicators of compromise, including but not limited to those listed in§ 226.13(b)(1)(ii), observed in connection with the covered cyber incident;  (f) 226.13(b)(1)(ii)に列挙されているものを含むがこれに限定されない、対象となるサイ バーインシデントに関連して観察された危殆化の指標; 
(g) A description and, if possessed by the covered entity, a copy or samples of any malicious software the covered entity believes is connected with the covered cyber incident; (g) 対象事業体が保有している場合、対象サイバーインシデントに関連していると考えられる悪意のあるソフトウエアの説明及びコピー又はサンプル;
(h) Any identifying information, including but not limited to all available contact information, for each actor reasonably believed by the covered entity to be responsible for the covered cyber incident; (h) 対象となるサイバーインシデントに責任があると対象事業体が合理的に考える各関係者の、利用可能なすべての連絡先情報を含むがこれに限定されない識別情報;
(i) A description of any mitigation and response activities taken by the covered entity in response to the covered cyber incident, including but not limited to:  (i) 対象となるサイバーインシデントに対応して対象事業体が行った低減及び対応活動の説明: 
(1) Identification of the current phase of the covered entity’s incident response efforts at the time of reporting;  (1) 報告時における対象事業体のインシデント対応活動の現在の段階の特定; 
(2) The covered entity’s assessment of the effectiveness of response efforts in mitigating and responding to the covered cyber incident;  (2) 対象サイバーインシデントの低減および対応における対応努力の有効性に関する対象事業体の評価; 
(3) Identification of any law enforcement agency that is engaged in responding to the covered cyber incident, including but not limited to information about any specific law enforcement official or point of contact, notifications received from law enforcement, and any law enforcement agency that the covered entity otherwise believes may be involved in investigating the covered cyber incident; and (3) 対象のサイバーインシデントへの対応に従事している法執行機関の特定(特定の法執行機関の職員または連絡先、法執行機関から受領した通知、および対象事業体がその他の方法で対象サイバーインシデントの調査に関与していると考える法執行機関に関する情報を含むが、これらに限定されない)。
(4) Whether the covered entity requested assistance from another entity in responding to the covered cyber incident and, if so, the identity of each entity and a description of the type of assistance requested or received from each entity;  (4) 対象事業体が、対象となるサイバーインシデントへの対応において、他の事業体に支援を要請したかどうか、要請した場合は、各事業体の身元、および各事業体に要請または受領した支援の種類の説明; 
(j) Any other data or information as required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. (j) ウェブベースのCIRCIAインシデント報告書、または§226.6に基づき認可されたその他の報告の方法および形式により要求されるその他のデータまたは情報。
§ 226.9 Required information for Ransom Payment Reports. § 226.9 身代金支払報告書に必要な情報
A covered entity must provide all the information identified in § 226.7 and the following information in a Ransom Payment Report, to the extent such information is available and applicable to the ransom payment: 対象事業体は、身代金支払報告書において、身代金支払に該当する情報が入手可能である限り、第 226.7 条で特定されるすべての情報および以下の情報を提供しなければならない:
(a) A description of the ransomware attack, including but not limited to: (a) ランサムウェア攻撃の説明(以下を含むが、これに限定されない):
(1) Identification and description of the function of the affected networks, devices, and/or information systems that were, or are reasonably believed to have been, affected by the ransomware attack, including but not limited to:  (1) ランサムウェア攻撃により影響を受けた、または受けたと合理的に考えられるネットワーク、デバイス、および/または情報システムの機能の特定および説明: 
(i) Technical details and physical locations of such networks, devices, and/or information systems; and  (i) 当該ネットワーク、デバイス、および/または情報システムの技術的詳細および物理的な場所。
(ii) Whether any such information system, network, and/or device supports any elements of the intelligence community or contains information that has been determined by the United States Government pursuant to an Executive Order or statute to require protection against unauthorized disclosure for reasons of national defense or foreign relations, or any restricted data, as defined in 42 U.S.C. 2014(y); (ii) そのような情報システム、ネットワーク、および/またはデバイスが、インテリジェンス・コミュニティの要素をサポートしているかどうか、または大統領令もしくは法令に従って米国政府が国防もしくは外交関係を理由に不正な開示から保護する必要があると決定した情報、または合衆国法典第42編2014(y)に定義されるような制限されたデータを含んでいるかどうか;
(2) A description of any unauthorized access, regardless of whether the ransomware attack involved an attributed or unattributed cyber intrusion, identification of any informational impacts or information compromise, and any network location where activity was observed; (2) ランサムウェア攻撃が帰属するサイバー侵入であるか帰属しないサイバー侵入であるかにかかわらず、不正アクセスの説明、情報への影響または情報漏洩の特定、および活動が観察されたネットワークの場所;
(3) Dates pertaining to the ransomware attack, including but not limited to:  (3) ランサムウェア攻撃に関連する日付: 
(i) The date the ransomware attack was detected;  (i) ランサムウェア攻撃が検知された日付; 
(ii) The date the ransomware attack began;  (ii) ランサムウェア攻撃の開始日; 
(iii) If fully mitigated and resolved at the time of reporting, the date the ransomware attack ended;  (iii) 報告時に完全に低減され解決されている場合は、ランサムウェア攻撃が終了した日; 
(iv) The timeline of compromised system communications with other systems; and (iv) 侵害されたシステムの他のシステムとのコミュニケーションのタイムライン。
(v) For ransomware attacks involving unauthorized access, the suspected duration of the unauthorized access prior to detection and reporting; and (v) 不正アクセスを伴うランサムウェア攻撃については、検知および報告前の不正アクセスの疑い期間。
(4) The impact of the ransomware attack on the covered entity’s operations, such as information related to the level of operational impact and direct economic impacts to operations; any specific or suspected physical or informational impacts; and any known or suspected impacts to national security or public health and safety; (4) 対象事業体の業務に対するランサムウェア攻撃の影響。例えば、業務上の影響のレベルおよび業務に対する直接的な経済的影響、物理的または情報的な影響、および国家安全保障または公衆衛生および安全に対する既知のまたは疑われる影響に関連する情報など;
(b) A description of any vulnerabilities exploited, including but not limited to the specific products or technologies and versions of the products or technologies in which the vulnerabilities were found; (b) 悪用された脆弱性の説明。脆弱性が発見された特定の製品または技術、製品または技術のバージョンを含むが、これらに限定されない;
(c) A description of the covered entity’s security defenses in place, including but not limited to any controls or measures that resulted in the detection or mitigation of the ransomware attack; (c)ランサムウェア攻撃の検知または低減につながった管理または対策を含むがこれに限定されない、対象事業体のセキュリティ防御策の説明;
(d) A description of the tactics, techniques, and procedures used to perpetrate the ransomware attack, including but not limited to any tactics, techniques, and procedures used to gain initial access to the covered entity’s information systems, escalate privileges, or move laterally, if applicable; (d)ランサムウェア攻撃を実行するために使用された戦術、技法および手順(該当する場合、対象事業体の情報システムへの初期アクセス、権限の昇格、または横移動に使用された戦術、技法および手順を含むが、これらに限定されない)の説明;
(e) Any indicators of compromise the covered entity believes are connected with the ransomware attack, including, but not limited to, those listed in section  (e)ランサムウェア攻撃に関連していると対象事業体が考える危殆化の指標。
226.13(b)(1)(ii), observed in connection with the ransomware attack; 226.13(b)(1)(ii)に記載されているものを含むが、これに限定されない;
(f) A description and, if possessed by the covered entity, a copy or sample of any malicious software the covered entity believes is connected with the ransomware attack; (g) Any identifying information, including but not limited to all available contact information, for each actor reasonably believed by the covered entity to be responsible for the ransomware attack; (f) 対象事業体が保有している場合、ランサムウェア攻撃に関連していると対象事業体が考える悪意あるソフトウエアの説明およびコピーまたはサンプル (g) 対象事業体がランサムウェア攻撃に関与していると合理的に考える各関係者の識別情報(すべての可用性連絡先情報を含むが、これに限定されない);
(h) The date of the ransom payment;  (h) 身代金の支払日; 
(i) The amount and type of assets used in the ransom payment; (i) 身代金の支払いに使用された資産の金額および種類;
(j) The ransom payment demand, including but not limited to the type and amount of virtual currency, currency, security, commodity, or other form of payment requested; (j) 身代金の支払要求(要求された仮想通貨、通貨、証券、商品またはその他の支払形態の種類および金額を含むが、これらに限定されない);
(k) The ransom payment instructions, including but not limited to information regarding how to transmit the ransom payment; the virtual currency or physical address where the ransom payment was requested to be sent; any identifying information about the ransom payment recipient; and information related to the completed payment, including any transaction identifier or hash;  (k) 身代金支払の指示(身代金支払の送信方法に関する情報を含むがこれに限定されない)、身代金支払の送信が要求された仮想通貨または物理的住所、身代金支払の取得者に関する識別情報、および完了した支払に関する情報(取引識別子またはハッシュを含むがこれに限定されない); 
(l) Outcomes associated with making the ransom payment, including but not limited to whether any exfiltrated data was returned or a decryption capability was provided to the covered entity, and if so, whether the decryption capability was successfully used by the covered entity; (l) 身代金支払いに関連する成果。これには、流出したデータが返却されたか、または対象事業体に復号化機能が提供されたかどうか、および提供された場合、対象事業体によって復号化機能が正常に使用されたかどうかが含まれるが、これらに限定されない;
(m) A description of any mitigation and response activities taken by the covered entity in response to the ransomware attack, including but not limited to: (m)ランサムウェア攻撃に対応して対象事業体が行った低減および対応活動の説明:
(1) Identification of the current phase of the covered entity’s incident response efforts at the time of reporting;  (1) 報告時における対象事業体のインシデント対応活動の現在の段階の特定; 
(2) The covered entity’s assessment of the effectiveness of response efforts in mitigating and responding to the ransomware attack; (2) ランサムウェア攻撃の低減および対応における対応努力の有効性に関する対象事業体の評価;
(3) Identification of any law enforcement agency that is engaged in responding to the ransomware attack, including but not limited to information about any specific law enforcement official or point of contact, notifications received from law enforcement, and any law enforcement agency that the covered entity otherwise believes may be involved in investigating the ransomware attack; and  (3) ランサムウェア攻撃への対応に従事している法執行機関の特定(特定の法執行機関の職員または連絡先、法執行機関から受領した通知、およびランサムウェア攻撃の調査に関与している可能性があると対象事業体が別途考える法執行機関に関する情報を含むが、これらに限定されない)。
(4) Whether the covered entity requested assistance from another entity in responding to the ransomware attack or making the ransom payment and, if so, the identity of such entity or entities and a description of the type of assistance received from each entity; (4) 対象事業体が、ランサムウェア攻撃への対応または身代金の支払いにおいて、他の事業体に支援を要請したかどうか、要請した場合には、当該事業体の身元、および各事業体から受けた支援の種類の説明;
(n) Any other data or information as required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. (n) ウェブベースの CIRCIA インシデント報告書、または第 226.6 条に基づき認可されたその他の報告の方法および形式により要求されるその他のデータまたは情報。
§ 226.10 Required information for Joint Covered Cyber Incident and Ransom Payment Reports. § 226.10.共同対象サイバーインシデントおよび身代金支払報告に必要な情報。
A covered entity must provide all the information identified in §§ 226.7, 226.8, and 226.9 in a Joint Covered Cyber Incident and Ransom Payment Report to the extent such information is available and applicable to the reported covered cyber incident and ransom payment. 対象事業体は、226.7 条、226.8 条及び 226.9 条で識別されるすべての情報を、報告された対象サイ バーインシデント及び身代金支払いに適用可能な範囲で、共同対象サイバーインシデント及び身代金支払報告書に提供しなければならない。
§ 226.11 Required information for Supplemental Reports. § 226.11 補足報告に必要な情報
(a) In general. A covered entity must include all of the information identified as required in § 226.7 and the following information in any Supplemental Report: (a) 一般的に。対象事業体は、§ 226.7 で要求されている全ての情報、及び以下の情報を補足報告に含めなければならない:
(1) The case identification number provided by CISA for the associated Covered Cyber Incident Report or Joint Covered Cyber Incident and Ransom Payment Report; (1) 関連する対象サイバーインシデント報告書または共同対象サイバーインシデント及び身代金支払報告書について CISA が提供するケース識別番号;
(2) The reason for filing the Supplemental Report; (2) 補足報告を提出した理由;
(3) Any substantial new or different information available about the covered cyber incident, including but not limited to information the covered entity was required to provide as part of a Covered Cyber Incident Report but did not have at the time of submission and information required under § 226.9 if the covered entity or another entity on the covered entity’s behalf has made a ransom payment after submitting a Covered Cyber Incident Report; and  (3) 対象事業体が、対象サイバーインシデント報告書の一部として提供することが要求されていたが、提出時には持っていなかった情報、及び対象事業体又は対象事業体に代わって身代金の支払いを行った事業体が対象サイバーインシデント報告書を提出した後に身代金の支払いを行った場合に第226.9条に基づき要求される情報を含むが、これらに限定されない、対象サイバーインシデントに関して入手可能な実質的に新しい又は異なる情報。
(4) Any other data or information required by the web-based CIRCIA Incident Reporting Form or any other manner and form of reporting authorized under § 226.6. (4) ウェブベースの CIRCIA インシデント報告書、または第 226.6 条に基づき認可された報告 の他の方法および形式により要求されるその他のデータまたは情報。
(b) Required information for a Supplemental Report providing notice of a ransom payment made following submission of a Covered Cyber Incident Report. When a covered entity submits a Supplemental Report to notify CISA that the covered entity has made a ransom payment after submitting a related Covered Cyber Incident Report, the supplemental report must include the information required in § 226.9.  (b) 対象サイバーインシデント報告書の提出後に行われた身代金支払の通知を提供する補足報 告に必要な情報。対象事業体が、関連する対象サイバーインシデント報告書の提出後に身代金の支払いを行ったことを CISA に通知するために補足報告書を提出する場合、補足報告書には第 226.9 条で要求される情報が含まれていなければならない。
(c) Optional information to provide notification that a covered cyber incident has concluded. Covered entities that choose to submit a notification to CISA that a covered cyber incident has concluded and has been fully mitigated and resolved may submit optional information related to the conclusion of the covered cyber incident. (c) 対象サイバーインシデントが終了したことを通知するためのオプション情報。対象となるサイバーインシデントが終結し、完全に低減及び解決された旨の通知を CISA に提出することを選択した対象事業体は、対象となるサイバーインシデントの終結に関連するオプション情報を提出することができる。
§ 226.12 Third party reporting procedures and requirements. § 226.12 サードパーティ報告手順および要件
(a) General. A covered entity may expressly authorize a third party to submit a  (a) 一般。対象事業体は、第三者が対象事業体に関する CIRCIA 報告書を提出することを明示的に認可することができる。
CIRCIA Report on the covered entity’s behalf to satisfy the covered entity’s reporting obligations under § 226.3. The covered entity remains responsible for ensuring compliance with its reporting obligations under this part even when the covered entity has authorized a third party to submit a CIRCIA Report on the covered entity’s behalf.  対象事業体は、226.3 条に基づく対象事業体の報告義務を満たすために、対象事業体に代わって CIRCIA 報告書を提出する権限を明示的に付与することができる。対象事業体は、対象事業体に代わって第三者が CIRCIA 報告書を提出することを認可した場 合でも、本編に基づく報告義務の遵守を確保する責任を負う。
(b) Procedures for third party submission of CIRCIA Reports. CIRCIA Reports submitted by third parties must comply with the reporting requirements and procedures for covered entities set forth in this part.  (b) 第三者による CIRCIA 報告書の提出手順。サードパーティが提出する CIRCIA 報告書は、本編に定める対象事業体の報告要件および手順に従わなければならない。
(c) Confirmation of express authorization required. For the purposes of compliance with the covered entity’s reporting obligations under this part, upon submission of a CIRCIA Report, a third party must confirm that the covered entity expressly authorized the third party to file the CIRCIA Report on the covered entity’s behalf. CIRCIA Reports submitted by a third party without an attestation from the third party that the third party has the express authorization of a covered entity to submit a report on the covered entity’s behalf will not be considered by CISA for the purposes of compliance of the covered entity’s reporting obligations under this part. (c) 求められる明示的認可の確認。本編に基づく対象事業体の報告義務を遵守するため、CIRCIA 報告書を提出する際、第三者は、 対象事業体が、対象事業体に代わって CIRCIA 報告書を提出することを当該第三者に明示的 に認可したことを確認しなければならない。サードパーティが、対象事業体に代わって報告書を提出することを対象事業体から明示的に認可されていることをサードパーティが証明することなく提出したCIRCIA報告書は、本編に基づく対象事業体の報告義務の遵守を目的として、CISAにより考慮されない。
(d) Third party ransom payments and responsibility to advise a covered entity. A third party that makes a ransom payment on behalf of a covered entity impacted by a ransomware attack is not required to submit a Ransom Payment Report on behalf of itself for the ransom payment. When a third party knowingly makes a ransom payment on behalf of a covered entity, the third party must advise the covered entity of its obligations to submit a Ransom Payment Report under this part.  (d) 第三者による身代金の支払いと対象事業体への助言責任。ランサムウェア攻撃の影響を受けた対象事業体に代わって身代金支払いを行う第三者は、身代金支払いについて、自らに代わって身代金支払い報告書を提出する必要はない。第三者が、対象事業体に代わって故意に身代金の支払いを行う場合、当該第三者は、対象事業体に対し、本項に基づく身代金支払い報告書の提出義務を通知しなければならない。
§ 226.13 Data and records preservation requirements. § 226.13 データおよび記録の保存要件
(a) Applicability. (1) A covered entity that is required to submit a CIRCIA Report under § 226.3 or experiences a covered cyber incident or makes a ransom payment but is exempt from submitting a CIRCIA Report pursuant to § 226.4(a) is required to preserve data and records related to the covered cyber incident or ransom payment in accordance with this section. (a) 適用可能性。(1) 第 226.3 項に基づき CIRCIA 報告書の提出が義務付けられている、または対象となるサイバーインシデントを経験した、もしくは身代金支払いを行ったが第 226.4 項(a)に基づき CIRCIA 報告書の提出が免除されている対象事業体は、本項に基づき、対象となるサイバーインシデントまたは身代金支払いに関連するデータおよび記録を保存する必要がある。
(2) A covered entity maintains responsibility for compliance with the preservation requirements in this section regardless of whether the covered entity submitted a CIRCIA Report or a third party submitted the CIRCIA Report on the covered entity’s behalf.  (2) 対象事業体は、対象事業体が CIRCIA 報告書を提出したか、対象事業体に代わってサードパーティが CIRCIA 報告書を提出したかにかかわらず、本節の保存要件を遵守する責任を負う。
(b) Covered data and records. (1) A covered entity must preserve the following data and records: (b) 対象データおよび記録。(1) 対象事業体は、以下のデータおよび記録を保存しなければならない:
(i) Communications with any threat actor, including copies of actual correspondence, including but not limited to emails, texts, instant or direct messages, voice recordings, or letters; notes taken during any interactions; and relevant information on the communication facilities used, such as email or Tor site; (i) 脅威行為者とのコミュニケーション(電子メール、テキスト、インスタントメッセージ、ダイレクトメッ セージ、音声記録、書簡を含むがこれらに限定されない)、対話中に取られたメモ、および電子メールや Tor サイトなど使用された通信設備に関する関連情報;
(ii) Indicators of compromise, including but not limited to suspicious network traffic; suspicious files or registry entries; suspicious emails; unusual system logins; unauthorized accounts created, including usernames, passwords, and date/time stamps and time zones for activity associated with such accounts; and copies or samples of any malicious software; (ii)不審なネットワークトラフィック、不審なファイルまたはレジストリエントリ、不審な電子メール、異常なシステムログイン、ユーザー名、パスワード、当該アカウントに関連するアクティビティの日付/タイムスタンプおよびタイムゾーンを含むがこれらに限定されない不正アカウントの作成、および悪意のあるソフトウェアのコピーまたはサンプルを含むがこれらに限定されない侵害の指標;
(iii) Relevant log entries, including but not limited to, Domain Name System, firewall, egress, packet capture file, NetFlow, Security Information and Event Management/Security Information Management, database, Intrusion Prevention System/Intrusion Detection System, endpoint, Active Directory, server, web, Virtual Private Network, Remote Desktop Protocol, and Window Event;  (iii) ドメインネームシステム、ファイアウォール、イグジット、パケットキャプチャファイル、NetFlow、セキュリティ情報とイベント管理/セキュリティ情報管理、データベース、侵入防御システム/侵入検知システム、エンドポイント、Active Directory、サーバー、ウェブ、仮想プライベートネットワーク、リモートデスクトッププロトコル、ウィンドウイベントを含むがこれらに限定されない関連ログエントリ; 
(iv) Relevant forensic artifacts, including but not limited to live memory captures; forensic images; and preservation of hosts pertinent to the incident; (iv) ライブメモリキャプチャ、フォレンジック画像、インシデントに関連するホストの保存を含むがこれらに限定されない、関連するフォレンジック成果物;
(v) Network data, including but not limited to NetFlow or packet capture file, and network information or traffic related to the incident, including the Internet Protocol addresses associated with the malicious cyber activity and any known corresponding dates, timestamps, and time zones; (v) ネットワークデータ(NetFlowまたはパケットキャプチャファイルを含むがこれに限定されない)、およびインシデントに関連するネットワーク情報またはトラフィック(悪意のあるサイバー活動に関連するインターネットプロトコルアドレス、および対応する既知の日付、タイムスタンプ、タイムゾーンを含む);
(vi) Data and information that may help identify how a threat actor compromised or potentially compromised an information system, including but not limited to information indicating or identifying how one or more threat actors initially obtained access to a network or information system and the methods such actors employed during the incident;  (vi) 脅威行為者がどのようにして情報システムに侵入したのか、または侵入した可能性があるのかを特定するのに役立つデータおよび情報。これには、一人または複数の脅威行為者が最初にどのようにしてネットワークと情報システムにアクセスしたのか、およびインシデント中にそのような行為者がどのような方法を用いたのかを示す情報または特定する情報が含まれるが、これらに限定されない; 
(vii) System information that may help identify exploited vulnerabilities, including but not limited to operating systems, version numbers, patch levels, and configuration settings;  (vii) オペレーティング・システム、バージョン番号、パッチ・レベル、構成設定を含むがこれらに限定されない、悪用された脆弱性の特定に役立つシステム情報; 
(viii) Information about exfiltrated data, including but not limited to file names and extensions; the amount of data exfiltration by byte value; category of data exfiltrated, including but not limited to, classified, proprietary, financial, or personal information; and evidence of exfiltration, including but not limited to relevant logs and screenshots of exfiltrated data sent from the threat actor; (viii) ファイル名および拡張子、バイト値ごとのデータ流出量、機密情報、専有情報、財務情報、個人情報など(ただしこれらに限定されない)流出したデータのカテゴリー、脅威行為者から送信された関連ログおよび流出したデータのスクリーンショットなど(ただしこれらに限定されない)流出の証拠を含む(ただしこれらに限定されない)流出したデータに関する情報;
(ix) All data or records related to the disbursement or payment of any ransom payment, including but not limited to pertinent records from financial accounts associated with the ransom payment; and (ix) 身代金の支払いに関連する金融口座の関連記録を含むがこれに限定されない、身代金 の支払いまたは支払いに関連するすべてのデータまたは記録。
(x) Any forensic or other reports concerning the incident, whether internal or prepared for the covered entity by a cybersecurity company or other third-party vendor.  (x) インシデントに関するフォレンジック報告書またはその他の報告書(社内のものであるか、サイバーセキュリティ会社またはその他のサードパーティが対象事業体のために作成したものであるかを問わない)。
(2) A covered entity is not required to create any data or records it does not already have in its possession based on this requirement. (2) 対象事業体は、この要件に基づき、既に保有していないデータまたは記録を作成する必要はない。
(c) Required preservation period. Covered entities must preserve all data and records identified in paragraph (b) of this section: (c) 必要とされる保存期間。対象事業体は、本項(b)に識別されるすべてのデータおよび記録を保存しなければならない:
(1) Beginning on the earliest of the following dates:  (1) 以下の日付のうち最も早い日から開始する: 
(i) The date upon which the covered entity establishes a reasonable belief that a covered cyber incident occurred; or (i) 対象事業体が、対象となるサイバーインシデントが発生したと合理的に判断した日。
(ii) The date upon which a ransom payment was disbursed; and (ii) 身代金の支払いが行われた日。
(2) For no less than two years from the submission of the most recently required CIRCIA Report submitted pursuant to § 226.3, or from the date such submission would have been required but for the exception pursuant to § 226.4(a).  (2) 第 226.3 条に従って提出された直近に要求された CIRCIA 報告書の提出から、または第 226.4 条(a)に従った例外がなければ当該提出が要求されたであろう日から、2 年以上。
(d) Original data or record format. Covered entities must preserve data and records set forth in paragraph (b) of this section in their original format or form whether the data or records are generated automatically or manually, internally or received from outside sources by the covered entity, and regardless of the following: (d) 元のデータまたは記録形式。対象事業体は、本項(b)に定めるデータ及び記録を、当該データ又は記録が自動的又は手動で生成されたものであるか、内部で生成されたものであるか、対象事業体が外部から受領したものであるかを問わず、また、以下のいずれであるかを問わず、元の形式又は形態で保存しなければならない:
(1) Form or format, including hard copy records and electronic records; (1) ハードコピー記録および電子記録を含む形式またはフォーマット;
(2) Where the information is stored, located, or maintained without regard to the physical location of the information, including stored in databases or cloud storage, on network servers, computers, other wireless devices, or by a third-party on behalf of the covered entity; and (2) データベースまたはクラウドストレージ、ネットワークサーバー、コンピュータ、その他の無線デバイス、または対象事業体に代わってサードパーティが保管するなど、情報の物理的な場所を問わず、情報が保管、配置、または維持されている場所。
(3) Whether the information is in active use or archived. (3) 情報が現在使用中であるか、保管されているか。
(e) Storage, protection, and allowable use of data and records. (1) A covered entity may select its own storage methods, electronic or non-electronic, and procedures to maintain the data and records that must be preserved under this section.  (e) データ及び記録の保管、保護、及び許容される使用。(1) 対象事業体は、本項に基づき保存しなければならないデータ及び記録を維持するために、電子的又は非電子的な保存方法及び手順を自ら選択することができる。
(2) Data and records must be readily accessible, retrievable, and capable of being lawfully shared by the covered entity, including in response to a lawful government request.  (2) データおよび記録は、容易にアクセスでき、検索可能であり、かつ、政府の合法的な要請に応じる場合を含め、対象事業体が合法的に共有できるものでなければならない。
(3) A covered entity must use reasonable safeguards to protect data and records against unauthorized access or disclosure, deterioration, deletion, destruction, and alteration. (3) 対象事業体は、不正なアクセスまたは開示、劣化、削除、破壊、および改ざんからデータおよび 記録を保護するために、合理的な保護措置を講じなければならない。
§ 226.14 Request for information and subpoena procedures. § 226.14 情報要求および召喚手続き
(a) In general. This section applies to covered entities, except a covered entity that qualifies as a State, Local, Tribal, or Territorial Government entity as defined in § 226.1.  (a) 一般的に。本条項は、226.1 条に定義される州、地方、部族、または準州の政府機関として適格である対象事業体を除 き、対象事業体に適用される。
(b) Use of authorities. When determining whether to exercise the authorities in this section, the Director or designee will take into consideration: (b) 認可の使用。本項の権限を行使するかどうかを決定する際、局長または被指名人は、以下を考慮する:
(1) The complexity in determining if a covered cyber incident has occurred; and (1) 対象となるサイバーインシデントが発生したかどうかを判断する際の複雑さ。
(2) The covered entity’s prior interaction with CISA or the covered entity’s awareness of CISA’s policies and procedures for reporting covered cyber incidents and ransom payments. (2) 対象事業体と CISA との事前のやりとり、または対象サイバーインシデントおよび身代金支払の 報告に関する CISA の方針および手続に対する対象事業体の認識。
(c) Request for information--(1) Issuance of request. The Director may issue a request for information to a covered entity if there is reason to believe that the entity experienced a covered cyber incident or made a ransom payment but failed to report the incident or payment in accordance with § 226.3. Reason to believe that a covered entity failed to submit a CIRCIA Report in accordance with § 226.3 may be based upon public reporting or other information in possession of the Federal Government, which includes but is not limited to analysis performed by CISA. A request for information will be served on a covered entity in accordance with the procedures in paragraph (e) of this section. (c) 情報提供要請--(1) 要請の発行。局長(Director)は、対象事業体が対象となるサイバーインシデントを経験し又は身代金支払いを行ったが、226.3条に従ってインシデント又は支払いの報告を行わなかったと信じるに足る理由がある場合、対象事業体に対して情報提供要請を行うことができる。対象事業体が226.3条に従ったCIRCIA報告書を提出しなかったと信じる理由は、公的報告または連邦政府が保有するその他の情報(CISAが行った分析を含むがこれに限定されない)に基づくことができる。情報提供の要請は、本条(e)項の手続に従い、対象事業体に送達される。
(2) Form and contents of the request. At a minimum, a request for information must include: (2) 要請の形式および内容。最低限、情報提供要請には以下が含まれなければならない:
(i) The name and address of the covered entity; (i) 対象事業体の名称及び住所;
(ii) A summary of the facts that have led CISA to believe that the covered entity has failed to submit a required CIRCIA Report in accordance with § 226.3. This summary is subject to the nondisclosure provision in paragraph (f) of this section; (ii) 対象事業体が第 226.3 条に従って要求される CIRCIA 報告書を提出しなかったと CISA が考えるに至った事実の概要。この概要は、本項(f)の非開示規定の対象となる;
(iii) A description of the information requested from the covered entity. The Director, in his or her discretion, may decide the scope and nature of information necessary for CISA to confirm whether a covered cyber incident or ransom payment occurred. Requested information may include electronically stored information, documents, reports, verbal or written responses, records, accounts, images, data, data compilations, and tangible items;  (iii) 対象事業体に要求された情報の説明。局長は、その裁量で、対象となるサイバーインシデントまたは身代金支払いが発生したかどうかを CISA が確認するために必要な情報の範囲および性質を決定することができる。要求される情報には、電子的に保存された情報、文書、報告書、口頭または書面による回答、記録、口座、画像、データ、データ編集物、および有形物が含まれる; 
(iv) A date by which the covered entity must reply to the request for information; and (iv) 対象事業体が情報要求に回答しなければならない期日。
(v) The manner and format in which the covered entity must provide all information requested to CISA.  (v) 対象事業体が要求された全ての情報をCISAに提供しなければならない方法及び形式。
(3) Response to request for information. A covered entity must reply in the manner and format, and by the deadline, specified by the Director. If the covered entity does not respond by the date specified in paragraph (c)(2)(iv) of this section or the Director determines that the covered entity’s response is inadequate, the Director, in his or her discretion, may request additional information from the covered entity to confirm whether a covered cyber incident or ransom payment occurred, or the Director may issue a subpoena to compel information from the covered entity pursuant to paragraph (d) of this section.  (3) 情報要求に対する回答。対象事業体は、長官が指定する方法及び形式で、期限までに回答しなければならない。対象事業体が本項(c)(2)(iv)で指定された期日までに回答しない場合、または所長が対象事業体の回答が不十分であると判断した場合、所長は、その裁量により、対象サイバーインシデントまたは身代金支払いが発生したかどうかを確認するために、対象事業体に追加情報を要求することができ、または所長は、本項(d)に従い、対象事業体に情報を強制するための召喚状を発行することができる。
(4) Treatment of information received. Information provided to CISA by a covered entity in a reply to a request for information under this section will be treated in accordance with §§ 226.18 and 226.19.  (4) 受領した情報の扱い。本項に基づく情報要求に対する回答として対象事業体から CISA に提供された情報は、第 226.18 条及び第 226.19 条に従って取り扱われる。
(5) Unavailability of Appeal. A request for information is not a final agency action within the meaning of 5 U.S.C. 704 and cannot be appealed.  (5) 不服申立ての不能。情報提供の要請は、合衆国法律集第 5 編第 704 条の意味における最終的な機関決定ではなく、上訴できない。
(d) Subpoena--(1) Issuance of subpoena. The Director may issue a subpoena to compel disclosure of information from a covered entity if the entity fails to reply by the date specified in paragraph (c)(2)(iv) of this section or provides an inadequate response, to a request for information. The authority to issue a subpoena is a nondelegable authority. A subpoena will be served on a covered entity in accordance with the procedures in paragraph (e) of this section.  (d) 召喚--(1) 召喚状の発行。事業体が本項(c)(2)(iv)で指定された期日までに回答しなかった場合、または不十分な回答をした場合、所長は、対象事業体からの情報開示を強制するために召喚状を発行することができる。召喚状を発行する認可は、委譲不可能な権限である。召喚状は、本項(e)の手続に従い、対象事業体に送達される。
(2) Timing of subpoena. A subpoena to compel disclosure of information from a covered entity may be issued no earlier than 72 hours after the date of service of the request for information.  (2) 召喚の時期。対象事業体からの情報開示を強制する召喚状は、情報要求の送達日から 72 時間以内に発 行することができる。
(3) Form and contents of subpoena. At a minimum, a subpoena must include: (3) 召喚状の形式および内容。最低限、召喚状には以下が含まれなければならない:
(i) The name and address of the covered entity; (i) 対象事業体の名称及び住所;
(ii) An explanation of the basis for issuance of the subpoena and a copy of the request for information previously issued to the covered entity, subject to the nondisclosure provision in paragraph (f) of this section;  (ii) 本項(f)の非開示規定に従うことを条件として、召喚状発行の根拠の説明及び対象事業体に対して以前に発行された情報提供要請の写し; 
(iii) A description of the information that the covered entity is required to produce. The Director, in his or her discretion, may determine the scope and nature of information necessary to determine whether a covered cyber incident or ransom payment occurred, obtain the information required to be reported under § 226.3, and to assess the potential impacts to national security, economic security, or public health and safety. Subpoenaed information may include electronically stored information, documents, reports, verbal or written responses, records, accounts, images, data, data compilations, and tangible items;  (iii) 対象事業体が提出を求められる情報の説明。局長は、その裁量において、対象となるサイバーインシデントまたは身代金の支払いが発生したかどうかを判断し、226.3条に基づき報告することが求められる情報を入手し、国家安全保障、経済安全保障、または公衆の健康と安全に対する潜在的な影響を評価するために必要な情報の範囲および性質を決定することができる。召喚される情報には、電子的に保存された情報、文書、報告書、口頭または書面による回答、記録、口座、画像、データ、データ編集物、および有形物が含まれる; 
(iv) A date by which the covered entity must reply; and (iv) 対象事業体が回答しなければならない期日。
(v) The manner and format in which the covered entity must provide all information requested to CISA. (v) 対象事業体が要求された全ての情報をCISAに提供しなければならない方法及び形式。
(4) Reply to the Subpoena. A covered entity must reply in the manner and format, and by the deadline, specified by the Director. If the Director determines that the information received from the covered entity is inadequate to determine whether a covered cyber incident or ransom payment occurred, does not satisfy the reporting requirements under § 226.3, or is inadequate to assess the potential impacts to national security, economic security, or public health and safety, the Director may request or subpoena additional information from the covered entity or request civil enforcement of a subpoena pursuant to § 226.15. 
(4) 召喚状に対する回答。対象事業体は、局長が指定する方法および様式で、期限までに回答しなければならない。監督官が、対象事業体から受領した情報が、対象となるサイバーインシデントまたは身代金の支払いが発生したかどうかを判断するのに不十分である、226.3条に基づく報告要件を満たしていない、または国家安全保障、経済安全保障、または公衆の健康と安全に対する潜在的な影響を評価するのに不十分であると判断した場合、監督官は、226.15条に従って、対象事業体に追加情報を要求または召喚するか、召喚の民事執行を要求することができる。
(5) Authentication requirement for electronic subpoenas. Subpoenas issued electronically must be authenticated with a cryptographic digital signature of an authorized representative of CISA or with a comparable successor technology that demonstrates the subpoena was issued by CISA and has not been altered or modified since issuance. Electronic subpoenas that are not authenticated pursuant to this subparagraph are invalid.  (5) 電子召喚状の本人認証要件。電子的に発行された召喚状は、CISAの認可を受けた代表者の暗号デジタル署名、または召喚状がCISAによって発行され、発行後に変更または修正されていないことを証明する同等の後継技術で認証されなければならない。本号に従って認証されない電子召喚状は無効である。
(6) Treatment of information received in response to a subpoena--(i) In general. Information obtained by subpoena is not subject to the information treatment requirements and restrictions imposed within § 226.18 and privacy and procedures for protecting privacy and civil liberties in § 226.19; and (6) 召喚に応じて受領した情報の扱い--(i) 一般的に。召喚状によって入手された情報は、226.18 条で課された情報防御の要件および制限、ならびに 226.19 条のプライバシーおよび市民的自由の保護のためのプライバシーおよび手続きの対象とはならない。
(ii) Provision of certain information for criminal prosecution and regulatory enforcement proceedings. The Director may provide information submitted in response to a subpoena to the Attorney General or the head of a Federal regulatory agency if the Director determines that the facts relating to the cyber incident or ransom payment may constitute grounds for criminal prosecution or regulatory enforcement action. The Director may consult with the Attorney General or the head of the appropriate Federal regulatory agency when making any such determination. Information provided by CISA under this paragraph (d)(6)(ii) may be used by the Attorney General or the head of a Federal regulatory agency for criminal prosecution or a regulatory enforcement action. Any decision by the Director to exercise this authority does not constitute final agency action within the meaning of 5 U.S.C. 704 and cannot be appealed. (ii) 刑事訴追および規制執行手続きのための特定の情報の提供。局長は、サイバーインシデントまたは身代金支払いに関連する事実が刑事訴追または規制執行措置の根拠となり得ると判断した場合、召喚に応じて提出された情報を司法長官または連邦規制機関の長に提供することができる。長官は、そのような判断を下す際に、司法長官または該当する連邦規制機関の長と協議することができる。本項(d)(6)(ii)に基づきCISAが提供した情報は、司法長官または連邦規制機関の長が刑事訴追または規制執行措置のために使用することができる。この認可を行使する長官による決定は、合衆国法律集(U.S.C.)5.704の意味における最終的な機関決定を構成せず、上訴できない。
(7) Withdrawal and appeals of subpoena issuance--(i) In general. CISA, in its discretion, may withdraw a subpoena that is issued to a covered entity. Notice of withdrawal of a subpoena will be served on a covered entity in accordance with the procedures in paragraph (e) of this section.  (7) 召喚状発行の撤回及び上訴--(i) 一般的に。CISAは、その裁量により、対象事業体に対して発行された召喚状を撤回することができる。召喚状取下げの通知は、本項(e)の手続きに従い対象事業体に送達される。
(ii) Appeals of subpoena issuance. A covered entity may appeal the issuance of a subpoena through a written request that the Director withdraw it. A covered entity, or a representative on behalf of the covered entity, must file a Notice of Appeal within seven  (ii) 召喚状発行に対する不服申立。対象事業体は、局長が召喚状を撤回するよう書面で要請することにより、召喚状の発 行に不服を申し立てることができる。対象事業体または対象事業体を代表する代表者は、召喚状の送達後 7 暦日以内に異議申立書を提出しなければならない。
(7) calendar days after service of the subpoena. All Notices of Appeal must include: (7)暦日以内に提出しなければならない。すべての異議告知には、以下が含まれなければならない:
(A) The name of the covered entity; (A) 対象事業体の名称;
(B) The date of subpoena issuance; (B) 召喚状が発行された日付;
(C) A clear request that the Director withdraw the subpoena;  (C) ディレクターが召喚状を撤回することを求める明確な要求; 
(D) The covered entity’s rationale for requesting a withdrawal of the subpoena; and  (D) 召喚状の撤回を要請する事業体の根拠。
(E) Any additional information that the covered entity would like the Director to consider as part of the covered entity’s appeal. (E)対象事業体が、対象事業体の不服申立ての一部として、院長に考慮することを望む追加情報。
(iii) Director’s final decision. Following receipt of a Notice of Appeal, the Director will issue a final decision and serve it upon the covered entity. A final decision made by the Director constitutes final agency action. If the Director’s final decision is to withdraw the subpoena, a notice of withdrawal of a subpoena will be served on the covered entity in accordance with the procedures in § 226.14(e).  (iii) 院長の最終決定。不服申立通知の受領後、院長は最終決定を下し、対象事業体に送達する。局長による最終決定は、最終的な機関決定を構成する。局長の最終決定が召喚状の取り下げである場合、召喚状の取り下げ通知は、226.14条(e)の手続きに従って対象事業体に送達される。
(e) Service--(1) covered entity point of contact. A request for information, subpoena, or notice of withdrawal of a subpoena may be served by delivery on an officer, managing or general agent, or any other agent authorized by appointment or law to receive service of process on behalf of the covered entity.  (e) サービス--(1) 対象事業体の連絡先。情報提供の要請、召喚状、又は召喚状の撤回通知は、対象事業体のために送達を受 け取る権限を任命又は法律により付与された役員、経営代理人又は一般代理人、又はその他の 代理人に送達することができる。
(2) Method of service. Service of a request for information, subpoena, or notice of withdrawal of a subpoena will be served on a covered entity through a reasonable electronic or non-electronic attempt that demonstrates receipt, such as certified mail with return receipt, express commercial courier delivery, or electronically.  (2) 送達方法。情報提供要請、召喚状、または召喚状の撤回通知の送達は、配達証明付配達証明郵便、速達商 業宅配便、または電子的方法など、受領を証明する合理的な電子的または非電子的方法によ り、対象事業体に送達される。
(3) Date of service. The date of service of any request for information, subpoena, or notice of withdrawal of a subpoena shall be the date on which the document is mailed, electronically transmitted, or delivered in person, whichever is applicable.  (3) 送達日。情報要求、召喚状、または召喚状の撤回通知の送達日は、文書が郵送された日、電子的に送信された日、または直接交付された日のいずれか該当する日とする。
(f) Nondisclosure of certain information. In connection with the procedures in this section, CISA will not disclose classified information as defined in Section 1.1(d) of E.O. 12968 and reserves the right to not disclose any other information or material that is protected from disclosure under law or policy.  (f) 特定の情報の非開示。本セクションの手続きに関連して、CISAは、E.O.12968のセクション1.1(d)に定義される機密情報を開示せず、また、法律または政策により開示から保護されるその他の情報または資料を開示しない権利を留保する。
§ 226.15 Civil enforcement of subpoenas.  § 226.15 召喚状の民事執行 
(a) In general. If a covered entity fails to comply with a subpoena issued pursuant to § 226.14(d), the Director may refer the matter to the Attorney General to bring a civil action to enforce the subpoena in any United States District Court for the judicial district in which the covered entity resides, is found, or does business.  (a) 一般的に。対象事業体が§226.14(d)に従って発布された召喚令状に従わない場合、局長は、対象事業体が居住し、所在し、または事業を行っている司法地区の米国連邦地方裁判所において召喚令状を執行する民事訴訟を提起するために、司法長官に事案を照会することができる。
(b) Contempt. A United States District Court may order compliance with the subpoena and punish failure to obey a subpoena as a contempt of court. (b) 法廷侮辱罪。米国地方裁判所は、召喚状の遵守を命じ、召喚状に従わない場合は法廷侮辱罪として処罰することができる。
(c) Classified and protected information. In any review of an action taken under § 226.14, if the action was based on classified or protected information as described in § 226.14(f), such information may be submitted to the reviewing court ex parte and in camera. This paragraph does not confer or imply any right to review in any tribunal, judicial or otherwise.  (c) 機密情報および保護情報。226.14条に基づき行われた措置の審査において、当該措置が226.14条(f)に記載される機密情報または保護情報に基づくものであった場合、当該情報は、審査裁判所に一方的かつ非公開で提出することができる。この段落は、司法、その他を問わず、いかなる法廷における再審査の権利を付与するものでも示唆するものでもない。
§ 226.16 Referral to the Department of Homeland Security Suspension and Debarment Official.  § 226.16 国土安全保障省の資格停止および資格剥奪担当省への照会
The Director must refer all circumstances concerning a covered entity’s noncompliance that may warrant suspension and debarment action to the Department of Homeland Security Suspension and Debarment Official.  局長は、一時停止および資格剥奪措置が正当化される可能性のある、対象事業体の不遵守に関す るすべての状況を、国土安全保障省の一時停止および資格剥奪担当省に照会しなければならない。
§ 226.17 Referral to Cognizant Contracting Official or Attorney General.  § 226.17 契約担当官または司法長官への照会
The Director may refer information concerning a covered entity’s noncompliance with the reporting requirements in this part that pertain to performance under a federal procurement contract to the cognizant contracting official or the Attorney General for civil or criminal enforcement. 局長は、連邦調達契約の履行に関連する、本編の報告要件に対する対象事業体の不遵守に関す る情報を、民事上又は刑事上の執行のため、管轄の契約担当官又は司法長官に照会することができる。
§ 226.18 Treatment of information and restrictions on use. § 226.18 情報の取扱い及び使用制限
(a) In general. The protections and restrictions on use enumerated in this section apply to CIRCIA Reports and information included in such reports where specified in this section, as well as to all responses provided to requests for information issued under § 226.14(c). This section does not apply to information and reports submitted in response to a subpoena issued under § 226.14(d) or following Federal government action under §§ 226.15-226.17.  (a) 一般的に。本条に列挙された防御および使用制限は、226.14 条(c)に基づき発行された情報要求に対して提供されたすべての回答と同様に、CIRCIA 報告書および本条に規定された当該報告書に含まれる情報に適用される。本条は、226.14条(d)に基づき、または226.15条から226.17条に基づく政府の措置に基づき、召喚に応じて提出された情報および報告書には適用されない。
(b) Treatment of information--(1) Designation as commercial, financial, and proprietary information. A covered entity must clearly designate with appropriate markings at the time of submission a CIRCIA Report, a response provided to a request for information issued under § 226.14(c), or any portion of a CIRCIA Report or a response provided to a request for information issued under § 226.14(c) that it considers to be commercial, financial, and proprietary information. CIRCIA Reports, responses provided to a request for information issued under § 226.14(c), or designated portions thereof, will be treated as commercial, financial, and proprietary information of the covered entity upon designation as such by a covered entity. (b) 情報の扱い--(1) 商業情報、財務情報、専有情報としての指定。対象事業体は、CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に提供された回答、または CIRCIA 報告書もしくは 226.14条(c)に基づき発行された情報要求に提供された回答のうち、商業情報、財務情報、専有情報であるとみなされる部分を、提出時に適切な表示で明確に指定しなければならない。CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に提供された回答、またはその指定された部分は、対象事業体によりそのように指定された場合、対象事業体の商業的、財務的、専有情報として扱われる。
(2) Exemption from disclosure under the Freedom of Information Act. CIRCIA Reports submitted pursuant to this part and responses provided to requests for information issued under § 226.14(c) are exempt from disclosure under the Freedom of Information Act, 5 U.S.C. 552(b)(3), and under any State, Local, or Tribal government freedom of information law, open government law, open meetings law, open records law, sunshine law, or similar law requiring disclosure of information or records. If CISA receives a request under the Freedom of Information Act to which a CIRCIA Report, response to a request for information under § 226.14(c), or information contained therein is responsive, CISA will apply all applicable exemptions from disclosure, consistent with 6 CFR part 5. (2) 情報公開法に基づく開示の免除。本編に従って提出された CIRCIA 報告書、および第 226.14 条(c)に基づき発行された情報要求に対するプロバイダ の回答は、情報公開法(5 U.S.C. 552(b)(3))、および州、地方、または部族政府の情報公開法、公開政府法、公開会議法、公開記録法、日照 法、または情報もしくは記録の開示を要求する類似の法律に基づき、開示が免除される。CISAが、CIRCIA報告書、§226.14(c)に基づく情報要求に対する回答、又はそこに含まれる情報が応 答する情報公開法に基づく要求を受けた場合、CISAは、6CFRパート5に従い、適用されるすべての開示免除を適 用する。
(3) No Waiver of Privilege. A covered entity does not waive any applicable privilege or protection provided by law, including trade secret protection, as a consequence of submitting a CIRCIA Report under this part or a response to a request for information issued under § 226.14(c). (3) 特権を放棄しない。対象事業体は、本編に基づく CIRCIA 報告書の提出又は第 226.14 条(c)に基づき発行された情 報要求に対する回答により、企業秘密保護を含む適用法上の特権又は保護を放棄しない。
(4) Ex parte communications waiver. CIRCIA Reports submitted pursuant to this part and responses provided to requests for information issued under § 226.14(c) are not subject to the rules or procedures of any Federal agency or department or any judicial doctrine regarding ex parte communications with a decision-making official. (4) 一方的コミュニケーションの放棄。本編に基づき提出された CIRCIA 報告書、および第 226.14(c)条に基づき発行された情報要求に対するプロバイダは、連邦政府機関や省庁の規則や手続き、あるいは意思決定担当者との一方的なコミュニケーションに関する司法教義の適用を受けない。
(c) Restrictions on use--(1) Prohibition on use in regulatory actions. Federal, State, Local, and Tribal Government entities are prohibited from using information obtained solely through a CIRCIA Report submitted under this part or a response to a request for information issued under § 226.14(c) to regulate, including through an enforcement proceeding, the activities of the covered entity or the entity that made a ransom payment on the covered entity’s behalf, except:  (c) 使用の制限--(1) 規制措置における使用の禁止。連邦、州、地方、および部族政府機関は、本編に基づき提出された CIRCIA 報告書、または第 226.14 条(c)に基づき発行された情報要求に対する回答書を通じてのみ入手した情報を、対象事業体または対象事業体に代わって身代金支払を行った事業体の活動を、強制手続を通じた場合を含め、規制するために使用することは禁止されている: 
(i) If the Federal, State, Local, or Tribal Government entity expressly allows the entity to meet its regulatory reporting obligations through submission of reports to CISA; or (i) 連邦政府、州政府、地方政府、又は部族政府機関が、CISAへの報告書の提出を通じて事業体が規制 報告義務を果たすことを明示的に認めている場合。
(ii) Consistent with Federal or State regulatory authority specifically relating to the prevention and mitigation of cybersecurity threats to information systems, a CIRCIA Report or response to a request for information issued under § 226.14(c) may inform the development or implementation of regulations relating to such systems.  (ii) 情報システムに対するサイバーセキュリティの脅威の防止及び軽減に特に関連する連邦又は州 の認可に基づき、CIRCIA 報告書又は第 226.14 条(c)に基づき発行された情報要求に対する回答が、当該シス テムに関連する規制の策定又は実施に情報を提供する場合がある。
(2) Liability protection--(i) No cause of action. No cause of action shall lie or be maintained in any court by any person or entity for the submission of a CIRCIA Report or a response to a request for information issued under § 226.14(c) and must be promptly dismissed by the court. This liability protection only applies to or affects litigation that is solely based on the submission of a CIRCIA Report or a response provided to a request for information issued under § 226.14(c).  (2) 責任の保護--(i) 訴因はない。CIRCIA 報告書の提出または第 226.14(c)節に基づき発行された情報要求に対する回答を理由として、いかなる個人または事業体も、いかなる裁判所においても訴因を有し、または維持することはできず、裁判所により速やかに却下されなければならない。この防御は、CIRCIA 報告書の提出、または§226.14(c)に基づき発行された情報要求に対する回答書のプロバイダのみに基づく訴訟にのみ適用される。
(ii) Evidentiary and discovery bar for reports. CIRCIA Reports submitted under this part, responses provided to requests for information issued under § 226.14(c), or any communication, document, material, or other record, created for the sole purpose of preparing, drafting, or submitting CIRCIA Reports or responses to requests for information issued under § 226.14(c), may not be received in evidence, subject to discovery, or otherwise used in any trial, hearing, or other proceeding in or before any court, regulatory body, or other authority of the United States, a State, or a political subdivision thereof. This bar does not create a defense to discovery or otherwise affect the discovery of any communication, document, material, or other record not created for the sole purpose of preparing, drafting, or submitting a CIRCIA Report under this part or a response to a request for information issued under § 226.14(c). (ii) 報告書の証拠開示および証拠開示の禁止。本条に基づき提出された CIRCIA 報告書、226.14 条(c)に基づき発行された情報要求に対する回答、または CIRCIA 報告書もしくは 226.14条(c)に基づき発行された情報要求に対する回答を作成、ドラフト、提出することのみを目的として作成されたコミュニケーション、文書、資料、その他の記録は、米国、州、またはその政治的小部門の裁判所、規制団体、その他の当局における、またはそれらに対する裁判、聴聞会、その他の手続において、証拠として受理されたり、証拠開示の対象とされたり、その他の方法で使用されたりすることはできない。この禁止は、本項に基づく CIRCIA 報告書の作成、ドラフト、提出、または第 226.14 条(c)に基づき発行された情報要求に対する回答のみを目的として作成されたものでないコミュニケーション、文書、資料、またはその他の記録の証拠開示に対する抗弁を生じさせたり、または証拠開示に影響を及ぼすものではない。
(iii) Exception. The liability protection provided in paragraph (c)(2)(i) of this section does not apply to an action taken by the Federal government pursuant to § 226.15. (iii) 例外。本条第(c)項(2)(i)に定める防御は、226.15 条に基づき連邦政府によって行われる措置には適用されない。
(3) Limitations on authorized uses. Information provided to CISA in a CIRCIA Report or in a response to a request for information issued under § 226.14(c) may be disclosed to, retained by, and used by any Federal agency or department, component, officer, employee, or agent of the Federal Government, consistent with otherwise applicable provisions of Federal law, solely for the following purposes: (3) 認可用途の制限。CIRCIA 報告書において、または第 226.14(c)条に基づき発行された情報要求に対する回答書において CISA に提供された情報は、連邦法のその他の適用法に基づき、連邦政府 のいかなる機関もしくは部局、構成機関、役員、職員、または代理人に対しても、以下の目的のためにのみ開示、保 管、使用することができる:
(i) A cybersecurity purpose; (i) サイバーセキュリティ目的;
(ii) The purpose of identifying a cybersecurity threat, including the source of the cybersecurity threat, or a security vulnerability; (ii) サイバーセキュリティの脅威(サイバーセキュリティの脅威の発生源を含む)またはセキュリティの脆弱性を識別する目的;
(iii) The purpose of responding to, or otherwise preventing or mitigating, a specific threat of:  (iii) 特定の脅威への対応、または予防もしくは低減を目的とする: 
(A) Death;  (A) 死亡; 
(B) Serious bodily harm; or (B) 重大な身体的危害、または
(C) Serious economic harm;  (C) 深刻な経済的被害; 
(iv) The purpose of responding to, investigating, prosecuting, or otherwise preventing or mitigating a serious threat to a minor, including sexual exploitation and threats to physical safety; or (iv) 未成年者に対する重大な脅威(性的搾取、身体の安全に対する脅威を含む)に対応、調査、訴追、またはその他の方法で防止もしくは軽減する目的。
(v) The purpose of preventing, investigating, disrupting, or prosecuting an offense:  (v) 犯罪を防止、調査、妨害、起訴する目的: 
(A) Arising out of events required to be reported in accordance with § 226.3;  (A) 第 226.3 項に従って報告することが義務付けられている事象に起因する; 
(B) Described in 18 U.S.C. 1028 through 1030 relating to fraud and identity theft; (B) 詐欺および ID 窃盗に関する合衆国法律集第 18 編第 1028 条から第 1030 条に記述されているもの;
(C) Described in 18 U.S.C. chapter 37 relating to espionage and censorship; or (C) スパイ活動および検閲に関する合衆国法律集第 18 編第 37 章に記述されているもの。
(D) Described in 18 U.S.C. 90 relating to protection of trade secrets. (D) 企業秘密の保護に関する合衆国法律集第 18 編第 90 章に記述されているもの。
§ 226.19 Procedures for protecting privacy and civil liberties.  § 226.19 プライバシーおよび市民の自由を保護するための防御手順
(a) In general. The use of personal information received in CIRCIA Reports and in responses provided to requests for information issued under § 226.14(c) is subject to the procedures described in this section for protecting privacy and civil liberties. CISA will ensure that privacy controls and safeguards are in place at the point of receipt, retention, use, and dissemination of a CIRCIA Report. The requirements in this section do not apply to personal information submitted in response to a subpoena issued under § 226.14(d) or following Federal government action under §§ 226.15 through 226.17.  (a) 一般的に。CIRCIA レポートで受領した個人情報及び§226.14(c)に基づき発行された情報要求に対する回答で受領した個人情報の 使用は、プライバシー及び市民の自由を保護するために本条に記載された手続きに従う。CISA は、CIRCIA 報告書の受領、保管、使用、配布の時点でプライバシー管理と保護措置が実施されていることを保証する。本条項の要件は、226.14条(d)に基づき発行された召喚状に応じて、又は226.15条から226.17条に基づく政府の措置を受けて提出された個人情報には適用されない。
(b) Instructions for submitting personal information. A covered entity should only include the personal information requested by CISA in the web-based CIRCIA Incident Reporting Form or in the request for information and should exclude unnecessary personal information from CIRCIA Reports and responses to requests for information issued under § 226.14(c).  (b) 個人情報の提出に関する指示。対象事業体は、CISA が要求した個人情報のみをウェブベースの CIRCIA インシデント報告書又は情報要求に含めるべきであり、CIRCIA 報告書及び第 226.14条(c)に基づき発行された情報要求に対する回答からは不要な個人情報を除外すべきである。
(c) Assessment of personal information. CISA will review each CIRCIA Report and response to request for information issued under § 226.14(c) to determine if the report contains personal information other than the information requested by CISA and whether the personal information is directly related to a cybersecurity threat. Personal information directly related to a cybersecurity threat includes personal information that is necessary to detect, prevent, or mitigate a cybersecurity threat.  (c) 個人情報の評価 CISA は、226.14(c)に基づき発行された各 CIRCIA 報告書及び情報要求に対する回答書をレビューし、報告書に CISA が要求した情報以外の個人情報が含まれているかどうか、及び当該個人情報がサイバーセキュリティ上の脅威に直接関連しているかどうかを判断する。サイバーセキュリティの脅威に直接関連する個人情報には、サイバーセキュリティの脅威を検 出、防止又は軽減するために必要な個人情報が含まれる。
(1) If CISA determines the personal information is not directly related to a cybersecurity threat, nor necessary for contacting a covered entity or report submitter, CISA will delete the personal information from the CIRCIA Report or response to request for information. covered entity or report submitter contact information, including information of third parties submitting on behalf of an entity, will be safeguarded when retained and anonymized prior to sharing the report outside of the federal government unless CISA receives the consent of the individual for sharing personal information and the personal information can be shared without revealing the identity of the covered entity.  (1)CISAが、個人情報がサイバーセキュリティの脅威に直接関係せず、対象事業体または報告書提出者と の連絡にも必要でないと判断した場合、CISAはCIRCIA報告書または情報要求に対する回答から当該個 人情報を削除する。対象事業体または報告書提出者の連絡先情報は、事業体に代わって提出するサードパーティ の情報を含め、CISAが個人情報の共有について本人の同意を受け、対象事業体の身元を明らかにすることな く個人情報を共有できる場合を除き、連邦政府外で報告書を共有する前に保持され匿名化された状態で保護さ れる。
(2) If the personal information is determined to be directly related to a cybersecurity threat, CISA will retain the personal information and may share it consistent with § 226.18 of this part and the guidance described in paragraph (d) of this section.  (2) 個人情報がサイバーセキュリティの脅威に直接関連すると判断された場合、CISAは個人情報を保持 し、本編第226.18条及び本項(d)に記載されるガイダンスに従って共有することができる。
(d) Privacy and civil liberties guidance. CISA will develop and make publicly available guidance relating to privacy and civil liberties to address the retention, use, and dissemination of personal information contained in Covered Cyber Incident Reports and Ransom Payment Reports by CISA. The guidance shall be consistent with the need to protect personal information from unauthorized use or disclosure, and to mitigate cybersecurity threats.  (d) プライバシー及び市民的自由のガイダンス。CISA は、CISA による対象サイバーインシデント報告書および身代金支払報告書に含まれる個人情報の保 持、使用、および配布に対処するため、プライバシーおよび市民的自由に関する指針を策定し、公 開する。ガイダンスは、個人情報を不正使用または不正開示から保護し、サイバーセキュリティの脅威を低減する必要性に合致したものでなければならない。
(1) One year after the publication of the guidance, CISA will review the effectiveness of the guidance to ensure that it appropriately governs the retention, use, and dissemination of personal information pursuant to this part and will perform subsequent reviews periodically. (1) ガイダンスの公表から1年後、CISAは、ガイダンスが本編に従った個人情報の保持、使用及び普及を適切に ガバナンスしていることを確認するため、ガイダンスの有効性をレビューし、その後も定期的にレ ビューを実施する。
(2) The Chief Privacy Officer of CISA will complete an initial review of CISA’s compliance with the privacy and civil liberties guidance approximately one year after the effective date of this part and subsequent periodic reviews not less frequently than every three years.  (2) CISAのチーフ・プライバシー・オフィサーは、本編の発効日から約1年後にCISAのプライバシー及び市民的自由のガイダンスへの準拠の初期レビューを完了し、その後3年ごとを下回らない頻度で定期レビューを実施する。
§ 226.20 Other procedural measures. § 226.20 その他の手続き上の措置
(a) Penalty for false statements and representations. Any person that knowingly and willfully makes a materially false or fraudulent statement or representation in connection with, or within, a CIRCIA Report, response to a request for information, or response to an administrative subpoena is subject to the penalties under 18 U.S.C. 1001. (b) Severability. CISA intends the various provisions of this part to be severable from each other to the extent practicable, such that if a court of competent jurisdiction were to vacate or enjoin any one provision, the other provisions are intended to remain in effect unless they are dependent upon the vacated or enjoined provision. (a) 虚偽の陳述および表明に対する罰則。意図的かつ故意に、CIRCIA 報告書、情報要求に対する回答、または行政召喚に対する回答に 関連して、またはその中で、重大な虚偽または詐欺的な陳述または表明を行った者は、合衆国法律集第 18 編第 1001 条に基づく罰則の対象となる。(b) 分離可能性。CISA は、本編の各条項を、実務上可能な範囲で互いに分離可能なものとすることを意図しており、管轄権を有 する裁判所がいずれかの条項を破棄または差し止めた場合でも、他の条項は、破棄または差し止められた条項 に依存しない限り、効力を維持することを意図している。
______________________ ______________________
Jennie M. Easterly, ジェニー・M・イースタリー
Director, 所長
Cybersecurity and Infrastructure Security Agency, Department of Homeland Security. 国土安全保障省サイバーセキュリティ・インフラセキュリティ庁長官 ジェニー・M・イースターリー。
[FR Doc. 2024-06526 Filed: 3/27/2024 8:45 am; Publication Date:  4/4/2024] [FR Doc. 2024-06526 Filed: 3/27/2024 8:45 am; Publication Date: 4/4/2024].

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2022.09.14 米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09)

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

 

 

| | Comments (0)

2024.03.29

経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0

こんにちは、丸山満彦です。

経済産業省が、「産業サイバーセキュリティ研究会 ワーキンググループ1(制度・技術・標準化)宇宙産業サブワーキンググループ 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0」を公表していますね...

私も委員をしていますが、気になるところがあれば、意見をお願いいたしますね...

システム全体イメージ..

20240329-123102

 

経済産業省 - 審議会・研究会 - ものづくり/情報/流通・サービス - 産業サイバーセキュリティ研究会 - ワーキンググループ1(制度・技術・標準化) - ワーキンググループ1(宇宙産業サブワーキンググループ)

・ 2024.03.28  産業サイバーセキュリティ研究会 ワーキンググループ1(制度・技術・標準化)宇宙産業サブワーキンググループ 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0

このガイドラインの作成、公表の目的...


民間宇宙事業者のビジネス振興及びサイバー攻撃による倒産等の経営リスク軽減の観点から、

  • 宇宙システムに係るセキュリティ上のリスク
  • 宇宙システムに関わる各ステークホルダーが検討すべき基本的セキュリティ対策
  • 対策の検討に当たり参考になる参考文献、活用可能な既存施策 等

について分かりやすく整理して示し、民間事業者における自主的な対策を促すこと...


 

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver2.0

20240329-122731

 

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0 概要資料

20240329-122845

 

・[ELSX] 【添付資料1】対策要求事項チェックリスト

・[ELSX] 【添付資料2】NIST CSFと宇宙システム特有の対策との対応関係

・[DOCX] 【添付資料3】情報セキュリティ関連規程(サンプル)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.19 ENISA 低軌道(LEO)衛星通信のサイバーセキュリティ評価

・2023.09.26 NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル

・2023.08.01 NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。



 

| | Comments (0)

個人情報保護委員会 LINEヤフー株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について (2024.03.28)

こんにちは、丸山満彦です。

Lineヤフーの件ですが、

1 LINE に関する個人データの漏えい等が生じた事案

2 LY 社のユーザー識別子である GUID の漏えいのおそれが生じた事案

の2つの事案があるのですが、個人情報保護委員会から行政上の対応について、公表されていますね...

 

概要は次のようになっていました。。。

20240328-215006

 

個人情報保護委員会

・2024.03.28 LINEヤフー株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について

・[PDF] LINEヤフー株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について

20240328-221351

 

 参考になるところも多いように思いますね...

 

 

| | Comments (0)

個人情報保護委員会 株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について (2024.03.25)

こんにちは、丸山満彦です。

多くの社労士も使っていたSaaSシステムがランサムウェアに感染した件、個人情報保護委員会から行政上の対応について発表がありましたね...

 

概要は次のようになっていました。。。

20240328-182155

 

 

個人情報保護委員会

・2024.03.25 株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について

・[PDF] 株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について

20240328-221052

 

資料1-3が少し話題になっていますかね...クラウド事業者がどういう場合に個人データの取り扱いの委託になるか...

 


資料1-3

クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)

令和6年3月 25
個人情報保護委員会

 今般、クラウドサービス提供事業者が提供する業務システムが不正アクセス被害を受け、クラウド環境で管理されていた多数の個人情報取扱事業者(以下「クラウドサービス利用者」という。)の顧客の従業員の個人データが暗号化され、漏えい等のおそれが生じた事案について、当委員会は、本件クラウドサービス提供事業者が、クラウドサービス利用者から個人データの取扱いの委託を受けて個人データを取り扱うものであり、個人情報の保護に関する法律(平成 15 年法律第57号。以下「法」という。)上の「個人情報取扱事業者」に該当すると判断しました。

当該事例も踏まえ、クラウドサービスの利用に当たっては、以下の点に留意していただくようお願いいたします。

1. クラウドサービスを利用して個人データを取り扱う場合の留意点

(1) 個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用する場合、個人データの安全管理のために必要かつ適切な措置を講ずるために、クラウドサービスの利用が、個人データの取扱いの委託(法第27条第5項第1号)に該当するかどうかを判断する必要があります。

また、委託に該当する場合には、クラウドサービス利用者である個人情報取扱事業者は、委託先に対する必要かつ適切な監督を行わなければなりません(法第25条)。

(2) 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A

(以下「ガイドラインQ&A」という。)の7-53により、委託(又は本人の同意が必要な第三者提供)に該当するかどうかは、クラウドサービス提供事業者において、個人データを取り扱うこととなっているのか又は取り扱わないこととなっているのかのいずれであるかが判断の基準となります。

当該クラウドサービス提供事業者が、「当該個人データを取り扱わないこととなっている場合」とは、契約条項によって当該クラウドサービス提供事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられるとされています。今回の事例において、クラウドサービス提供事業者が個人情報取扱事業者に該当すると判断された考慮要素は以下のとおりですので御留意ください(なお、以下における「クラウドサービス利用者」とは、冒頭に記載したとおり個人情報取扱事業者です。)

利用規約において、クラウドサービス提供事業者が保守、運用上等必要であると判断した場合、データ等について、監視、分析、調査等必要な行為を行うことができること及びシステム上のデータについて、一定の場合を除き、許可なく使用し、又は第三者に開示してはならないこと等が規定され、クラウドサービス提供事業者が、特定の場合にクラウドサービス利用者の個人データを使用等できることとなっていたこと

クラウドサービス提供事業者が保守用IDを保有し、クラウドサービス利用者の個人データにアクセス可能な状態であり、取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかったこと

クラウドサービス利用者と確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていたこと。

 

2. クラウドサービス利用者による、委託先(クラウドサービス提供事業者)の監督に関する留意点

個人情報の保護に関する法律についてのガイドライン(通則編)(以下「ガイドライン」という。)3-4-4において、個人情報取扱事業者は、個人データの取扱いを委託するに当たって、法第23条に基づき自らが講ずべき安全管理措置と同等の措置が委託先において講じられるよう監督を行うものとされています。

特に、個人情報取扱事業者が、クラウドサービス提供事業者に個人データの取扱いを委託する場合には、以下のような点について御留意ください。

  •   サービスの機能やサポート体制のみならず、サービスに付随するセキュリティ対策についても十分理解し、確認した上で、クラウドサービス提供事業者及びサービスを選択してください。

  •   個人データの取扱いに関する、必要かつ適切な安全管理措置(個人データの取扱いに関する役割や責任の分担を含みます。)として合意した内容を、規約や契約等でできるだけ客観的に明確化してください(ガイドラインQ&A5-8参照)。

  •   利用しているサービスに関し、セキュリティ対策を含めた安全管理措置の状況について、例えば、クラウドサービス提供事業者から定期的に報告を受ける等の方法により、確認してください。

 

3 個人データの取扱いの委託先がクラウドサービスを利用している場合の留意点

例えば、従業者等の個人データを取り扱う個人情報取扱事業者が、個人データの取扱いを外部の事業者に委託している場合に、当該委託先事業者が、クラウドサービス提供事業者が提供するアプリケーションを利用して、委託された個人データを取り扱っているケースがあります。この場合、委託元である個人情報取扱事業者は、委託先事業者に対する監督の一内容として、当該クラウドサービスの安全性などを委託先事業者に確認することが考えられます。

ガイドラインでも、「委託元が委託先について『必要かつ適切な監督』を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の委託元による法違反と判断され得るので、再委託をする場合は注意を要する」ものとされています(ガイドライン3-4-4)。

委託元である個人情報取扱事業者においては、前記1のとおり、委託先事業者のクラウドサービスの利用によって、当該委託先事業者からクラウドサービス提供事業者に対する「再委託」となっている場合があることを念頭において、法第23条が求める個人データの安全管理のために必要かつ適切な措置及び法第25条が求める委託先に対する必要かつ適切な監督を行うよう留意してください。

以 上


 

| | Comments (0)

2024.03.28

米国 国防総省 国防高等研究計画局(DARPA)の重要な目標は、国防総省にとって信頼できる人工知能を開発することである。

こんにちは、丸山満彦です。

技術倫理の領域でその適用が難しいのは軍事分野でしょうね...

例えば、ダイナマイトの戦争への適用、飛行機の戦争への適用、原子力技術の戦争への適用、そして今は、AIの戦争への適用...

そういう議論は必要で、すすめているのだろうとは思いますが、

一方、その利用についても同時並行的に進んでいくのだろうと思います...

2023年8月にこのブログで紹介したAIサイバーチャレンジも参考に...

 

U.S. Department of Defense

・2024.03.27  DARPA Aims to Develop AI, Autonomy Applications Warfighters Can Trust

 

DARPA Aims to Develop AI, Autonomy Applications Warfighters Can Trust 国防高等研究計画局(DARPA)の重要な目標は、国防総省にとって信頼できる人工知能を開発することである。
An important goal of the Defense Advanced Research Projects Agency is developing artificial intelligence that is trustworthy for the Defense Department — particularly for making life-or-death recommendations to warfighters, said Matt Turek, deputy director of DARPA's Information Innovation Office. 国防高等研究計画局の重要な目標は、国防省にとって信頼できる人工知能を開発することであり、特に戦闘員に対して生死を分けるような勧告を行うことだと、DARPAの情報革新局のマット・トゥレック副局長は語った。
AI, machine learning and autonomy are being used by about 70% of DARPA's programs in some form or another, Turek said today at a Center for Strategic and International Studies event. AI、機械学習、自律性は、DARPAのプログラムの約70%が何らかの形で利用している、とトゥレックは本日、戦略国際問題研究センターのイベントで語った。
Another reason AI development is such a priority is to prevent an unexpected breakthrough in technology, or "strategic surprise," by adversaries who might also be developing advanced capabilities, he said, adding that DARPA also aims to create its own strategic surprise. AI開発がこれほど優先されるもう一つの理由は、同じく高度な能力を開発しているかもしれない敵対国による予期せぬ技術の飛躍的進歩、すなわち「戦略的奇襲」を防ぐためであり、DARPAは独自の戦略的奇襲を起こすことも目指していると同氏は付け加えた。
Spotlight: Science & Tech スポットライト 科学技術
To accomplish those goals, DARPA is looking for transformative capabilities and ideas from industry and academia, Turek said.  こうした目標を達成するため、DARPAは産業界や学界から革新的な能力やアイデアを求めている、とトゥレック氏は言う。
One of the many ways the agency gets these capabilities and ideas is to hold various types of challenges where teams from the private sector can win prizes worth millions of dollars, he said.  DARPAがこのような能力やアイデアを得る多くの方法の一つは、民間部門のチームが数百万ドル相当の賞金を獲得できる様々な種類のチャレンジを開催することである、と同氏は言う。
An example of that, he said, is DARPA's Artificial Intelligence Cyber Challenge, which uses generative AI technologies — like large language models — to automatically find and fix vulnerabilities in open-source software, particularly software that underlies critical infrastructure
.
DARPAの人工知能サイバー・チャレンジは、生成的AI技術(大規模言語モデルなど)を使って、オープンソースソフトウェア、特に重要なインフラを支えるソフトウェアの脆弱性を自動的に発見し、修正するものだ。
Large language models involve processing and manipulating human language to perform such tasks as secure computer coding, decision-making, speech recognition and making predictions. 大規模言語モデルは、人間の言語を処理・操作して、安全なコンピューター・コーディング、意思決定、音声認識、予測などのタスクを実行する。
Turek said a unique feature of this challenge is the partnership between DARPA and state-of-the-art large language model providers that are participating in the challenges, including Google, Microsoft, OpenAI and Anthropic.  トゥレック氏によると、このチャレンジの特徴は、DARPAと、グーグル、マイクロソフト、OpenAI、Anthropicなど、チャレンジに参加している最先端の大規模言語モデルプロバイダーとのパートナーシップにあるという。
Most likely, large language model improvements will also benefit the commercial sector, as well as DOD, Turek said. おそらく、大規模言語モデルの改善は、DODだけでなく、商業部門にも利益をもたらすだろう、とトゥレック氏は語った。
Spotlight: Engineering in DOD スポットライト DODにおけるエンジニアリング
An example of the use of autonomy and of AI that DARPA has been testing with the Air Force involves its F-16 fighter jets, he said. DARPAが空軍とテストしている自律性とAIの使用例として、F-16戦闘機が挙げられるという。
Turek said DARPA has four areas of AI research involving industry and academia partners: トゥレック氏によると、DARPAは産学パートナーが関与する4つのAI研究分野を持っている:
1. Proficient artificial intelligence; 1. 熟練した人工知能
2. Confidence in the information domain, which includes tools that detect things like manipulated media; 2. 情報領域における検知(操作されたメディアなどを検知するツールを含む);
3. Secure and resilient systems; and 3. 安全でレジリエンスに優れたシステム。
4. Defensive and offensive cyber tools. 4. 防御的・攻撃的サイバーツール。
Turek noted that there's a lot of synergy across those four areas. トゥレックは、これら4つの分野には多くの相乗効果があると指摘した。

 

スポットライトAI

SPOTLIGHT Artificial Intelligence

AIサイバーチャレンジ

・2023.08.09 DARPA AI Cyber Challenge Aims to Secure Nation’s Most Critical Software

 

1_20240328154601

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.11 米国 AIサイバーチャレンジ DEF CON32-33 (2024-2025) by DARPA (2023.08.08)

 

 

 

| | Comments (0)

警察庁 キャッシュレス社会の安全・安心の確保に関する検討会報告書 (2024.03.21)

こんにちは、丸山満彦です。

警察庁のャッシュレス社会の安全・安心の確保に関する検討会の報告書が公表されていますね...委員長は情報セキュリティ大学院大学の藤本先生ですね...

金融庁もオブザーバーと入っていますね...

 

警察庁

・2024.03.21 キャッシュレス社会の安全・安心の確保に関する検討会報告書等について

キャッシュレス社会の安全・安心の確保に関する検討会

・[PDF] 報告書 概要編

20240328-132933

 

・[PDF] 報告書 本編

20240328-132717

目次...

はじめに

1 情勢認識及び課題
1.1 キャッシュレス社会の進展とその被害状況
1.2 警察の取組
 ⑴ 関係機関等と連携した注意喚起
 ⑵ DMARCの導入促進
 ⑶ ウイルス対策ソフト等による警告表示等の推進
 ⑷ SIMスワップ対策の推進
 ⑸ 国際共同捜査等の推進

2 キャッシュレス社会の安全・安心の確保のため方策
2.1 被害に遭わないための環境整備
2.1.1 利用者に直接届く注意喚起の実施
2.1.2 フィッシングサイト等にアクセスさせないための方策
 ⑴ 送信側におけるDMARCの導入促進等
 ⑵ 受信側におけるDMARCの導入促進等
 ⑶ フィッシングサイトのテイクダウン促進
 ⑷ 次世代認証技術(パスキー)の普及促進
2.1.3 ID・PWを窃取された場合でも被害に遭わないための方策
 ⑴ EC加盟店等との情報連携の強化
 ⑵ 暗号資産交換業者への不正送金の防止
 ⑶ コード決済に関する被害防止

2.2 警察における対処能力の向上
2.2.1 先端技術の活用等によるフィッシング対策の高度化・効率化
  ⑴ フィッシングサイトの特性を踏まえた対策の高度化
  ⑵ 生成AIを活用したフィッシングサイト判定の高度化・効率化
2.2.2 被害企業等との情報共有による捜査の推進
2.2.3 国内外の関係機関等との連携強化
 ⑴ トラステッド・フラッガー制度の活用
 ⑵ フィッシング対策の高度化・効率化に関する連携強化
2.2.4 警察の捜査により得られた情報の被害防止対策への活用推進
 ⑴ EC加盟店等との情報連携の強化【再掲】
 ⑵ 警察の捜査により得られたクレジットカード情報の活用推進

おわりに

 

・[PDF] 委員名簿

・[PDF] 発言要旨(第1回)

・[PDF] 発言要旨(第2回)

・[PDF] 発言要旨(第3回)

 

 

| | Comments (0)

米国 国務省 司法のための報奨金 - 米国の重要インフラを狙うALPHV BlackCatに関連したサイバー行為者に関する情報に対する報奨金

こんにちは、丸山満彦です。

米国の国務省が、米国の重要インフラを狙うALPHV BlackCatに関連したサイバー行為者に関する情報を提供してくれた人には報奨金を出すと発表しsていますね...

米国も官民連携は重要ということは、米国の国家サイバーセキュリティ戦略でも言われていて、クラウド事業者等と政府組織は連携して、安全保障や犯罪に関連する情報も含めて連携しているとは思いますが、それでも不足する情報については、広く世界から情報提供を求めているのでしょうね...

このような情報を求める意欲、力というのは、日本も参考にしても良いかもですね...

最高15億円!

 

U.S. Departement of State

・2024.03.27 Rewards for Justice – Reward Offer for Information on ALPHV BlackCat-linked Cyber Actors Targeting U.S. Critical Infrastructure

Rewards for Justice – Reward Offer for Information on ALPHV BlackCat-linked Cyber Actors Targeting U.S. Critical Infrastructure 司法のための報奨金 - 米国の重要インフラを狙うALPHV BlackCatに関連したサイバー行為者に関する情報に対する報奨金の提供について
The U.S. Department of State’s Rewards for Justice (RFJ) program, which is administered by the Diplomatic Security Service, is offering a reward of up to $10 million for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act (CFAA). 外交安全保障局が運営する米国司法省の司法報奨(RFJ)プログラムは、外国政府の指示または支配下で行動しながら、コンピュータ詐欺・乱用防止法(CFAA)に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行った者の特定または所在につながる情報に対して、最高1,000万ドルの報奨金を提供する。
The ALPHV BlackCat ransomware-as-a-service group compromised computer networks of critical infrastructure sectors in the United States and worldwide, deploying ransomware on the targeted systems, disabling security features within the victim’s network, stealing sensitive confidential information, demanding payment to restore access, and threatening to publicize the stolen data if victims do not pay a ransom. ALPHV BlackCatランサムウェア・アズ・ア・サービス・グループは、米国および世界中の重要インフラ部門のコンピュータ・ネットワークに侵入し、標的となったシステムにランサムウェアを展開し、被害者のネットワーク内のセキュリティ機能を無効にし、機密情報を盗み出し、アクセスを回復するための支払いを要求し、被害者が身代金を支払わない場合は盗まれたデータを公表すると脅迫した。
The group’s ransomware, also known as ALPHV BlackCat, was first deployed in November 2021. ALPHV BlackCatとしても知られるこのグループのランサムウェアは、2021年11月に初めて展開された。
ALPHV BlackCat operated as a ransomware-as-a-service business model in which the group’s members developed and maintained the ransomware variant and then recruited affiliates to deploy the ransomware.  ALPHV BlackCat and its affiliates then shared any paid ransoms. ALPHV BlackCatはランサムウェア・アズ・ア・サービスのビジネスモデルとして運営されており、グループのメンバーはランサムウェアの亜種を開発・保守し、ランサムウェアを展開するアフィリエイトを募集していた。 ALPHV BlackCatとその関連会社は、支払われた身代金を共有する。
More information about this reward offer is located on the Rewards for Justice website at [web].  We encourage anyone with information on ALPHV BlackCat actors, their affiliates, activities, or links to a foreign government to contact Rewards for Justice via the Tor-based tips-reporting channel at:[*] . この報奨のオファーに関する詳細は、Rewards for Justiceのウェブサイト[web]
に掲載されている。 ALPHV BlackCatの実行者、その関連会社、活動、または外国政府とのつながりに関する情報をお持ちの方は、Torベースの情報報告チャンネル[*]
を通じて、司法のための報奨に連絡されることをお勧めする。
Since its inception in 1984, RFJ has paid in excess of $250 million to more than 125 people across the globe who provided actionable information that helped resolve threats to U.S. national security.  Follow us on Twitter at https://twitter.com/RFJ_USA  . 1984年の設立以来、RFJは米国の国家安全保障に対する脅威の解決に役立つ実用的な情報を提供した世界中の125人以上に2億5000万ドル以上を支払ってきた。 ツイッターでフォローする https://twitter.com/RFJ_USA .

[*] :he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion (Tor browser required).

 

Foreign Malicious Cyber Activity Against U.S. Critical Infrastructure

 

1_20240328115101

 

| | Comments (0)

米国 財務省 北朝鮮の大量破壊兵器プログラムに資金を提供する行為者(IT 労働者代表団を含む)を制裁

こんにちは、丸山満彦です。

米国財務省が北朝鮮の大量破壊兵器プログラムに資金を提供する行為者(IT 労働者代表団を含む)を制裁していますね...

米韓の連携での活動のようですね...

 

・2024.03.27 Treasury Sanctions Actors Financing the North Korean Weapons of Mass Destruction Program

Treasury Sanctions Actors Financing the North Korean Weapons of Mass Destruction Program 財務省、北朝鮮の大量破壊兵器プログラムに資金を提供する行為者を制裁する
The Republic of Korea and the United States Issue Joint Sanctions Against DPRK Financial Facilitators  大韓民国と米国、北朝鮮の金融促進者に対する共同制裁を発表 
WASHINGTON — Today, in coordination with the Republic of Korea (ROK), the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) sanctioned six individuals and two entities based in Russia, China, and the United Arab Emirates, that generate revenue and facilitate financial transactions for the Democratic People’s Republic of Korea (DPRK). Funds generated through these actors are ultimately funneled to support the DPRK’s weapons of mass destruction (WMD) programs.  The ROK is jointly designating six of the same individuals and entities for their involvement in illicit financing and revenue generation through overseas DPRK information technology (IT) workers. This action also accompanies the 6th U.S.-ROK Working Group on DPRK Cyber Threats. ワシントン発-本日、米財務省外国資産管理局(OFAC)は大韓民国(韓国)と連携し、ロシア、中国、アラブ首長国連邦を拠点とし、朝鮮民主主義人民共和国(DPRK)のために収益を上げ、金融取引を促進している個人6人と事業体2社を制裁対象とした。これらの団体を通じて生成された資金は、最終的に朝鮮民主主義人民共和国の大量破壊兵器(WMD)プログラムを支援するために使われている。 韓国は、海外の朝鮮民主主義人民共和国の情報技術(IT)労働者を通じた不正な資金調達と収益生成に関与しているとして、同じ個人と事業体のうち6つを共同で指定する。この措置はまた、第6回米韓サイバー脅威作業部会に付随するものである。
Today’s action targets agents of designated DPRK banks along with companies that employ DPRK IT workers abroad. DPRK banking representatives, IT workers, and the companies that employ them generate revenue and gain access to foreign currencies vital to the Kim regime. These actors, operating primarily through networks located in Russia and China, orchestrate schemes, set up front or shell companies, and manage surreptitious bank accounts to move and disguise illicit funds, evade sanctions, and finance the DPRK’s unlawful WMD and ballistic missile programs.   本日の措置は、指定された朝鮮民主主義人民共和国の銀行の代理人と、海外で朝鮮民主主義人民共和国のIT労働者を雇用している企業を対象としている。朝鮮民主主義人民共和国の銀行代表者、IT労働者、そして彼らを雇用する企業は、金正恩体制にとって不可欠な外貨へのアクセスや収益を生み出している。これらの関係者は、主にロシアと中国にあるネットワークを通じて活動し、不正な資金を移動・偽装し、制裁を回避し、北朝鮮の違法な大量破壊兵器と弾道ミサイルプログラムの資金を調達するために、スキームを組織し、フロント企業やシェル企業を設立し、密かに銀行口座を管理している。 
“Today’s joint action reflects our commitment to disrupt the DPRK’s efforts to generate revenue for its illicit and destabilizing activities,” said Under Secretary of the Treasury for Terrorism and Financial Intelligence Brian E. Nelson. “The United States, along with our South Korean partners, will continue to take action to safeguard the international financial system and prevent the DPRK from funding its illegal weapons programs.” 「ブライアン・E・ネルソン財務次官(テロ・金融情報担当)は、「本日の共同行動は、朝鮮民主主義人民共和国が不正で不安定な活動のために歳入を得ようとする努力を妨害するという我々の決意を反映したものだ。「米国は韓国のパートナーとともに、国際金融システムを保護し、朝鮮民主主義人民共和国による違法な兵器開発計画の資金調達を阻止するための行動を取り続ける。
DPRK BANK REPRESENTATIVES  朝鮮民主主義人民共和国の銀行代表者 
The DPRK regime continues to use overseas representatives of state-owned entities and banks to access the international financial system. These individuals have overseas posts in China and Russia, where they coordinate payments and generate revenue for the DPRK.   朝鮮民主主義人民共和国政権は、国際金融システムにアクセスするために、国有事業体や銀行の海外代表者を利用し続けている。これらの人物は中国とロシアに海外駐在員事務所を構えており、そこで支払いを調整し、朝鮮民主主義人民共和国のために収入を生み出している。 
Yu Pu Ung is a linchpin in the DPRK’s illicit financial activities and is skilled at employing various schemes to avoid detection. Yu Pu Ung and Ri Tong Hyok are both China-based representatives of Tanchon Bank. Tanchon Bank is the financial arm of the DPRK’s U.S.- and UN-designated Korea Mining Development Corporation (KOMID) and plays a role in financing KOMID’s sales of ballistic missiles. KOMID is the DPRK’s premiere arms dealer and main exporter of goods and equipment related to ballistic missiles and conventional weapons. Yu Pu Ung uses funds from DPRK IT groups to supply WMD-related materials to DPRK munitions organizations. Additionally, Yu Pu Ung has provided funds to a China-based representative of the UN- and U.S.-designated Second Academy of Natural Sciences (SANS). Yu Pu Ung and Ri Tong Hyok are being designated pursuant to E.O. 13382 for acting or purporting to act for or on behalf of, directly or indirectly, Tanchon Bank. 兪普銀は朝鮮民主主義人民共和国の不正な金融活動の要であり、摘発を避けるために様々なスキームを用いることに長けている。兪普應と李通赫はともに中国に拠点を置く丹青銀行の代表者である。タンチョン銀行は、朝鮮民主主義人民共和国の米国と国連が指定した韓国鉱業開発公社(KOMID)の金融部門であり、KOMIDの弾道ミサイル販売に資金を供給する役割を担っている。KOMIDは朝鮮民主主義人民共和国の主要な武器商人であり、弾道ミサイルと通常兵器に関連する商品と設備の主要輸出業者である。Yu Pu Ungは、朝鮮のITグループからの資金を使用して、朝鮮の軍需組織に大量破壊兵器関連材料を供給している。さらに、Yu Pu Ungは国連と米国が指定した第2自然科学アカデミー(SANS)の中国を拠点とする代表者に資金をプロバイダしている。ユ・プウンとリ・トンヒョクはE.O.13382に従い、直接的または間接的にタンチョン銀行のために、またはその代理として行動する、または行動すると称することで指定されている。
Han Chol Man is a Shenyang, China-based representative of U.S- and UN-designated Kumgang Bank. From 2019 to 2023, Han Chol Man coordinated or facilitated over $1 million in payments between China and DPRK for several DPRK banks. During 2023, Han Chol Man coordinated over $600,000 in payment orders with a bank that is subordinate to the U.S. and UN-designated Munitions Industry Department (MID). Han Chol Man is being designated pursuant to E.O. 13722 for acting or purporting to act for or on behalf of, directly or indirectly, of Kumgang Bank. ハン・チョルマン氏は中国・瀋陽を拠点とする米国および国連指定のクムガン銀行の代表者である。2019年から2023年にかけて、韓哲男は複数の朝鮮民主主義人民共和国の銀行のために、中国と朝鮮民主主義人民共和国間の100万ドル以上の支払いを調整または促進した。2023年中、韓哲男は米国と国連指定の軍需産業部(MID)の下部組織である銀行と60万ドル以上の支払い注文を調整した。ハン・チョルマン氏は、E.O.13722に従い、直接または間接的にクムガン銀行のために、またはその代理として行動した、または行動すると称したことで指定されている。
O In Chun is a Russia-based representative of U.S- and UN-designated Korea Daesong Bank, which is operated by the U.S.-designated Office 39. The DPRK government uses Office 39 to engage in illicit economic activities, manage slush funds, and generate revenue for DPRK leadership. Furthermore, O In Chun worked to unfreeze funds on behalf of a bank that is subordinate to the U.S.-and UN-designated MID. O In Chun is being designated pursuant to E.O. 13551 for acting or purporting to act for or on behalf of, directly or indirectly, Korea Daesong Bank.  オ・インチュンは、米国および国連が指定した韓国大成銀行のロシアを拠点とする代表者であり、同銀行は米国が指定したオフィス39によって運営されている。朝鮮民主主義人民共和国政府は、オフィス39を利用して不正な経済活動を行い、裏金を管理し、朝鮮民主主義人民共和国指導部のために収益をあげている。さらに、オ・インチュンは、米国と国連が指定したMIDの下部組織である銀行に代わって、資金の凍結を解除するために働いていた。オ・インチュンは、E.O.13551に従い、直接的または間接的に韓国大成銀行のために、またはその代理として行動した、または行動すると称したことで指定されている。
Jong Song Ho is a Russia-based representative of U.S-designated Jinmyong Joint Bank. Jong Song Ho has previously engaged in the exportation of DPRK coal. As of 2019, Jong Song Ho was involved in developing coal briquette factories in the DPRK, which facilitates the DPRK leadership’s scheme of exporting coal to earn foreign currency. Jong Song Ho is being designated pursuant to E.O. 13810 for acting or purporting to act for or on behalf of, directly or indirectly, Jinmyong Joint Bank. Jong Song Hoは、米国指定のJinmyong Joint Bankのロシアを拠点とする代表者である。Jong Song Hoは以前、朝鮮民主主義人民共和国の石炭の輸出に従事していた。2019年現在、ジョン・ソンホは朝鮮民主主義人民共和国の練炭工場の開発に関与しており、これは外貨を稼ぐために石炭を輸出するという朝鮮民主主義人民共和国指導部の計画を促進するものである。ジョン・ソンホは、E.O.13810に従い、直接または間接的に、金明共同銀行のために、または金明共同銀行のために行動した、または行動すると称したことで指定されている。
Today the ROK is also designating Yu Pu Ung, Jong Song Ho, Han Chol Man, and O In Chun for evading sanctions and funding the DPRK’s nuclear and missile programs through illegal financing and money laundering activities. 本日、韓国はまた、違法な資金調達とマネーロンダリング活動を通じて制裁を回避し、北朝鮮の核・ミサイル計画に資金を提供したとして、ユ・プウン、ジョン・ソンホ、ハン・チョルマン、オ・インチュンを指定する。
DPRK IT WORKER DELEGATIONS 朝鮮民主主義人民共和国の労働者代表団
The DPRK has dispatched thousands of highly skilled IT workers around the world, earning revenue for the DPRK that contributes to its weapons programs in violation of U.S. and UN sanctions. On May 23, 2023, OFAC designated the Chinyong Information Technology Cooperation Company (Chinyong), an entity associated with the DPRK Ministry of Peoples’ Armed Forces. Chinyong uses a network of companies and representatives under its control to manage delegations of DPRK IT workers operating in Russia and Laos. Today’s designations expand on this action by sanctioning two companies subordinate to Chinyong and one individual that leads an IT delegation. 朝鮮民主主義人民共和国は、米国と国連の制裁に違反し、数千人の高度な技術を持つIT労働者を世界中に派遣し、朝鮮民主主義人民共和国の武器プログラムに寄与する収入を得ている。2023年5月23日、OFACは朝鮮人民軍省の関連事業体であるChinyong Information Technology Cooperation Company(Chinyong)を指定した。Chinyongは、ロシアとラオスで活動する朝鮮民主主義人民共和国のIT労働者の代表団を管理するために、その管理下にある企業と代表者のネットワークを利用している。今日の指定は、チニョンに従属する2つの会社とIT代表団を率いる1人の個人を制裁することで、この行動を拡大するものである。
Limited Liability Company Alis (Alis LLC) is a Vladivostok, Russia-based company subordinate to U.S-designated Chinyong, which has made payments to its parent company. Between 2021 and 2022, Alis LLC made payments to its parent company that totaled more than $2.5 million. Pioneer Bencont Star Real Estate is a UAE-based company subordinate to Chinyong. The team-lead for this company, Jon Yon Gun, was involved in coordinating payments from Pioneer Bencont Star Real Estate to Chinyong. 有限責任会社アリス(Alis LLC)は、米国が指定したチニョンに従属するロシアのウラジオストクを拠点とする会社で、親会社に支払いを行ってきた。2021年から2022年にかけて、アリスLLCは親会社に総額250万ドル以上の支払いを行った。パイオニア・ベンコント・スター・リアルエステートは、チニョンの下部組織でUAEに拠点を置く企業だ。この会社のチームリーダーであるジョン・ヨン・ガンは、パイオニア・ベンコント・スター・リアル・エステートからチニョンへの支払いの調整に関わっていた。
Pioneer Bencont Star Real Estate and Alis LLC are being designated pursuant to E.O. 13687.  for being owned or controlled by, or acting or purporting to act for or on behalf of, directly or indirectly, Chinyong. Pioneer Bencont Star Real EstateとAlis LLCは、E.O. 13687.に従い、直接的または間接的にチニョンが所有または支配している、あるいはチニョンのために行動している、またはチニョンのために行動すると称しているとして指定されている。
Jon Yon Gun is being designated pursuant to E.O. 13687 for having materially assisted, sponsored, or provided financial, material, or technological support for, or goods or services to or in support of, Pioneer Bencont Star Real Estate.  ジョン・ヨン・ガンは、パイオニア・ベンコント・スター・リアル・エステートを実質的に支援し、後援し、あるいは財政的、物質的、技術的支援を提供し、あるいは物品またはサービスを提供したため、E.O. 13687に従い指定される。
Today, the ROK is also designating Alis LLC and Pioneer Bencont Star Real Estate, for engaging in the dispatch and operations of the overseas DPRK IT workers. The ROK designated Jon Yon Gun on May 5, 2023, for his involvement in DPRK IT worker related activities. 本日、韓国はまた、アリス・LLCとパイオニア・ベンコント・スター・リアル・エステートを、朝鮮民主主義人民共和国の海外IT労働者の派遣と運営に関与したとして指定した。韓国は2023年5月5日、朝鮮民主主義人民共和国のIT労働者関連活動に関与したとして、ジョン・ヨングン氏を指定した。
SANCTIONS IMPLICATIONS 制裁への影響
As a result of today’s action, all property and interests in property of the designated persons described above that are in the United States or in the possession or control of U.S. persons are blocked and must be reported to OFAC. In addition, any entities that are owned, directly or indirectly, individually or in the aggregate, 50 percent or more by one or more blocked persons are also blocked. Unless authorized by a general or specific license issued by OFAC, or exempt, OFAC’s regulations generally prohibit all transactions by U.S. persons or within (or transiting) the United States that involve any property or interests in property of designated or otherwise blocked persons.  本日の措置の結果、米国内にある、または米国人の所有もしくは管理下にある、上記の指定された人物のすべての財産および財産の権利は封鎖され、OFACに報告されなければならない。さらに、直接的または間接的に、個人または総計で50%以上を1人以上の阻止対象者が所有している事業体も阻止される。OFACが発行した一般又は特定のライセンスにより認可されるか、又は免除されない限り、OFACの規制は、一般的に、指定された者又はその他の方法でブロックされた者の財産又は財産に対する権益に関わる、米国人による又は米国内(又は米国を通過する)における全ての取引を禁止している。
In addition, financial institutions and other persons that engage in certain transactions or activities with the sanctioned entities and individuals may expose themselves to sanctions or be subject to an enforcement action. The prohibitions include the making of any contribution or provision of funds, goods, or services by, to, or for the benefit of any designated person, or the receipt of any contribution or provision of funds, goods, or services from any such person.  さらに、制裁対象事業体や個人と特定の取引や活動を行う金融機関やその他の者は、制裁にさらされたり、強制措置の対象となる可能性がある。禁止事項には、指定された人物による、指定された人物への、または指定された人物の利益のための、資金、物品、またはサービスの寄付や提供、あるいはそのような人物からの資金、物品、またはサービスの寄付や提供の受領が含まれる。
The power and integrity of OFAC sanctions derive not only from OFAC’s ability to designate and add persons to the SDN List, but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish, but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 here. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here. OFACの制裁の威力と完全性は、OFACがSDNリストに人物を指定し追加する能力からだけでなく、法律に従ってSDNリストから人物を削除する意思からも導き出される。制裁の最終的な目標は、罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求めるプロセスに関する情報については、OFACのよくある質問897を参照のこと。OFAC制裁リストからの削除要請の提出プロセスに関する詳細情報については、こちらを参照のこと。
Click here for more information on the individuals and entities designated today. 本日指定された個人および事業体に関する詳細はこちらを参照のこと。
### ###

 

追加された方...

・2024.03.27 Non-Proliferation Designations; North Korea Designations and Designation Removal

 

国務省のウェブページにも記載されています...

U.S. Department of State

・2024.03.27 Designating Sources of Illicit DPRK Revenue

Designating Sources of Illicit DPRK Revenue 朝鮮民主主義人民共和国の不正な収入源を指定する
The United States is today designating eight individuals and entities instrumental in the transfer of funds that boost Pyongyang’s ability to develop its unlawful weapons of mass destruction (WMD) program. These designations target networks that have assisted in the transfer of WMD components, engaged in illicit exports that have enriched the Kim regime, and served as linchpins in the financial networks that funnel illicit funds to the Democratic People’s Republic of Korea (DPRK). 米国は本日、北朝鮮の非合法な大量破壊兵器(WMD)開発能力を高める資金の移転に貢献している8つの個人と事業体を指定する。これらの指定は、大量破壊兵器(WMD)部品の移送を支援し、金政権を豊かにする不正輸出に関与し、朝鮮民主主義人民共和国(DPRK)に不正資金を流す金融ネットワークの要となっているネットワークを対象とする。
We are taking this action in coordination with the Republic of Korea, underscoring our collective resolve to counter the DPRK’s sanction evasion activities. We will continue to consider all tools available to degrade the DPRK’s ability to finance its unlawful and destabilizing activities. Today’s designations coincide with the sixth U.S.-ROK Working Group on DPRK Cyber Threats and highlight our two countries’ extensive cooperation aiming to disrupt the DPRK’s ability to generate revenue for its unlawful WMD and ballistic missile programs through cyber-enabled activities. 我々は、朝鮮民主主義人民共和国(DPRK)の制裁逃れに対抗する我々の決意を明確にするため、朝鮮民主主義人民共和国と協調してこの措置をとる。我々は、朝鮮民主主義人民共和国の非合法的で不安定な活動に対する資金調達能力を低下させるため、利用可能なあらゆる手段を引き続き検討していく。本日の指定は、北朝鮮のサイバー脅威に関する第6回米韓作業部会の開催と同時に行われたものであり、北朝鮮が非合法な大量破壊兵器および弾道ミサイル計画のための資金を調達する能力を、サイバー技術を駆使した活動を通じて破壊することを目的とした、米韓両国の広範な協力関係を強調するものである。
The Department of the Treasury action was taken pursuant to Executive Order (E.O.) 13382, E.O. 13722, E.O. 13551, E.O. 13810, and E.O. 13687. For more information on this designation, see Treasury’s press release. 財務省の措置は、大統領令(E.O.)13382、E.O.13722、E.O.13551、E.O.13810、E.O.13687に基づき実施された。この指定の詳細については、財務省のプレスリリースを参照のこと。

 

 

1_20240328095701

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.28 外務省 警察庁 財務省 経済産業省 北朝鮮IT労働者に関する企業等に対する注意喚起



| | Comments (0)

外務省 警察庁 財務省 経済産業省 北朝鮮IT労働者に関する企業等に対する注意喚起

こんにちは、丸山満彦です。

外務省、警察庁、財務省、経済産業省が「北朝鮮IT労働者に関する企業等に対する注意喚起」を出していますが、これは米国の発表に呼応したものなのでしょうかね...

 

外務省

・2024.03.26 「北朝鮮IT労働者に関する企業等に対する注意喚起」の公表

警察庁

・2024.03.26 北朝鮮IT労働者に関する企業等に対する注意喚起について

財務省

・2024.03.26 「北朝鮮IT労働者に関する企業等に対する注意喚起」の公表

経済産業省

・2024.03.26 「北朝鮮IT労働者に関する企業等に対する注意喚起」の公表

 

内容はすべて同じなので...

・[PDF]  (downloaded)

20240328-85229

 

手口...


【北朝鮮IT労働者の手口】

○ 北朝鮮IT労働者の多くは、国籍や身分を偽るなどしてプラットフォームへのアカウント登録等を行っています。その際の代表的な手口として、身分証明書の偽造が挙げられます。また、日本における血縁者、知人等を代理人としてアカウント登録を行わせ、実際の業務は北朝鮮IT労働者が行っている場合もあります。この場合、当該代理人が報酬の一部を受け取り、残りの金額を外国に送金している可能性があるほか、当該送金には、資金移動業者が用いられることがあります。

○ 北朝鮮IT労働者は、IT関連サービスの提供に関して高い技能を有する場合が多く、プラットフォーム等において、ウェブページ、アプリケーション、ソフトウェアの制作等の業務を幅広く募集しています。

○ 北朝鮮IT労働者の多くは、中国、ロシア、東南アジア等に在住していますが、VPNやリモートデスクトップ等を用いて、外国から作業を行っていることを秘匿している場合があります。

○ そのほか、北朝鮮IT労働者のアカウント等には、次のような特徴がみられることが指摘されています。業務上関係するアカウントや受注者にこれらの特徴が当てはまる場合には、北朝鮮IT労働者が業務を請け負っている可能性がありますので、十分に注意してください。

(主にプラットフォームを運営する企業向け)

□ アカウント名義、連絡先等の登録情報又は登録している報酬受取口座を頻繁に変更する。

□ アカウント名義と登録している報酬受取口座の名義が一致していない。

□ 同一の身分証明書を用いて複数のアカウントを作成している。

□ 同一のIPアドレスから複数のアカウントにアクセスしている。

□ 1つのアカウントに対して短時間に複数のIPアドレスからのアクセスがある。

□ アカウントに長時間ログインしている。

□ 累計作業時間等が不自然に長時間に及んでいる。

□ 口コミ評価を行っているアカウントと評価されているアカウントの身分証明書等が同一である[1]

 

(主に業務を発注する方向け)

□ 不自然な日本語を用いるなど日本語が堪能ではない[2]。また、そのためテレビ会議形式の打合せに応じない。

□ プラットフォームを通さず業務を受発注することを提案する[3]

□ 一般的な相場より安価な報酬で業務を募集している。

□ 複数人でアカウントを運用している兆候がみられる[4]

□ 暗号資産での支払いを提案する。

 

[1] 口コミによる評価を向上させるため、関係者間で架空の評価を行っている場合が想定されます。

[2] 機械翻訳を用いている場合が想定されます。

[3] 手数料負担の軽減、契約関係の継続等を目的としていることが想定されます。

[4] 北朝鮮IT労働者は、チームで活動しているとの指摘があり、応対相手が時間帯によって変更されることなどが想定されます。


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.28 米国 財務省 北朝鮮の大量破壊兵器プログラムに資金を提供する行為者(IT 労働者代表団を含む)を制裁

 



 

| | Comments (0)

米国 司法省 中国政府関連の7人のハッカーを中国および米国の企業や政治家に対する批判者を標的としたコンピュータ侵入で起訴

こんにちは、丸山満彦です。

英国でも、2名の中国人と1つの中国企業をサイバー上のスパイ行為等を理由に資産凍結等していますが、米国も同じ2名を含む7名について、コンピュータ侵入で起訴していますね...

でも、一方、米財界・戦略学術界の代表が北京を訪問し、習近平主席と会談していますよね...

 

U.S. Department of Justice - Office of Public Affairs

・2024.03.25 Seven Hackers Associated with Chinese Government Charged with Computer Intrusions Targeting Perceived Critics of China and U.S. Businesses and Politicians

 

Seven Hackers Associated with Chinese Government Charged with Computer Intrusions Targeting Perceived Critics of China and U.S. Businesses and Politicians 中国政府関連の7人のハッカーを中国および米国の企業や政治家に対する批判者を標的としたコンピュータ侵入で起訴
Defendants Operated as Part of the APT31 Hacking Group in Support of China’s Ministry of State Security’s Transnational Repression, Economic Espionage and Foreign Intelligence Objectives 被告らはAPT31ハッキング・グループの一員として、中国国家安全部の多国間弾圧、経済スパイ、対外諜報の目的を支援するために活動していた。
View the indictment here. 起訴状
An indictment was unsealed today charging seven nationals of the People’s Republic of China (PRC) with conspiracy to commit computer intrusions and conspiracy to commit wire fraud for their involvement in a PRC-based hacking group that spent approximately 14 years targeting U.S. and foreign critics, businesses, and political officials in furtherance of the PRC’s economic espionage and foreign intelligence objectives. 中華人民共和国(PRC)を拠点とするハッキング・グループが、PRCの経済スパイおよび対外諜報目的を推進するため、米国および外国の批評家、企業、政治関係者を標的に約14年間にわたり活動していたことに関与したとして、中華人民共和国(PRC)国籍の7人をコンピュータ侵入の共謀および電信詐欺の共謀の罪で起訴する起訴状が本日公布された。
The defendants are Ni Gaobin (倪高彬), 38; Weng Ming (翁明), 37; Cheng Feng (程锋), 34; Peng Yaowen (彭耀文), 38; Sun Xiaohui (孙小辉), 38; Xiong Wang (熊旺), 35; and Zhao Guangzong (赵光宗), 38. All are believed to reside in the PRC. 被告はニー・ガオビン(倪高彬)(38)、ウェン・ミン(翁明)(37)、チェン・フェン(程锋)(34)、ペン・ヤオウェン(彭耀文)(38)、スン・シャオホイ(孙辉)(38)、シオン・ワン(熊旺)(35)、趙光宗(赵光)(38)である。全員が中国に居住していると見られている。
“The Justice Department will not tolerate efforts by the Chinese government to intimidate Americans who serve the public, silence the dissidents who are protected by American laws, or steal from American businesses,” said Attorney General Merrick B. Garland. “This case serves as a reminder of the ends to which the Chinese government is willing to go to target and intimidate its critics, including launching malicious cyber operations aimed at threatening the national security of the United States and our allies.” メリック・B・ガーランド司法長官は、次のように述べた。「司法省は、国民に奉仕する米国人を威嚇し、米国の法律で保護されている反体制派を黙らせ、米国企業から窃盗しようとする中国政府の努力を容認しない。この事件は、米国と同盟国の国家安全保障を脅かすことを目的とした悪質なサイバー作戦を開始するなど、中国政府が批判者を標的にし、威嚇するためにどのような手段も厭わないことを思い起こさせるものである。
“Over 10,000 malicious emails, impacting thousands of victims, across multiple continents. As alleged in today’s indictment, this prolific global hacking operation – backed by the PRC government – targeted journalists, political officials, and companies to repress critics of the Chinese regime, compromise government institutions, and steal trade secrets,” said Deputy Attorney General Lisa Monaco. “The Department of Justice will relentlessly pursue, expose, and hold accountable cyber criminals who would undermine democracies and threaten our national security.”  リサ・モナコ副司法長官は次のように述べた。「1万通を超える悪意あるメールが、複数の大陸にまたがる数千人の被害者に影響を与えた。今日の起訴状で主張されているように、中国政府の支援を受けたこの大規模な世界的ハッキング作戦は、中国政権に対する批判者を弾圧し、政府機構を危険にさらし、企業秘密を盗むために、ジャーナリスト、政治家、企業を標的にした。司法省は、民主主義を弱体化させ、われわれの国家安全保障を脅かすサイバー犯罪者を執拗に追及し、摘発し、責任を追及する。」
"Today's announcement exposes China's continuous and brash efforts to undermine our nation's cybersecurity and target Americans and our innovation,” said FBI Director Christopher Wray. "As long as China continues to target the US and our partners, the FBI will continue to send a clear message that cyber espionage will not be tolerated, and we will tirelessly pursue those who threaten our nation’s security and prosperity. This indictment underscores our unwavering commitment to disrupt and deter malicious cyber activity, and safeguard our citizens, businesses, and critical infrastructure from threats in cyberspace." FBI長官のクリストファー・レイは次のように述べた。「本日の発表は、わが国のサイバーセキュリティを弱体化させ、米国人とわが国の技術革新を標的にする中国の継続的かつ大胆な取り組みを暴露するものだ。中国が米国とわれわれのパートナーを標的にし続ける限り、FBIはサイバー・スパイ活動は許されないという明確なメッセージを送り続け、わが国の安全と繁栄を脅かす者たちを不断に追及していく。今回の起訴は、悪質なサイバー活動を混乱させ、抑止し、サイバー空間の脅威から市民、企業、重要インフラを守るための我々の揺るぎないコミットメントを強調するものである。」
“The indictment unsealed today, together with statements from our foreign partners regarding related activity, shed further light on the PRC Ministry of State Security’s aggressive cyber espionage and transnational repression activities worldwide,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “Today’s announcements underscore the need to remain vigilant to cybersecurity threats and the potential for cyber-enabled foreign malign influence efforts, especially as we approach the 2024 election cycle. The Department of Justice will continue to leverage all tools to disrupt malicious cyber actors who threaten our national security and aim to repress fundamental freedoms worldwide.” 司法省国家安全保障局のマシュー・G・オルセン司法次官補は次のように述べた。「本日公開された起訴状は、関連する活動に関する海外パートナーからの声明とともに、中国国家安全保障省が世界中で行っている積極的なサイバースパイ活動や国境を越えた弾圧活動をさらに浮き彫りにするものである。「本日の発表は、サイバーセキュリティの脅威と、特に2024年の選挙サイクルに近づくにつれ、サイバーが可能にする外国の悪意ある影響活動への潜在的な警戒を怠らない必要性を強調するものである。司法省は、我々の国家安全保障を脅かし、世界中で基本的自由を抑圧しようとする悪意あるサイバー行為者を崩壊させるために、あらゆる手段を活用していく。」
“These allegations pull back the curtain on China’s vast illegal hacking operation that targeted sensitive data from U.S. elected and government officials, journalists, and academics; valuable information from American companies; and political dissidents in America and abroad. Their sinister scheme victimized thousands of people and entities across the world, and lasted for well over a decade,” said U.S. Attorney Breon Peace for the Eastern District of New York. “America’s sovereignty extends to its cyberspace. Today’s charges demonstrate my office’s commitment to upholding and protecting that jurisdiction, and to putting an end to malicious nation state cyber activity.” ニューヨーク州東部地区担当ブレオン・ピース連邦検事は次のように述べた。「これらの疑惑は、米国選出の政府高官、ジャーナリスト、学者の機密データ、米国企業の貴重な情報、米国内外の政治的反体制派を標的にした中国の膨大な違法ハッキング作戦の幕を引くものである。彼らの邪悪な計画は、世界中の何千もの人々や事業体を犠牲にし、10年以上も続いた。アメリカの主権はサイバー空間にも及ぶ。本日の起訴は、その司法権を維持・保護し、悪意ある国家によるサイバー活動に終止符を打つという、私の事務所の決意を示すものだ。」
“The recent indictments against the Chinese actors reaffirm the FBI’s relentless dedication to combating cyber threats,” said Assistant Director Bryan Vorndran of the FBI Cyber Division. “They serve as a reminder that cyber adversaries who seek to compromise our nation’s systems and target US officials cannot rely on the cloak of anonymity and will face consequences for their actions.” BIサイバー部門のブライアン・ボルドラン副部長は次のように述べた。「中国脅威行為者に対する最近の起訴は、サイバー脅威との闘いに対するFBIの絶え間ない献身を再確認するものである。わが国のシステムを侵害し、米国政府関係者を標的にしようとするサイバー敵対者は、匿名という隠れ蓑に頼ることはできず、その行動には結果が伴うことを思い知らされることになる。」
“APT31 Group’s practices further demonstrate the size and scope of the PRC’s state-sponsored hacking apparatus,” said Special Agent in Charge Robert W. “Wes” Wheeler Jr. of the FBI Chicago Field Office. “FBI Chicago worked tirelessly to uncover this complex web of alleged foreign intelligence and economic espionage crimes. Thanks to these efforts, as well as our partnerships with the U.S. Attorneys’ Offices and fellow Field Offices, the FBI continues to be successful in holding groups accountable and protecting national security.” FBIシカゴ支局のロバート・W・"ウェス"・ウィーラー・ジュニア特別捜査官は次のように述べた。「APT31グループのやり方は、PRCの国営ハッキング組織の規模と範囲をさらに示している。は、「FBIシカゴ支局は、この複雑な対外諜報・経済スパイ犯罪の疑いの網を摘発するために、たゆまぬ努力をした。このような努力に加え、連邦検事局や他の支局との協力関係のおかげで、FBIはグループの責任を追及し、国家安全保障を守ることに成功し続けている。
Overview 概要
As alleged in the indictment and court filings, the defendants, along with dozens of identified PRC Ministry of State Security (MSS) intelligence officers, contractor hackers, and support personnel, were members of a hacking group operating in the PRC and known within the cybersecurity community as Advanced Persistent Threat 31 (the APT31 Group). The APT31 Group was part of a cyberespionage program run by the MSS’s Hubei State Security Department, located in the city of Wuhan. Through their involvement with the APT31 Group, since at least 2010, the defendants conducted global campaigns of computer hacking targeting political dissidents and perceived supporters located inside and outside of China, government and political officials, candidates, and campaign personnel in the United States and elsewhere and American companies. 起訴状および裁判所提出書類で主張されているように、被告らは、識別された数十人の中国国家安全部(MSS)情報担当官、請負業者ハッカー、およびサポート要員とともに、中国で活動し、サイバーセキュリティ・コミュニティ内ではAdvanced Persistent Threat 31(APT31グループ)として知られるハッキング・グループのメンバーであった。APT31グループは、武漢市にあるMSSの湖北省国家安全局が運営するサイバースパイプログラムの一部であった。被告らは少なくとも2010年以降、APT31グループとの関わりを通じて、中国内外の政治反体制派やその支持者、米国などの政府・政治当局者、候補者、選挙運動関係者、米国企業などを標的とした世界的なコンピューター・ハッキング・キャンペーンを行った。
The defendants and others in the APT31 Group targeted thousands of U.S. and foreign individuals and companies. Some of this activity resulted in successful compromises of the targets’ networks, email accounts, cloud storage accounts, and telephone call records, with some surveillance of compromised email accounts lasting many years. 被告らとAPT31グループの関係者は、米国内外の数千の個人や企業を標的にした。この活動の一部は、ターゲットのネットワーク、電子メールアカウント、クラウドストレージアカウント、電話通話記録の侵害に成功し、侵害された電子メールアカウントの監視は何年も続いたものもあった。
Hacking Scheme ハッキングスキーム
The more than 10,000 malicious emails that the defendants and others in the APT31 Group sent to these targets often appeared to be from prominent news outlets or journalists and appeared to contain legitimate news articles. The malicious emails contained hidden tracking links, such that if the recipient simply opened the email, information about the recipient, including the recipient’s location, internet protocol (IP) addresses, network schematics, and specific devices used to access the pertinent email accounts, was transmitted to a server controlled by the defendants and those working with them. The defendants and others in the APT31 Group then used this information to enable more direct and sophisticated targeted hacking, such as compromising the recipients’ home routers and other electronic devices. 被告らAPT31グループがこれらのターゲットに送信した1万通以上の悪質メールは、著名な報道機関やジャーナリストからのものと思われ、合法的なニュース記事が含まれているように見えることが多かった。悪意のある電子メールには追跡リンクが隠されており、取得者が電子メールを開いただけで、取得者の所在地、インターネット・プロトコル(IP)アドレス、ネットワーク概略図、該当する電子メール・アカウントにアクセスするために使用された特定のデバイスなど、取得者に関する情報が、被告らや被告らと共謀する者が管理するサーバーに送信されるようになっていた。そして、被告らAPT31グループの関係者は、この情報を利用して、取得者の家庭用ルーターやその他の電子機器を侵害するなど、より直接的で高度な標的型ハッキングを可能にした。
The defendants and others in the APT31 Group also sent malicious tracking-link emails to government officials across the world who expressed criticism of the PRC government. For example, in or about 2021, the conspirators targeted the email accounts of various foreign government individuals who were part of the Inter-Parliamentary Alliance on China (IPAC), a group founded in 2020 on the anniversary of the 1989 Tiananmen Square protests whose stated purpose was to counter the threats posed by the Chinese Communist Party to the international order and democratic principles. The targets included every European Union member of IPAC, and 43 United Kingdom parliamentary accounts, most of whom were members of IPAC or had been outspoken on topics relating to the PRC government. また、APT31グループの被告らは、中国政府への批判を表明した世界中の政府高官に悪質な追跡リンクメールを送信した。例えば、2021年頃、共謀者らは、国際秩序と民主主義の原則に対する中国共産党の脅威に対抗することを目的とし、1989年の天安門事件記念日に2020年に設立された「中国に関する列国議会同盟(Inter-Parliamentary Alliance on China:IPAC)」の一員である様々な外国政府関係者の電子メールアカウントを標的とした。ターゲットとなったのは、IPACに加盟している欧州連合(EU)の全メンバーと、43人の英国議会議員で、そのほとんどがIPACのメンバーであるか、中国政府に関する話題で発言していた。
To gain and maintain access to the victim computer networks, the defendants and others in the APT31 Group employed sophisticated hacking techniques including zero-day exploits, which are exploits that the hackers became aware of before the manufacturer, or the victim were able to patch or fix the vulnerability. These activities resulted in the confirmed and potential compromise of economic plans, intellectual property, and trade secrets belonging to American businesses, and contributed to the estimated billions of dollars lost every year as a result of the PRC’s state-sponsored apparatus to transfer U.S. technology to the PRC. 被害者のコンピュータ・ネットワークへのアクセスを獲得し、維持するために、被告らAPT31グループの他のメンバーは、製造事業者や被害者が脆弱性にパッチを当てたり修正したりする前にハッカーが知ることになった脆弱性であるゼロデイ・エクスプロイトを含む高度なハッキング技術を採用した。これらの活動により、米国企業の経済計画、知的財産、企業秘密が確認され、侵害される可能性があった。また、米国の技術を中国に移転するための中国国家主導の装置により、毎年数十億ドルが失われていると推定される。
Targeting of U.S. Government Officials and U.S. and Foreign Politicians and Campaigns 米国政府高官、米国および外国の政治家、キャンペーンへの標的設定
The targeted U.S. government officials included individuals working in the White House, at the Departments of Justice, Commerce, Treasury, and State, and U.S. Senators and Representatives of both political parties. The defendants and others in the APT31 Group targeted these individuals at both professional and personal email addresses. Additionally in some cases, the defendants also targeted victims’ spouses, including the spouses of a high-ranking Department of Justice official, high-ranking White House officials, and multiple U.S. Senators. Targets also included election campaign staff from both major U.S. political parties in advance of the 2020 election. 標的とされた米国政府高官には、ホワイトハウス、司法省、商務省、財務省、国務省に勤務する個人、両政党の米国上院議員や代表者が含まれていた。被告らAPT31グループの関係者は、仕事上および個人的な電子メールアドレスでこれらの個人を標的としていた。さらに、司法省の高官、ホワイトハウスの高官、複数の米国上院議員の配偶者など、被害者の配偶者をターゲットにしたケースもあった。また、2020年の選挙を前に、米国の主要政党の選挙キャンペーンスタッフもターゲットにされた。
The allegations in the indictment regarding the malicious cyber activity targeting political officials, candidates, and campaign personnel are consistent with the March 2021 Joint Report of the Department of Justice and the Department of Homeland Security on Foreign Interference Targeting Election Infrastructure or Political Organization, Campaign, or Candidate Infrastructure Related to the 2020 US Federal Elections. That report cited incidents when Chinese government-affiliated actors “materially impacted the security of networks associated with or pertaining to U.S. political organizations, candidates, and campaigns during the 2020 federal elections.” That report also concluded that “such actors gathered at least some information they could have released in influence operations,” but which the Chinese actors did not ultimately deploy in such a manner. Consistent with that conclusion, the indictment does not allege that the hacking furthered any Chinese government influence operations against the United States. The indictment’s allegations nonetheless serve to underscore the need for U.S. (and allied) political organizations, candidates, and campaigns to remain vigilant in their cybersecurity posture and in otherwise protecting their sensitive information from foreign intelligence services, particularly in light of the U.S. Intelligence Community’s recent assessment that “[t]he PRC may attempt to influence the U.S. elections in 2024 at some level because of its desire to sideline critics of China and magnify U.S. societal divisions.” 政治関係者、候補者、キャンペーン関係者を標的とした悪質なサイバー活動に関する起訴状の申し立ては、2020年米国連邦選挙に関連する選挙インフラまたは政治組織、選挙運動、候補者インフラを標的とした外国干渉に関する司法省と国土安全保障省の2021年3月の共同報告書と一致している。その報告書では、中国政府系のアクターが「2020年の連邦選挙期間中、米国の政治団体、候補者、キャンペーンに関連する、または関連するネットワークのセキュリティに重大な影響を与えた」インシデントが挙げられている。その報告書はまた、「そのような行為者は、影響力作戦で公開することができた少なくともいくつかの情報を集めた」が、中国の行為者は最終的にそのような方法で展開しなかったと結論づけた。この結論に沿うように、起訴状は、ハッキングが米国に対する中国政府の影響力活動を助長したとは主張していない。それにもかかわらず、起訴状の主張は、米国(および同盟国)の政治団体、候補者、キャンペーンがサイバーセキュリティの態勢を維持し、外国の諜報機関から機密情報を保護する必要性を強調するものである。特に、米国インテリジェンス・コミュニティが最近発表した「中国は、中国に対する批判者を傍観させ、米国社会の分裂を拡大させたいという願望から、2024年の米国の選挙に何らかのレベルで影響を及ぼそうとする可能性がある」という評価に照らしている。
Targeting of U.S. Companies 米国企業の標的
The defendants and others in the APT31 Group also targeted individuals and dozens of companies operating in areas of national economic importance, including the defense, information technology, telecommunications, manufacturing and trade, finance, consulting, legal, and research industries. The defendants and others in the APT31 Group hacked and attempted to hack dozens of companies or entities operating in these industries, including multiple cleared defense contractors who provide products and services to the U.S. military, multiple managed service providers who managed the computer networks and security for other companies, a leading provider of 5G network equipment, and a leading global provider of wireless technology, among many others. APT31グループの被告らは、防衛、情報技術、電気通信、製造・貿易、金融、コンサルティング、法律、研究産業など、国家経済上重要な分野で事業を展開する個人や数十の企業も標的としていた。APT31グループの被告らは、米軍に製品やサービスを提供する複数のクリアランスされた防衛請負業者、他社のコンピュータ・ネットワークやセキュリティをマネージド・サービス・プロバイダー、5Gネットワーク機器の大手プロバイダー、ワイヤレス技術の世界的な大手プロバイダーなど、これらの業界で事業を営む数十の企業や事業体をハッキングし、ハッキングを試みた。
Targeting for Transnational Repression of Dissidents 国境を越えた反体制派弾圧の標的
The defendants and the APT31 Group also targeted individual dissidents around the world and other individuals who were perceived as supporting such dissidents. For example, in 2018, after several activists who spearheaded Hong Kong’s Umbrella Movement were nominated for the Nobel Peace Prize, the defendants and the APT31 Group targeted Norwegian government officials and a Norwegian managed service provider. The conspirators also successfully compromised Hong Kong pro-democracy activists and their associates located in Hong Kong, the United States, and other foreign locations with identical malware. 被告らとAPT31グループは、世界中の反体制派個人や、そうした反体制派を支援していると思われる個人も標的にしていた。例えば、2018年、香港の「雨傘運動」の先頭に立った複数の活動家がノーベル平和賞にノミネートされた後、被告とAPT31グループはノルウェー政府高官とノルウェーのマネージドサービス・プロバイダーを標的にした。共謀者らはまた、香港、米国、その他の外国にいる香港の民主化運動活動家とその関係者を、同一のマルウェアで危険にさらすことに成功した。
The charged defendants’ roles in the conspiracy consisted of testing and exploiting the malware used to conduct these intrusions, managing infrastructure associated with these intrusions, and conducting surveillance and intrusions against specific U.S. entities. For example: 起訴された被告らの共謀における役割は、これらの侵入に使用されたマルウェアのテストと悪用、これらの侵入に関連するインフラの管理、特定の米国事業体に対する監視と侵入の実施であった。例えば
・Cheng Feng, Sun Xiaohui, Weng Ming, Xiong Wang, and Zhao Guangzong were involved in testing and exploiting malware, including malware used in some of these intrusions. ・程锋、孙小辉、熊旺、翁明、王雄は、これらの侵入の一部で使用されたマルウェアを含むマルウェアのテストと悪用に関与した。
・Cheng and Ni Gaobin managed infrastructure associated with some of these intrusions, including the domain name for a command-and-control server that accessed at least 59 unique victim computers, including a telecommunications company that was a leading provider of 5G network equipment in the United States, an Alabama-based research corporation in the aerospace and defense industries, and a Maryland-based professional support services company. ・程锋と倪高彬は、米国の5Gネットワーク機器の大手プロバイダである電気通信会社、アラバマ州に拠点を置く航空宇宙・防衛産業の研究会社、メリーランド州に拠点を置く専門サポートサービス会社など、少なくとも59台の被害者コンピュータにアクセスするコマンド・アンド・コントロール・サーバーのドメイン名など、これらの侵入の一部に関連するインフラをマネージド・管理していた。
・Sun and Weng operated the infrastructure used in an intrusion into a U.S. company known for its public opinion polls. Sun and Peng Yaowen conducted research and reconnaissance on several additional U.S. entities that were later the victims of the APT31 Group’s intrusion campaigns. ・孙小辉と熊旺は、世論調査で知られる米国企業への侵入に使用されたインフラを運営していた。孫と彭耀文は、後にAPT31グループの侵入キャンペーンの犠牲となった米国の複数の事業体について、調査と偵察を行った。
・Ni and Zhao sent emails with links to files containing malware to PRC dissidents, specifically Hong Kong legislators and democracy advocates, as well as targeting U.S. entities focusing on PRC-related issues. ・倪高彬と赵光宗は、中国の反体制派、特に香港の議員や民主化擁護者にマルウェアを含むファイルへのリンクを含む電子メールを送信し、また中国関連の問題に焦点を当てた米国の事業体をターゲットにした。
Assistant U.S. Attorneys Douglas M. Pravda, Saritha Komatireddy, and Jessica Weigel for the Eastern District of New York are prosecuting the case, with valuable assistance from Matthew Anzaldi and Matthew Chang of the National Security Division’s National Security Cyber Section. ニューヨーク東部地区担当のダグラス・M・プラウダ、サリタ・コマティレディ、ジェシカ・ウェイゲル各米国弁護士補が、国家安全保障部国家安全保障サイバー課のマシュー・アンザルディとマシュー・チャンの貴重な協力を得て、この事件を起訴している。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 起訴は単なる申し立てにすぎない。すべての被告は、法廷で合理的な疑いを超えて有罪が証明されるまで、無罪と推定される。

 

1_20240328061101

 

 起訴状...

・[PDF

20240328-62946

 

 


 

 

中国

・2024.03.27 习近平会见美国工商界和战略学术界代表

习近平会见美国工商界和战略学术界代表 習近平主席、米財界・戦略学術界代表と会談
2024年3月27日,国家主席习近平在北京人民大会堂集体会见美国工商界和战略学术界代表。 2024年3月27日、習近平国家主席は北京の人民大会堂で、米国の経済界および戦略的学術界の代表と一斉に会見した。
习近平对美国工商界和战略学术界人士在春暖花开之际访华表示欢迎。习近平指出,中美关系是世界上最重要的双边关系之一。中美两国是合作还是对抗,事关两国人民福祉和人类前途命运。中美各自的成功是彼此的机遇。只要双方都把对方视为伙伴,相互尊重、和平共处、合作共赢,中美关系就会好起来。今年是中美建交45周年。中美关系史是一部两国人民友好交往的历史,过去靠人民书写,未来更要靠人民创造。中国有句话,从善如登,从恶如崩。希望两国各界人士多来往、多交流,不断积累共识,增进信任,排除各种干扰,深化互利合作,为两国人民带来更多实实在在的福祉,为世界注入更多稳定性。 習近平国家主席は、米国の経済界と戦略的学術界のメンバーが春先に中国を訪問することを歓迎した。 習主席は、中米関係は世界で最も重要な二国間関係の一つであると指摘した。 中国と米国が協力するか対立するかは、両国民の幸福と人類の将来の運命に関わる。 中国と米国のそれぞれの成功は、互いにとってのチャンスである。 双方が互いをパートナーとみなし、尊重し合い、平和的に共存し、ウィンウィンの結果を目指して協力する限り、中米関係はうまくいくだろう。 今年は中米国交樹立45周年にあたる。 中米関係の歴史は両国民の友好交流の歴史であり、過去は人民によって書かれ、未来は人民によって創られる。 中国のことわざに、「善から善へは搭乗するようなものであり、悪から悪へは崩れるようなものである」というものがある。 私は、両国の各界の人々がより多くの接触と交流を行い、コンセンサスを蓄積し続け、信頼を高め、あらゆる干渉を排除し、互恵協力を深め、両国の国民により多くの具体的な利益をもたらし、世界にさらなる安定を注入することを望む。
习近平认真听取了美方代表发言,并对他们关心的问题一一作出回应。 習近平は米国代表の話を注意深く聞き、彼らの懸念にひとつひとつ答えた。
习近平指出,中国经济是健康、可持续的。去年中国经济增速在世界主要经济体中名列前茅,对世界经济增长贡献率继续超过30%,这是中国人民干出来的,也离不开国际合作。中国的发展历经各种困难挑战才走到今天,过去没有因为“中国崩溃论”而崩溃,现在也不会因为“中国见顶论”而见顶。我们将持续推动高质量发展,持续推进中国式现代化,既让中国人民不断过上更好生活,也为世界可持续发展作出更大贡献。中国发展前景是光明的,我们有这个底气和信心。 習近平は、中国経済は健全で持続可能だと指摘した。 昨年、中国の経済成長率は世界の主要国の中で最も高く、世界経済成長への貢献は引き続き30%を超えており、これは中国国民の力によるものであり、国際協力と切り離すことはできない。 中国の発展は、さまざまな困難や試練を乗り越えて今日に至っており、過去に「中国崩壊論」によって崩壊したことはなく、現在も「中国ピーク論」によってピークに達することはない。 我々は引き続き質の高い発展と中国式の近代化を推進し、中国の人々がより良い生活を送り続け、世界の持続可能な発展により大きく貢献できるようにしていく。 中国の発展の未来は明るく、我々には勇気と自信がある。
习近平指出,我多次讲过,改革开放是当代中国大踏步赶上时代的重要法宝。中国的改革不会停顿,开放不会止步。我们正在谋划和实施一系列全面深化改革重大举措,持续建设市场化、法治化、国际化一流营商环境,为包括美国企业在内的各国企业提供更广阔发展空间。面对中美经贸关系近年来出现的新情况新变化,双方要坚持相互尊重、互惠互利、平等协商,按经济规律和市场规则办事,扩大和深化经贸互利合作,尊重彼此的发展权利,追求中美共赢和世界共赢。欢迎美国企业更多参与共建“一带一路”,参加中国国际进口博览会等大型经贸活动,继续投资中国、深耕中国、赢在中国。 習近平は、何度も申し上げているように、改革開放は現代中国が大きく時代に追いつくための重要な魔法の武器だと指摘した。 中国の改革は止まらないし、開放も止まらない。 われわれは、改革を包括的に深化させ、市場志向、法治志向、国際化された一流のビジネス環境を構築し続け、米国を含むあらゆる国の企業の発展により広い空間を提供するために、一連の大きなイニシアティブを計画・実行している。 近年の中米経済貿易関係の新たな情勢と変化に直面し、双方は相互尊重、相互利益、対等な協議を堅持し、経済の法律と市場のルールに従って行動し、貿易と経済における互恵協力を拡大・深化させ、互いの発展権を尊重し、中米と世界にとってウィンウィンの状況を追求すべきである。 米国企業は「一帯一路」建設にさらに参加し、中国国際輸入博覧会などの大規模な経済・貿易イベントに出席し、中国に投資し、中国に投資し、中国で勝ち続けることを歓迎する。
习近平强调,这几年,中美关系经历了不少波折,也遭遇过严峻挑战,其中的教训值得吸取。中美关系回不到过去,但能够有一个更好的未来。去年我同拜登总统在旧金山会晤,最大的共识就是中美关系应该稳下来、好起来。过去几个月,双方团队围绕我和拜登总统达成的共识,在政治外交、经贸财金、执法禁毒、气候变化、人文交流等各领域保持沟通,取得了进展。当前形势下,中美的共同利益不是减少了,而是更多了。不管是经贸、农业等传统领域,还是气候变化、人工智能等新兴领域,中美应该成为对方发展的助力,而不应该成为阻力。推动世界经济复苏、解决国际和地区热点问题,都需要中美协调合作,展现大国胸怀,拿出大国担当。美方应同中方相向而行,树立正确战略认知,妥善处理敏感问题,保持中美关系止跌企稳的势头,积极探索正确相处之道,推动中美关系持续稳定健康向前发展。 習主席は、過去数年間、中米関係は多くの浮き沈みと深刻な試練を経験し、その教訓は学ぶ価値があると強調した。 中米関係は過去に戻ることはできないが、より良い未来を持つことができる。 昨年サンフランシスコでバイデン大統領と会談した際、最大のコンセンサスは、中米関係は安定し、より良くなるべきだというものだった。 過去数ヶ月間、双方のチームは意思疎通を維持し、バイデン大統領と私が達したコンセンサスを中心に、政治外交、貿易・金融、法執行・麻薬対策、気候変動、人的交流など様々な分野で進展を遂げてきた。 現在の状況下で、中国と米国の共通の利益は少なくなっているのではなく、多くなっている。 経済や貿易、農業といった伝統的な分野であれ、気候変動や人工知能といった新興分野であれ、中国と米国は互いの発展の足を引っ張る存在ではなく、後押しする存在になるべきだ。 世界経済の回復を促進し、国際的・地域的なホットスポット問題を解決するには、中国と米国が協調・協力し、大国の懐を見せ、大国の役割を担う必要がある。 米側は中国側と協力し、正しい戦略的理解を確立し、敏感な問題を適切に処理し、中米関係の勢いを維持し、下落を止め、安定させ、積極的に正しい付き合い方を模索し、中米関係の持続的、安定的、健全な発展を促進すべきである。
美中关系全国委员会董事会主席格林伯格、黑石集团董事长兼首席执行官苏世民、高通公司总裁兼首席执行官安蒙、哈佛大学肯尼迪政府学院创始院长艾利森、美中贸易全国委员会会长艾伦等美方代表在发言中感谢习近平主席拨冗会见。他们表示,过去几十年来,中国实现了非凡经济增长和转型,体现了强大韧性和活力。在习近平主席卓越领导下,中国致力于发展新质生产力,实现更可持续的高质量发展。中国人民的发展权利应该得到尊重。相信中国将实现自身发展目标,促进世界经济发展和融合。一个强大、繁荣的中国是世界的正能量。美中经济关系紧密依存,两国唯有和平共处,才能实现各自发展繁荣。“修昔底德陷阱”并非必然。美国企业赞赏中方近期出台的一系列进一步改革开放的重要举措,看好中国经济发展前景,将坚定不移继续深耕中国,同中国发展长期紧密的合作关系。习近平主席同拜登总统去年11月在旧金山成功会晤,提振了美国各界和世界对美中关系未来的预期和信心。美国工商界和战略学术界支持美中双方加强各层级交往交流,增进相互理解、信任与合作,携手应对全球性挑战,推动建立稳定、可持续、富有成效的美中关系。 グリーンバーグ米中関係全国委員会委員長、シュワルツマン・サックス・ブラックストーン・グループ会長兼CEO、アモンズ・クアルコム社長兼CEO、アリソン・ハーバード大学ケネディスクール創立学部長、アレン・米中貿易全国委員会会長ら米国代表はスピーチで、習主席との会談に時間を割いてくれたことに感謝した。 過去数十年間、中国は並外れた経済成長と変革を成し遂げ、強い回復力とダイナミズムを反映してきた。 習近平国家主席の卓越したリーダーシップの下、中国は新たな質の高い生産性を開発し、より持続可能で質の高い発展を実現することに尽力している。 中国国民の発展の権利は尊重されるべきである。 中国は自らの発展目標を達成し、世界経済の発展と統合を促進すると信じられている。 力強く繁栄する中国は、世界にとって前向きなエネルギーである。 米中経済関係は密接な相互依存関係にあり、平和的共存を通じてのみ、両国はそれぞれの発展と繁栄を達成することができる。 トゥキディデスの罠」は避けられないものではない。 米国企業は、中国が最近、改革開放をさらに進めるための一連の重要なイニシアティブを導入したことを評価し、中国の経済発展の見通しを楽観視しており、中国への投資を着実に継続し、中国との長期的かつ緊密な協力関係を発展させていくだろう。 昨年11月にサンフランシスコで行われた習近平国家主席とバイデン大統領の会談の成功は、米中関係の将来に対する米社会と世界の期待と信頼を高めた。 米国の経済界と戦略的学術界は、米中両国があらゆるレベルでの交流を強化し、相互理解、信頼、協力を強化し、協力して世界的な課題に取り組み、安定的で持続可能かつ生産的な米中関係の確立を促進することを支持している。
王毅参加会见。 会談には王毅も出席した。

 

 

 


 

参考...

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.28 英国 中国国家関連組織と個人の悪質なサイバー活動の責任を追及

 



| | Comments (0)

英国 中国国家関連組織と個人の悪質なサイバー活動の責任を追及

こんにちは、丸山満彦です。

英国が、中国国家関連組織と個人について、民主的な機関や選挙プロセスを標的にした悪質なサイバー活動をしているとし、中国代理大使を外務省に召喚し、制裁および反マネーロンダリング法による制裁も課していますね...

APT31ということですね... 米国も司法省も7名を起訴していますね...

UKの件については、EUの対外行動庁もコメントを出していますね。。。

 

民主主義を脅かすということなのですが、このタイミングというのは、どういう背景なんでしょうかね...

 

ちなみに中国側は、外交部の記者会見で「贼喊捉贼」(泥棒のくせに他人を泥棒というなや...)といってますね...

 

GOV.UK

プレス

・2024.03.25 UK holds China state-affiliated organisations and individuals responsible for malicious cyber activity

UK holds China state-affiliated organisations and individuals responsible for malicious cyber activity 英国は中国国家関連組織と個人による悪質なサイバー活動の責任を問う
UK calls out pattern of malicious cyber activity by Chinese state-affiliated organisations and individuals targeting democratic institutions and parliamentarians. 英国は、中国の国家関連組織と個人による、民主的機関と国会議員を標的にした悪質なサイバー活動のパターンを指摘した。
The United Kingdom, supported by allies globally, have today identified that Chinese state-affiliated organisations and individuals were responsible for 2 malicious cyber campaigns targeting democratic institutions and parliamentarians. Partners across the Indo-Pacific and Europe also express solidarity with the UK’s efforts to call out malicious cyber activities targeting democratic institutions and electoral processes. 英国は、世界の同盟国の支援を受け、本日、中国の国家関連組織と個人が、民主的機関と国会議員を標的とした2件の悪質なサイバーキャンペーンに関与していたことを明らかにした。インド太平洋および欧州のパートナーもまた、民主的な機関や選挙プロセスを標的にした悪質なサイバー活動を告発する英国の努力に連帯を表明する。
First, the UK can reveal today that the National Cyber Security Centre (NCSC) – a part of GCHQ – assesses that the UK Electoral Commission systems were highly likely compromised by a Chinese state-affiliated entity between 2021 and 2022. 第一に、英国は本日、GCHQの一部である国家サイバーセキュリティセンター(NCSC)が、英国選挙管理委員会のシステムが2021年から2022年にかけて中国の国家関連組織によって侵害された可能性が高いと評価していることを明らかにすることができる。
Second, NCSC assesses it is almost certain that the China state-affiliated Advanced Persistent Threat Group 31 (APT31) conducted reconnaissance activity against UK parliamentarians during a separate campaign in 2021. The majority of those targeted were prominent in calling out the malign activity of China. No parliamentary accounts were successfully compromised. 次にNCSCは、中国国家系のAdvanced Persistent Threat Group 31(APT31)が2021年に別のキャンペーンで英国の国会議員に対して偵察活動を行ったことはほぼ確実だと評価している。標的となった人物の大半は、中国の悪質な活動を訴える著名な人物だった。国会議員のアカウントの侵害に成功したものはなかった。
This is the latest in a clear pattern of malicious cyber activity by Chinese state-affiliated organisations and individuals targeting democratic institutions and parliamentarians in the UK and beyond. これは、英国内外の民主的機関や国会議員を標的とした、中国の国家関連組織や個人による悪意あるサイバー活動の明確なパターンの最新版である。
In response, the Foreign, Commonwealth and Development Office has today summoned the Chinese Ambassador to the UK, and sanctioned a front company and 2 individuals who are members of APT31. Concurrently, the United States is designating the same persons and entity for malicious cyber activity. We greatly value our close coordination and cooperation with the US in addressing these threats.  This sends a clear message that we will not tolerate malicious cyber activity against democratic institutions and parliamentarians. これを受けて、外務・英連邦・開発局は本日、駐英中国大使を召喚し、APT31のメンバーであるフロント企業と2人の個人を制裁した。同時に米国は、悪質なサイバー活動に対して同じ人物と組織を指定している。我々は、これらの脅威に対処する上での米国との緊密な連携と協力を非常に重視している。 これは、民主的な機関や国会議員に対する悪意あるサイバー活動を容認しないという明確なメッセージを送るものである。
Foreign Secretary Lord Cameron said: キャメロン外務大臣は次のように述べた:
It is completely unacceptable that China state-affiliated organisations and individuals have targeted our democratic institutions and political processes. While these attempts to interfere with UK democracy have not been successful, we will remain vigilant and resilient to the threats we face. 中国国家関連の組織や個人が、英国の民主的な制度や政治プロセスを標的にしたことは、まったく容認できない。英国の民主主義を妨害しようとするこうした試みは成功していないが、われわれは直面する脅威に対して警戒を怠らず、弾力的に対処していく。
I raised this directly with Chinese Foreign Minister Wang Yi and we have today sanctioned 2 individuals and one entity involved with the China state-affiliated group responsible for targeting our parliamentarians. 私は中国の王毅外相に直接この問題を提起し、私たちは本日、私たちの国会議員を標的にした中国国家関連団体に関与する2人の個人と1つの団体を制裁した。
We will always defend ourselves from those who seek to threaten the freedoms that underpin our values and democracy. One of the reasons that it is important to make this statement is that other countries should see the detail of threats that our systems and democracies face. われわれは、われわれの価値観と民主主義を支える自由を脅かそうとする者たちから常に身を守る。この声明を発表することが重要な理由のひとつは、他国が我々のシステムと民主主義が直面している脅威の詳細を知るべきだということだ。
Deputy Prime Minister Oliver Dowden said: オリバー・ダウデン副首相は次のように述べた:
The UK will not tolerate malicious cyber activity targeting our democratic institutions. It is an absolute priority for the UK government to protect our democratic system and values. The Defending Democracy Taskforce continues to coordinate work to build resilience against these threats. 英国は、民主主義機関を標的にした悪意あるサイバー活動を容認しない。英国政府にとって、民主主義のシステムと価値を守ることは絶対的な優先事項である。民主主義防衛タスクフォースは、こうした脅威に対する回復力を構築するための作業を引き続き調整している。
I hope this statement helps to build wider awareness of how politicians and those involved in our democratic processes around the world are being targeted by state-sponsored cyber operations. この声明が、世界中の政治家や民主的なプロセスに携わる人々が、国家に支援されたサイバー作戦によってどのように標的にされているかについて、より広く認識する一助となることを願っている。
We will continue to call out this activity, holding the Chinese government accountable for its actions. 我々は、中国政府の行動に対する責任を追及し、この活動を訴え続けていく。
Home Secretary James Cleverly said: ジェームズ・クレバリー内務大臣は次のように述べた:
It is reprehensible that China sought to target our democratic institutions. 中国が我々の民主的制度を標的にしようとしたことは非難に値する。
China’s attempts at espionage did not give them the results they wanted and our new National Security Act has made the UK an even harder target. Our upcoming elections, at local and national level, are robust and secure. 中国のスパイ活動の試みは、彼らの望む結果を得られず、我々の新しい国家安全保障法によって、英国はさらにターゲットにされにくくなった。今度の選挙は、地方レベルでも全国レベルでも、強固で安全なものだ。
Democracy and the rule of law is paramount to the United Kingdom. Targeting our elected representatives and electoral processes will never go unchallenged. 民主主義と法の支配は英国にとって最も重要だ。選挙で選ばれた代表や選挙プロセスを標的にすることは、決して許されない。
This statement today sees the international community once again call on the Chinese government to demonstrate its credibility as a responsible cyber actor. The UK will continue to call out malicious cyber activity that infringes on our national security and democracy. 本日の声明は、国際社会が中国政府に対し、責任あるサイバー行為者としての信頼性を実証するよう改めて求めるものである。英国は今後も、わが国の国家安全保障と民主主義を侵害する悪質なサイバー活動を訴えていく。
The UK believes these behaviours are part of large-scale espionage campaign. We have been clear that the targeting of democratic institutions is completely unacceptable. To date, cumulative attempts to interfere with UK democracy and politics have not been successful. The UK has bolstered its defences against these types of incidents. The Defending Democracy Taskforce and the National Security Act 2023 give government, Parliament, the security services, and law enforcement agencies the tools they need to disrupt hostile activity. The NCSC has also published guidance to help high-risk individuals, including parliamentarians, to bolster their resilience to cyber threats, as well as advice to help organisations improve their security. 英国は、これらの行為が大規模なスパイ活動の一環であると考えている。我々は、民主的な機関を標的にすることは完全に容認できないことを明確にしてきた。今日まで、英国の民主主義と政治を妨害する累積的な試みは成功していない。英国はこの種の事件に対する防御を強化してきた。民主主義防衛タスクフォースと国家安全保障法2023は、政府、議会、治安当局、法執行機関に、敵対的活動を妨害するために必要な手段を与えている。NCSCはまた、国会議員を含むリスクの高い個人がサイバー脅威への耐性を強化するためのガイダンスや、組織のセキュリティ向上を支援するアドバイスも発表している。

Find out more: FCDO summons Chinese Chargé d’Affaires over malicious cyber activity.

詳細はこちら: FCDO、悪質なサイバー活動で中国代理大使を召喚する。
You can also view the full UK Sanctions List. また、英国制裁リストの全文を見ることもできる。
Background 背景
Sanctions 制裁
The individuals and entity being designated in the UK are: 英国で指定されている個人と組織は以下の通りである:
・Wuhan Xiaoruizhi Science and Technology Company Limited, which is associated with APT31, operating on behalf of the Chinese Ministry of State Security (MSS) as part of China’s state-sponsored apparatus ・Wuhan Xiaoruizhi Science and Technology Company LimitedはAPT31に関連しており、中国の国家安全保障省(MSS)の代理として、中国の国家支援組織の一部として活動している。
・Zhao Guangzong, who is a member of APT31, operating on behalf of the Chinese Ministry of State Security (MSS), and has engaged in cyber activities targeting officials, government entities, and parliamentarians in the UK and internationally ・趙光宗はAPT31のメンバーであり、中国国家安全部(MSS)を代表して活動し、英国および国際的に政府高官、政府機関、国会議員を標的としたサイバー活動に従事している。
・Ni Gaobin who is a member of APT31, operating on behalf of the Chinese Ministry of State Security (MSS), and has engaged in cyber activities targeting officials, government entities, and parliamentarians in the UK and internationally ・中国国家安全保障省(MSS)を代表して活動するAPT31のメンバーであり、英国内外の政府高官、政府機関、国会議員を標的にしたサイバー活動に従事している。
Electoral Commission 選挙管理委員会
The Electoral Commission oversees elections and regulates political finance in the UK. It is independent of UK government and reports to the UK, Welsh and Scottish Parliaments. Between late 2021 and October 2022 the Electoral Commission’s systems were compromised by a China state-affiliated cyber actor. 選挙管理委員会は英国の選挙を監督し、政治資金を規制している。英国政府から独立しており、英国議会、ウェールズ議会、スコットランド議会に報告する。2021年後半から2022年10月にかけて、選挙管理委員会のシステムは中国国家関連のサイバー行為者によって侵害された。
As the Electoral Commission stated in 2023, the malicious cyber activity has not had an impact on electoral processes, has not affected the rights or access to the democratic process of any individual, nor has it affected electoral registration. The Electoral Commission has taken steps to secure its systems against future activity. When the compromise was discovered, the Commission worked with NCSC and security specialists to investigate the incident, and acted to secure its systems to reduce the risk of future attacks. 選挙管理委員会が2023年に発表したように、悪質なサイバー活動は選挙プロセスには影響を与えず、いかなる個人の権利や民主的プロセスへのアクセスにも影響を与えず、選挙人登録にも影響を与えなかった。選挙管理委員会は、今後の活動からシステムを保護するための措置を講じた。侵害が発見されたとき、選挙管理委員会はNCSCおよびセキュリティ専門家と協力して事件を調査し、今後の攻撃のリスクを減らすためにシステムの安全確保に努めた。
Targeting of UK parliamentarians by APT31 APT31による英国議会議員の標的化
NCSC assesses it is highly likely that the China state-affiliated cyber actor APT31 conducted reconnaissance activity against UK parliamentarians during a separate campaign in 2021. Parliamentary Cybersecurity Team identified this reconnaissance and were able to confirm that no accounts had been compromised. NCSCは、中国国家系のサイバー行為者APT31が、2021年の別のキャンペーン中に英国の国会議員に対して偵察活動を行った可能性が高いと評価している。国会サイバーセキュリティチームはこの偵察活動を特定し、アカウントが侵害されていないことを確認できた。
APT31 was one of a number of Chinese state-affiliated organisations the UK publicly linked to the Chinese Ministry of State Security in 2021 following the hacking of Microsoft Exchange Server globally. Similar statements were issued by allies in condemning these actions. APT31は、2021年にマイクロソフトのExchangeサーバーが世界的にハッキングされたことを受けて、英国が中国国家安全保障省との関連を公にした数多くの中国国家関連組織の1つである。同様の声明が同盟国からも発表され、これらの行為を非難している。
Further information さらなる情報
・earlier this year, NCSC and partners issued a warning about state- sponsored cyber attackers hiding on critical infrastructure networks, and released an advisory on China state-sponsored cyber actors compromising and maintaining persistent access to US critical infrastructure ・今年初め、NCSCとパートナーは、国家が支援するサイバー攻撃者が重要インフラ・ネットワークに潜伏していることについて警告を発し、中国が国家が支援するサイバー行為者が米国の重要インフラを侵害し、持続的なアクセスを維持していることに関する勧告を発表した。
・in December 2023, the UK also condemned attempted Russian cyber interference in politics and democratic processes ・2023年12月、英国は政治と民主的プロセスに対するロシアのサイバー干渉の試みを非難した。
・in May 2023, NCSC and partners issued a warning around China state-sponsored cyber activities targeting Critical National Infrastructure (CNI) networks ・2023年5月、NCSCとパートナーは、重要な国家インフラ(CNI)ネットワークを標的とした中国国家支援のサイバー活動に関する警告を発表した。
・an asset freeze prevents any UK citizen, or any business in the UK, from dealing with any funds or economic resources which are owned, held or controlled by the designated person. It also prevents funds or economic resources being provided to or for the benefit of the designated person. UK financial sanctions apply to all persons within the territory and territorial sea of the UK and to all UK persons, wherever they are in the world ・資産凍結は、英国市民や英国内の企業が、指定された人物が所有、保有、管理する資金や経済資源を扱うことを妨げる。また、資金や経済資源が指定された人物に提供されたり、指定された人物の利益のために提供されたりすることもできなくなる。英国の金融制裁は、英国の領土および領海内にいるすべての人物と、世界のどこにいるかにかかわらず、すべての英国人に適用される。
・a travel ban means that the designated person must be refused leave to enter or to remain in the United Kingdom, providing the individual is an excluded person under section 8B of the Immigration Act 1971 ・渡航禁止とは、指定された人物が1971年移民法第8B条に基づき排除された人物である場合、英国への入国または残留を拒否されることを意味する。

 

 

・2024.03.26 FCDO summons Chinese Chargé d'Affaires over malicious cyber activity

FCDO summons Chinese Chargé d'Affaires over malicious cyber activity FCDO、悪質なサイバー活動で中国大使を召喚
The Chargé d'Affaires at the Chinese Embassy attended the summons after attribution of cyber attacks to Chinese state-affiliated individuals and organisations. 中国大使館の臨時代理大使は、サイバー攻撃が中国国家関連の個人および組織に起因するものであるとして、召喚に出席した。
A Foreign, Commonwealth and Development Office (FCDO) spokesperson said: 外務英連邦開発局(FCDO)のスポークスマンは次のように述べた:
・Today, on instruction from the Foreign Secretary, the Chargé d’Affaires of the Chinese Embassy in London was summoned to the Foreign, Commonwealth and Development Office. ・本日、外務大臣からの指示により、在ロンドン中国大使館の臨時代理大使が外務英連邦開発局に召喚された。
・The FCDO set out the government’s unequivocal condemnation of Chinese state-affiliated organisations and individuals undertaking malicious cyber activity against UK democratic institutions and parliamentarians.  The UK government would not tolerate such threatening activity, and would continue to take strong action with partners across the globe to respond. ・FCDOは、中国の国家関連組織や個人が英国の民主的機構や国会議員に対して悪質なサイバー活動を行っていることについて、政府の明確な非難を表明した。 英国政府はこのような脅威的な活動を容認せず、世界中のパートナーとともに強力な対応策を取り続ける。
・The summons followed yesterday’s announcement in Parliament by the Deputy Prime Minister, that the UK had imposed tough, targeted sanctions on a front company and 2 individuals involved in China’s malicious cyber activity targeting officials, government entities, and parliamentarians around the world. ・今回の召喚は、昨日の副首相による議会での発表に続くもので、英国は、世界中の政府高官、政府事業体、国会議員を標的にした中国の悪質なサイバー活動に関与しているフロント企業と2人の個人に対し、厳しい制裁を科した。

 

Guidance The UK Sanctions List

The UK Sanctions List 英国制裁リスト
Find out which people, entities and ships are designated or specified under regulations made under the Sanctions and Anti-Money Laundering Act 2018, and why. 制裁および反マネーロンダリング法(Sanctions and Anti-Money Laundering Act 2018)に基づき制定された規制により指定または特定されている人物、事業体、船舶とその理由を確認する。

 

HTML format UK Sanctions List

このリストのUnique ID

  • Unique ID: CYB0044 - Entityの武汉晓睿智科技有限责任公司 (WUHAN XIAORUIZHI SCIENCE AND TECHNOLOGY COMPANY LIMITED)
  • Unique ID: CYB0045 - Individualの赵光宗 (Guangzong ZHAO)
  • Unique ID: CYB0046 - Individualの倪高彬 (Gaobin NI)

資産凍結や渡航禁止ですね...

 


EU...

● European Union External Action

・2024.03.25 

UK: Statement by the Spokesperson on recent malicious cyber activities 英国 最近の悪質なサイバー活動に関する報道官の声明
The European Union expresses its solidarity with the United Kingdom on the impact of malicious cyber activities against their democratic processes . 欧州連合(EU)は、英国の民主的プロセスに対する悪質なサイバー活動の影響について、英国との連帯を表明する。
We continue to monitor and address malicious cyber activities against our societies, democracies and economies, and stand ready to take further action when necessary. われわれは、われわれの社会、民主主義、経済に対する悪質なサイバー活動を引き続き監視し、対処していくとともに、必要に応じてさらなる措置を講じる用意がある。
Ahead of the European and national elections, we are providing recommendations and guidance to public and private sector organisations in the EU to raise awareness about these cyber threats and enhance EU cyber resilience. 欧州選挙および国内選挙に先立ち、われわれは、こうしたサイバー脅威に関する認識を高め、EUのサイバーレジリエンスを強化するため、EUの公共部門および民間部門の組織に勧告と指針をプロバイダとして提供している。
The EU and Member States remain strongly committed to the adherence to the UN framework of responsible State behaviour in cyberspace as endorsed by all UN Member States. EUおよび加盟国は、すべての国連加盟国が承認した、サイバー空間における国家の責任ある行動に関する国連の枠組みの遵守に引き続き強くコミットする。
All States must adhere to these norms and not allow their territory to be used for malicious cyber activities, as called for in bilateral exchanges as well as in multiple EU Statements, including the 2021 Declaration urging Chinese authorities to take action against malicious cyber activities undertaken from its territory. すべての加盟国はこれらの規範を遵守し、自国の領土が悪意のあるサイバー活動に利用されることを許してはならない。これは、中国当局に対し、自国の領土から行われる悪意のあるサイバー活動に対する措置をとるよう要請した2021年宣言を含む、二国間交流や複数のEU声明でも求められていることである。

 

 

 


 

中国側の反応ですが...

 

中国 外交部

 例行记者会 定例記者会見

2024.03.25

英国独立电视新闻记者:据悉,英国政府正准备针对英国选举委员会和40多名英国议会议员所遭到的网络攻击发起制裁及实施某项政策。英方认为受到国家支持的中国黑客发动了这些网络攻击。请问发言人对此有何评论? Independent Television News(英国):英国選挙管理委員会と40人以上の英国議会議員に対するサイバー攻撃に対し、英国政府が制裁を開始し、政策を実施する準備を進めていることが報じられた。 英国側は、国家に支援された中国のハッカーがこれらのサイバー攻撃を仕掛けたと考えている。 これについての報道官のコメントは?
林剑:网络安全是全球性挑战。中国是网络攻击的主要受害者之一,一贯坚决依法制止和严厉打击各类网络恶意活动,主张各国通过对话与合作共同应对。网络攻击溯源问题高度复杂敏感,在调查和定性网络事件时,应有充分客观证据,而不是在没有事实依据的情况下抹黑他国,更不能将网络安全问题政治化。希望各方停止散布虚假信息,切实采取负责任的态度,共同维护网络空间的和平与安全。中方一贯反对非法单边制裁,将坚决维护自身合法权益。 ジアン・リン:サイバーセキュリティは世界的な課題だ。 中国はサイバー攻撃の主な被害者の一人であり、法律に基づいてあらゆる悪質なサイバー活動を阻止し、取り締まることに常に断固として取り組んでおり、対話と協力を通じて各国が協力してこの問題に取り組むことを提唱している。 サイバー攻撃の起源を追跡する問題は、非常に複雑かつ繊細であり、サイバー事件を調査し特徴づける際には、サイバーセキュリティの問題を政治化することはもちろん、事実無根で他国を中傷するのではなく、十分な客観的証拠を示すべきである。 すべての関係者が虚偽の情報を広めることをやめ、サイバー空間の平和と安全を共同で維持するために責任ある態度をとることが望まれる。 中国は一貫して違法な一方的制裁に反対しており、自国の合法的権益を断固として守る。

 

2024.03.26

《环球时报》记者:据报道,3月25日,美国、英国政府指责并起诉制裁同中国政府有关联的黑客组织“APT31”对其进行恶意网络攻击,称严重危害其民主机构和选举系统,澳大利亚、新西兰予以呼应,新西兰并称与中国政府有关的黑客组织“APT40”对其议会系统发动网络攻击。中方对此有何评论? 環球時報記者:3月25日、米国と英国の政府が、中国政府とつながりのあるハッキング集団APT31が、自国の民主制度と選挙システムを深刻に危険にさらしたとして、悪質なサイバー攻撃を行ったと非難し、起訴・制裁したことが報道されているが、これに対し、オーストラリアとニュージーランドは、ニュージーランドは、中国政府とつながりのあるハッキング集団APT31が、自国の民主制度と選挙システムを深刻に危険にさらしたとして、悪質なサイバー攻撃を行ったと主張した。 ニュージーランドはまた、中国政府とつながりのあるハッカー集団APT40が自国の議会システムにサイバー攻撃を仕掛けたと主張した。 これに対する中国のコメントは?
林剑:中方坚决反对并打击各种形式的网络攻击,致力于在相互尊重、平等互利基础上,与各国通过双边对话或司法协助等渠道加强合作,共同应对网络安全威胁。此前,中方曾就英方提交的所谓“APT31”相关信息进行过技术澄清和回应,明确表明英方提供的证据不足,相关结论缺乏专业性。但令人遗憾的是英方此后未有进一步回应。 林健:中国は、あらゆる形態のサイバー攻撃に断固として反対し、これに対抗する。また、二国間対話や相互法的支援などのチャンネルを通じて、相互尊重、平等、互恵を基礎に他国との協力を強化し、サイバーセキュリティの脅威に共同で対処することを約束する。 以前、中国は英国側が提出したいわゆるAPT31の情報に対し、技術的な説明と回答を行い、英国側が提出した証拠が不十分であり、関連する結論が専門性を欠いていることを明確に示した。 しかし、遺憾なことに、英国側はそれ以降、何の回答もしていない。
一段时间以来,美国出于地缘政治目的鼓动其主导的世界上最大的情报组织“五眼联盟”编凑散布各种“中国黑客”威胁的虚假信息,现在又伙同英国大肆炒作所谓“中国网络攻击”,甚至发起对华无理单边制裁。中方对此坚决反对,已向美及相关方提出严正交涉,将采取必要措施维护中方的合法权益。 米国はここしばらくの間、地政学的な目的のために、米国を中心とする世界最大の情報機関である「ファイブ・アイズ連合」に、「中国のハッキング」の脅威に関するあらゆる偽情報をまとめ、広めるよう働きかけており、現在は英国と協力して、いわゆる「中国のサイバー攻撃」について憶測を巡らせている。 中国は今、イギリスと一緒になって、いわゆる「中国のサイバー攻撃」について憶測をめぐらし、中国に対する理不尽な一方的制裁まで始めている。 中国はこれに断固として反対し、米国やその他の関係者に厳粛な申し入れを行い、中国の合法的な権益を守るために必要な措置を講じる。
中方相关网络安全机构曾发布美国政府对中国及其他国家进行网络攻击的系列报告,但美国政府一直装聋作哑。我们敦促美方在网络空间采取负责任态度,更不要“贼喊捉贼”。 中国の関連サイバーセキュリティ組織は、米国政府による中国やその他の国に対するサイバー攻撃について一連の報告書を発表しているが、米国政府は耳を貸さず、口を閉ざしている。 我々は、米側がサイバー空間において責任ある態度をとり、「盗人が他人を盗人呼ばわりをする」ようなことをしないよう強く求める。
... ...
英国广播公司记者:美、英政府昨日指责中国进行国家网络犯罪,你对此有何回应? BBC記者:米英両政府は昨日、中国が国家的なサイバー犯罪を犯していると非難したが、これに対するあなたの反応は?
林剑:我刚才已经阐明了中方的相关立场。美方和英方再次翻炒所谓“中国实施网络攻击”,并制裁中国个人和实体,这纯属政治操弄,中方对此强烈不满、坚决反对,已向相关方面提出严正交涉。 林健:これに対する中国の立場を述べただけだ。 米英側は再び、いわゆる「中国のサイバー攻撃実施」を蒸し返し、中国の個人と団体に制裁を科したが、これは純粋に政治的な工作であり、中国側は強く不満であり、断固として反対し、関係各方面に厳粛な申し入れを行った。
我们敦促美方和英方停止将网络安全问题政治化,停止对中国的污蔑抹黑和单边制裁,停止对中国的网络攻击行为。中方将采取必要措施坚决维护自身合法权益。 われわれは米英両国に対し、サイバーセキュリティの問題を政治的に利用し、中国を中傷し、一方的に制裁することをやめ、中国に対するサイバー攻撃をやめるよう強く求める。 中国は自国の合法的権益を断固として守るために必要な措置を取る。

 

1_20240328055901

 


 

参考...

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.28 米国 司法省 中国政府関連の7人のハッカーを中国および米国の企業や政治家に対する批判者を標的としたコンピュータ侵入で起訴

 

| | Comments (0)

2024.03.27

ドイツ 政治選挙以外の選挙向けオンライン投票製品の認証を開始...

こんにちは、丸山満彦です。

IoT製品というか、普通にCC認証のための 政治選挙以外の選挙向けオンライン投票製品向けプロテクション・プロファイルを公表し、制度として始めるということなんでしょうかね...

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.03.25 BSI ermöglicht Zertifizierung für Online-Wahlprodukte für nichtpolitische Wahlen

BSI ermöglicht Zertifizierung für Online-Wahlprodukte für nichtpolitische Wahlen BSI、非政治選挙向けオンライン投票製品の認証を可能にする
Online-Wahlen können Barrieren zur Teilnahme an einer nichtpolitischen Wahl senken und damit die mögliche Beteiligung erhöhen. Dabei sind zertifizierte Wahlprodukte wichtig, um das Vertrauen von Wählerinnen und Wählern in die digitale Durchführung von Wahlen zu stärken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher nun das Schutzprofil BSI-CC-PP-0121-2024 („Protection Profile for E-Voting Systems for non-political Elections“) veröffentlicht. Damit ist eine Zertifizierung für Online-Wahlprodukte für nichtpolitische Wahlen ab sofort möglich
.
オンライン選挙は、非政治選挙への参加障壁を下げ、潜在的な参加者を増やすことができる。認証された選挙用製品は、選挙のデジタル組織に対する有権者の信頼を強化するために重要である。そこでドイツ連邦情報セキュリティ局(BSI)はこのたび、保護プロファイルBSI-CC-PP-0121-2024(「非政治選挙用電子投票システムの保護プロファイル」)を発表した。これは、非政治選挙用のオンライン投票製品の認証が可能になったことを意味する。
Das Schutzprofil BSI-CC-PP-0121-2024 legt Funktionalitäten und Anforderungen fest, die beispielsweise zur Erpressungsresistenz beitragen sollen. Gleichermaßen werden Maßnahmen für die Umsetzung von Ende-zu-Ende-Verifizierbarkeit gefordert, die die Transparenz und damit den Öffentlichkeitsgrundsatz in einer Wahl adressieren. Das Schutzprofil stellt zudem Anforderungen an die Umsetzung kryptografischer Wahlverfahren durch ein Online-Wahlprodukt. Die im Schutzprofil definierten Anforderungen haben eine gleichmäßige Gewichtung der drei im Rahmen einer Online-Wahl besonders relevanten Wahlrechtsgrundsätze – geheim, frei und öffentlich – zum Ziel. BSI-CC-PP-0121-2024の保護プロファイルは、例えば、恐喝に対する抵抗力に貢献することを意図した機能性と要件を定義している。また、エンド・ツー・エンドの検証可能性を実装するための対策も要求しており、これは透明性、ひいては選挙における公共性の原則に対処するものである。保護プロファイルはまた、オンライン投票製品による暗号化された投票手続きの実装に関する要件も定めている。保護プロファイルで定義されている要件は、オンライン選挙の文脈で特に関連性の高い選挙法の3原則(秘密、自由、公開)の重みを均等にすることを目的としている。

 

コモンクライテリア・プロテクション・プロファイル - 非政治選挙用電子投票システム用、バージョン1.0

BSI-CC-PP-0121-2024 Common Criteria Protection Profile — for E-Voting Systems for non-political Elections, Version 1.0


BSI-CC-PP-0121-2024 BSI-CC-pp-0121-2024
Common Criteria Protection Profile — for E-Voting Systems for non-political Elections, Version 1.0 コモンクライテリア・プロテクション・プロファイル - 非政治選挙用電子投票システム用、バージョン1.0
Herausgeber / Issuer Bundesamt für Sicherheit in der Informationstechnik 発行者 連邦情報セキュリティ局
Prüfstelle / Evaluation Facility Deutsche Telekom Security GmbH 評価機関 Deutsche Telekom Security GmbH
Prüftiefe des Produktes / Assurance of the TOE EAL4+, ALC_FLR.2 製品保証 / TOEの保証 EAL4+、ALC_FLR.2
Version der CC / CC Version CC:2022 R1 CC バージョン / CC バージョン CC:2022 R1
Ausstellungsdatum / Certification Date 20.02.2024 発行日 / 認証日 20.02.2024
gültig bis / valid until 19.02.2034 有効期限 / 2034年2月19日まで有効
Zertifizierungsreport / Certification Report 認証報告書 / 認証報告書
20240327-92938
Schutzprofil / Protection Profile プロテクションプロファイル
20240327-92958
Zertifikat / Certificate 証明書
20240327-93038
Das Schutzprofil „Protection Profile for E-Voting Systems for non-political Elections“, Version 1.0, vom 01. Dezember 2023, beschreibt den EVG-Typ als Server-Software zur Durchführung geheimer nicht-politischer elektronische Wahlen. Das Schutzprofil definiert einen Basissatz von Sicherheitsanforderungen, den jedes elektronisches Wahlprodukt mindestens erfüllen muss, um elektronische Wahlen sicher auszuführen. Der EVG muss spezifische Funktionalitäten für die Durchführung von elektronische Wahlen in Bezug auf die verschiedenen Wahlphasen implementieren, wie z. B. die Verarbeitung der wahlbezogenen Daten (in der Vorbereitungsphase), die Registrierung der Wahldaten (in der Ausführungsphase), die Auszählung der Stimmen und die Ermittlung des Wahlergebnisses (in der Bewertungsphase) und der Export der Wahlausführungsdaten (in der Nachverarbeitungsphase). Das Schutzprofil adressiert nicht-politische Wahlen wie z. B. Gremienwahlen oder die Wahl zur oder zum Gleichstellungsbeauftragten. Das Schutzprofil ist modular aufgebaut und enthält ein Basisschutzprofil sowie ein zusätzliches Funktionales Paket: „Multi-component Server-Architecture Package“, Version 1.0 vom 01. Dezember 2023. Während das Basisschutzprofil festlegt, dass der EVG aus einer Serverkomponente besteht, beschreibt das Funktionale Paket die Multi-Komponenten-Serverarchitektur Serverarchitektur. Dieses Paket definiert Anforderungen für die Implementierung des vertrauenswürdigen Kanals, über den der EVG Daten zwischen den einzelnen Komponenten austauscht. 2023年12月1日付の保護プロファイル「非政治選挙用電子投票システムの保護プロファイル」バージョン1.0は、非政治的な秘密電子選挙を実施するためのサーバーソフトウェアとしてのTOEタイプを記述している。保護プロファイルは、電子選挙を安全に実施するために、すべての電子投票製品が最低限満たさなければならないセキュリティ要件の基本セットを定義している。TOEは、選挙関連データの処理(準備段階)、選挙データの登録(実行段階)、票の集計と選挙結果の決定(評価段階)、選挙実行データのエクスポート(後処理段階)など、さまざまな選挙段階に関連する電子選挙の実行のための特定の機能を実装しなければならない。この保護プロファイルは、委員会選挙や機会均等役員選挙などの非政治選挙に対応している。保護プロファイルはモジュール構造になっており、基本保護プロファイルと追加機能パッケージ「マルチコンポーネント・サーバ・アーキテクチャ・パッケージ」(2023年12月1日バージョン1.0)が含まれている。 基本保護プロファイルではTOEが1つのサーバ・コンポーネントで構成されることが規定されているが、機能パッケージではマルチコンポーネント・サーバ・アーキテクチャが記述されている。このパッケージは、TOE が各コンポーネント間でデータを交換する信頼されたチャネルの実装に関する要件を定義している。

The “Protection Profile for E-Voting Systems for non-political Elections”, Version 1.0, from 1 December 2023, describes as a TOE type a server software for conducting secret non-political E-Votings, which implements the process of conducting the election. The Protection Profile defines a basic set of security requirements to be fulfilled by a product for E-Voting in order to perform elections in a secure way. The TOE shall implement specific functionalities for conducting E-Votings related to the different electoral phases such as processing of the election data (in the preparation phase), registering of electoral data (in the execution phase), counting of votes and determination of the election result (in the evaluation phase) and exporting the election execution data (in the post-processing phase). The Protection Profile addresses non-political elections, for example, elections within committees or election of an equal opportunities officer. The PP utilizes a modular structure and specifies a base Protection Profile and one additional Functional Package. The base Protection Profile describes as a TOE type a server software consisting of one single server component. The Functional Package “Multi-component Server Architecture Package”, Version 1.0, from 1 December 2023, describes as a TOE type a server software which consist of more than one server component. The Functional Package defines requirements for establishment of a trusted channel for secure communication between the TOE components.

2023年12月1日からの "非政治選挙用電子投票システムの保護プロファイル "バージョン1.0は、TOEのタイプとして、選挙の実施プロセスを実装する非政治的な秘密電子投票を実施するためのサーバーソフトウェアを記述している。プロテクション・プロファイルは、安全な方法で選挙を実施するために、電子投票のための製品が満たすべきセキュリティ要件の基本セットを定義している。TOEは、選挙データの処理(準備段階)、選挙データの登録(実行段階)、開票と選挙結果の決定(評価段階)、選挙実行データのエクスポート(後処理段階)など、さまざまな選挙段階に関連する電子投票を実施するための特定の機能を実装しなければならない。プロテクション・プロファイルは、例えば委員会内の選挙や機会均等役員の選挙など、非政治的な選挙に対応している。PP はモジュール構造を採用し、基本的な保護プロファイルと 1 つの追加機能パッケージを規定している。ベースとなる保護プロファイルでは、TOE タイプとして 1 つの単一サーバコンポーネントから構成されるサー バソフトウェアを記述している。2023 年 12 月 1 日からの機能パッケージ "Multi-component Server Architecture Package"(バージョン 1.0)は、TOE タイプとして、複数のサーバコンポーネントから構成されるサーバソフトウェアを記述する。この機能パッケージは、TOE コンポーネント間の安全な通信のための信頼されたチャネルの確立に関する要件を定義している。

 

 

| | Comments (0)

ドイツ CyberRisikoCheck:中小企業向けITセキュリティ

こんにちは、丸山満彦です。

中小企業のサイバーセキュリティ対策はどこの国も悩んでいると思います。

英国では2023年より「サイバーアドバイザリー制度」がはじまっていて、このブログでも紹介しましたが、今回はドイツのものです...

1年か2年ほど前になりますが、経済産業省のサイバーセキュリティ課の方に、中小企業対策の話を聞かれて、海外政府(その時は、ドイツ、英国を挙げたような気がしますが)と相談したらよいといいました。そして、日本の取り組みも紹介すればよいと(改善の余地があるかもしれないけど、サイバーセキュリティお助け隊の制度とか...)。お互いの制度等で参考になる部分があると思うので、参考にできるところは参考にする。

個人的には、できる限りシステムをクラウドに寄せて、中小企業がコントロールしなければならない領域を少なくし、そこに対策のためのリソースを集中するしか方法はないと思っています(これはもう10年以上前からそう言っていて、満塩さんが経済産業省にいるころに、自動車産業のサプライチェーンを例にその話をした記憶があります...)。

あと、経済産業省は特に、過去の政策の評価を(制度的にというよりも次に活かすために)チェックし、改善をしていくのがよいと思います。どうも作るのはすきだが、メンテするのは苦手(配置替えもあって...)なような気がします。

ドイツは、CyberRisikoCheckという、チェックリストを用意しているようですね...これは、新しいコンサルティング基準 DIN SPEC 27076 に基づいたもののようです...

Logo_cyberrisikocheck

 

50名未満の企業はISMSの構築には向いていないので、別の方法が必要だろうということで、この基準が開発されたようですね...

このチェックリストに基づいてチェックした結果はのちの政府の対策のためのデータとなり、対策の費用については50%の補助金もでるようですね...

 

 

さて...

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.03.23 CyberRisikoCheck: IT-Sicherheit für kleine und mittlere Unternehmen

CyberRisikoCheck: IT-Sicherheit für kleine und mittlere Unternehmen CyberRisikoCheck:中小企業のためのITセキュリティ
Um kleine und mittlere Unternehmen (KMU) dabei zu unterstützen, ihre Cyberresilienz zu erhöhen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit Partnern den CyberRisikoCheck entwickelt. Er bietet KMU eine standardisierte, bedarfsgerechte Beratung durch IT-Dienstleister. Nun schulte die Cybersicherheitsbehörde des Bundes erstmals mehr als 60 IT-Dienstleister für die Anwendung des neuen Verfahrens. 中小企業のサイバー耐性を高めるために、連邦情報セキュリティ局(BSI)はパートナーと共同でサイバーリスクチェックを開発した。これは、ITサービス・プロバイダーによる標準化されたニーズに基づいたアドバイスを中小企業に提供するものである。連邦サイバーセキュリティー局は現在、60社以上のITサービス・プロバイダーに対し、この新しい手順の使用方法を初めて指導している。
Die Bedrohungslage im Cyberraum ist besorgniserregend. Die Anzahl der Angriffe auf Wirtschaftsunternehmen steigt stetig an und kriminelle Attacken verursachen Rekordschäden. Auch kleine und mittlere Unternehmen sind zunehmend von Cyberattacken betroffen. Dabei werden KMU meist nicht zielgerichtet zum Opfer, sondern von großflächig und automatisiert durchgeführten Angriffen getroffen. Viele KMU würden daher gerne mehr für ihre IT-Sicherheit tun, wissen aber oftmals nicht wie. サイバー空間における脅威の状況は憂慮すべきものである。営利企業を狙った攻撃の数は着実に増加しており、犯罪的攻撃は記録的な被害をもたらしている。中小企業もサイバー攻撃の影響を受けるようになっている。中小企業は通常、被害者として狙われることはないが、大規模で自動化された攻撃によって打撃を受ける。そのため、多くの中小企業はITセキュリティにもっと力を入れたいと考えているが、その方法がわからないことが多い。
Der CyberRisikoCheck ermöglicht einem Unternehmen eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus und zeigt auf, welche konkreten Maßnahmen ein Unternehmen umsetzen bzw. bei einem IT-Dienstleister beauftragen sollte. 64 IT-Sicherheitsdienstleister aus ganz Deutschland haben sich nun für die Durchführung des CyberRisikoChecks in Bonn schulen lassen. Die Teilnahme an der Schulung ist Voraussetzung für die Nutzung einer Software, die das BSI IT-Dienstleistern für die Durchführung des CyberRisikoChecks zur Verfügung stellt. Das BSI gewinnt aus dem Verfahren anonymisierte Erhebungsdaten, die zur Generierung eines Informationssicherheitslagebildes für KMU genutzt werden. CyberRiskCheckは、企業が自社のITセキュリティ・レベルを判断し、具体的にどのような対策を実施すべきか、あるいはITサービス・プロバイダーに依頼すべきかを示すものである。現在、ドイツ全土から集まった64のITセキュリティ・サービス・プロバイダーが、ボンでCyberRiskCheckを実施するためのトレーニングを受けている。トレーニングへの参加は、BSIがITサービス・プロバイダーに提供するCyberRiskCheckを実施するためのソフトウェアを使用するための前提条件である。BSIは、この手順から匿名化された調査データを入手し、中小企業の情報セキュリティ状況マップの作成に使用する。
BSI-Präsidentin Claudia Plattner: „Der CyberRisikoCheck ist ein echtes Win-Win-Win-Produkt: für die kleinen Unternehmen, für die IT-Dienstleister und für das BSI. Damit haben wir den Grundstein für ein KMU-Cybersicherheitslagebild gelegt, und das ist ein wichtiger Schritt auf dem Weg zur Cybernation Deutschland. Wir freuen uns, dass schon jetzt mehr als 120 weitere IT-Dienstleister ihr Interesse an einer Durchführung es CyberRisikoChecks bekundet haben.“ BSIのクラウディア・プラットナー会長:「CyberRiskoCheckは、中小企業にとっても、ITサービス・プロバイダーにとっても、BSIにとっても、まさにWin-Win-Winの製品である。こうして我々は、中小企業のサイバーセキュリティ状況マップの基礎を築き、ドイツをサイバー国家にするための重要な一歩を踏み出した。すでに120社以上のITサービス・プロバイダーがサイバーリスクチェックへの参加に関心を示していることをうれしく思う。
Weitere Schulungstermine sind in Vorbereitung und werden zeitnah durch das BSI veröffentlicht. さらなるトレーニングの日程は現在準備中であり、近い将来BSIによって公表される予定である。

 

CyberRisikoCheck

CyberRisikoCheck サイバーリスクチェック
Wirkungsvoller Schutz für kleine und Kleinstunternehmen
nach DIN SPEC 27076
中小・零細企業のための効果的な保護
DIN SPEC 27076に準拠
Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems, wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen nicht optimal geeignet. 多くの中小企業(SME)は、ITセキュリティにもっと力を入れたいと考えているが、その方法がわからないことが多い。BSIのITベースライン保護大要やISO/IEC 27001規格など、情報セキュリティマネジメントシステムを構築するための既存の標準作業は、従業員50人未満の企業には理想的に適していない。
Konsortium zur Erarbeitung einer DIN SPEC DIN SPEC開発コンソーシアム
Um auch kleine und mittlere Unternehmen zu unterstützen, wurde in Kooperation mit dem Bundesverband mittelständische Wirtschaft (BVMW) ein Konsortium zur Erarbeitung einer DIN SPEC gegründet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) leitete das Konsortium, der BVMW übernahm die stellvertretende Leitung. Insgesamt waren fast 20 weitere Partner beteiligt, u. a. das Deutsche Institut für Normung (DIN), Wirtschaftsförderungen, eine Tochter des Gesamtverbandes der deutschen Versicherungswirtschaft, IT-Grundschutz-Expertinnen und -Experten, -Auditorinnen und -Auditoren sowie Fachkundige zum Thema Datenschutz und IT-Dienstleister. Finanziert wurde das Projekt durch das Bundesministerium für Wirtschaft und Klimaschutz im Rahmen des Programmes "Mittelstand Digital". 中小企業も支援するため、ドイツ中小企業協会(BVMW)と協力して、DIN SPECを策定するコンソーシアムが設立された。連邦情報セキュリティ局(BSI)がコンソーシアムを主導し、BVMWが副リーダーを務めた。その他、ドイツ標準化協会(DIN)、ビジネス開発機関、ドイツ保険協会の子会社、ITベースライン保護の専門家、監査人、データ保護分野の専門家、ITサービスプロバイダーなど、合計20社近くのパートナーが参加した。このプロジェクトは、連邦経済・気候保護省の「ミッテルスタンド・デジタル」プログラムの一環として資金提供された。
Ergebnis der achtmonatigen Arbeit des Konsortiums ist die DIN SPEC 27076 "IT-Sicherheitsberatung für kleine und Kleinstunternehmen" und der darauf basierende CyberRisikoCheck. Durch diesen können KMU bei IT-Dienstleistern eine standardisierte Beratung erhalten, die speziell auf ihre Bedürfnisse angepasst ist. In der DIN SPEC wurden auch die Handlungsempfehlungen für KMU standardisiert. Dadurch wissen sowohl Auftraggeber als auch Auftragnehmer, welche Leistung zu erwarten bzw. zu erbringen ist. コンソーシアムの8カ月にわたる作業の成果は、DIN SPEC 27076「中小・零細企業向けITセキュリティ・コンサルティング」と、それに基づくサイバー・リスク・チェックである。これにより、中小企業はITサービス・プロバイダーから自社のニーズに合わせた標準的なアドバイスを受けることができる。また、中小企業向けの対策勧告もDIN SPECで標準化されている。その結果、発注者と請負業者の双方が、どのようなサービスを期待し提供すべきかを知ることができる。
Durchführung des CyberRisikoChecks サイバーリスクチェックの実施
Beim CyberRisikoCheck befragt ein IT-Dienstleister ein Unternehmen in einem ein- bis zweistündigen Interview zur IT-Sicherheit im Unternehmen. Darin werden 27 Anforderungen aus sechs Themenbereichen daraufhin überprüft, ob das Unternehmen sie erfüllt. Für die Antworten werden nach den Vorgaben der DIN SPEC Punkte vergeben. Als Ergebnis erhält das Unternehmen einen Bericht, der u. a. die Punktzahl und für jede nicht erfüllte Anforderung eine Handlungsempfehlung enthält. Die Handlungsempfehlungen sind nach Dringlichkeit gegliedert und erhalten Hinweise darauf, welche staatlichen Fördermaßnahmen (auf Bundes-, Landes- und kommunaler Ebene) das jeweilige Unternehmen in Anspruch nehmen kann. Der CyberRiskoCheck ist keine IT-Sicherheitszertifizierung. Er ermöglicht einem Unternehmen jedoch eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus und zeigt auf, welche konkreten Maßnahmen ein Unternehmen umsetzen bzw. bei einem IT-Dienstleister beauftragen sollte. サイバーリスクチェックでは、ITサービスプロバイダーが1~2時間の面談で企業のITセキュリティについて質問する。この面談では、6つの対象分野から27の要件がチェックされ、企業がその要件を満たしているかどうかが確認される。DIN SPEC仕様に従った回答にはポイントが与えられる。その結果、企業は、特に未充足の各要件に対する得点と措置勧告を含む報告書を受け取る。行動勧告は、緊急度に応じて分類され、各企業が利用できる政府の支援策(連邦、州、自治体レベル)に関する情報が含まれている。サイバーリスク・チェックはITセキュリティ認証ではない。しかし、企業が自社のITセキュリティ・レベルを判断することを可能にし、企業が実施すべき、あるいはITサービス・プロバイダーに委託すべき具体的な対策を示すものである。
Vorteile für alle Beteiligten すべての関係者にとってのメリット
Die Kosten für einen CyberRisikoCheck entsprechen den Kosten eines Beratertages. Auf Bundesebene werden der Check und sich daran anschließende Handlungsempfehlungen bereits jetzt über das Programm "go-digital" mit 50 Prozent bezuschusst. Mehrere Bundesländer haben ebenfalls eine Förderbereitschaft signalisiert. Da das BSI die anonymisierten Erhebungsdaten der CyberRisikoChecks erhalten wird, kann das Nationale IT-Lagezentrum zukünftig erstmals auf valide Daten zur Cyber-Sicherheit von KMU zurückgreifen und in die BSI-Berichte zur Cyber-Sicherheitslage mit aufnehmen. Der CyberRisikoCheck trägt damit zur Weiterentwicklung präventiver Angebote von Bund, Ländern und Kommunen be. サイバーリスクチェックの費用は、コンサルタントの1日分の費用に相当する。連邦レベルでは、チェックとそれに続く対策勧告に対して、「go-digital」プログラムを通じてすでに50%の補助金が出されている。また、いくつかの連邦州も資金提供の意向を示している。BSIはサイバーリスクチェックから匿名化された調査データを受け取るため、国家IT状況センターは初めて中小企業のサイバーセキュリティに関する有効なデータにアクセスすることができ、サイバーセキュリティ状況に関するBSIの報告書に含めることができる。このように、CyberRiskCheckは、連邦政府、州政府、地方政府が提供する予防サービスのさらなる発展に貢献している。
Schulungen für die Nutzung der Software zur Durchführung des CyberRisikoChecks CyberRiskCheckを実施するためのソフトウェアを使用するためのトレーニング
Am 21.03.2024 hat die erste Schulungsveranstaltung für die Nutzung der Software zur Durchführung des CyberRisikoChecks als Präsenzveranstaltung im BSI in Bonn stattgefunden. Weitere Schulungsveranstaltungen befinden sich in Vorbereitung, die Termine werden in Kürze hier veröffentlicht. 2024年3月21日、CyberRiskCheckを実施するためのソフトウェアを使用するための最初のトレーニングイベントが、ボンのBSIで対面式イベントとして開催された。更なるトレーニングイベントの準備が進められており、その日程は近日中にここに公表される予定である。
Die DIN SPEC 27076 kann von IT-Dienstleistern und weiteren Interessierten beim Beuth-Verlag nach vorhergehender Anmeldung kostenfrei heruntergeladen werden. DIN SPEC 27076は、ITサービス・プロバイダーやその他の関係者が事前登録の上、Beuth-Verlag社から無料でダウンロードすることができる。

 

関連...

Weitere Informationen その他の情報
Förderdatenbank Bundesministerium für Wirtschaft und Klimaschutz 資金調達データベース 連邦経済・気候保護省
Bundesministerium für Wirtschaft und Klimaschutz, Förderprogramm "go digital" 連邦経済・気候保護省「デジタル化」助成プログラム
Beuth Verlag, DIN SPEC 27076:2023-05 ボイト出版社、DIN SPEC 27076:2023-05
mIT Standard sicher mIT標準書庫

 

この制度のページ???

mIT標準書庫...

mIT Standard sicher

サイバーセキュリティを会社で始める:サイバーリスクチェックについて知っておくべきこと



詳細...

Was ist der CyberRisiko-Check?

 

・・ステップ1:無料資料

プロセスの詳細、内容、手順について確認し、最適な準備を行う。説明ビデオに加え、サイバーリスクチェックの最適な準備とフォローアップのためのパンフレットとチェックリストが役立つ。

 

・・ステップ2:資金調達の機会の確認

資金調達ポットを利用することで、サイバーリスクチェックをさらに有利にする様々な方法がある。連邦および州レベルでの様々な資金提供の機会について概要をまとめた。

 

・・ステップ3:適切なITサービス・プロバイダーを見つける

サイバー・リスク・チェックを提供するITサービス・プロバイダーは全国に数百社ある。一旦プロバイダが決まれば、全プロセスを案内してくれる。私たちのディレクトリでは、あなたが連絡することができるサービスプロバイダの概要を見つけることができる。

 


 

無料資料

DIN 規格 27076

DIN SPEC 27076



 

情報パンフレット

イバーリスクチェックとは?

Was ist der CyberRiskio-Check

 

サイバーリスクチェックの前に:最適な準備

小規模企業がサイバーリスクチェックの前に考慮すべきこと

サイバーリスクチェックの前に:最適な準備

Vor dem CyberRisiko-Check: Optimal vorbereitet

 

サイバーリスクチェックを終えて:成功裏の結論

小規模の企業は的を絞った方法で継続する。

Nach dem CyberRisiko-Check: Ein erfolgreicher Abschluss

 

ITサービス・プロバイダー向けガイド

サイバーリスクチェック適用ガイドライン

Leitfaden für IT-Dienstleistungsunternehmen

 

簡単に説明:小規模企業にとってのサイバーリスクチェックのメリット

サイバーリスクチェックで中小企業のサイバーセキュリティに取り組む方法

 

 

簡単に説明:ITサービスプロバイダーがサイバーリスクチェックを正しく適用する方法

ITサービスプロバイダー向け:サイバーリスクチェックを実施する際に考慮すべきこと。

 

 

 


 

中小企業、小事業向けのサイバーセキュリティ対策関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.25 米国 NIST NIST IR 7621 Rev. 2(初期ドラフト)プレドラフト意見募集|「小事業の情報セキュリティ: 基礎編」

・2024.03.16 経済産業省 サイバーセキュリティお助け隊サービスの新たな類型(2類)の創設に係るサービス基準の改定版の公開

・2024.03.07 米国 NSIT サイバーセキュリティ・フレームワーク(CSF)2.0 関連 SP 1299, 1300, 1301, 1302, 1303, 1305 (2024.02.26)

 (SP1300が中小企業向けです...)

・2023.10.24 米国 CISA 中小企業向け:強靭なサプライチェーンリスクマネジメント計画策定のためのリソースガイド

・2023.07.13 英国 小規模企業のサイバーセキュリティをサポート:サイバーアドバイザリー制度 (2023.04.17)

・ 

 

 

| | Comments (0)

ドイツ 医療現場におけるサイバーセキュリティ:BSIの研究が示す緊急対策の必要性

こんにちは、丸山満彦です。

ドイツが診療所でのサイバーセキュリティ対策についての調査結果を公表していますね...

2/3の診療所が100点満点ではなかったようですね...

大学時代にドイツ語をちゃんと勉強しておけばよかった...

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.03.22 Cybersicherheit in Arztpraxen: BSI-Studien zeigen dringenden Handlungsbedarf auf

 

Cybersicherheit in Arztpraxen: BSI-Studien zeigen dringenden Handlungsbedarf auf 医療現場におけるサイバーセキュリティ: BSIの調査は対策の緊急性を示している
Cyberangriffe auf das Gesundheitswesen nehmen zu – medizinische Einrichtungen werden immer häufiger das Ziel von Hacker-Angriffen. Ein zentraler IT-Knotenpunkt unseres Gesundheitswesens ist die Telematikinfrastruktur (TI). Sie ist das Kommunikationsnetzwerk im deutschen Gesundheitssystem, wird regelmäßig kontrolliert und orientiert sich an strengen Spezifikationen. Die Sicherheitslage der IT-Infrastruktur von Arztpraxen in Deutschland hingegen wird bisher kaum erfasst, obwohl sie essenziell für die Verarbeitung sensibler Daten und direkt an die TI angeschlossen sind. Darum hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit zwei aktuellen Studien eine Datengrundlage geschaffen, mittels derer die IT-Sicherheit von Arztpraxen schnell und nachhaltig erhöht werden kann. 医療分野へのサイバー攻撃は増加の一途をたどっており、医療施設はますますハッカー攻撃の標的になっている。医療システムの中心的なITハブはテレマティクス・インフラ(TI)である。これはドイツの医療システムにおける通信ネットワークであり、定期的に監視され、厳格な仕様に基づいている。しかし、ドイツの外科医のITインフラのセキュリティ状況は、機密データの処理に不可欠であり、TIに直接接続されているにもかかわらず、これまでほとんど記録されていない。このため、連邦情報セキュリティー局(BSI)は、診療所のITセキュリティーを迅速かつ持続的に向上させるために利用できる2つの最近の研究結果をデータ基盤として作成した。
Ergebnisse der Studie SiRiPrax SiRiPrax調査の結果
In einer deutschlandweiten Umfrage konnte das BSI einen Einblick in die Umsetzung der IT-Sicherheitsrichtlinie gem. § 75b SGB V in ca. 1.600 Arztpraxen gewinnen. Die Richtlinie adressiert Voraussetzungen für die IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung und umfasst auch Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der TI, die in der vertragsärztlichen Versorgung genutzt werden. Ziel der Befragung war es, den Umsetzungsgrad der Richtlinie zu erheben und Verbesserungspotenziale zu identifizieren. ドイツ全土を対象とした調査で、BSIは約1,600の診療所におけるSGB V第75b条に準拠したITセキュリティガイドラインの実施状況を把握することができた。同ガイドラインは、契約医療・歯科医療におけるITセキュリティの要件を扱っており、契約医療で使用されるTIコンポーネントやサービスの安全な設置や保守に関する要件も含まれている。調査の目的は、この指令の実施度合いを判定し、改善の可能性を特定することであった。
Lediglich ein Drittel der Befragten gab eine vollständige Umsetzung aller mit der Richtlinie vorgegebenen Schutzmaßnahmen an. Gleichzeitig ergab die Befragung, dass zehn Prozent der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen waren. Zusätzlich zeigte sich, dass bei der aktuellen Fassung der IT-Sicherheitsrichtlinie Optimierungsbedarf bezüglich Verständlichkeit und konkreter Hilfestellungen bei der Umsetzung bestehen. Zudem wurde festgestellt, dass der Einsatz eines Informationssicherheitsbeauftragten in Arztpraxen sich unmittelbar positiv auf die IT-Sicherheit auswirkt. 回答者の3分の1だけが、指令で規定されている保護措置をすべて完全に実施していると答えた。同時に、調査の結果、診療所の10%がすでに一度はITセキュリティ・インシデントの影響を受けていることが明らかになった。また、ITセキュリティガイドラインの現行版を、わかりやすさや具体的な実施支援という点で最適化する必要性があることも示された。また、医療現場における情報セキュリティ担当者の任命は、ITセキュリティに直接的なプラスの効果をもたらすことも明らかになった。
Ergebnisse der Studie CyberPraxMed CyberPraxMed調査の結果
Parallel wurde in einer Auswahl von 16 Arztpraxen eine Umfrage mit dem Ziel durchgeführt, Cyberrisikofaktoren und Angriffsmöglichkeiten qualitativ zu erfassen. Dafür wurden die Netzwerkstruktur, bereits vorhandene Sicherheitsvorkehrungen und der „Faktor Mensch“, also personelle Aspekte, in den Blick genommen. Die Auswahl der Arztpraxen erfolgte nach den Kriterien des Fachgebiets, der Anzahl der Mitarbeiterinnen und Mitarbeiter sowie der geografischen Lage. 同時に、サイバーリスク要因と攻撃機会を定性的に記録することを目的として、16の診療所から選ばれた診療所を対象に調査が実施された。この目的のため、ネットワーク構造、既存のセキュリティ対策、「人的要因」、すなわち人的側面が分析された。診療所は、専門性、従業員数、地理的位置の基準に従って選ばれた。
Im Rahmen des Projekts hat das BSI teils schwerwiegende Sicherheitsmängel – unzureichender Schutz vor Schadsoftware, mangelndes Patchmanagement und fehlende Back-ups – festgestellt. So befand sich in allen untersuchten Praxen der Konnektor zur Anbindung an die TI im Parallelbetrieb zu einem gewöhnlichen Router und konnte dadurch seine Schutzwirkung nicht vollständig entfalten. Zudem waren in keiner der befragten Praxen sensible Patientendaten durch eine Festplattenverschlüsselung geschützt. プロジェクトの一環として、BSIは、マルウェアに対する不十分な保護、不十分なパッチ管理、バックアップの欠如など、いくつかの深刻なセキュリティ上の欠陥を特定した。例えば、TIに接続するためのコネクターは、分析対象となったすべての診療所で通常のルーターと並行して運用されていたため、保護効果を十分に発揮できなかった。さらに、調査対象となった診療所のいずれにおいても、患者の機密データはハードディスクの暗号化によって保護されていなかった。
Ziel des Projekts ist es, Artpraxen einen Projektbericht, der die gefundenen Schwachstellen zusammen mit einer Risikobewertung und Handlungsempfehlungen auflistet, zur Verfügung zu stellen. Darin enthalten ist eine Handreichung mit pragmatischen, schnell umsetzbaren Maßnahmen, deren Umsetzung Ärztinnen und Ärzten die Möglichkeit bietet, ihre Praxen mit geringem Aufwand robuster gegen Cyberangriffe zu machen. このプロジェクトの目的は、発見された脆弱性をリスク評価と対策勧告とともに記載したプロジェクト報告書を診療所に提供することである。これには、実用的ですぐに実行可能な対策が記載された配布資料も含まれており、これを実施することで、医師はわずかな労力でサイバー攻撃に対して診療所をより強固にする機会を得ることができる。
BSI-Präsidentin Claudia Plattner: „Die gute Nachricht ist: Viele der Sicherheitsmängel, die wir festgestellt haben, können schnell und ressourcenschonend behoben werden. Die Ergebnisse aus den Studien ermöglichen uns, die IT-Sicherheit in Arztpraxen durch pragmatischere Vorgaben gezielt zu verbessern und so die Digitalisierung des Gesundheitswesens weiter voranzutreiben. Damit uns das gelingt, brauchen wir einen festen Schulterschluss zwischen allen Akteuren.“ BSIのクラウディア・プラットナー会長は、「我々が特定したセキュリティ上の欠陥の多くは、資源を浪費することなく、迅速に是正できることが朗報だ。この研究結果は、より現実的な要求事項を通じて、医療現場のITセキュリティを的を絞った形で改善し、医療部門のデジタル化をさらに進めることを可能にするだろう。そのためには、すべての関係者が緊密に協力する必要がある。"
Gelegenheit zum direkten Austausch mit dem BSI zum Themenkomplex Digital Health gibt es auf der Gesundheits-IT-Fachmesse DMEA vom 9. bis 11. April 2024 in Berlin. Am Messestand 105b in Halle 06.2 haben Interessierte die Möglichkeit, sich zu aktuellen BSI-Aktivitäten rund um die TI und vernetzte Medizinprodukte sowie die Cybersicherheit in Arztpraxen und im Rettungswesen zu informieren. 2024年4月9日から11日までベルリンで開催されるDMEAヘルスケアIT見本市では、デジタルヘルスをテーマにBSIと直接交流する機会が設けられる。ホール06.2のスタンド105bでは、関係者がTIやネットワーク化された医療機器、医療行為や救急サービスにおけるサイバーセキュリティに関するBSIの現在の活動について知ることができる。

 

Weitere Informationen 詳細情報
E-Health Eヘルス
Projekte im Bereich der Medizintechnik 医療技術分野のプロジェクト
Hinweise zur IT-Sicherheitsrichtlinie nach § 75b SGB V SGB V第75b条に基づくITセキュリティガイドラインに関する情報
DMEA 2024 DMEA 2024
[PDF] Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen [PDF] 医療現場におけるITセキュリティガイドラインの評価
[PDF] CyberPraxMed Abschlussbericht [PDF] CyberPraxMed最終報告書
[PDF] Tätigkeitsbericht Gesundheit 2023 [PDF] ヘルス2023活動報告

 

・2024.03.22 Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen

Evaluierung der IT-Sicherheitsrichtlinie in Arztpraxen 医療現場におけるITセキュリティガイドラインの評価
Maßgeblich für die Etablierung einer ausreichenden und flächendeckenden IT-Sicherheit in Praxen ist neben der Angemessenheit der Anforderungen ebenfalls die Anwendbarkeit. Diese Anwendbarkeit ist stets auch von der allgemeinen Verständlichkeit der Anforderungen abhängig. Um einen Einblick in die bisherige Umsetzung und die Verständlichkeit der 2020 veröffentlichten IT-Sicherheitsrichtlinie zu erlangen, hat das BSI im Nachgang der belastenden Corona-Pandemie eine Befragung bei den Leistungserbringenden in der ambulanten Versorgung in Auftrag gegeben. 医療現場において十分かつ包括的なITセキュリティを確立するためには、要求事項の適切性に加えて、適用可能性も決定的な要素となる。この適用可能性は、常に要求事項の一般的な理解可能性にも依存する。BSIは、2020年に発表されたITセキュリティガイドラインの実施状況と理解可能性を把握するため、ストレスの多いコロナウィルスの大流行を受けて、外来診療のサービスプロバイダーに調査を依頼した。
Das Vorgehen und die Ergebnisse, der von März bis Mai 2023 durchgeführten Befragung, werden in diesem Dokument vorgestellt. Hierzu wird zunächst die Ausgangslage und relevante Fragestellungen benannt, das Untersuchungsdesign der Befragung dargestellt und eine Einordnung der teilgenommenen Arztpraxen präsentiert. Anschließend werden die Ergebnisse zu einzelnen Fragestellungen dargelegt und schließlich eine Interpretation der Umfrageergebnisse vorgenommen. 本書では、2023年3月から5月にかけて実施された調査の手順と結果を紹介する。まず、最初の状況および関連する質問項目が挙げられ、調査デザインが示され、参加した診療所が分類されている。その後、個々の質問の結果を示し、最後に調査結果の解釈を示す。

 

・[PDF]

20240326-181118

 

目次...

1 Einleitung 1 はじめに
2 Hintergrund und Ausgangslage der Untersuchung 2 研究の背景と出発点
2.1 Untersuchungsdesign 2.1 研究デザイン
2.2 Soziogram 2.2 ソシオグラム
3 IT-Sicherheitsrichtlinie und IT-Strukturen 3 ITセキュリティ方針とIT構造
3.1 Umsetzung, Bekanntheit und Verständlichkeit 3.1 導入、親しみやすさ、理解しやすさ
3.2 IT-Ausstattung und deren Nutzen 3.2 IT機器とそのメリット
4 Schlussfolgerung und Erkenntnisse aus der Umfrage 4 結論と調査結果
5 Literaturverzeichnis 5 参考文献

 

マネジメントサマリー...

Management Summary マネジメントサマリー
Die IT-Sicherheitsrichtlinie gem. § 75b SGB V1 definiert Mindestanforderungen an die IT-Sicherheit für einen sicheren Betrieb in Arztpraxen. Das Bundesamt für Sicherheit in der Informationstechnik führte im Rahmen der gesetzlich vorgeschriebenen Evaluation von März bis Mai 2023 eine Umfrage zur IT-Sicherheit in Praxen, vor dem Hintergrund dieser IT-Sicherheitsrichtlinie, durch. Die ca. 1.600 Rückmeldungen der Befragten stellen einen Einblick in die derzeitige Berücksichtigung von IT-Sicherheit im Versorgungsalltag dar. 第75b SGB V1に準拠したITセキュリティガイドラインは、医療現場における安全な運用のためのITセキュリティの最低要件を定義している。連邦情報セキュリティ局は、法律で定められた評価の一環として、このITセキュリティガイドラインを背景に、2023年3月から5月にかけて、診療所におけるITセキュリティに関する調査を実施した。回答者から寄せられた約1,600件の回答から、日常的な医療におけるITセキュリティの検討状況を知ることができる。
Arztpraxen verfügen über eine recht große Anzahl an technischen, digitalen und medizinischen Geräten, die in einem Netzwerk eingebunden oder extern verwendet werden. Des Weiteren arbeiten sie mit unterschiedlichen Programmen und branchenspezifischer Software. 医療現場には、ネットワークに統合されたり、外部で使用されたりする技術機器、デジタル機器、医療機器が非常に多く存在する。また、さまざまなプログラムや業界特有のソフトウェアを使用している。
Die meisten Befragten sind um Sicherung und Schutz ihrer Daten bemüht und halten sich bei diesem Thema für gut informiert. In fast jeder Praxis gibt es einen IT-Sicherheitsbeauftragten. ほとんどの回答者は、データの安全性と保護に関心を持っており、このトピックについて十分な情報を持っていると考えている。ほぼすべての診療所にITセキュリティ担当者がいる。
Dennoch verweist die durchwachsene Bekanntheit der IT-Richtlinie nach § 75b SGB V und ihrer Umsetzung darauf, dass das Thema und seine Bedeutung viele Praxen noch nicht erreicht hat. とはいえ、第75b条SGB Vに準拠したITガイドラインとその実施に関する認識がまちまちであることから、このテーマとその重要性がまだ多くの診療所に浸透していないことがわかる。
Dass die Vorgaben aktuell nur in einem Drittel der Praxen vollumfänglich umgesetzt wurden, scheint zum einen mit Verständnisproblemen hinsichtlich der Vorgaben und Zweifel an deren Nutzen zu tun zu haben, zum anderen mit fehlendem oder unzureichendem Budget, Personal und Zeit. Möglicherweise empfinden viele Praxen zudem keine große Dringlichkeit, da sie meistens noch keinen IT-Sicherheitsvorfall hatten. 現在、ガイドラインが3分の1の診療所でしか完全に実施されていないという事実は、ガイドラインを理解する上での問題や、ガイドラインの有用性に対する疑問、さらには予算、スタッフ、時間の不足や不足によるものと思われる。また、多くの診療所では、まだITセキュリティ事故が発生していないため、それほど緊急性を感じていない可能性もある。
Die flächendeckende Umsetzung der Richtlinie zur Etablierung eines Mindestschutzes bei den Arztpraxen bedarf weiterer Anstrengungen, damit bestehende Hürden, wie Verständnisprobleme oder unklare Umsetzungen ausgeräumt werden können. 診療所における最低レベルの保護を確立するための指令の包括的な実施には、理解力の問題や実施方法の不明確さといった既存のハードルを克服できるよう、さらなる努力が必要である。

 

ガイド...

全国法定保険医協会(KBV)。2020年 ITセキュリティ確保要件に関するSGB V第75b条に基づく指令

・[PDF] Kassenärztliche Bundesvereinigung (KBV). 2020. Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit,

20240327-43455

 

連邦法定保険歯科医協会(KZBV)。2021. ITセキュリティ確保の要件に関するSGB V第75b条に従ったガイドライン

https://www.kzbv.de/it-sicherheitsrichtlinie-75b-kzbv-v1-01-0121.download.e97ec0837147f4639f3b4c32e5775c84.pdf

 

 

| | Comments (0)

2024.03.26

中国 越境データ流通の促進および規制に関する規定 (2024.03.22)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、越境データ流通のs苦心および規制に関する規定を公布し、施行しています...

2022年7月に施行された、データ越境セキュリティ評価弁法個人情報越境移転標準契約弁法に優先するようです...

データ流通の促進のための安全保障、個人の人権に関わりが低い部分についての規則をゆるくする感じなんですかね...

 

国家互联网信息办公室(国家サイバースペース管理局)

・2024.03.22 促进和规范数据跨境流动规定

促进和规范数据跨境流动规定 越境データ流通の促進および規制に関する規定
国家互联网信息办公室令 国家サイバースペース管理局法令
第16号 第16号
《促进和规范数据跨境流动规定》已经2023年11月28日国家互联网信息办公室2023年第26次室务会议审议通过,现予公布,自公布之日起施行。 「越境データ流通の促進および規制に関する規定」は、2023年11月28日に開催された国家サイバースペース管理局第26回室務会議で審議・採択され、ここに公布し、公布の日から施行する。
国家互联网信息办公室主任 庄荣文 国家サイバースペース管理局局長 荘栄文
2024年3月22日 2024年3月22日
促进和规范数据跨境流动规定 越境データ流通の促進および規制に関する規定
第一条 为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。 第1条 「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」などの法律法規に基づき、データ越境セキュリティ評価、個人情報越境標準契約、個人情報保護認証を含むデータ越境制度の整備に関して、本規程を制定する。
第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。 第2条 データ処理者は、関連規定に従って重要なデータを特定し、申告しなければならない。 データ処理者は、関連部門または地域から重要データとして通知または公表されていない場合、データ越境セキュリティ評価を重要データとして申告する必要はない。
第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 第3条 中国国外で提供される国際貿易、越境輸送、学術協力、越境生産および製造販売活動において収集および生成されたデータで、個人情報または重要データを含まないものは、データ越境セキュリティ評価の申告、個人情報越境標準契約の締結、及び個人情報保護認証の取得が免除される。
第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 第4条 中国国外で収集・生成された個人情報を中国国内で処理するために送信し、処理過程で個人情報または重要データを中国国内に持ち込まずに中国国外で提供する情報処理者は、データ越境セキュリティ評価の申告、個人情報越境標準契約の締結、及び個人情報保護認証の取得が免除される。
第五条 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证: 第5条 情報処理業者が個人情報を国外に提供する場合において、次の各号の一に該当するときは、データ越境セキュリティ評価の申告、個人情報越境標準契約の締結、及び個人情報保護認証の取得が免除される。
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的; (1) 越境ショッピング、越境郵送、越境送金、越境支払い、越境口座開設、航空券やホテルの予約、ビザの申請、試験サービスなど、本人が当事者となる契約の締結および履行のために、個人情報を国外に提供することが本当に必要である場合
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的; (2) 従業員の個人情報を国外に提供する真に必要性がある場合、法律に従って策定された労働規則および法律に従って締結された労働協約に従って、越境人事管理を実施する場合
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的; (3) 緊急時に自然人の生命、健康および財産の安全を保護するために、個人情報を国外に提供する必要がある場合;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。 (4) 重要情報インフラの運営者以外のデータ処理者が、当該年の1月1日以降、中国国外に提供した個人情報(機微な個人情報を除く)の累計が10万人未満である場合
前款所称向境外提供的个人信息,不包括重要数据。 前項の国外に提供された個人情報には、重要なデータは含まれない。
第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。 第6条 自由貿易特区は、国家データ分類・階層保護制度の枠組みの下で、自ら、データ越境セキュリティ評価、個人情報越境標準契約、個人情報保護認証管理の範囲に含める必要のある区内データのリスト(以下、ネガティブリストという)を作成し、省サイバーセキュリティ・情報化委員会の承認を得た後、国家ネット情報部門および国家データ管理部門に報告し、記録することができる。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 ネガティブリスト外のデータを外国に提供する自由貿易試験区内のデータ処理者は、データ越境セキュリティ評価の申告、個人情報越境標準契約の締結、個人情報保護認証の取得が免除される。
第七条 数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: 第7条 データ処理業者が国外にデータを提供する場合、次の各号の一に該当する場合、データ越境セキュリティ評価を、そのデータ処理業者が所在する省インターネット情報部門を通じて、国家インターネット情報部門に申告しなければならない:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据; (1) 重要情報インフラ事業者が個人情報または重要データを国外に提供する場合;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。 (2) 重要情報インフラ事業者以外の情報処理者が、重要データを国外に提供する場合、または当該年の1月1日以降の累計で、100万人以上の個人情報(機微個人情報を除く)または1万人以上の機微個人情報を国外に提供する場合;
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。 本規定第3条、第4条、第5条および第6条に規定する場合には、その規定を準用する。
第八条 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。 第8条 重要情報インフラ事業者以外の情報処理事業者は、当該年の1月1日以降、外国に提供する個人情報(機微な個人情報を除く。)の数が10万人以上、100万人未満、または機微な個人情報の数が1万人未満の場合、法令に基づき、当該外国の受取人との間で個人情報の輸出に関する標準契約を締結し、または個人情報保護に関する証明に取得しなければならない。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。 本規則第3条、第4条、第5条および第6条に規定する場合には、その規定を準用する。
第九条 通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。 第9条 データ越境安全評価結果の有効期間は、アセスメント結果の日から3年間とする。 有効期間が満了した後、引き続きデータ越境活動を行う必要があり、かつデータ越境セキュリティ評価状況を再度申告する必要がない場合、情報処理者は、有効期間が満了する前60営業日以内に、地方ネット信用部門を通じて国家ネット信用部門に評価結果の有効期間の延長を申請することができる。 国家インターネット情報部門の承認があれば、アセスメント結果の有効期間は3年間延長できる。
第十条 数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。 第10条 情報処理者は、個人情報を中国国外に提供する場合、法律および行政法規の規定に従い、通知、本人の同意の取得、個人情報保護の影響アセスメントなどの義務を履行しなければならない。
第十一条 数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。 第11条 国外にデータを提供する情報処理者は、法令の規定を遵守し、データ安全保護義務を履行し、国外におけるデータ安全保護のための技術的措置およびその他の必要な措置を講じなければならない。 データ・セキュリティ事故が発生し、または発生するおそれがある場合、改善措置を講じ、速やかに省レベル以上のネット情報部門およびその他の関係機関に報告しなければならない。
第十二条 各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。 第12条 地方のネット信用部門は、データ処理業者のデータ越境活動に対する指導と監督を強化し、データ越境セキュリティ評価制度を改善・完備し、アセスメントプロセスを最適化し、事前のチェーン全体、事後の現場全体に対する監督を強化し、データ越境活動またはデータセキュリティインシデントの発生リスクが高いことを発見し、データ処理業者に対して是正を要求し、隠れた危険を除去しなければならず、是正を拒否し、または重大な結果を引き起こした場合、法律上の責任を追及される。 法に従って法的責任を調査する。
第十三条 2022年7月7日公布的《数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。 第13条 2022年7月7日に公布された「データ越境セキュリティ評価弁法」(国家サイバースペース管理局令第11号)、2023年2月22日に公布された「個人情報越境標準契約弁法」(国家サイバースペース管理局令第13号)及びその他の関連規定が本規定と矛盾する場合、本規定を適用する。
第十四条 本规定自公布之日起施行。 第14条 本規定は公布の日から施行する。

 

1_20210612030101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.01 中国 個人情報越境移転標準契約弁法 (2023.02.24)

・2023.10.06 中国 国家サイバースペース管理局 データの越境流動に対する規制と促進に関する規定(意見募集案)

・2022.09.02 中国 国家サイバースペース管理局 データ越境セキュリティ評価報告書作成ガイド(第1版)

・2022.07.13 中国 国家サイバースペース管理局 「データ越境セキュリティ評価弁法」を公表 (2022.07.07)

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

 

 

| | Comments (0)

米国 FedRAMP 意見募集 ペネトレーション・テスト・ガイダンス Version 4.0(案) (2024.03.04)

 こんにちは、丸山満彦です。

米国連邦政府のクラウド認証といえば、FedRAMP。日本もこれを参考にISMAPの制度をつくりましたね...

FedRAMPの2015年に策定された「ペネトレーション・テスト・ガイダンス」ですが、改訂を重ねて、2022年に現在のVersion 3.0となり、今回Version 4.0のドラフトが公開され、意見募集されています。

このガイドを理解するためには、以下の文章も参照にするとよいですね...

ということで...

FedRAMP - Blog

・2024.03.04 Penetration Test Guidance Public Comment Period

ということで...

Penetration Test Guidance Public Comment Period ペネトレーション・テスト・ガイダンスのパブリック・コメント期間
FedRAMP is seeking feedback on the draft FedRAMP Penetration Test Guidance. The original guidance provides requirements for organizations planning to conduct a FedRAMP penetration test to identify weaknesses in their IT system, as well as the associated attack vectors and overall reporting requirements. FedRAMP は FedRAMP ペネトレーション・テスト・ガイダンスのドラフトに対する意見を求めている。オリジナルのガイダンスは、IT システムの弱点を特定するために FedRAMP ペネトレーション・テストの実施を計画している組織に対する要件、関連する攻撃ベクトル、および全体的な報告要件を規定している。
The FedRAMP Rev. 5 High, Moderate, Low, and Li-SaaS baselines include an annual requirement for penetration testing. For FedRAMP Low and Li-SaaS baselines, an independent assessor is not required and scope can be limited to public facing applications in alignment with OMB Memorandum M-22-09. FedRAMP Rev. 5 High、Moderate、Low、Li-SaaS ベースラインには、ペネトレーション・テストの年次要件が含まれている。FedRAMPのLowとLi-SaaSのベースラインでは、独立した評価者は必要なく、範囲はOMB覚書M-22-09に沿った公衆向けアプリケーションに限定することができる。
The updated guidance explains the requirements for organizations executing FedRAMP penetration tests and reporting testing results. Third Party Assessment Organizations (3PAOs) must follow the requirements for testing implementation. Cloud Service Providers can use the guidance to understand the scope of, and their role in the 3PAO testing. The guidance has been updated to include the Red Team Testing Requirements. More information can be found in our most recent blog post highlighting the additional Rev. 5 documents that were released, which were adopted in FedRAMP baselines. FedRAMP does not provide a Penetration Testing and Reporting template. 更新されたガイダンスは、FedRAMP の侵入テストを実施し、テスト結果を報告する組織の要件を説明している。第三者評価機関(3PAO)は、テストの実施に関する要件に従わなければならない。クラウド・サービス・プロバイダは、3PAOのテストの範囲とその役割を理解するために、このガイダンスを利用することができる。本ガイダンスは、レッドチームテスト要件を含むように更新された。より詳しい情報は、FedRAMP のベースラインに採用された Rev.5 の追加文書がリリースされたことを強調する、当機関の最新のブログ投稿で見ることができる。FedRAMP は、侵入テストと報告のテンプレートを提供していない。
The existing FedRAMP Penetration Test Guidance vectors are based on threat and attack models listed in the updated guidance. These have remained standard. However, based on the current threat environment, FedRAMP understands additional attack vectors might be defined for consideration, e.g., vectors applicable to Data Loss Prevention subsystems. If a stakeholder feels it reasonable to include additional attack vectors for consideration, the additional threat and attack models should also be included, as applicable. At a minimum, FedRAMP requires that all mandatory attack vectors outlined in the FedRAMP Penetration Test Guidance are covered in every 3PAO Penetration Test and Report. 既存の FedRAMP ペネトレーションテストガイダンスのベクターは、更新されたガイダンスに記載されている脅威と攻撃モデルに基づいている。これらは標準のままである。しかしながら、現在の脅威環境に基づき、FedRAMP は、例えばデータ損失防止サブシステムに適用可能なベクターなど、検討のために追加の攻撃ベクターが定義される可能性があることを理解している。利害関係者が検討のために追加の攻撃ベクターを含めることが妥当であると考える場合、該当する場合には、追加の脅威および攻撃モデルも含めるべきである。最低限、FedRAMP は、FedRAMP ペネトレーションテストガイダンスに概説されているすべての必須攻撃ベク ターを、すべての 3PAO ペネトレーションテストおよび報告書でカバーすることを要求している。
Additionally, several other requirements were updated to provide clarity and ensure that requirements were identified as mandatory instead of optional. Outlined below are the most notable updates: さらに、他のいくつかの要件は、明確性を提供し、要件がオプションではなく必須として識別されるように更新された。以下に、最も注目すべき更新の概要を示す:
NIST SP 800-53 Revision 5 update - Security Control CA-8(2) Security Assessment and Authorization, Penetration Testing, Red Team Exercises for all FedRAMP High and Moderate criticality systems added as Appendix E: Red Team Exercises. ・NIST SP 800-53 改訂第 5 版の更新 - すべての FedRAMP 高・中重要度システムのセキュリティ管理 CA-8(2) セキュリティアセスメントと認可、侵入テスト、レッドチーム演習を附属書 E:レッドチーム演習として追加した。
・Language clarifications to ensure that the mandatory requirements are better understood. ・必須要件がよりよく理解されるよう、文言を明確化した。
・Detailed explanation of the Email Phish Campaign requirements to most effectively conduct the campaign. Updates were made for landing page requirements for CSP personnel who are victims of the campaign. ・最も効果的にキャンペーンを実施するための、電子メールフィッシングキャンペーンの要件の詳細な説明。キャンペーンの被害者である CSP 要員のためのランディングページの要件が更新された。
Addition of references to the MITRE ATT&CK(R) Matrix for Enterprise and the NIST Red Team Definition. ・エンタープライズ向け MITRE ATT&CK(R) マトリクスおよび NIST レッドチーム定義への参照を追加した。
Note that the CA-8(2) Red Team Testing Requirements outlined in the Penetration Test Guidance address the NIST/FedRAMP testing requirements, and are not the same as the ‘intensive, expert-led “red team”’ assessments referred to in the Office of Management and Budget draft memo, Modernizing the Federal Risk and Authorization Management Program (FedRAMP) (which was discussed previously on the FedRAMP blog). ペネトレーション・テスト・ガイダンスに概説されている CA-8(2) レッドチーム・テスト要件は、NIST/FedRAMP テスト要件に対応するものであり、行政管理予算局のドラフト・メモ「連邦リスク及び認可管理プログラム(FedRAMP)の近代化」(FedRAMP ブログで以前議論された)で言及されている「専門家主導の集中的な "レッドチーム"」アセスメントとは異なることに注意すること。
If you have comments, edits, or feedback on the draft updated Penetration Test Guidance, submit them via the Public Comments_Draft Penetration Test Guidance form by April 24, 2024. Please be sure to include the specific draft section to which your question or comment refers. To read comments that have already been submitted, you may view the Public Comments Draft Penetration Test Guidance read-only version. 更新されたペネトレーションテストガイダンスのドラフトについてコメント、編集、フィードバックがある場合は、2024年4月24日までにパブリックコメント_ドラフトペネトレーションテストガイダンスのフォームから提出すること。その際、質問やコメントの対象となる特定のドラフト・セクションを必ず含めること。すでに提出されたコメントを読むには、パブリックコメント・ドラフト・ペネトレーションテストガイダンスの読み取り専用版を閲覧することができる。

 

・[PDF] FedRAMP Penetration Test Guidance Version 4.0 Dfaft

20240326-33552

 

目次...

About This Document この文書について
Who Should Use This Document? 誰がこの文書を使うべきか?
How to Contact Us 連絡方法
1. Scope of Testing 1. テストの範囲
1.1 Table 2: Cloud Service Classification 1.1 表2:クラウドサービスの分類
2. Threats 2. 脅威
2.1 Threat Models 2.1 脅威モデル
2.2 Attack Models 2.2 攻撃モデル
3. Attack Vectors 3. 攻撃ベクトル
3.1 Mandatory Attack Vectors 3.1 必須の攻撃ベクトル
3.1.1 Attack Vector 1: External to Corporate 3.1.1 攻撃ベクトル1:外部から企業へ
Email Phish Campaign 電子メールによるフィッシングキャンペーン
Non-Credentialed-Based Phishing Attack 非認証ベースのフィッシング攻撃
3.1.2 Attack Vector 2: External to CSP Target System 3.1.2 攻撃ベクトル 2:外部からCSP ターゲット・システムへ
Internal Threats 内部脅威
Unintentional Threat (Negligence, Accidental) 非意図的な脅威(過失、事故)
Intentional Threats 意図的な脅威
Other Threats その他の脅威
Poor Separation Measures and Defense In Depth 分離対策および防御策の不備
3.1.3 Attack Vector 3: Tenant to CSP Management System 3.1.3 攻撃のベクトル 3: テナントから CSP管理システムへ
Privileged and Unprivileged Users 特権ユーザと非特権ユーザ
3.1.4 Attack Vector 4: Tenant-to-Tenant 3.1.4 攻撃のベクトル 4:テナント間
3.1.5 Attack Vector 5: Mobile Application to Target System 3.1.5 攻撃のベクトル 5:モバイル・アプリケーションからターゲット・システムへ
3.1.6 Attack Vector 6: Client-side Application and/or Agents to Target System 3.1.6 攻撃手段 6:クライアント側アプリケーションおよび/またはエージェントから対象システムへ
4. Scoping the Penetration Test 4. 侵入テストのスコープ
5. Rules of Engagement (ROE) 5. ルール・オブ・エンゲージメント(ROE)
6. Reporting 6. 報告
6.1 Scope of Target System 6.1 対象システムの範囲
6.2 Attack Vectors Assessed During the Penetration Test 6.2 侵入テストで評価される攻撃ベクトル
6.3 Timeline for Assessment Activity 6.3 評価活動のタイムライン
6.4 Actual Tests Performed and Results 6.4 実際に実施したテストとその結果
6.5 Findings and Evidence 6.5 発見事項と証拠
6.6 Access Paths 6.6 アクセス経路
7. Testing Schedule Requirements 7. テストスケジュールの要件
8. Third Party Assessment Organizations (3PAOs) Staffing Requirements 8. 第三者評価機関(3PAO)の人員要件
Appendix A: Definitions 附属書 A:定義
Appendix B: References 附属書 B:参考文献
Appendix C: Rules of Engagement / Test Plan Template 附属書 C:関与規定/テスト計画書テンプレート
Rules of Engagement / Test Plan 関与規定/テスト計画書
System Scope システム範囲
Assumptions and Limitations 想定と制限
Testing Schedule テストスケジュール
Testing Methodology テスト方法
Relevant Personnel 関係者
Incident Response Procedures インシデント対応手順
Evidence Handling Procedures 証拠取扱手順
Appendix D: Red Team Exercises 附属書 D: レッドチーム演習
Requirement 要件
Objective 目的
Deliverables 成果物

 

ちなみに現在のVersion 3.0

・[PDF] FedRAMP Penetration Test Guidance Version 3.0

20240326-34736

 

 

| | Comments (0)

2024.03.25

米国 NIST NIST IR 7621 Rev. 2(初期ドラフト)プレドラフト意見募集|「小事業の情報セキュリティ: 基礎編」

こんにちは、丸山満彦です。

米国のNISTが2016年に改訂したNIST IR 7621 小事業 (small business) のための情報セキュリティ基礎編の改訂にあたり、意見を募集していますね。現在のIR 7621 Rev.1はNISTサイバーセキュリティフレームワークに沿って作成されているのと、改訂後の変更を取り入れる必要があり、改訂するようですね...

日本でも業務のサプライチェーンを保護することが必要となるため、委託先管理としてのサプライチェーンリスクも注目されていますが、そのさいにいわゆる中小企業のセキュリティ対策が重要となるのですが、こういうガイドも参考になるかもですね...

 

● NIST - ITL

・2024.03.18 NIST IR 7621 Rev. 2 (Initial Preliminary Draft) PRE-DRAFT Call for Comments | Small Business Information Security: The Fundamentals

 

NIST IR 7621 Rev. 2 (Initial Preliminary Draft) PRE-DRAFT Call for Comments | Small Business Information Security: The Fundamentals NIST IR 7621 Rev. 2(初期ドラフト) プレドラフト意見募集|小事業の情報セキュリティ: 基礎編」
Announcement 発表
Summary 概要
NIST plans to update NIST IR 7621 Rev. 1, Small Business Information Security: The Fundamentals and is issuing this Pre-Draft Call for Comments to solicit feedback. The public is invited to provide input by 12 p.m. ET on May 16, 2024.  NISTは、NIST IR 7621 Rev.1「小事業の情報セキュリティ」を更新する予定である: このプレドラフトを公表し、意見を募集する。一般市民は、2024年5月16日午後12時(米国東部時間)までに意見を提出することが求められる。
Details 詳細
Since NIST IR 7621 Revision 1 was published in November of 2016, NIST has developed new frameworks for cybersecurity and risk management and released major updates to critical resources and references. This revision will focus on clarifying publication audience, making the document more user-friendly, aligning with other NIST guidance, updating the narrative with current approaches to cybersecurity risk management, and updating appendices. Before revising, NIST invites the public to suggest changes that would improve the document’s effectiveness, relevance, and general use to better help the small business community understand and manage their cybersecurity risk. 2016年11月にNIST IR 7621 Revision 1が発行されて以来、NISTはサイバーセキュリティとリスクマネジメントのための新たなフレームワークを開発し、重要なリソースや参考文献の大幅な更新を発表してきた。今回の改訂では、発行対象者の明確化、文書の使いやすさ、他のNISTガイダンスとの整合、サイバーセキュリティリスクマネジメントの最新のアプローチによる説明の更新、附属書の更新に重点を置く。改訂に先立ち、NIST は、小事業コミュニティがサイバーセキュリティ・リスクを理解し、マネジメントすることをより良く支援するために、この文書の有効性、妥当性、一般的な利用方法を改善するような変更点を提案するよう一般に呼びかけている。
NIST welcomes feedback and input on any aspect of NIST IR 7621 and additionally proposes a list of non-exhaustive questions and topics for consideration: NISTは、NIST IR 7621のあらゆる側面に関するフィードバックや意見を歓迎し、さらに、検討のための非網羅的な質問とトピックのリストを提案する:
・How have you used or referenced NIST IR 7621? ・NIST IR 7621をどのように利用または参照したか?
・What specific topics in NIST IR 7621 are most useful to you? ・NIST IR 7621のどのようなトピックが最も有用か。
・What challenges have you faced in applying the guidance in NIST IR 7621? ・NIST IR 7621のガイダンスを適用するにあたり、どのような課題に直面したか?
・Is the document’s current level of specificity appropriate, too detailed, or too general? If the level of specificity is not appropriate, how can it be improved? ・文書の現在の具体性のレベルは適切か、詳細すぎるか、一般的すぎるか。具体性のレベルが適切でない場合、どのように改善できるか。
・How can NIST improve the alignment between NIST IR 7621 and other frameworks and publications? ・NIST IR 7621 と他のフレームワークや出版物との整合性をどのように改善できるか。
・What new cybersecurity capabilities, challenges, or topics should be addressed? ・どのような新しいサイバーセキュリティ能力、課題、またはトピックを取り上げるべきか。
・What topics or sections currently in the document are out of scope, no longer relevant, or better addressed elsewhere? ・現在文書に記載されているトピックやセクションのうち、適用範囲外であるもの、もはや適切でないもの、他で扱った方がよいものは何か。
・Are there other substantive suggestions that would improve the document? ・その他、文書を改善するための実質的な提案はあるか。
・Are there additional appendices in NIST IR 7621, or resources outside NIST IR 7621, that would add value to the document? ・NIST IR 7621の附属書、またはNIST IR 7621以外のリソースで、文書に付加価値を与えるものはあるか。

 


 

現在のIR 7621 Rev.1

・[PDF] IR 7621r1

20240325-51705

 

目次...

FOREWORD まえがき
PURPOSE 目的
1  BACKGROUND: WHAT IS INFORMATION SECURITY AND CYBERSECURITY? 1 背景:情報セキュリティとサイバーセキュリティとは何か?
1.1  WHY SMALL BUSINESSES? 1.1 なぜ小事業なのか?
1.2  ORGANIZATION OF THIS PUBLICATION 1.2 本書の構成
2  UNDERSTANDING AND MANAGING YOUR RISKS 2 リスクの理解とマネジメント
2.1  ELEMENTS OF RISK 2.1 リスクの要素
2.2  MANAGING YOUR RISKS 2.2 リスクマネジメント
• Identify what information your business stores and uses ・自社がどのような情報を保管し、使用しているかを識別する
• Determine the value of your information ・情報の価値を決定する
• Develop an inventory ・インベントリを作成する
• Understand your threats and vulnerabilities ・脅威と脆弱性を理解する
2.3  WHEN YOU NEED HELP 2.3 助けが必要な場合
3  SAFEGUARDING YOUR INFORMATION 3 情報を保護する
3.1  IDENTIFY 3.1 識別
• Identify and control who has access to your business information ・誰が自社のビジネス情報にアクセスできるかを識別し、管理する
• Conduct Background Checks ・身元調査を実施する
• Require individual user accounts for each employee ・各従業員に個別のユーザーアカウントを要求する
• Create policies and procedures for information security ・情報セキュリティに関する方針と手順を作成する
3.2  PROTECT 3.2 防御
• Limit employee access to data and information ・従業員のデータや情報へのアクセスを制限する
• Install Surge Protectors and Uninterruptible Power Supplies (UPS) ・サージプロテクターと無停電電源装置(UPS)を設置する
• Patch your operating systems and applications ・オペレーティング・システムとアプリケーションにパッチを当てる
• Install and activate software and hardware firewalls on all your business networks ・すべてのビジネスネットワークにソフトウェアとハードウェアのファイアウォールをインストールし、有効化する
• Secure your wireless access point and networks ・ワイヤレス・アクセス・ポイントとネットワークを保護する
• Set up web and email filters ・ウェブ・フィルタと電子メール・フィルタを設定する
• Use encryption for sensitive business information ・機密性の高いビジネス情報は暗号化する
• Dispose of old computers and media safely ・古いコンピュータやメディアを安全に廃棄する
• Train your employees ・従業員を教育する
3.3  DETECT 3.3 検出
• Install and update anti-virus, -spyware, and other –malware programs ・アンチウイルス、スパイウェア、その他のマルウェアプログラムをインストールし、更新する
• Maintain and monitor logs ・ログを維持・監視する
3.4  RESPOND 3.4 対応
• Develop a plan for disasters and information security incidents ・災害や情報セキュリティインシデントに対する計画を策定する
3.5  RECOVER 3.5 復旧
• Make full backups of important business data/information ・重要なビジネスデータ/情報の完全バックアップを取る
• Make incremental backups of important business data/information ・重要な業務データ/情報の増分バックアップを取る
• Consider cyber insurance ・サイバー保険を検討する
• Make improvements to processes / procedures / technologies ・プロセス/手順/技術の改善を行う
4  WORKING SAFELY AND SECURELY 4 安全かつ確実に作業する
• Pay attention to the people you work with and around ・一緒に働く人や周囲の人に注意を払う
• Be careful of email attachments and web links ・電子メールの添付ファイルやウェブリンクに注意する
• Use separate personal and business computers, mobile devices, and accounts ・個人用と業務用のコンピュータ、モバイルデバイス、アカウントを使い分ける
• Do not connect personal or untrusted storage devices or hardware into your computer, mobile device, or network ・個人用または信頼できないストレージデバイスやハ ードウェアをコンピュータ、モバイルデバイス、ネッ トワークに接続しない
• Be careful downloading software ・ソフトウェアのダウンロードに注意する
• Do not give out personal or business information ・個人情報やビジネス情報を提供しない
• Watch for harmful pop-ups ・有害なポップアップに注意する
• Use strong passwords ・強力なパスワードを使用する
• Conduct online business more securely ・オンラインビジネスをより安全に行う
APPENDIX A— GLOSSARY AND LIST OF ACRONYMS  附属書 A - 用語集および頭字語リスト 
APPENDIX B— REFERENCES  附属書 B - 参考文献 
APPENDIX C— ABOUT THE FRAMEWORK FOR IMPROVING CRITICAL INFRASTRUCTURE CYBERSECURITY  附属書 C - 重要インフラのサイバーセキュリティ改善のためのフレームワークについて 
APPENDIX D— WORKSHEETS  附属書 D - ワークシート 
• Identify and prioritize your information types  ・情報の種類を識別し、優先順位を付ける 
• Develop an Inventory  ・インベントリを作成する 
• Identify Threats, Vulnerabilities, and the Likelihood of an Incident  ・脅威、脆弱性、インシデントの可能性を識別する 
• Prioritize your mitigation activities  ・低減活動の優先順位を決める 
APPENDIX E— SAMPLE POLICY & PROCEDURE STATEMENTS  附属書 E - 方針・手順書のサンプル 

 

 

| | Comments (0)

2024.03.24

Five Eyes 中国国家主導のサイバー活動: 重要インフラリーダーのための行動 (2024.03.19)

こんにちは、丸山満彦です。

Five Eyesが、「中国国家主導のサイバー活動: 重要インフラリーダーのための行動」を公表していますね...ボルトタイフーンの脅威に対するインフラ事業者向けの行動指針ということのようです...

 

CISA

・2024.03.19 PRC State-Sponsored Cyber Activity: Actions for Critical Infrastructure Leaders

PRC State-Sponsored Cyber Activity: Actions for Critical Infrastructure Leaders 中国国家主導のサイバー活動: 重要インフラリーダーのための行動
The fact sheet, PRC State-Sponsored Cyber Activity: Actions for Critical Infrastructure Leaders, warns critical infrastructure leaders of the urgent risk posed by Volt Typhoon and provides guidance on specific actions to prioritize the protection of their organization from this threat activity. ファクトシート「中国国家主導のサイバー活動:重要インフラリーダーのための行動」は、ボルトタイフーンがもたらす緊急リスクを重要インフラリーダーに警告し、この脅威活動から組織を守ることを優先するための具体的行動に関する指針を提供している。
CISA and its partners strongly urge critical infrastructure organizations leaders to read the guidance provided in the joint fact sheet to defend against this threat. For more information on Volt Typhoon related activity, see PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure alongside supplemental Joint Guidance: Identifying and Mitigating Living off the Land Techniques. To learn more about secure by design principles and practices, visit Secure by Design. CISAとそのパートナーは、重要インフラ組織のリーダーに対し、この脅威から身を守るために共同ファクトシートで提供されているガイダンスを読むよう強く求めている。ボルト台風に関連する活動の詳細については、補足的な共同ガイダンスとともに、「中国の国家支援組織が米国の重要インフラを侵害し、持続的なアクセスを維持している。」を参照のこと: 現地調達技術の識別と低減」を参照されたい。セキュア・バイ・デザインの原則と実践の詳細については、セキュア・バイ・デザインを参照のこと。

 

・[PDF]

20240324-22038

 

サマリー...

Summary 概要
This fact sheet provides an overview for executive leaders on the urgent risk posed by People’s Republic of China (PRC) state-sponsored cyber actors known as “Volt Typhoon.” CISA—along with the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and other U.S. government and international partners[1]—released a major advisory on Feb. 7, 2024, in which the U.S. authoring agencies warned cybersecurity defenders that Volt Typhoon has been pre-positioning themselves on U.S. critical infrastructure organizations’ networks to enable disruption or destruction of critical services in the event of increased geopolitical tensions and/or military conflict with the United States and its allies. This is a critical business risk for every organization in the United States and allied countries.[2]   このファクトシートは、「ボルト・タイフーン」として知られる中華人民共和国(PRC)の国家支援によるサイバー行為者がもたらす緊急リスクについて、経営幹部向けに概要を説明するものである。CISAは2024年2月7日、国家安全保障局(NSA)、連邦捜査局(FBI)、その他の米国政府および国際的なパートナー[1]とともに重大な勧告を発表し、その中で米国の認可機関は、ボルトタイフーンが地政学的な緊張の高まりや米国およびその同盟国との軍事衝突が発生した場合に、重要なサービスの中断や破壊を可能にするために、米国の重要インフラ組織のネットワーク上にあらかじめ配置されていることをサイバーセキュリティの擁護者に警告した。これは、米国および同盟国のすべての組織にとって重大なビジネスリスクである[2]。 
The advisory provides detailed information related to the groups’ activity and describes how the group has successfully compromised U.S. organizations, especially in the Communications, Energy, Transportation Systems, and Water and Wastewater Systems Sectors.[3] The authoring organizations urge critical infrastructure owners and operators to review the advisory for defensive actions against this threat and its potential impacts to national security.   この勧告は、グループの活動に関連する詳細な情報を提供し、特にコミュニケーション、エネルギー、輸送システム、上下水道システム部門において、グループがどのように米国の組織への侵害に成功したかを説明している[3]。認可団体は、重要インフラの所有者および運営者に対し、この脅威および国家安全保障への潜在的な影響に対する防御措置のために、この勧告を確認するよう促している。
CISA and partners[4] are releasing this fact sheet to provide leaders of critical infrastructure entities with guidance to help prioritize the protection of critical infrastructure and functions. The authoring agencies urge leaders to recognize cyber risk as a core business risk. This recognition is both necessary for good governance and fundamental to national security. CISAとパートナー[4]は、重要インフラ事業体のリーダーに、重要インフラと機能の防御に優先順位をつけるための指針を提供するために、このファクトシートを公表する。認可機関は、サイバー・リスクを中核的な事業リスクとして認識するようリーダーに促す。この認識は、優れたガバナンスに必要であると同時に、国家安全保障の基本である。

 

[1] U.S. Department of Energy (DOE), U.S. Environmental Protection Agency (EPA), U.S. Transportation Security Administration (TSA), Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC), Canadian Communications Security Establishment’s (CSE’s) Canadian Centre for Cyber Security (CCCS), United Kingdom National Cyber Security Centre (NCSC-UK), and New Zealand National Cyber Security Centre (NCSC-NZ)  [1] 米国エネルギー省(DOE)、米国環境保護局(EPA)、米国運輸保安局(TSA)、オーストラリア信号局(ASD)のオーストラリア・サイバー・セキュリティ・センター(ACSC)、カナダコミュニケーション・セキュリティ・エスタブリッシュメント(CSE)のカナダ・サイバー・セキュリティ・センター(CCCS)、英国国家サイバー・セキュリティ・センター(NCSC-UK)、ニュージーランド国家サイバー・セキュリティ・センター(NCSC-NZ)。
[2] CCCS assesses that Canada would likely be affected as well, due to cross-border integration. ASD’s ACSC and NCSC-NZ assess Australian and New Zealand critical infrastructure, respectively, could be vulnerable to similar activity from PRC state-sponsored actors.  [2] CCCSは、国境を越えた統合により、カナダも影響を受ける可能性が高いと評価している。ASDのACSCとNCSC-NZは、それぞれオーストラリアとニュージーランドの重要インフラが、PRCの国家支援者による同様の活動に対して脆弱性を持つ可能性があると評価している。
[3] See Critical Infrastructure Sectors | CISA for descriptions of critical infrastructure sectors.  [3] 重要インフラ部門の説明については、重要インフラ部門|CISAを参照のこと。
[4] NSA, FBI, DOE, EPA, TSA, U.S. Department of the Treasury, ASD’s ACSC, CCCS, NCSC-UK, and NCSC-NZ  [4] NSA、FBI、DOE、EPA、TSA、米国財務省、ASDのACSC、CCCS、NCSC-UK、およびNCSC-NZ。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.12 Five Eyes 中華人民共和国の支援を受けたサイバーアクターが米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断... (2024.02.07)

・2024.02.03米国 司法省 重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊(だから、IoT認証が重要...)

・2023.06.11 Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)

 

 

| | Comments (0)

フランス ANSSI サイバー脅威概観2023 (2024.02.23)

こんにちは、丸山満彦です。

1ヶ月前の話ですが...フランスの国家情報システムセキュリティ庁 (ANSSI) がサイバー脅威概観2023を発表していました...

そういえば、今年はフランスのパリでオリンピック・パラリンピックが開催されますよね...

 

Agence nationale de la sécurité des systèmes d'information; ANSSI

・2024.02.23 L'ANSSI publie le Panorama de la cybermenace 2023

L'ANSSI publie le Panorama de la cybermenace 2023 ANSSIがサイバー脅威概観2023を発表
Dans cette édition du Panorama de la cybermenace, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) revient sur les grandes tendances de la menace cyber en 2023. 今回のサイバー脅威概観では、フランスの情報システム・セキュリティ国家機関(ANSSI)が2023年のサイバー脅威の主な傾向を振り返っている。
Dans le Panorama de la cybermenace 2023, l'agence fait état d’un niveau de la menace informatique en constante augmentation, dans un contexte marqué par de nouvelles tensions géopolitiques et la tenue d’événements internationaux sur le sol français. À l’heure où les attaquants ne cessent de s’améliorer et de saisir toutes les opportunités, l’ANSSI appelle plus que jamais à une meilleure application des recommandations de première nécessité. ANSSIは、「サイバー脅威概観2023」において、新たな地政学的緊張とフランス国内で開催される国際的イベントを背景に、サイバー脅威のレベルが絶えず上昇していることを報告している。攻撃者が絶え間なく改良を重ね、あらゆる機会を捉えている現在、ANSSIは最も基本的な勧告をよりよく適用することをこれまで以上に呼びかけている。
Un regain du niveau de la menace cyber  サイバー脅威のレベルの上昇 
En 2023, l’espionnage s’est maintenu à un niveau élevé avec une augmentation significative du ciblage des individus et des structures non gouvernementales qui créent, hébergent ou transmettent des données sensibles. Parmi les tendances nouvelles de l’espionnage, l’ANSSI a constaté une augmentation des attaques contre des téléphones portables professionnels et personnels visant des individus ciblés, ainsi qu’une recrudescence de celles réalisées au moyen de modes opératoires associés publiquement au gouvernement russe contre des organisations situées en France. 2023年もスパイ活動は高水準で推移し、機密データの作成、ホスティング、送信を行う個人や非政府組織への標的が大幅に増加した。スパイ活動の新たな傾向として、ANSSIは、標的とされた個人を狙った業務用および個人の携帯電話に対する攻撃の増加や、フランスに所在する組織に対してロシア政府に関連する手口で行われた攻撃の急増を指摘している。
Les attaques informatiques à des fins d’extorsion se sont également maintenues à un niveau élevé en 2023, comme en témoigne le nombre total d’attaques par rançongiciel portées à la connaissance de l’ANSSI, supérieur de 30 % à celui relevé sur la même période en 2022. Une recrudescence qui rompt avec la diminution observée par l’agence dans le précédent Panorama de la cybermenace. ANSSIに報告されたランサムウェア攻撃の総数が2022年の同時期を30%上回ったことからもわかるように、恐喝目的のコンピューター攻撃も2023年は高水準を維持した。この急増は、前回のサイバー脅威パノラマでANSSIが観測した減少とは対照的である。
Par ailleurs, dans un contexte géopolitique tendu, l’agence a constaté de nouvelles opérations de déstabilisation visant principalement à promouvoir un discours politique, à entraver l’accès à des contenus en ligne ou à porter atteinte à l’image d’une organisation. Si les attaques par déni de service distribué (DDoS) menées par des hacktivistes pro-russes, aux impacts souvent limités, ont été les plus courantes, des activités de prépositionnement visant plusieurs infrastructures critiques situées en Europe, en Amérique du Nord et en Asie ont également été détectées. Ces dernières, plus discrètes, peuvent néanmoins avoir pour objectif la conduite d’opérations de plus grande envergure menées par des acteurs étatiques attendant le moment opportun pour agir. さらに、緊迫した地政学的状況の中で、同機関は、主に政治的言説の促進、オンラインコンテンツへのアクセスの妨害、組織のイメージダウンを目的とした新たな不安定化作戦を観測している。親ロシア派のハクティビストによる分散型サービス妨害(DDoS)攻撃が最も一般的で、その影響力は限定的であることが多いが、ヨーロッパ、北米、アジアのいくつかの重要インフラを標的とした事前配置活動も検出された。このような控えめな活動は、それでもなお、行動を起こすタイミングを待っている国家主体によって実行される、より大規模な作戦を目的としている可能性がある。
Des attaquants qui s’améliorent et profitent des faiblesses techniques  攻撃者の技術的弱点の改善と活用 
De manière générale, l’année 2023 a montré des évolutions notables dans la structure et les méthodes des attaquants. Ces derniers perfectionnent leurs techniques afin d’éviter d’être détectés et suivis, voire identifiés. Il apparaît notamment que des modes opératoires cybercriminels pourraient être instrumentalisés par des acteurs étatiques pour conduire des opérations d’espionnage. De plus, l’écosystème cybercriminel profite aujourd’hui d’outils et de méthodes diffusés largement pour cibler des secteurs particulièrement vulnérables. 一般的に言って、2023年は攻撃者の構造と手法に大きな変化が見られた。彼らは、検知や追跡、あるいは特定されることを避けるために、そのテクニックを完成させている。特に、サイバー犯罪者の手口は、国家主体がスパイ活動を行うために利用される可能性があるようだ。さらに、サイバー犯罪のエコシステムは現在、広く利用可能なツールや手法を活用し、特に脆弱なセクターを標的としている。
Malgré les efforts de sécurisation engagés dans certains secteurs, les attaquants continuent de tirer profit des mêmes faiblesses techniques pour s’introduire sur les réseaux. Ainsi, l’exploitation de vulnérabilités « jour-zéro » et « jour-un » reste une porte d’entrée de choix pour les attaquants, qui profitent encore trop souvent de mauvaises pratiques d’administration, de retards dans l’application de correctifs et de l’absence de mécanismes de chiffrement. 特定の分野ではセキュリティ向上の努力がなされているにもかかわらず、攻撃者は同じ技術的弱点を悪用してネットワークにアクセスし続けている。day-zero」や「day-one」の脆弱性を悪用することは、依然として攻撃者にとって格好の入り口であり、彼らは、管理体制の不備、パッチ適用の遅れ、暗号化メカニズムの不在を利用することがあまりにも多い。
Enfin, les grands événements prévus en France en 2024, et en premier lieu les Jeux olympiques et paralympiques (JOP) de Paris, pourraient offrir aux attaquants des opportunités supplémentaires d’agir. De même, des attaquants pourraient également être incités à s’introduire et à se maintenir sur des réseaux d’importance critique, dans le cadre de tensions internationales. Un risque d’affrontement stratégique entre grandes puissances n’est également pas à exclure. 最後に、パリオリンピック・パラリンピック競技大会(JOP)を皮切りに、2024年にフランスで開催が予定されている大規模イベントは、攻撃者にさらなる行動機会を提供する可能性がある。同様に、攻撃者は、国際的な緊張の中で、重要なネットワークに侵入し、それを維持することを奨励される可能性もある。大国間の戦略的対立のリスクも排除できない。
L’ANSSI toujours plus mobilisée pour élever le niveau de cybersécurité  ANSSIはサイバーセキュリティのレベルを上げるためにますます動員されている。
L’ANSSI appelle les organisations françaises à une meilleure application des recommandations indispensables telles que le développement de capacités de détection, la mise en place d’une stratégie de sauvegarde des systèmes d’information, ou bien encore l’élaboration de plans de continuité et de reprise d’activité. Par ailleurs, le suivi régulier des publications du CERT-FR sur les menaces et les vulnérabilités les plus courantes s’impose comme une ressource indispensable pour atteindre le bon niveau de cybersécurité. ANSSIはフランスの組織に対し、検知能力の開発、情報システムのバックアップ戦略の実施、事業継続・復旧計画の立案など、必要不可欠な勧告をよりよく適用するよう呼びかけている。さらに、最も一般的な脅威と脆弱性に関するCERT-FRの出版物を定期的に監視することは、適切なレベルのサイバーセキュリティを達成するために不可欠なリソースである。
En 2024, l’ANSSI sera en grande partie mobilisée sur la cybersécurité des JOP, pour lesquels l’agence a défini, en coopération avec les différents services de l’État impliqués, un dispositif renforcé de veille, d’alerte et de traitement des incidents de sécurité informatique. 2024年、ANSSIはオリンピックのサイバーセキュリティに大きく動員される予定であり、そのためにANSSIは、関係するさまざまな政府部門と協力して、ITセキュリティ・インシデントの監視、警告、対処のための強化されたシステムを定義した。
Enfin, pour assurer la protection de la Nation dans les années à venir et faire face à la recrudescence constante des menaces et à l’amélioration continue des attaquants, l’ANSSI entend s’appuyer sur l’entrée en vigueur cette année de la directive NIS 2, qui permettra de réguler plusieurs milliers de nouvelles entités et de renforcer progressivement leur niveau de sécurité informatique. De plus, l’agence entend continuer à apporter son soutien aux opérations internationales visant à démanteler des réseaux cybercriminels, à l’image de celle menée à l’encontre du groupe QakBot en 2023. ANSSIは、今後数年間、国家を確実に保護し、脅威の絶え間ない増大と攻撃者の絶え間ない改良に対処するため、今年発効するNIS 2指令に頼るつもりである。さらにANSSIは、2023年のQakBotグループに対する活動のように、サイバー犯罪ネットワークの解体を目的とした国際的な活動を支援し続けるつもりである。
Retrouvez toutes les éditions du Panorama de la cybermenace. サイバー脅威の展望のすべての版を読む。
« Le développement constant de la menace et des attaquants démontre la nécessité pour l’ANSSI de faire évoluer sa manière de travailler, en collaborant notamment avec de nouveaux acteurs, afin de mieux organiser et de renforcer la cybersécurité française. » 脅威と攻撃者の絶え間ない発展は、フランスのサイバーセキュリティをよりよく組織し強化するために、ANSSIがその活動方法を進化させる必要性、特に新しいプレーヤーと協力する必要性を示している。

 

Panorama de la cybermenace 2023 サイバー脅威概観 2023
Cette troisième édition du Panorama de la cybermenace décrit les principales tendances constatées en 2023 par l’ANSSI. Ce document se concentre sur les intentions des attaquants, leurs capacités et les opportunités exploitées pour compromettre des systèmes d’information (SI), en fournissant des exemples concrets d’incidents traités par l’ANSSI durant l’année. Le niveau de la menace informatique continue d’augmenter, dans un contexte marqué par de nouvelles tensions géopolitiques et la tenue d’évènements internationaux sur le sol français. このサイバー脅威概観の第3版は、ANSSIが2023年に観測した主な傾向を説明している。本書は、攻撃者の意図、その能力、情報システム(IS)を侵害するために悪用される機会に焦点を当て、ANSSIが1年間に対処したインシデントの具体例を示している。新たな地政学的緊張やフランス国内で開催される国際イベントを背景に、サイバー脅威のレベルは上昇し続けている。

 

・[PDF]

20240324-13517

 

目次...

1 → ÉVOLUTION DES INTENTIONS DES ACTEURS MALVEILLANTS 1 → 悪意ある行為者の意図の変化
A → Espionnage stratégique et industriel  A → 戦略的および産業スパイ 
B → Attaques à but lucratif  B → 営利目的の攻撃 
C → Opérations de déstabilisation  C → 不安定化作戦 
2 → AMÉLIORATION DES CAPACITÉS OFFENSIVES 2 → 攻撃能力の向上
A → Une recherche constante de furtivité  A → 絶え間ないステルスの追求 
B → Diversification de l’écosystème et des méthodes cybercriminelles B → サイバー犯罪のエコシステムと手法の多様化
C → Ciblage croissant de périphériques mobiles à des fins d’espionnage C → スパイ活動目的でモバイル機器を標的とする増加
3 → OPPORTUNITÉS SAISIES PAR LES ATTAQUANTS  3 → 攻撃者がつかむ機会 
A → De nombreuses faiblesses exploitées  A → 多数の弱点が悪用されている 
B → Vulnérabilités logicielles B → ソフトウェアの脆弱性
C → Organisation de grands événements C → 主要なイベントの組織化
CONCLUSION 結論
BIBLIOGRAPHIE  参考文献 

 

 


 

サイバー脅威概観

サイバー脅威概観 2022

Panorama de la cybermenace 2022 サイバー脅威概観 2022
La menace informatique n'a pas connu d'évolution majeure, les tendances identifiées en 2021 s'étant confirmées en 2022, et ce malgré l'intensification du conflit russo-ukrainien et de ses effets dans le cyberespace. Toujours élevée, cette menace touche de moins en moins d'opérateurs régulés et se déporte sur des entités moins bien protégées. L'espionnage informatique, toujours prégnant, a fortement mobilisé les équipes de l'agence ロシア・ウクライナ紛争の激化とサイバー空間におけるその影響にもかかわらず、サイバー脅威には大きな変化はなく、2021年に確認された傾向は2022年にも確認された。この脅威は依然として高いが、規制を受ける事業者に影響を及ぼすものは少なくなっており、より保護が行き届いていない事業者に移りつつある。コンピュータ・スパイは引き続き大きな懸念事項であり、同庁のチームを大いに動員している。

 

・[PDF]

20240324-20205

 

 

 

IT脅威概観 2021

Panorama de la menace informatique 2021 IT脅威概観 2021
Dans ce panorama de la menace informatique, l’ANSSI revient sur les grandes tendances ayant marqué le paysage cyber sur l’année 2020-2021 et en propose des perspectives d’évolution à court terme. L’évolution de l’écosystème cybercriminel est marquée par une professionnalisation et une spécialisation constante des capacités des acteurs malveillants, dont les principales intentions sont le gain financier, l’espionnage et la déstabilisation. このサイバー脅威の概観において、ANSSIは2020年から2021年にかけてのサイバー情勢を特徴づけた主要な傾向を振り返り、短期的な展望を提案している。サイバー犯罪のエコシステムの進化は、経済的利益、スパイ活動、不安定化を主な目的とする悪意ある行為者の能力の絶え間ない専門化と専門化によって特徴づけられる。

 

・[PDF]

20240324-20242

 

| | Comments (0)

ドイツ BSI 行政ポータルの脆弱性分析のための入門ガイド(パンフレット)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) が行政のデジタル化担当者向けに、パンフレット「行政ポータルの脆弱性分析のための入門ガイド」を発行していますね...

 

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.03.19 BSI veröffentlicht Broschüre als Einstiegshilfe für die Schwachstellenanalyse von Verwaltungsportalen

BSI veröffentlicht Broschüre als Einstiegshilfe für die Schwachstellenanalyse von Verwaltungsportalen BSI、行政ポータルの脆弱性分析の出発点としてパンフレットを発行
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Broschüre "Einstiegshilfe für die Schwachstellenanalyse von Verwaltungsportalen" für Digitalisierungsverantwortliche in der Verwaltung veröffentlicht. ドイツ連邦情報セキュリティ局(BSI)は、行政のデジタル化担当者向けに、パンフレット「行政ポータルの脆弱性分析のための入門ガイド」を発行した。
Die Digitalisierung von Verwaltungsleistungen stellt alle föderalen Ebenen vor große Herausforderungen. Verantwortliche müssen dabei analoge und äußerst komplexe Prozesse zuverlässig und sicher digitalisieren. Eine dieser Herausforderungen ist die sichere Bereitstellung von Webportalen als Schnittstelle zu Bürgerinnen und Bürgern. Die hohe Komplexität birgt dabei die Gefahr von ausnutzbaren Schwachstellen in den Verwaltungsportalen, welche die Digitalisierung verlangsamen und das Vertrauen in die Verwaltung nachhaltig schädigen könnten. 行政サービスのデジタル化は、すべての連邦レベルにとって大きな課題となっている。担当者は、アナログで極めて複雑なプロセスを、確実かつ安全にデジタル化しなければならない。こうした課題のひとつが、市民とのインターフェースとしてのウェブポータルの安全な提供である。高度に複雑化した行政ポータルには、悪用可能な脆弱性が潜んでおり、デジタル化を遅らせたり、行政への信頼に永続的なダメージを与えたりする危険性がある。
Das Projekt des BSI zur "Markt- und Schwachstellenanalyse zur Sicherheit von E-Government Apps und Webportale" (MaSiGov) aus dem Jahr 2023 hat gezeigt, dass bei den Digitalisierungsverantwortlichen ein großes Interesse rund um das Thema der Schwachstellenanalysen vorliegt. Um die Verantwortlichen hierbei zu unterstützen bietet die Einstiegshilfe einen Kurzüberblick zur Herangehensweise und dem Prozessablauf einer Schwachstellenanalyse. Dabei behandelt sie Schwerpunkte und Fragestellungen, die im organisatorischen Rahmen vor oder während der Schwachstellenanalyse aus der Perspektive der Verantwortlichen zu klären sind. Mit Schwachstellenanalysen werden sowohl die Informationssicherheit als auch die Einhaltung der gesetzlichen Vorgaben dokumentiert. Schwachstellenanalysen verringern die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs und leisten einen Beitrag zur sicheren Digitalisierung der deutschen Verwaltung. 2023年からのBSIプロジェクト「電子政府アプリとウェブポータルのセキュリティのための市場と脆弱性分析」(MaSiGov)は、デジタル化の責任者が脆弱性分析の話題に非常に興味を持っていることを示している。こうした担当者を支援するため、入門ガイドでは、脆弱性分析のアプローチとプロセスの流れを簡単に紹介している。また、脆弱性分析に先立ち、あるいは分析中に、組織の枠組みの中で責任者の視点から明確にする必要がある焦点や疑問点を扱っている。脆弱性分析は、情報セキュリティと法的要求事項の遵守の両方を文書化するために使用される。脆弱性分析は、サイバー攻撃が成功する確率を減らし、ドイツ行政の安全なデジタル化に貢献する。
Die Broschüre ist zu finden unter: Einstiegshilfe für Schwachstellenanalysen von Webportalen パンフレットは以下を参照のこと: ウェブポータルの脆弱性分析スタートガイド

 

・[PDF]

20240324-10707

 

目次...

1. Das BSI im Dienst der Öffentlichkeit 1. 国民に奉仕するBSI
2. Einleitung 2. 導入
3. Prozessabbildung 3. プロセスマッピング
4. Motivation und Hintergrund 4. 動機と背景
5. Schritt 1 – Festlegung des Betrachtungsgegenstands (Scope) 5. ステップ 1 - プロジェクトの範囲の定義
6. Schritt 2 – Auftaktbesprechung (Kick-off) 6. ステップ 2 - キックオフミーティング
7. Schritt 3 – Untersuchung der Prozess- und Systemebene 7. ステップ 3 - プロセスとシステムレベルの分析
8. Schritt 4 – Untersuchung der Anwendungsebene 8. ステップ 4 - アプリケーションレベルの調査
9. Schritt 5 – Abschlussbericht 9. ステップ 5 - 最終報告書
10. Schritt 6 – Abschlussbesprechung 10. ステップ 6 - 最終ミーティング
11. Informationsquellen und Ansprechstellen 11. 情報源とコンタクトポイント
12. Vorteile in aller Kürze 12. 利点の要約

 

 

12. 利点の要約」は次のような内容です...

Die Vorteile einer Schwachstellenanalyse auf einen Blick: 一目でわかる脆弱性診断のメリット
Zusammenfassung 要約
Schwachstellenanalysen verringern die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs und leisten einen Beitrag zur sicheren Digitalisierung der deutschen Verwaltung. 脆弱性分析は、サイバー攻撃の成功確率を減らし、ドイツ行政の安全なデジタル化に貢献する。
Vorteile 利点
• Strategisches Vorgehen ・戦略的アプローチ
• Koordiniertes Handeln ・調整された行動
• Erfolgreiche und sichere­ Digitalisierung der Verwaltung ・行政の安全なデジタル化の成功
• Risikoreduktion und Abwenden von Imageschäden ・リスクの軽減とイメージダウンの回避
Gewinn für Dienstverantwortliche  サービス管理者にとってのメリット 
Mit Schwachstellenanalysen werden sowohl die Informationssicherheit als auch die Einhaltung der gesetzlichen Vorgaben dokumentiert. Eingesetzte personelle und monetäre Ressourcen können in die Verbesserung des Onlinedienstes einfließen. Die Kosten sind wesentlich geringer als bei einem erfolgten Cyberangriff. Die Attraktivität der Lösung für eine Nachnutzung wird erhöht. 脆弱性分析により、情報セキュリティと法的要求事項の遵守の両方が文書化される。人的・財政的資源をオンライン・サービスの改善に振り向けることができる。サイバー攻撃を受けた場合に比べ、コストが大幅に抑えられる。その後の利用におけるソリューションの魅力が増す。
Vorteile  利点 
• Dokumentation der Informationssicherheit  ・情報セキュリティの文書化
• Fehler finden und beheben  ・エラーの発見と修正
• Reduktion von Ausfallzeiten  ・ダウンタイムの削減
• Langfristiges Einsparen von Ressourcen  ・リソースの長期的節約
• Erhöhung der Reputation  ・評価の向上
• Kontinuierliche Verbesserung im Informationssicherheitsprozess ・情報セキュリティ・プロセスの継続的改善
Gewinn für technisch Umsetzende  技術的実装者にとってのメリット 
Mit Schwachstellenanalysen können Schwachstellen und Konfigurationsfehler in Onlinediensten gefunden werden. Das Ziel einer Schwachstellenanalyse ist es nicht, Verantwortliche für Schwachstellen ausfindig zu machen. Stattdessen sollen Schwachstellen rechtzeitig vor einem Schadensfall erkannt und behoben werden, um den Onlinedienst abzusichern. Beteiligte können gewonnene Erfahrungen bei zukünftigen Projekten einbringen. 脆弱性分析は、オンラインサービスの弱点や設定ミスを見つけるために利用できる。脆弱性分析の目的は、脆弱性の責任者を特定することではない。むしろ、オンラインサービスの安全性を確保するために、インシデントが発生する前に脆弱性を認識し、適切な時期に修正する必要がある。関係者は、得られた経験を将来のプロジェクトに貢献することができる。
Vorteile  利点 
• Umsetzen von Best-Practice-Ansätzen  ・ベストプラクティス・アプローチの実現
• Erkennen von Verbesserungspotenzialen  ・改善の可能性を認識する
• Wissen vermehren und Fertigkeiten verbessern  ・知識を増やし,スキルを向上させる
• Verantwortung zeigen  ・責任を実証する
• Sicherheitsvorschriften zuverlässig umsetzen ・安全規制を確実に実施する

 

| | Comments (0)

ドイツ BSI デジタル消費者保護:BSI年次レビュー2023年版 (2024.03.14)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) が世界消費者デー(3月15日)を記念して、デジタル消費者保護の分野における2023年の年次レビューを発表していますね。。。

脅威としては、AIを利用した詐欺等の脅威、パスワードマネジャーを狙う、フィッシング等が挙げられていますね...

ここでも、レジリエンスが強調されているように思います。

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.03.14 Digitaler Verbraucherschutz: BSI-Jahresrückblick 2023 erschienen

Digitaler Verbraucherschutz: BSI-Jahresrückblick 2023 erschienen デジタル消費者保護:BSI年次レビュー2023年版が発表される
Anlässlich des Weltverbrauchertages (15. März) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Jahresrückblick 2023 im Bereich des Digitalen Verbraucherschutzes veröffentlicht. Darin werden unter anderem IT-Sicherheitsvorfälle und Trendthemen mit Bedrohungspotenzial des vergangenen Jahres 2023 näher beleuchtet. So zählten Datenleaks bei Unternehmen und öffentlichen Einrichtungen sowie Phishing-Angriffe auf Verbraucherinnen und Verbraucher zu den häufigsten Bedrohungen. Gleichzeitig sorgen neue Trends wie die Verbreitung von künstlicher Intelligenz für eine hohe Dynamik am digitalen Verbrauchermarkt, die sich unmittelbar auf das Bedrohungspotenzial auswirken. 世界消費者デー(3月15日)を記念して、ドイツ連邦情報セキュリティ局(BSI)は、デジタル消費者保護の分野における2023年の年次レビューを発表した。特に、2023年のITセキュリティ・インシデントや脅威の可能性があるトレンド・トピックを詳しく取り上げている。例えば、企業や公共機関におけるデータ漏洩や消費者に対するフィッシング攻撃は、最も一般的な脅威の一つであった。同時に、人工知能の普及などの新たなトレンドが、非常にダイナミックなデジタル・コンシューマー市場を形成しており、これが脅威の可能性に直接的な影響を与えている。
So verdeutlichen die aufgeführten IT-Sicherheitsvorfälle am digitalen Verbrauchermarkt, dass der Schutz und die Resilienz der Menschen bei ihren Aktivitäten im Netz dringend verbessert werden müssen. Der thematische Schwerpunkt des Jahresrückblicks widmet sich daher der "Digitalen Verbraucherresilienz". Im Mittelpunkt steht die Frage, was widerstandsfähige (resiliente) Verbraucherinnen und Verbraucher ausmacht, die dadurch besser in der Lage sind, sich vor Bedrohungen zu schützen, im Notfall schnell zu reagieren sowie Schäden zu minimieren. Darüber hinaus kommen mit Expertinnen und Experten der Verbraucherzentrale Nordrhein-Westfalen e. V., des eco - Verbandes der Internetwirtschaft e. V. sowie der Hochschule Bonn-Rhein-Sieg auch Praxispartner des BSI zu Wort, um entsprechende Handlungsfelder zur Stärkung der digitalen Verbraucherresilienz für Akteure aus den Bereichen Staat, Wirtschaft und Gesellschaft aufzuzeigen. 上記のデジタル消費者市場におけるITセキュリティ事件は、人々のオンライン活動の保護と回復力を向上させる緊急の必要性を示している。そこで、年次レビューのテーマ別焦点は「デジタル消費者のレジリエンス(回復力)」とした。脅威から身を守り、緊急事態に迅速に対応し、被害を最小限に抑えることができるレジリエンス(回復力)のある消費者とは何かという問題に焦点を当てている。さらに、ノルトライン・ウェストファーレン州、エコ・インターネット産業連盟、ボン・ライン・ジーク応用科学大学の専門家もBSIのプラクティス・パートナーとして発言し、国家、企業、社会の利害関係者がデジタル消費者のレジリエンスを強化するための対応分野に焦点を当てる。
Der Jahresrückblick zeigt, dass die fortschreitende Digitalisierung eine kontinuierliche Stärkung der IT-Sicherheit erfordert. Neben der Informations-, Sensibilisierungs- und Aufklärungsarbeit wird sich das BSI zukünftig verstärkt dem aktiven Schutz der Nutzerinnen und Nutzer vor den Gefahren im Umgang mit ihrer IT und dem Internet widmen. Ziel ist es, dass Verbraucherinnen und Verbraucher auch in Zukunft selbstbestimmt, einfacher und sicherer in der digital vernetzten Welt agieren können. この年次レビューは、デジタル化の進展にはITセキュリティの継続的な強化が必要であることを示している。情報、啓発、教育活動に加え、BSIは今後ますます、ITやインターネットに関連する危険からユーザーを積極的に保護することに注力していく。その目的は、デジタル・ネットワーク化された世界において、消費者が今後も自立して、より簡単に、より安全に行動できるようにすることである。

 

・[PDF]

20240324-05242

 

目次...

Vorwort 序文
1 Verbraucherinnen und Verbraucher in der vernetzten Welt besser schützen! 1 コネクテッド・ワールドにおける消費者保護を強化する
2 Jahresübersicht 2023: Relevante Bedrohungen auf dem digitalen Verbrauchermarkt 2 2023年の年次概況 デジタル消費者市場における関連脅威
3 Bessere digitale Verbraucherresilienz – aber wie? 3 デジタル消費者のレジリエンスを高める - しかし、どうやって?
4 Cybersicherheit für Unternehmen und Institutionen nützt allen 4 企業や機関のサイバーセキュリティはすべての人に利益をもたらす
5 Wissen, wo ich Hilfe finde – BSI-Angebote für Verbraucherinnen und Verbraucher 5 どこに助けを求めればよいかを知る - BSIの消費者向けサービス
6 Literaturverzeichnis/Quellen 6 参考文献/情報源

 

AIを利用した犯罪手口の種類に対する消費者の認知率

Abbildung 1 :Verbraucherkenntnisse zu Arten krimineller Methoden mittels KI in % (n=3.012, Mehrfachnennung möglich) 図1:AIを利用した犯罪手口の種類に対する消費者の認知率(%)(n=3,012、複数回答可)  
Schockanrufe oder Enkeltrick mit von der KI nachgeahmten Stimme AIが音声を模倣したショックコールや孫騙し 52%
Künstlich erstellte bzw. manipulierte Videos oder Bilder 人工的に作成・加工された動画や画像 48%
Nutzung von Profildaten aus Social Media für Betrugsversuche ソーシャルメディア上のプロフィールデータを利用した詐欺の手口 46%
Phishing-Nachrichten, die von KI-Sprachmodellen verfasst wurden AIの言語モデルによって書かれたフィッシング・メッセージ 36%
Suchen nach persönlichen Daten von anderen Nutzern über gezielte Fragen 的を絞った質問によって他のユーザーの個人データを検索する 27%
Aufdecken und Ausnutzen von Schwachstellen in Computerprogrammen コンピュータプログラムの脆弱性を検出し、悪用する。 22%
das gezielte Versuchen, die eingebauten Regeln der KI zu umgehen kenne AIに組み込まれたルールを回避するための標的型攻撃 14%
keine der genannten Methoden いずれの方法も知らない 12%
weiß nicht/ keine Angabe わからない・無回答 7%

 

 

| | Comments (0)

2024.03.23

国立国会図書館 調査及び立法考査局 サイバーセキュリティの確保と通信の秘密の保護―この 20年の議論と能動的サイバー防御導入等に向けた課題―

こんにちは、丸山満彦です。

能動的サイバー防御導入等に向けた課題についての論考が国立国会図書館 調査及び立法考査局が発行している『レファレンス』2024年3月(879号)に掲載されていますね。。。

 

国立国会図書館
 - 調査及び立法考査局

・[PDF] サイバーセキュリティの確保と通信の秘密の保護―この 20年の議論と能動的サイバー防御導入等に向けた課題―

20240323-51200

目次...
はじめに
Ⅰ 通信の秘密の概要
1 憲法及び電気通信事業法における規定
2 通信の秘密の範囲と保障内容
3 通信の秘密侵害の違法性阻却事由
Ⅱ これまでのサイバーセキュリティ対策と通信の秘密
1 サイバークリーンセンター(2006 ~ 2011 年)
2 インターネットの安定的な運用に関する協議会(2006 年~)
3 ACTIVE(2013 ~ 2018 年)
4 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会(2013 年~)
5 NOTICE・NICTER 注意喚起(2019 年~)
Ⅲ これまでのサイバーセキュリティ対策の評価と論点
1 違法性阻却事由解釈の積上げの成果と限界
2 日本のサイバーセキュリティ対策の独自性
3 解釈論から立法論への展開
おわりに



要旨...

  通信の秘密の保護は憲法等に規定されており、サイバー攻撃からの防御のために通信の情報を得ることも、通信の秘密を侵す行為に該当する。通信の秘密に関わる行為で違法性が問われないためには、緊急避難、正当業務行為等の違法性阻却事由の要件を満たす必要がある。

  2006 年から実施された官民連携の取組「サイバークリーンセンター」では、サイバーセキュリティ対策を行うに当たり通信の秘密を侵害することが課題となった。しかし、緊急避難の要件を満たす等の問題のない手法が選択され、マルウェア感染者の特定と注意喚起が行われた。

  2006 年には民間による「インターネットの安定的な運用に関する協議会」も発足した。同協議会は、サイバーセキュリティ対策等の事業者の行為について電気通信事業法上の通信の秘密の保護規定に係る違法性の有無を検討し、ガイドラインをまとめる活動を行っている。

 2013 年から実施された官民連携の取組「ACTIVE」は、マルウェア拡散サイトにアクセスしようとする利用者に警告を発するものである。これも通信の秘密の侵害を伴う行為となるが、利用者から個別の同意を取得し、違法性が阻却される条件を整えて実施された。

  2013 年から総務省が開催する「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」では、通信の秘密等に配慮しつつ事業者が新たな対策や取組を講じられるよう議論が行われ、新たなサイバー攻撃対策の事例ごとに違法性阻却事由の解釈がまとめられてきた。そうして整理された法的解釈に基づき、ACTIVE の活動の拡充等が図られてきた。

 2019 年から国立研究開発法人情報通信研究機構や事業者等により実施されている、脆弱な IoT 機器を検知し利用者へ注意喚起を行う取組「NOTICE」等については、開始に先立ち電気通信事業法等の法改正も行われ制度整備がなされた上で、違法性阻却事由の解釈が整えられた。

 こうして実施され成果を上げてきた官民連携のサイバーセキュリティ対策だが、違法性阻却事由解釈の積上げというアプローチには限界も指摘される。法的解釈を整え、手法に工夫を凝らしつつ進められてきた日本の取組は、世界的にも独自性があるものとして評価されることもあるが、「能動的サイバー防御」の導入といった今後の対策の強化に向けては、より直接的な立法措置による制度整備の必要性も指摘されている。

 

 


 

関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.23 サイバー領域への軍事的適応の課題:オランダの事例研究 (2023.07.13)

・2023.07.28 防衛白書(2023年) (+ 能動的サイバー防衛...)

・2023.07.27 サイバー攻撃を受けた時、国は誰にエスカレーションする? NATO CCDCOE エスカレーション・ロードマップ 分析ペーパー

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2023.06.17 経団連 サイバー安全保障に関する意見交換会を開催

・2023.05.24 米国 国防総合大学 「統合抑止力とサイバー空間 - 国益追求のためのサイバー作戦の役割を探る論文選集」(2023.05.15)

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.03.03 笹川平和財団 「我が国のサイバー安全保障の確保」事業 政策提言 "外国からのディスインフォメーションに備えを! ~サイバー空間の情報操作の脅威~" (2022.02.07)

・2021.12.17 英国 国家サイバー戦略

・2021.04.07 ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

 

| | Comments (0)

2024.03.22

国連 総会で人工知能 (AI) に関する決議を採択

こんにちは、丸山満彦です。

国連総会で、人種差別撤廃の日を記念し、人工知能、平和の文化、犯罪防止に関する決議が採択されましたね...

ここでは、人工知能に関する決議を紹介...

 

● United Nations

・2024.03.21 General Assembly Commemorates Day for Elimination of Racial Discrimination, Adopts Resolutions on Artificial Intelligence, Culture of Peace, Crime Prevention

SEVENTY-EIGHTH SESSION, 第78会期
63RD MEETING (AM) 第63回会合(午前)
GA/12588 GA/12588
21-Mar-24 3月21日-24日
General Assembly Commemorates Day for Elimination of Racial Discrimination, Adopts Resolutions on Artificial Intelligence, Culture of Peace, Crime Prevention 総会、人種差別撤廃デーを記念、人工知能、平和文化、犯罪防止に関する決議を採択
(Note: The final summary of this meeting will be available at a later time.) (注:この会合の最終サマリーは後日入手可能となる)
The General Assembly met this morning in commemoration of the International Day for the Elimination of Racial Discrimination.  It was also expected to take action on the following draft resolutions: “Seizing the opportunities of safe, secure and trustworthy artificial intelligence systems for sustainable development” (document A/78/L.49); “International Year of Peace and Trust, 2025” (document A/78/L.47); and “International Day for the Prevention of and Fight against All Forms of Transnational Organized Crime” (document A/78/L.45). 総会は今朝、国際人種差別撤廃デーを記念して開かれた。 また、以下の決議案についても決定される予定であった: 「持続可能な開発のため、安全、安心、信頼の人工知能システムの機会を捉える」(文書A/78/L.49)、「2025年国際平和と信頼年」(文書A/78/L.47)、「あらゆる形態の国際組織犯罪の防止と闘いのための国際デー」(文書A/78/L.45)。
The Assembly would then consider extending the appointment of the Under-Secretary-General for Safety and Security (document A/78/785) and appoint members of the Board of the 10-Year Framework of Programmes on Sustainable Consumption and Production Patterns. 続いて総会は、安全保障担当事務次長の任命延長(文書A/78/785)を検討し、持続可能な消費と生産パターンに関する10カ年プログラム枠組み理事会のメンバーを任命する。

 

 

・[PDF] A/78/L.47

20240322-54417

・[DOCX] 仮訳

 

 

米国が提案をしたようですね...

U.S. The White House

・2024.03.21 Statement from National Security Advisor Jake Sullivan on the United Nations General Assembly Resolution on Artificial Intelligence for Sustainable Development

Statement from National Security Advisor Jake Sullivan on the United Nations General Assembly Resolution on Artificial Intelligence for Sustainable Development 持続可能な開発のための人工知能に関する国連総会決議に関するジェイク・サリバン国家安全保障顧問の声明|
Today, the UN General Assembly in New York adopted by consensus a resolution establishing principles for the deployment and use of artificial intelligence (AI). This resolution, proposed by the United States and co-sponsored by more than 120 countries, is a historic step in fostering safe, secure, and trustworthy AI systems. 本日、ニューヨークで開催された国連総会は、人工知能(AI)の展開と利用に関する原則を確立する決議を総意で採択した。米国が提案し、120カ国以上が共同提案したこの決議は、安全・安心で信頼できるAIシステムの育成に向けた歴史的な一歩である。
The resolution adopted today lays out a comprehensive vision for how countries should respond to the opportunities and challenges of AI. It lays out a path for international cooperation on AI, including to promote equitable access, take steps to manage the risks of AI, protect privacy, guarding against misuse, prevent exacerbated bias and discrimination. Developed in consultation with civil society and private sector experts, the resolution squarely addresses the priorities of many developing countries, such as encouraging AI capacity building and harnessing the technology to advance sustainable development. Critically, the resolution makes clear that protecting human rights and fundamental freedoms must be central to the development and use of AI systems. 本日採択された決議は、各国がAIの機会と課題にどのように対応すべきかについて、包括的なビジョンを示している。公平なアクセスを促進し、AIのリスクをマネジメントし、プライバシーを保護し、悪用から守り、バイアスや識別的差別の悪化を防ぐための措置を講じるなど、AIに関する国際協力の道筋を示すものである。市民社会や民間セクターの専門家との協議を経て策定されたこの決議は、AIの能力構築を奨励し、持続可能な開発を進めるために技術を活用するなど、多くの発展途上国の優先事項に正面から取り組んでいる。この決議は、人権と基本的自由を保護することが、AIシステムの開発と利用の中心でなければならないことを明確に示している。
From the time he took office, President Biden has prioritized restoring our American leadership at the United Nations and on the world stage. For this reason, the United States turned to the UN General Assembly to have a truly global conversation on how to manage the implications of this fast-advancing technology. While it took nearly four months and countless hours of negotiations, the world now has a baseline set of principles to guide next steps in AI’s development and use. バイデン大統領は就任以来、国連や世界の舞台で米国のリーダーシップを取り戻すことを優先してきた。このため米国は、この急速に進歩するテクノロジーの影響をどのように管理するかについて、真にグローバルな対話を行うために国連総会を利用した。交渉には4ヶ月近くと数え切れないほどの時間を要したが、今や世界は、AIの開発と利用における次のステップを導くための基本原則を手に入れた。
We now look forward to building off of this landmark achievement. As this technology swiftly evolves, we will continue to strengthen international cooperation and respond to the far-reaching implications of AI. 私たちは今、この画期的な成果を土台にしていくことを楽しみにしている。この技術が急速に進化する中、我々は国際協力を強化し、AIの持つ広範囲な影響に対応していく。

 

 

・2024.03.21 Statement from Vice President Harris on the UN General Assembly Resolution on Artificial Intelligence

Statement from Vice President Harris on the UN General Assembly Resolution on Artificial Intelligence 人工知能に関する国連総会決議に関するハリス副大統領の声明
The United States welcomes the UN General Assembly’s adoption of a resolution setting out principles for the deployment and use of artificial intelligence (AI). President Biden and I are committed to establishing and strengthening international rules and norms on emerging technology – because technology with global impact, such as AI, requires global action, and when it comes to the challenges of the 21st century, we believe all nations must be guided by a common set of understandings. This resolution proposed by the United States and co-sponsored by more than 100 nations, is a historic step toward establishing clear international norms for AI and for fostering safe, secure, and trustworthy AI systems. 米国は、国連総会が人工知能(AI)の展開と利用に関する原則を定めた決議を採択したことを歓迎する。バイデン大統領と私は、新たなテクノロジーに関する国際的なルールと規範を確立し、強化することにコミットしている。AIのような世界的な影響を及ぼすテクノロジーには世界的な行動が必要であり、21世紀の課題に関しては、すべての国が共通の理解によって導かれなければならないと考えるからだ。米国が提案し、100カ国以上が共同提案したこの決議は、AIに関する明確な国際規範を確立し、安全、安心、信頼できるAIシステムを育成するための歴史的な一歩である。
As I said in London last year, AI must be in the public interest – it must be adopted and advanced in a way that protects everyone from potential harm and ensures everyone is able to enjoy its benefits.  And we must also address the full spectrum of risk, from catastrophic risks to all of humanity to the harms felt by individuals and communities, such as bias. Too often, in past technological revolutions, the benefits have not been shared equitably, and the harms have been felt by a disproportionate few. This resolution establishes a path forward on AI where every country can both seize the promise and manage the risks of AI. 昨年ロンドンで申し上げたように、AIは公共の利益に適うものでなければならない。潜在的な危害からすべての人を守り、すべての人がその恩恵を享受できるような形で、AIは採用され、発展していかなければならない。 また、人類全体に対する破滅的リスクから、バイアスなど個人やコミュニティが感じる害まで、あらゆるリスクに対処しなければならない。過去の技術革命では、恩恵が公平に共有されず、不釣り合いな少数の人々が害を被ることがあまりにも多かった。本決議案は、すべての国がAIの将来性をつかみ、リスクをマネジメントできるような、AIに関する前進の道筋を確立するものである。
This resolution reflects extensive consultation and input from countries all around the world. Together we have set a path whereby AI can be harnessed for sustainable development, all nations gain access to AI resources and expertise, and all nations understand the need to protect the safety, privacy, and human rights of their citizens. And the resolution makes clear that protecting human rights and fundamental freedoms must be central to the development and use of AI systems. この決議は、世界各国からの広範な協議と意見を反映したものである。我々は共に、AIが持続可能な開発のために活用され、すべての国がAIのリソースと専門知識を利用できるようになり、すべての国が自国民の安全、プライバシー、人権を守る必要性を理解できるような道筋を設定した。そして決議は、人権と基本的自由を守ることが、AIシステムの開発と利用の中心でなければならないことを明確にしている。
As this technology continues to evolve, the United States will continue to lead and work with partners throughout the international community to build on the important foundational principles adopted by the UN General Assembly today. この技術が進化し続ける中、米国は、本日国連総会で採択された重要な基本原則を基に、国際社会全体のパートナーと協力し、主導していく。

 

| | Comments (0)

2024.03.21

ENISA 遠隔身元証明 (Remote ID Proofing) の優れた実践

こんにちは、丸山満彦です。

少し疲れやすくなっていて、なかなか時間がとれずに、遅れ気味です...

これは、なかなか興味深い内容です...

 

ENISA

・2024.03.12 Remote ID Proofing - Good practices

 

・[PDF]

20240321-14016

 ・[DOCX] 仮訳

 

 

目次...

TABLE OF CONTENTS  目次 
1. INTRODUCTION 1. 序文
1.1 CONTEXT 1.1 背景
1.2 SCOPE 1.2 範囲
1.3 METHODOLOGY 1.3 方法論
1.4 TARGET AUDIENCE 1.4 対象読者
1.5 STRUCTURE 1.5 構造
2. BACKGROUND 2. 背景
2.1 INTRODUCTION 2.1 序文
2.2 SUMMARY OF REMOTE ID PROOFING METHODS 2.2 遠隔身元証明方法の概要
2.3 REFERENCE TO PREVIOUS ENISA STUDIES & RESULTS 2.3 過去のENISAの研究と結果の参照
2.4 DEVELOPMENTS IN LEGAL & REGULATORY REQUIREMENTS 2.4 法的・規制的要件の進展
3. ATTACKS OVERVIEW 3. 攻撃の概要
3.1 PRESENTATION ATTACKS 3.1 プレゼンテーション攻撃
3.1.1 Overview 3.1.1 概要
3.1.2 Attack Instruments 3.1.2 攻撃手段
3.1.3 Attack Methods 3.1.3 攻撃方法
3.2 INJECTION ATTACKS 3.2 インジェクション攻撃
3.2.1 Overview 3.2.1 概要
3.2.2 Attack Instruments 3.2.2 攻撃手段
3.2.3 Attack Methods 3.2.3 攻撃方法
3.3 IDENTITY DOCUMENT ATTACKS 3.3 身元文書攻撃
3.3.1 Overview 3.3.1 概要
4. GOOD PRACTICES 4. 優れた実践
4.1 ENVIRONMENTAL CONTROLS 4.1 環境の制御
4.2 PAD CONTROLS 4.2 PADの制御
4.3 IAD CONTROLS 4.3 IADの制御
4.4 IDENTITY DOCUMENT CONTROLS 4.4 身元文書の制御
4.5 PROCEDURAL CONTROLS 4.5 手続的制御
4.6 ORGANISATIONAL CONTROLS 4.6 組織的制御
5. CONCLUSIONS 5. 結論
6. BIBLIOGRAPHY AND REFERENCES 6. 参考文献
6.1 BIBLIOGRAPHY 6.1 参考文献
6.2 REFERENCES 6.2 参照文献
6.3 ENISA PUBLICATIONS 6.3 ENISA出版物
7. ANNEX A: GOOD PRACTICES OVERVIEW 7. 附属書A:優れた実践の概要
8. ANNEX B: CHAPTER 3 EXAMPLES & FIGURES 8. 附属書B:第3章 事例と図表
9. ANNEX C: REAL PRESENTATION ATTACK EXAMPLES 9. 附属書C:実際のプレゼンテーション攻撃例

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー
Over the last decade, an accelerating digital transformation is being observed, which has provided numerous benefits to European society and the economy by facilitating trade and the provision of services, creating new opportunities for businesses and increasing productivity and economic gain. Furthermore, the pandemic highlighted the significance of well-regulated and standardised remote identification processes, along with trustworthy digital identities on which public and private sector organisations may rely. These elements are also emphasised in the planned eIDAS revision (eIDAS 2.0), which will provide all EU citizens with safe and transparent access to a new generation of electronic services, including the EU digital identity wallet (EUDIW). These developments are part of the Commission’s wider vision for Europe’s digital transformation, Europe’s Digital Decade ([1]), setting concrete objectives and targets for a secure, safe, sustainable and people-centric digital transformation by 2030.  この10年間で、デジタルトランスフォーメーションは加速しており、貿易やサービス提供の円滑化、ビジネスの新たな機会の創出、生産性や経済的利益の向上など、欧州社会や経済に多くの恩恵をもたらしている。さらに、パンデミックは、公的機関や民間組織が信頼できるデジタルIDとともに、十分に規制され標準化された遠隔地での本人確認プロセスの重要性を浮き彫りにした。これらの要素は、EUデジタルIDウォレット(EUDIW)を含む新世代の電子サービスへの安全で透明性の高いアクセスをすべてのEU市民に提供するために計画されているeIDASの改訂(eIDAS 2.0)においても強調されている。これらの開発は、欧州委員会の欧州のデジタル変革に関する広範なビジョンである「欧州デジタルの10年」([1])の一環であり、2030年までに安全で、安全で、持続可能で、人々を中心としたデジタル変革を実現するための具体的な目的と目標を定めたものである。
Digital identity and identity verification are core functions of most services foreseen in the above context. Therefore, the need for secure and reliable identity proofing services, deployable quickly, at scale and in a cost-efficient manner intensifies, since it is a key enabler for electronic transactions in the Single Digital Market, and due to the increasing volume and sophistication of attacks.  デジタル ID と ID 検証は、上記の文脈で予見されるほとんどのサービスの中核機能である。したがって、単一デジタル市場における電子取引の重要なイネーブラーであり、攻撃の量と巧妙さが増していることから、迅速かつ大規模でコスト効率の高い方法で展開可能な、安全で信頼性の高い身元証明サービスの必要性が高まっている。
Through this report, ENISA attempts to accomplish the following strategic goals, in the domain of trust services and electronic identification:  本報告書を通じて、ENISA はトラストサービスおよび電子識別の領域で、以下の戦略的目標を達成しようとしている: 
• to increase stakeholders’ awareness;  ・利害関係者の意識を高める; 
• to assist in the risk analysis practices in the rapidly changing threat landscape of identity proofing;  ・身元確認という急速に変化する脅威の状況におけるリスク分析の実践を支援する; 
• to contribute to the development of stronger countermeasures, enhancing the trustworthiness and reliability of remote identity proofing (RIDP) methods.  ・より強力な対策の開発に貢献し、遠隔身元証明(RIDP)手法の信頼性と信頼性を高める。
The motivating factors to produce this report were:  この報告書を作成した動機は以下のとおりである: 
• the recent developments in the attack landscape, causing concerns about the trustworthiness of identity proofing;  ・最近の攻撃状況の進展により、身元証明の信頼性に懸念が生じたこと; 
• requests from various stakeholders regarding up-to-date information and guidance on defensive good practices.  ・さまざまな利害関係者から、防御的な優れた実践に関する最新の情報とガイダンスに関する要望があったこと。
Based on the above, the scope of this report builds and expands on the 2022 ENISA report Remote Identity Proofing – Attacks & Countermeasures ([2]), in an effort to bring novel types of threats and wider ecosystem concerns to the foreground.  上記に基づき、本報告書の範囲は、2022 年の ENISA レポート「Remote Identity Proofing ・Attacks & Countermeasures」([2])をベースに拡張し、新たなタイプの脅威とより広範なエコシステムに関する懸念を前面に押し出すよう努めた。
The information and data analysis phase, which consisted of a literature review, two surveys and subsequent rounds of interviews, identified the following major attacks:  文献レビュー、2 回の調査、およびそれに続くインタビューからなる情報・データ分析段階では、以下の主要な攻撃が特定された: 
• biometric presentation and injection attacks against a human subject’s face;  ・被験者の顔に対するバイオメトリクス・プレゼンテーションおよびインジェクション攻撃 
• presentation and injection attacks against an identity document.  ・身元文書に対するプレゼンテーションおよびインジェクション攻撃
Consideration was given to the nature and developments relating to deepfake attacks and related approaches in offensive and defensive aspects.  ディープフェイク攻撃に関連する性質と進展、および攻撃と防御の側面における関連するアプローチに考察が加えられた。
Next, applicable countermeasures were analysed and proposed as a set of good practices in the domains of environmental, procedural, organisational and technical controls. The rate and sophistication of novel threats require a revised mindset of defence, incorporating preventive and detective approaches.  次に、適用可能な対策が分析され、環境的、手続的、組織的、技術的制御の領域における一連のグッドプラクティスとして提案された。新奇な脅威の速度と巧妙さには、予防と検知のアプローチを取り入れた、防衛の考え方の見直しが必要である。
The report briefly examines attacks relating to identity documents that take place during the evidence validation and information binding phase of RIDP. The two most prominent good practices for defending identity documents were the status lookups in various identity document registries and the scanning of the near-field communication (NFC) chip (where available).  本報告書では、RIDP の証拠検証および情報結合の段階で行われる ID 文書に関連する攻撃を簡単に検 証する。ID 文書を防御するための 2 つの最も顕著な優れた実践は、さまざまな 身元文書登録でのステータス検索と、近距離無線通信(NFC)チップ(利用可能な場 合)のスキャンであった。
Both practices have their own obstacles in the course of their full realisation. Many of the identity document registries are maintained on a voluntary basis and a central, up-to-date registry with all the latest document versions of each Member State does not currently exist. On the other hand, while scanning the NFC chip to verify the holder´s personal information and biometric photo could eliminate several of the synthetic attacks, it is not currently legally and consistently permitted for private entities (trust service providers (TSPs), RIDP providers) across the EU. The inconsistent state of NFC-reading can be thought of as a part of the wider scattered regulatory landscape across the EU relating to the recognition of the remote nature of identity proofing and the assurance level it can provide.  どちらの実践も、その完全な実現にはそれなりの障害がある。身元文書登録の多くは任意ベースで維持されており、各加盟国のすべての最新文書 バージョンを持つ中央の最新登録は現在存在しない。他方、NFC チップをスキャンして所持者の個人情報とバイオメトリクス写真を検証することで、 いくつかの合成攻撃を排除することができるが、現在、EU 全体の民間事業体(トラスト・サービス・ プロバイダ(TSP)、RIDP プロバイダ)には法的に一貫して許可されていない。NFC 読み取りの一貫性のない状態は、身元確認の遠隔の性質とそれが提供できる保証レベルの認識に関連する、EU 全域に散在するより広範な規制状況の一部と考えることができる。
Finally, the report highlights wider concerns of the landscape, unrelated to attacks or technical topics, but capable of affecting the secure adoption and execution of RIDP methods across the EU.  最後に、この報告書は、攻撃や技術的なトピックとは無関係であるが、EU 全体の RIDP 手法の安全な採用と実行に影響を与える可能性のある、より広範な状況の懸念を強調している。

 

 


参考

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.14 ENISA トラストサービス-eIDASエコシステムのクラウドへの安全な移転

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.03.12 ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表

・2021.02.17 ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状)

 

| | Comments (0)

2024.03.20

米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

こんにちは、丸山満彦です。

連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム、サイバートラストマークの規則を採択していますね。。。大統領令EO 14028で消費者向けIoT製品のセキュリティ認証制度をすることになり、サイバートラストマークまで決まりましたからね...

ということで、FCCから最終規則が公表されています...

内容が細かく、まだよく理解できていませんが...

評価基準はNISTが作ることになっていますよね...

 

Federal Communications Commission; FCC

1_20240320044401

・2024.03.15 FCC Adopts Rules for IoT Cybersecurity Labeling Program

    DOC PDF TXT
R&O/Notice of Proposed Rulemaking; NPRM:  R&O/規則制定提案公告
News Releaseabout:  ニュースリリース
Rosenworcel Statement:  ローゼンウォーセルの声明
Starks Statement:   スタークスの声明 
Simington Statement:  シミントンの声明
Gomez Statement:   ゴメスの声明 

 

ニュースリリース...

FCC CREATES VOLUNTARY CYBERSECURITY LABELING PROGRAM FOR SMART PRODUCTS FCC、スマート製品のサイバーセキュリティ自主表示プログラムを創設
‘U.S. Cyber Trust Mark’ Program Will Help Consumers Make Informed Purchasing Decisions and Encourage Manufacturers to Meet Higher Cybersecurity Standards  U.S. Cyber Trust Mark」プログラムは、消費者が十分な情報を得た上で購入を決定することを支援し、製造事業者により高いサイバーセキュリティ標準を満たすよう促すものである。
WASHINGTON, March 14, 2024— The Federal Communications Commission today voted to create a voluntary cybersecurity labeling program for wireless consumer Internet of Things (“IoT”) products.  Under the program, qualifying consumer smart products that meet robust cybersecurity standards will bear a label—including a new “U.S Cyber Trust Mark”—that will help consumers make informed purchasing decisions, differentiate trustworthy products in the marketplace, and create incentives for manufacturers to meet higher cybersecurity standards.  ワシントン、2024年3月14日- 連邦通信委員会は本日、消費者向け無線モノのインターネット(「IoT」)製品を対象とした、サイバーセキュリティに関する自主的な表示プログラムの創設を決定した。 このプログラムでは、消費者が十分な情報を得た上で購入の意思決定を行い、市場で信頼できる製品を差別化し、製造事業者がより高いサイバーセキュリティ基準を満たすためのインセンティブを生み出すのに役立つ、強固なサイバーセキュリティ標準を満たした適格な消費者向けスマート製品にラベル(新しい "U.S. Cyber Trust Mark "を含む)が付けられる。
With today’s action, the Commission has adopted the rules and framework for the program to move forward.  Among program highlights:     本日の決定により、欧州委員会はこのプログラムを推進するための規則と枠組みを採択した。 プログラムのハイライトは以下の通りである:    
· The U.S. Cyber Trust Mark logo will initially appear on wireless consumer IoT products that meet the program’s cybersecurity standards.   ・U.S. Cyber Trust Markのロゴはまず,同プログラムのサイバーセキュリティ標準を満たした消費者向けワイヤレスIoT製品に表示される。
· The logo will be accompanied by a QR code that consumers can scan for easy-to-understand details about the security of the product, such as the support period for the product and whether software patches and security updates are automatic. ・このロゴにはQRコードが添付され、消費者はこれをスキャンすることで、製品のサポート期間、ソフトウェア・パッチやセキュリティ・アップデートの自動更新の有無など、製品のセキュリティに関する詳細をわかりやすく確認することができる。
· The voluntary program will rely on public-private collaboration, with the FCC providing oversight and approved third-party label administrators managing activities such as evaluating product applications, authorizing use of the label, and consumer education. ・この自主プログラムは、FCCが監督をし、承認された第三者管理者が製品申請の評価、ラベル使用の認可、消費者教育などの活動を管理するという、官民協力に頼ることになる。
· Compliance testing will be handled by accredited labs.  ・適合試験は、認定された研究所が担当する。
· Examples of eligible products may include home security cameras, voice-activated shopping devices, internet-connected appliances, fitness trackers, garage door openers, and baby monitors.  ・対象となる製品の例としては、ホームセキュリティカメラ、音声機能付きショッピング機器、インターネットに接続された家電製品、フィットネストラッカー、ガレージドアオープナー、ベビーモニターなどが挙げられる。
The Commission is also seeking public comment on additional potential disclosure requirements, including whether software or firmware for a product is developed or deployed by a company located in a country that presents national security concerns and whether customer data collected by the product will be sent to servers located in such a country. 欧州委員会はまた、製品のソフトウェアやファームウェアが、国家安全保障上の懸念がある国に所在する企業によって開発または導入されているかどうか、製品によって収集された顧客データがそのような国に所在するサーバーに送信されるかどうかなど、追加的な情報開示要件の可能性についてもパブリックコメントを求めている。
There are a wide range of consumer IoT products on the market that communicate over wireless networks.  These products are made up of various devices, and are based on many technologies, each of which presents its own set of security challenges.  Last August, the Commission proposed and sought comment on developing the voluntary cybersecurity labeling program for IoT.  The rules adopted today are based on that record.   市場には、無線ネットワークを介してコミュニケーションする消費者向けIoT製品が幅広く存在する。 これらの製品は様々なデバイスで構成され、多くの技術に基づいており、それぞれが独自のセキュリティ上の課題を提示している。 委員会は昨年8月、IoT向けのサイバーセキュリティ自主表示プログラムの策定を提案し、意見を求めた。 本日採択された規則は、その記録に基づいている。 
According to one third party estimate, there were more than 1.5 billion attacks against IoT devices in the first six months of 2021 alone.  Others estimate that there will be more than 25 billion connected IoT devices in operation by 2030.  The cybersecurity labeling program builds on the significant public and private sector work already underway on IoT cybersecurity and labeling, emphasizing the importance of continued partnership so that consumers can enjoy the benefits of this technology with greater confidence and trust. あるサードパーティーの試算によると、IoT機器に対する攻撃は2021年の最初の6カ月間だけで15億件以上あったという。 また、2030年までに250億台以上のコネクテッドIoTデバイスが稼動するとの予測もある。 サイバーセキュリティの表示プログラムは、IoTサイバーセキュリティと表示に関してすでに進められている官民の重要な取り組みを土台とするもので、消費者がこの技術の恩恵をより大きな自信と信頼をもって享受できるよう、継続的なパートナーシップの重要性を強調するものである。
Action by the Commission March 14, 2024 by Report and Order (FCC 24-26).  Chairwoman Rosenworcel, Commissioners Carr, Starks, Simington, and Gomez approving.  Chairwoman Rosenworcel, Commissioners Starks, Simington, and Gomez issuing separate statements. 2024年3月14日、報告および命令(FCC 24-26)による委員会の措置。 Rosenworcel委員長、Carr委員、Starks委員、Simington委員、Gomez委員が承認した。 Rosenworcel委員長、Starks委員、Simington委員、およびGomez委員は、個別に声明を発表した。

 

R&O/Notice of Proposed Rulemaking; NPRM

目次...

I.      INTRODUCTION I. 序文
II.     BACKGROUND II. 背景
A.      The Internet of Things (IoT) Landscape  A. モノのインターネット(IoT)の展望
B.      Public and Private IoT Security Efforts  B. 官民のIoTセキュリティへの取り組み
III.    REPORT AND ORDER  III. 報告と要求
A.      Voluntary IoT Labeling Program A. IoTラベリング・プログラム
B.      Eligible Devices or Products  B. 対象となる機器または製品
C.      Oversight and Management of the IoT Labeling Program  C. IoTラベリング・プログラムの監督と管理
1.      Fostering Close Public-Private Collaboration 1 緊密な官民協働を育む
2.      Cybersecurity Label Administrators (CLAs)    2 サイバーセキュリティラベル管理者 (CLA)
3.      Responsibilities of the Lead Administrator and CLAs  3 主管理者とCLAの責務
4.      Selecting CLAs and Revoking Authority to Grant Applications to Use the FCC IoT Label  4 CLA の選定と FCC IoT ラベルの使用申請を許可する認可の取り消し
D.      CyberLABs, CLA-Run Labs, and In-House Testing Labs   D. サイバーラボ、CLA運営ラボ、社内テストラボ
E.      Two-Step Process for Obtaining Authority to Use the FCC IoT Label  E. FCC IoTラベルを使用する認可を得るための2段階のプロセス
1.      Product Testing by an Accredited and Recognized Lab   1 認定ラボによる製品テスト
2.      Filing an Application with a CLA   2 CLAへの申請
F.      Consumer IoT Product Cybersecurity Criteria and Standards  F. 消費者向けIoT製品のサイバーセキュリティ基準と標準
G.      The FCC IoT Label (Cyber Trust Mark and QR Code)    G. FCC IoTラベル(サイバートラストマークとQRコード)
H.      Registry   H. レジストリ
I.      Continuing Obligations of Entities Authorized to Use the FCC IoT Label  I. FCC IoTラベルの使用を認可された事業体の継続義務
J.      Audits, Post-Market Surveillance, and Enforcement    J. 監査、市販後調査、執行
K.      International Reciprocal Recognition of the Cyber Trust Mark  K. サイバートラストマークの国際相互承認
L.      Consumer Education   L. 消費者教育
M.      Cost/Benefit Analysis  M. コスト/便益分析
IV.     LEGAL AUTHORITY IV. 法的認可
V.      FURTHER NOTICE OF PROPOSED RULEMAKING   V. 規則制定案の追加通知
VI.     PROCEDURAL MATTERS    VI. 手続き的マトリックス
VII.    ORDERING CLAUSES  VII. 要求条項
APPENDIX A – FINAL RULES 附属書A 最終規則 
APPENDIX B – FINAL REGULATORY FLEXIBILITY ANALYSIS 附属書B 最終規制柔軟性分析 
APPENDIX C – INITIAL REGULATORY FLEXIBILITY ANALYSIS 附属書C 初回規制柔軟性分析 

 

・[DOCX] [PDF] 仮訳

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

 

 

| | Comments (0)

2024.03.19

欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

こんにちは、丸山満彦です。

すでに多くのメディアがとりあげられているのですが、欧州のAI法と、サイバーレジリエンス法が、欧州議会で採択(adopt)されましたね...

欧州理事会で採択されると、確定しますね。

一方、日本でも

総務省と経済産業省によって、AI事業者ガイドラインがほぼ決まり...ましたよね...

ただ、こちらは事業者に対する話であって、社会にAIをどのように実装するのか?という話ではないですね...法執行機関や軍がどのように利用するのか?という観点も本来的にはあってもよいかもです...

そうなると、省庁のガイドラインではなく、法律ということになるのでしょうね...民主主義、基本的人権という観点から考えると本来的には民間人の利用より、政府の利用についての検討が重要なような気もしますけどね...

 

一方、サイバーレジリエンス法にたいするものとして、経済産業省がIoT製品に対するセキュリティ適合性評価制度を検討し、意見募集をしていますよね...

こちらも法制化ではなくガイドラインですね...米国のようなマーケットを使ったインセンティブも十分ではないような気もしますが、認証好きといわれる日本企業なので、認証制度をつくれば普及するのかもしれません... 

 

このあたりの違いは、EUの価値観にふれているこのブログのこの記事とかも...

 

1_20240319030501

 

European Parliament - News

プレス...

 

AI法...

・2024.03.13 Artificial Intelligence Act: MEPs adopt landmark law

Artificial Intelligence Act: MEPs adopt landmark law 人工知能法 欧州議会が画期的な法律を採択
・Safeguards on general purpose artificial intelligence ・汎用人工知能に関するセーフガード
・Limits on the use of biometric identification systems by law enforcement ・法執行機関による生体認証システムの使用制限
・Bans on social scoring and AI used to manipulate or exploit user vulnerabilities ・ソーシャル・スコアリングや、ユーザーの脆弱性を操作または悪用するために使用されるAIを禁止する。
・Right of consumers to launch complaints and receive meaningful explanations ・消費者が苦情を申し立て、有意義な説明を受ける権利
On Wednesday, Parliament approved the Artificial Intelligence Act that ensures safety and compliance with fundamental rights, while boosting innovation. 水曜日、議会は、安全性と基本的権利の遵守を確保し、イノベーションを促進する人工知能法を承認した。
The regulation, agreed in negotiations with member states in December 2023, was endorsed by MEPs with 523 votes in favour, 46 against and 49 abstentions. 2023年12月に加盟国との交渉で合意されたこの規則は、賛成523票、反対46票、棄権49票で欧州議会により承認された。
It aims to protect fundamental rights, democracy, the rule of law and environmental sustainability from high-risk AI, while boosting innovation and establishing Europe as a leader in the field. The regulation establishes obligations for AI based on its potential risks and level of impact. 同規則は、リスクの高いAIから基本的権利、民主主義、法の支配、環境の持続可能性を守るとともに、イノベーションを促進し、欧州をこの分野のリーダーとして確立することを目的としている。同規則は、AIの潜在的リスクと影響度に基づき、AIに対する義務を定めている。
Banned applications 禁止されるアプリケーション
The new rules ban certain AI applications that threaten citizens’ rights, including biometric categorisation systems based on sensitive characteristics and untargeted scraping of facial images from the internet or CCTV footage to create facial recognition databases. Emotion recognition in the workplace and schools, social scoring, predictive policing (when it is based solely on profiling a person or assessing their characteristics), and AI that manipulates human behaviour or exploits people’s vulnerabilities will also be forbidden. 新規則は、市民の権利を脅かす特定のAIアプリケーションを禁止している。これには、敏感な特徴に基づくバイオメトリクス分類システムや、顔認識データベースを作成するためのインターネットやCCTV映像からの顔画像の非標的なスクレイピングなどが含まれる。職場や学校での感情認識、ソーシャルスコアリング、予測的取り締まり(人物のプロファイリングや特性の評価のみに基づく場合)、人間の行動を操作したり、人々の脆弱性を悪用したりするAIも禁止される。
Law enforcement exemptions 法執行機関の適用除外
The use of biometric identification systems (RBI) by law enforcement is prohibited in principle, except in exhaustively listed and narrowly defined situations. “Real-time” RBI can only be deployed if strict safeguards are met, e.g. its use is limited in time and geographic scope and subject to specific prior judicial or administrative authorisation. Such uses may include, for example, a targeted search of a missing person or preventing a terrorist attack. Using such systems post-facto (“post-remote RBI”) is considered a high-risk use case, requiring judicial authorisation being linked to a criminal offence. 法執行機関によるバイオメトリクス識別システム(RBI)の使用は、網羅的に列挙された狭義の状況を除き、原則として禁止される。「リアルタイム」 RBI は、厳格な保護措置が満たされる場合、例えば、その使用が時間的・地理的範囲に限定され、特 定の事前の司法または行政の認可を受ける場合にのみ、導入することができる。このような用途には、例えば、行方不明者の標的を絞った捜索や、テロ攻撃の防止などが含まれる。このようなシステムを事後的に使用すること(「事後リモートRBI」)は、リスクの高いユースケースとみなされ、犯罪に結びつく司法認可を必要とする。
Obligations for high-risk systems リスクの高いシステムに対する義務
Clear obligations are also foreseen for other high-risk AI systems (due to their significant potential harm to health, safety, fundamental rights, environment, democracy and the rule of law). Examples of high-risk AI uses include critical infrastructure, education and vocational training, employment, essential private and public services (e.g. healthcare, banking), certain systems in law enforcement, migration and border management, justice and democratic processes (e.g. influencing elections). Such systems must assess and reduce risks, maintain use logs, be transparent and accurate, and ensure human oversight. Citizens will have a right to submit complaints about AI systems and receive explanations about decisions based on high-risk AI systems that affect their rights. その他のリスクの高いAIシステム(健康、安全、基本的権利、環境、民主主義、法の支配に重大な害を及ぼす可能性があるため)についても、明確な義務が定められている。リスクの高いAI利用の例としては、重要インフラ、教育・職業訓練、雇用、不可欠な民間・公共サービス(医療、銀行など)、法執行、移民・国境マネジメント、司法、民主的プロセス(選挙への影響など)における特定のシステムが挙げられる。このようなシステムは、リスクをアセスメントして削減し、使用ログを維持し、透明性と正確性を確保し、人間の監視を保証しなければならない。市民は、AIシステムに関する苦情を提出し、権利に影響を及ぼすリスクの高いAIシステムに基づく決定について説明を受ける権利を有する。
Transparency requirements 透明性の要件
General-purpose AI (GPAI) systems, and the GPAI models they are based on, must meet certain transparency requirements, including compliance with EU copyright law and publishing detailed summaries of the content used for training. The more powerful GPAI models that could pose systemic risks will face additional requirements, including performing model evaluations, assessing and mitigating systemic risks, and reporting on incidents. 汎用AI(GPAI)システムとそのベースとなるGPAIモデルは、EUの著作権法を遵守し、トレーニングに使用されたコンテンツの詳細な要約を公開するなど、一定の透明性要件を満たさなければならない。システミック・リスクを引き起こす可能性のあるより強力なGPAIモデルは、モデル評価の実施、システミック・リスクのアセスメントと低減、インシデントに関する報告などの追加要件に直面することになる。
Additionally, artificial or manipulated images, audio or video content (“deepfakes”) need to be clearly labelled as such. さらに、人為的または操作された画像、音声、映像コンテンツ(「ディープフェイク」)は、そのように明確に表示される必要がある。
Measures to support innovation and SMEs イノベーションと中小企業を支援する措置
Regulatory sandboxes and real-world testing will have to be established at the national level, and made accessible to SMEs and start-ups, to develop and train innovative AI before its placement on the market. 革新的なAIを開発し、市場に投入する前に訓練するために、規制上のサンドボックスと実世界でのテストを国レベルで確立し、中小企業や新興企業が利用できるようにする必要がある。
Quotes 引用
During the plenary debate on Tuesday, the Internal Market Committee co-rapporteur Brando Benifei (S&D, Italy) said: “We finally have the world’s first binding law on artificial intelligence, to reduce risks, create opportunities, combat discrimination, and bring transparency. Thanks to Parliament, unacceptable AI practices will be banned in Europe and the rights of workers and citizens will be protected. The AI Office will now be set up to support companies to start complying with the rules before they enter into force. We ensured that human beings and European values are at the very centre of AI’s development”. 火曜日の本会議討論で、域内市場委員会の共同報告者であるブランド・ベニフェイ(S&D、イタリア)は次のように述べた: 「リスクを削減し、機会を創出し、識別的と闘い、透明性をもたらすために、我々はついに人工知能に関する世界初の拘束力のある法律を手に入れた。議会のおかげで、欧州では容認できないAIの実践が禁止され、労働者と市民の権利が保護されることになる。今後、AI事務局が設置され、規則発効前に企業が規則の遵守を開始できるよう支援する。我々は、人間と欧州の価値観がAI開発の中心にあることを確実にした」と述べた。
Civil Liberties Committee co-rapporteur Dragos Tudorache (Renew, Romania) said: “The EU has delivered. We have linked the concept of artificial intelligence to the fundamental values that form the basis of our societies. However, much work lies ahead that goes beyond the AI Act itself. AI will push us to rethink the social contract at the heart of our democracies, our education models, labour markets, and the way we conduct warfare. The AI Act is a starting point for a new model of governance built around technology. We must now focus on putting this law into practice”. 自由人権委員会の共同報告者であるドラゴス・トゥドラチェ氏(ルーマニア、Renew)は、次のように述べた: 「EUは実現した。私たちは、人工知能の概念を、私たちの社会の基礎を形成する基本的価値観と結びつけた。しかし、AI法そのものにとどまらず、多くの課題が横たわっている。AIは、私たちの民主主義、教育モデル、労働市場、戦争遂行方法の核心にある社会契約の再考を私たちに迫るだろう。AI法は、テクノロジーを中心とした新たなガバナンス・モデルの出発点である。我々は今、この法律を実践に移すことに集中しなければならない」。
Next steps 次のステップ
The regulation is still subject to a final lawyer-linguist check and is expected to be finally adopted before the end of the legislature (through the so-called corrigendum procedure). The law also needs to be formally endorsed by the Council. この規則はまだ弁護士と言語学者による最終チェックを受けており、立法府が終了する前に最終的に採択される見込みである(いわゆる正誤表手続きによる)。また、同法は正式に理事会の承認を得る必要がある。
It will enter into force twenty days after its publication in the official Journal, and be fully applicable 24 months after its entry into force, except for: bans on prohibited practises, which will apply six months after the entry into force date; codes of practise (nine months after entry into force); general-purpose AI rules including governance (12 months after entry into force); and obligations for high-risk systems (36 months). 発効は官報公布の20日後となり、発効から24ヵ月後に完全に適用される。ただし、禁止行為の禁止(発効から6ヵ月後に適用)、実践規範(発効から9ヵ月後)、ガバナンスを含むAI汎用規則(発効から12ヵ月後)、ハイリスクシステムに関する義務(36ヵ月後)は例外となる。
Background 背景
The Artificial Intelligence Act responds directly to citizens’ proposals from the Conference on the Future of Europe (COFE), most concretely to proposal 12(10) on enhancing EU’s competitiveness in strategic sectors, proposal 33(5) on a safe and trustworthy society, including countering disinformation and ensuring humans are ultimately in control, proposal 35 on promoting digital innovation, (3) while ensuring human oversight and (8) trustworthy and responsible use of AI, setting safeguards and ensuring transparency, and proposal 37 (3) on using AI and digital tools to improve citizens’ access to information, including persons with disabilities. 人工知能法は、欧州未来会議(COFE)の市民提案に直接対応するもので、具体的には、戦略的分野におけるEUの競争力強化に関する提案12(10)、偽情報への対応や人間が最終的にコントロールできるようにすることを含む、安全で信頼できる社会に関する提案33(5)に対応する、 デジタル・イノベーションの促進に関する第35号議案(3)人間の監視を確保しつつ、(8)信頼できる責任あるAIの利用、セーフガードの設定と透明性の確保、および、障害者を含む市民の情報へのアクセスを改善するためのAIとデジタルツールの利用に関する第37号議案(3)である。
Further information 詳細情報
Link to adopted text (13.03.2024) 採択文書(13.03.2024)へのリンク
Plenary debate (12.03.2024) 本会議討論(12.03.2024)
Procedure file 手続きファイル
EP Research Service: compilation of studies on Artificial Intelligence EPリサーチ・サービス: 人工知能に関する研究のまとめ
Result of roll-call votes (13.03.2024) 採決結果(13.03.2024)
Committee on the Internal Market and Consumer Protection 域内市場・消費者防御委員会
Committee on Civil Liberties, Justice and Home Affairs 自由・司法・内務委員会

 

・2024.03.13 採択文書

Artificial Intelligence Act

・[PDF]

20240319-30306

・[DOCX]

 

 


 

次は、

サイバーレジリエンス法...

・2024.03.12 Cyber Resilience Act: MEPs adopt plans to boost security of digital products

Cyber Resilience Act: MEPs adopt plans to boost security of digital products サイバー・レジリエンス法: 欧州議会はデジタル製品のセキュリティを強化する計画を採択する
・More robust cybersecurity for all products with digital elements ・デジタル要素を含むすべての製品に対し、より強固なサイバーセキュリティを提供する。
・Covers everyday products like connected doorbells, baby monitors and Wi-Fi routers ・コネクテッド・ドアベル、ベビーモニター、Wi-Fiルーターなどの日常的な製品を対象とする。
・Security updates to be applied automatically when technically feasible ・技術的に可能な場合、セキュリティアップデートを自動的に適用する。
On Tuesday, Parliament approved new cyber resilience standards to protect all digital products in the EU from cyber threats. 火曜日、欧州議会は、EU域内のすべてのデジタル製品をサイバー脅威から守るための新しいレジリエンス標準を承認した。
The regulation, already agreed with Council in December 2023, aims to ensure that products with digital features are secure to use, resilient against cyber threats and provide enough information about their security properties. すでに2023年12月にEU理事会と合意しているこの規制は、デジタル機能を備えた製品の安全な使用、サイバー脅威に対するレジリエンス、セキュリティ特性に関する十分な情報の提供を保証することを目的としている。
Important and critical products will be put into different lists based on their criticality and the level of cybersecurity risk they pose. The two lists will be proposed and updated by the European Commission. Products deemed to pose a higher cybersecurity risk will be examined more stringently by a notified body, while others may go through a lighter conformity assessment process, often managed internally by the manufacturers. 重要な製品や重要な製品は、その重要性とサイバーセキュリティリスクのレベルに応じて、異なるリストに分類される。この2つのリストは欧州委員会が提案し、更新される。より高いサイバーセキュリティ・リスクをもたらすとみなされた製品は、被認証団体によってより厳格に審査されることになるが、それ以外の団体は、多くの場合製造事業者が内部で管理する、より軽い適合性評価プロセスを経ることになるかもしれない。
During the negotiations, MEPs made sure that products such as identity management systems software, password managers, biometric readers, smart home assistants and private security cameras are covered by the new rules. Products should also have security updates installed automatically and separately from functionality updates. 交渉の間、欧州議会議員は、ID管理システムソフトウェア、パスワードマネージャー、バイオメトリックリーダー、スマートホームアシスタント、プライベートセキュリティカメラなどの製品が新規則の対象となることを確認した。また、製品には機能アップデートとは別に、セキュリティアップデートが自動的にインストールされるべきである。
MEPs also pushed for the European Union Agency for Cybersecurity (ENISA) to be more closely involved when vulnerabilities are found and incidents occur. The agency will be notified by the member state concerned and receive information so it can assess the situation and, if it identifies a systemic risk, will inform other member states so they are able to take the necessary steps. 欧州議会議員はまた、脆弱性が発見されインシデントが発生した場合、欧州連合サイバーセキュリティ機関(ENISA)がより密接に関与するよう求めた。同機関は、関係加盟国から通知を受け、状況を評価できるよう情報を受け取り、システムリスクを識別した場合は、他の加盟国に通知し、必要な措置を講じることができるようにする。
To emphasise the importance of professional skills in the cybersecurity field, MEPs also introduced education and training programmes, collaborative initiatives, and strategies to enhance workforce mobility in the regulation. また、サイバーセキュリティ分野における専門スキルの重要性を強調するため、欧州議会議員らは、教育・訓練プログラム、共同イニシアティブ、労働力の流動性を高める戦略も同規則に導入した。
Quote 引用
Lead MEP Nicola Danti (Renew, IT) said: “The Cyber Resilience Act will strengthen the cybersecurity of connected products, tackling vulnerabilities in hardware and software alike, making the EU a safer and more resilient continent. Parliament has protected supply chains ensuring that key products such as routers and antiviruses are a priority for cybersecurity. We have ensured support for micro and small enterprises, better involvement of stakeholders, and addressed the concerns of the open-source community, while staying ambitious. Only together will we be able to tackle successfully the cybersecurity emergency that awaits us in the coming years. ニコラ・ダンチ欧州議会議員(刷新、IT)は次のように述べた: 「サイバーレジリエンス法は、コネクテッド製品のサイバーセキュリティを強化し、ハードウェアとソフトウェアの脆弱性に取り組むことで、EUをより安全でレジリエンスの高い大陸にする。議会は、ルーターやアンチウイルスなどの主要製品がサイバーセキュリティの優先事項であることを保証し、サプライチェーンを保護してきた。私たちは、野心的であり続けながら、零細・小規模エンタープライズへの支援を確保し、利害関係者の関与を高め、オープンソースコミュニティの懸念に対処してきた。今後数年間に待ち受けるサイバーセキュリティの緊急事態に成功裏に取り組むことができるのは、我々だけである。"
Next steps 次のステップ
The legislation was approved with 517 votes in favour, 12 against and 78 abstentions. It will now have to be formally adopted by Council, too, in order to come into law. 法案は、賛成517票、反対12票、棄権78票で承認された。この法案が成立するためには、今後、理事会でも正式に採択される必要がある。
Background 背景
New technologies come with new risks, and the impact of cyber-attacks through digital products has increased dramatically in recent years. Consumers have fallen victim to security flaws linked to digital products such as baby monitors, robot-vacuum cleaners, Wi-Fi routers and alarm systems. For businesses, the importance of ensuring that digital products in the supply chain are secure has become pivotal, considering three in five vendors have already lost money due to product security gaps. 新しい技術には新しいリスクがつきものであり、デジタル製品を介したサイバー攻撃の影響は近年劇的に増加している。消費者は、ベビーモニター、ロボット掃除機、Wi-Fiルーター、警報システムなどのデジタル製品に関連したセキュリティ欠陥の犠牲になっている。企業にとっては、サプライチェーンにおけるデジタル製品の安全性を確保することが重要な事業者となっており、すでに5社に3社のベンダーが製品のセキュリティ・ギャップのために損失を被っている。
Further information 詳細情報
Adopted text (12.03.2024) 採択テキスト(12.03.2024)
Video recording of the debate (11.03.2024) 討論会のビデオ録画 (11.03.2024)
Committee on Industry, Research and Energy 産業・研究・エネルギー委員会
Procedure file 手続きファイル
EP research briefing EP研究ブリーフィング
Legislative train 立法流れ

 

・2024.03.12 採択文書

Cyber Resilience Act

・[PDF]

20240319-31900

・[DOCX]

 


 

参考

まるちゃんの情報セキュリティ気まぐれ日記

AI法

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

サイバーレジリエンス法 (CRA)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...