米国 NIST SP 800-218A 生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス： SSDFコミュニティプロファイル

こんにちは、丸山満彦です。

ホワイトハウスからAIについての大統領令（E.O. 14110）に関する行動がすべて終了したという発表があり、このブログでも紹介しましたが、その内容の一部がNISTの SP 800-218A 生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス： SSDFコミュニティプロファイルの公表です...

SP800-218と一緒に使ってください(^^)

 

● NIST -ITL

プレス...

・2024.07.27 Secure Software Development Practices for Generative AI and Dual-Use Foundation Models | NIST SP 800-218A

Secure Software Development Practices for Generative AI and Dual-Use Foundation Models | NIST SP 800-218A	生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発の実践｜NIST SP 800-218A
Today, NIST is releasing Special Publication (SP) 800-218A, Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile.	本日、NISTは特別刊行物（SP）800-218A「生成的AIとデュアルユースファウンデーションモデルのための安全なソフトウェア開発プラクティス」をリリースする： An SSDF Community Profile』である。
This publication augments the secure software development practices and tasks defined in SP 800-218, Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities. SP 800-218A adds practices, tasks, recommendations, considerations, notes, and informative references that are specific to artificial intelligence (AI) model development throughout the software development life cycle.	本書は、SP 800-218「セキュアソフトウェア開発フレームワーク（SSDF）バージョン1.1」で定義されたセキュアソフトウェア開発の実践とタスクを補強するものである： ソフトウェアの脆弱性リスクを低減するための推奨事項である。SP 800-218A は、ソフトウェア開発ライフサイクル全体を通して、人工知能（AI）モデル開発に特化した実践方法、タスク、推奨事項、考慮事項、注記、および参考文献を追加している。
These additions are documented in the form of an SSDF Community Profile to support Executive Order (EO) 14110, Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, which tasked NIST with “developing a companion resource to the [SSDF] to incorporate secure development practices for generative AI and for dual-use foundation models.”	これらの追加事項は、大統領令（EO）14110「人工知能の安全、確実、信頼できる開発と使用」をサポートするために、SSDFコミュニティプロファイルの形で文書化されており、NISTに「生成的AIとデュアルユース基盤モデルのための安全な開発プラクティスを組み込むために、（SSDFに）付随するリソースを開発する」ことを課している。
This Community Profile is intended to be useful to the producers of AI models, the producers of AI systems that use those models, and the acquirers of those AI systems. This Profile should be used in conjunction with SP 800-218.	このコミュニティ・プロファイルは、AI モデルの製作者、それらのモデルを使用する AI システムの製作者、およびそれらの AI システムの取得者にとって有用であることを意図している。このプロファイルは SP 800-218 と合わせて使用されるべきである。

 

 

文書

・2024.07.27 NIST SP 800-218A Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile

NIST SP 800-218A  Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile	NIST SP 800-218A 生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス： SSDFコミュニティプロファイル
Abstract	概要
This document augments the secure software development practices and tasks defined in Secure Software Development Framework (SSDF) version 1.1 by adding practices, tasks, recommendations, considerations, notes, and informative references that are specific to AI model development throughout the software development life cycle. These additions are documented in the form of an SSDF Community Profile to support Executive Order (EO) 14110, Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, which tasked NIST with “developing a companion resource to the [SSDF] to incorporate secure development practices for generative AI and for dual-use foundation models.” This Community Profile is intended to be useful to the producers of AI models, the producers of AI systems that use those models, and the acquirers of those AI systems. This Profile should be used in conjunction with NIST Special Publication (SP) 800-218, Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities.	本文書は、Secure Software Development Framework（SSDF）バージョン 1.1 で定義されたセキュアソフトウェア開発プラクティスとタスクを補強するものであり、ソフトウェア開発ライフサイクル全体を通じて AI モデル開発に特化したプラクティス、タスク、推奨事項、考慮事項、注記、参考文献を追加している。これらの追加事項は、大統領令（EO）14110「人工知能の安全、セキュア、かつ信頼できる開発と使用」をサポートするために、SSDFコミュニティ・プロファイルの形で文書化されている。このコミュニティ・プロファイルは、NISTに「生成的AIとデュアルユース基盤モデルのための安全な開発プラクティスを組み込んだ（SSDFの）付属リソースを開発する」ことを課している。このコミュニティ・プロファイルは、AI モデルの製作者、それらのモデルを使用する AI システムの製作者、およびそれらの AI システムの取得者にとって有用であることを意図している。このプロファイルは、NIST 特別刊行物（SP）800-218「Secure Software Development Framework (SSDF) Version 1.1」と併せて使用されるべきである： ソフトウェアの脆弱性リスクを低減するための推奨事項」と併せて使用すること。

 

・[PDF] NIST.SP.800-218A

・[DOCX][PDF] 仮訳

 

目次...

1. Introduction	1.序文
1.1 Purpose	1.1 目的
1.2 Scope	1.2 適用範囲
1.3 Sources of Expertise	1.3 専門知識の源泉
1.4 Document Structure	1.4 文書の構造
2. Using the SSDF Community Profile	2. SSDFコミュニティ・プロフィールを使う
3. SSDF Community Profile for AI Model Development	3. AIモデル開発のためのSSDFコミュニティ・プロフィール
Appendix A. Glossary	附属書A. 用語集

 

 

 

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.27 米国 ホワイトハウス 新たなAI行動を発表し、 AIに関する追加の主要な自主的コミットメントをAppleからも受領

・2024.05.03 米国 商務省 NISTがAIに関する4つのドラフトを公開し、意見募集を開始 (2023.04.29)

・2023.04.15 CISA他 サイバーセキュリティリスクのバランスを変える：セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトの原則とアプローチ

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.02.06 NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

・2021.10.02 NIST SP 800-218 （ドラフト）セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

 

米国 ホワイトハウス ファクトシート：重要新興技術のための国家標準戦略の実施

こんにちは、丸山満彦です。

重要新興技術 (Critical and Emerging Technology) は経済安全保障上、民主主義を守るためにも重要な要素として、その発展に力を入れていますが、ベースは民間の力を活性化するという方向ですよね...

競合する国々も重要新興技術の獲得には国を挙げて力を入れているでしょうね。。。例えば、自国で開発しが技術を世界に広めるために国際標準化に国として力をいれたり...

米国の場合は、このブログでも紹介しましたが、昨年5月に国際標準化のための戦略をホワイトハウスから発表していますね...

そして、今度はファクトシート：重要新興技術のための国家標準戦略の実施を公表しています。

重要新興技術のリストの更新版（2024年2月）があります...

 

日本では、経済安全保障推進法の先端的な重要技術の開発支援に関する制度に関連してくるような分野（特定重要技術...）が近い感じですかね...

 

● U.S. White House

・2024.07.26 FACT SHEET: Implementing the National Standards Strategy for Critical and Emerging Technology

 

FACT SHEET: Implementing the National Standards Strategy for Critical and Emerging Technology	ファクトシート：重要新興技術のための国家標準戦略の実施
Today, the Biden-Harris Administration released the Implementation Roadmap for the U.S. Government’s May 2023 National Standards Strategy for Critical and Emerging Technology (USG NSSCET). The roadmap sustains and reinforces the U.S. Government’s commitment to standards development led by the private sector and enhanced by partnerships with public institutions and calls for robust engagement in the standardization of critical and emerging technologies (CETs) to protect U.S. national and economic security.	本日、バイデン-ハリス政権は、2023 年 5 月に米国政府が策定した「重要新興技術に関する国家標準化戦略」（USG NSSCET）の実施ロードマップを発表した。このロードマップは、民間部門が主導し、公的機関とのパートナーシップによって強化された標準開発に対する米国政府のコミットメントを維持・強化するものであり、米国の国家安全保障と経済安全保障を守るために、重要新興技術（CETs）の標準化に積極的に関与することを求めている。
Standards are essential to commerce and to the safe, reliable, and interoperable functioning of a broad array of essential products and services. Standards help ensure that technologies and parts from many suppliers work together seamlessly, and facilitate efficient operation of services and manufacturing while facilitating a competitive marketplace for goods and services. Standards provide industries and innovators with a common language that facilitates trade, simplifies transactions, accelerates innovation, and enables people to work across disciplines and borders toward common goals.	標準機能は、商取引や、広範な重要製品・サービスの安全性、信頼性、相互運用性に不可欠である。標準は、多くの供給者の技術や部品がシームレスに連携し、サービスや製造の効率的な運用を促進すると同時に、商品やサービスの競争市場を促進するのに役立つ。標準は、貿易を促進し、取引を簡素化し、技術革新を加速させ、人々が共通の目標に向かって分野や国境を越えて働くことを可能にする共通言語を産業界や技術革新者に提供する。
Critical and emerging technologies have been designated by the Administration as potentially significant to U.S. national security, including economic security and the defense of democratic values. Recognizing the strategic value of CETs, our competitors abroad are seeking to influence international standards development to their own advantage, placing at risk leadership opportunities for U.S. innovators and industry and access to quality products and services that benefit all.	重要新興技術は、経済安全保障や民主主義的価値観の擁護など、米国の国家安全保障にとって重要な意味を持つ可能性があるとして、政権によって指定されている。CETsの戦略的価値を認識している海外の競争相手は、国際標準化に影響力を行使して自国に有利な立場を取ろうとしており、その結果、米国のイノベーターや産業界がリーダーシップを発揮する機会や、すべての人に利益をもたらす高品質の製品やサービスを利用する機会がリスクにさらされている。
The Implementation Roadmap recommends steps the U.S. Government should take to realize the objectives of the USG NSSCET. The roadmap is organized around eight lines of effort for the U.S. Government, with an understanding that success will require extensive and sustained coordination with the U.S. private sector and like-minded allies. The Implementation Roadmap is based on information collected through a Request for Information, stakeholder engagements, consultations, and formal recommendations from federal advisory committees including the National Institute of Standards and Technology (NIST) Visiting Committee on Advanced Technology.	実施ロードマップは、USG NSSCETの目標を実現するために米国政府がとるべき措置を提言している。このロードマップは、成功のためには米国の民間部門や志を同じくする同盟国との広範かつ持続的な協調が必要であることを理解した上で、米国政府が取り組むべき8つのラインを中心に構成されている。実施ロードマップは、情報提供要請、利害関係者の関与、協議、および国立標準技術研究所（NIST）先端技術視察委員会を含む連邦諮問委員会からの正式な勧告を通じて収集された情報に基づいている。
The U.S. Government is committed to supporting and upholding private sector-led standards development processes that are:	米国政府は、以下のような民間主導の標準開発プロセスを支援し、支持することを約束する：
・Built on transparency;	・透明性を基盤とする；
・Strengthen long-standing public private partnerships;	・長年の官民パートナーシップを強化する；
・And, reflect the U.S. commitment to free and fair market competition in which the best technologies come to market.	・そして、最高の技術が市場に投入される自由で公正な市場競争に対する米国のコミットメントを反映する。
Approach	アプローチ
The United States is committed to a private sector-led standards system that is inclusive, diverse, and draws on robust research and innovation. Through clear actions and effective diplomacy, the Departments of Commerce and State, together with the Office of the United States Trade Representative, will continue to work with private sector leadership including the American National Standards Institute (ANSI) to engage international partners with an aim to promote this approach globally.	米国は、包括的で多様性に富み、確固とした研究と革新に基づく民間主導の標準システムにコミットしている。米国商務省および国務省は、米国通商代表部とともに、明確な行動と効果的な外交を通じて、米国規格協会（ANSI）を含む民間部門のリーダーシップと協力し、このアプローチを世界的に推進することを目指し、国際的なパートナーとの関わりを深めていく。
The ANSI administers and coordinates the private sector-led U.S. voluntary standards and conformity assessment system, while the NIST coordinates Federal Government engagement in standards activities. The USG NSSCET complements the United States Standards Strategy (USSS) published by the ANSI and supports, complements, and further communicates U.S. Government priorities for CET standards development.  Through SDOs, the U.S. private sector leads standardization activities globally to respond to market demand, with substantial contributions from the U.S. Government, academia, industry, and civil society groups. Industry associations, consortia, and other private sector groups work together within this system to develop standards to solve specific challenges and respond to national priorities.	ANSIは民間主導の米国自主標準および適合性評価制度を管理・調整し、NISTは連邦政府の標準活動への関与を調整する。USG NSSCETは、ANSIが発表した米国標準化戦略（USSS）を補完し、CET標準化開発における米国政府の優先事項をサポート、補完、さらにコミュニケーションする。 SDOを通じて、米国の民間部門は、米国政府、学界、産業界、および市民社会グループからの多大な貢献により、市場の需要に応える標準化活動をグローバルに主導している。業界団体、コンソーシアム、その他の民間団体は、このシステムの中で協力し合い、特定の課題を解決し、国家の優先事項に対応する標準を開発している。
We also call upon standards stakeholders, including representatives of industry, start-ups, small- and medium-sized enterprises, the academic community, and civil society organizations to work with U.S. Government officials and ANSI on creative solutions to lower barriers, incentivize greater participation, and protect the integrity of international standards development through robust investment and engagement. Building on increased investment in Research and Development (R&D) through initiatives like the National Artificial Intelligence Research Resource, the CHIPS and Science Act, and the 21st Century Cures Act, the Implementation Roadmap focuses on short-term actions and long-term sustained outcomes that promote global trade, interoperability in manufacturing, and U.S. competitiveness and innovation through CET standardization.	我々はまた、産業界、新興企業、中小企業、学術界、市民社会組織の代表者を含む標準関係者に対し、強固な投資と関与を通じて、障壁を低くし、より多くの参加を促し、国際標準開発の完全性を守るための創造的な解決策について、米国政府当局およびANSIと協力するよう求める。この実施ロードマップは、国家人工知能研究資源、CHIPS および科学法、21 世紀治療法のようなイニシアチブを通じた研究開発（R&D）への投資増に基づき、CET 標準化を通じた世界貿易、製造業における相互運用性、米国の競争力とイノベーションを促進する短期的な行動と長期的な持続的成果に焦点を当てている。
In the short-term, the U.S. Government will take immediate action to include but not limited to:	短期的には、米国政府は以下を含む（ただしこれに限定されない）早急な行動をとる：
・Identifying opportunities to increase U.S. Government pre-standardization R&D and standards participation efforts;	・米国政府による標準化前の研究開発および標準化への参加を増やす機会を特定する；
・Tracking and evaluating current U.S. Government CET standards education grants and programs that promote, foster, and remove barriers to U.S. stakeholder participation in national and international standards activities, and;	・国内および国際的な標準化活動への米国の利害関係者の参加を促進し、育成し、障壁を取り除くた めの、現行の米国政府 CET 標準教育補助金およびプログラムを追跡し、評価する；
・Tracking and evaluating current U.S. Government technology cooperation agreements and international mechanisms for standards-related communication and cooperation.	・標準に関連するコミュニケーションと協力のための、現行の米国政府技術協力協定および国際 メカニズムを追跡し評価すること。
For long-term sustained implementation outcomes, the U.S. Government will take steps to:	長期的に持続する実施成果のために、米国政府は以下の措置を講じる：
・Enhance standards coordination across the federal government;	・連邦政府全体の標準調整を強化する；
・Enhance standards coordination with the private sector;	・民間部門との標準調整を強化する；
・Enhance standards policy coordination between the U.S. Government and foreign governments;	・米国政府と諸外国政府との間の標準政策調整を強化する；
・Recognize and incentivize federal agency engagement in standardization;	・標準化における連邦政府機関の関与を認識し、奨励する；
・Provide strong and sustained funding for CET R&D and pre-standardization coordination;	・CET の研究開発および標準化前の調整に強力かつ持続的な資金を提供する；
・Engage academia as a critical partner to the private sector in standards development efforts;	・標準開発における民間部門の重要なパートナーとして学術界を関与させる；
・Enhance educational efforts in standards;	・標準に関する教育活動を強化する；
・Develop and sustain communications about standards, and;	・標準に関するコミュニケーションを発展させ、維持する；
・Remove barriers to participation in standardization.	・標準化への参加に対する障壁を取り除く。
A Whole-of-Government Effort	政府全体の取り組み
Many U.S. Government organizations are demonstrating their commitment to implementation through their actions and partnerships. These efforts signal a broad emphasis across the government aimed at strengthening U.S. competitiveness, innovation, and national and economic security via standards-related policies and actions. Examples include:	多くの米国政府組織が、その行動やパートナーシップを通じて実施へのコミットメントを示している。これらの取り組みは、標準関連の政策や行動を通じて、米国の競争力、イノベーション、国家・経済安全保障を強化することを目的とした政府全体の広範な重点化を示すものである。その例として以下が挙げられる：
The National Institute of Standards and Technology (NIST) coordinates Federal agency implementation of standards and conformity-assessment-related National Technology Transfer and Advancement Act provisions.  In addition, NIST provides technical expertise to standards development efforts across the entire science and technology enterprise, including for critical and emerging technologies. For example: NIST’s experience in contributing to trust in new technologies in general, and in AI research in particular, is why it was among the federal agencies chosen to help fulfill President Biden’s Executive Order (EO) on Safe, Secure, and Trustworthy Artificial Intelligence (14110). The deliverables include A Plan for Global Engagement on AI Standards, which recognizes the importance of technical standards in shaping the development and use of artificial intelligence.	国立標準技術研究所（NIST）は、標準および適合性アセスメントに関連する国家技術移転促進法（National Technology Transfer and Advancement Act）規定の連邦政府機関による実施を調整している。 さらに NIST は、重要技術や新興技術を含む科学技術エ ンタープライズ全体の標準開発努力に技術的専門知識を提供している。例えば 一般的な新技術、特にAI研究の信頼に貢献してきたNISTの経験は、バイデン大統領の安全、安心、信頼できる人工知能に関する大統領令（EO）（14110）の履行を支援する連邦機関に選ばれた理由である。成果物には、人工知能の開発と利用を形成する技術標準の重要性を認識した「AI標準に関するグローバルな関与のための計画」が含まれる。
NIST will establish and operate a Standardization Center of Excellence as a public-private partnership focusing on four key areas: Pre-standardization engagement, workforce capacity building, an information and data sharing hub, and a collaborative pilot program in CETs.	NISTは、4つの主要分野に焦点を当てた官民パートナーシップとして、標準化センター・オブ・エクセレンスを設立・運営する： 標準化前の関与、労働力の能力構築、情報・データ共有ハブ、CETにおける共同パイロット・プログラムである。
The CHIPS and Science Act appropriated $50 billion to the Department of Commerce’s CHIPS for America program both to support semiconductor research and development (R&D) and to expand semiconductor manufacturing capacity in the United States. A key element in achieving these CHIPS R&D goals is to accelerate the private sector-led development and deployment by industry of effective technical standards.	CHIPS and Science Actは、半導体研究開発（R&D）を支援し、米国内の半導体製造能力を拡大するために、商務省のCHIPS for Americaプログラムに500億ドルを計上した。これらのCHIPS研究開発目標を達成するための重要な要素は、効果的な技術標準の民間主導による開発と産業界による展開を加速することである。
The U.S. Patent and Trademark Office (USPTO) is partnering with foreign partners to forge alliances and collaborate toward enhanced efficiencies in standards essential patent licensing markets. So far, the USPTO signed an Memorandum of Understanding (MOU) with the United Kingdom Intellectual Property Office to this effect on June 3, 2024. It has also partnered with the World Intellectual Property Organization on dispute resolution efforts related to standards essential patents.	米国特許商標庁(USPTO)は、海外のパートナーと提携し、標準に不可欠な特許ライセンス市場の効率化に向けて協力している。これまでにUSPTOは、2024年6月3日に英国知的財産庁と覚書を締結している。また、世界知的所有権機関とも標準必須特許に関する紛争解決で提携している。
The National Telecommunications and Information Administration (NTIA) continues to administer the Public Wireless Supply Chain Innovation Fund, a $1.5 billion grant program funded by the CHIPS and Science Act of 2022, which aims to catalyze research, development, and adoption of open, interoperable, standards-based next-generation wireless networks. NTIA coordinates extensively with the private sector, U.S. Department of State, and other agency partners to represent the United States at the International Telecommunication Union.	国家電気通信情報局（NTIA）は、2022年CHIPSおよび科学法（CHIPS and Science Act of 2022）により資金提供された15億ドルの助成金プログラムである公共無線サプライチェーンイノベーション基金（Public Wireless Supply Chain Innovation Fund）の運営を継続しており、これはオープンで相互運用可能な標準ベースの次世代無線ネットワークの研究、開発、採用を促進することを目的としている。NTIAは、民間企業、米国務省、および他の省庁のパートナーと幅広く連携し、国際電気通信連合（International Telecommunication Union）における米国の代表者として活動している。
The International Trade Administration (ITA) leverages multilateral and bilateral fora, dialogues, and partnerships such as the Asia-Pacific Economic Cooperation and the U.S.-E.U. Trade and Technology Council to engage like-minded nations in promoting the use of international standards and best practices for the development of standards for emerging technologies. Additionally, ITA employs Digital, Standards, and Intellectual Property Attachés in key foreign markets to increase U.S. exports by helping U.S. companies access the global marketplace and navigate foreign regulatory issues.  These Attachés play a critical role in ensuring that U.S. companies remain competitive globally and that foreign markets have access to the high-quality products and services that U.S. industries provide.	国際貿易局（ITA）は、アジア太平洋経済協力会議（Asia-Pacific Economic Cooperation）や米英貿易技術協議会（U.S.-E.U. Trade and Technology Council）のような多国間および二国間のフォーラム、対話、パートナーシップを活用し、新興技術に関する標準の開発における国際標準やベストプラクティスの利用を促進するため、志を同じくする国々に働きかけている。さらにITAは、米国企業が世界市場にアクセスし、外国の規制問題を解決するのを支援することにより、米国の輸出を増加させるため、主要な海外市場にデジタル、標準、知的財産担当官を派遣している。 これらのアタッシェは、米国企業が世界的な競争力を維持し、米国産業が提供する高品質の製品やサービスを海外市場が利用できるようにする上で重要な役割を果たしている。
The Department of State launched a project to support an international standards development process grounded in transparency, private sector leadership and public sector support, and diverse stakeholder engagement. The project will also enhance like-minded nations’ representation and expand the number of countries that are aligned with U.S. Government vision, thus creating greater leadership in international standards governance by the United States. In addition, this project will assist participant countries in adopting international standards for domestic policies and laws.	国務省は、透明性、民間部門のリーダーシップと公的部門の支援、多様な利害関係者の参加に基づく国際標準開発プロセスを支援するプロジェクトを立ち上げた。このプロジェクトはまた、志を同じくする国々の代表を強化し、米国政府のビジョンと一致する国の数を拡大することで、米国による国際標準ガバナンスのリーダーシップを高める。さらに、このプロジェクトは参加国が国内の政策や法律に国際標準を採用するのを支援する。
The Department of Defense (DoD) engages with ANSI and the private sector in collaborative standards activities such as the Alliance for Telecommunications Industry Solutions and the 3rd Generation Partnership Project (3GPP). In the context of the North Atlantic Trade Agreement (NATO) and other multinational organizations, the DoD experts routinely engage with personnel from over 70 countries on standardization matters related to national defense requirements, including participation in Standards Developing Organizations (SDO) activities, development of standardization policy and implementing standards to support defense capability and interoperability requirements.	国防省（DoD）は、電気通信産業ソリューション同盟（Alliance for Telecommunications Industry Solutions）や第3世代パートナーシップ・プロジェクト（3GPP）などの共同標準化活動において、ANSIや民間部門と協力している。北大西洋貿易協定（NATO）やその他の多国籍組織との関連で、国防総省の専門家は、標準化団体（SDO）活動への参加、標準化方針の策定、防衛能力や相互運用性の要件をサポートする標準の導入など、国防要件に関連する標準化事項について、70カ国以上の職員と日常的に関与している。
The Department of Transportation (U.S. DOT) has many engagements across a diverse and complex spectrum of regulatory and technical standardization activities including within CETs such as automation/autonomy and complementary Positioning, Navigation, and Timing (PNT).  U.S DOT  will continue to support advancement of standards benefitting safe, efficient, and interoperable transportation in cooperation with public and private sector stakeholder communities. For example, the Intelligent Transportation Systems (ITS) Program supports both private and public sector stakeholder participation in standards activities via multiple SDOs including SAE International, IEEE, the Institute for Transportation Engineers (ITE), ISO and others, including facilitating multi-SDO cooperation on multiple topics, including the Connected Transportation Interoperability (CTI) family of standards.	米国運輸省（U.S. DOT）は、自動化・自律化や補完的測位・航法・計時（PNT）などの CETs 内を含め、多様で複雑な規制・技術標準化活動に多数関与している。 米国運輸省（U.S. DOT）は、官民の利害関係者コミュニティと協力して、安全で効率的かつ相互運用可能な輸送に役立つ標準の推進を引き続き支援する。例えば、高度道路交通システム（ITS）プログラムでは、SAE International、IEEE、運輸技術者協会（ITE）、ISO などの複数の SDO を通じて、Connected Transportation Interoperability（CTI）標準ファミリーを含む複数のトピックに関する複数の SDO の協力を促進するなど、標準活動への民間および公共部門の利害関係者の参加を支援している。
The U.S. Department of Energy (DOE) has a long history of leadership in international standardization efforts to accelerate the adoption of transformative science and technology solutions to energy, environmental, and nuclear challenges. Technical experts at DOE and its 17 National Laboratories provide critical input to new standards in areas ranging from hydrogen and energy storage, to biotechnology, artificial intelligence, and high-performance computing (HPC). DOE’s experts work alongside participants from all over the world toward standards that are consistent with U.S. values and informed by the latest scientific and technological advancements. DOE’s continued investments support the USG NSSCET through research, development, and demonstration (RD&D) and participation and workforce. DOE recognizes that standardization can accelerate the adoption of transformative science and technology solutions that are key to the success of its mission.	米国エネルギー省（DOE）は、エネルギー、環境、および原子力の課題に対する変革的な科学技術ソリュー ションの採用を促進するために、国際標準化の取り組みにおいてリーダーシップを発揮してき た長い歴史がある。DOE とその 17 の国立研究所の技術専門家は、水素やエネルギー貯蔵からバイオテクノロジー、人工知能、ハイパフォーマン スコンピューティング（HPC）に至るまで、幅広い分野の新規格に重要なインプットを提供している。DOE の専門家たちは、米国の価値観に合致し、最新の科学技術の進歩を反映した標準を目指して、世界各国からの参加者たちとともに活動している。DOE の継続的な投資は、研究・開発・実証（RD&D）および参加と労働力を通じて、USG NSSCET を支援する。DOE は、標準化によって、その使命の成功の鍵となる変革的な科学技術ソリュー ションの採用を加速できることを認識している。
The U.S. National Science Foundation (NSF) revised its Proposal and Award Policies and Procedures Guide (PAPPG) governing submission, review, and oversight of all proposals and awards to now explicitly encourage researchers’ “participation in national and/or international standards development efforts” as an example of the broader impacts of the funding agency’s investments in the nation’s research and innovation ecosystem. Relatedly, through the “CHIPS and Science Act of 2022,” NSF’s new Directorate for Technology, Innovation and Partnerships is charged with investing in new pathways for translating research results to practice, and is considering steps toward one such pathway that would enable researchers to mature their technological and related innovations to inform standards development.	米国国立科学財団（NSF）は、すべての提案と賞の提出、審査、および監督を規定する提案と賞の方針と 手続きの手引き（PAPPG）を改訂し、国の研究とイノベーションのエコシステムに対する資金提供機関の投 資の広範な影響の一例として、研究者の「国内および/または国際標準開発努力への参加」を明確に奨励するようになった。これに関連して、「2022年CHIPSおよび科学法」を通じて、NSFの新しい技術・イノベーション・パートナーシップ部門は、研究成果を実用化するための新しい経路に投資することを課せられており、研究者が標準開発に情報を提供するための技術および関連イノベーションを成熟させることを可能にする、そのような経路へのステップを検討している。
The Federal Bureau of Investigation (FBI) engages with domestic and international government partners, the private sector, academia, and non-government organizations to further public safety standards activities in groups such as the International Telecommunications Union (ITU), Internet Corporation for Assigned Names and Numbers (ICANN), and 3rd Generation Partnership Project (3GPP). Technical and policy experts at the FBI serve as members, consultants, and in leadership roles in the Standards Development Organizations (SDO) and regularly contribute public safety perspectives across a broad range of activities from emergency and law enforcement communications networks to stemming the flow of counterfeit devices to tackling domain name system (DNS) abuse.	連邦捜査局 (FBI) は、国際電気通信連合 (ITU)、Internet Corporation for Assigned Names and Numbers (ICANN)、3rd Generation Partnership Project (3GPP) などの団体において、国内外の政府パートナー、民間企業、学界、非政府組織と協力し、公共安全の標準化活動を推進している。FBI の技術および政策の専門家は、標準開発機関 (SDO) のメンバー、コンサルタント、指導的役割を担っており、緊急および法執行機関のコミュニケーション・ネットワークから、偽造デバイスの流出の阻止、ドメインネームシステム (DNS) の不正使用への取り組みまで、幅広い活動において公共安全の観点から定期的に貢献している。

 

 

・[PDF] CRITICAL AND EMERGING TECHNOLOGIES LIST UPDATE

 

概要...

Overview	概要
Critical and emerging technologies (CETs) are a subset of advanced technologies that are potentially significant to U.S. national security. The 2022 National Security Strategy identifies three national security interests: protect the security of the American people, expand economic prosperity and opportunity, and realize and defend the democratic values at the heart of the American way of life.  The NSTC established this Fast Track Action Subcommittee in 2020 to identify critical and emerging technologies to inform national security-related activities. This list identifies CETs with the potential to further these interests and builds on the October 2020 National Strategy for Critical and Emerging Technologies, which contains an initial list of priority CETs.  This updated document expands upon that original CET list and the February 2022 update by identifying subfields for each CET with a focus, where possible, on core technologies that continue to emerge and modernize, while remaining critical to a free, open, secure, and prosperous world. While enabling or supporting technologies are sometimes referenced, other enabling capabilities, like a modernized, technically capable workforce, are excluded. Though certain enabling capabilities are not explicitly included, they remain critical to the promotion and protection of all CETs.	クリティカル・テクノロジーおよびエマージング・テクノロジー（CETs）は、米国の国家安全保障にとって潜在的に重要な先端技術のサブセットである。2022年国家安全保障戦略は、3つの国家安全保障上の利益を特定している：米国民の安全を守ること、経済的繁栄と機会を拡大すること、米国人の生活様式の中核にある民主的価値を実現し防衛すること。 NSTCは、国家安全保障に関連する活動に情報を提供するため、2020年にこのファスト・トラック・アクション小委員会を設立し、重要な新興技術を特定した。このリストは、これらの利益を促進する可能性のあるCETを特定するものであり、優先CETの初期リストを含む2020年10月の「クリティカル・テクノロジーと新興テクノロジーのための国家戦略」を基礎としている。 この更新された文書は、当初のCETリストと2022年2月に更新されたものを発展させたもので、各CETのサブ分野を特定し、可能な限り、自由で開かれた安全で豊かな世界にとって重要でありながら、出現と近代化を続けるコア技術に焦点を当てている。実現技術や支援技術が言及されることもあるが、近代化された技術力のある労働力など、その他の実現能力は除外されている。ある種の実現可能な能力は明確に含まれていないが、すべてのCETsの促進と保護にとって不可欠であることに変わりはない。
Though not a strategy document, this updated CET list may inform government-wide and agencyspecific efforts concerning U.S. technological competitiveness and national security. This list may also inform future efforts to prioritize across CETs and their component subfields; however, this list should not be interpreted as a priority list for either policy development or funding. Instead, this list should be used as a resource to: inform future efforts that promote U.S. technological leadership; cooperate with allies and partners to advance and maintain shared technological advantages; develop, design, govern, and use CETs that yield tangible benefits for society and are aligned with democratic values; and develop U.S. Government measures that respond to threats against U.S. security. Departments and agencies may consult this CET list when developing, for example, initiatives to research and develop technologies that support national security missions, compete for international talent, and protect sensitive technology from misappropriation and misuse.	戦略文書ではないが、この更新されたCETリストは、米国の技術競争力と国家安全保障に関する政府全体および各省庁固有の取り組みに情報を提供することができる。また、このリストは、CETとその構成サブフィールド間の優先順位を決める今後の取り組みに役立つかもしれない。しかし、このリストを政策立案や資金調達の優先順位リストと解釈すべきではない。むしろ、このリストは、米国の技術的リーダーシップを促進するための将来の取り組みに情報を提供するため、同盟国やパートナーと協力して共通の技術的優位性を促進・維持するため、社会に具体的な利益をもたらし、民主的価値観に沿ったCETを開発・設計・管理・利用するため、米国の安全保障に対する脅威に対応する米国政府の対策を開発するための資料として使用されるべきである。各省庁は、例えば、国家安全保障の使命を支援する技術の研究開発、国際的な人材の獲得競争、機密技術の不正流用や悪用からの保護などのイニシアチブを開発する際に、このCETリストを参考にすることができる。
To generate this updated CET list, the Office of Science and Technology Policy (OSTP) facilitated an extensive interagency deliberative process through the National Science and Technology Council (NSTC) and in coordination with the National Security Council (NSC). The responsible NSTC subcommittee included subject matter experts from 18 departments, agencies, and offices in the Executive Office of the President, who identified CET subfields that their home organizations determined may be critical to U.S. national security. As such, this updated CET list, which was coordinated through both the NSTC and the NSC, reflects an interagency consensus on updates to the 2022 CETs.	この更新されたCETリストを生成するために、米国科学技術政策局（OSTP）は、国家安全保障会議（NSC）との連携の下、国家科学技術会議（NSTC）を通じて、広範な省庁間の審議プロセスを促進した。担当のNSTC小委員会には、大統領府の18の省庁および部局の専門家が参加し、それぞれの所属機関が米国の国家安全保障にとって重要であると判断したCETサブフィールドを特定した。そのため、NSTCとNSCの両方を通じて調整されたこの更新されたCETリストは、2022年のCETの更新に関する省庁間のコンセンサスを反映している。
Critical and Emerging Technologies List	重要新興技術リスト
The following critical and emerging technology areas are of particular importance to the national security of the United States:	以下の重要・新興技術分野は、米国の国家安全保障にとって特に重要である：
• Advanced Computing	・先進コンピューティング
• Advanced Engineering Materials	・先端エンジニアリング材料
• Advanced Gas Turbine Engine Technologies	・先進ガスタービンエンジン技術
• Advanced and Networked Sensing and Signature Management	・高度でネットワーク化されたセンシングとシグネチャ管理
• Advanced Manufacturing	・先進製造業
• Artificial Intelligence	・人工知能
• Biotechnologies	・バイオテクノロジー
• Clean Energy Generation and Storage	・クリーンエネルギーの生成と貯蔵
• Data Privacy, Data Security, and Cybersecurity Technologies	・データ・プライバシー,データ・セキュリティ,サイバーセキュリティ技術
• Directed Energy	・指向性エネルギー
• Highly Automated, Autonomous, and Uncrewed Systems (UxS), and Robotics	・高度自動化・自律化・無人システム(UxS)・ロボット工学
• Human-Machine Interfaces	・ヒューマン・マシン・インターフェース
• Hypersonics	・ハイパーソニックス
• Integrated Communication and Networking Technologies	・統合コミュニケーションとネットワーキング技術
• Positioning, Navigation, and Timing (PNT) Technologies	・測位・航法・計時（PNT）技術
• Quantum Information and Enabling Technologies	・量子情報とそれを可能にする技術
• Semiconductors and Microelectronics	・半導体とマイクロエレクトロニクス
• Space Technologies and Systems	・宇宙技術とシステム

 

 

リストの詳細...

Critical and Emerging Technology Subfields	重要かつ新興の技術サブ分野
Each identified CET area includes a set of key subfields that describe its scope in more detail.	識別された各 CET 領域には、その範囲をより詳細に説明する一連の重要なサブ分野が含まれている。
Advanced Computing	先進コンピューティング
• Advanced supercomputing, including for AI applications	・AIアプリケーションを含む高度スーパーコンピューティング
• Edge computing and devices	・エッジコンピューティングとデバイス
• Advanced cloud services	・先進クラウドサービス
• High-performance data storage and data centers	・高性能データストレージとデータセンター
• Advanced computing architectures	・高度なコンピューティング・アーキテクチャ
• Advanced modeling and simulation	・高度なモデリングとシミュレーション
• Data processing and analysis techniques	・データ処理と分析技術
• Spatial computing	・空間コンピューティング
Advanced Engineering Materials	先端エンジニアリング材料
• Materials by design and material genomics	・マテリアル・バイ・デザインとマテリアル・ゲノミクス
• Materials with novel properties to include substantial improvements to existing properties	・既存の特性の大幅な改善を含む新規特性を持つ材料
• Novel and emerging techniques for material property characterization and lifecycle assessment	・材料特性評価とライフサイクルアセスメントのための新しい技術、出現しつつある技術
Advanced Gas Turbine Engine Technologies	先進ガスタービンエンジン技術
• Aerospace, maritime, and industrial development and production technologies	・航空宇宙、海事、産業開発および生産技術
• Full-authority digital engine control, hot-section manufacturing, and associated technologies	・完全認可のデジタル・エンジン制御、ホットセクション製造、および関連技術
Advanced and Networked Sensing and Signature Management	高度でネットワーク化されたセンシングとシグネチャ管理
• Payloads, sensors, and instruments	・ペイロード、センサー、計器
• Sensor processing and data fusion	・センサー処理とデータ・フュージョン
• Adaptive optics	・適応光学
• Remote sensing of the Earth	・地球のリモートセンシング
• Geophysical sensing	・地球物理学的センシング
• Signature management	・シグネチャ管理
• Detection and characterization of pathogens and of chemical, biological, radiological and nuclear weapons and materials	・病原体や化学・生物・放射線・核兵器・核物質の検知と特性評価
• Transportation-sector sensing	・輸送分野のセンシング
• Security-sector sensing	・安全保障分野のセンシング
• Health-sector sensing	・健康分野のセンシング
• Energy-sector sensing	・エネルギー分野のセンシング
• Manufacturing-sector sensing	・製造事業者のセンシング
• Building-sector sensing	・ビルディングセクター・センシング
• Environmental-sector sensing	・環境セクター・センシング
Advanced Manufacturing	先進製造業
• Advanced additive manufacturing	・先進アディティブ・マニュファクチャリング
• Advanced manufacturing technologies and techniques including those supporting clean, sustainable, and smart manufacturing, nanomanufacturing, lightweight metal manufacturing, and product and material recovery	・クリーンで持続可能なスマート製造、ナノマニュファクチャリング、軽量金属製造、製品・材料回収を支援するものを含む、先進製造技術・手法
Artificial Intelligence (AI)	人工知能（AI）
• Machine learning	・機械学習
• Deep learning	・ディープラーニング
• Reinforcement learning	・強化学習
• Sensory perception and recognition	・知覚と認識
• AI assurance and assessment techniques	・AIの保証とアセスメント技術
• Foundation models	・基礎モデル
• Generative AI systems, multimodal and large language models	・生成的AIシステム、マルチモーダルモデル、大規模言語モデル
• Synthetic data approaches for training, tuning, and testing	・トレーニング、チューニング、テストのための合成データアプローチ
• Planning, reasoning, and decision making	・計画、推論、意思決定
• Technologies for improving AI safety, trust, security, and responsible use	・AIの安全性、信頼性、セキュリティ、責任ある使用を改善する技術
Biotechnologies	バイオテクノロジー
• Novel synthetic biology including nucleic acid, genome, epigenome, and protein synthesis and engineering, including design tools	・核酸、ゲノム、エピゲノム、タンパク質の合成と設計ツールを含むエンジニアリングを含む新しい合成生物学
• Multi-omics and other biometrology, bioinformatics, computational biology, predictive modeling, and analytical tools for functional phenotypes	・マルチオミクスやその他のバイオメトロジー、バイオインフォマティクス、計算生物学、予測モデリング、機能表現型の分析ツール
• Engineering of sub-cellular, multicellular, and multi-scale systems	・亜細胞、多細胞、マルチスケールシステムのエンジニアリング
• Cell-free systems and technologies	・無細胞システムと技術
• Engineering of viral and viral delivery systems	・ウイルスおよびウイルス送達システムの工学
• Biotic/abiotic interfaces	・生物/生体インターフェース
• Biomanufacturing and bioprocessing technologies	・バイオマニュファクチャリングとバイオプロセス技術
Clean Energy Generation and Storage	クリーンエネルギーの生成と貯蔵
• Renewable generation	・生成的発電
• Renewable and sustainable chemistries, fuels, and feedstocks	・再生可能で持続可能な化学物質、燃料、原料
• Nuclear energy systems	・原子力エネルギー・システム
• Fusion energy	・核融合エネルギー
• Energy storage	・エネルギー貯蔵
• Electric and hybrid engines	・電気およびハイブリッド・エンジン
• Batteries	・バッテリー
• Grid integration technologies	・グリッド統合技術
• Energy-efficiency technologies	・エネルギー効率化技術
• Carbon management technologies	・炭素管理技術
Data Privacy, Data Security, and Cybersecurity Technologies	データ・プライバシー、データ・セキュリティ、サイバーセキュリティ技術
• Distributed ledger technologies	・分散型台帳技術
• Digital assets	・デジタル資産
• Digital payment technologies	・デジタル決済技術
• Digital identity technologies, biometrics, and associated infrastructure	・デジタルID技術、バイオメトリクス、関連インフラストラクチャー
• Communications and network security	・コミュニケーションとネットワーク・セキュリティ
• Privacy-enhancing technologies	・プライバシー強化技術
• Technologies for data fusion and improving data interoperability, privacy, and security	・データ・フュージョン、データ相互運用性・プライバシー・セキュリティ改善技術
• Distributed confidential computing	・分散機密コンピューティング
• Computing supply chain security	・コンピューティング・サプライチェーンのセキュリティ
• Security and privacy technologies in augmented reality/virtual reality	・拡張現実/仮想現実におけるセキュリティとプライバシー技術
Directed Energy	指向性エネルギー
• Lasers	・レーザー
• High-power microwaves	・高出力マイクロ波
• Particle beams	・粒子ビーム
Highly Automated, Autonomous, and Uncrewed Systems (UxS), and Robotics	高度自動化・自律化・無人システム(UxS)・ロボット工学
• Surface	・表面
• Air	・航空
• Maritime	・海上
• Space	・宇宙
• Supporting digital infrastructure, including High Definition (HD) maps	・高精細（HD）地図を含むデジタル・インフラのサポート
• Autonomous command and control	・自律型コマンド・コントロール
Human-Machine Interfaces	ヒューマン・マシン・インターフェース
• Augmented reality	・拡張現実
• Virtual reality	・仮想現実
• Human-machine teaming	・ヒューマン・マシン・チーム
• Neurotechnologies	・ニューロテクノロジー
Hypersonics	極超音速
• Propulsion	・推進力
• Aerodynamics and control	・空気力学と制御
• Materials, structures, and manufacturing	・材料、構造、製造事業者
• Detection, tracking, characterization, and defense	・検知、追跡、特性評価、防衛
• Testing	・試験
Integrated Communication and Networking Technologies	統合コミュニケーション・ネットワーク技術
• Radio-frequency (RF) and mixed-signal circuits, antennas, filters, and components	・無線周波数（RF）および混合信号回路、アンテナ、フィルター、コンポーネント
• Spectrum management and sensing technologies	・スペクトラム管理とセンシング技術
• Future generation wireless networks	・生成的無線ネットワーク
• Optical links and fiber technologies	・光リンクとファイバー技術
• Terrestrial/undersea cables	・地上/海底ケーブル
• Satellite-based and stratospheric communications	・衛星ベースおよび成層圏コミュニケーション
• Delay-tolerant networking	・遅延耐性ネットワーキング
• Mesh networks/infrastructure independent communication technologies	・メッシュネットワーク/インフラに依存しないコミュニケーション技術
• Software-defined networking and radios	・ソフトウェア定義ネットワーキングと無線
• Modern data exchange techniques	・最新のデータ交換技術
• Adaptive network controls	・適応型ネットワーク制御
• Resilient and adaptive waveforms	・レジリエンスと適応性のある波形
Positioning, Navigation, and Timing (PNT) Technologies	測位・航法・計時（PNT）技術
• Diversified PNT-enabling technologies for users and systems in airborne, space-based, terrestrial, subterranean, and underwater settings	・空中、宇宙、地上、地下、水中におけるユーザーとシステムのための多様なPNT実現技術
• Interference, jamming, and spoofing detection technologies, algorithms, analytics, and networked monitoring systems	・干渉、妨害、スプーフィング検知技術、アルゴリズム、分析、ネットワーク監視システム
• Disruption/denial-resisting and hardening technologies	・妨害・拒否耐性およびハードニング技術
Quantum Information and Enabling Technologies	量子情報とそれを可能にする技術
• Quantum computing	・量子コンピューティング
• Materials, isotopes, and fabrication techniques for quantum devices	・量子デバイスの材料、同位体、製造技術
• Quantum sensing	・量子センシング
• Quantum communications and networking	・量子コミュニケーションとネットワーキング
• Supporting systems	・支援システム
Semiconductors and Microelectronics	半導体とマイクロエレクトロニクス
• Design and electronic design automation tools	・設計および電子設計自動化ツール
• Manufacturing process technologies and manufacturing equipment	・製造プロセス技術と製造装置
• Beyond complementary metal-oxide-semiconductor (CMOS) technology	・CMOS（相補型金属酸化膜半導体）技術を超える
• Heterogeneous integration and advanced packaging	・ヘテロジニアス・インテグレーションとアドバンスト・パッケージング
• Specialized/tailored hardware components for artificial intelligence, natural and hostile radiation environments, RF and optical components, high-power devices, and other critical applications	・人工知能、自然環境および過酷な放射線環境、RFおよび光学部品、ハイパワーデバイス、その他の重要な用途に特化/カスタマイズされたハードウェア部品
• Novel materials for advanced microelectronics	・先端マイクロエレクトロニクス用新素材
• Microelectromechanical systems (MEMS) and Nanoelectromechanical systems (NEMS)	・微小電気機械システム（MEMS）およびナノ電気機械システム（NEMS）
• Novel architectures for non-Von Neumann computing	・非Von Neumannコンピューティングのための新しいアーキテクチャ
Space Technologies and Systems	宇宙技術とシステム
• In-space servicing, assembly, and manufacturing as well as enabling technologies	・宇宙空間でのサービス、組立、製造、およびそれを可能にする技術
• Technology enablers for cost-effective on-demand, and reusable space launch systems	・費用対効果の高いオンデマンド、再利用可能な宇宙打上げシステムを実現する技術
• Technologies that enable access to and use of cislunar space and/or novel orbits	・二重星雲空間および/または新規軌道へのアクセスと利用を可能にする技術
• Sensors and data analysis tools for space-based observations	・宇宙観測用のセンサーとデータ分析ツール
• Space propulsion	・宇宙推進
• Advanced space vehicle power generation	・先進的宇宙船発電
• Novel space vehicle thermal management	・新しい宇宙船の熱管理
• Crewed spaceflight enablers	・有人宇宙飛行の実現
• Resilient and path-diverse space communication systems, networks, and ground stations	・レジリエンスと経路多様性に優れた宇宙通信システム、ネットワーク、地上局
• Space launch, range, and safety technologies	・宇宙打ち上げ、航続距離、安全技術

 

 

---

国家安全保障局 - 中央セキュリティサービス

● National Security Agency; NSA　- Central Security Service

・2024.07.30 [PDF] ESF: Recommendations for Increasing U.S. Participation & Leadership in Standards Development

 

・[DOCX][PDF] 仮訳

 

目次...

Introduction	はじめに
Establish the United States as a Venue of Choice for Hosting Standards Meetings	標準会議の開催地として米国が選ばれるようにする
Recommendations to U.S. Government	米国政府への提言
Recommendations to Private Sector Stakeholders	民間セクター関係者への提言
Engage Early in Emerging Technology Standards-Related Activities	新興技術標準に関連する活動に早くから取り組む
Standards Process	標準プロセス
Bene its of Early Engagement	早期関与の恩恵
Pre-Standardization Activities	標準化以前の活動
Recommendations for Individual Participants	個人参加者への提言
Recommendations for Private Sector Stakeholders	民間セクター関係者への提言
Recommendations for Academia	学術界への提言
Recommendations for U.S. Government	米国政府への提言
Develop a more Standards-Savvy U.S. Workforce	標準に精通した米国の労働力を育成する
Recommendations for Individual Participants	個人参加者への提言
Recommendations to Private Sector Stakeholders	民間セクター関係者への提言
Recommendations for SDOs	SDOへの提言
Recommendations for the U.S. Government	米国政府への提言
Recommendations to Academia	学界への提言
Engage Academia to Grow the Next Generation of Standards Experts	次世代の標準専門家を育てるために学術界を巻き込む
Recommendations to the U.S. Government	米国政府への提言
Recommendations to Private-Sector Stakeholders	民間セクター関係者への提言
Recommendations to Standards Organizations	標準化団体への提言
Conclusion	結論
Appendix A: Timing Considerations in Standardization	附属書A：標準化におけるタイミングの考慮点
Internet Protocol	インターネット・プロトコル
The ATIS NEXT G Alliance	ATIS NEXT G アライアンス
Engaging Too Early	早すぎる関与

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.10 米国 ホワイトハウス 重要新興技術に関する国家標準化戦略を発表 (2023.05.04)

 

世界貿易機構 (WTO) 電子商取引交渉に関する共同議長国声明 (2024.07.26)

こんにちは、丸山満彦です。

せっかく書いていたのに、あげるのを忘れていました(^^;;

 

世界貿易機構 (WTO) が電子商取引交渉に関する共同議長国声明を発出していますね。議長国の一つが日本ですから、外務省、経済産業省でも公表していますね...

 

● World Trade Organizaion; WTO 

・2024.07.26 Joint Statement Initiative on E-commerce

Joint Statement Initiative on E-commerce	電子商取引に関する共同声明イニシアティブ
At the 11th Ministerial Conference in December 2017, a group of 71 WTO members agreed to initiate exploratory work towards future WTO negotiations on trade-related aspects of e-commerce. In January 2019, 76 WTO members confirmed in a joint statement their intention to commence these negotiations. They agreed to “seek to achieve a high standard outcome that builds on existing WTO agreements and frameworks with the participation of as many WTO members as possible”.	2017年12月の第11回閣僚会議において、WTO加盟71カ国のグループは、電子商取引の貿易関連側面に関する将来のWTO交渉に向けた探索的作業を開始することに合意した。2019年1月、76のWTO加盟国は共同声明において、これらの交渉を開始する意向を確認した。彼らは、「可能な限り多くのWTO加盟国の参加を得て、既存のWTO協定や枠組みを基礎とした標準的な成果を目指す」ことに合意した。
As of 25 June 2024, there are 91 WTO members participating in these discussions, accounting for over 90 per cent of global trade. As is the case for all the joint statement initiatives, participation in the e-commerce JSI is open to all WTO members. The initiative is jointly co-convened by H.E. Mr. James Victor BAXTER (Australia), H.E. Mr. Atsuyuki OIKE (Japan) and H.E Mr TAN Hung Seng (Singapore).	2024年6月25日現在、この協議には91のWTO加盟国が参加しており、世界貿易の90％以上を占めている。すべての共同声明イニシアティブと同様、電子商取引JSIへの参加はすべてのWTO加盟国に開かれている。このイニシアティブは、ジェームズ・ビクター・バクスター閣下（オーストラリア）、尾池厚之閣下（日本）、タン・フンセン閣下（シンガポール）が共同議長を務める。
On 26 July 2024, the joint statement Co-conveners, Australia, Japan and Singapore, confirmed in a statement on behalf of the participants that after five years of negotiations, participants had achieved a stabilised text (INF/ECOM/87).	2024年7月26日、共同開催国であるオーストラリア、日本、シンガポールは、参加国を代表する 声明の中で、5年にわたる交渉の末、参加国が安定した文書を作成したことを確認した（INF/ECOM/87）。

 

・[PDF] JOINT STATEMENT INITIATIVE ON ELECTRONIC COMMERCE 

 

● 外務省

・2024.07.26 WTO電子商取引交渉に関する共同議長国声明の発出について

---

1. これは、これまでの交渉成果を確認し、グローバルなデジタル貿易に関するルール形成に寄与するとともに、今日的課題に対するWTOのルール形成機能の成功例にもなる大変意義のある成果であり、我が国として歓迎します。
   
   
2. 合計38条文からなる安定化したテキストは、
   （1）貿易書類の電子化や規制の透明化等を通じた電子決済の促進による電子商取引の貿易円滑化、
   （2）電子的送信に対する関税賦課の禁止、政府データの公開やインターネットのアクセス・使用を通じた開かれた電子商取引の確保、
   （3）サイバーセキュリティ、オンライン消費者保護や個人情報保護による電子商取引の信頼性向上にかかる規律を含むものであり、
   企業の予見可能性を高め、ビジネスコストを低減するとともに、消費者にとっても安心・安全な環境の実現に貢献することが期待されます。
   
   
3. 今後のプロセスにつき、我が国は、共同議長国として、電子商取引に関する協定をWTOの法的枠組みに組み込むことに向けて、参加国・地域と連携しつつ取り組んでいきます。

---

 

（別添1）共同議長国声明（英文（PDF）／議長声明部分の和文仮訳（PDF））

（別添2）電子商取引に関する協定に係る安定化したテキストの達成の概要（PDF）

 

 

---

 

● 経済産業省

・2024.07.26 WTO電子商取引交渉 安定化したテキストを達成しました

---

合計38条文からなるテキストは、（1）貿易書類の電子化や規制の透明化等を通じた電子決済の促進による電子商取引の貿易円滑化、（2）政府データの公開やインターネットのアクセス・使用を通じた開かれた電子商取引の確保、（3）サイバーセキュリティ、オンライン消費者保護や個人情報保護による電子商取引の信頼性向上にかかる規律を含むものです。特に商業上有意義な規定として、我が国の産業界が長年求めていた、電子的送信に対する関税賦課の恒久的な禁止も含まれています。

これらの規定は、実際に協定化されれば、グローバルなデジタル貿易に関するルールとして、企業の予見可能性を高め、ビジネスコストを低減するとともに、消費者にとっても安心・安全な環境の実現に貢献することが期待されます。

また、これは、現代的課題に対応するためのWTOのルール交渉機能の成功例となるとともに、我が国が提唱する「信頼性のある自由なデータ流通（DFFT）」の具体化にも繋がる大変意義のある成果です。

---

• [PDF] 共同議長国声明（原文）
  
  
• [PDF] 共同議長国声明（仮訳）
  
  
• [PDF] 電子商取引に関する協定に係る安定化したテキストの達成の概要

 

---

 

 

英国政府は、また少し違った感じ...

● GOV. UK

・2024.07.26 UK joins groundbreaking global digital trade agreement

 

UK joins groundbreaking global digital trade agreement	英国、画期的な世界デジタル貿易協定に参加
UK joins the first global digital trade agreement negotiated under the World Trade Organization.	英国は、世界貿易機関（WTO）の下で交渉された初のグローバルなデジタル貿易協定に参加した。
・The UK and 90 other countries have negotiated a set of new rules designed to make global trade faster, fairer, cheaper and more secure	・英国をはじめとする90カ国は、世界貿易をより迅速、公正、安価かつ安全にするための新ルールについて交渉した。
・Once in force the agreement will permanently ban customs duties on digital content, lower costs for UK businesses and help protect UK consumers from online fraud	・この協定が発効すれば、デジタルコンテンツへの関税が恒久的に禁止され、英国企業のコストが下がり、オンライン詐欺から英国の消費者を守ることができる。
・Global adoption of digital customs systems, processes and documents could significantly grow the UK economy	・デジタル税関システム、プロセス、文書の世界的な採用は、英国経済を大きく成長させる可能性がある
The UK has today [Friday 26 July] joined a groundbreaking agreement which is designed to grow the economy by boosting global digital trade.	英国は本日［7月26日（金）］、グローバルなデジタル貿易を促進することで経済成長を目指す画期的な協定に参加した。
After five years of negotiations, the UK and 90 other countries have finalised the E-Commerce Joint Initiative at the World Trade Organization (WTO), which will make trade faster, cheaper, fairer and more secure. It will help British businesses, workers and consumers seize the opportunities of global digital trade, which is estimated by the OECD to be worth around £4 trillion and growing.	5年にわたる交渉の末、英国をはじめとする90カ国は、世界貿易機関（WTO）において電子商取引共同イニシアティブを最終決定した。この協定は、英国の企業、労働者、消費者が、グローバルなデジタル貿易のチャンスをつかむ助けとなる。
Once implemented, the agreement will commit all participants to the digitalisation of customs documents and processes. This will in many cases end the need to print forms off and hand them over at customs – a slow, expensive and old-fashioned way of working.	この協定が実施されれば、すべての参加国が税関書類と手続きのデジタル化に取り組むことになる。これにより、多くの場合、書類を印刷して税関で手渡す必要がなくなる。
The signatories to this agreement will also commit to recognising e-documents and e-signatures, reducing the need for businesses to physically sign contracts and post them around the world.	この協定の署名国はまた、電子文書と電子署名を承認し、企業が契約書に物理的に署名して世界中に郵送する必要性を減らすことを約束する。
Global adoption of digital customs systems, processes and documents would increase UK GDP by up to £24.2 billion in 2023 UK GDP terms. Even partial adoption could represent a significant boost to UK GDP.	デジタル税関システム、プロセス、文書の世界的な採用により、英国のGDPは2023年の英国GDPベースで最大242億ポンド増加する。部分的な採用であっても、英国のGDPを大幅に押し上げる可能性がある。
It also commits signatories to putting in place legal safeguards against online fraudsters and misleading claims about products.	また、オンライン詐欺師や製品に関する誤解を招くような主張に対する法的保護措置を講じることも、署名国に約束されている。
Business and Trade Secretary Jonathan Reynolds said:	ジョナサン・レイノルズ商務貿易長官は次のように述べた：
We are proud to play our part in securing the first ever global digital trade agreement, cutting costs for business and delivering on this government’s ambition to deliver economic growth.	史上初のグローバルなデジタル貿易協定の締結において、我々の役割を果たし、ビジネスのコストを削減し、経済成長を実現するという政府の野望を実現できることを誇りに思う。
Britain is back and proudly playing her role as an outward looking trading nation. Global digital trade is already estimated by the OECD to be worth around £4 trillion and counting but no common set of global rules exist. This is a huge step forward in correcting that and ensuring British businesses feel the benefit.	英国は、対外貿易国としての役割を取り戻し、誇りを持っている。世界のデジタル貿易は、OECDによってすでに約4兆ポンドと見積もられているが、世界共通のルールは存在しない。これは、それを是正し、英国企業がその恩恵を感じられるようにするための大きな前進である。
Science Secretary Peter Kyle said:	ピーター・カイル科学長官は次のように述べた：
This global agreement aims to help people use technology safely by protecting them from fraud, while driving economic growth through the digitalisation of trade so it’s faster and more secure.	この世界的な協定は、貿易のデジタル化を通じて経済成長を促進し、より迅速で安全な貿易を実現する一方で、人々を詐欺から守ることによって、人々が安全にテクノロジーを利用できるようにすることを目的としている。
We will leave no stone unturned in our work to share the benefits of technology and drive economic growth by working with partners around the world to achieve this.	我々は、世界中のパートナーと協力することで、テクノロジーの恩恵を共有し、経済成長を促進するために、あらゆる手を尽くしていく。
For a UK financial services provider, doing business in any of the participating countries will require far fewer paper contracts and invoices, or manual signatures or authentication, as these will be replaced with their electronic equivalents.	英国の金融サービス・プロバイダにとって、参加国のいずれかでビジネスを行う場合、紙の契約書や請求書、あるいは手書きの署名や認証ははるかに少なくなり、これらは同等の電子的なものに置き換えられるからである。
Chris Southworth, Secretary General, International Chambers of Commerce UK said:	英国国際商工会議所のクリス・サウスワース事務局長は、次のように述べた：
Businesses and economies thrive when there is one common set of rules. The E-Commerce Agreement is a major breakthrough and an excellent reminder of the power of international collaboration. It creates the environment we need to drive innovation as we transition away from archaic paper-based processes and into the modern world of data and technology.	共通のルールがあれば、ビジネスも経済も発展する。Eコマース協定は、大きな突破口であり、国際的な協力の力を再認識させるものだ。この協定は、古臭い紙ベースのプロセスからデータとテクノロジーの現代世界へと移行する際に、イノベーションを推進するために必要な環境を作り出すものだ。
It is an opportunity to accelerate efforts to digitalise our borders and global supply chains, and help to remove unnecessary friction and costs that prevent SMEs from trading. This is good news for business, consumers and the economy.	これは、国境とグローバル・サプライチェーンのデジタル化への取り組みを加速させ、中小企業の取引を妨げる不必要な摩擦やコストを取り除く一助となる機会である。これは、ビジネス、消費者、経済にとって朗報だ
Matt Hammerstein, Head of Barclays UK Corporate Bank said:	バークレイズUKコーポレート・バンクのマット・ハマースタイン代表は、次のように述べた：
As co-chair of the Trade Digitisation Taskforce with ICC United Kingdom, we have worked closely with the Government to support efforts to secure the competitiveness of UK exports, champion the digitalisation of trade at scale and continue to work on streamlining processes related to fraud and financial crime risk.	ICCユナイテッド・キングダムとの貿易デジタル化タスクフォースの共同議長として、我々は政府と緊密に協力し、英国の輸出競争力を確保するための取り組みを支援し、規模に応じた貿易のデジタル化を支持し、詐欺や金融犯罪リスクに関するプロセスの合理化に引き続き取り組んできた。
We welcome this announcement, which will help make the trade process easier for small, medium and large-sized businesses in the UK by removing paper-based barriers to trade. Barclays stands ready to play its part in supporting the success of British exports.	紙ベースの貿易障壁を撤廃することで、英国の中小・大企業の貿易プロセスをより容易にする一助となる今回の発表を歓迎する。バークレイズは、英国の輸出の成功を支援する役割を果たす用意がある。
Reaching this agreement is part of the government’s commitment to rebuild and strengthen global partnerships and stand up for the rules-based international order. It is an important step in modernising the global trade rulebook and furthering cooperation in the World Trade Organization.	今回の合意は、グローバル・パートナーシップを再構築・強化し、ルールに基づく国際秩序を守るための政府のコミットメントの一環である。この協定は、世界貿易のルールブックを近代化し、世界貿易機関（WTO）における協力を促進するための重要な一歩である。
Not only will the E-Commerce Joint Initiative deliver new growth opportunities for the UK, it also recognises the importance of supporting developing and least-developed countries, to ensure growth and prosperity for all.	Eコマース共同イニシアティブは、英国に新たな成長機会をもたらすだけでなく、すべての人々の成長と繁栄を確保するために、発展途上国や後発開発途上国を支援することの重要性も認識している。
Attention now turns to working with WTO partners to incorporate the agreement into the WTO legal framework. Once incorporated, UK ratification will take place.	今後は、この協定をWTOの法的枠組みに組み込むために、WTOのパートナーと協力していくことになる。WTOに組み込まれた後、英国の批准が行われる。
Notes to editors:	編集後記
・The outcome of the E-Commerce Joint Initiative is officially called the ‘Agreement on Electronic Commerce’.	・電子商取引共同イニシアティブの成果は、正式には「電子商取引に関する協定」と呼ばれる。
・Global digital trade is estimated by the OECD to be worth around $5 trillion in 2020. Converting this to sterling at the market exchange rate gives around £4 trillion. The OECD have defined this as all trade that is digitally-ordered or delivered.	・世界のデジタル貿易は2020年に約5兆ドルに達するとOECDは推定している。これを市場為替レートで英ポンドに換算すると、約4兆ポンドとなる。OECDはこれを、デジタルで発注または納入されるすべての貿易と定義している。
・The ‘Benefits of the digitalisation of trade processes and cross border barriers to their adoption’ report estimates that global adoption of advanced digital trading systems and e-transactions for services is associated with a rise in UK GDP of up to 0.9% and 0.1 respectively.	・貿易プロセスのデジタル化のメリットとその導入に対する国境を越えた障壁」報告書では、先進的なデジタル取引システムとサービスの電子取引の世界的な導入は、英国のGDPをそれぞれ最大0.9％と0.1％増加させると推定している。
・Applied to 2023 ONS UK GDP of £2,687 billion in current prices, a 0.1% increase would amount to £2.7 billion, and a 0.9% increase would amount to £24.2 billion.	・2023年のONSの英国GDP（現在の物価で2兆6,870億ポンド）に当てはめると、0.1％の増加は27億ポンド、0.9％の増加は242億ポンドになる。

 

 

---

 

 

・[PDF] JOINT STATEMENT INITIATIVE ON ELECTRONIC COMMERCE 

の仮対訳...

↓

Continue reading "世界貿易機構 (WTO) 電子商取引交渉に関する共同議長国声明 (2024.07.26)"

オーストラリア会計検査院 (ANAO) 国防省によるマイクリアランス・システムの調達と導入 (2024.07.11)

こんにちは、丸山満彦です。

日本でもクリアランス制度の導入がされることになりましたが、システム導入間に合いますかね。。。当面は手作業（エクセル方眼紙）？になりますかね...

オーストラリアの会計検査院が、クリアランス制度で使っているシステムについての監査をし、結果を報告しています。これからの日本の制度上も参考になるような気がします！

なお、報告書をみると、

• 基本能力（2022年第4四半期）と「継続的評価」モジュール（2023年第4四半期）の提供のために、総額1億3860万ドル（約140億円）の取得予算が2020年12月に政府によって承認された。
  
  
• そのうち60％がシステム導入コスト
  
  
• myClealanceシステムで2022/11/28-2024/5/9まで（529日間）に処理されたトランザクションは約11万（107,249）。

 

１トランザクションあたり、約13万円となりますね...（取得コストと運用コストのバランスがあるので、あくまで参考ですが...）

そして、年間処理量は、7.4万トランザクション...

ちなみに、2024年のオーストラリアの人口は2,660万人ということで、日本の人口が1億2,400万人の約5分の１となっています。トランザクション量が人口比の通りとなれば、年間のトランザクションは34.5万トランザクションとなりそうです...

そして、監査の対象となった調達については、

• プロジェクト承認・支援サービスプロバイダー（デロイト）、
• プライムシステムインテグレーター（アクセンチュア）、
• 組織変更管理パートナー（KPMG）、
• プロジェクト提供パートナー（VOAKグループ）

となりますね...

 

● Australian National Audit Office; ANAO

・2024.07.11 Defence’s Procurement and Implementation of the myClearance System

・[PDF]

 

Why did we do this audit?	なぜこの監査を行ったのか？
• The new whole-of-government vetting system, myClearance, went live on 28 November 2022. By February 2023, the extent of the user issues encountered after the system’s introduction was the subject of parliamentary interest.	・新しい政府全体の審査システム、マイ・クリアランスは2022年11月28日に稼動した。2023年2月までに、システム序文後に発生したユーザー問題の程度は、国会の関心の的となった。
• This audit was identified as a 2023–24 audit priority by the Joint Committee of Public Accounts and Audit.	・この監査は、公会計監査合同委員会によって2023-24年の監査優先事項として特定された。
• The audit provides assurance to the Parliament on the effectiveness of the Department of Defence’s (Defence) procurement and implementation of the myClearance system.	・この監査は、国防省によるマイクリアランス・システムの調達と導入の有効性について、国会に保証 (assurance) を与えるものである。
Key facts	主な事実
• A total acquisition budget of $138.6 million for the delivery of a base capability (in Quarter 4 2022) and a ‘continuous assessment’ module (in Quarter 4 2023) was approved by government in December 2020.	・基本能力（2022年第4四半期）と「継続的アセスメント」モジュール（2023年第4四半期）の提供のために、総額1億3860万ドルの取得予算が2020年12月に政府によって承認された。
• By July 2023, 87 per cent of the total acquisition budget had been expended and delivery of the continuous assessment module remained ongoing.	・2023年7月までに、取得予算総額の87％が費やされ、継続的アセスメント・モジュールの提供は継続中であった。
• In November 2023, Defence recommended, and government agreed to de-scope the: continuous assessment; automated risk sharing; use of artificial intelligence; and enhanced interface functionalities of the myClearance system.	・2023年11月、ガバナンスは、継続的アセスメント、自動化されたリスク共有、人工知能の利用、マイクリアランス・システムのインターフェイス機能強化について、スコープを外すよう勧告し、政府はこれに同意した。
$138.6m	$138.6m
the approved acquisition budget for the myClearance system.	マイクリアランス・システムの承認された取得予算である。
60%	60%
of the acquisition budget was for systems integration services.	はシステム・インテグレーション・サービスであった。
107,249	107,249
security clearances processed in the myClearance system to 9 May 2024.	2024 年 5 月 9 日までにマイクリアランス・システムで処理されたセキュリ ティ・クリアランス。
What did we find?	我々は何を発見したか？
• Defence’s procurement and implementation of the myClearance system was partly effective.	・国防省によるマイクリアランス・システムの調達と導入は部分的に効果的であった。
• Defence’s planning activities were largely effective. Defence’s governance, oversight and reporting arrangements were not implemented effectively and did not support informed, risk-based decision-making.	・国防省の計画活動は概ね効果的であった。国防省のガバナンス、監督、報告体制は効果的に実施されておらず、情報に基づいたリスクベースの意思決定をサポートしていなかった。
• The procurement processes for the systems integrator and project delivery partner were not conducted in a manner consistent with Defence’s procurement policy or the intent of the Commonwealth Procurement Rules (CPRs).	・システム・インテグレーターとプロジェクト提供パートナーの調達プロセスは、国防省の調達方針または英連邦調達規則（CPRs）の意図に合致した方法で実施されなかった。
• Initial implementation of the system was not effective. Defence’s remediation efforts, since the system went live, have achieved progressive improvements. In November 2023, Defence advised government that the system will not deliver the full functionality as approved by government in December 2020.	・システムの初期導入は効果的ではなかった。システム稼動後の国防省の改善努力は、漸進的な改善を達成した。2023年11月、国防省は政府に対し、システムが2020年12月に政府によって承認されたような完全な機能を提供しないことを通知した。
What did we recommend?	我々は何を勧告したのか？
• There were two recommendations made to improve Defence’s management of risk and the security of the myClearance system.	・国防省のリスクマネジメントとマイクリアランス・システムのセキュリティを改善するために、2つの勧告がなされた。
• The Department of Defence has agreed to the two recommendations.	・国防省は2つの勧告に同意した。

 

要約と勧告...

Summary and recommendations	要約と勧告
Background	背景
1. Security vetting involves the assessment of an individual’s suitability to hold a security clearance at a particular level. Australian Government employees and contractors require a security clearance to access classified resources, which can relate to Australia’s national security, economic and other interests.1 The security vetting and clearance process is an important risk mitigation activity intended to protect the national interest, which can also affect an individual’s employment and the business operations of entities if not managed effectively or in a timely manner.	1. セキュリティ審査とは、特定のレベルのセキュリティ・クリアランスを保持する個人の適性をアセスメントすることである。オーストラリア政府の職員や請負業者は、オーストラリアの国家安全保障、経済、その他の利益に関 連する機密資源にアクセスするために、セキュリティ・クリアランスを必要とする1 。セキュリティ審査とク リアランスのプロセスは、国益の保護を目的とした重要なリスク軽減活動であるが、効果的かつ適時 に管理されなければ、個人の雇用や事業体の事業運営にも影響を及ぼす可能性がある。
2. The Australian Government Security Vetting Agency (AGSVA) is part of the Department of Defence (Defence) and provides security clearance assessments as a whole-of-government service. In February 2014, Defence identified the need for long-term and potentially significant investment in ICT solutions because the existing system used by AGSVA to process security clearances, the Personnel Security Assessment Management System (PSAMS), did not have the ‘functionality needed for the future’. The February 2016 Defence Integrated Investment Program (IIP) subsequently outlined a need for ‘expanded security vetting’ as one of the ‘principal areas of focus’ for Defence.2	2. オーストラリア政府セキュリティ審査機関（AGSVA）は国防省（Defence）の一部で、政府全体のサービスとしてセキュリティクリアランス審査を提供している。2014年2月、国防省は、AGSVAがセキュリティ・クリアランスのプロセスに使用している既存システム、 職員セキュリティ・アセスメント管理システム（PSAMS）が「将来に必要な機能」を備えていないため、 ICTソリューションに長期的かつ潜在的に多額の投資を行う必要性を認識した。その後、2016年2月の国防統合投資計画（IIP）では、国防省の「主要な重点分野」の1つとして、「セキュリティ審査の拡大」の必要性が概説された2。
3. In October 2016, the Australian Government agreed to a suite of reforms to improve government entities’ management of the threat posed by malicious insiders, which included upgrading AGSVA’s ICT system.3	3. 2016年10月、オーストラリア政府は、AGSVAのICTシステムのアップグレードを含む、悪意のある内部関係者による脅威に対する政府事業体の管理を改善するための一連の改革に合意した3。
Vetting Transformation Project	審査変革プロジェクト
4. The ‘Defence and Security Vetting Services 20/20 Reform Program’ was established in December 2016 and consisted of four workstreams: vetting; security policy, services and advice; security governance, assurance and reporting; and cultural change. The objectives for the vetting workstream included delivering: a new vetting security business model; a supporting ICT system; and relevant training, communications and change management activities.	4. 国防・安全保障審査サービス20/20改革プログラム」は2016年12月に設立され、審査、セキュリティポリシー、サービス、アドバイス、セキュリティガバナンス、保証、報告、文化変革の4つのワークストリームで構成された。審査業務の目的は、新しい審査セキュリティ・ビジネスモデル、サポートするICTシステム、関連するトレーニング、コミュニケーション、チェンジマネジメント活動を提供することであった。
5. The Vetting Transformation Project was established to deliver the vetting workstream objectives, including the design and implementation of a new system that:	5. 審査変革プロジェクトは、審査ワークストリームの目標を達成するために設立された：
• provides sponsoring entities with information on identified risk factors associated with individual clearance holders;	・スポンサー事業体に対し、個々のクリアランス保有者に関連する識別されたリスク要因に関する情報を提供する；
• increases automation of clearance decision-making and data collection (including across other government holdings, and online social-media information); and	・クリアランスの意思決定とデータ収集の自動化（他の政府所蔵品やオンライン・ソーシャルメディア情報を含む）。
• supports continuous assessment of security risk.4	・セキュリティ・リスクの継続的アセスメントをサポートする4。
Previous ANAO reports	過去のANAO報告書
6. The ANAO previously reviewed Defence’s performance in providing security vetting services through AGSVA in the following performance audits.	6. ANAOは以前、AGSVAを通じて安全保障審査サービスを提供する国防省の実績を、以下の実績監査で検証している。
• Auditor-General Report No. 45 2014–15 Central Administration of Security Vetting, which was presented for tabling in Parliament in June 2015. The audit conclusion was that the performance of centralised vetting had been mixed and government expectations of improved efficiency and cost savings had not been realised.5	・監査総監報告書No.45 2014-15安全保障審査中央管理部門、これは2015年6月に国会に提出された。監査の結論は、一元化された審査のパフォーマンスはまちまちであり、効率改善とコスト削減という政府の期待は実現されていないというものであった5。
• Auditor-General Report No. 38 2017–18 Mitigating Insider Threats through Personnel Security, which was presented for tabling in May 2018. The audit conclusion was that the effectiveness of personnel security arrangements for managing insider threats had been reduced by AGSVA not implementing the government’s policy direction to share information with client entities on identified personnel security risks. The report also observed that AGSVA planned to realise the necessary process improvements through the procurement of a new ICT system, expected to be fully operational in 2023.6	・監査総監報告書No.38 2017-18「職員のセキュリティによるインサイダーの脅威の低減」は、2018年5月に上程された。監査の結論は、AGSVAが、特定された職員のセキュリティリスクに関する情報を顧客事業体と共有するという政府の方針指示を実施していないことにより、内部脅威を管理するための職員セキュリティの取り決めの有効性が低下しているというものであった。報告書はまた、AGSVAが新しいICTシステムの調達を通じて必要なプロセス改善を実現する予定であり、2023年に完全稼動する予定であることを確認した6。
Rationale for undertaking the audit	監査実施の理由
7. The ANAO undertook this audit, and previous (2015 and 2018) audits of Defence’s provision of security vetting services through AGSVA, as effective personnel security arrangements underpin the protection of the Australian Government’s people, information and assets. Previous audits identified deficiencies in AGSVA’s information systems. In the context of the Joint Committee of Public Accounts and Audit’s (JCPAA) inquiry into the ANAO’s 2018 audit, Defence advised the JCPAA that a project to build a new ICT system had received first-pass approval in April 2018, with delivery of the ‘initial operating capability’ (the base capability) expected in late 2020.7	7. ANAO は、AGSVA を通じた国防省の身元審査サービス提供について、効果的な職員のセキュリテ ィ態勢がオーストラリア政府の人員、情報、資産の保護を支えるとして、今回の監査と前回 （2015 年と 2018 年）の監査を実施した。以前の監査では、AGSVA の情報システムの欠陥が指摘された。ANAO の 2018 年監査に関する合同会計監査委員会（JCPAA）の調査との関連で、国防省は JCPAA に対し、新しい ICT システムを構築するプロジェクトが 2018 年 4 月に一次承認を受け、「初期運用能力」（基本能力）の提供は 2020 年後半になる見込みであると助言した7。
8. The base capability of the new system was introduced on 28 November 2022. By February 2023, the extent of user issues experienced after the system ‘went live’ were the subject of parliamentary interest. This audit provides independent assurance to the Parliament on the effectiveness of Defence’s procurement and implementation of the new ICT system, now known as myClearance, and Defence’s remediation progress to date.	8. 新システムの基本機能は2022年11月28日に導入された。2023年2月までに、システム「稼動」後に発生したユーザーの問題の程度が、国会の関心の的となった。本監査は、国防省による新 ICT システム（現在はマイ・クリアランスとして知られる）の調達と導入の 有効性、および国防省の現在までの改善進捗状況について、国会に独立した保証を提供するものである。
Audit objective and criteria	監査の目的と基準
9. The objective of the audit was to assess the effectiveness of Defence’s procurement and implementation of the myClearance system to date.	9. 監査の目的は、国防省によるマイクリアランス・システムの調達と導入の有効性を評価することである。
10. To form a conclusion against the audit objective the following high-level criteria were adopted.	10. 監査目的に照らして結論を出すために、以下のハイレベル基準が採用された。
• Did Defence plan effectively and establish fit for purpose governance, oversight and reporting arrangements?	・政府は効果的な計画を立て、目的に合ったガバナンス、監督、報告体制を確立したか。
• Was Defence’s implementation of the system effective and supported by procurement processes conducted in accordance with the Commonwealth Procurement Rules (CPRs)?	・国防省によるシステムの導入は効果的であり、英連邦調達規則（CPR）に従って行われた調達プロ セスに支えられていたか。
11. The audit focused on the procurement of the project approval and support services provider (Deloitte), the prime systems integrator (Accenture), the organisational change management partner (KPMG) and the project delivery partner (VOAK Group). The audit also considered the arrangements used to procure the hardware and software components of the myClearance system, and other services to manage the delivery of the Vetting Transformation Project. The audit did not examine Defence’s administration or management of its contracts with the service providers.	11. 監査は、プロジェクト承認・支援サービスプロバイダー（デロイト）、プライムシステムインテグレーター（アクセンチュア）、組織変更管理パートナー（KPMG）、プロジェクト提供パートナー（VOAKグループ）の調達に焦点を当てた。監査はまた、マイクリアランス・システムのハードウェアとソフトウェア・コンポーネントの調達に使用された取り決め、および審査変革プロジェクトの実施を管理するためのその他のサービスについても検討した。この監査では、国防省によるサービス・プロバイダとの契約の管理・運用については調査していない。
Conclusion	結論
12. Defence’s procurement and implementation of the myClearance system to date has been partly effective. The full functionality of the system will not be delivered as key elements, including the continuous assessment, automated risk-sharing and enhanced interface functionalities, were de-scoped from the project in November 2023.	12. 国防省によるマイクリアランス・システムの調達と導入は、部分的には効果があった。継続的なアセスメント、自動化されたリスク共有、強化されたインターフェイス機能など、主要な要素が 2023 年 11 月にプロジェクトから除外されたため、システムの全機能は提供されない。
13. Defence’s planning activities were largely effective. Early planning work in 2016 and 2017 focused on industry engagement and assessing the market’s ability to deliver and integrate the new IT system into Defence’s ICT environment. Work to refine the user and system requirements in mid-2018 was not informed by other government entities or stakeholders. Defence designed governance, oversight and reporting arrangements in line with the requirements of its Capability Life Cycle framework. The project governance arrangements were not implemented effectively and there was a lack of clarity on the purpose of and relationship between the various decision-making forums. Project reporting did not support informed, risk-based decision-making as project risks and issues were not clearly communicated to Defence leadership.	13. 国防省の計画策定活動は概ね効果的であった。2016年と2017年の初期の計画策定作業は、産業界の関与と、新しいITシステムを国防省のICT環境に提供し統合する市場の能力のアセスメントに重点を置いた。2018年半ばのユーザー要件とシステム要件を洗練させる作業は、他の事業体やステークホルダーから情報を得ていなかった。政府は、ガバナンス、監督、報告の取り決めを、能力ライフサイクルフレームワークの要件に沿って設計した。プロジェクトガバナンスの取り決めは効果的に実施されず、様々な意思決定フォーラムの目的と関係が明確でなかった。プロジェクトのリスクと問題が国防指導部に明確に伝えら れていなかったため、プロジェクト報告は情報に基づくリスクベースの意思決定を支えなかった。
14. Defence’s procurement processes were partly effective. The processes to engage project approval and support services and the organisational change management partner were conducted in line with the Commonwealth Procurement Rules (CPRs). The process to engage the prime systems integrator was not consistent with the CPRs. The tender documentation included a list of mandatory products referring to trade names and producers — an approach that did not comply with Defence’s procurement policy framework. Defence’s conduct of the ‘Analysis of Alternatives’ in early 2020 resulted in material changes to the technical solution, schedule and delivery approach and provided opportunities to the preferred supplier that were not provided to other prospective suppliers. Defence’s approach to engaging the Project Delivery Partner in 2022 did not comply with Defence’s Accountable Authority Instructions or the intent of the CPRs.	14. 国防省の調達プロセスは部分的に有効であった。プロジェクト承認・支援サービスと組織変更管理パートナーを関与させるプロセスは、英連邦調達規則（CPR）に沿って実施された。プライムシステムインテグレーターとの契約プロセスはCPRsと整合していなかった。入札文書には、商号や生産者に言及した必須製品のリストが含まれていたが、これは国防省の調達方針の枠組みに準拠しないアプローチであった。国防省が2020年初頭に実施した「代替案の分析」は、技術的ソリューション、スケジュール、納期アプローチに重大な変更をもたらし、他のサプライヤー候補には提供されなかった機会を優先サプライヤーに提供した。2022 年にプロジェクト・デリバリー・パートナーを関与させる国防省のアプローチは、国防省の認可、指示または CPR の意図に準拠していなかった。
15. Defence’s implementation of the myClearance system has been partly effective. Identified risks and issues were not resolved in a timely manner. Data cleansing and migration activities were not effective. Testing processes were truncated and were not conducted in line with agreed testing plans or Defence guidance. To address the issues encountered after the core vetting system went live in November 2022, Defence established the myClearance taskforce in February 2023. Defence’s remediation activities have progressively improved the performance of the system since it went live. In July 2023, Defence advised government that it had delivered a system that largely met the initial operating capability requirements. In November 2023 Defence advised government that the myClearance system would not deliver the full functionality as approved in December 2020.	15. 国防省によるマイクリアランス・システムの導入は部分的に有効であった。識別されたリスクと問題は適時に解決されなかった。データのクレンジングと移行活動は効果的でなかった。テスト工程は切り捨てられ、合意されたテスト計画や国防省の指針に沿って実施されなかった。2022年11月にコア審査システムが稼動した後に発生した問題に対処するため、国防省は2023年2月にマイクリアランス・タスクフォースを設立した。国防省の改善活動により、システム稼動以来、システムの性能は徐々に改善されてきた。2023年7月、国防省は政府に対し、初期運用能力要件をほぼ満たすシステムを納入したと通知した。2023年11月、国防省は政府に対し、マイクリアランス・システムは2020年12月に承認されたような完全な機能を提供できないと通知した。
Supporting findings	補足所見
Effectiveness of planning activities	計画活動の効果
16. Defence conducted early planning activities between late 2016 and early 2018. Industry engagement and market research was undertaken to assess the market’s ability to design, build and integrate a new IT system into Defence’s ICT environment. Workshops and forums held to refine the user requirements and technical components in June 2018 did not include external stakeholders such as other government entities with ICT systems that AGSVA’s new vetting system would need to integrate or interface with. (See paragraphs 2.7 to 2.29)	16. 国防省は2016年後半から2018年前半にかけて初期計画活動を実施した。国防省の ICT 環境に新しい IT システムを設計、構築、統合する市場の能力を評価するため、産業界 の関与と市場調査が行われた。2018年6月に開催されたユーザー要件と技術コンポーネントを洗練するためのワークショップとフォーラムには、AGSVAの新しい審査システムが統合またはインターフェースする必要があるICTシステムを持つ他の事業体などの外部の利害関係者は含まれていなかった。(段落 2.7 から 2.29 を参照のこと）。
17. The financial and technical risks associated with the planned procurement were assessed. To mitigate some of the identified risks, a list of mandatory products referring to trade names and producers was included in Defence’s tender documentation for the IT solution to be delivered by the systems integrator. As a result, the design of the procurement:	17. 計画された調達に関連する財務的及び技術的リスクがアセスメントされた。識別されたリスクのいくつかを軽減するために、システムインテグレーターが提供するITソリューションのための国防省の入札文書に、商品名と生産者に言及した必須製品のリストが含まれた。その結果、調達の設計が変更された：
• did not comply with Defence’s procurement policy framework and was inconsistent with the Commonwealth Procurement Rules (CPRs);	・国防省の調達方針の枠組みに準拠しておらず、連邦調達規則（CPR）と矛盾していた；
• reduced the opportunity for suppliers to propose alternative solutions based on ‘functional and performance requirements’ that may have met Defence’s requirements; and	・国防省の要求を満たす可能性のある「機能・性能要件」に基づく代替ソリューションをサプライヤーが提案する機会を減少させた。
• introduced critical dependencies that increased the integration and schedule risks of the project. These risks were not effectively managed or communicated to senior Defence leadership or government. (See paragraphs 2.30 to 2.52)	・プロジェクトの統合リスクとスケジュールリスクを増大させる重要な依存関係を導入した。これらのリスクは効果的に管理されず、国防省の上級幹部や政府にも伝えられなかった。(段落2.30から2.52参照）。
Governance, oversight and reporting arrangements	ガバナンス、監督、報告の取り決め
18. Defence established governance, oversight and reporting arrangements for the Vetting Transformation Project in accordance with its Capability Life Cycle Manual — a framework that was designed to govern Defence’s acquisition of complex military equipment and materiel. These arrangements were not implemented effectively. (See paragraphs 2.63 to 2.79)	18. 国防省は、能力ライフサイクル・マニュアル（国防省の複雑な軍事装備と資材の取得を管理するために設計された枠組み）に従い、審査変革プロジェクトのガバナンス、監督、報告の取り決めを確立した。これらの取り決めは効果的に実施されなかった。(段落 2.63 から 2.79 参照）。
19. Reporting to decision-making forums accurately assessed the risks and issues that contributed to the problems experienced after the system ‘went live’. The impacts of those risks and issues on the expected functionality and capability of the system were not clearly communicated to Defence leadership. (See paragraphs 2.86 to 2.96)	19. 意思決定フォーラムへの報告は、システム「稼動」後に発生した問題の原因となったリスクと問題を正確に評価していた。これらのリスクや問題がシステムの期待される機能や能力に与える影響は、国防省のリー ダーシップに明確に伝えられていなかった。(パラグラフ2.86から2.96参照）。
20. Successive reviews, including independent assurance reviews found that project governance arrangements were not ‘formally defined and maintained’ and there was a lack of clarity on the purpose of and relationship between each forum within the governance model. At March 2024, Defence had commenced a program of work to address the identified governance issues, including the implementation of a new governance model for the project. (See paragraphs 2.82 to 2.84 and 2.103 to 2.112)	20. 独立保証レビューを含む一連のレビューで、プロジェクトガバナンスの取り決めが「正式に定義され維持」されておらず、ガバナンスモデル内の各フォーラムの目的と関係が明確でないことが判明した。2024年3月、政府は、プロジェクトの新しいガバナンス・モデルの導入を含め、特定されたガバナンスの問題に対処するための作業プログラムを開始した。(パラグラフ2.82～2.84、2.103～2.112参照）。
Procurement processes	調達プロセス
21. The processes to engage project approval and support services and the organisational change management partner were conducted in accordance with the CPRs. For the prime systems integrator (PSI) procurement, processes such as initial screening, evaluation, value for money assessment, and additional clarification activities were compliant with CPR requirements. Key shortcomings in the design of the PSI procurement resulted in the conduct of activities that were not consistent with the CPRs. These activities involved material changes to the technical solution, schedule and delivery approach and provided opportunities to the preferred supplier that were not provided to other prospective suppliers. These opportunities enabled the preferred supplier to develop a ‘solution to a budget’ and submit costings for work it did not originally tender for. (See paragraphs 3.15 to 3.44)	21. プロジェクト承認・支援サービスおよび組織変更管理パートナーとの契約プロセスは CPR に従って実施された。プライムシステムインテグレーター（PSI）調達については、初期審査、評価、バリューフォー マネーアセスメント、追加明確化活動などのプロセスは CPR 要件に適合していた。PSI 調達の設計における主な欠点は、CPR と整合しない活動を実施する結果となった。これらの活動は、技術的ソリューション、スケジュール、納品手法の重要な変更に関与し、 他のサプライヤー候補には提供されなかった機会を優先サプライヤーに提供した。このような機会により、優先サプライヤーは「予算に対するソリューション」を開発し、本来は 入札しなかった業務の原価を提出することができた。(パラグラフ3.15から3.44を参照のこと）。
22. Defence did not comply with its Accountable Authority Instructions for the procurement of the Project Delivery Partner in June 2022. Up to 85 per cent of the project management and other specialist support services were engaged through approaches to single suppliers, selected from a panel on each occasion. This approach was technically compliant with the CPRs but was not consistent with their intent — to drive value for money through competition. (See paragraphs 3.48 to 3.56)	22. 国防省は2022年6月のプロジェクト・デリバリー・パートナーの調達に関する認可当局の指示に従わなかった。プロジェクト管理およびその他の専門家支援サービスの最大85%は、その都度パネルから選ばれた単一のサプライヤーへのアプローチを通じて従事した。このアプローチは技術的にはCPRに準拠していたが、CPRの意図（競争を通じてバリュー・フォー・マネーを推進する）には合致していなかった。(段落3.48～3.56参照）。
Implementation of the system	システムの実施
23. Identified risks and issues were not resolved in a timely manner and cumulative delays in providing Government Furnished Materials to the Prime Systems Integrator gave rise to risks impacting the critical path of the project. These risks were realised, reducing the time available to test the system as required prior to the core vetting system (the base capability) going live on 28 November 2022. (See paragraphs 3.63 to 3.66, 3.70 to 3.72, and 3.84 to 3.90)	23. 識別されたリスクと問題は適時に解決されず、プライムシステムインテグレータへの政府支給資材の提供における累積的な遅延は、プロジェクトのクリティカルパスに影響を与えるリスクを生じさせた。これらのリスクは現実のものとなり、2022年11月28日にコア審査システム（基本機能）が稼動する前に必要なシステムのテストに使える時間が短縮された。(パラグラフ3.63～3.66、3.70～3.72、3.84～3.90を参照）。
• Data cleansing and migration activities were not conducted effectively or completed in a timely manner. Representative data (production data) was not used for testing as planned. The impacts arising from these issues on the functionality and capability of the system were not clearly communicated to decision-makers. (See paragraphs 3.103 to 3.110)	・データクレンジングと移行作業は効果的に実施されず、また適時に完了しなかった。代表者データ（本番データ）が計画通りにテストに使用されなかった。これらの問題から生じるシステムの機能と能力への影響が意思決定者に明確にコミュニケーションされなかった。(パラグラフ3.103から3.110を参照）。
• Testing activities were truncated and were not conducted in line with agreed testing plans or in a manner consistent with Defence guidance. Testing activities that were to be conducted sequentially were conducted in parallel. (See paragraphs 3.111 to 3.123)	・テスト活動が切り捨てられ、合意されたテスト計画や国防省のガイダンスに沿った方法で実施されなかった。順次実施されるはずのテスト活動が並行して実施された。(段落 3.111 から 3.123 参照）。
• Defence does not have a program in place to monitor and review privileged user activity and does not have a process to periodically revalidate user accounts for the myClearance system. (See paragraphs 3.91 to 3.100)	・国防省は、特権ユーザの活動を監視しレビューするプログラムを実施しておらず、マイクリアランス・ システムのユーザ・アカウントを定期的に再検証するプロセスを有していない。(パラグラフ 3.91 から 3.100 参照)
24. Throughout 2023, Defence’s myClearance taskforce achieved progressive improvements to the core vetting system. In November 2023, Defence recommended that the government agree to de-scoping the: continuous assessment; automated risk sharing; use of artificial intelligence; and enhanced interfaces from the myClearance system. As a consequence, the myClearance system will not deliver the desired capability uplift or provide the full functionality advised to government in December 2020. (See paragraphs 3.135 to 3.139)	24. 2023 年を通して、国防省の マイクリアランス・タスクフォースは、中核的な審査システムの漸進的な改善を達成した。2023 年 11 月、国防省は政府に対し、マイクリアランス・システムから、継続的アセスメント、自動化されたリス ク共有、人工知能の使用、および強化されたインタフェースを削除することに同意するよう勧告した。その結果、マイクリアランス・システムは、2020年12月に政府に勧告されたような能力向上や全機能を提供することはできない。(段落3.135から3.139参照）。
Recommendations	勧告事項
25. The ANAO has made two recommendations to improve risk management for complex high value ICT projects and manage and maintain the security of the system.	25. ANAO は、複雑で高価値な ICT プロジェクトのリスクマネジメントを改善し、システムのセキュリティを 管理・維持するために、2 つの勧告を行った。
Recommendation no. 1	勧告 No.
Paragraph 2.53	パラグラフ2.53
The Department of Defence ensure that risk management plans, comprising a risk appetite statement and risk tolerances, are developed, implemented and maintained for its complex, high value ICT projects.	国防省は、複雑で高価値な ICT プロジェクトについて、リスク選好度声明とリスク許容度 からなるリスクマネジメント計画を策定し、実施し、維持することを確実にすること。
Department of Defence response: Agreed.	国防省の回答 同意する。
Recommendation no. 2	勧告 No.
Paragraph 3.101	パラグラフ 3.101
The Department of Defence develop and implement a program of work to periodically revalidate user access and monitor privileged user accounts to ensure that management of the myClearance system complies with the requirements of the Information Security Manual.	国防省は、マイクリアランス・システムの管理が情報セキュリティ・マニュアルの要件に準拠 していることを確認するため、定期的にユーザー・アクセスの再検証を行い、特権ユーザー・ アカウントを監視する作業プログラムを策定し、実施すること。
Department of Defence response: Agreed.	国防省の回答 同意する。
Summary of the Department of Defence’s response	国防省の回答の要約
26. The proposed audit report was provided to the Department of Defence. Defence’s summary response is provided below, and its full response is included at Appendix 1. Improvements observed by the ANAO during the course of this audit are listed in Appendix 2.	26. 提案された監査報告書は国防省にプロバイダされた。国防省の回答概要は以下に、回答全文は附属書 1 に記載されている。本監査の過程で ANAO が観察した改善点は附属書 2 に記載されている。
Defence acknowledges the Auditor-General’s findings that the implementation of the myClearance system was partly effective. Defence is committed to strengthening procurement and governance arrangements, ensuring important projects are delivered in the best interests of Australia’s national security.	国防省は、マイクリアランス・システムの導入が部分的に有効であったという監 査役の調査結果を認める。国防省は、重要なプロジェクトが豪州の国家安全保障に最善の利益をもたらすよう、調達とガ バナンス体制の強化に取り組んでいる。
Defence has achieved substantial improvements in security clearance processing since the system launched. Following the introduction of myClearance in November 2022, over 110,000 clearances have been processed, with over 75,000 clearances completed in the myClearance system during 2023–24. Vetting timeframes for all clearance levels are also being consistently met.	国防省は、マイクリアランス・システム導入以来、セキュリティ・クリアランス処理の大幅な 改善を達成してきた。2022年11月のマイクリアランス導入後、11万件を超えるクリアランスが処理され、2023-24年には7万5、000件を超えるクリアランスがマイクリアランス・システムで完了した。すべてのクリアランス・レベルの審査時間枠も一貫して遵守されている。
Defence is committed to increasing ICT project risk oversight and management through three robust lines of assurance to ensure decision makers are well informed of emerging risks and potential impacts. The methodology includes:	国防省は、意思決定者が新たなリスクと潜在的な影響について十分な情報を得られるよう、3つの強固な保証ラインを通じてICTプロジェクトのリスク監視・マネジメントの強化に取り組んでいる。その方法論には以下が含まれる：
• Establishing robust first-line assurance for ICT projects prior to progressing through gate decisions, ensuring all mandatory project artefacts are complete and performance milestones are achieved;	・ゲート決定を経て進行する前に、ICTプロジェクトに対する強固な第一線保証を確立し、すべての必須プロジェクト要素が完了し、パフォーマンスのマイルストーンが達成されていることを確認する；
• Increasing second-line assurance, assessing ICT project governance implementation and the end-to-end business solution; and	・セカンドラインの保証を強化し、ICTプロジェクトガバナンスの実施とエンドツーエンドのビジネスソリューションを評価する。
• Continuing third-line enterprise level objective assessment of adequacy, effectiveness and efficiency of governance, performance and risk management.	・ガバナンス、パフォーマンス、リスクマネジメントの適切性、有効性、効率性についてのエンタープライズレベルの客観的アセスメントを第3ラインとして継続する。
Defence is confident this holistic approach to oversight and assurance will enable active identification, robust management and reporting of risks and opportunities.	国防省は、監督と保証に対するこの総合的なアプローチによって、リスクと機会の積極的な特定、堅固なマネジメント、報告が可能になると確信している。
Key messages from this audit for all Australian Government entities	オーストラリア政府全事業体に対する本監査の主なメッセージ
27. Below is a summary of key messages, including instances of good practice, which have been identified in this audit and may be relevant for the operations of other Australian Government entities.	27. 以下は、本監査で確認された、他のオーストラリア政府機関の業務に関連すると思われる、グッドプラクティスの事例を含むキーメッセージの要約である。
Governance and risk management	ガバナンスとリスクマネジメント
• Reporting on technical issues and risks should be clearly communicated to senior leaders and decision makers in plain English and in terms of the anticipated impact on the functionality or capability of the system.	・技術的な問題やリスクに関する報告は、システムの機能や能力への予想される影響という観点で、 シニアリーダーや意思決定者にわかりやすく明確に伝えるべきである。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.11 日本でもセキュリティクリアランス制度が本格的に導入されることになりましたね...

 

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する（＋米国セキュリティクリアランス関連リンク）

 

 

その他、こちらも...

 

● まるちゃんの情報セキュリティ気まぐれ日記

日本...

・2024.02.28 内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定

・2024.02.20 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)

・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)

・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議（第9回）

・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議（第7回）

・2023.08.27 参議院常任委員会調査室・特別調査室：セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.10.19 自民党 わが国が目指すべき 経済安全保障の全体像について～新たな国家安全保障戦略策定に向けて～ (2022.10.04)

 

 

米国...

・2024.02.26 米国 GAO 国防総省インテリジェンス：プログラムの監督を強化しリスクを管理するために必要な行動

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496（初公開ドラフト） データ収集改善のためのデータ格付の概念と考察

・2023.11.05 RAND研究所 多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する（＋米国セキュリティクリアランス関連リンク）

・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

 

 

中国 公安部 国家サイバースペース管理局「国家ネットワーク ID 認証公共サービス管理弁法（意見募集案）」意見募集 (2024.07.26)

こんにちは、丸山満彦です。

中国の公安部、国家サイバースペース管理局が「国家ネットワーク ID 認証公共サービス管理弁法（意見募集案）」を公表し、意見募集をしていますね...

中国はインターネット実名制ですが、国家ネットワークID認証公共サービス基盤を利用することで、最小限の個人情報の提供ですむのでいいでしょうという話？

日本でも参考になる部分があるように思います...

 

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

・2024.07.26 公安部 国家互联网信息办公室关于《国家网络身份认证公共服务管理办法（征求意见稿）》公开征求意见的公告

 

公安部 国家互联网信息办公室关于《国家网络身份认证公共服务管理办法（征求意见稿）》公开征求意见的公告	公安部 国家サイバースペース管理局による「国家ネットワーク ID 認証公共サービ ス管理弁法（意見募集案）」公開諮問に関する発表
为强化公民个人信息保护，推进并规范国家网络身份认证公共服务建设应用，加快实施网络可信身份战略，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规，公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法（征求意见稿）》，现向社会公开征求意见。公众可以通过以下途径和方式提出意见建议：	国民の個人情報保護を強化し、国家ネットワーク身元認証公共サービスの構築と応用を促進・標準化し、ネットワーク信頼されるアイデンティティ戦略の実施を加速するため、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、中華人民共和国通信ネットワーク詐欺防止法などの法規に従って、公安部、国家サイバースペース管理局などは、「国家ネットワーク身元認証公共サービス管理弁法（案）」を研究・起草した。 公安部、国家インターネット情報弁公室などは、「国家ネットワーク身元認証公共サービス管理弁法（案）」を研究・起草し、現在一般に公開し、意見を募集している。 国民は以下の方法・手段で意見・提案を行うことができる：
附件：1.《国家网络身份认证公共服务管理办法（征求意见稿）》	添付資料： 1.国家ネットワークID認証公共サービス管理弁法（意見募集案）
2.关于起草《国家网络身份认证公共服务管理办法（征求意见稿）》的说明	2.国家ネットワーク識別情報認証公共サービス管理弁法（意見募集案）の作成に関する説明書

 

・全奥ネットワークID認証公共サービス管理弁法（意見募集案）

国家网络身份认证公共服务管理办法	国家ネットワーク識別情報認証公共サービス管理弁法（案
（征求意见稿）	(意見募集案）
第一条 为实施网络可信身份战略，推进国家网络身份认证公共服务建设，保护公民身份信息安全，促进数字经济发展，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规，制定本办法。	第1条 本弁法は、中華人民共和国サイバーセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、中華人民共和国電気通信網詐欺対策法およびその他の法令に基づき、ネットワーク信頼されるアイデンティティ戦略を実施し、国家ネットワーク身元認証公共サービスの建設を推進し、国民の身元情報の安全を保護し、デジタル経済の発展を促進することを目的として制定される。
第二条 本办法所称国家网络身份认证公共服务（以下称“公共服务”），是指国家根据法定身份证件信息，依托国家统一建设的网络身份认证公共服务平台（以下称“公共服务平台”），为自然人提供申领网号、网证以及进行身份核验等服务。	第2条 この弁法にいう国家ネットワーク ID 認証公共サービス（以下「公共サービス」という。）とは、 法定 ID 文書の情報に基づき、国家統一構築ネットワーク ID 認証公共サービスプラットフォーム（以下「公共サービスプラットフォーム」という。 (以下、「公共サービス・プラットフォーム」という。）において、ネットワーク番号、ネットワーク証明書の申請、本人確認の実施などのサービスを自然人に提供する。
本办法所称网号，是指与自然人身份信息一一对应，由字母和数字组成、不含明文身份信息的网络身份符号；网证，是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。	本方針でいうネットワーク番号とは、自然人の身元情報に対応し、身元情報を明示しない文字と数字で構成されるネットワーク身元記号を指し、ネットワーク証明書とは、自然人のネットワーク番号および身元情報を明示しないネットワーク身元認証クレデンシャルを指す。 ネットワーク番号、ネットワーク証明書は、インターネットサービスおよび関連部門、業界管理、サービスおよび非明示的な登録、自然人の真の身元情報の検証で使用できる。
第三条 国务院公安部门、国家网信部门依照各自法定职责，负责国家网络身份认证公共服务的监督管理，监督、指导公共服务平台依法落实数据安全和个人信息保护义务。	第3条 国務院公安部門、国家インターネット情報部門は、それぞれの法定任務に従い、データセキュリティおよび個人情報保護義務の実施に従い、国家ネットワークID認証公共サービス、公共サービスプラットフォームの監督および指導の監督および管理を担当する。
国务院民政、文化和旅游、广播电视、卫生健康、铁路、邮政等部门依照本办法和有关法律、行政法规的规定，在各自职责范围内负责国家网络身份认证公共服务的推广应用和监督管理工作。	国務院の民政、文化観光、ラジオ・テレビ、衛生、鉄道、郵政などの部門は、本弁法および関連法律・行政法規の規定に従って、それぞれの職務範囲内で国家ネットワーク ID 認証公共サービスの推進および適用、監督および管理に責任を負う。
第四条 持有有效法定身份证件的自然人，可自愿向公共服务平台申领网号、网证。	第4条 有効な法的身元証明書を有する自然人は、ネットワーク番号およびネットワーク証明書を公共サービスプラットフォームに自主的に申請することができる。
不满十四周岁的自然人需要申领网号、网证的，应当征得其父母或者其他监护人同意，并由其父母或者其他监护人代为申领。	14歳未満の自然人がネットワーク番号、ネットワーク証明書を申請する場合、両親またはその他の保護者の同意を得る必要があり、両親またはその他の保護者が申請を代行する。
已满十四周岁未满十八周岁的自然人需要申领网号、网证的，应当在其父母或者其他监护人的监护下申领。	14歳に達したが18歳に達していない自然人がネットワーク番号またはネットワーク免許を申請する必要がある場合は、両親またはその他の保護者の監督の下で申請しなければならない。
第五条 根据法律、行政法规规定，在互联网服务中需要登记、核验用户真实身份信息的，可以使用网号、网证依法进行登记、核验。	第5条 法律および行政法規の規定に従い、インターネットサービスにおいて、利用者の身元情報を登録・確認する必要がある場合、登録・確認のために、法律に従ってネットワーク番号、ネットワークカードを使用することができる。
不满十四周岁的自然人使用网号、网证登记、核验真实身份信息的，应当征得其父母或者其他监护人同意。	ネットワーク番号、ネットワークカードの登録、本当の身元情報の検証を使用する14歳未満の自然人は、両親または他の保護者の同意を得なければならない。
第六条 鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证，为用户提供安全、便捷的身份登记和核验服务，通过公共服务培育网络身份认证应用生态。	第6条は、関係主務官庁および主要産業に対して、自主性の原則に従ってネットワーク番号およびネットワーク証明書の適用を促進し、利用者に安全で便利な ID 登録および検証サービスを提供し、公共サービスを通じてネットワーク ID 認証適用の生態を育成することを奨励する。
第七条 鼓励互联网平台按照自愿原则接入公共服务，用以支持用户使用网号、网证登记、核验用户真实身份信息，依法履行个人信息保护和核验用户真实身份信息的义务。	第7条は、インターネットプラットフォームが自主性の原則に従って公共サービスにアクセスし、利用者がネットワーク番号、ネットワーク証明書の登録、利用者の本当の身元情報の検証を利用することを支援し、法律に従って個人情報保護と利用者の本当の身元情報の検証の義務を果たすことを奨励する。
互联网平台接入公共服务后，用户选择使用网号、网证登记、核验真实身份信息并通过验证的，互联网平台不得要求用户另行提供明文身份信息，法律、行政法规另有规定或者用户同意提供的除外。	インターネットプラットフォームが公共サービスにアクセスする場合、利用者はネットワーク番号、ネットワーク証明書登録、本人確認情報の検証を利用することを選択し、検証を通じて、インターネットプラットフォームは、法律および行政法規に別段の定めがある場合、または利用者が同意した場合を除き、利用者に別途明示的な本人確認情報の提供を求めないものとする。
互联网平台应当保障使用网号、网证的用户与其他用户享有相同服务。	インターネットプラットフォームは、ネットワーク番号、ネットワーク証明書の利用者およびその他の利用者が同じサービスを享受することを保証しなければならない。
第八条 互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的，公共服务平台应当仅提供用户身份核验结果。	第8条 インターネットプラットフォームは、法律に基づき利用者の真正な身元情報を確認する必要があるが、利用者の法的身元証明書類情報を保持する必要はなく、公共サービスプラットフォームは利用者の身元確認結果のみを提供するものとする。
根据法律、行政法规规定，互联网平台确需获取、留存用户法定身份证件信息的，经用户授权或者单独同意，公共服务平台应当按照最小化原则提供。	法律および行政法規の規定に基づき、インターネットプラットフォームが本当に利用者の合法的身分証明書情報を取得、保持する必要がある場合、利用者が許可した場合、または利用者が個別に同意した場合、公共サービスプラットフォームは最小化の原則に従って提供しなければならない。
未经自然人单独同意，互联网平台不得擅自处理或者对外提供相关数据信息，法律、行政法规另有规定的除外。	自然人の個別同意がない場合、インターネットプラットフォームは、法律および行政法規に別段の定めがある場合を除き、関連データおよび情報を処理し、または外部に提供してはならない。
第九条 公共服务平台处理个人信息不得超出为自然人提供申领网号、网证以及进行身份核验等服务所必需的范围和限度，在向自然人提供公共服务时应当依法履行告知义务并取得其同意。处理敏感个人信息的，应当取得个人的单独同意，法律、行政法规规定应当取得书面同意的，从其规定。	第9条 公共サービスプラットフォームは、自然人に対してネットワーク番号、ネットワーク証明書の申請、本人確認などのサービスを提供するために必要な範囲および限度を超えて個人情報を取り扱ってはならず、法律に基づき公共サービスを提供する場合は、自然人に通知し同意を得る義務を履行しなければならない。機微（センシティブ）個人情報を取り扱う場合には、別途本人の同意を得るものとし、法令および行政規則において書面による同意を得ることが定められている場合には、当該規定を適用する。
未经自然人单独同意，公共服务平台不得擅自处理或者对外提供相关数据信息，法律、行政法规另有规定的除外。	公共サービスプラットフォームは、本人の同意がない場合、法令及び行政法規に別段の定めがある場合を除き、関連データ及び情報を処理し、または外部に提供してはならない。
公共服务平台应当依照法律、行政法规规定或者用户要求，及时删除用户个人信息。	公共サービスプラットフォームは、法律および行政法規の規定または利用者の要請により、適時に利用者の個人情報を削除しなければならない。
第十条 公共服务平台在处理用户个人信息前，应当通过用户协议等书面形式，以显著方式、清晰易懂的语言真实、准确、完整地向用户告知下列事项：	第10条 公共サービスプラットフォームは、利用者の個人情報を取り扱う前に、利用契約書及びその他の書面により、利用者に次の事項を分かりやすい言葉で、真実、正確かつ完全に通知しなければならない：
（一）公共服务平台的名称和联系方式；	(一) 公共サービスプラットフォームの名称及び連絡先
（二）用户个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；	(二) 利用者の個人情報の利用目的及び取扱方法、取り扱う個人情報の種類及び保存期間
（三）用户依法行使其个人信息相关权利的方式和程序；	(三) 利用者が法令に基づき個人情報に関する権利を行使するための方法及び手続
（四）法律、行政法规规定应当告知的其他事项。	(四) その他法令及び行政規則で定めるところにより、通知しなければならない事項
处理敏感个人信息的，还应当向个人告知处理的必要性以及对个人权益的影响，法律、行政法规另有规定的除外。	機微（センシティブ）個人情報を取り扱う場合には、法令に別段の定めがある場合を除き、その必要性及び本人の権利利益に与える影響についても本人に通知するものとする。
第十一条 公共服务平台处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。	第11条 公共サービスプラットフォームは、個人情報を取り扱う場合であって、法令及び行政規則で定める秘密を保持すべき事情又は通知することを要しない事情があるときは、前条第1項に規定する事項を本人に通知しないことができる。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，公共服务平台应当在紧急情况消除后及时告知。	緊急事態において、自然人の生命、健康及び財産の安全を保護するため、適時に本人に通知することができない場合、公益事業プラットフォームは、緊急事態が解消した後、適時に本人に通知しなければならない。
第十二条 公共服务平台应当加强数据安全和个人信息保护，依法建立并落实安全管理制度与技术防护措施。	第12条 公共サービスプラットフォームは、データセキュリティと個人情報保護を強化し、法律に基づいてセキュリティ管理システムと技術保護措置を構築し、実施しなければならない。
第十三条 公共服务平台的建设和服务涉及密码的，应当符合国家密码管理有关要求。	第13条 公共サービスプラットフォームの建設およびパスワードが関係するサービスは、国家パスワード管理の関連要求を遵守しなければならない。
第十四条 违反本办法第七条第二款、第八条、第九条、第十条、第十二条规定，依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》应当追究法律责任的，由国务院公安部门、国家网信部门在各自职责范围内依法予以处罚；构成犯罪的，依法追究刑事责任。	第14条 「中華人民共和国ネットワーク安全法」、「中華人民共和国データ安全法」、「中華人民共和国個人情報保護法」に基づき、本弁法第7条第2項、第8条、第9条、第10条、第12条の規定に違反した場合、国務院公安部門、国家インターネット情報化部門は、それぞれの責任範囲において、法律に従って処罰され、犯罪を構成する。刑事責任は、法律に従って調査されなければならない。
第十五条 本办法所称法定身份证件，包括居民身份证、定居国外的中国公民的护照、前往港澳通行证、港澳居民来往内地通行证、台湾居民来往大陆通行证、港澳居民居住证、台湾居民居住证、外国人永久居留身份证等身份证件。	第15条 本弁法にいう法定身分証明書には、在留身分証明書、海外に定住する中国公民のパスポート、香港・マカオへの渡航許可証、香港・マカオ居住者の本土との往復渡航許可証、台湾居住者の本土との往復渡航許可証、香港・マカオ居住者の本土との往復渡航居住許可証、台湾居住者の本土との往復渡航居住許可証、永住外国人身分証明書などの身分証明書が含まれる。
第十六条 本办法自 年 月 日起施行。	第16条 本弁法は、年　月　日から施行する。

 

解説...

关于起草《国家网络身份认证公共服务管理办法（征求意见稿）》的说明	国家ネットワーク・アイデンティティ認証公共サービス管理弁法（案）」（意見募集案） についての説明
一、起草必要性	一、草案の必要性
为全面贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》中关于国家实施网络可信身份战略、推进网络身份认证公共服务建设等有关规定，国家组织建设网络身份认证公共服务基础设施，旨在建成国家网络身份认证公共服务平台，形成国家网络身份认证公共服务能力，为社会公众统一签发“网号”“网证”，提供以法定身份证件信息为基础的真实身份登记、核验服务，达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。基于国家网络身份认证公共服务（以下简称公共服务），自然人在互联网服务中依法需要登记、核验真实身份信息时，可通过国家网络身份认证APP自愿申领并使用“网号”“网证”进行非明文登记、核验，无需向互联网平台等提供明文个人身份信息。由此，可以最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。为进一步强化个人信息保护、规范公共服务的运行管理，公安部、国家互联网信息办公室等有关部门经充分调研论证，起草了《国家网络身份认证公共服务管理办法（征求意见稿）》（以下简称《管理办法》）。	中華人民共和国ネットワーク安全法、中華人民共和国データ安全法、中華人民共和国個人情報保護法、および中華人民共和国電気通信ネットワーク詐欺防止法の関連規定 を全面的に実施し、国家ネットワーク信頼できる ID 戦略を実施し、ネットワーク ID 認証公共サービスの建設を推進するため、国家はネットワーク ID 認証公共サービス・インフラを構築する。 国家ネットワーク ID 認証公共サービス・プラットフォーム、国家ネットワーク ID 認証公共サービ ス能力の形成、国民のための「ネットワーク番号」と「ネットワーク証明書」の統一的な発行、法定 ID 文書の情報に基づく本当の ID 登録および検証サービスを提供し、 国民の利用の利便性を実現し、個人情報の安全を保護する。国民の利用を容易にし、個人情報のセキュリティを保護し、ネットワーク信頼される ID 戦略を推進するという目標を達成するために、法的な ID 文書情報に基づいて実際の ID 登録および検証サービスを提供する。国家ネットワーク ID 認証公共サービス（以下、公共サービスという）に基づき、自然人が法律 に従ってインターネット・サービスに自分の本当の ID 情報を登録および検証する必要が ある場合、国家ネットワーク ID 認証 APP を通して「ネットワーク番号」および「ネットワーク証明書」を自主的に申請し、使用することができる。 インターネット・サービスにおいて実 ID 情報の登録および検証が法律で義務付けられている場合、申請者は、インターネット・プラットフォームに明示的な個人 ID 情報を提供する必要なく、非明示的な登録および検証を実施するように、国家ネットワーク ID 認証 APP を通じて「ネットワーク番号」および「ネット証明書」を自主的に申請および使用することができる。これにより、インターネット・プラットフォームが「実名制」の範囲を超えて市民の個人情報を収集・保持する必要性を最小限に抑えることができる。個人情報の保護をさらに強化し、公共サービスの運営管理を規制するため、公安部、国家サイバースペース管理局およびその他の関連部門は、綿密な調査と実証を経て、「国家ネットワーク身元認証公共サービス管理弁法（案）」（以下、「管理弁法」という）を起草した。
二、主要内容	二、主な内容
《管理办法》共16条，主要包括四个方面的内容：一是明确了公共服务和“网号”“网证”等概念；二是明确了公共服务的使用方式和场景；三是强调了公共服务平台和互联网平台的数据和个人信息保护义务；四是明确了公共服务平台和互联网平台违反数据和个人信息保护义务的法律责任。	第一に、公共サービスと「ネットワーク番号」、「ネットワーク証明書」の概念を明確にしている。第二に、公共サービスの利用方法とシナリオを明確にしている。第三に、公共サービスプラットフォームとインターネットプラットフォームのデータと個人情報保護義務を強調している。第三に、公共サービスプラットフォーム及びインターネットプラットフォームのデータ及び個人情報保護義務を強調し、第四に、公共サービスプラットフォーム及びインターネットプラットフォームのデータ及び個人情報保護義務違反に対する法的責任を明らかにした。
三、主要考虑	三、主な検討事項
《管理办法》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》的规定，明确了使用“网号”“网证”进行网络身份认证的方式，并对“网号”“网证”的申领条件、公共服务的使用场景、法定身份证件范围、数据和个人信息安全保护义务等基础性事项作出规定。此外，依照《中华人民共和国个人信息保护法》《未成年人网络保护条例》等对未成年人的特殊保护要求，对未成年人申领、使用公共服务作出了特别规定。	中華人民共和国ネットワーク安全法』、『中華人民共和国データ安全法』、『中華人民共和国個人情報保護法』、『中華人民共和国電気通信ネットワーク詐欺対策法』の規定に基づき、本行政弁法はネットワーク身元認証に「ネットワーク番号」と「ネットワーク証明書」を使用することを規定している。また、「ネットワーク番号」および「ネットワーク証明書」を使用するネットワーク ID 認証の方法を規定し、「ネットワーク番号」および「ネットワーク証明書」の適用条件、公共サービスの使用シナリオ、合法的な ID 文書の範囲、 データおよび個人情報のセキュリティ保護の義務、およびその他の基本的な事項について規定している。規定する。また、「中華人民共和国個人情報保護法」および「インターネットにおける未成年者の保護に関する規定」に基づく未成年者の特別な保護要件に従い、未成年者が公共サービスを申請および利用するための特別な規定が設けられている。
《管理办法》鼓励互联网平台接入公共服务，支持用户使用“网号”“网证”登记、核验真实身份，并作为其履行用户真实身份核验和个人信息保护等法定义务的一种方式。对自愿选择使用“网号”“网证”的用户，除法律法规有特殊规定或者用户同意外，互联网平台不得要求用户另行提供明文身份信息，最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。	行政弁法」は、インターネットプラットフォームが公共サービスにアクセスすることを奨励し、「ネットワーク番号」と「ネットワーク証明書」の利用を支持して、利用者の本当の身元を登録・確認し、利用者の本当の身元を確認し、個人情報を保護する法的義務を果たす方法としている。自発的に「ネットワーク番号」および「ネットワーク証明書」の使用を選択するユーザーについては、法令に特別な規定がある場合またはユーザーが同意する場合を除き、インターネットプラットフォームはユーザーに別途明示的な身元情報の提供を求めないものとし、インターネットプラットフォームが「実名制」を実施する必要性を最小限に抑える。本行政措置は、「中華人民共和国実名制」および「中華人民共和国行政弁法」に厳格に従う。
《管理办法》严格依照《中华人民共和国个人信息保护法》等上位法的规定，充分保障了用户个人信息相关权利。明确了公共服务平台采集个人信息的“最小化和必要性原则”，即公共服务平台处理个人信息不得超出为自然人提供“网号”“网证”相关服务所必需的范围和限度。明确了公共服务平台处理用户个人信息时的解释告知、数据保护等义务，充分保障用户的知情权、选择权、删除权等个人信息相关权利。	本行政措置は、「中華人民共和国個人情報保護法」及びその他の優越的な法律の規定を厳格に遵守し、ユーザーの個人情報に関する権利を全面的に保護する。公共サービスプラットフォームが個人情報を収集する際の「必要最小化の原則」が明確に規定されている。すなわち、公共サービスプラットフォームが個人情報を取り扱うのは、自然人の「ネットワーク番号」および「ネットワーク証明書」に関連するサービスを提供するために必要な範囲を超えないものとする。公共サービスプラットフォームは、自然人に対する「ネット番号」及び「ネット証明書」関連サービスの提供に必要な範囲及び限度を超えて、個人情報を取り扱ってはならない。公共サービスプラットフォームが利用者の個人情報を取り扱う際の説明・通知、データ保護などの義務を明確にし、利用者の個人情報に関する知る権利、選択する権利、削除する権利などの権利を全面的に保護する。
《管理办法》明确了身份核验结果信息的“最小化提供原则”和依法处理要求。对依法需要核验用户真实身份但无需留存用户法定身份证件信息的，公共服务平台应当仅向互联网平台提供核验结果；对于依法确需获取、留存用户法定身份证件信息的，经用户单独同意，公共服务平台应按照“最小化原则”向互联网平台提供必要、相关的明文信息。	行政措置では、「本人確認の結果に関する情報の提供を最小限に抑える原則」と、法律に従った処理の要件が規定されている。法律で要求される利用者の身元確認については、利用者の法的身元証明書情報を保持する必要なく、公共サービス・プラットフォームはインターネット・プラットフォームに確認結果のみを提供するものとし、利用者の法的身元証明書情報を取得および保持する法的必要性については、利用者の個別の同意を得て、公共サービス・プラットフォームは「最小化」の原則に従い、必要かつ関連性のある明示的な情報をインターネット・プラットフォームに提供するものとする。公共サービスプラットフォームは、利用者個人の同意を得て、「最小化原則」に従い、必要かつ関連性のある明示的な情報をインターネットプラットフォームに提供するものとする。

 

 

米国 PCAOB 監査と財務報告における生成的AIの統合に関するアウトリーチ活動に関するスタッフの最新情報 (2024.07.22)

こんにちは、丸山満彦です。

数年前の話だったと思いますが、AIによって大幅に仕事が無くなる職業として上位に経理・監査業務があったかのように思います。それほど、経理・監査業務においてAIの利用が期待されているのだろうと思います。

実体は全ての人をAIが置き換えるというよりも、多くの仕事はAIに置き換わるが、最後まで人の判断は必要となるので、人とAIがどのように統合的に仕事をするのか？ということが問題になってくるのだろうと思います。

ということもあって？、PCAOBが、監査と財務報告における生成的AIに利用に関する簡単な報告書を公表しています...

大企業の監査をしているAudit Firmにインタビューをしたということで、Big4+αに聞いているようです...（ちなみにBig4のグローバルの収入はこちら...D>P>E>Kですね...）

Big4はどこも監査にAIを活用しようとしているでしょうね...これからはそうなる...多くの作業はたしかに、AIに置き換えられるが、最終判断は人間がしないといけない。今は、熟練した監査人がいるが、下積み作業がAIにかわられると今とは違う監査人の育成の仕方が必要となるでしょうね...

 

● Public Company Accounting Oversight Board; PCAOB

・2024.07.22 [PDF] SPOTLIGHT： Staff Update on Outreach Activities Related to the Integration of Generative Artificial Intelligence in Audits and Financial Reporting

 

OVERVIEW	概要
Recent expansion in the development and capabilities of artificial intelligence (AI) is changing the business landscape. While artificial intelligence has existed in different forms for many years, generative AI (“GenAI”) has emerged as a tool with significant potential to affect the business environment, including the way auditors plan and perform audits.	最近の人工知能（AI）の開発と能力の拡大は、ビジネス環境を変えつつある。人工知能は長年にわたり様々な形で存在してきたが、生成的AI（「GenAI」）は、監査人が監査を計画・実行する方法を含め、ビジネス環境に大きな影響を与える可能性を秘めたツールとして登場した。
GenAI is a technology that can produce new content, including text, images, audio, or video, when prompted by a user. Unlike traditional AI, which focuses on solving specific tasks using predefined rules or patterns in users’ data, GenAI creates new content in response to user instructions or queries using algorithms that are trained using specified information, often open-source information such as text and images from the internet. These algorithms use iterative training and feedback loops enabling the generative models to create a wide range of content.	GenAIは、ユーザーに促されると、テキスト、画像、音声、動画などの新しいコンテンツを生成できる技術である。ユーザーのデータから事前に定義されたルールやパターンを使用して特定のタスクを解決することに重点を置く従来のAIとは異なり、GenAIは、指定された情報（多くの場合、インターネットからのテキストや画像などのオープンソース情報）を使用して訓練されたアルゴリズムを使用して、ユーザーの指示やクエリに応答して新しいコンテンツを作成する。これらのアルゴリズムは反復訓練とフィードバックループを使用し、生成的モデルが幅広いコンテンツを作成することを可能にしている。
In recent months, PCAOB staff conducted limited outreach to several audit firms and companies to understand their perspectives on the integration of GenAI in audits and financial reporting. The purpose of this Spotlight is to provide greater transparency regarding the use of GenAI in audits and financial reporting by sharing observations from that outreach.	ここ数ヶ月、PCAOBのスタッフは、監査と財務報告におけるGenAIの統合に関する彼らの見解を理解するために、いくつかの監査法人や企業に対して限定的なアウトリーチを行った。このスポットライトの目的は、そのアウトリーチから得られた見解を共有することで、監査と財務報告におけるGenAIの使用に関する透明性を高めることである。
PCAOB STAFF OUTREACH	PCAOBスタッフによるアウトリーチ
The PCAOB’s standard-setting agenda includes a research project to assess whether there is a need for guidance, changes to PCAOB standards, or other regulatory actions in light of the increased use of technology-based tools in the preparation and subsequent audit of financial statements. The research includes evaluating the role that technology innovation plays in driving audit quality[1] through outreach with various stakeholders, including the PCAOB’s Standards and Emerging Issues Advisory Group,[2] and other activities.	PCAOBの標準設定アジェンダには、財務諸表の作成及びその後の監査におけるテクノロジーベースのツールの使用の増加に照らして、ガイダンスの必要性、PCAOB基準の変更、又はその他の規制措置の必要性があるかどうかを評価するための調査プロジェクトが含まれている。この調査には、PCAOBの標準・新興問題諮問グループ[2]を含む様々な利害関係者とのアウトリーチ活動[1]を通じて、技術革新が監査品質[1]の向上に果たす役割を評価することも含まれている。
In connection with this research, we conducted outreach regarding the current state of integration of GenAI tools in audits and financial reporting. We spoke to auditors mainly at larger firms[3] and representatives from several companies (i.e., preparers of the financial statements) about their current use of GenAI and the direction in which they expect GenAI will be integrated in audits and financial reporting. As the use of GenAI evolves, we plan to continue outreach with these and other stakeholders and perform other research activities to better understand the effect of GenAI on planning and performing the audit.	この調査に関連して、我々は、監査及び財務報告におけるGenAIツールの統合の現状に関するアウトリーチを実施した。我々は、主に大企業の監査人[3]及び複数の企業の代表者（すなわち、財務諸表の作成者）に対し、GenAIの現在の利用状況及びGenAIが監査及び財務報告に統合される方向性について話を聞いた。GenAIの利用が進展するにつれて、我々は、これらの利害関係者及びその他の利害関係者とのアウトリーチを継続し、GenAIが監査の計画及び実施に及ぼす影響をよりよく理解するために、その他の調査活動を実施する予定である。
OBSERVATIONS FROM STAFF OUTREACH	スタッフのアウトリーチからの見解
The integration of GenAI in audits and financial reporting is in its early stages but rapidly evolving. The observations below reflect the use of GenAI discussed by auditors and preparers at the time of our outreach. Audit firms and preparers alike emphasized that they are continuing to explore various ways of integrating GenAI-enabled tools in auditing and financial reporting.	監査と財務報告におけるGenAIの統合は初期段階にあるが、急速に進化している。以下の見解は、アウトリーチ実施時に監査人及び作成者によって議論されたGenAIの利用を反映したものである。監査法人も作成者も同様に、監査と財務報告においてGenAIを活用したツールを統合する様々な方法を模索し続けていることを強調している。
Observations Related to GenAI Integration in Audits	監査におけるGenAIの統合に関する見解
Based on the information we obtained, the current integration of GenAI in audits conducted by the firms we spoke to appears to be focused primarily on administrative and research activities. However, most audit firms interviewed noted the potential for using GenAI in certain aspects of planning and performing the audit. These firms indicated that PCAOB auditing standards are not currently viewed as impediments to the development and use of GenAI in the audit. Key observations from our outreach with audit firms include:	我々が入手した情報によると、我々がインタビューした監査法人が実施した監査におけるGenAIの現在の統合は、主に管理及び調査活動に焦点を当てているようである。しかしながら、インタビューした監査事務所のほとんどは、監査の計画及び実施の特定の局面においてGenAIを利用する可能性を指摘している。これらの監査事務所は、PCAOB監査標準は、現在、監査におけるGenAIの開発及び使用の障害とはなっていないと考えている。監査事務所へのアウトリーチから得られた主な意見は以下の通りである：
・Current Use of GenAI: Some firms stated that their staff can use GenAI when preparing certain administrative documents or initial drafts of memos and presentations related to the audit. Some firms also indicated that they had developed and deployed GenAI-enabled tools to assist staff in researching internal accounting and auditing guidance. Generally, the global network firms we spoke to are further along in developing and deploying GenAI-enabled tools than non-affiliated firms are.	・GenAIの現在の利用： 一部の監査法人は、監査に関連する特定の管理文書、メモやプレゼンテーションの初回ドラフトを作成する際に、スタッフがGenAIを利用することができると述べている。また、内部会計や監査ガイダンスの調査を支援するために、GenAIを利用したツールを開発・導入しているファームもある。一般的に、我々が話を聞いたグローバル・ネットワーク・ファームは、非系列ファームよりもGenAI対応ツールの開発・展開が進んでいる。
・ Investment in GenAI: Most firms indicated that they are continuing to invest in GenAIenabled tools either by developing them internally or by partnering with third parties. These firms identified several potential areas where such tools may assist engagement teams in the future with planning and performing audits. The areas could include assisting with summarizing accounting policy and legal documents, evaluating the completeness of audit documentation against relevant documentation requirements, performing certain risk assessment procedures, scoping the audit, evaluating the completeness of financial statement disclosures, and comparing amounts in the financial statements or notes to the financial statements with audited amounts.	・GenAIへの投資：ほとんどの監査法人は、GenAI対応ツールの内部開発またはサードパーティとの提携により、GenAI対応ツールへの投資を継続していると回答した。これらの監査法人は、将来、このようなツールが監査チームの監査計画立案や監査実施を支援する可能性のある分野をいくつか挙げている。そのような分野には、会計方針及び法的文書の要約、関連文書要件に照らした監査文書の完全性の評価、特定のリスクアセスメント手続の実行、監査のスコーピング、財務諸表の開示の完全性の評価、財務諸表又は財務諸表の注記と監査された金額との比較などが含まれる。
・Limitations on the Use of GenAI: Data privacy and data security continue to be areas of focus for firms. Some firms described safeguards in place that address what information can be uploaded to firms’ GenAIenabled tools in order to prevent confidential information (e.g., data of companies under audit) from becoming public. Further, some firms also said that they have policies in place that limit the extent to which staff can use GenAI tools in an audit. Some firms currently do not allow GenAI to be used when performing audit or attest procedures due to data privacy concerns and other risks, such as reliability concerns related to GenAI output (discussed below).	・GenAI利用の制限：データ・プライバシーとデータ・セキュリティは、引き続き企業にとって重要な分野である。機密情報（例えば、監査対象企業のデータ）が公になることを防ぐため、GenAI対応ツールにどのような情報をアップロードできるかを定めたセーフガードを導入していると説明する企業もあった。さらに、監査においてスタッフがGenAIツールを使用できる範囲を制限するポリシーを設けているファームもあるという。データ・プライバシーの懸念や、GenAIの出力に関する信頼性の懸念（後述）などのリスクにより、現在、監査手続や証明手続を実施する際にGenAIを使用することを認めていない事務所もある。
・Supervision and Review of GenAI: The firms that are investing in GenAI-enabled tools indicated that they expect GenAI to augment, but not replace, humans in auditing or in financial reporting. In their view, human involvement remains essential for auditors and preparers and is needed to review the output from GenAI. Some firms noted that, despite the ongoing integration of GenAI, their policies for the supervision and review of audits have not changed. These firms indicated that an engagement team member who uses a GenAI-enabled tool is still responsible for the results and documentation of the work. Likewise, these firms indicated that supervisors who review work performed with the assistance of GenAI are expected to apply the same level of diligence as when reviewing work where GenAI was not involved.	・GenAIの監督とレビュー：GenAI対応ツールに投資している企業は、GenAIが監査や財務報告において人間を補強することはあっても、代替することはないと考えている。彼らの見解によれば、監査人及び作成者にとって人間の関与は不可欠であり、GenAIからのアウトプットをレビューするために必要である。GenAIの統合が進んでいるにもかかわらず、監査の監督とレビューの方針は変わっていないと指摘する事務所もある。これらのファームは、GenAI対応ツールを使用する監査チームメンバーは、その結果と文書化に責任を負うと述べている。同様に、これらの監査法人は、GenAIの支援を受けて実施された業務をレビューする監 督者は、GenAIが関与していない業務をレビューする場合と同レベルの注意を払うことが期待され ているとしている。
・Risks Related to GenAI Input and Output: Some audit firms emphasized the importance of the auditability of both the underlying source data (whether from public sources or confidential company information) and GenAI-created content when GenAIenabled tools are used. For example, some firms are designing their GenAI tools to document the relevant underlying source data used. Further, some firms noted that GenAI output may not always be reliable because GenAI may sometimes generate new content that is false or misleading (socalled “hallucinations”) or may be skewed or biased. To mitigate these risks, some firms are developing more specific instructions or queries for users that are intended to improve the consistency and accuracy of responses provided by GenAI. Some firms also pointed to risks related to the data used in GenAI tools (e.g., using source data in large language models that is incomplete or compromised).	・GenAI のインプットとアウトプットに関連するリスク： GenAIインプットとアウトプットに関連するリスク：一部の監査法人は、GenAI対応ツールが使用される場合、基礎となるソースデータ（公開ソースか企業機密情報かを問わない）とGenAIが作成したコンテンツの両方の監査可能性の重要性を強調している。例えば、いくつかのファームは、GenAIツールを設計し、使用された関連するソースデータを文書化している。さらに、GenAIは時に虚偽や誤解を招く（いわゆる「幻覚」）コンテンツを生成したり、歪んだりバイアスがかかったりする可能性があるため、GenAIの出力が必ずしも信頼できるとは限らないと指摘する企業もある。このようなリスクを軽減するために、GenAIが提供する回答の一貫性と正確性を改善することを目的とした、より具体的な指示やクエリーをユーザー向けに開発している企業もある。また、GenAIツールで使用されるデータに関連するリスク（例えば、不完全または危うい大規模言語モデルのソースデータの使用）を指摘する企業もある。
・Other Risks Related to the Use of GenAI: Some firms indicated that the use of GenAI by preparers could amplify certain existing information technology risks (e.g., risks related to the segregation of duties), or potentially create new risks that previously did not exist. Firms indicated that identifying and assessing new and emerging risks remain top of mind as GenAI-enabled tools are developed and integrated in audits.	・GenAIの使用に関連するその他のリスク：一部の会社は、作成者によるGenAIの使用は、特定の既存の情報技術のリスク（例えば、職務分掌に関連するリスク）を増幅させる可能性があり、また、以前は存在しなかった新たなリスクを生み出す可能性があると指摘している。監査法人は、GenAIを利用できるツールが開発され、監査に統合される中で、新たなリスクの識別とアセスメントが引き続き最重要課題であると指摘している。
・Firm Policies Related to GenAI: Firms emphasized the importance of policies and procedures, internal controls, and training related to the use of GenAI. Some firms said the development of policies, procedures, and controls for GenAI tools was similar to the development for other technology solutions. For example, these firms develop resources and training for staff on the appropriate use of technology tools, including GenAI.	・GenAIに関連する会社の方針：会社は、GenAIの使用に関連する方針と手続き、内部統制、及びトレーニングの重要性を強調した。GenAIツールのための方針、手順、統制の整備は、他のテクノロジーソリューションのための整備と同様であると答えた会社もあった。例えば、これらの企業は、GenAIを含むテクノロジーツールの適切な使用に関するリソースやトレーニングをスタッフ向けに開発している。
Observations Related to GenAI Integration in Financial Reporting	財務報告におけるGenAIの統合に関する見解
Our outreach indicated that preparers are exploring how GenAI can be used throughout their operations. While some preparers are exploring opportunities to incorporate GenAI in accounting and financial reporting processes, integrating GenAI in these processes appears to be secondary to integrating GenAI in operational and customer-facing areas. Key observations from our outreach to preparers include:	我々のアウトリーチによれば、作成者は、GenAIをどのように業務に活用できるかを模索している。会計・財務報告プロセスにGenAIを組み込む機会を模索している作成者もいるが、これらのプロセスにおけるGenAIの統合は、業務・顧客対応分野におけるGenAIの統合に比べ、二次的なものであるようだ。作成者へのアウトリーチから得られた主な見解は以下の通りである：
・Current Use of GenAI: Some preparers noted that their personnel use GenAI in creating initial drafts of internal documents (e.g., summaries of accounting standards and interpretations, presentations, and benchmarking of company information with publicly available information from competitors). In addition, some preparers also use GenAI to assist in the performance of less complex and repetitive processes, such as preparing account reconciliations or to assist with identifying reconciling items.	・GenAIの現在の利用：一部の作成者は、担当者が内部文書（例えば、会計基準や解釈の要約、プレゼンテーション、競合他社から公開されている情報との会社情報のベンチマーク）の初期ドラフトを作成する際にGenAIを利用していることを指摘している。加えて、一部の作成者は、勘定照合表の作成や、照合項目の識別の補助など、それほど複雑でない反復的なプロセスの実行を補助するためにGenAIを使用している。
・Supervision and Review of GenAI: Preparers emphasized that while GenAI has the potential to improve the efficiency of certain financial reporting processes, human involvement in supervising the use of GenAI and reviewing GenAI output continues to be important.	・GenAIの監督とレビュー：GenAIは特定の財務報告プロセスの効率を改善する可能性を秘めているが、GenAIの使用を監督し、GenAIのアウトプットをレビューする人間の関与が引き続き重要であることを輸入事業者は強調している。
・Governance of GenAI: Some preparers said the development and integration of GenAI was similar to the development of processes and governance for other types of technology (e.g., running technology in a parallel environment prior to deployment). Other preparers indicated that they are establishing new policies and procedures to ensure appropriate oversight of the development, integration, and use of GenAI tools. Some preparers also emphasized the importance of establishing controls over the reliability and accuracy of the data used to train GenAI models and acknowledged that there may be challenges in establishing these controls for GenAI models that are developed or trained by third parties.	・GenAIのガバナンス：一部の作成者は、GenAIの 開発と統合は、他のタイプのテクノロジーに対す るプロセスやガバナンスの開発と同様であると述べている （例えば、導入前に並行環境でテクノロジーを稼動 させる）。他の作成者は、GenAIツールの開発、統合、使用に関する適切な監視を確実にするために、新たな方針と手順を確立していると述べた。また、一部の輸入事業者は、GenAIモデルの学習に使用されるデータの信頼性と正確性に関する制御を確立することの重要性を強調し、サードパーティによって開発または学習されたGenAIモデルについてこれらの制御を確立することに課題がある可能性があることを認めた。
・Consistency of GenAI Created Content: Preparers noted certain challenges in the broader use of GenAI within the financial reporting process. They include the “blackbox” nature of some GenAI tools and the lack of consistent output produced by GenAI, which raise questions around the auditability of certain GenAI-created output. Some preparers are testing individual use cases to understand the extent of controls that would be needed before GenAI is more widely integrated in the financial reporting processes.	・GenAIが作成したコンテンツの一貫性： 作成者は、財務報告プロセスにおいてGenAIをより広範に利用する上での課題を指摘している。その課題とは、一部のGenAIツールの「ブラックボックス」的な性質や、GenAIが作成する出力に一貫性がないことであり、GenAIが作成する特定の出力の監査可能性に疑問を投げかけている。一部の作成者は、GenAIが財務報告プロセスに広く統合される前に、必要となる統制の程度を理解するために、個々のユースケースをテストしている。
NEXT STEPS – WE WANT TO HEAR FROM YOU	次のステップ - ご意見をお聞かせいただきたい
We are eager to hear from auditors about how they are integrating GenAI in the audit and how the use of this technology is affected by the requirements in PCAOB standards. We are also eager to hear from preparers about how GenAI is used in financial reporting, and from other stakeholders – including audit committee members, investors, and academics – about how GenAI may be used in the audit or financial reporting. We encourage you to share your experiences with the topics discussed in this Spotlight or other related areas. Please reach out to us at [mail] .	我々は、監査人がGenAIをどのように監査に組み込んでいるか、また、この技術の使用がPCAOB標準の要求事項によってどのような影響を受けるかについて、監査人から話を聞くことを切望している。また、監査委員会メンバー、投資家、学識経験者を含むその他の利害関係者からも、監査や財務報告においてGenAIがどのように利用される可能性があるのかについて聞きたい。また、監査委員会のメンバーや投資家、学識経験者など、その他の利害関係者からも、監査や財務報告においてGenAIがどのように利用されるかについてご意見をお寄せいただきたい。[mail]。
[1] PCAOB Standard-Setting, Research, and Rulemaking Projects as of May 2024, available at: [web].	[1] 2024年5月時点のPCAOB基準設定、研究及び規則制定プロジェクト、[web]で入手可能
[2] See, e.g., the June 29, 2023, meeting of the SEIAG which discussed emerging issues in auditing, including artificial intelligence. An archive of the meeting agenda, briefing papers, and webcast is available at [web].	[2] 例えば、人工知能を含む監査における新たな論点について議論したSEIAGの2023年6月29日の会合を参照のこと。会議のアジェンダ、ブリーフィング・ペーパー、ウェブキャストのアーカイブは、 [web]で入手可能。
[3] Audit firms included in this staff outreach consist of the U.S. global network firms and several U.S. non-affiliated firms that audit more than 100 issuers. Collectively, these firms audit the majority of the market capitalization for issuers.	[3] 今回のアウトリーチに参加した監査法人は、米国のグローバル・ネットワーク・ファームと、 100以上の発行体を監査する米国の非系列ファーム数社で構成されている。これらの監査法人を合わせると、発行体の時価総額の大半を監査していることになる。

 

 

NISC 経団連 サイバーセキュリティの確保に向けた企業経営層向け意見交換会 河野大臣があいさつ

こんにちは、丸山満彦です。

NISCと経団連がサイバーセキュリティの確保に向けた企業経営層向け意見交換会を7月26日に実施したようですね。200名ほど参加したようです。開会の挨拶は河野大臣...

インシデント事例等に関する説明と質疑応答・意見交換...

資料１ 「サイバーセキュリティの確保に向けた企業経営層向け意見交換会（当日配布資料）」
資料２ 「名古屋港コンテナターミナルのサイバー攻撃におけるインシデント対応について」

資料１は、JAXAの案件、NISCのメールデータの漏えいの話がありますね。。。で、Living off the Land戦術についての説明もしていますね...

資料２は北尾さんの資料ですね...業務的に観点も含めて時系列に整理していますね...

そういえば、河野太郎議員は、

• 内閣府特命担当大臣（規制改革担当）[wikipedia]
• 内閣府特命担当大臣（デジタル改革担当）[wikipedia]
• 内閣府特命担当大臣 国家公務員制度担当大臣 [wikipedia]
• デジタル大臣 [wikipedia]

ですね...

 

 

● 内閣官房 内閣サイバーセキュリティセンター

・2024.07.26 [PDF] サイバーセキュリティの確保に向けた企業経営層向け意見交換会の開催

・[PDF] 議事次第

・[PDF] 資料１ サイバーセキュリティの確保に向けた企業経営層向け意見交換会

 

・[PDF] 資料２ 名古屋港コンテナターミナルのサイバー攻撃におけるインシデント対応について

 

 

 

米国 GAO DODはソフトウェア評価基準を強化し、継続的なサイバーセキュリティと報告のギャップに対処する必要がある。

こんにちは、丸山満彦です。

国防総省のシステム開発コストは大きいですよね...

3年間でこんな感じ...

で、もちろん、日本でもSAPの導入の失敗があるように、計画に比べて完成がおくれたり、経費が膨らんだりはします...

でも、これだけの規模なのに以外と計画通りに行っているようにも感じますね...

 

IT Systems Annual Assessment:DOD Needs to Strengthen Software Metrics and Address Continued Cybersecurity and Reporting Gaps	ITシステム年次アセスメント:DODはソフトウェア評価基準を強化し、継続的なサイバーセキュリティと報告のギャップに対処する必要がある。
Fast Facts	事実
DOD spent, or planned to spend, $9.1 billion on IT business programs in FYs 2022-24.	国防総省は2022～24年度に、ITビジネス・プログラムに91億ドルを支出した、あるいは支出する予定である。
In our annual assessment, we reviewed 21 of those programs and found 10 are developing software and using an Agile approach. This is an iterative development process in which software is delivered in increments throughout the project, letting program staff catch errors quickly and get continual user feedback.	年次アセスメントにおいて、我々はこれらのプログラムのうち21をレビューし、10がソフトウェアを開発し、アジャイル・アプローチを使用していることを発見した。これは反復的な開発プロセスであり、プロジェクトを通じて段階的にソフトウェアを提供することで、プログラム担当者はエラーを素早く発見し、継続的にユーザーからのフィードバックを得ることができる。
But 4 of these programs didn't use metrics or management tools required for this type of approach—especially when tracking customer satisfaction and software development progress.	しかし、これらのプログラムのうち4つは、この種のアプローチに必要な測定基準や管理ツール、特に顧客満足度とソフトウェア開発の進捗状況を追跡するための測定基準や管理ツールを使用していなかった。
We recommended that DOD address this issue.	我々はDODに対し、この問題に対処するよう勧告した。
Highlights	ハイライト
What GAO Found	GAOが発見したこと
According to the Department of Defense's (DOD) fiscal year (FY) 2024 Federal IT Dashboard data, DOD's planned expenditures for 21 selected IT business programs amounted to $9.1 billion from FY 2022 through FY 2024. The four largest programs accounted for just over half of the planned cost of the portfolio (see figure).	国防省（DOD）の2024会計年度連邦ITダッシュボード・データによると、DODが2022会計年度から2024会計年度にかけて計画した21のITビジネス・プログラムへの支出は91億ドルであった。最も大きな4つのプログラムは、ポートフォリオの計画コストの半分強を占めている（図参照）。
The Department of Defense's (DOD) Planned Costs for the Four Largest IT Business Programs Compared to the Remaining 17 Selected Programs from Fiscal Year (FY) 2022–FY 2024	国防総省（DOD）の2022会計年度から2024会計年度までの4大ITビジネス・プログラムの計画コストと残り17の厳選されたプログラムの比較
For the 21 programs, 70 percent ($6.4 billion) of the total reported cost across the 3 years was for operating and maintaining the systems and 30 percent ($2.7 billion) was for development and modernization.	21のプログラムについて、3年間で報告された総コストの70％（64億ドル）はシステムの運用・保守、30％（27億ドル）は開発と近代化であった。
Officials from 15 of the 21 IT business programs reported cost and/or schedule changes since January 2022 (see figure).	21のITビジネス・プログラムのうち15の関係者が、2022年1月以降のコストおよび／またはスケジュールの変更を報告した（図参照）。
Selected Department of Defense (DOD) IT Business Programs Reported Cost and Schedule Changes Since January 2022	国防総省（DOD）の一部のITビジネス・プログラムは、2022年1月以降のコストとスケジュールの変更を報告している。
This included 13 programs that reported cost increases ranging from $0.5 million to $1.3 billion (a median of $163.3 million) and seven that reported schedule delays ranging from 15 months to 36 months (a median of 24 months).	この中には、0.5百万ドルから13億ドル（中央値1億6330万ドル）のコスト増を報告した13のプログラムと、15ヶ月から36ヶ月（中央値24ヶ月）のスケジュール遅延を報告した7つのプログラムが含まれている。
Programs reported mixed progress on performance. Programs are required to identify and track a minimum of five metrics covering customer satisfaction, business results, financial performance, and innovation. Of the 21 programs, four reported meeting all performance targets, 10 reported meeting at least one, and one reported meeting none. The remaining six programs did not report. GAO has previously recommended that DOD ensure that such reporting occur.	各プログラムは、パフォーマンスに関してまちまちの進捗を報告している。各プログラムは、顧客満足度、業績、財務実績、技術革新の最低5つの指標を特定し、追跡することが義務付けられている。21のプログラムのうち、4つのプログラムがすべての目標を達成したと報告し、10プログラムが少なくとも1つの目標を達成したと報告した。残りの6つのプログラムは報告していない。GAOは以前、DODがこのような報告を確実に行うよう勧告している。
The 10 DOD IT business programs actively developing software reported using recommended Agile and iterative approaches. However, in areas related to tracking customer satisfaction and progress of software development, four of the 10 programs did not use metrics and management tools required by DOD and consistent with GAO's Agile Assessment Guide. As a result, the department risks not having sound information on its Agile software development efforts.	ソフトウェアを積極的に開発している10のDOD ITビジネス・プログラムは、推奨されるアジャイル・アプローチと反復的アプローチを使用していると報告した。しかし、顧客満足度やソフトウェア開発の進捗状況の追跡に関する分野では、10件のプログラムのうち4件が、DODが要求し、GAOのアセスメントガイドに合致したメトリクスや管理ツールを使用していなかった。その結果、国防総省はアジャイルソフトウェア開発の取り組みに関する適切な情報を得られないリスクがある。
Further, while program officials for all 21 programs reported conducting cybersecurity testing and assessments, several programs did not have an approved cybersecurity strategy. In June 2022, GAO had recommended that DOD's Chief Information Officer (CIO) ensure that programs each develop such a strategy. The department concurred with the recommendation and officials stated that they were continuing to follow up with programs that did not have a strategy.	さらに、全21プログラムのプログラム担当者はサイバーセキュリティのテストとアセスメントを実施していると報告しているが、いくつかのプログラムでは承認されたサイバーセキュリティ戦略がなかった。2022年6月、GAOはDODの最高情報責任者（CIO）に対し、各プログラムがそのような戦略を策定するよう確保するよう勧告していた。国防総省はこの勧告に同意しており、担当者は戦略を持たないプログラムのフォローアップを続けていると述べた。
Regarding legislative and policy changes, DOD is revising its business systems investment management guidance, modernizing its business enterprise architecture, and adopting zero trust cybersecurity principles. GAO will continue to monitor DOD's efforts to redistribute roles and responsibilities, improve department management of IT investments, and adopt zero trust cybersecurity.	立法と政策の変更に関しては、DODはビジネスシステム投資管理ガイダンスを改訂し、ビジネスエンタープライズアーキテクチャを近代化し、ゼロトラストサイバーセキュリティ原則を採用している。GAOは引き続き、役割と責任の再分配、IT投資の部門管理の改善、ゼロ・トラスト・サイバーセキュリティの採用に関するDODの取り組みを監視していく。
Why GAO Did This Study	GAOがこの調査を行った理由
Information technology is critical to the success of DOD's major business functions. These functions include such areas as health care, human capital, financial management, logistics, and contracting.	情報技術はDODの主要なビジネス機能の成功に不可欠である。これらの機能には、医療、人的資本、財務管理、兵站、契約などの分野が含まれる。
The National Defense Authorization Act for FY 2019, as amended, includes a provision for GAO to conduct assessments of selected DOD IT programs annually through March 2026. GAO's objectives for this fifth such review were to (1) examine the cost, schedule, and performance of selected DOD IT business programs, (2) assess the extent to which DOD has implemented key software development and cybersecurity practices for selected programs, and (3) describe DOD actions to implement legislative and policy changes that could affect its IT acquisitions.	2019年度の国防認可法には、GAOが2026年3月まで毎年、選択されたDOD ITプログラムのアセスメントを実施する条項が含まれている。この5回目のレビューにおけるGAOの目的は、(1)選択されたDODのITビジネスプログラムのコスト、スケジュール、パフォーマンスを調査すること、(2)DODが選択されたプログラムに対して、主要なソフトウェア開発とサイバーセキュリティの実践をどの程度実施しているかを評価すること、(3)IT買収に影響を与える可能性のある法律や政策の変更を実施するためのDODの行動を説明すること、であった。
To address the first objective, GAO selected 21 DOD IT business programs, including (1) 20 business programs listed as major IT investments in the department's FY 2024 submission to the Federal IT Dashboard and (2) an additional business program that that had been previously designated as major and continued to have high annual costs. In analyzing the FY 2024 Dashboard data, GAO examined DOD's planned expenditures for these programs from FY 2022 through FY 2024.	最初の目的に取り組むため、GAOは21の国防総省のIT事業プログラムを選択した。(1)同省が連邦ITダッシュボードに提出した2024年度の主要IT投資としてリストアップされた20の事業プログラムと、(2)以前に主要と指定され、引き続き年間コストが高い追加事業プログラムである。2024年度ダッシュボードのデータを分析するにあたり、GAOは2022年度から2024年度までのこれらのプログラムに対するDODの支出計画を調査した。
GAO also administered a questionnaire to the 21 program offices to obtain and analyze information about cost and schedule changes that the programs reported experiencing since January 2022.	GAOはまた、2022年1月以降にプログラムが経験したと報告したコストとスケジュールの変更に関する情報を入手し分析するために、21のプログラムオフィスにアンケートを実施した。
Further, GAO compared programs' performance metrics data reported on the Dashboard to OMB guidance and met with DOD CIO officials to understand differences in how the data were reported.	さらにGAOは、ダッシュボードで報告されたプログラムのパフォーマンス指標データをOMBのガイダンスと比較し、データの報告方法の違いを理解するためにDODのCIO職員と面会した。
To address the second objective, the questionnaire also sought information about the programs' software development and cybersecurity practices, including their use and documentation of Agile metrics and development of cybersecurity strategies. GAO compared the responses and documentation against relevant guidance and best practices (e.g. DOD guidance and GAO's Agile Guide) to identify gaps and risks associated with not following the guidance. For programs that did not follow the guidance or demonstrate having documentation, GAO followed up with DOD officials for clarification on reasons why the programs did not do so.	また、2つ目の目的に取り組むため、アジャイルメトリクスの使用と文書化、サイバーセキュリティ戦略の策定など、プログラムのソフトウェア開発とサイバーセキュリティの実践に関する情報も求めた。GAOは、ガイダンスに従わないことに関連するギャップやリスクを特定するために、関連するガイダンスやベストプラクティス（例えば、DODのガイダンスやGAOのアジャイルガイド）と回答や文書を比較した。ガイダンスに従わなかったり、文書があることを示さなかったプログラムについて、GAOはDODの職員に追跡調査を行い、そうしなかった理由を明らかにした。
For the third objective, GAO reviewed policy, plans, and guidance associated with the department's efforts to reorganize former CMO responsibilities; implement changes to its defense business systems investment management guidance and business enterprise architecture; and adopt zero trust cybersecurity principles. GAO also met with DOD CIO officials to discuss the department's efforts in these areas.	第3の目的のために、GAOは旧CMOの責任を再編成し、国防ビジネスシステム投資管理ガイダンスとビジネスエンタープライズアーキテクチャの変更を実施し、ゼロトラストサイバーセキュリティ原則を採用するための国防総省の努力に関連する政策、計画、ガイダンスを検討した。GAOはまた、国防総省のCIO職員と面会し、これらの分野における同省の取り組みについて議論した。
Recommendations	勧告
GAO is making one recommendation to DOD to ensure that IT business programs developing software are using Agile metrics and management tools required by DOD and consistent with GAO's Agile Guide. DOD concurred with GAO's recommendation and described actions it planned to take to address it. In its prior annual assessment reviews, GAO made three recommendations related to performance reporting and cybersecurity strategies. Although DOD described actions it planned to take to address the recommendations, they have not yet been implemented. Doing so would help ensure that the issues GAO identified are addressed.	GAOはDODに対して、ソフトウェアを開発するITビジネス・プログラムが、DODによって要求され、GAOのアジャイル・ガイドと一致するアジャイル・メトリクスと管理ツールを使用していることを確認するよう、1つの勧告を行っている。DODはGAOの勧告に同意し、それに対処するための計画した行動を説明した。以前の年次アセスメントレビューにおいて、GAOはパフォーマンス報告とサイバーセキュリティ戦略に関連する3つの勧告を行った。DODは勧告に対処するために計画した行動を説明したが、それらはまだ実施されていない。そうすることで、GAOが特定した問題が確実に対処されることになる。
Recommendation	勧告
We are making one recommendation to the Department of Defense that the Secretary direct the Chief Information Officer and Under Secretary of Defense for Acquisition and Sustainment to ensure that IT business programs developing software use the metrics and management tools required by DOD and consistent with those identified in GAO's Agile Assessment Guide.	われわれは国防総省に対し、ソフトウェアを開発するITビジネス・プログラムが、GAOのアセスメント・ガイドで特定されたものと一致し、国防総省が要求するメトリクスと管理ツールを使用するよう、国防長官が最高情報責任者と取得・維持担当国防次官に指示するよう、1件の勧告を行う。

 

・[PDF] Full Report

 

・[PDF] Highlights

 

 

 

クラウドセキュリティアライアンス AIモデルのリスクマネジメントフレームワーク (2024.07.23)

こんにちは、丸山満彦です。

クラウドセキュリティアライアンスが、AIモデルのリスクマネジメントフレームワークを公表していますね....

アプローチ方法が目新しく感じました。参考になるところも多そうです...

これもいずれCSA-Japanが翻訳をしてくれると助かりますね...

 

● Cloud Security Alliance; CSA

・2024.07.23 AI Model Risk Management Framework

AI Model Risk Management Framework	AIモデルのリスクマネジメントフレームワーク
Sophisticated machine learning (ML) models present exciting opportunities in fields such as predictive maintenance and smart supply chain management. While these ML models hold the potential to unlock significant innovation, their increasing use also introduces inherent risks. Unaddressed model risks can lead to substantial financial losses, regulatory issues, and reputational harm. To address these concerns, we need a proactive approach to risk management.	洗練された機械学習（ML）モデルは、予測保守やスマート・サプライ・チェーン管理などの分野でエキサイティングな機会をもたらしている。これらのMLモデルは、重要なイノベーションを引き出す可能性を秘めている一方で、その利用の拡大には固有のリスクも伴う。未対処のモデル・リスクは、多額の財務的損失、規制上の問題、風評被害につながる可能性がある。これらの懸念に対処するためには、リスクマネジメントへの積極的なアプローチが必要である。
This paper from the CSA AI Technology and Risk Working Group discusses the importance of AI model risk management (MRM). It showcases how model risk management contributes to responsible AI development and deployment and explores the core components of the framework. These components work together to identify and mitigate risks and improve model development through a continuous feedback loop.	CSA AIテクノロジー・リスクワーキンググループの本ペーパーでは、AIモデルリスク・マネジメント（MRM）の重要性について論じている。モデルリスク・マネジメントがいかに責任あるAIの開発と展開に貢献するかを紹介し、フレームワークの中核的な構成要素を探る。これらの構成要素は、継続的なフィードバックループを通じて、リスクを特定・軽減し、モデル開発を改善するために協働する。
Key Takeaways:	主な要点
Benefits of a comprehensive AI risk management framework, including the more responsible use of AI, enhanced transparency, informed decision-making processes, and robust model validation	包括的なAIリスクマネジメントフレームワークのメリット：より責任あるAIの利用、透明性の向上、十分な情報に基づいた意思決定プロセス、強固なモデル検証など。
Elements, benefits, and limitations of the four core components: AI model cards, data sheets, risk cards, and scenario planning	4つのコア・コンポーネントの要素、利点、限界： AIモデルカード、データシート、リスクカード、シナリオプランニング
How to combine the core components into a comprehensive AI risk management framework	コア・コンポーネントを組み合わせて包括的なAIリスクマネジメントのフレームワークを構築する方法

 

・[PDF]

・[DOCX][PDF] 仮訳

 

Table of Contents	目次
Acknowledgments	謝辞
Executive Summary	エグゼクティブサマリー
Intended Audience	対象読者
Scope	スコープ
Introduction	序文
The Need and Importance of MRM	MRMの必要性と重要性
The Four Pillars: Model Cards, Data Sheets, Risk Cards, Scenario Planning	4つの柱モデルカード、データシート、リスクカード、シナリオプランニング
Benefits of a Comprehensive Framework	包括的なフレームワークの利点
Core Components	コア・コンポーネント
1. Model Cards: Understanding the Model	1. モデルカード：モデルを理解する
2. Data Sheets: Examining the Training Data	2. データシート：トレーニングデータを検証する
3. Risk Cards: Identifying Potential Issues	3. リスクカード：潜在的な問題の識別
4. Scenario Planning: The “What If” Approach	4. シナリオ・プランニング：「もしも」の場合のアプローチ
Combining Techniques: A Holistic Approach	技術を組み合わせる：ホリスティック・アプローチ
1. Leveraging Model Card Information for Risk Cards	1. リスクカードのモデルカード情報を活用する
2. Using Data Sheets to Enforce Model Understanding	2. データシートを使ってモデルの理解を強制する
3. Using Risk Cards to Inform Scenario Planning	3. リスクカードをシナリオ・プランニングに活用する
4. Scenario Planning Feedback to Risk Management and Development	4. シナリオ・プランニングをリスクマネジメントと開発にフィードバックする
5. AI MRM in Action	5. AI MRMの実際
Conclusion and Future Outlook	結論と今後の展望
References	参考文献
Appendix 1: AI Frameworks, Regulations, and Guidance	附属書1：AIの枠組み、規制、ガイダンス

 

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
The widespread adoption of sophisticated machine learning (ML) models presents exciting opportunities in fields like predictive maintenance, fraud detection, personalized medicine, autonomous vehicles, and smart supply chain management [1]. While these models hold the potential to unlock significant innovation and drive efficiency, their increasing use also introduces inherent risks, specifically those stemming from the models themselves. Unmitigated model risks can lead to substantial financial losses, regulatory issues, and reputational harm. To address these concerns, we need a proactive approach to risk management. Model Risk Management (MRM) is a key factor for fostering a culture of responsibility and trust in developing, deploying, and using artificial intelligence (AI) and ML models, enabling organizations to harness their full potential while minimizing risks.	高度な機械学習（ML）モデルの広範な採用は、予知保全、不正検知、個別化医療、自律走行車、スマートサプライチェーン管理[1] といった分野にエキサイティングな機会をもたらしている。これらのモデルは、重要なイノベーションを解き放ち、効率化を推進する可能性を秘めている一方で、その利用の拡大には、固有のリスク、特にモデル自体に起因するリスクも導入される。モデル・リスクを未然に防ぐことは、多額の財務的損失、規制上の問題、風評被害につながる可能性がある。これらの懸念に対処するためには、リスクマネジメントへの積極的なアプローチが必要である。モデル・リスク・マネジメント（MRM）は、人工知能（AI）やMLモデルの開発、展開、使用において、責任と信頼の文化を醸成するための重要な要素であり、組織がリスクを最小限に抑えながら、その潜在能力を最大限に活用することを可能にする。
This paper explores the importance of MRM in ensuring the responsible development, deployment, and use of AI models. It caters to a broad audience with a shared interest in this topic, including practitioners directly involved in AI development and business and compliance leaders focusing on AI governance.	本稿では、AIモデルの責任ある開発、展開、利用を確保するためのMRMの重要性を探る。AI開発に直接携わる実務者や、AIガバナンスに焦点を当てるビジネスおよびコンプライアンスのリーダーなど、このトピックに共通の関心を持つ幅広い読者を対象としている。
The paper highlights the inherent risks associated with AI models, such as data biases, factual inaccuracies or irrelevancies (known colloquially as “hallucinations” or “fabrications”[2]), and potential misuse. It emphasizes the need for a proactive approach to ensure a comprehensive MRM framework. This framework is built on four interconnected pillars: Model Cards, Data Sheets, Risk Cards, and Scenario Planning. These pillars work together to identify and mitigate risks and improve model development and risk management through a continuous feedback loop. Specifically, Model Cards and Data Sheets inform risk assessments, and Risk Cards guide Scenario Planning. Scenario Planning refines risk management and model development.	本稿は、データのバイアス、事実の不正確さや関連性のなさ（俗に「幻覚」や「捏造」と呼ばれる）[2] ）、誤用の可能性など、AIモデルに内在するリスクを強調している。これは、包括的なMRMフレームワークを確保するためのプロアクティブアプローチの必要性を強調している。この枠組みは、相互に関連した4つの柱で構築されている：モデルカード、データシート、リスクカード、シナリオプランニングである。これらの柱は、継続的なフィードバックのループを通じて、リスクを特定し、軽減し、モデル開発とリスクマネジメントを改善するために協働する。具体的には、モデルカードとデータシートはリスクアセスメントに情報を提供し、リスクカードはシナリオプランニングの指針となる。シナリオ・プランニングは、リスクマネジメントとモデル開発を改善する。
By implementing this framework, organizations can ensure the safe and beneficial use of ML models with key benefits such as:	このフレームワークを導入することで、組織はMLモデルを安全かつ有益に使用することができる：
●      Enhanced transparency and explainability	●         透明性と説明可能性の向上
●      Proactive risk mitigation and “security by design”	●         プロアクティブなリスク低減と "セキュリティ・バイ・デザイン"
●      Informed decision-making	●         情報に基づいた意思決定
●      Trust-building with stakeholders and regulators	●         ステークホルダーや規制当局との信頼構築
This paper emphasizes the importance of MRM for harnessing the full potential of AI and ML while minimizing risks.	本稿では、リスクを最小限に抑えながらAIやMLの可能性を最大限に活用するためのMRMの重要性を強調する。

 

[1] McKinsey & Company “The state of AI in 2023: Generative AI’s breakout year”	[1]マッキンゼー・アンド・カンパニー「2023年のAI事情：生成的AIがブレイクする年"
[2] NIST AI 600-1 “Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile”	[2]NIST AI 600-1 「人工知能リスクマネジメントフレームワーク」：生成的人工知能プロファイル"

 

 

クラウドセキュリティアライアンス セキュリティガイダンス バージョン5 (2024.07.15)

こんにちは、丸山満彦です。

クラウドセキュリティアライアンスのセキュリティガイダンスが改訂されてバージョン5になりましたね...

最近の技術動向を踏まえて、改訂されているようです...　CSAジャパンから正式な翻訳版がでるのでしょうかね...

12のドメインはこんな感じ...

 

Domain 1: Cloud Computing Concepts & Architectures	ドメイン1：クラウドコンピューティングの概念とアーキテクチャ
Domain 2: Cloud Governance and Strategies	ドメイン2：クラウドガバナンスと戦略
Domain 3: Risk, Audit and Compliance	ドメイン3：リスク、監査、コンプライアンス
Domain 4: Organization Management	ドメイン4：組織管理
Domain 5: Identity and Access Management	ドメイン5：アイデンティティとアクセス管理
Domain 6: Security Monitoring	ドメイン6: セキュリティ監視
Domain 7: Infrastructure & Networking	ドメイン7：インフラとネットワーキング
Domain 8: Cloud Workload Security	ドメイン8：クラウドワークロードセキュリティ
Domain 9: Data Security	ドメイン9：データセキュリティ
Domain 10: Application Security	ドメイン10：アプリケーションセキュリティ
Domain 11: Incident Response & Resilience	ドメイン11：インシデントレスポンスとレジリエンス
Domain 12: Related Technologies & Strategies	ドメイン12：関連技術と戦略

 

● Cloud Security Alliance; CSA

・2024.07.15 CSA Security Guidance for Critical Areas of Focus in Cloud Computing

CSA Security Guidance for Critical Areas of Focus in Cloud Computing	クラウド・コンピューティングにおける重要分野の CSA セキュリティガイダンス
Read the best practices recommended by security experts for staying secure in the cloud.	クラウドでセキュリティを維持するために、セキュリティの専門家が推奨するベストプラクティスを読む。
Cloud computing offers tremendous benefits in agility, resiliency, economy, and security. However, the security benefits only appear if you adopt cloud-native models and adjust your architectures and security controls to align with the capabilities of cloud platforms.	クラウド・コンピューティングは、俊敏性、レジリエンス、経済性、セキュリティの面で非常に大きなメリットをもたらす。しかし、セキュリティ上のメリットは、クラウドネイティブモデルを採用し、クラウドプラットフォームの機能に合わせてアーキテクチャとセキュリティ制御を調整した場合にのみ現れる。
The Cloud Security Alliance’s Security Guidance for Critical Areas of Focus in Cloud Computing outlines cloud security best practices that have been developed and refined by CSA's extensive community of experts. Emphasizing the practical application of security principles in real-world scenarios, this comprehensive guide equips professionals with actionable skills. Learn how to adopt and implement a cloud-native approach that addresses modern challenges in complex cloud environments.	クラウド・セキュリティ・アライアンスの「クラウド・コンピューティングにおける重要分野のセキュリティガイダンス」は、CSAの広範な専門家コミュニティによって開発・改良されたクラウド・セキュリティのベスト・プラクティスの要約を示している。実世界のシナリオにおけるセキュリティ原則の実践的な適用に重点を置いたこの包括的なガイドは、専門家に実用的なスキルを提供する。複雑なクラウド環境における最新の課題に対処するクラウドネイティブアプローチを採用し、実装する方法を学ぶことができる。
All NEW content with Security Guidance v5! Version 5 provides a comprehensive understanding of the essential security measures needed in today's cloud landscape. Completely revamped from v4, the v5 body of knowledge includes the latest in cloud architecture, cloud native security, workloads, virtual networking, data security, DevSecOps, Zero Trust, Generative AI, and much more. V5 also includes vital information about risk management, achieving compliance, optimizing organizational cloud security strategies, and understanding the shared responsibility model. Security Guidance v4 is still available for download here.	セキュリティガイダンスv5.の内容を一新！バージョン5では、今日のクラウド環境で必要不可欠なセキュリティ対策を包括的に理解できる。v4から完全に刷新されたv5の知識体系には、クラウドアーキテクチャ、クラウドネイティブセキュリティ、ワークロード、仮想ネットワーキング、データセキュリティ、DevSecOps、ゼロトラスト、生成的AIなどの最新情報が含まれている。V5には、リスクマネジメント戦略、コンプライアンスの達成、組織のクラウドセキュリティ戦略の最適化、責任共有モデルの理解などに関する重要な情報も含まれている。セキュリティガイダンスv4はまだここからダウンロードできる。

 

Domain 1: Cloud Computing Concepts & Architectures	ドメイン1：クラウドコンピューティングの概念とアーキテクチャ
This domain lays the foundational framework for the Cloud Security Alliance (CSA) Security Guidance. It covers the definitions, baseline terminologies, controls, deployment, and architectural models crucial for understanding cloud computing. Learners will explore the transformative impact of cloud computing and its benefits when properly understood and adopted, emphasizing the importance of cloud-native capabilities and services.	この領域は、クラウド・セキュリティ・アライアンス（CSA）のセキュリティ・ガイダンスの基礎となる枠組みを構築する。クラウドコンピューティングを理解するために重要な定義、基本的な用語、制御、展開、アーキテクチャーモデルをカバーする。学習者は、クラウドコンピューティングがもたらす変革的な影響と、クラウドネイティブの機能とサービスの重要性を強調しながら、適切に理解し、採用した場合のその利点を探求する。
Domain 2: Cloud Governance and Strategies	ドメイン2：クラウドガバナンスと戦略
Focusing on the governance framework of policies, procedures, and controls, this domain ensures transparency and accountability within cloud environments. It addresses strategic guidance, risk management, compliance monitoring, and budget allocation. Learners will understand key governance frameworks and regulations such as ISO/IEC 38500:2024, ISACA COBIT, ISO/IEC 27014:2020, and GDPR.	ポリシー、手順、コントロールのガバナンスフレームワークに焦点を当て、クラウド環境における透明性と説明責任を確保する。戦略的ガイダンス、リスクマネジメント、コンプライアンス監視、予算配分を扱う。学習者は、ISO/IEC 38500:2024、ISACA COBIT、ISO/IEC 27014:2020、GDPRなどの主要なガバナンスフレームワークと規制を理解する。
Domain 3: Risk, Audit and Compliance	ドメイン3：リスク、監査、コンプライアンス
This domain delves into evaluating cloud service providers (CSPs), establishing cloud risk registries, and implementing approval processes. It covers compliance and auditing, including compliance inheritance, and introduces tools and technologies for governance, risk, and compliance (GRC) processes. Emphasis is placed on robust risk management frameworks, compliance with regulatory standards, and leveraging tools and technologies for effective governance.	この領域では、クラウドサービスプロバイダ（CSP）の評価、クラウドリスク登録の確立、承認プロセスの実施について掘り下げる。コンプライアンスの継承を含むコンプライアンスと監査をカバーし、ガバナンス、リスク、コンプライアンス（GRC）プロセスのためのツールとテクノロジーを紹介する。強固なリスクマネジメントフレームワーク、規制標準への準拠、効果的なガバナンスのためのツールとテクノロジーの活用に重点を置いている。
Domain 4: Organization Management	ドメイン4：組織管理
Learners will explore the overall management of cloud environments, including organizing and validating the security assurance of CSPs and securing individual cloud service deployments. This domain highlights the importance of tenancy in a multitenant environment, key controls for managing hierarchy, and best practices for managing multiple cloud deployments. It also covers organization-level security management nuances and strategies for hybrid and multi-cloud environments.	学習者は、CSPのセキュリティ保証の組織化と検証、個々のクラウド・サービスのデプロイメントの安全確保など、クラウド環境の全体的な管理について探求する。この領域では、マルチテナント環境におけるテナントの重要性、階層を管理するための主要なコントロール、複数のクラウド配備を管理するためのベストプラクティスを取り上げる。また、ハイブリッド環境とマルチクラウド環境における組織レベルのセキュリティ管理のニュアンスと戦略についても取り上げる。
Domain 5: Identity and Access Management	ドメイン5：アイデンティティとアクセス管理
This domain ensures that only authorized identities have the right access to resources. It covers fundamental IAM concepts, the characteristics and challenges of IAM in the cloud, and effective management strategies. Key topics include multi-factor authentication (MFA), just-in-time (JIT) access, identity federation, policy-based access control (PBAC), and secure identity providers (IdPs).	このドメインでは、認可されたIDのみがリソースに正しくアクセスできるようにする。基本的なIAMの概念、クラウドにおけるIAMの特徴と課題、効果的な管理戦略について説明する。主なトピックとして、多要素認証（MFA）、ジャストインタイム（JIT）アクセス、IDフェデレーション、ポリシーベースアクセス管理（PBAC）、安全なIDプロバイダ（IdP）などがある。
Domain 6: Security Monitoring	ドメイン6: セキュリティ監視
Focusing on the distinct aspects of security monitoring in cloud environments, this domain covers cloud telemetry, management plane logs, service and resource logs, and advanced monitoring tools. Learners will explore hybrid and multi-cloud setups, the role of logs, events, and configuration detection in security monitoring, and the use of Generative Artificial Intelligence (GenAI) for enhancing cloud security.	クラウド環境におけるセキュリティモニタリングの明確な側面に焦点を当て、クラウドテレメトリー、管理プレーンのログ、サービスとリソースのログ、および高度なモニタリングツールをカバーする。学習者は、ハイブリッドクラウドとマルチクラウドのセットアップ、セキュリティ監視におけるログ、イベント、構成検知の役割、クラウドセキュリティを強化するための生成的人工知能（GenAI）の使用について探求する。
Domain 7: Infrastructure & Networking	ドメイン7：インフラとネットワーキング
This domain covers managing the overall infrastructure footprint and network security. Key topics include Software Defined Networks (SDN), security groups, container networking, connectivity options, Zero Trust Architectures (ZTA), and Secure Access Service Edge (SASE). Emphasis is placed on implementing secure architectures, integrating security early in the development lifecycle, and maintaining vigilant monitoring.	この領域では、インフラ全体のフットプリントとネットワーク・セキュリティを管理する。主なトピックとして、SDN（Software Defined Networks）、セキュリティグループ、コンテナネットワーキング、接続オプション、ZTA（Zero Trust Architectures）、SASE（Secure Access Service Edge）などがある。セキュアなアーキテクチャの実装、開発ライフサイクルの早い段階でのセキュリティの統合、警戒監視の維持に重点を置く。
Domain 8: Cloud Workload Security	ドメイン8：クラウドワークロードセキュリティ
Learners will explore securing various cloud workloads, including virtual machines (VMs), containers, serverless functions (FaaS), AI, and platform as a service (PaaS). The domain covers practices such as VM image security automation, enforcing least privilege, regular vulnerability assessments, customizing container configurations, securing API endpoints, managing secrets, adversarial training for AI workloads, and regular security audits for PaaS environments.	学習者は、仮想マシン（VM）、コンテナ、サーバーレス機能（FaaS）、AI、Platform as a Service（PaaS）など、さまざまなクラウドワークロードのセキュリティを探求する。この領域では、VMイメージのセキュリティ自動化、最小特権の強制、定期的な脆弱性アセスメント、コンテナ構成のカスタマイズ、APIエンドポイントのセキュリティ確保、シークレットの管理、AIワークロードの敵対的トレーニング、PaaS環境の定期的なセキュリティ監査などのプラクティスをカバーする。
Domain 9: Data Security	ドメイン9：データセキュリティ
This domain addresses the complexities of data security within cloud environments, emphasizing the need for resilient practices to safeguard information. It explores strategies, tools, and practices essential for protecting data in-transit and at rest. Key topics include data classification, cloud storage types, advanced encryption methods, and access controls. The domain also provides a primer on cloud storage and examines key concepts and technologies shaping the future of data security. Learning objectives include understanding data security fundamentals, data classifications and states, cloud storage security measures, key management, protecting computing workloads, posture management, and advanced data security concepts.	この領域では、クラウド環境におけるデータセキュリティの複雑さを取り上げ、情報を保護するためのレジリエンスの必要性を強調する。この領域では、転送中および静止中のデータを保護するために不可欠な戦略、ツール、およびプラクティスを探求する。主なトピックとしては、データ格付、クラウドストレージの種類、高度な暗号化手法、アクセス管理などがある。また、クラウドストレージの入門書も提供し、データセキュリティの未来を形作る重要な概念や技術についても検討する。学習目標には、データセキュリティの基礎、データ格付と状態、クラウドストレージのセキュリティ対策、鍵管理、コンピューティングワークロードの保護、姿勢管理、高度なデータセキュリティの概念などを理解することが含まれる。
Domain 10: Application Security	ドメイン10：アプリケーションセキュリティ
This domain focuses on the practice of using security controls to protect computer applications from external threats. It covers the entire lifecycle of application security, from early design and threat modeling to maintaining and defending production applications. Cloud computing advancements necessitate stable, scalable, and secure progress in application development. Key topics include microservices, API exposure, DevOps approaches, shared responsibility models, third-party libraries, security features from cloud providers, programmable infrastructure, and stateless architectures. Emphasis is placed on secure architecture, IAM, DevSecOps, continuous monitoring, threat modeling, and automated security testing.	この領域では、コンピュータアプリケーションを外部の脅威から保護するためのセキュリティ対策の実践に焦点を当てる。初期の設計や脅威のモデル化から本番アプリケーションの保守・防御まで、アプリケーションセキュリティのライフサイクル全体をカバーする。クラウド・コンピューティングの進歩は、アプリケーション開発における安定性、拡張性、安全性の向上を必要とする。主なトピックとしては、マイクロサービス、APIエクスポージャー、DevOpsアプローチ、責任共有モデル、サードパーティ・ライブラリ、クラウドプロバイダのセキュリティ機能、プログラマブル・インフラストラクチャ、ステートレス・アーキテクチャなどがある。セキュアなアーキテクチャ、IAM、DevSecOps、セキュリティの継続的なモニタリング、脅威モデリング、自動化されたセキュリティテストに重点を置く。
Domain 11: Incident Response & Resilience	ドメイン11：インシデントレスポンスとレジリエンス
This domain covers critical aspects of incident response (IR) in cloud environments, addressing unique challenges introduced by cloud adaptation. It provides best practices for cloud incident response (CIR) and resilience, organized according to the IR Lifecycle described in the CSA Cloud Incident Response Framework and NIST SP 800-61 Rev. 2. Key frameworks include ISO/IEC 27035 and ENISA Strategies for IR. Emphasis is placed on preparation, detection and analysis, containment, eradication and recovery, and post-incident analysis. Effective communication and information sharing between CSPs and CSCs, internal IR teams, law enforcement, and key partners are crucial for strengthening CIR capabilities.	この領域では、クラウド環境におけるインシデントレスポンス（IR）の重要な側面をカバーし、クラウドの適応によってもたらされる独自の課題に対処する。クラウドインシデントレスポンス（CIR）とレジリエンスのベストプラクティスを提供し、CSAクラウドインシデントレスポンスフレームワークとNIST SP 800-61 Rev.2に記載されているIRライフサイクルに沿って整理している。主要なフレームワークには、ISO/IEC 27035 および ENISA Strategies for IR が含まれる。準備、検知と分析、封じ込め、根絶と復旧、インシデント発生後の分析に重点が置かれている。CIR 能力の強化には、CSP と CSC、社内の IR チーム、法執行機関、および主要なパートナ ー間の効果的なコミュニケーションと情報共有が不可欠である。
Domain 12: Related Technologies & Strategies	ドメイン12：関連技術と戦略
This domain explores various angles for analyzing cloud security challenges using perspectives (lenses) and processes. It covers critical security areas such as organization management, IAM, security monitoring, network, workload, application, and data. Key technologies and strategies include Zero Trust (ZT), Artificial Intelligence (AI), and Threat and Vulnerability Management (TVM). Practices include continuous verification of users and devices, least privilege principles, multi-factor authentication, micro-segmentation, encryption, threat detection, access control, policy enforcement, machine learning for anomaly detection, risk management, CSPM, and continuous monitoring. Integrating AI into TVM enhances threat detection and response, maintaining a robust security posture.	この領域では、視点（レンズ）とプロセスを用いてクラウドセキュリティの課題を分析するための様々な角度から検討する。組織管理、IAM、セキュリティ監視、ネットワーク、ワークロード、アプリケーション、データなどの重要なセキュリティ分野をカバーする。主要な技術と戦略には、ゼロ・トラスト（ZT）、人工知能（AI）、脅威・脆弱性管理（TVM）などがある。実践には、ユーザーとデバイスの継続的検証、最小特権原則、多要素認証、マイクロセグメンテーション、暗号化、脅威検知、アクセス管理、ポリシー実施、異常検知のための機械学習、リスクマネジメント、CSPM、継続的モニタリングなどが含まれる。AIをTVMに統合することで、脅威検知と対応が強化され、強固なセキュリティ態勢が維持される。

 

 

・2024.07.15 Security Guidance for Critical Areas of Focus in Cloud Computing v5

Security Guidance for Critical Areas of Focus in Cloud Computing v5	クラウド・コンピューティングにおける重要分野のセキュリティガイダンス v5
Cloud computing has firmly cemented its place as the foundation of the information security industry. The Cloud Security Alliance’s Security Guidance v5 is professionals' go-to resource for understanding modern cloud components and cloud security best practices. Balancing foundational knowledge with in-depth exploration of specialized topics across 12 domains, this essential document equips professionals with actionable skills and enables them to effectively address modern cloud security challenges.	クラウド・コンピューティングは、情報セキュリティ業界の基盤としての地位を確固たるものにしている。クラウド・セキュリティ・アライアンスのセキュリティガイダンスv5は、最新のクラウド・コンポーネントとクラウド・セキュリティのベスト・プラクティスを理解するための、専門家にとって最適なリソースである。基礎的な知識と12のドメインにわたる専門的なトピックの詳細な探求のバランスが取れたこの重要な文書は、専門家に実用的なスキルを身につけさせ、最新のクラウドセキュリティの課題に効果的に対処できるようにする。
This fifth version is built on previous iterations of the Security Guidance and is enhanced with a decade’s worth of insights about the skills needed to be successful in today's complex environments. Additions include the latest developments in Zero Trust, Generative AI, CI/CD, Security Monitoring and Operations, Resilience, Cloud Telemetry and Security Analytics, and Data Lakes. Version 5 also has reduced coverage of Laws and Regulations and has removed the Security-as-a-Service domain.	第5版となる本書は、これまでの「セキュリティガイダンス」をベースに、今日の複雑な環境で成功するために必要なスキルに関する10年分の知見を盛り込んだ。ゼロ・トラスト、生成的AI、CI/CD、セキュリティモニタリングと運用、レジリエンス、クラウド・テレメトリーとセキュリティ分析、データレイクなどの最新動向が追加されている。また、バージョン5では、法規制の範囲が縮小され、Security-as-a-Serviceのドメインが削除された。
Note that Security Guidance is no longer the primary study material for the Certificate of Cloud Security Knowledge (CCSK). Access the CCSK v5 Study Guide here. Security Guidance v5 provides a more comprehensive understanding of the 12 domains, but is not required to pass the CCSK v5 exam.	セキュリティガイダンスは、Certificate of Cloud Security Knowledge (CCSK)の主要な学習教材ではなくなっている。CCSK v5 Study Guideはこちらから。セキュリティガイダンスv5は、12のドメインをより包括的に理解するためのプロバイダであるが、CCSK v5試験に合格するために必要なものではない。
Cloud Security Domains Covered:	クラウド・セキュリティ・ドメイン
・Cloud Computing Concepts and Architectures	・クラウド・コンピューティングの概念とアーキテクチャ
・Cloud Governance	・クラウドガバナンス
・Risk, Audit, and Compliance	・リスク、監査、コンプライアンス
・Organization Management	・組織管理
・Identity and Access Management	・アイデンティティとアクセス管理
・Security Monitoring	・セキュリティ監視
・Infrastructure and Networking	・インフラとネットワーキング
・Cloud Workload Security	・クラウドワークロードセキュリティ
・Data Security	・データセキュリティ
・Application Security	・アプリケーションセキュリティ
・Incident Response and Resilience	・インシデントレスポンスとレジリエンス
・Related Technologies and Strategies	・関連技術と戦略

 

・[PDF]

 

目次...

Introduction to Security Guidance v5	セキュリティガイダンス v5 序文
Domain 1: Cloud Computing Concepts & Architectures	ドメイン1：クラウドコンピューティングの概念とアーキテクチャ
Learning Objectives	学習目標
1.1 Defining Cloud Computing	1.1 クラウドコンピューティングの定義
1.2 Cloud Computing Models	1.2 クラウドコンピューティングモデル
1.3 Reference & Architecture Models	1.3 参照モデルとアーキテクチャモデル
1.4 Cloud Security Scope, Responsibilities, & Models	1.4 クラウドセキュリティの範囲、責任、およびモデル
Summary & Areas of Critical Focus - Governance & Operations	要約と重点分野 - ガバナンスと運用
Domain 2: Cloud Governance and Strategies	ドメイン2：クラウドガバナンスと戦略
Learning Objectives	学習目標
2.1 Cloud Governance	2.1 クラウドガバナンス
2.2 Effective Cloud Governance	2.2 効果的なクラウドガバナンス
2.3 The Governance Hierarchy	2.3 ガバナンスの階層構造
2.4 Key Strategies & Concepts	2.4 主要な戦略と概念
Summary	要約
Domain 3: Risk, Audit and Compliance	ドメイン3：リスク、監査、コンプライアンス
3.1. Cloud Risk Management	3.1. クラウドのリスクマネジメント
3.2 Compliance & Audit	3.2 コンプライアンスと監査
3.3 Governance, Risk, and Compliance: Tools & Technologies	3.3 ガバナンス、リスク、コンプライアンス ツールとテクノロジー
Summary	要約
Domain 4: Organization Management	ドメイン4：組織管理
Introduction	序文
Learning Objectives	学習目標
4.1 Organization Hierarchy Models	4.1 組織階層モデル
4.2 Managing Organization-Level Security	4.2 組織レベルのセキュリティを管理する
4.3 Considerations for Hybrid & Multi-Cloud Deployments	4.3 ハイブリッドクラウドとマルチクラウドの導入に関する考慮事項
Summary	要約
Recommendations	推奨事項
Additional Resources	その他のリソース
Domain 5: Identity and Access Management	ドメイン5：アイデンティティとアクセス管理
Introduction	序文
Learning Objectives	学習目標
5.1 How IAM is Different in the Cloud	5.1 クラウドにおけるIAMの違い
5.1 Fundamental Terms	5.1 基本用語
5.2 Federation	5.2 フェデレーション
5.3 Strong Authentication & Authorization	5.3 強力な認証と認可
5.4 IAM Policy Types for Public Cloud	5.4 パブリッククラウドのIAMポリシータイプ
5.5 Least Privilege & Automation	5.5 最小特権と自動化
Summary	要約
Domain 6: Security Monitoring	ドメイン6: セキュリティ監視
Introduction	序文
Learning Objectives	学習目標
6.1 Cloud Monitoring	6.1 クラウド監視
6.2 Cloud Telemetry Sources	6.2 クラウドテレメトリソース
6.3 Collection Architectures	6.3 コレクションアーキテクチャ
6.4 Detection & Security Analytics	6.4 検知とセキュリティ分析
6.5 Generative AI for Security Monitoring	6.5 セキュリティ監視のための生成的AI
Summary	要約
Domain 7: Infrastructure & Networking	ドメイン7：インフラとネットワーキング
Introduction	序文
Learning Objectives	学習目標
7.1 Cloud Infrastructure Security	7.1 クラウドインフラのセキュリティ
7.2 Cloud Network Fundamentals	7.2 クラウドネットワークの基礎
7.3 Cloud Connectivity	7.3 クラウド接続性
7.4 Zero Trust & Secure Access Service Edge	7.4 ゼロトラストとセキュアアクセスサービスエッジ
Summary	要約
Domain 8: Cloud Workload Security	ドメイン8：クラウドワークロードセキュリティ
Introduction	序文
Learning Objectives	学習目標
8.1 Introduction to Cloud Workload Security	8.1 クラウドワークロードセキュリティの序文
8.2 Virtual Machines	8.2 仮想マシン
8.3 Securing Containers	8.3 コンテナのセキュリティ
8.4 PaaS Security	8.4 PaaSのセキュリティ
8.5 Securing Serverless or Function as a Service	8.5 サーバーレスまたはサービスとしての機能のセキュリティ確保
8.6 AI Workloads	8.6 AIワークロード
Summary	要約
Domain 9: Data Security	ドメイン9：データセキュリティ
Introduction	序文
Learning Objectives	学習目標
9.1 Data Classification & Storage Types	9.1 データ分類とストレージタイプ
9.2 Securing Specific Cloud Workload Types	9.2 特定のクラウドワークロードタイプの保護
9.3 Securing Specific Storage Types	9.3 特定のストレージタイプの保護
Summary	要約
Domain 10: Application Security	ドメイン10：アプリケーションセキュリティ
Introduction	序文
Learning Objectives	学習目標
10.1 Secure Development Lifecycle	10.1 安全な開発ライフサイクル
10.2 Secure Cloud Applications Architecture	10.2 安全なクラウドアプリケーションアーキテクチャ
10.3 Identity & Access Management Application Security	10.3 IDとアクセス管理アプリケーションセキュリティ
10.4 DevSecOps: CI/CD & Application Testing	10.4 DevSecOps：CI/CDとアプリケーションテスト
10.5 Serverless & Containerized Application Considerations	10.5 サーバーレスとコンテナ化アプリケーションの考慮事項
Summary	要約
Domain 11: Incident Response & Resilience	ドメイン11：インシデントレスポンスとレジリエンス
Introduction	序文
Learning Objectives	学習目標
11.1 Incident Response	11.1 インシデントレスポンス
11.2 Preparation	11.2 準備
11.3 Detection & Analysis	11.3 検知と分析
11.4 Containment, Eradication & Recovery	11.4 封じ込め、根絶、復旧
11.5 Post-Incident Analysis	11.5 インシデント発生後の分析
11.6 Resilience	11.6 レジリエンス
Summary	要約
Domain 12: Related Technologies & Strategies	ドメイン12：関連技術と戦略
Introduction	序文
Learning Objectives	学習目標
12.1 Zero Trust	12.1 信頼ゼロ
12.2 Artificial Intelligence	12.2 人工知能
12.3 Threat & Vulnerability Management	12.3 脅威と脆弱性の管理
Summary	要約

 

・[PDF] 

 

 

内部監査人協会 グローバル内部監査基準（日本語版）(2024.07.05)

こんにちは、丸山満彦です。

原文は、このブログでもすでに紹介していますが、、、内部監査人協会が、「グローバル内部監査基準™」（日本語版）を公表していました...

2017年版から構成が大きく変わっていますね...

 

---

本基準は、15の原則を通じて、より明確に内部監査人が高品質の業務を実施できるよう設計されています。各々の原則は複数の基準でサポートされており、基準には要求事項、実施に当たって考慮すべき事項、及び適合していることの証拠の例が含まれます。これらの要素は、内部監査人が原則を実現し、「内部監査の目的」を達成することを支援しています

---

 

とのことです...

 

● 内部監査人協会

・2024.07.05 グローバル内部監査基準™」（日本語版）公表のお知らせ

 

・[PDF] グローバル内部監査基

 

 

 

・[PDF] 新旧対照表

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.17 グローバル内部監査基準 (2024.01.09)

 

 

米国 ホワイトハウス 新たなAI行動を発表し、 AIに関する追加の主要な自主的コミットメントをAppleからも受領

こんにちは、丸山満彦です。

昨年に公表した大統領令14110に各省庁がするといっていたことが全て完了したという報告と、Appleが自主的な約束に署名をしたと公表していますね...Appleのウェブページではその報告は見つけられていません...

人口は日本の３倍。しかし、科学技術に対する国の力はそれ以上の差を感じてしまいますね。。。そして、技術的な分野の産業力も...

日本の組織は外に成果を出すためのエネルギーよりも、内部の調整（政治とかも...）にエネルギーをかけすぎなのかもしれませんね...

 

● U.S. White House

・2024.07.26 FACT SHEET: Biden-⁠Harris Administration Announces New AI Actions and Receives Additional Major Voluntary Commitment on AI

FACT SHEET: Biden-⁠Harris Administration Announces New AI Actions and Receives Additional Major Voluntary Commitment on AI	ファクトシート：バイデン-ハリス政権は新たなAI行動を発表し、AIに関する主要な自主的コミットメントを追加で受け取った
Nine months ago, President Biden issued a landmark Executive Order to ensure that America leads the way in seizing the promise and managing the risks of artificial intelligence (AI).	バイデン大統領は9カ月前、人工知能（AI）の有望性を捉え、リスクをマネジメントする上で米国が主導権を握ることを確実にするため、画期的な大統領令を発布した。
This Executive Order built on the voluntary commitments he and Vice President Harris received from 15 leading U.S. AI companies last year. Today, the administration announced that Apple has signed onto the voluntary commitments, further cementing these commitments as cornerstones of responsible AI innovation.	この大統領令は、昨年バイデン大統領とハリス副大統領が米国の主要AI企業15社から受けた自発的なコミットメントに基づいている。本日、同政権は、アップル社が自主的なコミットメントに署名したことを発表し、責任あるAIイノベーションの礎として、これらのコミットメントをさらに強固なものにした。
In addition, federal agencies reported that they completed all of the 270-day actions in the Executive Order on schedule, following their on-time completion of every other task required to date. Agencies also progressed on other work directed for longer timeframes.	さらに、連邦政府機関は、大統領令に定められた270日間の行動をすべて予定通りに完了したことを報告した。各省庁はまた、より長い期間をかけて指示された他の作業も進めた。
Following the Executive Order and a series of calls to action made by Vice President Harris as part of her major policy speech before the Global Summit on AI Safety, agencies all across government have acted boldly. They have taken steps to mitigate AI’s safety and security risks, protect Americans’ privacy, advance equity and civil rights, stand up for consumers and workers, promote innovation and competition, advance American leadership around the world, and more. Actions that agencies reported today as complete include the following :	大統領令と、AIセーフティ・グローバル・サミットに先立つハリス副大統領の主要政策演説の一環として行われた一連の行動要請を受け、政府全省庁が果敢に行動した。彼らは、AIの安全・セキュリティリスクの軽減、アメリカ人のプライバシーの保護、公平性と公民権の向上、消費者と労働者の支援、イノベーションと競争の促進、世界におけるアメリカのリーダーシップの推進などのための措置を講じてきた。本日、各省庁が完了したと報告したアクションは以下の通りである：
Managing Risks to Safety and Security:	安全とセキュリティに対するリスクマネジメント：
Over 270 days, the Executive Order directed agencies to take sweeping action to address AI’s safety and security risks, including by releasing vital safety guidance and building capacity to test and evaluate AI. To protect safety and security, agencies have:	大統領令は270日以上にわたって、重要な安全ガイダンスの発表やAIのテスト・評価能力の構築など、AIの安全・安心リスクに対処するための抜本的な対策を講じるよう各省庁に指示した。安全・安心を守るため、各省庁は以下を実施した：
1. Released for public comment new technical guidelines from the AI Safety Institute (AISI) for leading AI developers in managing the evaluation of misuse of dual-use foundation models. AISI’s guidelines detail how leading AI developers can help prevent increasingly capable AI systems from being misused to harm individuals, public safety, and national security, as well as how developers can increase transparency about their products .	1. AI Safety Institute (AISI)から、AI開発者がデュアルユース基盤モデルの誤用評価を管理するための新しい技術ガイドラインをパブリックコメント用に発表した。AISIのガイドラインは、主要なAI開発者が、ますます高性能になるAIシステムが個人、公共の安全、国家安全保障に危害を加えるために悪用されるのを防ぐのをどのように支援できるか、また開発者が製品の透明性をどのように高めることができるかについて詳述している。
2. Published final frameworks on managing generative AI risks and securely developing generative AI systems and dual-use foundation models. These documents by the National Institute of Standards and Technology (NIST) will provide additional guidance that builds on NIST’s AI Risk Management Framework, which offered individuals, organizations, and society a framework to manage AI risks and has been widely adopted both in the U.S. and globally. NIST also submitted a report to the White House outlining tools and techniques to reduce the risks from synthetic content.	2. 生成的AIのリスクマネジメントと、生成的AIシステムおよびデュアルユース基盤モデルの安全な開発に関する最終フレームワークを発表した。国立標準技術研究所（NIST）によるこれらの文書は、個人、機構、社会にAIリスクを管理する枠組みを提供し、米国内外で広く採用されているNISTのAIリスクマネジメントフレームワークを基礎とする追加ガイダンスを提供する。NISTはまた、合成コンテンツによるリスクを低減するためのツールや技術をまとめた報告書をホワイトハウスに提出した。
3. Developed and expanded AI testbeds and model evaluation tools at the Department of Energy (DOE). DOE, in coordination with interagency partners, is using its testbeds to evaluate AI model safety and security, especially for risks that AI models might pose to critical infrastructure, energy security, and national security. DOE’s testbeds are also being used to explore novel AI hardware and software systems, including privacy-enhancing technologies that improve AI trustworthiness. The National Science Foundation (NSF) also launched an initiative to help fund researchers outside the federal government design and plan AI-ready testbeds.	3. エネルギー省（DOE）において、AIのテストベッドとモデル評価ツールを開発・拡張した。DOEは、省庁間のパートナーと連携して、AIモデルの安全性とセキュリティ、特にAIモデルが重要インフラ、エネルギーセキュリティ、国家安全保障にもたらす可能性のあるリスクを評価するために、テストベッドを活用している。DOEのテストベッドは、AIの信頼性を向上させるプライバシー強化技術など、新しいAIのハードウェアやソフトウェアシステムの研究にも利用されている。全米科学財団（NSF）もまた、連邦政府以外の研究者がAIに対応したテストベッドを設計・計画するための資金援助を行うイニシアティブを立ち上げた。
4. Reported results of piloting AI to protect vital government software. The Department of Defense (DoD) and Department of Homeland Security (DHS) reported findings from their AI pilots to address vulnerabilities in government networks used, respectively, for national security purposes and for civilian government. These steps build on previous work to advance such pilots within 180 days of the Executive Order.	4. 政府の重要なソフトウェアを保護するためにAIを試験的に導入した結果を報告した。国防総省（DoD）と国土安全保障省（DHS）は、それぞれ国家安全保障と民間政府で使用される政府ネットワークの脆弱性に対処するためのAI試験運用の結果を報告した。これらの措置は、大統領令から180日以内にこのような試験運用を進めるという、これまでの作業を基礎としている。
5. Issued a call to action from the Gender Policy Council and Office of Science and Technology Policy to combat image-based sexual abuse, including synthetic content generated by AI. Image-based sexual abuse has emerged as one of the fastest growing harmful uses of AI to-date, and the call to action invites technology companies and other industry stakeholders to curb it. This call flowed from Vice President Harris’s remarks in London before the AI Safety Summit, which underscored that deepfake image-based sexual abuse is an urgent threat that demands global action.	5. AIによって生成された合成コンテンツを含む、画像に基づく性的虐待と闘うために、米国科学技術政策局および生成的政策評議会から行動への呼びかけが出された。画像に基づく性的虐待は、これまで最も急速に増加しているAIの有害な用途の1つとして浮上しており、行動への呼びかけは、テクノロジー企業やその他の業界関係者に抑制を呼びかけている。この呼びかけは、AIセーフティ・サミットの前にロンドンで行われたハリス副大統領の発言から生まれたもので、ディープフェイク画像に基づく性的虐待が世界的な行動を求める緊急の脅威であることを強調した。
Bringing AI Talent into Government	AI人材を政府に導入する
Last year, the Executive Order launched a government-wide AI Talent Surge that is bringing hundreds of AI and AI-enabling professionals into government. Hired individuals are working on critical AI missions, such as informing efforts to use AI for permitting, advising on AI investments across the federal government, and writing policy for the use of AI in government.	昨年、大統領令は政府全体のAIタレント・サージを開始し、何百人ものAIとAIを可能にする専門家を政府に導入している。採用された人材は、AIを許認可に活用する取り組みへの情報提供、連邦政府全体のAI投資に関する助言、政府におけるAI活用のための政策立案など、重要なAIミッションに取り組んでいる。
1. To increase AI capacity across the federal government for both national security and non-national security missions, the AI Talent Surge has made over 200 hires to-date, including through the Presidential Innovation Fellows AI cohort and the DHS AI Corps.	1. 国家安全保障と非国家安全保障の両ミッションで連邦政府全体のAI能力を向上させるため、AI人材急増は、大統領イノベーションフェローAIコホートやDHS AI軍団を含め、これまでに200人以上を採用してきた。
2. Building on the AI Talent Surge 6-month report, the White House Office of Science and Technology Policy announced new commitments from across the technology ecosystem, including nearly $100 million in funding, to bolster the broader public interest technology ecosystem and build infrastructure for bringing technologists into government service.	2. ホワイトハウスの米国科学技術政策局は、AI Talent Surgeの6ヶ月報告書を基に、より広範な公益技術エコシステムを強化し、技術者を政府で雇用するためのインフラを構築するため、約1億ドルの資金を含む技術エコシステム全体からの新たなコミットメントを発表した。
Advancing Responsible AI Innovation	責任あるAIイノベーションの推進
President Biden’s Executive Order directed further actions to seize AI’s promise and deepen the U.S. lead in AI innovation while ensuring AI’s responsible development and use across our economy and society. Within 270 days, agencies have:	バイデン大統領の大統領令は、AIの有望性を捉え、AIイノベーションにおける米国のリードをさらに深めると同時に、我々の経済と社会全体でAIの責任ある開発と利用を確保するためのさらなる行動を指示した。270日以内に、各省庁は以下を行った：
1. Prepared and will soon release a report on the potential benefits, risks, and implications of dual-use foundation models for which the model weights are widely available, including related policy recommendations. The Department of Commerce’s report draws on extensive outreach to experts and stakeholders, including hundreds of public comments submitted on this topic.	1. モデルの重みが広く利用可能なデュアルユース基盤モデルの潜在的なメリット、リスク、意味合いに関する報告書を作成し、近く発表する。商務省の報告書は、このテーマに関して提出された何百ものパブリックコメントを含む、専門家や利害関係者への広範な働きかけをもとに作成されている。
2. Awarded over 80 research teams’ access to computational and other AI resources through the National AI Research Resource (NAIRR) pilot—a national infrastructure led by NSF, in partnership with DOE, NIH, and other governmental and nongovernmental partners, that makes available resources to support the nation’s AI research and education community. Supported projects will tackle deepfake detection, advance AI safety, enable next-generation medical diagnoses and further other critical AI priorities.	2. 全米AI研究リソース（NAIRR）試験を通じて、80以上の研究チームが計算機やその他のAIリソースを利用できるようになった。-これは、NSFが主導し、DOE、NIH、その他の政府・非政府パートナーと連携して、全米のAI研究・教育コミュニティを支援するためのリソースを提供する国家インフラである。支援されるプロジェクトは、ディープフェイク検出への取り組み、AIの安全性の向上、次世代医療診断の実現、その他の重要なAIの優先課題への取り組みとなる。
3. Released a guide for designing safe, secure, and trustworthy AI tools for use in education. The Department of Education’s guide discusses how developers of educational technologies can design AI that benefits students and teachers while advancing equity, civil rights, trust, and transparency. This work builds on the Department’s 2023 report outlining recommendations for the use of AI in teaching and learning.	3. 教育で使用する安全、安心、信頼できるAIツールを設計するためのガイドを発表した。教育省のガイドは、教育技術の開発者が、公平性、公民権、信頼性、透明性を高めながら、生徒や教師のためになるAIを設計する方法について論じている。この作業は、教育・学習におけるAIの活用に関する提言をまとめた同省の2023年報告書に基づいている。
4. Published guidance on evaluating the eligibility of patent claims involving inventions related to AI technology, as well as other emerging technologies. The guidance by the U.S. Patent and Trademark Office will guide those inventing in the AI space to protect their AI inventions and assist patent examiners reviewing applications for patents on AI inventions.	4. AI技術やその他の新興技術に関連する発明を含む特許請求の範囲の適格性評価に関するガイダンスを公表した。米国特許商標庁によるこのガイダンスは、AI分野で発明を行う者がAI発明を保護するための指針となり、AI発明に関する特許出願を審査する特許審査官を支援する。
5. Issued a report on federal research and development (R&D) to advance trustworthy AI over the past four years. The report by the National Science and Technology Council examines an annual federal AI R&D budget of nearly $3 billion.	5. 過去4年間の信頼できるAIの進歩のための連邦政府の研究開発（R&D）に関する報告書を発行した。全米科学技術評議会によるこの報告書では、年間30億ドル近い連邦政府のAI研究開発予算が検討されている。
6. Launched a $23 million initiative to promote the use of privacy-enhancing technologies to solve real-world problems, including related to AI. Working with industry and agency partners, NSF will invest through its new Privacy-preserving Data Sharing in Practice program in efforts to apply, mature, and scale privacy-enhancing technologies for specific use cases and establish testbeds to accelerate their adoption.	6. AI関連を含む現実世界の問題解決にプライバシー強化技術の利用を促進するため、2,300万ドルのイニシアチブを開始した。NSFは、産業界や省庁のパートナーと協力し、新しいプライバシー保護データ共有プログラム（Privacy-preserving Data Sharing in Practice）を通じて、特定のユースケースにプライバシー強化技術を適用し、成熟させ、規模を拡大する取り組みに投資し、その採用を加速するためのテストベッドを確立する。
7. Announced millions of dollars in further investments to advance responsible AI development and use throughout our society. These include $30 million invested through NSF’s Experiential Learning in Emerging and Novel Technologies program—which supports inclusive experiential learning in fields like AI—and $10 million through NSF’s ExpandAI program, which helps build capacity in AI research at minority-serving institutions while fostering the development of a diverse, AI-ready workforce.	7. 社会全体で責任あるAIの開発と利用を促進するため、数百万ドルの追加投資を発表した。これには、AIなどの分野における包括的な体験学習を支援するNSFのExperiential Learning in Emerging and Novel Technologiesプログラムを通じて投資される3000万ドルや、多様なAIに対応できる労働力の育成を促進しながら、マイノリティ支援機構におけるAI研究の能力構築を支援するNSFのExpandAIプログラムを通じて投資される1000万ドルが含まれる。
Advancing U.S. Leadership Abroad	海外における米国のリーダーシップを促進する
President Biden’s Executive Order emphasized that the United States lead global efforts to unlock AI’s potential and meet its challenges. To advance U.S. leadership on AI, agencies have:	バイデン大統領の大統領令は、米国がAIの可能性を引き出し、その課題を解決するための世界的な取り組みを主導することを強調した。AIに関する米国のリーダーシップを推進するため、各省庁は以下を行った：
1. Issued a comprehensive plan for U.S. engagement on global AI standards. The plan, developed by the NIST, incorporates broad public and private-sector input, identifies objectives and priority areas for AI standards work, and lays out actions for U.S. stakeholders including U.S. agencies. NIST and others agencies will report on priority actions in 180 days.	AI標準に関する米国の包括的な関与計画を発表した。NISTが策定したこの計画は、官民の幅広い意見を取り入れ、AI標準作業の目的と優先分野を特定し、米国政府機関を含む米国の利害関係者の行動を示している。NISTとその他の機関は、180日以内に優先的な行動について報告する。
2. Developed guidance for managing risks to human rights posed by AI. The Department of State’s “Risk Management Profile for AI and Human Rights”—developed in close coordination with NIST and the U.S. Agency for International Development—recommends actions based on the NIST AI Risk Management Framework to governments, the private sector, and civil society worldwide, to identify and manage risks to human rights arising from the design, development, deployment, and use of AI.	AIがもたらす人権へのリスクをマネジメントするためのガイダンスを策定した。国務省の「AIと人権に関するリスクマネジメントプロファイル」は、NISTおよび米国国際開発庁と緊密に連携して作成されたもので、AIの設計、開発、配備、使用から生じる人権へのリスクを特定し、管理するために、NISTのAIリスクマネジメントフレームワークに基づく行動を世界中の政府、民間セクター、市民社会に推奨している。
3. Launched a global network of AI Safety Institutes and other government-backed scientific offices to advance AI safety at a technical level. This network will accelerate critical information exchange and drive toward common or compatible safety evaluations and policies.	AIの安全性を技術レベルで推進するため、AI安全機構や政府が支援する科学的オフィスのグローバルネットワークを立ち上げた。このネットワークは、重要な情報交換を加速させ、共通または互換性のある安全性評価と政策を推進する。
4. Launched a landmark United Nations General Assembly resolution. The unanimously adopted resolution, with more than 100 co-sponsors, lays out a common vision for countries around the world to promote the safe and secure use of AI to address global challenges.	画期的な国連総会決議を開始した。全会一致で採択されたこの決議は、100人以上の賛同者を得て、世界的な課題に対処するためにAIの安全かつ確実な利用を促進するための世界各国の共通ビジョンを示している。
5.Expanded global support for the U.S.-led Political Declaration on the Responsible Military Use of Artificial Intelligence and Autonomy.  Fifty-five nations now endorse the political declaration, which outlines a set of norms for the responsible development, deployment, and use of military AI capabilities.	米国主導の「人工知能とオートノミーの責任ある軍事利用に関する政治宣言」への世界的な支持を拡大した。 この政治宣言は、軍事用AI能力の責任ある開発、配備、使用に関する一連の規範をまとめたもので、現在55カ国が支持している。
The Table below summarizes many of the activities that federal agencies have completed in response to the Executive Order:	以下の表は、大統領令に対応して連邦政府機関が完了した活動の多くをまとめたものである：

 

 

 

---

 

● U.S. Department of Commerce

・2024.07.26 Department of Commerce Announces New Guidance, Tools 270 Days Following President Biden’s Executive Order on AI

Department of Commerce Announces New Guidance, Tools 270 Days Following President Biden’s Executive Order on AI	商務省は、バイデン大統領によるAIに関する大統領令の270日後に、新たなガイダンスとツールを発表した。
Artificial Intelligence	人工知能
**For the first time, Commerce makes public new NIST draft guidance from the U.S. AI Safety Institute to help AI developers evaluate and mitigate risks stemming from generative AI and dual-use foundation models.**	**商務省は、AI開発者が生成的AIやデュアルユース基盤モデルから生じるリスクを評価し、軽減するのに役立つ米国AI安全機構による新しいNISTドラフトガイダンスを初めて公開した。
Read the White House Fact sheet on Administration-wide actions on AI.	AIに関する政府全体の行動に関するホワイトハウスのファクトシートを読む。
The U.S. Department of Commerce announced today, on the 270-day mark since President Biden’s Executive Order (EO) on the Safe, Secure and Trustworthy Development of AI, the release of new guidance and software to help improve the safety, security and trustworthiness of artificial intelligence (AI) systems.	米商務省は本日、バイデン大統領令「AIの安全・安心・信頼できる開発」から270日目を迎え、人工知能（AI）システムの安全・安心・信頼性を改善するための新たなガイダンスとソフトウェアを発表した。
The Department’s National Institute of Standards and Technology (NIST) released three final guidance documents that were first released in April for public comment, as well as a draft guidance document from the U.S. AI Safety Institute that is intended to help mitigate risks. NIST is also releasing a software package designed to measure how adversarial attacks can degrade the performance of an AI system. In addition, Commerce’s U.S. Patent and Trademark Office (USPTO) issued a guidance update on patent subject matter eligibility to address innovation in critical and emerging technologies, including AI, and the National Telecommunications and Information Administration (NTIA) delivered a report to the White House that examines the risks and benefits of large AI models with widely available weights .	同省の国立標準技術研究所（NIST）は、4月に初めて公開されパブリックコメントを求めていた3つの最終ガイダンス文書と、リスク軽減を目的とした米国AI安全研究所のガイダンス文書案を公開した。NISTはまた、敵対的な攻撃がAIシステムの性能をどのように低下させるかを測定するために設計されたソフトウェアパッケージも発表している。さらに、米国特許商標庁（USPTO）は、AIを含む重要かつ新興の技術革新に対応するため、特許の主題適格性に関するガイダンスを更新し、国家電気通信情報局（NTIA）は、広く利用可能な重みを持つ大規模なAIモデルのリスクと利点を検討した報告書をホワイトハウスに提出した。
“Under President Biden and Vice President Harris’ leadership, we at the Commerce Department have been working tirelessly to implement the historic Executive Order on AI and have made significant progress in the nine months since we were tasked with these critical responsibilities,” said U.S. Secretary of Commerce Gina Raimondo. “AI is the defining technology of our generation, so we are running fast to keep pace and help ensure the safe development and deployment of AI. Today’s announcements demonstrate our commitment to giving AI developers, deployers, and users the tools they need to safely harness the potential of AI, while minimizing its associated risks. We’ve made great progress, but have a lot of work ahead. We will keep up the momentum to safeguard America’s role as the global leader in AI.”	「バイデン大統領とハリス副大統領のリーダーシップの下、我々商務省はAIに関する歴史的な大統領令の実施に精力的に取り組んでおり、この重要な責務を課せられてから9ヶ月間で大きな進展を遂げた」とジーナ・ライモンド米商務長官は述べた。「AIはわれわれの生成的AI技術であり、われわれはその歩調を合わせ、AIの安全な開発と普及を支援するため、急ピッチで取り組んでいる。本日の発表は、AIの開発者、導入者、利用者がAIの可能性を安全に活用するために必要なツールを提供する一方で、関連するリスクを最小限に抑えるという我々のコミットメントを示すものだ。我々は大きな進歩を遂げたが、まだ多くの課題が残っている。我々は、AIにおけるグローバルリーダーとしてのアメリカの役割を守るため、この勢いを維持していく」。
NIST’s document releases cover varied aspects of AI technology. Two were made public today for the first time. One is the initial public draft of a guidance document from the U.S. AI Safety Institute, and is intended to help AI developers evaluate and mitigate the risks stemming from generative AI and dual-use foundation models — AI systems that can be used for either beneficial or harmful purposes. The other is a testing platform designed to help AI system users and developers measure how certain types of attacks can degrade the performance of an AI system. Of the remaining three document releases, two are guidance documents designed to help manage the risks of generative AI — the technology that enables many chatbots as well as text-based image and video creation tools — and serve as companion resources to NIST’s AI Risk Management Framework (AI RMF) and Secure Software Development Framework (SSDF). The third proposes a plan for U.S. stakeholders to work with others around the globe on AI standards.	NISTが発表した文書は、AI技術の様々な側面をカバーしている。今日初めて公開されたものが2つある。ひとつは、米国AI安全研究所のガイダンス文書の初公開草案で、AI開発者が生成的AIやデュアルユース基盤モデル（有益にも有害にも使用可能なAI機構）から生じるリスクを評価し、軽減するためのものだ。もうひとつは、AIシステムのユーザーや開発者が、ある種の攻撃がAIシステムの性能をどのように低下させるかを測定できるように設計されたテストプラットフォームである。残りの3つの文書のうち、2つは生成的AI（多くのチャットボットやテキストベースの画像・動画作成ツールを実現する技術）のリスクマネジメントを支援するためのガイダンス文書で、NISTのAIリスクマネジメントフレームワーク（AI RMF）とセキュアソフトウェア開発フレームワーク（SSDF）の関連リソースとして機能する。3つ目は、米国の関係者がAI標準について世界中の関係者と協力するための計画を提案している。
“For all its potentially transformational benefits, generative AI also brings risks that are significantly different from those we see with traditional software,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “These guidance documents and testing platform will inform software creators about these unique risks and help them develop ways to mitigate those risks while supporting innovation.”	「標準技術担当商務次官兼NIST長官のローリー・E・ロカシオ氏は、「生成的AIは、その潜在的な利点のすべてにおいて、従来のソフトウェアとは大きく異なるリスクももたらす。「これらのガイダンス文書とテストプラットフォームは、ソフトウェア作成者にこれらのユニークなリスクについて知らせ、イノベーションを支援しながらリスクを軽減する方法を開発するのに役立つ。
USPTO’s guidance update will assist USPTO personnel and stakeholders in determining subject matter eligibility under patent law (35 U.S.C. § 101) of AI inventions. This latest update builds on previous guidance by providing further clarity and consistency to how the USPTO and applicants should evaluate subject matter eligibility of claims in patent applications and patents involving inventions related to AI technology. The guidance update also announces three new examples of how to apply this guidance throughout a wide range of technologies.	USPTOのガイダンス・アップデートは、AI発明の特許法（35 U.S.C. § 101）上の主題適格性を判断する際に、USPTO職員および関係者を支援する。この最新のガイダンスは、これまでのガイダンスに基づき、USPTOと出願人がAI技術に関連する発明を含む特許出願および特許のクレームの主題適格性をどのように評価すべきかについて、さらなる明確性と一貫性を提供するものである。また、このガイダンスの更新では、幅広い技術にこのガイダンスを適用する方法について、3つの新しい例を発表している。
“The USPTO remains committed to fostering and protecting innovation in critical and emerging technologies, including AI,” said Kathi Vidal, Under Secretary of Commerce for Intellectual Property and Director of the USPTO. “We look forward to hearing public feedback on this guidance update, which will provide further clarity on evaluating subject matter eligibility of AI inventions while incentivizing innovations needed to solve world and community problems.”	「米国特許商標庁（USPTO）の知的財産担当商務次官兼長官であるカティ・ヴィダル氏は、「USPTOは、AIを含む重要な新興技術のイノベーションを促進し、保護することに引き続き尽力する。「このガイダンスの更新により、AI発明の主題適格性の評価がさらに明確になると同時に、世界や地域社会の問題を解決するために必要なイノベーションを奨励することになる。
NTIA’s soon-to-be-published report will review the risks and benefits of dual-use foundation models whose model weights are widely available (i.e. “open-weight models”), as well as develop policy recommendations maximizing those benefits while mitigating the risks. Open-weight models allow developers to build upon and adapt previous work, broadening AI tools’ availability to small companies, researchers, nonprofits, and individuals.	NTIAが間もなく発表する報告書では、モデルウェイトが広く利用可能なデュアルユースファウンデーションモデル（すなわち「オープンウェイトモデル」）のリスクとベネフィットを検討し、リスクを低減しながらベネフィットを最大化する政策提言を策定する。オープン・ウェイト・モデルは、開発者が過去の研究を基にしたり、適応させたりすることを可能にし、中小企業、研究者、非営利団体、個人がAIツールを幅広く利用できるようにする。
Additional information on today’s announcements from NIST can be found below.	本日のNISTの発表に関する追加情報は以下を参照のこと。
Protecting Against Misuse Risk from Dual-Use Foundation Models	デュアルユース基盤モデルからの誤用リスク防御
AI foundation models are powerful tools that are useful across a broad range of tasks and are sometimes called “dual-use” because of their potential for both benefit and harm. NIST’s U.S. AI Safety Institute has released the initial public draft of its guidelines on Managing Misuse Risk for Dual-Use Foundation Models, which outlines voluntary best practices for how foundation model developers can protect their systems from being misused to cause deliberate harm to individuals, public safety and national security.	AI基盤モデルは、幅広いタスクに有用な強力なツールであり、利益と害悪の両方の可能性があることから、「デュアルユース」と呼ばれることもある。NISTの米国AI安全研究所は、「デュアルユースファウンデーションモデルの悪用リスクマネジメント」に関するガイドラインの初公開ドラフトを発表した。このガイドラインは、ファウンデーションモデル開発者が、そのシステムが悪用され、個人、公共の安全、国家安全保障に意図的な危害が及ぶことを防ぐための自主的なベストプラクティスの概要を示している。
The draft guidance offers seven key approaches for mitigating the risks that models will be misused, along with recommendations for how to implement them and how to be transparent about their implementation. Together, these practices can help prevent models from enabling harm through activities like developing biological weapons, carrying out offensive cyber operations, and generating child sexual abuse material and non-consensual intimate imagery.	ドラフト・ガイダンスは、モデルが悪用されるリスクを低減するための7つの主要なアプローチと、それらをどのように実施するか、またその実施についてどのように透明性を確保するかについての勧告を提示している。これらの実践を組み合わせることで、生物兵器の開発、攻撃的なサイバー作戦の実行、児童性的虐待の素材や同意のない親密な画像の生成といった活動を通じて、モデルが危害を加えることを防ぐことができる。
The AI Safety Institute is accepting comments from the public on the draft Managing the Misuse Risk for Dual-Use Foundation Models until Sept. 9, 2024, at 11:59 PM Eastern Time. Comments can be submitted electronically to NISTAI800-1@nist.gov with “NIST AI 800-1, Managing Misuse Risk for Dual-Use Foundation Models” in the subject line.	AIセーフティ・インスティテュートは、ドラフト「Managing the Misuse Risk for Dual-Use Foundation Models」に対する一般からのコメントを、2024年9月9日午後11時59分（米国東部時間）まで受け付けている。意見は、件名を「NIST AI 800-1、Managing Misuse Risk for Dual-Use Foundation Models」として、NISTAI800-1@nist.gov 宛てに電子的に提出することができる。
Testing how AI Models Respond to Attacks	AIモデルが攻撃にどのように対応するかをテストする
One of the vulnerabilities of an AI system is the model at its core. By exposing a model to large amounts of training data, it learns to make decisions. But if adversaries poison the training data with inaccuracies — for example, by introducing data that can cause the model to misidentify stop signs as speed limit signs — the model can make incorrect, potentially disastrous decisions. Testing the effects of adversarial attacks on machine learning models is one of the goals of Dioptra, a new software package aimed at helping AI developers and customers determine how well their AI software stands up to a variety of adversarial attacks.	AIシステムの脆弱性の一つは、その中核にあるモデルである。モデルを大量の訓練データにさらすことで、モデルは意思決定を行うことを学習する。しかし、敵対的サンプルが不正確なデータ・ポイズニングを行った場合、例えば、一時停止標識を速度制限標識と誤認させるようなデータを導入した場合、モデルは誤った、潜在的に悲惨な判断を下す可能性がある。機械学習モデルに対する敵対的攻撃の影響をテストすることは、Dioptraの目標の一つである。Dioptraは、AI開発者や顧客が、AIソフトウェアが様々な敵対的攻撃にどの程度耐えられるかを判断するのを支援することを目的とした新しいソフトウェア・パッケージである。
The open-source software, available for free download, could help the community including government agencies and small- to medium-sized businesses conduct evaluations to assess AI developers’ claims about their systems’ performance. This software responds to Executive Order section 4.1 (ii) (B), which requires NIST to help with model testing. Dioptra does this by allowing a user to determine what sorts of attacks would make the model perform less effectively and quantifying the performance reduction so that the user can learn how often and under what circumstances the system would fail.	無料でダウンロード可能なオープンソースソフトウェアは、政府機関や中小企業を含むコミュニティが、AI開発者が主張するシステムの性能を評価するための評価を行うのに役立つだろう。このソフトウェアは、大統領令4.1項（ii）（B）に対応するもので、NISTにモデルテストの支援を求めている。Dioptraは、どのような攻撃がモデルのパフォーマンスを低下させるかをユーザーが判断できるようにし、パフォーマンスの低下を定量化することで、ユーザーがシステムがどの程度の頻度で、どのような状況下で失敗するかを知ることができるようにする。
Managing the Risks of Generative AI	生成的AIのリスクマネジメント
The AI RMF Generative AI Profile (NIST AI 600-1) can help organizations identify unique risks posed by generative AI and proposes actions for generative AI risk management that best aligns with their goals and priorities. The guidance is intended to be a companion resource for users of NIST’s AI RMF. It centers on a list of 12 risks and just over 200 actions that developers can take to manage them.	AI RMFの生成的AIプロファイル（NIST AI 600-1）は、組織が生成的AIによってもたらされる固有のリスクを特定し、その目標や優先事項に最適な生成的AIのリスクマネジメントのための行動を提案するのに役立つ。このガイダンスは、NISTのAI RMFの利用者向けの付属リソースとなることを意図している。このガイダンスは、12のリスクと、開発者がリスクマネジメントのために取ることができる200以上のアクションのリストを中心に構成されている。
The 12 risks include a lowered barrier to entry for cybersecurity attacks, the production of mis- and disinformation or hate speech and other harmful content, and generative AI systems confabulating or “hallucinating” output. After describing each risk, the document presents a matrix of actions that developers can take to mitigate them, mapped to the AI RMF.	12のリスクには、サイバーセキュリティ攻撃への参入障壁の低下、偽情報やヘイトスピーチ、その他の有害なコンテンツの生成、生成的AIシステムによる出力の混同や「幻覚」などが含まれる。各リスクを説明した後、開発者がそのリスクを低減するために取るべき行動を、AI RMFに対応させてマトリクスとして示している。
Reducing Threats to the Data Used to Train AI Systems	AIシステムの学習に使用されるデータへの脅威を軽減する
The second finalized publication, Secure Software Development Practices for Generative AI and Dual-Use Foundation Models (NIST Special Publication (SP) 800-218A) is designed to be used alongside the Secure Software Development Framework (SP 800-218). While the SSDF is broadly concerned with software coding practices, the companion resource expands the SSDF in part to address a major concern with generative AI systems: They can be compromised with malicious training data that adversely affect the AI system’s performance.	2つ目の最終刊行物である「生成的AIおよびデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス」（NIST特別刊行物（SP）800-218A）は、安全なソフトウェア開発フレームワーク（SP800-218）と並行して使用されるように設計されている。SSDFは広くソフトウェアのコーディング手法に関わるものであるが、この関連リソースは、生成的AIシステムの主要な懸念に対処するためにSSDFを一部拡張したものである： それは、AIシステムの性能に悪影響を与える悪意のある学習データによって、システムが危険にさらされる可能性があるというものだ。
In addition to covering aspects of the training and use of AI systems, this guidance document identifies potential risk factors and strategies to address them. Among other recommendations, it suggests analyzing training data for signs of poisoning, bias, homogeneity and tampering.	AIシステムの訓練と使用の側面をカバーすることに加え、このガイダンス文書は潜在的なリスク要因とそれに対処するための戦略を特定している。特に、ポイズニング、バイアス、均質性、改ざんなどの兆候がないか、トレーニングデータを分析することを推奨している。
Global Engagement on AI Standards	AI標準に関するグローバルな取り組み
AI systems are transforming society not only within the U.S., but around the world. A Plan for Global Engagement on AI Standards (NIST AI 100-5), today’s third finalized publication, is designed to drive the worldwide development and implementation of AI-related consensus standards, cooperation and coordination, and information sharing.	AIシステムは米国内だけでなく、世界中で社会を変革しつつある。AI標準に関するグローバルな関与のための計画（NIST AI 100-5）は、AI関連のコンセンサス標準の世界的な開発と実施、協力と調整、情報共有を推進するために策定された。
The guidance is informed by priorities outlined in the NIST-developed Plan for Federal Engagement in AI Standards and Related Tools and is tied to the National Standards Strategy for Critical and Emerging Technology. This publication suggests that a broader range of multidisciplinary stakeholders from many countries participate in the standards development process.	このガイダンスは、NISTが策定した「AI標準および関連ツールにおける連邦政府の関与のための計画」で示された優先事項に基づいており、「重要かつ新たな技術のための国家標準化戦略」と関連している。本書は、標準開発プロセスに多くの国から幅広い分野の利害関係者が参加することを示唆している。

 

 

● NIST - ITL

・2024.07.26 Department of Commerce Announces New Guidance, Tools 270 Days Following President Biden’s Executive Order on AI

Department of Commerce Announces New Guidance, Tools 270 Days Following President Biden’s Executive Order on AI	商務省、AI に関するバイデン大統領の大統領令から 270 日後に新たなガイダンスとツールを発表
For the first time, Commerce makes public new NIST draft guidance from U.S. AI Safety Institute to help AI developers evaluate and mitigate risks stemming from generative AI and dual-use foundation models.	米商務省は、AI開発者が生成的AIやデュアルユース基盤モデルから生じるリスクを評価し、軽減するのを支援するため、米国AI安全機構による新しいNISTドラフトガイダンスを初めて公開する。
The U.S. Department of Commerce announced today, on the 270-day mark since President Biden’s Executive Order (EO) on the Safe, Secure and Trustworthy Development of AI, the release of new guidance and software to help improve the safety, security and trustworthiness of artificial intelligence (AI) systems.	米商務省は本日、バイデン大統領の「AIの安全・安心・信頼できる開発に関する大統領令（EO）」から270日目を迎え、人工知能（AI）システムの安全・安心・信頼性を改善するための新たなガイダンスとソフトウェアを公開すると発表した。
The department’s National Institute of Standards and Technology (NIST) released three final guidance documents that were first released in April for public comment, as well as a draft guidance document from the U.S. AI Safety Institute that is intended to help mitigate risks. NIST is also releasing a software package designed to measure how adversarial attacks can degrade the performance of an AI system. In addition, Commerce’s U.S. Patent and Trademark Office (USPTO) issued a guidance update on patent subject matter eligibility to address innovation in critical and emerging technologies, including AI.	同省の国立標準技術研究所（NIST）は、4月に初めて公開されパブリックコメントを求めていた3つの最終ガイダンス文書と、リスク軽減を目的とした米国AI安全研究所のガイダンス文書案を公開した。NISTはまた、敵対的な攻撃がAIシステムの性能をどのように低下させるかを測定するために設計されたソフトウェアパッケージも発表している。さらに、米国特許商標庁（USPTO）は、AIを含む重要かつ新興の技術革新に対応するため、特許の主題適格性に関するガイダンスを更新した。
“For all its potentially transformational benefits, generative AI also brings risks that are significantly different from those we see with traditional software. These guidance documents and testing platform will inform software creators about these unique risks and help them develop ways to mitigate those risks while supporting innovation.” —Laurie E. Locascio, Under Secretary of Commerce for Standards and Technology and NIST Director	「生成的AIは、その潜在的な変革の可能性から、従来のソフトウェアとは大きく異なるリスクももたらす。これらのガイダンス文書とテストプラットフォームは、ソフトウェア作成者にこれらのユニークなリスクについて知らせ、イノベーションを支援しながらリスクを軽減する方法を開発するのに役立つだろう。-ローリー・E・ロカシオ商務次官（標準技術担当）兼NIST理事
Read the full Department of Commerce news release.	商務省のニュースリリース全文を読む。
Read the White House fact sheet on administration-wide actions on AI.	AIに関する政府全体の行動に関するホワイトハウスのファクトシートを読む。
Background: NIST Delivers 5 Products in Response to 2023 Executive Order on AI	背景 NIST、AIに関する2023年大統領令に対応した5つの製品を発表
The NIST releases cover varied aspects of AI technology. Two of them appear today for the first time: One is the initial public draft of a guidance document from the U.S. AI Safety Institute, and is intended to help software developers mitigate the risks stemming from generative AI and dual-use foundation models — AI systems that can be used for either beneficial or harmful purposes. The other is a testing platform designed to help AI system users and developers measure how certain types of attacks can degrade the performance of an AI system.	NISTのリリースはAI技術の様々な側面をカバーしている。そのうちの2つが本日初めて公開された： ひとつは、米国AI安全研究所によるガイダンス文書の初公開草案で、ソフトウェア開発者が生成的AIやデュアルユース基盤モデル（有益にも有害にも使用できるAI機構）に起因するリスクを軽減することを目的としている。もう1つは、AIシステムのユーザーや開発者が、ある種の攻撃がAIシステムの性能をどのように低下させるかを測定するのを助けるために設計されたテストプラットフォームである。
Of the remaining three releases, two are guidance documents designed to help manage the risks of generative AI — the technology that enables many chatbots as well as text-based image and video creation tools — and serve as companion resources to NIST’s AI Risk Management Framework (AI RMF) and Secure Software Development Framework (SSDF). The third proposes a plan for U.S. stakeholders to work with others around the globe on AI standards. These three publications previously appeared April 29 in draft form for public comment, and NIST is now releasing their final versions.	残りの3つのリリースのうち、2つは生成的AI（多くのチャットボットやテキストベースの画像・動画作成ツールを実現する技術）のリスクマネジメントを支援するために設計されたガイダンス文書で、NISTのAIリスクマネジメントフレームワーク（AI RMF）とセキュアソフトウェア開発フレームワーク（SSDF）の関連リソースとなっている。3つ目は、米国の関係者が世界中の関係者とAI標準について協力するための計画を提案している。これら3つの出版物は、4月29日にパブリックコメント用のドラフトとして発表されたが、NISTは今回、最終版を発表する。
The two releases NIST is announcing today for the first time are:	NISTが本日初めて発表するのは、以下の2つである：
Preventing Misuse of Dual-Use Foundation Models	デュアルユースファウンデーションモデルの誤用を防ぐ
AI foundation models are powerful tools that are useful across a broad range of tasks and are sometimes called “dual-use” because of their potential for both benefit and harm. NIST’s AI Safety Institute has released the initial public draft of its guidelines on Managing Misuse Risk for Dual-Use Foundation Models (NIST AI 800-1), which outlines voluntary best practices for how foundation model developers can protect their systems from being misused to cause deliberate harm to individuals, public safety and national security.	AI基盤モデルは、幅広いタスクに有用な強力なツールであり、利益と害悪の両方の可能性があるため、「デュアルユース」と呼ばれることもある。NISTのAIセーフティ・インスティテュートは、「デュアルユース・ファウンデーションモデルの悪用リスクマネジメントに関するガイドライン」（NIST AI 800-1）の初公開ドラフトを発表した。このガイドラインは、ファウンデーションモデル開発者が、そのシステムが悪用されて、個人、公共の安全、国家安全保障に意図的な危害が及ぶことを防ぐための自主的なベストプラクティスをまとめたものである。
The draft guidance offers seven key approaches for mitigating the risks that models will be misused, along with recommendations for how to implement them and how to be transparent about their implementation. Together, these practices can help prevent models from enabling harm through activities like developing biological weapons, carrying out offensive cyber operations, and generating child sexual abuse material and nonconsensual intimate imagery.	ドラフト・ガイダンスは、モデルが悪用されるリスクを軽減するための7つの主要なアプローチと、それらの実施方法、および実施方法の透明性に関する勧告を提示している。これらの実践を組み合わせることで、生物兵器の開発、攻撃的サイバー作戦の実行、児童性的虐待資料や非合意の親密な画像の生成といった活動を通じて、モデルが危害を加えることを防ぐことができる。
NIST is accepting comments from the public on the draft Managing the Risk of Misuse for Dual-Use Foundation Models until Sept. 9, 2024, at 11:59 p.m. Eastern Time. Comments can be submitted to NISTAI800-1@nist.gov.	NISTは、ドラフト「Managing the Risk of Misuse for Dual-Use Foundation Models」に対する一般からのコメントを、2024年9月9日午後11時59分（米国東部時間）まで受け付けている。コメントはNISTAI800-1@nist.gov。
Testing How AI System Models Respond to Attacks	AIシステムモデルが攻撃にどのように対応するかをテストする
One of the vulnerabilities of an AI system is the model at its core. By exposing a model to large amounts of training data, it learns to make decisions. But if adversaries poison the training data with inaccuracies — for example, by introducing data that can cause the model to misidentify stop signs as speed limit signs — the model can make incorrect, potentially disastrous decisions. Testing the effects of adversarial attacks on machine learning models is one of the goals of Dioptra, a new software package aimed at helping AI developers and customers determine how well their AI software stands up to a variety of adversarial attacks.	AIシステムの脆弱性のひとつは、その核となるモデルである。モデルを大量の訓練データにさらすことで、意思決定を行うことを学習する。しかし、敵対的サンプルが不正確なデータ・ポイズニングを行った場合、例えば、モデルが一時停止標識を制限速度標識と誤認するようなデータを導入した場合、モデルは誤った、潜在的に悲惨な判断を下す可能性がある。機械学習モデルに対する敵対的攻撃の影響をテストすることは、Dioptraの目標の一つである。Dioptraは、AI開発者や顧客が、AIソフトウェアが様々な敵対的攻撃にどの程度耐えられるかを判断するのを支援することを目的とした新しいソフトウェア・パッケージである。
The open-source software, available for free download, could help the community, including government agencies and small to medium-sized businesses, conduct evaluations to assess AI developers’ claims about their systems’ performance. This software responds to Executive Order section 4.1 (ii) (B), which requires NIST to help with model testing. Dioptra does this by allowing a user to determine what sorts of attacks would make the model perform less effectively and quantifying the performance reduction so that the user can learn how often and under what circumstances the system would fail.	無料でダウンロード可能なオープンソースソフトウェアは、政府機関や中小企業を含むコミュニティが、AI開発者が主張するシステムの性能を評価するための評価を実施するのに役立つだろう。このソフトウェアは、大統領令4.1項（ii）（B）に対応するもので、NISTにモデルテストの支援を求めている。Dioptraは、どのような攻撃がモデルの性能を低下させるかをユーザーが判断できるようにし、性能低下を定量化することで、システムがどのような状況下でどの程度の頻度で失敗するかをユーザーが知ることができるようにする。
Augmenting today’s two initial releases are three finalized documents:	本日の2つの初期リリースに加え、3つの最終文書が発表された：
Mitigating the Risks of Generative AI	生成的AIのリスク低減
The AI RMF Generative AI Profile (NIST AI 600-1) can help organizations identify unique risks posed by generative AI and proposes actions for generative AI risk management that best aligns with their goals and priorities. The guidance is intended to be a companion resource for users of NIST’s AI RMF. It centers on a list of 12 risks and just over 200 actions that developers can take to manage them.	AI RMFの生成的AIプロファイル（NIST AI 600-1）は、組織が生成的AIがもたらす固有のリスクを特定し、その目標や優先順位に最も適した生成的AIのリスクマネジメントのための行動を提案するのに役立つ。このガイダンスは、NISTのAI RMFの利用者向けの付属リソースとなることを意図している。このガイダンスは、12のリスクと、開発者がリスクマネジメントのために取ることができる200以上のアクションのリストを中心に構成されている。
The 12 risks include a lowered barrier to entry for cybersecurity attacks, the production of mis- and disinformation or hate speech and other harmful content, and generative AI systems confabulating or “hallucinating” output. After describing each risk, the document presents a matrix of actions that developers can take to mitigate it, mapped to the AI RMF.	12のリスクには、サイバーセキュリティ攻撃への参入障壁の低下、偽情報やヘイトスピーチ、その他の有害なコンテンツの生成、生成的AIシステムによる出力の混同や「幻覚」などが含まれる。それぞれのリスクについて説明した後、開発者がそのリスクを低減するために取るべき行動を、AI RMFに対応させてマトリックスで提示している。
Reducing Threats to the Data Used to Train AI Systems	AIシステムの学習に使用されるデータへの脅威を軽減する
The second finalized publication, Secure Software Development Practices for Generative AI and Dual-Use Foundation Models (NIST Special Publication (SP) 800-218A), is designed to be used alongside the Secure Software Development Framework (SP 800-218). While the SSDF is broadly concerned with software coding practices, the companion resource expands the SSDF in part to address a major concern with generative AI systems: They can be compromised with malicious training data that adversely affect the AI system’s performance.	2つ目の最終刊行物である「生成的AIおよびデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス」（NIST特別刊行物（SP）800-218A）は、安全なソフトウェア開発フレームワーク（SP800-218）と並行して使用されるように設計されている。SSDFは広くソフトウェアコーディングの実践を対象としているが、この関連リソースは、生成的AIシステムの主要な懸念に対処するためにSSDFを部分的に拡張している： それは、AIシステムの性能に悪影響を与える悪意のある学習データによって、システムが危険にさらされる可能性があるというものだ。
In addition to covering aspects of the training and use of AI systems, this guidance document identifies potential risk factors and strategies to address them. Among other recommendations, it suggests analyzing training data for signs of poisoning, bias, homogeneity and tampering.	AIシステムの訓練と使用の側面をカバーすることに加え、このガイダンス文書は潜在的なリスク要因とそれらに対処するための戦略を特定する。特に、ポイズニング、バイアス、均質性、改ざんなどの兆候がないか、学習データを分析することを推奨している。
Global Engagement on AI Standards	AI標準に関するグローバルな取り組み
AI systems are transforming society not only within the U.S., but around the world. A Plan for Global Engagement on AI Standards (NIST AI 100-5), today’s third finalized publication, is designed to drive the worldwide development and implementation of AI-related consensus standards, cooperation and coordination, and information sharing.	AIシステムは米国内だけでなく、世界中で社会を変革しつつある。AI標準に関するグローバルな関与のための計画（NIST AI 100-5）は、AI関連のコンセンサス標準の世界的な開発と実施、協力と調整、情報共有を推進するために策定された。
The guidance is informed by priorities outlined in the NIST-developed Plan for Federal Engagement in AI Standards and Related Tools and is tied to the National Standards Strategy for Critical and Emerging Technology. This publication suggests that a broader range of multidisciplinary stakeholders from many countries participate in the standards development process.	このガイダンスは、NISTが策定した「AI標準および関連ツールにおける連邦政府の関与のための計画」で示された優先事項に基づいており、「重要かつ新たな技術のための国家標準化戦略」と関連している。本書は、標準開発プロセスに多くの国から幅広い分野の利害関係者が参加することを示唆している。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

 

大統領令14110

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

 

AI企業との自主的約束

・2023.07.22 米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした３つの分野の８つの約束

 

 

ニュージーランド プライバシーコミッショナー 子供のプライバシーについての調査結果と洞察... (2024.04.17)

こんにちは、丸山満彦です。

ニュージーランドのプライバシーコミッショナーが子供のプライバシーについての調査結果と洞察を公表していました...

文化的な背景も、法環境も違うので、そのままというわけにはいかないとは思いますが、参考になりそうですね...そういえば、日本でも個人情報保護法の改正に向けた有識者会議が設置（委員）されるようですし...

 

 

● Privacy Commissioner

・2024.04.17 New survey shows we all need to sharpen up about privacy risks for kids

New survey shows we all need to sharpen up about privacy risks for kids	新たな調査によれば、我々は皆、子供のプライバシーリスクについて研ぎ澄ます必要がある
Concern about social media use was one of the three themes raised by experts and agencies working directly with children.	ソーシャルメディアの使用に関する懸念は、専門家や子どもと直接関わる機関から寄せられた3つのテーマのうちの1つであった。
The three key themes were:	3つの主要テーマは以下の通りである：
- Social media is a major concern, and a combination of guidance and regulatory changes are needed to manage this risk to children’s privacy.	・ソーシャルメディアは大きな懸念事項であり、子どものプライバシーに対するこのリスクをマネジメントするためにはガイダンスと規制の変更の組み合わせが必要である。
- More guidance is needed to help professionals, parents and children better understand privacy risks.	・専門家、保護者、そして子どもたちがプライバシーのリスクをよりよく理解できるよう、より多くのガイダンスが必要である。
- Some regulatory changes could better protect children’s privacy, including changing the Privacy Act to include a right to be forgotten, introducing a requirement to consider the best interests of the child, or creating a code of practice.	・忘れられる権利を含むプライバシー法の改正、子どもの最善の利益を考慮する義務の導入、または実践規範の作成などいくつかの規制改正は子どものプライバシーをよりよく保護することができる。
Privacy Commissioner Michael Webster said the sorts of concerns raised in the survey were well summed up by one respondent, "Young people don’t have the capacity to make fully informed decisions about their digital footprint and the long-lasting implications of having an online presence."	プライバシー・コミッショナーのマイケル・ウェブスター氏は、次のように述べた。「調査で提起された種類の懸念は、ある回答者によってうまく要約されている。若者は、自分のデジタルフットプリントや、オンラインプレゼンスを持つことの長期的な影響について、十分な情報を得た上で意思決定する能力を持っていない」。
Mr Webster says, "Privacy concerns like children sharing personal information and details that can be used to bully or blackmail them are well known."	ウェブスター氏はまた次のようも述べた。「いじめや脅迫に使われる可能性のある個人情報や詳細を子供たちが共有するようなプライバシーに関する懸念はよく知られている。」
"But there are other risks too like children sharing their own or others personal and financial details, including credit card details, home address, phone and email contact information."	「しかし、クレジットカードの詳細、自宅の住所、電話や電子メールの連絡先など、自分や他人の個人情報や金銭的な情報を共有するようなリスクもある。」
"Geolocation is a good example of a lesser-known privacy risk. Many apps and games use this feature, which can be used track the location of the child. However, it’s something that can be easily managed by having the right privacy settings on a device."	「ジオロケーションは、あまり知られていないプライバシーリスクの良い例だ。多くのアプリやゲームがこの機能を利用しており、子どもの居場所を追跡することができる。しかし、デバイスのプライバシー設定を適切にすることで、簡単に管理できるものだ。」
The privacy risks parents had as children aren’t the same issues children face now.	親たちが子供の頃に抱えていたプライバシーリスクは、今の子供たちが直面している問題とは違う。
"Sometimes, adults share images and content featuring their children on social media, but children also have their own lives, and they might not want that content shared. If possible, it’s good to involve children in discussions about the pros and cons of sharing content," says Mr Webster.	ウェブスター氏はさらに次のように述べた。「時には、大人がソーシャルメディア上で子供が登場する画像やコンテンツを共有することもあるが、子供にも自分の生活があり、そのコンテンツの共有を望まないこともある。可能であれば、コンテンツを共有することの是非について、子どもたちを巻き込んで話し合うとよいでしょう」。
The nature of social media means it’s hard to keep things restricted even in private groups. A good question to ask is can you guarantee that this content will stay private?	ソーシャルメディアの性質上、個人的なグループであっても、物事を制限し続けることは難しい。そのコンテンツが非公開であり続けることを保証できるのか？
"Children and young people’s privacy is a priority area for my office. Children are more vulnerable to privacy harms, and so they require additional care to ensure that their privacy is protected."	「子供と若者のプライバシーは、私の事務所にとって優先分野である。子どもたちはプライバシー侵害に対してより脆弱であるため、彼らのプライバシーが確実に守られるよう、さらなる配慮が必要である。」
Other survey findings included:	その他の調査結果は以下の通りである：
- Parents need guidance to understand how they can protect their child’s privacy rights, including what they can expect from agencies collecting their child’s information	・保護者は,子どもの情報を収集する機関から何を期待できるかなど,子どものプライバシーの権利を保護する方法を理解するためのガイダンスが必要である。
- Help is needed to educate tamariki/children from a young age about privacy harms	・プライバシーの害について幼い頃からタマリキ/子どもたちを教育する手助けが必要である。
- Organisations should tell people about how their information is used	・組織は自分の情報がどのように使用されるかについて人々に伝えるべきである。
- There needs to be higher penalties for organisations who breach a child’s privacy	・子どものプライバシーを侵害した組織にはより高い罰則が必要である。
- The need for an information campaign to educate parents on the risks of posting images of their tamariki/children on social media.	・タマリキ/子どもの画像をソーシャルメディアに投稿するリスクについて親を教育する情報キャンペーンが必要である。
Findings from the survey will help finalise the next steps for protecting children’s privacy, including helping determine whether our current regulatory framework adequately supports children and young people’s privacy rights, or whether new or expanded regulatory responses are required.	この調査の防御は、現在の規制の枠組みが子どもや若者のプライバシーの権利を適切にサポートしているかどうか、あるいは新たな、あるいは拡大された規制の対応が必要であるかどうかを判断する一助となるなど、子どものプライバシー保護のための次のステップを最終的に決定するのに役立つだろう。
A summary of the findings can be found on our website.	調査結果の要約は、我々のウェブサイトで見ることができる。

 

 

・Children and Young People's Privacy project

・[DOCX][PDF] Short Report

 

・[DOCX][PDF] Full Report

・[DOCX][PDF] 仮訳

 

 

 

米国 司法省 米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で北朝鮮政府のハッカーを起訴

こんにちは、丸山満彦です。

米国の司法省が、米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で北朝鮮政府のハッカーを起訴していますね...

合わせて、CISAから警告が、国務省から情報に対する報奨に関して公表されていますね...

あと、マイクロソフト、グーグルからも情報を出していますね...

 

● U.S. Department of Justice - Office of Public Affairs

・2024.07.25 North Korean Government Hacker Charged for Involvement in Ransomware Attacks Targeting U.S. Hospitals and Health Care Providers

North Korean Government Hacker Charged for Involvement in Ransomware Attacks Targeting U.S. Hospitals and Health Care Providers	北朝鮮政府のハッカーが米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で起訴される
Hacking Group Known as “Andariel” Used Ransom Proceeds to Fund Theft of Sensitive Information from Defense and Technology Organizations Worldwide, Including U.S. Government Agencies	Andariel」として知られるハッキング・グループは、身代金収入を米国政府機関を含む世界中の防衛・技術組織からの機密情報窃盗の資金として使用していた。
Note: View the indictment here and view cryptocurrency seizure affidavit here.	注：起訴状はこちら、暗号通貨押収宣誓供述書はこちら。
A grand jury in Kansas City, Kansas, returned an indictment on Wednesday charging North Korean national Rim Jong Hyok for his involvement in a conspiracy to hack and extort U.S. hospitals and other health care providers, launder the ransom proceeds, and then use these proceeds to fund additional computer intrusions into defense, technology, and government entities worldwide. Their ransomware attacks prevented victim health care providers from providing full and timely care to patients.	カンザス州カンザスシティの大陪審は2日、北朝鮮国籍のリム・ジョンヒョクを、米国の病院やその他の医療提供者をハッキングして恐喝し、身代金収入を洗浄した後、これらの収入を世界中の防衛、技術、政府機関への追加的なコンピュータ侵入の資金源にするための共謀に関与したとして起訴した。彼らのランサムウェア攻撃は、被害者である医療提供者が患者に十分かつタイムリーな治療を提供することを妨げた。
“Two years ago, the Justice Department disrupted the North Korean group using Maui ransomware to hold hostage U.S. hospitals and health care providers,” said Deputy Attorney General Lisa Monaco. “Today’s criminal charges against one of those alleged North Korean operatives demonstrates that we will be relentless against malicious cyber actors targeting our critical infrastructure. This latest action, in collaboration with our partners in the U.S. and overseas, makes clear that we will continue to deploy all the tools at our disposal to disrupt ransomware attacks, hold those responsible to account, and place victims first.”	「司法省は2年前、マウイ・ランサムウェアを使って米国の病院や医療提供者を人質に取っていた北朝鮮のグループを壊滅させた。「本日の北朝鮮工作員容疑者の一人に対する刑事起訴は、われわれが重要インフラを標的とする悪質なサイバー工作員に対して容赦なく対処することを示している。米国内外のパートナーとの協力によるこの最新の行動は、ランサムウェア攻撃を妨害し、責任者の責任を追及し、被害者を第一に考えるために、我々が自由に使えるあらゆる手段を引き続き展開することを明確にするものである。"
“Rim Jong Hyok and his co-conspirators deployed ransomware to extort U.S. hospitals and health care companies, then laundered the proceeds to help fund North Korea’s illicit activities,” said Deputy Director Paul Abbate of the FBI. “These unacceptable and unlawful actions placed innocent lives at risk. The FBI and our partners will leverage every tool available to neutralize criminal actors and protect American citizens.”	「リム・ジョンヒョクとその共謀者たちは、ランサムウェアを展開して米国の病院や医療関連企業を恐喝し、その収益を北朝鮮の不正活動の資金源とするために洗浄した」とFBIのポール・アベイト副長官は述べた。「このような容認できない違法行為により、罪のない人々の命が危険にさらされた。FBIと我々のパートナーは、犯罪者を無力化し、アメリカ市民を守るために、あらゆる手段を活用していく。
“North Korean hackers developed custom tools to target and extort U.S. health care providers and used their ill-gotten gains to fund a spree of hacks into government, technology, and defense entities worldwide, all while laundering money through China,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “The indictment, seizures, and other actions announced today demonstrate the Department’s resolve to hold these malicious actors accountable, impose costs on the North Korean cyber program, and help innocent network owners recover their losses and defend themselves.”	「北朝鮮のハッカーたちは、米国のヘルスケア・プロバイダーを標的にし、恐喝するためのカスタム・ツールを開発し、その不正に得た利益を使って、世界中の政府、技術、防衛団体へのハッキングの乱発に資金を提供し、その一方で、すべて中国を通じて資金洗浄を行っていた。「本日発表された起訴、差し押さえ、およびその他の措置は、これらの悪意ある行為者の責任を追及し、北朝鮮のサイバー・プログラムにコストを課し、無実のネットワーク所有者が損失を回復し、自己防衛できるよう支援するという司法省の決意を示すものである。
“Today’s indictment underscores our commitment to protecting critical infrastructure from malicious actors and the countries that sponsor them,” said U.S. Attorney Kate E. Brubacher for the District of Kansas. “Rim Jong Hyok and those in his trade put people’s lives in jeopardy. They imperil timely, effective treatment for patients and cost hospitals billions of dollars a year. The Justice Department will continue to disrupt nation-state actors and ensure that American systems are protected in the District of Kansas and across our nation.”	「本日の起訴は、悪意ある行為者とそれを支援する国から重要インフラを守るという我々の決意を強調するものである。「リム・ジョンヒョクとその仲間たちは、人々の命を危険にさらしている。彼らは患者のタイムリーで効果的な治療を妨げ、病院に年間何十億ドルもの損害を与えている。司法省は、カンザス地区とわが国全体において、国家的行為者を混乱させ、米国のシステムが確実に守られるようにし続ける。
“The Air Force Office of Special Investigations (OSI) will continue to work alongside our law enforcement partners to root out malicious actors who seek to degrade the Department of the Air Force’s ability to protect the nation,” said Brigadier General Amy S. Bumgarner, OSI Commander. “Multiple OSI units, including one of our newly established National Security Detachments, which were established to provide counterintelligence, law enforcement and analytical support to protect technology at the earliest stages of advanced research and development, provided support to this investigation.”	「空軍特別捜査局（OSI）は、国家を守る空軍省の能力を低下させようとする悪意ある行為者を根絶するために、法執行機関のパートナーとともに引き続き取り組んでいく」と、OSI司令官のエイミー・S・バムガーナー准将は語った。「OSIの複数のユニットは、防諜、法執行、高度な研究開発の初期段階で技術を保護するための分析支援を提供するために設立された新設の国家安全保障分遣隊の1つを含め、この調査に支援を提供した。
“While North Korea uses these types of cybercrimes to circumvent international sanctions and fund its political and military ambitions, the impact of these wanton acts have a direct impact on the citizens of Kansas,” said Special Agent in Charge Stephen A. Cyrus of the FBI Kansas City Field Office. “These actions keep our families from getting the health care they need, slowing the response of our first responders, endangering our critical infrastructure and, ultimately, costing Kansans through ransoms paid, lost productivity, and money spent to rebuild our networks following cyber attacks. Today’s charges prove these cyber actors cannot act with impunity and that malicious actions against the citizens of Kansas and the rest of the United States have severe consequences.”	「北朝鮮は、国際的制裁を回避し、政治的・軍事的野心に資金を供給するために、この種のサイバー犯罪を利用しているが、このような無謀な行為の影響は、カンザス州の市民に直接的な影響を及ぼしている」と、FBIカンザスシティ支局のスティーブン・A・サイラス特別捜査官は語った。「このような行為により、私たちの家族は必要な医療を受けられず、第一応答者の対応は遅れ、重要なインフラは危険にさらされ、最終的には、身代金の支払い、生産性の低下、サイバー攻撃後のネットワーク再構築に費やされる費用を通じて、カンザス市民に犠牲を強いている。本日の起訴は、こうしたサイバー行為者が平然と行動することはできず、カンザス州市民やその他の米国市民に対する悪意ある行為が深刻な結果をもたらすことを証明するものである。
“The indictment of individuals responsible for breaching U.S. government systems, regardless of their location, demonstrates the dedication of the National Aeronautics and Space Administration Office of Inspector General (NASA-OIG), the Justice Department, and our law enforcement partners to relentlessly investigate, prosecute, and hold accountable those who believe they can operate in the shadows,” said Assistant Inspector General for Investigations Robert Steinau of NASA-OIG.	「NASA-OIGのロバート・スタイナウ監察官補は、次のように述べた。「米国政府のシステム侵入に責任のある個人が、その所在地に関係なく起訴されたことは、米国航空宇宙局監察官室（NASA-OIG）、司法省、および法執行機関のパートナーが、影で活動できると信じている者たちを執拗に調査し、起訴し、責任を負わせることに専念していることを示している。
According to court documents, Rim and his co-conspirators worked for North Korea’s Reconnaissance General Bureau, a military intelligence agency, and are known to the private sector as “Andariel,” “Onyx Sleet,” and “APT45.” Rim and his co-conspirators laundered ransom payments through China-based facilitators and used these proceeds to purchase internet infrastructure, which the co-conspirators then used to hack and exfiltrate sensitive defense and technology information from entities across the globe. Victims of this further hacking include two U.S. Air Force bases, NASA-OIG, and entities located in Taiwan, South Korea, and China. Related Andariel activity has been the subject of private sector reporting, and a cybersecurity advisory with updated technical indicators of compromise was published by the FBI, the National Security Agency, U.S. Cyber Command’s Cyber National Mission Force, the Department of the Treasury, the Department of Defense’s Cyber Crime Center, the Cybersecurity and Infrastructure Security Administration, and South Korean and United Kingdom partners today.	法廷文書によると、リムとその共謀者たちは、軍事情報機関である北朝鮮の偵察総局で働いており、民間では "Andariel"、"Onyx Sleet"、"APT45 "として知られている。リムとその共謀者は、中国を拠点とするファシリテーターを通じて身代金の支払いを洗浄し、その資金でインターネット・インフラを購入した。このさらなるハッキングの犠牲者には、2つの米空軍基地、NASA-OIG、台湾、韓国、中国の事業体が含まれる。関連するアンダリエルの活動は民間部門の報告の対象となっており、侵害の技術的指標を更新したサイバーセキュリティ勧告が、FBI、国家安全保障局、米サイバー司令部のサイバー国家任務部隊、財務省、国防総省のサイバー犯罪センター、サイバーセキュリティおよびインフラセキュリティ管理局、および韓国と英国のパートナーによって本日発表された。
The Justice Department and the FBI are also announcing the interdiction of approximately $114,000 in virtual currency proceeds of ransomware attacks and related money laundering transactions, as well as the seizure of online accounts used by co-conspirators to carry out their malicious cyber activity. The FBI previously seized approximately $500,000 in virtual currency proceeds of ransomware attacks and related money laundering transactions. In addition to these actions, the Department of State announced today a reward offer of up to $10 million for information leading to the location or identification of Rim. The State Department’s Rewards for Justice program has a standing reward offer for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act.	司法省とFBIはまた、ランサムウェア攻撃と関連するマネーロンダリング取引による仮想通貨収入約11万4000ドルの差し止めと、共謀者が悪質なサイバー活動の実行に使用したオンライン口座の押収についても発表する。FBIは以前にも、ランサムウェア攻撃および関連するマネーロンダリング取引による仮想通貨収入約50万ドルを押収している。これらの措置に加え、国務省は本日、リムの居場所や特定につながる情報に対して最高1,000万ドルの報奨金を提供することを発表した。国務省の司法のための報奨プログラムは、外国政府の指示または支配下で行動している間に、コンピュータ詐欺および乱用防止法に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行った者の特定または所在につながる情報に対する報奨を常時提供している。
Private sector partners are also taking other voluntary actions to limit the spread of Andariel-created malware. In partnership with the Department, Microsoft developed and implemented technical measures to block Andariel actors from accessing victims’ computer networks. Additionally, Mandiant is publishing research today that highlights its unique insights into Andariel’s tactics, techniques, and procedures. These actions by Microsoft and Mandiant were a significant part of the overall effort to secure networks, and they will help cybersecurity practitioners prevent, identify, and mitigate attacks from Andariel actors.	民間部門のパートナーは、アンダリエルが作成したマルウェアの拡散を制限するために、他の自主的な行動も取っている。マイクロソフト社は、同省との協力の下、アンダリエル行為者が被害者のコンピュータ・ネットワークにアクセスするのをブロックする技術的手段を開発し、実施した。さらに、Mandiantは本日、アンダリエルの戦術、技術、手順に関する独自の洞察に焦点を当てた調査結果を発表している。マイクロソフトとマンディアントによるこれらの措置は、ネットワークを保護するための全体的な取り組みの重要な一部であり、サイバーセキュリティの実務者がアンダリエル行為者からの攻撃を防止、特定、緩和するのに役立つだろう。
Maui Ransomware and Money Laundering	マウイ・ランサムウェアとマネーロンダリング
As alleged in the indictment, Rim worked for North Korea’s Reconnaissance General Bureau (RGB), a military intelligence agency, and participated in the conspiracy to target and hack computer networks of U.S. hospitals and other health care providers, encrypt their electronic files, extort a ransom payment from them, launder those payments, and use the laundered proceeds to hack targets of interest to the North Korean regime.	起訴状で主張されているように、Rimは軍事諜報機関である北朝鮮の偵察総局（RGB）で働き、米国の病院やその他の医療提供者のコンピュータ・ネットワークを標的にしてハッキングし、その電子ファイルを暗号化して身代金の支払いを強要し、その支払いを洗浄し、洗浄された収益を使って北朝鮮の政権が関心を持つ標的をハッキングするという陰謀に参加した。
The Andariel actors used custom malware, developed by the RGB, known as “Maui.” After running the maui.exe program to encrypt a ransomware victim’s computer network, the North Korean co-conspirators would extort the organization by leaving a note with a cryptocurrency address for a ransom payment.	アンダリエルの行為者は、RGBが開発した "マウイ "として知られるカスタムマルウェアを使用した。maui.exeプログラムを実行してランサムウェア被害者のコンピュータネットワークを暗号化した後、北朝鮮の共謀者は身代金支払いのための暗号通貨アドレスを記したメモを残すことで組織を恐喝した。
The Andariel actors received ransom payments in a virtual currency and then laundered the payments with the assistance of Hong Kong-based facilitators. In at least one case, these Hong Kong facilitators converted ransom funds from cryptocurrency to Chinese yuan. The yuan was then accessed from an ATM in China in the immediate vicinity of the Sino-Korean Friendship Bridge, which connects Dandong, China, and Sinuiju, North Korea.	アンダリエルの実行犯は、身代金の支払いを仮想通貨で受け取り、香港に拠点を置く仲介業者の支援を受けて支払いを洗浄した。少なくとも1つのケースでは、この香港のファシリテーターが身代金の資金を暗号通貨から中国人民元に変換していた。人民元はその後、中国の丹東と北朝鮮の新義州を結ぶ中韓友好橋のすぐ近くにある中国のATMからアクセスされた。
Exfiltration of Sensitive Data from Companies and Government Agencies	企業や政府機関からの機密データの流出
Rim and his co-conspirators used ransom proceeds to lease virtual private servers that were used to launch attacks against defense, technology, and other organizations, and to steal information from them. Victims of this further hacking included U.S. defense contractors, two U.S. Air Force bases, NASA-OIG, South Korean and Taiwanese defense contractors, and a Chinese energy company. The Andariel actors obtained initial access to victims’ networks by exploiting known vulnerabilities that had not been patched by the victims, including the widespread Log4Shell vulnerability. (Additional tactics, techniques, and procedures are available in the joint cybersecurity advisory released today.) The Andariel actors stole terabytes of information, including unclassified U.S. government employee information, old technical information related to military aircraft, intellectual property, and limited technical information pertaining to maritime and uranium processing projects.	リムとその共謀者たちは、身代金収入を使って仮想プライベートサーバーをリースし、防衛、技術、その他の組織に対する攻撃を開始し、それらの組織から情報を盗んだ。このさらなるハッキングの被害者には、米国の防衛請負業者、2つの米空軍基地、NASA-OIG、韓国と台湾の防衛請負業者、中国のエネルギー会社が含まれていた。Andarielの行為者は、被害者がパッチを適用していない既知の脆弱性（広範に存在するLog4Shellの脆弱性を含む）を悪用することで、被害者のネットワークへの最初のアクセスを得た。(その他の戦術、技術、手順については、本日発表された共同サイバーセキュリティ勧告を参照されたい）。アンダリエルの行為者は、機密扱いのない米国政府職員情報、軍用機に関する古い技術情報、知的財産、海事およびウラン処理プロジェクトに関する限定的な技術情報など、テラバイト単位の情報を盗んだ。
Assistant U.S. Attorneys Ryan Huschka and Chris Oakley for the District of Kansas and Trial Attorneys Neeraj Gupta and George Brown of the National Security Division’s National Security Cyber Section are prosecuting the case.	カンザス地区担当のライアン・ハシュカおよびクリス・オークリー両米国弁護士補と、国家安全保障部国家安全保障サイバー課のニーラジ・グプタおよびジョージ・ブラウン両裁判官がこの事件を起訴している。
The FBI continues to investigate Andariel’s hacking and money laundering activities. The Air Force Office of Special Investigations, the Department of Defense Cyber Crime Center, and NASA-OIG provided valuable assistance.	FBIは引き続きアンダリエルのハッキングとマネーロンダリング活動を捜査している。空軍特別捜査局、国防総省サイバー犯罪センター、NASA-OIGは貴重な援助を提供した。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt.	起訴は単なる申し立てに過ぎない。すべての被告は、合理的な疑いを超えて有罪が証明されるまでは無罪と推定される。
View previous joint cybersecurity advisories from CISA here.	CISAによる過去の共同サイバーセキュリティ勧告はこちらで閲覧できる。
View previous joint cybersecurity advisories from Department of Defense here.	国防総省による過去の共同サイバーセキュリティ勧告はこちら。
View previous cryptocurrency seizure announcement here.	過去の暗号通貨押収に関する発表はこちら。

 

起訴状

・[PDF] indictment

 

暗号通貨押収宣誓供述書

・[PDF] cryptocurrency seizure affidavit

 

---

 

● CISA

・2024.07.25 North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs

 

North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs	北朝鮮のサイバー集団が政権の軍事・核プログラムを推進するため世界的なスパイキャンペーンを実施
Alert Code AA24-207A	アラートコード AA24-207A
Summary	概要
The U.S. Federal Bureau of Investigation (FBI) and the following authoring partners are releasing this Cybersecurity Advisory to highlight cyber espionage activity associated with the Democratic People’s Republic of Korea (DPRK)’s Reconnaissance General Bureau (RGB) 3rd Bureau based in Pyongyang and Sinuiju:	米国連邦捜査局（FBI）と以下の認可パートナーは、平壌と新義州に拠点を置く朝鮮民主主義人民共和国（DPRK）の偵察総局（RGB）第3局に関連するサイバースパイ活動に焦点を当てるため、このサイバーセキュリティ勧告を発表する：
U.S. Cyber National Mission Force (CNMF)	米サイバー国家任務部隊（CNMF）
U.S. Cybersecurity and Infrastructure Security Agency (CISA)	米サイバーセキュリティ・インフラセキュリティ庁（CISA）
U.S. Department of Defense Cyber Crime Center (DC3)	米国防総省サイバー犯罪センター（DC3）
U.S. National Security Agency (NSA)	米国国家安全保障局（NSA）
Republic of Korea’s National Intelligence Service (NIS)	大韓民国国家情報院（NIS）
Republic of Korea’s National Police Agency (NPA)	韓国の警察庁（NPA）
United Kingdom’s National Cyber Security Centre (NCSC)	英国国家サイバーセキュリティセンター（NCSC）
The RGB 3rd Bureau includes a DPRK (aka North Korean) state-sponsored cyber group known publicly as Andariel, Onyx Sleet (formerly PLUTONIUM), DarkSeoul, Silent Chollima, and Stonefly/Clasiopa. The group primarily targets defense, aerospace, nuclear, and engineering entities to obtain sensitive and classified technical information and intellectual property to advance the regime’s military and nuclear programs and ambitions. The authoring agencies believe the group and the cyber techniques remain an ongoing threat to various industry sectors worldwide, including but not limited to entities in their respective countries, as well as in Japan and India. RGB 3rd Bureau actors fund their espionage activity through ransomware operations against U.S. healthcare entities.	RGB第3局には、Andariel、Onyx Sleet（旧PLUTONIUM）、DarkSeoul、Silent Chollima、Stonefly/Clasiopaとして公に知られているDPRK（別名北朝鮮）国家支援サイバーグループが含まれている。このグループは、主に防衛、航空宇宙、原子力、エンジニアリングの事業体を標的にし、政権の軍事・核プログラムや野望を推進するための機密技術情報や知的財産を入手している。認可機関は、このグループとサイバー技術は、それぞれの国や日本、インドの事業体を含むがこれに限定されない、世界中の様々な産業部門に対する継続的な脅威であり続けていると考えている。RGB第3局の行為者は、米国の医療事業体に対するランサムウェアの操作を通じてスパイ活動の資金を調達している。
The actors gain initial access through widespread exploitation of web servers through known vulnerabilities in software, such as Log4j, to deploy a web shell and gain access to sensitive information and applications for further exploitation. The actors then employ standard system discovery and enumeration techniques, establish persistence using Scheduled Tasks, and perform privilege escalation using common credential stealing tools such as Mimikatz. The actors deploy and leverage custom malware implants, remote access tools (RATs), and open source tooling for execution, lateral movement, and data exfiltration.	この行為者は、Log4jのようなソフトウェアの既知の脆弱性を利用したウェブサーバーの広範な悪用を通じて最初のアクセスを獲得し、ウェブシェルを展開し、さらなる悪用のために機密情報やアプリケーションへのアクセスを獲得する。その後、標準的なシステム発見と列挙のテクニックを採用し、スケジュールされたタスクを使用して永続性を確立し、Mimikatzのような一般的な資格情報窃取ツールを使用して特権の昇格を実行する。行為者は、カスタムマルウェアインプラント、リモートアクセスツール（RAT）、オープンソースツールなどを展開し、実行、横展開、データ流出などに活用する。
The actors also conduct phishing activity using malicious attachments, including Microsoft Windows Shortcut File (LNK) files or HTML Application (HTA) script files inside encrypted or unencrypted zip archives.	行為者はまた、暗号化または非暗号化zipアーカイブ内のMicrosoft Windowsショートカットファイル（LNK）ファイルやHTMLアプリケーション（HTA）スクリプトファイルなど、悪意のある添付ファイルを使用したフィッシング活動を行う。
The authoring agencies encourage critical infrastructure organizations to apply patches for vulnerabilities in a timely manner, protect web servers from web shells, monitor endpoints for malicious activities, and strengthen authentication and remote access protections. While not exclusive, entities involved in or associated with the below industries and fields should remain vigilant in defending their networks from North Korea state-sponsored cyber operations:	認可機関は、重要インフラ組織に対し、脆弱性に対するパッチを適時に適用すること、ウェブシェルからウェブサーバーを保護すること、悪意のある行為についてエンドポイントを監視すること、認証とリモートアクセスの保護を強化することを奨励している。排他的なものではないが、以下の産業や分野に関わる事業体は、北朝鮮の国家支援によるサイバー活動からネットワークを守るために警戒を怠らないべきである：
For additional information on DPRK state-sponsored malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage.	北朝鮮が支援する悪質なサイバー活動に関する追加情報については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照のこと。

 

・[PDF] AA24-207A North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs

 

---

 

国務省...

● U.S. Department of State

・2024.07.25 Rewards for Justice – Reward Offer for Information on North Korean Malicious Cyber Actor Targeting U.S. Critical Infrastructure

 

Rewards for Justice – Reward Offer for Information on North Korean Malicious Cyber Actor Targeting U.S. Critical Infrastructure	司法のための報奨金 - 米国の重要インフラを標的とする北朝鮮の悪質なサイバー行為者に関する情報に対する報奨金の提供について
The U.S. Department of State’s Rewards for Justice (RFJ) program, administered by the Diplomatic Security Service, is offering a reward of up to $10 million for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act.	外交安全保障局（Diplomatic Security Service）が運営する米国国務省の司法報奨（Rewards for Justice：RFJ）プログラムは、外国政府の指示または支配下で行動しながら、コンピューター詐欺・乱用防止法（Computer Fraud and Abuse Act）に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行った人物の特定または所在につながる情報に対して、最高1000万ドルの報奨金を提供する。
Rim Jong Hyok is a national of the Democratic People’s Republic of Korea (DPRK) who is associated with a malicious cyber group known as Andariel. The Andariel group is controlled by the DPRK’s military intelligence agency, the Reconnaissance General Bureau, which has primary responsibility for the DPRK’s malicious cyber activities and is also involved in the DPRK’s illicit arms trade.	リム・ジョンヒョクは朝鮮民主主義人民共和国（DPRK）の国民であり、アンダリエルとして知られる悪質なサイバー集団に関係している。アンダリエル・グループは朝鮮民主主義人民共和国の軍事情報機関である偵察総局によって全般統制されており、同総局は朝鮮民主主義人民共和国の悪質なサイバー活動の主要な責任を負うとともに、朝鮮民主主義人民共和国の不正武器取引にも関与している。
Andariel’s targets include foreign businesses, government entities, and the defense industry.	アンダリエルの標的は、外国企業、政府事業体、防衛産業などである。
Rim and others conspired to hack into the computer systems of U.S. hospitals and other healthcare providers, install Maui ransomware, and extort ransoms. The ransomware attacks encrypted victims’ computers and servers used for medical testing or electronic medical records and disrupted healthcare services. These malicious cyber actors then used the ransom payments to fund malicious cyber operations targeting U.S. government entities and U.S. and foreign defense contractors, among others. In one computer intrusion operation that began in November 2022, the malicious cyber actors hacked a U.S.-based defense contractor from which they extracted more than 30 gigabytes of data, including unclassified technical information regarding material used in military aircraft and satellites, much of which was from 2010 or earlier.	リムらは共謀して、米国の病院やその他の医療プロバイダのコンピュータシステムに侵入し、マウイ・ランサムウェアをインストールし、身代金を要求した。ランサムウェア攻撃は、医療検査や電子カルテに使われる被害者のコンピューターやサーバーを暗号化し、医療サービスを妨害した。これらの悪意あるサイバー行為者はその後、身代金の支払いを資金源として、米国政府事業体や米国内外の防衛関連企業などを標的とした悪意あるサイバー作戦を展開した。2022年11月に始まったあるコンピューターへの抽出作戦では、悪意のあるサイバー行為者は米国を拠点とする防衛請負業者をハッキングし、そこから軍用機や人工衛星に使用される材料に関する未分類の技術情報を含む30ギガバイト以上のデータを抽出したが、その多くは2010年以前のものであった。
U.S. law enforcement investigators have documented that Andariel actors victimized five healthcare providers, four U.S.-based defense contractors, two U.S. Air Force bases, and the National Aeronautics and Space Administration’s Office of Inspector General.	米国の法執行機関の調査官によると、アンダリエルの行為者は5つの医療プロバイダ、4つの米国を拠点とする防衛請負業者、2つの米空軍基地、および米航空宇宙局監察官室を被害者としている。
This action underscores the United States’ continued efforts to address the DPRK’s malicious cyber activity against critical infrastructure as well as prevent and disrupt the DPRK’s ability to generate illicit revenue through malicious cyber activity, which it uses to fund its unlawful WMD and ballistic missile programs.	今回の措置は、重要なインフラに対する北朝鮮の悪質なサイバー活動に対処するとともに、悪質なサイバー活動を通じて不正な収入を得る北朝鮮の能力を阻止し、混乱させ、それを違法な大量破壊兵器や弾道ミサイル計画の資金源とする米国の継続的な取り組みを強調するものである。
We encourage anyone with information on the malicious cyber activity of Rim Jong Hyok, Andariel, and associated individuals, entities, and activities to contact Rewards for Justice via the Tor-based tips-reporting channel at: [onion] (Tor browser required).	我々は、リム・ジョンヒョク、アンダリエル、および関連する個人、事業体、活動の悪質なサイバー活動に関する情報を持つ人は誰でも、Torベースの情報報告チャンネル[onion] （Torブラウザが必要）を通じて、司法のための報奨に連絡することを奨励する。
More information about this reward offer is located on the Rewards for Justice website at [web].	この報奨オファーの詳細は、Rewards for Justiceのウェブサイト [web] に掲載されている。
Since its inception in 1984, RFJ has paid in excess of $250 million to more than 125 people across the globe who provided actionable information that helped resolve threats to U.S. national security. Follow us on Twitter at [web].	1984年の創設以来、RFJは米国の国家安全保障に対する脅威の解決に役立つ実用的な情報を提供した世界中の125人以上に2億5000万ドル以上を支払ってきた。ツイッター [web] でフォローしてほしい。

 

 

---

 

マイクロソフト

● Microsoft - Blog

・2024.07.25 Onyx Sleet uses array of malware to gather intelligence for North Korea

Onyx Sleet uses array of malware to gather intelligence for North Korea	Onyx Sleet、北朝鮮の情報収集にマルウェアの数々を使う
On July 25, 2024, the United States Department of Justice (DOJ) indicted an individual linked to the North Korean threat actor that Microsoft tracks as Onyx Sleet. Microsoft Threat Intelligence collaborated with the Federal Bureau of Investigation (FBI) in tracking activity associated with Onyx Sleet. We will continue to closely monitor Onyx Sleet’s activity to assess changes following the indictment.	2024年7月25日、米国司法省（DOJ）は、マイクロソフトがOnyx Sleetとして追跡している北朝鮮の脅威行為者に関連する個人を起訴した。Microsoft Threat Intelligenceは、Onyx Sleetに関連する活動の追跡において連邦捜査局（FBI）と協力した。我々は、起訴後の変化を評価するために、Onyx Sleetの活動を注意深く監視し続ける。
First observed by Microsoft in 2014, Onyx Sleet has conducted cyber espionage through numerous campaigns aimed at global targets with the goal of intelligence gathering. More recently, it has expanded its goals to include financial gain. This threat actor operates with an extensive set of custom tools and malware, and regularly evolves its toolset to add new functionality and to evade detection, while keeping a fairly uniform attack pattern. Onyx Sleet’s ability to develop a spectrum of tools to launch its tried-and-true attack chain makes it a persistent threat, particularly to targets of interest to North Korean intelligence, like organizations in the defense, engineering, and energy sectors.	2014年にマイクロソフトによって初めて観測されたOnyx Sleetは、情報収集を目的としたグローバルな標的を狙った数々のキャンペーンを通じて、サイバースパイ活動を行ってきた。最近では、その目標を金銭的な利益にも拡大している。この脅威行為者は、広範なカスタムツールとマルウェアのセットで活動し、かなり均一な攻撃パターンを維持しながら、新しい機能を追加し、検出を回避するために定期的にツールセットを進化させている。Onyx Sleetは、試行錯誤を重ねた攻撃チェーンを展開するために、さまざまなツールを開発する能力を備えているため、特に防衛、エンジニアリング、エネルギー分野の組織など、北朝鮮の諜報機関が関心を寄せるターゲットにとって、持続的な脅威となっている。
Microsoft tracks campaigns related to Onyx Sleet and directly notifies customers who have been targeted or compromised, providing them with the necessary information to help secure their environments. In this blog, we will share intelligence about Onyx Sleet and its historical tradecraft and targets, as well as our analysis of recent malware campaigns, with the goal of enabling the broader community to identify and respond to similar campaigns. We also provide protection, detection, and hunting guidance to help improve defenses against these attacks.	マイクロソフトは、Onyx Sleetに関連するキャンペーンを追跡し、標的や侵害を受けた顧客に直接通知することで、顧客の環境を保護するために必要な情報を提供している。このブログでは、Onyx Sleetとその過去の手口や標的に関するインテリジェンス、および最近のマルウェアキャンペーンの分析を共有し、より広範なコミュニティが同様のキャンペーンを特定し、対応できるようにすることを目的としている。また、このような攻撃に対する防御の改善を支援するため、防御、検知、ハンティングに関するガイダンスも提供する。

 

 

---

 

グーグル...

● Google Cloud - Blog

・2024.07.26 APT45: North Korea’s Digital Military Machine

APT45: North Korea’s Digital Military Machine	APT45：北朝鮮のデジタル軍事マシン
Executive Summary	エグゼクティブサマリー
・APT45 is a long-running, moderately sophisticated North Korean cyber operator that has carried out espionage campaigns as early as 2009.	・APT45は、2009年の時点でスパイキャンペーンを実施していた、長期にわたって活動する中程度に洗練された北朝鮮のサイバーオペレーターである。
・APT45 has gradually expanded into financially-motivated operations, and the group’s suspected development and deployment of ransomware sets it apart from other North Korean operators.	・APT45は徐々に金銭的な動機に基づく活動へと拡大しており、ランサムウェアの開発と展開が疑われていることから、他の北朝鮮工作員とは一線を画している。
・APT45 and activity clusters suspected of being linked to the group are strongly associated with a distinct genealogy of malware families separate from peer North Korean operators like TEMP.Hermit and APT43.	・APT45および同グループとの関連が疑われる活動クラスターは、TEMP.HermitやAPT43のような北朝鮮の同業者とは別のマルウェアファミリーの明確な系譜と強く関連している。
・Among the groups assessed to operate from the Democratic People's Republic of Korea (DPRK), APT45 has been the most frequently observed targeting critical infrastructure.	・朝鮮民主主義人民共和国（DPRK）から活動するとアセスメントされたグループの中で、APT45は重要インフラを標的とした活動が最も頻繁に観測されている。
Overview	概要
Mandiant assesses with high confidence that APT45 is a moderately sophisticated cyber operator that supports the interests of the DPRK. Since at least 2009, APT45 has carried out a range of cyber operations aligned with the shifting geopolitical interests of the North Korean state. Although the group's earliest observed activities consisted of espionage campaigns against government agencies and defense industries, APT45 has expanded its remit to financially-motivated operations, including targeting of the financial vertical; we also assess with moderate confidence that APT45 has engaged in the development of ransomware. Additionally, while multiple DPRK-nexus groups focused on healthcare and pharmaceuticals during the initial stages of the COVID-19 pandemic, APT45 has continued to target this vertical longer than other groups, suggesting an ongoing mandate to collect related information. Separately, the group has conducted operations against nuclear-related entities, underscoring its role in supporting DPRK priorities.	Mandiantは、APT45は朝鮮民主主義人民共和国の利益を支援する中程度に洗練されたサイバーオペレーターであると高い信頼性をもってアセスメントしている。少なくとも2009年以降、APT45は北朝鮮国家の地政学的利益の変化に沿ったさまざまなサイバー作戦を実施してきた。APT45の初期の活動は、政府機関や防衛産業に対するスパイキャンペーンであったが、APT45は金融業界を標的とするなど、金融を動機とする活動へとその範囲を拡大している。さらに、COVID-19のパンデミックの初期段階では、複数のDPRK関連グループがヘルスケアと医薬品に焦点を当てていたが、APT45は他のグループよりも長くこの分野をターゲットにし続けており、関連情報を収集する継続的な任務があることを示唆している。これとは別に、同グループは核関連事業体に対する作戦も実施しており、北朝鮮の優先事項を支援する役割を明確にしている。

 

 

インド データセキュリティ協議会 2024サイバーセキュリティの展望 (2024.07.08)

こんにちは、丸山満彦です。

インドのデータ保護に関する業界団体であるデータセキュリティ協議会 (Data Security Council of India; DSCI) [wikipedia] が、2024年のサイバーセキュリティについての展望について報告書を公表していますね...

 

● Data Security Council of India; DSCI 

2024 Cybersecurity Outlook	2024 サイバーセキュリティの展望
The Cybersecurity Outlook 2024 provides a comprehensive analysis of the evolving landscape of cybersecurity, offering insights into current challenges and emerging trends expected to shape the industry in the coming year. Data Security Council of India (DSCI) has curated this document to equip stakeholders with strategic foresight and actionable intelligence.	Cybersecurity Outlook 2024」は、進化するサイバーセキュリティの展望を包括的に分析し、現在の課題と来年の業界を形成すると予想される新たなトレンドに関する洞察を提供する。Data Security Council of India (DSCI)は、戦略的な先見性と実用的なインテリジェンスを関係者に提供するために、この文書を作成した。
Key areas of focus include:	主な注目分野は以下の通りである：
・Emerging Threats and Vulnerabilities: Analysis of sophisticated cyber threats such as zero-day attacks by APTs, ransomware targeting critical infrastructure, and vulnerabilities in supply chains	・新たな脅威と脆弱性：APTによるゼロデイ攻撃、重要インフラを狙うランサムウェア、サプライチェーンの脆弱性など、高度なサイバー脅威の分析
・Regulatory and Compliance Landscape: Examination of global and Indian regulatory frameworks, highlighting compliance challenges and cybersecurity's evolving role in ESG frameworks.	・規制とコンプライアンスの状況：グローバルおよびインドの規制の枠組みを検討し、コンプライアンスの課題とESGフレームワークにおけるサイバーセキュリティの進化する役割に焦点を当てる。
・Technological Advancements: Insights into cloud security advancements, quantum computing's impact on encryption, and the adoption of passwordless authentication solutions.	・技術の進歩：クラウドセキュリティの進歩、量子コンピューティングが暗号化に与える影響、パスワードレス認証ソリューションの採用に関する洞察。
・Strategic Imperatives: Emphasis on Cyber Risk Quantification (CRQ) for enhanced risk management, advancements in identity and access management, and proactive threat exposure management.	・戦略的課題： リスク管理強化のためのサイバーリスク定量化（CRQ）、アイデンティティとアクセス管理の進歩、プロアクティブな脅威暴露管理に重点を置く。
・Global and Local Perspectives: Balanced view of cybersecurity trends, focusing on global developments and local implications for businesses operating in India.	・グローバルとローカルの視点： サイバーセキュリティのトレンドについて、世界的な動向とインドで事業を展開する企業にとっての地域的な影響に焦点を当て、バランスの取れた見解を示す。

 

・[PDF] [downloaded]

 

目次的...

1. Paradigm Shift in Identity and Access Management	1. アイデンティティとアクセス管理のパラダイムシフト
2. Cybersecurity's Evolving Role in ESG Discourse	2. ESGの議論におけるサイバーセキュリティの役割の進化
3. Cyber Risk Quantification (CRQ) Reshaping Risk Management	3. サイバーリスク定量化（CRQ）がリスク管理を再構築する
4. Emerging Technologies Security Challenges	4. 新興テクノロジーのセキュリティ課題
5. Reporting Obligations for Security and Privacy Breaches	5. セキュリティとプライバシー侵害の報告義務
6. Advancements in Cloud Security	6. クラウドセキュリティの進歩
7. Trends in Quantum Computing	7. 量子コンピューティングの動向
8. Data Privacy Integration: A Strategic Imperative	8. データ・プライバシーの統合： 戦略的必須事項
9. The Rising Tide of Threat Exposure Management (TEM)	9. 脅威暴露管理（TEM）の台頭
10. The AI Evolution in Cybersecurity: Trends Reshaping Strategies	10. サイバーセキュリティにおけるAIの進化： 戦略を変えるトレンド

 

 

米国 NIST SP 1314 NIST リスクマネジメントフレームワーク（RMF）小規模エンタープライズクイックスタートガイド： 情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ

こんにちは、丸山満彦です。

NISTが、「NIST SP 1314 NIST リスクマネジメントフレームワーク（RMF）小規模エンタープライズクイックスタートガイド： 情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ」を公表しています...

大規模ではない組織におけるエンタープライズリスクマネジメントに取り組むためのガイドで、サプライチェーンリスクマネジメントの観点もあってこれから苦労する中小企業にとっても、参考になるかもですね...もちろん、自社のサプライチェーン上の中小企業にエンタープライズリスクマネジメントを実施してもらうためのガイドとして紹介をするのもありかもですね...

なお、私も策定に関わった経済産業省の[PDF]サイバーセキュリティ経営ガイドライン Ver3.0でも、「I．企業リスクマネジメントの一部としてのサイバーセキュリティ」として、エンタープライズリスクマネジメントの一部としてのサイバーセキュリティを強調しています...

 

● NIST - ITL

・2024.07.23 NIST Risk Management Framework (RMF) Small Enterprise Quick Start Guide: A Comprehensive, Flexible, Risk-Based Approach to Managing Information Security and Privacy Risk

 

NIST SP 1314 NIST Risk Management Framework (RMF) Small Enterprise Quick Start Guide: A Comprehensive, Flexible, Risk-Based Approach to Managing Information Security and Privacy Risk	NIST SP 1314 NIST リスクマネジメントフレームワーク（RMF）小規模エンタープライズクイックスタートガイド： 情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ
Abstract	概要
For organizations of all sizes, managing risk (including information security and privacy risk), is critical for organizational resilience. This guide is designed to help small, under-resourced entities understand the value and core components of the NIST Risk Management Framework (RMF) and provide a starting point for designing and implementing an information security and privacy risk management program. This document is not intended to replace the RMF; it is intended to be an introductory guide to help organizations get started.	あらゆる規模の組織にとって、リスク（情報セキュリティとプライバシーのリスクを含む）をマネジメントすることは、組織のレジリエンスにとって極めて重要である。本書は、小規模で十分なリソースを持たない事業体が、NISTリスクマネジメントフレームワーク（RMF）の価値と中核的な構成要素を理解し、情報セキュリティとプライバシーのリスクマネジメントプログラムを設計し、実施するための出発点を提供することを目的としている。本書は、RMFに取って代わることを意図したものではなく、組織が開始するための入門ガイドとなることを意図している。

 

・[PDF] NIST.SP.1314

 

NIST Risk Management Framework (RMF) Small Enterprise Quick Start Guide	NISTリスクマネジメントフレームワーク（RMF）小規模エンタープライズクイックスタートガイド
A Comprehensive, Flexible, Risk-Based Approach to Managing Information Security and Privacy Risk	情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ
Overview	概要
Purpose of this Small Enterprise Quick Start Guide	本「小規模企業向けクイックスタートガイド」の目的
For organizations of all sizes, managing risk (including information security1 and privacy risk) is critical for organizational resilience. This guide is designed to help small, under-resourced entities understand the value and core components of the NIST Risk Management Framework (RMF)2 and provide a starting point for designing and implementing an information security and privacy risk management program. This document is not intended to replace the RMF; it is intended to be an introductory guide to help organizations get started.	あらゆる規模の組織にとって、リスク（情報セキュリティリスク1 とプライバシーリスク を含む）をマネジメントすることは、組織のレジリエンスにとって極めて重要である。本ガイドは、小規模で十分なリソースを持たない事業体が、NISTリスクマネジメントフレームワーク（RMF）2の価値と中核的な構成要素を理解し、情報セキュリティとプライバシーのリスクマネジメントプログラムを設計し、実施するための出発点を提供することを目的としている。本書は、RMFに取って代わることを意図したものではなく、組織が開始するための入門ガイドとなることを意図している。
Risk Management Fundamentals	リスクマネジメントの基礎
Before we explore the RMF in detail, let’s take a moment to understand risk management broadly. Risk management is a comprehensive process that enables organizations to:	RMFについて詳しく説明する前に、リスクマネジメントについて広く理解しておこう。リスクマネジメントは、組織が以下を行うための包括的なプロセスである：
• Frame Risk: Establish a risk context by providing a common perspective on how organizations manage risk. A key output is the risk management strategy that addresses risk tolerance, assumptions and constraints, and how the organization intends to assess, respond to, and monitor risk.	・リスクの枠組み:組織がどのようにリスクを管理するかについて共通の視点を提供する ことにより,リスクの文脈を確立する。重要なアウトプットは,リスクマネジメント戦略であり,リスク許容度,前提条件,制約条件,及び組織がどのようにリスクをアセスメントし,対応し,モニタリングするつもりであるかに対処するものである。
• Assess Risk: Identify, prioritize, and estimate risk impacts to the organization, operations, and mission/business. Learn more about Conducting Risk Assessments in SP 800-30.	・リスクのアセスメント：組織、業務、ミッション／ビジネスに対するリスクの影響を識別し、優先順位を付け、推定する。リスクアセスメントの実施については、SP800-30を参照のこと。
• Respond to Risk: Identify, evaluate, decide on, and implement appropriate courses of action to accept, avoid, mitigate, share, or transfer risk.	・リスクへの対応:リスクを受容,回避,軽減,共有,又は移転するための適切な行動方針を特定し,評価し,決定し,実施する。
• Monitor Risk: Verify planned risk response measures are implemented, determine the ongoing effectiveness of the risk responses, and continuously monitor risk.	・リスクの監視:計画されたリスク対応策が実施されていることを確認し,リスク対応の継続的な有効性を判断し,継続的にリスクを監視する。
The NIST RMF	NIST RMF
The RMF provides a comprehensive, flexible, repeatable, and measurable seven-step process that organizations can use to manage their unique information security and privacy risks. The RMF can be applied to new and existing systems, any type of system or technology (e.g., Internet of Things, control systems), and within any type of organization regardless of size or sector.	RMFは、包括的で柔軟性があり、反復可能で測定可能な7段階のプロセスを提供するものであり、組織はこれを用いて固有の情報セキュリティおよびプライバシーリスクをマネジメントすることができる。RMFは、新規および既存のシステム、あらゆる種類のシステムまたは技術（モノのインターネット、制御システムなど）、および規模や部門に関係なくあらゆる種類の組織に適用することができる。
The Seven Steps of the RMF Process	RMFプロセスの7つのステップ
There are seven steps in the RMF process. All seven steps are required for successful execution of the RMF. The image below lists each step and their respective descriptions. While the process is shown as linear, after initial implementation, organizations can move between steps in any order, as needed.	RMFプロセスには7つのステップがある。RMFを成功させるには、7つのステップすべてが必要である。下の図は、各ステップとそれぞれの説明を示したものである。プロセスは直線的に示されているが、初期導入後、組織は必要に応じてどのような順序でもステップ間を移動することができる。
Tying Organizational Mission to Information Security and Privacy Risk Management	組織のミッションを情報セキュリティとプライバシーのリスクマネジメントに結びつける
In our current information age, relying on digital capabilities and data processing is essential for achieving organizational missions. This reliance increases potential exposure to information security risks and potential privacy problems for customers, employees, or even society as a whole. A disciplined and structured approach to information security and privacy risk management enables you to understand, for instance:	現在の情報化時代において、デジタル機能とデータ処理に依存することは、組織のミッションを達成するために不可欠である。このような依存は、顧客、従業員、あるいは社会全体にとって、情報セキュリティリスクや潜在的プライバシー問題にさらされる可能性を増大させる。情報セキュリティとプライバシーのリスクマネジメントに対する規律ある構造化されたアプローチによって、例えば、次のようなことが理解できるようになる：
o What information, technologies, people, processes, etc., are the most critical to your organization’s mission?	o 組織のミッションにとって最も重要な情報、技術、人材、プロセスなどは何か？
o What internal or external risks might impede your ability to carry out your mission successfully?	o 任務を成功裏に遂行する能力を阻害する可能性のある内部又は外部のリスクは何か。
o Who within the organization is accountable for information security and privacy risk management success?	o 情報セキュリティ及びプライバシーのリスクマネジメントを成功させるための責 任者は組織内の誰であるか？
o What steps are needed to minimize or eliminate the possibility of identified risks impeding your mission?	o 識別されたリスクが使命を阻害する可能性を最小化または排除するために、どのような措置が必要か？
Information Security and Privacy	情報セキュリティとプライバシー
The RMF addresses both information security and privacy. Though they are distinct disciplines, they can have overlapping and complementary objectives.	RMFは、情報セキュリティとプライバシーの両方を取り扱う。両者は別個の分野であるが、目的が重複し補完し合うこともある。
For example, when your organization processes personally identifiable information (PII), your information security program and privacy program have a shared responsibility for managing the risks to individuals that may arise from unauthorized access to those data. You must keep this in mind when selecting, implementing, assessing, and monitoring appropriate controls. Note, however, protecting individuals’ privacy cannot be achieved solely by securing PII.	例えば、組織が個人を特定できる情報（PII）を処理する場合、情報セキュリ ティ・プログラムとプライバシー・プログラムは、それらのデータへの不正アクセ スから生じる可能性のある個人へのリスクをマネジメントする責任を共有する。適切な管理策を選択し、実施し、アセスメントし、モニタリングする際には、このことを念頭に置かなければならない。しかしながら、個人のプライバシーの保護は、PIIを保護することのみによって達成され るものではないことに注意すること。
The risk management processes described in the RMF are equally applicable to security and privacy programs. Learn more about this in section 2.3 of the RMF.	RMFに記載されているリスクマネジメントプロセスは、セキュリ ティおよびプライバシープログラムにも同様に適用できる。これについては、RMFのセクション2.3で詳しく説明している。
1Information security, often used interchangeably with the term “cybersecurity,” is the protection of information and systems from unauthorized access, use, disclosure, disruption, modification, or destruction. See full definition.	1情報セキュリティは、しばしば「サイバーセキュリティ」という用語と互換的に使用されるが、情報およびシステムを不正アクセス、使用、開示、中断、変更、または破壊から防御することである。完全な定義を参照のこと。
2 NIST Special Publication (SP) 800-37, Revision 2, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy.	2 NIST特別刊行物（SP）800-37改訂2版「情報システムおよび組織のためのリスクマネジメントフレームワーク」： セキュリティとプライバシーのためのシステムライフサイクルアプローチ。

 

 

 

米国 国家情報長官室(ODNI) NCSC他 米国の新興技術企業への外国の脅威行為者による投資についての警告

こんにちは、丸山満彦です。

投資と安全保障の関係では、敵対的勢力によるベンチャー企業等への出資を通じた技術情報等の摂取という脅威と、米国投資家による（実は）敵対的勢力のベンチャー企業等への出資を通じた資金提供による敵対勢力の支援という脅威の２つがあるわけですが、こちらの警告は前者の方ですね。

資金繰りに困っている会社を買収してしまうというのもあります。

投資前にデューデリをする必要があるということで、技術情報の開示を求めたりする...というパターンもありますしね...

Office of the Director of National Intelligence	ODNI	国家情報長官室	wikipedia
National Counterintelligence and Security Center	NCSC	国家防諜・安全保障センター	wikipedia
Office of Economic Security and Emerging Technology	OESET	経済安全保障・新興技術局	-
Air Force Office of Special Investigations	AFOSI	空軍特殊捜査局	wikipedia
Naval Criminal Investigative Service	NCIS	海軍犯罪捜査局	wikipedia

 

● Office of the Director of  National Intelligence: ODNI

・2024.07.24 NCSC and Partners Warn U.S. Emerging Technology Startups About Investment by Foreign Threat Actors

NCSC and Partners Warn U.S. Emerging Technology Startups About Investment by Foreign Threat Actors	NCSCとパートナー、外国の脅威行為者による投資について米国の新興技術企業に警告を発する
WASHINGTON, D.C. -・The Office of the Director of National Intelligence’s (ODNI) National Counterintelligence and Security Center (NCSC) today issued a joint bulletin with ODNI’s Office of Economic Security and Emerging Technology (OESET), the Air Force Office of Special Investigations (AFOSI), and the  NCSC (NCIS) to protect U.S. emerging technology startups from investment by foreign threat actors.	ワシントンD.C.--国家情報長官室（ODNI）の国家防諜・安全保障センター（NCSC）は本日、ODNIの経済安全保障・新興技術局（OESET）、空軍特殊捜査局（AFOSI）、海軍犯罪捜査局（NCIS）と共同で、米国の新興技術新興企業を外国の脅威行為者による投資から保護するための公報を発表した。
“U.S. emerging tech startups are at the forefront of American innovation, but they face risks when seeking potential foreign investment to expand their firms. Unfortunately, our adversaries continue to exploit early-stage investments in U.S. startups to take their sensitive data. These actions threaten U.S. economic and national security and can directly lead to the failure of these companies. Today’s bulletin highlights this evolving threat and provides guidance for startups to secure their innovation as they grow,” said NCSC Director Michael Casey.	NCSCのマイケル・ケイシー所長は、 次のように述べた。「米国の新興技術ベンチャー企業は、米国のイノベーションの最前線にいるが、企業拡大のために外国からの投資の可能性を模索する際にはリスクに直面する。残念ながら、敵対勢力は米国の新興企業への初期段階の投資を悪用し、機密データを奪おうとし続けている。このような行為は、米国の経済および国家安全保障を脅かし、これらの企業の倒産に直結しかねない。本日の速報は、この進化しつつある脅威に焦点を当て、新興企業が成長する過程でイノベーションの安全を確保するためのガイダンスを提供する。」
The joint bulletin provides information on this threat, as well as potential indicators, mitigation steps, and where to report incidents.	この共同速報は、この脅威に関する情報、潜在的な指標、低減ステップ、インシデントの報告先などを提供している。

 

・[PDF] SAFEGUARDING OUR INNOVATION - PROTECTING U.S. EMERGING TECHNOLOGY COMPANIES FROM INVESTMENT BY FOREIGN THREAT ACTORS

SAFEGUARDING OUR INNOVATION	イノベーションを守る
PROTECTING U.S. EMERGING TECHNOLOGY COMPANIES FROM INVESTMENT BY FOREIGN THREAT ACTORS	外国の脅威行為者による投資から米国の新興技術企業を保護する。
THREAT	脅威
Venture capital (VC), private equity, and other foreign-origin private investment can provide vital funding for United States (U.S.) technology startups. Foreign threat actors can also use these investments to exploit U.S. startups and harm U.S. economic and national security interests.	ベンチャー・キャピタル（VC）、プライベート・エクイティ、その他の外国からの民間投資は、米国（U.S.）のテクノロジー新興企業に不可欠な資金を提供することができる。外国の脅威行為者は、これらの投資を利用して米国の新興企業を悪用し、米国の経済的・国家的安全保障上の利益を害することもある。
• U.S. startups can lose market share and fail if foreign threat actors obtain their proprietary data in the investment process, then use it to compete against them in global markets.	● 外国の脅威行為者が投資の過程で彼らの専有データを入手し、それを使ってグローバル市場で彼らと競争すれば、米国の新興企業は市場シェアを失い、失敗する可能性がある。
• Startups can be denied U.S. government contracts or funding if foreign threat actors gain a footing in their firms.	● 新興企業は、外国の脅威行為者がその企業で足場を固めた場合、米国政府との契約や資金提供を拒否される可能性がある。
▷ To help mitigate foreign risk, federal agencies that grant Small Business Innovation Research or Small Business Technology Transfer awards are required to have due diligence programs to assess small businesses seeking these awards.	▷ 外国のリスクを軽減するために、中小企業技術革新研究賞や中小企業技術移転賞を授与する連邦政府機関は、これらの賞を求める中小企業をアセスメントするためのデューデリジェンス・プログラムを持つことを義務付けられている。
• Startups can also suffer undue foreign influence that forces corporate decisions or direction benefiting foreign threat actors at the expense of the U.S.	● 新興企業はまた、米国を犠牲にして外国の脅威行為者に利益をもたらす企業決定や方向性を強制する外国の不当な影響に苦しむ可能性がある。
• Foreign threat actors can acquire data and technology from U.S. startups that advances their nation’s economic and military capabilities at the expense of the U.S.	● 外国の脅威行為者は、米国を犠牲にして自国の経済・軍事能力を向上させるデータや技術を米国の新興企業から取得することができる。
• Foreign threat actors can also target startups that contract with the U.S. government—and other critical U.S. sectors—to threaten U.S. national security.	● 外国の脅威行為者はまた、米国の国家安全保障を脅かすために、米国政府やその他の米国の重要なセクターと契約している新興企業を標的にすることもできる。
U.S. startups seeking capital can face challenges in determining the ownership and intent of foreign investors. For example, foreign threat actors may:	資本を求める米国の新興企業は、外国人投資家の所有権や意図を判断する上で困難に直面する可能性がある。例えば、外国の脅威行為者は以下のような可能性がある：
• Structure their investments to avoid scrutiny from the Committee on Foreign Investment in the United States (CFIUS), which reviews certain mergers, acquisitions, and investments into the U.S. for national security risks.	● 米国への特定のM&Aや投資を国家安全保障上のリスクから審査する対米外国投資委員会（CFIUS）の審査を回避するために、投資を計画する。
• Route investments through intermediaries in the U.S. or other third countries to obscure the money’s origin.	● 資金の出所を不明瞭にするため、米国やその他の第三国の仲介業者を通じて投資を行う。
• Use minority and limited partner investments.	● マイノリティやリミテッド・パートナーの投資を利用する。
• Attempt to acquire sensitive and proprietary data from U.S. startups under the guise of due diligence, before investing.	● 投資前に、デューデリジェンスと称して米国の新興企業から機密データや専有データを取得しようとする。
In 2018, the U.S. Trade Representative warned that the People’s Republic of China (PRC) government directs the investment in, and acquisition of, U.S. companies by China-based firms to obtain technologies and Intellectual Property (IP), and to facilitate technology transfer to support PRC state plans. VC investment from China has focused on U.S. emerging technology sectors like Artificial Intelligence and other PRC government priorities. Recent developments have heightened these concerns:	2018年、米通商代表部は、中華人民共和国（PRC）政府は、技術や知的財産（IP）を入手するため、またPRCの国家計画を支援するための技術移転を促進するために、中国に拠点を置く企業による米国企業への投資や買収を指示していると警告した。中国からのVC投資は、人工知能などの米国の新興技術分野や中国政府が優先する分野に集中している。最近の動向はこうした懸念を高めている：
• In January 2024, the U.S. Department of Defense (DOD) added IDG Capital, a China-based VC/ private equity firm, to its list of “Chinese military companies” operating directly or indirectly in the U.S. The firm has invested in more than 1,600 companies, including several in the U.S.	● 2024年1月、米国防総省（DOD）は、中国を拠点とするVC/プライベート・エクイティ企業であるIDGキャピタルを、米国内で直接または間接的に活動する「中国軍需企業」のリストに加えた。
• Last year, the CEO of a U.S. startup (which is suing defendants in China for trade secret theft) told U.S. Congress that some China-based VC firms may target and pay employees of U.S. startups to acquire technology, then fund competitors in China who try to monetize the stolen technology.	● 昨年、米国の新興企業（企業秘密の窃盗で中国の被告を提訴中）のCEOが米国議会で語ったところによると、中国を拠点とするVCの中には、米国の新興企業の従業員をターゲットにして報酬を支払い、技術を取得した後、盗んだ技術を収益化しようとする中国の競合企業に資金を提供する場合があるという。
• Some U.S. and European firms have alleged Chinabased investors offered them investments, then withdrew the offers after obtaining their proprietary data in the due diligence process.	● 米国や欧州の企業の中には、中国を拠点とする投資家から投資を持ちかけられたが、デューデリジェンスの過程で独自のデータを入手した後、その申し出を取り下げたと主張する企業もある。
• One U.K. firm, after agreeing to a takeover by an investor in China, began transferring technology to its would-be acquirer in exchange for part of the firm’s sales price. The investor in China later abandoned the acquisition. The U.K. firm was left facing bankruptcy after sharing its IP.	● ある英国企業は、中国の投資家による買収に合意した後、その企業の売却価格の一部と引き換えに、買収予定者に技術を譲渡し始めた。中国の投資家は後に買収を断念した。英国企業は知的財産を共有した後、破産に直面することになった。
POTENTIAL INDICATORS	潜在的指標
Below are activities that may be associated with investment efforts by foreign threat actors, although some of them are also routine legal tactics. U.S. technology startups should be diligent if foreign investment involves:	以下は、外国の脅威行為者による投資活動に関連する可能性のある活動であるが、その中には日常的な法的手口もある。米国の技術系新興企業は、外国からの投資が関与している場合には注意深くなるべきである：
• Complex Ownership: A foreign investor whose structure includes separate entities with the same key personnel or shell companies with no substantive purpose. Entities are often incorporated in offshore locations lacking transparency and effective regulatory oversight.	● 複雑なオーナーシップ: 複雑なオーナーシップ:外国人投資家が、同じ主要人物を持つ別個の事業体や、実質的な目的を持たないシェル・カンパニーを含む構造を持っている。事業体は多くの場合、透明性や効果的な規制監督を欠くオフショアで設立される。
• Investments Through Intermediaries: A foreign investor that routes investment through funds, partners, or intermediaries in the U.S. or other countries. This tactic can help foreign threat actors avoid or complicate outside scrutiny through degrees of separation.	● 仲介業者を介した投資: 米国または他国のファンド、パートナー、仲介者を通じて投資を行う外国投資家。この手口は、海外の脅威行為者が外部からの監視を回避したり、複雑化させたりするのに役立つ。
• Limited Partner Investments: A foreign investor that invests in U.S. companies indirectly through U.S. firms or others in which they are limited partners.	● リミテッド・パートナー投資: リミテッド・パートナーである米国企業等を通じて間接的に米国企業に投資する外国人投資家。
Some limited partners are truly passive, while others can gain influence over corporate decisions or access to proprietary data.	本当に受動的なリミテッド・パートナーもいれば、企業の意思決定に対する影響力を得たり、専有データにアクセスできるリミテッド・パートナーもいる。
• Requests for Sensitive Data: A foreign investor that requests proprietary or other sensitive data from a U.S. firm before making an investment or while feigning interest in an investment. All investors conduct due diligence. Startups should be alert to intrusive requests for sensitive data.	● 機密データの要求: 投資を行う前に、または投資に関心があるように見せかけながら、米国企業に専有データまたはその他の機密データを要求する外国人投資家。全ての投資家はデューデリジェンスを行う。新興企業は機密データの押し付けがましい要求に注意すべきである。
• Preying on Struggling U.S. Firms: A foreign investor that preys on struggling U.S. companies, which can lead to the transfer of a company’s IP in exchange for an infusion of capital.	● 苦境にある米国企業を食い物にする: 経営難に陥っている米国企業を食い物にする外国人投資家。資本注入と引き換えに企業の知的財産を譲渡する可能性がある。
MITIGATION	低減策
U.S. technology startups are not helpless. Below are some steps U.S. companies can take to guard against investment by foreign threat actors.	米国のテクノロジー新興企業は無力ではない。以下は、外国の脅威行為者による投資を防ぐために米国企業が講じることのできる対策である。
• Identify and Protect Critical Assets: Before seeking investment, identify and compartmentalize your company’s “crown jewels.”	● 重要資産の識別と防御： 投資を求める前に、自社の "王冠の宝石 "を特定し、区分けする。
▷ Put physical and virtual protection around these assets.	▷ これらの資産を物理的・仮想的に保護する。
▷ Restrict access only to those who require it.	▷ 必要な者のみにアクセスを制限する。
▷ Identify a risk manager empowered by leadership to organize protection efforts.	▷ 保護活動を組織する権限をリーダーシップから与えられたリスクマネージ ャーを識別する。
▷ Include protections for your assets within contracts and investment documentation.	▷ 契約や投資文書に資産防御を盛り込む。
▷ Ensure legal and contractual agreements are enforceable in the investor’s home country.	▷ 法的・ 契約的合意が投資家の母国で執行可能であることを確認す る。
▷ Implement a structure that ensures risk management over time.	▷ 長期的なリスクマネジメントを保証する仕組みを導入する。
• Know Your Investor: Scrutinize prospective investors to assess risks.	● 投資家を知る: リスクをアセスメントするため、投資家候補を精査す る。
▷ Verify who they say they are, who owns them (e.g., foreign governments or militaries), and the origin of their funding.	▷ 投資家が何者であるか、投資家の所有者（外国政府や軍など）、資 金の出所を確認する。
▷ Determine if investors are subject to sanctions, export controls, or similar designations.	▷ 投資家が制裁措置、輸出規制、または類似の指定の対 象であるかどうかを判断する。
▷ Research the laws where the foreign investor operates. Determine if they must share data with or assist their host government.	▷ 外国投資家が活動する法律を調査する。外国投資家がホスト国政府とデータを共有し、またはホスト国政府を支援しなければならないかどうかをガバナンスで判断する。
▷ Confirm that their values and intentions align with your own.	▷ 投資家の価値観や意向が自社の価値観と一致していることを確 認する。
• Limit Your Exposure: Before negotiating with investors, determine what is appropriate to share.	● エクスポージャーを制限する:投資家と交渉する前に、何を 共有するのが適切かを判断する。
▷ Limit data sharing to only that which is appropriate, before and after investment.	▷ データ共有は、投資の前後で適切なもののみに限定する。
▷ Identify red lines and responses if an investor requests information beyond what you would share with other investors.	▷ 投資家が他の投資家と共有する以上の情報を要求してきた場 合のレッドラインと対応を特定する。
▷ Set protocols for investors to handle sensitive data appropriately.	▷ 投資家が機密データを適切に取り扱うための手順を定める。
▷ Consider what you could lose if an investor reneges on a deal.	▷ 投資家が取引を破棄した場合に失う可能性のあるものを検討する。
• Engage: Engage federal agencies and others in your industry to gather and share up-to-date threat information and risk mitigation resources.	● 関与する: 最新の脅威情報やリスク低減のためのリソースを収集・共有するため、連邦機関や同業他社と連携する。
REPORTING	報告
• To report a tip about a potential foreign investment with national security implications, contact [mail] or (202) 622-1860.	● 国家安全保障に影響を及ぼす外国投資の可能性に関する情報を報告する場合は、[mail] または (202) 622-1860 に連絡すること。
• If you believe that you, your personnel, or your company’s data have been targeted, or are at risk of compromise, contact your local FBI Field Office: [web].	● あなた自身、あなたの従業員、またはあなたの会社のデータが標的にされている、または侵害のリスクにさらされていると思われる場合は、最寄りのFBI支局（ [web] ）に連絡する。
• To report foreign investment of concern in U.S. DOD critical technology sectors, contact the Department of the Air Force Office of Special Investigations and the Naval Criminal Investigative Service at [web] or [web]	● 米国防総省の重要技術分野で懸念される外国投資を報告するには、空軍特別捜査局および海軍犯罪捜査局 [web] または [web] に連絡すること。
• For more threat awareness materials or publications, visit the National Counterintelligence and Security Center (NCSC) website at [web] or contact [mail] .	● 脅威認識に関する資料や出版物については、国家防諜安全保障センター（NCSC）のウェブサイト （ [web] ）を参照するか、[mail] まで問い合わせること。

 

 

バーゼル銀行監督委員会 「暗号資産に係る基準の改訂」と「暗号資産エクスポージャーに係る開示」 (2024.07.17)

こんにちは、丸山満彦です。

バーゼル銀行監督委員会が「暗号資産に係る基準の改訂」と「暗号資産エクスポージャーに係る開示」を公表しています...

暗号資産と一言にいっても、ボラティリティがさまざまであるので、投資家等にもわかりやすくエクスポージャーにかかる開示は重要となりますね...

 

●  Basel Committee on Banking Supervision

プレス...

・2024.07.17 Basel Committee publishes final disclosure framework for banks' cryptoasset exposures and targeted amendments to its cryptoasset standard

Basel Committee publishes final disclosure framework for banks' cryptoasset exposures and targeted amendments to its cryptoasset standard	バーゼル委員会、銀行の暗号資産エクスポージャーに関する最終的な開示フレームワークと暗号資産標準の目標修正を公表
Basel Committee has published its final disclosure framework for banks' cryptoasset exposures.	バーゼル委員会は、銀行の暗号資産エクスポージャーに関する最終的な開示枠組みを公表した。
The Committee has also published targeted amendments to its cryptoasset standard to tighten the criteria for certain stablecoins to receive a preferential regulatory treatment.	同委員会はまた、特定のステーブルコインが規制上の優遇措置を受けるための基準を厳格化するため、暗号資産標準の的を絞った改正も公表した。
Both standards are to be implemented by 1 January 2026.	両基準は2026年1月1日までに実施される。
The Basel Committee on Banking Supervision today published its final disclosure framework for banks' cryptoasset exposures and targeted amendments to its cryptoasset standard published in December 2022. Both standards have an implementation date of 1 January 2026.	バーゼル銀行監督委員会は本日、銀行の暗号資産エクスポージャーに関する最終的な開示枠組みと、2022年12月に公表した暗号資産基準の的を絞った改正を公表した。両基準の実施日は2026年1月1日である。
The final disclosure framework includes a set of standardised tables and templates covering banks' cryptoasset exposures. These require banks to disclose qualitative information on their cryptoasset-related activities and quantitative information on the capital and liquidity requirements for their cryptoasset exposures. The use of common disclosure requirements aims to enhance information availability and support market discipline.	最終的な開示枠組みには、銀行の暗号資産エクスポージャーをカバーする標準化された表とテンプレートが含まれる。これらにより、銀行は暗号資産関連の活動に関する定性的情報と、暗号資産エクスポージャーの資本要件および流動性要件に関する定量的情報を開示することが求められる。共通の開示要件の使用は、情報の利用可能性を高め、市場規律をサポートすることを目的としている。
The targeted amendments to the cryptoasset prudential standard aim to further promote a consistent understanding of the standard, particularly regarding the criteria for stablecoins to receive a preferential "Group 1b" regulatory treatment. Various other technical amendments clarify other aspects of the standard.	暗号資産プルデンシャル基準の的を絞った改正は、特にステーブルコインが「グループ1b」の規制上の優遇措置を受けるための基準について、基準の一貫した理解をさらに促進することを目的としている。その他、様々な技術的修正により、標準の他の側面が明確化されている。
The Committee will continue to monitor developments in cryptoasset markets and the need to mitigate new risks.	委員会は、暗号資産市場の発展と新たなリスク軽減の必要性を引き続き監視していく。

 

・2024.07.17 Cryptoasset standard amendments

Cryptoasset standard amendments	暗号資産標準の改正
The Basel Committee on Banking Supervision has finalised targeted amendments to its prudential standard on banks' exposures to cryptoassets.	バーゼル銀行監督委員会は、銀行の暗号資産エクスポージャーに関するプルデンシャル標準の的を絞った改正を最終決定した。
The targeted amendments to the cryptoasset prudential standard aim to further promote a consistent understanding of the standard, particularly regarding the criteria for stablecoins to receive a preferential "Group 1b" regulatory treatment. Various other technical amendments clarify other aspects of the standard.	暗号資産に関するプルデンシャル・スタンダードの対象的な改正は、特にステーブルコインが「グループ1b」の規制上の優遇措置を受けるための基準について、標準の一貫した理解をさらに促進することを目的としている。その他の様々な技術的修正により、標準の他の側面が明確化された。
The Committee has agreed to implement the final revised standard by 1 January 2026.	委員会は、2026年1月1日までに最終改訂標準を導入することに合意した。

 

・[PDF]

 

・2024.07.17 Disclosure of cryptoasset exposures

Disclosure of cryptoasset exposures	暗号資産エクスポージャーの開示
The Basel Committee on Banking Supervision has finalised its disclosure framework for banks' cryptoasset exposures.	バーゼル銀行監督委員会は、銀行の暗号資産エクスポージャーに関する開示枠組みを最終決定した。
The disclosure framework has been developed based on the disclosure requirements contained in the final prudential standard on banks' cryptoasset exposures published in December 2022. It includes a standardised table and templates that cover the disclosure of both qualitative and quantitative information.	この開示フレームワークは、2022年12月に公表された銀行の暗号資産エクスポージャーに関するプルデンシャル・スタンダードの最終版に含まれる開示要件に基づいて策定された。これには、定性的および定量的情報の開示をカバーする標準化された表とテンプレートが含まれる。
The use of the common disclosure table and templates will support the exercise of market discipline and help to reduce information asymmetry amongst banks and market participants.	共通の開示表とテンプレートの使用は、市場規律の行使をサポートし、銀行と市場参加者間の情報の非対称性を低減するのに役立つ。
The Committee has agreed to implement the standard by 1 January 2026.	委員会は、この標準を2026年1月1日までに実施することで合意している。

 

・[PDF]

 

これは、金融庁でも公表されていますね...

● 金融庁 

・2024.07.24 バーゼル銀行監督委員会による「暗号資産に係る基準の改訂」の公表について

・2024.07.24 バーゼル銀行監督委員会による「暗号資産エクスポージャーに係る開示」の公表について

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.08 バーゼル銀行監督委員会：（パブコメ）銀行の暗号資産エクスポージャーのプルデンシャルな取り扱いに関する第2回協議文書を公表 (2022.06.30)

 

・2023.06.21 世界経済フォーラム (WEF) 暗号資産規制への道筋： グローバルアプローチ (2023.05.25)

・2023.05.09 デジタル庁 Web3.0研究会（フォローアップ会議）資料等...

・2022.10.12 金融安定理事会 (FSB) 暗号資産活動の国際的規制の枠組みの提案

欧州委員会 電気通信および電力分野におけるサイバーセキュリティリスク低減のためのEUの勧告

こんにちは、丸山満彦です。

欧州委員会が、インフラの中のインフラと言われている（ような気がする）電気通信分野、電料分野におけるサイバーセキュリティリスク低減のための勧告を公表していますね。。。

 

● European Commission

プレス...

・2024.07.24 EU’s recommendations for mitigating cybersecurity risks in telecommunications and electricity sectors published

EU’s recommendations for mitigating cybersecurity risks in telecommunications and electricity sectors published	電気通信および電力分野におけるサイバーセキュリティ・リスク低減のためのEUの勧告が発表される
Today, EU Member States, with the support of the Commission and of the EU Agency for Cybersecurity (ENISA), published a report on the cybersecurity of the telecommunications and electricity sectors in the EU, as well as recommendations to bolster their resilience.	本日、EU加盟国は、欧州委員会およびEUサイバーセキュリティ機関（ENISA）の支援の下、EUにおける電気通信および電力分野のサイバーセキュリティに関する報告書と、そのレジリエンスを強化するための勧告を発表した。
The report identifies threats such as cyber-attacks and espionage activities from state-sponsored threat actors and cyber criminals in both sectors. Supply chains, especially regarding 5G networks and renewable energy infrastructures, are at particular risk.	報告書では、両分野における国家に支援された脅威行為者やサイバー犯罪者によるサイバー攻撃やスパイ活動などの脅威を特定している。特に5Gネットワークや再生可能エネルギーインフラに関するサプライチェーンは、特にリスクにさらされている。
To mitigate the identified risks, the report contains recommendations to Member States, the Commission and ENISA to timely implement resilience-enhancing measures. These recommendations include sharing good practices on mitigating ransomware, improving collective cyber-situational awareness and information sharing; improving contingency planning, crisis management and operational collaboration; assessing dependencies on high-risk third-country providers to strengthen supply chain security.	特定されたリスクを軽減するため、報告書は加盟国、欧州委員会、ENISAに対し、レジリエンス強化策を適時に実施するよう勧告している。これらの勧告には、ランサムウェアの低減に関するグッドプラクティスの共有、集団的なサイバー状況認識と情報共有の改善、緊急時計画、危機マネジメント、業務協力の改善、サプライチェーンセキュリティを強化するためのリスクの高い第三国プロバイダへの依存度の評価などが含まれる。
The report follows Council conclusions calling for the development of the EU’s Cyber Posture and follows-up on the report on the cybersecurity and resilience of the EU communications infrastructures and networks.	本報告書は、EUのサイバー態勢の整備を求める理事会の結論に続くものであり、EUのコミュニケーション・インフラおよびネットワークのサイバーセキュリティとレジリエンスに関する報告書をフォローアップするものである。

 

報告書...

・2024.07.24 Risk assessment report on cyber resilience on EU’s telecommunications and electricity sectors

Risk assessment report on cyber resilience on EU’s telecommunications and electricity sectors	EUの通信・電力分野のサイバーレジリエンスに関するリスクアセスメント報告書
EU Member States, with the support of the European Commission and ENISA, the EU Agency for Cybersecurity, published the first report on the cybersecurity and resilience of Europe’s telecommunications and electricity sectors.	EU加盟国は、欧州委員会とEUサイバーセキュリティ機関ENISAの支援を受けて、欧州の通信・電力分野のサイバーセキュリティとレジリエンスに関する初の報告書を発表した。
The report points to concerns about a number of risks, including risks to supply chain security, the lack of cyber professionals and the risks posed by malicious activities from cyber criminals and state-sponsored threat actors.	本報告書では、サプライチェーンの安全性に対するリスク、サイバー専門家の不足、サイバー犯罪者や国家に支援された脅威行為者による悪質な活動がもたらすリスクなど、多くのリスクに対する懸念が指摘されている。
The risk evaluation identified technical and non-technical risks in more detail. In both the telecommunications and electricity sectors, supply chain risks remain the main concern, especially regarding 5G rollout and renewable energy infrastructures. Ransomware, data wipers and exploitation of zero-day vulnerabilities were also identified as an ongoing but pressing concerns in both sectors, especially where operational technology is concerned.	リスク評価では、技術的リスクと非技術的リスクをより詳細に特定した。電気通信と電力の両セクターにおいて、サプライチェーンのリスクは、特に5Gの展開と再生可能エネルギーのインフラに関して、依然として主な懸念事項である。ランサムウェア、データワイパー、ゼロデイ脆弱性の悪用も、特に運用技術に関わる両分野において、継続的ではあるが喫緊の懸念事項として認識された。
For the electricity sector, the most critical risk identified is malicious insiders, spurred by a difficulty in adequately vetting new personnel and attracting local cybersecurity talent. For the telecommunications sector, the main threats include attacks via roaming infrastructures and attacks originating from large bot networks.	電力セクターでは、最も重大なリスクは悪意のある内部関係者であり、新しい身元を適切に審査し、地域のサイバーセキュリティ人材を集めることが困難であることがこれに拍車をかけている。電気通信分野では、ローミング・インフラを介した攻撃や、大規模なボット・ネットワークから発信される攻撃が主な脅威となっている。
In addition, the physical sabotage of cable infrastructure and the jamming of satellite signals were identified as specific risks that are particularly difficult to mitigate.	さらに、ケーブルインフラの物理的妨害行為や衛星信号の妨害行為も、特に軽減が困難な特定のリスクとして識別された。
To mitigate these risks, the report puts forward a number of recommendations across 4 areas for improvement, which can be summarised as follows:	これらのリスクを軽減するため、報告書は4つの改善分野にわたって多くの提言を提示しており、その要約は以下の通りである：
1. Resilience and cybersecurity posture can be improved through sharing good practices on mitigating ransomware, vulnerability monitoring, human resources security and asset management. Additionally, cooperation with technical Member States’ network, the Computer Security Incident Response Team (CSIRTs), law enforcement and international partners needs to be stepped up.  Member States should conduct further self-assessments for the sectors as per the NIS2 Directive and CER Directive.	1. ランサムウェア、脆弱性監視、人材セキュリティ、資産管理の軽減に関するグッドプラクティスを共有することにより、レジリエンスとサイバーセキュリティ態勢を改善することができる。さらに、技術的な加盟国のネットワーク、コンピュータセキュリティ・インシデント対応チーム（CSIRT）、法執行機関、国際的なパートナーとの協力を強化する必要がある。 加盟国は、NIS2指令およびCER指令に従って、各セクターの自己アセスメントをさらに実施すべきである。
2. Collective cyber situational awareness and information sharing needs to be improved and include the geopolitical context, potential physical harm and disinformation.	2. 集団的なサイバー状況認識と情報共有を改善し、地政学的背景、潜在的な物理的被害、偽情報を含める必要がある。
3. Contingency planning, crisis management and operational collaboration needs to be improved by shortening lines between sectors and cybersecurity authorities in procedures.	3. 緊急時計画、危機管理、作戦上の協力は、セクターとサイバーセキュリティ当局との間の手続きを短縮することによって改善される必要がある。
4. Supply chain security should be further addressed with follow-up assessments of dependencies on high-risk third-country providers and the development of an EU framework for supply chain security.	4. サプライチェーンのセキュリティについては、リスクの高い第三国のプロバイダへの依存度をフォローアップアセスメントし、サプライチェーンのセキュリティに関するEUの枠組みを策定することにより、さらに取り組むべきである。
Given the criticality of the infrastructures and networks in the scope of this report and in view of the fast-evolving threat landscape, and without prejudice to the Member States’ competences as regards national security, Member States, Commission and ENISA are encouraged to implement these resilience-enhancing measures as soon as possible, based on the work that has already started on the implementation of some of the recommendations.	本報告書の対象範囲に含まれるインフラおよびネットワークの重要性を考慮し、また、急速に進化する脅威の状況を考慮し、加盟国の国家安全保障に関する権限を害することなく、加盟国、欧州委員会およびENISAは、勧告の一部の実施に関してすでに開始されている作業に基づいて、これらのレジリエンス強化策を可能な限り早期に実施することが奨励される。
Download the report below for more information.	詳細は以下の報告書をダウンロードのこと。
Background	背景
The Council, in its Conclusions on the development of the European Union’s cyber posture of 23 May 2022, ‘invite[d] the Commission, the High Representative and the NIS Cooperation Group, in coordination with relevant civilian and military bodies and agencies and established networks, including the EU CyCLONe, to conduct a risk evaluation and build risk scenarios from a cybersecurity perspective in a situation of threat or possible attack against Member States or partner countries and present them to the relevant Council bodies.’	EU理事会は、2022年5月23日のEUのサイバー態勢の整備に関する結論において、「欧州委員会、上級代表、NIS協力グループが、関連する文民・軍事機関およびEUサイクロンを含む確立されたネットワークと連携して、加盟国またはパートナー諸国に対する脅威または攻撃の可能性がある状況において、サイバーセキュリティの観点からリスク評価を実施し、リスクシナリオを構築し、理事会の関連団体に提示するよう求める」とした。
Moreover, in its 23 May 2023 Conclusions on the EU Policy on Cyber Defence, the Council ‘invite[d] the above-mentioned actors to ensure that risk evaluations, scenarios and subsequent recommendations are taken into account when defining and prioritising measures and support, at EU and where appropriate national level’. The Council furthermore calls for ‘the risk scenarios to be considered by all relevant actors in risk assessment processes, as well as in the development of cyber exercises’.	さらに理事会は、2023年5月23日の「サイバー防衛に関するEU政策に関する結論」において、「上記の関係者に対し、EUレベルおよび適切な場合には国レベルで、リスク評価、シナリオ、およびそれに続く勧告が、対策や支援を定義し、優先順位を決定する際に考慮されるように要請する」と述べている。さらに理事会は、「リスクシナリオが、リスクアセスメントプロセスやサイバー演習の開発において、すべての関係者によって考慮される」ことを求めている。
The risk evaluation follows up on a recent report on the cybersecurity and resilience of the EU communications infrastructures and networks, which was published in February 2024.	このリスク評価は、2024年2月に発表された、EUのコミュニケーションインフラとネットワークのサイバーセキュリティとレジリエンスに関する最近の報告書に続くものである。
You can read further information about Cybersecurity Policies.	サイバーセキュリティ政策についての詳細はこちらをご覧いただきたい。

 

・[PDF]

・[DOCX][PDF] 仮訳

 

目次...

Executive summary	エグゼクティブサマリー
1. Introduction	1.はじめに
1.1 Request for this report from Council	1.1 審議会からの本報告書の要請
1.2 Scope	1.2 スコープ
1.3 Relationship to related exercises	1.3 関連エクササイズとの関係
1.4 Methodology	1.4 方法論
1.5 Structure of this report	1.5 本報告書の構成
2. Context of the risk evaluation	2.リスク評価の背景
2.1 Threat landscape	2.1 脅威の状況
2.2 Sectoral threat landscape: telecommunications	2.2 分野別の脅威の状況：電気通信
2.3 Sectoral threat landscape: electricity	2.3 分野別の脅威の状況：電力
3. Risk evaluation	3.リスク評価
3.1 Risk evaluation for the EU’s telecommunications sector	3.1 EUの電気通信分野のリスク評価
3.2 Risk evaluation for the EU’s electricity sector	3.2 EUの電力分野のリスク評価
3.3 Spill-over risks and interdependencies across sectors, Member States and with third countries	3.3 分野間、加盟国間、第三国間の波及リスクと相互依存
4. Risk scenarios	4.リスクシナリオ
4.1 Telecommunications sector scenarios	4.1 通信分野のシナリオ
4.2 Electricity sector scenarios	4.2 電力分野シナリオ
5. Conclusions for areas of improvement	5.改善点の結論
(1) Resilience and cybersecurity posture (Addresses Scenarios TRS1, TRS2, ERS1, ERS3, ERS4, ERS5)	(1) レジリエンスとサイバーセキュリティ態勢（シナリオ TRS1、TRS2、ERS1、ERS3、ERS4、ERS5 に対応）
(2) Collective cyber situational awareness and information sharing (TRS3, TRS4, ERS2)	(2) 集団的サイバー状況認識と情報共有 (TRS3, TRS4, ERS2)
(3) Contingency planning, crisis management and operational collaboration (TRS2, ERS1, ERS5)	(3) コンティンジェンシー・プランニング、危機管理、作戦協力 (TRS2, ERS1, ERS5)
(4) Supply chain security (TRS1, ERS5, ERS6)	(4) サプライ・チェーン・セキュリティ（TRS1、ERS5、ERS6）
Annex 1: Relationship between this report and related exercises	附属書1：本報告書と関連演習の関係
Annex 2 – Risk scenario building blocks	附属書2 - リスクシナリオの構成要素
Annex 2.1: Threat actors	附属書2.1：脅威要因
Annex 2.2: Threats	附属書2.2：脅威
Annex 2.3: Assets	附属書2.3：資産
Annex 2.4: Vulnerabilities	附属書2.4：脆弱性
Annex 2.5: Harms	附属書2.5：被害

 

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
The Council, in its May 2022 Conclusions on the EU’s cyber posture, requested the Commission, the High Representative, and the NIS Cooperation Group (NIS CG) to carry out a risk evaluation and develop risk scenarios from a cybersecurity perspective in a situation of threat or possible attack against Member States or partner countries. It was decided to focus this report on two sectors: telecommunications (mobile networks, fixed networks, satellite, and core internet infrastructure) and electricity (including gas to the extent it supports the generation of electricity).	EU理事会は、2022年5月のEUのサイバー態勢に関する結論において、欧州委員会、上級代表、NIS協力グループ（NIS CG）に対し、加盟国またはパートナー諸国に対する脅威または攻撃の可能性がある状況におけるサイバーセキュリティの観点から、リスク評価を実施し、リスクシナリオを策定するよう要請した。本報告書は、電気通信（モバイル・ネットワーク、固定ネットワーク、衛星、コア・インターネット・インフラ）と電力（発電をサポートする範囲でのガスを含む）の2分野に焦点を当てることが決定された。
Dependencies on critical components from third countries and supply chain-related vulnerabilities are a particular risk for both sectors. Many specific components have limited suppliers based outside the EU which may be considered high-risk due to susceptibility to government interference without adequate legal or judicial constraints. Moreover, the increasing importance of renewable energy sources, such as wind and solar power, introduces many new - and often less secure - digital technologies into energy networks critical to society. The EU’s cyber posture would greatly benefit from further research on potential security measures.	第三国からの重要部品への依存とサプライチェーン関連の脆弱性は、両分野にとって特に大きなリスクである。多くの特定部品は、EU域外を拠点とする限られたサプライヤーしか供給しておらず、十分な法的・司法的制約がないまま政府の干渉を受けやすいため、高リスクとみなされる可能性がある。さらに、風力発電や太陽光発電のような再生可能エネルギーの重要性が高まるにつれ、社会にとって重要なエネルギー・ネットワークに、多くの新しい（そしてしばしば安全性の低い）デジタル技術が導入される。EUのサイバー態勢は、潜在的なセキュリティ対策に関するさらなる研究から大きな恩恵を受けるだろう。
For the telecommunications sector, the top risks identified are risks to mobile and fixed telecommunications networks, risks to the internet’s core infrastructure and risks to the satellite communications. The enormous databases of sensitive information held by the mobile subsector are a major target for ransomware. The unavailability of communication sector services caused by ransomware and destructive malware carries large potential for spillover harm into other sectors. Moreover, the risk of disruption is heightened in areas where a telecommunications operator is the sole provider for critical entities or in a particular region. The risk of espionage resulting from infiltration of malicious insiders, or from hostile third countries exercising pressure on 5G suppliers to facilitate cyberattacks scores equally likely, though its impact is much harder to assess. Vulnerabilities in roaming infrastructure can be exploited to geolocate users, intercept calls and SMS messages, while smishing (using deceptive text messages) and vishing (using voice and telephone technologies) attacks can be used to harvest credentials and gain access to critical systems. Unpatched devices used to connect to the Internet are susceptible to compromise and can be used as part of botnets controlled by malicious actors. For core Internet infrastructure, including the around 200 undersea cables around the world, physical sabotage is the most salient risk. The highest risk concerning satellite networks is signals jamming, due to its low cost and the ease with which it can be orchestrated.	電気通信分野では、モバイルおよび固定通信ネットワークへのリスク、インターネットの中核インフラへのリスク、衛星通信へのリスクが上位に挙げられている。モバイル・サブ分野が保有する機密情報の膨大なデータベースは、ランサムウェアの主要な標的である。ランサムウェアや破壊的なマルウェアによって通信分野のサービスが利用できなくなると、他の分野にも被害が波及する可能性が大きい。さらに、電気通信事業者が重要な事業体や特定の地域の唯一のプロバイダーである地域では、混乱のリスクが高まる。悪意のある内部者の侵入や、敵対的な第三国がサイバー攻撃を促進するために5Gサプライヤーに圧力をかけることによるスパイ活動のリスクも同様に考えられるが、その影響を評価するのははるかに難しい。ローミングインフラストラクチャの脆弱性を悪用してユーザーを地理的に特定したり、通話やSMSメッセージを傍受したり、スミッシング（欺瞞的なテキストメッセージを使用）やビッシング（音声や電話技術を使用）攻撃を使って認証情報を採取し、重要なシステムにアクセスしたりすることができる。インターネットに接続するために使用されるパッチ未適用のデバイスは、侵害の影響を受けやすく、悪意のある行為者によって制御されるボットネットの一部として使用される可能性がある。世界中に張り巡らされた約200本の海底ケーブルを含む中核的なインターネット・インフラについては、物理的な妨害行為が最も顕著なリスクである。衛星ネットワークに関する最も高いリスクは、低コストで簡単に組織化できる信号妨害である。
For the electricity sector, the highest identified risks concern entities directly connected to the electricity grid (including gas infrastructure). The most salient threats are insiders who either work for hostile actors and infiltrate organisations, or are manipulated via social engineering, along with cyberattacks from the outside, where ransomware and malware are used to gain control over, or otherwise disrupt, operational technology relied on by gas producers and electricity generators. Additionally, espionage is an important risk for the energy sector, for two reasons: first, there are large amounts of sensitive intellectual property in the sector and, second, the sector attracts considerable pre-positioning activity by advanced threat actors with the aim of later executing destructive attacks.	電力分野では、電力網（ガスインフラを含む）に直結する事業体に関するリスクが最も高いことが確認されている。最も顕著な脅威は、敵対的な行為者のために働き、組織に潜入するか、ソーシャル・エンジニアリングによって操られる内部関係者であり、外部からのサイバー攻撃では、ランサムウェアやマルウェアが、ガス製造業者や発電事業者が信頼する運用技術を制御したり、そうでなければ混乱させるために使用される。第一に、エネルギー分野には機密性の高い知的財産が大量に存在すること、第二に、エネルギー分野は、後に破壊的な攻撃を実行することを目的とした高度な脅威行為者による事前準備活動をかなり誘引していることである。
Ten risk scenarios have been developed for use in both EU and national risk preparedness exercises on the basis of the results. The scenarios reflect the most salient risks across a wide range of subsectors and are designed to stress test current preparedness measures.	この結果に基づいて、EUと各国のリスク対策演習で使用するための10のリスクシナリオが作成された。シナリオは、幅広いサブ分野にまたがる最も顕著なリスクを反映しており、現在の準備態勢をストレステストするように設計されている。
The conclusions include 17 suggestions over four areas of improvement for the civilian electricity and telecommunications sectors’ overall cybersecurity posture and resilience, collective intelligence, cross-sectoral crisis management and follow-up risk assessments. They take into account recent policy and legislative developments: notably, the adoption of the Cyber Resilience Act will create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle.	結論には、民間の電力・通信分野の全体的なサイバーセキュリティ態勢と回復力、集合的インテリジェンス、分野横断的な危機管理、フォローアップのリスク評価に関する4つの改善分野にわたる17の提案が含まれている。特に、サイバーレジリエンス法の採択は、ハードウェアやソフトウェア製品がより脆弱性の少ない状態で市場に投入され、製造業者が製品のライフサイクルを通じてセキュリティに真剣に取り組むようにすることで、デジタル要素を含む安全な製品を開発するための条件を整えることになる。
Member States and cyber networks are recommended to take this report into account when organising their future risk preparedness exercises. This includes any national and EU-level risk assessments, as well as organisational readiness exercises and stress testing of critical infrastructures in the electricity and/or telecommunications sectors.	加盟国およびサイバーネットワークは、今後リスク準備演習を実施する際には、本報告書を考慮することが推奨される。これには、国レベルおよびEUレベルのリスクアセスメント、組織的な準備演習、電力・通信分野の重要インフラのストレステストなどが含まれる。

 

 

 

米国 司法省監察官室 米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための司法省の取り組みの評価

こんにちは、丸山満彦です。

米国大統領選は、大統領候補の名前間違えや、候補者暗殺未遂、候補者変更など、いろいろあるようですが...一貫して、選挙への外国の影響をいかに排除するか？このソーシャルメディアの時代に...そしてAIも...というところが課題となっていて、連邦政府もいろいろと対策をしていますよね...

今回は、司法省の取り組みについて司法省監察官室の報告書です。参考になる部分が多いように思います。AIによる誤情報の問題が取り上げられがちですが、本質的な問題は、ソーシャルメディアによる情報拡散が世論に影響を及ぼすという中で、国民の言論の自由をまもりつつ、いかに外国の悪影響を取り除くか？ということなのですよね...たぶん...

米国政府の考え方や取り組みを理解するのに、この報告書はとても参考になると思います。

 

● OIG.Gov

・2024.07.23 Evaluation of the U.S. Department of Justice’s Efforts to Coordinate Information Sharing About Foreign Malign Influence Threats to U.S. Elections

・[PDF]

・[DOCX][PDF] 仮訳

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
Evaluation of the U.S. Department of Justice’s Efforts to Coordinate Information Sharing About Foreign Malign Influence Threats to U.S. Elections	米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための米国司法省の取り組みの評価
Introduction	はじめに
Protecting the Integrity of U.S. elections is an important component of the U.S. Department of Justice’s (Department, DOJ) overall mission to uphold the rule of law, keep our country safe, and protect civil rights.  One type of threat to U.S. elections comes in the form of foreign malign influence, which the Federal Bureau of Investigation (FBI) defines as “subversive, covert (or undeclared) coercive, or criminal activities by foreign governments, nonstate actors, or their proxies to sow division, undermine democratic processes and institutions, or steer policy and regulatory decisions in favor of the foreign actor’s strategic objectives.”	米国の選挙の完全性を守ることは、法の支配を守り、国の安全を保ち、市民の権利を守るという米国司法省（DOJ）の全体的な使命の重要な要素である。  米連邦捜査局（FBI）は、「外国政府、非国家主体、またはその代理人による、破壊的、秘密（または宣言されていない）強制的、または犯罪的な活動であり、分断の種をまき、民主的なプロセスや制度を弱体化させ、外国人主体の戦略目標に有利なように政策や規制の決定を誘導するもの」と定義している。
In January 2017, the U.S. Intelligence Community issued an assessment stating that Russia’s efforts to influence the 2016 U.S. presidential election demonstrated a “significant escalation in directness, level of activity, and scope of effort compared to previous operations.”  Similarly, the U.S. Senate Select Committee on Intelligence in 2019 and the U.S. House Permanent Select Committee on Intelligence in 2018 found, in part, that the Russian government historically has attempted to interfere in U.S. elections and attempted to interfere in the 2016 election through attacks on state voter registration databases and cyber operations targeting governments and businesses using tactics such as spear phishing, hacking operations, and social media campaigns.  In 2017, the FBI established its Foreign Influence Task Force (FITF) to “identify and counteract the full range of malign foreign influence operations” targeting the United States, including operations targeting U.S. elections.  DOJ’s National Security Division (NSD) and U.S. Attorney’s Offices (USAO) work with the FBI to combat foreign malign influence threats.  Additionally, the Department and its components share information with other federal partners, states, and social media companies to counter foreign malign influence directed at U.S. elections.	2017年1月、米国情報機関は、2016年の米国大統領選挙に影響を及ぼそうとするロシアの努力は、"以前の作戦と比較して、直接的さ、活動のレベル、努力の範囲が著しくエスカレートしている "ことを示したとする評価を発表した。  同様に、2019年の米上院情報特別委員会と2018年の米下院情報特別委員会は、ロシア政府が歴史的に米国の選挙への干渉を試みており、スピアフィッシング、ハッキング作戦、ソーシャルメディア・キャンペーンなどの戦術を用いて、各州の有権者登録データベースへの攻撃や政府や企業を標的としたサイバー作戦を通じて、2016年の選挙への干渉を試みたことを一部認めている。  2017年、FBIは、米国の選挙を標的にした作戦を含む、米国を標的にした「あらゆる悪質な外国の影響力作戦を特定し、これに対抗する」ために、外国影響力タスクフォース（FITF）を設立した。  司法省の国家安全保障局（NSD）と連邦検事局（USAO）は、FBIと協力して外国の悪質な影響力の脅威と戦っている。  さらに、司法省とその構成機関は、他の連邦政府パートナー、州、ソーシャルメディア企業と情報を共有し、米国の選挙に向けられた外国の悪意ある影響に対抗している。
The DOJ Office of the Inspector General (OIG) undertook this evaluation to assess the effectiveness of the Department’s information-sharing system related to foreign malign influence directed at U.S. elections, evaluate the Department’s oversight and management of its response, and identify any gaps or duplication among the Department’s efforts in this area.  We focused on the Department’s information sharing with social media companies to evaluate the aspect of the Department’s information-sharing system that the FITF developed following foreign malign influence directed at the 2016 U.S. presidential election.	司法省監察総監室（OIG）は、米国選挙に向けられた外国の悪意ある影響に関連する同省の情報共有システムの有効性を評価し、その対応に関する同省の監督と管理を評価し、この分野における同省の取り組みのギャップや重複を特定するために、本評価を実施した。  われわれは、2016年の米国大統領選挙に向けられた外国の悪意ある影響力を受けてFITFが開発した同省の情報共有システムの側面を評価するため、ソーシャルメディア企業との同省の情報共有に焦点を当てた。
Recommendations	勧告
In this report, we make two recommendations to ensure that DOJ takes a public and strategic approach to sharing information with social media companies in a manner that protects First Amendment rights to combat foreign malign influence directed at U.S. elections, thus strengthening public trust in the Department.	本報告書では、司法省が、米国の選挙に向けられた外国の悪意ある影響に対抗するために、憲法修正第1条の権利を保護する形でソーシャルメディア企業と情報を共有するための公的かつ戦略的なアプローチを取ることを確実にし、その結果、司法省に対する国民の信頼を強化するために、2つの勧告を行う。
Results in Brief	結果の概要
We found that the FBI has developed an ”intelligence sharing model,” involving other members of the U.S. Intelligence Community and social media companies, but that neither DOJ nor the FBI had specific policy or guidance applicable to information sharing with social media companies.  We also found that the DOJ components tasked with countering foreign malign influence directed at U.S. elections effectively share information with each other.	我々は、FBIが米国情報機関の他のメンバーとソーシャルメディア企業を巻き込んだ「情報共有モデル」を開発したが、司法省もFBIもソーシャルメディア企業との情報共有に適用される具体的なポリシーやガイダンスは持っていないことを明らかにした。  また、米国の選挙に向けられた外国の悪意ある影響に対抗することを任務とする司法省の各部門は、効果的に情報を共有していることもわかった。
The Department Previously Lacked Guidance for Certain Types of Engagement with Social Media Companies	同省は以前、ソーシャルメディア企業との特定のタイプの関わり方に関するガイダンスを欠いていた。
We found that neither DOJ nor the FBI had a specific policy or guidance applicable to information sharing with social media companies until February 2024.	司法省もFBIも、2024年2月まではソーシャルメディア企業との情報共有に適用される特定のポリシーやガイダンスは持っていないことがわかった。
At the time of our fieldwork, the Department shared information about foreign malign influence directed at U.S. elections by means of an “intelligence sharing model,” through which the FBI obtained information related to foreign malign influence actors from other U.S. Intelligence Community agencies and shared that information with social media companies.  In some instances, the companies may have chosen to investigate further activity on their platforms.  Upon receiving a court order obtained by DOJ, the companies were then able to provide information to the FBI.  This could result in the development of new leads, which could help the FBI in its operational activities and potentially identify additional information that it could share with the companies.	われわれが現地調査を行った時点では、FBIは「情報共有モデル」によって、米国の選挙に向けられた外国の悪質な影響力に関する情報を共有していた。情報共有モデルとは、FBIが他の米国情報コミュニティ機関から外国の悪質な影響力行為者に関連する情報を入手し、その情報をソーシャルメディア企業と共有するものである。  場合によっては、各社は自社のプラットフォームでのさらなる活動を調査することを選択したかもしれない。  司法省が取得した裁判所命令を受け、各社はFBIに情報を提供することができた。  その結果、新たな手がかりが得られる可能性があり、FBIの作戦活動に役立ち、企業と共有できる追加情報を特定できる可能性がある。
FBI officials said that, in the absence of a specific policy or guidance, the FBI’s information-sharing method has been based on an “actor-driven versus content-driven” approach.  DOJ and FBI officials told us that the FBI does not monitor social media content on platforms as it relates to foreign malign influence, nor does it investigate specific narratives spread online.  Rather than using online content to identify foreign malign influence activity, the FBI told us that it acts based on intelligence developed during its ongoing investigations or received from other federal agencies concerning the activities of specific foreign actors.  However, we also found during our document review that the FBI shared “content” information when the FBI had intelligence indicating that a foreign actor planned to promote specific themes or narratives with its social media activity.  The FBI said that it relies on the social media companies to assess the information provided by the FBI and to determine whether to take any action based on its customer having violated the companies’ terms of service.	FBI職員によると、具体的な方針や指針がない場合、FBIの情報共有方法は「行為者主導かコンテンツ主導か」というアプローチに基づいているという。  司法省とFBIの関係者によると、FBIは外国の悪意ある影響力に関連するソーシャルメディアコンテンツを監視しておらず、オンライン上で拡散された特定のシナリオを調査することもないという。  FBIは、外国の悪質な影響活動を特定するためにオンラインコンテンツを利用するのではなく、進行中の捜査の中で開発された、または特定の外国人行為者の活動に関する他の連邦機関から受け取った情報に基づいて行動していると、私たちは述べた。  しかし、文書調査の結果、外国人行為者がソーシャルメディア活動で特定のテーマや物語を宣伝する予定であることを示す情報を FBI が得た場合、FBI は「コンテンツ」情報を共有していることも分かりました。  FBI は、FBI から提供された情報を評価し、顧客が各社の利用規約に違反したことに基づいて何らかの措置を講じるかどうかを判断するのは、ソーシャルメディア企業に依存していると述べている。
We also found that the Department does not have a comprehensive strategy guiding its approach to engagement with social media companies on foreign malign influence directed at U.S. elections and that it faces risks as a result.  Specifically, the FBI maintains relationships with social media companies in the San Francisco area, where many social media companies are based, but lacks ongoing relationships with social media companies outside that area.  Further, we found that the Department faces novel threats, such as the expansion of foreign-owned social media platforms and the development of new technologies that could support foreign malign influence campaigns directed at U.S. elections.	また、米国の選挙に向けられた外国の悪意ある影響に関するソーシャルメディア企業との関わり方について、同省には包括的な戦略がなく、その結果リスクに直面していることも分かった。  具体的には、FBIは多くのソーシャルメディア企業が拠点を置くサンフランシスコ地域のソーシャルメディア企業とは関係を維持しているが、同地域以外のソーシャルメディア企業とは継続的な関係を築いていない。  さらに、外国資本のソーシャルメディア・プラットフォームの拡大や、米国の選挙に向けられた外国の悪意ある影響力キャンペーンを支援する可能性のある新技術の開発など、新たな脅威に直面していることが分かった。
While the FBI’s model and approach has put this framework in place, it nonetheless has an inherent risk arising from the fact that social media companies provide a forum for speech, which is subject to protection under the First Amendment from infringement by the government.  While there are no apparent First Amendment implications from the FBI simply sharing information about foreign malign influence threats with social media companies, concerns may arise if that information is communicated in such a way that those communications could reasonably be perceived as constituting coercion or significant encouragement aimed at convincing the companies to act on the shared information in a way that would limit or exclude the speech of those who participate on their platforms.  DOJ and the FBI issued a new standard operating procedure (SOP) in February 2024 that acknowledges this risk and takes steps to mitigate it.  We believe that identifying a way to inform the public about this SOP and how it protects First Amendment rights would strengthen public trust in the Department and the FBI.	FBIのモデルとアプローチはこの枠組みを整えたが、それにもかかわらず、ソーシャルメディア企業が言論の場を提供しているという事実から生じる固有のリスクがある。  FBIがソーシャルメディア企業と外国の悪意ある影響力の脅威に関する情報を共有するだけでは、憲法修正第1条への明白な影響はないが、その情報が、そのプラットフォームで参加する人々の言論を制限または排除するような方法で、共有された情報に基づいて行動するよう企業を説得することを目的とした強制または重大な奨励を構成すると合理的に認識され得るような方法で伝達された場合、懸念が生じる可能性がある。  司法省とFBIは2024年2月に新しい標準業務手順書（SOP）を発表し、このリスクを認め、軽減するための措置を講じた。  私たちは、このSOPとそれが憲法修正第1条の権利をどのように保護するのかを一般に知らせる方法を特定することが、司法省とFBIに対する国民の信頼を強化することになると考える。
NSD, USAOs, and FBI Field Offices Effectively Share Information Regarding Foreign Malign Influence Cases Involving Threats to U.S. Elections	NSD、USAO、FBI各支部は、米国の選挙に対する脅威を伴う海外からの悪質な影響力案件に関する情報を効果的に共有している。
We found effective coordination within and among the three DOJ components tasked with sharing information regarding foreign malign influence directed at U.S. elections.  Within DOJ, coordination on foreign malign influence directed at U.S. elections occurs at both a strategic case management level, where decisions about DOJ’s overall approach to combating foreign malign influence are made, and at a case investigative level, where FBI agents, Assistant U.S. Attorneys, and NSD attorneys coordinate weekly on the investigation and prosecution of individual cases.  Officials we spoke to at each of the three DOJ components expressed positive views about their information-sharing relationships within DOJ pertaining to foreign malign influence directed at U.S. elections.	われわれは、米国の選挙に向けられた外国の悪意ある影響に関する情報を共有することを任務とする司法省の3部門内および部門間で、効果的な調整が行われていることを発見した。  司法省内では、米国の選挙に向けられた外国の悪質な影響力に関する調整は、外国の悪質な影響力と闘うための司法省の全体的なアプローチについて決定する戦略的な事件管理レベルと、FBI捜査官、連邦検事補、NSD弁護士が個々の事件の捜査と起訴について毎週調整する事件捜査レベルの両方で行われている。  われわれが話を聞いた司法省の3部局の職員は、米国の選挙に向けられた外国の悪質な影響力に関する司法省内の情報共有関係について、肯定的な見解を示した。

 

目次...

EXECUTIVE SUMMARY	要旨
Table of Contents	目次
Introduction	はじめに
Background	背景
Purpose and Scope of the OIG Evaluation	OIG評価の目的と範囲
Results of the Evaluation	評価結果
The Department Previously Lacked Guidance for Certain Types of Engagement with Social Media Companies	同省は以前、ソーシャル メディア企業との特定のタイプの関わり方に関するガイダンスを欠いていた。
NSD, USAOs, and FBI Field Offices Effectively Share Information Regarding Foreign Malign Influence Cases Involving Threats to U.S. Elections	NSD、USAO、FBIの各支部は、米国の選挙に対する脅威を伴う外国の悪質な インフルエンス事件に関する情報を効果的に共有している。
Conclusion and Recommendations	結論と勧告
Conclusion	結論
Recommendations	勧告
Appendix 1:  Purpose, Scope, and Methodology	附属書1：目的、範囲、方法論
Standards	規格
Purpose and Scope	目的と範囲
Methodology	方法論
Appendix 2:  The Mission, Structure, and Development of the Foreign Influence Task Force and the Role of the FBI’s Cyber Division	附属書 2：  対外影響タスクフォースの任務、構造、発展、およびFBIサイバー課の役割
The Mission and Structure of the Foreign Influence Task Force	対外影響タスクフォースの使命と構造
Additional Background on the FITF’s Development	FITF設立の背景
The Role of the FBI’s Cyber Division in the FITF	FITFにおけるFBIサイバー部門の役割
Appendix 3:  Databases and Systems Available to the FBI for Sharing Information	附属書3：FBIが情報を共有するために利用できるデータベースとシステム
FBI Official System of Record	FBI公式記録システム
Methods for Sharing Information with Nonfederal Entities	連邦機関以外との情報共有方法
Methods for Sharing Information within the U.S. Government	米国政府内の情報共有方法
Method for Receiving Information from the General Public	一般からの情報受信方法
Appendix 4:  Overview of DOJ’s Mission to Counter Election Crimes	附属書4：  選挙犯罪に対抗する司法省の任務の概要
Appendix 5:  DOJ’s Election-Related Information Sharing with Other Federal Agencies and State Government Officials	附属書5：司法省による他の連邦政府機関および州政府関係者との選挙関連情報共有
Coordination with the Department of Homeland Security	国土安全保障省との調整
Coordination with Other Federal Agencies	他の連邦政府機関との調整
Coordination with State Government Officials	州政府関係者との調整
Appendix 6:  Descriptions of Laws and Policies Relevant to DOJ’s Mission to Counter Foreign Malign Influence	附属書6．  外国の悪質な影響に対抗する司法省の使命に関連する法律と政策の説明
First Amendment to the U.S. Constitution	合衆国憲法修正第1条
Statutes	法令
Executive Order	大統領令
Department of Justice Policies	司法省の方針
FBI Policies	FBIの方針
Appendix 7:  The Department’s Response to the Draft Report	附属書7：報告書草案に対する同省の回答
Appendix 8:  OIG Analysis of the Department’s Response	附属書8：同局の回答に対するOIGの分析

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

 

一般セキュリティ

・2024.07.25 米国 司法省監察官室 米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための司法省の取り組みの評価

・2024.07.09 米国 CISA 選挙関係者のための運用セキュリティガイド

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁（CISA）と米国選挙支援委員会（EAC）が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2023.12.12 カナダ サイバーセキュリティセンター 選挙に対するサイバー脅威、政治家候補へのサイバーセキュリティ・アドバイス他

・2023.11.23 ENISA 2024年のEU議会議員選挙に向けたサイバー演習

・2023.08.25 シンガポール CSR 大統領選に向け立候補者、有権者、それぞれに向けてサイバー関連の注意喚起

 

電子投票システムの保護

・2024.02.29 米国 IC3 電子投票の交付、マーク付け、返送に関するリスクマネジメント (2024.02.14)

・2022.06.15 ドイツ BSI Security in focus - BSI Magazine 2021-02 はオンライン選挙をテーマにしていますね。。。 (2022.05.31)

 

偽情報を含む情報操作対策

・2024.06.07 欧州議会 欧州議会選挙に対する偽情報に対する準備は整った（選挙期間中）

・2024.06.02 欧州会計監査院がEU選挙を控えているので偽情報とサイバーセキュリティには気をつけろといってますね...

・2024.04.22 米国 CISA FBI ODNI 外国の悪質な影響力工作の手口から選挙インフラを守るためのガイダンス

・2024.04.14 米国 EPIC他 テック・プラットフォーマーにAIによる選挙偽情報に対抗するように要請

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.08.07 米国 MITRE グローバル民主主義への脅威

・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ（52大学から56チームが参加）

米国国立科学財団 AI技術の安全・安心を推進する新たなAIテストベッド構想

こんにちは、丸山満彦です。

米国国立科学財団が、AI技術の安全・安心を推進する新たなAIテストベッド構想を発表していますね...

このイニシアチブは、2023年10月に署名された「人工知能の安全、安心、信頼できる開発と使用」に関する大統領令14410に沿ったもので、安全、安心、信頼の配慮を優先したAI開発のための強固なエコシステムを構築することが重要ということのようですね...

で、AI-Ready Test Bedsをつくるということのようです...

静的データによるAIシステムの構築はよく理解されているが、リアルタイム・ストリーミング・データや予測困難な時空間特性を持つデータなど、継続的に変化する動的データに基づいてAIシステムを構築したり進化させたりすることはこれから重要となりそうということのようです...

ということで、このテストベッドは、個人やコミュニティへの危害を含む社会的影響を研究する能力を研究者に提供し、セキュリティ、安全性、プライバシー、公平性に関連するさまざまなリスクを評価し、確立されたAIリスク管理フレームワークに従って利害関係者がAIシステムを効果的に展開するのを支援し、さまざまなレッド・チーミング技術を実験・開発し、その有効性を評価することを目的とする「リビング・ラボ」モデルを取り入れるようです...

このテストベッドで革新的な AI の大規模かつリアルタイムでの実世界テストを可能にしながら、研究者が現在アプリケーション領域に入る際に遭遇するコストを下げ、コミュニケーションの障壁を減らすためのインフラを提供することを想定している...

日本で先端にいる人たちは、米国がこれからやろうとしていることは理解していると思いますが、そんな米国も中国に追いつけ？という感じで、頑張っているのでしょうしね...日本の場合は、周囲の理解も含め、予算や人材の面でも苦労があるのかもしれませんね...

 

● U.S. National Science Fundation

プレス...

・2024.07.23 NSF announces new AI test beds initiative to advance safety and security of AI technologies

NSF announces new AI test beds initiative to advance safety and security of AI technologies	米国立科学財団（NSF）は、AI技術の安全性とセキュリティを向上させるための新たなAIテストベッド構想を発表した。
The U.S. National Science Foundation announces the launch of a new initiative that will invest in the development of artificial intelligence-ready test beds, a critical infrastructure designed to propel responsible AI research and innovation forward. These test beds, or platforms, will allow researchers to study new AI methods and systems in secure, real-world settings. The initiative calls for planning grants from the research community to accelerate the development of the test beds.	米国国立科学財団（NSF）は、責任あるAI研究とイノベーションを推進するための重要なインフラである人工知能テストベッドの開発に投資する新たなイニシアチブの開始を発表した。これらのテストベッド（プラットフォーム）により、研究者は安全な実環境で新しいAI手法やシステムを研究できるようになる。このイニシアチブでは、テストベッドの開発を加速させるために、研究コミュニティからの計画助成金を求めている。
The initiative is aligned with Executive Order 14410 on the "Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence," signed in October 2023, underscoring the importance of creating a robust ecosystem for AI development that prioritizes safety, security and trustworthy considerations. The executive order emphasizes the extraordinary potential of AI to address urgent societal challenges while also highlighting the risks associated with possible irresponsible use. Recognizing this dual potential, NSF's AI-ready test beds initiative is set to enhance and advance the essential infrastructure needed for researchers to develop, test and refine responsible AI systems in real-world settings.	このイニシアチブは、2023年10月に署名された「人工知能の安全、安心、信頼できる開発と利用」に関する大統領令14410に沿ったもので、安全、安心、信頼を優先したAI開発のための強固なエコシステムを構築することの重要性を強調している。大統領令は、緊急の社会的課題に対処するためのAIの並外れた可能性を強調する一方で、無責任な使用に伴うリスクも強調している。この2つの可能性を認識し、NSFのAI-ready test bedsイニシアチブは、研究者が実社会で責任あるAIシステムを開発し、テストし、改良するために必要不可欠なインフラを強化・発展させることを目的としている。
"Artificial intelligence holds incredible promise for advancing numerous fields, but its development must be guided by rigorous testing and evaluation in applications that involve decisions about, or contact with, people in the real world," said NSF Director Sethuraman Panchanathan. "With this initiative, NSF is demonstrating its commitment to innovate in AI and also ensure that those innovations are safe, secure and beneficial to society and our economy."	「NSFのセスラマン・パンチャナサン所長は、「人工知能は、多くの分野を発展させる素晴らしい可能性を秘めているが、その開発は、現実世界の人々に関する意思決定や人々との接触を伴うアプリケーションにおける厳密なテストと評価によって導かれなければならない。「このイニシアチブにより、NSFはAIの革新へのコミットメントを示すとともに、それらの革新が安全、安心で、社会と経済に有益なものであることを保証する」と述べた。
AI-ready test beds create an environment where AI researchers can deploy and assess the impact of their work and study the societal and economic impacts of AI-powered solutions, including various risks related to security, safety, privacy and fairness. For example, an AI-ready test bed may enable a researcher to evaluate a new AI solution for decision-making in a transportation scenario, or a test bed could allow an AI researcher to create new weather models and visualizations and assess them with meteorologists in the field. The infrastructure allows the researcher to innovate safely and collect real-world evidence that is beneficial to the intended users.	AI-readyテストベッドは、AI研究者が彼らの研究の影響を展開・評価し、セキュリティ、安全性、プライバシー、公平性に関連する様々なリスクを含め、AIを活用したソリューションの社会的・経済的影響を研究できる環境を構築する。例えば、AI対応テストベッドによって、研究者は交通シナリオにおける意思決定のための新しいAIソリューションを評価することができるかもしれないし、テストベッドによって、AI研究者は新しい気象モデルと可視化を作成し、現場の気象学者とともに評価することができるかもしれない。このインフラによって、研究者は安全にイノベーションを起こし、想定されるユーザーにとって有益な実世界の証拠を収集することができる。
Projects funded by the initiative will lay the framework for providing researchers with scalable, real-world environments to test novel AI methods and their impacts. These test beds will support interdisciplinary collaborations, bringing together private AI laboratories, academia, civil society and third-party evaluators to support the design, development and deployment of AI systems, including associated privacy-enhancing technologies.	このイニシアティブが資金提供するプロジェクトは、新しいAI手法とその影響をテストするためのスケーラブルな実環境を研究者に提供するための枠組みを構築する。これらのテストベッドは学際的なコラボレーションを支援し、民間のAI研究所、学界、市民社会、サードパーティ評価者を集め、関連するプライバシー強化技術を含むAIシステムの設計、開発、導入を支援する。
The initiative will offer planning grants to cultivate research teams that actively address the expansion or enhancement of an existing test bed to evaluate the impact on and interaction with users of novel AI methods. These grants will facilitate the collection of preliminary data, team formation, design efforts and the development of governance and management plans for scalable AI-ready test beds.	このイニシアチブでは、新しいAI手法のユーザーへの影響やユーザーとの相互作用を評価するために、既存のテストベッドの拡張や強化に積極的に取り組む研究チームを育成するための計画助成金を提供する。これらの助成金は、予備データの収集、チーム編成、設計作業、拡張可能なAI対応テストベッドのガバナンスと管理計画の策定を促進する。
NSF encourages proposal submissions from institutions in the Established Program to Stimulate Competitive Research (EPSCoR) jurisdictions and collaborative proposals led by NSF EPSCoR institutions. This approach aims to engage a wide array of perspectives and scientific talent in addressing national AI research challenges and opportunities.	NSFは、EPSCoR（Established Program to Stimulate Competitive Research：競争的研究促進プログラム）管轄内の機構からの提案や、NSFのEPSCoR機関が主導する共同提案の提出を奨励している。このアプローチは、国家的なAI研究の課題と機会への取り組みに、幅広い視点と科学的才能を参加させることを目的としている。

 

レター...

・2024.07.19 Dear Colleague Letter: Planning Grants to Create Artificial Intelligence (AI)-Ready Test Beds

Dear Colleague Letter: Planning Grants to Create Artificial Intelligence (AI)-Ready Test Beds	親愛なる同僚の手紙 人工知能(AI)に対応したテストベッドを作るための補助金計画
19-Jul-24	2024年7月19日
Dear Colleagues:	親愛なる同僚の皆様
The U.S. National Science Foundation's (NSF) Directorates for Computer and Information Science and Engineering (CISE) and Technology, Innovation and Partnerships (TIP) are seeking new approaches to develop and evaluate novel artificial intelligence (AI) methods in real-world settings. Too often new AI systems are deployed before the interactions with and impacts on users can be fully evaluated or understood. Often, when AI is evaluated, it is with an inadequate number of samples that do not scale or generalize beyond a limited number of use cases.	米国国立科学財団（NSF）のコンピュータ・情報科学・工学（CISE）部門と技術・イノベーション・パートナ ーシップ（TIP）部門は、新しい人工知能（AI）手法を開発し、実環境で評価するための新しいアプローチを模索している。新しいAIシステムは、ユーザーとの相互作用やユーザーへの影響が十分に評価・理解される前に導入されることがあまりにも多い。また、AIが評価される場合、サンプル数が不十分で、限られたユースケースを超えるスケールや一般化ができないことも多い。
This Dear Colleague Letter (DCL) seeks to address these limitations by encouraging the community to pursue Planning Grants designed to develop AI-Ready Test Beds that can be used by researchers to test novel AI methods in potential real-world application scenarios. Because of the current limits in scalability and scope, the AI community is encouraged to expand existing test beds and infrastructure to make them AI-ready and appropriate for use in evaluating the impact and effect of AI tools and systems on users. To do this, proposers are encouraged to create teams of researchers who have expertise in AI as well as domain experts and staff managing existing test beds. Existing test beds and infrastructure can be found in a range of settings, including, but not limited to: NSF-funded centers (e.g., Engineering Research Centers) and facilities, infrastructure funded by other federal agencies (e.g., Department of Energy, National Institute of Standards and Technology, National Oceanic and Atmospheric Administration, Department of Homeland Security, Department of Transportation, etc. or at [web]), state agencies (e.g., [web]) and industry. These Planning Grants will support costs associated with the formation of teams, the planning of the desired or envisioned AI-Ready infrastructure, the collection of preliminary pilot data and creation of governance and management plans for scalable AI-Ready Test Beds.	この親愛なる同僚への手紙（DCL）は、このような限界に対処するため、研究者が新しいAI手法を実世界の潜在的な応用シナリオでテストするために使用できるAI-Ready Test Bedsを開発することを目的とした計画補助金を追求することをコミュニティに奨励している。現状では拡張性や適用範囲に限界があるため、AIコミュニティは、既存のテストベッドやインフラを拡張し、AIに対応できるようにし、AIツールやシステムがユーザーに与える影響や効果を評価するために使用するのに適したものにすることが奨励されている。そのためには、提案者は、AIの専門知識を持つ研究者、ドメインの専門家、既存のテストベッドを管理するスタッフからなるチームを作ることが推奨される。既存のテストベッドやインフラは、以下を含むがこれに限定されない様々な環境で見つけることができる： NSFが資金提供するセンター（工学研究センターなど）や施設、他の連邦機関（エネルギー省、国立標準技術研究所、国家海洋大気庁、国土安全保障省、運輸省など、または[web] ）が資金提供するインフラ、州機関（[web] など）、産業界などである。これらのプランニング・グラントは、チームの結成、望ましい、あるいは想定されるAI-Readyインフラのプランニング、予備的なパイロットデータの収集、スケーラブルなAI-Readyテストベッドのためのガバナンスと管理計画の作成に関連する費用を支援する。
AI-Ready Test Beds are envisioned as comprehensive services that will provide infrastructure to support researchers to bring innovative applications of AI to bear in high-impact settings. The AI-Ready Test Beds will include technical staff and domain experts to guide and enable new researchers to easily connect to the application domains and provide human and technology interfaces that embed with front-line service providers and domain experts. Planning Grant proposers should consider that the targeted AI-Ready Test Beds could include both co-located and remote research teams and that the AI-Ready Test Beds should support multiple and varied use cases, facilitating inter-project collaboration and nexus-building as appropriate. Planning Grant proposers should envision AI-Ready Test Beds that add AI components to test beds that are already suited to use case experimentation, adopter demonstrations, longer baseline validation testing, etc.	AI-Readyテストベッドは、研究者が影響力の高い環境でAIの革新的な応用を実現するためのインフラを提供する包括的なサービスとして構想されている。AI-Readyテストベッドには、新しい研究者がアプリケーション・ドメインに容易に接続できるように指導する技術スタッフやドメイン専門家が含まれ、第一線のサービスプロバイダーやドメイン専門家と一体化した人的・技術的インターフェースを提供する。計画補助金の提案者は、対象となるAI-Ready Test Bedsには、共同研究チームと遠隔地の研究チームの両方が含まれる可能性があること、また、AI-Ready Test Bedsは、複数の多様なユースケースをサポートし、適宜、プロジェクト間のコラボレーションやネクサス構築を促進する必要があることを考慮すべきである。計画補助金の提案者は、AI-Ready Test Beds を、ユースケースの実験、採用者のデモンストレーション、より長いベースラインの検証テストなどに既に適しているテストベッドに AI コンポーネントを追加することを想定すべきである。
While building AI systems with static data is well-understood, building them or evolving them based on continuously changing or dynamic data, including real-time streaming data and data with significant spatio-temporal characteristics that are difficult to predict, is a significant issue. Hence, AI-Ready Test Beds should embrace a "living lab" model that aims to provide researchers with the ability to study societal impacts including harms to individuals and communities; assess various risks related to security, safety, privacy and fairness, and help stakeholders effectively deploy AI systems following well-established AI risk management frameworks; and experiment with and develop various red-teaming techniques as well as evaluate their effectiveness. AI-Ready Test Beds are envisioned to provide the infrastructure to lower the costs and reduce the communication barriers that researchers currently encounter upon entering an application domain, while allowing real-world tests of innovative AI at scale and in real time.	静的データによるAIシステムの構築はよく理解されているが、リアルタイム・ストリーミング・データや予測困難な時空間特性を持つデータなど、継続的に変化する動的データに基づいてAIシステムを構築したり進化させたりすることは重要な問題である。したがって、AI-Ready Test Bedsは、個人やコミュニティへの危害を含む社会的影響を研究する能力を研究者に提供し、セキュリティ・安全性・プライバシー・公平性に関連する様々なリスクをアセスメントし、確立されたAIリスクマネジメントフレームワークに従ってステークホルダーがAIシステムを効果的に展開するのを支援し、様々なレッドチーム技術を実験・開発し、その有効性を評価することを目的とした「リビングラボ」モデルを採用すべきである。AI-Readyテストベッドは、研究者がアプリケーション領域に参入する際に現在遭遇するコストを下げ、コミュニケーションの障壁を軽減するためのインフラを提供する一方で、革新的なAIの実環境テストを大規模かつリアルタイムで可能にすることを想定している。
Funding is available for Planning Grants in Fiscal Year (FY) 2025 to provide support to teams so that they may later submit a full proposal for an AI-Ready Test Bed.	2025会計年度には、AI-Ready Test Bedの正式な提案書を提出できるよう、チームを支援するための計画補助金を提供するための資金が用意されている。
BACKGROUND	背景
This initiative is responsive to the Executive Order (EO) on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence (the AI EO, October 2023), which states, "Artificial intelligence (AI) holds extraordinary potential for both promise and peril. Responsible AI use has the potential to help solve urgent challenges while making our world more prosperous, productive, innovative, and secure. At the same time, irresponsible use could exacerbate societal harms such as fraud, discrimination, bias, and disinformation; displace and dis-empower workers; stifle competition; and pose risks to national security."	このイニシアチブは、AIの安全、確実、信頼できる開発と使用に関する大統領令（EO）に対応するものである。この大統領令は、人工知能（AI EO、2023年10月）は、「人工知能（AI）は、将来性と危険性の両面において、並外れた可能性を秘めている。責任あるAIの利用は、我々の世界をより豊かで、生産的で、革新的で、安全なものにすると同時に、緊急の課題の解決に役立つ可能性を秘めている。同時に、無責任な使用は、詐欺、識別的バイアス、偽情報などの社会的危害を悪化させ、労働者を置き去りにし、力を失わせ、競争を阻害し、国家安全保障にリスクをもたらす可能性がある」。
Thus, to enhance the value and responsible use of AI, it is imperative to foster a healthy infrastructure ecosystem for evaluating novel AI methods, including how these systems interact with and impact their human users. NSF has long funded research and development in AI and in infrastructure for developing novel computational methods. The AI EO tasks NSF to expand on these efforts, to "ensure the availability of testing environments, such as test beds, to support the development of safe, secure, and trustworthy AI technologies." Through this DCL, NSF is providing funding for Planning Grants that support the science and engineering community to generate plans to enhance and expand existing test beds and infrastructure to make them "AI-ready" to support multi- and interdisciplinary research collaborations to test novel AI methods in real-time and real-world scenarios. To do this, Planning Grants should bring together teams of researchers who have expertise in AI with domain experts and staff managing existing test beds and testing infrastructure.	したがって、AIの価値と責任ある利用を強化するためには、これらのシステムが人間のユーザーとどのように相互作用し、どのような影響を与えるかを含め、新しいAI手法を評価するための健全なインフラ・エコシステムを育成することが不可欠である。NSFは長い間、AIの研究開発と、新しい計算手法を開発するためのインフラに資金を提供してきた。AI EOは、NSFにこれらの取り組みを拡大し、"安全、安心、信頼できるAI技術の開発を支援するため、テストベッドなどのテスト環境の利用可能性を確保する "ことを求めている。このDCLを通じて、NSFは科学・工学コミュニティが既存のテストベッドやインフラを強化・拡張し、リアルタイムかつ実世界のシナリオで新しいAI手法をテストするための複数・学際的研究協力を支援する「AI対応」にするための計画を生成するのを支援する計画補助金に資金を提供する。そのためには、AIに精通した研究者チームと、既存のテストベッドやテストインフラを管理する専門家やスタッフを、計画補助金によって結びつける必要がある。
DESCRIPTION OF THE OPPORTUNITY	機会の説明
Planning Grants funded through this DCL are expected to cultivate research teams that actively address the expansion or enhancement of an existing test bed to evaluate the impact on and interaction with users of novel AI methods. Proposers supported through this DCL may use the funding to organize activities that help stimulate the formation of AI-Ready Test Bed teams [in terms of Principal Investigator (PI), co-PI, Senior/Key Personnel, and organization type] and crystalize the ideas and research plans to be presented in a future AI-Ready Test Bed proposal.	本DCLを通じて資金提供される計画グラントでは、新しいAI手法のユーザーへの影響やユーザーとの相互作用を評価するために、既存のテストベッドの拡張や強化に積極的に取り組む研究チームを育成することが期待される。このDCLを通じて支援される提案者は、AI-Ready Test Bedチーム（主任研究者（PI）、共同研究者（Co-PI）、シニア／キーパーソン、組織タイプ）の形成を刺激し、将来のAI-Ready Test Bed提案書に提示するアイデアや研究計画を具体化する活動を組織するために資金を利用することができる。
Examples of application domains cover all major areas, such as: urban and regional transportation networks; telecommunications networks; power grid control; development, monitoring, maintenance, and repair of urban infrastructure; multi-level healthcare delivery systems: criminal justice system; human and social services requiring coordination across several city or community offices; allocation of public services; public safety; automated farming and food distribution; autonomous scientific laboratories; and manufacturing including the industrial Internet of Things (IIOT), materials and labor pipelines, warehousing, and distribution.	例えば、都市・地域交通ネットワーク、電気通信ネットワーク、電力網制御、都市インフラの開発・監視・保守・修理、マルチレベル医療提供システム、刑事司法システム、複数の市役所やコミュニティ事務所にまたがる調整を必要とする人的・社会的サービス、公共サービスの割り当て、公共安全、自動農業・食品流通、自律型科学研究所、モノのインターネット（IIOT）、資材・労働パイプライン、倉庫管理、流通を含む製造事業者などである。
Given the complexity of an AI-Ready Test Bed, NSF recognizes that many teams will identify important research priorities but may not have the full complement of skills needed to effectively address the challenge. The Planning Grant can be used to support team-formation activities that create opportunities for the development of partnerships between researchers, organizations and existing test beds or infrastructure that are bi-directional and mutually beneficial, thus engaging a wide array of perspectives and scientific talent to address the national needs and grand challenges presented in AI.	AI-Readyテストベッドの複雑さを考慮すると、NSFは、多くのチームが重要な研究の優先順位を特定するものの、課題に効果的に取り組むために必要なスキルを完全に備えていない可能性があることを認識している。計画助成金は、研究者、組織、既存のテストベッドやインフラストラクチャーとの間で、双方向かつ相互に有益なパートナーシップを構築する機会を創出するチーム形成活動を支援するために使用することができる。
NSF seeks to broaden geographic and demographic participation in research programs. To that end, proposal submissions from organizations in Established Program to Stimulate Competitive Research (EPSCoR) jurisdictions ([web]) are encouraged. Collaborative proposals led by an organization in an EPSCoR jurisdiction with subaward(s) to organization(s) in non-EPSCoR jurisdictions are also particularly welcomed.	NSFは、研究プログラムへの地理的、人口統計学的参加の拡大を目指す。そのため、EPSCoR（Established Program to Stimulate Competitive Research：競争的研究促進プログラム）の管轄地域（[web]）にある組織からの提案提出が奨励される。また、EPSCoR管轄区域内の組織が主導し、EPSCoR管轄区域外の組織に副助成を与える共同提案も特に歓迎される。
AWARD SIZE AND DURATION	賞の規模と期間
The budget for a planning proposal may be up to $100,000 per year, with total funding requested of up to $200,000 for up to 24 months.	計画提案の予算は、年間10万ドルを上限とし、最長24カ月間で総額20万ドルを上限とする。
PREPARATION AND SUBMISSION INFORMATION	準備と提出に関する情報
To be considered for an AI-Ready Test Bed Planning Grant, planning proposals must be submitted by 5:00 p.m., submitting organization's local time, on November 13, 2024.	AI-Readyテストベッド計画補助金の対象となるためには、計画提案書を2024年11月13日午後5時（提出機関の現地時間）までに提出しなければならない。
PIs must submit a Concept Outline to [mail] prior to submission of a planning proposal to aid in determining the appropriateness of the work for consideration under this opportunity. Guidance on Concept Outlines can be found in in Chapter I.D.1 of the NSF Proposal & Award Policies & Procedures Guide (PAPPG). Proposers must include the email from the NSF AI-Ready Test Beds team encouraging submission in the Program Officer Concurrence Email(s) section of the planning proposal.	PIは、計画提案書を提出する前に、コンセプト・アウトラインを[mail]  に送付すること。コンセプト・アウトラインに関するガイダンスは、NSF Proposal & Award Policies & Procedures Guide (PAPPG)の第I.D.1章に記載されている。提案者は、NSF AI-Ready Test Beds チームからの提出を促す電子メールを、計画提案書の Program Officer Concurrence Email(s) セクションに含めること。
Planning proposals must be prepared in accordance with the instructions in Chapter II.F.1 of the PAPPG. Per the guidance contained in PAPPG Chapter I.E, eligible proposing organizations include: Institutions of Higher Education, Non-profit, Non-academic Organizations and Tribal Nations. When preparing the planning proposal in Research.gov, proposers should select the PAPPG (NSF 24-1) as the funding opportunity and direct the proposal to the Human-Centered Computing Program, in the Information and Intelligent Systems Division of the CISE Directorate. The "Planning" type of proposal should be selected. The system will automatically insert the prepended title "Planning" and that should be followed by "AI-Ready". Please note that although the PAPPG accepts planning proposals at any time, proposals submitted in response to this DCL must be submitted by 5:00 p.m., submitting organization's local time, on November 13, 2024.	計画提案書は PAPPG の II.F.1 章の指示に従って作成すること。PAPPG第I.E章に記載されているガイダンスによると、適格な提案団体には以下のものが含まれる： PAPPG第I.E章に記載されているガイダンスによると、適格な提案組織には、高等教育機構、非営利、非学術団体、部族国家が含まれる。Research.gov で計画提案書を作成する場合、提案者は資金提供機会として PAPPG (NSF 24-1) を選択し、CISE Directorate の Information and Intelligent Systems Division にある Human-Centered Computing Program に提案書を提出する。提案のタイプは「計画（Planning）」を選択する。システムは自動的に「Planning」という前置きのタイトルを挿入し、その後に「AI-Ready」と続くはずである。PAPPGは企画提案を随時受け付けているが、このDCLに対応する提案は、2024年11月13日午後5時（提出機関の現地時間）までに提出されなければならないことに留意されたい。
Planning proposals do not constitute any commitment on behalf of the PI/co-PI(s) or their organizations to submit a future proposal. Nor does award of a Planning Grant constitute any commitment on behalf of NSF to fund a future AI-Ready Test Bed proposal subsequently submitted by the Planning Grant team. Prospective PIs are encouraged to read this DCL and the PAPPG carefully for planning proposal preparation and submission requirements.	企画提案書は、PI/共同PIまたはその組織を代表して、将来の提案書の提出を確約するものではない。また、計画助成金の授与は、計画助成金チームによって提出された将来のAI-Ready Test Bed提案にNSFが資金を提供することを約束するものでもない。PI候補者は、計画提案の準備と提出要件について、このDCLとPAPPGを注意深く読むことが奨励される。
AI-Ready Test Bed planning proposals may be reviewed internally by NSF staff, reviewed in a panel, reviewed by ad hoc reviewers, or reviewed by any combination of these methods.	AI-Readyテストベッド計画提案書は、NSFスタッフによる内部審査、パネル審査、特別審査員による審査、またはこれらの方法の組み合わせにより審査される。
For further information, please contact: [mail].	詳細については、以下に問い合わせること： [mail] 。
Sincerely,	敬具
Dr. Gregory Hager, Assistant Director	グレゴリー・ヘイガー博士
Directorate for Computer and Information Science and Engineering	コンピュータ・情報科学工学部門長
Dr. Erwin Gianchandani, Assistant Director	アーウィン・ジャンチャンダニ博士、アシスタント・ディレクター
Directorate for Technology, Innovation and Partnerships	技術・イノベーション・パートナーシップ総局

 

 

 

米国 CISA インフラ・レジリエンス計画のためのプレイブック (2024.07.17)

こんにちは、丸山満彦です。

米国のCISA　（Cybersecurity & Infrastracture Security Agency) といえば、サイバーセキュリティで有名ですが、もう一つの役割がインフラセキュリティです。

ということで、インフラセキュリティの話。

 

● CISA

プレス...

・2024.07.17 CISA Releases Playbook for Infrastructure Resilience Planning

CISA Releases Playbook for Infrastructure Resilience PlanningCISA	インフラ・レジリエンス計画のためのプレイブックを発表
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) released a companion guide to the Infrastructure Resilience Planning Framework (IRPF), which provides guidance on how local governments and the private sector can work together to plan for the security and resilience of critical infrastructure services in the face of threats. Dubbed the IRPF Playbook, this supplemental manual will assist state, local, tribal, territorial (SLTT) and private sector stakeholders in planning for the security and resilience of infrastructure in their regions .	サイバーセキュリティ・インフラセキュリティ庁（CISA）は本日、インフラ・レジリエンス・プランニング・フレームワーク（IRPF）の付属ガイドを発表した。IRPFプレイブックと呼ばれるこの補足マニュアルは、州、地方、部族、地域（SLTT）、民間セクターの関係者が、それぞれの地域のインフラのセキュリティとレジリエンスを計画する際に役立つ。
The IRPF Playbook lists inputs, processes, and fictional scenarios like a recipe to help users better understand how best to implement the IRPF guidance. By walking through the IRPF’s core resilience concepts, users can identify their objectives and develop an approach that incorporates the appropriate elements of the IRPF into their planning activities. The Playbook also includes a narrative hypothetical illustration of how a community might conduct resilience planning or incorporate infrastructure resilience into existing planning efforts using the IRPF.	IRPFプレイブックは、IRPFガイダンスを実施するための最良の方法をユーザーがよりよく理解できるように、インプット、プロセス、架空のシナリオをレシピのように列挙している。IRPFの中核となるレジリエンスの概念を通じて、ユーザーは自分たちの目的を特定し、IRPFの適切な要素を計画活動に組み込むアプローチを開発することができる。プレイブックには、地域社会がどのようにレジリエンス計画を実施するか、あるいは既存の計画策定にIRPFを利用してインフラのレジリエンスを組み込むかについて、物語仕立ての仮想図解も掲載されている。
“Reading through the Playbook process, not only are the IRPF steps articulated with clear inputs and outputs but the additional guidance on resilience concepts will help communities increase their readiness and bounce back quickly after a disaster,” said Dr. David Mussington, CISA Executive Assistant Director for Infrastructure Security. “We anticipate that the IRPF Playbook will address a crucial challenge by not only outlining the IRPF steps but also providing guidance on their practical implementation in disaster preparedness planning.”	「プレイブックのプロセスを読むと、IRPFのステップが明確なインプットとアウトプットとともに示されているだけでなく、レジリエンスの概念に関する追加ガイダンスは、地域社会が災害への備えを強化し、災害後に迅速に立ち直るのに役立つだろう。「IRPFプレイブックは、IRPFのステップを概説するだけでなく、災害準備計画における実践的な実施に関するガイダンスを提供することで、極めて重要な課題に取り組むことができると期待している。
The nation’s capacity to secure its infrastructure and sustain essential community services also depends on SLTT and private sector partners working together to assess and reduce risk to increasingly complex natural and human threats. CISA is releasing the IRPF Playbook to share its expertise with the public and with private sector entities, which have the primary responsibility for planning, investing in, and maintaining multiple water, transportation, health, education and other facilities and recovering essential community services.	国のインフラを確保し、必要不可欠なコミュニティ・サービスを維持する能力も、SLTTと民間セクターのパートナーが協力して、複雑化する自然や人的脅威に対するリスクをアセスメントし、軽減することにかかっている。CISAは、複数の水、交通、保健、教育、その他の施設の計画、投資、維持、および必須コミュニティサービスの回復に主な責任を持つ民間事業体と、一般市民と専門知識を共有するために、IRPFプレイブックを発表する。
The IRPF Playbook can be accessed alongside other resilience planning resources at the Resilience Planning Program webpage.	IRPFプレイブックは、レジリエンス・プランニング・プログラムのウェブページから、他のレジリエンス・プランニングのリソースとともにアクセスすることができる。

 

・Infrastructure Resilience Planning Framework (IRPF) Playbook

Infrastructure Resilience Planning Framework (IRPF) Playbook	インフラ・レジリエンス計画フレームワーク（IRPF）プレイブック
An IRPF Instruction Set	IRPFインストラクションセット
The IRPF Playbook is a supplementary, how-to guide to assist critical infrastructure stakeholders in executing IRPF guidance to incorporate infrastructure resilience into planning so that communities can become more secure and resilient in the face of multiple threats and changes. Designed as a companion to the main IRPF, this Playbook offers users concise instruction and highlights useful resources for accomplishing key actions within each of the five steps for planning for infrastructure resilience and security. The Playbook also provides a narrative hypothetical illustration of how a community might conduct planning using the various steps of the IRPF.	IRPFプレイブックは、重要インフラ関係者がIRPFガイダンスを実行し、インフラのレジリエンスを計画に取り入れることで、コミュニティが複数の脅威や変化に直面しても、より安全でレジリエンスに富んだものになるよう支援するための補助的なハウツーガイドである。このプレイブックは、IRPF本編に付随するものとして設計されており、インフラのレジリエンスとセキュリティのための計画立案のための5つのステップのそれぞれにおいて、重要な行動を達成するための簡潔な説明と有用なリソースの紹介を行っている。また、このプレイブックは、地域社会がIRPFの様々なステップを利用してどのように計画立案を行うかを、ストーリー仕立てで仮想的に示している。
The IRPF Playbook is voluntary and does not: constitute any regulations, define mandatory practices, provide a checklist for compliance or carry statutory authority. It is intended to be a set of guidelines, best practices, and awareness to planning resources.	IRPFプレイブックは自主的なものであり、いかなる規制を構成するものでも、強制的な慣行を定義するものでも、遵守のためのチェックリストを提供するものでも、法的権限を持つものでもない。IRPFプレイブックは、ガイドライン、ベストプラクティス、プランニングのためのリソースに関する情報を提供することを目的としている。
The IRPF Playbook can be used by anyone with interest in applying the IRPF; however, intended users include:	IRPFプレイブックは、IRPFの適用に関心のある人であれば誰でも利用することができる：
・State, local, tribal, and territorial government planners	・州、地方、部族、地域政府のプランナー
・Regional planning and development organizations	・地域計画・開発組織
・Multi-jurisdiction or multi-sector collaborative groups	・複数管轄区域または複数セクターの共同グループ
・Planning assistance providers	・計画支援プロバイダ
Please send questions or feedback to [mail].	ご質問やご意見は、[mail]。

 

・[PDF] IRPF-Playbook-07-17-2024.pdf

 

IRPF PLAYBOOK OVERVIEW	IRPFプレーブックの概要
STEP 1: LAY THE FOUNDATION	ステップ1：基礎を固める
STEP 2: IDENTIFY CRITICAL INFRASTRUCTURE	ステップ2：重要インフラの識別
STEP 3: ASSESS RISK	ステップ3：リスクアセスメント
STEP 4: DEVELOP ACTIONS	ステップ4：対策を立てる
STEP 5: IMPLEMENT & EVALUATE	ステップ5：実施と評価
APPENDIX A. FOUNDATIONAL INFRASTRUCTURE RESILIENCE CONCEPTS	附属書 A. インフラのレジリエンスの基本概念
APPENDIX B. GRAPHICS SHOWING INTEGRATION INTO SELECT PLANS	附属書 B. 選択された計画への統合を示す図
APPENDIX C. AFFILIATED RESOURCES & TEMPLATES	附属書 C. 提携リソースとテンプレート

 

 

 

---

レジリエンス・プランニング・プログラム...

・Resilience Planning Program

Resilience Planning Program	レジリエンス計画プログラム
Collaborating with infrastructure stakeholders at all levels to create solutions that enhance critical infrastructure security and resilience.	あらゆるレベルのインフラ関係者と協力し、重要インフラの安全性とレジリエンスを高める解決策を生み出す。
The Resilience Planning Program works with federal, state, local, tribal, and territorial government officials and infrastructure owners and operators to plan, design, and implement solutions that enhance the security and resilience of critical infrastructure against a variety of threats.	レジリエンス・プランニング・プログラムは、連邦政府、州政府、地方政府、部族政府、準州政府、インフラ所有者・運営者と協力して、さまざまな脅威に対する重要インフラのセキュリティとレジリエンスを強化するソリューションを計画、設計、実施する。
Overview	概要
The Resilience Planning Program offers an interdisciplinary and partnership-based approach that incorporates resilience strategies and policies into all phases of critical infrastructure planning, design, construction, and maintenance. This holistic approach helps public and private owners and operators, and state, local, tribal, and territorial planners and policy makers effectively prioritize and integrate resilience measures into policies, plans, designs, and operational procedures.	レジリエンス計画プログラムは、重要インフラの計画、設計、建設、保守のすべての段階にレジリエンス戦略と政策を組み込む学際的かつパートナーシップに基づくアプローチを提供する。この総合的なアプローチは、公共・民間の所有者・事業者、州・地方・部族・地域の計画立案者・政策立案者が、レジリエンス対策に効果的に優先順位をつけ、政策・計画・設計・運用手順に組み込むのを支援する。
Infrastructure Resilience Planning Framework (IRPF)	インフラ・レジリエンス計画フレームワーク（IRPF）
The Infrastructure Resilience Planning Framework (IRPF) is comprehensive, step-by-step planning guidance to inform long-term planning and investment decisions. The IRPF encourages partnering with local governments, planners, and the private sector to enhance the understanding of and planning for infrastructure resilience.	インフラ・レジリエンス計画フレームワーク（IRPF）は、長期的な計画と投資の意思決定に情報を提供するための、包括的で段階的な計画ガイダンスである。IRPFは、地方自治体、プランナー、民間セクターとのパートナーシップを奨励し、インフラのレジリエンスに対する理解と計画の強化を図っている。

 

 

・2024.03.25 Infrastructure Resilience Planning Framework (IRPF)

Infrastructure Resilience Planning Framework (IRPF)	インフラ・レジリエンス計画フレームワーク（IRPF）
The Infrastructure Resilience Planning Framework (IRPF) provides a process and series of resources for incorporating critical infrastructure resilience considerations into planning activities.	インフラ・レジリエンス計画フレームワーク（IRPF）は、重要インフラのレジリエンスへの配慮を計画活動に組み込むためのプロセスと一連のリソースを提供する。
CISA developed the Infrastructure Resilience Planning Framework (IRPF) to provide an approach for localities, regions, and the private sector to work together to plan for the security and resilience of critical infrastructure services in the face of multiple threats and changes. The primary audience for the IRPF is state, local, tribal, and territorial governments and associated regional organizations; however, the IRPF can be flexibly used by any organization seeking to enhance their resilience planning. It provides resources for integrating critical infrastructure into planning as well as a framework for working regionally and across systems and jurisdictions.	CISAは、複数の脅威や変化に直面する重要インフラサービスのセキュリティとレジリエンスを計画するために、自治体、地域、民間セクターが協力するためのアプローチを提供するために、インフラ・レジリエンス計画フレームワーク（IRPF）を開発した。IRPFの主な対象者は、州、地方、部族、および準州政府と関連する地域組織であるが、IRPFは、レジリエンス計画の強化を目指すあらゆる組織が柔軟に利用することができる。IRPFは、重要インフラを計画に統合するためのリソースを提供するとともに、地域的に、また制度や管轄区域を超えて活動するための枠組みを提供する。
This framework provides methods and resources to address critical infrastructure security and resilience through planning, by helping communities and regions:	このフレームワークは、計画を通じて重要インフラのセキュリティとレジリエンスに取り組むための手法とリソースを提供し、地域社会と地域を支援する：
Understand and communicate how infrastructure resilience contributes to community resilience	インフラのレジリエンスが地域のレジリエンスにどのように寄与するかを理解し、コミュニケーションする。
Identify how threats and hazards might impact the normal functioning of community infrastructure and delivery of services	脅威やハザードが地域社会のインフラの正常な機能やサービスの提供にどのような影響を及ぼすかを特定する。
Prepare governments, owners and operators to withstand and adapt to evolving threats and hazards	政府、所有者、事業者が、進化する脅威や危険に耐え、適応できるよう準備する。
Integrate infrastructure security and resilience considerations, including the impacts of dependencies and cascading disruptions, into planning and investment decisions	依存関係や連鎖的な途絶の影響など、イン フラのセキュリティとレジリエンスに関する 考慮を、計画や投資の意思決定に組み 込む。
Recover quickly from disruptions to the normal functioning of community and regional infrastructure	コミュニティや地域のインフラの正常な機能の障害から迅速に回復する。

 

 

・[PDF] Infrastructure Resilience Planning Framework (IRPF) v1.2

 

 

 

・[PDF] Infrastructure Resilience Planning Framework Fact Sheet

 

米国 NIST SP 800-233（初期公開ドラフト） クラウドネイティブアプリケーションのサービスメッシュプロキシモデル (2024.07.19)

こんにちは、丸山満彦です。

NISTが、クラウドネイティブアプリケーションのサービスメッシュプロキシモデルについての初期公開ドラフトを公表し、意見募集をしていますね...

これからはこっちですかね...

 

● NIST - ITL

・2024.07.19 NIST SP 800-233 (Initial Public Draft) Service Mesh Proxy Models for Cloud-Native Applications

 

NIST SP 800-233 (Initial Public Draft) Service Mesh Proxy Models for Cloud-Native Applications	NIST SP 800-233（初期公開ドラフト） クラウドネイティブアプリケーションのサービスメッシュプロキシモデル
Announcement	発表
The service mesh has become the de facto application services infrastructure for cloud-native applications. It enables an application’s runtime functions (e.g., network connectivity, access control, etc.) through proxies that form the data plane of the service mesh. Different proxy models or data plane architectures have emerged, depending on the distribution of the network layer functions (i.e., L4 and L7) and the granularity of association of the proxies to individual services/computing nodes.	サービスメッシュは、クラウドネイティブ・アプリケーションのための事実上のアプリケーション・サービス・インフラとなっている。サービスメッシュは、サービスメッシュのデータプレーンを形成するプロキシを通じて、アプリケーションのランタイム機能（ネットワーク接続、アクセス管理など）を実現する。ネットワークレイヤー機能（L4とL7）の配分と、個々のサービス／コンピューティングノードへのプロキシの関連付けの粒度に応じて、異なるプロキシモデルやデータプレーンアーキテクチャが出現している。
The purposes of this document are two-fold:	この文書の目的は2つある：
Develop a threat profile for each of the data plane architectures by considering a set of potential threats to various proxy functions and assign scores to the impacts and likelihoods of their exploits.	様々なプロキシ機能に対する潜在的な脅威のセットを考慮することによって、 各データプレーンアーキテクチャの脅威プロファイルを作成し、その悪用の 影響と可能性にスコアを割り当てる。
Analyze the service mesh capabilities that are required for each class of cloud-native applications with different risk profiles (i.e., low, medium, and high) and provide recommendations for the data plane architectures or proxy models that are appropriate and applicable for each class.	異なるリスクプロファイル（低、中、高）を持つクラウドネイティブアプリケーションの各クラスに必要なサービスメッシュ機能を分析し、各クラスに適切で適用可能なデータプレーンアーキテクチャまたはプロキシモデルの推奨を提供する。
Abstract	概要
The service mesh has become the de-facto application services infrastructure for cloud-native applications. It enables the various runtime functions (network connectivity, access control etc.) of an application through proxies which thus form the data plane of the service mesh. Depending upon the distribution of the network layer functions (L4 & L7) and the granularity of association of the proxies to individual services/computing nodes, different proxy models or data plane architectures have emerged. The purpose of this document is to develop a threat profile for each of the data plane architectures through a detailed threat analysis in order to make recommendations for their applicability (usage) for cloud-native applications with different security risk profiles.	サービスメッシュは、クラウドネイティブアプリケーションの事実上のアプリケーションサービスインフラとなっている。サービスメッシュは、サービスメッシュのデータプレーンを形成するプロキシを通じて、アプリケーションの様々な実行時機能（ネットワーク接続、アクセス管理など）を実現する。ネットワークレイヤー機能（L4とL7）の配分と、個々のサービス／コンピューティングノードへのプロキシの関連付けの粒度に応じて、異なるプロキシモデルやデータプレーンアーキテクチャが出現している。この文書の目的は、詳細な脅威分析を通じて、それぞれのデータプレーンアーキテクチャの脅威プロ ファイルを作成し、異なるセキュリティリスクプロファイルを持つクラウドネイティブアプリケーショ ンに適用（使用）するための推奨を行うことである。

 

 

・[PDF] NIST.SP.800-233.ipd

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
Run-time services for Cloud-native applications, consisting of multiple loosely coupled components called microservices, are sometimes provided through a centralized infrastructure called a service mesh. These services include secure communication, service discovery, resiliency, and authorization of application communication. These services are mainly provided through Proxies that form the data plane of the service mesh, the layer that handles application traffic at runtime and enforces policy.	マイクロサービスと呼ばれる複数の疎結合コンポーネントで構成されるクラウドネイティブ・アプリケーションのランタイム・サービスは、サービス・メッシュと呼ばれる集中型インフラを通じてプロバイダされることがある。これらのサービスには、セキュアなコミュニケーション、サービス・ディスカバリ、レジリエンス、アプリケーション・コミュニケーションの認可などが含まれる。これらのサービスは主に、サービスメッシュのデータプレーンを形成するプロキシ（実行時にアプリケーションのトラフィックを処理し、ポリシーを実施するレイヤー）を通じて提供される。
The functions that the proxies provide can be broadly categorized into two groups, based on the OSI model’s network layer to which those functions pertain to. These groups are: Layer 4 (“L4”) and Layer 7 (“L7”). In majority of deployments of service mesh in production environments today, all proxy functions (providing services in both L4 and L7 layers) are packed into a single proxy that is assigned to a single microservice. This service mesh proxy model is called a sidecar proxy model since the proxy is not only associated with a single service but is implemented to execute in the same network space as the service.	プロキシが提供する機能は、OSIモデルのネットワークレイヤーに基づき、2つのグループに大別できる。これらのグループは以下の通りである： レイヤー4（「L4」）とレイヤー7（「L7」）である。今日、本番環境におけるサービスメッシュのデプロイメントの大部分 では、すべてのプロキシ機能（L4とL7の両方のレイヤーのサービスを提供する）は、単一のマイクロサービスに割り当てられる単一のプロキシにまとめられる。このサービスメッシュのプロキシモデルは、プロキシが一つのサービ スに関連付けられるだけでなく、サービスと同じネットワーク空間で実行されるように実装されるので、サイドカープロキシモデルと呼ばれる。
However, performance and resource considerations have led to the exploration of alternate proxy models which involve not only splitting up of L4 and L7 functions into different proxies (instead of a single proxy) but also the association or assignments of these proxies to either a single service or a group of services, thus enabling the proxies to be implemented at different locations - at the granularity of a node rather than at the level of services. Though different models are theoretically possible, we consider only those service mesh proxy models in the data plane implementation of commonly used service mesh offerings, at different stages.	しかしながら、パフォーマンスとリソースを考慮した結果、L4とL7機能を(単一 のプロキシの代わりに)異なるプロキシに分割するだけでなく、これらのプロキシを単一 のサービスまたはサービスグループのいずれかに関連付けたり割り当てたりするこ とで、プロキシを異なる場所(サービスレベルではなくノードの粒度)で実装することを 可能にする、別のプロキシモデルの探究につながった。理論的には様々なモデルが可能であるが、ここでは、一般的に使用され ているサービスメッシュのデータプレーンの実装において、様々な段階のサービスメッシュプロキシモデルのみを考察する。
We then consider a set of potential/likely threats to various proxy functions. Each of the threats may result in different types of exploits in different proxy models. This variation is due to several factors such as: attack surface (communication patterns to which a particular proxy is exposed), number of clients (services) served and OSI layer functions they provide (e.g., L7 functions are more complicated and likely to have more vulnerabilities than L4 functions).  The two main contributions of this document are as follows:	次に、様々なプロキシ機能に対する潜在的/可能性のある一連の脅 威について考察する。各脅威は、異なるプロキシモデルにおいて異なるタイプのエクスプロイトをもたらすかもしれない。この変化は、攻撃対象領域(特定のプロキシがさらされるコミュニケーションパターン)、提供されるクライアント(サービス)の数、お よびそれらが提供するOSIレイヤーの機能(例えば、L7機能はL4機 能よりも複雑で、より多くの脆弱性を持つ可能性が高い)などのいくつかの要因によるものである。 本文書の2つの主要な貢献は以下のとおりである：
1. The nature of exploits possible for each threat in each of the proxy models are characterized by assigning scores to the impact and likelihood of each of these threats in each of the proxy models or architectural patterns resulting in a threat profile associated with each architectural pattern or proxy model of service mesh.	1. 各プロキシモデルにおける各脅威の影響度と可能性にスコアを割り当てることで、各プロキシモデルにおいて可能な悪用の性質を特徴づけ、その結果、サービスメッシュの各アーキテクチャパターンまたはプロキシモデルに関連付けられた脅威プロファイルを作成する。
2. Each threat profile inherently has a built-in set of security tradeoffs at an architectural level. The implications of these tradeoffs in meeting the requirements associated with security risk profile of different cloud-native applications are analyzed to make a broad set of recommendations towards specific architectural patterns that are appropriate for applications with different security risk profiles.	2. 各脅威プロファイルには、アーキテクチャレベルでのセキュリティトレードオ フのセットが本質的に組み込まれている。さまざまなクラウドネイティブアプリケーションのセキュリ ティリスクプロファイルに関連する要件を満たす上で、これらのトレードオフが持つ意味を分析し、さまざまなセキュリティリスクプロファイルを持つアプリケーションに適した特定のアーキテクチャパターンに向 けて、幅広い推奨を行う。

 

 

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1. L4 and L7 Functions of Proxies	1.1. プロキシのL4とL7の機能
1.2. Objective & Target Audience	1.2. 目的と対象読者
1.3. Relationship to Other NIST Documents	1.3. 他のNIST文書との関係
1.4. Document Structure	1.4. 文書の構造
2. Typical Service Mesh Data Plane Capabilities and Associated Proxy Functions	2. 典型的なサービスメッシュのデータプレーン機能と関連するプロキシ機能
3. Proxy Models (Data plane Architectures) in Service Mesh Implementations	3. サービスメッシュ実装におけるプロキシモデル（データプレーンアーキテクチャ
3.1. L4 and L7 Proxy per Service Instance - Sidecar Model (DPA-1)	3.1. サービスインスタンスごとのL4およびL7プロキシ - サイドカーモデル（DPA-1）
3.2. Shared L4 - L7 per Service Model (DPA-2)	3.2. サービスごとの共有L4-L7モデル（DPA-2）
3.3. Shared L4 and L7 Model (DPA-3)	3.3. 共有L4およびL7モデル（DPA-3）
3.4. L4 and L7 Part of the Application Model (DPA-4)	3.4. アプリケーションモデルのL4とL7部分（DPA-4）
4. Data Plane Architectures Threat Scenarios and Analysis Methodology	4. データプレーンアーキテクチャ 脅威シナリオと分析手法
4.1. Threat analysis Methodology	4.1. 脅威分析手法
5. Detailed Threat Analysis for Data Plane Architectures	5. データプレーンアーキテクチャの詳細脅威分析
5.1. Threat Analysis for L4 and L7 Proxy per Service Instance - Sidecar Model (DPA-1)	5.1. サービスインスタンスごとの L4 および L7 プロキシの脅威分析 - サイドカーモデル（DPA-1）
5.1.1. Compromised L4 Proxy (TR-1)	5.1.1. 侵害された L4 プロキシ(TR-1)
5.1.2. Compromised Application Container (TR-2)	5.1.2. 侵害されたアプリケーションコンテナ(TR-2)
5.1.3. Compromise of Business Data (TR-3)	5.1.3. 業務データの漏洩 (TR-3)
5.1.4. Compromised L7 Proxy (TR-4)	5.1.4. 侵害された L7 プロキシ(TR-4)
5.1.5. Compromise of Shared L7 Proxy (TR-5)	5.1.5. 共有 L7 プロキシの侵害(TR-5)
5.1.6. Outdated Client Libraries in Applications (TR-6)	5.1.6. アプリケーションの古いクライアントライブラリ (TR-6)
5.1.7. Denial of Service (TR-7)	5.1.7. サービス拒否 (TR-7)
5.1.8. Resource Consumption (TR-8)	5.1.8. リソースの消費 (TR-8)
5.1.9. Privileged L4 Proxy (TR-9)	5.1.9. 特権 L4 プロキシ (TR-9)
5.1.10. Data Plane (Service Mesh) Bypassed (TR-10)	5.1.10. データプレーン（サービスメッシュ）のバイパス（TR-10）
5.2. Threat Analysis for Shared L4 - L7 per Service Model (DPA-2)	5.2. サービスモデル（DPA-2）ごとの共有 L4 - L7 の脅威分析
5.2.1. Compromised L4 Proxy (TR-1)	5.2.1. 侵害された L4 プロキシ（TR-1）
5.2.2. Compromised Application Container (TR-2)	5.2.2. 侵害されたアプリケーションコンテナ（TR-2）
5.2.3. Compromise of Business Data (TR-3)	5.2.3. 業務データの漏洩 (TR-3)
5.2.4. Compromised L7 Proxy (TR-4)	5.2.4. 侵害された L7 プロキシ(TR-4)
5.2.5. Compromise of Shared L7 Proxy (TR-5)	5.2.5. 共有 L7 プロキシの侵害(TR-5)
5.2.6. Outdated Client Libraries in Applications (TR-6)	5.2.6. アプリケーションの古いクライアントライブラリ (TR-6)
5.2.7. Denial of Service (TR-7)	5.2.7. サービス拒否 (TR-7)
5.2.8. Resource Consumption (TR-8)	5.2.8. リソースの消費 (TR-8)
5.2.9. Privileged L4 Proxy (TR-9)	5.2.9. 特権 L4 プロキシ (TR-9)
5.2.10. Data Plane (Service Mesh) Bypassed (TR-10)	5.2.10. データプレーン（サービスメッシュ）のバイパス（TR-10）
5.3. Threat Analysis for Shared L4 and L7 Model (DPA-3)	5.3. 共有 L4 及び L7 モデルの脅威分析(DPA-3)
5.3.1. Compromised L4 Proxy (TR-1)	5.3.1. 侵害された L4 プロキシ(TR-1)
5.3.2. Compromised Application Container (TR-2)	5.3.2. 侵害されたアプリケーションコンテナ（TR-2）
5.3.3. Compromise of Business Data (TR-3)	5.3.3. 業務データの漏洩 (TR-3)
5.3.4. Compromised L7 Proxy (TR-4)	5.3.4. 侵害された L7 プロキシ(TR-4)
5.3.5. Compromise of Shared L7 Proxy (TR-5)	5.3.5. 共有 L7 プロキシの侵害(TR-5)
5.3.6. Outdated Client Libraries in Applications (TR-6)	5.3.6. アプリケーションの古いクライアントライブラリ (TR-6)
5.3.7. Denial of Service (TR-7)	5.3.7. サービス拒否 (TR-7)
5.3.8. Resource Consumption (TR-8)	5.3.8. リソースの消費 (TR-8)
5.3.9. Privileged L4 Proxy (TR-9)	5.3.9. 特権 L4 プロキシ (TR-9)
5.3.10. Data Plane (Service Mesh) Bypassed (TR-10)	5.3.10. データプレーン(サービスメッシュ)のバイパス (TR-10)
5.4. Threat Analysis for L4 and L7 within Application Model (gRPC proxyless Model (DPA-4))	5.4. アプリケーションモデル(gRPC プロキシレスモデル(DPA-4))内の L4 及び L7 の脅威分析
5.4.1. Compromised L4 Proxy (TR-1)	5.4.1. 侵害された L4 プロキシ(TR-1)
5.4.2. Compromised Application Container (TR-2)	5.4.2. 侵害されたアプリケーションコンテナ(TR-2)
5.4.3. Compromise of Business Data (TR-3)	5.4.3. 業務データの漏洩 (TR-3)
5.4.4. Compromised L7 Proxy (TR-4)	5.4.4. 侵害された L7 プロキシ(TR-4)
5.4.5. Compromise of Shared L7 Proxy (TR-5)	5.4.5. 共有 L7 プロキシの侵害(TR-5)
5.4.6. Outdated Client Libraries in Applications (TR-6)	5.4.6. アプリケーションの古いクライアントライブラリ (TR-6)
5.4.7. Denial of Service (TR-7)	5.4.7. サービス拒否 (TR-7)
5.4.8. Resource Consumption (TR-8)	5.4.8. リソースの消費 (TR-8)
5.4.9 Privileged L4 Proxy (TR-9)	5.4.9 特権 L4 プロキシ (TR-9)
5.4.10 Data Plane (Service Mesh) Bypassed (TR-10)	5.4.10 データプレーン(サービスメッシュ)のバイパス(TR-10)
6. Recommendations Based on Application Security Risk Profile	6. アプリケーションセキュリティリスクプロファイルに基づく推奨事項
6.1. Cloud-Native Applications with Low Risk Profile	6.1. リスクプロファイルが低いクラウドネイティブアプリケーション
6.2. Cloud-Native Applications with Medium Risk Profile …	6.2. リスクプロファイルが中程度のクラウドネイティブ・アプリケーション
6.3. Cloud-Native Applications with High Risk Profile	6.3. 高リスクプロファイルのクラウドネイティブアプリケーション
7. Summary and Conclusions	7. まとめと結論
References	参考文献

 

 

---

 

Figure 1 – L4 and L7 Proxy per Service Instance (Side Car Model) (DPA-1)

図1 - サービスインスタンスごとのL4およびL7プロキシ（サイドカーモデル）（DPA-1）

 

 

 

Figure 2 – Shared L4 - L7 per Service Model (DPA-2)

図2 - サービスごとの共有L4 - L7 モデル（DPA-2）

 

 

Figure 3 – Shared L4 - L7 Model (DPA-3)

図3 - 共有L4 - L7モデル（DPA-3）

 

 

Figure 4 – L4 and L7 Part of the Application Model (gRPC proxyless Model) (DPA-4)

図4-アプリケーションモデル（gRPCプロキシレスモデル）のL4とL7の部分（DPA-4）

 

欧州 Europol インターネット組織犯罪脅威アセスメント（IOCTA）2024年版

こんにちは、丸山満彦です。

欧州、Europolがインターネット組織犯罪脅威アセスメント（IOCTA）2024年版を公表していますね...

今年で10年目ということです...今年は、サイバー攻撃、児童の性的搾取、オンライン詐欺や決済詐欺といった犯罪分野の関連傾向に焦点を当てているようです...

● Europol

・2024.07.22 Fragmented and multiplied cybercriminal landscape, warns new Europol report

Fragmented and multiplied cybercriminal landscape, warns new Europol report	欧州刑事警察機構（Europol）の新報告書、サイバー犯罪の断片化・複合化に警鐘を鳴らす
Today, Europol publishes the 10th edition of the Internet Organised Crime Threat Assessment (IOCTA), an in-depth assessment of the key developments, changes and emerging threats in cybercrime over the last year.	欧州刑事警察機構（Europol）は本日、インターネット組織犯罪脅威アセスメント（IOCTA）の第10版を発表した。
The report highlights relevant trends in crime areas such cyber-attacks, child sexual exploitation and online and payment fraud schemes. It also provides an outlook of what can be expected in the near future, especially regarding new technologies, payment systems, AI, cryptocurrencies and illicit content online.	この報告書では、サイバー攻撃、児童の性的搾取、オンライン詐欺や決済詐欺などの犯罪分野における関連傾向を明らかにしている。また、特に新技術、決済システム、AI、暗号通貨、オンライン上の不正コンテンツに関して、近い将来に予想されることの見通しも示している。
Millions of victims exploited across the EU on a daily basis	EU全域で数百万人の被害者が日々搾取されている
Recent law enforcement operations have prompted ransomware groups to splinter and rebrand under different disguises. Furthermore, continuous takedowns of forums and marketplaces on the dark web have shortened the lifecycle of criminal sites. This instability, combined with the surge of exist scams, has contributed to the fragmentation and multiplication of cyber threats.	最近の法執行活動により、ランサムウェア・グループは分裂し、さまざまな偽装を施して再ブランド化を図っている。さらに、ダークウェブ上のフォーラムやマーケットプレイスの継続的なテイクダウンにより、犯罪サイトのライフサイクルが短くなっている。このような不安定さは、存在する詐欺の急増と相まって、サイバー脅威の断片化と増殖を助長している。
In 2023, millions of victims across the EU were attacked and exploited online on a daily basis:	2023年には、EU全体で数百万人の被害者が、日常的にオンラインで攻撃され、悪用されていた：
・Ransomware groups increasingly target small and medium-sized businesses because they have lower cyber defences;	・ランサムウェアのグループは、サイバー防御力が低いため、中小企業を標的にすることが増えている；
・E-merchants and banking institutions are the preferred targets of digital skimming attacks;	・電子商取引業者や銀行機構は、デジタル・スキミング攻撃の格好の標的となっている；
・Users continue to fall victim to phishing campaigns, business email compromise (BEC), investment and romance fraud;	・フィッシングキャンペーン、ビジネスメール詐欺（BEC）、投資詐欺、ロマンス詐欺などの被害が後を絶たない；
・The number of cases of online sexual extortion targeting vulnerable minors is increasing.	・脆弱性のある未成年者を狙ったオンライン上での性的恐喝事件が増加している。
Multi-layered extortion tactics are increasingly common throughout the entire spectrum of cybercrime threats, as stolen data are at risk of being published and auctioned, making re-victimisation a threat. Offenders appear to be underage in many cases, and some have started leveraging AI, which is already becoming a component in their toolbox. The use of cryptocurrencies in a wider variety of crime areas has also become more noticeable.	多層的な恐喝手口は、サイバー犯罪の脅威の全領域でますます一般的になっている。盗まれたデータは公開され、オークションにかけられるリスクがあり、再被害が脅威となっている。犯罪者の多くは未成年であり、AIを活用し始めた者もいる。また、より広範な犯罪分野で暗号通貨の利用が目立ってきている。
Cybercrime assisted by AI: what to expect in the near future?	AIが支援するサイバー犯罪：近い将来に何が起こるか？
AI-assisted cybercrime has only begun: AI-assisted child sexual abuse material (CSAM) is a worrisome threat that will need close monitoring. Instances of AI-altered and completely artificial CSAM will pose growing challenges to law enforcement investigations, not only in terms of the volume of CSAM in circulation, but also to the ability of investigators to identify the true identity of victims and offenders.	AIによるサイバー犯罪はまだ始まったばかりだ： AIが支援する児童性的虐待資料（CSAM）は憂慮すべき脅威であり、綿密な監視が必要だ。AIによって改変された、完全に人工的なCSAMの事例は、流通するCSAMの量だけでなく、被害者と加害者の真の身元を特定する捜査能力という点でも、法執行機関の捜査にますます大きな課題をもたらすだろう。
Abusing technologies: Mainstream end-to-end encryption (E2EE) communication platforms are increasingly used by offenders. The current regulatory framework for the protection of personal communications via E2EE creates digital challenges for law enforcement authorities’ lawful access to criminal communications.	技術の悪用： 主流のエンド・ツー・エンド暗号化（E2EE）コミュニケーション・プラットフォームは、犯罪者によってますます使用されるようになっている。E2EEによる個人通信の保護に関する現行の規制枠組みは、法執行当局が犯罪通信に合法的にアクセスするためのデジタル上の課題を生み出している。
The future of crypto threats: The use of cryptocurrencies in a number of areas of crime has become more evident. Several developments in the cryptocurrency market are set to have a significant impact on criminals’ abuse of cryptocurrencies in the near future. Scammers could abuse the rise of exchange traded funds (ETFs) related to cryptocurrencies.	暗号の脅威の未来： 犯罪の多くの分野で暗号通貨が使用されていることが明らかになってきた。暗号通貨市場におけるいくつかの進展は、近い将来、犯罪者による暗号通貨の乱用に大きな影響を与えることになるだろう。詐欺師は、暗号通貨に関連する上場投資信託（ETF）の台頭を悪用する可能性がある。
Digital challenges: law enforcement need to stay ahead	デジタルの課題：法執行機関は先手を打つ必要がある
To tackle the main threats highlighted in the IOCTA 2024 quickly effectively, law enforcement needs the right knowledge, tools and legislation in place. As criminals adapt, law enforcement and legislators must also innovate to stay ahead, and seek to capitalise on new and developing technologies. This in turn requires training to produce the specialised capabilities required to investigate technically challenging or complex cybercrimes, such as those involving the abuse of cryptocurrencies or the dark web.	IOCTA 2024で強調された主な脅威に迅速に効果的に取り組むためには、法執行機関は適切な知識、ツール、法律を整備する必要がある。犯罪者が適応していく中で、法執行機関や立法機関もまた、先手を打つために革新的でなければならず、新しく発展する技術を活用しようとしなければならない。そのためには、暗号通貨やダークウェブの悪用など、技術的に困難で複雑なサイバー犯罪を捜査するために必要な専門能力を身につけるための訓練が必要となる。
Europol is addressing these digital challenges with its Strategy Delivering Security in Partnership. The agency is at the forefront of law enforcement innovation and acts as a knowledge platform for the provision of EU policing solutions in relation to encryption, cryptocurrencies and other issues. In doing so, Europol expands the toolbox available to law enforcement officers across Europe and beyond, increasing their technical and forensic capabilities. The European Cybercrime Centre (EC3) at Europol is the first port of call for cybercrime investigators.	欧州刑事警察機構は、「パートナーシップによる安全保障の実現」という戦略で、こうしたデジタル上の課題に取り組んでいる。同機関は法執行の革新の最前線にあり、暗号化、暗号通貨、その他の問題に関連するEUの取り締まりソリューションを提供するための知識プラットフォームとして機能している。そうすることで、欧州刑事警察機構は、欧州内外の法執行官が利用できるツールボックスを拡大し、その技術的・法医学的能力を高めている。欧州刑事警察機構の欧州サイバー犯罪センター（EC3）は、サイバー犯罪捜査官の最初の窓口である。

 

・Internet Organised Crime Threat Assessment (IOCTA)

Internet Organised Crime Threat Assessment (IOCTA)	インターネット組織犯罪脅威アセスメント（IOCTA）
Strategic, policy and tactical updates on the fight against cybercrime	サイバー犯罪との戦いに関する戦略、政策、戦術の最新情報
Europol’s European Cybercrime Centre (EC3) publishes the Internet Organised Crime Threat Assessment (IOCTA), its flagship strategic report on key findings and emerging threats and developments in cybercrime — threats that impact governments, businesses and citizens in the EU.	欧州刑事警察機構（EC3）の欧州サイバー犯罪センター（EC3）は、EUの政府、企業、市民に影響を与えるサイバー犯罪の主要な発見と新たな脅威および進展に関する主要戦略報告書である「インターネット組織犯罪脅威アセスメント（IOCTA）」を発行している。
The IOCTA provides key recommendations to law enforcement, policy makers and regulators to allow them to respond to cybercrime in an effective and concerted manner.	IOCTAは、法執行機関、政策立案者、規制当局が効果的かつ協調的にサイバー犯罪に対応できるよう、重要な勧告を提供している。
Download the IOCTA 2024 report	IOCTA 2024報告書をダウンロードする
The report focuses on the crime areas that fall under EC3’s mandate. These cybercrime priorities, which are determined by the EU Policy Cycle - EMPACT, are currently:	この報告書は、EC3の任務である犯罪分野に焦点を当てている。これらのサイバー犯罪の優先事項は、EUの政策サイクルであるEMPACTによって決定される：
・Cyber-dependent crime	・サイバー依存犯罪
・Online child sexual exploitation	・オンライン児童性的搾取
・Payment fraud	・決済詐欺
Another typical focus of the IOCTA is cross-cutting crime enablers, factors that straddle more than one crime area but are not necessarily inherently criminal themselves. These enablers include:	IOCTAのもう一つの典型的な焦点は、横断的犯罪イネーブラー（複数の犯罪分野にまたがるが、それ自体は必ずしも本質的に犯罪ではない要因）である。これらのイネイブラーには以下が含まれる：
・phishing/smishing/vishing,	・フィッシング／スミッシング／ビッシング
・business email compromise,	・ビジネスメールの漏洩
・bulletproof hosting,	・防弾ホスティング
・anonymisation tools,	・匿名化ツール
・criminal abuse of cryptocurrencies,	・暗号通貨の犯罪的悪用、
・money muling.	・マネー・マルチング
Structure	構造
The 2023 IOCTA has been serialised in a series of Spotlight Reports, allowing for greater focus on specific and urgent topics within the cybercrime landscape. These Spotlight Reports are supplemented by a summary report, released at the start of the series.	2023年版IOCTAは、サイバー犯罪の中でも特に緊急性の高いトピックに焦点を当てられるよう、一連のスポットライト・レポートとして構成されている。これらのスポットライト・レポートは、シリーズ開始時に発表されるサマリー・レポートによって補足される。
The IOCTA and each Spotlight Report serves the following purposes:	IOCTAと各スポットライトレポートの目的は以下の通りである：
・describe key findings on particular cybercrime areas in the reporting year,	・報告年における特定のサイバー犯罪領域に関する重要な発見を説明する、
・identify future trends and developments,	・今後の傾向と動向を特定する、
・make recommendations.	・勧告を行う。
Each issue relies on a wide array of sources, drawing on contributions from:	各号は、幅広い情報源に依拠し、以下からの寄稿をもとに作成されている：
・experts at Europol,	・欧州刑事警察機構の専門家、
・EU Member States,	・EU加盟国
・law enforcement authorities both within and outside the EU,	・EU内外の法執行当局、
・partners in private industry, the financial sector and academia.	・民間企業、金融セクター、学界のパートナーなどである。
Successes	成功事例
The IOCTA may also include word on operational successes in the year under review. Two examples below serve as illustrations.	IOCTAは、当該年度における業務上の成功についても言及することができる。以下に2つの例を挙げる。
VPNLab takedown – OPERATION OVERLORD: VPNLab, one of the most prolific services used by cybercriminals, was taken down in a law enforcement action involving 10 countries in January 2022. Europol provided analytical and forensic support, facilitated information exchange and coordinated more than 60 operational meetings. VPNLab was used in support of serious criminal acts, such as setting up of infrastructure and communication behind ransomware operations and malware distribution. The service, active since 2008, was advertised on the dark web for as little as USD 60 per year and did not cooperate with lawful requests from law enforcement authorities.	VPNLabの取り締まり - OPERATION OVERLORD：サイバー犯罪者が最も多用するサービスのひとつであるVPNLabは、2022年1月、10カ国を巻き込んだ法執行活動で取り締まられた。欧州刑事警察機構は分析およびフォレンジック支援を提供し、情報交換を促進し、60以上の作戦会議を調整した。VPNLabは、ランサムウェア操作やマルウェア配布の背後にあるインフラやコミュニケーションのセットアップなど、重大な犯罪行為のサポートに使用された。2008年から活動しているこのサービスは、ダークウェブ上で年間60米ドルという低価格で認可されており、法執行当局からの合法的な要請にも協力しなかった。
RaidForums shutdown – OPERATION TOURNIQUET: RaidForums started its operations in 2015 and grew to be one of the world’s biggest hacking forums with a community of over half a million users. It focused on the harvesting and re-selling of ‘exclusive’ personal data and databases from compromised servers. RaidForums made a name for itself by hacking rival forums and releasing (doxing) personal information about their administrators. The high-profile database leaks that were sold on the forum usually belonged to corporations across different industries. Next to the forum admin, two accomplices were arrested. Europol coordinated various independent investigations into RaidForums (by Portugal, Romania, Sweden, the United Kingdom and the United States), which led to the take down of the service in April 2022.	RaidForumsの閉鎖 - OPERATION TOURNIQUET： RaidForumsは2015年に運営を開始し、50万人以上のユーザーを抱える世界最大級のハッキングフォーラムに成長した。侵害されたサーバーから「独占的な」個人データやデータベースを採取し、再販売することに重点を置いていた。RaidForumsは、ライバルのフォーラムをハッキングし、その管理者の個人情報を公開（doxing）することで有名になった。フォーラムで販売された有名なデータベース・リークは、通常、さまざまな業界の企業に属していた。フォーラムの管理者に続いて、2人の共犯者が逮捕された。欧州刑事警察機構は、RaidForumsに対する様々な独立調査（ポルトガル、ルーマニア、スウェーデン、英国、米国による）を調整し、2022年4月にサービスを停止するに至った。

 

 

・2024.07.22 Internet Organised Crime Threat Assessment (IOCTA) 2024

Internet Organised Crime Threat Assessment (IOCTA) 2024	インターネット組織犯罪脅威アセスメント（IOCTA）2024年版
The Internet Organised Crime Threat Assessment (IOCTA) is Europol’s assessment of evolving threats and trends in the cybercrime landscape, with  a focus on how it has changed over the last 12 months.	インターネット組織犯罪脅威アセスメント(IOCTA)は、欧州刑事警察機構による、サイバー犯罪の状況における進化する脅威と傾向の評価であり、過去12ヶ月間でどのように変化したかに焦点を当てている。
This year's report highlights relevant trends in crime areas such cyber-attacks, child sexual exploitation and online and payment fraud schemes. Recent law enforcement operations have prompted ransomware groups to splinter and rebrand under different guises. Furthermore, continuous takedowns of forums and marketplaces on the dark web have shortened the lifecycle of criminal sites. This instability, combined with the surge of exist scams, has contributed to the fragmentation and multiplication of cyber threats.	今年の報告書では、サイバー攻撃、児童の性的搾取、オンライン詐欺や決済詐欺といった犯罪分野の関連傾向に焦点を当てている。最近の法執行活動により、ランサムウェア・グループは分裂し、異なる装いでブランド名を変更するようになった。さらに、ダークウェブ上のフォーラムやマーケットプレイスの継続的なテイクダウンにより、犯罪サイトのライフサイクルが短くなっている。このような不安定さは、実在する詐欺の急増と相まって、サイバー脅威の断片化と増殖を助長している。

 

・[PDF]

目次...

Foreword	まえがき
Abbreviations	略語
Introduction	序文
Key Developments	主な進展
1. Cryptocurrencies and the dark web: enablers of cybercrime	1. 暗号通貨とダークウェブ：サイバー犯罪を助長するもの
1.1 Cryptocurrencies	1.1 暗号通貨
1.2 The dark web	1.2 ダークウェブ
2. Cyber-attacks	2. サイバー攻撃
2.1 Ransomware-as-a-service	2.1 ランサムウェア・アズ・ア・サービス
2.2 Ransomware groups	2.2 ランサムウェア・グループ
2.3 Malware-as-a-service	2.3 マルウェア・アズ・ア・サービス
3. Child sexual exploitation	3. 児童の性的搾取
3.1 Current CSE threats	3.1 現在のCSEの脅威
3.2 Sexual extortion and violent content online	3.2 オンライン上での性的恐喝と暴力的コンテンツ
3.3 AI-generated CSAM	3.3 AI生成的CSAM
4. Online and payment fraud schemes	4. オンライン詐欺と支払い詐欺
4.1 Phishing	4.1 フィッシング
4.2 Account takeover (ATO)	4.2 口座乗っ取り（ATO）
4.3 Investment, BEC and romance fraud	4.3 投資、BEC、ロマンス詐欺
4.4 Digital skimming attacks	4.4 デジタルスキミング攻撃
4.5 ATM attacks	4.5 ATM攻撃
4.6 Online fraud and money laundering	4.6 オンライン詐欺とマネーロンダリング
5. Outlook: what to expect in the near future	5. 展望：近い将来に予想されること
5.1 AI-assisted cybercrime has only just begun	5.1 AIによるサイバー犯罪は始まったばかりである
5.2 Abusing technologies	5.2 技術の悪用
5.3 Emergence of new RaaS brands	5.3 新たなRaaSブランドの出現
5.4 Protecting EU payment systems	5.4 EUの決済システムの防御
5.5 Bolstering the EU against illicit content online	5.5 EUのオンライン不正コンテンツ対策を強化する
5.6 The future of crypto	5.6 暗号の未来
5.7 Renewed focus on offender prevention	5.7 犯罪者防止への再注力
References	参考文献

 

 

---

 

過去分...

2023

・2024.05.24 Internet Organised Crime Threat Assessment (IOCTA) 2023

Internet Organised Crime Threat Assessment (IOCTA) 2023	インターネット組織犯罪脅威アセスメント（IOCTA）2023
Cybercrime, in its various forms, represents an increasing threat to the EU. Cyber-attacks, online child sexual exploitation, and online frauds are highly complex crimes and manifest in diverse typologies. Meanwhile the perpetrators behind these crimes are becoming increasingly agile, exploiting new situations created by geopolitical and technological changes.	サイバー犯罪は、そのさまざまな形態において、EUにとって増大する脅威の代表者である。サイバー攻撃、オンラインでの児童の性的搾取、オンライン詐欺は、非常に複雑な犯罪であり、多様な類型で現れている。一方、これらの犯罪の背後にいる加害者は、地政学的・技術的変化によって生まれた新たな状況を利用し、ますます機敏になっている。
The Internet Organised Crime Threat Assessment (IOCTA) is Europol’s assessment of the cybercrime landscape and how it has changed over the last 24 months.	インターネット組織犯罪脅威アセスメント（IOCTA）は、欧州刑事警察機構によるサイバー犯罪の状況の評価であり、過去24ヶ月間にどのように変化したかを示すものである。
Accompanying this report will be a series of spotlight reports released later this year, each of which examines a specific crime area relating to cybercrime. Specifically, these focus on cyber-attacks, online fraud, and child sexual exploitation.	この報告書に付随して、今年後半に発表される一連のスポットライト・レポートは、それぞれサイバー犯罪に関連する特定の犯罪分野を検証するものである。具体的には、サイバー攻撃、オンライン詐欺、児童の性的搾取を取り上げる。

・[PDF]

 

 

2021

・Internet Organised Crime Threat Assessment (IOCTA) 2021

Internet Organised Crime Threat Assessment (IOCTA) 2021	インターネット組織犯罪脅威アセスメント（IOCTA）2021
The exceptional COVID-19 crisis has fuelled the increase of cybercrime in all its forms, while grey infrastructure serves to facilitate the proliferation of crime	例外的なCOVID-19危機は、あらゆる形態のサイバー犯罪の増加に拍車をかけ、一方で灰色のインフラは犯罪の拡散を促進する役割を果たしている。
The IOCTA is Europol’s flagship strategic product that provides a law enforcement focused assessment of evolving threats and key developments in the area of cybercrime. In previous versions of the IOCTA it was highlighted that the persistent nature of various modi operandi meant that changes of cybercrime threats were rarer than commonly perceived. Last year’s IOCTA captured the landscape by reflecting on how cybercrime is an evolution rather than a revolution.	IOCTAは欧州刑事警察機構（Europol）の主力戦略製品であり、サイバー犯罪分野における脅威の進展と主要な進展について、法執行機関に焦点を当てた評価を提供する。IOCTAの過去のバージョンでは、様々な手口の持続的な性質により、サイバー犯罪の脅威の変化は一般に認識されているよりも稀であることが強調されていた。昨年のIOCTAは、サイバー犯罪は革命というよりむしろ進化であることを振り返ることで、その状況を把握した。
In this year’s report, the impact of the COVID-19 pandemic remains visible. The accelerated digitalisation related to the pandemic has significantly influenced the development of a number of cyber threats, including:	今年の報告書では、COVID-19パンデミックの影響が依然として目につく。パンデミックに関連したデジタル化の加速は、以下のような数多くのサイバー脅威の発展に大きく影響している：
・Ransomware affiliate programs enable a larger group of criminals to attack big corporations and public institutions by threatening them with multi-layered extortion methods such as DDoS attacks.	・ランサムウェアのアフィリエイトプログラムは、DDoS攻撃など多層的な恐喝手法で大企業や公的機関を脅すことで、より大規模な犯罪者グループによる攻撃を可能にしている。
・Mobile malware evolves with criminals trying to circumvent additional security measures such as two-factor authentication.	・モバイルマルウェアは、二要素認証のような追加のセキュリティ対策を回避しようとする犯罪者によって進化している。
・Online shopping has led to a steep increase in online fraud.	・オンラインショッピングではオンライン詐欺が急増している。
・Explicit self-generated material is an increasing concern and is also distributed for profit.	・露骨な自作自演が懸念されるようになり、営利目的で配信されるケースも増えている。
・Criminals continue to abuse legitimate services such as VPNs, encrypted communication services and cryptocurrencies.	・犯罪者は、VPN、暗号化通信サービス、暗号通貨などの合法的なサービスを悪用し続けている。
For this year’s IOCTA, the project team surveyed all European Union Member States (EU MS), a limited number of third countries, members of Europol’s advisory groups and internal specialists. These were asked about what changes had specifically taken place in the threat landscape over the past 12 months. By limiting ourselves to four questions about the past 12 months, focused on changes in the prevalence and modi operandi of cybercrime, we wanted to ensure that our approach focused on the most relevant developments. The inclusion of input from trusted partners in the private sector through our Advisory Group members also assisted in the development of a comprehensive overview of the most up-to-date cybercrime threat landscape.	今年のIOCTAのために、プロジェクト・チームはすべての欧州連合加盟国（EU MS）、限られた数の第三国、欧州刑事警察機構の諮問グループのメンバー、および内部の専門家を対象に調査を行った。これらの国々は、過去12ヶ月間に脅威の状況において具体的にどのような変化があったかについて質問した。サイバー犯罪の流行と手口の変化に焦点を当て、過去12ヶ月間に関する質問を4つに限定することで、最も関連性の高い進展に焦点を当てたアプローチを確保しようと考えた。また、アドバイザリー・グループのメンバーを通じて、民間セクターの信頼できるパートナーからの意見を取り入れたことも、最新のサイバー犯罪の脅威状況を包括的に把握する上で役立った。

 

・[PDF]

 

 

2020

・Internet Organised Crime Threat Assessment (IOCTA) 2020

Internet Organised Crime Threat Assessment (IOCTA) 2020	インターネット組織犯罪脅威アセスメント（IOCTA）2020
The IOCTA is Europol’s flagship strategic product highlighting the dynamic and evolving threats from cybercrime. It provides a unique law enforcement focused assessment of emerging challenges and key developments in the area of cybercrime. We are grateful for the many contributions from our colleagues within European law enforcement community and to our partners in the private industry for their input to the report. Combining law enforcement and private sector insights allows us to present this comprehensive overview of the threat landscape.	IOCTAは欧州刑事警察機構（Europol）の主力戦略製品であり、サイバー犯罪によるダイナミックで進化する脅威に焦点を当てている。IOCTAは、サイバー犯罪の分野における新たな課題や重要な進展について、法執行機関に焦点を当てた独自の評価を提供するものである。我々は、欧州の法執行機関の同僚や民間企業のパートナーから、この報告書に多くの意見を寄せていただいたことに感謝している。法執行機関と民間企業の見識を組み合わせることで、脅威の状況についてこのような包括的な概観を示すことができた。
The data collection for the IOCTA 2020 took place during the lockdown implemented as a result of the COVID-19 pandemic. Indeed, the pandemic prompted significant change and criminal innovation in the area of cybercrime. Criminals devised both new modi operandi and adapted existing ones to exploit the situation, new attack vectors and new groups of victims.	IOCTA 2020のためのデータ収集は、COVID-19パンデミックの結果として実施されたロックダウン中に行われた。実際、パンデミックはサイバー犯罪の分野に大きな変化と犯罪者の革新を促した。犯罪者は、この状況、新たな攻撃経路、新たな被害者グループを悪用するために、新たな手口を考案し、また既存の手口を適応させた。

 

 

・[PDF] 

 

 

2019

・Internet Organised Crime Threat Assessment (IOCTA) 2019

Internet Organised Crime Threat Assessment (IOCTA) 2019

インターネット組織犯罪脅威アセスメント（IOCTA）2019

This annual assessment of the cybercrime threat landscape highlights the persistence and tenacity of a number of key threats. In all areas, we see how most of the main threats have been reported previously, albeit with variations in terms of volumes, targets and level of sophistication. This is not for lack of action on the side of the public and the private sector. Rather, this persistence demonstrates the complexity of countering cybercrime and the perspective that criminals only innovate when existing modi operandi have become unsuccessful. Therefore, while much focus in contemporary parlance is on the potential impact of future technological developments on cybercrime, such as Artificial Intelligence, we must approach cybercrime in a holistic sense. Countering cybercrime is as much about its present forms as it is about future projections*. New threats do not only arise from new technologies but, as is often demonstrated, come from known vulnerabilities in existing technologies.

サイバー犯罪の脅威状況に関するこの年次アセスメントは、多くの主要な脅威の持続性と粘り強さを浮き彫りにしている。どの分野においても、主要な脅威のほとんどが、その量、標的、巧妙さのレベルにおいてばらつきはあるものの、以前にも報告されていることがわかる。これは、官民双方の対策が不足しているからではない。むしろ、このような持続性は、サイバー犯罪対策の複雑さと、犯罪者は既存の手口が通用しなくなったときにのみ革新を起こすという視点を示している。従って、現代用語では、人工知能のような将来の技術開発がサイバー犯罪に与える潜在的な影響に注目が集まっているが、我々はサイバー犯罪に総合的な意味でアプローチしなければならない。サイバー犯罪に対抗することは、その現在の形態についてであると同時に、将来の予測についてでもある*。新たな脅威は、新しい技術から生じるだけでなく、しばしば実証されているように、既存の技術の既知の脆弱性からも生じる。

 

・[PDF]

 

 

2018

・Internet Organised Crime Threat Assessment (IOCTA) 2018

・[PDF]

 

 

2017

・Internet Organised Crime Threat Assessment (IOCTA) 2017

Internet Organised Crime Threat Assessment (IOCTA) 2017

インターネット組織犯罪脅威アセスメント（IOCTA）2017年版

The 2017 Internet Organised Crime Threat Assessment (IOCTA) reports how cybercrime continues to grow and evolve. While many aspects of cybercrime are firmly established, other areas of cybercrime have witnessed a striking upsurge in activity, including attacks on an unprecedented scale, as cybercrime continues to take new forms and new directions. A handful of cyber-attacks have caused widespread public concern but only represented a small sample of the wide array of cyber threats now faced.

2017年インターネット組織犯罪脅威アセスメント（IOCTA）は、サイバー犯罪がいかに成長と進化を続けているかを報告している。サイバー犯罪の多くの側面が定着している一方で、サイバー犯罪の他の領域では、サイバー犯罪が新たな形態と新たな方向性を取り続ける中で、前例のない規模の攻撃を含む活動の著しい急増が目撃されている。一握りのサイバー攻撃は広く社会的な懸念を引き起こしたが、現在直面している幅広いサイバー脅威のごく一部の代表者に過ぎない。

・[PDF]

 

 

2016

・The Internet Organised Crime Threat Assessment (IOCTA) 2016

The Internet Organised Crime Threat Assessment (IOCTA) 2016	2016年インターネット組織犯罪脅威アセスメント（IOCTA）
The 2016 Internet Organised Crime Threat Assessment (IOCTA) is a law enforcement-centric threat assessment intended to inform priority setting for the EMPACT Operational Action Plans in the three sub-priority areas of cybercrime (cyber attacks, child sexual exploitation online and payment fraud). The IOCTA also seeks to inform decision-makers at strategic, policy and tactical levels on how to fight cybercrime more effectively and to better protect online society against cyber threats.	2016年インターネット組織犯罪脅威アセスメント（IOCTA）は、サイバー犯罪の3つのサブ優先分野（サイバー攻撃、オンライン児童性的搾取、決済詐欺）におけるEMPACT業務行動計画の優先順位設定に情報を提供することを目的とした法執行機関中心の脅威アセスメントである。IOCTAはまた、サイバー犯罪とより効果的に闘い、サイバー脅威からオンライン社会をよりよく保護する方法について、戦略、政策、戦術レベルの意思決定者に情報を提供することを目的としている。
The 2016 IOCTA provides a view from the trenches, drawing primarily on the experiences of law enforcement within the EU Member States to highlight the threats visibly impacting on industry and private citizens within the EU. The IOCTA is a forward-looking assessment presenting analyses of future risks and emerging threats, providing recommendations to align and strengthen the joint efforts of EU law enforcement and its partners in preventing and fighting cybercrime.	2016年のIOCTAは、主にEU加盟国の法執行機関の経験をもとに、EU域内の産業界や民間人に目に見える形で影響を及ぼしている脅威を浮き彫りにし、現場からの視点を提供するものである。IOCTAは、将来のリスクと新たな脅威の分析を提示する将来を見据えたアセスメントであり、サイバー犯罪の防止と対策におけるEUの法執行機関とそのパートナーの共同努力を調整し、強化するための提言を提供している。

 

・[PDF]

 

 

2015

・The Internet Organised Crime Threat Assessment (IOCTA) 2015

The Internet Organised Crime Threat Assessment (IOCTA) 2015	インターネット組織犯罪脅威アセスメント（IOCTA）2015
The 2015 Internet Organised Crime Threat Assessment (IOCTA) is a law enforcement-centric threat assessment intended to inform priority setting for the EMPACT Operational Action Plan for 2016 in the three sub-priority areas of cybercrime (cyber attacks, child sexual exploitation online and payment fraud). The IOCTA also seeks to inform decision-makers at strategic, policy and tactical levels on how to fight cybercrime more effectively and to better protect online society against cyber threats.	2015年インターネット組織犯罪脅威アセスメント（IOCTA）は、サイバー犯罪の3つのサブ優先分野（サイバー攻撃、オンライン児童性的搾取、決済詐欺）における2016年のEMPACT業務行動計画の優先順位設定に情報を提供することを目的とした法執行機関中心の脅威アセスメントである。IOCTAはまた、サイバー犯罪とより効果的に闘い、サイバー脅威からオンライン社会をよりよく保護する方法について、戦略、政策、戦術レベルの意思決定者に情報を提供することを目的としている。
The 2015 IOCTA provides a view from the trenches, drawing primarily on the experiences of law enforcement within the EU Member States to highlight the threats visibly impacting on industry and private citizens within the EU. The IOCTA is a forward-looking assessment presenting analyses of future risks and emerging threats, providing recommendations to align and strengthen the joint efforts of EU law enforcement and its partners in preventing and fighting cybercrime.	2015年のIOCTAは、主にEU加盟国の法執行機関の経験をもとに、EU域内の産業界や民間人に目に見える形で影響を及ぼしている脅威を浮き彫りにし、現場からの視点を提供している。IOCTAは、将来のリスクと新たな脅威の分析を提示する将来を見据えたアセスメントであり、サイバー犯罪の防止と対策におけるEUの法執行機関とそのパートナーの共同努力を調整し、強化するための提言を提供している。

 

・[PDF]

 

 

2014

・The Internet Organised Crime Threat Assessment (IOCTA) 2014

The Internet Organised Crime Threat Assessment (IOCTA) 2014	インターネット組織犯罪脅威アセスメント（IOCTA）2014
The aim of the Internet Organised Crime Threat Assessment (iOCTA) is to inform decision-makers at strategic, policy and tactical levels to fight cybercrime more effectively and to better protect online society against cyber threats. In particular, this threat assessment is intended to inform priority setting for the EMPACT Operational Action Plan for 2015 in the three sub-areas of the cybercrime priority.	インターネット組織犯罪脅威アセスメント（iOCTA）の目的は、サイバー犯罪とより効果的に闘い、サイバー脅威からネット社会をよりよく守るために、戦略、政策、戦術レベルの意思決定者に情報を提供することである。特に、この脅威アセスメントは、2015年のEMPACT作戦行動計画におけるサイバー犯罪優先事項の3つのサブ分野における優先順位設定に役立てることを目的としている。
For this purpose the iOCTA provides a description and analysis of the latest trends and the current impact of cybercrime within the EU. It also includes a forward-looking assessment, presenting analyses of future risks and emerging threats and will provide recommendations and proposed lines of action with the aim of informing the strategic planning of EU law enforcement and policy makers.	この目的のため、iOCTAは、EU域内のサイバー犯罪の最新動向と現在の影響に関する説明と分析を提供している。また、将来のリスクや新たな脅威の分析を提示し、EUの法執行機関や政策立案者の戦略的計画に情報を提供することを目的とした提言や行動指針の提案を行うなど、将来を見据えたアセスメントも含まれている。

 

・[PDF] The Internet Organised Crime Threat Assessment (iOCTA)

 

・[PDF] Executive Summary-The Internet Organised Crime Threat Assessment (iOCTA)

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

 

 

 

フランス ANSSI 機密情報システムをクラウドでホスティングするための推奨事項

こんにちは、丸山満彦です。

フランスの情報システムセキュリティ庁 機密情報システムをクラウドでホスティングするための推奨事項を公表していますね...欧州では、欧州クラウドサービス認証スキーム（EUCS）が現在策定中ですので、それが確定すれば、そちらに移行することになります。

● Agence nationale de la sécurité des systèmes d'information; ANSSI

・2024.07.09 Recommandations pour l’hébergement des SI sensibles dans le cloud

Recommandations pour l’hébergement des SI sensibles dans le cloud	機密情報システムをクラウドでホスティングするための推奨事項
La série de recommandations de l’ANSSI est un outil d’aide à la décision pour des entités envisageant un hébergement cloud pour leurs systèmes d’information (SI) sensibles.	ANSSIの一連の勧告は、機密情報システム（IS）のクラウド・ホスティングを検討している事業者のための意思決定ツールである。
Recommandations pour l'hébergement dans le cloud des systèmes d'information sensibles	機密情報システムをクラウドでホスティングするための推奨事項
Pour répondre aux enjeux de sécurité liés au cloud, l’ANSSI a développé une série de recommandations pour l’hébergement dans le cloud qui précisent, en fonction du type de système d’information (SI), de la sensibilité des données et du niveau de la menace, les types d’offres cloud à privilégier.	クラウドがもたらすセキュリティ上の課題に対応するため、ANSSIはクラウドでのホスティングに関する一連の勧告を策定した。この勧告では、情報システム（IS）の種類、データの機密性、脅威のレベルに応じて、どのようなクラウドサービスが望ましいかを規定している。
La série de recommandations de l’ANSSI constitue un outil d’aide à la décision pour les entités qui envisagent un hébergement cloud pour leurs systèmes d’information de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que des systèmes d’information d’importance vitale (SIIV).	ANSSIの一連の勧告は、流通制限（DR）情報システム、極めて重要な事業者の機密情報システム、不可欠なサービスを提供する事業者の機密情報システム、および重要情報システム（SIIV）のクラウド・ホスティングを検討する事業者のための意思決定ツールである。
Il est à noter que ces recommandations ne s’appliquent pas aux systèmes d’information classifiés et que tous les systèmes d’information n’ont pas vocation à recourir aux solutions cloud. Elles s’inscrivent, par ailleurs, en cohérence avec la doctrine « cloud au centre » de l’État.	これらの勧告は、機密情報システムには適用されないこと、また、すべての情報システムがクラウド・ソリューションを使用する運命にあるわけではないことに留意すべきである。また、フランス政府の「クラウド・アット・ザ・センター」政策にも合致している。
Recommandations de l’ANSSI pour l’hébergement des systèmes d’information sensibles dans le cloud	機密情報システムをクラウドでホスティングするためのANSSI勧告

 

機密情報システムをクラウドでホスティングする際の推奨事項...

・[PDF] RECOMMANDATIONS POUR L’HÉBERGEMENT DANS LE CLOUD DES SYSTÈMES D’INFORMATION SENSIBLES

・[DOCX][PDF] 仮訳

 

 

FAQ...

・2024.07.08 FAQ sur les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud

FAQ sur les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud	機密情報システムをクラウドでホスティングするためのANSSI勧告に関するFAQ
Questions-réponses concernant les recommandations d’hébergement des systèmes d’information sensibles dans le cloud.	機密情報システムをクラウドでホスティングするための推奨事項に関する質問と回答。
La série de recommandations  de l’ANSSI pour l’hébergement des systèmes d’information sensibles dans le cloud (accessible ici) est un outil d’aide à la décision pour des entités envisageant un hébergement cloud pour leurs systèmes d’information (SI) sensibles.	機密情報システムをクラウドでホスティングするためのANSSI勧告シリーズ（こちらから入手可能）は、機密情報システム（IS）のクラウドホスティングを検討している事業者のための意思決定ツールである。
Cette FAQ vise à répondre aux questions principales concernant les recommandations de l’agence. La liste des questions-réponses sera progressivement enrichie.	このFAQは、ANSSIの勧告に関する主な質問に答えることを目的としている。質問と回答のリストは順次拡大していく予定である。
1. Les recommandations de l’ANSSI ont-elles un caractère obligatoire ?	1. ANSSIの勧告は義務なのか？
La série de recommandations mis à disposition par l’ANSSI est un outil d’aide à la décision non contraignant. Certains points précis évoqués dans le document sont toutefois obligatoires (en cohérence avec la doctrine « Cloud au centre » de l’Etat qui impose pour l’administration, et plus spécifiquement pour les données sensibles, de recourir à des solutions cloud qualifiées SecNumCloud).	ANSSIが提供する一連の勧告は、拘束力のない意思決定ツールである。しかし、この文書で提起されている具体的な指摘の中には、義務的なものもある（フランス政府の「Cloud at the centre」政策に沿ったもので、政府部門、特に機密データについては、SecNumCloud認定クラウド・ソリューションの利用を義務付けている）。
2. Comment utiliser ces recommandations ?	2. これらの推奨事項はどのように利用できるのか？
Dans le cadre d’un projet de migration d’un système d’information sensible vers un hébergement cloud, les recommandations de l’ANSSI peuvent être utilisées comme un outil d’aide à la décision qui permettent d’identifier des étapes essentielles de toute réflexion à conduire en amont d‘une éventuelle migration, en prenant en compte les différents aspects techniques et organisationnels de celle-ci. Le document précise les types d’offres cloud à privilégier, en fonction du type de système d’information, de la sensibilité des données et du niveau de menace associé.	機密情報システムをクラウドホスティングに移行するプロジェクトの一環として、ANSSIの勧告は、移行に関連する様々な技術的・組織的側面を考慮しながら、移行前に行うべき協議の重要な段階を特定するための意思決定ツールとして利用することができる。同文書では、情報システムの種類、データの機密性、関連する脅威のレベルに応じて、どのようなクラウドサービスが望ましいかを規定している。
3. Quelles sont les recommandations de sécurité à suivre lors de la migration d’un système d’information vers un hébergement cloud ?	3. 情報システムをクラウド・ホスティングに移行する場合、どのようなセキュリティ勧告に従うべきか？
L’ANSSI recommande que la décision de migrer des systèmes d’information vers des solutions cloud soit toujours éclairée par une étude d’impact, notamment métier et juridique, ainsi qu’une analyse de risques.	ANSSIは、情報システムをクラウド・ソリューションに移行する決定には、リスク分析だけでなく、影響調査、特にビジネスと法務に関する調査を必ず行うことを推奨している。
En complément des précautions d’emploi indiquées dans le document mis à disposition par l’ANSSI, il est important que l’entité responsable du système d’information s’assure des bonnes configurations et de la sécurité des solutions cloud choisies. Ainsi, il est de la responsabilité des entités d’identifier l’offre la plus adaptée à leurs besoins, d’acquérir les licences idoines auprès des offreurs cloud, ainsi que de configurer les bonnes options de sécurité. Par ailleurs, l’insertion d’une clause de réversibilité permet d’éviter toute dépendance à une offre cloud unique et à ses évolutions futures.	ANSSIが提供する文書に記載されている使用上の注意事項に加えて、情報システムの責任主体は、選択したクラウド・ソリューションが適切に設定され、安全であることを確認することが重要である。そのため、自社のニーズに最も適したサービスを特定し、クラウドプロバイダーから適切なライセンスを取得し、適切なセキュリティオプションを設定することは、事業体の責任である。さらに、可逆性条項を盛り込むことで、単一のクラウド・オファリングとその将来の発展への依存を避けることができる。
D’autres bonnes pratiques sont à privilégier, notamment des audits réguliers de la solution ; le suivi des accès ; le suivi des vulnérabilités du fournisseur cloud ; etc	その他のベスト・プラクティスとしては、ソリューションの定期的な監査、アクセス監視、クラウド・プロバイダーの脆弱性の監視などがある。
4. Comment s’articulent les recommandations de l’ANSSI avec le futur schéma de certification européen pour les services cloud (EUCS) ?	4. ANSSIの勧告は、将来的に欧州で導入されるクラウドサービスの認証スキーム（EUCS）とどのように整合するのか？
Le schéma de certification européen services cloud (EUCS) est actuellement en cours d’élaboration. Les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud seront mises à jour lors de l’entrée en application du schéma de certification européen EUCS.	クラウドサービスの欧州認証スキーム（EUCS）は現在策定中である。機密情報システムをクラウドでホスティングするためのANSSIの勧告は、EUCSの欧州認証スキームが発効した時点で更新される予定である。
5. Où trouver plus d’informations sur le Visa de sécurité SecNumCloud évoqué dans les recommandations?	5. 勧告に記載されているSecNumCloud Security Visaの詳細情報はどこで入手できるか？
Nous vous invitons à consulter :	以下を参照されたい。
La rubrique dédiée au Visa de sécurité SecNumCloud ;	SecNumCloudセキュリティビザのセクション；
La FAQ dédiée au Visa de sécurité SecNumCloud.	SecNumCloudセキュリティビザに関するFAQを参照されたい。

 

 

クラウド・アット・ザ・センター

・Le Cloud pour les administrations

 

セキュリティ認定

・認定製品・サービスの一覧

・SecNumCloudサービスの一覧

 

資格認定のための要件

・Référentiels d'exigences pour la qualification

Prestataires d'accompagnement et de conseil en sécurité des systèmes d’information (PACS)	情報システムセキュリティサポート・コンサルタントプロバイダ（PACS）
PACS – référentiel d’exigences – v1.0	PACS要求事項フレームワーク - v1.0
Le référentiel PACS a pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leurs missions de protection des systèmes d’information, et notamment d’homologation de sécurité, de gestion des risques, de conception d’architectures sécurisées, et de préparation à la gestion de crises d’origine cyber.	PACS標準の目的は、情報システムセキュリティマネージャとそのチームが情報システムを保護するための作業、特にセキュリティ認証、リスクマネジメント、安全なアーキテクチャの設計、サイバー危機管理の準備において支援することである。
Le référentiel couvre activités:	この標準は以下の活動を対象としている：
Conseil en homologation de sécurité des systèmes d’information ;	情報システムセキュリティ認証コンサルティング
Conseil en gestion des risques de sécurité des systèmes d’information ;	情報システムセキュリティリスクマネジメントのコンサルティング
Conseil en sécurité des architectures des systèmes d’information ;	情報システムアーキテクチャーセキュリティコンサルティング
Conseil en préparation à la gestion de crise d’origine cyber.	サイバー危機管理準備コンサルティング
Prestataire  d’audit de la sécurité des systèmes d’information (PASSI)	情報システムセキュリティ監査サービスプロバイダー（PASSI）
PASSI – référentiel d’exigences – v2.0	PASSI - 要求事項の枠組み - v2.0
Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits.	情報システムセキュリティ監査プロバイダのための要求事項枠組みは、この分野のサービスの資格取得を希望するプロバイダのための一連の規則である。監査プロバイダ、そのスタッフ、および監査の実施に関する要求事項を網羅している。
La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel et physique.	監査プロバイダは、アーキテクチャ監査、コンフィギュレーション監査、ソースコード監査、侵入テスト、組織的監査、物理的監査を実施する。
Prestataire de réponse aux incidents de sécurité (PRIS)	セキュリティインシデント対応サービスプロバイダ（PRIS）
PRIS – référentiel d’exigences – v2.0	PRIS - 要求事項の枠組み - v2.0
Le référentiel d’exigences relatif aux prestataires de réponse aux incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de réponse aux incidents, à son personnel ainsi qu’au déroulement des prestations de réponse aux incidents.	セキュリティインシデント対応サービスプロバイダのための要求事項枠組みは、この分野のサービスの認定を希望するサービスプロバイダのための一連の規則である。インシデントレスポンス プロバイダ、そのスタッフ、およびインシデントレスポンス サービスの提供方法に関連する要件を網羅している。
La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : pilotage technique, analyse système, analyse réseau et analyse de codes malveillants.	インシデントレスポンス・プロバイダは、技術管理、システム分析、ネットワーク分析、悪質コード分析の各活動について、資格認定を受けることができる。
Prestataire de détection des incidents de sécurité (PDIS)	セキュリティインシデント検知サービスプロバイダ（PDIS）
PDIS – Référentiel d’exigences – v.2.0	PDIS - 要求事項参照文書 - v.2.0
PDIS – Requirements reference document – v.2.0	PDIS - 要求事項参照文書 - v.2.0
Le référentiel d’exigences relatif aux prestataires de détection des incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de détection des incidents, à son personnel ainsi qu’au déroulement des prestations de détection des incidents.	セキュリティインシデント検知サービスプロバイダのための要求事項参照文書は、この分野のサービス認定を希望するプロバイダのための一連の規則である。インシデント検知プロバイダ、そのスタッフ、およびインシデント検知サービスの提供に関連する要件を網羅している。
La qualification peut être délivrée aux prestataires de détection des incidents pour l’ensemble de l’activité de détection d’incidents de sécurité.	セキュリティ・インシデント検知活動全体に対するインシデント検知プロバイダには、資格認定 を与えることができる。
Prestataires de vérification d'identité à distance (PVID)	リモート ID 検証サービス・プロバイダ（PVID）
PVID – référentiel d’exigences – v1.1	PVID - 要件リポジトリ - v1.1
Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d’identité à distance. Il vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs, des commanditaires de telles prestations et des régulateurs. Ce référentiel permet d’attester que la mise en œuvre des mesures de réduction de la fraude pertinente par les services certifiés selon deux niveaux de garantie : substantiel et élevé.	この標準に規定される要件は、サービス・プロバイダおよびリモート ID 検証サービスを提供 するために使用される情報システムのセキュリティに関するものである。この規格の目的は、利用者、このようなサービスを委託する者、および規制当局の信頼性の必要 性を満たす、堅固な一連のリモート ID 検証サービスを作成することである。この標準は、認証されたサービスが、実質的および高水準という 2 つの保証レベルで、 関連する不正削減手段を実装していることを認証する。
Moyens d'identification électronique (MIE)	電子 ID 手段（MIE）
MIE – référentiel d’exigences – v1.2	MIE - 要件フレームワーク - v1.2
Le référentiel d’exigences pour les moyens d’identification électronique précise au niveau national les spécifications techniques et les procédures minimales définies dans le règlement d’exécution 2015/1502 pour les niveaux de garantie :	電子的識別手段の要件リポジトリは、実施規則 2015/1502 で定義された技術仕様および保証レベ ルの最低手順を国家レベルで規定している：
Faible: l’objectif est de limiter le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : les moyens d’identification électronique reposant sur un identifiant / mot de passe ;	低：目的は、本人識別の簒奪または改ざんのリスクを制限することである。例：識別子／パスワードに基づく電子的識別手段；
Substantiel: l’objectif est de limiter substantiellement le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification ;	実質的：目的は、個人の ID の簒奪または改ざんのリスクを実質的に制限することである。例：2 つの認証要素に基づく特定の電子的識別手段；
Élevé: l’objectif est d’empêcher le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification dont l’un repose sur un composant cryptographique qualifié par l’ANSSI.	高：目的は、個人の ID の簒奪または改ざんのリスクを防止することである。例：2 つの認証要素に基づく特定の電子 ID 手段で、そのうちの 1 つは ANSSI が認定する暗号化要素に基づくもの。
Prestataire de services sécurisés d’informatique en nuage (SecNumCloud)	セキュア・クラウド・コンピューティング・サービス・プロバイダ（SecNumCloud）
SecNumCloud – référentiel d’exigences – v3.2	SecNumCloud - 要件フレームワーク - v3.2
Le référentiel d’exigences relatif aux prestataires de service d’informatique en nuage est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’au déroulement des prestations.	クラウドコンピューティング・サービス・プロバイダのための要求事項リポジトリは、この分野のサービスの資格取得を希望するプロバイダのための一連のルールである。クラウドコンピューティング・サービス・プロバイダ、そのスタッフ、サービスの提供に関する要件を網羅している。
La qualification peut être délivrée aux prestataires de service d’informatique en nuage pour des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service.	資格は、SaaS（Software as a service）、PaaS（Platform as a service）、IaaS（Infrastructure as a service）サービスのクラウドコンピューティング・サービス・プロバイダに与えられる。
Prestataires d’administration et de maintenance sécurisées (PAMS)	セキュアな管理・保守サービスプロバイダ（PAMS）
PAMS – référentiel d’exigences – v1.1	PAMS - 要件フレームワーク - v1.1
Le référentiel d’exigences relatif aux prestataires d’administration et de maintenance sécurisées est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives aux prestataires d’administration et de maintenance sécurisées, à son personnel ainsi qu’au déroulement des prestations. La qualification peut être délivrée au prestataire de d’administration et de maintenance pour l’ensemble de l’activité d’administration et de maintenance sécurisée.	セキュアな管理・保守サービスプロバイダのための要件フレームワークは、この分野のサービス認定を希望するサービスプロバイダのための一連のルールである。これは，安全な管理及び保守プロバイダ，そのスタッフ及びサービス提供方法に関連する要件を網羅 している。この資格は、安全な管理・保守活動全体について、管理・保守サービスプロバイダに発行することができる。
Prestataires de services relatifs à la confiance numérique	デジタルトラストサービス・プロバイダ
Les référentiels d’exigences relatifs aux prestataires de services de confiance formalisent les règles applicables aux organismes désirant obtenir une qualification dans les domaines suivants :	トラストサービス・プロバイダに対する要求事項の枠組みは、以下の分野における資格取得を希望する組織に適用される規則を正式に定めたものである：
Délivrance de certificats électroniques	電子証明書の発行
Horodatage électronique	電子タイムスタンプ
Validation des signatures et cachets électroniques	電子署名および電子スタンプの検証
Conservation des signatures et cachets électroniques	電子署名および電子スタンプの保管
Envoi recommandé électronique	電子書留郵便
Les référentiels d’exigences pour la qualification des prestataires de services de confiance au titre du Référentiel Général de Sécurité sont disponibles ici.	General Security Reference Framework に基づくトラストサービス・プロバイダの資格要件のリポジトリは、こちらで入手できる。
Les référentiels d’exigences pour la qualification des prestataires de services de confiance au titre du règlement n°910/2014 « eIDAS » sont disponibles ici.	規則No.910/2014「eIDAS」に基づくトラストサービス・プロバイダの資格要件のリポジトリはこちらで入手できる。

 

米国 これからはFedRampも含めて監査は自動化 (automate.fedramp.gov) !キーワードはOSCAL

こんにちは、丸山満彦です。

FedRampは338のサイトが認証をうけていますが...この認証を効率的にすることは重要ですね。。。そのための手段の一つがthe Open Security Controls Assessment Language; OSCALの利用ですね...

FedRampのブログで、そのあたりの話が書いています。。。FedRampをベースにつくった日本のISMAPもこれに続きますかね...いや、続かねばならないでしょうね...

 

● FedRAMP - Blog

・2024.07.11 New Website Launch: automate.fedramp.gov

New Website Launch: automate.fedramp.gov	新しいウェブサイトの立ち上げ：automate.fedramp.gov
FedRAMP’s Automation Website: A New Hub for Technical Documentation and Guidance on Digital Authorization Packages	FedRAMPの自動化ウェブサイト： デジタル認証パッケージに関する技術文書とガイダンスの新しいハブ
Today, we are launching automate.fedramp.gov. This is a new technical documentation hub designed specifically to support cloud service providers (CSPs) in the development, validation, and submission of digital authorization packages, and the developers of governance, risk, and compliance (GRC) applications and other tools that produce and consume digital authorization package data.	本日、我々はautomate.fedramp.gov.を立ち上げる。これは、デジタル認証パッケージの開発、検証、提出におけるクラウド・サービス・プロバイダー（CSP）、およびガバナンス、リスク、コンプライアンス（GRC）アプリケーションやデジタル認証パッケージ・データを生成・利用するその他のツールの開発者を支援するために特別に設計された新しい技術文書ハブである。
The website is initially focused on documenting FedRAMP’s use of the Open Security Controls Assessment Language (OSCAL) to support digital authorization packages – a foundational piece of operating FedRAMP in a data-first way. We plan to expand the website over time as we bring new capabilities online, and it will eventually include details of how to integrate with FedRAMP’s package repository and submission processes.	このウェブサイトは当初、FedRAMPがデジタル認可パッケージをサポートするためにオープン・セキュリティ・コントロール・アセスメント・ランゲージ（OSCAL）を使用していることを文書化することに重点を置いている。このウェブサイトは、新しい機能をオンライン化するにつれて順次拡大していく予定であり、最終的にはFedRAMPのパッケージ・リポジトリと提出プロセスとの統合方法の詳細も掲載する予定である。
Please note that this site replaces the previously published FedRAMP OSCAL User Guides with reorganized content that allows for linking to specific sections of the guides and makes it possible for community members to contribute to the guide content. This work realigns the guidance to provide a digital-first public experience as required by OMB memorandum M-23-22.	このサイトは、以前発行されたFedRAMP OSCALユーザー・ガイドを、ガイドの特定のセクションへのリンクを可能にし、コミュニティ・メンバーがガイドの内容に貢献できるように再編成された内容で置き換えることに留意してほしい。この作業は、OMBの覚書M-23-22が要求しているデジタルファーストのパブリック・エクスペリエンスを提供するために、ガイダンスを再編成するものである。
automate.fedramp.gov offers detailed technical documentation, best practices, and guidance for creating and managing digital authorization packages with OSCAL. This site will help make the FedRAMP authorization process more efficient and accessible by:	automate.fedramp.govは、OSCALを使ったデジタル認証パッケージの作成と管理のための詳細な技術文書、ベストプラクティス、ガイダンスを提供している。このサイトは、FedRAMP認可プロセスをより効率的で利用しやすいものにするために、以下のような支援を行う：
・Providing faster and more frequent documentation updates	・文書の更新をより迅速かつ頻繁に行う。
・Expanding the breadth and depth of available technical documentation	・利用可能な技術文書の幅と深さを拡大する。
・Improving the user experience for stakeholders who are implementing OSCAL-based FedRAMP packages and tools	・OSCALベースのFedRAMPパッケージやツールを導入する関係者のユーザーエクスペリエンスを向上させる。
・Establishing a collaborative workflow that supports community contributions for improvements to the documentation	・文書改善のためのコミュニティへの貢献を支援する共同ワークフローを確立する。
As with our automation work generally, this website is open source, and anyone is welcome to open an issue to provide feedback, or file a pull request to suggest changes or improve the content.	一般的な自動化作業と同様に、このウェブサイトはオープンソースであり、誰でもフィードバックを提供するために課題を開設したり、コンテンツの変更や改善を提案するためにプルリクエストを提出することができる。

 

ここが開発者のハブ...

● FedRAMP Developer Hub

Build a More Automated FedRAMP Risk Management Process	より自動化されたFedRAMPリスク管理プロセスを構築する
Helping you to develop OSCAL-based tools to streamline and automate risk management for cloud services used by the federal government	連邦政府が利用するクラウドサービスのリスク管理を合理化・自動化するOSCALベースのツール開発を支援する
Helping Developers Modernize Security Assessments, System Authorizations, and Continuous Monitoring	開発者のセキュリティ評価、システム認証、継続的モニタリングの近代化を支援する
The FedRAMP developer hub is an active, open source community for engineers focused on creating the tooling used to create, maintain, and use digital authorization packages and continuous monitoring data. Contributors to this community are working to use and enhance the Open Security Controls Assessment Language (OSCAL) to reduce friction through all stages of the FedRAMP authorization and continuous monitoring processes.	FedRAMP 開発者ハブは、デジタル認証パッケージと継続的モニタリングデータの作成、維持、使用に使用するツールの作成に焦点を当てたエンジニアのための活発なオープンソースコミュニティである。このコミュニティへの貢献者は、FedRAMP の認可と継続的モニタリングのプロセスの全段階を通じて摩擦を減らすために、OSCAL（Open Security Controls Assessment Language）の使用と強化に取り組んでいる。
OSCAL offers a number of benefits for streamlining and automating aspects of the information system authorization process.	OSCALは、情報システム認可プロセスの合理化と自動化のために多くの利点を提供する。
Our goal is to enable you to develop tools that will seamlessly ensure FedRAMP OSCAL requirements are met so your security practitioners can focus on authorization package content and accuracy, rather than formatting and presentation.	当社の目標は、FedRAMP の OSCAL 要件をシームレスに満たすツールを開発できるようにすることであり、その結果、貴社のセキュリティ担当者は、書式や体裁を整えることよりも、認可パッケージの内容と正確さに集中できるようになる。
Below are just a few examples of how FedRAMP OSCAL-based authorization packages will benefit your organization:	以下は、FedRAMP OSCAL ベースの認証パッケージがどのように貴社の組織に利益をもたらすかのほんの一例である：
・Cloud Service Providers (CSPs) are able to create their FedRAMP authorization packages more rapidly and accurately, validating much of the package content before submission to agencies and FedRAMP for review.	・クラウド・サービス・プロバイダー（CSP）は、FedRAMP認可パッケージをより迅速かつ正確に作成することができ、審査機関やFedRAMPに提出する前にパッケージの内容の多くを検証することができる。
・Third Party Assessment Organizations (3PAOs) are able to use OSCAL-based authorization package data to automate the planning, execution, and reporting of cloud assessment activities.	・第三者評価機関（3PAO）は、OSCALベースの認可パッケージデータを使用して、クラウド評価活動の計画、実行、報告を自動化できる。
・Agencies are able to expedite their reviews of authorization packages.	・各省庁は、認可パッケージのレビューを迅速に行うことができる。
FedRAMP expects to be able to collaboratively build tooling to further reduce the cost and improve the quality of package reviews based on OSCAL data.	FedRAMPは、OSCALデータに基づくパッケージ・レビューのさらなるコスト削減と品質向上のためのツールを共同で構築できることを期待している。
Get started with FedRAMP OSCAL-based authorization packages today.	FedRAMP OSCALベースの認可パッケージの利用を今すぐ開始する。

・About FedRAMP’s Use of OSCAL

About FedRAMP’s Use of OSCAL	FedRAMPのOSCAL利用について
The Federal Risk Authorization and Management Program (FedRAMP®) is working to scale the Program’s ability to meet the needs of the market. To scale, FedRAMP needs to improve the degree of automation used to create, submit, and review packages for cloud information systems, and to continuously monitor these systems to ensure that baseline security requirements are met.	FedRAMP®（Federal Risk Authorization and Management Program）は、市場のニーズに対応するため、FedRAMPの規模拡大に取り組んでいる。規模を拡大するためには、FedRAMPはクラウド情報システムのパッケージの作成、提出、レビューに使用する自動化の程度を改善し、これらのシステムを継続的に監視して基本的なセキュリティ要件が満たされていることを確認する必要がある。
The Open Security Controls Assessment Language (OSCAL) provides the capabilities needed to realize FedRAMP’s strategic objectives around automation and modernization.	Open Security Controls Assessment Language (OSCAL)は、自動化と近代化に関するFedRAMPの戦略目標を実現するために必要な機能を提供する。
This section of the website includes:	このセクションには以下が含まれる：
・Important background information to help understand the types of information contained in security documentation used for assessment.	評価に使用されるセキュリティ文書に含まれる情報の種類を理解するのに役立つ重要な背景情報。
・Information on the OSCAL models and how they are used to represent security documentation and assessment information.	・OSCAL モデルに関する情報と、それがどのようにセキュリティ文書とアセスメント情報を表現するために使用されるかに関する情報。
・Discussion of how the OSCAL models are used by different stakeholders.	・OSCAL モデルがさまざまな利害関係者によってどのように使用されているかについての考察
・Examination of the benefits of using OSCAL as part of FedRAMP’s automation and modernization strategy.	・FedRAMPの自動化・近代化戦略の一環としてOSCALを使用する利点の検討。
・Answers to frequently ask questions on FedRAMP’s use of OSCAL and the automation and modernization approach.	・FedRAMPによるOSCALの利用と自動化・近代化アプローチに関するよくある質問への回答。
・Information on how FedRAMP will manage releases that include human- and machine-oriented resources.	・FedRAMPが、人間指向と機械指向のリソースを含むリリースをどのように管理するかについての情報。

 

 

---

 

ちなみにNISTにもOSCALの情報があります...

● NIST

・OSCAL: the Open Security Controls Assessment Language

・learning materials 

 

---

 

AMAZONのOSCAL対応の件

● AMAZON AWS - AWS Security Blog

・2022.06.30 AWS achieves the first OSCAL format system security plan submission to FedRAMP

 

AMAZON AWSが対応をしている監査プログラム...

日本語です...

・コンプライアンスプログラムによる対象範囲内の AWS のサービス

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

OSCAL

・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書

・2024.04.22 内部監査人協会 意見募集 トピック別要求事項：サイバーセキュリティ (2024.04.11)

・2024.04.02 米国 FedRAMPの新しいロードマップ(2024-2025)

・2024.03.06 米国 NIST IR 8278 Rev. 1 国家オンライン情報参照（OLIR）プログラム： 概要、利点、利用方法、IR 8278A Rev. 1 国家オンライン情報参照（OLIR）プログラム： OLIR開発者のための提出ガイダンス

・2024.03.05 NIST IR 8477 文書化された標準、規制、フレームワーク、ガイドライン間の関係のマッピング： サイバーセキュリティとプライバシーの概念マッピングの開発 (2024.02.26)

・2023.08.21 米国 NIST 重要なハイテク産業における米国の競争力に関する報告書

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第４版の更新分析、ISO／IEC27001とのマッピング表等の追加

・2020.07.16 JIPDEC ”米国のプライバシー保護に関する動向”

 

世界経済フォーラム (WEF) スマートコントラクトの台頭とサイバーリスクおよび法的リスクを軽減する戦略 (2024.07.16)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、スマートコントラクトの台頭とサイバーリスクおよび法的リスクを軽減する戦略という文書を書いていますね...

スマートコントラクトの普及はセキュリティ、法的な安定を含み、安全・安心の確保が重要ということですかね...まぁ、第三者を介さずに信用が担保されたトランザクションを自動処理しようという話なので、当然といえば、当然なのですが...

 

● World Economic Forum

・2024.07.16 The rise of smart contracts and strategies for mitigating cyber and legal risks

 

The rise of smart contracts and strategies for mitigating cyber and legal risks	スマートコントラクトの台頭とサイバーリスクおよび法的リスクを軽減する戦略
This article is part of:Centre for the Fourth Industrial Revolution	この記事は:第4次産業革命センターの一部である。
・Smart contracts – self-executing agreements embedded in blockchain – offer the promise of seamless execution without human intervention.	・スマートコントラクト（ブロックチェーンに組み込まれた自己実行契約）は、人間の介入なしにシームレスに実行できることを約束している。
・However, the rapid adoption of this revolutionary technology comes with significant technological, legal and cybersecurity-related risks.	・しかし、この革命的なテクノロジーの急速な導入には、技術的、法的、サイバーセキュリティ関連の重大なリスクが伴う。
・Here's why adopting a multi-faceted approach is essential to addressing these risks and enhancing the security and reliability of smart contracts.	・こうしたリスクに対処し、スマート・コントラクトのセキュリティと信頼性を高めるためには、多面的なアプローチの採用が不可欠である理由を説明しよう。
Imagine a world where contracts are executed seamlessly without human intervention, reducing costs and enhancing efficiency across industries – from finance to real estate. This is the promise of smart contracts, self-executing agreements embedded in blockchain technology.	人間の介入なしに契約がシームレスに実行され、コストを削減し、金融から不動産まで、業界全体の効率を高める世界を想像してみてほしい。これがスマート・コントラクトの約束であり、ブロックチェーン技術に組み込まれた自己実行契約である。
However, the rapid adoption of this revolutionary technology comes with significant risks. In 2016, a coding flaw in the Decentralized Autonomous Organization (DAO) smart contract on the Ethereum platform led to a theft of $50 million worth of ether, illustrating the potential vulnerabilities.	しかし、この革命的な技術の急速な普及には大きなリスクが伴う。2016年、イーサリアム・プラットフォーム上の分散型自律組織（DAO）スマート・コントラクトにコーディング上の欠陥があり、5,000万ドル相当のエーテルが盗まれるという事件が発生したが、これは潜在的な脆弱性を示している。
DISCOVER	発見
How is the World Economic Forum promoting the responsible use of blockchain?	世界経済フォーラムはブロックチェーンの責任ある利用をどのように推進しているのか？
The World Economic Forum's Platform for Shaping the Future of Blockchain and Digital Assets ensures equity, interoperability, transparency, and trust in the governance of this technology for everyone in society to benefit from blockchain’s transformative potential.	世界経済フォーラムの「ブロックチェーンとデジタル資産の未来を形作るためのプラットフォーム」は、社会のすべての人がブロックチェーンの変革の可能性から恩恵を受けることができるよう、このテクノロジーのガバナンスにおける公平性、相互運用性、透明性、信頼を保証する。
・The Forum helped central banks build, pilot and scale innovative policy frameworks to guide the implementation of blockchain, with a focus on central bank digital currencies.	・同フォーラムは、中央銀行のデジタル通貨を中心に、中央銀行がブロックチェーンの導入を導くための革新的な政策フレームワークを構築し、試験的に運用し、規模を拡大するのを支援した。
・The Redesigning Trust with Blockchain in the Supply Chain initiative is helping supply chain decision-makers implement blockchain, while ensuring that this technology is utilized in a secure, responsible and inclusive way.	・サプライチェーンにおけるブロックチェーンによる信頼の再設計」イニシアチブは、サプライチェーンの意思決定者がブロックチェーンを導入し、この技術が安全で責任ある包括的な方法で活用されるよう支援している。
・The Centre for the Fourth Industrial Revolution UAE is testing the application of digital assets and tokenization to improve financial systems.	・第4次産業革命アラブ首長国連邦センター（Centre for the Fourth Industrial Revolution UAE）は、金融システムを改善するためのデジタル資産とトークン化の応用をテストしている。
Contact us for more information on how to get involved.
With the smart contracts market projected to reach $73 billion by 2030, expanding at a compound annual growth rate (CAGR) of 82.2% as reported by Grand View Research, the urgency to address these risks is paramount.	グランド・ビュー・リサーチの報告によると、スマート・コントラクト市場は2030年までに730億ドルに達し、年平均成長率（CAGR）82.2％で拡大すると予測されており、こうしたリスクへの対応が急務となっている。
Smart contracts are playing an increasingly important role and being more widely adopted across various sectors. As platforms like Ethereum continue to dominate the market, ensuring their security and reliability is crucial for the broader adoption and trust in smart contracts.	スマートコントラクトはますます重要な役割を果たすようになり、様々な分野でより広く採用されるようになっている。イーサリアムのようなプラットフォームが市場を席巻し続ける中、そのセキュリティと信頼性を確保することは、スマートコントラクトをより広く採用し、信頼されるために極めて重要である。
Technical risks of smart contracts	スマート・コントラクトの技術的リスク
Smart contracts are highly dependent on the precision of their code and the security of the blockchain infrastructure they operate on.	スマートコントラクトは、そのコードの正確さと、運用するブロックチェーンインフラストラクチャのセキュリティに大きく依存する。
Even minor flaws or oversights can lead to severe consequences such as unauthorized access, fund misappropriation or unintentional legal disputes. To enhance the security and reliability of smart contracts, adopting a multi-faceted approach is essential.	些細な欠陥や見落としでも、不正アクセスや資金の横領、意図しない法的紛争といった深刻な結果を招く可能性がある。スマートコントラクトのセキュリティと信頼性を高めるには、多面的なアプローチを採用することが不可欠だ。
Formal verification tools are critical for checking the correctness of code before deployment. Following established best practices and standards in smart contract development, along with comprehensive auditing processes, can further minimize vulnerabilities.	正式な検証ツールは、デプロイ前にコードの正しさをチェックするために不可欠である。スマートコントラクト開発において確立されたベストプラクティスと標準に従うことは、包括的な監査プロセスとともに、脆弱性をさらに最小化することができる。
Additionally, employing advanced encryption techniques and stringent access controls can safeguard sensitive contract data and transactions from malicious attacks. Implementing these measures can help mitigate technical risks and enhance the trustworthiness of smart contracts.	さらに、高度な暗号化技術と厳格なアクセス制御を採用することで、機密性の高い契約データとトランザクションを悪意のある攻撃から守ることができる。これらの対策を実施することで、技術的リスクを軽減し、スマートコントラクトの信頼性を高めることができる。
Evolving crypto threats and legal risks	進化する暗号の脅威と法的リスク
Despite improvements in blockchain security, vulnerabilities in smart contracts continue to be exploited, leading to significant losses.	ブロックチェーンのセキュリティが向上しているにもかかわらず、スマートコントラクトの脆弱性が悪用され続け、大きな損失に繋がっている。
In 2023, the value lost in decentralized finance (DeFi) hacks declined by more than 63%, showing a positive trend in reducing the impact of these incidents, as reported by Chainalysis. However, the overall number of crypto hacks increased, indicating that the threat landscape is evolving and remains a significant concern.	Chainalysisが報告したように、2023年には、分散型金融（DeFi）のハッキングで失われた価値は63%以上減少し、これらのインシデントの影響を減らすというポジティブな傾向を示している。しかし、暗号ハッキングの全体的な件数は増加しており、脅威の状況は進化しており、依然として重大な懸念事項であることを示している。
These developments highlight a critical challenge: as the adoption of smart contracts grows, so does the sophistication of attacks targeting them.	スマート・コントラクトの普及が進むにつれて、スマート・コントラクトを標的にした攻撃の高度化も進んでいる。
Have you read?	読んだことがあるか？
This is the path toward smart financial contracts and more resilient banking	これがスマート金融契約とよりレジリエントなバンキングへの道だ
How women are staking out a space in the blockchain world	女性がブロックチェーンの世界でどのように居場所を確保しているか
One of the biggest challenges with smart contracts is that the rules aren't always clear. It's like playing a board game where the rules differ from one place to another; what's acceptable in one country might be illegal in another. This can create confusion about how secure these contracts are and what happens if things go wrong.	スマート・コントラクトの最大の課題のひとつは、ルールが必ずしも明確ではないということだ。ある国では容認されていても、別の国では違法かもしれない。このため、契約の安全性や、問題が起きた場合の対応に混乱が生じる可能性がある。
Let's say a smart contract is supposed to pay you when you deliver a project, but the payment never arrives due to a flaw in the programme. Who do you call? Usually, you might take legal action, but with smart contracts, it's not always clear how you can enforce your rights. The laws that apply to traditional contracts don't always match up with how smart contracts work.	例えば、スマート・コントラクトが、あるプロジェクトを納品したときに報酬を支払うことになっているが、プログラムの欠陥のために報酬が支払われなかったとしよう。誰に連絡する？通常は法的措置を取るかもしれないが、スマート・コントラクトでは、権利を行使する方法が必ずしも明確ではない。従来の契約に適用される法律は、スマート・コントラクトの仕組みと必ずしも一致しないのだ。
Economic risks and security concerns	経済的リスクとセキュリティ上の懸念
Think of a smart contract like a vending machine. You pick a snack, pay the money, and the snack comes out. Everything usually works smoothly unless the machine jams. Now, imagine if the price of the snacks suddenly changed while your money was still inside because of a rapid market shift.	スマート・コントラクトを自動販売機のように考えてみよう。あなたはスナックを選び、お金を払い、スナックが出てくる。自動販売機がジャムらない限り、通常はすべてがスムーズに機能する。では、急激な市場の変化により、あなたのお金が中に入っている間にスナックの値段が突然変わってしまったとしよう。
That happened to a digital platform called MakerDAO during a major market crash. When the market fell abruptly, the digital contracts couldn't adapt quickly enough, causing people to lose money unexpectedly. This incident shows how sudden changes in market conditions can make these automated systems unreliable, a bit like a vending machine that takes your money without giving you the snack.	MakerDAOと呼ばれるデジタル・プラットフォームでは、市場の大暴落の際にそのようなことが起こった。市場が急落したとき、デジタル契約は十分に素早く適応することができず、人々は予想外の損失を被った。この事件は、市場環境の急激な変化が、こうした自動システムをいかに信頼性のないものにしてしまうかを示しており、スナックを与えずにお金を奪う自動販売機のようなものだ。
In November 2017, a seemingly innocent game involving digital cats, CryptoKitties, became so popular that it clogged the Ethereum network. This cute overload caused a significant slowdown across the network, delaying transactions and escalating fees.	2017年11月、CryptoKittiesという一見何の変哲もないデジタル猫のゲームが大人気となり、イーサリアムのネットワークを詰まらせた。このキュートな過負荷はネットワーク全体の大幅な減速を引き起こし、トランザクションを遅延させ、手数料を高騰させた。
This incident is a textbook example of how scalability challenges can lead to economic inefficiencies, which in turn compromise the security of all operations on the network, making every transaction, not just game-related, vulnerable to attacks and failures.	この事件は、スケーラビリティの課題がいかに経済的非効率につながり得るかの教科書的な例であり、その結果、ネットワーク上のすべてのオペレーションのセキュリティが損なわれ、ゲーム関連だけでなく、すべてのトランザクションが攻撃や障害に脆弱になる。
The Infrastructure Investment and Jobs Act passed in the US in 2021 shook the foundations of many blockchain projects. This legal shake-up illustrated how swiftly changing regulations could destabilize the smart contract landscape, forcing projects to adapt or perish.	2021年に米国で成立したインフラ投資・雇用法は、多くのブロックチェーン・プロジェクトの基盤を揺るがした。この法的揺り戻しは、規制の迅速な変更がいかにスマートコントラクトの状況を不安定にし、プロジェクトに適応するか滅びるかを迫るかを示している。
This regulatory unpredictability doesn't just affect the economics of projects; it poses serious security risks, as projects rush to comply with new laws, potentially overlooking vulnerabilities or making hasty changes to their infrastructure.	このような規制の予測不可能性は、プロジェクトの経済性に影響を与えるだけでなく、プロジェクトが新しい法律への準拠を急ぐあまり、脆弱性を見落としたり、インフラを性急に変更したりする可能性があるため、深刻なセキュリティリスクをもたらす。
Smart contracts will be revolutionary	スマート・コントラクトは革命的になる
Smart contracts are poised to revolutionize how we conduct transactions, promising more efficient and secure ways to manage agreements digitally.	スマート・コントラクトは、私たちの取引方法に革命をもたらし、より効率的で安全なデジタル契約管理方法を約束する。
DISCOVER	発見する
What is the World Economic Forum doing about the Fourth Industrial Revolution?	世界経済フォーラムは第4次産業革命について何をしているのか？
The World Economic Forum was the first to draw the world’s attention to the Fourth Industrial Revolution, the current period of unprecedented change driven by rapid technological advances. Policies, norms and regulations have not been able to keep up with the pace of innovation, creating a growing need to fill this gap.	世界経済フォーラムは、急速な技術進歩がもたらす前例のない変化の時代である第4次産業革命に、世界で初めて注意を喚起した。政策、規範、規制はイノベーションのペースに追いついておらず、このギャップを埋める必要性が高まっている。
The Forum established the Centre for the Fourth Industrial Revolution Network in 2017 to ensure that new and emerging technologies will help—not harm—humanity in the future. Headquartered in San Francisco, the network launched centres in China, India and Japan in 2018 and is rapidly establishing locally-run Affiliate Centres in many countries around the world.	同フォーラムは、2017年に第4次産業革命センター・ネットワークを設立し、新たなテクノロジーや新興のテクノロジーが、将来人類に害を与えるのではなく、人類を助けることを確実にすることを目指している。サンフランシスコに本部を置くこのネットワークは、2018年に中国、インド、日本でセンターを立ち上げ、世界各国で現地運営のアフィリエイト・センターを急速に設立している。
The global network is working closely with partners from government, business, academia and civil society to co-design and pilot agile frameworks for governing new and emerging technologies, including artificial intelligence (AI), autonomous vehicles, blockchain, data policy, digital trade, drones, internet of things (IoT), precision medicine and environmental innovations.	このグローバル・ネットワークは、政府、企業、学界、市民社会のパートナーと緊密に連携し、人工知能（AI）、自律走行車、ブロックチェーン、データ政策、デジタル貿易、ドローン、モノのインターネット（IoT）、精密医療、環境イノベーションなど、新しく出現するテクノロジーを管理するためのアジャイルなフレームワークを共同設計し、試験的に運用している。
Learn more about the groundbreaking work that the Centre for the Fourth Industrial Revolution Network is doing to prepare us for the future.	第4次産業革命ネットワークセンターが未来に向けて行っている画期的な取り組みについてもっと知る。
Want to help us shape the Fourth Industrial Revolution? Contact us to find out how you can become a member or partner.	第4次産業革命の形成に貢献したい。メンバーやパートナーになる方法については、こちらまでお問い合わせを。
Yet, the journey toward widespread adoption is laden with hurdles – technical glitches, legal ambiguities and economic fluctuations. Overcoming these challenges requires not just innovative technology but a comprehensive strategy that includes robust security measures, clear legal standards and adaptive economic policies.	しかし、普及に向けた道のりには、技術的な不具合、法的な曖昧さ、景気の変動といったハードルが山積している。これらの課題を克服するには、革新的な技術だけでなく、強固なセキュリティ対策、明確な法的基準、適応力のある経済政策を含む包括的な戦略が必要だ。
As we continue to navigate this complex landscape, the success of smart contracts will hinge on our ability to secure and stabilize them against an ever-evolving backdrop of risks.	私たちがこの複雑な状況を乗り越え続ける中で、スマート・コントラクトの成功は、進化し続けるリスクを背景に、スマート・コントラクトを安全かつ安定させる私たちの能力にかかっている。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.04.13 米国 NIST IR 8475（初期公開ドラフト） Web3パラダイムに関するセキュリティの視点

・2024.03.09 米国 NIST IR 8472 非代替性トークンのセキュリティ

・2023.09.08 NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解

・2023.09.04 NIST IR 8472（初期公開ドラフト） 非代替性トークン (NFT) のセキュリティ (2023.08.31)

・2023.04.29 米国 NISTIR 8460 (ドラフト) 状態機械複製とビザンチン敵対者のコンセンサス

・2022.12.30 Belfer Center: Web3関連のイベント（構築、投資、政策立案）(2022.10.20-12.01)

・2022.09.14 米国 MITRE Web3のセキュリティ確保とインターネットの未来への挑戦

・2022.08.19 世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響  (2022.07.22)

・2022.07.19 インド データセキュリティ評議会 Web 3.0 - The Internet of the New Era (2022.07.06)

・2022.06.28 欧州議会 Think Tank メタバース：機会、リスク、政策への影響

・2022.05.30 NISTIR 8403 アクセス制御システムのためのブロックチェーン

・2022.03.29 米国 GAO ブロックチェーン：新たな技術がもたらす利点と課題

・2022.03.01 欧州委員会 データ法の提案

・2022.02.24 Cloud Security Alliance ブロックチェーン／分散型台帳技術（DLT）のリスクとセキュリティに関する考察 (2022.02.16)

・2021.12.21 NIST 意見募集 NISTIR 8403（ドラフト）アクセス制御システムのためのブロックチェーン

・2021.07.20 Cloud Security Alliance ヘルスケアにおけるブロックチェーンの利用

・2021.05.04 ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。

・2021.02.11 NIST NISTIR 8301 Blockchain Networks: Token Design and Management Overview（ブロックチェーンネットワーク：トークンのデザインと管理の概要）

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号：現状と量子緩和」と「暗号資産：デジタル通貨と分散型台帳技術の概要」

・2020.09.30 NIST NISTIR 8301 (Draft) Blockchain Networks: Token Design and Management Overview

・2020.09.30 NIST NISTIR 8235 (Draft) Security Guidance for First Responder Mobile and Wearable Devices

 

JPCERT/CC 感謝状 2024（朝日新聞社CSIRT, 株式会社ノースグリッド, 参天製薬株式会社 正木 文統様）

こんにちは、丸山満彦です。

JPCERT/CCが、サイバーセキュリティ対策活動に特に顕著なご貢献をいただいた方に感謝の意を表して感謝状を贈呈していますね...今年は朝日新聞社CSIRT, 株式会社ノースグリッド, 参天製薬株式会社 正木 文統様となっています...

歴代...

2024	株式会社朝日新聞社　朝日新聞社CSIRT様
	株式会社ノースグリッド様
	参天製薬株式会社　正木 文統 様
2023	NTTコム エンジニアリング株式会社 近藤 和弘様
	株式会社コンテック PSIRT様
2022	横浜国立大学 吉岡 克成様
	株式会社 bitFlyer 松岡 晋矢様
2021	JSACプログラム選考委員の皆さま
	三菱電機PSIRT 様
2020	NTTセキュアプラットフォーム研究所 秋山 満昭　様
	理化学研究所 市原 卓 様
	株式会社インターネットイニシアティブ 九州支社 今井 健 様
	ヤフー株式会社 大角 祐介 様
	伊藤忠商事株式会社 IT企画部 ITCCERTの皆様
2019	さくらインターネット株式会社 様
	住友化学株式会社 大谷和史様
2018	フィッシング対策協議会 内田 勝也様 野々下 幸治様
	株式会社アイ・オー・データ機器 島田 康晴様
2017	株式会社クルウィット 島村 隼平様
	Recruit-CSIRT 様
2016	東芝インフォメーションシステムズ株式会社 柏村 卓哉様
2015	サイボウズ株式会社 Cy-SIRT様
	横河電機株式会社 YOKOGAWA PSIRT様
2014	加藤孝浩様 トッパン・フォームズ株式会社
	モルスナー・ミヒャエル様 株式会社カスペルスキー

 

● JPCERT/CC

 

・2024.07.19 JPCERT/CC 感謝状 2024

 

 

---

 

受賞理由等も含めて...

 

2024	株式会社朝日新聞社　朝日新聞社CSIRT様	日本国内の企業や組織に対する標的型攻撃が増加し始めた2010年代から現在に至るまで、大手新聞社を対象とする攻撃活動は活発に行われているとみられます。朝日新聞社CSIRT様は自社を対象としたサイバー攻撃への対応を行う傍ら、収集・分析した情報をJPCERT/CCへ継続的にご報告くださっています。これらの情報は新たな脅威の発見や他の被害組織との連携につながるなど非常に有用なものでした。 高度な標的型攻撃の検知や分析に関する高い能力を備え、また検知・分析した情報を積極的に共有することによってインシデントの予防や対策の普及への多大な貢献をされたことに感謝し、このたび感謝状を贈呈いたしました。
	株式会社ノースグリッド様	株式会社ノースグリッド様は、自社が提供する製品の脆弱性とそれを悪用する攻撃事案におけるJPCERT/CCとの連携において、脆弱性の修正と公表を行うのみならず、発生した攻撃活動に関して被害組織との連携やインシデントレスポンスにつながる情報をご提供いただき、効果的な対応を行うための多大なご協力をいただきました。 同社の一連の対応が、情報セキュリティ早期警戒パートナーシップにおける脆弱性の悪用を示す情報の取り扱いや製品開発者との協力のあり方を考える上で重要な模範事例を与えてくださったことに感謝し、このたび感謝状を贈呈いたしました。
	参天製薬株式会社　正木 文統 様	参天製薬株式会社の正木様は、同社のサイバーセキュリティ対策推進の中核として活動される傍ら、製薬関連企業の情報セキュリティ担当者の集まり等で知見の共有を積極的に行われるなど、製造業における制御系のサイバーセキュリティについて内外の関係者との連携に取り組まれています。JPCERT/CCの制御システムセキュリティの活動に対しても、製造現場のさまざまな知見の共有のみならず、製造業の制御システムセキュリティ担当者コミュニティーにおいて課題検討の推進役としてご尽力いただいています。さらに制御システムセキュリティカンファレンスにおいても複数回に渡ってご講演いただくなど、多大なご協力をいただきました。 このような多方面の活動を通じて、国内の製造業における制御システムセキュリティの向上に継続的に貢献されていることに感謝し、このたび感謝状を贈呈いたしました。
2023	NTTコム エンジニアリング株式会社 近藤 和弘様	NTTコム エンジニアリング株式会社の近藤和弘様は、OCNのAbuse対応窓口として、セキュリティインシデント対応の最前線でご活躍されています。 JPCERT/CCのインシデント調整活動において、OCNの利用者に関わるインシデントについての連携窓口として数多くのインシデントの調査や対応を実施いただくなど、長年にわたり多大なご協力をいただいています。 また日々ご対応されるさまざまなインシデントから得られる知見をもとに、JPCERT/CCや他の組織・団体が主催するコミュニティーやカンファレンス等の場で数多くの有益な情報発信をされ、インシデントの予防や対策の普及への多大な貢献をされました。 そうした近藤様の活動に対し、インターネット社会全体の安全への継続的な寄与とJPCERT/CCの活動へのご協力に感謝し、このたび感謝状を贈呈いたしました。
	株式会社コンテック PSIRT様	近年、日本製の機器の脆弱性について海外の発見者や調整機関等から報告を受けるケースが増加傾向にあります。製品開発者における脆弱性報告への対応は、社内外のステークホルダーとの適切な連携が求められますが、多くの国内企業のPSIRTにとって、言語や文化のギャップを超えて海外発の脆弱性報告へ適切に対応することには困難が伴います。 株式会社コンテックは、国内大手の産業用電子機器メーカーであり、製品の脆弱性報告への対応実績を数多く持つ企業の一つです。同社はPSIRTの発足以降、海外発のものを含む脆弱性報告への対応を数多く行われています。そのタイムリーで的確なコミュニケーションによって、他の製品開発者にとって良いケーススタディとなる脆弱性対応の成功事例を重ねられてきました。調整機関であるJPCERT/CCにとっても、より円滑な脆弱性調整のための気付きを与えてくださいました。PSIRTの活動を通じて、社会全体の脆弱性情報流通の改善へ多大な貢献をされたことに感謝し、このたび感謝状を贈呈いたしました。
2022	横浜国立大学 吉岡 克成様	横浜国立大学の吉岡 克成 様は、わが国のサイバーセキュリティ研究の第一人者としてセキュリティ対策の普及のために幅広くご活躍されています。 JPCERT/CCが主催する「定点観測友の会」においても、IoTマルウェアに関する研究分析結果など、研究の中で発見された課題を共有いただいています。さらに、吉岡様の仲介によって観測技術を持つメンバーを拡げるなど、会の活動への多大な貢献をいただきました。 また、研究活動の中で発見されたIoT機器の脆弱性について数多く報告し、Responsible Disclosureを実践されています。JPCERT/CCの脆弱性情報コーディネーションの活動においても、製品開発者での問題の確認などスムーズな調整にご協力をいただきました。 このように、研究活動を通じてさまざまな形でJPCERT/CCの活動へのご協力をいただいたことに感謝し、このたび感謝状を贈呈いたしました。
	株式会社 bitFlyer 松岡 晋矢様	国内最大手の暗号資産交換業者の一つである株式会社bitFlyerで、松岡様はセキュリティインシデント対応を担うCSIRTとしてご活躍されています。 松岡様には、過去数年に渡り、暗号資産交換業者をターゲットとした標的型攻撃に関する情報をご提供いただいています。その結果、報告いただいたインシデントに関連する情報をJPCERT/CCから多くの組織に共有し、インシデントの早期発見、収束に役立てることができました。自組織のインシデントを報告することに対して消極的な企業や組織が依然として多い中、松岡様は自社で観測された事象からの知見によって他組織の被害抑制に寄与すべきとの思いから、インシデント報告を積極的に行ってくださっており、その姿勢は多くの組織にとって範となるものです。インシデント報告を通じてインターネット社会全体の安全につなげるJPCERT/CCの活動へ継続的にご協力いただいていることに感謝し、このたび感謝状を贈呈いたしました。
2021	JSACプログラム選考委員の皆さま	JPCERT/CCでは、国内のセキュリティアナリストのスキルの底上げを図るべく、インシデント分析・対応に関連する技術的な知見を共有する場として、Japan Security Analyst Conference（ JSAC ）を2018年から開催しており、次回、JSACは5回目の節目の開催を迎えます。今年度、感謝状をお贈りするプログラム選考委員の皆さまには、カンファレンスの立ち上げ当初からご協力いただいており、講演、ワークショップなどのプログラムの選考にとどまらず、開催方法の検討など、さまざまな場面でご尽力いただいてきました。 JSACが国内外のセキュリティアナリストに認知されるようになったのは、JSACで技術的知見を発表いただいたスピーカーの方々の質の高い講演に加えて、プログラム選考委員の皆さまの貢献が大きいと考えています。 今後も、JPCERT/CCではJSACを通して、日々セキュリティインシデントに立ち向かう現場のセキュリティアナリストの皆さまが、ご自身の知見・技術・情報を共有できる場を提供してまいります。
	三菱電機PSIRT 様	三菱電機PSIRT様は、PSIRTとして発足する2019年以前から、長きにわたりJPCERT/CCが行う脆弱性情報流通の活動にご協力いただいてきました。情報セキュリティ早期警戒パートナーシップに基づく調整の他、グローバルベンダーとして各地域の拠点と連携し、国内外から報告される多数の脆弱性情報に対処され、2020年には、 FIRST への参加や CNA への登録を行うなど、国際的な脆弱性情報の流通に参画されています。また、製品開発者の視点からの問題提起など、JPCERT/CCの活動にもさまざまな気づきを与えていただきました。 JPCERT/CCが行う脆弱性情報流通の活動へのこれまでの貢献とともに、他の製品開発者の参考となるPSIRT活動を展開し、国内のPSIRT活動を盛り上げていただいています。
2020	NTTセキュアプラットフォーム研究所 秋山 満昭　様	NTTセキュアプラットフォーム研究所の秋山 満昭氏は、サイバーセキュリティに関わる学術研究分野において、研究倫理に関するワークショップの委員や「日本学術振興会（JSPS）サイバーセキュリティ 第192委員会 サイバーセキュリティの研究倫理を考えるWG」の事務局を務められるなど、研究倫理に基づく公開プロセスの普及啓発において先導的な活動を行ってこられました。特に、研究過程で発見した脆弱性などのセキュリティ上の問題点について利害関係者と事前に調整し、必要な手続きを経てから情報を公開する、Responsible disclosureを数多く実践されています。 JPCERT/CCの脆弱性コーディネーション活動においても、ご自身の研究の論文公開に先立って、発見した脆弱性をご報告いただき、関係者とのスムーズな調整やアドバイザリ記事の作成などに多大なるご協力をいただきました。また、JPCERT/CC主催の開発者ミーティングにおいて、Responsible disclosureの重要性、とりわけ脆弱性の発見者と開発者の協力関係の重要性について講演をいただく等、JPCERT/CCの啓発活動にもご協力いただいています。
	理化学研究所 市原 卓 様	2019年度にJPCERT/CCに報告されたインシデント数は20,147件となり、近年で最も多くの報告が寄せられた年となりました。 要因としては複数ありますが、そのひとつに日常的にインシデントの報告をくださる協力者・組織の増加が挙げられます。 JPCERT/CCではこうした多くの方のご協力が、インターネット上のインシデントの早期収束につながると考えています。 理化学研究所の市原 卓氏、株式会社インターネットイニシアティブの今井 健氏、ヤフー株式会社の大角 祐介氏、伊藤忠商事株式会社 IT企画部 ITCCERT様は、昨年度、それぞれ数百件もの高度かつ詳細な情報を届け出いただき、JPCERT/CCのインシデントコーディネーションに大きく貢献いただきました。 前述のトップインシデントレポーターの方々は、ご自身の調査活動などで発見したフィッシングサイトやWebサイト改ざんなど、自組織に直接関わりのない国内に影響を及ぼす可能性のあるインシデントについてもご報告をいただきました。 また、SNSを通じて積極的にインシデント情報を収集、公開するなど、さまざまな場所でインシデントの早期発見、収束につながる活動をされています。 今回は、特にインシデントコーディネーションに大きく貢献いただいた4組織に感謝状を贈呈させていただきましたが、その他にも多くの報告者の方々に日々ご協力いただいております。JPCERT/CCに報告をくださったすべての方々に、この場を借りて感謝申し上げます。 引き続きJPCERT/CCの活動にご協力いただければと存じます。
	株式会社インターネットイニシアティブ 九州支社 今井 健 様
	ヤフー株式会社 大角 祐介 様
	伊藤忠商事株式会社 IT企画部 ITCCERTの皆様
2019	さくらインターネット株式会社 様	今やクラウドは情報基盤を実現するために不可欠なサービスとも言えますが、一方で、攻撃の踏み台にされるなどサイバー攻撃に悪用されるケースも増えており、クラウドサービス事業者においても、その利用者においても、そうした悪用を防ぐための適切な対策が求められています。 さくらインターネット株式会社は、そうしたクラウドサービス関係者に対する社会的な要請を、早い段階から大手事業者として重く受けとめられ、JPCERT/CCと連携するなどして、様々な機会を通じて、この問題に対する国内のクラウドサービス事業者の注意を喚起するとともに、個別具体的な課題や対策に関しても、クラウド事業者やインターネットプロバイダ事業者のabuse窓口担当者や技術者が集まるコミュニティで、情報共有に積極的に取り組んでこられました。そうした姿勢が国内のクラウドサービス事業者によるセキュリティ対策を推進することにつながり、業界全体のセキュリティ対策レベルの向上にご貢献いただいています。
	住友化学株式会社 大谷和史様	大谷 和史氏は、石油化学工業協会 情報通信委員会 情報セキュリティWG主査として、石油化学業界関係者のセキュリティに対する認識を高めることに尽力されてきました。 JPCERT/CCが2015年に石油化学工業協会と日本化学工業協会の協力を得て合同で行った、会員各社に対する制御システムのセキュリティ調査に際しては、主査の立場から多大なご協力を賜り、充実した調査成果を得ることができました。また、2016年にJPCERT/CCが開催した制御システムセキュリティカンファレンスでは、「制御システムセキュリティへの取組み」に関するご講演をいただき、参加者からも高い評価を頂きました。 さらに、JPCERT/CCのアプローチによって制御システムセキュリティに新たに取り組まれる企業様に対して、先行事例をご紹介いただいたり、JPCERT/CCが作成した調査レポートの原稿をレビューいただくなど、制御システム・セキュリティに関する経験や知見を惜しみなくご提供頂いています。
2018	フィッシング対策協議会 内田 勝也様 野々下 幸治様	内田氏ならびに野々下氏は、フィッシング対策協議会(※)の設立の翌年2006年から現在まで、同協議会のフィッシング対策を検討するワーキンググループの主査、副主査としてご活動されています。2006年にワーキンググループにてフィッシング対策の技術動向や制度等についての調査を実施し、その結果をまとめた「フィッシング対策における技術・制度調査報告書」は、現在も毎年改訂を行っている「フィッシング対策ガイドライン」の礎となりました。「フィッシング対策ガイドライン」はフィッシング対策の指針として、金融機関やEC業界などさまざまな組織で有効活用されています。また、2013年からは、一般消費者に向けた「インターネットバンキングの不正送金被害にあわないためのガイドライン」の策定に中心になって取り組まれるなど、長年にわたって日本国内全体のフィッシング被害の低減に貢献されています。 (※)フィッシング対策協議会： 日本国内におけるフィッシング詐欺被害の抑制を目的として2005年4月に発足。フィッシング詐欺の事例や対策技術に関する情報の収集、および緊急情報や各種ガイドライン「フィッシング対策ガイドライン」や「利用者向けフィッシング詐欺対策ガイドライン」、「フィッシングレポート」を毎年作成・公開し、フィッシング対策の普及啓発活動に取り組んでいる。 内田 勝也 氏（情報セキュリティ大学院大学 名誉教授） 2007年から現在まで、フィッシング対策協議会のフィッシング被害にあわないための対策等を検討するワーキンググループの主査を務めている 野々下 幸治 氏（トレンドマイクロ株式会社　セキュリティエキスパート本部　エンタープライズCSM部　シニアプリンシパルカスタマーサービスマネージャー） 2006年から現在まで、フィッシング対策協議会のフィッシング被害にあわないための対策等を検討するワーキンググループの主査、および副主査を務めている
	株式会社アイ・オー・データ機器 島田 康晴様	株式会社アイ・オー・データ機器は、国内における一般消費者向けのデジタル家電周辺機器ベンダーとして自社製品のセキュリティ向上に積極的に取り組み、自ら発見した脆弱性を届けて公表し、広くユーザに周知するなど被害の拡大を防ぐ活動を行っています。 島田氏は、株式会社アイ・オー・データ機器の POC（Point of Contact: 組織の窓口）として、2016年ころから問題となっていたIoT機器を対象にしたボットネットに関して届け出をいただくなどJPCERT/CCの活動に協力いただくとともに、自社製品の脆弱性への取り組みについて対外的に発表を行っています。 自社製品の脆弱性の開示は製品販売上、不利に働く可能性もあるため、消極的な開発者も多い中、積極的に情報開示を行うなど、国内の業界全体のレベル向上に貢献されています。
2017	株式会社クルウィット 島村 隼平様	左： JPCERT/CC 歌代、右：株式会社クルウィット 島村様 国立研究開発法人情報通信研究機構（NICT）のNICTERプロジェクト(※)に分析官として10年以上携わっておられ、セキュリティ上の脅威となる脆弱性の探索や攻撃活動等、トラフィックの特異な動きをいち早く検知・分析した結果を長きに渡ってJPCERT/CCや関係のコミュニティ（定点観測友の会）に提供いただいてきました。また、以前よりIoT機器を含むさまざまな脅威を認識し、分析を深めてこられた島村氏は、2016年に大規模なボットネットの構築により、世界中のユーザが影響を受けたマルウエア「Mirai」の分析においても有用な情報を提供いただきました。なかでも、マルウエアの特徴や影響を受ける機器に関する情報は、感染機器の発見や設置されているネットワーク管理者または影響を受ける製品ベンダへの連絡につながるなど、多岐に渡り国内の被害低減に貢献されました。 ※NICTERプロジェクト： NICTが立ち上げたNetwork Incident analysis Center for Tactical Emergency Response (NICTER）は、コンピュータネットワーク上で発生する様々な情報セキュリティ上の脅威を広域で迅速に把握し、有効な対策を導出するための複合的なシステム。サイバー攻撃の観測やマルウエアの収集などによって得られた情報を相関分析し、その原因を早期に検出し、迅速かつ実効的な対策を導き出すことを目的としたプロジェクトである
	Recruit-CSIRT 様	日本の組織を標的とする高度なAPT攻撃の対応において、自社で確認した攻撃の詳細な情報をいち早く共有いただいたことで、タイムリーな注意喚起や早期警戒情報の発行につながるなど、被害の拡大を防止する活動に大きく貢献いただきました。また、攻撃の中で確認されたソフトウエアの脆弱性や、自社内の調査で発見した国内のソフトウエアに関する脅威度の高い脆弱性について詳細な分析レポートを提供いただき、脆弱性関連情報の公表をはじめとしたJPCERT/CCの脆弱性情報ハンドリングに寄与いただきました。
2016	東芝インフォメーションシステムズ株式会社 柏村 卓哉様	東芝グループの情報セキュリティ関連業務に携わっておられ、日々の業務で確認された様々な攻撃に関する情報などを提供いただいてきました。特に、昨今国内でも大きな被害が発生しているランサムウエアやバンキングトロージャンへ誘導するWeb改ざんについては、いち早く共有いただくとともに、継続的に情報を提供いただいています。これらの情報は、攻撃の変化や全体像の把握につながるなど、JPCERT/CCのインシデント対応業務に深く貢献いただきました。
2015	サイボウズ株式会社 Cy-SIRT様	自社製品に関する脆弱性情報の届出および脆弱性情報のポータルサイト（JVN）での公表に積極的な製品開発者が未だ少数に留まるなか、「製品開発者による自社製品の脆弱性届出」の約40%にあたる届出をCy-SIRT殿からいただきました。また、これら届けていただいた脆弱性情報をJVN上で広くお知らせする活動を通して、製品利用者のサイバー攻撃による被害の抑止、IT利用の安全性の確保にご協力をいただきました。
	横河電機株式会社 YOKOGAWA PSIRT様	制御システムにおけるセキュリティが重要視される近年、制御システムに関する脆弱性情報ハンドリングや情報公表など数々の課題に積極的に取り組み、そのあり方を体現することによって、業界関係者の模範となる活動を実践していただきました。昨年度の制御製品に関する自社届出案件等、制御システムセキュリティ分野における先進的な活動をもって脆弱性情報ハンドリングのスキームにご協力いただきました。
2014	加藤孝浩様 トッパン・フォームズ株式会社	JPCERT/CCが事務局を担当するフィッシング対策協議会において、運営委員会設立当初(2012年)から現在に至るまで運営委員長として、運営委員会の円滑な運営及び活性化にご尽力いただき、協議会を通じたフィッシング対策活動を強力に牽引していただきました。また、ガイドライン策定ワーキンググループにて、各ガイドラインの策定や改訂などの実務面においても多大なご協力いただきました。
	モルスナー・ミヒャエル様 株式会社カスペルスキー	Webサイト改ざんに関する分析・調査の専門家として活躍される一方で、日本国内でのWebサイト改ざんに関して、Web サイト管理者の方へ自ら連絡し、その被害拡大防止に長年にわたり多大な尽力をされています。同時にJPCERT/CCにも情報提供をいただき、JPCERT/CCのインシデント対応調整業務において状況の判断に欠かせない価値の高い情報となっています。また、その情報はJPCERT/CCによる脅威動向の分析や、注意喚起やセミナーにおける啓発活動などにおいても活用させていただいいています。

 

 

米国 CISAもCrowdStrikeの更新の問題について情報提供をしていますね...はやい...

こんにちは、丸山満彦です。

Windowsがブルースクリーンになると話題になっている問題について、原因はどうやらCrowdStrikeのUpdateのようなのですが、CISAが状況についての情報提供をしていますね... Five Eyesは連携していますね...

はやい...

● CISA

・2024.07.19 Widespread IT Outage Due to CrowdStrike Update

 

Widespread IT Outage Due to CrowdStrike Update	CrowdStrikeのアップデートによる広範なIT障害
Note: CISA will update this Alert with more information as it becomes available.	注：CISAは詳細情報が入り次第、本アラートを更新する。
Update 7:30 p.m., EDT, July 19, 2024:	米国東部夏時間 2024年7月19日午後7時30分更新：
The CrowdStrike guidance is updated with additional guidance regarding impacts to specific environments, e.g., Azure, AWS.	CrowdStrikeのガイダンスが更新され、AzureやAWSなど特定の環境への影響に関するガイダンスが追加された。
For additional information:	追加情報
Update from the United Kingdom's National Cyber Security Centre (NCSC-UK)	英国国家サイバーセキュリティセンター（NCSC-UK）からのアップデート
Update from the Australian Cyber Security Centre (ACSC)	オーストラリア・サイバーセキュリティセンター（ACSC）からのアップデート
Update from the Canadian Centre for Cyber Security (CCCS)	カナダ・サイバー・セキュリティ・センター（CCCS）の最新情報
Threat actors continue to use the widespread IT outage for phishing and other malicious activity. CISA urges organizations to ensure they have robust cybersecurity measures to protect their users, assets, and data against this activity.	脅威行為者は、広範囲に及ぶITの停止をフィッシングやその他の悪意ある活動のために利用し続けている。CISAは組織に対し、このような活動からユーザー、資産、データを保護するための強固なサイバーセキュリティ対策を確保するよう促している。
CISA continues to monitor the situation and will update this Alert to provide continued support.	CISAは引き続き状況を監視し、このアラートを更新して継続的な支援を提供する。
Initial Alert (11:30 a.m., EDT, July 19, 2024):	最初のアラート （米国東部夏時間 2024年7月19日午前11時30分）：
CISA is aware of the widespread outage affecting Microsoft Windows hosts due to an issue with a recent CrowdStrike update and is working closely with CrowdStrike and federal, state, local, tribal and territorial (SLTT) partners, as well as critical infrastructure and international partners to assess impacts and support remediation efforts. CrowdStrike has confirmed the outage:	CISAは、CrowdStrikeの最近のアップデートの問題によりMicrosoft Windowsホストに広範な障害が発生していることを認識しており、CrowdStrikeおよび連邦、州、地方、部族、準州（SLTT）のパートナー、重要インフラ、海外のパートナーと緊密に連携し、影響を評価し、修復作業を支援している。CrowdStrikeは障害を確認した：
Impacts Windows 10 and later systems.	Windows 10以降のシステムに影響する。
Does not impact Mac and Linux hosts.	MacおよびLinuxホストには影響しない。
Is due to the CrowdStrike Falcon content update and not to malicious cyber activity.	CrowdStrike Falconのコンテンツアップデートによるものであり、悪意のあるサイバー活動によるものではない。
According to CrowdStrike, the issue has been identified, isolated and a fix has been deployed. CrowdStrike customer organizations should reference CrowdStrike guidance and their customer portal to resolve the issue.	CrowdStrikeによると、問題は特定され、分離され、修正プログラムが導入された。CrowdStrikeの顧客組織は、この問題を解決するためにCrowdStrikeのガイダンスと顧客ポータルを参照する必要がある。
Of note, CISA has observed threat actors taking advantage of this incident for phishing and other malicious activity. CISA urges organizations and individuals to remain vigilant and only follow instructions from legitimate sources. CISA recommends organizations to remind their employees to avoid clicking on phishing emails or suspicious links.	なお、CISAは、脅威行為者がこのインシデントを利用してフィッシングやその他の悪意のある活動を行っていることを確認している。CISAは、組織と個人に対し、警戒を怠らず、合法的な情報源からの指示にのみ従うよう促している。CISAは、フィッシング・メールや不審なリンクをクリックしないよう従業員に注意を促すよう組織に推奨している。

 

 

---

 

● CrowedStrike

・2024.07.19 Statement on Falcon Content Update for Windows Hosts

 

 

 

米国のハイテク企業の団体である情報技術産業協会 (ITI) がEUのAI政策についてご意見しています

こんにちは、丸山満彦です。

欧州は、欧州の価値が米国を含む外部から侵されるのは、欧州の結合を緩めることにもつながるので、嫌なのかもしれませんね...しかし、米国も商売ですから、うまくやっていきたいと考えているのでしょうね...ある意味、駆け引き、外交ということなのかもしれません...

・EUの法体系が複雑なのでビジネスがやりにくい、もっとわかりやすくしてくれ

・私たちとももっと会話をしてくれ

・規制については米国との相互運用性を高めて欲しい

・EUの発展のために米国IT企業も協力するよ

というかんじですかね...

Letter SizeではなくA4でPDFにしていますね...

 

● Information Technology Industry Council; ITI

・2024.07.10 ITI Vision 2030: Global tech trade association outlines competitive future for EU AI policy and AI Act implementation

ITI Vision 2030: Global tech trade association outlines competitive future for EU AI policy and AI Act implementation	ITIビジョン2030：世界的なハイテク業界団体、EUのAI政策とAI法実施に向けた競争力のある将来像を示す
BRUSSELS – Today, global tech trade association ITI, the Information Technology Industry Council, has outlined its Vision for the Future of EU AI Policy and the implementation of the EU AI Act.	ブリュッセル発 - 本日、世界的なハイテク業界団体であるITI（情報技術産業協会）は、EUのAI政策とEU AI法の実施に向けた将来像の概要を発表した。
Supporting AI development and adoption must be a fundamental public policy goal for the EU in the coming mandate. For this reason, ITI has put forward four strategic priorities:	AIの開発と導入を支援することは、今後EUに課される基本的な公共政策の目標でなければならない。このため、ITIは4つの戦略的優先事項を提唱している：
・Successfully implement the AI Act by promoting legal clarity, cohesion of the Single Market and streamlining overlaps with other digital legislations.	・法の明確化、単一市場の結束、他のデジタル法制との重複の合理化を推進することにより、AI法を成功裏に実施する。
・Build a successful and ambitious AI Office by promoting transparent and effective dialogue with industry stakeholders.	・業界関係者との透明で効果的な対話を促進することにより、成功裏に野心的なAI事務局を構築する。
・Increase International Cooperation on AI by supporting regulatory interoperability and leveraging international standards.	・規制の相互運用性を支援し、国際標準を活用することにより、AIに関する国際協力を強化する。
・Support enablers for AI Innovation, including digital skills, data flows and innovative data storage solutions.	・デジタル・スキル、データの流れ、革新的なデータ・ストレージ・ソリューションなど、AIイノベーションのためのイネーブラーを支援する。
“As the AI Act enters into force, its successful implementation will be key for the future EU competitiveness on this technology.” said ITI Senior Policy Manager for Europe Marco Leto Barone. “The EU must now work towards providing much needed legal certainty in close dialogue with industry, promote global regulatory interoperability and support enablers for AI innovation.”	「AI法の施行に伴い、その成功裏の実施は、この技術に関する将来のEUの競争力にとって重要な鍵となる」と、ITI欧州担当シニア・ポリシー・マネジャーのマルコ・レト・バローネ氏は述べた。「EUは今後、産業界との緊密な対話を通じて、必要とされる法的確実性をプロバイダとして提供し、グローバルな規制の相互運用性を促進し、AI技術革新のイネイブラーを支援しなければならない」と述べた。

 

・[PDF] ITI Vision 2030: EU Artificial Intelligence Policy - Tech Sector Views on How to Successfully Implement the AI Act and Boost AI Innovation in Europe 

 

ITI Vision 2030: EU Artificial Intelligence Policy	ITIビジョン2030：EUの人工知能政策
Tech Sector Views on How to Successfully Implement the AI Act and Boost AI Innovation in Europe	AI法を成功裏に実施し、欧州におけるAIイノベーションを促進する方法に関するハイテク業界の見解
ITI – The Information Technology Industry Council is the global trade association of the tech industry, representing 80 of the world’s most innovative technology companies. ITI members operate across the AI value chain, including leading AI developers, deployers and providers of infrastructure. ITI members invest and create jobs in Europe and significantly contribute to the European economy and to the EU’s digitalization goals.	ITI - 情報技術産業協会（ITI）は、世界で最も革新的なテクノロジー企業80社の代表者を擁するハイテク業界の世界的な業界団体である。ITI会員は、AI開発、デプロイ、インフラプロバイダーなど、AIのバリューチェーン全体にわたって活動している。ITI会員は欧州で投資と雇用を創出し、欧州経済とEUのデジタル化目標に大きく貢献している。
What’s ITI Vision 2030?	ITIビジョン2030とは？
ITI Vision2030[1] is ITI’s manifesto for the next mandate of the European Union. To ensure innovators can thrive and create new opportunities for all Europeans, ITI’s Vision 2030 outlines measures policymakers can take to support and achieve Europe’s digitalization goals.	ITI Vision2030[1]は、EUの次期政権に対するITIのマニフェストである。イノベーターが活躍し、すべての欧州人に新たな機会を創出できるようにするため、ITIのビジョン2030は、欧州のデジタル化目標を支援し達成するために政策立案者が取るべき措置を概説している。
Europe needs a strategic vision for the future of its technology policy to reap the benefits of technological innovation, attract much-needed investments, and meet its 2030 Digital Targets. The future EU technology policy must pursue this objective by addressing obstacles that are holding back the EU’s innovation potential and competitiveness, such as regulatory complexity, reduced investments,[2] and lack of sufficient digital skills.	技術革新の恩恵を享受し、必要とされる投資を誘致し、2030年デジタル目標を達成するために、欧州は技術政策の将来に対する戦略的ビジョンを必要としている。将来のEU技術政策は、規制の複雑さ、投資の減少[2]、十分なデジタルスキルの不足など、EUの技術革新の可能性と競争力を妨げている障害に対処することによって、この目標を追求しなければならない。
To this end, ITI Vision 2030 contains six Strategic Priorities and a Call for Action with ten concrete recommendations for EU policymakers in the next mandate. It also contains a Scorecard with an evaluation of the impact of key EU tech policies on Europe’s attractiveness for investments. This document further explores how these priorities can be pursued in the field of Artificial Intelligence (AI).	この目的のために、ITIビジョン2030には、6つの戦略的優先事項と、EUの政策立案者に向けた次の指令における10の具体的提言を含む行動要請が含まれている。また、EUの主要なハイテク政策が欧州の投資魅力に与える影響を評価したスコアカードも含まれている。本書ではさらに、これらの優先事項を人工知能（AI）分野でどのように追求できるかを探っている。
ITI’s Vision for the Future of EU AI Policy	EUのAI政策の将来に対するITIのビジョン
AI is a profoundly transformative technology which will bring about tremendous benefits for our societies and economies. AI will enhance productivity, efficiency and accelerate scientific discovery and can help address the most pressing challenges of our time.	AIは、私たちの社会と経済に多大な恩恵をもたらす大変革的な技術である。AIは、生産性、効率性を高め、科学的発見を加速させ、現代における最も差し迫った課題に対処する助けとなる。
At a time of acute global challenges, including geopolitical tensions, climate instability and demographic change, enabling governments and organizations to leverage AI is a strategic competitive advantage for Europe. Supporting AI development and adoption must thus be a fundamental public policy goal for the EU in the coming mandate.	地政学的緊張、気候変動、人口動態の変化など、世界的な課題が山積している現在、政府や組織がAIを活用できるようにすることは、欧州にとって戦略的な競争上の優位性となる。したがって、AIの開発と導入を支援することは、EUにとって、今後課される基本的な公共政策の目標でなければならない。
The European Commission’s 2023 report on the State of the Digital Decade[3] indicates that Europe is not on track to reach the EU target of 75% of companies adopting AI, cloud, and big data by 2030. The lack of a sufficiently skilled workforce further increases difficulties in meeting these targets. These are clear signals that more is needed to enable AI uptake and stimulate AI innovation in Europe.	欧州委員会の「デジタルの10年の現状に関する2023年報告書」[3]によると、欧州は、2030年までにAI、クラウド、ビッグデータを導入する企業を75%にするというEUの目標に到達していない。十分に熟練した労働力の不足は、これらの目標を達成する困難をさらに高めている。これらは、欧州でAIを導入し、AIイノベーションを促進するためには、さらなる取り組みが必要であるという明確なシグナルである。
At the same time, the last EU mandate focused on a comprehensive technology regulation agenda, introducing new, oftentimes unprecedented, requirements on technology companies. Notably in the field of AI, the newly passed EU AI Act provides an ambitious example for AI regulation and for managing potential risks stemming from the use of AI in certain contexts. While the finalization of the AI Act is an important milestone for the EU, ensuring that its implementation is effective, practical, predictable, and conducive to innovation must be a priority in the new mandate.	同時に、前回のEU指令では、包括的な技術規制のアジェンダに重点が置かれ、技術系企業に対する新たな、時には前例のない要件が導入された。特にAIの分野では、新たに可決されたEUのAI法が、AI規制と、特定の文脈におけるAIの使用から生じる潜在的リスクのマネジメントについて、野心的な例を示している。AI法の最終決定はEUにとって重要なマイルストーンであるが、その実施が効果的で、実用的で、予測可能で、イノベーションに資するものであることを保証することが、新たな任務における優先事項でなければならない。
The AI Act will not be the only regulation applying to AI: it will coexist with other EU regulations such as the GDPR, cybersecurity regulations, the newly adopted Digital Services Act, the GPSR, the Copyright Directive as well as sectoral regulations such as those for Medical Devices and Machinery. These regulations will be enforced by different authorities, and implementation at national level may diverge. In addition to that, the new Product Liability Directive and potentially the proposed AI Liability Directive will further increase AI companies’ liability exposure.	AI法は、AIに適用される唯一の規制ではない。GDPR、サイバーセキュリティ規制、新たに採択されたデジタルサービス法、GPSR、著作権指令、さらには医療機器や機械などの分野別規制など、他のEU規制と共存することになる。これらの規制はそれぞれ異なる認可機関によって施行されるため、国レベルでの実施は異なる可能性がある。加えて、新たな製造物責任指令と潜在的に提案されているAI責任指令は、AI企業の責任エクスポージャーをさらに増大させるだろう。
The resulting legal framework is complex, fragmented, and uncertain. Businesses of all sizes cite regulatory complexity as an obstacle to investments and AI adoption.[4]  The next EU mandate should thus pursue an ambitious agenda aimed at strategically addressing these barriers to AI adoption, investments, and innovation. As part of this effort, it must provide legal clarity to businesses, ensure predictable implementation of EU laws across the Single Market, guide business compliance efforts as well as support digital skills.	その結果、法的枠組みは複雑かつ断片的で不確実なものとなる。あらゆる規模の企業が、投資やAI導入の障害として規制の複雑さを挙げている[4]。したがって、次期EU指令は、AI導入、投資、イノベーションに対するこうした障壁に戦略的に対処することを目的とした野心的なアジェンダを追求すべきである。この努力の一環として、企業に法的明確性を提供し、単一市場全体におけるEU法の予測可能な実施を確保し、企業のコンプライアンス努力を導くとともに、デジタルスキルを支援しなければならない。
Below, we provide a list of strategic priorities as well as concrete recommendations based on ITI’s Vision 2030 Manifesto for the next EU mandate, which must guide EU institutions’ approaches to AI policy in the next mandate.	以下では、戦略的優先事項のリストと、ITIの「ビジョン2030マニフェスト」に基づく具体的な提言を示す。
Strategic Priority 1: Implementation	戦略的優先事項1：実施
› Ensure Coordinated Implementation of the EU AI Act Across the Single Market	単一市場全体におけるEU AI法の協調的実施を確保する
EU Member States will be in charge of the enforcement and implementation of most of the AI Act, including the provisions on high-risk AI systems. The AI Act leaves Member States discretion to appoint different types of market surveillance authorites and other national competent authorities. Member States are currently taking different approaches, by creating new authorities or by leveraging existing ones (such as consumer protection or telecoms regulators).	EU加盟国は、リスクの高いAIシステムに関する規定を含め、AI法のほとんどの施行と実施を担当する。AI法は、加盟国に対し、さまざまな種類の市場監視認可機関やその他の国家管轄当局を任命する裁量権を残している。加盟国は現在、新たな当局を設立したり、既存の当局（消費者保護や電気通信規制当局など）を活用するなど、さまざまなアプローチをとっている。
This fragmented landscape risks leading to divergent national interpretations and legal complexity, which will impact businesses of all sizes in the Single Market. To minimize this risk, Member States and the Commission must prioritize EU-level coordination of enforcement and implementation activities. Meaningfully and ambitiously leveraging the structures introduced in the EU AI Act will be crucial to increase coordination and successfully implementing the AI Act. In particular, Member States should pursue aligned approaches and common understanding in the AI Board. The EU AI Office must also ambitiously use its coordination role to provide guidelines to regulators and businesses, facilitate information exchange and increase collaboration between national and sectoral authorities.	このように細分化された状況は、各国の解釈の相違や法律の複雑さにつながるリスクがあり、単一市場内のあらゆる規模の企業に影響を与えるだろう。このリスクを最小化するために、加盟国と欧州委員会は、施行と実施活動のEUレベルでの調整を優先させなければならない。EUのAI法に導入された仕組みを有意義かつ意欲的に活用することは、調整を強化し、AI法の実施を成功させるために極めて重要である。特に加盟国は、AI委員会における一致したアプローチと共通の理解を追求すべきである。また、EU AI事務局は、規制当局や企業にガイドラインを提供し、情報交換を促進し、各国・各分野の当局間の協力を強化するために、その調整の役割を意欲的に活用しなければならない。
› Assess and Streamline Legal and Regulatory Overlaps	法的・規制的重複のアセスメントと合理化
The regulatory environment impacting AI in Europe is increasingly complex. The newly passed AI Act will coexist with a multiplicity of other requirements and competent authorities under EU law, which AI developers and deployers will have to apply concurrently. These include the GDPR, cybersecurity rules in the CRA and NIS 2, algorithmic transparency rules in the DSA, the GPSR, the DMA, sectoral laws such as the Machinery, Medical Devices or In Vitro Diagnostic Regulations, Copyright rules, Product Liability and AI Liability.	欧州のAIに影響を与える規制環境はますます複雑化している。新たに成立したAI法は、EU法に基づく他の多くの要件や管轄当局と共存することになり、AIの開発者や導入者はこれらを同時に適用しなければならなくなる。これらには、GDPR、CRAおよびNIS 2におけるサイバーセキュリティ規則、DSA、GPSR、DMAにおけるアルゴリズム透明性規則、機械規則、医療機器規則、体外診断規則などのセクター法、著作権規則、製造物責任、AI責任などが含まれる。
This complexity makes enforcement activities less predictable, especially where multiple authorities are involved and enforcing different pieces of legislation impacting AI. In turn, it increases the difficulty of companies’ compliance efforts, especially in a quickly evolving area like AI governance, and could harm the competitiveness of Europe’s AI ecosystem. To streamline potential legal overlaps and complexity, the next EU mandate should:	このような複雑さは、特に複数の認可当局が関与し、AIに影響を与えるさまざまな法律を執行する場合、執行活動の予測性を低下させる。ひいては、特にAIガバナンスのように急速に発展する分野では、企業のコンプライアンス努力の難易度を高め、欧州のAIエコシステムの競争力に悪影響を及ぼす可能性がある。潜在的な法律の重複や複雑さを合理化するために、EUの次期指令は以下のことを行うべきである：
•       Conduct an ambitious assessment of the digital legislation applying to AI, with the aim to identify and map legal overlaps and potential enforcement conflicts. This assessment can be used to provide further compliance guidance to businesses, to promote coordination of different enforcement authorities as well as to inform future EU policymaking.	・AIに適用されるデジタル法制の野心的なアセスメントを実施し,法的重複や潜在的な執行上の矛盾を特定・マッピングする。このアセスメントは,企業へのコンプライアンス指針の提供,異なる執行当局の調整の促進,EUの今後の政策立案への情報提供に利用できる。
•       A similar assessment is needed for proposals that are yet to be approved. For example, the interplay between the revised Product Liability Directive (PLD) and the proposed AI Liability Directive (AILD) must be further explored.[5] In absence of clear legal gaps and given the recent approval of the PLD, the Commission should consider withdrawing the proposal.	・まだ承認されていない提案についても、同様のアセスメントが必要である。例えば、改正製造物責任指令（PLD）と提案されているAI責任指令（AILD）の相互作用について、さらに検討する必要がある[5]。明確な法的ギャップがなく、PLDが最近承認されたことを考慮すると、欧州委員会は同提案の撤回を検討すべきである。
•       The Commission and Member States must pursue increased coordination between different authorities enforcing EU AI and digital legislation. For example, the creation of an ad-hoc forum of EU-level bodies and authorities coordinating the enforcement of the EU AI Act, DSA, DMA, GDPR, GPSR and cybersecurity legislation could help prevent regulatory complexity, increase coordination and strengthen the cohesion of the Single Market.	・欧州委員会と加盟国は,EUのAIおよびデジタル関連法を執行するさまざまな当局間の連携を強化することを追求しなければならない。例えば,EU AI法,DSA,DMA,GDPR,GPSR,サイバーセキュリティに関する法律の施行を調整するEUレベルの団体や当局によるアドホック・フォーラムを認可することは,規制の複雑化を防ぎ,協調を強化し,単一市場の結束を強化するのに役立つだろう。
› Provide Timely and Robust Implementation Guidance to Businesses	企業に対し、タイムリーかつ強力な実施ガイダンスを提供する
The EU should launch a programme to follow-up on recently adopted digital legislation with the goal to guide business in Europe in their compliance efforts. This is particularly important for AI governance, considering that companies will be facing not only a large number of new laws, but also that many of them are entirely new and groundbreaking in nature.	EUは、最近採択されたデジタル法制をフォローアップするプログラムを立ち上げ、欧州における企業のコンプライアンスへの取り組みを指導することを目的とすべきである。これは、企業が多数の新しい法律に直面するだけでなく、その多くがまったく新しく画期的なものであることを考慮すると、AIガバナンスにとって特に重要である。
•       The Commission and the AI Office are tasked with developing several interpretation and compliance guidelines under the EU AI Act, on some of the key parts of the Regulation. These include the classification of high-risk AI systems, the definition of AI, the interplay with sectoral regulations and the banned practices.	・欧州委員会とAI室は,EUのAI法に基づき,同規則の主要部分のいくつかについて,いくつかの解釈およびコンプライアンス・ガイドラインを作成する任務を負っている。これには,リスクの高いAIシステムの分類,AIの定義,分野別規制との相互関係,禁止されている慣行などが含まれる。
o   Given how some AI Act requirements will start applying already in 2025 (for example the banned practices), it will be crucial to provide clear and comprehensive guidelines as soon as possible.  o In line with the Act’s risk-based approach, implementation should recognize diversity of AI use cases and avoid one-size-fits-all approaches, for example when it comes to the specificities of enterprise AI in B2B contexts.	o AI法の要求事項の中には、2025年にすでに適用が開始されるもの（例えば禁止される慣行）もあることから、できるだけ早く明確で包括的なガイドラインを提供することが重要である。
o   Industry must be systematically involved and consulted for the development of these guidelines to leverage available expertise and ensure new rules work in practice. Consultation should include existing sectoral stakeholder bodies – for example the Medical Device Coordination Group (MDCG) in the medical sector.	o 産業界は、利用可能な専門知識を活用し、新たなルールが実際に機能することを保証するために、これらのガイドラインの策定に体系的に関与し、協議されなければならない。協議には、例えば医療分野の医療機器調整グループ（MDCG）のような、既存の分野別利害関係団体を含めるべきである。
•       Authorities should also provide guidance for companies to navigate all rules applicable to AI beyond the AI Act and ensure the legal framework is clear, agile and streamlined, without overlaps and conflicts. Particular guidance is needed on the interplay between the EU AI Act and the GDPR, for example on issues like data minimization, accuracy and bias mitigation.	・認可当局はまた,企業がAI法を超えてAIに適用されるすべての規則をナビゲートするためのガイダンスを提供し,重複や抵触のない,明確で機動的かつ合理的な法的枠組みを確保すべきである。例えば,データの最小化,正確性,バイアスの低減といった問題に関して,EUのAI法とGDPRの相互関係について,特にガイダンスが必要である。
Strategic Priority 2: Building a Successful AI Office	戦略的優先事項2：成功するAI事務局の構築
› Ensure Timely Set Up and Sufficient Funding for the Office	事務局のタイムリーな設立と十分な資金を確保する
The establishment of the AI Office offers a unique opportunity to build an innovative and agile governance structure, which is key for the successful implementation of the EU AI Act. Its tasks will range from the direct supervision of General Purpose AI (GPAI) Models, to crucially important coordination, guidance and implementation support roles, as well as international engagement.	AI事務局の確立は、革新的で機敏なガバナンス構造を構築するまたとない機会を提供する。その任務は、汎用AI（GPAI）モデルの直接的な監督から、極めて重要な調整、指導、実施支援の役割、さらには国際的な関与まで多岐にわたる。
With some of the AI Act obligations kicking in as early as in 2025, it is fundamental to ensure the Office is fully operational as soon as possible to provide much-needed legal certainty, launch priority work streams and support AI innovators. To that end, the next EU mandate must ensure sufficient funding and staffing that can support the Office’s functioning and its ambition.	AI法の義務の一部は、早ければ2025年に開始されるため、同局をできるだけ早く完全に稼働させ、必要とされる法的確実性を提供し、優先的な作業の流れを立ち上げ、AIイノベーターを支援することが重要である。そのためには、EUの次期指令は、事務局の機能とその野心を支えることができる十分な資金と人員を確保しなければならない。
› Prioritize Robust Industry Engagement in the AI Office	AI事務局における産業界の積極的関与を優先する
The AI Office will directly enforce the AI Act’s provisions on GPAI Models. In particular, the upcoming work on the Codes of Practice for GPAI Models and generative AI, as well as the template for the summary of training data will be important to build practical, flexible and innovation-friendly compliance tools for developers of GPAI models.	AI事務局は、GPAIモデルに関するAI法の規定を直接執行する。特に、GPAIモデルと生成的AIに関する実施規範、および訓練データの要約のテンプレートに関する今後の作業は、GPAIモデルの開発者にとって実用的で柔軟性があり、イノベーションに適したコンプライアンスツールを構築する上で重要となる。
Given the emerging and evolving nature of the state of the art of the technology, collaboration between the AI Office and the companies that will have to implement these measures must be a central component of these activities, and must be prioritized.	技術の現状が新興的で進化していることを考慮すると、AI事務局とこれらの対策を実施しなければならない企業との協力は、これらの活動の中心的な要素でなければならず、優先されなければならない。
The Codes will need to be ready within 9 months from the expected entry into force of the EU AI Act in the summer of 2024. To ensure meaningful dialogue and cooperation, the AI Office must:	コードは、2024年夏に予定されているEU AI法の発効から9ヶ月以内に準備する必要がある。有意義な対話と協力を確保するため、AI事務局は以下を行わなければならない：
•       Facilitate collaboration and actively involve impacted industry from the start;	・協力を促進し、影響を受ける業界を最初から積極的に関与させる；
•       Work with industry to develop clear timelines and a roadmap of expected milestones as soon as possible;	・産業界と協力して、明確なタイムラインと予想されるマイルストーンのロードマップを早急に作成する；
•       Work with industry to clarify as soon as possible the processes and structures that will support the drawing up of the Codes of Practice and other deliverables.	・産業界と協力し,実施規範およびその他の成果物の作成を支援するプロセスおよび体制を早急に明確化する。
› Ensure Broad Representation in Key Advisory Bodies	主要諮問団体における幅広い代表の確保
The final EU AI Act sets up a number of bodies with important advisory functions needed for the successful implementation of the AI Act:	最終的なEUのAI法は、AI法を成功裏に実施するために必要な重要な諮問機能を持つ団体を多数設置している：
•       The Advisory Forum can play an important role in creating meaningful dialogue between the stakeholder community, the Commission and the AI Board. To ensure its effectiveness in support of the implementation of the AI Act, it will be crucial to ensure adequate and diverse representation from industry in this body, including non-EU headquartered organizations.	・諮問フォーラムは,利害関係者コミュニティ,欧州委員会,AI委員会の間で有意義な対話を行う上で重要な役割を果たすことができる。顧問フォーラムは,利害関係者コミュニティー,欧州委員会,AI理事会の間で有意義な対話を生み出す重要な役割を果たすことができる。AI法の実施を支援する上でその実効性を確保するためには,この団体に,EU域外に本部を置く団体を含め,産業界から適切かつ多様な代表を確保することが極めて重要である。
•       The Scientific Panel of Independent Experts will provide advice on issues related to GPAI models and systems, including on their classification, benchmarking tools and methodologies as well as systemic risks. According to the AI Act, experts in the panel will have to be independent from any providers of GPAI systems or models.	・独立専門家科学パネルは,GPAIモデルやシステムの分類,ベンチマークツールや手法,システミックリスクなどに関する問題について助言を提供する。AI法によれば,パネルの専門家は,GPAIシステムやモデルのプロバイダから独立していなければならない。
o Given the Panel’s role in the implementation of the EU AI Act and its competence on technical matters, we regret the exclusion of industry from this forum. We suggest ensuring dialogue between the Panel and industry, for example by organizing hearings or consultations.	o EUのAI法の実施におけるパネルの役割と、技術的事項に関するパネルの権限を考慮すると、このフォーラムから産業界が除外されていることは遺憾である。ヒアリングや協議を開催するなど、パネルと産業界の対話を確保することを提案する。
› Enhance Cooperation Between the EU AI Office and its Global Counterparts	EU AI事務局とそのグローバルなカウンターパートとの協力関係を強化する
At the end of the sixth EU-U.S. Trade and Technology Council ministerial in April 2024, the EU and the U.S. announced a commitment to establish a dialogue between the EU AI Office and the US AI Safety Institute. The dialogue is meant to ‘foster scientific information exchange on topics such as benchmarks, potential risks, and future technological trends.’	EUと米国は、2024年4月に開催された第6回EU・米国貿易技術理事会閣僚会合の終了時に、EUのAI事務局と米国のAI安全機構との間に対話を設けることを約束したと発表した。この対話は、「ベンチマーク、潜在的リスク、将来の技術動向などのテーマについて科学的な情報交換を促進する」ことを目的としている。
Increased transatlantic coordination especially on emerging risks and frontier technologies can be extremely helpful to advance alignment in global AI governance discussions, while at the same time supporting innovators on both sides of the Atlantic. For example, diverging definitions of advanced foundation models (GPAI models with systemic risk in the EU AI Act; dual-use foundation models in the US AI Executive Order) or interpretations of emerging risks associated with them, could complicate and undermine companies’ AI governance efforts.	特に新たなリスクやフロンティア技術に関する大西洋を越えた連携を強化することは、グローバルなAIガバナンスの議論において連携を進める上で非常に有益であり、同時に大西洋両岸のイノベーターを支援することにもなる。例えば、先進的な基盤モデル（EUのAI法ではシステミック・リスクを伴うGPAIモデル、米国のAI大統領令ではデュアルユース基盤モデル）の定義や、それらに関連する新たなリスクの解釈が分かれることは、企業のAIガバナンスの取り組みを複雑にし、弱体化させる可能性がある。
Following the announcement, the two sides should formalize and commence this dialogue as soon as possible. Given the focus on technological trends and benchmarks, robust industry engagement on both sides of the Atlantic should accompany this dialogue. In addition, the EU AI Office should aim to establish similar dialogues with other global counterparts to foster broader international cooperation on these issues.	今回の発表を受けて、両者はできるだけ早くこの対話を正式化し、開始すべきである。技術動向とベンチマークに焦点を当てることを考えると、大西洋の両岸における業界の強固な関与がこの対話に付随すべきである。加えて、EU AI事務局は、これらの問題に関してより広範な国際協力を促進するために、他のグローバルなカウンターパートとの同様の対話の確立を目指すべきである。
Strategic Priority 3: Global Cooperation	戦略的優先課題3：グローバルな協力
› Strengthen Global Alignment and Interoperability	グローバルな連携と相互運用性の強化
Increased international coordination will be crucial to enable AI governance globally and  support innovation. AI is developed through global value chains and no region of the world can harness its opportunities in isolation.	AIガバナンスをグローバルに実現し、イノベーションを支援するためには、国際協調の強化が不可欠である。AIはグローバルなバリューチェーンを通じて開発され、世界のどの地域も孤立してその機会を活用することはできない。
As governments around the world increase policy and regulatory activities on AI, interoperable governance frameworks across jurisdictions and like-minded countries will be crucial to support and enable companies’ compliance efforts, facilitate trade and ensure broad availability of new technologies.	世界各国の政府がAIに関する政策や規制を強化する中、企業のコンプライアンス活動を支援・可能にし、貿易を促進し、新技術の幅広い利用可能性を確保するためには、法域や志を同じくする国を超えた相互運用可能なガバナンスの枠組みが不可欠となる。
As part of the efforts to implement the EU AI Act, the EU must continue robust engagement with key partners – for example within the EU-U.S. Trade and Technology Council - and multilateral organizations like the OECD, the G7 or the UN to advance interoperability of global regulatory environments, increase mutual understanding of key concepts relevant to AI governance, and support common global standards.	EU AI法の実施に向けた努力の一環として、EUは、グローバルな規制環境の相互運用性を促進し、AIガバナンスに関連する重要な概念についての相互理解を深め、共通のグローバル標準を支援するために、主要なパートナー（例えば、EU・米国貿易技術理事会など）およびOECD、G7、国連などの多国間組織との強固な関与を継続しなければならない。
› Leverage International Standards for AI Act Compliance	AI法遵守のための国際標準の活用
The EU should map relevant global standardization activities and work towards ensuring these standards can be leveraged for compliance with the EU AI Act. There are many standardization activities that are taking place outside of Europe, such as within ISO/IEC 42001, that can be relevant for the AI Act. A solely regional approach to AI standards will have negative consequences for innovation: it could create divergence and fragmentation of global regulatory environments and it will decrease the ability of European companies to scale and compete globally.	EUは、関連するグローバルな標準化活動をマッピングし、これらの標準がEUのAI法遵守のために活用できるように取り組むべきである。ISO/IEC 42001など、欧州以外の地域でもAI法に関連する標準化活動が数多く行われている。グローバルな規制環境の乖離と分断を生み出しかねず、欧州企業のグローバルな規模拡大と競争力を低下させる。
Moreover, it will be important to ensure coherence among horizontal standards for the EU AI Act and vertical standards developed in specific sectors – such as medical technologies or machinery.	さらに、EU AI法のための水平標準と、医療技術や機械などの特定分野で開発された垂直標準の間の一貫性を確保することも重要である。
› Maximize Recognition of Conformity Assessment Bodies Based in Third Countries	第三国を拠点とする適合性アセスメント団体の最大限の承認
The EU AI Act requires third party conformity assessment for a limited number of high-risk AI systems, with the possibility to extend this requirement to other high-risk AI systems in scope. Conformity assessment for AI systems is a nascent field and there are significant practical concerns regarding how EU Notified Bodies will carry out the task of assessing conformity for the extensive requirements of the regulation. Logistical problems, including lack of expertise and standards, or lack of sufficient designated Notified Bodies, may lead to backlogs for testing bodies, which could significantly slow down the roll-out of certain AI technologies in the EU market.	EUのAI法は、限られた数の高リスクのAIシステムに対してサードパーティによる適合性評価を要求しており、この要求を適用範囲内の他の高リスクのAIシステムにも拡大する可能性がある。AIシステムの適合性評価はまだ始まったばかりの分野であり、EUの被認証団体が規制の広範な要求事項への適合性を評価する作業をどのように行うかについて、現実的に大きな懸念がある。専門知識や標準の不足、あるいは十分な指定被認証団体の不足など、ロジスティクスの問題が試験団体の滞留につながり、EU市場での特定のAI技術の展開が大幅に遅れる可能性がある。
Article 39 of the Act allows for Conformity Assessment Bodies (CABs) based in third countries to carry out the activities of a notified body in cases in which there is an “agreement” in place between the EU and the third country. Recital 127 further specifies that the European Commission should “actively explore” international instruments to facilitate mutual recognition of conformity assessment results, in line with the EU’s commitments under the WTO Technical Barriers to Trade agreement. Maximizing acceptance of test results performed abroad can help addressing some of the logistical problems outlined above.	同法第39条は、EUと第三国との間に「協定」がある場合、第三国に拠点を置く適合性評価団体（CAB）が被認証団体の活動を実施することを認めている。さらに、EU委員会は、WTOの貿易の技術的障害に関する協定におけるEUの約束に沿って、適合性評価結果の相互承認を促進するための国際的な手段を「積極的に検討」すべきであると規定している。海外で実施された試験結果の受け入れを最大化することは、上記のようなロジスティクスの問題のいくつかに対処するのに役立つ。
Given the significance of EU-U.S. trade for AI, the Commission should negotiate with the U.S. a mechanism to enable CABs located in the U.S. to certify AI systems as conforming to relevant AI Act standards, and vice versa. This would reduce logistical barriers, support trade and simplify the placement on the EU market of innovative products.	AIにとってEUと米国の貿易が重要であることを考慮すると、欧州委員会は、米国にある認証機関がAIシステムをAI法の関連標準に適合していると認証できるようにするメカニズムについて米国と交渉すべきである。これは、物流障壁を減らし、貿易を支援し、革新的製品のEU市場への投入を簡素化する。
Strategic Priority 4: Supporting Innovation	戦略的優先課題4： イノベーションの支援
› Enhance Digital Skills	デジタル・スキルの強化
Strengthening the digital skills of the EU’s present and future workforce will contribute to the long-term competitiveness of the EU. The EU and Member States must increase investments in STEM and computer education and training programs for people of all ages, which are necessary to address the growing demand for highly skilled professionals in the EU.	EUの現在および将来の労働力のデジタル・スキルを強化することは、EUの長期的競争力に貢献する。EUおよび加盟国は、あらゆる年齢層の人々に対するSTEMおよびコンピューター教育・訓練プログラムへの投資を拡大しなければならない。これは、EUにおける高度専門職業人に対する需要の高まりに対応するために必要である。
Effective programs in support of digital literacy and AI skills require curricula and training upgrades starting from kindergarten, throughout primary and secondary education. Partnerships between industry and universities must also be leveraged to integrate high-profile digital skills in educational and doctoral programs and support R&D activities. Beyond school-age, investment is also needed for the up-skilling and re-skilling of existing workforce.	デジタルリテラシーとAIスキルを支援する効果的なプログラムには、幼稚園から初等・中等教育を通じてカリキュラムと訓練を改善することが必要である。また、産業界と大学間のパートナーシップを活用し、教育課程や博士課程に注目されるデジタルスキルを統合し、研究開発活動を支援する必要がある。学齢期を超え、既存の労働力のスキルアップと再スキルアップのための投資も必要である。
Programs must take into account inclusivity of underrepresented communities and women to ensure the benefits of the technology are accessible and distributed to all. Finally, the EU should also seek to attract specialists from third countries, including through collaborations between educational institutions, as well as immigration policies.	プログラムは、技術の恩恵が誰にでもアクセスでき、行き渡るようにするため、社会的地位の低いコミュニティや女性の参加性を考慮に入れなければならない。最後に、EUは、移民政策だけでなく、教育機構間の協力も含め、第三国からの専門家の誘致にも努めるべきである。
› Support International Data Flows	国際的なデータの流れを支援する
Robust, accurate and innovative AI will rely on the ability of companies to access diverse datasets. The ability to transfer data between jurisdictions, including sensitive data like health data, will thus be crucial to support AI innovation in Europe. EU policymakers must ensure a stable legal framework that can enable seamless and secure global data flows. This must include swiftly conducting adequacy assessments to steadily grow the list of GDPR-adequate third countries, but also working towards a more scalable and effective global approach to data flows.	ロバストで正確かつ革新的なAIは、企業が多様なデータセットにアクセスできるかどうかにかかっている。したがって、健康データのような機密データを含め、管轄区域間でのデータ転送能力は、欧州におけるAIイノベーションを支援する上で極めて重要となる。EUの政策立案者は、シームレスでセキュアなグローバルデータの流れを可能にする安定した法的枠組みを確保しなければならない。これには、GDPRが適用される第三国のリストを着実に増やすための適切性評価の迅速な実施だけでなく、データフローに対するよりスケーラブルで効果的なグローバルアプローチへの取り組みも含まれる。
› Enable Innovative and Sustainable Data and Data Storage Solutions	革新的で持続可能なデータとデータ保管ソリューションを可能にする
To facilitate AI development in Europe, it will be important to promote sustainable and highcapacity solutions for data centers such as intelligent data storage infrastructure, hardware and cloud-based solutions. AI will lead to a boom in data and data storage demand. With the growing demands of AI, data center storage capacity is expected to grow significantly in the short to medium term. Not only will this create more demand for data centers, but also for increasingly energy-efficient and innovative data storage and cloud solutions which will make data centers more sustainable.	欧州におけるAI開発を促進するためには、インテリジェントなデータストレージインフラ、ハードウェア、クラウドベースのソリューションなど、データセンター向けの持続可能で大容量のソリューションを促進することが重要である。AIはデータとデータストレージの需要急増につながる。AIの需要拡大に伴い、データセンターのストレージ容量は短期・中期的に大幅に増加すると予想される。これにより、データセンターに対する需要が高まるだけでなく、データセンターをより持続可能なものにする、エネルギー効率の高い革新的なデータストレージやクラウド・ソリューションの需要も高まるだろう。

 

[1] https://www.itic.org/documents/europe/ITI_Vision2030_2024_Final.pdf 

[2] For AI specifically, a recent report from the European Court of Auditors found the EU is lagging behind its investment targets on AI:  https://www.eca.europa.eu/Lists/ECAReplies/COM-Replies-SR-2024-08/COMReplies-SR-2024-08_EN.pdf  

[3] https://digital-strategy.ec.europa.eu/en/library/2023-report-state-digital-decade

[4] See for example: Strand Partners, Unlocking Europe’s AI Potential in the Digital Decade: https://www.unlockingeuropesaipotential.com/_files/ugd/c4ce6f_ecf071799e4c4eba80113648d2b1090b.pdf  

[5] The need for further assessment of possible legal overlaps was also recently referenced in the initial appraisal of the AILD’s Impact Assessment made by the European Parliamentary Research Service. https://www.europarl.europa.eu/RegData/etudes/BRIE/2024/757810/EPRS_BRI(2024)757810_EN.pdf

 

 

ちなみに、情報技術産業協会 (ITI) の会員企業...

・ITI Members

GAFAMはもちろん会員です。

Big4ではEYが唯一会員ですね...Accentureも会員

日本企業では、キヤノン、富士通、ソフトバンク、東芝...

中国系企業ではLenovo。

欧州企業では、SAP、SIEMENS...

 

 

 

欧州 EDPB EU-USデータプライバシー枠組みに関するFAQ（欧州企業向け、欧州個人向け）

こんにちは、丸山満彦です。

EDPBが、EU-USデータプライバシー枠組みに関するFAQ（欧州企業向け、欧州個人向け）を公表していますね。。。

 

● EDPB

・2024.07.16 EU-US Data Privacy Framework FAQ for European businesses

・[PDF]

 

 

EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN BUSINESSES[1]	欧州企業向けEU・米国データ・プライバシー枠組みFAQ[1]｜
Q1. What is the EU-U.S. Data Privacy Framework?	Q1. EU-米国データ・プライバシー枠組みとは何か？
Q2. Which U.S. companies are eligible to the EU-U.S. Data Privacy Framework?	Q2. EU-米国データ・プライバシー枠組の対象となる米国企業は？
Q3. What to do before transferring personal data to a company in the U.S. which is, or claims to be certified under the EU-U.S. Data Privacy Framework?	Q3. EU-米国データ・プライバシー・フレームワークの認証を受けている、または受けていると主張する米国企業に個人データを移転する前に何をすべきか？
Q4. Where can I find guidance regarding the certification of U.S. subsidiary companies of European businesses?	Q4. 欧州企業の米国子会社の認証に関するガイダンスはどこで入手できるか？

 

 

 

・2024.07.16 EU-US Data Privacy Framework FAQ for European individuals

・[PDF]

EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN INDIVIDUALS[15]	欧州個人向けEU・米国データ・プライバシー枠組みFAQ[15]。
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q1. EU-米国のデータ・プライバシー枠組みとは何か？
Q2. HOW DO I BENEFIT FROM THE EU-US DATA PRIVACY FRAMEWORK?	Q2. EU-米国のデータ・プライバシー枠組みからどのような恩恵を受けるのか？
Q3. HOW DO I LODGE A COMPLAINT?	Q3. 苦情を申し立てるにはどうすればよいか？
Q4. HOW WILL THE NATIONAL DPA HANDLE MY COMPLAINT?	Q4. 各国のDpaは私の苦情をどのように扱うのか？

 

 

合わせて...

 

EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN BUSINESSES[1]	欧州企業向けEU・米国データ・プライバシー枠組みFAQ[1]｜
Table of contents	目次
Q1. What is the EU-U.S. Data Privacy Framework?	Q1. EU-米国データ・プライバシー枠組みとは何か？
Q2. Which U.S. companies are eligible to the EU-U.S. Data Privacy Framework?	Q2. EU-米国データ・プライバシー枠組の対象となる米国企業は？
Q3. What to do before transferring personal data to a company in the U.S. which is, or claims to be certified under the EU-U.S. Data Privacy Framework?	Q3. EU-米国データ・プライバシー・フレームワークの認証を受けている、または受けていると主張する米国企業に個人データを移転する前に何をすべきか？
Q4. Where can I find guidance regarding the certification of U.S. subsidiary companies of European businesses?	Q4. 欧州企業の米国子会社の認証に関するガイダンスはどこで入手できるか？
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q1. EU-米国データ・プライバシー枠組みとは何か？
The EU-U.S. Data Privacy Framework (“DPF”) is a self-certification mechanism for companies in the U.S. Companies that have self-certified under the DPF must comply with its principles, rules and obligations related to the processing of personal data of EEA individuals. For more information about these commitments, see the Data Privacy Framework Principles.[2]	EU-米国データ・プライバシー・フレームワーク（DPF）は、米国内企業のための自己認証メカニズムである。DPFの下で自己認証を受けた企業は、EEA加盟国の個人データの処理に関するDPFの原則、規則、義務を遵守しなければならない。これらの義務の詳細については、データ・プライバシー・フレームワークの原則を参照のこと[2]。
The European Commission considered that transfers of personal data from the EEA to companies certified under the DPF enjoy an adequate level of protection.[3] As a result, personal data can be transferred freely to U.S. certified companies, without the need to put in place further safeguards or obtain an authorisation. Here are some relevant links for more information:	欧州委員会は、EEAからDPFの認定を受けた企業への個人データの移転は、十分な保護レベルを享受しているとみなした[3]。その結果、個人データは、さらなる保護措置を講じたり、認可を得たりする必要なく、米国の認定を受けた企業に自由に移転することができる。以下は関連リンクである：
-       The European Commission’s Questions and Answers: Data Privacy Framework[4]	・欧州委員会のQ&A： データ・プライバシー枠組[4]。
-       The Data Privacy Framework website as administrated by the U.S. Department of Commerce[5]	・米国商務省が管理するデータ・プライバシー枠組のウェブサイト[5]。
-       The European Commission’s decision on the adequate level of protection of personal data under the EU-U.S. Data Privacy Framework[6]	・EU-米国データ・プライバシー枠組みにおける個人データの適切な保護レベルに関する欧州委員会の決定[6]。
The DPF applies to any type of personal data transferred from the EEA to the U.S., including personal data processed for commercial or health purposes, and human resources data collected in the context of an employment relationship (hereafter: “HR Data”), as long as the recipient company in the U.S. is self-certified under the DPF to process those types of data.[7]	DPFは、EEAから米国に移転されるあらゆる種類の個人データに適用される。これには、商業目的や健康目的で処理される個人データ、雇用関係の文脈で収集される人的資源データ（以下、「HRデータ」）が含まれるが、米国の取得者企業がDPFに基づき、これらの種類のデータを処理することを自己認証している限りにおいて適用される[7]。
Q2. WHICH U.S. COMPANIES ARE ELIGIBLE TO THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q2. どのような米国企業がEU・米国データ・プライバシー枠組の対象となるのか。
In order to be eligible to self-certify to the DPF, a company in the U.S. must be subject to the investigatory and enforcement powers of the U.S. Federal Trade Commission (“FTC”) or of the U.S. Department of Transportation (“DoT”). Other U.S. statutory bodies may be included in the future.[8]	米国の企業がDPFの自己認証を受けるためには、米国連邦取引委員会（「FTC」）または米国運輸省（「DoT」）の調査・執行権限の対象となる必要がある。将来的には他の米国法定団体も含まれる可能性がある[8]。
This means that, for example, non-profit organizations, banks, insurance companies and telecommunication service providers (with regard to common carrier activities) which do not fall under the jurisdiction of the FTC or DoT cannot self-certify under the DPF.	つまり、例えば、FTCやDoTの管轄下にない非営利団体、銀行、保険会社、（コモンキャリア活動に関する）電気通信サービスプロバイダは、DPFに基づく自己認証を行うことができない。
Q3. WHAT TO DO BEFORE TRANSFERRING PERSONAL DATA TO A COMPANY IN THE U.S. WHICH IS, OR CLAIMS TO BE CERTIFIED UNDER THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q3. 個人データを、EU-米国データ・プライバシー・フレームワークの認定を受けた、または受けていると主張する米国企業に移転する前に何をすべきか？
Before transferring personal data to a company in the U.S. which claims to be self-certified under the DPF, a data exporter in the EEA must ascertain that the company in the U.S. holds an active selfcertification (certifications must be renewed annually) and that this certification covers the data in question (in particular if it covers HR Data, respectively, non-HR Data).[9]	EEAのデータ輸出者は、DPFの下で自己認証を受けていると主張する米国の企業に個人データを移転する前に、当該米国企業が有効な自己認証（認証は毎年更新されなければならない）を取得していること、および当該認証が問題のデータ（特に人事データ、それぞれ非人事データを対象としている場合）をカバーしていることを確認しなければならない[9]。
To verify whether or not a self-certification is active and applicable, data exporters in the EEA need to check if the company in the U.S. is on the Data Privacy Framework List,[10] published on the U.S. Department of Commerce’s website. This list also includes a register of companies that have been removed from the List (“inactive participants”), stating the reasons for their removal. An EEA data exporter cannot rely on the DPF for transfers of personal data to such companies. Please note that companies that have been removed from the Data Privacy Framework List must continue to apply the Data Privacy Framework Principles to personal data received while participating in the DPF for as long as they retain these data.	自己認証が有効で適用可能かどうかを確認するために、EEAのデータ輸出者は、米国の企業が米国商務省のウェブサイトで公表されている「データ・プライバシー・フレームワーク・リスト」[10]に掲載されているかどうかを確認する必要がある。このリストには、リストから削除された企業（「非アクティブ参加者」）の登録も含まれており、削除理由が記載されている。EEAのデータ輸出者は、このような企業への個人データの移転についてDPFに依拠することはできない。データ・プライバシー枠組リストから削除された企業は、DPF参加中に受領した個人データを保持する限り、データ・プライバシー枠組原則を適用し続けなければならない。
For the transfer of personal data to companies in the U.S. that are not (or no longer) self-certified under the DPF, other grounds for transfer in Chapter V of the GDPR may be used, such as Binding Corporate Rules or Standard Contractual Clauses.	DPFの下で自己認証を受けていない（または受けられなくなった）米国内の企業への個人データの移転については、拘束力のある企業規則や標準契約条項など、GDPR第5章の他の移転根拠を用いることができる。
The fact that the recipient in the U.S. is self-certified under the DPF will enable data exporters in the EEA to comply with Chapter V of the GDPR, but all other requirements in the GDPR and any other national data protection law remain applicable.	米国の取得者がDPFの下で自己認証されているという事実は、EEAのデータ輸出者がGDPR第5章を遵守することを可能にするが、GDPRおよびその他の国内データ保護法の他のすべての要件は引き続き適用される。
3.1. Transfers to U.S. subsidiaries of companies certified under the EU-U.S. Data Privacy Framework	3.1. EU-米国データ・プライバシー枠組の認定を受けた企業の米国子会社への移転
In the case of transfers to companies in the U.S. that are subsidiaries of a DPF-certified parent company, EEA data exporters must check if the certification of the parent company also covers the subsidiary company concerned.	DPF認証を受けた親会社の子会社である米国内の企業への移転の場合、EEAデータ輸出者は、親会社の認証が当該子会社にも適用されるかどうかを確認しなければならない。
You can find additional information on how to verify the scope of an organisation’s self-certification, including whether other U.S. entities or U.S. subsidiaries are covered by it, here.[11]	他の米国事業体や米国子会社が対象となるかどうかなど、組織の自己認証の範囲を確認する方法に関する追加情報は、こちらで確認できる[11]。
3.2. Transfers to a company in the U.S. acting as a controller	3.2. 管理者として行動する米国内の企業への移転
Before transferring personal data to a controller in the U.S., an EEA data exporter must ensure the transfer complies with all relevant provisions of the GDPR. As a first step, the data exporter can only share personal data with a company in the U.S. if there is a legal basis for the processing (Article 6 of the GDPR). Moreover, all other requirements in the GDPR need to be met (e.g. purpose limitation, proportionality, accuracy and information obligations towards data subjects). Note that when data is to be transferred to a self-certified company in the U.S., the EEA data exporter, in accordance with Articles 13 and 14 GDPR, must inform data subjects about the identity of the recipients of their data and about the fact that the transfer is covered by the EU-U.S. Data Privacy Framework adequacy decision.	EEAのデータ輸出者は、米国内のデータ管理者に個人データを移転する前に、その移転がGDPRのすべての関連条項に準拠していることを確認しなければならない。まず第一段階として、データ輸出者は、処理に法的根拠がある場合にのみ、パーソナルデータの処理を米国内の企業と共有することができる（GDPR第6条）。さらに、GDPRのその他の要件（目的の限定、比例性、正確性、データ対象者に対する情報提供義務など）をすべて満たす必要がある。なお、データを米国の自己認証企業に移転する場合、EEAのデータ輸出者はGDPR第13条および第14条に従い、データ取得者の身元および移転がEU-米国データ・プライバシー枠組の十分性認定の対象であることをデータ対象者に通知しなければならない。
3.3. Transfers to a company in the U.S. acting as a processor	3.3. 処理者として行動する米国内の企業への移転
When an EEA controller transfers data to a processor in the U.S., the controller and processor are obliged to conclude a data processing agreement under Article 28 GDPR (hereafter: Data processing agreement), regardless of whether the processor is self-certified under the DPF.	EEAの管理者が米国内の処理者にデータを移転する場合、処理者がDPFの自己認証を受けているか否かにかかわらず、管理者と処理者はGDPR第28条に基づくデータ処理契約（以下、データ処理契約）を締結する義務がある。
You can find more information about the contract requirements for transfers to a processor in the U.S. here.[12]	米国における処理業者への移転に関する契約要件については、こちらを参照されたい[12]。
The conclusion of a data processing agreement is required in order to ensure that the U.S. processor commits to:	データ処理契約の締結は、米国の処理者が以下を約束することを保証するために必要である：
-                process the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;	・個人データの第三国または国際機関への移転に関しても、データ処理者が対象としている連邦法または加盟国の法律によって要求されない限り、管理者からの文書化された指示に基づいてのみ個人データを処理すること；
-                ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;	・パーソナルデータの処理権限を有する者が守秘義務を負うか、または適切な法的守秘義務を負っていることを確認すること；
-                implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, in line with what is required by the data processing agreement (stemming from Article 32 of the GDPR) and sections 4 and 10 of the DPF;	・データ処理契約（GDPR第32条に由来する）およびDPF第4項および第10項で要求されていることに従い、リスクに見合ったレベルのセキュリティを確保するための適切な技術的および組織的措置を講じること；
-                respect the conditions referred to in the data processing agreement (stemming from paragraphs 2 and 4 of Article 28 of the GDPR) and Section II.3.B of the DPF for engaging another processor;	・データ処理契約（GDPR第28条第2項および第4項に由来する）およびDPF第II.3.B項で言及されている、別のデータ処理者を雇用するための条件を尊重すること；
-                taking into account the nature of the processing, assist the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller's obligation to respond to requests for exercising the data subject's rights laid down in Chapter III of the GDPR;	・処理の性質を考慮し、GDPR第3章に規定されているデータ対象者の権利行使の要求に対応する管理者の義務の履行について、可能な限り、適切な技術的および組織的手段によって管理者を支援すること；
-                assist the controller in ensuring compliance with its obligations pursuant to Articles 32 to 36 of the GDPR, taking into account the nature of processing and the information available to the processor;	・処理の性質および処理者が利用可能な情報を考慮し、GDPR第32条から第36条に基づく義務の遵守を確保するために管理者を支援すること；
-                at the choice of the controller, delete or return all the personal data to the controller after the end of the provision of services relating to processing, and delete existing copies unless Union or Member State law requires storage of the personal data;	・管理者の選択により、処理に関連するサービスの提供終了後、すべてのパーソナルデータを削除または管理者に返却し、連合国または加盟国の法律によりパーソナルデータの保管が義務付けられている場合を除き、既存のコピーを削除すること；
-                make available to the controller all information necessary to demonstrate compliance with the obligations laid down in Article 28 of the GDPR and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. With regard to this last point, the processor shall immediately inform the controller if, in its opinion, an instruction infringes the DPF.	・GDPR第28条に規定された義務の遵守を証明するために必要なすべての情報を管理者に提供し,管理者または管理者が委任した別の監査人が実施する検査などの監査を許可し,これに貢献すること。この最後の点に関して,処理者は,その見解において,ある指示がDPFに抵触する場合,直ちに管理者に通知するものとする。
Where the U.S. processor engages another processor (“sub-processor”) to carry out specific processing activities on behalf of the EEA controller, the processor must ensure that the requirements under Section II.3.B DPF are fulfilled. This includes ensuring that the sub-processor provides the same level of protection of personal data as required in the DPF and the same data protection obligations as set out in the data processing agreement.  Where a sub-processor fails to fulfil its data protection obligations, the initial U.S. processor shall remain fully liable to the controller for the performance of that sub-processor's obligations.	米国の処理者が、EEAの管理者に代わって特定の処理活動を実施するために他の処理者（「サブ処理者」）を雇用する場合、処理者は、第II.3.B項DPFに基づく要件が満たされるようにしなければならない。これには、DPFで要求されているのと同レベルのパーソナルデータの保護、およびデータ処理契約に定められているのと同レベルのデータ保護義務を、サブ処理者が確実に提供することが含まれる。 サブ処理者がデータ保護義務を履行しない場合、最初の米国の処理者は、当該サブ処理者の義務の履行について、管理者に対して完全な責任を負うものとする。
Q4. WHERE CAN I FIND GUIDANCE REGARDING THE CERTIFICATION OF U.S. SUBSIDIARY COMPANIES OF EUROPEAN BUSINESSES?	Q4. 欧州企業の米国子会社の認証に関するガイダンスはどこで入手できるか。
U.S. subsidiaries of EEA businesses can self-certify to the DPF if they are subject to the jurisdiction of the Federal Trade Commission (FTC) or the U.S. Department of Transportation (DoT).	EEA企業の米国子会社は、連邦取引委員会（FTC）または米国運輸省（DoT）の管轄下にある場合、DPFに自己認証することができる。
You can find more information on the eligibility requirements here,[13] and a guide to the selfcertification process here.[14]	資格要件の詳細についてはこちら[13]、自己認証プロセスのガイドについてはこちら[14]を参照されたい。
EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN INDIVIDUALS[15]	欧州個人向けのEU-米国データ・プライバシー枠組みFAQ[15]。
Table of contents	目次
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q1. EU-米国のデータ・プライバシー枠組みとは何か？
Q2. HOW DO I BENEFIT FROM THE EU-US DATA PRIVACY FRAMEWORK?	Q2. EU-米国のデータ・プライバシー枠組みからどのような恩恵を受けるのか？
Q3. HOW DO I LODGE A COMPLAINT?	Q3. 苦情を申し立てるにはどうすればよいか？
Q4. HOW WILL THE NATIONAL DPA HANDLE MY COMPLAINT?	Q4. 各国のDPAは私の苦情をどのように扱うのか。
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?	Q1. EU-米国データ・プライバシー枠組みとは何か？
The DPF applies to any type of personal data transferred from the EEA to the U.S., including personal data processed for commercial or health purposes, and human resources data collected in the context of an employment relationship (hereafter: “HR Data”), as long as the recipient company in the U.S. is self-certified under the DPF to process those types of data.[17]	DPFは、EEAから米国に移転されるあらゆる種類の個人データに適用される。これには、商業目的または健康目的で処理される個人データや、雇用関係の文脈で収集される人的資源データ（以下、「HRデータ」）が含まれる。
Q2. HOW DO I BENEFIT FROM THE EU-US DATA PRIVACY FRAMEWORK?	Q2. EU-米国データ・プライバシー枠組みからどのような恩恵を受けるのか？
The DPF relies on commitments taken by companies in the U.S. to respect its principles, rules and obligations related to the processing of personal data of European individuals. For more information about these commitments, see the Data Privacy Framework Principles.[18]	DPFは、欧州の個人データの処理に関連する原則、規則、義務を尊重するために、米国の企業が取るコミットメントに依存している。これらの約束の詳細については、データ・プライバシー枠組み原則を参照のこと[18]。
The DPF grants you certain rights when your personal data have been transferred from the EEA to a company in the U.S. that has self-certified under the DPF. Notably, you have the right to be informed of such a transfer and its purpose, as well as to obtain access to your personal data, and correct or delete any incorrect or unlawfully handled data.[19] You can verify whether a company in the U.S. has a valid certification by checking the online EU-U.S. Data Privacy Framework List[20] on the U.S. Department of Commerce’s website.	DPFは、個人データがEEAからDPFに基づき自己認証した米国の企業に移転された場合、特定の権利を付与する。特筆すべきは、あなたには、そのような移転とその目的について知らされる権利、あなたの個人データへのアクセスを得る権利、不正確または違法に取り扱われたデータを修正または削除する権利があることである[19]。米国の企業が有効な認証を受けているかどうかは、米国商務省のウェブサイトにあるオンラインのEU-米国データ・プライバシー・フレームワーク・リスト[20]を確認することで確認できる。
If you have any questions or concerns about the processing of your personal data by a company certified under the DPF, you are encouraged to directly contact that company, as a first step.	DPFの認定を受けた企業によるパーソナルデータの処理について疑問や懸念がある場合は、まずその企業に直接連絡することが推奨される。
If your concern is not resolved by the company, or you have reasons to not address it directly to the company, you can contact any EEA national data protection authority (national DPA) and, in particular, the one in the country where you reside or work, or from where your personal data has been transferred to the U.S.[21]	当該企業で懸念が解決されない場合、または当該企業に直接問い合わせることができない理由がある場合は、EEA各国のデータ保護当局（各国DPA）、特にあなたが居住または勤務している国、またはあなたの個人データが米国に移転された国のデータ保護当局に問い合わせることができる[21]。
Q3. HOW DO I LODGE A COMPLAINT?	Q3. 苦情を申し立てるにはどうすればよいか？
If you believe that a company in the U.S. has violated its obligations or your rights under the EU-U.S. Data Privacy Framework, several redress avenues are available to you. Read more about the ways to submit a complaint here.[22]	米国の企業がEU-米国データ・プライバシー枠組みにおける義務やあなたの権利に違反していると思われる場合、いくつかの救済手段を利用することができる。苦情を提出する方法についてはこちらをお読みいただきたい[22]。
On the Data Privacy Framework List[23] you can find information about the complaint procedure and independent recourse mechanism for each self-certified company.[24]	データ・プライバシー枠組みリスト[23]では、各自己認証企業の苦情申し立て手続きと独立した救済メカニズムに関する情報を見つけることができる[24]。
You can always lodge a complaint relating to a U.S. company’s compliance with the Data Privacy Framework Principles directly with a national DPA. Please provide the national DPA with as many details on the matter as possible, enabling your DPA to handle your complaint in the best way. A template complaint form[25] (to be used on a voluntary basis) is available for such cases.	米国企業のデータ・プライバシー枠組原則の遵守に関する苦情は、いつでも各国のDPAに直接申し立てることができる。DPAが最善の方法で苦情を処理できるように、できるだけ多くの詳細を国内DPAに提供すること。このような場合のために、苦情申立書の雛形[25]（任意で使用）が用意されている。
You may also contact your national DPA for more information about the ways to submit a complaint.[26]	また、苦情の提出方法に関する詳細については、各国のDPAに問い合わせることもできる[26]。
Q4. HOW WILL THE NATIONAL DPA HANDLE MY COMPLAINT?	Q4. 各国のDPAは私の苦情をどのように扱うのか。
When you lodge a complaint with a national DPA, different scenarios may occur:	各国のDPAに苦情を申し立てる場合、さまざまなシナリオが考えられる：
1- Informal panel of EU DPAs	1- EU DPAの非公式パネル
If your complaint concerns the processing of HR Data[27] transferred to a company in the U.S., or if the company in the U.S. has voluntarily chosen the EU DPAs as its independent recourse mechanism, an informal panel of several EU DPAs will be set up to handle the complaint.	苦情が米国の企業に移転された人事データ[27]の処理に関するものである場合、または米国の企業が自主的にEUのDPAを独立した救済メカニズムとして選択した場合、複数のEUのDPAからなる非公式パネルが苦情を処理するために設置される。
The informal panel of EU DPAs will launch an investigation during which both you and the company in the U.S. will have the possibility to express your views. If necessary in order to resolve the case, the informal panel can issue an ‘advice’, which is binding on the company in the U.S.	EU DPAの非公式パネルは調査を開始し、その間にあなたと米国の企業の双方が意見を述べる可能性がある。案件を解決するために必要であれば、非公式パネルは「助言」を出すことができ、これは米国企業を拘束する。
2.- Referral to U.S. authorities	2.- 米国当局への照会
If your complaint does not concern the processing of HR Data or the company in the U.S. has not committed to cooperate with the EU DPAs, the informal panel of EU DPAs will not be competent. Your national DPA may then refer your complaint to the competent U.S. authorities, such as the Federal Trade Commission (FTC), the Department of Transportation’s Office of Aviation Consumer Protection, or the U.S. Department of Commerce (DoC).[28]	苦情が人事データの処理に関するものでない場合、または米国の企業がEUのDPAと協力することを約束していない場合、EUのDPAの非公式パネルは権限を持たない。その場合、各国のDPAは、連邦取引委員会（FTC）、運輸省航空消費者保護局、米国商務省（DoC）などの米国の所轄当局に苦情を照会することができる[28]。
Depending on the circumstances of the case, the national DPA which is competent for the EEA data exporter may also directly exercise its powers (such as prohibition or suspension of data transfers) towards the data exporter.	事案の状況によっては、EEAデータ輸出者の管轄である各国のDPAがデータ輸出者に対して直接権限（データ移転の禁止や停止など）を行使することもある。

 

[1] In this context, European businesses refer to businesses in the EEA, which transfer or may transfer personal data to companies in the U.S. certified under the DPF.	[1] この文脈では、欧州企業とは、DPFに基づき認定された米国の企業に個人データを移転する、または移転する可能性のあるEEA内の企業を指す。
[2] https://www.dataprivacyframework.gov/program-articles/Participation-Requirements-Data-PrivacyFramework-(DPF)-Principles
[3] The decision on the adequacy of the Data Privacy Framework was adopted by the European Commission on July 10, 2023. It was designed by the European Commission and the U.S. Department of Commerce to replace the Privacy Shield Decision (EU) 2016/1250 which was declared invalid by the European Court of Justice in  16 July 2020 in Case C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II).	[3] データ・プライバシー枠組の十分性認定は、2023年7月10日に欧州委員会によって採択された。これは、欧州司法裁判所が2020年7月16日にC-311/18事件（Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II)）で無効としたプライバシー・シールド決定（EU）2016/1250に代わるものとして、欧州委員会と米国商務省が策定したものである。
[4] https://ec.europa.eu/commission/presscorner/detail/en/qanda 23 3752
[5] https://www.dataprivacyframework.gov/s/
[6] https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EUUS%20Data%20Privacy%20Framework en.pdf
[7] Note that not all DPF self-certifications cover HR Data. It is therefore important to check whether this is the case, if relevant. See also Q3.	[7] DPFのすべての自己認証が人事データを対象としているわけではないことに留意されたい。従って、該当する場合は、該当するかどうかを確認することが重要である。Q3も参照のこと。
[8] See Annex I to the adequacy decision, EU-U.S. Data Privacy Framework Principles issued by the U.S. Department of Commerce, para I.2.	[8] 米国商務省発行の十分性認定書「EU-米国データ・プライバシー枠組み原則」の附属書Ⅰ、パラⅠ.2を参照のこと。
[9] See definition of HR Data in Q1.	[9] Q1の人事データの定義を参照のこと。
[10] https://www.dataprivacyframework.gov/list
[11] https://www.dataprivacyframework.gov/program-articles/How-to-Verify-an-Organization-s-Privacy-DataPrivacy-Framework-(DPF)-Commitments
[12] https://www.dataprivacyframework.gov/program-articles/Contract-Requirements-for-Data-Transfers-to-a-Processor
[13] https://www.dataprivacyframework.gov/program-articles/U-S-Subsidiaries-of-European-Businesses-Participation-in-the-Data-Privacy-Framework-(DPF)-Program
[14] https://www.dataprivacyframework.gov/program-articles/How-to-Join-the-Data-Privacy-Framework-(DPF)Program-(part%E2%80%931)
[15] In this context, European individuals means any natural person, regardless of their nationality, whose personal data have been transferred to a U.S. company under the EU-U.S. Data Privacy Framework.	[15] ここでいう欧州の個人とは、国籍に関係なく、EU-米国データ・プライバシー枠組みに基づいて個人データが米国企業に移転されたすべての自然人を意味する。
[16] The decision on the adequacy of the EU-U.S. Data Privacy Framework was adopted by the European Commission on July 10, 2023. It was designed by the European Commission and the U.S. Department of Commerce to replace the Privacy Shield Decision (EU) 2016/1250 which was declared invalid by the European Court of Justice in 16 July 2020 in Case C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II).	[16] EU-米国データ・プライバシー枠組の十分性に関する認定は、2023年7月10日に欧州委員会によって採択された。これは、欧州司法裁判所が2020年7月16日にC-311/18事件（Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II)）で無効としたプライバシー・シールド決定（EU）2016/1250に代わるものとして、欧州委員会と米国商務省が策定したものである。
[17] Note that not all DPF self-certifications cover HR Data. You may check the scope of a specific company’s certification on the EU-U.S. Data Privacy Framework List on the U.S. Department of Commerce’s website ([web] ).	[17] DPFの自己認証のすべてが人事データを対象としているわけではないことに注意すること。特定の企業の認証範囲は、米国商務省のウェブサイト（[web] ）のEU-米国データ・プライバシー・フレームワーク・リストで確認することができる。
[18] https://www.dataprivacyframework.gov/program-articles/Participation-Requirements-Data-PrivacyFramework-(DPF)-Principles
[19] For more detailed information as to the guarantees for the data transferred and as to your rights under the EU-U.S. Data Privacy Framework, please consult the European Commission’s FAQ on the EU-U.S. Data Privacy Framework ([web] ) (see, in particular, the answer to Q3).	[19] 転送されるデータ・プライバシーに対する保証、およびEU-米国データ・プライバシー枠組の下での権利に関する詳細情報については、欧州委員会のEU-米国データ・プライバシー枠組に関するFAQ（[web] ）を参照されたい（特にQ3に対する回答を参照）。
[20] https://www.dataprivacyframework.gov/list
[21] The terms “national data protection authority” or “EU handling authority” include the data protection authorities of the EEA and also the EDPS, which will be the EU handling authority when your personal data have been transferred to the U.S. by an EU institution.	[21] 「各国データ保護認可機関」または「EU取扱機関」という用語には、EEAのデータ保護認可機関のほか、EUの機関から米国に個人データが移転された場合にEU取扱機関となるEDPSも含まれる。
[22] https://www.dataprivacyframework.gov/program-articles/How-to-Submit-a-Complaint-Relating-to-a-Participating-Organization%E2%80%99s-Compliance-with-the-DPF-Principles
[23] https://www.dataprivacyframework.gov/list
[24] Under the name of the company, click on “Full Profile” and go to “Dispute Resolution”.	[24] 会社名の下にある "Full Profile "をクリックし、"Dispute Resolution "に進む。
[25] https://www.edpb.europa.eu/system/files/2024-04/dpf template-complaint-form commercialcomplaints en.pdf
[26] As for complaints regarding access to your personal data by U.S. national security authorities, please check the EDPB Information Note: [web]	[26] 米国の国家安全保障当局による個人データへのアクセスに関する苦情については、EDPB情報ノート（[web] ）を確認すること。
[27] See definition of HR Data in Q1 above.	[27] 上記Q1のHRデータの定義を参照のこと。
[28] See decision on the adequacy of the Data Privacy Framework, Recitals 69, 80, and Annex V, Section II.A.	[28] データ・プライバシー枠組の十分性認定、リサイタル69、80、附属書V、セクションII.Aを参照のこと。

 

 

 

EU EDPB GDPRとEU-AI法関連

こんにちは、丸山満彦です。

少し前に、ドイツ BfDI フランス CNIL オランダ APがAI法に関連する文書等を公表していましたが、EDPBもAI法におけるGDPRの役割に関する声明をだしているので紹介です...

AI法とEUのデータ保護法（特にGDPR[3]、EUDPR[4]およびLED[5]、ならびにeプライバシー指令[6]）は、原則として[7]、補完的で相互に補強し合う文書とみなされる（そして首尾一貫して解釈される）必要がある。

というところがポイントでしょうか？？？

 

● EDPB

・2024.07.16 Statement 3/2024 on data protection authorities’ role in the Artificial Intelligence Act framework

・[PDF]

 

Statement 3/2024 on data protection authorities’ role in the Artificial Intelligence Act framework	人工知能法の枠組みにおけるデータ保護当局の役割に関する声明 3/2024
Adopted on 16 July 2024	2024年7月16日採択
The European Data Protection Board has adopted the following statement:	欧州データ保護理事会は以下の声明を採択した：
1 BACKGROUND AND PURPOSE OF THIS STATEMENT	1 本声明の背景と目的
1. On 12 July 2024, Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act, hereinafter the “AI Act”) and amending certain Union Legislative Acts was published in the Official Journal[1].	1. 2024年7月12日、人工知能に関する調和された規則を定める規則（EU）2024/1689（Artificial Intelligence Act、以下「AI法」）および特定の連邦立法法の改正が官報に掲載された[1]。
2. The AI Act lays down harmonised rules on the placement on the market, putting into service and use of Artificial Intelligence (hereinafter “AI”) in line with the New Legislative Framework and requires market surveillance within the meaning of Regulation (EU) 2019/1020[2]. As stated in its Article 1(1), the AI Act aims to improve the functioning of the internal market and support innovation, whilst promoting the uptake of human-centric and trustworthy AI and ensuring health, safety and a high level of protection of the fundamental rights enshrined in the Charter of Fundamental Rights of the European Union (hereinafter the “Charter”), including as regards the fundamental rights to privacy and to the protection of personal data (respectively, Article 7 and 8 of the Charter).	2. AI法は、新法規制の枠組みに沿って人工知能（以下「AI」）の市場投入、サービス開始、使用に関する調和された規則を定め、規則（EU）2019/1020[2]の意味における市場監視を義務付けている。AI法は、その第1条(1)に記載されているように、域内市場の機能を改善し、イノベーションを支援する一方で、人間中心で信頼できるAIの導入を促進し、プライバシーと個人データの保護に関する基本的権利（それぞれ同憲章第7条と第8条）を含む欧州連合基本権憲章（以下、「憲章」）に謳われている基本的権利の健康、安全、高水準の保護を確保することを目的としている。
3. From this perspective, the AI Act and the Union data protection legislation (notably, GDPR[3], EUDPR[4] and LED[5], as well as the ePrivacy Directive[6]) need to be, in principle[7], considered (and coherently interpreted) as complementary and mutually reinforcing instruments. This must be done both in terms of the law’s goals and in terms of the protections provided, including the rights of the affected persons (which may also be qualified as “data subjects” under the GDPR). Further, it is important to underline that Union data protection law is fully applicable to the processing of personal data involved in the lifecycle of the AI systems, as explicitly recognised in Article 2(7) AI Act (see also Recitals 9 and 10).	3. この観点から、AI法とEUのデータ保護法（特にGDPR[3]、EUDPR[4]およびLED[5]、ならびにeプライバシー指令[6]）は、原則として[7]、補完的で相互に補強し合う文書とみなされる（そして首尾一貫して解釈される）必要がある。これは、法律の目標と、影響を受ける者（GDPRでは「データ対象者」とされる場合もある）の権利を含む、提供される防御の両方の観点から行われなければならない。さらに、AI法第2条7項（リサイタル9および10も参照）で明確に認められているように、AIシステムのライフサイクルに関わるパーソナルデータの処理には、EUのデータ保護法が全面的に適用されることを強調しておくことが重要である。
4. In fact, the processing of personal data (which is often strictly intertwined with non-personal data) along the lifecycle of AI systems ‒ and particularly along the lifecycle of those AI systems presenting a high risk to fundamental rights[8] ‒ clearly is (and will continue to be) a core element of the various technologies covered under the umbrella of the AI definition, as enshrined in Article 3(1) AI Act. For these reasons, national data protection authorities (hereinafter “DPAs”) have been active with regard to these technological developments[9] and the EDPB, which has closely followed the legislative process regarding the AI Act[10], has already initiated the examination of its (multifaceted) interplay with EU data protection law.	4. 実際、AIシステムのライフサイクルに伴う個人データ（多くの場合、非個人データと厳密に絡み合っている）の処理、特に基本的権利[8]に高いリスクをもたらすAIシステムのライフサイクルに伴う個人データの処理は、AI法3条1項に明記されているように、AIの定義の傘の下でカバーされる様々な技術の中核的要素であることは明らかである（そして今後もそうである）。こうした理由から、各国のデータ保護当局（以下、「DPA」）は、こうした技術開発に関して積極的に取り組んでおり[9]、AI法に関する立法過程[10]を注視してきたEDPBは、すでにEUデータ保護法との（多面的な）相互関係の検討を開始している。
5. With this statement, the EDPB would like to further highlight supervision and coordination issues that could result from the designation of competent authorities by the Member States[11] in areas that are so closely linked to personal data protection matters. It should be considered that, at the national level, the AI Act enforcement framework will have to be built in the next year after entry into force of the AI Act around one or more established or designated “national competent authorities” (hereinafter “NCAs”), in particular market surveillance authority/authorities (hereinafter “MSAs”)[12], interacting both among themselves and with DPAs and other authorities protecting fundamental rights.[13] The EDPB recognises that some Member States have already decided on the appointment of MSAs and that, therefore, some of the recommendations in this statement may not be fully relevant in those cases.	5. この声明により、EDPBは、加盟国[11]が個人データ保護問題と密接に関連する領域において、管轄当局を認可することから生じうる監督と調整の問題をさらに強調したい。国内レベルでは、AI法の施行後1年以内に、1つまたは複数の「国内管轄当局」（以下、「NCA」）、特に市場監視当局（以下、「MSA」）[12]を中心に、AI法施行の枠組みを構築する必要があり、DPAやその他の基本的権利を保護する当局[13]と相互作用することを考慮すべきである。EDPBは、加盟国の中には既にMSAの選任を決定している国もあり、そのような場合には本声明における勧告の一部が十分に意味をなさない可能性があることを認識している。
6. As already stated in the Joint Opinion of the EDPB and the EDPS[14], in this emerging enforcement framework, a prominent role of the DPAs at national level should be recognised, in particular due to the experience and expertise gathered by them in working out guidelines and best practices and carrying out enforcement actions on AI-related issues with respect to the processing of personal data at both national and international level[15]. DPAs have proven and are proving to be indispensable actors in the chain leading to the safe, rights-oriented and secure deployment of AI systems across several sectors.	6. EDPBとEDPSの共同意見[14]で既に述べられているように、この新たな執行の枠組みにおいては、特に、国内及び国際的なレベル[15]で、個人データの処理に関するガイドラインやベストプラクティスを策定し、AI関連の問題について執行措置を実施するためにDPAが収集した経験と専門知識により、国内レベルにおけるDPAの重要な役割が認識されるべきである。DPAは、様々な分野におけるAIシステムの安全で権利重視の安全な導入につながる連鎖において、不可欠なアクターであることが証明されており、また証明されつつある。
7. Moreover, it should be pointed out that the designation of DPAs as MSAs would benefit all stakeholders in the AI value chain by making available a single contact point, facilitating the interactions between different regulatory bodies that are concerned by both the AI Act and EU data protection law.	7. さらに、DPAをMSAに指定することは、単一の窓口を利用可能にし、AI法とEUデータ保護法の両方に関係する異なる規制団体間の相互作用を容易にすることによって、AIバリューチェーンのすべての利害関係者に利益をもたらすことを指摘すべきである。
8. Furthermore, in the light of the AI Act, the EDPB considers the following points of particular importance:	8. さらに、AI法に照らして、EDPBは以下の点が特に重要であると考えている：
§ DPAs, in addition to their existing expertise in AI technologies, are skilled in many of the areas referred to in Article 70(3) AI Act, such as data computing and data security, and in assessing risks to fundamental rights posed by new technologies;	§ DPAは、AI技術に関する既存の専門知識に加えて、データコンピューティングやデータセキュリティなど、AI法第70条3項で言及されている多くの分野や、新しい技術がもたらす基本的権利に対するリスクのアセスメントに長けている；
§ DPAs, due to their full independence[16], can provide effective independent supervision of AI systems, as required by Article 70(1) AI Act[17];	§ DPAは、その完全な独立性[16]により、AI法第70条第1項[17]が要求するとおり、AIシステムに対して効果的な独立した監督を行うことができる；
§ Pursuant Article 74(8) AI Act, DPAs ‒ or other authorities with same requirements on independence (under the conditions laid down in Articles 41 to 44 of Directive (EU) 2016/680) ‒ must be designated as MSAs for high-risk AI systems listed in point 1 of Annex III AI Act, in so far they are used for law enforcement purposes, border management and justice and democracy, and for high-risk AI systems listed in points 6, 7 and 8 of Annex III AI Act, which are key elements of the democratic order;	§ AI法第74条8項に従い、DPA-又は独立性に関して（指令（EU）2016/680の第41条から第44条に規定された条件下で）同様の要件を有する他の当局-は、法執行目的、国境マネジメント、司法及び民主主義のために使用される限りにおいて、AI法附属書Ⅲのポイント1に列挙されたリスクの高いAIシステム、及び民主主義秩序の重要な要素であるAI法附属書Ⅲのポイント6、7及び8に列挙されたリスクの高いAIシステムについて、MSAとして指定されなければならない；
§ From a systematic perspective, it is also particularly valuable that where Union institutions, bodies, offices or agencies fall within the scope of the AI Act, the EDPS shall act as the competent authority for their supervision, as provided for by Article 70(9) AI Act[18];	§ また、制度的な観点から、連邦の機構、団体、事務所または機関がAI法の適用範囲に含まれる場合、AI法第70条9項[18]に規定されるとおり、EDPSがその監督について権限のある当局として行動することは、特に価値あることである；
§ Moreover, in the light of the provisions contained in Articles 26(9), 27(4) and Annex VIII, Section C, point 5 AI Act, a close relationship is expected between the data protection impact assessment and the fundamental right impact assessment[19].	§ さらに、AI法第26条9項、第27条4項及び附属書VIII、セクションC、ポイント5に含まれる規定に照らすと、データ保護影響評価と基本的権利影響評価との間には密接な関係が期待される[19]。
2 RECOMMENDATIONS	2 推奨事項
9. The EDPB recommends that DPAs should be designated by Member States as MSAs for the high-risk AI systems mentioned in Article 74(8) AI Act. Further, the EDPB recommends that, taking account of the views of the national DPA, Member States consider appointing DPAs as MSAs for the remaining high-risk AI systems as listed in Annex III, particularly where those high-risk AI systems are in sectors likely to impact natural persons rights and freedoms with regard to the processing of personal data, unless those sectors are covered by a mandatory appointment required by the AI Act (e.g. the financial sector).	9. EDPBは、AI法第74条(8)に記載されているリスクの高いAIシステムについては、加盟国によってDPAがMSAとして指定されるべきであると勧告する。さらに、EDPBは、加盟国に対し、附属書IIIに列挙されている残りの高リスクのAIシステム、特に個人データの処理に関して自然人の権利及び自由に影響を与える可能性が高い分野に属する高リスクのAIシステムについては、当該分野がAI法で義務付けられている強制的な選任の対象でない限り（金融分野等）、加盟国がDPAをMSAとして選任することを検討するよう勧告する。
10. Considering the above, since the single point of contact under the AI Act should be a MSA as provided for by Article 70(2) AI Act, DPAs (acting as MSAs) should be designated as the single points of contact for the public and counterparts at Member State and Union levels. This would be without prejudice to the representatives of Member State to the European Artificial Intelligence Board, which could be different, as indicated by Article 65(4)(b) AI Act. This would also enable a unified, consistent, and effective approach across the different sectors.	10. 上記を考慮すると、AI法に基づく単一の窓口は、AI法第70条第2項に規定されるとおり、MSAであるべきであるため、（MSAとして行動する）DPAは、加盟国レベルおよび同盟国レベルの一般市民およびカウンターパートに対する単一の窓口として指定されるべきである。これは、AI法第65条4項（b）に示されるように、加盟国の代表者が欧州人工知能委員会（European Artificial Intelligence Board）に参加することを妨げるものではない。これによって、異なるセクターを横断した統一的で一貫性のある効果的なアプローチが可能になる。
11. From a broader perspective, there is a need for sound cooperation between MSAs and the other entities which are tasked with the supervision of AI systems[20], including DPAs, and clear procedures have to be provided for in this regard on the basis of Article 74(10) AI Act21. Such procedures should be built and developed under the principle of sincere cooperation provided by the Article 4(3) of the Treaty of the European Union, as highlighted by the Court of Justice in the Bundeskartellamt case22. In this way, inconsistencies between decisions taken by different oversight authorities and bodies can be prevented in the digital ecosystem, and synergies can be exploited in coherent, effective and complementary enforcement actions for the benefit of individuals and legal certainty.	11. より広い観点からは、MSAと、DPAを含むAIシステム[20]の監督を任務とする他の事業体との健全な協力が必要であり、この点については、AI法第74条10項21に基づいて、明確な手続が規定されなければならない。このような手続きは、欧州連合司法裁判所（Bundeskartellamt）事件22で強調されたように、欧州連合条約4条3項が定める誠実な協力の原則の下で構築・発展されるべきである。このようにして、デジタルエコシステムにおいて、異なる監督当局や団体による決定間の矛盾を防止し、個人の利益と法的確実性のために、首尾一貫した効果的かつ補完的な執行措置において相乗効果を活用することができる。
12. Whilst the attribution of new tasks and powers with regard to the supervision of AI systems could be facilitated by the legal and technical skills already present in the DPAs, the very fact that new tasks and powers are envisaged for DPAs, including in their capacity as MSAs, entails the need for adequate additional human and financial resources to be provided by Member States.	12. AIシステムの監督に関する新たな任務と権限の付与は、DPAに既に存在する法的・技術的スキルによって促進され得るが、MSAとしての立場を含め、DPAに新たな任務と権限が想定されているという事実そのものが、加盟国による適切な人的・財政的資源の追加提供を必要とすることを意味する。
13. The considerations made so far concerning the relationship between national DPAs and MSAs under the AI Act similarly apply to the supervisory activity carried out by the AI Office[21] on general-purpose AI models, which could be as well trained on personal data[22] and whose output can affect individuals’ privacy and data protection rights. In this regard, no clear coordination is currently established in the AI Act between the AI Office and the DPAs/EDPB.	13. AI 法の下での各国の DPA と MSA の関係に関するこれまでの考察は、AI Office[21]が汎用の AI モデル[22]について実施する監督活動にも同様に適用される。この点に関して、現在のところ、AI局とDPA/EDPBとの間の明確な連携はAI法に確立されていない。
14. The EDPB underlines that whenever a general-purpose AI model or system entails the processing of personal data, it may fall – like any other AI system – under the supervisory remit, as applicable, of the relevant national DPAs (also cooperating according to Chapter VII of the GDPR) and of the EDPS (when it falls under the EUDPR). Therefore, national DPAs and the EDPS cannot but be properly involved where questions arise as to matters falling within the scope of Union data protection law in the supervision of those systems. This is necessary to comply with Article 8 of the Charter and Article 16 of the TFEU, including as regards the process of assessment of the codes of practice mentioned in Article 56 AI Act.	14. EDPBは、汎用AIモデルやシステムがパーソナルデータの処理を伴う場合は常に、他のAIシステムと同様に、該当する各国のDPA（GDPR第7章に従って協力）およびEDPS（EUDPRに該当する場合）の監督権限に該当する可能性があることを強調する。したがって、EUデータ保護法の適用範囲に属する事項に関して疑問が生じた場合、各国のDPAとEDPSはこれらのシステムの監督に適切に関与せざるを得ない。これは、AI法第56条に記載されている実施規範のアセスメントプロセスを含め、憲章第8条およびTFEU第16条を遵守するために必要なことである。
15. Accordingly, the EDPB calls the attention of the European Commission and the EU AI Office which is part of it to the need to cooperate with the national DPAs and the EDPB, and the need to establish, in agreement with them, the appropriate mutual cooperation[23] in the most effective way and in full compliance with the principle of sincere cooperation as recalled by the Court of Justice[24].	15. したがって、EDPBは、欧州委員会およびその一部であるEU AI事務局に対し、各国のDPAおよびEDPBと協力する必要性、および、司法裁判所[24]が想起した誠実な協力の原則を完全に遵守し、最も効果的な方法で、適切な相互協力[23]を確立する必要性について注意を喚起する。

 

 

[1] Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act) (Text with EEA relevance), OJ L, 2024/1689, 12.7.2024, ELI: [web] .	[1] 人工知能に関する調和された規則を定め、規則（EC）No 300/2008、（EU）No 167/2013、（EU）No 168/2013、（EU）2018/858、（EU）2018/1139および（EU）2019/2144ならびに指令2014/90/EU、（EU）2016/797および（EU）2020/1828（人工知能法）（EEA関連テキスト）、OJ L, 2024/1689, 12. 7.2024, ELI: [web] .
[2] Regulation (EU) 2019/1020 of the European Parliament and of the Council of 20 June 2019 on market surveillance and compliance of products and amending Directive 2004/42/EC and Regulations (EC) No 765/2008 and (EU) No 305/2011 (Text with EEA relevance).	[2] 製品の市場監視及びコンプライアンスに関する2019年6月20日付欧州議会及び理事会規則（EU）2019/1020、並びに指令2004/42/EC及び規則（EC）No 765/2008及び（EU）No 305/2011を改正する（EEA関連テキスト）。
[3] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance), OJ L 119, 4.5.2016, p. 1–88.	[3] 個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日付欧州議会及び理事会規則（EU）2016/679及び指令95/46/EC（一般データ保護規則）の廃止（EEA関連文書）、OJ L 119, 4.5.2016, p. 1-88.
[4] Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (Text with EEA relevance), OJ L 295, 21.11.2018, p. 39–98.	[4] 欧州連合機関、団体、事務所及び機関によるパーソナルデータの処理に関する自然人の保護並びに当該データの自由な移動に関する2018年10月23日付欧州議会及び理事会規則（EU）2018/1725、規則（EC）第45/2001号及び決定第1247/2002/EC号の廃止（EEA関連テキスト）、OJ L 295, 21.11.2018, p. 39-98.
[5] Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, OJ L 119, 4.5.2016, p. 89–131.	[5] 2016年4月27日の欧州議会及び理事会指令（EU）2016/680は、刑事犯罪の予防、捜査、探知若しくは訴追又は刑事罰の執行を目的とする権限のある当局によるパーソナルデータの処理に関する自然人の保護、並びに当該データの自由な移動に関するものであり、理事会枠組み決定2008/977/JHAを廃止するものである、OJ L 119, 4.5.2016, p. 89-131.
[6] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), OJ L 201, 31.7.2002, p. 37–47.	[6] 2002年7月12日付欧州議会および理事会指令2002/58/EC（電子通信分野におけるパーソナルデータの処理およびプライバシーの保護に関する指令）、OJ L 201, 31.7.2002, p. 37-47.
[7] More specifically, for remote biometric identification the AI Act is lex specialis vis-à-vis the LED (Art. 5(1)(h) AI Act).	[7] 具体的には、遠隔バイオメトリクス識別については、AI法がLEDに対する特別法である（AI法第5条1項h）。
[8] See in this regards the largest part of AI systems listed in Annex III of the AI Act.	[この点に関しては、AI法の附属書IIIに記載されているAIシステムの大部分を参照のこと。
[9] It has materialised in the EU jurisdictions through position papers, public consultations, parliamentary hearings, guidelines, opinions related to data protection impact assessments, investigations, corrective measures and (sometimes) sanctions. Furthermore, DPAs are also participating in various regulatory sandboxes.	[9] EUの司法管轄区では、ポジションペーパー、公開協議、議会公聴会、ガイドライン、データ保護影響アセスメントに関する意見、調査、是正措置、（時には）制裁措置を通じて具体化している。さらに、DPAは様々な規制のサンドボックスにも参加している。
[10] See, in particular, EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act), 18 June 2021 (hereinafter “EDPB-EDPS Joint Opinion 5/2021”); EDPB Statement on the Digital Services Package and Data Strategy adopted on 18 November 2021.	[10] 特に、2021年6月18日の人工知能に関する調和された規則を定めた欧州議会及び理事会規則（人工知能法）の提案に関するEDPB-EDPS共同意見5/2021（以下「EDPB-EDPS共同意見5/2021」）、2021年11月18日に採択されたデジタルサービスパッケージ及びデータ戦略に関するEDPB声明を参照のこと。
[11] See Recital 153 AI Act.	[11] AI法153条を参照のこと。
[12] See Article 3(48) AI Act.	[12] AI法第3条48項参照。
[13] See Article 77 and Recital 157 AI Act.	[13] AI法第77条および説明157条を参照のこと。
[14] See, in particular points 47 ff. of the EDPB-EDPS Joint Opinion 5/2021.	[14] 特にEDPB-EDPS共同意見書5/2021の第47項以降を参照のこと。
[15] DPAs have been active for a long time and also cooperate on the different topics related to AI systems in different international fora (G7 Data Protection and Privacy Authorities Roundtable, Global Privacy Assembly - GPA, International Working Group on Data Protection in Technology, Council of Europe, international standards organisations, etc.) and, with their representatives, at the OECD. This integration is particularly important in the current context in which AI regulation is widely discussed at the global level, notably regarding the development of standards.	[DPA は以前から積極的に活動しており、様々な国際的な場（G7 Data Protection and Privacy Authorities Roundtable、Global Privacy Assembly - GPA、International Working Group on Data Protection in Technology、欧州評議会、国際標準化機構など）において、また代表者と共に OECD において、AI システムに関連する様々なトピックについて協力している。この統合は、AI規制が世界レベルで広く議論されている現在の状況、特に標準の策定において特に重要である。
[16] See Article 8(3) of the Charter and Article 16(2) of the Treaty on the Functioning of the European Union (hereinafter “TFEU”).	[16] 憲章第8条3項および欧州連合機能条約（以下「TFEU」）第16条2項を参照のこと。
[17] See also Recitals 79 and 80 AI Act.	[17] AI法79条および80条も参照のこと。
[18] See also Articles 3(48), 74(9) and 43(1) AI Act.	[18] AI法3条48項、74条9項、43条1項も参照のこと。
[19] See Articles 26(9), 27(4) and Annex VIII, point 5 AI Act.	[19] AI法第26条第9項、第27条第4項及び附属書VIII第5項も参照のこと。
[20] In particular in the fields of product safety (e.g. in the case of smart toys, see also Annex I), competition, digital and media services, financial services, consumer protection, and fundamental rights protection. 21 See also, with regard to the activity carried out within the regulatory sandboxes, Article 57(10) AI Act. 22 Judgment of the Court of Justice of 4 July 2023, Meta Platforms and others (Conditions générales d’utilisation d’un réseau social, C-252/21, ECLI:EU:C:2023:537), in particular paras 53-63.	[20] 特に、製品安全（スマート玩具の場合など、附属書Iも参照）、競争、デジタルサービスおよび媒体保護サービス、金融サービス、消費者保護、基本的権利保護の分野において。21 規制のサンドボックス内で行われる活動に関しては、AI法第57条10項も参照のこと。22 2023年7月4日付のメタ・プラットフォームズ等に関する司法裁判所の判決（Conditions générales d'utilisation d'un réseau social, C-252/21, ECLI:EU:C:2023:537）、特にパラ53-63。
[21] The AI Office, referred to in Article 64 AI Act, has been established by Commission Decision of 24 January 2024 establishing the European Artificial Intelligence Office, C/2024/390, OJ C, C/2024/1459, 14.2.2024.	[21] AI法第64条で言及されているAI事務局は、欧州人工知能事務局（European Artificial Intelligence Office）を設置する2024年1月24日付の欧州委員会決定（C/2024/390, OJ C, C/2024/1459, 14.2.2024）により設置された。
[22] See also Annex XI, Section 1(1)(e) and (2)(c) of the AI Act.	[22] AI法の附属書XI、第1条(1)(e)および(2)(c)も参照のこと。
[23] Also in light of Articles 2(3)(c) and (d), Articles 3 and 6 of the Commission Decision of 24 January 2024 establishing the European Artificial Intelligence Office, C/2024/1459.	[23] また、第2条(3)(c)および(d)に照らして、欧州人工知能事務局を設置する2024年1月24日の欧州委員会決定（C/2024/1459）の第3条および第6条も参照のこと。
[24] See footnote 22 of this Statement.	[24] 本声明の脚注22を参照のこと。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

 

欧州議会 ファクトチェックの羅針盤 (2024.07.11)

こんにちは、丸山満彦です。

欧州議会が、ファクトチェックの羅針盤を公表し、偽情報、誤情報による意思決定の歪みに対する警告と対処法を公表していますね...

参考になると思います...

 

● European Parliament

・2024.07.11 Fact-checking compass: How to spot information manipulation

1. Check the temperature	1. 温度感を確かめよう
Strong feelings can make false narratives go viral. Shocking developments - disasters, wars or terrorist attacks - can make us forget to check the facts.	強い感情は、誤った物語を流行らせることがある。災害、戦争、テロ攻撃といった衝撃的な展開は、私たちに事実を確認することを忘れさせる。
2. Verify the content	2. 内容を確かめよう
Are facts and figures accurate? Is the information old or taken out of context? Double-check with other, credible sources - including reliable media and factchecking websites.	事実や数字は正確か？情報は古くないか、文脈から外れていないか。信頼できるメディアやファクトチェックのウェブサイトなど、他の信頼できる情報源でダブルチェックする。
3. Check the source	3. 情報源を確かめよう
Do you know the source? Is the domain name dodgy? Beware of mirror websites that mimic trusted sources, but are fake versions.	情報源を知っているか。ドメイン名に偽りはないか？信頼できる情報源に似せているが、偽物であるミラーサイトに注意する。
4. Check the author	4. 作者を確かめよう
Does this person really exist? Run a search on the name and the profile picture (see next step). If the author or content creator has made up their name, the rest could also be fake.	この人物は本当に存在するのか？名前とプロフィール写真で検索をかける（次のステップを参照）。認可やコンテンツ作成者が自分の名前を偽っている場合、他の部分も偽物の可能性がある。
5. Check the images	5. 画像を確かめよう
Images and videos make deep impressions, and manipulation tools are evolving fast. Reverse image and video searches can help detect if content has been used before in a different context.	画像や動画は深い印象を与え、操作ツールは急速に進化している。逆画像検索や逆動画検索は、コンテンツが以前に別の文脈で使用されたかどうかを検出するのに役立つ。
6. Look for hidden signs	6. 隠された兆候を探そう
Does the light in people's eyes match with the location? Do the shadows line up? Are hands, ears and hairlines blurred or disfigured?	人々の目の光は場所と一致しているか？影は一直線に並んでいるか？手、耳、髪の生え際がぼやけていないか。
7. Think before you share	7. 共有する前に考えよう
Some stories and images are designed or spread to spark strong feelings and divide us. You could be looking at a distortion of real or old events - or it could be a joke. Keep a cool head.	ストーリーやイメージの中には、強い感情を呼び起こし、私たちを分断するために作られたり、広められたりするものがある。現実や昔の出来事を歪曲したものを見ている可能性もあるし、ジョークかもしれない。冷静になろう。
8. Join the myth-busters	8. 神話を打ち負かす仲間になろう
Keep abreast of the goals, the narratives and the techniques of those who spread disinformation. If you spot it, report it to the platform. Keep your friends and family in the loop.	偽情報を流す人たちの目標、語り口、手法を常に把握する。それを見つけたら、プラットフォームに報告する。友人や家族にも情報を提供しよう。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

 

・disinformationの検索

 

・2024.07.18 OECD 公的機関における信頼の促進要因に関する調査 - 2024年調査結果 •2024.07.10)

・2024.06.07 欧州議会 欧州議会選挙に対する偽情報に対する準備は整った（選挙期間中）

・2024.06.02 欧州会計監査院がEU選挙を控えているので偽情報とサイバーセキュリティには気をつけろといってますね...

・2024.05.23 外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加（ビデオメッセージ）+ ＡＩソウル・サミット首脳セッション出席国による安全、革新的で包摂的なＡＩのためのソウル宣言 

・2024.05.07 OECD 閣僚会議声明とAI原則の改訂...

・2024.04.14 米国 EPIC他 テック・プラットフォーマーにAIによる選挙偽情報に対抗するように要請

・2024.04.02 ENISA 2030年のサイバーセキュリティ脅威の展望- 2024年更新版のエグゼクティブサマリー

・2024.03.14 米国 インテリジェンス・コミュニティによる2024年の脅威評価 

・2024.02.26 英国 オーストラリア オンラインの安全とセキュリティに関する協力についての覚書

・2023.12.22 自由民主党 AI の安全性確保と活用促進に関する緊急提言 (2023.12.14)

 

 

 

米国 MITRE AI保証

こんにちは、丸山満彦です。

何事にもアカウンタビリティが重要と考える欧米の文化ですから、AIのAssurance（保証）というのも当然に考えるわけですが、英国のみならず、米国もですかね...

 

● MITRE

・2024.07.15 AI Assurance: A Repeatable Process for Assuring AI-Enabled Systems—Executive Summary

AI Assurance: A Repeatable Process for Assuring AI-Enabled Systems—Executive Summary	AI保証： AIを活用したシステムを保証するための反復可能なプロセス - エグゼクティブサマリー
This document provides an executive summary of "AI Assurance: A Repeatable Process for Assuring AI-enabled Systems," which defines the process for discovering, assessing, and managing risk throughout the life cycle of an AI-enabled system.	本書は「AI保証」のエグゼクティブサマリーを提供する： AI Assurance: A Repeatable Process for Assuring AI-enabled Systems」の要旨であり、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントするためのプロセスを定義している。
Federal agencies are being encouraged by the White House to remove barriers to innovation, accelerate the use of artificial intelligence (AI) tools, and leverage AI to better fulfill their missions, all while setting up guardrails to mitigate risks. In recent years, the U.S. has made progress in addressing these concerns, but there are significant gaps in our current understanding of the risks posed by AI-enabled applications when they support consequential government functions. A repeatable engineering approach for assuring AI-enabled systems is required to extract maximum value from AI while protecting society from harm.	連邦政府機関はホワイトハウスから、イノベーションの障壁を取り除き、人工知能（AI）ツールの利用を加速させ、AIを活用して任務をよりよく遂行するよう奨励されている。近年、米国はこうした懸念への対処を進めてきたが、AIを活用したアプリケーションが政府の重要な機能をサポートする際にもたらすリスクに関する現在の理解には大きなギャップがある。社会を危害から守りつつAIから最大限の価値を抽出するためには、AI対応システムを保証するための反復可能な工学的アプローチが必要である。
This document provides an executive summary of "AI Assurance: A Repeatable Process for Assuring AI-enabled Systems," which defines and articulates AI assurance as a process for discovering, assessing, and managing risk throughout an AI-enabled system's life cycle to ensure it operates effectively for the benefit of its stakeholders. The process is designed to be adaptable to different contexts and sectors, making it relevant to the national discussion on regulating AI.	本書は、「AI保証」のエグゼクティブ・サマリーを提供する： 本書は、「AI保証：AI対応システムをアシュアするための反復可能なプロセス」のエグゼクティブ・サマリーを提供するものであり、AI保証を、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントし、ステークホルダーの利益のために効果的に運用するためのプロセスとして定義し、明確にしている。このプロセスは、さまざまな文脈や分野に適応できるように設計されており、AI規制に関する国内議論に関連している。

 

エグゼクティブサマリー...

・[PDF] AI ASSURANCE A Repeatable Process for Assuring AI-enabled Systems

 

全体...

・2024.06.05 AI Assurance: A Repeatable Process for Assuring AI-enabled Systems

AI Assurance: A Repeatable Process for Assuring AI-enabled Systems	AI保証： AIを活用したシステムを保証するための反復可能なプロセス - エグゼクティブサマリー
Extracting maximum value from AI while protecting against societal harm requires a repeatable engineering approach for assuring AI-enabled systems in mission contexts. This paper articulates such an approach and outlines how it can be used to develop an AI Assurance Plan to achieve and maintain assurance throughout the life cycle of an AI-enabled system.	本書は「AI保証」のエグゼクティブサマリーを提供する： AI Assurance: A Repeatable Process for Assuring AI-enabled Systems」の要旨であり、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントするためのプロセスを定義している。
Artificial intelligence increasingly informs consumer choices—from movie recommendations to routine customer service inquiries. However, high-consequence AI applications such as autonomous vehicles, accessing government benefits, or healthcare decisions surface significant concerns. The MITRE-Harris Poll survey on AI trends finds that just 48% of the American public believes AI is safe and secure, whereas 78% voice concern about its potential for malicious use. Assuring AI-enabled systems to address these concerns is nontrivial and will require collaboration across government, industry, and academia.	連邦政府機関はホワイトハウスから、イノベーションの障壁を取り除き、人工知能（AI）ツールの利用を加速させ、AIを活用して任務をよりよく遂行するよう奨励されている。近年、米国はこうした懸念への対処を進めてきたが、AIを活用したアプリケーションが政府の重要な機能をサポートする際にもたらすリスクに関する現在の理解には大きなギャップがある。社会を危害から守りつつAIから最大限の価値を抽出するためには、AI対応システムを保証するための反復可能な工学的アプローチが必要である。
In AI Assurance: A Repeatable Process for Assuring AI-enabled Systems, we define and articulate AI assurance as a process for discovering, assessing, and managing risk throughout an AI-enabled system's life cycle to ensure it operates effectively for the benefit of its stakeholders. The process results in an AI Assurance Plan, a comprehensive artifact outlining the necessary activities to achieve and maintain the assurance of an AI-enabled system in a mission context. We also discuss how this process may be applied in different phases of the AI life cycle, such as system development, acquisition, certification, and deployment. We conclude by highlighting the need for sector-specific AI assurance labs and emphasize the importance of public-private partnerships in advancing AI assurance.	本書は、「AI保証」のエグゼクティブ・サマリーを提供する： 本書は、「AIアシュアランス：AI対応システムをアシュアするための反復可能なプロセス」のエグゼクティブ・サマリーを提供するものであり、AIアシュアランスを、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントし、ステークホルダーの利益のために効果的に運用するためのプロセスとして定義し、明確にしている。このプロセスは、さまざまな文脈や分野に適応できるように設計されており、AI規制に関する国内議論に関連している。

 

・[PDF]

 

・[DOCX][PDF] 両方あわせた仮訳...

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

AI Assurance

・2024.07.07 米国 MITRE AI規制を通じてAIのセキュリティと安全性を確保する

・2024.02.14 英国 AI保証への導入ガイダンス (2024.02.12)

・2023.11.28 米国 CISA AI導入のロードマップ (2023.11.14)

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.10.27 米国 MITRE 重要インフラにおけるAIサイバーリスク低減の原則： 優先順位付けのアプローチ

・2023.09.10 カーネギーメロン大学ソフトウェア工学研究所 新たなテクノロジー：国防総省におけるソフトウェアの未来を変える7つのテーマ (2023.08.24)

・2023.07.18 英国 科学技術省データ倫理・イノベーションセンターブログ AI保証の専門家が他の領域から学ぶべき6つの教訓 (2023.07.12)

・2023.06.18 英国 科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.06.16 米国 MITRE AIセキュリティのための賢明な規制の枠組み

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック：AI保証の障壁と実現要因」

・2021.12.09 英国 AI保証に向けたロードマップを公表（AI認証制度？）

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ　AIの保証についての3つの記事

 

ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

こんにちは、丸山満彦です。

2024.07.12にEUのAI法が官報に掲載されたことを受けて、ドイツのBfDI、フランスのCNIL、オランダのAPがAI法関連の情報を掲載していますね...

 

CNILの内容は特によいように感じます。

 

---

まずは、ドイツのBfDI

● Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit; BfDI

 

・2024.07.16 Die neue KI-Verordnung der EU

Die neue KI-Verordnung der EU	EUの新しいAI規制
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) fasst zur Veröffentlichung der Verordnung über künstliche Intelligenz (KI-VO) die wichtigsten Punkte aus Sicht des Datenschutzes zusammen.	連邦データ保護・情報自由委員会（BfDI）は、人工知能規則（AI規則）の公表について、データ保護の観点から最も重要な点をまとめている。
Die KI-VO wurde am 13. Juni von den Präsidenten des EU Parlaments und des Rates der EU unterzeichnet. Nach der Veröffentlichung im Amtsblatt der EU am 12. Juli tritt die Verordnung 20 Tage später in Kraft. Sie stellt umfassende Regeln auf, um Grundrechte zu gewährleisten und Innovation zu fördern, darunter ein Verbot von Social Scoring und von bestimmten Methoden der Gesichtserkennung. In der Einschätzung des BfDI erfahren Sie mehr zum Thema.	AI規則は6月13日、EU議会とEU理事会の議長によって署名された。7月12日にEU官報に掲載された後、同規則は20日後に発効する。同規則は、基本的権利を保証し、イノベーションを促進するための包括的な規則を定めており、ソーシャル・スコアリングや特定の顔認識方法の禁止も含まれている。BfDIの評価で詳細を確認する。

 

 

Die KI-Verordnung der EU	EUのAI規則
Die KI-VO stellt umfassende Regeln für KI auf, welche die Einhaltung der Grundrechte gewährleisten und gleichzeitig Innovation fördern sollen.	AI規則は、基本的権利の遵守を確保し、同時にイノベーションを促進することを目的とした、AIに関する包括的な規則を制定している。
In der KI-VO wird ein risikobasierter Ansatz verfolgt. KI-Praktiken, die mit fundamentalen Werten der EU nicht vereinbar sind und ein inakzeptables Risiko für die Grundrechte der EU Bürgerinnen und Bürger darstellen, werden verboten. Darunter fällt beispielsweise das sogenannte „Social Scoring“, die Bewertung natürlicher Personen auf Grundlage ihres Sozialverhaltens, aber auch die Erstellung von Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet.	AI規則はリスクベースのアプローチをとっている。EUの基本的価値観と相容れず、EU市民の基本的権利に受け入れがたいリスクをもたらすAI行為は禁止されている。これには、例えば、いわゆる「ソーシャル・スコアリング」と呼ばれる、社会的行動に基づいて自然人を評価する行為や、インターネット上の顔画像を無制限に読み取って顔認識用のデータベースを作成する行為などが含まれる。
KI-Systeme in bestimmten anderen Bereichen werden als mit hohem Risiko behaftet klassifiziert. Das umfasst etwa KI-Systeme, die in Produkten wie Funkanlagen oder Fahrzeugen eingesetzt werden, aber auch solche KI-Systeme, die zur biometrischen Fernidentifizierung oder bei der Prüfung von Asylanträgen zum Einsatz kommen. Für solche Hochrisiko-KI-Systeme gelten spezifische Anforderungen, beispielsweise an die Qualität der verwendeten Daten, die Genauigkeit, die Robustheit und die Cybersicherheit. Zusätzlich muss es für Hochrisiko-KI-Systeme eine technische Dokumentation, eine Protokollierungsfunktion und ein Risikomanagement geben. Weitere Anforderungen sind Transparenz und menschliche Aufsicht.	その他の特定分野のAIシステムは、高リスクに分類される。これには、無線機器や自動車などの製品に使用されるAIシステムだけでなく、遠隔生体認証や亡命申請のチェックに使用されるAIシステムも含まれる。このような高リスクのAIシステムには、使用するデータの品質、正確性、堅牢性、サイバーセキュリティなどに関して、特定の要件が適用される。さらに、リスクの高いAIシステムには、技術文書、ロギング機能、リスク管理が義務付けられている。その他の要件としては、透明性と人的監視がある。
Bestimmte Transparenzanforderungen müssen auch von KI-Systemen, die mit natürlichen Personen interagieren, Emotionserkennungssystemen, biometrischen Kategorisierungssystemen und KI-Systemen mit allgemeinem Verwendungszwecke erfüllt werden. KI-Systeme, die nur mit geringen Risiken verbunden sind, sind nicht von der KI-VO betroffen. Das bedeutet allerdings nicht, dass für diese KI-Systeme keine Gesetze gelten. KI befand sich auch vor der KI-VO nicht in einem rechtsfreien Raum. Die DSGVO ist technologieneutral und gilt insbesondere auch für KI-Systeme, das wird auch mit der KI-VO weiterhin der Fall sein. Die KI-VO ergänzt bestehende rechtliche Vorgaben. Wegen der hohen Komplexität von KI-Systemen und der im Vergleich zu herkömmlicher Software geringeren Nachvollziehbarkeit und Transparenz sind die KI-spezifischen Vorgaben aus der KI-VO für den Schutz der Grundrechte sinnvoll. Auch die Datenschutzaufsichtsbehörden erhalten durch die KI-VO neue Aufgaben und Befugnisse.	自然人と対話するAIシステム、感情認識システム、生体認証分類システム、汎用AIシステムについても、一定の透明性要件を満たさなければならない。リスクが低いAIシステムは、AI規制の影響を受けない。しかし、これはこれらのAIシステムに法律が適用されないことを意味するものではない。AI規則が制定される以前から、AIは法的空白地帯にあったわけではない。GDPRは技術的に中立であり、特にAIシステムにも適用される。AI規則は既存の法的要件を補完するものである。AIシステムは複雑性が高く、従来のソフトウェアに比べてトレーサビリティや透明性が低いため、AI規則によるAI固有の要件は基本的権利の保護にとって意味がある。AI規則はまた、データ保護監督当局に新たな任務と権限を与えている。
Informationen, Befugnisse und Aufgaben für Datenschutzaufsichtsbehörden	データ保護監督当局の情報、権限、任務
Als für den Schutz der Grundrechte zuständige Behörden erhalten sie Zugriff auf für die Erfüllung ihrer Aufgaben erforderliche Dokumente, die zur Einhaltung der KI-VO erstellt werden müssen. Bei ihren bestehenden Aufsichtstätigkeiten werden die Datenschutzaufsichtsbehörden zudem unterstützt, indem sie, falls erforderlich, technische Untersuchungen durch die Marktüberwachungsbehörden für KI anfragen können. Außerdem sind sie von diesen über Meldungen schwerwiegender Vorkommnisse zu informieren. Einige Hochrisiko-KI-Systeme müssen grundsätzlich von den Anbietenden in einer EU-Datenbank registriert werden. Diese Registrierungen sind in bestimmten Fällen nicht öffentlich, die Datenschutzaufsichtsbehörden dürfen diese aber einsehen.	基本的権利の保護に責任を負う当局として、当局はその任務遂行に必要な文書にアクセスすることができ、それらはAI規則を遵守するために作成されなければならない。また、データ保護監督当局は、必要に応じてAIに関する市場監視当局の技術的調査を要請することができ、既存の監督活動を支援される。また、重大インシデントの報告については、これらの当局から報告を受けなければならない。リスクの高いAIシステムの中には、提供者がEUのデータベースに登録しなければならないものもある。場合によっては、これらの登録は公開されないが、データ保護監督当局は閲覧することができる。
Bei der Aufsicht über staatliche Strafverfolgungsbehörden ist eine weitere Ergänzung vorgesehen. So muss auf Nachfrage die Dokumentation der Anwendung biometrischer Fernidentifizierungssysteme gegenüber der zuständigen Datenschutzaufsichtsbehörde offengelegt werden. Zudem müssen den Datenschutzaufsichtsbehörden zusammengefasste Jahresberichte über die Verwendung von biometrischen Fernidentifizierungssystemen vorgelegt werden.	国家法執行当局の監督については、さらなる追加が計画されている。例えば、バイオメトリクス遠隔識別システムの使用に関する文書は、要求に応じて管轄のデータ保護監督当局に開示されなければならない。さらに、バイオメトリクス遠隔識別システムの使用に関する要約された年次報告書をデータ保護監督当局に提出しなければならない。
Eine weitere Aufgabe für die Datenschutzaufsichtsbehörden ergibt sich im Rahmen der Reallabore, die in der KI-VO zur Innovationsförderung vorgesehen sind. Reallabore sollen eine kontrollierte Umgebung bieten, die die Entwicklung, das Training, das Testen und die Validierung innovativer KI-Systeme für einen begrenzten Zeitraum erleichtert. Wenn in einem solchen Reallabor personenbezogene Daten verarbeitet werden, sind die Datenschutzaufsichtsbehörden einzubeziehen.	データ保護監督当局のさらなる任務は、イノベーションを促進するためにAI規則で規定されている実世界ラボとの関連で生じる。リアルワールド・ラボは、革新的なAIシステムの開発、訓練、テスト、検証を一定期間容易にする管理された環境を提供することを目的としている。そのような実世界ラボで個人データが処理される場合、データ保護監督当局は関与しなければならない。
Diese Aspekte ergänzen bereits bestehende Aufgaben und Befugnisse der Datenschutzaufsichtsbehörde und stärken den Schutz der Grundrechte und die Einhaltung des Datenschutzes. Der BfDI begrüßt diese Änderungen und freut sich auf die neuen Aufgaben.	これらの側面は、データ保護監督当局の既存の任務と権限を補完し、基本的権利の保護とデータ保護の遵守を強化するものである。BfDIはこれらの変更を歓迎し、新たな任務に期待している。
Grundsätzlich bleibt die Zuständigkeit der Datenschutzaufsichtsbehörden für den Datenschutz aber von der KI-VO unberührt. Bei Beschwerden über Datenschutzverletzungen im Zusammenhang mit KI-Systemen sind weiterhin die Datenschutzaufsichtsbehörden die zuständigen Ansprechpartner. Bürgerinnen und Bürger können entsprechende Beschwerden an die für sie bereits zuständige Datenschutzaufsichtsbehörde richten.	しかし、原則として、データ保護に関するデータ保護監督当局の権限は、AI規則の影響を受けないままである。AIシステムに関連したデータ保護違反に関する苦情については、データ保護監督当局が引き続き管轄窓口となる。市民はそのような苦情を、すでに担当しているデータ保護監督当局に訴えることができる。
Aufsichtsstrukturen für die KI Aufsicht	AI監督のための監督機構
Die KI-VO beinhaltet allerdings auch umfassende neue Regeln für KI. Die Aufsicht über die Einhaltung dieser Vorgaben ist grundsätzlich nach Sektoren aufgeteilt. Für einige KI-Systeme wird die Zuständigkeit bei der EU Kommission liegen, die dafür ein Büro für KI einrichtet. Dieses wird KI-Modelle mit allgemeinem Verwendungszweck und KI-Systeme mit allgemeinem Verwendungszweck, die auf einem Modell desselben Anbieters basieren, beaufsichtigen. Darunter fallen zum Beispiel Chatbots, die auf einem großen Sprachmodell (engl. Large Language Model) des gleichen Herstellers beruhen.	しかし、AI規則にはAIに関する包括的な新規則も含まれている。これらの要求事項の遵守の監督については、基本的に分野ごとに分かれている。一部のAIシステムについては、EU委員会が責任を負うことになり、同委員会はそのためのAI事務所を設置する。このオフィスは、汎用のAIモデルと、同じプロバイダーのモデルをベースにした汎用のAIシステムを監督する。これには、例えば、同じベンダーの大規模な言語モデルに基づくチャットボットなどが含まれる。
Für Hochrisiko-KI-Systeme, die in Produkten wie Funkanlagen oder Fahrzeugen eingesetzt werden für die es bereits EU Produktregulierungen gibt, werden die dafür zuständigen Marktüberwachungsbehörden der Mitgliedstaaten auch die Einhaltung der zusätzlichen Vorgaben aus der KI-VO durchsetzen. Für den Finanzbereich sieht die KI-VO vor, dass die für die Finanzaufsicht zuständigen Behörden in diesem Bereich auch für die KI-VO zuständig sind. Für Hochrisiko-KI-Systeme, die im Bereich der Strafverfolgung, Migration, Asyl oder Grenzkontrolle, sowie bei der Rechtspflege und im Zusammenhang mit demokratischen Prozessen eingesetzt werden, sind die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden vorgesehen.	EUの製品規制がすでに存在する無線機器や自動車などの製品に使用される高リスクのAIシステムについては、加盟国の担当市場監視当局もAI規則の追加要件の遵守を強制する。金融分野については、この分野の金融監督を担当する当局がAI規則にも責任を持つことが規定されている。法執行、移民、亡命、国境管理、司法行政、民主主義プロセスなどの分野で使用されるリスクの高いAIシステムについては、データ保護監督当局が市場監視当局として想定されている。
Ein spannender Aspekt und noch offen ist, welche nationalen Behörden die Aufsicht über die KI-Systeme mit allgemeinem Verwendungszweck haben werden, die nicht unter die Zuständigkeit des Europäischen Büros für KI fallen. Außerdem ist nicht festgelegt, welche Behörden die Marktüberwachungsbehörden für die KI-Systeme zur biometrischen Fernidentifizierung oder Kategorisierung und zur Emotionserkennung sein werden. Auch die Zuständigkeiten für Hochrisiko-KI-Systeme in den Bereichen kritische Infrastruktur, allgemeine und berufliche Bildung, Arbeitnehmermanagement, sowie Zugang zu und Inanspruchnahme grundlegender privater Dienstleistungen und grundlegender öffentlicher Dienste und Leistungen sind noch nicht festgelegt.	興味深い点としては、欧州AIビューローの権限に属さない汎用AIシステムの監督を、どの国家当局が担当するかがまだ決まっていない。また、遠隔生体認証や分類、感情認識のためのAIシステムについても、どの当局が市場監視当局となるかは決まっていない。また、重要インフラ、教育・訓練、労務管理、必要不可欠な民間サービスや必要不可欠な公共サービス・給付へのアクセス・利用といった分野におけるリスクの高いAIシステムに対する責任も、まだ定義されていない。
Insgesamt sind die Aufsichtsstrukturen für KI sehr komplex. Insbesondere in Deutschland führt das föderale System zu einer besonders hohen Anzahl an Behörden, die in die KI-Aufsicht involviert sein werden. Damit es für Interessenträger dennoch nur einen zentralen Kontaktpunkt bei Anliegen im Kontext der KI-VO gibt, soll jeder Mitgliedstaat einen sogenannten Single-Point-of-Contact benennen. Dieser ist für Bürgerinnen und Bürger besonders relevant im Hinblick auf das Recht auf Einreichung einer Beschwerde bei einer Marktüberwachungsbehörde, da solche Beschwerden dann an diesen Single-Point-of-Contact gerichtet werden können. Zukünftig sollen zudem Verstöße gegen die KI-VO dort gemeldet werden. Welche Behörde diese Aufgabe in Deutschland übernehmen wird ist noch nicht festgelegt.	全体として、AIの監督機構は非常に複雑である。特にドイツでは、連邦制を採用しているため、AI監督に関わる当局の数が特に多い。AI規則に関連して懸念を抱く利害関係者の窓口を一本化するため、各加盟国は窓口を一本化することになっている。これは特に、市場監視当局に苦情を申し立てる権利に関する市民にとって重要である。将来的には、AI規則の違反もこの窓口で報告されることになる。ドイツでどの認可機関がこの任務を担うかはまだ決まっていない。
Ausblick	展望
Die noch offenen Zuständigkeiten unterliegen jetzt einer Umsetzung auf nationaler Ebene. In engem Austausch mit den in Frage kommenden Behörden wird aktuell eine entsprechende Zuordnung ausgehandelt, die den jeweiligen Besonderheiten der einzelnen Bereiche entsprechen und eine möglichst reibungslose Zusammenarbeit der verschiedenen Stellen gewährleisten soll. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat dazu ein Positionspapier veröffentlicht.	現在、未解決の責務は、各国レベルでの実施に委ねられている。該当する当局との緊密な対話の中で、現在、各分野の特殊性に対応し、各機関間の協力が可能な限り円滑に行われるよう、対応する割り当てについて交渉中である。独立連邦・州データ保護監督機関会議（DSK）は、これに関するポジションペーパーを発表した。
Behörden und Firmen haben zunächst eine Übergangsfrist zur Umsetzung der Vorgaben aus der KI-VO. Die Verbote von KI-Praktiken, die ein inakzeptables Risiko für die Grundrechte der EU Bürgerinnen und Bürger darstellen, gelten bereits 6 Monate nach Inkrafttreten der KI-VO. Die übrigen Vorgaben werden nach einem bis drei Jahren gelten.	当局と企業は当初、AI規則の要求事項を実施するための経過措置期間が設けられている。EU市民の基本的権利に許容できないリスクをもたらすAI慣行の禁止は、AI規則の発効から6ヵ月後に適用される。その他の要件は1～3年後に適用される。
Bei einigen Aspekten lässt die KI-VO Raum für nationale Anpassungen. Der BfDI empfiehlt der Bundesregierung diese Möglichkeit im Kontext der biometrischen Fernidentifizierung zu nutzen und striktere nationale Verbote umzusetzen.	いくつかの点については、AI規則は国内調整の余地を残している。BfDIは、連邦政府に対し、遠隔生体認証に関してこの可能性を活用し、より厳格な国内禁止措置を実施するよう勧告する。

 

 

---

次はフランスのCNIL

・CNIL

・2024.07.12 Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL

Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL	AIに関する欧州規制の発効：CNILの最初の質問と回答
Depuis un an, la CNIL a lancé son plan d’action pour promouvoir une IA respectueuse des droits des personnes sur leurs données et sécuriser les entreprises innovant en la matière dans leur application du RGPD. À l’occasion de la publication du règlement IA au JOUE, la CNIL répond à vos questions sur ce nouveau texte.	1年前、フランスデータ保護局（CNIL）は、データに対する人々の権利を尊重するAIを推進し、この分野でイノベーションを起こす企業がGDPRを適用する際の安全性を提供するための行動計画を発表した。OJEUでのAI規則の公表に際して、CNILはこの新しい文書に関する質問に答えている。
résentation du règlement IA	AI規則の紹介
Qu’est-ce que prévoit le règlement IA (ou AI Act) ?	AI規則（またはAI法）は何を規定するのか？
Qui contrôlera l’application du RIA dans l’UE et en France ?	誰がEUおよびフランスにおけるAI規則の適用を監視するのか？
Comment la CNIL va-t-elle prendre en compte le RIA ?	CNILはRIAをどのように考慮するのか？
Quand le RIA entre-t-il en application ?	RIAはいつ発効するのか？
Comment s’articulent le RGPD et le RIA ?	RGPDとRIAはどのように整合するのか？
Le RIA remplace-t-il les exigences du RGPD ?	RIAはRGPDの要求事項に取って代わるのか？
>RIA / RGPD : comment savoir quel(s) règlement(s) s’applique(nt) à moi ?	RIA／RGPD：どの規制が適用されるかを知るには？
Comment le RIA impacte-t-il le RGPD ?	RIAはRGPDにどのような影響を与えるのか？
Transparence et documentation : comment articuler ces exigences du RIA avec celles du RGPD ?	透明性と文書化：RIAの要求事項とRGPDの要求事項をどのように関連づければよいか？

 

 

---

オランダ...

●  Autoriteit Persoonsgegevens; AP

 

・AI-verordening

AI-verordening	AI規制
De AI-verordening komt eraan: de eerste uitgebreide wet over kunstmatige intelligentie ter wereld. In de AI-verordening staan de regels voor het verantwoord ontwikkelen en gebruiken van AI door bedrijven, overheden en andere organisaties.	人工知能に関する世界初の包括的な法律「AI規則」が誕生する。AI規制は、企業、政府、その他の組織によるAIの責任ある開発と利用のためのルールを定めたものである。
De verordening gaat gefaseerd in en zal medio 2027 geheel van kracht zijn. Een aantal AI-systemen is waarschijnlijk vanaf eind 2024 al verboden. Daarom is het slim om u nu alvast voor te bereiden. Zie ook de 'snelle antwoorden' op deze pagina.	規制は段階的に導入され、2027年半ばには完全に施行される予定だ。一部のAIシステムは、早ければ2024年末に禁止される可能性が高い。したがって、今から準備しておくのが賢明だ。このページの「クイックアンサー」も参照のこと。
Rapportage AI- en algoritmerisico’s Nederland	オランダでAIとアルゴリズムのリスクを報告する
De AP publiceert elk half jaar een Rapportage AI- en algoritmerisico’s Nederland (RAN), om daarmee een beeld te geven van ontwikkelingen en trends in de risico’s.	APは6カ月ごとに、リスクの進展と傾向を把握するため、Rapportage AI- en algoritmerisk's Nederland (RAN) (オランダのAIとアルゴリズムリスクに関する報告書)を発行している。
Waarom deze wet?	なぜこの法律なのか？
De AI-verordening is er om ervoor te zorgen dat iedereen in Europa erop kan vertrouwen dat AI-systemen veilig werken en dat grondrechten beschermd zijn. Ook al zijn er veel systemen met weinig risico’s en zijn er allerlei voordelen aan AI, er is ook een hele andere kant. Bestaande wetten zoals de Algemene verordening gegevensbescherming (AVG) en de Wet politiegegevens (Wpg) bieden al bescherming. Bijvoorbeeld als AI-systemen worden gebruikt om persoonsgegevens te verwerken. Maar dat is onvoldoende om alle risico’s aan te pakken die bij AI komen kijken. Onverantwoord gebruik van AI kan bijvoorbeeld leiden tot discriminatie, beperkingen van onze vrijheden en misleiding en uitbuiting van mensen. De AI-verordening helpt ervoor te zorgen dat ontwikkelaars van AI-systemen risico’s aanpakken en dat daar toezicht op is.	AI規制は、AIシステムが安全に機能し、基本的権利が保護されることを欧州の誰もが信頼できるようにするためにある。AIには低リスクのシステムも多く、さまざまな利点があるが、まったく別の側面もある。一般データ保護規則（AVG）や警察データ法（Wpg）といった既存の法律は、すでに保護を提供している。例えば、AIシステムが個人データの処理に使用される場合などだ。しかし、AIに関わるすべてのリスクに対処するには不十分だ。例えば、AIの無責任な使用は、差別、私たちの自由の制限、人々の欺瞞や搾取につながる可能性がある。AI規制は、AIシステムの開発者がリスクに対処し、これを監督することを保証するのに役立つ。
Voor wie gelden de regels in de AI-verordening?	AI規制のルールは誰に適用されるのか？
De AI-verordening is zowel gericht op organisaties die AI aanbieden als op organisaties die de AI gebruiken. Van overheid en zorginstelling tot het mkb.	AI規制は、AIを提供する組織と利用する組織の双方を対象としている。政府機関や医療機関から中小企業に至るまでである。
Aanbieders moeten er bijvoorbeeld voor zorgen dat de systemen die ze ontwikkelen voldoen aan de eisen voordat ze deze in de handel brengen en deze in gebruik mogen worden genomen. Ook moeten zij blijven monitoren of er risico’s ontstaan voor bijvoorbeeld de bescherming van grondrechten. En actie ondernemen als er iets mis is met het systeem. Aanbieders moeten er ook voor zorgen dat de systemen voldoende transparant zijn zodat ze op de juiste manier gebruikt worden.	例えば、プロバイダーは、開発したシステムを販売し、使用を許可する前に、そのシステムが要件を満たしていることを確認しなければならない。また、例えば基本的権利の保護に何らかのリスクが生じないかどうかを監視し続けなければならない。そして、システムに何か問題があれば、対策を講じなければならない。プロバイダーはまた、システムが適切に利用されるよう、十分な透明性を確保しなければならない。
Organisaties hebben bijvoorbeeld de verantwoordelijkheid het AI-systeem te gebruiken volgens de gebruiksaanwijzing die de aanbieder meegeeft. Ook moeten gebruikende organisaties zorgen dat er menselijk toezicht is, relevante en voldoende representatieve inputdata gebruiken en incidenten melden bij de aanbieder en de toezichthouder. In bepaalde gevallen moeten zij ook het gebruik van het systeem registeren in een Europese databank.	例えば、組織は、プロバイダーが提供するユーザーマニュアルに従ってAIシステムを使用する責任がある。また、使用する組織は、人間による監督を確保し、適切かつ十分に代表的な入力データを使用し、インシデントをプロバイダーと規制当局に報告しなければならない。場合によっては、システムの利用を欧州のデータベースに登録しなければならない。
Daarnaast regelt de AI-verordening dat alle mensen die in aanraking komen met een AI-systeem, het recht hebben om:	さらにAI規制は、AIシステムに接触するすべての人が以下の権利を有することを規定している：
een klacht in te dienen bij een toezichthouder;	規制当局に苦情を申し立てる；
in sommige gevallen een toelichting te krijgen wanneer er een besluit over hen wordt genomen op basis van de uitvoer van een AI-systeem met een hoog risico.	高リスクのAIシステムの輸出に基づく決定がなされた場合、場合によっては説明を受ける権利がある。
Wat regelt de AI-verordening?	AI規制は何を規制しているのか？
De AI-verordening deelt AI-systemen in aan de hand van risicogroepen. Hoe hoger het risico voor burgers en de samenleving als geheel, hoe strenger de regels. Belangrijke punten die de wet bijvoorbeeld regelt zijn dat:	AI規制は、AIシステムをリスクグループによって分類している。市民や社会全体に対するリスクが高ければ高いほど、規則は厳しくなる。法律が規制する重要なポイントは、例えば以下の通りである：
toepassingen die een onaanvaardbaar risico met zich meebrengen worden verboden;	許容できないリスクをもたらすアプリケーションは禁止される；
toepassingen die een hoog risico vormen aan strengere regels worden gebonden. Voorbeelden zijn AI-systemen die bedoeld zijn voor werving- en selectie of voor rechtshandhaving. Organisaties moeten bijvoorbeeld activiteiten van het systeem loggen, adequaat datamanagement inrichten en zorgen dat er menselijk toezicht mogelijk is. Ze moeten ook kunnen aantonen dat ze aan deze verplichtingen voldoen. De AI-verordening bevat een lijst met hoogrisicosystemen die aan deze en andere eisen moeten voldoen.  Toepassingen die een lager risico vormen moeten voldoen aan verschillende regels op het gebied van transparantie. Een systeem dat kunstmatige content genereert, moet dit bijvoorbeeld duidelijk markeren voor de burger.	高いリスクをもたらすアプリケーションには、より厳しいルールが適用される。例えば、採用選考や法執行を目的としたAIシステムなどがある。例えば、組織はシステムの活動を記録し、適切なデータ管理を設定し、人間による監視が可能であることを保証しなければならない。また、これらの義務を遵守していることを証明できなければならない。AI規制には、これらの要件やその他の要件を満たさなければならない高リスクシステムのリストが含まれている。 低リスクのアプリケーションは、様々な透明性ルールに従わなければならない。例えば、人工的なコンテンツを生成するシステムは、それを市民向けに明確に表示しなければならない。
er toezichthouders worden aangewezen die het naleven van de verordening kunnen handhaven, organisaties kunnen verplichten een product uit de handel te nemen en boetes kunnen opleggen.	規制当局は、コンプライアンスを強制し、組織に製品の市場からの撤退を要求し、罰金を課すことができる。
Als uw organisatie een AI-systeem ontwikkelt of gebruikt, dan is het uw verantwoordelijkheid om te controleren in welke categorie het systeem valt. Voordat de verplichtingen gelden voor AI-systemen met een hoog risico, komen er richtlijnen die organisaties helpen om te beoordelen welke systemen in welke risicogroep vallen. Zie ook: Risicogroepen AI-verordening.	あなたの組織がAIシステムを開発または使用する場合、そのシステムがどのカテゴリーに分類されるかを確認するのはあなたの責任である。高リスクのAIシステムに義務が適用される前に、組織がどのシステムがどのリスクグループに該当するかを評価するのに役立つガイドラインが策定される予定である。参照：リスクグループ AI規制
Specifieke regels voor overheden	公的機関向けの特別ルール
In de AI-verordening staan ook extra regels voor overheden en uitvoerders van publieke taken. Zij moeten bij systemen met een hoog risico altijd een zogenoemde grondrechteneffectbeoordeling doen. Deze organisaties moeten ook hun gebruik registreren in de Europese database voor AI-systemen.	AI規制には、公的機関や公的業務の実施者に対する追加規則も含まれている。これらの機関は、リスクの高いシステムについて、常にいわゆる基本的権利影響評価を行わなければならない。また、これらの組織は、AIシステムの使用を欧州のデータベースに登録しなければならない。
Aanbieders van AI-modellen voor algemene doeleinden	汎用AIモデルの提供者
Voor aanbieders van 'AI-modellen voor algemene doeleinden' gaan er ook regels gelden. Deze modellen staan ook wel bekend als 'general purpose AI'. Het gaat dan om de modellen die de basis vormen voor andere toepassingen, bijvoorbeeld de taalmodellen die bestaan voor AI-chatbots.	汎用AIモデル」のプロバイダーも規則の対象となる。これらのモデルは「汎用AI」とも呼ばれる。例えば、AIチャットボット用の言語モデルなどである。
De ontwikkelaars van deze modellen zijn onder meer verplicht om technische documentatie over hun product op te stellen, het systeem 'uitlegbaar' te maken en ze moeten beleid hebben om auteursrechten te beschermen. Handhaving zal voor het grootste deel op Europees niveau plaatsvinden, door het Europese AI Office.	とりわけ、これらのモデルの開発者は、その製品に関する技術文書を作成し、システムを「説明可能」にし、著作権を保護するポリシーを持たなければならない。施行は、欧州AI庁によって欧州レベルで行われる。

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

 

米国 国土安全保障省 監察官室 (OIG) 沿岸警備隊はサイバー攻撃から海上輸送システムを守るため、さらなる措置を講じるべき (2024.07.11)

こんにちは、丸山満彦です。

国土安全保障省 監察官室 (OIG) が、沿岸警備隊はサイバー攻撃から海上輸送システムを守るため、さらなる措置を講じるべきであると報告書を公表していますね...

 

● Oversight.Gov

・2024.07.11 Coast Guard Should Take Additional Steps to Secure the Marine Transportation System Against Cyberattacks

 

Coast Guard Should Take Additional Steps to Secure the Marine Transportation System Against Cyberattacks	沿岸警備隊はサイバー攻撃から海上輸送システムを守るため、さらなる措置を講じるべきである。
Report Description:	報告書の説明
The United States Coast Guard (Coast Guard) took steps to enhance the cyber posture of the Marine Transportation System (MTS) but faces challenges fully implementing cybersecurity readiness efforts to protect the U.S. supply chain. Over the past 2 years, in accordance with its statutory requirements, Coast Guard established maritime cybersecurity teams to deter and respond to transportation cybersecurity incidents. In 2021, Coast Guard implemented Cyber Protection Teams to offer services that can help industry stakeholders prevent and target malicious cyberspace activities. However, private industry stakeholders have not fully adopted these services; stakeholders in only 36 percent of Coast Guard’s sectors requested and received these services. Coast Guard faced these challenges because industry stakeholders are hesitant to use the cybersecurity services offered.	米国沿岸警備隊（Coast Guard）は、海上輸送システム（MTS）のサイバー態勢を強化するための措置を講じたが、米国のサプライチェーンを保護するためのサイバーセキュリティ態勢の取り組みを完全に実施することには課題がある。過去2年間、沿岸警備隊は法定要件に従い、輸送サイバーセキュリティインシデントを抑止し対応するための海上サイバーセキュリティチームを設立した。2021年、沿岸警備隊はサイバー防御チームを設置し、業界の利害関係者が悪質なサイバー空間での活動を防止し、標的を定めるのを支援するサービスを提供する。しかし、民間の業界関係者はこれらのサービスを完全には採用しておらず、沿岸警備隊のセクターの36％の関係者しかこれらのサービスを要求し、受け取っていない。沿岸警備隊がこのような課題に直面したのは、業界の利害関係者が提供されるサイバーセキュリティサービスの利用をためらっているためである。
Related Open Recommendations	関連する公開勧告
1. We recommend that Coast Guard’s Cyber Command and Office of Port and Facility Compliance develop and implement a plan of action with established benchmarks for the Cyber Protection Team and the Maritime Cyber Readiness Branch to work with Marine Transportation Security Specialists–Cyber to enhance coordination and to build working relationships with private industry stakeholders.	1. 沿岸警備隊のサイバー司令部および港湾・施設防御部は、サイバー保護チームおよび海上サイバー準備部門が海上輸送セキュリティスペシャリスト-サイバーと連携し、民間業界の利害関係者との連携を強化し、協力関係を構築するためのベンチマークを設定した行動計画を策定し、実施するよう勧告する。
2. We recommend that Coast Guard’s Assistant Commandant for Prevention Policy complete and publish cybersecurity-specific regulations providing enforcement authority for facility and vessel inspections.	2. 我々は、沿岸警備隊の予防政策担当司令官補が、施設と船舶の検査の実施認可を提供するサイバーセキュリティに特化した規則を完成させ、公表するよう勧告する。
3. We recommend that Coast Guard’s Office of Port and Facility Compliance establish standardized cybersecurity training on enforceable authorities.	3. 沿岸警備隊の港湾・施設コンプライアンス部が、強制権限に関するサイバーセキュリティ研修の標準化を確立するよう勧告する。
4. We recommend that Coast Guard’s Office of Port and Facility Compliance review and determine whether the Marine Transportation Security Specialist–Cyber position description and job series is the correct designation based on the needs of the position.	4. 沿岸警備隊の港湾・施設コンプライアンス部に対し、海上輸送セキュリティスペシャリスト（サイバー）の職務記述書および職務シリーズが、その職務の必要性に基づいて正しい名称であるかどうかを見直し、判断するよう勧告する。

 

報告書

・[PDF]

 

この内部監査をした背景等...

Why We Did This Audit	この監査を行った理由
Coast Guard plays a lead role in securing and safeguarding the MTS, which facilitates the transport of nearly $5.4 trillion in commerce — representing about 25 percent of the U.S. gross domestic product. Our objective was to determine the extent to which Coast Guard has implemented cybersecurity readiness and precautions at U.S. ports and on U.S. waterways to protect the U.S. supply chain.	沿岸警備隊は、約5兆4,000億ドル（米国内総生産の約25％）の通商輸送を促進するMTSの安全確保と保護において主導的な役割を果たしている。我々の目的は、米国のサプライチェーンを保護するために、沿岸警備隊が米国の港湾と水路でどの程度サイバーセキュリティの準備と予防措置を実施しているかを判断することであった。
What We Recommend	提言内容
We made four recommendations to improve Coast Guard’s cyber readiness and precautions to secure the U.S. supply chain.	米国のサプライチェーンを保護するため、沿岸警備隊のサイバーセキュリティ対策と予防措置を改善するため、4つの提言を行った。
What We Found	我々が発見したこと
The United States Coast Guard (Coast Guard) took steps to enhance the cyber posture of the Marine Transportation System (MTS) but faces challenges fully implementing cybersecurity readiness efforts to protect the U.S. supply chain. Over the past 2 years, in accordance with its statutory requirements, Coast Guard established maritime cybersecurity teams to deter and respond to transportation cybersecurity incidents. In 2021, Coast Guard implemented Cyber Protection Teams to offer services that can help industry stakeholders prevent and target malicious cyberspace activities. However, private industry stakeholders have not fully adopted these services; stakeholders in only 36 percent of Coast Guard’s sectors requested and received these services. Coast Guard faced these challenges because industry stakeholders are hesitant to use the cybersecurity services offered.	米国沿岸警備隊（Coast Guard）は、海上輸送システム（MTS）のサイバー態勢を強化するための措置を講じたが、米国のサプライチェーンを保護するためのサイバーセキュリティ態勢の取り組みを完全に実施するには課題がある。過去2年間、沿岸警備隊は法定要件に従い、輸送サイバーセキュリティインシデントを抑止し対応するための海上サイバーセキュリティチームを設立した。2021年、沿岸警備隊はサイバー防御チームを設置し、業界の利害関係者が悪質なサイバー空間での活動を防止し、標的を定めるのを支援するサービスを提供する。しかし、民間の業界関係者はこれらのサービスを完全には採用しておらず、沿岸警備隊のセクターの36％の関係者しかこれらのサービスを要求し、受け取っていない。沿岸警備隊がこのような課題に直面したのは、業界の利害関係者が提供されるサイバーセキュリティ・サービスの利用をためらっているためである。
Coast Guard also conducts facility and vessel inspections, but these did not always address the full scope of potential cybersecurity threats. This occurred because Coast Guard does not have the authority or training to enforce private industry compliance with standard cybersecurity practices.	沿岸警備隊は施設や船舶の検査も実施しているが、これらは必ずしもサイバーセキュリティの潜在的脅威の全容に対処しているわけではない。これは、沿岸警備隊がサイバーセキュリティの標準的な慣行を民間企業に遵守させるための認可や訓練を受けていないためである。
In addition, Coast Guard is not adequately staffed to provide cyber expertise for facility and vessel inspections or industry stakeholders due to the job series classification for a key cybersecurity position, which leads to hiring delays.	さらに、沿岸警備隊は、サイバーセキュリティの重要な職種の分類のために、施設や船舶の検査、または業界の利害関係者にサイバーに関する専門知識を提供するための十分な人員を配置しておらず、これが雇用の遅れにつながっている。
Overcoming these challenges will better enable Coast Guard to protect the MTS, which remains vulnerable to the exploitation, misuse, or failure of cyber systems. This continued cyber vulnerability may lead to injury or death, harm the marine environment, or disrupt vital trade activity.	このような課題を克服することで、沿岸警備隊は、サイバーシステ ムの悪用、誤用、故障に対して脆弱性を残すMTSをより適切に保護できるようになる。このようなサイバー脆弱性が続くと、人身事故や海洋環境への被害、重要な貿易活動の中断につながる可能性がある。
DHS Response	DHSの回答
The Department of Homeland Security concurred with all four recommendations.	国土安全保障省は、4 つの提言すべてに同意した。

 

 

SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

こんにちは、丸山満彦です。

2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから半年以上がすぎ、Form20-Fに記載されている事例もたくさんありますので、今回は、中国企業についてちょっと紹介...

中国語名	英語名	日本名	wikipedia	Edgar	株価
阿里巴巴	Alibaba	アリババ	wikipedia	Edgar	NYSE	SEHK
中兴通讯	ZTE	中興通訊	wikipedia		SZSE	SEHK
新浪	Sina Corporation	新浪	wikipedia	Edgar	Nasdaq
搜狐	Sohu	捜狐	wikipedia	Edgar	Nasdaq
网易	NetEase	網易	wikipedia	Edgar	Nasdaq

20-FのItem 16K. Cybersecurityに

Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、

• そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
• そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
• 第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた（または、与える可能性が合理的に高いか）を記載する必要があります。。。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

• サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
• そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

• 経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
  
  • どの経営委員会又は役職が負うのか、
  • その担当者や委員が有する関連する専門知識
• その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
• その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

詳細のルールは[PDF] SEC 17 CFR Parts 229, 232, 239, 240, and 249 [Release Nos. 33-11216; 34-97989; File No. S7-09-22] RIN 3235-AM89 Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure

● SECURITIES AND EXCHANGE COMMISSION - EDGAR

 

開示内容...

 

・阿里巴巴 (Alibaba)

・2024.05.23 20-F (Annual report - foreign issuer)

ITEM 16K. CYBERSECURITY	項目 16K. サイバーセキュリティ
Cybersecurity risk management is an important part of our overall risk management efforts. We, including our six major business groups and various other businesses, maintain a comprehensive process for identifying, assessing and managing material risks from cybersecurity threats. In addition to the cybersecurity risk management framework designed by our holding company and implemented across our businesses, certain of our major business groups have also formulated more detailed cybersecurity risk management measures tailored to their operations.	サイバーセキュリティ・リスク・マネジメントは、当社のリスクマネジメント全般の重要な一部である。当グループは、6つの主要事業グループおよびその他のさまざまな事業を含め、サイバーセキュリティの脅威から生じる重大なリスクを特定、アセスメント、マネジメントするための包括的なプロセスを維持している。持株会社によって設計され、当グループの事業全体で実施されているサイバーセキュリティ・リスクマネジメントの枠組みに加えて、当グループの一部の主要事業グループは、それぞれの事業に合わせて、より詳細なサイバーセキュリティ・リスクマネジメント対策を策定している。
The Compliance and Risk Committee of our board of directors is responsible for overseeing our overall compliance and risk management framework, including cybersecurity risk management. Our risk management committee, consisting of senior management team members across legal, finance, security, technology and other departments, oversees the implementation and operation of our compliance and risk management policies and procedures and review risk assessment reports. Among the risk management committee members, the head of security department has over 10 years of experience in the fields of data security and cybersecurity. Our risk management committee reports to the Compliance and Risk Committee on material regulatory developments, risk management measures and risk incidents, including those related to cybersecurity. In case a significant cybersecurity incident occurs, our risk management committee will review the information and issues involved, oversee the remedial procedures to be taken and report to the Compliance and Risk Committee as appropriate.	取締役会のコンプライアンス・リスク委員会は、サイバーセキュリティ・リスクマネジメントを含むコンプライアンスとリスクマネジメントの枠組み全体を監督する責任を負っている。当社のリスクマネジメント委員会は、法務、財務、セキュリティ、テクノロジー、その他の各部門の上級管理職で構成され、当社のコンプライアンスとリスクマネジメントの方針と手続きの実施と運用を監督し、リスクアセスメント報告書をレビューする。リスクマネジメント委員会のメンバーのうち、セキュリティ部門の責任者はデータセキュリティとサイバーセキュリティの分野で10年以上の経験を有している。当社のリスクマネジメント委員会は、サイバーセキュリティに関連するものを含め、重要な規制の動向、リスクマネジメント対策、リスクインシデントについてコンプライアンス・リスク委員会に報告する。重大なサイバーセキュリティインシデントが発生した場合、当社のリスクマネジメント委員会は、関連する情報と問題を検討し、講じるべき改善手順を監督し、必要に応じてコンプライアンス・リスク委員会に報告する。
Led by our head of security department, our teams of dedicated cybersecurity, data security and technology professionals with extensive industry knowledge are responsible for detecting, tracking and remediating cybersecurity incidents, as well as assessing and mitigating cybersecurity threats, and reporting to the risk management committee as appropriate. As part of our cybersecurity risk management process, we regularly conduct application security assessments and vulnerability testings to prevent potential attacks and maintain a variety of incident response plans. In addition, we monitor industry trends on cybersecurity risks and may also obtain input on our system and network security from external intelligence teams and experts. We require all our employees to undertake data security training and compliance program annually and employees involved in app development and in the security department to take more specialized courses and obtain certification before product release. We operate mostly on our proprietary information systems, and in the few circumstances where we engage third-party service providers, we work closely with them to ensure their compliance with our cybersecurity standards.	当社のセキュリティ部門責任者を筆頭に、サイバーセキュリティ、データセキュリティ、テクノロジーの専門家で構成され、業界に精通したチームが、サイバーセキュリティ・インシデントの検知、追跡、是正、サイバーセキュリティ脅威のアセスメントと低減を担当し、必要に応じてリスクマネジメント委員会に報告する。サイバーセキュリティ・リスクマネジメント・プロセスの一環として、当社は潜在的な攻撃を防ぐためにアプリケーション・セキュリティ・アセスメントと脆弱性テストを定期的に実施し、さまざまなインシデント対応計画を維持している。さらに、サイバーセキュリティ・リスクに関する業界の動向をモニターし、外部の情報チームや専門家から当社のシステムやネットワーク・セキュリティに関する意見を得ることもある。また、アプリ開発やセキュリティ部門に携わる従業員には、より専門的なコースを受講し、製品リリース前に認定を取得するよう求めている。また、サードパーティーのサービス・プロバイダと契約している数少ない状況においても、それらのプロバイダと緊密に連携し、当社のサイバーセキュリティ標準に準拠していることを確認している。
We are not faced with any risks from cybersecurity threat that have materially affected or are reasonably likely to materially affect us, including our business, results of operations, or financial condition. However, despite the cybersecurity risk management procedures and measures that we have implemented, we still face risks of security breaches and attacks against our systems and network which may adversely affect our operation and result in data loss and leakage. For more information, see “Item 3. Key Information—D. Risk Factors—Risks Related to Our Business and Industry— Security breaches and attacks against our systems and network, and any potentially resulting breach or failure to otherwise protect personal, confidential and proprietary information, could damage our reputation and negatively impact our business, as well as materially and adversely affect our financial condition and results of operations.”	当社は、当社の事業、経営成績または財政状態を含め、当社に重大な影響を及ぼした、または及ぼす可能性のあるサイバーセキュリティの脅威によるリスクに直面していない。しかしながら、当社が実施しているサイバーセキュリティ・リスクマネジメントの手順や対策にもかかわらず、当社のシステムやネットワークに対するセキュリティ侵害や攻撃のリスクに依然として直面しており、その結果、当社の経営に悪影響を及ぼし、データの損失や漏洩につながる可能性がある。詳細については、「項目3. 重要な情報-D. リスク要因-当社の事業および業界に関連するリスク-当社のネットワークと情報システムのセキュリティ侵害および攻撃、ならびにその結果として起こりうる個人情報、機密情報および専有情報の侵害または保護の不備は、当社の評判を傷つけ、当社の事業に悪影響を及ぼす可能性があるだけでなく、当社の財政状態および経営成績に重大かつ悪影響を及ぼす可能性がある。" を参照のこと。

 

・捜狐 (SOHU)

・2024.03.18 20-F (Annual report - foreign issuer)

ITEM 16K. CYBERSECURITY	項目16K. サイバーセキュリティ
Risk Management and Strategy	リスクマネジメントと戦略
We recognize the importance of safeguarding the confidentiality, integrity, and availability of our data and information systems, and have designed and maintained a comprehensive program for identifying, assessing, and managing material risks from cybersecurity threats, as that term is defined in Item 16K of Form 20-F. Our cybersecurity risk management program is composed of the following key elements:	当社はデータおよび情報システムの機密性、完全性、可用性を保護することの重要性を認識しており、Form 20-FのItem 16Kで定義されているサイバーセキュリティの脅威による重大なリスクを特定、アセスメント、管理するための包括的なプログラムを設計、維持している。当社のサイバーセキュリティ・リスクマネジメント・プログラムは、以下の主要要素で構成されている：
• Governance Structure. Our Board of Directors, supported by our Audit Committee, oversees our company’s overall risk management, including cybersecurity risks, and receives and reviews, on an as-needed basis, presentations and reports on material cybersecurity issues from our Chief Executive Officer and our Chief Financial Officer, who are designated as the individuals primarily responsible for overseeing the day-to-day operations of our cybersecurity risk management program.	- ガバナンス構造。当社の取締役会は、監査委員会の支援を受けて、サイバーセキュリティ・リスクを含む当社のリスクマネジメント全体を監督し、当社のサイバーセキュリティ・リスクマネジメント・プログラムの日常業務を監督する主な責任者として指定されている最高経営責任者（CEO）および最高財務責任者（CFO）から、重要なサイバーセキュリティ問題に関するプレゼンテーションと報告を必要に応じて受け取り、レビューする。
To support our Chief Executive Officer and our Chief Financial Officer in their risk management responsibilities for our Sohu segment, we have established two cross-departmental working groups, the Technology and Security Coordination Group (the “IT Coordination Group”) and the Personal Information Protection and Compliance Working Group (the “PI Working Group”). The IT Coordination Group, which is headed by two of our senior managers, is responsible for monitoring and managing risks related to our data and information systems relating to our Sohu segment, and reports to our Chief Executive Officer. The PI Protection Working Group, consisting of the heads of certain of our business divisions and of our in-house legal and Internal Audit teams, is responsible for monitoring and managing risks related to our collection, storage, and use of personal information that may arise in our Sohu segment, and reports to our Chief Financial Officer.	最高経営責任者（CEO）と最高財務責任者（CFO）の捜狐部門のリスクマネジメント責任をサポートするため、当社は部門横断的な2つのワーキンググループ、技術・セキュリティ調整グループ（以下「IT調整グループ」）と個人情報保護・コンプライアンスワーキンググループ（以下「PIワーキンググループ」）を設置した。人の上級管理職が率いるIT調整グループは、捜狐セグメントに関連するデータや情報システムに関するリスクの監視とマネジメントを担当し、最高経営責任者に報告する。個人情報保護ワーキンググループは、当社の一部のディビジョンの責任者、社内の法務チームおよび内部監査チームで構成され、当社の捜狐セグメントで発生する可能性のある個人情報の収集、保存、使用に関するリスクの監視および管理を担当し、当社の最高財務責任者に報告する。
For our Changyou segment, we have established a cybersecurity working group (the “Changyou Cybersecurity Group”) that is headed by Changyou’s Chief Technology Officer. The Changyou Cybersecurity Group is responsible for monitoring and managing cybersecurity risks relating to the Changyou segment, and reports, in coordination with Changyou’s Chief Executive Officer and our Internal Audit team, to our Chief Executive Officer and our Chief Financial Officer.	当社のChangyouセグメントについては、Changyouの最高技術責任者が率いるサイバーセキュリティ・ワーキンググループ（「Changyouサイバーセキュリティ・グループ」）を設置している。Changyouサイバーセキュリティ・グループは、Changyouセグメントに関連するサイバーセキュリティ・リスクのモニタリングとマネジメントを担当し、Changyouの最高経営責任者（CEO）および内部監査チームと連携して、当社の最高経営責任者（CEO）および最高財務責任者（CFO）に報告する。
• Internal Policies and Procedures. As part of our cybersecurity risk management program, our management, in coordination with our Board of Directors and our cybersecurity staff, including the IT Coordination Group, the PI Working Group, and the Changyou Cybersecurity Group, has developed and adopted a comprehensive set of internal policies, standards, and processes governing our cybersecurity functions, and regularly reviews and updates these policies, standards, and processes based on evolving regulatory requirements and industry standards and best practices.	・内部方針と手続き サイバーセキュリティ・リスク・マネジメント・プログラムの一環として,当社の経営陣は,当社の取締役会およびIT調整グループ,PIワーキング・グループ,Changyouサイバーセキュリティ・グループを含むサイバーセキュリティ・スタッフと連携して,当社のサイバーセキュリティ機能を管理する包括的な内部方針,標準,およびプロセスを策定・採用し,進化する規制要件や業界標準,ベストプラクティスに基づいて,これらの方針,標準,およびプロセスを定期的に見直し,更新している。
• Risk Identification, Assessment and Management.	・リスクの特定,アセスメント,マネジメント。
To identify potential cybersecurity threats and incidents, we use various tools and technologies, such as a traffic spectrometry detection system (or an “NIDS”), web application firewalls (or “WAFs”), host intrusion prevention systems (or “HIDSs”), honeypot systems, and terminal anti-virus software; perform penetration testing and vulnerability scanning of our information systems and applications on a regular basis; and take appropriate security measures, such as encryption, de-identification, and network segmentation, to ensure the safety of our sensitive business data and personal information.	潜在的なサイバーセキュリティの脅威とインシデントを検知するために、当社はトラフィックスペクトロメトリー検知システム（または「NIDS」）、ウェブアプリケーションファイアウォール（または「WAF」）、ホスト侵入防止システム（または「HIDS」）、ハニーポットシステム、端末アンチウイルスソフトウェアなど、さまざまなツールや技術を使用している； 当社の情報システムとアプリケーションの侵入テストと脆弱性スキャンを定期的に実施する。当社の機密ビジネスデータと個人情報の安全を確保するため、暗号化、非識別化、ネットワークセグメンテーションなどの適切なセキュリティ対策を講じる。
As part of our dynamic response strategy, cybersecurity threats and incidents identified in our Sohu segment or our Changyou segment through our cybersecurity risk management program are first evaluated by the IT Coordination Group and/or the PI Working Group, or by the Changyou Cybersecurity Group, as the case may be, and are then classified in categories by security severity based on their actual or potential business and operational impact, and prioritized for timely remediation based on their classifications. Identified cybersecurity threats and incidents that meet our pre-established reporting thresholds are required to be timely reported to the Chief Executive Officer and the Chief Financial Officer, who may in turn report to the Board of Directors, if they deem it to be necessary.	当社のダイナミックな対応戦略の一環として、当社のサイバーセキュリティリスクマネジメントプログラムを通じて捜狐セグメントまたは常用セグメントで特定されたサイバーセキュリティの脅威とインシデントは、まずITコーディネーショングループおよび/またはPIワーキンググループ、または場合によっては常用サイバーセキュリティグループによって評価され、その後、実際のまたは潜在的なビジネスおよび業務への影響に基づき、セキュリティの重大度別にカテゴリー分類され、その分類に基づいてタイムリーな修復の優先順位が付けられる。識別されたサイバーセキュリティ上の脅威およびインシデントのうち、当社が事前に設定した報告基準を満たすものは、最高経営責任者および最高財務責任者に適時に報告することが義務付けられており、最高経営責任者および最高財務責任者は、必要と判断した場合、取締役会に報告することができる。
• Third-Party Risk Management. When determining the selection and oversight of third-party service providers, we gather information from candidates that are expected to share or receive data, have access to or integrate with our systems, and/or process our employee, business, or customer data, in order to help us evaluate potential risks associated with their security controls. Our contracts with third-party service providers generally require such service providers to, among other things, maintain security controls to protect our confidential information and data, notify us of material data breaches that may impact our data, and take remedial measures in a timely manner. We also conduct ongoing monitoring throughout the duration of our contracts, and re-assess continuing qualifications of each of our existing service providers, including the effectiveness of their internal controls, annually (or sooner at the time of contract renewal) or in the event of any identified cybersecurity incident or any significant changes to such service provider’s security controls.	・サードパーティリスク管理。サードパーティ・サービス・プロバイダの選定と監視を決定する際,当社は,データを共有または受領する,当社のシステムにアクセスまたは統合する,および/または当社の従業員,事業,顧客データを処理すると予想される候補者から情報を収集し,そのセキュリティ管理に関連する潜在的リスクの評価に役立てる。当社とサードパーティ・サービス・プロバイダとの契約では,一般的にサードパーティ・サービス・プロバイダに対し,当社の機密情報およびデータを保護するためのセキュリティ管理者を維持すること,当社のデータに影響を及ぼす可能性のある重大なデータ侵害が発生した場合は当社に通知すること,適時に改善措置を講じることなどを求めている。また,契約期間を通じて継続的なモニタリングを実施し,年1回(または契約更新時),または識別されたサイバーセキュリティインシデントが発生した場合,または当該サービスプロバイダーのセキュリティ管理に重大な変更があった場合に,内部統制の有効性を含め,既存の各サービスプロバイダーの継続的な資格を再評価している。
• Training. We have various cybersecurity education and training programs designed to promote awareness of, and reinforce, our information technology and security policies, standards, and practices among our employees in general and employees of certain business divisions that are particularly susceptible to cybersecurity threats.	・トレーニング 当社は,当社の従業員全般,およびサイバーセキュリティの脅威の影響を特に受けやすい特定の事業部門の従業員の間で,当社の情報技術およびセキュリティの方針,標準,慣行に対する認識を促進し,これを強化することを目的としたさまざまなサイバーセキュリティ教育およびトレーニングプログラムを実施している。
• Continuous Review. We engage third-party professionals, on an as-needed basis, to perform assessments, and independent reviews of our security control procedures and their effectiveness. The Chief Financial Officer provides reports on the results of such third-party assessments and reviews to our Audit Committee at its regularly scheduled or special meetings.	・継続的レビュー。当社は,必要に応じてサードパーティの専門家にアセスメントを依頼し,当社のセキュリティ管理手順とその有効性について独立したレビューを実施している。最高財務責任者は,そのようなサードパーティによる評価とレビューの結果について,定期的または臨時の監査委員会で報告を行っている。
As of the date of this annual report, we have not had any cybersecurity incident (as such term is defined in Item 16K of Form 20-F), nor have we identified any risks from cybersecurity threats, including those resulting from any previous cybersecurity incidents, that have materially adversely affected, or are reasonably likely to materially adversely affect, our company or our business operations or financial condition. Although our cybersecurity risk management program, as described above, is designed to help prevent, detect, respond to, and mitigate the impact of cybersecurity incidents, we cannot assure you that a future cybersecurity incident would not materially adversely affect our business operations or our results of operations or financial condition. For information regarding cybersecurity risks that are facing us and their potential impact on our related business, see Item 3. Key Information - Risk Factors - Risks Related to Our Business “- Data security breaches relating to our platforms could damage our reputation and expose us to penalties and legal liability” and “- Our network operations may be vulnerable to hacking, viruses, and other disruptions, which may make our products and services less attractive and reliable, and third-party online payment platforms that we partner with and cloud-based servers that we lease from third-party operators may be susceptible to security breaches, which may damage our reputation and adversely affect our business” and “- Risks related to Changyou.com Limited - Risks related to Changyou’s Business -Breaches in the security of Changyou’s server network, or cloud-based servers that it leases from third-party operators, could cause disruptions in its service or operations, facilitate piracy of its intellectual property, or compromise confidential information of its game players and its business.”	この年次報告書の日付現在、当社はサイバーセキュリティインシデント（この用語はForm 20-FのItem 16Kで定義されている）を起こしておらず、また、過去のサイバーセキュリティインシデントに起因するものを含め、当社または当社の事業運営や財務状況に重大な悪影響を及ぼした、あるいは及ぼす可能性があると合理的に考えられるサイバーセキュリティ脅威によるリスクを特定していない。上記のとおり、当社のサイバーセキュリティ・リスク管理プログラムは、サイバーセキュリティ・インシデントの予防、検知、対応、および影響の軽減を支援するように設計されているが、将来のサイバーセキュリティ・インシデントが当社の事業運営や業績、財務状況に重大な悪影響を及ぼさないことを保証するものではない。当社が直面しているサイバーセキュリティ・リスクとその関連事業への潜在的影響については、項目3. 主要な情報-リスク要因-事業に関するリスク 「-当社のプラットフォームに関連するデータセキュリティ侵害は、当社の評判を傷つけ、当社を罰則や法的責任にさらす可能性がある、 また、当社が提携するサードパーティーのオンライン決済プラットフォームや、サードパーティーの事業者からリースするクラウドベースのサーバーは、セキュリティ侵害の影響を受けやすく、当社の評判を傷つけ、事業に悪影響を及ぼす可能性がある」、「-Changyou.com Limitedに関するリスク-Changyou. com Limited - Changyouの事業に関するリスク - Changyouのサーバーネットワーク、またはサードパーティから借りているクラウドベースのサーバーのセキュリティ違反は、サービスや業務の中断を引き起こし、知的財産の違法コピーを促進し、またはゲームプレーヤーの機密情報とそのビジネスを危険にさらす可能性がある。"
Governance	ガバナンス
Our full Board of Directors, supported by our Audit Committee, oversees our overall risk management, which includes risks arising from cybersecurity threats, and is responsible for ensuring that we have maintained adequate and effective policies and processes to identify and assess cybersecurity risks that we face and to provide resources necessary to manage and mitigate cybersecurity threats and incidents. Our Chief Executive Officer, supported by our Chief Financial Officer, meets with our Board of Directors at its regularly scheduled meetings to discuss our information security and cybersecurity programs and our key cybersecurity initiatives and related priorities and controls. In the event that a material cybersecurity threat or incident is identified, our Chief Executive Officer will report the threat or incident to our Board of Directors and will continue to provide ongoing updates regarding the threat or incident until it has been resolved.	当社の全取締役会は、リスクアセスメント委員会の支援を受けて、サイバーセキュリティの脅威から生じるリスクを含む当社のリスクマネジメント全体を監督し、当社が直面するサイバーセキュリティのリスクを特定および評価し、サイバーセキュリティの脅威およびインシデントを管理および軽減するために必要なリソースを提供するための適切かつ効果的な方針およびプロセスを維持していることを確認する責任を負う。当社の最高経営責任者は、最高財務責任者の支援を受け、定期的に開催される取締役会において、当社の情報セキュリティおよびサイバーセキュリティ・プログラム、当社の主要なサイバーセキュリティ・イニシアチブ、関連する優先事項および統制について協議する。サイバーセキュリティに関する重大な脅威またはインシデントが特定された場合、最高経営責任者はその脅威またはインシデントを取締役会に報告し、脅威またはインシデントが解決されるまで、その脅威またはインシデントに関する継続的な最新情報を提供し続ける。
At its regularly-scheduled meetings our Audit Committee receives from our Chief Financial Officer and head of our Internal Audit assessment reports regarding our general enterprise risk and internal controls, which may include an evaluation of risks from a cybersecurity threat or incident if such a threat or incident is identified and meets our pre-established reporting threshold. Our Audit Committee will receive ongoing updates regarding any such threat or incident until it has been resolved, and the Chairman of our Audit Committee may choose to report any such cybersecurity threat or incident to our full Board of Directors and management’s and any third-party assessments after they have been reviewed by our Audit Committee.	当社の監査委員会は、定期的に開催される会議において、当社の最高財務責任者（CFO）および内部監査責任者から、当社のエンタープライズリスク全般および内部統制に関する評価報告を受ける。当社のアセスメント委員会は、そのような脅威またはインシデントが解決されるまで、そのような脅威またはインシデントに関する継続的な最新情報を受け取る。当社のアセスメント委員会の委員長は、そのようなサイバーセキュリティの脅威またはインシデントが当社のアセスメント委員会によってレビューされた後、当社の取締役会全体、経営陣、およびサードパーティによる評価に報告することを選択できる。
Our Chief Executive Officer and our Chief Financial Officer are designated as the individuals primarily responsible for overseeing the day-to-day operations of our cybersecurity risk management program. As previously discussed, the IT Coordination Group and the PI Working Group were established to address cybersecurity threats and to respond to cybersecurity incidents associated with our Sohu segment. The IT Coordination Group, which reports directly to our Chief Executive Officer, is focused on the security of our data and information systems, while the PI Protection Working Group, which reports directly to our Chief Financial Officer, is focused on protection of personal information. The Changyou Cybersecurity Group was established to address cybersecurity threats and to respond to cybersecurity incidents associated with our Changyou segment, and reports to our Chief Executive Officer and our Chief Financial Officer in coordination with Changyou’s Chief Executive Officer and our Internal Audit team. Through ongoing communications with these teams, our Chief Executive Officer and our Chief Financial Officers are informed about and monitor the prevention, detection, mitigation, and remediation of cybersecurity threats and incidents, and report risks from cybersecurity threats and cybersecurity incidents to our Audit Committee and/or our full Board of Directors when pre-established reporting thresholds are met.	当社の最高経営責任者（CEO）と最高財務責任者（CFO）は、当社のサイバーセキュリティ・リスクマネジメント・プログラムの日常業務を監督する主な責任者として指定されている。前述したように、IT調整グループとPI作業部会は、サイバーセキュリティの脅威に対処し、当社の捜狐セグメントに関連するサイバーセキュリティインシデントに対応するために設立された。最高経営責任者（CEO）直属のIT調整グループはデータおよび情報システムのセキュリティに重点を置き、最高財務責任者（CFO）直属のPI防御ワーキンググループは個人情報の保護に重点を置いている。Changyouサイバーセキュリティ・グループは、サイバーセキュリティの脅威に対処し、Changyouセグメントに関連するサイバーセキュリティ・インシデントに対応するために設立され、Changyouの最高経営責任者および内部監査チームと連携して、最高経営責任者および最高財務責任者に報告する。これらのチームとの継続的なコミュニケーションを通じて、当社の最高経営責任者と最高財務責任者は、サイバーセキュリティの脅威とインシデントの予防、検知、低減、修復に関する情報を入手し、監視し、事前に設定された報告基準を満たした場合に、当社の監査委員会および/または取締役会にサイバーセキュリティの脅威とサイバーセキュリティのインシデントによるリスクを報告する。
Our Chief Executive Officer Charles Zhang, having served as such since 1996, and also having served as the Chairman of the Board of Sogou before the completion of Tencent/Sohu Sogou Share Purchase and the Chairman of the Board of Changyou before the completion of the Changyou Merger, has extensive experience and expertise in Internet company management and operations and plays a key role in shaping our cybersecurity risk management policies, standards, and processes and in our cybersecurity risk management. Our Chief Financial Officer Joanna Lv has extensive experience and expertise in our enterprise risk management and internal controls in general, and in understanding and managing privacy and compliance issues related to personal information of our customers and employees in particular.	当社の最高経営責任者（CEO）であるチャールズ・チャンは、1996年以来その任にあり、またTencent/Sohu Sogouの株式買収完了前はSogouの取締役会長、Changyouの合併完了前はChangyouの取締役会長を務めており、インターネット企業のマネジメントと運営に関する豊富な経験と専門知識を有し、当社のサイバーセキュリティリスクマネジメント方針、標準、プロセスの策定とサイバーセキュリティリスクマネジメントにおいて重要な役割を果たしている。最高財務責任者のジョアンナ・ルヴは、エンタープライズ・リスクマネジメントと内部統制全般、特に顧客と従業員の個人情報に関するプライバシーとコンプライアンス問題の理解と管理について豊富な経験と専門知識を有している。
Tian Yang, one of the co-heads of our IT Coordination Group, has a Ph.D. in computer application technology from the Chinese Academy of Sciences and a Bachelor of Science in computer science and technology from Tsinghua University, and has extensive expertise and research experience in the fields of search engine, personalized recommendations, computational advertising, and artificial intelligence. Yudong Zhang, the other co-head of our IT Coordination Group, has a Bachelor of Science in electrical engineering from Nanjing University of Technology and holds multiple professional certifications, such as Cisco Certified Network Expert (or “CCIE”) and Cisco Certified Senior Network Security Engineer (or “CCSP”). Prior to joining us, Mr. Zhang worked for telecommunications service providers and system integrators and has extensive experience in managing network and security risks, including risks related to cybersecurity threats.	当社のITコーディネーション・グループの共同責任者の一人であるティエン・ヤンは、中国科学院でコンピューター応用技術の博士号を取得し、清華大学でコンピューター科学技術の理学士号を取得しており、検索エンジン、パーソナライズド・レコメンデーション、計算広告、人工知能の分野で豊富な専門知識と研究経験を有している。ITコーディネーション・グループのもう一人の共同責任者である張裕東は、南京理工大学で電気工学の理学士号を取得し、シスコ認定ネットワーク・エキスパート（CCIE）やシスコ認定シニア・ネットワーク・セキュリティ・エンジニア（CCSP）といった複数の専門資格を保有している。当社入社以前は、電気通信サービス・プロバイダやシステム・インテグレーターに勤務し、サイバーセキュリティの脅威に関するリスクを含む、ネットワークおよびセキュリティ・リスクのマネージメントに豊富な経験を持つ。
Xiaojian Hong, head of the Changyou Cybersecurity Group, was one of the principal founders of our MMORPG business, played a key role in building our MMORPG software development division, and was responsible for strategic planning for technology framework design and module development for our MMORPG business. Mr. Hong serves as Changyou’s Chief Technology Officer, and has extensive experience in the security, efficiency, and stability of online games software and operations. Mr. Hong has a bachelor’s degree in engineering from University of Science and Technology Beijing.	Changyouサイバーセキュリティグループの責任者であるXiaojian Hongは、当社のMMORPG事業の主要な創設者の一人であり、当社のMMORPGソフトウェア開発部門の構築において重要な役割を果たし、当社のMMORPG事業の技術フレームワーク設計およびモジュール開発の戦略計画の責任者であった。ホン氏はChangyouの最高技術責任者を務めており、オンラインゲームソフトウェアと運営のセキュリティ、効率性、安定性において豊富な経験を持つ。ホン氏は北京科学技術大学で工学の学士号を取得している。

 

・網易 (NETEASE)

・2024.04.25 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity	項目16K   サイバーセキュリティ
Cybersecurity Risk Management and Strategy	サイバーセキュリティリスクマネジメントと戦略
We have developed and implemented a cybersecurity risk management program intended to protect the confidentiality, integrity, and availability of our critical systems and information. Our cybersecurity risk management program is integrated into our overall enterprise risk management program and shares common methodologies, reporting channels and governance processes that apply across the risk management program to other risk areas.	当社は、重要なシステムおよび情報の機密性、完全性、可用性を保護することを目的としたサイバーセキュリティ・リスクマネジメント・プログラムを策定し、実施している。当社のサイバーセキュリティ・リスク・マネジメント・プログラムは、当社のエンタープライズ・リスク・マネジメント・プログラム全体に統合されており、リスク・マネジメント・プログラム全体で他のリスク領域に適用される共通の方法論、報告経路、ガバナンス・プロセスを共有している。
Key elements of our cybersecurity risk management program include the following:	サイバーセキュリティ・リスクマネジメント・プログラムの主な要素は以下のとおりである：
● risk assessments designed to help identify material cybersecurity risks to our IT systems and information;	・当社のITシステムと情報に対する重要なサイバーセキュリティ・リスクを特定するために設計されたリスクアセスメント
● an information security office, supported by security teams of business units, principally responsible for managing (1) our cybersecurity risk assessment processes, (2) our security controls, and (3) our response to cybersecurity incidents;	・事業部門のセキュリティ・チームがサポートする情報セキュリティ・オフィスは、主に (1) 当社のサイバーセキュリティ・リスクアセスメント・プロセス、(2) 当社のセキュリティ管理、(3) 当社のサイバーセキュリティ・インシデントへの対応を管理する；
● the use of external service providers, where appropriate, to assess, test or otherwise assist with aspects of our security processes;	・必要に応じて外部サービスプロバイダを利用し、当社のセキュリティプロセスのアセスメント、テスト、その他の支援を行う；
● cybersecurity awareness training of our employees, including incident response personnel and senior management;	・インシデント対応要員および上級管理職を含む、当社従業員のサイバーセキュリティ意識向上およびトレーニング ● 情報セキュリティインシデント管理ポリシー
● an information security incident management policy that includes procedures for responding to cybersecurity incidents; and	・サイバーセキュリティインシデントへの対応手順を含む、情報セキュ リティインシデント管理ポリシー。
● a security review process, where appropriate, to assess the risks associated with the use of key third-party service providers, suppliers, and vendors based on our assessment of their criticality to our operations and respective risk profile.	・主要なサードパーティ・サービス・プロバイダー、サプライヤー、ベンダーの使用に関連するリスクを評価するためのセキュリティ・レビュー・プロセス（必要に応じて）。
As of the date of the filing of this annual report, we have not experienced any material cybersecurity incidents or identified any material cybersecurity threats that have affected or are reasonably likely to materially affect us, our business strategy, results of operations or financial condition. We face certain ongoing risks from cybersecurity threats that, if realized, could potentially materially affect us. See Item 3.D. “Key Information—Risk Factor—Risks Related to Our Operations Overall—Cybersecurity and the threat environment remain a dynamic and ever-changing landscape with new threats and increasingly sophisticated attacks continually emerging. Successful security breaches can lead to unauthorized access to our network, systems and, in turn, confidential information which may include personal and sensitive information. This could materially adversely affect our business, results of operations and financial condition and expose us to liability claims.”	本アニュアルレポートの提出日現在、当社は重大なサイバーセキュリティインシデントを経験しておらず、また、当社、当社の事業戦略、経営成績、財務状況に重大な影響を及ぼした、あるいは及ぼす可能性があると合理的に判断される重大なサイバーセキュリティ脅威を特定していない。当社はサイバーセキュリティの脅威による特定の継続的リスクに直面しており、それが実現した場合、当社に重大な影響を及ぼす可能性がある。項目3.D. 「主要情報-リスク要因-当社の事業全般に関するリスク-サイバーセキュリティと脅威環境は、新たな脅威や巧妙化する攻撃が絶えず出現しており、ダイナミックで変化し続ける状況にある。セキュリティ侵害が成功した場合、当社のネットワークとシステムの不正アクセス、ひいては個人情報や機密情報を含む機密情報への不正アクセスにつながる可能性がある。これは、当社の事業、業績、財務状況に重大な悪影響を及ぼし、賠償請求にさらされる可能性がある。"
Cybersecurity Governance	サイバーセキュリティ・ガバナンス
Our board of directors considers cybersecurity risk as part of its risk oversight function and has also designated the audit committee to oversee cybersecurity and other information security risks. The audit committee reviews our cybersecurity management and strategy periodically and receives regular reports from the management on our cybersecurity risks. In addition, our management updates the audit committee, where it deems appropriate, regarding cybersecurity incidents it considers to be significant.	当社の取締役会は、リスク監督機能の一環としてサイバーセキュリティ・リスクを検討しており、また、サイバーセキュリティ・リスクおよびその他の情報セキュリティ・リスクを監督する監査委員会を指名している。監査委員会は当社のサイバーセキュリティ・マネジメントと戦略を定期的にレビューし、当社のサイバーセキュリティ・リスクについて経営陣から定期的な報告を受けている。さらに、経営陣は、重要であると判断したサイバーセキュリティインシデントについて、適切と判断した場合には監査委員会に報告する。
At the management level, we have established an information security committee, which is responsible for implementing a global information security program which is aligned with our strategy, establishing and promoting the corresponding policies and procedures, and, as necessary, and assisting in ensuring adequate and timely disclosure of information security incidents and certain threats to our company’s management and board of directors, in accordance with our information security incident management policy.	経営レベルでは、情報セキュリティ委員会を設置しており、同委員会は、当社の戦略に沿ったグローバルな情報セキュリティ・プログラムの実施、対応する方針と手続きの確立と推進、および必要に応じて、当社の情報セキュリティ・インシデント管理方針に従って、当社の経営陣および取締役会に対する情報セキュリティ・インシデントおよび特定の脅威の適切かつタイムリーな開示を確保するための支援を行う責任を負っている。
Our information security committee is comprised of members of senior management and senior personnel, including our chief executive officer, the head of our information security office who has experience in dealing with cybersecurity issues, and other members of management, leaders of business units and the legal, IT and other departments.	当社の情報セキュリティ委員会は、最高経営責任者（CEO）、サイバーセキュリティ問題への対応経験を持つ情報セキュリティ室長、その他の経営陣、事業部門のリーダー、法務、IT、その他の部門を含む上級管理職および上級職員のメンバーで構成されている。
Our information security committee reports to the audit committee on the state of information security risks on periodic basis, as well as on an as-needed basis in the case of information security incidents it deems significant.	当社の情報セキュリティ委員会は、定期的に情報セキュリティリスクの状況について監査委員会に報告し、また重要であると判断した情報セキュリティインシデントが発生した場合には必要に応じて報告する。

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.19 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

・2024.07.15 SECのルールの改正によるサイバーセキュリティ開示 (20-F) ORIX、野村、タケダ、ソニー、トヨタ、ホンダの場合

・2024.07.14 SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

・2024.06.02 米国 SEC ニューヨーク証券取引所を所有するインターコンチネンタル取引所をサイバー侵入をしていたのに通知しなかったいうことで1000万ドル（約16億円）の罰金を受け入れていますね... (2024.05.22)

・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2023.03.17 米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案

 

 

 

 

OECD 公的機関における信頼の促進要因に関する調査 - 2024年調査結果 •2024.07.10)

こんにちは、丸山満彦です。

• 環境とデジタルの移行の舵取りが必要
• 国内における二極化の進展
• 地政学的緊張の高まり
• 経済発展がもたらす社会的影響

と公的機関に対する期待が高まっているため、公的機関に対する信頼を構築し維持することは、世界中の多くの政府にとって優先事項となっているということですね...

これは、日本の議会、政府、裁判等においてもとっても重要なことですよね...

ということで、OECD30カ国の公的機関がどの程度信頼されているかという調査をOECDが実施していますね...（ただし、日本については調査されていませんね...OECDの担当の窓口の方は日本人っぽい名前 (Yumiko Yokokawa) なんですけどね...）

 

で重要な気づき...

• 社会経済的・人口統計学的要因
• 意思決定に対する発言権

が公的機関に対する信頼に影響するということのようです...

ということもあって、

• 女性
• 十分に教育を受けられていない人
• 政府とのコミュニケーションが十分に取れていない人

が公的機関への相対的な信頼が低い様ですね...

 

● OECD

プレス...

・2024.07.10 Governments must better engage all citizens to tackle growing gaps in trust

Governments must better engage all citizens to tackle growing gaps in trust	政府は、拡大する信頼格差に対処するため、すべての市民をよりよく巻き込む必要がある。
In an increasingly challenging environment – marked by successive economic shocks, rising protectionism, the war in Europe and ongoing conflicts in the Middle East, as well as structural challenges and disruptions caused by rapid technological developments, climate change and population aging – 44% of respondents now have low or no trust in their national government, surpassing the 39% of respondents who express high or moderately high trust in national government, according to a new OECD report.	相次ぐ経済ショック、保護主義の台頭、欧州での戦争、中東で進行中の紛争、さらには急速な技術開発、気候変動、高齢化によって引き起こされる構造的な課題や混乱など、ますます困難な環境が続く中、OECDの新しい報告書によると、回答者の44％が現在、自国の政府を信頼していない、または低いと回答しており、政府への信頼が高い、または中程度に高いと回答した回答者の39％を上回っている。
OECD Survey on Drivers of Trust in Public Institutions - 2024 Results, presents findings from the second OECD Trust Survey, conducted in October and November 2023 across 30 Member countries. The biennial report offers a comprehensive analysis of current trust levels and their drivers across countries and public institutions.	公的機関への信頼の促進要因に関するOECD調査-2024年結果』は、2023年10月から11月にかけて加盟30カ国で実施された第2回OECD信頼度調査の結果を紹介している。2年に1度発行されるこの報告書は、国や公的機関における現在の信頼レベルとその要因について包括的な分析を提供している。
This edition of the Trust Survey confirms the previous finding that socio-economic and demographic factors, as well as a sense of having a say in decision making, affect trust. For example, 36% of women reported high or moderately high trust in government, compared to 43% of men. The most significant drop in trust since 2021 is seen among women and those with lower levels of education. The trust gap is largest between those who feel they have a say and those who feel they do not have a say in what the government does. Among those who report they have a say, 69% report high or moderately high trust in their national government, whereas among those who feel they do not only 22% do.	今回の信頼度調査では、社会経済的・人口統計学的要因や、意思決定に対する発言権が信頼に影響するという前回の結果が確認された。例えば、政府に対する信頼が「高い」または「中程度に高い」と回答した女性は36％であったのに対し、男性は43％であった。2021年以降、最も大きく信頼を落としたのは女性と教育レベルの低い人々である。信頼のギャップは、政府に発言権があると感じる人とないと感じる人の間で最も大きい。発言権があると回答した人のうち、69％が自国の政府を高または中程度に信頼していると回答した。
“As part of the OECD’s Reinforcing Democracy Initiative, the Trust Survey, aims to help governments identify the challenges and trends in relation to trust in government while providing concrete evidence-based recommendations and examples of good international practices that help to strengthen trust in public institutions and strengthen democracy,” OECD Secretary-General Mathias Cormann said at the report's launch. “The results of this latest edition of our Trust Survey shows citizens’ want a greater voice in decision making – to ensure it is fair, evidence-based, accountable, and clearly communicated. Ensuring citizen engagement is meaningful and inclusive, supporting open information and transparent communications, fostering information integrity and transparency standards in policymaking processes, and reliable and fair public services, will help enhance the democratic process, and ultimately, strengthen trust in government.”	OECDのマティアス・コーマン事務総長は報告書の発表で次のように述べている。「OECDの民主主義強化イニシアチブの一環として、信頼度調査は、政府が政府への信頼に関する課題と傾向を特定するのを助けると同時に、公的機関への信頼を強化し民主主義を強化するのに役立つ、具体的な証拠に基づく勧告と国際的な優れた実践例を提供することを目的としている。」「OECDの信頼度調査の最新版の結果は、市民が意思決定においてより大きな発言権を求めていることを示している。市民参画が有意義かつ包括的であることをガバナンスし、開かれた情報と透明なコミュニケーションをサポートし、政策決定プロセスにおける情報の完全性と透明性標準を育成し、信頼できる公正な公共サービスを提供することは、民主的プロセスを強化し、最終的には政府に対する信頼を強化することにつながる。」
While results vary across countries due to a range of cultural, institutional, social and economic factors, the results of the Trust Survey show some clear trends affecting OECD Members and identifies common areas for action.	文化的、機構的、社会的、経済的要因の範囲により、結果は国によって異なるが、信頼度調査の結果は、OECD加盟国に影響を与えるいくつかの明確な傾向を示しており、共通の行動領域を特定している。
There is a clear divide between citizen trust which is high in the day-to-day interactions with public institutions, and trust in the government's ability to make important policy decisions involving trade-offs. A majority of people who recently used public services report relative satisfaction with national health, education, and administrative services, as well as confidence in the fair treatment of their applications for services or benefits. Investing in reliable and fair public services, improving service delivery, and responding to user feedback can further enhance trust, especially in the civil service and local government.	公的機関との日常的なやり取りで高い信頼を得ている市民と、トレードオフを伴う重要な政策決定を行う政府の能力に対する信頼との間には、明確な溝がある。最近公共サービスを利用した人の大多数は、国の医療、教育、行政サービスに比較的満足しており、サービスや給付の申請に対する公正な扱いにも満足していると報告している。信頼できる公正な公共サービスへの投資、サービス提供の改善、利用者からのフィードバックへの対応は、特に公務員や地方自治体に対するトラストサービスをさらに高めることができる。
In contrast, only around 40% of respondents are confident that government adequately balances the interests of different generations, will regulate new technologies appropriately, or will succeed in reducing greenhouse gas emissions in the next ten years. This scepticism is partly explained by a lack of confidence in institutions and officials working in the public interest and a rather generalised view of the lack of citizens’ voice in decision making. For instance, only about 30% believe their governments can resist corporate influence, or that they have a say in what the government does, and just 32% think the government would adopt the opinions expressed in a public consultation. The report shows that these are all important drivers of trust today, for which results could be improved in many countries.	これとは対照的に、政府がさまざまな世代の利害を適切にバランスさせ、新技術を適切に規制し、今後10年間の温室効果ガス排出削減に成功すると確信している回答者は40％程度に過ぎない。このような懐疑的な見方には、公益のために働く機構や役人に対する信頼感の欠如や、意思決定における市民の発言力の欠如に対するかなり一般化された見方もある。例えば、政府が企業の影響に抵抗できる、あるいは政府が行うことに発言権があると信じているのはわずか30％程度であり、政府が市民協議で出された意見を採用すると考えているのはわずか32％である。報告書によれば、これらはすべて今日の信頼の重要な要因であり、多くの国で改善される可能性がある。
The use of evidence in policy making and public communication also matter for trust. However, on average, 38% of respondents think the government is unlikely to use the best available evidence in decision making, and 40% of respondents believe the government is unlikely to explain how policy reform will affect them. To foster trust, governments should better engage citizens in decision making and invest in healthy information ecosystems, actively communicating the evidence behind their decisions, while combating mis- and disinformation.	政策決定や公的コミュニケーションにおけるエビデンスの活用も信頼にとって重要である。しかし、平均すると回答者の38％が、政府が意思決定において入手可能な最善のエビデンスを用いる可能性は低いと考えており、回答者の40％が、政府が政策改革が自分たちにどのような影響を与えるかを説明する可能性は低いと考えている。信頼を醸成するために、政府は意思決定に市民をよりよく関与させ、健全な情報生態系に投資し、誤報や偽情報に対抗しつつ、意思決定の背景にあるエビデンスを積極的にコミュニケーションすべきである。
The next OECD Global Forum on Building Trust and Reinforcing Democracy, taking place on 21-22 October in Milan, Italy, will draw on the results of the OECD Trust Survey in discussing better policies responses to support democratic values and processes.	次回のOECDグローバル・フォーラム「信頼の構築と民主主義の強化」は、10月21日～22日にイタリアのミラノで開催され、OECD信頼度調査の結果をもとに、民主主義の価値とプロセスを支援するためのより良い政策対応について議論する。
The 30 OECD participating countries were: Australia, Belgium, Canada, Chile, Colombia, Costa Rica, Czechia, Denmark, Estonia, Finland, France, Germany, Greece, Iceland, Ireland, Italy, Korea, Latvia, Luxembourg, Mexico, Netherlands, New Zealand, Norway, Portugal, Slovak Republic, Slovenia, Spain, Sweden, Switzerland, and the United Kingdom.	OECD参加国は以下の30カ国である： オーストラリア、ベルギー、カナダ、チリ、コロンビア、コスタリカ、チェコ、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、アイスランド、アイルランド、イタリア、韓国、ラトビア、ルクセンブルグ、メキシコ、オランダ、ニュージーランド、ノルウェー、ポルトガル、スロバキア共和国、スロベニア、スペイン、スウェーデン、スイス、英国である。
For more information on the report and its metho [web].	報告書とその手法の詳細については、こちらを参照のこと。

 

報告書...

・OECD Survey on Drivers of Trust in Public Institutions – 2024 Results

・・Summary

OECD Survey on Drivers of Trust in Public Institutions – 2024 Results	OECD調査「公的機関への信頼の促進要因」-2024年調査結果
Democratic governments today stand at a critical juncture, steering environmental and digital transitions while facing increased polarisation within their countries, heightened geopolitical tensions as well as the social consequences of economic developments. In this environment, building and maintaining trust in public institutions is a priority for many governments around the world.	今日の民主的政府は、国内における二極化の進展、地政学的緊張の高まり、経済発展がもたらす社会的影響に直面しながら、環境とデジタルの移行を舵取りするという重大な岐路に立たされている。このような環境において、公的機構に対する信頼を構築し維持することは、世界中の多くの政府にとって優先事項である。
The second OECD Survey on Drivers of Trust in Public Institutions shows the levels and drivers of trust in public institutions across 30 OECD countries in 2023 and their evolution since 2021.	公的機関への信頼の促進要因に関する第2回OECD調査は、2023年におけるOECD加盟30カ国の公的機関への信頼の水準と促進要因、および2021年以降のその推移を示している。
39%	39%
trust their national government	が自国政府を信頼している。
37%	37%
are confident that their government balances the interests of current and future generations	が政府は現在と将来の世代の利益のバランスをとっていると確信している。
41%	41%
believe their government uses the best available evidence when taking a decision	が政府が意思決定を行う際、入手可能な最善の証拠を用いていると思う
Amid economic concerns, no or low trust in government outweighs trust	経済的懸念の中、政府への信頼がない、あるいは低いことが、信頼を上回っている。
In November 2023, a higher share of people (44%) across OECD countries had low or no trust in the national government than high or moderately high trust (39%). However, there are significant variations across countries and groups. Despite concerns about the cost of living and worries about the war in Europe and the Middle East, trust levels decreased only moderately since 2021; but with a larger drop of 5 percentage points for women and people with lower education.	2023年11月時点では、OECD加盟国全体において、政府への信頼が「低い」または「全くない」と回答した人の割合（44％）が、「高い」または「中程度に高い」と回答した人の割合（39％）を上回った。しかし、国やグループによって大きなばらつきがある。生活費への懸念や欧州・中東での戦争への懸念にもかかわらず、2021年以降、信頼レベルは緩やかにしか低下していない。
Trust in National Govenrment	国家政府への信頼
High or moderately high trust in national government	政府への信頼が高い、または中程度に高い。
Perceptions of having a say in government actions influence trust more than socio-economic and demographic characteristics do	政府の行動に発言権があるというガバナンスは、社会経済的特徴や人口統計的特徴以上に信頼に影響する。
People who feel financially insecure, those with low levels of education, women, younger people as well as those who report belonging to a group that is discriminated against report lower levels of trust in government. Nevertheless, the largest trust gaps are associated with individuals' sense of having a say in government actions, which is a key driver of trust. Indeed, 69% of those who feel they have a say in government actions trust national government, while only 22% do among those who feel they do not have a say.	経済的不安を感じている人、教育水準の低い人、女性、若い人、また識別的なグループに属していると回答した人は、政府への信頼度が低いと回答した。ガバナンスは、政府に対する信頼の重要な原動力である「政府に対して発言権がある」という個人の意識に関連している。実際、政府の行動に発言権があると感じている人の69％が政府を信頼しているのに対し、発言権がないと感じている人では22％しか信頼していない。
High or moderately high trust in national government by population group	人口集団別にみた、国政府に対する信頼度が高い、または中程度に高い。
Satisfaction with day to day interactions with public institutions currently helps maintain trust	現在、公的機関との日常的なやりとりに対する満足度が、信頼の維持に役立っている。
Satisfaction with the provision of key public services, such as health, education and administrative services, remains relatively high. Although satisfaction with the healthcare and education systems declined over the past two years and warrants further monitoring. A majority trusts that public agencies would use their personal data only for legitimate purposes and would treat fairly their application for a service or a benefit. These day-to-day interactions with public institutions remain key drivers of trust in the civil service and local government.	医療、教育、行政サービスなど、主要な公共サービスの提供に対する満足度は比較的高い。医療制度と教育制度に対する満足度は過去2年間で低下しており、さらなる監視が必要である。大多数が、公的機関が合法的な目的のみに個人データを使用し、サービスや便益の申請を公正に扱うと信頼している。こうした公的機関との日常的なやり取りは、依然として公務員や地方自治体に対する信頼の重要な原動力となっている。
Satisfaction with administrative services	行政サービスへの満足度
Concerns about how governments tackle complex policy issues are driving trust levels down	政府が複雑な政策課題にどのように取り組むかについてのガバナンスが、信頼レベルを押し下げている。
Overall, there is more scepticism in the government’s ability to tackle complex policy issues, with trade-offs across different groups in society, than about the ability to provide public services. Only around 40% believe that the government balances the interests of different generations, will regulate artificial intelligence appropriately or reduce greenhouse gas emissions. These results are at least partly attributable to the lack of confidence in institutions and officials working in the public interest, being accountable to each other and the population, and allowing people to influence decision making.	全体として、公共サービスを提供する能力よりも、社会のさまざまなグループ間でトレードオフの関係にある複雑な政策課題に取り組む政府の能力に懐疑的な意見が多い。政府がさまざまな世代の利害のバランスをとり、人工知能を適切に規制し、温室効果ガスの排出を削減すると信じているのは40％程度に過ぎない。これらの結果は、少なくとも部分的には、公益のために働く機構や役人が、互いに、そして国民に対して説明責任を果たし、国民が意思決定に影響を与えることができるということに対する信頼感の欠如に起因している。
Confidence in the national government to balance the interests of current and future generations	現在の世代と将来の世代の利益をバランスさせる国家政府への信頼
Use and communication of evidence in policy-making matter strongly for trust	政策決定におけるエビデンスの活用とコミュニケーションは、信頼にとって非常に重要である。
In today’s complex information environment, with the rise of disinformation and polarising content, how information is created, shared and consumed is closely tied with trust. Data shows evidence based decision making is a very important driver of trust today. Governments can earn public trust by better communicating the data and evidence that supports reforms. However, just 41% believe the government uses the best available evidence in decision making, and only 39% think that communication about policy reforms is adequate.	偽情報や偏向的なコンテンツが台頭する今日の複雑な情報環境では、情報がどのように作成され、共有され、消費されるかは、信頼と密接に結びついている。データによれば、エビデンスに基づいた意思決定は、今日の信頼の非常に重要な原動力となっている。ガバナンスは、改革を裏付けるデータやエビデンスをよりよく伝えることで、国民の信頼を得ることができる。しかし、政府が意思決定において入手可能な最善のエビデンスを用いていると考えているのはわずか41％、政策改革に関するコミュニケーションが適切だと考えているのはわずか39％である。
Trust in national government and use of evidence in decision-making	政府への信頼と意思決定におけるエビデンスの活用
What can governments do?	政府にできることは何だろうか？
Engage better with citizens	市民との関わりを深める
Policies and mechanisms to promote the effectiveness and inclusivity of public engagement could be key to boosting “skills for democracy” and enhancing trust in government. Governments need to support spaces and capacities for civic and political engagement, while establishing clear expectations on the role of deliberative and direct democracy.	市民参画の有効性と包括性を促進する政策やガバナンスは、「民主主義のためのスキル」を高め、政府への信頼を高める鍵となりうる。政府は、熟議民主主義と直接民主主義の役割について明確な期待を確立しつつ、市民的・政治的エンゲージメントの場と能力を支援する必要がある。
Strengthen capacity to address complex policy challenges in the public interest and transparently	公益的かつ透明性をもって複雑な政策課題に取り組む能力を強化する
Governments must continue to improve their reliability and preparedness for future crises, including those with global implications; ensure to address questions of intra-national and inter-generational fairness; strengthen checks and balances in the political system and government integrity standards.	ガバナンスは、グローバルな影響を含む将来の危機に対する信頼性と備えを改善し続けなければならない。また、国家内および世代間の公平性の問題に確実に対処し、政治システムにおけるチェック・アンド・バランスと政府の誠実さの標準を強化しなければならない。
Support a healthy information ecosystem and invest in evidence-based communication	健全な情報エコシステムを支援し、エビデンスに基づくコミュニケーションに投資する。
Governments should communicate more actively about the evidence that inform their decisions, ensure the data are openly verifiable, and explain how policy reforms affect the public; these actions would have today large gains for trust in the national government. Promoting a healthy, diverse, and independent media environment and strengthening media literacy in society will be key to reinforce democracy.	ガバナンスは、意思決定の根拠となるエビデンスについてより積極的にコミュニケーションし、データがオープンに検証可能であることを保証し、政策改革が国民にどのような影響を与えるかを説明すべきである。健全で多様な独立したメディア環境を促進し、社会におけるメディア・リテラシーを強化することが、民主主義を強化する鍵となる。
Continue to invest in reliable, responsive and fair public services	信頼性が高く、迅速かつ公正な公共サービスへの投資を継続する。
While a majority expresses satisfaction with services, improving the speed and ease of administrative service delivery as well their responsiveness to public feedback or ideas from public employees would contribute to trust, especially in civil servants. Fair treatment from public employees and legitimate use of personal data also hold potential for increased trust.	過半数がサービスに満足を表明しているが、行政サービス提供の速度と容易さ、および公務員からの国民の意見やアイデアへの対応の改善は、特に公務員に対するトラストサービスに貢献するだろう。また、公務員による公正な処遇や個人データの正当な利用も、信頼を高める可能性を秘めている。

 

 

報告書...

・Full report

・[PDF]

 

目次...

Disclaimers	免責事項
Foreword	まえがき
Acknowledgements	謝辞
Executive summary	エグゼクティブサマリー
Key findings	主な調査結果
What can governments do?	政府は何ができるのか？
Introduction	序文
Box 1. The 2023 OECD Survey on the Drivers of Trust in Public Institutions (Trust Survey)	ボックス 1. 2023年OECD調査「公的機関への信頼の促進要因」（信頼調査）
Box 2. Countries initiatives following the 2021 Trust Survey	ボックス2. 2021年信頼度調査後の各国の取り組み
References	参考文献
1. Overview: New trends, persistent patterns and necessary changes	1. 概要 新たな傾向、根強いパターン、必要な変化
1.1. Context matters: people’s concerns in 2023	1.1. 文脈の問題：2023年における人々の関心事
1.2. A growing share of the population expresses low trust in the national government	1.2. 国政府への信頼が低い国民の割合が増加している。
1.3. Law and order institutions elicit more trust than political institutions	1.3. 法秩序機構は政治機構よりも信頼されている。
1.4. People typically perceive the civil service and local governments as more trustworthy than the national government	1.4. 国民は一般的に、国家政府よりも公務員や地方政府の方が信頼できると認識している。
1.5. The drivers of trust in public institutions 2023: a changing landscape	1.5. 公的機関に対する信頼の要因 2023年：変化する状況
Annex 1.A. The OECD Framework on Drivers of Trust in Public Institutions	附属書1.A. 公的機関に対する信頼の要因に関するOECDのフレームワーク
Annex Table 1.A.1. OECD Framework on Drivers of Trust in Public Institutions and survey questions	附属書1.A.1. 公的機関に対する信頼の要因に関するOECDのフレームワークと調査項目
Governments are seen as more reliable than responsive or acting with integrity	ガバメントは、迅速な対応や誠実な行動よりも信頼できると見られている。
References	参考文献
Notes	備考
2. Socio-economic conditions, political agency and trust	2. 社会経済的条件、政治的主体性、信頼
2.1. Levels of public trust vary more based on one’s sense of political agency and partisanship than socio-economic or demographic characteristics	2.1. 社会経済的特徴や人口統計的特徴よりも、政治的主体性や党派性によって国民の信頼度は異なる。
2.2. The socio-economically vulnerable tend to have less trust in public institutions, with a growing divide based on education levels	2.2. 社会経済的に脆弱な人々は、公的機関への信頼が低い傾向にあり、教育水準による格差が拡大している。
2.3. Women and younger people continue to place less trust in government, but the gender trust gap has increased while the age trust gap has narrowed	2.3. 女性と若年層の政府への信頼は引き続き低いが、男女間の信頼格差は拡大し、年齢間の信頼格差は縮小している。
2.4. Conclusion for policy action to enhance trust	2.4. 信頼を高めるための政策行動の結論
References	参考文献
Notes	備考
3. Trust in day-to-day interactions with public institutions	3. 公的機関との日常的なやりとりにおける信頼関係
3.1. A majority is satisfied with provision of health and education, although less than two years ago	3.1. 年前よりは減少したが、過半数が医療と教育の提供に満足している。
3.2. Confidence in government’s personal data handling remains positive, and improving speed and ease of administrative services could further boost satisfaction	3.2. 政府の個人データ取り扱いに対するガバナンスは依然として肯定的であり、行政サービスのスピードと容易さを改善することで、満足度はさらに高まる可能性がある。
3.3. People have more confidence in the fairness of civil servants than in their integrity during day-to-day interactions with the public	3.3. 人々は、国民との日常的なやり取りにおいて、公務員の誠実さよりも公正さに信頼を寄せている。
3.4. Doubts persist regarding the responsiveness of public institutions to concerns and feedback on the provision of services and programmes	3.4. サービスやプログラムの提供に関する懸念やフィードバックに対する公的機関の対応については、疑問が残る。
3.5. Conclusion for policy action to enhance trust	3.5. 信頼を高めるための政策行動の結論
References	参考文献
Notes	備考
4. Trust in Government on complex policy issues	4. 複雑な政策課題におけるガバナンスへの信頼
4.1. A majority of people see public institutions as reliable in case of emergencies	4.1. 国民の大多数は、公的機関は緊急時に信頼できると考えている。
4.2. Government is seen as less reliable in addressing complex policy challenges involving many unknowns or trade-offs	4.2. 政府は、多くの未知やトレードオフを含む複雑な政策課題への対応において、信頼性が低いと見なされている。
4.3. Most people feel decision-making favours private sector interests over the public interest	4.3. ほとんどの人は、意思決定が公共の利益よりも民間の利益を優先していると感じている。
4.4. Institutional checks and balances, which are intended to ensure fair decision-making, are perceived as inadequate	4.4. 公正な意思決定を保証するための機構的なチェック・アンド・バランスが不十分であると思われている。
4.5. Government decision-making is seen as unresponsive to the public, weakening the meaning of representative democracy	4.5. ガバナンスの意思決定は国民に無反応であるとみなされ、代表者民主主義の意味を弱めている。
4.6. Conclusion for policy action to enhance trust	4.6. 信頼を高めるための政策行動の結論
References	参考文献
Note	備考
5. Trust and information integrity	5. 信頼と情報の完全性
5.1. The media environment and media consumption patterns affect trust in public institutions	5.1. メディア環境とメディア消費パターンは公的機関の信頼に影響する
5.2. The current information ecosystem has made it harder for individuals to understand and assess the trustworthiness of information	5.2. 現在の情報エコシステムは、個人が情報の信頼性を理解し、アセスメントすることを難しくしている。
5.3. Effective and inclusive government communication can enhance trust in public institutions	5.3. 効果的で包括的な政府コミュニケーションは、公的機関への信頼を高めることができる。
5.4. Transparency about the evidence that underlies government decision making can build trust	5.4. 政府の意思決定の基礎となる証拠についての透明性は、信頼を構築することができる。
5.5. Conclusion for policy action to enhance trust	5.5. 信頼を高めるための政策行動の結論
References	参考文献
Note	備考
Annex A. The public governance drivers and personal characteristics shaping trust in public institutions	附属書A. 公的機関への信頼を形成するパブリック・ガバナンスの推進要因と個人の特性
Understanding how multiple public governance drivers affect trust	複数の公的ガバナンス要因が信頼にどのように影響するかをガバナンスで理解する
Socio-economic background and partisanship as influencers of trust	信頼に影響を与える要因としての社会経済的背景と党派性
Assessing the extent to which changes in trust levels are related to changing perceptions of public governance drivers	信頼レベルの変化がどの程度公的統治要因に対する認識の変化と関連しているかをアセスメントする。
References	参考文献
Annex B. Overview of the 2023 OECD Trust Survey Methodology	附属書B. 2023 OECD信頼度調査手法の概要
Table B.1. Overview on hard and soft sampling quotas	表B.1. ハード・サンプリングとソフト・サンプリングの概要
Table B.2. Data collection overview	表B.2. データ収集の概要

 

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
Democratic governments today stand at a critical juncture, steering environmental and digital transitions while having to face increased polarisation within their countries, heightened geopolitical tensions as well as the social consequences of various economic developments such as inflation. In this high-stakes environment, building and maintaining trust in public institutions has emerged as a priority for many governments around the world.	今日の民主的政府は、環境とデジタルの移行を舵取りしながら、国内における二極化の進展、地政学的緊張の高まり、さらにはインフレなど様々な経済発展がもたらす社会的影響に直面し、重大な岐路に立たされている。このような環境下において、公的機関に対する信頼の構築と維持は、世界中の多くの政府にとって優先事項となっている。
This report presents the results from the second OECD Survey on Drivers of Trust in Public Institutions (Trust Survey), carried out in October and November 2023 in 30 OECD countries. It provides results of current trust levels and their drivers across countries and public institutions, and an analysis of their evolution over the past two years with a comparison with the results of the 2021 edition of the survey. The OECD will continue to monitor the results over time with future editions of the survey.	本報告書は、2023年10月から11月にかけてOECD加盟30カ国を対象に実施された、第2回OECD「公的機関への信頼の促進要因に関する調査」（信頼度調査）の結果をまとめたものである。本報告書では、国および公的機関全体における現在の信頼水準とその推進要因に関する結果をプロバイダとして提供するとともに、2021年版の調査結果との比較を交えながら、過去2年間における信頼水準の推移を分析している。OECDは、今後の調査でも長期的に結果をモニターしていく予定である。
Results of the survey vary across countries, due to a range of cultural, institutional, social and economic factors. Nonetheless, like in the 2021 edition of the survey, the results show clear overall tendencies affecting OECD members and reveal common areas of action in the future that do not preclude other important areas that may be more specific to a country.	調査結果は、文化的、制度的、社会的、経済的なさまざまな要因によって、国によって異なる。それにもかかわらず、2021年版と同様、調査結果はOECD加盟国に影響を及ぼす全体的な傾向を明確に示しており、今後取り組むべき共通の分野を明らかにしている。
Key findings	主な調査結果
Across the 30 countries, the share of people with low or no trust in the national government (44%) outweighs the share of those with high or moderately high trust (39%).	30カ国全体において、政府に対する信頼が低い、あるいは全くない人の割合（44％）が、信頼が高い、あるいは中程度に高い人の割合（39％）を上回っている。
Trust in national government across the countries that participated in the two iterations of the survey has registered a 2 percentage point drop since 2021 on average, although trust levels increased in Australia, Belgium, Canada, Colombia, France, Latvia and Sweden. This average decrease can be partly attributed to women and people with lower education, whose levels of trust in national government have decreased both by 5 percentage points.	オーストラリア、ベルギー、カナダ、コロンビア、フランス、ラトビア、スウェーデンでは信頼度が上昇したが、この2回の調査に参加した国々の国政に対する信頼度は、2021年以降平均で2ポイント低下した。この平均的な低下は、女性と低学歴者の国政への信頼度がともに5ポイント低下したことに一因がある。
Trust in the police, the judicial system, the civil service and local government is higher than in national government, with respectively 63%, 54%, 45% and 45% of people having high or moderately high trust in these institutions, while national Parliament and political parties elicit lower levels of trust (37% and 24% respectively).	警察、司法制度、トラストサービス、地方政府に対する信頼は、それぞれ63％、54％、45％、45％の人が、これらの機構に対して高い、または中程度に高い信頼を持っており、国政に対する信頼は国政よりも高いが、国会や政党に対する信頼は低い（それぞれ37％、24％）。
As per the previous iteration of the survey, a key finding of the 2024 Trust Survey is that socio-economic conditions and demographic characteristics matter. People who feel financially insecure, women and those with low levels of education, as well as those who report belonging to a group that is discriminated against, consistently report lower levels of trust in government. Related to this, the sense of political agency is crucial in explaining the different levels of trust in national government in all countries. The trust gap between those who report they have a say in what the government does and those who say they do not is 47 percentage points.	前回の調査と同様、2024年信頼度調査の重要な発見は、社会経済的条件と人口統計学的特性が重要であるということである。経済的不安を感じている人、女性、教育レベルの低い人、また識別的なグループに属していると回答した人は、一貫して政府への信頼度が低いと回答している。これと関連して、政治的主体性の感覚は、どの国でも国政に対する信頼のレベルの違いを説明する上で極めて重要である。政府の行動に対して発言権があると回答した人と、ないと回答した人の信頼度の差は47％ポイントである。
Overall, there is a clear divide between trust levels in the day-to-day interactions with public institutions, which remain relatively robust on average and in many countries, and trust in the government’s ability to make the important decisions on complex policy issues with trade-offs across different groups in society.	全体として、多くの国で平均的に比較的堅調に推移している公的機関との日常的なやりとりに対する信頼レベルと、社会のさまざまなグループ間でトレードオフの関係にある複雑な政策課題について重要な決定を下す政府の能力に対する信頼レベルには、明確な隔たりがある。
Indeed, a majority of recent users of the relevant public services report relative satisfaction with national health (52%), education (57%) and administrative services (66%). Moreover, a majority of the population believe public institutions would use their personal data for legitimate purposes only (52%) and have confidence their application for a service or a benefit would be treated fairly (52%). These are important elements given these day-to-day interactions with government remain key drivers of trust.	実際、関連する公共サービスの最近の利用者の過半数が、国民保健（52％）、教育（57％）、行政サービス（66％）に比較的満足していると報告している。さらに、国民の大多数は、公的機関が合法的な目的にのみ個人データを使用すると信じており（52％）、サービスや給付の申請が公正に扱われると確信している（52％）。これらのことは、政府との日常的なやり取りが依然として信頼の重要な原動力であることを考えると、重要な要素である。
In contrast, while a majority still believes their government is ready to protect people in case of emergency, only 37% believe that the government balances the interests of different generations fairly and around 40% believe the government will regulate new technologies appropriately or will succeed in reducing greenhouse gas emissions in the next ten years. These results are at least partly attributable to the lack of confidence in institutions and officials working in the public interest, being accountable to each other and the population, and allowing people to have a voice and influence on decision making. Only about 30% think their political system lets them have a say, would adopt the opinions express in a public consultation, or that their governments can resist corporate influence, and 38% believe in the effectiveness of parliamentary checks and balances. Data shows these are all important drivers of trust today for which results are unsatisfactory in many countries.	これとは対照的に、政府が緊急時に国民を保護する用意があると信じている人は依然として過半数を占めているが、政府がさまざまな世代の利害を公平にバランスさせていると信じている人は37％に過ぎず、政府が新技術を適切に規制したり、今後10年間に温室効果ガスの排出削減に成功したりすると信じている人は40％程度であった。これらの結果は、少なくとも部分的には、公益のために働く機構や役人が、互いに、そして国民に対して説明責任を果たし、意思決定に対して国民が発言し影響力を持てるようにすることへの信頼の欠如に起因している。自国の政治制度が国民に発言権を与え、公開協議で表明された意見を採用し、政府が企業の影響に抵抗できると考えているのは約30％、議会のチェック・アンド・バランスの有効性を信じているのは38％に過ぎない。データによれば、これらはすべて今日の信頼の重要な原動力であるが、多くの国では満足のいく結果が得られていない。
Finally, in today’s complex information environment, with the rise of disinformation and polarising content, how information is created, shared and consumed has an important link with trust. While trust in the media on average is relatively low and mirrors that in national government (39%), people’s trust is government is closely related to their media consumption habits: only 22% of those who prefer not to follow political news report high or moderate trust in government compared to 40% among those who follow the news in some ways. When government is a source of information, people are satisfied with the information available on administrative services (67%), while only 39% think that communication about policy reforms, an important driver of trust, is adequate. Additionally, while the use of statistics, data and evidence is also shown to be a strong driver a trust, only about a third of people find government statistics trustworthy and easy to find and to understand.	最後に、偽情報や偏向的なコンテンツが台頭する今日の複雑な情報環境では、情報がどのように作られ、共有され、消費されるかは、信頼と重要な関係がある。メディアへの信頼は平均して比較的低く、政府への信頼（39％）を反映しているが、政府への信頼はメディア消費習慣と密接に関係している。政治ニュースを好まない人のうち、政府への信頼が高いか中程度と回答した人は22％しかいないのに対し、何らかの形でニュースをフォローしている人では40％にのぼる。政府が情報源である場合、人々は行政サービスに関する入手可能な情報に満足している（67％）が、信頼の重要な原動力である政策改革に関するコミュニケーションが適切であると考えているのは39％に過ぎない。さらに、統計、データ、エビデンスの活用も信頼の強い原動力となることが示されているが、政府の統計が信頼でき、見つけやすく、理解しやすいと考える人は全体の3分の1程度にすぎない。
What can governments do?	政府は何ができるのか？
Notwithstanding differences across countries, the results provide a shared agenda for OECD governments to meet their citizens’ increasing expectations. This agenda for action differs slightly across public institutions and levels of government given the levers and room for improving trust differ across those institutions.	国によるガバナンスの違いはあるにせよ、OECD政府が市民の期待の高まりに応えるための共通のアジェンダが示された。この行動アジェンダは、信頼を改善する手立てや余地が各機関で異なることから、公的機関や政府レベルによって若干異なる。
Overall, the 2024 Trust Survey confirms that it is the processes underpinning democratic governance that need strengthening to meet people’s increasing expectations: ensuring all people’s voices are heard, strengthening checks and balance among institutions, using better, transparent and verifiable evidence in decision-making, and balancing the interests of a diverse population are the best levers to improve trust, especially in national governments.	全体として、2024年信頼度調査は、人々の高まる期待に応えるために強化が必要なのは、民主的ガバナンスを支えるプロセスであることを確認している。すなわち、すべての人々の声が確実に届くようにすること、機構間のチェック・アンド・バランスを強化すること、意思決定においてより良く透明で検証可能な証拠を用いること、多様な人々の利益のバランスをとることが、特に政府における信頼を改善するための最善の手段である。
Engage better with citizens to enhance trust in both local and national government. There is a significant need for more meaningful and inclusive opportunities for citizen participation and influence in decision-making processes. This requires setting clear expectations about the role of deliberative and direct democracy within representative democracies; improving the mechanisms through which governments give all people a voice and are responsive to these voices and supporting spaces and capacities for civic and political engagement. Policies designed to promote political inclusivity and engagement or mitigate economic vulnerability and discrimination could also be key to closing trust gaps and empower people to participate in public debate.	地方政府と国政府の両方に対する信頼を高めるために、市民との対話を深める。意思決定プロセスにおける市民の参加と影響力について、より有意義で包括的な機会を設ける必要がある。これには、代表者制民主主義における熟議民主主義と直接民主主義の役割について明確な期待を設定すること、政府がすべての人々に発言権を与え、その声に応えるメカニズムを改善すること、市民的・政治的関与の場と能力を支援することが必要である。政治的包摂と参加を促進し、あるいは経済的脆弱性と識別的差別を軽減するように設計された政策もまた、信頼格差を解消し、人々が公的議論に参加できるようにするための鍵となりうる。
Strengthen capacity to address complex policy challenges especially at national government level. Data shows that governments must continue to improve their reliability and preparedness for future crises, including those with global implications; and consider whether questions of intra-national and inter-generational fairness are allocated sufficient space not only during the policy deliberation process, but also in public communication.	特に政府レベルで、複雑な政策課題に取り組む能力を強化する。データによれば、政府は、世界的な影響を含む将来の危機に対する信頼性と備えを改善し続けなければならない。また、国家内および世代間の公平性の問題が、政策審議の過程だけでなく、国民とのコミュニケーションにおいても、十分なスペースが割り当てられているかどうかを検討しなければならない。

 

 

 

中国 国家人工知能産業の総合標準化システム構築のためのガイドライン（2024年版） (2024.07.03)

こんにちは、丸山満彦です。

中国の産業情報化部、、ネットワーク安全情報化中央委員会弁公室、国家発展改革委員会、国家標準化管理委員会等が共同で、国家人工知能産業の総合標準化システム構築のためのガイドライン（2024年版）を公表していますね...

参考になるところは大いにあるように思います。こういうものを作る能力があるのは素晴らしいことですね...

 

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

プレス...

・2024.07.03 四部门关于印发国家人工智能产业综合标准化体系建设指南（2024版）的通知

 

・[PDF] 国家人工智能产业综合标准化体系建设指南（2024版）

 

国家人工智能产业综合标准化体系建设指南（2024版）	国家人工知能産業の総合標準化システム構築のためのガイドライン（2024年版）
为深入贯彻落实党中央、国务院关于加快发展人工智能的部署要求，贯彻落实《国家标准化发展纲要》《全球人工智能治理倡议》，进一步加强人工智能标准化工作系统谋划，加快构建满足人工智能产业高质量发展和“人工智能+”高水平赋能需求的标准体系，夯实标准对推动技术进步、促进企业发展、引领产业升级、保障产业安全的支撑作用，更好推进人工智能赋能新型工业化，特制定本指南。	人工知能の発展加速に関する中国共産党中央委員会と国務院の配備要求を徹底的に実施し、国家標準化発展綱要と人工知能ガバナンスに関するグローバル・イニシアティブを実施し、AI標準化作業の体系的な計画をさらに強化し、AI産業の高品質な発展と「AI+」ハイレベルのニーズを満たす標準システムの構築を加速する。 AI標準化業務の体系的な計画をさらに強化し、AI産業の高品質な発展及び「AI＋」高水準の権限付与のニーズを満たす標準システムの構築を加速し、技術進歩を促進し、企業の発展を促進し、産業の高度化を先導し、産業の安全を守る標準の支援的役割を強化し、AIを活用した新産業化をよりよく推進するため、ガイドラインを策定する。
一、产业发展现状	I. 産業発展の現状
人工智能是引领新一轮科技革命和产业变革的基础性和战略性技术，正成为发展新质生产力的重要引擎，加速和实体经济深度融合，全面赋能新型工业化，深刻改变工业生产模式和经济发展形态，将对加快建设制造强国、网络强国和数字中国发挥重要的支撑作用。人工智能产业链包括基础层、框架层、模型层、应用层等 4 个部分。其中，基础层主要包括算力、算法和数据，框架层主要是指用于模型开发的深度学习框架和工具，模型层主要是指大模型等技术和产品，应用层主要是指人工智能技术在行业场景的应用。近年来，我国人工智能产业在技术创新、产品创造和行业应用等方面实现快速发展，形成庞大市场规模。伴随以大模型为代表的新技术加速迭代，人工智能产业呈现出创新技术群体突破、行业应用融合发展、国际合作深度协同等新特点，亟需完善人工智能产业标准体系。	人工知能は、科学技術革命と産業変革の新ラウンドをリードする基本的かつ戦略的な技術であり、新たな生産性の発展の重要な原動力となりつつあり、実体経済の深い統合を加速し、新産業化を全面的に強化し、産業生産方式と経済発展の形を大きく変え、強い製造業国家、強いネットワーク国家、デジタル中国の建設を加速する上で重要な支援的役割を果たす。 AI産業チェーンは、基礎層、フレームワーク層、モデル層、アプリケーション層の4つの部分から構成される。 このうち、基礎層は主に演算能力、アルゴリズム、データを含み、フレームワーク層は主にディープラーニングのフレームワークとモデル開発に使用されるツールを指し、モデル層は主にビッグモデルなどの技術と製品を指し、応用層は主に産業シーンにおけるAI技術の応用を指す。 近年、中国のAI産業は技術革新、製品創出、産業応用の面で急速な発展を遂げ、巨大な市場規模を形成している。 大型モデルに代表される新技術の加速的な反復に伴い、AI産業は革新的な技術グループのブレークスルー、産業応用の統合的発展、国際協力における深い相乗効果などの新たな特徴を示しており、AI産業標準システムの改善が急務となっている。
二、总体要求	II. 一般的な要求事項
以习近平新时代中国特色社会主义思想为指导，全面贯彻党的二十大和二十届二中全会精神，认真落实中央经济工作会议和全国新型工业化推进大会部署要求，完整、准确、全面贯彻新发展理念，统筹高质量发展和高水平安全，加快赋能新型工业化，以抢抓人工智能产业发展先机为目标，完善人工智能标准工作顶层设计，强化全产业链标准工作协同，统筹推进标准的研究、制定、实施和国际化，为推动我国人工智能产业高质量发展提供坚实的技术支撑。	新時代の中国の特色ある社会主義という習近平の思想に導かれ、第20回中国共産党全国代表大会と第20期中国共産党中央委員会第2回全体会議の精神を全面的に実施し、中央経済工作会議と全国新産業化促進会議の展開要求を良心的に実施し、新発展理念を完全、正確、全面的に貫徹し、質の高い発展とハイレベルの安全保障を調整し、新産業化の力づけを加速し、人工知能産業の発展の最初のチャンスをつかむことを目標に、AI標準化作業のトップレベル設計を改善する。 AI産業発展の最初のチャンスをつかむことを目標に、AI標準作業のトップレベル設計を改善し、産業チェーン全体の標準作業の相乗効果を強化し、標準の研究、策定、実施、国際化を協調して推進し、中国のAI産業の高品質な発展を促進するための確かな技術支援を提供する。
到 2026 年，标准与产业科技创新的联动水平持续提升，新制定国家标准和行业标准 50 项以上，引领人工智能产业高质量发展的标准体系加快形成。开展标准宣贯和实施推广的企业超过 1000 家，标准服务企业创新发展的成效更加凸显。参与制定国际标准 20 项以上，促进人工智能产业全球化发展。	2026年までに、標準と産業科学技術革新の連携レベルは向上し続け、50以上の新たな国家標準と産業標準が制定され、AI産業の高品質発展を主導する標準システムが加速する。 1,000社以上の企業が標準の宣伝と実施促進を行い、企業の革新と発展に対する標準サービスの効果がより顕著になる。 20以上の国際標準の制定に参加し、AI産業のグローバル化を推進する。
坚持创新驱动。优化产业科技创新与标准化联动机制，加快人工智能领域关键共性技术研究，推动先进适用的科技创新成果高效转化成标准。	イノベーションの推進を堅持する。 産業科学技術革新と標準化の連携メカニズムを最適化し、AI分野の主要共通技術の研究を加速し、先進的かつ応用可能な科学技術革新成果の効率的な標準化を推進する。
坚持应用牵引。坚持企业主体、市场导向，面向行业应用需求，强化创新成果迭代和应用场景构建，协同推进人工智能与重点行业融合应用。	応用牽引力を堅持する。 企業主導、市場志向、産業志向の応用ニーズを堅持し、革新的成果と応用シナリオの反復を強化し、AIと主要産業の融合を共同で推進する。
坚持产业协同。加强人工智能全产业链标准化工作协同，加强跨行业、跨领域标准化技术组织的协作，打造大中小企业融通发展的标准化模式。	産業シナジーを堅持する。 AIの産業チェーン全体の標準化作業の調整を強化し、業界横断的・分野横断的な標準化技術組織の協力を強化し、大企業・中堅企業・中小企業の統合的発展のための標準化モデルを構築する。
坚持开放合作。深化国际标准化交流与合作，鼓励我国企事业单位积极参与国际标准化活动，携手全球产业链上下游企业共同制定国际标准。	オープンな協力を堅持する。 国際標準化交流と協力を深化させ、わが国の企業や機関が国際標準化活動に積極的に参加するよう奨励し、グローバル産業チェーンの上流と下流の企業と手を携えて国際標準を共同開発する。
三、建设思路	III. 建設理念
（一）人工智能标准体系结构	(I) 人工知能標準アーキテクチャ
人工智能标准体系结构包括基础共性、基础支撑、关键技术、智能产品与服务、赋能新型工业化、行业应用、安全 /治理等 7 个部分，如图 1 所示。其中，基础共性标准是人工智能的基础性、框架性、总体性标准。基础支撑标准主要规范数据、算力、算法等技术要求，为人工智能产业发展夯实技术底座。关键技术标准主要规范人工智能文本、语音、图像，以及人机混合增强智能、智能体、跨媒体智能、具身智能等的技术要求，推动人工智能技术创新和应用。智能产品与服务标准主要规范由人工智能技术形成的智能产品和服务模式。赋能新型工业化标准主要规范人工智能技术赋能制造业全流程智能化以及重点行业智能升级的技术要求。行业应用标准主要规范人工智能赋能各行业的技术要求，为人工智能赋能行业应用，推动产业智能化发展提供技术保障。安全/治理标准主要规范人工智能安全、治理等要求，为人工智能产业发展提供安全保障。	人工知能標準システムの構造には、図1に示すように、基本的共通性、基本的サポート、キーテクノロジー、インテリジェント製品・サービス、新産業化の実現、産業応用、セキュリティ・ガバナンスの7つの部分が含まれる。 このうち、基本共通標準は、AIの基本標準、枠組み標準、全体標準である。 基本サポート標準は主にデータ、演算、アルゴリズムなどの技術要件を規定し、AI産業発展の技術基盤を固める。 重点技術標準は主にAIのテキスト、音声、画像、人間とコンピュータのハイブリッド拡張知能、知能体、クロスメディア知能、体現知能などの技術要求を規定し、AI技術の革新と応用を促進する。 インテリジェント製品とサービス標準は主にAI技術によって形成されるインテリジェント製品とサービスモードを規定する。 新産業化を実現する標準は主にAI技術の技術要件を規定し、製造業の全工程知能化と重点産業の知能化を実現する。 産業応用標準は主にAI対応産業の技術要件を規定し、AI対応産業の応用に技術保証を提供し、産業インテリジェンスの発展を促進する。 安全/ガバナンス標準は主にAIの安全性、ガバナンス、その他の要求事項を規定し、AI産業の発展に安全性を提供する。
图 1 人工智能标准体系结构图	図 1 人工知能標準システムの構造
（二）人工智能标准体系框架	(II) 人工知能標準システムの枠組み
人工智能标准体系框架主要由基础共性、基础支撑、关键技术、智能产品与服务、赋能新型工业化、行业应用、安全/治理等 7 个部分组成，如图 2 所示。	人工知能標準システムの枠組みは、図2に示すように、基本的共通性、基本的サポート、キーテクノロジー、インテリジェント製品とサービス、新産業化の実現、産業応用、安全/ガバナンスの7つの部分から主に構成される。
图 2 人工智能标准体系框架图	図 2 人工知能標準システムの枠組み
四、重点方向	IV. 主な方向性
（一）基础共性标准	(I) 基本共通標準
基础共性标准主要包括人工智能术语、参考架构、测试评估、管理、可持续等标准。	基本的な共通標準には、主にAI用語、参照アーキテクチャ、テストと評価、管理、持続可能性などの標準が含まれる。
1. 术语标准。规范人工智能相关技术、应用的概念定义，为其它标准的制定和人工智能研究提供参考，包括人工智能相关术语定义、范畴、实例等标准。	1. 用語標準。 AI関連技術とアプリケーションの概念定義を標準化し、AI関連用語の定義、分類、例に関する標準を含め、他の標準策定やAI研究の参考とする。
2. 参考架构标准。规范人工智能相关技术、应用及系统的逻辑关系和相互作用，包括人工智能参考架构、人工智能系统生命周期及利益相关方等标准。	2. 参照アーキテクチャ標準。 AI参照アーキテクチャ、AIシステムライフサイクル、ステークホルダーに関する標準を含め、AI関連技術、アプリケーション、システムの論理的関係や相互作用を標準化する。
3. 测试评估标准。规范人工智能技术发展的成熟度、人工智能体系架构之间的适配度、行业发展水平、企业智能化能力等方面的测试及评估的指标要求，包括与人工智能相关的服务能力成熟度评估，人工智能通用性测试指南、评估原则和等级要求，企业智能化能力框架及测评要求等标准。	3. テストと評価の標準。 AI関連サービス能力の成熟度評価、AI汎用性試験ガイドライン、評価原則とレベル要件、企業インテリジェンス能力フレームワークと評価要件などの標準を含め、AI技術開発の成熟度、AIアーキテクチャ間の適応性、産業発展のレベル、企業インテリジェンス能力を標準化する。
4. 管理标准。规范人工智能技术、产品、系统、服务等全生命周期涉及的人员、组织管理要求和评价，包括面向人工智能组织的管理要求，人工智能管理体系、分类方法、评级流程等标准。	4. 管理標準。 AI指向組織の管理要件、AI管理システムの標準、分類方法、評価プロセス等を含め、AI技術、製品、システム、サービス等のライフサイクル全体に関わる人材・組織管理要件及び評価を標準化する。
5. 可持续标准。规范人工智能影响环境的技术框架、方法和指标，平衡产业发展与环境保护，包括促进生态可持续的人工智能软件开源基础框架，人工智能系统能效评价，人工智能与资源利用、碳排放、废弃部件处置等标准。	5. 持続可能性標準。 環境に影響を与えるAIの技術的枠組み、方法、指標を標準化し、生態学的持続可能性を促進するAIソフトウェアのオープンソース基本枠組み、AIシステムのエネルギー効率の評価、AIと資源利用、二酸化炭素排出、廃棄部品の処理に関する標準など、産業発展と環境保護のバランスをとる。
（二）基础支撑标准	(II) 基本サポート標準
基础支撑标准主要包括基础数据服务、智能芯片、智能传感器、计算设备、算力中心、系统软件、开发框架、软硬件协同等标准。	基本サポート標準には主に、基本データサービス、スマートチップ、スマートセンサー、コンピューティングデバイス、演算センター、システムソフトウェア、開発フレームワーク、ソフトウェアとハードウェアの連携に関する標準が含まれる。
1. 基础数据服务标准。规范人工智能研发、测试、应用等过程中涉及数据服务的要求，包括数据采集、数据标注、数据治理、数据质量等标准。	1.基本データサービス標準。 AIの研究開発、テスト、応用などの過程で、データ収集、データラベリング、データガバナンス、データ品質などの標準を含むデータサービスに関わる要件を標準化する。
2. 智能芯片标准。规范智能芯片相关的通用技术要求，包括智能芯片架构、指令集、统一编程接口及相关测试要求、芯片数据格式和协议等标准。	2.スマートチップ標準。 スマートチップアーキテクチャ、命令セット、統一プログラミングインターフェース、関連テスト要件、チップデータ形式、プロトコル標準など、スマートチップに関連する一般的な技術要件を標準化する。
3. 智能传感器标准。规范单模态、多模态新型传感器的接口协议、性能评定、试验方法等技术要求，包括智能传感器的架构、指令、数据格式、信息提取方法、信息融合方法、功能集成方法、性能指标和评价方法等标准。	3. スマートセンサー標準。 スマートセンサーのアーキテクチャ、命令、データフォーマット、情報抽出方法、情報融合方法、機能統合方法、性能指標、評価方法などの標準を含む、ユニモーダルおよびマルチモーダル新型センサーのインターフェースプロトコル、性能評価、試験方法およびその他の技術要件を標準化する。
4. 计算设备标准。规范人工智能加速卡、人工智能加速模组、人工智能服务器等计算设备，及使能软件的技术要求和测试方法，包括人工智能计算设备虚拟化方法，人工智能加速模组接口协议和测试方法，及使能软件的访问协议、功能、性能、能效的测试方法和运行维护要求等标准。	4. コンピューティングデバイス標準。 AIアクセラレーションカード、AIアクセラレーションモジュール、AIサーバー、イネーブリングソフトウェアなどのコンピューティングデバイスの技術要件および試験方法を標準化する。これには、AIコンピューティングデバイスの仮想化方法、AIアクセラレーションモジュールのインターフェースプロトコルおよび試験方法、イネーブリングソフトウェアのアクセスプロトコル、機能性、性能、エネルギー効率に関する試験方法および運用・保守要件などの標準が含まれる。
5. 算力中心标准。规范面向人工智能的大规模计算集群、新型数据中心、智算中心、基础网络通信、算力网络、数据存储等基础设施的技术要求和评估方法，包括基础设施参考架构、计算能力评估、技术要求、稳定性要求和业务服务接口等标准。	5. コンピューティング・パワーセンター標準。 AI指向の大規模コンピューティングクラスター、新しいタイプのデータセンター、スマートコンピューティングセンター、基本ネットワーク通信、演算ネットワーク、データストレージ、その他のインフラの技術要件と評価方法を標準化し、インフラ参照アーキテクチャ、コンピューティング能力アセスメント、技術要件、安定性要件、ビジネスサービスインターフェースの標準を含む。
6. 系统软件标准。规范人工智能系统层的软硬件技术要求，包括软硬件编译器架构和优化方法、人工智能算子库、芯片软件运行时库及调试工具、人工智能软硬件平台计算性能等标准。	6. システムソフトウェア標準。 ソフトウェアとハードウェアのコンパイラアーキテクチャと最適化手法、AI演算ライブラリ、チップソフトウェアランタイムライブラリとデバッグツール、AIソフトウェアとハードウェアプラットフォームの計算性能に関する標準を含む、AIシステム層のソフトウェアとハードウェアの技術要件を標準化する。
7. 开发框架标准。规范人工智能开发框架相关的技术要求，包括开发框架的功能要求，与应用系统之间的接口协议、神经网络模型表达和压缩等标准。	7. 開発フレームワーク標準。 開発フレームワークの機能要件、アプリケーションシステムとのインターフェースプロトコル、ニューラルネットワークモデルの表現と圧縮、その他の標準など、AI開発フレームワークに関する技術要件を標準化する。
8. 软硬件协同标准。规范智能芯片、计算设备等硬件与系统软件、开发框架等软件之间的适配要求，包括智能芯片与开发框架的适配要求、人工智能计算任务调度、分布式计算等软硬件协同任务的交互协议、执行效率和协同性能等标准。	8. ハードウェアとソフトウェアの連携標準。 スマートチップ、コンピューティングデバイスなどのハードウェアとシステムソフトウェア、開発フレームワークなどのソフトウェア間の適応要件、AIコンピューティングタスクのスケジューリング、分散コンピューティング、その他のハードウェアとソフトウェアの協調タスクのための相互作用プロトコル、実行効率、協調性能標準などを標準化する。
（三）关键技术标准	(III) 主要技術標準
关键技术标准主要包括机器学习、知识图谱、大模型、自然语言处理、智能语音、计算机视觉、生物特征识别、人机混合增强智能、智能体、群体智能、跨媒体智能、具身智能等标准。	主要技術標準には、主に機械学習、知識グラフ、ビッグモデル、自然言語処理、知能音声、コンピュータビジョン、生体識別、人間とコンピュータのハイブリッド拡張知能、知能身体、集団知能、クロスメディア知能、体現知能などの標準が含まれる。
1. 机器学习标准。规范机器学习的训练数据、数据预处理、模型表达和格式、模型效果评价等，包括自监督学习、无监督学习、半监督学习、深度学习、强化学习等标准。	1. 機械学習標準。 自己教師あり学習、教師なし学習、半教師あり学習、深層学習、強化学習などの標準を含む、機械学習の学習データ、データの前処理、モデルの表現と形式、モデルの効果評価などを標準化する。
2. 知识图谱标准。规范知识图谱的描述、构建、运维、共享、管理和应用，包括知识表示与建模、知识获取与存储、知识融合与可视化、知识计算与管理、知识图谱质量评价与互联互通、知识图谱交付与应用、知识图谱系统架构与性能要求等标准。	2. ナレッジグラフ標準。 知識表現・モデリング、知識獲得・蓄積、知識融合・可視化、知識計算・管理、知識グラフ品質評価・相互接続、知識グラフ配信・応用、知識グラフシステムアーキテクチャ・性能要件などの標準を含む、知識グラフの記述、構築、運用・保守、共有、管理、応用を標準化する。
3. 大模型标准。规范大模型训练、推理、部署等环节的技术要求，包括大模型通用技术要求、评测指标与方法、服务能力成熟度评估、生成内容评价等标准。	3. ビッグモデル標準。 ビッグモデルの一般的な技術要件、評価指標と評価方法、サービス能力の成熟度評価、生成コンテンツの評価、その他の標準を含む、ビッグモデルの学習、推論、展開のための技術要件を標準化する。
4. 自然语言处理标准。规范自然语言处理中语言信息提取、文本处理、语义处理等方面的技术要求和评测方法，包括语法分析、语义理解、语义表达、机器翻译、自动摘要、自动问答、语言大模型等标准。	4. 自然言語処理標準。 構文解析、意味理解、意味表現、機械翻訳、自動要約、自動質疑応答、言語ビッグモデルの標準など、言語情報抽出、テキスト処理、意味処理、その他自然言語処理の技術要件と評価方法を標準化する。
5. 智能语音标准。规范前端处理、语音处理、语音接口、数据资源等技术要求和评测方法，包括深度合成的鉴伪方法、全双工交互、语音大模型等标准。	5. インテリジェント音声標準。 ディープシンセシス、全二重対話、音声ビッグモデルなどのフォレンジック手法の標準を含む、フロントエンド処理、音声処理、音声インターフェース、データリソースの技術要件と評価方法を標準化する。
6. 计算机视觉标准。规范图像获取、图像/视频处理、图像内容分析、三维计算机视觉、计算摄影学、跨媒体融合等技术要求和评价方法，包括功能、性能、可维护性等标准。	6. コンピュータビジョン標準。 機能性、性能、保守性の標準を含む、画像取得、画像／映像処理、画像コンテンツ解析、3Dコンピュータビジョン、計算写真、クロスメディア・コンバージェンスなどの技術要件と評価方法を標準化する。
7. 生物特征识别标准。规范生物特征样本处理、生物特征数据协议、设备或系统等技术要求，包括生物特征数据交换格式、接口协议等标准。	7. バイオメトリクス識別標準。 バイオメトリクス・データ交換フォーマット、インターフェース・プロトコルなどの標準を含む、バイオメトリクス・サンプル処理、バイオメトリクス・データ・プロトコル、デバイスまたはシステムの技術要件を標準化する。
8. 人机混合增强智能标准。规范多通道、多模式和多维度的交互途径、模式、方法和技术要求，包括脑机接口、在线知识演化、动态自适应、动态识别、人机协同感知、人机协同决策与控制等标准。	8. マン・マシン・ハイブリッド拡張知能標準。 ブレイン・コンピュータ・インターフェイス、オンライン知識進化、動的適応、動的識別、人間と機械の協調的知覚、人間と機械の協調的意思決定と制御、その他の標準を含む、マルチチャネル、マルチモード、多次元の相互作用経路、モード、方法、技術要件を標準化する。
9. 智能体标准。规范以通用大模型为核心的智能体实例和智能体基本功能、应用架构等技术要求，包括智能体强化学习、多任务分解、推理、提示词工程，智能体数据接口和参数范围，人机协作、智能体自主操作、多智能体分布式一致性等标准。	9. インテリジェントボディ標準。 知能体の強化学習、マルチタスク分解、推論、キューワードエンジニアリング、知能体のデータインタフェースとパラメータ範囲、人間とコンピュータの共同作業、知能体の自律操作、マルチ知能体の分散整合性などの標準を含む。
10. 群体智能标准。规范群体智能算法的控制、编队、感知、规划、决策、通信等技术要求和评测方法，包括自主控制、协同控制、任务规划、路径规划、协同决策、组网通信等标准。	10. 集団知能標準。 自律制御、協調制御、タスク計画、進路計画、協調意思決定、集団コミュニケーションなどの標準を含む、集団知能アルゴリズムの制御、形成、知覚、計画、意思決定、コミュニケーションなどの技術要件と評価方法を標準化する。
11. 跨媒体智能标准。规范文本、图像、视频、音频等多模态数据处理基础、转换分析、融合应用等方面的技术要求，包括数据获取与处理、模态转换、模态对齐、融合与协同、应用扩展等标准。	11. クロスメディア・インテリジェンス標準。 テキスト、画像、映像、音声などのマルチモーダルなデータ処理、変換分析、融合応用に基づく技術要件を標準化する。これには、データの取得と処理、モーダル変換、モーダル整列、融合と連携、応用拡張に関する標準が含まれる。
12. 具身智能标准。规范多模态主动与交互、自主行为学习、仿真模拟、知识推理、具身导航、群体具身智能等标准。	12. フィジカル・インテリジェンス標準。 マルチモーダルな能動的・対話的、自律的行動学習、シミュレーション、知識推論、身体化ナビゲーション、集団身体化知能などの標準化を行う。
（四）智能产品与服务标准	(IV) インテリジェント製品・サービス標準
智能产品与服务标准主要包括智能机器人、智能运载工具、智能移动终端、数字人、智能服务等标准。	知能製品とサービス標準は主に知能ロボット、知能配送手段、知能携帯端末、デジタル人間、知能サービスなどの標準を含む。
1. 智能机器人标准。规范人工智能在机器人领域应用的技术要求，包括机器人智能认知、智能决策等标准。	1. 知能ロボット標準。 知能ロボットの認知および知能意思決定の標準を含む、ロボット分野における人工知能応用のための技術要件を標準化する。
2. 智能运载工具标准。规范智能运载工具感知、识别与预判、协同与博弈、决策与控制、评价等技术要求，包括环境融合感知、智能识别预判、智能决策控制、多模式测试评价等标准。	2. 知能自動車標準。 環境融合認識、知能識別・予測、知能意思決定・制御、マルチモード試験・評価の標準を含む、知能車両の認識、識別・予測、協調・ゲーム、意思決定・制御、評価の技術要件を標準化する。
3. 智能移动终端标准。规范人工智能应用在移动终端领域的技术要求，包括图像识别、人脸识别、智能语音交互，以及智能移动终端涉及的信息无障碍、适老化等标准。	3. インテリジェントモバイル端末標準。 画像識別、顔識別、インテリジェント音声インタラクション、インテリジェントモバイル端末に関わる情報アクセシビリティとエイジング標準など、モバイル端末分野におけるAIアプリケーションの技術要件を標準化する。
4. 数字人标准。规范数字人的外形、动作生成、语音识别与合成、自然语言交互等技术要求，包括数字人基础能力评估、多媒体合成渲染、基础数据采集方法、标识和识别方法等标准。	4. デジタルヒューマン標準。 デジタルヒューマンの基本能力のアセスメント、マルチメディア合成とレンダリング、基本データ収集方法、マーキングと識別方法の標準を含む、デジタルヒューマンの外観、行動生成、音声識別と合成、自然言語インタラクションの技術要件を標準化する。
5. 智能服务标准。规范基于大模型、自然语言处理、智能语音、计算机视觉等人工智能技术提供的服务，包括模型即服务平台技术要求和评测方法等标准，以及面向特定场景的人工智能应用服务，如智能软件开发、智能设计、智能防伪等标准。	5. インテリジェントサービス標準。 ビッグモデル、自然言語処理、インテリジェント・スピーチ、コンピュータ・ビジョンなどの人工知能技術に基づいて提供されるサービスを標準化する。これには、モデル・アズ・ア・サービス・プラットフォームの技術要件や評価方法などの標準のほか、インテリジェント・ソフトウェア開発、インテリジェント・デザイン、インテリジェント偽造防止など、特定のシナリオに対応する人工知能応用サービスの標準も含まれる。
（五）赋能新型工业化标准	(V) 新産業化を実現する標準
赋能新型工业化标准主要包括研发设计、中试验证、生产制造、营销服务、运营管理等制造业全流程智能化标准，以及重点行业智能升级标准。	新産業化を実現する標準には、主に研究開発・設計、試験・認証、生産、マーケティングサービス、運営・管理など、製造インテリジェンスの全過程に関する標準と、主要産業のインテリジェント化に関する標準が含まれる。
1. 研发设计标准。研制跨领域知识整合、新型设计模式生成、人机协同研发设计等标准。	1. 研究開発と設計標準。 分野横断的な知識の統合、新しい設計モードの生成、人間と機械の共同研究開発および設計標準の研究開発。
2. 中试验证标准。围绕高精度、全流程仿真模型，研制智能虚拟中试标准，以及复杂工业场景新技术应用验证标准。	2. 試験検証標準。 高精度フルプロセスシミュレーションモデルに焦点を当て、インテリジェントバーチャルパイロット標準、および複雑な産業シナリオにおける新技術適用のための検証標準を開発する。
3. 生产制造标准。研制生产过程智能化、产线监测及维护等标准。	3. 製造標準。 生産工程インテリジェンス、生産ライン監視、メンテナンスの標準を開発する。
4. 营销服务标准。围绕营销服务效率提升，研制智能客服、数字人、商品三维模型标准，以及用户体验等标准。	4. マーケティングサービス標準。 マーケティングサービス効率の向上に重点を置き、インテリジェントな顧客サービス、デジタルヒューマン、商品三次元モデル標準、ユーザーエクスペリエンス標準を研究開発する。
5. 运营管理标准。围绕运营管理智能化能力提升，研制相关供应链管理、数据管理、风险管理等标准。	5. 運営管理標準。 経営管理の知能化能力を高めることを中心に、サプライチェーン管理、データ管理、リスク管理などの標準を開発する。
6. 重点行业智能升级标准。围绕原材料行业，开展大模型畅联产线数据、优化在线监测调控和工艺改进等标准研制。围绕消费品行业，开展需求预测、个性化定制等标准研制。围绕装备行业，研制智能装备感知、交互、控制、协作、自主决策等标准。	6.重点産業の知能化標準。 原材料業界を中心に、大型モデルと生産ラインデータ、最適化オンライン監視と規制、プロセス改善などの標準を研究開発する。 消費財産業周辺では、需要予測、個別カスタマイズなどの標準開発を行う。 設備産業周辺では、インテリジェント設備の認識、相互作用、制御、協力、自律的意思決定標準を開発する。
（六）行业应用标准	(VI）産業応用標準
开展智慧城市、科学智算、智慧农业、智慧能源、智慧环保、智慧金融、智慧物流、智慧教育、智慧医疗、智慧交通、智慧文旅等领域标准研究。	スマートシティ、科学計算、スマート農業、スマートエネルギー、スマート環境保護、スマート金融、スマート物流、スマート教育、スマート医療、スマート交通、スマート観光などの標準研究を行う。
（七）安全/治理标准	(VII) 安全/ガバナンス標準
安全/治理标准主要包括人工智能领域的安全、治理等标准。	安全/ガバナンス標準には、主に人工知能分野における安全、ガバナンス、その他の標準が含まれる。
1. 安全标准。规范人工智能技术、产品、系统、应用、服务等全生命周期的安全要求，包括基础安全，数据、算法和模型安全，网络、技术和系统安全，安全管理和服务，安全测试评估，安全标注，内容标识，产品和应用安全等标准。	1. 安全標準。 基本安全、データ・アルゴリズム・モデル安全、ネットワーク・技術・システム安全、安全管理・サービス、安全テスト・アセスメント、安全ラベリング、コンテンツラベリング、製品・アプリケーション安全などの標準を含む、AI技術、製品、システム、アプリケーション、サービスなどのライフサイクル全体の安全要件を標準化する。
2. 治理标准。结合人工智能治理实际需求，规范人工智能	2. ガバナンス標準。 AIガバナンスの実際のニーズと組み合わせて、AIを規制する。
的技术研发和运营服务等要求，包括人工智能鲁棒性、可靠性、可追溯性的技术要求与评测方法，人工智能治理支撑技术；规范人工智能全生命周期的伦理治理要求，包括人工智能伦理风险评估，人工智能的公平性、可解释性等伦理治理技术要求与评测方法，人工智能伦理审查等标准。	また、AIの倫理リスクアセスメント、AIの公正性、解釈可能性、その他の倫理ガバナンスの技術要件とアセスメント方法、AI倫理審査等の標準を含む、AIのライフサイクル全体に対する倫理ガバナンス要件を標準化する。
五、保障措施	V. 保証措置
（一）完善组织建设。建立健全人工智能领域标准化技术组织，统筹产学研用各方、产业链各环节优势力量，协同推进人工智能标准建设，共同构建先进适用的人工智能产业标准体系。	(I) 組織構築を改善する。 AI分野における健全な標準化技術組織を設立し、産・学・研・用、産業チェーンのすべての関係者を調整し、AI標準の構築を共同で推進し、先進的で適用可能なAI産業標準体系を共同で構築する。
（二） 构建人才队伍。鼓励标准化研究机构培养和引进标准化高端人才，加强面向标准化从业人员的专题培训。鼓励企业、高校、研究机构等将标准化人才纳入职业能力评价和激励范围，构建标准化人才梯队。	(II) 人材チームを構築する。 標準化研究機関が標準化のハイエンド人材を育成・導入することを奨励し、標準化実務者のテーマ別研修を強化する。 企業、大学、研究機関に対し、標準化の人材を専門能力評価と奨励の範囲に含めるよう奨励し、標準化人材エシュロンを構築する。
（三） 加强宣贯推广。指导行业协会、标准化技术组织、国家技术标准创新基地等，面向企业开展人工智能标准体系、重点标准的宣贯和培训，引导企业在研发、设计、生产、管理、检测等环节对标达标，持续提升标准助力产业高质量发展效能。	(III) 広報・宣伝を強化する。 業界団体、標準化技術組織、国家技術標準創新基地などがAI標準体系と企業向け重点標準の宣伝と教育を実施するよう指導し、標準の研究開発、設計、生産、管理、試験などの面で企業が標準に適合するよう指導し、業界の高品質な発展を支援する標準の有効性を引き続き高める。

 

 

 

米国AI安全研究所と欧州AI事務局の技術対話 (2024.07.12)

こんにちは、丸山満彦です。

米国AI安全研究所と欧州AI事務局が技術対話が開始されているようですね...

---

環境災害を予測するために重要な気象モデリングに焦点が当てられた。

---

ということで、環境問題の解決にもAIの活用を考えている様ですね...

 

また、

---

電子透かしとコンテンツ実証のためのベストプラクティスとツールを探求し、それぞれの活動の中でこれらのツールを促進し、合成コンテンツから生じるリスクに対処するため、AIの安全性と信頼に関する科学的・技術的交流をさらに進めるという共通の関心を表明した。

---

AIが作るコンテンツから生じるリスクに対処するための、技術的対策（電子少し、コンテンツ実証など）のための実践やツールを検討するようですね...

 

 

● NIST - U.S. Artificial Intelligence Safety Institute

・2024.07.12 U.S. AI Safety Institute and European AI Office Hold Technical Dialogue

 

U.S. AI Safety Institute and European AI Office Hold Technical Dialogue	米国AI安全機構と欧州AI事務局が技術対話を実施
On July 11, 2024, U.S. Under Secretary of Commerce for Standards and Technology Laurie E. Locascio and Director General of the European Commission’s DG Connect Roberto Viola, initiated a technical dialogue between the European AI Office (EUAIO) and the U.S. AI Safety Institute (USAISI). The dialogue, held at the Department of Commerce in Washington, D.C., aims to deepen bilateral collaboration on AI and foster scientific information exchange between the E.U. and the U.S. It was included as part of the sixth ministerial meeting of the U.S.-E.U. Trade and Technology Council.	2024年7月11日、ローリー・E・ロカシオ米商務次官（標準技術担当）とロベルト・ヴィオラ欧州委員会コネクト総局長は、欧州AI事務局（EUAIO）と米国AI安全研究所（USAISI）の技術対話を開始した。ワシントンD.C.の商務省で開催されたこの対話は、AIに関する二国間の協力を深め、EUと米国の科学的な情報交換進することを目的としている。この対話は、第6回米・EU貿易・技術協議会閣僚会議の一環として開催された。
USAISI Director Elizabeth Kelly and EUAIO Director Lucilla Sioli led the technical discussion on best practices, key risks and other core questions related to AI. The dialogue focused on three key topics: watermarking and content authentication of synthetic content; government compute infrastructure; and AI for societal good. In this respect, the dialogue focused on weather modelling, which is key to enable simulations and forecasts and anticipate environmental disasters.	USAISIのエリザベス・ケリー所長とEUAIOのルチッラ・シオリ所長が、AIに関するベストプラクティス、主要リスク、その他の核心的な質問に関する技術的な議論を主導した。対話では、合成コンテンツの電子透かしとコンテンツ認証、政府の計算インフラ、社会的利益のためのAIという3つの主要トピックに焦点が当てられた。その中でも、シミュレーションや予測を可能にし、環境災害を予測するために重要な気象モデリングに焦点が当てられた。
The conversations featured a session on watermarking that included academics and civil society representatives. The government discussions brought together experts from the U.S. Department of Energy, National Science Foundation, National Oceanic and Atmospheric Administration, and the Department of State as well as experts from the European AI Office, the Emerging and Enabling Technologies department of DG Connect, the European Commission's Joint Research Centre, and the European Centre for Medium-Range Weather Forecasts.	対話では、学者や市民社会の代表者が参加した電子透かしに関するセッションが行われた。政府との対話では、米国エネルギー省、米国科学財団、米国海洋大気庁、国務省の専門家のほか、欧州AI事務局、コネクト総局の新興・実現技術部門、欧州委員会共同研究センター、欧州中距離天気予報センターの専門家が参加した。
During the discussion, the EUAIO and USAISI expressed a shared interest to explore best practices and tools for watermarking and content provenance, promote these tools within their respective actions and further scientific and technical exchange on AI safety and trust to address risks arising from synthetic content. Both institutions reiterated the shared ambition to develop an international network among key partners to accelerate the advancement of the science of AI safety as articulated at the AI Seoul Summit.	意見交換の中で、EUAIOとUSAISIは、電子透かしとコンテンツ実証のためのベストプラクティスとツールを探求し、それぞれの活動の中でこれらのツールを促進し、合成コンテンツから生じるリスクに対処するため、AIの安全性と信頼に関する科学的・技術的交流をさらに進めるという共通の関心を表明した。両機関は、AIソウル・サミットで明確にされたように、AIの安全性の科学の進歩を加速させるために、主要なパートナー間で国際的なネットワークを開発するという共通の野心を改めて表明した。
“This dialogue between the AI Safety Institute and EU AI Office highlights the strength of our partnership to facilitate the exchange of the latest scientific approaches and techniques from our experts in order to promote safe and trustworthy AI internationally,” said Laurie E. Locascio, Under Secretary of Commerce for Standards and Technology and director of the National Institute of Standards and Technology (NIST).	国立標準技術研究所（NIST）のローリー・E・ロカシオ商務次官（標準技術担当）は、次のように述べた。「AI安全研究所とEUのAI事務局との今回の対話は、安全で信頼できるAIを国際的に推進するため、両機関の専門家による最新の科学的アプローチと技術の交換を促進するという、両機関のパートナーシップの強みを浮き彫りにするものである。」
“Our EU-US cooperation strengthens our mutual trust and paves the way for an international network among key partners for a truly global impact on trustworthy AI for societal good,” said Roberto Viola, Director-General of the European Commission’s Directorate-General for Communications Networks, Content and Technology (DG Connect).	欧州委員会の通信ネットワーク・コンテンツ・技術総局（コネクト総局）のロベルト・ヴィオラ総局長は、次のように述べた。「我々のEUと米国の協力は、相互の信頼を強化し、社会のために信頼できるAIを真に世界的な規模で普及させるための主要パートナー間の国際的なネットワークへの道を開くものである」。

 

 

● European Commission - European AI Office

・2024.07.12 U.S. AI Safety Institute and European AI Office Technical Dialogue

 

 

米国 NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ

こんにちは、丸山満彦です。

NISTが、SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3と、NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズを公表していますね...

● NIST- ITL 

プレス...

・2024.07.15 Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78

Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78	個人アイデンティティ検証（PIV）インタフェース、暗号アルゴリズム、および鍵サイズ： NIST は SP 800-73 および SP 800-78 を改訂する。
In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) credentials, including those on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201.	2022 年 1 月、NIST は、PIV カード上のものを含む個人識別検証（PIV）クレデンシャルの使 用標準を確立する連邦情報処理標準（FIPS）201 を改訂した。NIST 特別刊行物（SP）800-73-5： パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂された。
SP 800-73-5: Parts 1–3	SP 800-73-5： パート 1-3
SP 800-73-5: Parts 1–3, Interfaces for Personal Identity Verification, describe the technical specifications for using PIV Cards. The three parts cover the PIV data model (Part 1), the card edge interface (Part 2), and the application programming interface (Part 3). Major changes to the documents include:	SP 800-73-5： パート１～パート3、個人アイデンティティ検証用インタフェースは、PIV カードを使用するための技術仕様 を記述している。この 3 部は、PIV データ・モデル（パート1）、カード・エッジ・インタフェース （パート2）、およびアプリケーション・プログラミング・インタフェース（パート3） を対象としている。文書の主な変更点は以下のとおりである：
・Removal of the previously deprecated CHUID authentication mechanism	・以前は非推奨であった CHUID 認証メカニズムの削除。
・Deprecation of the SYM-CAK and VIS authentication mechanisms	・SYM-CAK および VIS 認証メカニズムの廃止。
・Addition of an optional 1-factor secure messaging authentication mechanism (SM-Auth) for facility access applications	・施設アクセス・アプリケーション用のオプションの 1 要素セキュア・メッセージング認証 （SM-Auth）の追加
・Additional use of the facial image biometric for general authentication via BIO and BIO-A authentication mechanisms	・BIOおよびBIO-A認証メカニズムによる一般認証への顔画像バイオメトリックの追加使用
・Addition of an optional Cardholder identifier in the PIV Authentication Certificate to identify a PIV credential holder to their PIV credential set issued during PIV eligibility	・PIV 認証証明書にオプションのカード保持者識別子を追加して、PIV クレデンシャル保持 者を PIV 資格認定中に発行された PIV クレデンシャル・セットに識別する。
・Restriction on the number of consecutive activation retries for each of the activation methods (i.e., PIN and OCC attempts) to be 10 or less	・各アクティベーション方法（すなわち、PIN および OCC 試行）の連続アクティベーショ ン再試行回数を 10 回以下に制限する。
・SP 800-73-5: Part 3 on PIV Middleware specification marked as optional to implement	・SP 800-73-5： PIV ミドルウェア仕様の第 3 部は、実装のオプションとされた。
SP 800-78-5	SP 800-78-5
SP 800-78-5, Cryptographic Algorithms and Key Sizes for Personal Identity Verification, defines the requirements for the cryptographic capability of the PIV Card and supporting systems in coordination with FIPS 201-3. It has been modified to add additional algorithm and key size requirements and to update the requirements for Cryptographic Algorithm Validation Program (CAVP) validation testing, including:	SP 800-78-5「個人 ID 検証のための暗号アルゴリズムおよび鍵サイズ」は、FIPS 201-3 と連携して、PIV カードおよび支援システムの暗号機能の要件を定義している。追加アルゴリズムおよび鍵サイズ要件を追加し、暗号化アルゴリズム検証プログラム（CAVP） 検証テストの要件を更新するために、以下のように修正されている：
Deprecation of 3TDEA algorithms with identifier ‘00’ and ‘03’	識別子が'00'および'03'の3TDEAアルゴリズムの廃止。
Removal of the retired RNG from CAVP PIV component testing where applicable	該当する場合、CAVP PIV コンポーネント・テストから引退した RNG を削除する。
Removal of retired FIPS 186-2 key generation from CAVP PIV component testing where applicable	該当する場合、CAVP PIV コンポーネント・テストからの引退した FIPS 186-2 鍵生成の削除。
Accommodation of the Secure Messaging Authentication key	Secure Messaging 認証鍵の収容
Update to Section 3.1 and Table 1 to reflect additional higher strength keys with at least 128-bit security for use in authentication beginning in 2031	セクション 3.1 および表 1 を更新し、2031 年から認証に使用される、少なくとも 128 ビットのセ キュリティを持つ、より強度の高い鍵を追加する。

 

 

こちらは、SP800-78-5...

・2024.07.15 NIST SP 800-78-5 Cryptographic Algorithms and Key Sizes for Personal Identity Verification

NIST SP 800-78-5 Cryptographic Algorithms and Key Sizes for Personal Identity Verification	NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ
Abstract	概要
Federal Information Processing Standard 201-3 (FIPS 201-3) defines the requirements for Personal Identity Verification (PIV) life cycle activities, including identity proofing, registration, PIV Card issuance, and PIV Card usage. FIPS 201-3 also defines the structure of an identity credential that includes cryptographic keys. This document contains the technical specifications needed for the mandatory and optional cryptographic keys specified in FIPS 201-3, as well as the supporting infrastructure specified in FIPS 201-3 and the related NIST Special Publication (SP) 800-73, Interfaces for Personal Identity Verification, and SP 800-76, Biometric Specifications for Personal Identity Verification, which rely on cryptographic functions.	連邦情報処理標準 201-3（FIPS 201-3）は、身元確認、登録、PIV カード発行、および PIV カード使用を含む、個人アイデンティティ検証（PIV）のライフサイクル活動の要件を定義している。FIPS 201-3 は、暗号鍵を含む ID クレデンシャルの構造も定義している。この文書には、FIPS 201-3 で指定された必須およびオプションの暗号鍵に必要な技術仕様、ならびに FIPS 201-3 および関連する NIST 特別刊行物（SP）800-73「個人識別検証のためのインタフェース」、および SP 800-76「個人アイデンティティ検証のためのバイオメトリクス仕様」で指定されたサポート・インフラストラ クチャが含まれており、これらは暗号機能に依存している。

 

・[PDF] NIST.SP.800-78-5

 

目次と図表

1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. Scope	1.2. 適用範囲
1.3. Audience and Assumptions	1.3. 想定読者および前提
1.4. Document Overview	1.4. 文書の概要
2. Application of Cryptography in FIPS 201-3	2. FIPS 201-3 における暗号の適用
3. On-Card Cryptographic Requirements	3. オンカード暗号要件
3.1. PIV Cryptographic Keys	3.1. PIV 暗号鍵
3.2. Authentication Information Stored on the PIV Card	3.2. PIV カードに格納される認証情報
3.2.1. Specification of Digital Signatures on Authentication Information	3.2.1. 認証情報に対するデジタル署名の仕様
3.2.2. Specification of Public Keys In X.509 Certificates	3.2.2. X.509 証明書内の公開鍵の仕様
3.2.3. Specification of Message Digests in the NIST SP 800-73-4 Security Object	3.2.3. NIST SP 800-73-4 セキュリティ・オブジェクトにおけるメッセージ・ダイジェストの仕様
4. Certificate Status Information	4. 証明書ステータス情報
5. PIV Card Application Administration Keys	5. PIV カード・アプリケーション管理鍵
6. Identifiers for PIV Card Interfaces	6. PIV カード・インタフェースの識別
6.1. Key Reference Values	6.1. 鍵参照値
6.2. PIV Card Algorithm Identifiers	6.2. PIV カード・アルゴリズム識別
6.3. Algorithm Identifiers for PIV Key Types	6.3. PIV 鍵タイプのアルゴリズム識別子
7. Cryptographic Algorithm Validation Testing Requirements	7. 暗号化アルゴリズム検証テスト要件
References	参考文献
Appendix A	附属書 A
Appendix B	附属書 B
List of Symbols, Abbreviations, and Acronyms	記号、略語、頭字語のリスト
Change Log	変更履歴
List of Tables	表一覧
Table 1. Algorithm and key size requirements for PIV key types	表 1. PIV 鍵タイプのアルゴリズムおよび鍵サイズの要件
Table 2. Signature algorithm and key size requirements for PIV information	表 2. PIV 情報に対する署名アルゴリズムおよび鍵サイズ要件
Table 3. FIPS 201-3 signature algorithm object identifiers	表 3. FIPS 201-3 署名アルゴリズム・オブジェクト識別子
Table 4. Public key object identifiers for PIV key types	表 4. PIV 鍵タイプの公開鍵オブジェクト識別子
Table 5. ECC parameter object identifiers for approved curves	表 5. 承認済み曲線のECCパラメータ・オブジェクト識別子
Table 6. Hash algorithm object identifiers	表 6. ハッシュ・アルゴリズム・オブジェクト識別子
Table 7. Algorithm and key size requirements for PIV Card application administration keys	表 7. PIV カード・アプリケーション管理鍵のアルゴリズムおよび鍵サイズ要件
Table 8. Key references for PIV Key Types	表 8. PIV 鍵タイプの鍵参照
Table 9. Identifiers for supported cryptographic algorithms	表 9. サポートされる暗号アルゴリズムの識別。
Table 10. PIV Card keys: Key references and algorithms	表 10. PIV カード鍵： 鍵参照およびアルゴリズム
Table 11. Cryptographic Algorithm Validation Program (CAVP) validation requirements	表 11. 暗号アルゴリズム検証プログラム（CAVP）検証要件

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.17 米国 NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ

・2024.07.17 米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3

・2023.12.16 NIST SP 800-79 Rev.3（初期公開ドラフト）PIV カードおよび派生 PIV クレデンシャル発行者の認可に関するガイドライン

・2023.09.30 NIST SP 800-73-5（初期公開ドラフト） 個人 ID 検証のためのインタフェース：パート 1 - PIV データ・モデル、パート 2 - カード・エッジ・インタフェース、パート 3 - アプリケーション・プログラミング・ インタフェース

・2023.09.30 NIST SP 800-78-5（初期公開ドラフト） 個人識別検証の暗号アルゴリズムおよび鍵サイズ

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証（PIV）

 

 

米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3

こんにちは、丸山満彦です。

NISTが、SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3と、NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズを公表ていますね...

● NIST- ITL 

プレス...

・2024.07.15 Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78

Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78	個人アイデンティティ検証（PIV）インタフェース、暗号アルゴリズム、および鍵サイズ： NIST は SP 800-73 および SP 800-78 を改訂する。
In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) credentials, including those on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201.	2022 年 1 月、NIST は、PIV カード上のものを含む個人アイデンティティ検証（PIV）クレデンシャルの使 用標準を確立する連邦情報処理標準（FIPS）201 を改訂した。NIST 特別刊行物（SP）800-73-5： パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂された。
SP 800-73-5: Parts 1–3	SP 800-73-5： パート 1-3
SP 800-73-5: Parts 1–3, Interfaces for Personal Identity Verification, describe the technical specifications for using PIV Cards. The three parts cover the PIV data model (Part 1), the card edge interface (Part 2), and the application programming interface (Part 3). Major changes to the documents include:	SP 800-73-5： パート１～パート3、個人アイデンティティ検証用インタフェースは、PIV カードを使用するための技術仕様 を記述している。この 3 部は、PIV データ・モデル（パート1）、カード・エッジ・インタフェース （パート2）、およびアプリケーション・プログラミング・インタフェース（パート3） を対象としている。文書の主な変更点は以下のとおりである：
・Removal of the previously deprecated CHUID authentication mechanism	・以前は非推奨であった CHUID 認証メカニズムの削除。
・Deprecation of the SYM-CAK and VIS authentication mechanisms	・SYM-CAK および VIS 認証メカニズムの廃止。
・Addition of an optional 1-factor secure messaging authentication mechanism (SM-Auth) for facility access applications	・施設アクセス・アプリケーション用のオプションの 1 要素セキュア・メッセージング認証 （SM-Auth）の追加
・Additional use of the facial image biometric for general authentication via BIO and BIO-A authentication mechanisms	・BIOおよびBIO-A認証メカニズムによる一般認証への顔画像バイオメトリックの追加使用
・Addition of an optional Cardholder identifier in the PIV Authentication Certificate to identify a PIV credential holder to their PIV credential set issued during PIV eligibility	・PIV 認証証明書にオプションのカード保持者識別子を追加して、PIV クレデンシャル保持 者を PIV 資格認定中に発行された PIV クレデンシャル・セットに識別する。
・Restriction on the number of consecutive activation retries for each of the activation methods (i.e., PIN and OCC attempts) to be 10 or less	・各アクティベーション方法（すなわち、PIN および OCC 試行）の連続アクティベーショ ン再試行回数を 10 回以下に制限する。
・SP 800-73-5: Part 3 on PIV Middleware specification marked as optional to implement	・SP 800-73-5： PIV ミドルウェア仕様の第 3 部は、実装のオプションとされた。
SP 800-78-5	SP 800-78-5
SP 800-78-5, Cryptographic Algorithms and Key Sizes for Personal Identity Verification, defines the requirements for the cryptographic capability of the PIV Card and supporting systems in coordination with FIPS 201-3. It has been modified to add additional algorithm and key size requirements and to update the requirements for Cryptographic Algorithm Validation Program (CAVP) validation testing, including:	SP 800-78-5「個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ」は、FIPS 201-3 と連携して、PIV カードおよび支援システムの暗号機能の要件を定義している。追加アルゴリズムおよび鍵サイズ要件を追加し、暗号化アルゴリズム検証プログラム（CAVP） 検証テストの要件を更新するために、以下のように修正されている：
Deprecation of 3TDEA algorithms with identifier ‘00’ and ‘03’	識別子が'00'および'03'の3TDEAアルゴリズムの廃止。
Removal of the retired RNG from CAVP PIV component testing where applicable	該当する場合、CAVP PIV コンポーネント・テストから引退した RNG を削除する。
Removal of retired FIPS 186-2 key generation from CAVP PIV component testing where applicable	該当する場合、CAVP PIV コンポーネント・テストからの引退した FIPS 186-2 鍵生成の削除。
Accommodation of the Secure Messaging Authentication key	Secure Messaging 認証鍵の収容
Update to Section 3.1 and Table 1 to reflect additional higher strength keys with at least 128-bit security for use in authentication beginning in 2031	セクション 3.1 および表 1 を更新し、2031 年から認証に使用される、少なくとも 128 ビットのセ キュリティを持つ、より強度の高い鍵を追加する。

 

 

こちらは、SP800-73-5...

・2024.07.15 NIST SP 800-73-5 Interfaces for Personal Identity Verification:

Part 1 – PIV Card Application Namespace, Data Model and Representation	パート 1 - PIV カードアプリケーション名前空間、データモデルおよび表現
Part 2 – PIV Card Application Card Command Interface	パート 2 - PIV カードアプリケーション・カード・コマンド・インタフェース
Part 3 – PIV Client Application Programming Interface	パート 3 - PIV クライアント・アプリケーション・プログラミング・インターフェイス

 

Abstract

概要

FIPS 201 defines the requirements and characteristics of government-wide interoperable identity credentials. It specifies that these identity credentials must be stored on a smart card and that additional common identity credentials, known as derived PIV credentials, may be issued by a federal department or agency and used when a PIV Card is not practical. This document contains the technical specifications to interface with the smart card to retrieve and use the PIV identity credentials. The specifications reflect the design goals of interoperability and PIV Card functions. The goals are addressed by specifying a PIV data model, card edge interface, and application programming interface. Moreover, this document enumerates requirements for the options and branches in international integrated circuit card standards [ISO7816]. The specifications go further by constraining interpretations of the normative standards to ease implementation, facilitate interoperability, and ensure performance in a manner tailored for PIV applications.

FIPS 201 は、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義して いる。FIPS 201 は、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義する。 FIPS 201 は、これらの ID クレデンシャルがスマート・カードに格納されなければならず、派生 PIV クレデンシャルと呼ばれる追加の共通 ID クレデンシャルが連邦省庁によって発行され、PIV カードが実用的でない場合に使用される可能性があることを規定する。本文書には、PIV ID クレデンシャルを取得して使用するためにスマート・カードとインタ ーフェースする技術仕様が含まれている。この仕様は、相互運用性および PIV カード機能の設計目標を反映している。目標は、PIV データ・モデル、カード・エッジ・インタフェース、およびアプリケーショ ン・プログラミング・インタフェースを規定することで対処される。さらに、本文書は、国際集積回路カード標準［ISO7816］のオプションおよび分岐に対する要 件を列挙している。この仕様は、実装を容易にし、相互運用性を促進し、PIV アプリケーションに合わせた方法でパ フォーマンスを確保するために、標準の解釈を制約することによって、さらに進む。

 

・[PDF] NIST.SP.800-73pt1-5

目次...

1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. Scope	1.2. 適用範囲
1.3. Effective Date	1.3. 発効日
1.4. Audience and Assumptions	1.4. 想定読者および前提条件
1.5. Document Overview and Structure	1.5. 文書の概要と構成
2. PIV Card Application Namespaces	2. PIV カード・アプリケーション名前空間
2.1. Namespaces of the PIV Card Application	2.1. PIV カード・アプリケーションの名前空間
2.2. PIV Card Application AID	2.2. PIV カード・アプリケーション AID
3. PIV Data Model Elements	3. PIV データ・モデル要素
3.1. Mandatory Data Elements	3.1. 必須データ要素
3.2. Conditional Data Elements	3.2. 条件付きデータ要素
3.3. Optional Data Elements	3.3. オプションのデータ要素
3.4. Inclusion of Universally Unique Identifiers (UUIDs)	3.4. 汎用一意識別子（UUID）のインクルード
3.5. Data Object Containers and Associated Access Rules and Interface Modes	3.5. データ・オブジェクト・コンテナおよび関連するアクセス・ルールとインターフェイス・モード
4. PIV Data Objects Representation	4. PIV データ・オブジェクトの表現
4.1. Data Objects Definition	4.1. データ・オブジェクト定義
4.2. OlDs and Tags of PIV Card Application Data Objects	4.2. PIV カード・アプリケーション・データ・オブジェクトの OlDs とタグ
4.3. Object Identifiers	4.3. オブジェクト識別子
5. Data Types and Their Representation	5. データ型とその表現
5.1. Key References	5.1. キー参照
5.2. PIV Algorithm Identifier	5.2. PIV アルゴリズム識別子
5.3. Cryptographic Mechanism Identifiers	5.3. 暗号メカニズム識別子
5.4. Secure Messaging and Authentication Using a Secure Messaging Key (SM-AUTH)	5.4. セキュア・メッセージング鍵（SM-AUTH）を使用するセキュア・メッセージングおよび認証
5.5. Virtual Contact Interface	5.5. バーチャル・コンタクト・インターフェース
5.6. Status Words	5.6. ステータスワード
References	参考文献
Appendix A. PIV Data Model	附属書A. PIV データモデル
Appendix B. PIV Authentication Mechanisms	附属書B. PIV 認証メカニズム
Appendix C. PIV Algorithm Identifier Discovery	附属書C. PIV アルゴリズム識別子の発見
Appendix D. List of Symbols, Abbreviations, and Acronyms	附属書D. 記号、略語、および頭字語のリスト
Appendix E. Glossary	附属書E. 用語集
Appendix F. Notation	附属書F. 表記法
Appendix G. Revision History	附属書G. 改訂履歴

 

 

・[PDF] NIST.SP.800-73pt2-5

 

目次...

1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. Scope	1.2. 適用範囲
1.3. Audience and Assumptions	1.3. 想定読者および前提
1.4. Content and Organization	1.4. 内容と構成
2. Overview: Concepts and Constructs	2. 概要 概念と構成要素
2.1. Platform Requirements	2.1. プラットフォーム要件
2.2. Namespaces of the PIV Card Application	2.2. PIV カード・アプリケーションの名前空間
2.3. Card Applications	2.3. カード・アプリケーション
2.3.1. Default Selected Card Application	2.3.1. デフォルト選択カード・アプリケーション
2.4. Security Architecture	2.4. セキュリティ・アーキテクチャ
2.4.1. Access control kule	2.4.1. アクセス管理クレ
2.4.2. Security Status	2.4.2. セキュリティ・ステータス
2.4.3. Authentication of an Individual	2.4.3. 個人の認証
2.5. Current State of the PIV Card Application	2.5. PIV カード・アプリケーションの現状
3. PIV Card Application Card Command Interface	3. PIV カード・アプリケーション・カード・コマンド・インタフェース
3.1. PIV Card Application Card Commands for Data Access	3.1. データ・アクセスのための PIV カード・アプリケーション・カード・コマンド
3.1.1. SELECT Card Command	3.1.1. SELECT カード・コマンド
3.4.2. Oll DalA Laro Command	3.4.2. Oll DalA Laro コマンド
3.2. PIV Card Application Card Commands for Authentication	3.2. 認証のための PIV カード・アプリケーション・カード・コマンド
3.2.1. VERIFY Card Command	3.2.1. VERIFY カード・コマンド
3.2.2. CHANGE REFERENCE DATA Card Command	3.2.2. CHANGE REFERENCE DATA カード・コマンド
3.2.3. REStT RETRY COUNTER Card command	3.2.3. REStT RETRY COUNTER カード・コマンド
3.2.4. GENERAL AUTHENTICATE Card Command	3.2.4. GENERAL AUTHENTICATE カード・コマンド
3.3. PIV Card Application Card Commands for Credential Initialization and Administration	3.3. クレデンシャル初期化および管理のための PIV カードアプリケーションカードコマンド
3.3.1. PUT DATA Card Command	3.3.1. PUT DATA カード・コマンド
3.3.2. GENERATE ASYMMETRIC KEY PAIR Card Command	3.3.2. GENERATE ASYMETRIC KEY PAIR カード・コマンド
4. Secure Messaging	4. セキュア・メッセージング
4.1. Key Establishment Protocol,	4.1. 鍵確立プロトコル
4.1.1. Client Application Steps	4.1.1. クライアント・アプリケーションの手順
4.1.2. PIV Card Application Protocol Steps	4.1.2. PIV カード・アプリケーション・プロトコル・ステップ
4.1.3. Notations	4.1.3. 表記
4.1.4. Cipher Suite	4.1.4. 暗号スイート
4.1.5. Card Verifiable Certificate	4.1.5. カード検証可能証明書
4.1.6. Key Derivation	4.1.6. 鍵の導出
4.1.7. Key Confirmation	4.1.7. 鍵の確認
4.1.8. Command Interface	4.1.8. コマンド・インターフェース
4.2. Secure Messaging	4.2. セキュア・メッセージング
4.2.1. Secure Messaging Data Objects	4.2.1. セキュア・メッセージング・データ・オブジェクト
4.2.2. Command and Response Data Confidentiality	4.2.2. コマンドとレスポンス・データの機密性
4.2.3. Command Integrity	4.2.3. コマンドの完全性
4.2.4. Command With PIV Secure Messaging	4.2.4. PIV セキュア・メッセージングを使用したコマンド
4.2.5. Response Integrity	4.2.5. 応答の完全性
4.2.6. Response With PIV Secure Messaging	4.2.6. PIV セキュア・メッセージングを使用した応答
4.2.7. Error Handling	4.2.7. エラー処理
4.3. Session Key Destruction	4.3. セッション鍵の破棄
References	参考文献
Appendix A. Examples of the Use of the GENERAL AUTHENTICATE Command	附属書A. GENERAL AUTHENTICATEコマンドの使用例
Appendix B. List of Symbols, Abbreviations, and Acronyms	附属書B. 記号、略語、頭字語のリスト
Appendix C. Glossary	附属書C．用語集
Appendix D. Notation	附属書D．表記

 

 

・[PDF] NIST.SP.800-73pt3-5

 

目次...

1. Introduction	1. 序文
1.1. Purpose	1.1. 目的
1.2. Scope	1.2. 適用範囲
1.3. Audience and Assumptions	1.3. 想定読者および前提
1.4. Content and Organization	1.4. 内容と構成
2. Overview: Concepts and Constructs	2. 概要 概念と構成要素
3. Client Application Programming Interface	3. クライアント・アプリケーション・プログラミング・インターフェイス
3.1. Entry Points for Communication	3.1. コミュニケーションのエントリーポイント
3.2. Entry Points for Data Access	3.2. データアクセスのエントリーポイント
3.3. Entry Points for Cryptographic Operations	3.3. 暗号操作のエントリーポイント
3.4. Entry Points for Credential Initialization and Administration	3.4. クレデンシャルの初期化および管理のエントリポイント
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書A. 記号、略語、および頭字語のリスト
Appendix B. Glossary	附属書B. 用語集
Appendix C. Notation	附属書C. 表記法

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.17 米国 NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ

・2024.07.17 米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3

・2023.12.16 NIST SP 800-79 Rev.3（初期公開ドラフト）PIV カードおよび派生 PIV クレデンシャル発行者の認可に関するガイドライン

・2023.09.30 NIST SP 800-73-5（初期公開ドラフト） 個人 ID 検証のためのインタフェース：パート 1 - PIV データ・モデル、パート 2 - カード・エッジ・インタフェース、パート 3 - アプリケーション・プログラミング・ インタフェース

・2023.09.30 NIST SP 800-78-5（初期公開ドラフト） 個人識別検証の暗号アルゴリズムおよび鍵サイズ

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証（PIV）

 

米国 NIST SP 800-90C（第4次公開ドラフト）ランダムビット生成器（RBG）の構造に関する推奨事項 (2024.07.03)

こんにちは、丸山満彦です。

NISTが、SP 800-90C（第4次公開ドラフト）ランダムビット生成器（RBG）の構造に関する推奨事項を公表し、意見募集をしていますね...

 

● NIST- ITL

プレス...

・2024.07.03 Recommendation for Random Bit Generator Constructions: Fourth Public Draft of NIST SP 800-90C Available for Comment

 

文書...

・2024.07.03 Recommendation for Random Bit Generator Constructions: Fourth Public Draft of NIST SP 800-90C Available for Comment

NIST SP 800-90C (4th Public Draft) Recommendation for Random Bit Generator (RBG) Constructions	NIST SP 800-90C（第4次公開ドラフト）ランダムビット生成器（RBG）の構造に関する推奨事項
Announcement	発表
The NIST SP 800-90 series of documents supports the generation of high-quality random bits for cryptographic and non-cryptographic use. SP 800-90A specifies several deterministic random bit generator (DRBG) mechanisms based on cryptographic algorithms. SP 800-90B provides guidance for the development and validation of entropy sources. SP 800-90C specifies constructions for the implementation of random bit generators (RBGs) that include DRBG mechanisms as specified in SP 800-90A and that use entropy sources as specified in SP 800-90B.	NIST SP 800-90シリーズは、暗号および非暗号用の高品質ランダムビットの生成をサポートする文書である。SP 800-90Aは、暗号アルゴリズムに基づくいくつかの決定論的ランダムビット生成器（DRBG）メカニズムを規定している。SP 800-90Bは、エントロピー源の開発と検証のためのガイダンスを提供する。SP 800-90C は、SP 800-90A に規定される DRBG メカニズムを含み、SP 800-90B に規定されるエントロピー源を使用するランダムビット生成器（RBG）の実装のための構造を規定する。
This draft includes constructions for four classes of RBGs:	このドラフトには、4つのクラスのRBGが含まれている：
1. An RBG1 construction provides random bits from a device that is initialized from an external RBG.	1. RBG1構造は、外部RBGから初期化されたデバイスからランダムビットをプロバイダする。
2. An RBG2 construction includes an entropy source that is available on demand.	2. RBG2構造は、オンデマンドで利用可能なエントロピー源を含む。
3. An RBG3 construction includes an entropy source that is continuously accessed to provide output with full entropy.	3. RBG3は、連続的にアクセスされ、完全なエントロピーを持つ出力を提供するエントロピー源を含む。
4. An RBGC construction allows the use of a chain of RBGs that consists of only RBGC constructions on the same computing platform.	4. RBGC構築は、同じコンピューティング・プラットフォーム上でRBGC構築のみからなるRBGの連鎖の使用を可能にする。
SP 800-90C includes a note to readers, guidance for accessing and handling the entropy sources in SP 800-90B, specifications for the initialization and use of the four RBG constructions that incorporate the DRBGs from SP 800-90A, and guidance on health testing and implementation validation using NIST's Cryptographic Algorithm Validation Program (CAVP) and the Cryptographic Module Validation Program (CMVP), which is jointly operated by NIST and the Canadian Centre for Cyber Security (CCCS).	SP 800-90Cには、読者への注記、SP 800-90Bのエントロピー源へのアクセスと取り扱いに関する指針、SP 800-90AのDRBGを組み込んだ4つのRBG構築の初期化と使用に関する仕様、NISTの暗号アルゴリズム検証プログラム（CAVP）およびNISTとカナダサイバーセキュリティセンター（CCCS）が共同で運営する暗号モジュール検証プログラム（CMVP）を使用したヘルステストと実装の検証に関する指針が含まれている。
Abstract	概要
The NIST Special Publication (SP) 800-90 series of documents supports the generation of high-quality random bits for cryptographic and non-cryptographic use. SP 800-90A specifies several deterministic random bit generator (DRBG) mechanisms based on cryptographic algorithms. SP 800-90B provides guidance for the development and validation of entropy sources. This document (SP 800-90C) specifies constructions for the implementation of random bit generators (RBGs) that include DRBG mechanisms as specified in SP 800-90A and that use entropy sources as specified in SP 800-90B. Constructions for four classes of RBGs — namely, RBG1, RBG2, RBG3, and RBGC — are specified in this document.	NIST特別刊行物（SP）800-90シリーズは、暗号および非暗号用の高品質ランダムビットの生成をサポートする文書である。SP 800-90Aは、暗号アルゴリズムに基づくいくつかの決定論的ランダムビット生成器（DRBG）メカニズムを規定している。SP 800-90Bは、エントロピー源の開発と検証のためのガイダンスを提供する。この文書（SP 800-90C）は、SP 800-90Aに規定されるDRBGメカニズムを含み、SP 800-90Bに規定されるエントロピー源を使用するランダムビット生成器（RBG）の実装のための構造を規定する。この文書では、RBG1、RBG2、RBG3、および RBGC の 4 クラスの RBG の構成が規定されている。

 

・[PDF] NIST.SP.800-90C.4pd

 

目次...

1. Introduction and Purpose	1. 序文と目的
1.1. Audience	1.1. 想定読者
1.2. Document Organization	1.2. 文書の構成
2. General Information	2. 一般情報
2.1. RBG Security	2.1. RBGのセキュリティ
2.2. RBG Constructions	2.2. RBGの構造
2.3. Sources of Randomness for an RBG	2.3. RBGのランダム性の源
2.4. DRBGs	2.4. DRBG
2.4.1. DRBG Instantiations	2.4.1. DRBGのインスタンス化
2.4.2. Reseeding, Prediction Resistance, and Compromise Recovery	2.4.2. リシード、予測耐性、妥協の回復
2.5. RBG Security Boundaries	2.5. RBGのセキュリティ境界
2.6. Assumptions and Assertions	2.6. 仮定と主張
2.7. General Implementation and Use Requirements and Recommendations	2.7. 一般的な実装と使用に関する要件と推奨事項
2.8. General Function Calls	2.8. 一般的な機能呼び出し
2.8.1. DRBG Functions	2.8.1. DRBG機能
2.8.1.1. DRBG Generation Request	2.8.1.1. DRBG生成要求
2.8.1.2. DRBG Reseed	2.8.1.2. DRBGリシード
2.8.1.3. Get_randomness-source_input Call	2.8.1.3. Get_randomness-source_inputコール
2.8.2. Interfacing With Entropy Sources	2.8.2. エントロピー・ソースとのインターフェイス
2.8.3. Interfacing With an RBG3 Construction	2.8.3. RBG3構築とのインターフェイス
2.8.3.1. Instantiating a DRBG Within an RBG3 Construction	2.8.3.1. RBG3コンストラクション内でDRBGをインスタンス化する
2.8.3.2. Generation Using an RBG3 Construction	2.8.3.2. RBG3コンストラクションを使用して生成する
3. Accessing Entropy Source Output	3. エントロピー・ソース出力へのアクセス
3.1. Get_entropy_bitstring Process	3.1. Get_entropy_bitstring処理
3.2. External Conditioning	3.2. 外部条件付け
3.2.1. Conditioning Function Calls	3.2.1. コンディショニング機能呼び出し
3.2.1.1. Keys Used in External Conditioning Functions	3.2.1.1. 外部コンディショニング機能で使用されるキー
3.2.1.2. Hash Function-based Conditioning Functions	3.2.1.2. ハッシュ機能ベースの条件関数
3.2.1.3. Block Cipher-Based Conditioning Functions	3.2.1.3. ブロック暗号ベースの条件関数
3.2.2. Using a Vetted Conditioning Function	3.2.2. 吟味された条件関数を使う
3.2.2.1. External Conditioning When Full Entropy is Not Required	3.2.2.1. フルエントロピーが不要な場合の外部コンディショニング
3.2.2.2. Conditioning Function to Obtain Full-Entropy Bitstrings	3.2.2.2. 完全エントロピーのビット列を得るためのコンディショニング機能
4. RBG1 Construction Based on RBGs With Physical Entropy Sources	4. 物理エントロピー源を持つRBGに基づくRBG1の構成
4.1. RBG1 Description	4.1. RBG1の説明
4.2. Conceptual Interfaces	4.2. 概念的インターフェイス
4.2.1. Instantiating the DRBG in the RBG1 Construction	4.2.1. RBG1構築におけるDRBGのインスタンス化
4.2.2. Requesting Pseudorandom Bits	4.2.2. 疑似ランダムビットを要求する
4.3. Using an RBG1 Construction With Subordinate DRBGs (Sub-DRBGs)	4.3. 下位DRBG（サブDRBG）を持つRBG1コンストラクションを使用する
4.3.1. Instantiating a Sub-DRBG	4.3.1. サブDRBGのインスタンス化
4.3.2. Requesting Random Bits From a Sub-DRBG	4.3.2. サブDRBGにランダムビットを要求する
4.4. Requirements	4.4. 要件
4.4.1. RBG1 Construction Requirements	4.4.1. RBG1構築要件
4.4.2. Sub-DRBG Requirements	4.4.2. サブDRBGの要件
5. RBG2 Constructions Based on Physical and/or Non-Physical Entropy Sources	5. 物理的および/または非物理的エントロピー源に基づくRBG2コンストラクション
5.1. RBG2 Description	5.1. RBG2の説明
5.2. Conceptual Interfaces	5.2. 概念的インターフェイス
5.2.1. RBG2 Instantiation	5.2.1. RBG2のインスタンス化
5.2.2. Requesting Pseudorandom Bits From an RBG2 Construction	5.2.2. RBG2構築に疑似ランダムビットを要求する
5.2.3. Reseeding an RBG2 Construction	5.2.3. RBG2コンストラクションのリシード
5.3. RBG2 Construction Requirements	5.3. RBG2コンストラクションの要件
6. RBG3 Constructions Based on the Use of Physical Entropy Sources	6. 物理的エントロピー源の使用に基づくRBG3コンストラクション
6.1. General RBG3 Description	6.1. 一般的なRBG3の説明
6.2. RBG3 Construction Types and Their Variants	6.2. RBG3コンストラクションのタイプとそのバリエーション
6.3. General Requirements	6.3. 一般要件
6.4. RBG3(XOR) Construction	6.4. RBG3(XOR)コンストラクション
6.4.1. Conceptual Interfaces	6.4.1. 概念的インターフェイス
6.4.1.1. Instantiation of the DRBG	6.4.1.1. DRBGのインスタンス化
6.4.1.2. Random Bit Generation by the RBG3(XOR) Construction	6.4.1.2. RBG3(XOR)構成によるランダム・ビット生成
6.4.1.3. Pseudorandom Bit Generation Using a Directly Accessible DRBG	6.4.1.3. 直接アクセス可能なDRBGを用いた擬似乱数ビット生成
6.4.1.4. Reseeding the DRBG Instantiation	6.4.1.4. DRBGインスタンシエーションの冗長化
6.4.2. RBG3(XOR) Requirements	6.4.2. RBG3(XOR)の要件
6.5. RBG3(RS) Construction	6.5. RBG3(RS)の構築
6.5.1. Conceptual Interfaces	6.5.1. 概念的インターフェイス
6.5.1.1. Instantiation of the DRBG Within an RBG3(RS) Construction	6.5.1.1. RBG3(RS)コンストラクション内でのDRBGのインスタンス化
6.5.1.2. Random and Pseudorandom Bit Generation	6.5.1.2. ランダムおよび擬似ランダムビット生成
6.5.1.3. Reseeding	6.5.1.3. リシード
6.5.2. Requirements for an RBG3(RS) Construction	6.5.2. RBG3(RS)構築の要件
7. RBGC Construction for DRBG Chains	7. DRBGチェーンのRBGCコンストラクション
7.1. RBGC Description	7.1. RBGCの説明
7.1.1. RBGC Environment	7.1.1. RBGCの環境
7.1.2. Instantiating and Reseeding Strategy	7.1.2. インスタンス化と再播種戦略
7.1.2.1. Instantiating and Reseeding the Root RBGC Construction	7.1.2.1. ルートRBGC構築のインスタンス化と再播種
7.1.2.2. Instantiating and Reseeding a Non-Root RBGC Construction	7.1.2.2. 非ルートRBGC構築のインスタンス化と再播種
7.2. Conceptual Interfaces	7.2. 概念的インターフェイス
7.2.1. RBGC Instantiation	7.2.1. RBGCのインスタンス化
7.2.1.1. Instantiation of the Root RBGC Construction	7.2.1.1. ルートRBGC構築のインスタンス化
7.2.1.2. Instantiating an RBGC Construction Other Than the Root	7.2.1.2. ルート以外のRBGC構築物のインスタンス化
7.2.2. Requesting the Generation of Pseudorandom Bits From an RBGC Construction	7.2.2. RBGC構築からの疑似ランダムビットの生成的要求
7.2.3. Reseeding an RBGC Construction	7.2.3. RBGCコンストラクションのリシード
7.2.3.1. Reseed of the DRBG in the Root RBGC Construction	7.2.3.1. ルートRBGC構築におけるDRBGの再シード
7.2.3.2. Reseed of the DRBG in an RBGC Construction Other Than the Root	7.2.3.2. ルート以外のRBGCコンストラクションにおけるDRBGの播種
7.3. RBGC Requirements	7.3. RBGCの要件
7.3.1. General RBGC Construction Requirements	7.3.1. 一般的なRBGC建設の要件
7.3.2. Additional Requirements for the Root RBGC Construction	7.3.2. ルートRBGC建設に関する追加要件
7.3.3. Additional Requirements for an RBGC Construction That is NOT the Root of a DRBG Chain	7.3.3. DRBGチェーンのルートではないRBGCコンストラクションに関する追加要件
8. Testing-	8. テスト
8.1. Health Testing	8.1. 健全性テスト
8.1.1. Testing RBG Components	8.1.1. RBGコンポーネントのテスト
8.1.2. Handling Failures	8.1.2. 故障の処理
8.1.2.1. Entropy-Source Failures…	8.1.2.1. エントロピー源の故障...
8.1.2.2. Failures by Non-Entropy-Source Components	8.1.2.2. 非エントロピー源コンポーネントによる故障
8.2. Implementation Validation	8.2. 実装の検証
References…	参考文献...
Appendix A. Auxiliary Discussions (Informative)	附属書A. 補助的な議論（参考資料）
A.1. Entropy vs. Security Strength	A.1. エントロピーとセキュリティ強度
A.1.1. Entropy	A.1.1. エントロピー
A.1.2. Security Strength	A.1.2. セキュリティ強度
A.1.3. A Side-by-Side Comparison	A.1.3. サイド・バイ・サイドの比較
A.1.4. Entropy and Security Strength in This Recommendation	A.1.4. この勧告におけるエントロピーとセキュリティ強度
A.2. Generating Full-Entropy Output Using the RBG3(RS) Construction	A.2. RBG3(RS)構成によるフルエントロピー出力の生成
A.3. Additional Considerations for RBGC Constructions	A.3. RBGC構成に関する追加の考慮事項
A.3.1. RBGC Tree Composition	A.3.1. RBGC木の合成
A.3.2. Changes in the Tree Structure	A.3.2. ツリー構造の変更
A.3.3. Using Virtual Machines	A.3.3. 仮想マシンの使用
A.3.4. Reseeding From Siblings of the Parent	A.3.4. 親の兄弟からのリシード
Appendix B. RBG Examples (Informative)	附属書B. RBGの例（参考）
B.1. Direct DRBG Access in an RBG3 Construction	B.1. RBG3構築における直接DRBGアクセス
B.2. Example of an RBG1 Construction	B.2. RBG1コンストラクションの例
B.2.1. Instantiation of the RBG1 Construction	B.2.1. RBG1コンストラクションのインスタンス化
B.2.2. Generation by the RBG1 Construction	B.2.2. RBG1コンストラクションによる生成的
B.3. Example Using Sub-DRBGs Based on an RBG1 Constructior	B.3. RBG1構築に基づくサブDRBGの使用例
B.3.1. Instantiation of the Sub-DRBGs	B.3.1. サブDRBGのインスタンス化
B.3.1.1. Instantiating Sub-DRBG1	B.3.1.1. サブDRBG1のインスタンス化
B.3.1.2. Instantiating Sub-DRBG2	B.3.1.2. サブDRBG2のインスタンス化
B.3.2. Pseudorandom Bit Generation by Sub-DRBGs	B.3.2. サブDRBGによる疑似ランダムビット生成
B.4. Example of an RBG2(P) Construction	B.4. RBG2(P)の構成例
B.4.1. Instantiation of an RBG2(P) Construction	B.4.1. RBG2(P)構築のインスタンス化
B.4.2. Generation Using an RBG2(P) Construction	B.4.2. RBG2(P)コンストラクションを使った生成的方法
B.4.3. Reseeding an RBG2(P) Construction	B.4.3. RBG2(P)コンストラクションのリシード
B.5. Example of an RBG3(XOR) Construction	B.5. RBG3(XOR)構築の例
B.5.1. Instantiation of an RBG3(XOR) Construction	B.5.1. RBG3(XOR)構築のインスタンス化
B.5.2. Generation by an RBG3(XOR) Construction	B.5.2. RBG3(XOR)構文による生成的なもの
B.5.2.1. Generation	B.5.2.1. 生成
B.5.2.2. Get_conditioned_full-entropy_input Function	B.5.2.2. Get_conditioned_full-entropy_input機能
B.5.3. Reseeding an RBG3(XOR) Construction	B.5.3. RBG3(XOR)コンストラクションのリシード
B.6. Example of an RBG3(RS) Construction	B.6. RBG3(RS)構築の例
B.6.1. Instantiation of an RBG3(RS) Construction	B.6.1. RBG3(RS)コンストラクションのインスタンス化
B.6.2. Generation by an RBG3(RS) Construction	B.6.2. RBG3(RS)コンストラクションによる生成的生成
B.6.3. Generation by the Directly Accessible DRBG	B.6.3. 直接アクセス可能なDRBGによる生成的
B.6.4. Reseeding a DRBG	B.6.4. DRBGのリース
B.7. DRBG Chains Using the RBGC Construction	B.7. RBGC構造によるDRBGチェーン
B.7.1. Instantiation of the RBGC Constructions	B.7.1. RBGC構造のインスタンス化
B.7.1.1. Instantiation of the Root RBGC Construction	B.7.1.1. ルートRBGC構造のインスタンス化
B.7.1.2. Instantiation of a Child RBGC Construction (RBGC2)	B.7.1.2. 子RBGC構成（RBGC2）のインスタンス化
B.7.2. Requesting the Generation of Pseudorandom Bits	B.7.2. 疑似ランダムビットの生成的要求
B.7.3. Reseeding an RBGC Construction	B.7.3. RBGC構築の冗長化
B.7.3.1. Reseeding the Root RBGC Construction	B.7.3.1. ルートRBGC構築のリシード
B.7.3.2. Reseeding a Child RBGC Construction	B.7.3.2. 子RBGCコンストラクションのリース
Appendix C. Addendum to SP 800-90A: Instantiating and Reseeding a CTR_DRBG	附属書 C. SP 800-90A の補遺： CTR_DRBG のインスタンス化と再導入
C.1. Background and Scope	C.1. 背景と範囲
C.2. CTR_DRBG Without a Derivation Function	C.2. 派生機能を持たない CTR_DRBG
C.3. CTR_DRBG Using a Derivation Function	C.3. 派生機能を使用するCTR_DRBG
C.3.1. Derivation Keys and Constants	C.3.1. 派生キーと定数
C.3.2. Derivation Function Using CMAC	C.3.2. CMACを使った導出機能
C.3.3. Derivation Function Using CBC-МАС	C.3.3. CBC-МАСを用いた導出機能
Appendix D. List of Abbreviations and Acronyms	附属書D. 略語と頭字語のリスト
D.1. List of Symbols	D.1. 記号一覧
Appendix E. Glossary	附属書E. 用語集

 

 

米国 NIST SP 800-224（初期公開ドラフト） 鍵付きハッシュメッセージ認証コード（HMAC）： HMACの仕様とメッセージ認証の推奨事項 (2024.06.28)

こんにちは、丸山満彦です。

NISTが、ハッシュベースのメッセージ認証に関するSPのドラフトを公表し、意見募集をしています。現在、ハッシュベースのメッセージ認証については、FIPS 198-1 The Keyed-Hash Message Authentication Code (HMAC) に規定されていますが、SP800-224を発行するタイミングでFIPS198は廃止するようですね...

あと、関連するSPは、NIST SP 800-107 Rev. 1 Recommendation for Applications Using Approved Hash Algorithms

 

● NIST - ITL

プレス...

・2024.06.28 Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication | Draft SP 800-224 is Available for Public Comment

 

Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication | Draft SP 800-224 is Available for Public Comment	鍵付きハッシュメッセージ認証コード（HMAC）： HMACの仕様とメッセージ認証の推奨｜SP 800-224ドラフトがパブリックコメントに供される
The initial public draft (ipd) of NIST Special Publication (SP) 800-224, Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication, is now available for public comment.	NIST特別刊行物（SP）800-224「鍵付きハッシュメッセージ認証コード（HMAC）」の初期公開草案（ipd）である： HMAC の仕様とメッセージ認証の推奨事項』は、現在パブリック・コメントを受け付けている。
This publication includes the HMAC specification from Federal Information Processing Standard (FIPS) 198-1, The Keyed-Hash Message Authentication Code (HMAC) (2008) and incorporates some requirements from SP 800-107r1 (Revision 1), Recommendation for Applications Using Approved Hash Algorithms (2012). This development was proposed by the NIST Crypto Publication Review Board based on the reviews of FIPS 198-1 and SP 800-107r1 in 2022. The final version of SP 800-224 is expected to be published concurrently with the withdrawal of FIPS 198-1.	本書は、連邦情報処理標準（FIPS）198-1「鍵付きハッシュ・メッセージ認証コード（HMAC）」（2008年）のHMAC仕様を含み、SP 800-107r1（改訂1）「承認されたハッシュ・アルゴリズムを使用するアプリケーションの推奨」（2012年）の要件の一部を組み込んでいる。この開発は、2022年のFIPS 198-1とSP 800-107r1のレビューに基づいて、NIST暗号公開審査委員会によって提案された。SP 800-224 の最終版は、FIPS 198-1 の廃止と同時に発行される予定である。

 

文書...

・2024.06.28 NIST SP 800-224 (Initial Public Draft) Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication

NIST SP 800-224 (Initial Public Draft) Keyed-Hash Message Authentication Code (HMAC): Specification of HMAC and Recommendations for Message Authentication	NIST SP 800-224（初期公開ドラフト） 鍵付きハッシュメッセージ認証コード（HMAC）： HMACの仕様とメッセージ認証の推奨事項
Announcement	発表
This publication includes the HMAC specification from Federal Information Processing Standard (FIPS) 198-1, The Keyed-Hash Message Authentication Code (HMAC) (2008) and incorporates some requirements from SP 800-107r1 (Revision 1), Recommendation for Applications Using Approved Hash Algorithms (2012). This development was proposed by the Crypto Publication Review Board based on the reviews of FIPS 198-1 and SP 800-107r1 in 2022. The final version of SP 800-224 is expected to be published concurrently with the withdrawal of FIPS 198-1.	本書は、連邦情報処理標準（FIPS）198-1「鍵付きハッシュ・メッセージ認証コード（HMAC）」（2008年）のHMAC仕様を含み、SP 800-107r1（改訂1）「承認されたハッシュ・アルゴリズムを使用するアプリケーションの推奨」（2012年）の要件の一部を組み込んでいる。この開発は、2022 年の FIPS 198-1 と SP 800-107r1 のレビューに基づき、Crypto Publication Review Board によって提案された。SP 800-224 の最終版は、FIPS 198-1 の廃止と同時に発行される予定である。
...	...
Abstract	要旨
A message authentication code (MAC) scheme is a symmetric-key cryptographic mechanism that can be used with a secret key to produce and verify an authentication tag, which enables detecting unauthorized modifications to data (also known as a message). This NIST Special Publication (whose current version is an initial public draft) specifies the keyed-hash message authentication code (HMAC) construction, which is a MAC scheme that uses a cryptographic hash function as a building block. The publication also specifies a set of requirements for using HMAC for message authentication, including a list of NIST-approved cryptographic hash functions, requirements on the secret key, and parameters for optional truncation.	メッセージ認証コード（MAC）スキームは、データ（メッセージとも呼ばれる）に対する不正な変更を検 出することを可能にする認証タグを生成および検証するために、秘密鍵とともに使用できる対称 鍵暗号メカニズムである。この NIST 特別刊行物（現在のバージョンは初期公開ドラフト）は、暗号ハッシュ関数を構成 ブロックとして使用する MAC スキームである、鍵付きハッシュメッセージ認証コード（HMAC）構 成を規定している。本書はまた、メッセージ認証にHMACを使用するための一連の要件を規定する。これには、NISTが承認した暗号ハッシュ関数のリスト、秘密鍵に関する要件、およびオプションの切り捨てに関するパラメータが含まれる。

 

・[PDF] NIST.SP.800-224.ipd

 

目次...

1. Introduction	1. 序文
2. HMAC Construction	2. HMACの構築
3. HMAC Requirements for Message Authentication	3. メッセージ認証のためのHMAC要件
4. Testing and Validation	4. テストと検証
5. Optimization via Pre-Computation of the Internal State	5. 内部状態の事前計算による最適化
6. Security Considerations	6. セキュリティに関する考察
6.1. Key Strength	6.1. 鍵の強度
6.2. HMAC Security Against Key-Recovery Attacks	6.2. 鍵復元攻撃に対するHMACの安全性
6.3. HMAC Unforgeability	6.3. HMACの偽造不可能性
6.3.1. HMAC with MD-based hash functions	6.3.1. MDベースのハッシュ関数によるHMAC
6.3.2. HMAC with sponge-based hash functions	6.3.2. スポンジベースのハッシュ関数によるHMAC
6.3.3. Impact of truncation and multiple tag verifications	6.3.3. 切り捨てと複数のタグ検証の影響
Appendix A. Development of the HMAC Standard	附属書A. HMAC標準の開発
Appendix B. Example Test Vector	附属書B. テストベクタの例
Appendix C. Glossary	附属書C. 用語集
Appendix D. Summary of Changes	附属書D. 変更点の概要

 

変更点の概要

D. Summary of Changes	D. 変更点の概要
This publication contains numerous editorial adjustments compared to the previous versions in FIPS 198-1 [1] and SP 800-107r1 [2]. The following list summarizes the main updates:	本書には、FIPS 198-1 [1]および SP 800-107r1 [2]の旧版と比較して、多くの編集上の調整が含まれている。以下のリストは、主な更新点をまとめたものである：
1. Use of HMAC for message authentication versus other applications. Compared to FIPS 198-1, this publication includes requirements to approve the use of HMAC for message authentication, which was previously considered in SP 800 107r1. This publication informs the reader that HMAC can have other uses (e.g., PRF and key750 derivation), but the corresponding requirements are not in the scope of the present document. In particular, the revised introduction includes an enumeration of HMAC applications considered across other NIST Special Publications.	1. メッセージ認証におけるHMACの使用と他のアプリケーションとの比較。FIPS 198-1 と比較して、本書には、メッセージ認証に HMAC を使用することを承認する要件が含まれている。本書は、HMAC が他の用途（PRF や key750 の導出など）にも使用可能であることを読者 に通知しているが、対応する要件は本文書の範囲外である。特に、改訂された序文には、他の NIST 特別刊行物において考慮されている HMAC アプリケーションの列挙が含まれている。
2. Notation. The notation was revised, introducing a few changes:	2. 表記法。表記法が改訂され、いくつかの変更が導入された：
• Binary notation. All mentions of lengths in bytes have been updated to bits, allowing for better consistency with truncation, whose output bit-length need not be a multiple of eight. Lengths 𝐵 and 𝐿 (in bytes) were changed to 𝑏 and ℓ (in bits), respectively.	- バイナリ表記。長さ𝐵と𝑄（バイト）は、それぞれ𝐵と𝑄（ビット）に変更された。長さ "𝐵 "と "𝐿 "(バイト)は、それぞれ "𝑏 "と "ℓ "(ビット)に変更された。
• Other updates to variable names. The variable 𝑡𝑒𝑥𝑡 has been changed to 𝑀 (the message being authenticated). The symbols HMAC (the tag generation algorithm), 𝑙𝑒𝑛 (length function), and 𝑛 (bit-size of the internal state of a hash function) were introduced.	- その他、変数名が更新された。変数𝑡𝑒が𝑀（認証されるメッセージ）に変更された。記号HMAC（タグ生成的アルゴリズム）、𝑙𝑒𝑛 （長さ関数）、𝑛（ハッシュ関数の内部状態のビットサイズ）が導入された。
3. Revised requirements (indexation and content). In this publication, the set of require763 ments (in Section 3) is explicitly scoped within the context of an HMAC application to 764 message authentication. The requirements (based on requirements from FIPS 198-1 765 and SP 800 107r1) are now indexed and titled for easier referencing.	3. 要求事項の改訂（索引付けと内容）。本書では、（セクション3の）一連の要件は、メッセージ認証へのHMACアプリケーショ ンのコンテキスト内で明示的にスコープされる。要件（FIPS 198-1 765 および SP 800 107r1 の要件に基づく）は、参照しやすいように索引とタイトルが付けられた。
4. Approved hash functions. The approved hash functions listed in SP 800 107r1 included SHA-1 and did not include any SHA-3-based function. In comparison, this publication (see R1) does not approve SHA-1 and approves four SHA-3 based functions 769 for use in HMAC-based message authentication.	4. 承認ハッシュ機能。SP 800 107r1 に記載された承認ハッシュ機能には SHA-1 が含まれ、SHA-3 ベースの機能は含まれていなかった。対照的に、本書（R1参照）ではSHA-1を承認しておらず、HMACベースのメッセージ認証に使用する4つのSHA-3ベース関数を承認している。
5. Limited number of failed tag verifications. SP 800 107r1 required the key to be 771 changed before a maximum allowed number of failed tag verifications is reached. This publication rewrote the requirement, scoping it only to the cases when trun cation is used. This publication (see R8) explicitly requires that in such cases it is necessary to determine an acceptable maximum number of failed tag verifications.	5. タグ検証の失敗回数の制限。SP 800 107r1では、タグ検証の失敗回数が最大許容回数に達する前に、鍵を変更することを要 求していた。本書ではこの要件を書き直し、トランケーションが使用される場合のみにスコープした。本書(R8参照)では、このような場合、許容可能なタグ検証失敗の最大回数を決定する 必要があることを明確に要求している。
6. Validation context and test vectors. Section 4 improved the explanation of the object identifiers, test vectors, and validation context. The new Appendix B also adds a test vector that covers one HMAC input/output example for each possible underlying hash function.	6. 検証コンテキストとテストベクタ。 第 4 章では、オブジェクト識別子、テストベクター、検証コンテキストの説明を改善した。また、新しい附属書Bでは、各ハッシュ関数について1つのHMAC入出力例をカバーするテストベクターが追加されている。
7. Security notions. Section 6 explains some security notions at a high level, including the key strength (see Section 6.1); security strength against key-recovery attacks (see Section 6.2, which includes the notion of equivalent keys); and forgery attacks (see Section 6.3).	7. セキュリティ概念。 セクション6では、鍵強度(セクション6.1参照)、鍵回復攻撃に対する セキュリティ強度(等価鍵の概念を含むセクション6.2参照)、偽造攻撃 (セクション6.3参照)など、いくつかのセキュリティ概念を高いレベルで説明する。
8. References. The list of references has been substantially updated and extended.	8. 参考文献。 参考文献リストを大幅に更新・拡張した。
9. Glossary items. The glossary in Appendix C does not include all entries of the glos785 saries of FIPS 198-1and SP 800 107r1. The new glossary introduces the following 786 terms: block size, forgery, internal state size, key strength, pseudorandom function, secret key, should, tag, tag verification, truncation.	9. 用語集項目。附属書 C の用語集には、FIPS 198-1 および SP 800 107r1 の用語集のすべての項目が含まれていない。新しい用語集では、ブロック・サイズ、偽造、内部状態サイズ、鍵強度、擬似ランダム関数、秘密 鍵、should、タグ、タグ検証、切り捨てという用語が導入されている。

 

 

EU 2024.07.12にAI法がEU官報に掲載された

こんにちは、丸山満彦です。

EU法の学者からちゃんと官報を見なさいといわれたことがあるので...

AI法は、 2024.07.12に官報に掲載され、20日後、2024.08.01に拘束力を持つ法律となるということですかね...

 

● EUR-LEX

・2024.07.12 Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act)Text with EEA relevance.

 

各国言語によるHTML、PDF版があります...

PDFよりもHTMLのほうが読みやすいですよね...

 

英語のHTML版...

英語のPDF版...

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.22 EU 欧州理事会がAI法を承認...まもなく発効されますね...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

 

ISMS-AC ISMS適合性評価制度に関するアンケート調査報告書

こんにちは、丸山満彦です。

ISMS-ACが、ISMS適合性評価制度に関するアンケート調査報告書が公表されていますね...

ISMS制度の立ち上げに関わったので、その当時から話をすこし...

経済産業省の情報システム安全対策基準認定制度を大臣認定から民間への移行という話があり、その制度をJIPDECが担うことになりましたが、その際に、経済産業省から良い制度を検討して欲しいという依頼があり、JIPDECの元で制度づくりをすることになりました。[PDF] 情報システム安全対策基準（1997.09.24改正）は、「設置基準」と「技術基準と運用基準」ということで、データセンタのセキュリティを考えていたので、設備の整備にも力をいれていたものでしたが、新しい基準をどうするかということで、従来通りの情報システム安全対策基準を改訂し、それをもとにJIPDECが認定をする制度としたいと考える人も多くいたと思いますが、私はこれからを見据えて、当時英国で話題になり始めていた、情報セキュリティマネジメントシステム認証（BS7799）を導入したほうが、よいと考えていて、BS7799の日本版をつくりそれを導入する方が良いという意見で、その導入を推していました。

結果的に、今のISMS認証制度を見ればわかるとおり、BS7799の日本版をつくり、のちにBS7799が国際基準のISO/IEC17999、最終的には、ISO/IEC 27001をもとにした、JIS Q 27001で認証をすることになりました。

そして、JIPDECはその流れもあり、JIS Q 27001によるマネジメント認証制度における認定機関（JABと同じ位置付け）になることになったわけですが、認定機関が制度の推進をしているのは、認定機関として適切ではないのではないかという話もあり、一般社団法人情報マネジメントシステム認定センター (ISMS-AC)が設立されたという経緯があります...

ということで、今回の調査報告の話です(^^)...

 

● 一般社団法人情報マネジメントシステム認定センター (ISMS-AC)

・2024.07.12 ISMS適合性評価制度に関するアンケート調査報告書を公開しました

 

---

調査内容：
　・認証取得組織の基本情報（業種、規模、認証取得期間等）
　・ISMSの導入及び認証取得の効果
　・認証審査員の力量及び審査の質
　・認証機関の認定の信頼性
　・ISMS適合性評価制度全般
基本的に過去の調査との連続性を考慮した内容となっていますが、 新たにAIシステムの利用に関する設問を加えました。

---

 

・[PDF] 「ISMS適合性評価制度に関する調査報告書(2024年7月)」

目次...

はじめに

調査概要

基本情報について
1 法人の業種。
2 資本金
3 従業員数
4 ISMS 取得の認証範囲について

ISMS認証の運用実績等について
1 経過年数
2 他のマネジメントシステム認証
3 認証機関の変更

ISMSの導入及び認証取得の効果等について
1 導入の目的又は動機
2 ISMS導入の効果
3 顧客からの要求
4 ISMSに関する今後の課題

審査員の力量及び審査の質について
1 審査員の力量
2 認証審査の質

認証機関の認定の信頼性について
1. 認定機関から認定を受けた認証機関の言頼性

制度全般に対するご意見等
1 調達先への要求
2 海外展開
3 AIシステムの利用
4 本センターへの期待。
5 ISMS適合性評価制度全般に対するご意見・ご要望

おわりに

付録 ISMS 適合性評価制度に関するアンケート調査書

 

過去分も...

発行年月
2024.07	(Pdf)
2018.07	(Pdf)
2014.10	(Pdf)
2012.06	(Pdf)
2009.03	(Pdf)

 

どうせなら、過去との比較分析もして欲しかったなぁ...

あまり変化がないかもしれないけど...

 

ちなみに、ISMSが形骸化しているという話をよく聞きますが...

それに対する私の考え方はこちら(^^)

 

● まるちゃんのセキュリティ気まぐれ日記

・2005.01.25 ISMSの形骸化

 

 

 

金融における人工知能に関するOECD-FSBラウンドテーブル（2024年5月22日、パリ）におけるネリー・リャン米国国内金融担当次官兼金融安定理事会脆弱性アセスメント常設委員会議長の発言

こんにちは、丸山満彦です。

2024.05.22にパリで開催された、金融における人工知能に関するOECD-FSBラウンドテーブにおけるネリー・リャン米国国内金融担当次官兼金融安定理事会脆弱性アセスメント常設委員会議長の発言が公表されていたので、メモです。

金融機関では、これからますますAIの利用が進むと思いますが、規制当局の方の見方の理解というのも重要ですよね...

 

● Financial Stability Board

・2024.07.04 Remarks on Artificial Intelligence in Finance

 

Remarks on Artificial Intelligence in Finance	金融における人工知能に関する発言
Remarks by Nellie Liang, US Under Secretary for Domestic Finance, and Chair of the Financial Stability Board Standing Committee on Assessment of Vulnerabilities, at the OECD – FSB Roundtable on Artificial Intelligence in Finance, Paris, 22 May 2024.	金融における人工知能に関するOECD-FSBラウンドテーブル（2024年5月22日、パリ）におけるネリー・リャン米国国内金融担当次官兼金融安定理事会脆弱性アセスメント常設委員会議長の発言。
I. INTRODUCTION	I. 序文
Thank you to the OECD and FSB for organizing today’s roundtable, Artificial Intelligence in Finance, and for inviting me to speak.	本日の円卓会議「金融における人工知能」を企画し、私を講演に招いてくださったOECDとFSBに感謝する。
Artificial intelligence or “AI” has the potential to transform many aspects of our lives and society and, in the last year and a half, has captured our imaginations. But, like earlier waves of technology that offer great opportunities, it also brings challenges and fears.	人工知能（AI）は、私たちの生活や社会の様々な側面を変革する可能性を秘めており、ここ1年半の間に、私たちの想像力をかきたててきた。しかし、大きなチャンスを提供する初期のテクノロジーの波のように、AIもまた課題や恐れをもたらしている。
Financial firms have been using some kinds of AI for many years. Yet recent advances in computing capacity and the latest developments in AI – like generative AI or GenAI – represent a dramatic step up in its capabilities. New AI models can ingest a wide range of data, generate content, and have a greater capacity to evolve on their own and automate decision making. These technologies are developing rapidly, and firms and regulators alike are still in the early stages of understanding how the newest AI models could be used by financial institutions. It is crucial that we continue to deepen our understanding of potential benefits and risks and to ensure that the regulatory framework keeps pace. This is a big undertaking. Events like today’s are an important part of building our understanding.	金融会社は長年、ある種のAIを利用してきた。しかし、近年のコンピューティング能力の向上と、生成的AI（GenAI）のようなAIの最新開発により、その能力は飛躍的に向上している。新しいAIモデルは、さまざまなデータを取り込み、コンテンツを生成し、独自に進化して意思決定を自動化する能力を高めている。これらのテクノロジーは急速に発展しており、企業も規制当局も、最新のAIモデルが金融機構でどのように利用できるかを理解する初期段階にある。潜在的なメリットとリスクについて理解を深め、規制の枠組みが歩調を合わせていくことが極めて重要である。これは大きな仕事だ。本日のようなイベントは、我々の理解を深める上で重要な役割を果たす。
My remarks today will focus on how financial policymakers are learning about the use of new AI tools by financial firms, and what kinds of risks these tools could introduce to the financial system. Adoption of new technologies in finance is not new. Financial firms are innovating continuously in order to increase efficiencies and offer new services. Policymakers have experience with changing technologies and have developed regulatory frameworks focused on building guardrails, regardless of the underlying technology used. In other words, we are not starting from scratch in thinking about how to address the risks of AI while also allowing for the opportunities from it to be realized. The primary question today is whether new AI models are fundamentally distinct from existing technology or if they will be used in such a different way that the current regulatory frameworks are not sufficient or do not apply.	本日の私の発言は、金融政策立案者が金融会社による新たなAIツールの利用についてどのように学んでいるのか、また、これらのツールが金融システムにどのようなリスクをもたらす可能性があるのかに焦点を当てる。金融における新技術の採用は目新しいものではない。金融会社は効率性を高め、新たなサービスを提供するために絶え間なく技術革新を行っている。政策立案者はテクノロジーの変化について経験を積んでおり、使用される基礎的テクノロジーに関係なく、ガードレールの構築に焦点を当てた規制の枠組みを開発してきた。言い換えれば、AIのリスクに対処する一方で、AIの機会を実現する方法をゼロから考えることはない。今日の主要な問題は、新しいAIモデルが既存のテクノロジーとは根本的に異なるものなのか、それとも現行の規制の枠組みが十分でない、あるいは適用されないほど異なる方法で使用されるのか、ということである。
With that framing in mind, I will start my remarks today with a characterization of the technology and how financial institutions use AI today. These current uses can help us think about how financial firms perceive their opportunities and how they may want to use AI in the future. I will then consider the potential risks and our financial regulatory framework for assessing and addressing these risks. I will end with some questions for this group to consider.	このような枠組みを念頭に置きながら、本日の私の発言は、AIのテクノロジーと、金融機構が現在どのようにAIを利用しているかという特徴付けから始めたい。このような現在の利用状況は、金融機関がどのようにAIを利用する機会を捉え、将来どのようにAIを利用したいと考えるかを考える上で参考になる。次に、潜在的なリスクと、これらのリスクをアセスメントし、対処するための金融規制の枠組みについて考えてみたい。最後に、このグループの皆さんに考えていただきたいことをいくつか挙げて終わりにする。
II. DEFINING AI	II. AIの定義
Artificial intelligence is a broad concept and resists a precise definition. Here, I will use AI to describe any system that generates outputs – which can be forecasts, content, predictions, or recommendations – for a given set of objectives. From this conceptual framing of what AI systems do, we can think about the underlying technology as falling into three categories: “early” artificial intelligence, machine learning, and newer generative AI models. These categories roughly track the order in which they were developed, but many AI models combine elements across these three categories.	人工知能は広範な概念であり、正確な定義は難しい。ここでは、与えられた目的に対して、予測、コンテンツ、予測、推奨などのアウトプットを生成するシステムをAIと呼ぶことにする。このような概念的な枠組みから、AIシステムは3つのカテゴリーに分類されると考えることができる： 「初期の」人工知能、機械学習、そして新しい生成的AIモデルだ。これらのカテゴリーは、開発された順番にほぼ沿っているが、多くのAIモデルはこれら3つのカテゴリーにまたがる要素を組み合わせている。
First, early AI describes rule-based models. Many computer programming languages are basically rules-based AI and have been used since the 1970s. Generally, these systems solve problems using specific rules applied to a defined set of variables. We have all experienced customer service that uses a rule-based AI. We ask a question that leads to pre-defined follow-up questions, until we get a pre-packaged answer or press zero enough times that we can talk to a human. Internal loss forecasting models or early algorithmic trading, for example, also might be considered forms of early artificial intelligence. We are very familiar with these kinds of tools in finance.	まず、初期のAIはルールベースのモデルを記述している。多くのコンピューター・プログラミング言語は基本的にルールベースのAIであり、1970年代から使われている。一般的に、これらのシステムは、定義された変数のセットに適用される特定のルールを使って問題を解決する。私たちは皆、ルールベースのAIを使ったカスタマーサービスを経験したことがある。事前に定義されたフォローアップの質問につながる質問をし、事前にパッケージ化された回答が得られるか、人間と話せるようになるまでゼロを何度も押す。例えば、社内の損失予測モデルや初期のアルゴリズム取引も、初期の人工知能の一形態と言えるかもしれない。私たちは金融業界において、この種のツールに非常に慣れ親しんでいる。
Second, in contrast to rules-based systems, machine learning identifies relationships between variables without explicit instruction or programming. In machine learning, data are the key input and the system identifies patterns from the data. Learning can be reinforced, for example, by providing feedback to the system about whether the output is good or bad. From this feedback, the machine learning model can learn to perform better in the future. Machine learning is also embedded into many existing processes for financial institutions. For example, it has long been used to develop fraud detection tools. Machine learning also enables the mobile banking app on your phone to read handwritten checks.	第二に、ルールベースのシステムとは対照的に、機械学習は明示的な指示やプログラミングなしに変数間の関係を識別する。機械学習では、データが重要な入力であり、システムはデータからパターンを特定する。学習は、例えば出力の良し悪しをシステムにフィードバックすることで強化することができる。このフィードバックから、機械学習モデルは将来より良いパフォーマンスを発揮できるように学習することができる。機械学習は、金融機関の多くの既存プロセスにも組み込まれている。例えば、不正検知ツールの開発には以前から使われている。機械学習は、携帯電話のモバイルバンキングアプリが手書きの小切手を読み取ることも可能にしている。
The latest AI models can be characterized by their ability to generate new content – from text to images to videos. Instead of being limited to a defined set of potential responses in a defined format, GenAI can produce a range of responses in a range of formats. For example, “Give me recommendations for where to eat in Paris but composed as a poem in iambic pentameter.” These models are flexible and often dynamic, learning from experience in generating responses and through ingesting new information. More advanced AI systems, which are still being developed, aim to be highly autonomous with capabilities that match or exceed human abilities.	最新のAIモデルの特徴は、テキストから画像、動画に至るまで、新しいコンテンツを生成する能力にある。GenAIは、定義された形式の潜在的な回答のセットに制限される代わりに、様々な形式の様々な回答を生成することができる。例えば、"パリで食事をするのにおすすめの場所を教えてください。ただし、イアンビック・ペンタメーターの詩として構成してください "といった具合だ。これらのモデルは柔軟で、しばしば動的であり、応答を生成する際に経験から学習し、新しい情報を摂取する。より高度なAIシステムは現在も開発中だが、人間の能力と同等かそれ以上の能力を持つ高度に自律的なシステムを目指している。
III. USE OF AI	III. AIの利用
Our experience with earlier technological changes can help us understand how financial institutions might be approaching newer artificial intelligence and give us insights into its potential benefits and opportunities.	これまでの技術的変化の経験は、金融機関が新しい人工知能にどのように取り組んでいるかを理解し、その潜在的なメリットや機会について洞察するのに役立つ。
I’ll start with a few thoughts on where we might see these benefits.	まず、どのような場面で人工知能の利点を享受できるかについて、いくつか考えてみたい。
First, what are the best use cases? Many use cases stem from AI’s ability to better process volumes and types of information that otherwise may be impractical or impossible to analyze. In the context of financial firms, AI can be used for two purposes: First, AI can be used to reduce costs or risks, and increase productivity, such as by automating some back-office functions or providing routine customer service. For example, by analyzing a broader array and amount of data, AI may be able to identify patterns that suggest suspicious activity. Second, AI can be used to develop new products, such as more tailored services. For example, by processing more data from more sources to better understand their customers, AI may enable greater customization of customer’s online financial experiences.1	まず、最適なユースケースとは何か？多くのユースケースは、そうでなければ分析が現実的でなかったり、不可能であったりするような量や種類の情報を、よりうまく処理するAIの能力に由来している。金融会社の文脈では、AIは2つの目的で使用することができる： 第一に、AIはコストやリスクを削減し、バックオフィス機能の自動化や日常的な顧客サービスのプロバイダなど、生産性を向上させるために利用できる。例えば、より広範で大量のデータを分析することで、AIは不審な行動を示唆するパターンを特定できるかもしれない。第二に、AIは、よりカスタマイズされたサービスなど、新商品の開発に利用できる。例えば、より多くのデータをより多くのソースから処理し、顧客をよりよく理解することで、AIは顧客のオンライン金融体験をよりカスタマイズできるようになるかもしれない1。
That said, because AI is largely a function of the data it is trained on, not all AI tools are equally well suited to each kind of task. For example, large language models, by definition, are trained primarily with language. As a result, they may be better suited to language-based tasks like customer service than a task like assessing Value-at- risk, and many financial institutions are exploring use of large language models to support customer chatbots.2	とはいえ、AIは学習させるデータの機能によるところが大きいため、すべてのAIツールがそれぞれのタスクに同じように適しているわけではない。例えば、大規模な言語モデルは、定義上、主に言語を使って学習される。その結果、バリュー・アット・リスクのアセスメントのようなタスクよりも、顧客サービスのような言語ベースのタスクに適している可能性があり、多くの金融機関が顧客チャットボットをサポートするために大規模な言語モデルの使用を検討している2。
Second, what are the development and adoption costs? AI tools may require significant investment – for example, to develop or purchase the tool, or invest in computational resources. While some operational costs have fallen and computing capacity has expanded, resource demands will be an important consideration for the kinds of use cases that firms are pursuing or prioritizing. At the same time, there could be costs of falling behind competitors who use AI to improve their services.	第二に、開発・導入コストはどの程度か。例えば、ツールの開発や購入、計算リソースへの投資などである。一部の運用コストは低下し、コンピューティング能力は拡大しているが、リソース需要は、企業が追求または優先するユースケースの種類にとって重要な考慮事項となる。同時に、AIを活用してサービス改善を図る競合他社に遅れをとることで、コストが発生する可能性もある。
In addition, financial institutions also need to work within appropriate governance structures and risk appetite boundaries. For example, if a tool were to replace human operators, how costly would a mistake be from not involving active human intervention? If a tool does not replace a human operator, would there still be productivity gains?	さらに、金融機関は適切なガバナンス構造とリスク選好の境界の中で取り組む必要もある。例えば、ツールが人間のオペレーターに取って代わるとしたら、人間の積極的な介入を伴わないことによるミスのコストはどの程度になるのだろうか。ツールが人間のオペレーターに取って代わらない場合、生産性は向上するのだろうか？
We do not have a full picture of the ways that various financial institutions are using AI. The FSB’s work in 2017 highlighted many, now relatively mature, uses, such as credit underwriting and trading execution. More recently, many authorities are conducting surveys and requesting public input as well as talking directly to firms. From this work, we see AI being used in three primary areas. First, AI is being used to automate back-office functions and aid compliance. Fraud and illicit finance detection tools are an example of this. Second, AI is being used for some customer facing applications, like customer service chatbots. Finally, some financial institutions are looking for ways to incorporate AI into their product offerings. Some of these applications are familiar – like trading strategies – but are relying more on AI than they have in the past.3 Some hedge funds advertise that their strategies are based entirely on predictive AI, while previously AI might have been used to inform human decisionmakers. In other cases, AI has resulted in new types of products. For example, some insurance brokers are experimenting with new software to help their clients, such as to manage supply chain risk, based on satellite imagery processed by AI.4	我々は、様々な金融機関がAIをどのように活用しているのか、その全体像を把握していない。2017年のFSBの作業では、信用引受や取引執行など、現在では比較的成熟した多くの利用方法が取り上げられた。さらに最近では、多くの認可当局が調査を実施し、一般からの意見を求めるだけでなく、企業と直接話をするようになっている。こうした作業から、AIは主に3つの分野で活用されていると考えられる。第一に、AIはバックオフィス機能を自動化し、コンプライアンスを支援するために使用されている。詐欺や不正資金検知ツールはその一例である。第二に、AIは顧客サービスのチャットボットなど、顧客と対面するアプリケーションに利用されている。最後に、一部の金融機構はAIを自社の商品提供に組み込む方法を模索している。これらのアプリケーションの中には、取引戦略のような馴染みのあるものもあるが、従来よりもAIに依存するようになっている3。一部のヘッジファンドは、自社の戦略がすべて予測AIに基づいていると宣伝しているが、以前はAIが人間の意思決定者に情報を提供するために使われていたかもしれない。また、AIが新しいタイプの商品を生み出すケースもある。例えば、一部の保険ブローカーは、AIによって処理された衛星画像に基づき、サプライチェーン・リスクマネジメントなど、顧客を支援するための新しいソフトウェアを実験的に導入している4。
It is still early days, but firms are pursuing a wide range of strategies for how to use new AI tools. They appear to be proceeding cautiously, especially when experimenting with GenAI, and at the same time making changes to internal governance.5 Some fintech firms that are subject to less regulation may be proceeding more quickly.	まだ始まったばかりだが、各社は新しいAIツールの活用方法について幅広い戦略を追求している。特にGenAIを使った実験では、慎重に進めているように見えるが、同時に内部ガバナンスの変更も行っている5。
IV. RISKS	IV. リスク
As these use cases highlight, AI may offer significant benefits to financial institutions in reducing costs and generating revenue. But as financial institutions explore new ways to benefit from AI, policymakers and financial institutions alike must consider the potential broader risks. We can consider these risks across a few categories – first, risks to individual financial institutions,; second, risks to the broader financial system; third, changes in the competitive landscape; and finally, implications for consumers and investors.	これらのユースケースが強調するように、AIは金融機関にとって、コスト削減や収益創出において大きなメリットをもたらす可能性がある。しかし、金融機関がAIから利益を得る新たな方法を模索する際には、政策立案者も金融機関も同様に、潜在的な広範なリスクを考慮しなければならない。第一に、個々の金融機関にとってのリスク、第二に、より広範な金融システムにとってのリスク、第三に、競争環境の変化、最後に、消費者と投資家にとっての影響である。
Risks to Financial Institutions - Microprudential considerations	金融機関のリスク-マイクロプルーデンス上の懸念
A key risk for financial institutions using AI tools is model risk. Model risk refers to the consequences of poor design or misuse of models. Addressing model risk includes managing data quality, design, and governance. The data, design and governance of models are critical components of effective and safe development of AI, and its use. For example, it is important to consider where limitations in data can skew a model’s outputs. Models trained on historical data will, by definition, be informed only by the historical examples of stress or outlier events contained in the underlying data. While these types of events stand out in our memories, they are relatively few and unlikely to be repeated in the same ways. This limitation means that some models that could be used for trading may be less robust or predictive in future periods of stress.	AIツールを利用する金融機関にとって重要なリスクは、モデル・リスクである。モデルリスクとは、モデルの不適切な設計や誤用がもたらす結果を指す。モデルリスクへの対応には、データの品質、設計、ガバナンスのマネジメントが含まれる。モデルのデータ、設計、ガバナンスは、AIの効果的かつ安全な開発、およびその利用に不可欠な要素である。例えば、データの制限がモデルの出力を歪める可能性がある場所を考慮することが重要である。過去のデータに基づいて訓練されたモデルは、定義上、基礎データに含まれるストレスや異常値事象の過去の例によってのみ情報を得ることになる。このようなタイプの事象は私たちの記憶の中では際立っているが、その数は比較的少なく、同じことが繰り返される可能性は低い。この限界は、トレーディングに使用可能なモデルでも、将来のストレス期にはロバスト性や予測性が低下する可能性があることを意味する。
It is also critical to consider how the model is being used. Even if a model is well designed, it can present risks if used or interpreted inappropriately. As firms become more comfortable with AI models and outputs, it may become easy to forget to question the models’ underlying assumptions or to conduct independent analysis. We have seen these kinds of dependencies in the past. For example, prior to the financial crisis, banks and market participants relied on credit rating agencies to an extent that reduced their capacity for independent assessments.6 Newer AI tools may create or exacerbate some of these existing challenges for governance and oversight. These tools can be less clear in their reasoning, more dynamic, and more automatic. For example, the speed and independence of some AI tools exacerbates the problem of overreliance as the opportunity for human intervention may be very short. This is particularly true for applications like trading strategies because of the speed required.	モデルがどのように使われているかを考慮することも重要である。モデルがうまく設計されていたとしても、不適切に使用されたり解釈されたりすればリスクをもたらす可能性がある。企業がAIのモデルやアウトプットに慣れるにつれ、モデルの基礎となる仮定を疑ったり、独立した分析を行うことを忘れがちになるかもしれない。このような依存関係は過去にも見られた。例えば、金融危機以前、銀行や市場参加者は、独立したアセスメント能力を低下させる程度まで信用格付け機関に依存していた6。これらのツールは、推論が明確でなく、よりダイナミックで、より自動的である可能性がある。例えば、一部のAIツールのスピードと独立性は、人間が介入する機会が非常に短い可能性があるため、過信の問題を悪化させる。特に、取引戦略のようなアプリケーションでは、スピードが要求されるため、この傾向が強い。
Relatedly, use of AI tools may increase reliance on vendors and critical service providers. While the use of third parties can offer financial institutions significant benefits, these dependencies can introduce some risks. For example, AI tools require significant computing power and may increase reliance on a relatively small number of cloud service providers. There is likely less visibility into the AI tools developed by vendors than those developed in house.	関連して、AIツールの使用はベンダーや重要なサービスプロバイダーへの依存を高める可能性がある。サードパーティーの利用は金融機構に大きなメリットをもたらす可能性がある一方で、こうした依存はいくつかのリスクをもたらす可能性がある。例えば、AIツールは大きなコンピューティング・パワーを必要とし、比較的少数のクラウド・サービス・プロバイダへの依存を高める可能性がある。ベンダーが開発したAIツールの可視性は、自社で開発したものよりも低い可能性が高い。
Operational risks related to AI may also come from outside the financial institution. These include AI-enabled cyber-attacks, fraud, and deep fakes. Widely available GenAI tools are already expanding the pool of adversaries and enabling all adversaries to become more proficient. While the tactics are often not new – like phishing – they have become more effective and efficient in the last year. For example, in a reported incident earlier this year, an employee of a multinational financial institution was tricked into transferring $25 million after attending a video conference call with an AI deepfake of the firm’s chief financial officer.7	AIに関連する運用リスクは、金融機関の外部からもたらされる可能性もある。これには、AIを利用したサイバー攻撃、詐欺、ディープフェイクなどが含まれる。広く利用可能なGenAIツールは、すでに敵対者のプールを拡大し、すべての敵対者がより熟練することを可能にしている。手口はフィッシングのように目新しいものではないことが多いが、昨年はより効果的かつ効率的になっている。例えば、今年初めに報告されたインシデントでは、ある多国籍金融機関の従業員が、同社の最高財務責任者のAIディープフェイクとのビデオ電話会議に出席した後、騙されて2,500万ドルを送金させられた7。
Financial Stability and Macroprudential Considerations	財務安定性とマクロプルーデンス上の懸念
We should also consider whether AI use by financial firms could present financial stability risks – that is, risks to the broader financial system. For example, AI models may introduce or amplify interconnections among financial firms if model outputs are more highly correlated because they rely on the same data sources, or if firms are using the same model. In some cases, one model’s output may be an input to another model. These interconnections may exacerbate herding behavior or procyclicality. Where models inform trading strategies that are executed automatically, incidents like flash crashes may be more likely. Complexity and opacity are also of concern. To the extent that models are not transparent in their reasoning or rely on a wider range of data, it is difficult to predict how models might perform.	金融会社によるAIの利用が、金融の安定性リスク、すなわち、より広範な金融システムに対するリスクをもたらす可能性があるかどうかも考慮すべきである。例えば、AIモデルは、同じデータ・ソースに依存しているため、モデルの出力がより高い相関性を持つ場合、あるいは金融機関が同じモデルを使用している場合、金融機関間の相互連関を導入または増幅する可能性がある。場合によっては、あるモデルの出力が別のモデルの入力になることもある。このような相互関連は、ハーディング行動やプロシクリカリティを悪化させる可能性がある。モデルが取引戦略に情報を与え、それが自動的に実行される場合、フラッシュ・クラッシュのようなインシデントが発生しやすくなるかもしれない。複雑さと不透明さも懸念される。モデルの推論が透明でなかったり、より広範な データに依存していたりする限り、モデルがどのように機能するかを予測 することは難しい。
Changes in Competitive Landscape	競争環境の変化
AI has the potential to change the competitive landscape of financial services. This could happen in one of several ways. First, the significant investments of computing power and data required to develop AI models may advantage certain institutions over others. Small institutions with less access to data may be disadvantaged in their ability to develop or access AI. Institutions that have not migrated to cloud services may be less able to access or use AI. Alternatively, it is possible that the investments needed to develop AI models are so significant that financial institutions converge on a single model, thus leveling the playing field between large and small institutions.	AIは金融サービスの競争環境を変える可能性を秘めている。これはいくつかの方法で起こりうる。第一に、AIモデルの開発に必要なコンピューティング・パワーとデータの多大な投資により、特定の機構が他の機構よりも有利になる可能性がある。データへのアクセスが少ない小規模な機構は、AIを開発したりアクセスしたりする能力で不利になるかもしれない。クラウドサービスに移行していない機構は、AIへのアクセスや利用が不利になるかもしれない。あるいは、AIモデルを開発するために必要な投資額があまりに大きいため、金融機関が単一のモデルに収斂し、大企業と中小企業の間の競争条件が平準化される可能性もある。
In addition, competitive dynamics outside of financial institutions may be relevant. AI tools and the cloud services that these tools depend on are being developed most intensively by a handful of companies that are not themselves financial institutions. AI may also bring new entrants into financial services, including technology providers that may be looking to make use of data collected in other contexts.	さらに、金融機関以外の競争力学も関係するかもしれない。AIツールやそのツールに依存するクラウドサービスは、金融機関ではない一握りの企業によって最も集中的に開発されている。AIはまた、他の文脈で収集されたデータの活用を目指すテクノロジープロバイダーを含め、金融サービスへの新規参入をもたらすかもしれない。
Consumers and Investors	消費者と投資家
In my remarks today, I have focused mostly on the impact of AI on financial institutions and the financial system, but I would like to spend a few moments on the potentially significant implications for consumers and investors, as well.	本日の発言では、AIが金融機関や金融システムに与える影響に焦点を当ててきたが、消費者や投資家にとっても重要な意味を持つ可能性があることについて、少し触れておきたい。
We can think of these implications along two lines. First, while data have always been critical to financial services, AI further intensifies this demand for data. As a result, AI may amplify existing concerns regarding data privacy and surveillance. And, if data are collected, it must be stored, raising data security concerns.	このような影響は2つの線で考えることができる。第一に、金融サービスにとってデータは常に重要であったが、AIはデータに対する需要をさらに高める。その結果、AIはデータ・プライバシーや監視に関する既存の懸念を増幅させる可能性がある。また、データを収集すれば、それを保存しなければならず、データ・セキュリティ上の懸念が高まる。
Second, the outputs of AI tools have significant implications for consumers and investors. Lenders using AI models may be able to develop a more comprehensive picture of creditworthiness by using many times more variables, including data from less traditional sources.8 Investment advisors are also experimenting with use of machine learning or predictive AI to provide more tailored advice. A particular area of concern, however, is the potential for AI tools to perpetuate bias. Historical data – whether used in traditional modeling or AI – embeds historically biased outcomes. A lender’s reliance on such historical data may be particularly problematic if the reasoning of a model is not clear, and if a decision may result in a consumer being denied service or credit in wrongful ways. In addition, with more and varied data being used, consumers will face challenges in correcting inaccuracies in their data. It is also important to take care that alternative sources of data, which may be less transparent and obscure embedded biases, are not proxies for race, gender, or ethnicity.	第二に、AIツールのアウトプットは、消費者や投資家にとって重要な意味を持つ。投資アドバイザーもまた、機械学習や予測AIの活用を試みており、よりオーダーメイドのアドバイスを提供している。しかし、特に懸念されるのは、AIツールがバイアスを永続させる可能性である。過去のデータは、伝統的なモデリングで使われるにせよ、AIで使われるにせよ、歴史的にバイアスのかかった結果を埋め込む。モデルの根拠が明確でない場合、また、ある決定が不当な方法で消費者のサービスや信用を拒否する結果をもたらす可能性がある場合、貸金業者がそのような過去のデータに依存することは特に問題となる可能性がある。加えて、より多くの多様なデータが利用されるようになれば、消費者はデータの不正確さを修正する際の課題に直面することになる。また、透明性が低く、埋め込まれたバイアスが不明瞭な代替データ源が、人種、性別、民族性の代用とならないように注意することも重要である。
V. FRAMEWORK FOR ADDRESSING RISKS	V. リスクに対処するための枠組み
Many of the risks that I have described are familiar to financial regulators. When we consider how best to assess and mitigate financial risks posed by new AI developments, again, we are not starting from scratch. For example, principles of model risk management establish a framework for model design, governance, audit, and data quality. Principles of third-party risk management address risks associated with vendors and other critical service providers. Fair lending, fair credit, and data privacy laws are designed to address risks to consumers, and securities laws are designed to protect investors. Likewise, AI tools used for compliance, such as for AML/CFT compliance, must fit these regulatory requirements. While this framework is not specific to AI technology, it applies to AI and is designed to address risks regardless of the technology used.	これまで述べてきたリスクの多くは、金融規制当局にとって馴染み深いものである。新たなAI開発によってもたらされる金融リスクをどのようにアセスメントし、軽減するのが最善かを検討する際、やはりゼロから始めるわけではない。例えば、モデルリスク・マネジメントの原則は、モデル設計、ガバナンス、監査、データ品質に関する枠組みを確立するものである。サードパーティリスク管理の原則は、ベンダーやその他の重要なサービス・プロバイダーに関連するリスクに対処するものである。公正貸付法、公正信用法、データ・プライバシー法は消費者のリスクに対処するために設計されており、証券法は投資家を保護するために設計されている。同様に、AML/CFTコンプライアンスなどのコンプライアンスに使用されるAIツールは、これらの規制要件に適合していなければならない。このフレームワークはAI技術に特化したものではないが、AIに適用され、使用される技術に関係なくリスクに対処するように設計されている。
It is from this starting point that we consider whether AI presents risks that are not adequately addressed in the existing framework. These risks could be of the same type, but of greater magnitude, or they may be entirely new types of risks. The technology is developing rapidly, and we should work to ensure that the policy framework is keeping pace. To that end, I would like to conclude by posing several questions to help guide this discussion:	このような出発点から、既存の枠組みでは十分に対処できないリスクがAIに存在するかどうかを検討する。これらのリスクは、同じ種類のリスクであっても、より大きなリスクである可能性もあるし、まったく新しい種類のリスクである可能性もある。テクノロジーは急速に発展しており、我々は政策の枠組みが遅れを取らないよう努力すべきである。そのために、この議論の指針となるようないくつかの質問を投げかけて終わりにしたい：
First, where might AI amplify some known, familiar risks? For example, we have long understood the importance of data quality in modeling credit and market risk. Because AI relies on more and more different types of data, these concerns may be amplified.	第一に、AIが既知の身近なリスクを増幅させる可能性はどこにあるのか？例えば、信用リスクや市場リスクのモデリングにおけるデータの質の重要性については、以前から理解している。AIはより多くの異なる種類のデータに依存するため、こうした懸念が増幅される可能性がある。
Second, does AI present different kinds of risks? It may also be that AI presents categorically different types of risks. For example, AI acts according to defined objectives and it may be challenging to specify all relevant objectives. You may want AI to maximize profit, but within legal and ethical boundaries that can be difficult to define completely. If an AI model acts on its own and is capable of updating its reasoning with no human intervention, this may undermine accountability for wrongdoing or errors.	第二に、AIは異なる種類のリスクをもたらすのだろうか。また、AIはカテゴリーごとに異なる種類のリスクをもたらす可能性もある。例えば、AIは定義された目的に従って行動するが、関連する目的をすべて特定するのは難しいかもしれない。AIが利益を最大化することを望むかもしれないが、完全に定義することが難しい法的・倫理的な境界線の範囲内であればよい。AIモデルが独自に行動し、人間の介入なしに推論を更新できる場合、不正行為やエラーに対する説明責任が損なわれる可能性がある。
Third, are there changes in the competitive landscape that could have implications for the regulatory framework? AI may change the competitive landscape. These changes could occur both among financial companies – for example, firms with greater access to data or to computational power may be better positioned to compete. It could also occur between financial and non-financial companies, as some nonfinancial firms already have significant access to data and computing power, and have shown some interest in providing financial services directly. If this shifting landscape affects the ability to address risks in the financial sector, what adjustments should be considered, for example, for certain kinds of institutions or certain kinds of relationships?	第三に、規制の枠組みに影響を及ぼしうる競争環境の変化はあるか？AIは競争環境を変える可能性がある。例えば、データへのアクセスや計算能力が高い企業は、競争上有利な立場になるかもしれない。また、非金融会社の中には、すでにデータや計算能力への大きなアクセスを持っており、金融サービスを直接プロバイダとして提供することに関心を示しているところもあるからだ。このような状況の変化が、金融セクターのリスク対応能力に影響を及ぼすとすれば、例えば、特定の種類の機構や特定の種類の関係について、どのような調整を検討すべきであろうか。
Finally, what are the opportunities for financial regulators and other authorities to use AI? It is still early days for policymakers too. We are exploring opportunities to identify data anomalies to counter illicit finance and fraud, and to find better ways for the private sector to build more comprehensive databases to improve fraud detection.9 This is a high value proposition with a manageable risk if we work together across the public and private sectors. We might also consider what are other possible use cases and what considerations should guide those use cases.	最後に、金融規制当局やその他の認可機関がAIを活用する機会はどのようなものだろうか。政策立案者にとっても、まだ日が浅い。私たちは、不正資金や不正行為に対抗するためにデータの異常を特定する機会や、不正行為の検知を改善するために民間部門がより包括的なデータベースを構築するためのより良い方法を模索中である9。また、他にどのようなユースケースが考えられるか、そのユースケースを導くにはどのような配慮が必要かを検討することもできるだろう。
There are certainly other questions that could be asked now and certainly more to come for policymakers as AI technology continues to develop. Events like these and the ongoing work of the FSB and OECD are critical to deepen our understanding of the potential uses of AI by financial institutions and to ensuring that our policy framework keeps pace with technological change.	AI技術が発展し続ける中、政策立案者にとっては、現在も、そしてこれからも、さらに多くの疑問が投げかけられるに違いない。今回のようなイベントや、FSBやOECDが現在進めている作業は、金融機関によるAIの潜在的な利用について理解を深め、我々の政策枠組みが技術革新に遅れないようにするために極めて重要である。
Thank you.	ありがとう。
1. See, e.g., Dynamic Customer Embeddings for Financial Service Applications [←]	1. 例えば、Dynamic Customer Embeddings for Financial Service Applications [←]を参照のこと。
2. See Chatbots in consumer finance | Consumer Financial Protection Bureau [←]	2. 消費者金融におけるチャットボット｜消費者金融保護局[←]を参照のこと。
3. See e.g., MIT-UBS-generative-AI-report_FNL.pdf [←]	3. 例えば、MIT-UBS-generative-AI-report_FNL.pdf [←]を参照のこと。
4. See e.g., Marsh McLennan launches AI-powered solution to transform supply chain risk management [←]	4. 例えば、Marsh McLennan launches AI-powered solution to transform supply chain risk management [←] を参照のこと。
5. 2023 IIF-EY Survey Report on AI_ML Use in Financial Services - Public Report - Final.pdf [←]	5. 2023 IIF-EY 金融サービスにおけるAI_ML利用に関する調査報告書 - 公開報告書 - Final.pdf [←] を参照のこと。
6. See Reducing Reliance on Credit Ratings - Financial Stability Board [←]	6. 信用格付けへの依存を減らす-金融安定理事会【←】を参照のこと。
7. See Managing Artificial Intelligence-Specific Cybersecurity Risks in the Financial Services Sector [←]	7. 金融サービスセクターにおける人工知能特有のサイバーセキュリティリスクのマネジメント [←] を参照。
8. See Assessing the Impact of New Entrant Non-bank Firms on Competition in Consumer Finance Markets [←]	8. 消費者金融市場における新規参入ノンバンクの競争へのアセスメント [←] を参照。
9. Managing Artificial Intelligence-Specific Cybersecurity Risks in the Financial Services Sector [←]	9. 金融サービスセクターにおける人工知能特有のサイバーセキュリティ・リスクのマネジメント [←] を参照。

 

SECのルールの改正によるサイバーセキュリティ開示 (20-F) 三井住友ファイナンシャル、ORIX、みずほファイナンシャル、野村、タケダ、ソニー、トヨタ、ホンダの場合 （MUFGも追加）

こんにちは、丸山満彦です。

2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから半年以上がすぎ、Form20-Fに記載されている事例もたくさんありますので、ちょっと紹介...

20-FのItem 16K. Cybersecurityに

Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、

• そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
• そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
• 第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた（または、与える可能性が合理的に高いか）を記載する必要があります。。。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

• サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
• そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

• 経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
  
  • どの経営委員会又は役職が負うのか、
  • その担当者や委員が有する関連する専門知識
• その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
• その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

詳細のルールは[PDF] SEC 17 CFR Parts 229, 232, 239, 240, and 249 [Release Nos. 33-11216; 34-97989; File No. S7-09-22] RIN 3235-AM89 Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure

● SECURITIES AND EXCHANGE COMMISSION - EDGAR

 

開示内容...

 

・三井住友ファイナンシャル

・2024.06.27 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity	項目16K サイバーセキュリティ
The risk of cybersecurity threats is growing ever more serious as a result of the accelerated digitization of financial services and changes to the surrounding environment. We strengthen our security controls in order to achieve a society that is resilient to cybersecurity threats and provide more secure services to our customers.	金融サービスのデジタル化の加速や取り巻く環境の変化に伴い、サイバーセキュリティの脅威のリスクはますます深刻化している。サイバーセキュリティの脅威に強い社会を実現し、お客さまにより安全なサービスを提供するため、セキュリティ管理を強化している。
SMFG and some of our group companies have established a “Declaration of Cybersecurity Management.” This declaration indicates that we acknowledge cybersecurity as a key management issue, and expresses a commitment to enhancing the security posture not just within our organization, but across society as a whole. Under this declaration, we promote the strengthening of cybersecurity controls led by management in order to counter the increasing severity and sophistication of cyber threats.	SMFGおよび一部のグループ会社では、"サイバーセキュリティ経営宣言 "を制定している。この宣言は、サイバーセキュリティを重要な経営課題として認識し、組織内のみならず社会全体のセキュリティ態勢を強化していくことを表明するものである。この宣言のもと、深刻化・巧妙化するサイバー脅威に対抗するため、経営主導によるサイバーセキュリティ管理の強化を推進している。
Risk Management and Strategy	リスクマネジメントと戦略
We define cybersecurity threats as one of the top risks for our group. Under the concept of “three lines of defense,” we have integrated cybersecurity risk management, which assesses, identifies, and manages material risks from cybersecurity threats, into a company-wide framework and have established a structure with over 600 personnel. Cybersecurity risk management forms part of our cybersecurity operational plan, which is subject to approval by the Management Committee.	私たちは、サイバーセキュリティの脅威を当社グループの最重要リスクのひとつと定義している。3つの防衛ライン」というコンセプトのもと、サイバーセキュリティの脅威による重大なリスクをアセスメントし、識別し、管理するサイバーセキュリティ・リスクマネジメントを全社的なフレームワークに統合し、600名を超える人員による体制を構築している。サイバーセキュリティ・リスクマネジメントは、当社のサイバーセキュリティ・オペレーション・プランの一部を構成し、マネジメント委員会の承認を得ている。
We periodically engage third-party consultants to conduct maturity assessments based on global cybersecurity frameworks to test our cybersecurity controls. Using our threat intelligence function, we collect information such as the latest cybersecurity threats, vulnerabilities and geopolitical developments, and leverage them to detect and prevent those cybersecurity threats. To deter attacks exploiting vulnerabilities, we regularly conduct vulnerability assessments using various tools and also conduct threat-led penetration testing by entrusting external vendors to penetrate actual systems and evaluate vulnerabilities.	定期的にサードパーティーのコンサルタントに依頼して、グローバルなサイバーセキュリティフレームワークに基づく成熟度アセスメントを実施し、当社のサイバーセキュリティ管理体制を検証してもらっている。脅威インテリジェンス機能により、最新のサイバーセキュリティ脅威、脆弱性、地政学的動向などの情報を収集し、それらを活用してサイバーセキュリティ脅威を検知・防止している。脆弱性を悪用した攻撃を抑止するため、各種ツールを用いた脆弱性アセスメントを定期的に実施するほか、外部ベンダーに実システムへの侵入を委託し、脆弱性を評価する脅威主導型のペネトレーションテストも実施している。
We have designed a multilayered cyber defense system that includes detection and interception of suspicious communications from the outside, as well as operation and monitoring of various security programs and systems, to protect against various cyberattacks such as unauthorized access and mass access attacks. We have established a Security Operation Center (“SOC”) with a 24-hour, 365-day monitoring function and locate SOCs in various regions. Through coordination among SOCs in each region, we further strengthen security monitoring on a group-wide basis.	外部からの不審な通信の検知・防御、各種セキュリティプログラムやシステムの運用・監視など、多層的なサイバー防御体制を構築し、不正アクセスや大量アクセス攻撃など、さまざまなサイバー攻撃から身を守っている。24時間365日の監視機能を持つセキュリティ・オペレーションセンター（SOC）を設置し、各地域にSOCを配置している。各地域のSOCが連携することで、グループ全体のセキュリティ監視をさらに強化している。
In terms of preparedness for cyber incidents, we established a Computer Security Incident Response Team (“CSIRT”) to prepare for any incidents and have set up a response system. The CSIRT actively collects cyber information on attackers’ methods and vulnerabilities from both inside and outside of our organization and shares them with external organizations such as government authorities in relevant nations and the Financial Services Information Sharing and Analysis Center (“FS-ISAC”) or other relevant organizations as necessary. In addition, we regularly participate in attack simulation exercises conducted by outside experts or the authorities to further strengthen our cyberattack response and resilience. We have established risk management processes including in relation to third parties such as outsourced vendors, and regularly monitor the actual situation.	サイバーインシデントへの備えとしては、インシデントに備えてコンピュータ・セキュリティ・インシデント対応チーム（以下、CSIRT）を設置し、対応体制を整えている。CSIRTは、攻撃者の手口や脆弱性に関するサイバー情報を社内外から積極的に収集し、必要に応じて関連国の政府当局や金融サービス情報共有・分析センター（FS-ISAC）等の外部組織と共有している。さらに、外部の専門家や当局が実施する攻撃シミュレーション演習に定期的に参加し、サイバー攻撃への対応とレジリエンスをさらに強化している。外部委託先などのサードパーティとの関係も含め、リスクマネジメントプロセスを確立し、定期的に実態をモニタリングしている。
For the fiscal year ended March 31, 2024, there were no cybersecurity incidents that had a material impact on our results of operations or financial condition.	2024年3月期において、当社の経営成績および財政状態に重要な影響を及ぼすサイバーセキュリティインシデントは発生していない。
Governance	ガバナンス
The Management Committee regularly discusses cybersecurity risk management in order to further strengthen our security posture based on our cybersecurity operational plan.	経営委員会では、サイバーセキュリティ運用計画に基づき、当社のセキュリティ態勢をさらに強化するため、サイバーセキュリティリスクマネジメントについて定期的に議論している。
In order to clarify the roles and responsibilities for promoting the effectiveness of security controls, the position of Group Chief Information Security Officer (“CISO”) has been assigned under the Group Chief Information Officer (“CIO”) and the Group Chief Risk Officer (“CRO”). The Group CISO is responsible for supervision and direction of controls to manage cybersecurity threats on a group-wide basis. The current Group CISO has been working in the systems sector for many years and has extensive experience in cybersecurity, technology risk management and information security. Group Vice CISOs and regional CISOs are stationed under the Group CISO to help secure cybersecurity controls.	セキュリティ管理の有効性を推進するための役割と責任を明確にするため、グループ最高情報責任者（CIO）およびグループ最高リスク責任者（CRO）の下に、グループ最高情報セキュリティ責任者（CISO）の役職を配置している。グループCISOは、サイバーセキュリティの脅威をグループ全体で管理するための統制の監督と指導に責任を負う。現在のグループCISOは、システム部門に長年勤務しており、サイバーセキュリティ、技術リスクマネジメント、情報セキュリティの分野で豊富な経験を有している。グループCISOの下には、グループ副CISOおよび地域CISOが配置され、サイバーセキュリティ統制の確保を支援している。
Our directors, in their capacities serving on the full board of directors as well as on the risk committee and audit committee, obtain information and oversee the status of the cybersecurity risk management. Based on reports from the Group CIO regarding the status of cybersecurity risk management, the board supervises the cybersecurity operational plan and its implementation on risk management related to systems, including cybersecurity. The risk committee oversees the implementation of the cybersecurity operational plan on comprehensive risk management, which includes cybersecurity risk, based on regular reports from the Group CRO. The audit committee supervises the implementation status based on regular reports from the Group CISO on the status of cybersecurity controls. Additionally, members of our board of directors periodically receive reports on cybersecurity information including external threat trends and our cybersecurity control measures from the Group CISO.	当社の取締役は、取締役会全体ならびにリスク委員会および監査委員会の委員として、サイバーセキュリティ・リスクマネジメントに関する情報を入手し、その状況を監督している。取締役会は、グループCIOからのサイバーセキュリティリスクマネジメントの実施状況に関する報告に基づき、サイバーセキュリティを含むシステムに関するリスクマネジメントについて、サイバーセキュリティ運用計画およびその実施状況を監督している。リスク委員会は、グループCROからの定期的な報告に基づき、サイバーセキュリティ・リスクを含む包括的なリスクマネジメントに関するサイバーセキュリティ運用計画の実施状況を監督する。監査委員会は、グループCISOからのサイバーセキュリティ管理状況に関する定期的な報告に基づき、実施状況を監督する。さらに、取締役会のメンバーは、グループCISOから外部脅威の動向や当社のサイバーセキュリティ管理策を含むサイバーセキュリティ情報に関する報告を定期的に受けている。

 

 

・ORIX

・2024.06.27 20-F (Annual report - foreign issuer)

Item 16K.Cybersecurity	項目16K.サイバーセキュリティ
(1) Risk management and strategy	(1) リスクマネジメンと戦略
Our Information Security Control Department reports to and manages cyber and information security risks to the Information Technology Management Committee.	当社の情報セキュリティ管理部は、サイバーセキュリティおよび情報セキュリティリスクを情報技術マネジメント委員会に報告し、管理している。
Our Information Security Control Department has established a cyber and information security awareness training program for our consolidated group companies. All employees of our consolidated group companies, including investee companies, and employees of outsourcing companies with access to our network are required to take online training at least once a year. These educational programs also include phishing e-mails simulations, which are conducted several times a year on an irregular basis. We also provide training through escalation and response simulations in the event of a cyber or information security incident.	当社の情報セキュリティ管理部は、当社連結グループ会社に対してサイバーセキュリティおよび情報セキュリティに関する意識向上およびトレーニングプログラムを策定している。投資先企業を含む連結グループ会社の全従業員、および当社のネットワークにアクセスできる業務委託先企業の従業員は、少なくとも年1回のオンライン研修の受講を義務付けられている。これらの教育プログラムには、フィッシングメールのシミュレーションも含まれており、年に数回、不定期に実施している。また、サイバーインシデントや情報セキュリティインシデントが発生した場合のエスカレーションや対応シミュレーションを通じた教育も行っている。
Each of our consolidated group companies is assigned an Information Security Accountable Owner, and cyber and information security knowledge and the Group’s security policies are shared with the companies on a quarterly basis to raise readiness levels across the ORIX Group.	また、連結グループ各社に情報セキュリティ責任者を配置し、四半期ごとにサイバーセキュリティや情報セキュリティに関する知識やオリックスグループのセキュリティポリシーを共有することで、オリックスグループ全体のレベルアップを図っている。
In order to control cyber and information security risks we face through our interactions with and reliance on third parties, such as through our outsourcing activities and use of cloud services, we conduct regular security assessments of business partners and outsourcing vendors. In addition, we have a framework in place for the Information Security Control Department to evaluate the security risks of information systems and cloud services provided by business partners and outsourcing vendors.	アウトソーシング活動やクラウドサービスの利用など、サードパーティとの交流や依存を通じて直面するサイバーセキュリティおよび情報セキュリティリスクをコントロールするため、ビジネスパートナーやアウトソーシングベンダーのセキュリティアセスメントを定期的に実施している。さらに、情報セキュリティ管理部が、ビジネスパートナーやアウトソーシングベンダーが提供する情報システムやクラウドサービスのセキュリティリスクを評価するための枠組みを用意している。
The Information Security Control Department is responsible for assessing and managing our cyber and information security risks and where necessary, engages third-party consultants for advice regarding specific areas where enhanced controls or in-depth analysis is required.	情報セキュリティ管理部は、当社のサイバーリスクおよび情報セキュリティリスクのアセスメントとマネジメントを担当し、必要に応じて、管理の強化や詳細な分析が必要な特定の分野に関して、サードパーティに助言を依頼している。
The ORIX Group has also established a framework to respond to cyber and information security incidents and to mitigate the risk of security breaches, system failures and information leaks, including cyber attacks and damage to information security systems. A system has been established to assess the impact on operations and the likelihood of secondary damage in the event of a cyber and information security incident caused by cyber attacks. The Information Security Control Department analyzes and investigates the incident and also works with the legal department and compliance department to minimize the impact of the incident and prevent secondary damage. Any serious incidents are reported to the Executive Officer in charge of the Information Security Control Department and appropriate action is taken under his/her direction. The current Executive Officer in charge of information security at ORIX has extensive knowledge of information technology and security, cultivated through his experience with system development, project management and security management in over two decades at various international companies prior to joining ORIX Corporation, including over a decade of experience in the financial business sector.	また、オリックスグループは、サイバー攻撃や情報セキュリティシステムの破損などのセキュリティ侵害やシステム障害、情報漏えいなどのリスク低減のため、サイバーセキュリティおよび情報セキュリティインシデントへの対応体制を整備している。サイバー攻撃によるサイバー・インシデントや情報セキュリティ・インシデントが発生した場合、業務への影響や二次被害の可能性をアセスメントする体制を構築している。情報セキュリティ統括部は、インシデントの分析・調査を行うとともに、法務部門やコンプライアンス部門と連携し、インシデントによる影響を最小限に抑え、二次被害を防止する。重大なインシデントが発生した場合は、情報セキュリティ統括部担当執行役員に報告され、その指示のもと適切な処置がとられる。現執行役員（情報セキュリティ担当）は、オリックス（株）入社以前20年以上にわたり、さまざまな外資系企業でシステム開発、プロジェクトマネジメント、セキュリティマネジメントに携わり、その中で培った情報技術やセキュリティに関する豊富な知見を有している。
In the current fiscal year, we did not identify any cyber or information security incidents that have materially affected or are reasonably likely to materially affect our business activities, results of operations or financial condition.	当連結会計年度において、当社の事業活動、経営成績および財政状態に重要な影響を及ぼした、または及ぼすおそれがあると合理的に判断されるサイバーまたはインシデントは確認されていない。
(2) Governance	(2）ガバナンス
The ORIX Group has established internal rules governing the structure, basic policies, management standards for information security, education, and audits in accordance with global standards for information security controls such as ISO and NIST.	オリックスグループは、ISOやNISTなどの情報セキュリティ管理に関するグローバルスタンダードに準拠した体制、基本方針、情報セキュリティに関する管理標準、教育、監査などを定めた社内規程を制定している。
The Information Security Management Rules stipulate that strategies and policies regarding cyber and information security and its response policies for cyber and information security incidents, are to be discussed and determined at the Information Technology Committee, consisting of the Group CEO, CFO and other members. In addition, the response status of any cyber or information security incident is reported to the Audit Committee by the Executive Officer in charge of the Information Security Control Department to ensure appropriate information sharing.	情報セキュリティ管理規程」では、サイバーセキュリティおよび情報セキュリティに関する戦略・方針、ならびにサイバーセキュリティおよび情報セキュリティインシデントへの対応方針について、グループCEO、CFOなどで構成される「情報技術委員会」で審議・決定することを定めている。また、サイバー・セキュリティ、情報セキュリティインシデント発生時の対応状況は、情報セキュリティ統括部担当執行役員から監査委員会に報告され、適切な情報共有が図られている。
We have a system in place to determine the seriousness of cyber or information security incidents, report to the Disclosure Committee in a timely manner, as well as to disclose information on cyber security risks, strategies, and governance on a regular basis, in addition to the status of incident management. In addition to the management of incidents, we have also established a system that enables regular disclosure of cyber security risks, strategies, and governance.	サイバーセキュリティまたは情報セキュリティインシデントの重大性を判断し、適時開示委員会に報告するとともに、インシデントマネジメントの状況に加え、サイバーセキュリティリスク、戦略、ガバナンスに関する情報を定期的に開示する体制を整備している。インシデントマネジメントに加え、サイバーセキュリティのリスク、戦略、ガバナンスについても定期的に開示できる体制を構築している。
We have also established company-wide security requirements with which all consolidated group companies must comply, such as keeping systems up to date through vulnerability management program and technical measures for network defense. We have also established internal rules for security log management that take into account physical and logical boundaries with external networks as well as information breaches caused by internal fraud.	また、脆弱性管理プログラムによるシステムの最新状態の維持や、ネットワーク防御のための技術的対策など、連結グループ各社が遵守すべき全社的なセキュリティ要件を定めている。また、外部ネットワークとの物理的・論理的な境界や、内部不正による情報漏えいを考慮したセキュリティログ管理に関する社内ルールを制定している。

 

・みずほファイナンシャル

・2024.06.26 20-F (Annual report - foreign issuer)

ITEM 16K. Cybersecurity	項目16K サイバーセキュリティ
Cybersecurity Strategy	サイバーセキュリティ戦略
Many of our systems are connected to our domestic and overseas locations, and the systems of our customers and various payment institutions, through a global network. In light of the growing sophistication and scope of cyber-attacks, we recognize cybersecurity as an important management issue and continuously promote cybersecurity measures under management leadership.	当行のシステムの多くは、グローバルなネットワークを通じて、国内外の拠点、顧客や各種決済機構のシステムに接続されている。サイバー攻撃の高度化・大規模化を踏まえ、サイバーセキュリティを重要な経営課題と認識し、経営陣主導のもと、継続的にサイバーセキュリティ対策を推進している。
We define cybersecurity risk as the risk that the group may incur tangible or intangible losses due to cybersecurity-related problems that occur at the group and/or at its clients, along with organizations, etc., that have a business relationship with the group, such as outside vendors and goods/services suppliers and view it as one of our top risks. Accordingly, we have established a system to centrally manage cybersecurity risk through the Risk Appetite Framework and the Comprehensive Risk Management Framework.	サイバーセキュリティリスクとは、当社グループおよび取引先、ならびに外部業者や商品・サービスの仕入先など、当社グループと取引関係のある組織等で発生するサイバーセキュリティ上の問題により、当社グループが有形・無形の損失を被るリスクと定義し、当社グループの最重要リスクの一つとして捉えている。そのため、「リスクアペタイトフレームワーク」や「包括的リスクマネジメントフレームワーク」を通じて、サイバーセキュリティリスクを一元的に管理する体制を構築している。
Governance System	ガバナンス体制
At Mizuho Financial Group, the Board of Directors deliberates and resolves fundamental issues related to cybersecurity risk management. The Board of Directors receives reports from the Group Chief Information Security Officer (“CISO”) *1 on cybersecurity risks that may have an impact on management policies and strategies, annual business plans, medium- to long-term business plans, etc., other cybersecurity risks that the Board of Directors should be aware of from a medium- to long-term perspective, and important matters such as the status of risk control.	みずほフィナンシャルグループでは、取締役会において、サイバーセキュリティリスクマネジメントに関する基本的事項を審議・決議している。取締役会は、グループ最高情報セキュリティ責任者（CISO）※1より、経営方針・戦略、年度事業計画、中長期事業計画等に影響を及ぼす可能性のあるサイバーセキュリティリスク、その他取締役会が中長期的な観点から認識すべきサイバーセキュリティリスク、リスクコントロールの状況等の重要事項について報告を受ける。
The Risk Committee and the IT/Digital Transformation Committee *2, both of which are advisory bodies to the Board of Directors, each receive reports from the Group CRO on the status of comprehensive risk management and from the Group CISO on basic matters related to cybersecurity risk management, evaluate conformity with our basic management policies and the appropriateness of our cyber initiatives, and present recommendations or opinions to the Board of Directors. In addition, the independent third line in the three lines of defense *3 conducts audits on the initiatives of the first and second lines, and reports the results to the Operational Audit Committee, etc.	取締役会の諮問機関であるリスク委員会およびIT・デジタルトランスフォーメーション委員会※2は、それぞれグループCROから総合的なリスクマネジメントの状況について、グループCISOからサイバーセキュリティリスクマネジメントに関する基本的事項についての報告を受け、経営基本方針への適合性およびサイバー施策の適切性を評価し、取締役会に提言または意見を述べる。また、3つの防衛ライン※3のうち独立した第3のラインは、第1および第2のラインの取り組みについて監査を実施し、その結果を業務監査委員会等に報告している。
Under such supervision by the Board of Directors, the President and Chief Executive Officer oversees the cybersecurity risk management of Mizuho Financial Group, and the Group CISO, in accordance with the instructions of the Group CIO and the Group CRO, establishes measures for risk management through autonomous control activities by the first line, and monitoring, measurement, and evaluation by the second line of such autonomous control activities by the first line and give instructions to prevent cybersecurity risks that may arise from fraud or outsourcing, and to respond appropriately to cyber incidents.	このような取締役会の監督のもと、代表執行役社長がみずほフィナンシャルグループのサイバーセキュリティリスクマネジメントを統括し、グループCIOおよびグループCROの指示に従い、グループCISOが、ファーストラインによる自律的な統制活動、およびファーストラインによる自律的な統制活動に対するセカンドラインによる監視・計測・評価を通じて、リスクマネジメントの方策を策定し、不正や外部委託に起因するサイバーセキュリティリスクの未然防止やサイバーインシデントへの適切な対応を指示する。
The Group CISO has been engaged in the IT and systems industry for more than 30 years and, with extensive knowledge and experience, is responsible for the planning and operation of cybersecurity risk management.	グループCISOは、IT・システム業界に30年以上従事し、豊富な知識と経験を有しており、サイバーセキュリティリスクマネジメントの企画・運営を担っている。
Based on the instructions of the Group CISO, the Cybersecurity Management Department identifies possible cybersecurity risks to our business and systems, evaluates our preparedness, assesses risks identified by analyzing the location and magnitude of cybersecurity risks, and then reviews and formulates additional measures to strengthen risk control, such as preventive measures and reactive responses, and strengthens risk control and governance through reflection in business plans.	サイバーセキュリティマネジメント部は、グループCISOの指示に基づき、当社の事業やシステムに起こりうるサイバーセキュリティリスクの洗い出し、備えの評価、サイバーセキュリティリスクの所在や大きさの分析により洗い出したリスクのアセスメントを行い、予防策や事後対応などリスクコントロール強化のための追加施策の検討・策定、事業計画への反映によるリスクコントロールやガバナンスの強化を図っている。
The Cybersecurity Management Department reports to the Group CISO on the status of cybersecurity risk management, and the Group CISO reports, and if applicable, submits proposals for deliberation, to the Management Committee via the IT Strategy Promotion Committee and to the Board of Directors, each on the status of our cybersecurity measures, etc., with the aim of developing and strengthening a system for ensuring cybersecurity.	サイバーセキュリティマネジメント部は、サイバーセキュリティリスクの管理状況をグループCISOに報告し、グループCISOは、当社のサイバーセキュリティ対策の状況等について、IT戦略推進委員会を経由してマネジメント委員会に報告し、場合によっては取締役会に付議するなど、サイバーセキュリティを確保するための体制の整備・強化を図っている。
We have appointed a person in charge of cybersecurity and have established a communication system at group companies, to monitor the status of our cybersecurity measures and to quickly gather information when an incident occurs.	サイバーセキュリティ担当者を設置し、グループ各社におけるコミュニケーション体制を確立することで、サイバーセキュリティ対策状況の把握やインシデント発生時の迅速な情報収集に努めている。
Initiatives for Cybersecurity Measures	サイバーセキュリティ対策への取り組み
Based on the cybersecurity risks identified and assessed by the Cybersecurity Management Department, Mizuho Financial Group promotes cybersecurity risk management measures across the group, globally and in our supply chains. Specifically, the Mizuho-Cyber Incident Response Team *4 and other highly qualified professionals are deployed, and a 24-hour, 365-day a year monitoring system is in place using an integrated Security Operation Center *5, etc., while making full use of intelligence and advanced technologies in cooperation with external specialized agencies.	みずほフィナンシャルグループでは、サイバーセキュリティマネジメント部が抽出・評価したサイバーセキュリティリスクに基づき、グループ全体、グローバル、サプライチェーンにおけるサイバーセキュリティリスクマネジメントを推進している。具体的には、「みずほ・サイバーインシデント対応チーム※4」をはじめとする優秀な専門家の配置、統合セキュリティ・オペレーションセンター※5等による24時間365日の監視体制を整備するとともに、外部専門機関と連携し、インテリジェンスや先端技術を駆使している。
Our systems have a virus analysis and a multi-layered defense mechanism, and we are working to strengthen our resilience by implementing Threat-Led Penetration Testing *6 to test the effectiveness of these technical measures and the effectiveness of the response process.	システム面では、ウイルス分析や多層防御の仕組みを導入しており、これらの技術的防御策の有効性や対応プロセスの有効性を検証する「脅威主導型ペネトレーションテスト※6」を実施するなど、レジリエンスの強化に努めている。
We are also focusing on human resources development, such as conducting study groups for directors including outside directors, cybersecurity training for each executive layer, and phishing email training for all executives and employees at least once every six months.	また、社外取締役を含む取締役を対象とした勉強会、各役員層を対象としたサイバーセキュリティ研修、全役職員を対象としたフィッシングメール研修を半年に1回以上実施するなど、人材育成にも注力している。
We confirm in advance and on a regular basis the security management preparedness, including responses in the event of a cyber-incident, of third parties such as cloud service providers that provide outsourcing and cloud services. When we receive reports of cyber-incidents from third parties, in addition to identifying and analyzing the impact on the group, we also strive to respond appropriately to risks when there is concern about the impact on the group.	アウトソーシングやクラウドサービスを提供するクラウドサービス・プロバイダなどのサードパーティに対して、サイバーインシデント発生時の対応を含めたマネージド・セキュリティ・プロバイダーとしての心構えを事前かつ定期的に確認している。また、サードパーティからサイバーインシデントの報告を受けた際には、当社グループへの影響を識別・分析するとともに、当社グループへの影響が懸念されるリスクについては、適切な対応に努めている。
In order to evaluate the maturity of these cybersecurity measures, we refer to third party assessment by the Cybersecurity Assessment Tool of the Federal Financial Institutions Examination Council and the Cybersecurity Framework of the National Institute of Standards and Technology.	これらのサイバーセキュリティ対策の成熟度を評価するために、連邦金融機関審査委員会のサイバーセキュリティアセスメントツールや国立標準技術研究所のサイバーセキュリティフレームワークによる第三者評価を参考にしている。
Impact and Response When a Cyber-Incident Occurs	サイバーインシデント発生時の影響と対応
As a result of our enhanced cybersecurity measures, we are not aware of any past cyber-attacks that could have had a significant impact on investor decisions or could have materially affected our business operations, results of operations and financial condition. However, in the event of a cyber-attack due to a failure to strengthen cybersecurity measures, leaks or falsification of electronic data, suspension of business operations, information leaks, and unauthorized remittances may occur and cause inconvenience and disadvantage to our customers. In addition, our business operations, results of operations and financial condition may be materially affected by compensation for damages, administrative actions and damage to reputation.	当社のサイバーセキュリティ対策強化の結果、投資家の意思決定に重大な影響を与えたり、当社の事業運営、経営成績および財政状態に重大な影響を与えた可能性のあるサイバー攻撃を過去に認識したことはない。しかしながら、サイバーセキュリティ対策の不徹底によるサイバー攻撃等が発生した場合、電子データの漏洩・改ざん、業務の停止、情報漏洩、不正送金等が発生し、お客さまにご迷惑・ご不便をおかけする可能性がある。また、損害賠償、行政処分、信用毀損等により、当社の事業運営、経営成績及び財政状態に重大な影響を及ぼす可能性がある。
In the unlikely event that a cyber-incident is detected, or if it is determined on firm grounds that the likelihood of a cyber-incident occurring is very high, the Cybersecurity Management Department will report the cyber-incident to the Group CISO. The Group CISO reports to the Management Committee and the Board of Directors when particularly important incidents occur or are likely to occur.	万が一、サイバーインシデントが検知された場合、またはサイバーインシデントが発生する可能性が極めて高いと確たる根拠に基づいて判断された場合、サイバーセキュリティ管理部はグループCISOに報告する。グループCISOは、特に重要なインシデントが発生した場合、または発生する可能性が高い場合には、経営会議および取締役会に報告する。
Based on the instructions from the Group CISO, the Cybersecurity Management Department monitors the cause of the incident (including incidents for which the likelihood of occurrence is determined on firm grounds to be very high), the nature and extent of the damage or expected damage, supports the formulation of effective containment, eradication, and recovery measures, analyzes attack methods or expected attack methods based on cyber-incident information, and conducts incident response.	サイバーセキュリティ統括部は、グループCISOの指示に基づき、インシデント（発生可能性が極めて高いと確たる根拠に基づいて判断されるものを含む）の発生原因、被害内容・程度、効果的な封じ込め・根絶・復旧策の策定支援、サイバーインシデント情報に基づく攻撃手法・予想される攻撃手法の分析、インシデント対応を行う。
Even after incident recovery, the Cybersecurity Management Department monitors changes that could lead to cyber-incidents in the group and promptly reports to the Group CISO when a breach of the threshold is identified. In addition, the Cybersecurity Management Department analyzes and evaluates the status of causes and risks, and implements necessary measures after consulting with the Group CISO on the response policy.	インシデント復旧後も、サイバーセキュリティ統括部は、グループ内のサイバーインシデントにつながる可能性のある変化を監視し、閾値突破が確認された場合には、速やかにグループCISOに報告する。また、サイバーセキュリティマネジメント部は、原因やリスクの状況を分析・評価し、グループCISOと対応方針を協議の上、必要な対策を実施している。
*1 Chief Information Security Officer	*1 最高情報セキュリティ責任者
*2 IT/Digital Transformation Committee (as described in “Item6.C. Board Practices”)	*IT/Digital Transformation委員会（「項目6.C. 取締役会の実務」に記載）
*3 Three lines of defense (concept for defining and classifying organizational functions and responsibilities in risk management and compliance)	*3 スリー・ライン・オブ・ディフェンス（リスクマネジメントとコンプライアンスにおける組織の機能と責任を定義・分類する考え方）
*4 Cyber Incident Response Team (incident response teams within the Cybersecurity Management Department that specialize in information security issues within the organization)	*4 サイバーインシデント対応チーム（サイバーセキュリティ管理部内に設置された、組織内の情報セキュリティ問題に特化したインシデント対応チーム）
*5 Security Operation Center (a specialized team within the Cybersecurity Management Department that monitors and analyzes threats to information systems in organizations such as enterprises)	*5 セキュリティ・オペレーション・センター（エンタープライズなど組織内の情報システムに対する脅威を監視・分析するサイバーセキュリティ管理部内の専門チーム）
*6 Threat-Led Penetration Testing (evaluation of systems and response processes by analyzing targeted threats and conducting attacks that mimic actual attacks)	*6 Threat-Led Penetration Testing（標的型脅威を分析し、実際の攻撃を模倣した攻撃を実施することで、システムや対応プロセスを評価する。）

 

 

・野村ホールディングス

・2024.06.26 20-F (Annual report - foreign issuer)  

Item 16K.Cybersecurity	項目16K.サイバーセキュリティ
Risk Management and Strategy	リスクマネジメント戦略
Nomura maintains a comprehensive cybersecurity strategy. Identifying, assessing and managing cybersecurity threats and risks are an integral component of Nomura’s Operational Risk Management (ORM) Framework. See Item 11. “Quantitative and Qualitative Disclosures about Market, Credit and Other Risk—Operational Risk Management Framework” for further information on the framework.	野村は包括的なサイバーセキュリティ戦略を維持している。サイバーセキュリティの脅威およびリスクの特定、アセスメント、管理は、野村のオペレーショナル・リスク・マネジメント（ORM）フレームワークの不可欠な要素である。項目11. 「市場リスク、信用リスクおよびその他のリスクに関する定量的・定性的開示-オペレーショナル・リスク・マネジメントの枠組み」を参照のこと。
Nomura has invested and is continuing to invest in its cybersecurity strategy to address fast-evolving and sophisticated cybersecurity threats while at the same time complying with extensive global, legal and regulatory expectations. Our cybersecurity programs are designed to be in line with industry best practice standards and include core capabilities such as Security Governance, Security Awareness and Training, Threat Intelligence & Management, Security Operations Management, Vulnerability Management, Application Security, Data Security, and Identity and Access Management.	野村は、急速に進化する高度なサイバーセキュリティの脅威に対処すると同時に、グローバルで広範な法律や規制の期待に応えるため、サイバーセキュリティ戦略に投資しており、現在も投資を継続している。野村のサイバーセキュリティ・プログラムは、業界のベストプラクティスの標準に沿うように設計されており、セキュリティ・ガバナンス、セキュリティ意識向上およびトレーニング、脅威インテリジェンスおよび管理、セキュリティ・オペレーション・マネジメント、脆弱性管理、アプリケーション・セキュリティ、データ・セキュリティ、アイデンティティおよびアクセス・マネジメントなどの中核的な機能を備えている。
Nomura is regularly engaging various external service providers to perform independent assessments of our cybersecurity programs and controls. The results from these independent engagements are integrated into updates to our cybersecurity strategy as appropriate. We also conduct our own regular internal security assessments, such as penetration testing, vulnerability scanning, red teaming, and tabletop cyber attack simulations.	野村は、さまざまな外部サービス・プロバイダと定期的に契約し、サイバーセキュリティ・プログラムと統制の第三者評価を行っている。これらの第三者評価の結果は、適宜サイバーセキュリティ戦略の更新に反映される。また、侵入テスト、脆弱性スキャン、レッドチーム、机上でのサイバー攻撃シミュレーションなどの内部セキュリティ・アセスメントも定期的に実施している。
Nomura has developed a Third-Party Security Risk Management program that monitors and assesses the cybersecurity controls of our third-party vendors, which include, among others, service providers, SaaS providers, contractors, consultants, suppliers, etc. This program provides a consistent, controlled, cross-divisional approach to managing the services provided by third-party vendors. We perform various risk identification activities including security questionnaires, threat intel reports, SOC2 Type 2 attestation, and onsite reviews for critical suppliers. We also perform periodic reassessment of existing critical vendors. Security risks and exceptions observed are monitored per our global Operational Risk Management framework.	野村は、サードパーティ・セキュリティ・リスク管理プログラムを策定し、サービスプロバイダー、SaaSプロバイダー、請負業者、コンサルタント、サプライヤーなどのサードパーティ・ベンダーのサイバーセキュリティ管理体制を監視・アセスメントしている。このプログラムは、サードパーティ・ベンダーが提供するサービスを管理するための、一貫性のある管理された部門横断的なアプローチを提供する。セキュリティ・アンケート、脅威情報レポート、SOC2タイプ2認証、重要なサプライヤーのオンサイト・レビューなど、さまざまなリスク識別活動を行っている。また、既存の重要ベンダーの定期的な再評価も実施している。観察されたセキュリティリスクおよび例外は、当社のグローバルなオペレーショナルリスクマネジメントの枠組みに従って監視される。
During the fiscal year ended March 31, 2024, we did not identify any risks from cybersecurity threats, including as a result of previously identified cybersecurity incidents that have materially affected or are reasonably likely to materially affect our business strategy, results of operations or financial condition. However, there is no guarantee that our business strategy, results of operations and financial condition will not be materially affected by a future cybersecurity incident, and we cannot provide assurances that we have not had occurrences of undetected cybersecurity incidents. See Item 3.D “ Risk Factors ” for further information on our cybersecurity-related risks.	2024年3月31日に終了した事業年度において、過去に確認されたサイバーセキュリティインシデントの結果も含め、当社の事業戦略、経営成績または財政状態に重大な影響を与えた、または与える可能性が合理的に高いサイバーセキュリティの脅威によるリスクは確認されなかった。しかしながら、当社の事業戦略、経営成績および財政状態が将来のサイバーセキュリティインシデントによって重大な影響を受けないという保証はなく、また、未検出のサイバーセキュリティインシデントが発生していないという保証を提供することはできない。サイバーセキュリティ関連のリスクに関する詳細については、項目3.D「リスク要因」を参照のこと。
Cybersecurity Risk Governance	サイバーセキュリティ・リスクのガバナンス
Nomura’s cybersecurity strategy and programs are managed by senior officers: the Group Chief Information Officer (“CIO”), who is supported by the Group Chief Information Security Officer (“CISO”) and the Group Chief Data Officer (“CDO”).	野村のサイバーセキュリティ戦略およびプログラムは、グループ・チーフ・インフォメーション・オフィサー（以下「CIO」）、グループ・チーフ・インフォメーション・セキュリティ・オフィサー（以下「CISO」）、グループ・チーフ・データ・オフィサー（以下「CDO」）というシニア・オフィサーによって管理されている。
These senior officers have extensive experience in technology, cybersecurity, information security, and data protection and privacy. The CIO has over 35 years of experience in various engineering, IT, Operations and information security roles. The CISO has over 20 years of experience leading cybersecurity teams at financial institutions, including in the areas of security engineering, risk and control management, data privacy, information security, and cybersecurity. The CDO has over 25 years of experience in data and analytics-led business transformation.	これらの上級役員は、テクノロジー、サイバーセキュリティ、情報セキュリティ、データ・プライバシーの分野で豊富な経験を有している。CIOは、様々なエンジニアリング、IT、オペレーション、情報セキュリティの職務において35年以上の経験を有する。CISOは、セキュリティ・エンジニアリング、リスク・マネジメント、データ・プライバシー、情報セキュリティ、サイバーセキュリティの分野を含め、金融機関におけるサイバーセキュリティ・チームのリーダーとして20年以上の経験がある。CDOは、データとアナリティクス主導のビジネス変革において25年以上の経験を有する。
Our Board of Directors (“BoD”) has overall responsibility for risk management, with its committees assisting the BoD in performing this function based on their respective areas of expertise. Our BoD delegates its authority to execute business to the Executive Officers led by Group CEO to the extent permitted by law. Among the matters delegated to the Executive Officers by the BoD, the most important matters of business are decided upon deliberation by the Executive Management Board (“EMB”) which consists of the Executive Officers. The EMB delegates responsibility for deliberation of matters concerning risk management including cybersecurity risks to the Group Risk Management Committee (“GRMC”). The CIO is an observer of the EMB and the GRMC, and provides cybersecurity updates to the EMB and the GRMC.	当社の取締役会（以下「取締役会」）はリスクマネジメントの全体的な責任を負っており、取締役会を補佐する委員会がそれぞれの専門分野に基づいてこの機能を遂行している。取締役会は、法律で認められている範囲内で、グループCEO率いる執行役に業務執行権限を委譲している。取締役会から執行役に委任された事項のうち、最も重要な業務執行事項については、執行役で構成される執行役会（以下「EMB」という。EMBは、サイバーセキュリティリスクを含むリスクマネジメントに関する事項の審議をグループリスクマネジメント委員会（GRMC）に委任している。CIOはEMBおよびGRMCのオブザーバーであり、サイバーセキュリティに関する最新情報をEMBおよびGRMCに提供する。
The GRMC, based on a delegation from the EMB, meets regularly and reports on its activities and findings to the EMB. These meetings cover critical security topics such as resources and budget in cybersecurity risk mitigation and governance, cybersecurity risks, as well as security incidents and cyber tabletop simulations. In addition to these regular reporting activities to the GRMC, the EMB, and the BoD, potentially material cybersecurity events will be escalated to the same management bodies as well as key stakeholders according to Nomura’s security incident response process including crisis management perspectives.	GRMCはEMBからの委任に基づいて定期的に会合を開き、その活動と調査結果をEMBに報告する。これらの会議では、サイバーセキュリティリスクの軽減やガバナンスにおけるリソースや予算、サイバーセキュリティリスクのほか、セキュリティインシデントやサイバー机上シミュレーションなど、重要なセキュリティトピックを取り上げている。GRMC、EMB、取締役会への定期的な報告活動に加え、サイバーセキュリティに関する潜在的に重要な事象は、危機管理の観点を含む野村のセキュリティ・インシデント対応プロセスに従って、同じ経営団体や主要なステークホルダーにエスカレーションされる。

 

・ダケダ

・2024.06.26 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity	項目16K サイバーセキュリティ
Risk management and strategy	リスクマネジメント戦略
Cybersecurity Risk Management Framework	サイバーセキュリティ・リスクマネジメントの枠組み
Takeda maintains a cybersecurity controls framework designed to identify, protect from, detect, respond to and recover from cybersecurity threats consistent with the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) Cybersecurity Framework. Preventive control measures are deployed across Takeda’s application, cloud, end-user device, networking and manufacturing infrastructure. Takeda’s Chief Information Security Officer (“CISO”) oversees our cybersecurity risk management framework, reporting to the Chief Data and Technology Officer (“CDTO”). Our CISO has over 30 years of experience in information technology, including more than 10 years serving in a CISO capacity at companies in various industries, including pharmaceuticals.	タケダは、米国商務省の国立標準技術研究所（NIST）のサイバーセキュリティフレームワークに準拠し、サイバーセキュリティの脅威を特定、防御、検知、対応、回復するためのサイバーセキュリティ管理体制を維持している。予防的管理策は、タケダのアプリケーション、クラウド、エンドユーザーデバイス、ネットワーク、製造事業者のインフラ全体に展開されている。タケダのチーフ・インフォメーション・セキュリティ・オフィサー（CISO）は、チーフ・データ・アンド・テクノロジー・オフィサー（CDTO）に報告し、タケダのサイバーセキュリティ・リスクマネジメントの枠組みを監督している。当社のCISOは、製薬を含む様々な業種の企業で10年以上CISOを務めるなど、情報技術分野で30年以上の経験を有している。
Experienced and trained cyber risk professionals in the Cybersecurity & Risk team (“TCR”) within Takeda’s global data, digital & technology function (“DD&T”), many of whom hold certifications from established cybersecurity organizations, are responsible for identifying and managing cybersecurity risks from various sources, including proactive control evaluations, reporting by Takeda personnel, third-party security assessments, penetration testing, threat modeling, and vulnerability scanning of information systems. Takeda’s internal audit function performs periodic assessments on our cybersecurity controls framework. Third-party security assessments are performed during the vendor selection process or when significant changes are made to a vendor relationship, with each vendor assigned a residual risk rating which determines the frequency of re-assessment. Our commercial agreements typically include contractual provisions to ensure third-party vendors meet Takeda’s standards for data protection.	タケダのグローバルデータ・デジタル・テクノロジー部門（以下、「DD＆T」）内のサイバーセキュリティ＆リスクチーム（以下、「TCR」）の経験豊富で訓練を受けたサイバーリスクの専門家は、その多くが確立されたサイバーセキュリティ組織の認定資格を有しており、プロアクティブな制御評価、タケダの職員による報告、サードパーティによるセキュリティ評価、侵入テスト、脅威モデル、情報システムの脆弱性スキャンなど、様々な情報源からサイバーセキュリティ・リスクを特定し、マネジメントする責任を負っている。タケダの内部監査機能は、タケダのサイバーセキュリティ管理体制について定期的なアセスメントを実施している。サードパーティによるセキュリティアセスメントは、ベンダーの選定プロセス中、またはベンダーとの関係に重要な変更があった場合に実施され、各ベンダーには、再評価の頻度を決定する残余リスク評価が割り当てられている。当社の商業契約には通常、サードパーティがタケダのデータ保護標準を満たすことを保証する契約条項が含まれている。
TCR risk professionals assess identified risks for their perceived severity of impact on Takeda and likelihood of occurrence, and design and implement appropriate responsive measures in collaboration with relevant business units. TCR provides to the CISO on a monthly basis, and to other members of DD&T senior management on a quarterly basis, operational reports regarding the number and nature of cyber incidents detected and the status of controls and program enhancements. Cybersecurity risk management is integrated into Takeda’s Enterprise Risk Management (“ERM”) program and addressed as a principal risk in our annual Enterprise Risk Assessment, which is reported to the RECC and the Board of Directors, each of which is responsible for approving the reported risks and associated mitigation plans, as well as assessing the effectiveness of the mitigation. In addition, all Takeda employees receive online training on cyber threats as well as periodic e-mail reminders about best practices to safeguard from those threats.	TCRのリスク専門家は、特定されたリスクについて、タケダへの影響の重大性と発生の可能性を評価し、関連する事業部門と協力して適切な対応策を立案・実施する。TCRは、月次でCISOに、四半期ごとにDD&T上級管理職の他のメンバーに、検知されたサイバーインシデントの件数と性質、管理およびプログラムの強化状況に関する業務報告書を提供している。サイバーセキュリティリスクマネジメントは、タケダのエンタープライズリスクマネジメント（ERM）プログラムに組み込まれ、年次エンタープライズリスクアセスメントにおいて主要リスクとして取り上げられている。さらに、タケダの全従業員は、サイバー脅威に関するオンライントレーニングを受けるとともに、これらの脅威から身を守るためのベストプラクティスについて、定期的に電子メールによる注意喚起を受けている。
Cybersecurity Incident Response	サイバーセキュリティインシデント対応
The TCR team has established an incident response procedure that governs our response to cybersecurity events and regularly conducts tabletop incident response exercises during the year. In the event a potential cybersecurity incident is detected, TCR’s core Information Security Incident Response Team (“ISIRT”) is responsible for investigation, analysis, containment and eradication of the threat, as well as recovery efforts, in coordination with other functions, such as Takeda’s Privacy Office, Human Resources, Crisis Management, Compliance and Legal, as needed depending on the severity and scope of the incident. Following recovery from an incident, ISIRT analyzes the underlying cause of the incident to identify and, as applicable, implement potential improvements to internal controls. While Takeda’s cybersecurity risk management program is principally managed by TCR risk professionals, it does engage third parties on an as-needed basis, including with respect to technical consulting and third-party digital forensic or cyber recovery partners in connection with incident response activities.	TCRチームは、サイバーセキュリティ事象への対応をガバナンスするインシデント対応手順を策定し、年間を通じて定期的に机上インシデント対応演習を実施している。サイバーセキュリティに関するインシデントの可能性が検知された場合、TCRの中核をなす情報セキュリティ・インシデント対応チーム（ISIRT）は、インシデントの深刻度や範囲に応じて、必要に応じてタケダのプライバシーオフィス、人事、危機管理、コンプライアンス、法務などの他の部門と連携しながら、脅威の調査、分析、封じ込め、根絶、および復旧作業に責任を負う。インシデントからの復旧後、ISIRTは、インシデントの根本的な原因を分析し、該当する場合には、内部統制の改善の可能性を特定し、実施する。タケダのサイバーセキュリティリスクマネジメントプログラムは、主にTCRのリスク専門家によって管理されているが、インシデント対応活動に関連して、技術コンサルティングやサードパーティデジタルフォレンジックまたはサイバーリカバリーパートナーなど、必要に応じてサードパーティを起用している。
Cyber Incident Impacts	サイバーインシデントによる影響
During the three fiscal years ended March 31, 2024, no risks from cybersecurity threats, including previous incidents, have materially affected or are reasonably likely to materially affect Takeda, including its business strategy, results of operations or financial condition. Notwithstanding our risk management efforts described above, we have been the target of cyberattacks and anticipate they will continue. Takeda cannot completely eliminate all risks associated with such attacks, which could have a material adverse effect on Takeda’s business strategy, results of operations or financial condition as further described in “Item 3.D. Risk Factors — Risks Relating to Our Business Strategies—We are increasingly dependent on information technology systems and our systems and infrastructure face the risk of misuse, theft, exposure, tampering or other intrusions”.	2024年3月31日に終了した3事業年度において、過去のインシデントを含め、サイバーセキュリティ上の脅威によるリスクは、タケダの事業戦略、経営成績または財政状態を含め、タケダに重大な影響を及ぼしたことはなく、また、及ぼす合理的な可能性もない。上記のようなリスクマネジメントの取り組みにもかかわらず、当社はサイバー攻撃の標的となっており、今後もサイバー攻撃は継続すると予想される。武田薬品は、このような攻撃に関連するすべてのリスクを完全に排除することはできず、「項目3.D. リスク要因-事業戦略に関するリスク-情報技術システムへの依存度が高まっており、当社のシステムおよびインフラは、誤用、盗難、エクスポージャー、改ざんまたはその他の侵入のリスクに直面している」に記載のとおり、当社の事業戦略、経営成績または財政状態に重要な悪影響を及ぼす可能性がある。
Governance	ガバナンス
Takeda’s Board of Directors (the “Board”) is ultimately responsible for overseeing Takeda’s management of cybersecurity risk and provides strategic direction for Takeda’s information security program and responses to cybersecurity risks and incidents. Takeda’s CISO generally provides an annual update to the Board on the status of Takeda’s information security program, including significant developments, and the Board receives reports of any decisions by any of Takeda’s Business and Sustainability Committee, Portfolio Review Committee or Risk, Ethics and Compliance Committee (see “Item 6. Directors, Senior Management and Employees—C. Board Practices—Takeda Executive Team”) related to cybersecurity. In addition, the Board reviews and approves the Enterprise Risk Assessment, which includes significant cybersecurity risk matters, on an annual basis. On an as-needed basis, the Board is informed of, and provides strategic direction on, significant cybersecurity risks or incidents, if and when identified, by the CISO and CDTO.	タケダの取締役会（以下「取締役会」という。）は、タケダのサイバーセキュリティリスクマネジメントを監督する最終的な責任を負っており、タケダの情報セキュリティプログラムおよびサイバーセキュリティリスクやインシデントへの対応について戦略的な方向性を示している。タケダのCISOは、通常、取締役会に対して、重要な進展を含むタケダの情報セキュリティプログラムの状況について、年次報告書を提出し、取締役会は、タケダの事業・持続可能性委員会、ポートフォリオ検討委員会またはリスク・エシックス・コンプライアンス委員会（「項目6．取締役、上級管理職および従業員-C．取締役会の慣行-タケダ・エグゼクティブ・チーム」を参照）。さらに、取締役会は、サイバーセキュリティリスクの重要事項を含むエンタープライズリスク アセスメントを毎年見直し、承認している。取締役会は、必要に応じて、CISOおよびCDTOから、重大なサイバーセキュリティリスクまたはインシデントが特定された場合、その内容について報告を受け、戦略的な指示を行う。
The Risk, Ethics & Compliance Committee (“RECC”) is the governing management committee responsible for overseeing risk management, including cybersecurity risk. The RECC is composed of the Takeda Executive Team, including Takeda’s CDTO and is chaired by Takeda’s Chief Ethics and Compliance Officer. In addition, Takeda’s CISO attends RECC meetings for relevant agenda items and generally provides an update to the RECC on the status of Takeda’s information security program, including significant developments, on at least annual basis. On an as-needed basis, DD&T senior management escalates decisions regarding significant cybersecurity risks to the RECC, which also reviews and approves Takeda’s annual Enterprise Risk Assessment before it is approved by the Board. For a description of the relevant expertise of the CISO and of management’s role and processes in assessing and managing material risks from cybersecurity threats, see “—Risk management and strategy—Cybersecurity Risk Management Framework.”	リスク・エシックス・コンプライアンス委員会（RECC）は、サイバーセキュリティ・リスクを含むリスクマネジメントの監督に責任を負うガバナンス・マネジメント委員会である。RECCは、タケダのCDTOを含むタケダ・エグゼクティブ・チームで構成され、タケダの最高倫理・コンプライアンス責任者が委員長を務める。さらに、タケダのCISOは、関連する議題についてRECCの会合に出席し、通常、少なくとも年1回、重要な進展を含むタケダの情報セキュリティプログラムの状況についてRECCに最新情報を提供する。また、DD&Tの上級管理職は、必要に応じて、重要なサイバーセキュリティリスクに関する決定をRECCにエスカレーションし、RECCは、取締役会の承認を得る前に、タケダの年次エンタープライズリスクアセスメントを見直し、承認する。CISOの専門知識、およびサイバーセキュリティの脅威による重大なリスクの評価と管理における経営陣の役割とプロセスについては、「-リスクマネジメントと戦略-サイバーセキュリティ・リスクマネジメント・フレームワーク」を参照のこと。

 

・ソニー

・2024.06.25 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity	項目16K サイバーセキュリティ
Sony recognizes the importance of cybersecurity, both in achieving financial success for the company and in maintaining the trust of its stakeholders, which include shareholders, customers, employees, suppliers, and business partners.	ソニーは、会社の経済的成功と、株主、顧客、従業員、サプライヤー、ビジネスパートナーなどのステークホルダーの信頼維持の両面で、サイバーセキュリティの重要性を認識している 。
Risk Management & Strategy	リスクマネジメントと戦略
As part of Sony’s risk management framework, Sony maintains and continuously strives to enhance its information security program. This program covers the entire Sony Group and is implemented in accordance with policies and standards, which include cybersecurity risk management and governance frameworks, and guidance, developed by Sony and based on globally recognized industry best practices and standards. The policies define information security responsibilities within Sony and outline certain actions and procedures that officers and employees are required to follow, including with respect to the assessment and management of cybersecurity risks to Sony, including its systems and information. The policies, standards, and guidance are structured to help Sony respond effectively to the dynamically changing environment of cybersecurity threats, cybersecurity risks, technologies, laws, and regulations. Sony modifies its policies, standards, and guidance as needed to adjust to this changing environment.	ソニーは、リスクマネジメントの一環として、情報セキュリティプログラムを維持し、継続的に強化している。このプログラムは、サイバーセキュリティリスクマネジメントやガバナンスの枠組み、ガイダンスなど、ソニーが開発し、グローバルに認められた業界のベストプラクティスや標準に基づくポリシーや標準に従って実施されている。これらの方針は、ソニーにおける情報セキュリティ責任を定義し、システムおよび情報を含むソニーのサイバーセキュリティリスクのアセスメントおよびマネジメントを含め、役員および従業員が従うべき一定の行動および手続きの概要を示している。これらの方針、標準、ガイダンスは、ダイナミックに変化するサイバーセキュリティ上の脅威、サイバーセキュリティ上のリスク、技術、法律、規制などの環境にソニーが効果的に対応できるように構成されています。ソニーは、このような環境の変化に適応するため、必要に応じて方針、標準、およびガイダンスを変更します。
If Sony’s cybersecurity risk management controls are overcome by a cyber attacker, Sony follows an incident response plan and escalation process as defined in the information security program. The response process includes an assessment of whether an incident may be material, and this assessment is adjusted as necessary as additional facts become known during the incident response. Any incident that is assessed as potentially material is escalated to Sony’s senior management and is reported to the two outside Directors in charge of information security on Sony Group Corporation’s Board of Directors (the “Board”).	ソニーのサイバーセキュリティリスクマネジメントの統制がサイバー攻撃者に克服された場合、ソニーは情報セキュリティプログラムに定められたインシデント対応計画とエスカレーションプロセスに従う。この対応プロセスには、インシデントが重要であるかどうかのアセスメントが含まれ、このアセスメントは、インシデント対応中に追加的な事実が判明した場合、必要に応じて調整される。重要なインシデントである可能性があると評価されたインシデントは、ソニーの経営陣にエスカレーションされ、ソニーグループ株式会社の取締役会（以下「取締役会」）の情報セキュリティ担当社外取締役2名に報告される。
In the fiscal year ended March 31, 2024, Sony was the victim of several cyberattacks. None of these incidents was assessed to be material, nor did they materially affect Sony’s business strategy, the results of its operations, or its financial condition. However, there can be no guarantee that this will be the case with a future incident. For more information about risks Sony faces from cyberattacks, please refer to “Sony’s brand image, reputation and business may be harmed and Sony may be subject to legal claims if there is a breach or other compromise of Sony’s information security or that of its third-party service providers or business partners.” included in “Risk Factors” in “Item 3. Key Information.”	2024年度において、ソニーは複数のサイバー攻撃の被害にあった。これらのインシデントはいずれも重要性がなく、ソニーのビジネス戦略、経営成績、財政状態に重要な影響を及ぼすものではありませんでした。しかし、将来このようなインシデントが発生するという保証はありません。ソニーが直面するサイバー攻撃に関するリスクについては、「3.リスク要因」に記載されている「ソニーの情報セキュリティ、またはサードパーティやビジネス・パートナーの情報セキュリティが侵害された場合、ソニーのブランドイメージ、評判、ビジネスが損なわれ、法的責任を問われる可能性があります。重要な情報」の「リスク要因」に含まれている。
Sony has also established policies and processes to help identify and manage cybersecurity risks associated with third parties, including companies that provide services and products to Sony, and companies that hold Sony information or have electronic access to Sony systems or information. The policies and processes include assessment of the cybersecurity and privacy programs at certain third parties, the use of this risk information when making contracting decisions, and the use of contract language that includes cybersecurity and privacy requirements.	また、ソニーは、サードパーティ(ソニーにサービスや製品を提供する会社、ソニーの情報を保有し、またはソニーのシステムや情報に電子的にアクセスできる会社を含みます。)に関連するサイバーセキュリティ・リスクを特定し管理するための方針およびプロセスを確立しています。この方針およびプロセスには、特定のサードパーティにおけるサイバーセキュリティおよびプライバシープログラムのアセスメント、契約上の意思決定を行う際のこのリスク情報の利用、サイバーセキュリティおよびプライバシーの要件を含む契約文言の使用などが含まれる。
Most of the information security program is implemented by Sony employees. Sony also engages the services of external providers to enhance and support its information security program, including leading cyber response specialists as may be needed, and consultants to evaluate and help improve organization, policies, and other aspects of the program.	情報セキュリティプログラムのほとんどは、ソニーの従業員によって実施されている。ソニーはまた、情報セキュリティプログラムを強化・支援するために、必要に応 じてサイバー対応の専門家や、組織・方針・その他の面を評価し改善を支援するコンサルタントを含む外部プロバイダのサービスを利用している。
Structure and Governance of Sony’s Information Security Program	ソニーの情報セキュリティプログラムの構造とガバナンス
Sony’s information security program is under the responsibility of a Senior Executive, specifically, the Sony Group Chief Digital Officer (“CDO”), and the Sony Group Chief Information Security Officer (“CISO”), who reports to the CDO.	ソ ニ ー の 情 報 セキュリティプ ログ ラム は 、ソ ニ ー グ ル ー プ チ ー フ デ ジ タ ル オ フィサー（ 以 下「 CDO」）およびCDOの直轄組織であるソニーグループチーフインフォメー ションセキュリティオフィサー（ 以 下「 CISO」）を中心とする経営陣の責任のもとに運営されている。
Under the leadership of the CDO and CISO, and supported by a global information security team that works across the entire Sony Group, Sony implements the cybersecurity risk management and governance frameworks that are described in its policies and standards. Each business segment of Sony has a senior information security leader, called an Executive Information Security Officer (“EISO”), who reports both to the CISO and to the senior management of the particular business unit. EISOs and their associated teams are responsible for ensuring implementation and operation of the information security program in a way that is tailored to each specific business unit, including as it relates to the assessment and management of cybersecurity risks. The CISO coordinates with the EISOs to monitor the proper implementation and compliance with Sony’s cybersecurity policies and standards.	CDOとCISOのリーダーシップのもと、ソニーグループ全体で活動するグローバルな情報セキュリティチームの支援を受けながら、ソニーはポリシーと標準に記載されているサイバーセキュリティリスクマネジメントとガバナンスの枠組みを実施している。ソニーの各事業部門には、エグゼクティブ・インフォメーション・セキュリティ・オフィサー（「EISO」）と呼ばれる上級情報セキュリティ・リーダーがおり、CISOと特定の事業部門の経営陣の両方に報告を行う。EISOとその関連チームは、サイバーセキュリティリスクのアセスメントとマネジメントを含め、各事業部門に応じた情報セキュリティプログラムの実施と運用を確保する責任を負っている。CISOは、EISOと連携し、ソニーのサイバーセキュリティ方針および標準の適切な実施および遵守を監視する。
The current CDO has experience within Sony in launching and overseeing the development, technical operation, and business operations of large-scale network products and services, including overseeing implementation and operation of the information security program. The current CISO has more than 40 years of experience in cybersecurity. Before joining Sony, the CISO served as Deputy Chief Information Officer for Cybersecurity of the U.S. Department of Defense (the department’s equivalent of a CISO) and before that, as the Chief Information Assurance Executive at the Defense Information Systems Agency (DISA), an agency of the U.S. Department of Defense.	現職のCDOは、ソニーにおいて、情報セキュリティプログラムの実施および運用の監督を含む、大規模なネットワーク製品およびサービスの開発、技術的運用、および事業運営の立ち上げおよび監督に関する経験を有している。現CISOは、サイバーセキュリティにおいて40年以上の経験を有する。ソニー入社以前は、米国国防総省のサイバーセキュリティ担当副最高情報責任者（同省のCISOに相当）を務め、それ以前は、米国国防総省の一機関である防衛情報システム局（DISA）で最高情報保証責任者を務めていた。
To oversee the information security program, the Sony Group CEO and COO receive regular reports from the CDO, monthly reports from the CISO, additional reports as needed during the response to a cyber incident, and briefings from the CDO and CISO at various times during the year. The head of each Sony business segment also receives the monthly reports from the CDO and the CISO, as well as reports and briefings from the business segment EISO.	情報セキュリティプログラムを監督するため、ソニーグループのCEOとCOOは、CDOから定期的な報告を受け、CISOから月次報告を受け、サイバーインシデント対応時に必要に応じて追加報告を受け、CDOとCISOから年間を通じて様々なタイミングでブリーフィングを受けている。また、ソニーの各事業分野の責任者は、CDOおよびCISOからの月次報告、ならびに各事業分野のEISOからの報告および説明を受けている。
The Board oversees Sony’s information security efforts, including in the following ways:	取締役会は、以下の方法を含め、ソニーの情報セキュリティへの取り組みを監督している：
• Two outside Directors oversee Sony’s information security efforts, via monthly meetings and ad-hoc incident response communications with the CDO and CISO. Those meetings address, among other matters, significant cybersecurity incidents and Sony Group-level policies and key initiatives regarding cybersecurity.	・2名の社外取締役が、月1回の定例会議およびCDOおよびCISOとの臨時のインシデント対応コミュニケーションを通じて、ソニーの情報セキュリティの取り組みを監督している。これらの会議では、特に重要なサイバーセキュリティインシデント、サイバーセキュリティに関するソニーグループレベルの方針および主要な取り組みについて議論している。
- One of these two outside Directors has extensive experience in the development of large-scale information systems, including experience with management of the risks associated with cyberattacks.	・・社外取締役2名のうち1名は,サイバー攻撃に関連するリスクマネジメントの経験を含め,大規模情報システムの開発において豊富な経験を有している。
- The other outside Director serves simultaneously as the Chair of the Audit Committee.	・・もう一人の社外取締役は監査委員会の委員長を兼務している。
• The full Board receives reports from the outside Directors in charge of information security and briefings several times a year from the CDO and the CISO. The full Board also engages in discussion of these matters.	・取締役会全体は,情報セキュリティ担当の社外取締役から報告を受けるほか,CDOおよびCISOから年に数回説明を受ける。また,取締役会全体でもこれらの事項についての討議が行われる。

 

・トヨタ

・2024.06.25 20-F (Annual report - foreign issuer)

ITEM 16K.CYBERSECURITY	項目16K.サイバーセキュリティ
Cybersecurity Risk Management and Strategy	サイバーセキュリティのリスクマネジメントと戦略
The process at TMC for managing cybersecurity risks is integrated into the TGRS, a company-wide risk management framework based on ISO and COSO. For instance, based on the TGRS, TMC identifies cybersecurity risks, determines their degree of significance, and sets priorities to enable an effective response. For a further discussion of TMC’s company-wide risk management, see “Item 4. Information on TMC — 4.B. Business Overview — Climate Change-related Disclosures — Risk Management” in this annual report.	TMCにおけるサイバーセキュリティ・リスクの管理プロセスは、ISOとCOSOに基づく全社的なリスクマネジメントの枠組みであるTGRSに統合されている。例えば、TGRSに基づき、TMCはサイバーセキュリティ・リスクを識別し、その重要度を判断し、効果的な対応を可能にするための優先順位を設定している。TMCの全社的リスクマネジメントの詳細については、「項目4．TMCに関する情報 - 4.B.事業概要 - 気候変動関連の開示 - リスクマネジメント」を参照のこと。
As part of TMC’s cybersecurity risk management process, TMC has a cybersecurity team established within the information systems field that gathers information concerning cybersecurity-related trends and case examples relating to other companies from third parties such as governmental security agencies, cybersecurity companies and software vendors, and monitors cyberattacks from external sources. In addition, by being a member of the Automotive Information Sharing & Analysis Center (Auto-ISAC) in Japan and the U.S., TMC is able to learn promptly about problematic events that occur within the industry and puts the information to use to improve and implement cybersecurity measures. Furthermore, TMC also actively collaborates with outside experts to gain outside knowledge and uses it to improve security. TMC also is a member of the Nippon Computer Security Incident Response Team (CSIRT) Association, which shares information about incidents, vulnerabilities, and signs of attacks, among member companies.	TMCのサイバーセキュリティリスクマネジメントの一環として、情報システム分野にサイバーセキュリティチームを設置し、政府系セキュリティ機関、サイバーセキュリティ企業、ソフトウェアベンダーなどのサードパーティからサイバーセキュリティ関連の動向や他社事例に関する情報を収集し、外部からのサイバー攻撃を監視している。また、日米の自動車情報共有分析センター（Auto-ISAC）に加盟することで、業界内で発生した問題事象をいち早く把握し、サイバーセキュリティ対策の改善・実施に役立てている。さらに、外部の専門家とも積極的に連携し、外部の知見を得ることで、セキュリティの改善に役立てている。また、日本コンピュータ・セキュリティ・インシデント対応チーム（CSIRT）協議会にも加盟しており、インシデントや脆弱性、攻撃の兆候などの情報を会員企業間で共有している。
The team also shares information about security threats with Toyota’s overseas regional headquarters, which then share information within their own regions and implement countermeasures as necessary. Similarly, in the area of product security, the groups in charge of automotive security within the specialized team promotes automotive security initiatives throughout the entire automotive lifecycle in collaboration with the automotive development field, including product development with security-by-design and multi-layered protection in mind, in addition to compliance with international regulations and standards such as UNR155*1 and ISO/SAE 21434*2, and the collection and monitoring of threat and vulnerability information.	同チームは、トヨタの海外地域本部ともセキュリティ脅威に関する情報を共有し、海外地域本部は各地域で情報を共有し、必要に応じて対策を実施している。同様に、製品セキュリティの分野では、専門チーム内の自動車セキュリティ担当グループが、UNR155※1やISO/SAE 21434※2などの国際規制・規格への対応や、脅威・脆弱性情報の収集・監視に加え、セキュリティ・バイ・デザインや多層防御を考慮した製品開発など、自動車開発現場と連携しながら、自動車のライフサイクル全体を通じた自動車セキュリティへの取り組みを推進している。
*1 Regulations concerning cybersecurity, which were adopted at the World Forum for the Harmonization of Vehicle Regulations (WP.29) in June 2020	*1 2020年6月の自動車規制調和世界フォーラム（WP.29）で採択されたサイバーセキュリティに関する規制。
*2 International standards concerning cyber security of electrical/electronic systems of automobiles	*2 自動車の電気・電子システムのサイバーセキュリティに関する国際標準規格
TMC also provides information security training for all of TMC’s employees, including secondees and dispatched employees, such as through activities to raise awareness during “Information Security Reinforcement Months,” educational or warning information displayed at the startup of individuals’ personal computers, and unannounced training to test responses to targeted-attack-type emails.	また、出向者や派遣社員を含む全社員を対象に、「情報セキュリティ強化月間」での意識向上活動や、パソコン起動時の啓発・注意喚起情報の表示、標的型攻撃メールへの対応をテストする抜き打ちトレーニングなど、情報セキュリティ教育を実施している。
In addition, third-party organizations with expertise in cybersecurity and risk management evaluate, based on such standards as those of the U.S National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), NIST’s Special Publications (SP) Series, ISO and International Electrotechnical Commission (IEC), the condition of the management and technical aspects of TMC’s security measures for information technology, operational technology, products and other areas. TMC implements measures to address problems identified through these evaluations as needed, working to raise the level of security.	また、米国国立標準技術研究所のサイバーセキュリティフレームワーク（NIST CSF）、NISTの特別刊行物（SP）シリーズ、ISO、国際電気標準会議（IEC）などの標準に基づき、サイバーセキュリティやリスクマネジメントに精通したサードパーティが、情報技術、運用技術、製品などのセキュリティ対策のマネジメントや技術的な状況を評価している。これらの評価を通じて特定された問題点については、必要に応じて対策を実施し、セキュリティレベルの向上に努めている。
TMC has an ongoing process in place to monitor known access routes to its systems, block potential threats, and evaluate incidents as they are identified. This process also applies to the systems of certain subsidiaries as well as certain third-party distributors, suppliers, and service providers.	TMCは、システムへの既知のアクセス経路を監視し、潜在的な脅威をブロックし、インシデントが特定された場合に評価する継続的なプロセスを実施している。このプロセスは、特定の子会社のシステム、および特定のサードパーティーの頒布事業者、サプライヤー、サービスプロバイダーにも適用される。
TMC has issued the All Toyota Security Guidelines (“ATSG”), which are guidelines for identifying and mitigating cybersecurity risks, to TMC’s consolidated subsidiaries, as well as third party dealers and rental or leasing agencies in Japan, requesting them to conduct self-inspections covering more than 100 items and enhance cybersecurity measures. In addition, the cybersecurity team carries out on-site audits by visiting the subsidiaries and other entities that the ATSG applies to, to check responses to the ATSG and the status of implementation of physical security measures at each company. TMC has also requested TMC’s key suppliers to enhance their cybersecurity measures based on the guidelines that are equivalent to the ATSG.	TMCは、サイバーセキュリティリスクを特定し、低減するためのガイドラインである「オールトヨタセキュリティガイドライン（ATSG）」をTMCの連結子会社、日本国内のサードパーティ販売会社、レンタル・リース会社に発行し、100項目以上に及ぶ自己点検の実施とサイバーセキュリティ対策の強化を要請している。また、サイバーセキュリティチームは、ATSGが適用される子会社等の事業体を訪問し、ATSGへの対応状況や各社の物理的セキュリティ対策の実施状況を確認する実地監査を実施している。また、TMCの主要取引先に対しても、ATSGと同等のガイドラインに基づくサイバーセキュリティ対策の強化を要請している。
No material cybersecurity incident has occurred to Toyota to date. In fiscal 2024, Toyota did not identify cybersecurity risks from cybersecurity threats, including as a result of past cybersecurity incidents, that are reasonably likely to materially affect Toyota, including its business strategy, results of operations, or financial condition. However, despite the capabilities, processes, and other security measures we employ that we believe are designed to assess, identify, and mitigate the risk of cybersecurity incidents, we may not be aware of all vulnerabilities or might not accurately assess the risks of incidents, and such preventative measures cannot provide absolute security and may not be sufficient in all circumstances or mitigate all potential risks. For a further discussion of risks that may materially affect Toyota if a cybersecurity threat materializes and other matters, see “Risk Factors” in this annual report.	これまでトヨタにサイバーセキュリティに関する重大インシデントは発生していない。2024年度において、トヨタは、過去のサイバーセキュリティインシデントの結果も含め、トヨタの事業戦略、経営成績または財政状態を含むトヨタに重大な影響を及ぼす可能性が合理的に高いサイバーセキュリティ脅威によるサイバーセキュリティリスクを特定していない。しかしながら、サイバーセキュリティインシデントのリスクをアセスメントし、特定し、軽減するために設計されていると考える、当社が採用している能力、プロセス、およびその他のセキュリティ対策にもかかわらず、当社はすべての脆弱性を把握しているとは限らず、インシデントのリスクを正確に評価できない可能性があり、そのような予防的対策は絶対的なセキュリティを提供することはできず、すべての状況において十分であるとは限らず、すべての潜在的リスクを軽減できるとは限らない。サイバーセキュリティの脅威が顕在化した場合にトヨタ自動車に重大な影響を及ぼす可能性のあるリスク等の詳細については、本年次報告書の「リスク要因」を参照されたい。
Cybersecurity Governance	サイバーセキュリティガバナンス
TMC considers cybersecurity risk to be a particularly important risk within its risk management framework and one of the areas of focus for its board of directors, audit & supervisory board, and management. As part of the company-wide risk management process, in addition to developing the TGRS described above, TMC has established a governance and risk subcommittee that includes members of the board of directors and audit & supervisory board, as well as the Chief Information & Security Officer (“CISO”) as a member in charge of cybersecurity. The subcommittee discusses cybersecurity as one of the company-wide risks.	トヨタ自動車は、サイバーセキュリティリスクをリスクマネジメントの枠組みの中で特に重要なリスクと位置づけ、取締役会、監査役会、経営陣の注力分野の一つとしている。全社的なリスクマネジメントプロセスの一環として、上記のTGRSの策定に加え、取締役会および監査役会のメンバー、ならびにサイバーセキュリティ担当として最高情報セキュリティ責任者（CISO）を含むガバナンス・リスク小委員会を設置している。同部会では、サイバーセキュリティを全社的なリスクのひとつとして議論している。
TMC’s cybersecurity team is led by the CISO and reports serious cybersecurity risks or incidents to the board of directors and the audit & supervisory board as they arise.	TMCのサイバーセキュリティ・チームはCISOが率い、重大なサイバーセキュリティ・リスクやインシデントが発生した場合には、取締役会および監査役会に報告する。
In addition, the members of the Information Security Management Meeting, which is held approximately four times a year, receives reports on and oversees the status of cybersecurity risks and incidents at TMC. This body, chaired by the CISO, is attended by responsible personnel assigned to each security area, such as confidential information management, information systems, and supply chain. Participants report and share information about security risks and the status of incidents.	さらに、年4回程度開催される情報セキュリティ・マネジメント会議のメンバーは、TMCのサイバーセキュリティ・リスクやインシデントの状況について報告を受け、監督している。CISOが議長を務めるこの団体には、機密情報管理、情報システム、サプライチェーンなど、各セキュリティ分野の責任者が出席する。参加者は、セキュリティ・リスクやインシデントの状況について報告し、情報を共有する。
Of such information, material matters are reported by the CISO to the board of directors and audit & supervisory board through the CRO, who is responsible for overall risk management.	こうした情報のうち、重要なものについては、CISOがリスクマネジメント全般の責任者であるCROを通じて取締役会および監査役会に報告する。
In addition to the meeting mentioned above, the cybersecurity team is in close contact with full-time audit & supervisory board members, providing regular reports and receiving and responding to their inquiries about the state of TMC’s approach to cybersecurity and incident trends in the world.	上記の会議に加えて、サイバーセキュリティ・チームは常勤の監査役と緊密に連絡を取り合っており、定期的に報告を行うほか、サイバーセキュリティに対するTMCの取り組み状況や世界のインシデント動向に関する問い合わせを受け、対応している。
TMC’s process for identifying, tracking and managing cybersecurity risks on a daily basis is primarily carried out by the cybersecurity team led by the CISO.	TMCの日常的なサイバーセキュリティ・リスクの識別、追跡、マネジメントのプロセスは、主にCISO率いるサイバーセキュリティ・チームによって行われている。
The cybersecurity team consists of professionals with cybersecurity expertise. Among the members, the CISO has gained experience in the development of in-vehicle software and on-board devices since joining TMC and has insights into information technologies such as software and cloud services. The CISO also gained experience in the field of cybersecurity since 2016, whe n he became an officer of Toyota’s Connected Company, and thus has knowledge of and insights into cybersecurity.	サイバーセキュリティ・チームは、サイバーセキュリティの専門知識を持つプロフェッショナルで構成されている。メンバーのうち、CISOはTMC入社以来、車載ソフトウェアや車載機器の開発で経験を積み、ソフトウェアやクラウドサービスなどの情報技術に関する見識を持っている。また、CISOはトヨタのコネクティッドカンパニーの役員に就任した2016年からサイバーセキュリティ分野の経験を積んでおり、サイバーセキュリティに関する知見や見識を持っている。
TMC has a process where cybersecurity incidents at TMC or TMC’s group companies or suppliers is reported to an appropriate cybersecurity team in a timely manner as it occurs and escalated to the CISO according to the severity of the incident.	TMCは、TMCまたはTMCのグループ会社やサプライヤーでサイバーセキュリティに関するインシデントが発生した場合、タイムリーに適切なサイバーセキュリティチームに報告され、インシデントの重大性に応じてCISOにエスカレーションされるプロセスを有している。
In addition, TMC has the Toyota Motor Corporation-Security Incident Response Team (TMC-SIRT), a response team including members of management, and has established a system to take appropriate and prompt action to resolve incidents. The TMC-SIRT does not only respond to cybersecurity incidents at TMC, but also provides support for incidents at TMC’s subsidiaries in Japan and overseas and key suppliers in Japan as necessary to bring the situation under control.	また、経営層を含む対応チーム「トヨタ自動車・セキュリティ・インシデント対応チーム（TMC-SIRT）」を設置し、インシデントの解決に向けて適切かつ迅速な対応を行う体制を構築している。TMC-SIRTは、TMCにおけるサイバーセキュリティインシデントへの対応だけでなく、TMCの国内外子会社や国内主要取引先におけるインシデントに対しても、必要に応じて事態収束に向けた支援を行っている。
The CISO is responsible for managing the cybersecurity risks and strategic processes described above, as well as overseeing the prevention, mitigation, detection, and remediation of cybersecurity incidents.	CISOは、上記のサイバーセキュリティリスクと戦略プロセスのマネジメントに加え、サイバーセキュリティインシデントの予防、低減、検知、是正を監督する責任を負う。

 

ホンダ

・2024.06.20 20-F (Annual report - foreign issuer)

Item 16K. Cybersecurity	項目16K サイバーセキュリティ
Risk Management and Strategy	リスクマネジメントと戦略
Honda has established a management system and standards for information system security in order to minimize the negative impact on its business and business results from the occurrence of cybersecurity incidents. Based on these standards, we have implemented security measures in both hardware and software aspects to strengthen the security of our information systems. To address security, including product security, we have established a cross-functional system across business and manufacturing systems, software, quality, and other areas.	ホンダは、サイバーセキュリティインシデントの発生による事業および業績への悪影響を最小限に抑えるため、情報システムセキュリティに関する管理体制および標準を確立している。これらの標準に基づき、ハードウェアとソフトウェアの両面からセキュリティ対策を実施し、情報システムのセキュリティ強化を図っている。製品セキュリティを含むセキュリティ対策として、業務・製造システム、ソフトウェア、品質など横断的な体制を構築している。
We develop rules and procedures based on laws and regulations, formulate response flows, verify and implement measures for improvement through cybersecurity exercises, and develop human resources, among other things. We also utilize solutions for managing cybersecurity information and monitoring malicious activities to monitor and analyze cybersecurity threats and vulnerabilities, and in the event of a security incident related to a cyberattack with a significant impact on Honda, we establish a Global Emergency Headquarters under the supervision and monitoring of the Risk Management Officer, and the supervisory division in charge of risks from cybersecurity threats plays a central role in quickly ascertaining the actual situation and taking measures to minimize the impacts of cybersecurity incidents from a company-wide perspective.	法令に基づくルールや手順の整備、対応フローの策定、サイバーセキュリティ演習による改善策の検証・実施、人材育成などを行っている。また、サイバーセキュリティ情報管理ソリューションや悪質行為監視ソリューションを活用し、サイバーセキュリティ上の脅威や脆弱性を監視・分析するとともに、ホンダに重大な影響を及ぼすサイバー攻撃に関するセキュリティインシデントが発生した場合には、リスクマネジメント責任者の統括・監視のもと、グローバル緊急対策本部を設置し、サイバーセキュリティ上の脅威によるリスクを担当する統括部門が中心となって、全社的な観点から迅速な実態把握とサイバーセキュリティインシデントによる影響を最小限に抑えるための対策を講じている。
When implementing third-party packaged software and cloud services, we make decisions based on risk assessments following established security standards and conduct annual checks after implementation. In response to cyberattacks on production facilities and suppliers, we verify the status of security measures at both domestic and overseas production facilities and suppliers. Based on the results of these verifications, we take measures to strengthen security, such as supporting the introduction of solutions for managing cybersecurity incident information, and monitoring malicious activities. For such activities to strengthen security, we have concluded outsourcing agreements with security consulting companies and external specialists to receive support.	サードパーティ製のパッケージソフトやクラウドサービスの導入に際しては、定められたセキュリティ標準に従ったリスクアセスメントに基づいて判断し、導入後も年1回のチェックを実施している。生産拠点やサプライヤーへのサイバー攻撃に対しては、国内外の生産拠点やサプライヤーのセキュリティ対策状況を検証している。検証結果に基づき、サイバーセキュリティインシデント情報管理ソリューションの導入支援や悪質な行為の監視など、セキュリティ強化策を講じている。こうしたセキュリティ強化のための活動については、セキュリティコンサルティング会社や外部の専門家と業務委託契約を締結し、支援を受けている。
With regard to personal information protection regulations and cybersecurity-related laws and regulations in various countries, in addition to current regulations, we collect and monitor information on regulatory trends that are expected to be enforced in the future.	各国の個人情報保護規制やサイバーセキュリティ関連法規制については、現行の規制に加えて、今後施行が予想される規制動向の情報収集・監視を行っている。
These comprehensive cybersecurity response processes are incorporated into Honda’s comprehensive risk management system and will be discussed in detail in the following “Governance” section.	これらの包括的なサイバーセキュリティ対応プロセスは、ホンダの包括的なリスクマネジメントシステムに組み込まれており、詳細は以下の「ガバナンス」の項で説明する。
For a description of information security-related risks, including risks from cybersecurity threats, identified by Honda as of the filing date of this Annual Report, please refer to Item 3. “Key Information—D. Risk Factors—Information Security Risks”.	本アニュアルレポートの提出日現在、ホンダが認識しているサイバーセキュリティの脅威によるリスクを含む情報セキュリティ関連リスクについては、「3．「重要な情報-D．リスク要因-情報セキュリティリスク」を参照のこと。
Honda has been targeted by cyberattacks in the past; however, no risks from cybersecurity threats have been identified that have materially affected or are reasonably likely to materially affect us, including our business strategy, results of operations or financial condition, over the past three fiscal years, including the fiscal year that is the subject of this annual report.	ホンダは過去にサイバー攻撃の標的にされたことがあるが、本アニュアルレポートの対象となっている事業年度を含む過去3事業年度において、当社の事業戦略、経営成績または財政状態を含む当社に重大な影響を与えた、または与える可能性が合理的に高いサイバーセキュリティの脅威によるリスクは確認されていない。
Governance	ガバナンス
Based on the resolution of the Board of Directors, the Board of Directors has appointed the Director, Executive Vice President and Representative Executive Officer as the Risk Management Officer, who monitors and supervises the response status of significant risks, including risks from cybersecurity threats.	取締役会の決議に基づき、取締役副社長執行役員をリスクマネジメント担当執行役員に任命し、サイバーセキュリティ上の脅威によるリスクを含む重要なリスクへの対応状況を監視・監督している。
The Risk Management Committee, chaired by the Risk Management Officer, has been established to deliberate on important matters related to risk management, including risk from cybersecurity threats. Honda has established the Honda Global Risk Management Policy, which stipulates the Company’s basic policy for risk management, the collection of risk information, and the response system in the event of risk occurrence.	サイバーセキュリティの脅威によるリスクを含むリスクマネジメントに関する重要事項を審議するため、リスクマネジメントオフィサーを委員長とするリスクマネジメント委員会を設置している。ホンダは、リスクマネジメントの基本方針、リスク情報の収集、リスク発生時の対応体制などを定めた「ホンダグローバルリスクマネジメント方針」を制定している。
In accordance with the aforementioned Policy, Honda has designated its cybersecurity supervisory divisions to conduct risk assessments and report the status of cybersecurity risk responses to the Risk Management Officer through the Risk Management Committee. The designated cybersecurity supervisory divisions consisted of 64 members as of the filing date of this Annual Report with practical experience in various roles related to information technology, including security, auditing, and systems are established in both the Quality Innovation Operations and Corporate Administration Operations divisions. The Risk Management Officer, who has knowledge and experience in overall risk management, receives technical support from the cybersecurity risk supervisory divisions, and monitors and supervises the responses to risks from cybersecurity threats.	同方針に基づき、サイバーセキュリティ統括部署を定め、リスクアセスメントを実施するとともに、サイバーセキュリティリスクへの対応状況をリスクマネジメント委員会を通じてリスクマネジメントオフィサーに報告している。サイバーセキュリティ統括部署は、本有価証券報告書提出日現在64名で構成され、セキュリティ、監査、システムなど情報技術に関する様々な職務の実務経験を有する者を、品質革新業務部門と経営管理業務部門の双方に設置している。また、リスクマネジメント全般の知識と経験を有するリスクマネジメントオフィサーが、サイバーセキュリティリスク統括部門から技術的な支援を受け、サイバーセキュリティの脅威によるリスクへの対応を監視・監督している。
In the event of a material cybersecurity incident, the cybersecurity risk supervisory divisions are to immediately report it to the Risk Management Officer. Upon receiving the report, the Risk Management Officer is to establish a Global Emergency Headquarters, which coordinate with relevant organizations affected by the incident in order to prevent and contain the crisis. Such response status is reported to the Board of Directors and the Executive Council as necessary based on the judgment of the Risk Management Officer.	重要なサイバーセキュリティインシデントが発生した場合、サイバーセキュリティリスク統括部門は直ちにリスクマネジメントオフィサーに報告する。報告を受けたリスクマネジメントオフィサーは、グローバル緊急対策本部を設置し、インシデントの影響を受ける関連組織と連携して、危機の予防と封じ込めを行う。こうした対応状況は、リスクマネジメント担当役員の判断に基づき、必要に応じて取締役会および経営会議に報告される。

 

今日現在で、MUFGは20-Fを見つけられませんでした...

Canonは昨年、NYSE上場を廃止すると発表していますね...昔は、（12月決算会社だったので）USGAAPで開示している日本企業のトップを切って開示をしていましたので、USGAAPの監査をする際には、キヤノン先生(^^)の開示を確認したりしていましたね...

あと、10年以上前に廃止していますけど、日立製作所の経理部門もレベルが高かったですよね...

Nasdaqといえば、IIJが上場していましたね...ここも廃止しましたけど...

2006年当時は26社も上場していましたね...今は9社ですか...

 

今回紹介したところの2024年の20-Fと有価証券報告書...

2024	20-F	有価証券報告書
三井住友ファイナンシャルグループ	●	●
ORIX	●	●
みずほファイナンシャルグループ	●	●
三菱UFJファイナンシャルグループ	⚪︎	●
野村ホールディングス	●	●
武田薬品工業	●	●
ソニーグループ	●	●
トヨタ自動車	●	●
本田技研工業	●	●

 

<2024.10.10追記>

⚪︎ 三菱UFJファイナンシャルグループは、2024.07.30に20-Fを開示...

---

 

<2024.10.10追記>

三菱UFJファイナンシャルグループの20-Fもあったので、追記しておきます。

・2024.07.30 20-F (Annual report - foreign issuer)

Item 16K.     Cybersecurity	項目16K     サイバーセキュリティ
Overview	概要
As a financial institution operating globally, we are exposed to various cybersecurity risks, including ransomware, phishing, and distributed denial of service attacks. These risks are often influenced by criminal activity, international conflicts and other threat environments but are becoming increasingly more sophisticated and complex to deal with. We take seriously our responsibilities for securing the assets entrusted to us by our customers against cybersecurity threats and our obligation to provide secure and stable financial services. We have identified risks and threats posed by cyber-attacks and other relevant events as one of our top risks and have been developing and implementing cybersecurity measures under management leadership. During the fiscal year ended March 31, 2024, we did not identify any cybersecurity threats that have materially affected, or were reasonably likely to materially affect, our business strategy, results of operations or financial condition. While we endeavor to remain vigilant for, and continue to develop and implement measures to address, cybersecurity risk, we may not be able to prevent or mitigate a future cybersecurity incident that could have a material adverse impact on our business strategy, performance, and financial stability. See “Item 3.D. Key Information—Risk Factors—Operational Risk—Our operations are highly dependent on our information, communications and transaction management systems and are subject to an increasing risk of cyber-attacks and other information security threats and to changes in the business and regulatory environment.”	グローバルに事業を展開する金融機関として、当行はランサムウェア、フィッシング、分散型サービス妨害攻撃など、さまざまなサイバーセキュリティ・リスクにさらされている。これらのリスクは、犯罪活動、国際紛争、その他の脅威環境に影響されることが多いが、その対処はますます巧妙かつ複雑になってきている。当社は、サイバーセキュリティの脅威からお客様からお預かりした資産を保護する責任と、安全で安定した金融サービスを提供する義務を真摯に受け止めている。当行は、サイバー攻撃やその他の関連事象がもたらすリスクや脅威を最重要リスクのひとつと認識し、マネジメント主導のもと、サイバーセキュリティ対策の策定・実施に取り組んできた。2024年3月期において、当行の事業戦略、経営成績または財政状態に重大な影響を及ぼした、または及ぼす可能性のあるサイバーセキュリティ上の脅威は確認されていない。当社はサイバーセキュリティ・リスクに対する警戒を怠らず、その対応策を策定・実施し続けるよう努めているが、当社の事業戦略、業績、財務安定性に重大な悪影響を及ぼす可能性のある将来のサイバーセキュリティ・インシデントを防止または軽減できない可能性がある。項目3.D.主要情報-リスク要因-オペレーショナル・リスク-当社の業務は当社の情報、コミュニケーションおよびトランザクション・マネジメント・システムに大きく依存しており、サイバー攻撃やその他の情報セキュリティ脅威のリスク増大や、ビジネス環境および規制環境の変化の影響を受ける。"を参照。
Cybersecurity Risk Management Process	サイバーセキュリティ・リスクマネジメント・プロセス
We manage cybersecurity risk as a subset of IT risk, which is included in the broader risk category of operational risk. Operational risk is defined as the risk of potential loss resulting from inadequate or ineffective internal processes, people and systems, or due to external events. Cybersecurity risk management is integrated into our comprehensive risk management framework where we have adopted a three lines of defense approach. The first line of defense is the Cyber Security Division, which is the team primarily responsible for identifying and mitigating risks as well as designing and executing controls to manage cybersecurity risk. The second line of defense is the Corporate Risk Management Division, which is responsible for assessing and monitoring cybersecurity risk as well as testing the effectiveness of cybersecurity risk controls independently from the first line. The third line of defense is the Internal Audit Division, which audits the effectiveness of first-line and second-line cybersecurity risk management.	当社はサイバーセキュリティ・リスクをITリスクのサブセットとしてマネジメントしているが、これはより広範なリスクカテゴリーであるオペレーショナル・リスクに含まれている。オペレーショナル・リスクとは、社内のプロセス、人材、システムの不備や非効率、あるいは外部事象に起因する潜在的損失のリスクと定義される。サイバーセキュリティ・リスクマネジメントは、包括的なリスクマネジメントの枠組みに統合されており、3つの防衛ラインによるアプローチを採用している。第一の防衛ラインはサイバーセキュリティ部門で、主にリスクの特定と低減、サイバーセキュリティ・リスクをマネジメントするためのコントロールの設計と実行を担当するチームである。第二の防衛ラインはコーポレート・リスクマネジメント部門であり、サイバーセキュリティ・リスクのアセスメントとモニタリング、および第一の防衛ラインとは独立したサイバーセキュリティ・リスク管理策の有効性テストを担当する。第三の防衛ラインは内部監査部門であり、第一線と第二線のサイバーセキュリティ・リスクマネジメントの有効性を監査する。
Our cybersecurity risk management program incorporates features based on globally recognized standards such as those issued by the National Institute of Standards and Technology (NIST). Based on such globally recognized standards, the Cyber Security Division, which is supervised by the Group Chief Information Security Officer (CISO), establishes policies and standards to protect our information systems and conducts cybersecurity risk assessments. Among its other responsibilities, the Division also focuses on threat intelligence, including centralized information collection and impact analysis on newly discovered vulnerabilities and past experience, and prevention and remediation of such impacts on a global group-wide basis. Additionally, the Division conducts daily monitoring of our external-facing systems to identify and prevent any flaws in security updates or configuration settings. In an effort to enhance our round-the-clock monitoring and incident response capabilities on a global group-wide basis, we have established the MUFG Cyber Security Fusion Center (MUFG CSFC), which specializes in cybersecurity threat analysis and information security solutions. At the subsidiary level, the Computer Security Incident Response Teams (CSIRTs) have been established within subsidiaries to receive, investigate and implement measures in response to reports of cybersecurity incidents from within such respective subsidiaries in coordination with the MUFG Computer Security Incident Response Team (MUFG-CERT), a team established within the Cyber Security Division for centralizing our cybersecurity incident responses.	当社のサイバーセキュリティ・リスクマネジメント・プログラムは、国立標準技術研究所（NIST）が発行した標準など、世界的に認められた標準に基づく機構を組み込んでいる。このような世界的に認められた標準に基づき、グループ最高情報セキュリティ責任者（CISO）が監督するサイバーセキュリティ部門は、当社の情報システムを保護するための方針と標準を確立し、サイバーセキュリティリスクアセスメントを実施している。またディビジョンは、新たに発見された脆弱性や過去の経験に関する情報の一元的な収集と影響分析、およびグローバルなグループ全体でのそのような影響の予防と修復を含む脅威インテリジェンスにも注力している。さらに、ディビジョンは社外向けシステムの日常的な監視を実施し、セキュリティ更新や設定に不備がないかを特定し、未然に防止している。グローバル・グループ全体で24時間体制の監視とインシデント対応能力を強化するため、サイバーセキュリティ脅威分析と情報セキュリティ・ソリューションを専門とするMUFGサイバーセキュリティ融合センター（MUFG CSFC）を設立した。子会社レベルでは、サイバーセキュリティ・インシデント対応チーム（CSIRT）を子会社内に設置し、サイバーセキュリティ・インシデント対応を一元化するためにサイバーセキュリティ部門内に設置したMUFG Computer Security Incident Response Team（MUFG-CERT）と連携しながら、子会社からのサイバーセキュリティ・インシデント報告を受け、調査・対策を実施している。
We regularly conduct exercises and drills designed to ensure our ability to effectively perform cybersecurity incident response functions. We have also expanded our collaborative activities with government agencies, other companies in the financial industry and other information security communities, including the Financial Services Information Sharing and Analysis Center (FS-ISAC), the Financials Information Sharing and Analysis Center Japan (F-ISAC), the Forum of Incident Response and Security Teams (FIRST) and the Japan Computer Emergency Response Team Coordination Center (JPCERT/CC). Furthermore, in order to minimize third-party risks, we conduct risk assessments on third-party vendor contracts prior to contract initiation and subsequently conduct annual reviews to identify any significant changes in the risk environment. We also require our vendors to adhere to the standards set by us in order to ensure that our risk management protocols are consistently maintained. Along with regularly conducted internal reviews of our cybersecurity risk management program against market trends and best practices, we engage audit firms and external consultants as needed, receive evaluations, and utilize the results of these evaluations to continuously ensure and enhance the effectiveness of our program.	サイバーセキュリティのインシデント対応機能を効果的に発揮できるよう、定期的に演習や訓練を実施している。また、政府機関や金融業界各社、金融サービス情報共有・分析センター（FS-ISAC）、金融情報共有・分析センター（F-ISAC）、インシデント・レスポンス・セキュリティ・チーム・フォーラム（FIRST）、コンピュータ緊急対応チーム・コーディネーション・センター（JPCERT/CC）などの情報セキュリティ・コミュニティとの連携活動も拡大している。さらに、サードパーティのリスクを最小化するため、契約開始前にサードパーティとの契約に関するリスクアセスメントを実施し、その後、リスク環境の重大な変化を特定するための年次レビューを実施している。また、当社のリスク・マネジメント・プロトコルが一貫して維持されるよう、当社の定める標準を遵守するようベンダーに求めている。市場動向やベストプラクティスに照らしたサイバーセキュリティ・リスクマネジメント・プログラムの内部レビューを定期的に実施するとともに、必要に応じて監査法人や外部コンサルタントを起用し、評価を受け、その結果を活用してプログラムの有効性を継続的に確保・強化している。
Governance	ガバナンス
The Group Chief Information Officer (CIO) is responsible for operating and maintaining our cybersecurity risk management program and regularly reports on significant cybersecurity-related matters to the Board of Directors as well as the Executive Committee. In the fiscal year ended March 31, 2024, the cybersecurity-related matters reported on by the Group CIO to the Board of Directors included the progress and future policy directions of various key measures, such as those designed to protect public internet assets with subject to significant attack risk, to strengthen the security posture of our internal information security environment, and to improve the security posture of our overseas facilities. As the most senior manager responsible for cybersecurity risk, the Group CISO supervises the Cyber Security Division and directly reports to the Group CIO. The Cyber Security Division receives information on cybersecurity incidents from the CSIRTs in accordance with our policies and procedures, supervises and coordinates incident response at our group companies, and provides relevant information to the Group CISO, the Group CIO, the Corporate Risk Management Division and, as appropriate, other senior management members. Our current Group CIO has over twenty years of experience in IT management, including cybersecurity risk management, and has experience as a member of a government information security organization. Similarly, the current Group CISO and senior members of the Cyber Security Division have extensive cybersecurity management experience and expertise, with many members participating in financial industry information security organizations, including the F-ISAC.	グループ最高情報責任者（CIO）は、当社のサイバーセキュリティ・リスクマネジメント・プログラムの運営・維持に責任を負っており、サイバーセキュリティ関連の重要事項について、取締役会および経営委員会に定期的に報告している。2024年3月期において、グループCIOが取締役会に報告したサイバーセキュリティ関連事項には、重大な攻撃リスクにさらされる公共インターネット資産の保護、社内情報セキュリティ環境のセキュリティ態勢強化、海外施設のセキュリティ態勢改善など、さまざまな重要施策の進捗状況と今後の方針が含まれている。サイバーセキュリティリスクの最高責任者として、グループCISOはサイバーセキュリティ部門を統括し、グループCIOに直属する。サイバーセキュリティ部門は、当社のポリシーと手順に従ってCSIRTからサイバーセキュリティインシデントに関する情報を受け取り、当社グループ各社のインシデント対応を監督・調整し、グループCISO、グループCIO、コーポレートリスクマネジメント部門、および必要に応じてその他の上級管理職に関連情報を提供する。現在のグループCIOは、サイバーセキュリティ・リスクマネジメントを含むITマネジメントにおいて20年以上の経験を有し、政府の情報セキュリティ組織のメンバーとしての経験もある。同様に、現グループCISOおよびサイバーセキュリティ・ディビジョンのシニア・メンバーは、サイバーセキュリティ管理に関する豊富な経験と専門知識を有しており、多くのメンバーがF-ISACを含む金融業界の情報セキュリティ組織に参加している。
The Board of Directors decides key management policies and is responsible for management oversight. Decisions on particularly important matters, such as decisions on key management policies as cybersecurity risk management policy for the entire Group, and oversight of the execution of duties related to cybersecurity by directors and corporate executive officers are performed by the Board of Directors. In addition, the Risk Committee and the Audit Committee are established under the Board of Directors to assist the Board with oversight. The Risk Committee discusses and makes recommendations to the Board of Directors on material matters, including cybersecurity, relating to the risk management operations, matters relating to top risk matters and any other material matters that require discussion, and any other material matters that require discussion by the Risk Committee. The Audit Committee obtains reports from management, the Internal Audit Division and the external auditor on any cybersecurity risks and the risk management and corporate governance frameworks and the operation of such frameworks, and oversees them, and assists oversight of the Board of Directors.	取締役会は主要な経営方針を決定し、経営監督に責任を負う。グループ全体のサイバーセキュリティ・リスクマネジメント方針としての重要な経営方針の決定や、取締役・執行役員のサイバーセキュリティに関する職務執行の監督など、特に重要な事項の決定は取締役会が行う。また、取締役会の監督を補佐するため、取締役会の下にリスク委員会および監査委員会を設置している。リスク委員会は、サイバーセキュリティを含むリスクマネジメント業務に関する重要事項、トップリスク事項に関する事項、その他リスク委員会の審議が必要な重要事項について審議し、取締役会に提言する。監査委員会は、経営陣、内部監査部門および外部監査人から、あらゆるサイバーセキュリティ・リスク、リスクマネジメントおよびコーポレート・ガバナンスのフレームワークとその運用状況について報告を受け、それらを監督し、取締役会の監督を補佐する。
Our cybersecurity risk management program is also operated and maintained under the supervision of the Board of Directors with the report on significant cybersecurity-related matters by the Group CIO and the assistance of the Risk Committee and the Audit Committee.	また、当社のサイバーセキュリティ・リスクマネジメント・プログラムは、取締役会の監督のもと、グループCIOによるサイバーセキュリティ関連の重要事項の報告、リスク委員会および監査委員会の支援を受けて運営・維持されている。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.19 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

・2024.07.15 SECのルールの改正によるサイバーセキュリティ開示 (20-F) ORIX、野村、タケダ、ソニー、トヨタ、ホンダの場合

・2024.07.14 SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

・2024.06.02 米国 SEC ニューヨーク証券取引所を所有するインターコンチネンタル取引所をサイバー侵入をしていたのに通知しなかったいうことで1000万ドル（約16億円）の罰金を受け入れていますね... (2024.05.22)

・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2023.03.17 米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案

 

2006年、20-Fに公開されていた日本企業のリスト...

・2006.08.11 SECに登録している日本企業の20-F Item15

 

SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

こんにちは、丸山満彦です。

2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから半年以上がすぎ、Form10-Kに記載されている事例もたくさんありますので、ちょっと紹介...

10-KのItem 1C. Cybersecurityに

Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、

• そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
• そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
• 第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた（または、与える可能性が合理的に高いか）を記載する必要があります。。。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

• サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
• そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

• 経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
  
  • どの経営委員会又は役職が負うのか、
  • その担当者や委員が有する関連する専門知識
• その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
• その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

詳細のルールは[PDF] SEC 17 CFR Parts 229, 232, 239, 240, and 249 [Release Nos. 33-11216; 34-97989; File No. S7-09-22] RIN 3235-AM89 Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure

● SECURITIES AND EXCHANGE COMMISSION - EDGAR

 

開示内容...

 

・ INTERNATIONAL BUSINESS MACHINES CORP (IBM)

・2024.02.26 10-K (Annual report

Item 1C.Cybersecurity:	項目1C.サイバーセキュリティ
Risk Management and Strategy	リスクマネジメントと戦略
Cybersecurity is a critical part of risk management at IBM and is integrated with the company’s overall enterprise risk management framework. The Board of Directors and the Audit Committee of the Board are responsible for overseeing management’s execution of cybersecurity risk management and for assessing IBM’s approach to risk management. Senior management is responsible for assessing and managing IBM’s exposure to cybersecurity risks on an ongoing basis.	サイバーセキュリティは、IBM のリスクマネジメントの重要な一部であり、IBM のエンタープライズリスク管理フレームワーク全体と統合されている。取締役会および取締役会監査委員会は、経営陣によるサイバーセキュリティ・リスクマネジメントの実行を監督し、リスクマネジメントに対する IBM のアプローチを評価する責任を負う。上級経営陣は、IBM のサイバーセキュリティ・リスクへのエクスポージャーを継続的に評価し、管理する責任を負う。
From an enterprise perspective, we implement a multi-faceted risk management approach based on the National Institute of Standards and Technology Cybersecurity Framework. We have established policies and procedures that provide the foundation upon which IBM’s infrastructure and data are managed. We regularly assess and adjust our technical controls and methods to identify and mitigate emerging cybersecurity risks. We use a layered approach with overlapping controls to defend against cybersecurity attacks and threats on IBM networks, end-user devices, servers, applications, data, and cloud solutions.	エンタープライズの観点から、当社は国立標準技術研究所サイバーセキュリティフレームワークに基づく多面的なリスクマネジメントを実施している。当社は、IBM のインフラとデータを管理する基盤となる方針と手順を確立している。私たちは、新たなサイバーセキュリティ・リスクを特定し、軽減するために、技術的なコントロールと方法を定期的にアセスメントし、調整している。当社は、IBM ネットワーク、エンドユーザー・デバイス、サーバー、アプリケーション、データ、およびクラウド・ソリューションに対するサイバーセキュリティ攻撃や脅威を防御するために、重層的な管理手法を使用している。
We draw heavily on our own commercial security solutions and services to manage and mitigate cybersecurity risks. IBM maintains a Security Operations Center (“SOC”) that monitors for threats to IBM’s networks and systems, utilizing threat intelligence provided by a range of sources, including the IBM Security X-Force Exchange platform, which maintains one of the largest compilations of threat intelligence in the world. We also rely on tools licensed from third party security vendors to monitor and manage cybersecurity risks. We periodically engage third parties to supplement and review our cybersecurity practices and provide relevant certifications.	サイバーセキュリティ・リスクを管理・軽減するために、IBM は独自の商用セキュリティ・ソリューションとサービスを多用している。IBMは、IBMのネットワークとシステムに対する脅威を監視するセキュリティ・オペレーション・センター（「SOC」）を維持しており、世界最大級の脅威インテリジェンス集を維持するIBM Security X-Force Exchangeプラットフォームなど、さまざまなソースから提供される脅威インテリジェンスを活用している。また、サイバーセキュリティ・リスクを監視・管理するために、サードパーティのセキュリティ・ベンダーからライセンスを受けたツールにも依存している。サードパーティとは、当社のサイバーセキュリティの実践を補足・検証し、関連認証を提供するために定期的に契約している。
We have a global incident response process, managed by IBM’s Computer Security Incident Response Team (“CSIRT”), that relies primarily on internal expertise to respond to cybersecurity threats and attacks. We utilize a combination of online training, educational tools, videos and other awareness initiatives to foster a culture of security awareness and responsibility among our workforce, including responsibility for reporting suspicious activity.	当社は、IBM のコンピュータ・セキュリティ・インシデント対応チーム（「CSIRT」）が管理するグローバル・インシデント対応プロセスを持っており、サイバーセキュリティの脅威や攻撃に対応するために、主に社内の専門知識に依存している。IBM は、オンライン・トレーニング、教育ツール、ビデオ、およびその他の意識向上イニシアチブを組み合わせて活用し、不審な活動を報告する責任を含め、従業員の間でセキュリティに対する意識と責任の文化を醸成している。
IBM has a third party supplier risk management program to oversee and identify risks from cybersecurity threats associated with its use of third party service providers and vendors. Risks are assessed and prioritized based, among other things, on the type of offering/engagement, supplier assessments, threat intelligence, and industry practices.	IBM は、サードパーティのサービスプロバイダーやベンダーの使用に関連するサイバーセキュリティの脅威によるリスクを監督し、特定するためのサードパーティサプライヤーリスク管理プログラムを有している。リスクは、提供/契約の種類、サプライヤーのアセスメント、脅威情報、および業界の慣行などに基づいて評価され、優先順位が付けられる。
As discussed in greater detail in Item 1A., "Risk Factors," the company faces numerous and evolving cybersecurity threats, including risks originating from intentional acts of criminal hackers, hacktivists, nation states and competitors; from intentional and unintentional acts or omissions of customers, contractors, business partners, vendors, employees and other third parties; and from errors in processes or technologies, as well as the risks associated with an increase in the number of customers, contractors, business partners, vendors, employees and other third parties working remotely. While the company continues to monitor for, identify, investigate, respond to and remediate cybersecurity risks, including incidents and vulnerabilities, there have not been any that have had a material adverse effect on the company, though there is no assurance that there will not be cybersecurity risks that will have a material adverse effect in the future.	項目1A「リスク要因」で詳述しているように、当社は、犯罪的ハッカー、ハクティビスト、国家、競合他社の意図的行為に起因するリスク、顧客、請負業者、ビジネス・パートナー、ベンダー、従業員、その他の第三者の意図的・非意図的な作為・不作為に起因するリスク、プロセスや技術のエラーに起因するリスク、さらにはリモートで作業する顧客、請負業者、ビジネス・パートナー、ベンダー、従業員、その他の第三者の増加に伴うリスクなど、数多くの進化するサイバーセキュリティの脅威に直面している。当社は、インシデントや脆弱性を含むサイバーセキュリティリスクの監視、特定、調査、対応、是正を継続しているが、当社に重大な悪影響を及ぼしたリスクは発生していない。
Governance	ガバナンス
IBM’s Enterprise & Technology Security (“E&TS”) organization has oversight responsibility for the security of both IBM’s internal systems and external offerings and works across all of the organizations within the company to protect IBM, its brand, and its clients against cybersecurity risks. E&TS also addresses cybersecurity risks associated with third party suppliers. For these purposes, E&TS includes a dedicated Chief Information Security Officer (“CISO”) whose team is responsible for leading enterprise-wide information security strategy, policy, standards, architecture, and processes for IBM’s internal systems. The CISO manages the CSIRT. The CISO also manages the Product Security Incident Response Team (“PSIRT”), which focuses on product vulnerabilities potentially affecting the security of offerings sold to customers. IBM also has Business Information Security Officers (“BISO”) who coordinate with the Office of the CISO on security issues specific to particular business segments.	IBMのエンタープライズ＆テクノロジー・セキュリティ(以下「E&TS」)組織は、IBMの社内システムと社外提供物の両方のセキュリティに対する監督責任を有し、IBM、そのブランド、およびその顧客をサイバーセキュリティリスクから保護するために、社内のすべての組織にまたがって活動している。E&TS は、サードパーティ・サプライヤーに関連するサイバーセキュリティ・リスクにも対処している。これらの目的のために、E&TS には専任の最高情報セキュリティ責任者（「CISO」）が含まれ、そのチームは IBM の社内システムに関するエンタープライズ全体の情報セキュリティ戦略、ポリシー、標準、アーキテクチャ、およびプロセスを統率する責任を負う。CISOはCSIRTを管理する。CISOはまた、製品セキュリティインシデントレスポンスチーム(以下「PSIRT」)を管理し、顧客に販売される製品のセキュリティに影響を及ぼす可能性のある製品の脆弱性に焦点を当てている。IBMはまた、特定の事業セグメントに特有のセキュリティ問題についてCISOオフィスと調整するビジネス情報セキュリティ・オフィサー（「BISO」）も擁している。
The CSIRT team, together with the Office of the Chief Information Officer (“CIO”), Cyber Legal, Corporate Security, and BISOs, engages in on-going reviews of incidents, threat intelligence, detections, and vulnerabilities, including to assess client and regulatory impact. Events of interest are promptly reported to the Senior Vice President (“SVP”) for Legal & Regulatory Affairs and General Counsel (“GC”) and the SVP overseeing cybersecurity (“SVP Sponsor”).	CSIRTチームは、最高情報責任者室（「CIO」）、サイバー法務部、コーポレート・セキュリティ部、およびBISOとともに、インシデント、脅威インテリジェンス、検知、および脆弱性の継続的なレビューに従事し、顧客および規制への影響の評価も行っている。関心のある事象は、法務・規制担当上級副社長（「SVP」）および法務顧問（「GC」）、サイバーセキュリティを監督するSVP（「SVPスポンサー」）に速やかに報告される。
Incidents are delegated to an appropriate incident response team for assessment, investigation, and remediation. Depending on the nature of the matter, the incident response team may include individuals from E&TS, the Office of the CISO, the Office of the CIO, Cyber Legal, Business Units, the Chief Privacy Office, Human Resources, Procurement, Finance and Operations, and Corporate Security. The incident response teams advise and consult with the GC and the SVP Sponsor, as appropriate.	アセスメントは、適切なインシデント対応チームに委譲され、評価、調査、修復が行われる。問題の性質に応じて、インシデント対応チームには、E&TS、CISO室、CIO室、サイバー法務部、事業部門、チーフプライバシーオフィス、人事部、調達部、財務・業務部、およびコーポレートセキュリティの担当者が含まれる。インシデント対応チームは、適宜、GCおよびSVPスポンサーに助言し、協議を行う。
The Cybersecurity Advisory Committee (“CAC”) meets regularly and is responsible for overseeing management of the Company’s cybersecurity risk. The CAC is composed of, among others, SVPs from the major business units, the SVP Sponsor, and the GC. The CAC is responsible for, among other things, setting the Company’s governance structure for managing cybersecurity risk and reviewing noteworthy cybersecurity incidents and strategies to prevent recurrence. IBM management responsible for managing cybersecurity risk reflects a cross-section of functions from across the organization with significant experience in managing such risk as well as the technologies underlying these risks. They also hold leadership positions outside of IBM in the field of cybersecurity, serving on governing and advisory boards of public and private institutions at the forefront of issues related to cybersecurity, including technology development, cybersecurity policy, and national security.	サイバーセキュリティ諮問委員会（CAC）は定期的に会合を開き、当社のサイバーセキュリティリスクマネジメントを監督する責任を負う。CACは、特に主要事業部門のSVP、SVPスポンサー、GCで構成される。CACは特に、サイバーセキュリティリスクを管理するための当社のガバナンス構造を設定し、注目すべきサイバーセキュリティインシデントと再発防止戦略を検討する責任を負う。サイバーセキュリティ・リスクの管理を担当するIBMのマネジメントは、そのようなリスクやリスクの根底にあるテクノロジーの管理について豊富な経験を持つ、組織全体の機能を横断的に反映している。また、IBM の外部でサイバーセキュリティの分野で指導的な立場にあり、技術開発、サイバーセキュリティ政策、国家安全保障など、サイバーセキュリティに関連する問題の最前線にある公的機関や民間機関のガバナンスや諮問委員会の委員を務めている。
The Board of Directors and the Audit Committee oversees the cyber governance process. Leadership from E&TS, including the CISO, make regular presentations to the Audit Committee and the full Board on identification, management, and remediation of cybersecurity risks, both internal and external, as well as threat intelligence, emerging global policies and regulations, cybersecurity technologies, and best practices. In addition, senior management provides briefings as needed to the Audit Committee Chair, the Audit Committee, and, as appropriate, the full Board, on cybersecurity issues and incidents of potential interest.	取締役会と監査委員会がサイバーガバナンス・プロセスを監督している。CISOを含むE&TSのリーダーシップは、監査委員会および取締役会全体に対して、内外のサイバーセキュリティ・リスクの特定、マネジメント、是正、脅威情報、新たなグローバル政策・規制、サイバーセキュリティ・テクノロジー、ベストプラクティスに関するプレゼンテーションを定期的に行っている。さらに、上級管理職は監査委員会委員長、監査委員会、および必要に応じて取締役会全体に対して、サイバーセキュリティの問題や潜在的な関心事に関するブリーフィングを随時行っている。

 

・Intel

・2024.01.26 10-K (Annual report)

Cybersecurity	サイバーセキュリティ
We face significant and persistent cybersecurity risks due to: the breadth of geographies, networks, and systems we must defend against cybersecurity attacks; the complexity, technical sophistication, value, and widespread use of our systems, products and processes; the attractiveness of our systems, products and processes to threat actors (including state-sponsored organizations) seeking to inflict harm on us or our customers; the substantial level of harm that could occur to us and our customers were we to suffer impacts of a material cybersecurity incident; and our use of third-party products, services and components. We are committed to maintaining robust governance and oversight of these risks and to implementing mechanisms, controls, technologies, and processes designed to help us assess, identify, and manage these risks. While we have not, as of the date of this Form 10-K, experienced a cybersecurity threat or incident that resulted in a material adverse impact to our business or operations, there can be no guarantee that we will not experience such an incident in the future. Such incidents, whether or not successful, could result in our incurring significant costs related to, for example, rebuilding our internal systems, writing down inventory value, implementing additional threat protection measures, providing modifications or replacements to our products and services, defending against litigation, responding to regulatory inquiries or actions, paying damages, providing customers with incentives to maintain a business relationship with us, or taking other remedial steps with respect to third parties, as well as incurring significant reputational harm. In addition, these threats are constantly evolving, thereby increasing the difficulty of successfully defending against them or implementing adequate preventative measures. We have seen an increase in cyberattack volume, frequency, and sophistication. We seek to detect and investigate unauthorized attempts and attacks against our network, products, and services, and to prevent their occurrence and recurrence where practicable through changes or updates to our internal processes and tools and changes or updates to our products and services; however, we remain potentially vulnerable to known or unknown threats. In some instances, we, our suppliers, our customers, and the users of our products and services can be unaware of a threat or incident or its magnitude and effects. Further, there is increasing regulation regarding responses to cybersecurity incidents, including reporting to regulators, which could subject us to additional liability and reputational harm. See "Risk Factors" for more information on our cybersecurity risks and product vulnerability risks.	サイバーセキュリティ攻撃から守らなければならない地域、ネットワーク、システムの広さ、当社のシステム、製品、プロセスの複雑さ、技術的洗練度、価値、広範な使用、当社または当社の顧客に損害を与えようとする脅威行為者（国家支援組織を含む）にとって当社のシステム、製品、プロセスが魅力的であること、当社が重大なサイバーセキュリティインシデントの影響を受けた場合、当社および当社の顧客に発生する可能性のある実質的な損害のレベル、サードパーティ製品、サービス、コンポーネントの使用により、当社は重大かつ持続的なサイバーセキュリティリスクに直面している。当社は、これらのリスクに対する強固なガバナンスと監視を維持し、これらのリスクのアセスメント、識別、管理を支援するために設計されたメカニズム、コントロール、テクノロジー、およびプロセスの導入に取り組んでいる。本フォーム10-Kの日付現在、当社の事業または業務に重大な悪影響をもたらすサイバーセキュリティの脅威またはインシデントを経験したことはないが、当社が将来そのようなインシデントを経験しないという保証はない。このようなインシデントが発生した場合、その成否にかかわらず、例えば、社内システムの再構築、在庫価値の評価減、追加の脅威防御策の導入、当社製品およびサービスの修正または代替品の提供、訴訟に対する防御、規制当局からの照会または措置への対応、損害賠償金の支払い、当社との取引関係を維持するためのインセンティブの顧客への提供、または第三者に関するその他の是正措置などに関連する多額の費用が発生し、また、大きな風評被害を被る可能性がある。加えて、これらの脅威は常に進化しているため、これらに対する防御を成功させたり、適切な予防策を実施したりすることの難易度が増している。サイバー攻撃の量、頻度、巧妙さが増加している。当社は、当社のネットワーク、製品、サービスに対する不正な試みや攻撃を検知・調査し、内部プロセスやツールの変更・更新、製品やサービスの変更・更新を通じて、その発生や再発を可能な限り防止するよう努めているが、既知または未知の脅威に対する脆弱性は依然として残っている。場合によっては、当社、当社のサプライヤー、顧客、当社の製品・サービスの利用者が、脅威やインシデント、あるいはその規模や影響に気づかない可能性もある。さらに、規制当局への報告を含め、サイバーセキュリティインシデントへの対応に関する規制が強化されており、当社が追加責任や風評被害を受ける可能性がある。当社のサイバーセキュリティリスクと製品脆弱性リスクに関する詳細は「リスク要因」を参照されたい。
We aim to incorporate industry best practices throughout our cybersecurity program. Our cybersecurity strategy focuses on implementing effective and efficient controls, technologies, and other processes to assess, identify, and manage material cybersecurity risks. Our cybersecurity program is designed to be aligned with applicable industry standards and is assessed annually by independent third-party auditors. We have processes in place to assess, identify, manage, and address material cybersecurity threats and incidents. These include, among other things: annual and ongoing security awareness training for employees; mechanisms to detect and monitor unusual network activity; and containment and incident response tools. We actively engage with industry groups for benchmarking and awareness of best practices. We monitor issues that are internally discovered or externally reported that may affect our products, and have processes to assess those issues for potential cybersecurity impact or risk. We also have a process in place to manage cybersecurity risks associated with third-party service providers. We impose security requirements upon our suppliers, including: maintaining an effective security management program; abiding by information handling and asset management requirements; and notifying us in the event of any known or suspected cyber incident.	当社はサイバーセキュリティ・プログラム全体に業界のベストプラクティスを取り入れることを目指している。当社のサイバーセキュリティ戦略は、重要なサイバーセキュリティ・リスクをアセスメントし、特定し、マネジメントするために、効果的かつ効率的なコントロール、テクノロジー、その他のプロセスを導入することに重点を置いている。当グループのサイバーセキュリティ・プログラムは、適用される業界標準に沿うように設計されており、毎年独立したサードパーティ監査人によるアセスメントを受けている。当社は、重要なサイバーセキュリティ上の脅威やインシデントを評価、識別、管理、対処するためのプロセスを備えている。これには特に、従業員に対する年次および継続的なセキュリティ意識向上およびトレーニング、異常なネットワーク活動を検知・監視する仕組み、封じ込めおよびインシデント対応ツールが含まれる。ベンチマークやベストプラクティスの認識のために、業界団体と積極的に連携している。当社は、社内で発見された、または社外から報告された、当社製品に影響を及ぼす可能性のある問題を監視し、サイバーセキュリティへの潜在的な影響やリスクについてそれらの問題をアセスメントするプロセスを有している。また、サードパーティのサービス・プロバイダに関連するサイバーセキュリティ・リスクを管理するためのプロセスも整備している。これには、効果的なセキュリティ管理プログラムの維持、情報ハンドリングおよび資産管理要件の遵守、既知または疑いのあるサイバーインシデント発生時の当社への通知などが含まれる。
Our Board of Directors has ultimate oversight of cybersecurity risk, which it manages as part of our enterprise risk management program. That program is utilized in making decisions with respect to company priorities, resource allocations, and oversight structures. The Board of Directors is assisted by the Audit & Finance Committee, which regularly reviews our cybersecurity program with management and reports to the Board of Directors. Cybersecurity reviews by the Audit & Finance Committee or the Board of Directors generally occur at least twice annually, or more frequently as determined to be necessary or advisable. A number of Intel directors have experience in assessing and managing cybersecurity risk.	当社の取締役会は、エンタープライズ・リスク・マネジメント・プログラムの一環として管理するサイバーセキュリティ・リスクを最終的に監督している。このプログラムは、会社の優先事項、リソースの配分、監督体制に関する意思決定に活用されている。取締役会は監査・財務委員会の支援を受けており、同委員会は経営陣とともにサイバーセキュリティ・プログラムを定期的に見直し、取締役会に報告している。監査・財務委員会または取締役会によるサイバーセキュリティの見直しは、通常、少なくとも年2回、または必要または望ましいと判断される場合はそれ以上の頻度で行われる。インテルの取締役の多くは、サイバーセキュリティ・リスクのアセスメントとマネジメントの経験を有している。
Our cybersecurity program is run by our Chief Information Security Officer (CISO), who reports to our Executive Vice President and Chief Technology Officer (CTO). Our CISO is informed about and monitors prevention, detection, mitigation, and remediation efforts through regular communication and reporting from professionals in the information security team, many of whom hold cybersecurity certifications such as a Certified Information Systems Security Professional or Certified Information Security Manager, and through the use of technological tools and software and results from third party audits. Our CISO and CTO have extensive experience assessing and managing cybersecurity programs and cybersecurity risk. Our CISO has served in that position since 2015 and, before Intel, was previously the Chief Security Officer at McAfee and the Chief Information Officer and CISO for the US House of Representatives. Our CTO joined Intel in 2021 and was previously Senior Vice President and CTO at VMware, with responsibility for product security. Our CISO and CTO regularly report directly to the Audit & Finance Committee or the Board of Directors on our cybersecurity program and efforts to prevent, detect, mitigate, and remediate issues. In addition, we have an escalation process in place to inform senior management and the Board of Directors of material issues.	インテルのサイバーセキュリティ・プログラムは、最高情報セキュリティ責任者 (CISO) によって運営されており、CISO はインテルの取締役副社長兼最高技術責任者 (CTO) の直属となっている。当社のCISOは、情報セキュリティチームの専門家（その多くは公認情報システム・セキュリティ・プロフェッショナルや公認情報セキュリティ・マネージャーなどのサイバーセキュリティ資格を保有している）からの定期的なコミュニケーションや報告、技術的なツールやソフトウェアの使用、サードパーティによる監査の結果を通じて、予防、検知、軽減、修復の取り組みに関する情報を入手し、監視している。当社のCISOとCTOは、サイバーセキュリティ・プログラムとサイバーセキュリティ・リスクのアセスメントとマネジメントに豊富な経験を有している。当社のCISOは2015年からその職に就いており、インテル以前はマカフィーの最高セキュリティ責任者、米国下院の最高情報責任者兼CISOを務めていた。CTOは2021年にインテルに入社し、それ以前はVMwareの上級副社長兼CTOとして製品のセキュリティを担当していた。当社のCISOとCTOは、当社のサイバーセキュリティ・プログラムと問題の予防、検知、軽減、修復の取り組みについて、定期的に監査・財務委員会または取締役会に直接報告している。さらに、重大な問題を上級管理職および取締役会に報告するためのエスカレーションプロセスも設けている。

 

 

・Boeing

・2024.01.31 10-K (Annual report)

Item 1C.Cybersecurity	項目1C.サイバーセキュリティ
Risk Management and Strategy	リスクマネジメント戦略
Our cybersecurity strategy prioritizes detection, analysis and response to known, anticipated or unexpected threats; effective management of security risks; and resiliency against incidents. Our cybersecurity risk management processes include technical security controls, policy enforcement mechanisms, monitoring systems, employee training, contractual arrangements, tools and related services from third-party providers, and management oversight to assess, identify and manage material risks from cybersecurity threats. We implement risk-based controls to protect our information, the information of our customers, suppliers, and other third parties, our information systems, our business operations, and our products and related services. We have adopted security-control principles based on the National Institute of Standards and Technology (NIST) Cybersecurity Framework, other industry-recognized standards, and contractual requirements, as applicable. We also leverage government partnerships, industry and government associations, third-party benchmarking, the results from regular internal and third-party audits, threat intelligence feeds, and other similar resources to inform our cybersecurity processes and allocate resources.	当社のサイバーセキュリティ戦略は、既知・予期・予期せぬ脅威の検知・分析・対応、セキュリティリスクの効果的な管理、インシデントに対するレジリエンスを最優先事項としている。当社のサイバーセキュリティ・リスク・マネジメント・プロセスには、サイバーセキュリティの脅威による重大なリスクをアセスメントし、特定し、管理するための技術的なセキュリティ・コントロール、ポリシー実施メカニズム、モニタリング・システム、従業員トレーニング、契約上の取り決め、サードパーティ・プロバイダーからのツールや関連サービス、およびマネージド・オーバーサイトが含まれる。当社は、当社の情報、当社の顧客、サプライヤー、その他のサードパーティーの情報、当社の情報システム、当社の事業運営、および当社の製品と関連サービスを保護するために、リスクに基づく管理を実施している。当社は、国立標準技術研究所（NIST）のサイバーセキュリティ・フレームワーク、その他の業界標準、および契約上の要件に基づくセキュリティ管理機構を採用している。また、政府とのパートナーシップ、業界団体、政府機関、サードパーティによるベンチマーク、定期的な内部監査およびサードパーティ監査の結果、脅威情報、その他同様のリソースを活用して、サイバーセキュリティプロセスに情報を提供し、リソースを配分している。
We maintain security programs that include physical, administrative and technical safeguards, and we maintain plans and procedures whose objective is to help us prevent and timely and effectively respond to cybersecurity threats or incidents. Through our cybersecurity risk management process, we continuously monitor cybersecurity vulnerabilities and potential attack vectors to company systems as well as our aerospace products and services, and we evaluate the potential operational and financial effects of any threat and of cybersecurity countermeasures made to defend against such threats. We continue to integrate our cyber practice into our Enterprise Risk Management program and our Compliance Risk Management program, both of which are overseen by our Board of Directors and provide central, standardized frameworks for identifying and tracking cyber-related business and compliance risks across the Company. Risks from cybersecurity threats to our products and services are also overseen by our Board of Directors. In addition, we periodically engage third-party consultants to assist us in assessing, enhancing, implementing, and monitoring our cybersecurity risk management programs and responding to any incidents.	当社は、物理的、管理的、技術的なセーフガードを含むセキュリティ・プログラムを維持し、サイバーセキュリティの脅威やインシデントを予防し、タイムリーかつ効果的に対応することを目的とした計画と手順を維持している。サイバーセキュリティ・リスクマネジメント・プロセスを通じて、当社は航空宇宙製品・サービスだけでなく、会社のシステムに対するサイバーセキュリティの脆弱性と潜在的な攻撃ベクトルを継続的に監視し、あらゆる脅威とそのような脅威を防御するために行われるサイバーセキュリティ対策の潜在的な業務上・財務上の影響を評価している。この2つのプログラムは取締役会によって監督されており、全社的なサイバー関連ビジネスリスクおよびコンプライアンスリスクを特定・追跡するための集中的で標準化されたフレームワークを提供している。当社の製品およびサービスに対するサイバーセキュリティの脅威によるリスクも取締役会が監督している。さらに、サイバーセキュリティ・リスクマネジメント・プログラムのアセスメント、強化、実施、モニタリング、およびインシデントへの対応を支援するため、サードパーティ・コンサルタントを定期的に雇用している。
As part of our cybersecurity risk management process, we conduct “tabletop” exercises during which we simulate cybersecurity incidents to ensure that we are prepared to respond to such an incident and to highlight any areas for potential improvement in our cyber incident preparedness. These exercises are conducted at both the technical level and senior management level, which has included participation by a member of our Board of Directors. In addition, all employees are required to pass a mandatory cybersecurity training course on an annual basis and receive monthly phishing simulations to provide “experiential learning” on how to recognize phishing attempts.	サイバーセキュリティ・リスクマネジメント・プロセスの一環として、当社は「机上」演習を実施している。この演習では、サイバーセキュリティ・インシデントをシミュレートし、そのようなインシデントへの対応態勢が整っていることを確認するとともに、サイバーインシデントへの対応態勢において改善すべき点を浮き彫りにする。これらの演習は技術レベルと上級管理レベルの両方で実施され、取締役会のメンバーも参加している。さらに、全従業員はサイバーセキュリティ・トレーニングに毎年合格することが義務付けられており、毎月フィッシング・シミュレーションを受けることで、フィッシングを見分ける方法を「体験学習」している。
We have established a cybersecurity supply chain risk management program, which is a cross-functional program that forms part of our Enterprise Risk Management program and is supported by our security, compliance, and supply chain organizations. Through this evolving program, we assess the risks from cybersecurity threats that impact select suppliers and third-party service providers with whom we share personal identifying and confidential information. We continue to evolve our oversight processes to mature how we identify and manage cybersecurity risks associated with the products or services we procure from such suppliers. We generally require our suppliers to adopt security-control principles based on industry-recognized standards.	サイバーセキュリティ・サプライチェーン・リスクマネジメント・プログラムは、エンタープライズ・リスク・マネジメント・プログラムの一部を構成する機能横断的なプログラムであり、当社のセキュリティ、コンプライアンス、サプライチェーンの各組織によってサポートされている。この進化するプログラムを通じて、個人を特定できる情報や機密情報を共有する厳選されたサプライヤーやサードパーティ・サービス・プロバイダに影響を及ぼすサイバーセキュリティの脅威によるリスクをアセスメントしている。当社は、こうしたサプライヤーから調達する製品やサービスに関連するサイバーセキュリティ・リスクを特定し、管理する方法を成熟させるため、監視プロセスを進化させ続けている。当社は全般的に、業界標準に基づくセキュリティ管理原則を採用するようサプライヤーに求めている。
We have experienced, and may in the future experience, whether directly or through our supply chain or other channels, cybersecurity incidents. While prior incidents have not materially affected our business strategy, results of operations or financial condition, and although our processes are designed to help prevent, detect, respond to, and mitigate the impact of such incidents, there is no guarantee that a future cyber incident would not materially affect our business strategy, results of operations or financial condition. See “Risks Related to Cybersecurity and Business Disruptions” in “Risk Factors” on page 14 of this Form 10-K.	当社は、直接であれ、サプライチェーンやその他のチャネルを通じてであれ、サイバーセキュリティインシデントを経験しており、今後も経験する可能性がある。過去のインシデントが当社の事業戦略、経営成績、財務状況に重大な影響を及ぼすことはなく、当社のプロセスはそのようなインシデントの防止、検知、対応、影響の軽減を支援するように設計されているが、将来のサイバーインシデントが当社の事業戦略、経営成績、財務状況に重大な影響を及ぼさないという保証はない。本フォーム10-Kの14ページにある「リスク要因」の「サイバーセキュリティと事業中断に関するリスク」を参照のこと。
Governance	ガバナンス
Our Board of Directors has overall responsibility for risk oversight, with its committees assisting the Board in performing this function based on their respective areas of expertise. Our Board of Directors has delegated oversight of risks related to cybersecurity to two Board committees, the Audit Committee and the Aerospace Safety Committee, and each committee reports on its activities and findings to the full Board after each meeting. The Audit Committee is charged with reviewing our cybersecurity processes for assessing key strategic, operational, and compliance risks. Our Chief Information Officer and Senior Vice President, Information Technology & Data Analytics (CIO) and our Chief Security Officer (CSO) provide presentations to the Audit Committee on cybersecurity risks at each of its bimonthly meetings. These briefings include assessments of cyber risks, the threat landscape, updates on incidents, and reports on our investments in cybersecurity risk mitigation and governance. In addition, the Audit Committee has designated one of its members with expertise in cyber risk management to meet regularly with management and review our cybersecurity strategy and key initiatives and progress toward our objectives. In the event of a potentially material cybersecurity event, the Chair of the Audit Committee is notified and briefed, and meetings of the Audit Committee and/or full Board of Directors would be held, as appropriate. The Aerospace Safety Committee provides oversight of the risks from cybersecurity threats related to our aerospace products and services. The Aerospace Safety Committee receives regular updates and reports from senior management, including the Chief Engineer, the Chief Aerospace Safety Officer, and the Chief Product Security Engineer, who provide briefings on significant cybersecurity threats or incidents that may pose a risk to the safe operation of our aerospace products. Both committees brief the full Board on cybersecurity matters discussed during committee meetings, and the CIO provides annual briefings to the Board on information technology and data analytics related matters, including cybersecurity.	当社の取締役会はリスク監視の全体的な責任を負っており、各委員会はそれぞれの専門分野に基づいて取締役会のこの機能の遂行を支援している。当社の取締役会は、サイバーセキュリティに関連するリスクの監督を監査委員会と航空宇宙安全委員会の2つの取締役会委員会に委任しており、各委員会は各会合後にその活動と調査結果を取締役会全体に報告している。監査委員会は、主要な戦略リスク、業務リスク、コンプライアンス・リスクを評価するためのサイバーセキュリティ・プロセスを検討する責任を負っている。当社の最高情報責任者兼情報技術・データ分析担当上級副社長（CIO）と最高セキュリティ責任者（CSO）は、監査委員会の隔月開催の会合で、サイバーセキュリティ・リスクに関するプレゼンテーションを行う。これらの説明には、サイバーリスクのアセスメント、脅威の状況、インシデントの最新情報、サイバーセキュリティリスクの軽減とガバナンスへの投資に関する報告などが含まれる。さらに、監査委員会はサイバーリスクマネジメントの専門知識を持つ委員を1名指名し、経営陣と定期的に会合を持ち、当社のサイバーセキュリティ戦略や主要な取り組み、目標に向けた進捗状況をレビューしている。重要なサイバーセキュリティ事象が発生する可能性がある場合は、監査委員長に通知され、説明を受け、必要に応じて監査委員会および／または取締役会全体が開催される。航空宇宙安全委員会は、当社の航空宇宙製品およびサービスに関連するサイバーセキュリティの脅威によるリスクを監督する。航空宇宙安全委員会は、チーフエンジニア、チーフ航空宇宙安全責任者、チーフプロダクトセキュリティエンジニアを含む上級マネジメントから定期的な最新情報と報告を受け、当社の航空宇宙製品の安全な運用にリスクをもたらす可能性のある重大なサイバーセキュリティの脅威やインシデントに関する説明を受ける。両委員会は、委員会会議で議論されたサイバーセキュリティに関する事項を取締役会全体に説明し、CIOはサイバーセキュリティを含む情報技術およびデータ分析関連事項について取締役会に年次報告を行っている。
At the management level, we have established a Global Security Governance Council (the Council) to further strengthen our cybersecurity risk management activities across the Company, including the prevention, detection, mitigation, and remediation of cybersecurity incidents. The Council is responsible for developing and coordinating enterprise cybersecurity policy and strategy, and for providing guidance to key management and oversight bodies.	経営レベルでは、サイバーセキュリティ・インシデントの予防、検知、低減、修復など、全社的なサイバーセキュリティ・リスクマネジメント活動をさらに強化するため、グローバル・セキュリティ・ガバナンス評議会（評議会）を設立した。同評議会は、エンタープライズ・サイバーセキュリティ・ポリシーと戦略を策定・調整し、主要な経営・監督団体にガイダンスを提供する役割を担っている。
Richard Puckett, as our CSO, serves as the chair of the Council. He is responsible for overseeing a unified security program that provides cybersecurity, fire and protection operations, physical security, insider threat, and classified security. Mr. Puckett has nearly 30 years of experience in the cybersecurity industry, including, prior to joining Boeing in 2022, as Chief Information Security Officer of SAP SE and Thomson Reuters Corporation, Vice President, Product and Commercial Security of General Electric, Inc., and Senior Security Architect at Cisco Systems, Inc. He reports directly to the CIO and meets regularly with other members of senior management and the Audit Committee.	リチャード・パケットはCSOとして、評議会の議長を務めている。彼は、サイバーセキュリティ、消防・保護業務、物理的セキュリティ、内部脅威、機密セキュリティを提供する統合セキュリティ・プログラムを監督する責任を負っている。2022年にボーイングに入社する以前は、SAP SEおよびトムソン・ロイター・コーポレーションの最高情報セキュリティ責任者、ゼネラル・エレクトリック社の製品・商業セキュリティ担当副社長、シスコシステムズ社のシニア・セキュリティ・アーキテクトなど、サイバーセキュリティ業界で30年近い経験を持つ。CIOに直属し、他の上級管理職や監査委員会のメンバーと定期的に会合を持つ。
The Council also includes, among other senior executives, our Chief Engineer, Chief Information Officer, Chief Aerospace Safety Officer and Chief Product Security Engineer, who each have several decades of business and senior leadership experience managing risks in their respective fields, collectively covering all aspects of cybersecurity, data and analytics, product security engineering, enterprise engineering, safety and the technical integrity of our products and services.	彼らはそれぞれ数十年にわたり各分野のリスクマネジメントに携わっており、サイバーセキュリティ、データとアナリティクス、製品セキュリティ・エンジニアリング、エンタープライズ・エンジニアリング、安全性、当社製品とサービスの技術的完全性など、あらゆる側面を網羅している。
The Council meets monthly and updates key members of the Company’s Executive Council on progress towards specific cybersecurity objectives. A strong partnership exists between Information Technology, Enterprise Security, Corporate Audit, and Legal so that identified issues are addressed in a timely manner and incidents are reported to the appropriate regulatory bodies as required.	同評議会は毎月会合を開き、サイバーセキュリティに関する具体的な目標に向けた進捗状況について、当社経営陣の主要メンバーに報告している。インフォメーション・テクノロジー、エンタープライズ・セキュリティ、コーポレート・オーディット、法務の間には強力なパートナーシップが存在し、特定された問題はタイムリーに対処され、インシデントは必要に応じて適切な規制団体に報告される。

 

 

・American Express

・2024.02.09 10-K (Annual report)

ITEM 1C   CYBERSECURITY	項目1C サイバーセキュリティ
We maintain an information security and cybersecurity program and a cybersecurity governance framework that are designed to protect our information systems against operational risks related to cybersecurity./span>	当社は、サイバーセキュリティに関連する業務リスクから情報システムを保護するための情報セキュリティおよびサイバーセキュリティ・プログラムとサイバーセキュリティ・ガバナンス・フレームワークを維持している。
Cybersecurity Risk Management and Strategy	サイバーセキュリティリスクマネジメントと戦略
We define information security and cybersecurity risk as the risk that the confidentiality, integrity or availability of our information and information systems are impacted by unauthorized or unintended access, use, disclosure, disruption, modification or destruction. Information security and cybersecurity risk is an operational risk that is measured and managed as part of our operational risk framework. Operational risk is incorporated into our comprehensive Enterprise Risk Management (ERM) program, which we use to identify, aggregate, monitor, report and manage risks. For more information on our ERM program, see “Risk Management” under “MD&A.”	当社は、情報セキュリティおよびサイバーセキュリティ・リスクを、当社の情報および情報システムの機密性、完全性、または可用性が、不正または意図しないアクセス、使用、開示、中断、変更、または破壊によって影響を受けるリスクと定義している。情報セキュリティ・リスクとサイバーセキュリティ・リスクは、オペレーショナル・リスクの枠組みの一部として測定・マネジメントされるオペレーショナル・リスクである。オペレーショナル・リスクは、当グループの包括的なエンタープライズ・リスク・マネジメント（ERM）プログラムに組み込まれており、リスクの識別、集約、監視、報告、管理に利用されている。ERMプログラムの詳細については、「MD&A」の「リスクマネジメント」を参照のこと。
Our Technology Risk and Information Security (TRIS) program, which is our enterprise information security and cybersecurity program incorporated in our ERM program and led by our Chief Information Security Officer (CISO), is designed to (i) ensure the security, confidentiality, integrity and availability of our information and information systems; (ii) protect against any anticipated threats or hazards to the security, confidentiality, integrity or availability of such information and information systems; and (iii) protect against unauthorized access to or use of such information or information systems that could result in substantial harm or inconvenience to us, our colleagues or our customers. The TRIS program is built upon a foundation of advanced security technology, employs a highly trained team of experts and is designed to operate in alignment with global regulatory requirements. The program deploys multiple layers of controls, including embedding security into our technology investments, designed to identify, protect, detect, respond to and recover from information security and cybersecurity incidents. Those controls are measured and monitored by a combination of subject matter experts and a security operations center with integrated cyber detection, response and recovery capabilities. The TRIS program includes our Enterprise Incident Response Program, which manages information security incidents involving compromises of sensitive information, and our Cyber Crisis Response Plan, which provides a documented framework for handling high-severity security incidents and facilitates coordination across multiple parts of the Company to manage response efforts. We also routinely perform simulations and drills at both a technical and management level, and our colleagues receive annual cybersecurity awareness training.	当社のテクノロジーリスク・情報セキュリティ（TRIS）プログラムは、当社のERMプログラムに組み込まれ、当社の最高情報セキュリティ責任者（CISO）が率いるエンタープライズ情報セキュリティおよびサイバーセキュリティプログラムであり、（i）当社の情報と情報システムのセキュリティ、機密性、完全性、可用性を確保する； (ii) そのような情報および情報システムのセキュリティ、機密性、完全性、可用性に対する予想される脅威または危険から保護すること、および (iii) 当社、当社の同僚、または顧客に重大な損害または不都合をもたらす可能性のある、そのような情報または情報システムへの不正アクセスまたは使用から保護すること。TRISプログラムは、高度なセキュリティ技術の基盤の上に構築され、高度な訓練を受けた専門家チームを雇用し、世界的な規制要件に沿って運用されるように設計されている。TRISプログラムは、情報セキュリティおよびサイバーセキュリティのインシデントを特定し、防御し、検知し、対応し、復旧させるために設計された、当社の技術投資へのセキュリティの組み込みを含む、多層的なコントロールを展開している。これらの管理体制は、サイバー検知・対応・復旧機能を統合したセキュリティ・オペレーションセンターと専門家の組み合わせによって測定・監視される。TRISプログラムには、機密情報の漏洩を伴う情報セキュリティ・インシデントを管理するエンタープライズ・インシデント・レスポンス・プログラムと、重大性の高いセキュリティ・インシデントに対応するための文書化されたフレームワークを提供し、対応努力を管理するために社内の複数の部署間の調整を促進するサイバー危機対応計画が含まれている。また、技術レベルと管理レベルの両方でシミュレーションと訓練を定期的に実施し、社員はサイバーセキュリティに関する意識向上およびトレーニングを毎年受けている。
In addition, we incorporate reviews by our Internal Audit Group and external expertise in our TRIS program, including an independent third-party assessment of our cybersecurity measures and controls and a third-party cyber maturity assessment of our TRIS program against the Cyber Risk Institute Profile standards for the financial sector. We also invest in threat intelligence, collaborate with our peers in areas of threat intelligence, vulnerability management, incident response and drills, and are active participants in industry and government forums.	さらに、TRIS プログラムには内部アセスメント・グループによるレビューと外部の専門知識を取り入れている。これには、当社のサイバーセキュリティ対策と統制に関する独立した第三者による評価や、金融セクター向けのサイバーリスク・インスティテュート・プロファイル標準に照らした当社の TRIS プログラムのサードパーティによるサイバー成熟度評価などが含まれる。また、脅威情報に投資し、脅威情報、脆弱性管理、インシデント対応、訓練の分野で同業他社と協力し、業界や政府のフォーラムにも積極的に参加している。
Cybersecurity risks related to third parties are managed as part of our Third Party Management Policy, which sets forth the procurement, risk management and contracting framework for managing third-party relationships commensurate with their risk and complexity. Our Third Party Lifecycle Management (TLM) program sets guidelines for identifying, measuring, monitoring, and reporting the risks associated with third parties through the life cycle of the relationships, which includes planning, due diligence and third-party selection, contracting, ongoing monitoring and termination. Our TLM program includes the identification of third parties with risks related to information security. Third parties that access, process, collect, share, create, store, transmit or destroy our information or have access to our systems may have additional security requirements depending on the levels of risk, such as enhanced risk assessments and monitoring, and additional contractual controls.	サードパーティに関連するサイバーセキュリティリスクは、当社のサードパーティ管理方針の一環として管理されている。この方針は、サードパーティとの関係をそのリスクと複雑性に応じて管理するための調達、リスクマネジメント、契約の枠組みを定めたものである。当社のサードパーティライフサイクルマネジメント（TLM）プログラムは、計画、デューデリジェンス、サードパーティの選定、契約、継続的モニタリング、解約を含む関係のライフサイクルを通じて、サードパーティに関連するリスクを特定、測定、モニタリング、報告するためのガイドラインを定めている。当社のTLMプログラムには、情報セキュリティに関連するリスクを持つサードパーティーの特定が含まれる。当社の情報にアクセスし、処理し、収集し、共有し、作成し、保存し、送信し、または破棄し、あるいは当社のシステムにアクセスするサードパーティは、リスクアセスメントやモニタリングの強化、契約上の追加管理など、リスクのレベルに応じて追加のセキュリティ要件が課される場合がある。
While we do not believe that our business strategy, results of operations or financial condition have been materially adversely affected by any cybersecurity incidents, cybersecurity threats are pervasive and, similar to other global financial institutions, we, as well as our customers, colleagues, regulators, service providers and other third parties, have experienced a significant increase in information security and cybersecurity risk in recent years and will likely continue to be the target of cyber attacks. We continue to assess the risks and changes in the cyber environment, invest in enhancements to our cybersecurity capabilities, and engage in industry and government forums to promote advancements in our cybersecurity capabilities, as well as the broader financial services cybersecurity ecosystem. For more information on risks to us from cybersecurity threats, see “A major information or cybersecurity incident or an increase in fraudulent activity could lead to reputational damage to our brand and material legal, regulatory and financial exposure, and could reduce the use and acceptance of our products and services.” under “Risk Factors.”	当社の事業戦略、経営成績、財務状況がサイバーセキュリティインシデントによって重大な悪影響を受けたとは考えていないが、サイバーセキュリティ脅威は蔓延しており、他のグローバル金融機関と同様に、当社、当社の顧客、同僚、規制当局、サービスプロバイダー、その他のサードパーティも、近年、情報セキュリティおよびサイバーセキュリティリスクの重要な増加を経験しており、今後もサイバー攻撃の標的になる可能性が高い。当社は引き続き、サイバー環境のリスクと変化をアセスメントし、サイバーセキュリティ能力の強化に投資し、業界や政府のフォーラムに参加して、当社のサイバーセキュリティ能力だけでなく、より広範な金融サービスのサイバーセキュリティ・エコシステムの進歩を促進していく。サイバーセキュリティの脅威による当社へのリスクについては、"リスク要因 "の「重大な情報またはサイバーセキュリティのインシデントや詐欺行為の増加は、当社ブランドの風評被害や重大な法的、規制的、財務的エクスポージャーにつながる可能性があり、当社の製品やサービスの利用や受容を低下させる可能性がある」を参照されたい。
Cybersecurity Governance	サイバーセキュリティ・ガバナンス
Under our cybersecurity governance framework, our Board and our Risk Committee are primarily responsible for overseeing and governing the development, implementation and maintenance of our TRIS program, with the Board designating our Risk Committee to provide oversight and governance of technology and cybersecurity risks. Our Board receives an update on cybersecurity at least once a year from our CISO or their designee. Our Risk Committee receives reports on cybersecurity at least twice a year, including in at least one joint meeting with our Audit and Compliance Committee, and our Board and these committees all receive ad hoc updates as needed. In addition, our Risk Committee annually approves our TRIS program.	当社のサイバーセキュリティ・ガバナンス・フレームワークでは、当社の取締役会とリスク委員会がTRISプログラムの開発、実施、保守を監督・ガバナンスする主な責任を負っており、取締役会はリスク委員会にテクノロジーとサイバーセキュリティ・リスクの監督・ガバナンスを行わせることを指定している。取締役会は少なくとも年1回、CISOまたはその被指名者からサイバーセキュリティに関する最新情報を受け取る。当社のリスク委員会は、当社の監査・コンプライアンス委員会との少なくとも1回の合同会議を含め、サイバーセキュリティに関する報告を少なくとも年に2回受け、当社の取締役会とこれらの委員会はすべて、必要に応じて臨時の最新情報を受け取る。さらに、リスク委員会は毎年TRISプログラムを承認している。
We have multiple internal management committees that are responsible for the oversight of cybersecurity risk. Our Operational Risk Management Committee (ORMC), chaired by our Chief Operational Risk Officer, provides oversight and governance for our information security risk management activities, including those related to cybersecurity.This includes efforts to identify, measure, manage, monitor and report information security risks associated with our information and information systems and potential impacts to the American Express brand. The ORMC escalates risks to our Enterprise Risk Management Committee (ERMC), chaired by our Chief Risk Officer, or our Board based on the escalation criteria provided in our enterprise-wide risk appetite framework. Members of management with cybersecurity oversight responsibilities are informed about cybersecurity risks and incidents through a number of channels, including periodic and annual reports, with the annual report also provided to our Risk Committee, the ORMC and ERMC.	当社には、サイバーセキュリティ・リスクの監督を担当する複数の社内マネジメント委員会がある。これには、当社の情報および情報システムに関連する情報セキュリティリスク、ならびにアメリカン・エキスプレス・ブランドへの潜在的な影響を特定、測定、管理、監視、報告する取り組みが含まれる。ORMCは、全社的なリスク選好フレームワークで規定されたエスカレーション基準に基づき、リスクをチーフ・リスク・オフィサーが議長を務めるエンタープライズ・リスクマネジメント委員会（ERMC）または取締役会にエスカレーションする。サイバーセキュリティの監督責任を負うマネジメントのメンバーは、定期報告書や年次報告書を含む多くのチャネルを通じてサイバーセキュリティリスクやインシデントについて知らされており、年次報告書はリスク委員会、ORMC、ERMCにも提供されている。
Our CISO leads the strategy, engineering and operations of cybersecurity across the Company and is responsible for providing annual updates to our Board, the ERMC and the ORMC on our TRIS program, as well as ad hoc updates on information security and cybersecurity matters. Our current CISO has held a series of roles in telecommunications, networking and information security at American Express, including promotion to the CISO role in 2013 and the addition of responsibility for technology risk management in 2023. Prior to joining American Express, our current CISO served in a variety of technology leadership roles at a public pharmaceutical and biotechnology company for 14 years. Our CISO reports to the Chief Information Officer, information about whom is included in “Information About Our Executive Officers” under “Business.”	当社のCISOは、全社的なサイバーセキュリティの戦略、エンジニアリング、運用を指揮し、取締役会、ERMC、ORMCに対し、当社のTRISプログラムに関する年次報告、および情報セキュリティとサイバーセキュリティに関する臨時報告を行う責任を負っている。現在のCISOは、2013年にCISOに昇格し、2023年にはテクノロジー・リスク・マネジメントの責任者となるなど、アメリカン・エキスプレスで電気通信、ネットワーク、情報セキュリティの職務を歴任してきた。アメリカン・エキスプレスに入社する以前は、上場製薬・バイオテクノロジー企業で14年間、さまざまな技術指導的職務に就いていた。CISO はチーフ・インフォメーション・オフィサーの直属であり、チーフ・インフォメーション・オフィ サーに関する情報は、"事業内容 "の "執行役員に関する情報 "に記載されている。
For more information on our risk governance structure, see “Risk Management — Governance” and “Risk Management —Operational Risk Management Process” under “MD&A.”	当社のリスク・ガバナンス体制の詳細については、"MD&A "の "リスクマネジメント-ガバナンス "および "リスクマネジメント-オペレーショナル・リスク管理プロセス "を参照のこと。

 

・Johnson & Johnson

・2024.02.16 10-K (Annual report)

Item 1C.Cybersecurity	項目1C.サイバーセキュリティ
Risk management and strategy	リスクマネジメントと戦略
The Company has documented cybersecurity policies and standards, assesses risks from cybersecurity threats, and monitors information systems for potential cybersecurity issues. To protect the Company’s information systems from cybersecurity threats, the Company uses various security tools supporting protection, detection, and response capabilities. The Company maintains a cybersecurity incident response plan to help ensure a timely, consistent response to actual or attempted cybersecurity incidents impacting the Company.	当社は、サイバーセキュリティの方針と標準を文書化し、サイバーセキュリティの脅威によるリスクをアセスメントし、サイバーセキュリティの潜在的問題について情報システムを監視している。サイバーセキュリティの脅威から当社の情報システムを保護するため、当社は保護、検知、対応能力をサポートする様々なセキュリティ・ツールを使用している。当社はサイバーセキュリティ・インシデント対応計画を維持し、当社に影響を及ぼす実際の、または未遂のサイバーセキュリティ・インシデントへのタイムリーで一貫した対応を保証している。
The Company also identifies and assesses third-party risks within the enterprise, and through the Company's use of third-party service providers, across a range of areas including data security and supply chain through a structured third-party risk management program.	当社はまた、構造化されたサードパーティ・リスク・マネジメント・プログラムを通じて、データ・セキュリティやサプライ・チェーンを含むさまざまな分野において、エンタープライズ内およびサードパーティ・サービス・プロバイダの利用を通じて、サードパーティのリスクを特定し、アセスメントしている。
The Company maintains a formal information security training program for all employees that includes training on matters such as phishing and email security best practices. Employees are also required to complete mandatory training on data privacy.	当社は、フィッシングや電子メール・セキュリティのベスト・プラクティスなどのトレーニングを含む、全従業員向けの正式な情報セキュリティ・トレーニング・プログラムを維持している。従業員にはデータ・プライバシーに関する必須研修の受講も義務付けられている。
To evaluate and enhance its cybersecurity program, the Company periodically utilizes third-party experts to undertake maturity assessments of the Company’s information security program.	サイバーセキュリティ・プログラムを評価・強化するため、当社はサードパーティーの専門家を定期的に活用し、当社の情報セキュリティ・プログラムの成熟度アセスメントを実施している。
To date, the Company is not aware of any cybersecurity incident that has had or is reasonably likely to have a material impact on the Company’s business or operations; however, because of the frequently changing attack techniques, along with the increased volume and sophistication of the attacks, there is the potential for the Company to be adversely impacted. This impact could result in reputational, competitive, operational or other business harm as well as financial costs and regulatory action. Refer to the risk factor captioned An information security incident, including a cybersecurity breach, could have a negative impact to the Company’s business or reputation in Part I, Item 1A. Risk factors for additional description of cybersecurity risks and potential related impacts on the Company.	現在までのところ、当社の事業または業務に重大な影響を及ぼした、あるいは及ぼす可能性のあるサイバーセキュリティインシデントについて、当社は認識していない。しかし、攻撃手法は頻繁に変化し、攻撃の量も高度化しているため、当社が悪影響を受ける可能性はある。このような影響は、風評、競争、業務、その他の事業上の損害、財務上のコスト、規制上の措置をもたらす可能性がある。サイバーセキュリティ侵害を含む情報セキュリティインシデントが、当社の事業または評判に悪影響を及ぼす可能性がある。サイバーセキュリティリスクおよび関連する当社への潜在的な影響に関する補足説明については、「リスク要因」を参照のこと。
Governance - management’s responsibility	ガバナンス-経営陣の責任
The Company takes a risk-based approach to cybersecurity and has implemented cybersecurity controls designed to address cybersecurity threats and risks. The Chief Information Officer (CIO), who is a member of the Company’s Executive Committee, and the Chief Information Security Officer (CISO) are responsible for assessing and managing cybersecurity risks, including the prevention, mitigation, detection, and remediation of cybersecurity incidents.	当社はサイバーセキュリティに対してリスクベースのアプローチをとっており、サイバーセキュリティの脅威とリスクに対処するために設計されたサイバーセキュリティ統制を導入している。当社の経営委員会のメンバーである最高情報責任者（CIO）と最高情報セキュリティ責任者（CISO）は、サイバーセキュリティ・インシデントの予防、低減、検知、修復を含むサイバーセキュリティ・リスクのアセスメントとマネジメントに責任を負っている。
The Company’s CISO, in coordination with the CIO, is responsible for leading the Company’s cybersecurity program and management of cybersecurity risk. The current CISO has over twenty-five years of experience in information security, and his background includes technical experience, strategy and architecture focused roles, cyber and threat experience, and various leadership roles.	当社のCISOはCIOと連携し、当社のサイバーセキュリティ・プログラムとサイバーセキュリティ・リスクのマネジメントを主導する責任を負っている。現在のCISOは情報セキュリティ分野で25年以上の経験を持ち、その経歴には、技術的な経験、戦略とアーキテクチャに重点を置いた役割、サイバーと脅威に関する経験、さまざまな指導的役割などが含まれる。
Governance - board oversight	ガバナンス - 取締役会の監督
The Company’s Board of Directors oversees the overall risk management process, including cybersecurity risks, directly and through its committees. The Regulatory Compliance & Sustainability Committee (RCSC) of the board is primarily responsible for oversight of risk from cybersecurity threats and oversees compliance with applicable laws, regulations and Company policies related to, among others, privacy and cybersecurity.	当社の取締役会は、サイバーセキュリティ・リスクを含むリスクマネジメント・プロセス全体を、直接または委員会を通じて監督している。取締役会の規制コンプライアンス＆サステナビリティ委員会（RCSC）は、主にサイバーセキュリティの脅威によるリスクの監督を担当し、特にプライバシーとサイバーセキュリティに関連する適用法、規制、会社方針の遵守を監督している。
RCSC meetings include discussions of specific risk areas throughout the year including, among others, those relating to cybersecurity.The CISO provides at least two updates each year to RCSC on cybersecurity matters. These reports include an overview of the cybersecurity threat landscape, key cybersecurity initiatives to improve the Company’s risk posture, changes in the legal and regulatory landscape relative to cybersecurity, and overviews of certain cybersecurity incidents that have occurred within the Company and within the industry.	CISOは毎年少なくとも2回、サイバーセキュリティに関する最新情報をRCSCに提供している。これらの報告には、サイバーセキュリティの脅威状況の概要、当社のリスク態勢を改善するための主要なサイバーセキュリティ・イニシアチブ、サイバーセキュリティに関連する法規制状況の変化、当社および業界で発生した特定のサイバーセキュリティ・インシデントの概要などが含まれる。

 

 

・Pfizer

・2024.02.22 10-K (Annual report)

ITEM 1C CYBERSECURITY	項目1C サイバーセキュリティ
Managing cybersecurity risk is a crucial part of our overall strategy for safely operating our business. We incorporate cybersecurity practices into our Enterprise Risk Management (ERM) approach, which is subject to oversight by our BOD. Our cybersecurity policies and practices are aligned with relevant industry standards.	サイバーセキュリティ・リスクのマネジメントは、事業を安全に運営するための全体的な戦略の極めて重要な部分である。当社はサイバーセキュリティの実践をエンタープライズ・リスク・マネジメント（ERM）アプローチに組み込んでおり、これは取締役会の監督を受けている。当社のサイバーセキュリティ方針と実践は、関連する業界標準に沿ったものである。
Consistent with our overall ERM program and practices, our cybersecurity program includes:	当社の全体的なERMプログラムおよび慣行と一貫して、当社のサイバーセキュリティ・プログラムには以下が含まれる：
• Vigilance: We maintain a global cybersecurity operation that endeavors to detect, prevent, contain, and respond to cybersecurity threats and incidents in a prompt and effective manner with the goal of minimizing business disruptions. <	・警戒: 警戒:当社は,事業の中断を最小限に抑えることを目標に,サイバーセキュリティの脅威およびインシデントを迅速かつ効果的な方法で検知,予防,封じ込め,対応するよう努めるグローバルなサイバーセキュリティ業務を維持している。
• External Collaboration: We collaborate with public and private entities, including intelligence and law enforcement agencies, industry groups and third-party service providers to identify, assess and mitigate cybersecurity risks.	・外部との連携: 情報機関や法執行機関,業界団体,サードパーティ・サービス・プロバイダを含む官民の事業体と協力し,サイバーセキュリティ・リスクを特定,アセスメント,軽減する。
• Systems Safeguards: We deploy technical safeguards that are designed to protect our information systems, products, operations and sensitive information from cybersecurity threats. These include firewalls, intrusion prevention and detection systems, disaster recovery capabilities, malware and ransomware prevention, access controls and data protection. We continuously conduct vulnerability assessments to identify new risks and periodically test the efficacy of our safeguards through both internal and external penetration tests.	・システム・セーフガード: システムの防御:当社は,当社の情報システム,製品,業務,および機密情報をサイバーセキュリティの脅威から保護するための技術的な防御策を導入している。これには,ファイアウォール,侵入防御・検知システム,災害復旧機能,マルウェアやランサムウェアの防止,アクセス管理,データ保護などが含まれる。また,新たなリスクを特定するために脆弱性アセスメントを継続的に実施し,社内外の侵入テストを通じて定期的に保護措置の有効性を検証している。
• Education: We provide periodic training for all personnel regarding cybersecurity threats, with such training appropriate to the roles, responsibilities and access of the relevant Company personnel. Our policies require all workers to report any real or suspected cybersecurity events.	・教育: 教育:当社は,サイバーセキュリティの脅威に関する定期的なトレーニングを全従業員に提供し,当該従業員の役割,責任,およびアクセスに応じた適切なトレーニングを行う。当社のポリシーでは,すべての従業員に対し,サイバーセキュリティに関する事実またはその疑いがある事象を報告することを義務付けている。
• Supplier Ecosystem Management: We extend our cybersecurity management control expectations to our supply chain ecosystem, as applicable. This includes identifying cybersecurity risks presented by third parties.	・サプライヤーのエコシステム管理: サプライヤーのエコシステム管理:当社は,サイバーセキュリティ管理統制に期待される範囲を,該当す るサプライチェーンのエコシステムにも拡大する。これには,サードパーティがもたらすサイバーセキュリティリスクの識別が含まれる。
• Incident Response Planning: We have established, and maintain and periodically test, incident response plans that direct our response to cybersecurity events and incidents. Such plans include the protocol by which material incidents would be communicated to executive management, our BOD, external regulators and shareholders.	・インシデント対応計画: インシデント対応計画:当社は,サイバーセキュリティのイベントやインシデントへの対応を指示するインシデント対応計画を策定し,維持し,定期的にテストしている。このような計画には,重要なインシデントが経営陣,取締役会,外部の規制当局,株主に伝達される手順が含まれる。
• Enterprise-Wide Coordination: We engage experts from across the Company to identify emerging risks and respond to cybersecurity threats. This cross-functional approach includes personnel from our R&D, manufacturing, commercial, technology, legal, compliance, internal audit and other business functions.	・エンタープライズ全体の調整: 全社的な調整:当社では,新たなリスクを特定し,サイバーセキュリティの脅威に対応するために,全社的な専門家を関与させている。この部門横断的アプローチには,研究開発,製造事業者,商業,技術,法務,コンプライアンス,内部監査,その他の事業機能の担当者が含まれる。
• Governance: Our BOD’s oversight of cybersecurity risk management is led by the Audit Committee, which oversees our ERM program. Cybersecurity threats, risks and mitigation are periodically reviewed by the Audit Committee and such reviews include both internal and independent assessment of risks, controls and effectiveness.	・ガバナンス: ガバナンス:当社の取締役会によるサイバーセキュリティ・リスクマネジメントの監視は,当社のERMプログラムを監督する監査委員会が主導している。サイバーセキュリティの脅威,リスク,低減は監査委員会により定期的にレビューされ,そのレビューにはリスク,統制,有効性に関する内部評価と独立した評価の両方が含まれる。
Our risk assessment efforts have indicated that we are a target for theft of intellectual property, financial resources, personal information, and trade secrets from a wide range of actors including nation states, organized crime, malicious insiders and activists. The impacts of attacks, abuse and misuse of Pfizer’s systems and information include, without limitation, loss of assets, operational disruption and damage to Pfizer’s reputation.	当社のリスクアセスメントによると、当社は国家、組織犯罪、悪意のある内部関係者、活動家など、さまざまな主体から知的財産、財務資源、個人情報、企業秘密を窃取される標的となっている。ファイザーのシステムおよび情報に対する攻撃、悪用、および悪用の影響には、資産の損失、業務の中断、およびファイザーの評判に対する損害が含まれるが、これらに限定されない。
A key element of managing cybersecurity risk is the ongoing assessment and testing of our processes and practices through auditing, assessments, drills and other exercises focused on evaluating the sufficiency and effectiveness of our risk mitigation. We regularly engage third parties to perform assessments of our cybersecurity measures, including information security maturity assessments and independent reviews of our information security control environment and operating effectiveness. Certain results of such assessments and reviews are reported to the Audit Committee and the BOD, as appropriate, and we make adjustments to our cybersecurity processes and practices as necessary based on the information provided by the third-party assessments and reviews.	サイバーセキュリティ リスク マネジメントの重要な要素は、監査、リスク アセスメント、訓練、および当社のリスク低減の十分性と有効性を評価することに重点を置いたその他の演習を通じて、当社のプロセスと実践を継続的に評価およびテストすることである。当社は、情報セキュリティ成熟度評価、情報セキュリティ管理環境および運用の有効性に関する独立したレビューなど、当社のサイバーセキュリティ対策のアセスメントを実施するため、定期的にサードパーティを起用している。このような評価およびレビューの一定の結果は、適宜、監査委員会および取締役会に報告され、当社はサードパーティによる評価およびレビューによってプロバイダから提供された情報に基づいて、必要に応じてサイバーセキュリティ・プロセスおよび慣行の調整を行う。
The Audit Committee oversees cybersecurity risk management, including the policies, processes and practices that management implements to prevent, detect and address risks from cybersecurity threats. The Audit Committee receives regular briefings on cybersecurity risks and risk management practices, including, for example, recent developments in the external cybersecurity threat landscape, evolving standards, vulnerability assessments, third-party and independent reviews, technological trends and considerations arising from our supplier ecosystem. The Audit Committee may also promptly receive information regarding any material cybersecurity incident that may occur, including any ongoing updates regarding the same. The Audit Committee periodically discusses our approach to cybersecurity risk management with our Chief Information Security Officer (CISO).	監査委員会は、サイバーセキュリティの脅威によるリスクを防止、検知、対処するためにマネジメントが実施する方針、プロセス、慣行を含むサイバーセキュリティのリスクマネジメントを監督する。監査委員会は、サイバーセキュリティリスクおよびリスクマネジメントの実践に関する定期的なブリーフィングを受ける。これには、例えば、外部のサイバーセキュリティ脅威の状況における最近の動向、進化する標準、脆弱性評価、サードパーティおよび独立機関によるレビュー、技術動向、当社のサプライヤーエコシステムから生じる考慮事項などが含まれる。監査委員会はまた、発生する可能性のある重要なサイバーセキュリティインシデントに関する情報（同インシデントに関する継続的な更新を含む）を速やかに受け取ることができる。監査委員会は、サイバーセキュリティ・リスクマネジメントに対する当社のアプローチについて、当社の最高情報セキュリティ責任者（CISO）と定期的に協議している。
Our CISO is a member of our management team who is principally responsible for overseeing our cybersecurity risk management program, in partnership with other business leaders across the Company. The CISO works in coordination with other members of the management team, including, among others, the Chief Digital Officer, the Chief Financial Officer, the Chief Compliance and Risk Officer and the General Counsel and their designees. We believe our business leaders have the appropriate expertise, background and depth of experience to manage risks arising from cybersecurity threats.	当社のCISOは当社のマネジメント・チームのメンバーであり、当社全体の他のビジネス・リーダーと連携して、当社のサイバーセキュリティ・リスク管理プログラムを監督する主な責任を負っている。CISOは、チーフ・デジタル・オフィサー、チーフ・ファイナンシャル・オフィサー、チーフ・コンプライアンス＆リスク・オフィサー、ジェネラル・カウンセルおよびその被指名人など、マネジメント・チームの他のメンバーと連携して業務を遂行する。当社のビジネスリーダーは、サイバーセキュリティの脅威から生じるリスクをマネジメントするための適切な専門知識、経歴、豊富な経験を有していると確信している。
Our CISO, along with leaders from our privacy and corporate compliance functions, collaborate to implement a program designed to manage our exposure to cybersecurity risks and to promptly respond to cybersecurity incidents. Prompt response to incidents is delivered by multi-disciplinary teams in accordance with our incident response plan. Through ongoing communications with these teams during incidents, the CISO monitors the triage, mitigation and remediation of cybersecurity incidents, and reports such incidents to executive management, the Audit Committee and other Pfizer colleagues in accordance with our cybersecurity policies and procedures, as is appropriate.	当社のCISOは、プライバシーおよび企業コンプライアンス機能のリーダーとともに、サイバーセキュリティリスクへのエクスポージャーを管理し、サイバーセキュリティインシデントに迅速に対応するためのプログラムを実施するために協力している。インシデントへの迅速な対応は、当社のインシデント対応計画に基づき、複数の部門からなるチームによって行われる。インシデント発生中のこれらのチームとの継続的なコミュニケーションを通じて、CISO はサイバーセキュリティ・インシデントのトリアージ、低減、および修復を監視し、そのようなインシデントを適切な場合、当社のサイバーセキュリティ方針および手順に従って経営幹部、監査委員会、および他のファイザーの同僚に報告する。
As of the date of this Form 10-K, we are not aware of any cybersecurity incidents that have materially affected or are reasonably likely to materially affect the Company, including our business strategy, results of operations, or financial condition at this time. For further discussion of the risks associated with cybersecurity incidents, see the Item 1A. Risk Factors—Information Technology and Security section in this Form 10-K.	本フォーム 10-K の日付現在、当社の事業戦略、経営成績、財務状況など、当社に重大な影響を及ぼした、または及ぼす可能性のあるサイバーセキュリティインシデントを当社は認識していない。サイバーセキュリティインシデントに関連するリスクの詳細については、項目1A. リスク要因-情報技術およびセキュリティ」を参照のこと。

 

 

Coca-Cola

・2024.02.21 10-K (Annual report)

Item 1C Cybersecurity	項目1C サイバーセキュリティ
Risk Management and Strategy	リスクマネジメント戦略
The Company is committed to maintaining robust processes to assess, identify and mitigate material risks from cybersecurity threats and to protect against, detect and respond to cybersecurity incidents. We integrate these processes into the Company’s overall risk management program and, through the Company’s Cybersecurity Incident Response Plan, we document the intended processes and the roles and responsibilities of teammates involved in assessing, identifying and managing material risks from cybersecurity threats. Periodically, the Company engages third parties to assist in the assessment and ongoing development of cybersecurity processes.	当社は、サイバーセキュリティの脅威による重大なリスクを評価、特定、軽減し、サイバーセキュリティインシデントから保護、検知、対応するための強固なプロセスの維持に努めている。当社はこれらのプロセスを当社の全体的なリスク管理プログラムに統合し、当社のサイバーセキュリティ・インシデント対応計画を通じて、サイバーセキュリティの脅威から生じる重大なリスクの評価、特定、マネジメントに関与するチームメンバーの意図するプロセスおよび役割と責任を文書化している。当社は定期的に、サイバーセキュリティ・プロセスのアセスメントと継続的な開発を支援するサードパーティを起用している。
Our cybersecurity processes are grounded in the National Institute of Standards and Technology Cybersecurity Framework and include a number of different preventative measures. The Company performs periodic risk assessments of systems and applications to identify risks, vulnerabilities and threats in systems and software, performs an annual assessment of the effectiveness of the current	当社のサイバーセキュリティ・プロセスは、国立標準技術研究所のサイバーセキュリティ・フレームワークに基づき、さまざまな予防策を含んでいる。当社は、システムおよびソフトウェアのリスク、脆弱性、脅威を特定するために、システムおよびアプリケーションのリスクアセスメントを定期的に実施し、システムおよびソフトウェアに存在するリスク、脆弱性、脅威を特定するために、システムおよびアプリケーションのリスクアセスメントを定期的に実施する。
cybersecurity response process by conducting incident response tabletop exercises that involve participation by members of the management team, and requires all teammates to participate in user awareness training for information technology and cybersecurity./span>	経営陣も参加するインシデント対応机上演習を実施することで、現在のサイバーセキュリティ対応プロセスの有効性を毎年評価し、全社員に情報テクノロジーおよびサイバーセキュリティに関するユーザー意識向上およびトレーニングへの参加を義務付けている。
Our systems are reasonably designed to enable the information technology infrastructure group to capture application, system and network alerts. In the event of a cybersecurity incident, the Cyber Incident Response Team (the “CIRT”), led by a designated Cyber Incident Coordinator (the “CIC”), is responsible for collecting and analyzing relevant data about the incident and its risks. Members of the CIRT, including the CIC, are selected based on their knowledge of either cybersecurity or the specific information systems or business function affected by the incident.	当社のシステムは、情報技術インフラストラクチャグループがアプリケーション、システム、ネットワークのアラートを捕捉できるように合理的に設計されている。サイバーセキュリティインシデントが発生した場合、指定されたサイバーインシデントコーディネーター（「CIC」）が率いるサイバーインシデント対応チーム（「CIRT」）が、インシデントとそのリスクに関する関連データの収集と分析を担当する。CICを含むCIRTのメンバーは、サイバーセキュリティまたはインシデントの影響を受ける特定の情報システムもしくは業務機能のいずれかの知識に基づいて選出される。
As part of planning for any suspected cybersecurity incident, the CIRT has developed certain incident response strategies to help collect and preserve forensic data, to mitigate the threat and to perform other activities to restore systems to normal operation. These strategies include many of the practices recommended by the U.S. Department of Homeland Security’s Industrial Control Systems Computer Emergency Response Team. In addressing and resolving a significant cybersecurity incident, the Company may engage external experts in relevant fields, such as legal or forensic services, as needed. The Company also has a process whereby the Chief Information Officer (the “CIO”) periodically meets with and assesses third-party service providers in order to help ensure the Company is made aware of any potential material cybersecurity threats or incidents in a timely manner. The Company’s largest external service provider is CONA, as further discussed in “Item 1A. Risk Factors” of this report.	サイバーセキュリティのインシデントが疑われる場合の対応計画の一環として、CIRTは、フォレンジック・データの収集と保存、脅威の軽減、およびシステムを通常運用に戻すためのその他の活動を支援するために、一定のインシデント対応戦略を策定している。これらの戦略には、米国国土安全保障省の産業制御システム・コンピュータ緊急対応チームが推奨するプラクティスの多くが含まれている。重大なサイバーセキュリティインシデントに対処し解決する際、当社は必要に応じて、法律やフォレンジックサービスなど、関連分野の外部専門家に依頼することがある。当社はまた、最高情報責任者（CIO）がサードパーティーのサービスプロバイダーと定期的に面談し、アセスメントを行うことで、重大なサイバーセキュリティの脅威やインシデントが発生する可能性があることをタイムリーに把握できるようにしている。当社の最大の外部サービスプロバイダーはCONAである。リスク要因」で詳述する。
During 2023, there were no identified cybersecurity risks or threats, including as a result of previous cybersecurity incidents, that had, or were reasonably likely to have, a material effect on our business strategy, results of operations or financial condition. While we maintain cybersecurity insurance, the costs related to cybersecurity incidents or disruptions may not be fully insured. See “Item 1A. Risk Factors” for a discussion of cybersecurity risks.	2023年中、過去のサイバーセキュリティ・インシデントの結果も含め、当社の事業戦略、経営成績または財政状態に重大な影響を及ぼす、または及ぼす可能性が合理的に高い、特定されたサイバーセキュリティ・リスクまたは脅威はなかった。当社はサイバーセキュリティ保険に加入しているが、サイバーセキュリティインシデントや混乱に関連する費用は完全に保険で賄えない可能性がある。項目1A. リスク要因」を参照のこと。
Governance	ガバナンス
The Information Security Director, who reports to the CIO, is responsible for establishing basic policies and procedures related to cybersecurity.The Information Security Director is also responsible for selecting the CIRT and the CIC to lead the response to each incident. Established policies and procedures are employed by the CIRT in planning and executing a response to a cybersecurity incident. The CIO and the Information Security Director have over 55 combined years of information technology and program management experience and have served over 31 combined years in the Company’s corporate information security organization. They are familiar with the Company’s cybersecurity landscape, risks and best practices for mitigation of those risks identified.	情報セキュリティ・ディレクターはCIOの直属であり、サイバーセキュリティに関する基本的な方針と手順を確立する責任を負っている。情報セキュリティ・ディレクターはまた、各インシデントへの対応を主導するCIRTとCICを選定する責任も負っている。確立されたポリシーと手順は、CIRT がサイバーセキュリティインシデントへの対応計画を立案し、実行する際に採用される。CIOと情報セキュリティ・ディレクターは、合わせて55年以上の情報技術およびプログラム管理の経験を有し、当社の情報セキュリティ組織で合わせて31年以上勤務している。彼らは当社のサイバーセキュリティの状況、リスク、特定されたリスクを低減するためのベストプラクティスに精通している。
The Company has developed a matrix to assist in determining if a cybersecurity incident is significant. The Information Security Director, with the help of the CIRT, determines whether an incident should be escalated to executive management, including to the Chief Executive Officer, the Chief Financial Officer and the General Counsel, based on its significance. Once escalated, executive management determines the appropriate incident handling strategy, with input from the Information Security Director, including whether the incident warrants immediate notification to the Audit Committee of the Board of Directors. After determining the incident handling approach, the CIC regularly updates executive management on incident response progress to ensure it is aware of the business risks posed by the incident until the incident is resolved.	当社は、サイバーセキュリティインシデントが重大かどうかを判断するためのマトリクスを開発した。情報セキュリティ・ディレクターは、CIRT の助けを借りて、インシデントがその重要性に基づいて、最高経営責任者、最高財務責任者、法律顧問を含む経営幹部にエスカレーションされるべきかどうかを決定する。一旦エスカレーションされると、経営幹部は、インシデントが取締役会の監査委員会に直ちに通知する必要があるかどうかを含め、情報セキュリティ・ディレクターの意見を取り入れながら、適切なインシデント・ハンドリング戦略を決定する。インシデントハンドリングのアプローチを決定した後、CICは定期的にインシデント対応の進捗状況を経営陣に報告し、インシデントが解決されるまで、インシデントがもたらすビジネスリスクを経営陣が認識できるようにする。
The Board of Directors delegates oversight of information technology and cybersecurity to the Audit Committee of the Board of Directors. As part of this oversight, information technology leadership annually provides a detailed cybersecurity update to the Audit Committee. Additionally, on a quarterly basis, the Audit Committee receives a summarized cybersecurity update, including the results of teammate phishing testing programs and the results of the quarterly cybersecurity disclosure questionnaires. In the event of a material cybersecurity incident, the Audit Committee will report such incident to the full Board of Directors.	取締役会は、情報テクノロジーとサイバーセキュリティの監督を取締役会監査委員会に委任している。この監視の一環として、情報技術指導部は毎年、監査委員会にサイバーセキュリティに関する詳細な最新情報を提供している。さらに四半期ごとに、監査委員会はチームメイトのフィッシング・テスト・プログラムの結果や四半期ごとのサイバーセキュリティ開示アンケートの結果など、サイバーセキュリティに関する最新情報の要約を受け取る。重要なサイバーセキュリティインシデントが発生した場合、監査委員会は当該インシデントを取締役会に報告する。

 

 

McDonalds Corp.

・2024.02.22 10-K (Annual report)

CYBERSECURITY	サイバーセキュリティ
Governance	ガバナンス
Management has primary responsibility for enterprise-wide risk management (“ERM”), including cybersecurity risk, within our Company, as detailed below. Our Board of Directors is responsible for overseeing our ERM framework and exercises this oversight both as a full Board and through its standing committees. Our Board’s Public Policy & Strategy Committee (“PPS Committee”) has oversight responsibility for our strategy and processes relating to cybersecurity risk management. Our PPS Committee receives updates at regular intervals on cybersecurity matters from management, including our Global Chief Information Officer (“CIO”) and Chief Information Security Officer (“CISO”) who, as discussed below, are responsible for assessing and managing material cybersecurity risks. Such updates include a discussion of the status of our cybersecurity landscape and our cybersecurity strategies, including potential risks and mitigation efforts. If a cybersecurity incident meets our established internal escalation threshold, accelerated reporting of the incident is provided to the applicable members of the Board. The PPS Committee also considers potential remedies to any strategic or process gaps that may be identified during the Company’s review of specific cybersecurity incidents.	経営陣は、以下に詳述するとおり、サイバーセキュリティ・リスクを含むエンタープライズ全体のリスクマネジメント（以下「ERM」という。当社の取締役会は、当社のERMフレームワークを監督する責任を負っており、取締役会全体として、また常任委員会を通じてこの監督を行う。当社取締役会の公共政策・戦略委員会（「PPS委員会」）は、サイバーセキュリティ・リスクマネジメントに関する当社の戦略とプロセスに対する監督責任を有する。当社のPPS委員会は、後述するように、重要なサイバーセキュリティリスクのアセスメントとマネジメントに責任を負う当社のグローバル最高情報責任者（CIO）および最高情報セキュリティ責任者（CISO）を含む経営陣から、サイバーセキュリティに関する最新情報を定期的に受け取っている。このような更新には、当社のサイバーセキュリティの状況、および潜在的リスクと低減努力を含む当社のサイバーセキュリティ戦略に関する議論が含まれる。サイバーセキュリティインシデントが社内で確立されたエスカレーション閾値を満たした場合、インシデントの迅速な報告が該当する取締役会メンバーに提供される。PPS委員会はまた、特定のサイバーセキュリティ・インシデントのレビュー中に特定される可能性のある戦略上またはプロセス上のギャップに対する潜在的な改善策を検討する。
Our Board of Directors recognizes the importance to the Company of effectively identifying, assessing and managing risks that could have a significant impact on our business strategy. The ERM framework leverages internal risk committees comprised of cross-functional leadership who meet regularly to evaluate and prioritize risks, including cybersecurity risk, in the context of our strategy, with further escalation to our CEO, Board and/or Committees, as appropriate. Effective management of cybersecurity risks is critical to the successful execution of our business strategy.	当社の取締役会は、当社の事業戦略に重大な影響を及ぼしうるリスクを効果的に特定、アセスメント、マネジメン トすることが当社にとって重要であることを認識している。ERMの枠組みは、サイバーセキュリティ・リスクを含むリスクを当社の戦略に照らして評価し、優先順位を決定するために定期的に開催される、部門横断的なリーダーシップで構成される社内のリスク委員会を活用しており、必要に応じてCEO、取締役会、および/または委員会にさらにエスカレーションされる。サイバーセキュリティ・リスクを効果的にマネジメントすることは、当社の事業戦略を成功裏に遂行するために不可欠である。
Risk Management and Strategy	リスクマネジメント戦略と戦略
Our CIO and CISO are responsible for assessing and implementing our cybersecurity risk management programs, which are informed by the National Institute of Standards and Technology (NIST) Cybersecurity Framework. These leaders and their teams have significant relevant experience in various fields, such as incident response, application security, data protection, network security and identity and access management, and have implemented and executed security programs across multiple industries at Fortune 100 companies. Our programs are designed to create a comprehensive, cross-functional approach to identify and mitigate cybersecurity risks as well as to prevent cybersecurity incidents in an effort to support business continuity and achieve operational resiliency.	当社のCIOとCISOは、国立標準技術研究所（NIST）のサイバーセキュリティ・フレームワークに準拠したサイバーセキュリティ・リスクマネジメント・プログラムのアセスメントと実施に責任を負っている。これらのリーダーとそのチームは、インシデント対応、アプリケーション・セキュリティ、データ保護、ネットワーク・セキュリティ、ID・アクセス管理など、さまざまな分野で関連する重要な経験を有しており、フォーチュン100社のさまざまな業界でセキュリティ・プログラムを実施・実行してきた。当社のプログラムは、サイバーセキュリティ・リスクを特定・軽減し、サイバーセキュリティ・インシデントを未然に防ぐための包括的かつ部門横断的なアプローチを構築することで、事業継続を支援し、業務レジリエンスを実現することを目的としている。
We leverage certain third-party providers and local technology support teams to help execute certain aspects of our cybersecurity risk management programs. We also engage third parties in assessments and testing of our policies, processes and standards that are designed to identify and remediate cybersecurity incidents. These efforts include a wide range of activities focused on evaluating the effectiveness of the program, including audits, modeling, tabletop exercises and vulnerability testing. We also periodically engage independent third parties to perform assessments and evaluations of certain aspects of our information security control environment and operation of our program. Further, we have various processes and programs to manage cybersecurity risks associated with our use of third-party vendors and suppliers.	当社は、サイバーセキュリティ・リスク管理プログラムの特定の側面の実行を支援するために、特定のサードパーティ・プロバイダーと現地の技術サポート・チームを活用している。また、サイバーセキュリティ・インシデントの特定と是正を目的とした当社のポリシー、プロセス、標準のアセスメントとテストにサードパーティを関与させている。こうした取り組みには、監査、モデリング、机上演習、脆弱性テストなど、プログラムの有効性評価に焦点を当てた幅広い活動が含まれる。また、独立したサードパーティを定期的に雇い、当社の情報セキュリティ管理環境とプログラムの運用の特定の側面についてアセスメントと評価を行っている。さらに、サードパーティーのベンダーやサプライヤーの利用に関連するサイバーセキュリティ・リスクを管理するためのさまざまなプロセスやプログラムを用意している。
We provide regular, mandatory training for employees regarding cybersecurity threats to bring awareness on how they can help prevent and report potential cybersecurity incidents. In addition, key stakeholders involved with our cybersecurity risk management programs receive additional training and regularly participate in scenario-based training exercises to support the effective administration of our programs.	従業員に対しては、サイバーセキュリティの脅威に関する定期的な必須トレーニングを実施し、潜在的なサイバーセキュリティインシデントの予防と報告について従業員の意識向上を図っている。さらに、当社のサイバーセキュリティ・リスクマネジメント・プログラムに関与する主要な利害関係者は、追加的なトレーニングを受け、当社のプログラムの効果的な運営をサポートするために、シナリオベースのトレーニング演習に定期的に参加している。
We have established and regularly tested incident response processes and controls that identify and risk-rank incidents through a centralized system to promote timely escalation of cybersecurity incidents that exceed a particular level of risk, including escalation of incidents of sufficient magnitude or severity to our CIO and CISO. In evaluating cybersecurity incidents, management considers the potential impact to our results of operations, control framework, and financial condition, as well as the potential impact, if any, to our business strategy or reputation.	当社は、特定のリスクレベルを超えるサイバーセキュリティインシデントのタイムリーなエスカレーション（十分な規模または重大性のあるインシデントのCIOおよびCISOへのエスカレーションを含む）を促進するため、集中システムを通じてインシデントを特定し、リスクランク付けするインシデント対応プロセスおよびコントロールを確立し、定期的にテストしている。サイバーセキュリティインシデントを評価する際、経営陣は当社の経営成績、統制の枠組み、財務状況に与える潜在的な影響、および事業戦略や評判に与える潜在的な影響（もしあれば）を考慮する。
Cybersecurity threats, including as a result of our previous cybersecurity incidents, have not materially affected our results of operations or financial condition, including our business strategy, in 2023. For additional information on risks from cybersecurity threats, please see our Risk Factors beginning on page 28.	当社の過去のサイバーセキュリティ・インシデントの結果を含むサイバーセキュリティの脅威は、2023年において、当社の事業戦略を含む経営成績または財政状態に重大な影響を及ぼしていない。サイバーセキュリティの脅威によるリスクに関する追加情報については、28ページから始まる「リスク要因」を参照されたい。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.19 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

・2024.07.15 SECのルールの改正によるサイバーセキュリティ開示 (20-F) ORIX、野村、タケダ、ソニー、トヨタ、ホンダの場合

・2024.07.14 SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

・2024.06.02 米国 SEC ニューヨーク証券取引所を所有するインターコンチネンタル取引所をサイバー侵入をしていたのに通知しなかったいうことで1000万ドル（約16億円）の罰金を受け入れていますね... (2024.05.22)

・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2023.03.17 米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案

 

 

 

防衛白書（2024年）

こんにちは、丸山満彦です。

防衛省が令和6年、2024年の防衛白書を公表しましたね。。

70周年...

今年も表紙がいいですね。。。

今年の表紙のコンセプトは、刀鍛冶。込められた思いは抑止力の維持ですかね...ほとんど全ての市井の人は戦争なんてしたくないし、戦争に行きたくもない...

---

表紙のコンセプト「刀鍛冶」

防衛省・自衛隊は発足以来、「刀を抜かないために」必死で刀を鍛えてきました。すなわち、抑止力となる刀を鍛え上げ、わが国に対する武力侵攻を未然に防いできました。自衛隊発足70周年の節目にあたり、国家安全保障戦略などを踏まえ、わが国の防衛力、抑止力が順調に強化されている様と、今後もたゆまぬ努力を続ける決意を表現しています。

---

 

特集１　白書でひも解く 自衛隊発足70年の歩み

特集２　私はこうして「日本を守る! 」

 

 

・2024.07.12 報道・白書・広報イベント｜令和６年度版防衛白書を掲載

 

---

 

サイバーという用語は508ヶ所にでてきますね...

新しい領域ということで、宇宙、サイバー、電磁波に関する文書が増えていますかね...

 

---

第I部

第4章 宇宙・サイバー・電磁波の領域や情報戦などをめぐる動向・国際社会の課題など

第3節 サイバー領域をめぐる動向

1 サイバー空間と安全保障

インターネットは、様々なサービスやコミュニティが 形成され、新たな社会領域（サイバー空間）として重要 性を増している。このため、サイバー空間上の情報資産 やネットワークを侵害するサイバー攻撃は、社会に深刻 な影響を及ぼすことができるため、安全保障にとって現 実の脅威となっている。 サイバー攻撃の種類は、不正アクセス、マルウェア（不 正プログラム）による情報流出や機能妨害、情報の改ざ ん・窃取、大量のデータの同時送信による機能妨害のほ か、電力システムや医療システムなど重要インフラのシ ステムダウンや乗っ取りなどがあげられる。また、AIを 利用したサイバー攻撃の可能性も指摘されるなど、攻撃 手法は高度化、巧妙化している。 軍隊にとっても、サイバー空間は、指揮中枢から末端 部隊に至る指揮統制のための基盤であり、サイバー空間 への依存度が増大している。サイバー攻撃は、攻撃主体 の特定や被害の把握が容易ではないことから、敵の軍事 活動を低コストで妨害できる非対称な攻撃手段として認 識されており、多くの国がサイバー攻撃能力を開発して いるとみられる。

2 サイバー空間における脅威の動向

諸外国の政府機関や軍隊のみならず民間企業や学術機関などに対するサイバー攻撃が多発しており、重要技術、機密情報、個人情報などが標的となっている。また、高度サイバー攻撃（A Advanced Persistent Threat PT）は、特定の組織を執拗に攻撃するとされ、長期的な活動を行うための潤沢なリソース、体制や能力が必要となることから、組織的活動であるとされる。

このようなサイバー攻撃に対処するために、脅威認識の共有などを通じて諸外国との技術面・運用面の協力が求められている。こうしたなか、米国は、攻撃主体が悪意のあるサイバー活動によって非対称な優位性を獲得し、重要インフラを標的にすることで、米国の軍事的優位性を低下させていると評価しており、特に、中国、ロシア、北朝鮮、イランをあげている¹ 。

1　中国

中国では、これまで、サイバー戦部隊は戦略支援部隊のもとに編成されていたとみられてきたが、この戦略支援部隊は、2024年に信息(情報)支援部隊などに再編された可能性が指摘されている。なお、2024年以前の戦略支援部隊は17万5,000人規模とされており、このうち、サイバー攻撃部隊は3万人との指摘もあった。台湾国防部は、サイバー領域における安全保障上の脅威として、中国が平時において、情報収集・情報窃取によりサイバー攻撃ポイントを把握し、有事では、国家の基幹インフラや情報システムの破壊、社会の動揺、秩序の混乱をもたらし、軍や政府の治安能力を破壊すると指摘している²。また、中国が2019年に発表した国防白書「新時代における中国の国防」において、軍によるサイバー空間における能力構築を加速させるとしているなど、軍のサイバー戦能力を強化していると考えられる。

3章2節2項5（軍事態勢）

中国は、サイバー空間において、日常的に技術窃取や国外の敵対者の監視活動を実施しているとされ³ 、2023年には、次の事案への関与が指摘されている。

・　2023年4月、米司法省は、米居住の中国反体制派のオンライン会議において、反体制派の発信をメッセージの大量送信により妨害したとして、中国政府職員を起訴。

・　2023年5月、米国と英国などは、中国政府が支援するサイバーアクター「Volt Typhoon」が米国の重要インフラに侵入していたと公表。痕跡が残らないように、侵入先の環境にあるネットワークツールを使用して検知を回避していたと指摘。

・　2023年7月、米IT企業は、中国を拠点とするサイバーアクター「Storm-0558」が米国務省、商務省などの電子メールアカウントをハッキングしていたと公表。

・　2023年8月、米IT企業は、中国を拠点とするサイバーアクター「Flux Typhoon」が台湾の政府機関などに侵入し、長期的なアクセスを確立・維持していたと公表。

・　2023年9月、警察庁・内閣サイバーセキュリティセンターなどは、中国を背景とするサイバーアクター「BlackTech」がわが国を含む東アジアと米国の政府、産業、技術分野などの情報窃取を目的としたサイバー攻撃をしたとして注意喚起。

2　北朝鮮

北朝鮮には、偵察総局、国家保衛省、朝鮮労働党統一戦線部、文化交流局の4つの主要な情報機関と対外情報機関が存在しており、情報収集の主たる標的は韓国、米国とわが国であるとの指摘がある⁴ 。また、人材育成はこれらの機関が行っており⁵ 、軍の偵察総局を中心に、サイバー部隊を集中的に増強し、約6,800人を運用中と指摘されている⁶ 。各種制裁措置が課せられている北朝鮮は、国際的な統制をかいくぐり、通貨を獲得するための手段としてサイバー攻撃を利用しているとみられる⁷ほか、軍事機密情報の窃取や他国の重要インフラへの攻撃能力の開発などを行っているとされる。2024年に発表された「国連安保理北朝鮮制裁委員会専門家パネル2023年最終報告書」においては、2017年から2023年までの北朝鮮の関与が疑われる暗号資産関連企業に対する58件のサイバー攻撃の被害が約30億ドルにのぼるほか、北朝鮮は外貨収入の約5割をサイバー攻撃により獲得し大量破壊兵器計画に使用していると報告されている。2023年には、次の事案への関与が指摘されている。

・　2023年4月、米司法省は、サイバー攻撃によって得た暗号資産を資金洗浄したなどとして北朝鮮の朝鮮貿易銀行の幹部を起訴。

・　2023年6月、韓国と米国は、北朝鮮のサイバーアクター「キムスキー」がソーシャルエンジニアリングを利用した不正アクセスによって外交情報を収集していたとして注意喚起。

・　2023年7月、米セキュリティ企業は、北朝鮮偵察総局傘下とみられるサイバーアクターが米ソフトウェア事業者のシステムに侵入し、この事業者の顧客に対して悪意のあるスクリプトを実行したと発表。

・　2023年8月、米連邦捜査局は、北朝鮮のサイバーアクターが6月に複数事業者から数億ドル相当の暗号資産を窃取していたとして注意喚起。

・　2023年10月、韓国国家情報院は、8月と9月に北朝鮮のハッカーが韓国国内の造船企業やその従業員に対して、技術情報窃取とみられるサイバー攻撃の試みを検知したとして注意喚起。

3　ロシア

ロシアについては、軍参謀本部情報総局、連邦保安庁、対外情報庁がサイバー攻撃に関与しているとの指摘があるほか、軍のサイバー部隊⁸ の存在が明らかとなっている。サイバー部隊は、敵の指揮・統制システムへのマル ウェアの挿入を含む攻撃的なサイバー活動を担うとされ⁹、その要員は、約1,000人と指摘されている。また、2021年に公表した国家安全保障戦略において、宇宙・情報空間は、軍事活動の新たな領域として活発に開発されているとの認識を示し、情報空間におけるロシアの主権の強化を国家の優先課題として掲げている。なお、2019年には、サイバー攻撃などの際にグローバルネットワークから自国のネットワークを遮断し、ネットワークの継続性を確保することを想定したいわゆるインターネット主権法を施行している。ロシアは、スパイ活動、影響力行使、攻撃に関する能力を向上させているとされ¹⁰ 、2023年には、次の事案への関与が指摘されている。

・　2023年4月、ポーランドは、ロシア連邦保安庁に関連するサイバーアクターがEU諸国の省庁などを標的とする広範な諜報活動を観測したとして注意喚起。大使館を装い、マルウェアを挿入させるリンク付き電子メールを送信していたと指摘。

・　2023年5月、米国と英国などは、ロシア連邦保安庁がマルウェア「Snake」を使用し、50か国以上で20年近く諜報活動をしていたと発表。マルウェアに感染したコンピュータは、暗号化したネットワークを構築し、偽装した通信を中継していたと指摘。

・　2023年6月、ウクライナは、ロシアのサイバーアクター「APT28」がウクライナの省庁などに対して、ウェブメールの脆弱性を悪用した諜報活動をしていたとして注意喚起。

・　2023年8月、ウクライナ、英国、米国は、ロシア軍参謀本部情報総局がウクライナ軍の使用する端末に対して新しいマルウェア「Infamous Chisel」を展開しようとしていたとして注意喚起。

・　2023年12月、英国と米国などは、ロシア連邦保安庁傘下のサイバーアクター「Star Blizzard」が英国やその他の地域の組織や個人を標的とするスピアフィッシング攻撃をしていたとしてロシアを非難。

4　その他の脅威の動向近年では、日常的に使用する製品の脆弱性やセキュリティが緩い取引先などを介したサプライチェーン攻撃や、重要インフラなどの産業制御システムへのサイバー攻撃も注目されている。

サプライチェーン攻撃は、製品の部品調達から販売に至る供給過程において、信頼している組織やソフトウェアを侵害して標的となる組織に侵入するため、従来セキュリティの回避が懸念されている。2023年に、米国と英国などは、ランサムウェア攻撃を仕掛けるアクター「cl0p」が政府機関の使用するソフトウェアの脆弱性を利用して政府ネットワーク内に侵入していたとして注意喚起している。

産業制御システムへのサイバー攻撃は、これまでは独自仕様やクローズドなシステムであったものが、ITの利用によりオープンなシステムに移行することで、攻撃の標的になりやすくなっていることから、重要インフラなどへのサイバー攻撃が懸念されている。2022年に欧州のセキュリティ企業は、ウクライナ送変電施設へのロシアのサイバー攻撃において、ITネットワークよりも内側にある産業制御システムに侵入し、破壊的なマルウェアを展開しようとしていたと指摘している。また、宇宙システムについても、2022年に衛星通信事業者に対するロシアのサイバー攻撃によって衛星通信サービスが中断している。このため、各国は衛星通信に関する新たなアドバイザリやガイドラインなどによりセキュリティ対策を強化するほか、欧米では、宇宙システムの脆弱性を明確にする侵入試験やハッキング競技会なども実施されている。

3 サイバー空間における脅威に対する動向

こうしたサイバー空間における脅威の増大を受け、各国で各種の取組が進められている。サイバー空間に関しては、国際法の適用のあり方など、基本的な点についても国際社会の意見の隔たりがあるとされ、例えば、米国、欧州、わが国などが自由なサイバー空間の維持を訴える一方、ロシアや中国、新興国などの多くは、サイバー空間の国家管理の強化を訴えている。国連では、2021年から2025年にかけ、サイバー空間における脅威認識、規範、国際法の適用など幅広い議論をするオープン・エンド作業部会が開催されている。

参照 Ⅲ部1章4節5項（サイバー領域での対応）

1　米国

米国では、連邦政府のネットワークや重要インフラのサイバー防護に関しては、国土安全保障省が責任を有しており、国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（Cybersecurity and Infrastructure Security Agency; CISA）が政府機関のネットワーク防御に取り組んでいる。

戦略面では、国家サイバーセキュリティ戦略を発表し、重要インフラの防御や脅威アクターの阻止・解体などに注力するとしている。また、連邦政府機関のサイバーセキュリティを強化するための「ゼロトラスト11戦略」を発表し、各省庁に対してゼロトラストモデルのセキュリティ対策を求めている。さらに、不足するサイバー人材を確保するため国家サイバー人材・教育戦略を発表し、国民の基本的サイバースキルの習得やサイバー教育の変革などに長期的に対処するとしている。

安全保障に関しては、国家安全保障戦略において、サイバー攻撃の抑止を目指し、サイバー空間における敵対的行動に断固として対応するとし、国家防衛戦略では、サイバー領域における抗たん性の構築を優先し、直接的な抑止力の手段として攻勢的サイバー防御をあげている。また、国防省のサイバー戦略2023では、攻撃者の組 織・能力・意図を追跡し、悪意のあるサイバー活動を妨害・劣化させて防御するほか、統合軍のサイバー領域での作戦を支援し、同盟国や関係国と協力して防御するとしている。

なお、2019年日米「2＋2」では、サイバー分野における協力を強化していくことで一致し、国際法がサイバー空間に適用されるとともに、一定の場合には、サイバー攻撃が日米安全保障条約にいう武力攻撃に当たりうることを確認している。米軍は、2018年に統合軍に格上げされたサイバー軍が、サイバー空間における作戦を統括している。米サイバー軍は、国防省の情報ネットワークの防護、敵のサイバー活動監視や攻撃防御、統合軍の作戦支援などのチームから構成されており、6,200人規模である。また、米軍は、ラトビアやリトアニアなどのパートナー国において、重要なネットワーク上の悪意のあるサイバー活動に 対して、防御し妨害する作戦を実施している。

2　韓国

韓国は、2024年、北朝鮮などによるサイバー脅威や高度化するサイバー環境に対応するため、攻勢的サイバー防御や抗たん性確保などを目標とする新しい「国家サイバー安保戦略」を発表している。国防部門では、韓国軍は、サイバー作戦態勢を強化し、サイバー空間における脅威に効果的に対応するため、2019年に合同参謀本部を中心としたサイバー作戦の遂行体系を構築するとともに、合同参謀本部、サイバー作戦司令部、各軍の連携体制を整備した。2023年には、米韓サイバー安全保障協力を強化するため、米韓高官級協議体「高位運営グループ」が発足している。

3　オーストラリア

オーストラリアは、2022年に発表した国防サイバーセキュリティ戦略において、サイバー脅威環境に適応した任務重視かつ最新のサイバーセキュリティをベストプラクティスとパートナーシップによって実現するとし、運用モデル実装や能力取得など行動目標を定めている。また、2023年に公表した「2023年から2030年までのサイバーセキュリティ戦略」において、2030年までにサイバーセキュリティの世界的なリーダーになるためのロードマップを定めている。

2023年に公表した国防戦略見直しでは、ドメイン統合作戦を支援するサイバー能力を広範に強化すべきとしており、2024年に公表した国家防衛戦略および統合投資プログラムにおいて、2034年までの10年間にわたり、サイバー能力を含む防衛能力を向上させることとしている。

組織面では、オーストラリアサイバーセキュリティセンター（A Australian Cyber Security Centre CSC）を設置し、政府機関と重要ンフラに関する重大なサイバーセキュリティ事案に対処している。また、2022年、サイバー攻撃を未然に阻止するため、通信局と連邦警察から選抜された100名のサイバー要員で構成される常設共同タスクフォースの新設を発表し、サイバーセキュリティ大臣は攻勢的なサイバー防御を明言した。

豪軍は、2017年に統合能力群内に情報戦能力部を、2018年にその隷下に国防通信情報・サイバー・コマンド（D Defence Signals Intelligence and Cyber Command SCC）を設立した。空軍では、職種区分としてネットワーク、データ、情報システムなどを防護するサイバー関連特技を新設し、2019年に新設した特技の募集を開始した。

4　欧州

EUは、2020年に「デジタル10年のためのEUのサイバーセキュリティ戦略」を発表し、強靱なインフラと重要サービスのための規則改正や、民間・外交・警察・防衛各分野横断型の共同サイバーユニットの設立などを目標としている。加えて、EUの市民とインフラの保護能力強化などのため、2022年にEUサイバー防衛政策を発表している。

また、域内のサイバー協力のため、サイバー防御活動の共通フレームワークを加盟国軍のサイバー事案対処チームでの利用を進めるほか、加盟国相互のサイバーセキュリティ支援などに取り組んでいる。2023年には、サイバー関連の危機対応のため、加盟国間の情報共有と状況認識を強化する運用者レベルでの演習を実施している。

NATOは、2014年のNATO首脳会議において、加盟国に対するサイバー攻撃をNATOの集団防衛の対象とみなすことで合意している。また、2023年のNATO首脳会議では、サイバー防衛分野の政治、軍事、技術を統合して平時・危機・有事を通して軍民協力を確保し、重要インフラを含む国家サイバー防衛をさらに強化するとしている。

組織面では、NATOサイバーセキュリティセンターがNATO自身のネットワークを保護するほか、サイバー領域作戦センターがサイバー領域における作戦行動の調整、行動自由の確保、脅威への回復力を提供している。2023年には、悪意のある重大なサイバー活動に対する支援として仮想サイバー事案支援能力（V Virtual Cyber Incident Support Capability CISC）を立上げている。

また、研究や訓練などを行う機関としてNATOサイバー防衛協力センター（Cooperative Cyber Defence Centre of Excellence CCDCOE）が2008年に認可さ れた。CCDCOEは、サイバー活動に適用される国際法をとりまとめたタリンマニュアル2.0を2017年に公表しており、このマニュアルを3.0へ更新する取組が進められている。また、2023年、CCDCOE主催「ロックド・シールズ」や、NATO主催「サイバー・コアリション」のサイバー防衛演習が開催され、NATO加盟国のほか、わが国も参加している。

英国は、2021年に公表した国家サイバー戦略において、敵対勢力の探知・阻止・抑止などの戦略的目標を掲げている。また、2023年に公表した「国家サイバー部隊：責任あるサイバー戦力の実践」では、テロ活動の妨害、APT脅威への対抗、選挙干渉の軽減などを実施し、今後、国家サイバー部隊の規模・能力・機能統合を追求するとしている。

組織面では、2016年に、国のサイバーインシデントに対応し、官民のパートナーシップを推進するため、国家サイバーセキュリティセンターを政府通信本部に新設した。また、2020年に軍のネットワーク防護を担当する第13通信連隊を発足させたほか、国家サイバー部隊を設立している。

フランスは、2015年に発表した国家デジタルセキュリティ戦略において、サイバー空間の基本的利益を保護し、サイバー犯罪への対応を強化するなどとしている。また、2018年の「サイバー防御の戦略見直し」では、サ イバー危機管理プロセスを明確化している。

組織面では、2017年に統合参謀本部隷下にサイバー防衛軍を発足させており、2025年までに約5,000名規模の人員に増強し、サイバー防衛能力を強化するとしている。また、2023年に成立した「2024から2030年の軍事計画法」では、サイバー任務のための戦術・手法・手順を構築するセンター・オブ・エクセレンス（研究拠点）の創設を目指すとしている。

1 米国防省「サイバー戦略2023」（2023年）による。

2 台湾国防部「国防報告書」（2021年）による。

3 米国防省「サイバー戦略2023」（2023年）による。

4 米国防情報局「北朝鮮の軍事力」（2021年）による。

5 韓国国防部「2016国防白書」（2017年）による。

6 韓国国防部「2022国防白書」（2023年）による。

7 米国防情報局「北朝鮮の軍事力」（2021年）による。

8 2017年2月、ロシアのショイグ国防相の下院の説明会での発言による。ロシア軍に「情報作戦部隊」が存在するとし、欧米との情報戦が起きており「政治宣伝活動に対抗する」としている。ただし、ショイグ国防相は部隊名の言及はしていない。

9 2015年9月、クラッパー米国家情報長官（当時）が下院情報委員会で「世界のサイバー脅威」について行った書面証言による。

10 米国防省「サイバー戦略2023」（2023年）による。

11 「内部であっても信頼しない、外部も内部も区別なく疑ってかかる」という性悪説に基づいた考え方。利用者を疑い、端末などの機器を疑い、許されたアクセス権でも、なりすましなどの可能性が高い場合は動的にアクセス権を停止する。防御対象の中心はデータや機器などの資源。

 

  

サイバー安全保障という用語は19ヶ所にでてきますね...

 

---

第III部 防衛目標を実現するための3つのアプローチ

第１章 わが国自身の防衛体制

3　サイバー安全保障

政府は、国家安全保障戦略を踏まえ、武力攻撃に至らないものの安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合に能動的サイバー防御を導入することなど、政府全体としてサイバー安全保障分野における対応能力を欧米主要国と同等以上に向上させる方針である。

2024年度においては、特に、政府機関などの情報システムのサイバーセキュリティ確保についての施策を中心に事業を計画している。このほか、サイバー安全保障関連予算の一定の増強を図るとともに、複数の幹部職員の新たな配置と指揮命令系統の強化により、内閣サイバーセキュリティセンター（NISC; National center of Incident readiness and Strategy for Cybersecurity）の抜本的強化を図る。また、能動的サイバー防御の実施に関する事業については、関連する法整備に向けた検討の進展状況を踏まえつつ、実施すべき事業について引き続き精査を行うこととしている。

---

 

第4節　ミサイル攻撃を含むわが国に対する侵攻への対応

5 サイバー領域での対応

サイバー領域においては、諸外国や関係省庁、民間事業者との連携により、平素から有事までのあらゆる段階において、情報収集、共有を図るとともに、わが国全体としてのサイバー安全保障分野での対応能力の強化を図ることが重要である。政府全体において、サイバー安全保障分野の政策が一元的に総合調整されていくことを踏まえ、防衛省・自衛隊においては、自らのサイバーセキュリティのレベルを高めつつ、関係省庁、重要インフラ事業者、防衛産業との連携強化に資する取組を推進することとする。Ⅰ部4章3節（サイバー領域をめぐる動向）

1　政府全体としての取組

政府は、国家安全保障戦略を踏まえ、武力攻撃に至らないものの安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合に能動的サイバー防御を導入することなど、政府全体としてサイバー安全保障分野における対応能力を欧米主要国と同等以上に向上させる方針である。2024年度においては、特に、政府機関などの情報システムのサイバーセキュリティ確保についての施策を中心に事業を計画しているほか、内閣サイバーセキュリティセンター（N National center of Incident readiness and Strategy for Cybersecurity ISC）の抜本的強化を図ることとしている。

1節2項3（サイバー安全保障）

2　防衛省・自衛隊の取組

サイバー領域は、国民生活にとっての基幹インフラであるとともに、わが国の防衛にとっても領域横断作戦を遂行する上で死活的に重要である。近年のサイバー空間における厳しい情勢を踏まえ、国家安全保障戦略においては、武力攻撃に至らないものの、安全保障上の懸念を生じさせる重大なサイバー攻撃を可能な限り未然に排除し、発生してしまった場合には被害の拡大を防止するため、能動的サイバー防御を導入することとしている。防衛省・自衛隊は、能動的サイバー防御を含むサイバー安全保障分野における政府全体での取組と連携していく。その際、重要なシステムなどを中心に常時継続的にリスク管理を実施する態勢に移行し、これに対応するサイバー要員を大幅増強するとともに、特に高度なスキルを有する外部人材を活用することにより、高度なサイバーセキュリティを実現する。高いサイバーセキュリティの能力により、あらゆるサイバー脅威から自らを防護するとともに、その能力を活かしてわが国全体のサイバーセキュリティの強化に取り組んでいくこととする。

このため、2027年度までに、サイバー攻撃31状況下においても、指揮統制能力や優先度の高い装備品システムを保全できる態勢を確立し、また防衛産業のサイバー防衛を下支えできる態勢を確立する。今後、おおむね10年 後までに、サイバー攻撃状況下においても、指揮統制能力、戦力発揮能力、作戦基盤を保全し任務が遂行できる態勢を確立しつつ、自衛隊以外へのサイバーセキュリティを支援できる態勢を強化することとしている。図表Ⅲ-1-4-12（防衛省・自衛隊におけるサイバー攻撃対処のための総合的施策）、資料16（防衛省のサイバーセキュリティに関する近年の取組）

（1）サイバーセキュリティ確保のための体制整備

ア　サイバー専門部隊の体制拡充

2022年3月、共同の部隊として自衛隊サイバー防衛隊が新編され、サイバー攻撃などへの対処のほか、陸・海・空自のサイバー専門部隊に対する訓練支援や防衛省・自衛隊の共通ネットワークである防衛情報通信基 盤³²（Defense Information Infrastructure DII）の管理・運用などを実施している。2023年度 以降も、自衛隊サイバー防衛隊をはじめ陸・海・空自のサイバー専門部隊の体制を拡充しているほか、サイバー関連業務に従事する隊員のサイバー要員化を推進している。また、2023年7月に整備計画局情報通信課を改編し、サイバー整備課と大臣官房参事官を新設するなど、サイバー政策の企画立案機能も強化した。

イ　民間人材の活用

サイバーセキュリティに関する専門的知見や経験を有する者を自衛官や技官として採用するとともに、官民人事交流も行っている。また、2021年7月から、サイバー領域における高度な知識・スキルや豊富な経験・実績を有する人材をサイバーセキュリティ統括アドバイザーとして採用しているほか、民間企業における実務経験を積んだ者を採用する官民人事交流制度や役務契約などによる外部人材の活用などにも取り組んでいる。2021年から、サイバーセキュリティに関する専門的知見を備えた優秀な人材を発掘することを目的として、防衛省サイバーコンテストを実施³¹ 情報通信ネットワークや情報システムなどの悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃（分散サービス不能攻撃）など。³² 自衛隊の任務遂行に必要な情報通信基盤で、防衛省が保有する自営のマイクロ回線、通信事業者から借り上げている部外回線や衛星回線の各種回線を利用し、データ通信網と音声通信網を構成する全自衛隊の共通ネットワーク。している。さらに、2022年から、新たにサイバーセキュリティの技能を持つ予備自衛官補の採用も開始している。

（2）セキュリティ強化

ア　最新のアーキテクチャの導入

サイバー領域における脅威は日々高度化・巧妙化していることから、情報システムのセキュリティ対策についても、一過性の「リスク排除」から継続的な「リスク管理」へ考え方を転換し、情報システムの運用開始後も常時継続的にリスクを分析・評価し、必要なセキュリティ対策を実施するリスク管理枠組み（Risk Management Framework RMF）を2023年度から実施している。また、境界型セキュリティのみで組織ネットワーク内部を安全に保ちうるという従来の発想から脱却し、ゼロトラストの概念に基づくセキュリティ機能の導入に向けた取組を進めていく。これらにより、防衛省・自衛隊のサイバーセキュリティレベルを向上させ、万が一、組織ネットワーク内部に侵入されたとしても迅速に検知、対処できる体制を構築する。

KEY WORD: ゼロトラスト 組織ネットワーク内部の安全性を当然視せず、内外からすべてのアクセスについて真正性を動的に検証・制御することで、組織の情報資産（データ、デバイス、アプリケーションなど）を安全に保つとの考え方。

イ　装備品や施設インフラを含めたセキュリティ対策

日々高度化・巧妙化する最新のサイバー攻撃の脅威に対して適切に対応していくためには、情報システムの防護態勢を強化していくことが必要である。そのため、自衛隊のシステムを統合・共通化したクラウドを整備し、一元的なサイバーセキュリティ対策を実施するほか、装備品システムや施設インフラシステムの防護態勢を強化するとともに、ネットワーク内部に脅威が既に侵入している前提で内部の潜在的脅威を継続的に探索・検出するスレットハンティング機能の強化などを進めていく。

ウ　防衛産業サイバーセキュリティの強化

防衛省・自衛隊は、米国の基準であるNIST SP800－ 1713³と同水準の管理策を盛り込んだ新たな情報セキュリティ基準である「防衛産業サイバーセキュリティ基準」を2022年3月に整備した。これを受け、2023年4月以降、防衛関連企業において保有する情報システムの改修などが進められている。図表Ⅲ-1-4-13（ゼロトラスト概念に基づくセキュリティ機能の強化（イメージ））、Ⅳ部1章1節2項4 （防衛産業保全の強化）

（3）教育・研究

自衛隊のサイバー防衛能力の抜本的強化を図るためには、サイバーセキュリティに関する高度かつ幅広い知識を保有する人材を育成していくことが喫緊の課題であり、教育の拡充や民間の知見の活用も含めて積極的な取組が必要である。このため、高度な知識や技能を修得・維持できるよう、要員をサイバー関連部署に継続的かつ段階的に配属するとともに、部内教育や部外教育による育成を行っている。

各自衛隊の共通教育として、2019年度から陸自通信学校（当時）においてサイバーセキュリティに関する共通的かつ高度な知識を習得させるサイバー共通教育を実施しているほか、米国防大学サイバー戦指揮官要員課程、米陸軍サイバー戦計画者課程への隊員派遣、陸自高等工科学校へのシステム・サイバー専修コースの設置といった取組を実施している。また、2024年3月に、陸自通信学校を陸自システム通信・サイバー学校に改編してサイバー教育部を新設し、サイバー要員を育成する教育基盤を拡充した。防衛大学校においても、サイバーに関するリテラシー教育の拡充を行うとともに、2024年度に情報工学科をサイバー・情報工学科に改編した。

さらに、サイバーセキュリティは高度な知識をもつ専門人材のみならず、ネットワーク・システムを利用するすべての人員のリテラシーなくしては成立しないことから、一般隊員へのリテラシー教育を推進している。

研究面では、2023年度に防衛研究所に新設したサイバー安全保障研究室の研究体制を強化するとともに、防衛装備庁次世代装備研究所において、サイバー攻撃による被害拡大の防止やサイバー攻撃を受けても各種装備システムの運用を継続できるよう、装備システム用サイバー防護技術の研究を進めている。

（4）民間企業や諸外国との連携

サイバー攻撃に対して、迅速かつ的確に対応するためには、民間部門との協力、同盟国などとの戦略対話や共同訓練などを通じ、サイバーセキュリティにかかる最新のリスク、対応策、技術動向を常に把握しておく必要がある。このため、民間企業や同盟国である米国をはじめとする諸外国と効果的に連携していくこととしている。

ア　民間企業などとの協力

2013年7月に、サイバーセキュリティへの関心が高い防衛産業10社程度をメンバーとするサイバーディ フェンス連携協議会（C Cyber Defense Council DC）を設置し、防衛省がハブとなり、防衛産業間において情報共有を実施することにより、情報を集約し、サイバー攻撃の全体像の把握に努めている。また、毎年1回、防衛省・自衛隊と防衛産業にサイバー攻撃が発生した事態などを想定した共同訓練を実施し、防衛省・自衛隊と防衛産業双方のサイバー攻撃対処能力向上に取り組んでいる。

イ　米国との協力

あらゆる段階における日米共同での実効的な対処を支える基盤を強化するため、日米両国がその能力を十分に発揮できるよう、あらゆるレベルにおける情報共有をさらに強化し、情報保全やサイバーセキュリティにかかる取組を抜本的に強化していく。

2013年10月、日米両政府は、防衛当局間の政策協議の枠組みとして日米サイバー防衛政策ワーキンググループ（Cyber Defense Policy Working Group CDPWG）を設置した。この枠組みでは、サイバーに関する政策的な協議の推進、情報共有の緊密化など、幅広い分野に関する専門的・具体的な検討を行った。

2015年には日米防衛協力のための指針（ガイドライン）とCDPWG共同声明が発表され、日米両政府の協力として、迅速かつ適切な情報共有体制の構築や、自衛隊と米軍が任務遂行上依拠する重要インフラの防衛などがあげられるとともに、自衛隊と米軍の協力として、各々のネットワークとシステムの抗たん性の確保や教育交流、共同演習の実施などがあげられた。また、2019年 4月の日米「2＋2」では、国際法がサイバー空間に適用されるとともに、一定の場合には、サイバー攻撃が日米 安保条約第5条にいう武力攻撃にあたりうることを確認した。さらに、2023年1月の日米「2＋2」や、同年10 月の日米防衛相会談において、サイバー分野における協力を強化することで一致するとともに、日米両政府全体の枠組みである日米サイバー対話への参加や、防衛当局間の枠組みである日米ITフォーラムを継続的に開催するなど、米国との連携強化を一層推進している。運用協力の面では、日米共同統合演習（実動演習）、日米豪共同指揮所演習などにおいてサイバー攻撃対処訓練を実施し、日米共同対処能力の向上に取り組んでいる。

ウ　同志国などとの協力

米国以外の関係国とは、脅威認識の共有、サイバー攻撃対処に関する意見交換、多国間演習への参加などにより、連携・協力を強化することとしている。North Atlantic Treaty Organization NATOなどとの間では、政府全体の枠組みである日

NATOサイバー協議への参加や、防衛当局間においてサイバー空間を巡る諸課題について意見交換する日NATOサイバー防衛スタッフトークスなどを行うとと もに、エストニアに設置されているNATOサイバー防衛協力センター（Cooperative Cyber Defence Centre of Excellence CCDCOE）が主催する「サイバー紛 争に関する国際会議」（International Conference on Cyber Conflict CyCon）に参加している。CCDCOEには、2019年3月から、防衛省から職員を派遣している。2022年10月、CCDCOEの活動への参加にかかる取決めへの署名手続きが完了し、防衛省は正式に同センターの活動に参加することとなった。

このほか、オーストラリア、英国、ドイツ、フランス、エストニアとの防衛当局間のサイバー協議を行っている。また、シンガポール、ベトナムなどとの防衛当局間で、ITフォーラムを実施し、サイバーセキュリティを含む情報通信分野の取組や技術動向に関する意見交換を行っているほか、ASEANに対するサイバーセキュリティ分野の能力構築支援なども実施している。自衛隊のサイバー領域の能力強化や諸外国との連携強化を目的に、2023年4月、CCDCOEが主催する多国間サイバー防衛演習「ロックド・シールズ2023」に日豪合同チームで参加するとともに、2024年2月には英国主催の「ディフェンス・サイバー・マーベル3」に前年に続いて参加した。さらに同月には、陸自が多国間サイバー防護競技会「Cyber KONGO 2024」を主催し、米国、オーストラリア、ドイツ、フランス、リトアニア、ベトナム、フィリピンなど計16か国の参加国とともに、サイバー領域における能力の強化を図った。（

5）政府全体としての取組への寄与

防衛省・自衛隊は、警察庁、デジタル庁、総務省、外務省、経済産業省と並び、サイバーセキュリティ戦略本部の構成員として、NISCを中心とする政府横断的な取組に貢献しており、例えばサイバー攻撃対処訓練への参加 や人事交流、サイバー攻撃に関する情報提供、情報セキュリティ緊急支援チーム34（C Cyber incident Mobile Assistance Team YMAT）に対する要員の派遣などを行っている。また、NISCが実施している府省庁の情報システムの侵入耐性診断に関し、自衛隊が有する知識・経験を活用し、協力している。

31 情報通信ネットワークや情報システムなどの悪用により、サイバー空間を経由して行われる不正侵入、情報の窃取、改ざんや破壊、情報システムの作動停止や誤作動、不正プログラムの実行やDDoS攻撃（分散サービス不能攻撃）など。

32 自衛隊の任務遂行に必要な情報通信基盤で、防衛省が保有する自営のマイクロ回線、通信事業者から借り上げている部外回線や衛星回線の各種回線を利用し、データ通信網と音声通信網を構成する全自衛隊の共通ネットワーク。

33 非政府機関情報システムにおけるセキュリティ管理策であり、米国防省が注意情報を取り扱う契約企業に対して義務付けている情報セキュリティ基準。

34 政府として一体となった対応が必要となる情報セキュリティにかかる事象が発生した際に、被害拡大防止、復旧、原因調査や再発防止のための技術的な支援、助言などを行うチーム。

 

 

---

 

防衛白書

・HTML版（準備中）

・PDF分割版（準備中）

・PDF一括（本編）

 

・PDF一括（資料編）

 

・PDF一括（防衛年表）

 

・電子書籍（epub）版（準備中）

・まるわかり！日本の防衛 ～ はじめての防衛白書2024 ～




パンフレット

・日本語版パンフレット

 

・英語版パンフレット

 

・中国語版パンフレット

 

---

 

目次...

特集１　白書でひも解く 自衛隊発足70年の歩み
特集２　私はこうして「日本を守る! 」
ダイジェスト 本文第Ⅰ部～第Ⅳ部の記述について、分かりやすく要約しています。

第I部 わが国を取り巻く安全保障環境
第1章　概観
1 グローバルな安全保障環境
2 インド太平洋地域における安全保障環境
第2章　ロシアによる侵略とウクライナによる防衛
1 全般
2 ウクライナ侵略の経過と見通し
3 ウクライナ侵略が国際情勢に与える影響と各国の対応
第3章　諸外国の防衛政策など
第1節　米国
1 安全保障・国防政策
2 軍事態勢
第2節　中国
1 全般
2 軍事
3 対外関係など
第3節　米国と中国の関係など
1 米国と中国の関係（全般）
2 インド太平洋地域における米中の軍事動向
3 台湾の軍事力と中台軍事バランス
第4節　朝鮮半島
1 北朝鮮
2 韓国・在韓米軍
第5節　ロシア
1 全般
2 安全保障・国防政策
3 軍事態勢と動向
4 北方領土などにおけるロシア軍
5 対外関係
第6節　大洋州
1 オーストラリア
2 ニュージーランド
第7節　東南アジア
1 全般
2 各国の安全保障・国防政策
3 各国の軍近代化
4 地域内外における協力
第8節　南アジア
1 インド
2 パキスタン
3 カシミール地方の帰属をめぐるインドとパキスタンとの対立
第9節　欧州・カナダ
1 全般
2 多国間の安全保障の枠組みの強化
3 欧州各国などの安全保障・防衛政策
第10節　その他の地域など（中東・アフリカを中心に）
1 中東
2 アフリカ
3 国際テロリズムの動向
第4章　宇宙・サイバー・電磁波の領域や情報戦などをめぐる動向・国際社会の課題など
第1節　情報戦などにも広がりをみせる科学技術をめぐる動向
1 科学技術と安全保障
2 軍事分野における先端技術動向
3 民生分野における先端技術動向
4 情報関連技術の広まりと情報戦
5 防衛生産・技術基盤をめぐる動向
第2節　宇宙領域をめぐる動向
1 宇宙領域と安全保障
2 宇宙空間に関する各国の取組
第3節　サイバー領域をめぐる動向
1 サイバー空間と安全保障
2 サイバー空間における脅威の動向
3 サイバー空間における脅威に対する動向
第4節　電磁波領域をめぐる動向
1 電磁波領域と安全保障
2 電子戦に関する各国の取組
第5節　海洋をめぐる動向
1 「公海自由の原則」などをめぐる動向
2 海洋安全保障をめぐる各国の取組
3 北極海をめぐる動向
第6節　大量破壊兵器の移転・拡散
1 核兵器
2 生物・化学兵器
3 弾道ミサイルなど
4 大量破壊兵器などの移転・拡散の懸念の拡大
第7節　気候変動が安全保障環境や軍に与える影響
1 全般
2 安全保障への影響
3 インド太平洋地域における気候変動

第II部 わが国の安全保障・防衛政策
第1章　安全保障と防衛の基本的考え方
第1節　安全保障を確保する方策
第2節　憲法と防衛政策の基本
1 憲法と自衛権
2 憲法第9条の趣旨についての政府見解
3 基本政策
第3節　安全保障政策の体系
第2章　国家安全保障戦略などの「三文書」
第1節　国家安全保障戦略の概要
第2節　国家防衛戦略の概要
1 防衛大綱から国家防衛戦略への変遷
2 国家防衛戦略の概要
第3節　防衛力整備計画の概要
1 計画の方針
2 自衛隊の体制など
3 整備規模
4 所要経費など
第3章　防衛力整備と予算
第1節　令和6（2024）年度の防衛力整備
第2節　防衛関係費
1 令和6（2024）年度防衛関係費の概要
2 重点ポイント
3 防衛関係費の内訳
4 最適化への取組
5 防衛力強化のための財源確保
6 各国との比較
第4章　安全保障と防衛を担う組織
第1節　国家安全保障会議
第2節　防衛省・自衛隊の組織
1 防衛力を支える組織
2 自衛隊の統合運用体制
3 統合作戦司令部
第5章　自衛隊の行動に関する枠組み
1 自衛隊の任務
2 わが国の防衛
3 公共の秩序の維持や武力攻撃に至らない侵害への対処など
4 重要影響事態への対応
5 国際社会の平和と安定への貢献に関する枠組み

第III部 防衛目標を実現するための 3つのアプローチ
第1章　わが国自身の防衛体制
第1節　わが国の防衛力の抜本的強化と国全体の防衛体制の強化
1 わが国の防衛力の抜本的強化
2 国全体の防衛体制の強化
第2節　力による一方的な現状変更を許容しない安全保障環境の創出
1 「瀬取り」への対応
2 中東地域における日本関係船舶の安全確保のための情報収集
第3節　力による一方的な現状変更やその試みへの対応
1 わが国周辺における常続的な情報収集・警戒監視・偵察（ISR）
2 わが国の主権を侵害する行為に対する措置
第4節　ミサイル攻撃を含むわが国に対する侵攻への対応
1 島嶼部を含むわが国に対する侵攻への対応
2 ミサイル攻撃などへの対応
3 陸・海・空領域における対応
4 宇宙領域での対応
5 サイバー領域での対応
6 電磁波領域での対応
7 大規模テロや重要インフラに対する攻撃などへの対応
8 国民保護に関する取組
第5節　情報戦への対応を含む情報力強化の取組
1 情報収集・分析などの機能の強化
2 認知領域を含む情報戦などへの対処
第6節　継戦能力を確保するための持続性・強靱性強化の取組
1 弾薬の確保
2 燃料などの確保
3 装備品の可動状況の改善
4 施設の強靱化
第7節　国民の生命・身体・財産の保護に向けた取組
1 大規模災害などへの対応
               令和6年能登半島地震への対応
2 在外邦人等の保護措置および輸送への対応
第2章　日米同盟
第1節　日米安全保障体制の概要
1 日米安全保障体制の意義
2 日米防衛協力のための指針（ガイドライン）の内容
3 日米間の政策協議
第2節　日米共同の抑止力・対処力の強化
1 宇宙領域やサイバー領域などにおける協力
2 統合防空ミサイル防衛
3 情報収集・警戒監視・偵察（ISR）活動
4 米軍等の部隊の武器等防護
5 後方支援
6 共同訓練・演習
7 拡大抑止
8 共同使用
第3節　同盟調整機能の強化
1 同盟調整メカニズムの設置
2 運用面におけるより緊密な調整
第4節　共同対処基盤の強化
1 情報保全およびサイバーセキュリティ
2 防衛装備・技術協力
第5節　在日米軍の駐留に関する取組
1 在日米軍の駐留
2 在日米軍再編に向けた取組
3 在日米軍の駐留に関する取組
第3章　同志国などとの連携
第1節　多角的・多層的な安全保障協力の戦略的な推進
1 同志国などとの連携の意義など
2 各国との防衛協力・交流の推進
3 多国間安全保障協力の推進
4 能力構築支援への積極的かつ戦略的な取組
5 女性・平和・安全保障（WPS）推進に向けた取組
第2節　海洋安全保障の確保
1 海洋安全保障の確保に向けた取組
2 海賊対処への取組
3 海洋安全保障にかかる協力
第3節　国際平和協力活動への取組
1 国際平和協力活動の枠組みなど
2 国連PKOなどへの取組
3 国際緊急援助活動への取組
第4節　軍備管理・軍縮や不拡散への取組
1 軍備管理・軍縮・不拡散関連条約などへの取組
2 大量破壊兵器の不拡散などのための国際的な取組

第IV部 共通基盤の強化
第1章　いわば防衛力そのものとしての防衛生産・技術基盤の強化
第1節　防衛生産基盤の強化
1 防衛生産基盤強化法と基本方針
2 防衛生産基盤強化法以外の主な取組
第2節　防衛技術基盤の強化
1 防衛技術基盤の強化の必要性
2 防衛技術指針2023に示す防衛技術基盤の強化の方向性
3 次期戦闘機の開発
4 民生技術の積極的な活用
第3節　防衛装備・技術協力と防衛装備移転の推進
1 防衛装備移転三原則にかかわる制度
2 防衛装備移転の推進のための取組
3 米国との防衛装備・技術協力関係の深化
4 新たな防衛装備・技術協力の構築
5 防衛装備・技術協力にかかるその他の取組
第4節　装備品の最適化の取組
1 合理的な装備体系の構築のための取組
2 限られた人材を最大限有効に活用するための取組（無人化・省人化）
3 ライフサイクルを通じたプロジェクト管理
4 契約制度などの改善
5 調達の効率化に向けた取組など
6 FMS調達の合理化に向けた取組の推進
第5節　経済安全保障に関する取組
1 日本政府内の動向
2 防衛省の取組
第2章　防衛力の中核である自衛隊員の能力を発揮するための基盤の強化
第1節　人的基盤の強化
1 採用の取組強化
2 予備自衛官などの活用
3 人材の有効活用に向けた施策など
4 生活・勤務環境の改善など
5 人材の育成
6 処遇の向上、再就職支援など
第2節　ハラスメントを一切許容しない環境の構築
1 ハラスメント被害への対応
2 ハラスメント根絶に向けた措置に関する防衛大臣指示など
3 防衛省ハラスメント防止対策有識者会議
4 ハラスメント防止の状況に関する特別防衛監察
5 ハラスメント防止対策の抜本的見直し
第3節　ワークライフバランス・女性の活躍のさらなる推進
1 ワークライフバランス推進のための働き方改革
2 女性の活躍推進のための改革
第4節　衛生機能の変革
1 戦傷医療対処能力の抜本的強化
2 各種事態や多様な任務に対応するための衛生機能の強化
第5節　政策立案機能の強化
1 政策立案機能の強化に向けた取組
2 防衛研究所における取組
3 その他の機関における取組
第3章　訓練・演習に関する諸施策
第1節　訓練・演習に関する取組
1 わが国自身による各種事態への対処力強化に資する訓練
2 日米同盟の強化に資する訓練
3 日米に第三国を交えた多国間共同訓練
4 同志国との二国間共同訓練
5 同志国などとの多国間訓練
第2節　各種訓練環境の整備や安全管理
1 訓練環境
2 安全管理への取組
第4章　地域社会や環境との共生に関する取組
第1節　地域社会との調和にかかる施策
1 民生支援活動
2 地方公共団体などによる自衛隊への協力
3 地方公共団体と地域住民の理解・協力を確保するための施策
4 防衛施設と周辺地域との調和を図るための施策
5 国家行事への参加
6 南極地域観測に対する支援
7 部外土木工事の受託
8 その他の取組
第2節　気候変動・環境問題への対応
1 防衛省・自衛隊の施設に関する取組
2 在日米軍施設・区域に関する取組
第3節　情報発信や公文書管理・情報公開など
1 様々な広報活動
2 公文書管理・情報公開に関する取組
3 政策評価などに関する取組

コラム
第I部
第1章　概観
解 説 わが国周辺における核・ミサイル戦力の増強
第2章　ロシアによる侵略とウクライナによる防衛
視 点 ロシアによるウクライナ侵略の状況
第3章　諸外国の防衛政策など
視 点 三正面の対応を迫られる米国
解 説 台湾をめぐる中国の軍事動向
視 点 連携を強める中国軍とロシア軍
解 説 2023年以降の北朝鮮の核・ミサイル開発動向
解 説 わが国周辺におけるロシアの軍事動向
解 説 太平洋島嶼国が抱える安全保障上の問題
視 点 フィンランド・スウェーデンのNATO加盟の意義
視 点 イスラエル・パレスチナ武装勢力間の衝突
第4章　宇宙・サイバー・電磁波の領域や情報戦などをめぐる動向・国際社会の課題など
視 点 偽情報を含む影響工作と「情報機関」による「情報戦」の論点
第II部
第2章　国家安全保障戦略などの「三文書」
解 説 反撃能力
視 点 抑止力の意義
第3章　防衛力整備と予算
解 説 安全保障に関連する経費
第4章　安全保障と防衛を担う組織
解 説 自衛隊の統合運用体制の深化
第III部
第1章　わが国自身の防衛体制
解 説 尖閣諸島について
解 説 南西防衛体制の強化
VOICE 宇宙領域把握（SDA）任務
解 説 宇宙安全保障構想と防衛省の取組
VOICE 陸自高等工科学校で学んで
解 説 Jアラートによる弾道ミサイルに関する情報伝達
（内閣官房からのお知らせ）
VOICE 国民保護訓練に参加した隊員の声
VOICE 令和6年能登半島地震における災害派遣に従事した
即応予備自衛官の声
第2章　日米同盟
解 説 同盟強化のための取組
解 説 日米拡大抑止協議
VOICE 日米間の調整業務を通じて感じたこと
解 説 米軍ロウワー・プラザ住宅地区の一般開放
第3章　同志国などとの連携
VOICE 乗艦協力プログラムに参加した
防衛省内部部局職員の声
VOICE 令和5年度インド太平洋方面派遣（IPD23）
護衛艦部隊幕僚の声
VOICE WPS推進に向けた防衛省の取組
第IV部
第1章　いわば防衛力そのものとしての防衛生産・技術基盤の強化
VOICE ①装備品の開発・生産拠点強化にかかる取組
②「君シカオラン」で、装備品のキーサプライヤーに。
解 説 次期戦闘機：国際機関の創設
解 説 次期戦闘機の第三国移転（国会審議での主要な論点）
解 説 防衛装備移転三原則改正に対する
諸外国・企業などの反応
VOICE 日本製警戒管制レーダーの受領をうけて
（フィリピン空軍第580警戒管制団司令の声）
第2章　防衛力の中核である自衛隊員の
能力を発揮するための基盤の強化
VOICE 活躍する即応予備自衛官と雇用主の声
VOICE 再就職した隊員と雇用主の声
解 説 戦傷医療対処能力強化に向けた取組
～防衛省の戦傷医療における輸血戦略～
解 説 防衛大学校卒業式
第3章　訓練・演習に関する諸施策
解 説 令和5年度自衛隊統合演習（実動演習）「05JX」
VOICE 米海兵隊との実動訓練
「レゾリュート・ドラゴン23」に参加した隊員の声
VOICE 日仏共同訓練に参加した隊員の声
VOICE 米豪主催多国間共同訓練
「タリスマン・セイバー23」に参加した隊員の声
第4章　地域社会や環境との共生に関する取組
解 説 わが国の水産物の消費拡大に向けた取組
解 説 令和5年度航空観閲式

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 防衛白書（2023年） （+ 能動的サイバー防衛...）

・2022.07.26 防衛白書（2022年）

・2021.07.14 日本の防衛白書が初めて台湾周辺情勢の安定の重要性に言及したことについての中国政府の見解

・2021.07.13 防衛白書（2021年）

 

総務省 令和6年版情報通信白書 (2024.07.05)

こんにちは、丸山満彦です。

総務省から 令和6年版情報通信白書が公表されていますよね...

 

● 総務省

・2024.07.05 令和6年「情報通信に関する現状報告」（令和6年版情報通信白書）の公表

 

・情報通信白書

特集...

(1) 令和6年能登半島地震における情報通信の状況

(2) 進化するデジタルテクノロジーとの共生

 

本文等...

　 情報通信白書令和6年版 概要 

　 情報通信白書令和6年版 インフォグラフィック

　 情報通信白書令和6年版 データ集

　（データ集のみ先行公開。HTML版は準備中。）

　 情報通信白書令和6年版 PDF版 

　 情報通信白書令和6年版の二次利用について 

　 正誤表 

 

 本文の目次のようなもの

・[PDF] 全体版

第Ⅰ部		第Ⅱ部	情報通信分野の現状と課題
特集①	令和6年能登半島地震における情報通信の状況	第1章	ICT市場の動向	第2章	総務省におけるICT政策の取組状況
第1章	令和6年能登半島地震における情報通信の状況	第1節	ICT産業の動向	第1節	総合的なICT政策の推進
第1節	令和6年能登半島地震の概要	第2節	電気通信分野の動向	第2節	電気通信事業政策の動向
第2節	通信、放送、郵便等の状況	第3節	放送・コンテンツ分野の動向	第3節	電波政策の動向
第2章	情報通信が果たした役割と課題	第4節	我が国の電波の利用状況	第4節	放送政策の動向
第1節	震災関連情報の収集と発信	第5節	国内外におけるICT機器・端末関連の動向	第5節	サイバーセキュリティ政策の動向
第2節	浮かび上がった課題と今後の対応	第6節	プラットフォームの動向	第6節	ICT利活用の推進
コラム1	災害時における偽・誤情報への対応	第7節	ICTサービス及びコンテンツ・アプリケーションサービス市場の動向	第7節	ICT技術政策の動向
特集②	進化するデジタルテクノロジーとの共生	第8節	データセンター市場及びクラウドサービス市場の動向	政策フォーカス	社会実装・海外展開を見据えたBeyond 5Gの推進戦略
第3章	デジタルテクノロジーの変遷	第9節	AIの動向	第8節	ICT国際戦略の推進
第1節	AI進展の経緯と生成AIのインパクト	第10節	サイバーセキュリティの動向	第9節	郵政行政の推進
第2節	AIの進化に伴い発展するテクノロジー	第11節	デジタル活用の動向
第4章	デジタルテクノロジーの課題と現状の対応策	第12節	郵政事業・信書便事業の動向
第1節	AIの進化に伴う課題と現状の取組
第2節	AIに関する各国の対応
第3節	その他デジタルテクノロジーに関する議論の動向
第5章	デジタルテクノロジーの浸透
第1節	国民・企業における利用状況
第2節	活用の現状・新たな潮流
第6章	デジタルテクノロジーとのさらなる共生に向けて
第1節	デジタルテクノロジーとのさらなる共生に向けた課題と必要な取組
コラム2	AIやロボットと協働・共生する未来に向けて（コンヴィヴィアルな関係）

 

資料編

• データ
• 付注
• 参考文献

 

---

 

サイバーセキュリティの世界マーケットは、約800億ドル（12兆円）？

 

2. 世界のサイバーセキュリティ主要事業者

 

2022年現在、国内情報セキュリティ製品市場は約5300億円で、国内シェアは8％...

 

国内5300億円のうち、ソフトウェアは80％、アプライアンスは20%

セキュリティ製品の機能市場セグメント別では、エンドポイントセキュリティソフトウェアやネットワークセキュリティソフトウェアなどを含む、セキュリティソフトウェア市場の2022年の売上額が4,274億200万円で全体の81.3%を占め、コンテンツ管理、UTMやVPNなどを含むセキュリティアプライアンス市場は980億5,100万円で全体の18.7%となった。

 

 

総務省 「ICTサイバーセキュリティ政策の中期重点方針」（案）に対する意見募集 (2024.07.01)

こんにちは、丸山満彦です。

総務省が、「ICTサイバーセキュリティ政策の中期重点方針」（案）を公表し、意見募集していますね...

総務省が所管する範囲となりますよね...

構成員は、主婦連合会会長の河村さん以外は皆さん知っているのですが、KDDIの田中さんは、たしかNISCで最初に統一基準を作るときに大活躍をしてくれた方ですね。20年近く前になりますかね。。。

 

● 総務省　

 プレス...

・2024.07.01 「ICTサイバーセキュリティ政策の中期重点方針」（案）に対する意見募集

「ICTサイバーセキュリティ政策の中期重点方針」（案）

・[PDF] 概要

・[PDF] 本文

 

議論の過程...

● サイバーセキュリティタスクフォース

・ICTサイバーセキュリティ政策分科会

 

2024.02.02	開催に関する報道発表
2024.02.09	第1回	開催案内	(1)サイバーセキュリティの最近の状況及びICTサイバーセキュリティ政策分科会について	配付資料	資料1－1　「ICTサイバーセキュリティ政策分科会」開催要綱	議事要旨
			(2)我が国を取り巻くサイバーセキュリティの情勢		資料1－2　サイバーセキュリティの最近の状況及びICTサイバーセキュリティ政策分科会について
			(3)通信分野におけるサイバーセキュリティ対策の取組について		資料1－3　スマートフォン／モバイルにおけるセキュリティ課題とJSSECの取り組み（JSSEC）
					資料1－4　サイバー未来図：ウクライナから学び、台湾有事を見据えて（トレンドマイクロ株式会社）（非公開資料）
					資料1－5　NTTコミュニケーションズにおけるサイバーセキュリティの取組（NTTコミュニケーションズ）（非公開資料）
					資料1―6　ICT-ISACにおけるサイバーセキュリティ対策に関する取組（ICT-ISAC）
					参考資料　「サイバーセキュリティタスクフォース」開催要綱
2024.02.27	第2回	開催案内	放送分野におけるサイバーセキュリティ対策の取組について	配付資料	資料2－1　放送設備の安全・信頼性に関する技術基準の概要と最近の動向	議事要旨
					資料2－2　ICT-ISAC放送WGの活動と放送局の設備、セキュリティ（一部非公開資料）（栗原構成員）
					資料2－3　（一社）日本ケーブルラボとケーブルテレビ業界に向けたセキュリティの取組み（日本ケーブルラボ）
2024.03.13	第3回	開催案内	（1）国際連携に係る取組について	配付資料	資料3－1　国際連携に係る取組状況	議事要旨
			（2）海外における人材育成に係る取組状況について		資料3－2　サイバーセキュリティの国際連携（NTTセキュリティホールディングス）（一部非公開資料）
					資料3－3　サイバーセキュリティ国際連携の紹介（JPCERT/CC）（一部非公開資料）
					資料3－4　海外における人材育成に係る取組状況
					資料3－5　JICAサイバーセキュリティ協力事業概要（JICA）
					資料3－6　サイバーセキュリティ分野における世界銀行の途上国向け能力構築支援（世界銀行）
					参考資料1　ICTサイバーセキュリティ政策分科会第1回　議事要旨
					参考資料2　ICTサイバーセキュリティ政策分科会第2回　議事要旨
2024.03.27	第4回	開催案内	地域におけるサイバーセキュリティ対策の取組について	配付資料	資料4－1　実践的サイバー防御演習「CYDER」2023年度結果と2024年度の実施予定について（NICT）（一部非公開資料）	議事要旨
			（1）人材育成に係る取組状況		資料4－2　中之条町における情報セキュリティ研修について（群馬県中之条町）（非公開資料）
			（2）地域の事業者等に向けた普及啓発に係る取組状況		資料4－3　サイバーセキュリティに関する近畿総合通信局の取組（近畿総合通信局）
					資料4－4　日本シーサート協議会の活動（日本シーサート協議会）（一部非公開資料）
2024.04.05	第5回	開催案内	通信分野におけるサイバーセキュリティ対策の取組について(2)	配付資料	資料5－1　令和5年度「通信アプリに含まれうる不正機能の検証に関する実証」について（KDDI）	議事要旨
			（1）スマートフォンのセキュリティ確保に向けた取組状況		資料5－2　スマートフォンプライバシーアウトルックX（KDDI）
			（2）情報通信ネットワークの安全性・信頼性の確保に向けた取組状況		資料5－3　アプリ診断の取組紹介（OWASP）
					資料5－4　eシールの制度化に向けた検討状況について
					資料5－5　令和5年度「通信分野におけるSBOMの導入に向けた調査の請負」について（KDDI）
					資料5－6　令和5年度ISPにおけるネットワークセキュリティ技術の導入及び普及促進に関する調査（三菱総合研究所）
					参考資料1　利用者情報に関するワーキンググループ（第1回）事務局資料（抜粋）
					参考資料2　RPKIのROAを使ったインターネットにおける不正経路への対策ガイドライン案
					参考資料3　DNSSECによるDNS応答の認証技術ガイドライン案
					参考資料4　電子メールのなりすまし対策、迷惑メール対策技術であるDMARC等（SPF、DKIMを含む）のメール認証技術ガイドライン案
					参考資料5　ICTサイバーセキュリティ政策分科会第3回　議事要旨
2024.04.26	第6回	開催案内	自治体におけるサイバーセキュリティ対策の取組について	配付資料	資料6－1　地方公共団体情報セキュリティポリシーに関するガイドラインの改定方針（総務省自治行政局）	議事要旨
					資料6－2　地方自治体情報セキュリティの現状（KUコンサルティング）（一部非公開資料）
					資料6－3　J-LISにおける地方公共団体への情報セキュリティ対策支援・教育研修に関する取組について（J-LIS）
					資料6－4　自治体情報システム標準化時代の現状（APPLIC）
					資料6－5　スマートシティセキュリティガイドラインの改定について （事務局）
					参考資料1　スマートシティセキュリティガイドライン（第 3.0 版）（案）
					参考資料2　実践的サイバー防御演習「 CYDER 」 2024 年度開催予定
					参考資料3　ICTサイバーセキュリティ政策分科会第4回　議事要旨
2024.05.10	第7回	開催案内	通信分野におけるサイバーセキュリティ対策の取組について(3)	配付資料	資料7－1　IoT機器へのサイバー攻撃の観測と対策について（吉岡構成員）（一部非公開資料）	議事要旨
					資料7－2　NOTICEの活動について（事務局）
					資料7－3　新しいNOTICEにおける調査業務（NICT）（一部非公開資料）
					資料7－4　電気通信事業者によるサイバー攻撃への効果的な対処を通じた安心・安全な情報通信ネットワークの実現に向けて（NTTコミュニケーションズ）
2024.05.27	第8回	開催案内	新技術の進展に応じたサイバーセキュリティ対策の取組について	配付資料	資料8－1　耐量子計算機暗号（PQC）とNICTの研究開発（NICT）	議事要旨
					資料8－2　「安全な無線通信サービスのための新世代暗号技術に関する研究開発」について（KDDI総合研究所、横浜国立大学）（一部非公開資料）
					資料8－3　生成AIはサイバーセキュリティ領域にどのような影響を及ぼすか（新井構成員）（非公開資料）
					資料8－4　生成AIとセキュリティ（三井物産セキュアディレクション）
					資料8－5　KDDIのサイバーセキュリティ対策とAI活用（KDDI）
					参考資料1　ICTサイバーセキュリティ政策分科会第5回 議事要旨
					参考資料2　ICTサイバーセキュリティ政策分科会第6回 議事要旨
2024.06.14	第9回	開催案内	（1）CYNEX、CYXROSS等について	配付資料	資料9－1 NICTサイバーセキュリティ研究所の取り組み（NICT）（一部非公開資料）
			（2）論点整理（案）について		資料9－2 これまでの論点整理（案）
					参考資料1 ICTサイバーセキュリティ政策分科会第7回 議事要旨
					参考資料2 ICTサイバーセキュリティ政策分科会第8回 議事要旨
2024.06.24	第10回	開催案内	・「ICTサイバーセキュリティ政策の中期重点方針」（案）について	配布資料	資料10－1 「ICTサイバーセキュリティ政策の中期重点方針」（案）
					資料10－2 「ICTサイバーセキュリティ政策の中期重点方針」（案）の概要

 

 

 

内閣官房 NISC サイバーセキュリティ2024、サイバーセキュリティ関係施策に関する令和７年度予算重点化方針

こんにちは、丸山満彦です。

内閣官房 NISCで、サイバーセキュリティ戦略本部第41回会合が持ち回り開催され

• サイバーセキュリティ2024（2023年度年次報告・2023年度年次計画）
• サイバーセキュリティ関係施策に関する令和７年度予算重点化方針

が決定されたようですね...

サイバーセキュリティ2024は325ページあります...

 

● 内閣サイバーセキュリティセンター

・2024.07.10 第41回会合（持ち回り開催）

決定文書

• サイバーセキュリティ2024（2023年度年次報告・2023年度年次計画）

目次...

はじめに

第１部 サイバーセキュリティ 2024 のポイント（「エグゼクティブ・サマリー」）
第１ サイバー空間を巡る昨今の状況変化と情勢
 １ 昨今の状況変化
 ２ サイバー空間の現下の情勢 ～サイバー攻撃の洗練化・巧妙化～
第２ 特に強力に取り組む施策
 （１）国民が安心して暮らせるデジタル社会の実現 ～政府機関や重要インフラ等の対処能力の向上～
 （２）経済社会の活力の向上及び持続的発展 ～サプライチェーン・リスクへの対応強化とDX を推進・支援する取組の強化～
 （３）国際社会の平和・安定及び我が国の安全保障への寄与 ～欧米主要国をはじめとする関係国との連携の一層の強化～

第２部 サイバーセキュリティに関する情勢
第１章 経済社会の活力の向上及び持続的発展
第２章 国民が安全で安心して暮らせるデジタル社会の実現
第１ 国民・社会を守るためのセキュリティ基盤の構築
第２ 経済社会基盤を支える各主体における情勢①（政府機関等）
 １ 政府機関等におけるサイバーセキュリティに関する体制
 ２ 2023 年度のサイバーセキュリティの確保の状況
 ３ 2023 年度の政府機関等における意図せぬ情報流出に係る情報セキュリティインシデントの傾向
第３ 経済社会基盤を支える各主体における情勢②（重要インフラ）
 １ 重要インフラ分野等を狙う恐喝を目的としたサイバー攻撃
 ２ 重要インフラサービス障害
 ３ サイバー脅威の高まり
第４ 経済社会基盤を支える各主体における情勢③（大学・教育研究機関等）
第５ 東京オリンピック・パラリンピック競技大会に向けた取組から得られた知見等の活用
第３章 サイバー空間における国際的な動向
第４章 横断的施策
第１ サイバーセキュリティ分野の研究開発に関する動向
第２ IT・サイバーセキュリティ人材
第３ 国民の意識・行動に関する動向

第３部 サイバーセキュリティ戦略に基づく昨年度の取組実績、評価及び今年度の取組
第１章 経済社会の活力の向上及び持続的発展
第１ 経営層の意識改革
第２ 地域・中小企業における DX with Cybersecurity の推進
第３ 新たな価値創出を支えるサプライチェーン等の信頼性確保に向けた基盤づくり
第４ 誰も取り残さないデジタル／セキュリティ・リテラシーの向上と定着
第２章 国民が安全で安心して暮らせるデジタル社会の実現
第１ 国民・社会を守るためのサイバーセキュリティ環境の提供
第２ デジタル庁を司令塔とするデジタル改革と一体となったサイバーセキュリティの確保
第３ 経済社会基盤を支える各主体における取組①（政府機関等）
第４ 経済社会基盤を支える各主体における取組②（重要インフラ）
第５ 経済社会基盤を支える各主体における取組③（大学・教育研究機関等）
第６ 多様な主体によるシームレスな情報共有・連携と東京オリンピック競技大会・東京パラリンピック競技大会に向けた取組から得られた知見等の活用
第７ 大規模サイバー攻撃事態等への対処態勢の強化
第３章 国際社会の平和・安定及び我が国の安全保障への寄与
第１ 「自由・公正かつ安全なサイバー空間」の確保
第２ 我が国の防御力・抑止力・状況把握力の強化
第３ 国際協力・連携
第４章 横断的施策
第１ 研究開発の推進
 １ 研究開発の国際競争力の強化と産学官エコシステムの構築
 ２ 実践的な研究開発の推進
 ３ 中長期的な技術トレンドを視野に入れた対応
第２ 人材の確保、育成、活躍促進
 １ 「DX with Cybersecurity」に必要な人材に係る環境整備
 ２ 巧妙化・複雑化する脅威への対処
 ３ 政府機関における取組
第３ 全員参加による協働、普及啓発
第５章 推進体制

別添１ 2023 年度の「特に強力に取り組む施策」の取組実績
別添２ 2023 年度のサイバーセキュリティ関連施策の実施状況及び 2024 年度年次計画
別添３ 各府省庁における情報セキュリティ対策の総合評価・方針
別添４ 政府機関等における情報セキュリティ対策に関する統一的な取組
別添５ 重要インフラ事業者等におけるサイバーセキュリティに関する取組等（案）
別添６ サイバーセキュリティ関連データ集
別添７ 担当府省庁一覧（2024 年度年次計画）
別添８ 用語解説

参 考 サイバーセキュリティ 2024（2023 年度年次報告・2024 年度年次計画）概要

 

• サイバーセキュリティ関係施策に関する令和７年度予算重点化方針

 

１ 政府のサイバーセキュリティ体制の抜本的強化

「政府統一基準群」や「IT調達申合せ」をはじめとした基準・ルールの実効性強化や、政府サイバーセキュリティ人材の活用・育成強化、レッドチームテストといった政府機関の対策・対応について、組織・システム・人的側面を含め、多面的に評価するための取組の検討といった施策を推進する。

２ 重要インフラ演習の強化及び個別分野におけるレジリエンス向上

官民間の連携の実践に重点を置いた新たな官民連携演習を、現行の分野横断的演習とともに実施する。演習には、内閣官房、所管省庁及び重要インフラ事業者等との間で双方向のやり取りや、シナリオとして重要インフラサービスの途絶や外部の重要インフラサービスの障害発生等の状況を盛り込む。

３ IPA5の機能強化及びNICTの取組強化を通じたサイバーセキュリティ対策の底上げ

AI 事業者ガイドラインの履行確保について国際整合性等も踏まえ、検討を推進するとともに、AI セーフティ・インスティテュート（AISI）を中心として、国内外の AI 専門家の協力を得て、英国や米国をはじめとする、パートナー国・地域の同等の機関と連携しながら、AI の安全性評価の手法を確立する。

４ セキュアバイデザイン・セキュアバイデフォルト原則を踏まえたIoT機器・ソフトウェア製品のサイバーセキュリティ対策促進

ソフトウェア開発者の開発手法に関するガイドラインの作成や SBOM 活用の推進、安全なソフトウェアの自己適合宣言の仕組みの検討を進める。「IoT 製品に対するセキュリティ適合性評価制度」の整備、認証製品と政府調達等の連携や諸外国の制度との相互承認に向けた調整、交渉を行う。

５ 中小企業のサイバーセキュリティ対策促進

サイバーセキュリティお助け隊サービスについて、2023 年度に創設した新たなサービス類型を含め、中小企業等への普及・展開を図る。

６ 海外のサイバーセキュリティ関係機関との協調・連携及びインド・太平洋地域における能力構築支援の推進

同盟国・同志国間での情報交換・政策協調や、サイバーセキュリティに関する多国間の枠組み（G7、IWWN10、CRI11、日米豪印、FIRST12等）への参画・貢献、国際シンクタンクやフォーラムにおける我が国政策の発信を行う。

７ 警察におけるサイバー空間の安全・安心の確保に資する取組の推進

警察庁サイバー警察局において、国内外の多様な主体と連携しながら、サイバー空間の脅威情勢を踏まえた国民への注意喚起や関係団体への各種要請等、サイバー事案に係る被害防止対策を効果的に推進する。また、関東管区警察局サイバー特別捜査隊を発展的に改組したサイバー特別捜査部において、情報の収集、整理及び分析を行う体制を強化するとともに、外国捜査機関等との一層ハイレベルな調整を通じて国際共同捜査に積極的に参画する。

提出資料

• 議事次第 
• 資料１　サイバーセキュリティ2024（2023年度年次報告・2023年度年次計画）（案）について
• 資料２　サイバーセキュリティ関係施策に関する令和７年度予算重点化方針（案）
• 資料３　政府のサイバーセキュリティに関する令和６年度予算

 

 

デジタル庁 本人確認ガイドラインの改定に向けた有識者会議 本人確認ガイドライン改定方針令和5年度中間とりまとめ

こんにちは、丸山満彦です。

デジタル庁の本人確認ガイドラインの改定に向けた有識者会議から、本人確認ガイドライン改定方針令和5年度中間とりまとめが公表されていますね...

まじめに検討されています（当たり前か...）

本人確認は、セキュリティというか、コンピュータ利用の最初の第一歩の話なので、これは胆となりますよね...ここで、間違うと、その後ずっと間違え続けるという...

 

● デジタル庁 - デジタル社会推進標準ガイドライン

・DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドライン

・2019.02.25 [PDF] 本文  [ZIP] 統合版（PDF／Wordファイル）

• 最終改定：2019年2月25日
• ドキュメントの位置づけ：Normative
• 概要：各種行政手続をデジタル化する際に必要となる、オンラインによる本人確認の手法を示した標準ガイドラインの附属文書

・2023.06.29 [PDF] 参考資料_改定に向けた中間とりまとめ（令和4年度（2022年度））

・2024.07.10 [PDF] 参考資料_改定に向けた中間とりまとめ（令和5年度（2023年度））

・2024.06.17 [PDF] 参考資料_「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」Q&A

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

日本...

・2023.06.30 デジタル庁 「DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドライン」の改定に向けた中間取りまとめ

 

米国...

・2024.04.25 米国 NIST SP 800-63B [補足 1] NIST SP 800-63B: デジタル・アイデンティティ・ガイドライン - 認証およびライフサイクル管理への同期可能な本人認証の組み込み

・2023.06.10 NIST mDL モバイル端末に運転免許証... (2023.06.01)

・2022.12.19 NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

・2021.06.17 NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS

・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

・2020.09.24 米国NSAが「多要素認証サービスの選択と安全な使用」に関する連邦政府向けのガイダンスを公表していますね。。。

・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines

・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました

 

欧州...

・2024.03.21 ENISA 遠隔身元証明 (Remote ID Proofing) の優れた実践

・2023.07.05 ENISA デジタルID標準

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.10 欧州議会 欧州デジタルID：欧州デジタルIDの枠組みの更新

・2022.03.10 EU議会 eIDAS規制の改定：その実施と適用に関する調査結果

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意：あなたの顔が偽装される可能性があります

 =>2000年ごろにクリーブランド病院のCIOを白浜シンポに読んで話してもらった時の資料にあったID Theftの翻訳が難しかったという話が書いていますね...

・2021.06.07 欧州委員会 EU人としてのデジタルIDのフレームワークを提案

 

英国

・2022.06.15 英国 デジタルIDと属性の信頼性フレームワーク - ベータ版

・2022.01.19 英国 デジタル・文化・メディア・スポーツ省 ガイダンス：就労権、賃借権、犯罪歴確認のためのデジタルID認証

・2021.02.17 英国 デジタルID・属性のフレームワーク案の意見募集

 

この話も少し参考になるかも...

・2024.05.22 EU 欧州理事会がサイバーの安全性と抗堪性を強化するための結論書を承認

・2023.10.04 欧州委員会 デジタルの10年 2023年 (2023.09.27)

・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)

・2023.07.13 欧州委員会 Web4.0と仮想世界に関するEUのイニシアチブ： 次の技術的転換期を先取りする

 

Five Eyes ドイツ 韓国 日本が、共同で、中華人民共和国（PRC）国家安全保障省 APT40 Tradecraft in Actionのガイダンスを公表...

こんにちは、丸山満彦です。

いつものFive Eyesに加えて、ドイツ、韓国、日本も共同署名に加わって、中華人民共和国（PRC）国家安全保障省 APT40に関するガイダンスを公表していますね...

国際連携の良い例が増えてきていますね...

 

● Australian Signals Directorate - Australian Cyber Security Centre 

・2024.07.09 APT40 Advisory PRC MSS tradecraft in action

・[PDF] 

 

● U.S. CISA

・2024.07.08 People’s Republic of China (PRC) Ministry of State Security APT40 Tradecraft in Action AA24-190A

途中までですが...

Background	背景
This advisory, authored by the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), the United States Cybersecurity and Infrastructure Security Agency (CISA), the United States National Security Agency (NSA), the United States Federal Bureau of Investigation (FBI), the United Kingdom National Cyber Security Centre (NCSC-UK), the Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ), the German Federal Intelligence Service (BND) and Federal Office for the Protection of the Constitution (BfV), the Republic of Korea’s National Intelligence Service (NIS) and NIS’ National Cyber Security Center, and Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC) and National Police Agency (NPA)—hereafter referred to as the “authoring agencies”—outlines a People’s Republic of China (PRC) state-sponsored cyber group and their current threat to Australian networks. The advisory draws on the authoring agencies’ shared understanding of the threat as well as ASD’s ACSC incident response investigations.	この勧告は、オーストラリア信号総局のオーストラリア・サイバーセキュリティ・センター（ASD's ACSC）、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）、米国国家安全保障局（NSA）、米国連邦捜査局（FBI）、英国国家サイバーセキュリティセンター（NCSC-UK）、カナダ・サイバーセキュリティセンター（CCCS）、ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）、 ドイツ連邦情報局（BND）および連邦憲法保護局（BfV）、大韓民国国家情報院（NIS）およびNISの国家サイバーセキュリティセンター、日本の国家サイバーセキュリティセンター（NISC）および警察庁（警察庁）-以下「認可機関」と呼ぶ）によるもので、中華人民共和国（PRC）の国家が支援するサイバー・グループと、オーストラリアのネットワークに対する彼らの現在の脅威について概説している。この勧告は、ASDのACSCインシデント対応調査だけでなく、認可機関が共有する脅威の理解に基づいている。
The PRC state-sponsored cyber group has previously targeted organizations in various countries, including Australia and the United States, and the techniques highlighted below are regularly used by other PRC state-sponsored actors globally. Therefore, the authoring agencies believe the group, and similar techniques remain a threat to their countries’ networks as well.	PRCの国家に支援されたサイバーグループは、以前オーストラリアや米国を含む様々な国の組織を標的にしており、以下に強調されているテクニックは、他のPRCの国家に支援されたアクターによって世界的に定期的に使用されている。したがって、認可機関は、このグループと類似の技術は、自国のネットワークにとっても脅威であり続けると信じている。
The authoring agencies assess that this group conduct malicious cyber operations for the PRC Ministry of State Security (MSS). The activity and techniques overlap with the groups tracked as Advanced Persistent Threat (APT) 40 (also known as Kryptonite Panda, GINGHAM TYPHOON, Leviathan and Bronze Mohawk in industry reporting). This group has previously been reported as being based in Haikou, Hainan Province, PRC and receiving tasking from the PRC MSS, Hainan State Security Department.[1]	認可機関は、このグループが中国国家安全部（MSS）のために悪意のあるサイバー作戦を行っていると評価している。その活動や手法は、Advanced Persistent Threat (APT) 40（業界の報告では、Kryptonite Panda、GINGHAM TYPHOON、Leviathan、Bronze Mohawkとしても知られている）として追跡されているグループと重複している。このグループは以前、中国海南省海口市を拠点とし、中国海南省国家安全保障局（MSS）から任務を受けていると報告されている[1]。
The following Advisory provides a sample of significant case studies of this adversary’s techniques in action against two victim networks. The case studies are consequential for cybersecurity practitioners to identify, prevent and remediate APT40 intrusions against their own networks. The selected case studies are those where appropriate remediation has been undertaken reducing the risk of re-exploitation by this threat actor, or others. As such, the case studies are naturally older in nature, to ensure organizations were given the necessary time to remediate.	以下の勧告は、2つの被害者ネットワークに対するこの敵対者のテクニックの重要なケーススタディのサンプルを提供する。これらのケーススタディは、サイバーセキュリティの実務者が自社のネットワークに対する APT40 の侵入を識別し、防止し、是正するために必要なものである。選ばれたケーススタディは、この脅威行為者や他の脅威行為者による再侵略のリスクを低減するために、適切な修復が行われたものである。そのため、組織が修復に必要な時間を確保できるよう、ケーススタディは当然ながら古いものとなっている。
To download the PDF version of this report, visit the following link, APT40 Advisory.	本レポートのPDF版をダウンロードするには、以下のリンク「APT40 Advisory」を参照のこと。
Activity Summary	活動の概要
APT40 has repeatedly targeted Australian networks as well as government and private sector networks in the region, and the threat they pose to our networks is ongoing. The tradecraft described in this advisory is regularly observed against Australian networks.	APT40は、オーストラリアのネットワークだけでなく、この地域の政府および民間セクターのネットワークを繰り返し標的にしており、彼らが我々のネットワークに与える脅威は現在も続いている。この勧告に記載されている手口は、オーストラリアのネットワークに対して定期的に観測されている。
Notably, APT40 possesses the capability to rapidly transform and adapt exploit proof-of-concept(s) (POCs) of new vulnerabilities and immediately utilize them against target networks possessing the infrastructure of the associated vulnerability. APT40 regularly conducts reconnaissance against networks of interest, including networks in the authoring agencies’ countries, looking for opportunities to compromise its targets. This regular reconnaissance postures the group to identify vulnerable, end-of-life or no longer maintained devices on networks of interest, and to rapidly deploy exploits. APT40 continues to find success exploiting vulnerabilities from as early as 2017.	特筆すべきは、APT40 が新たな脆弱性の概念実証（POC）を迅速に変換・適応させ、関連する脆弱性のインフラを保有する標的ネットワークに対して即座に利用する能力を有していることである。APT40は、認可機関の国のネットワークを含む関心のあるネットワークに対して定期的に偵察を行い、標的を侵害する機会を狙っている。このような定期的な偵察により、APT40のグループは、対象ネットワーク上の脆弱性、使用済みデバイス、保守が終了したデバイスを特定し、エクスプロイトを迅速に展開できる体制を整えている。APT40は、早ければ2017年から脆弱性を悪用することに成功し続けている。
APT40 rapidly exploits newly public vulnerabilities in widely used software such as Log4J (CVE-2021-44228), Atlassian Confluence (CVE-2021-31207, CVE-2021-26084) and Microsoft Exchange (CVE-2021-31207, CVE-2021-34523, CVE-2021-34473). ASD’s ACSC and the authoring agencies expect the group to continue using POCs for new high-profile vulnerabilities within hours or days of public release.	APT40は、Log4J (CVE-2021-44228)、Atlassian Confluence (CVE-2021-31207、CVE-2021-26084)、Microsoft Exchange (CVE-2021-31207、CVE-2021-34523、CVE-2021-34473)など、広く使用されているソフトウェアの新たに公開された脆弱性を迅速に悪用している。ASDのACSCと認可機関は、公開後数時間から数日以内に、新たな注目度の高い脆弱性のPOCを使用し続けることを期待している。
Figure 1: TTP Flowchart for APT40 activity	図1：APT40活動のTTPフローチャート
This group appears to prefer exploiting vulnerable, public-facing infrastructure over techniques that require user interaction, such as phishing campaigns, and places a high priority on obtaining valid credentials to enable a range of follow-on activities. APT40 regularly uses web shells [T1505.003] for persistence, particularly early in the life cycle of an intrusion. Typically, after successful initial access APT40 focuses on establishing persistence to maintain access on the victim’s environment. However, as persistence occurs early in an intrusion, it is more likely to be observed in all intrusions—regardless of the extent of compromise or further actions taken.	このグループは、フィッシングキャンペーンのようなユーザーとのやり取りを必要とする手法よりも、脆弱性のある一般公開されたインフラを悪用することを好むようで、さまざまな後続の活動を可能にするために有効な認証情報を取得することに高い優先順位を置いている。APT40は、特に侵入のライフサイクルの初期段階において、ウェブシェル[T1505.003]を定期的に使用して持続性を高めている。通常、APT40は初期アクセスに成功した後、被害者の環境へのアクセスを維持するために永続性を確立することに重点を置く。しかし、永続性は侵入の初期に発生するため、侵害の程度やその後の行動に関係なく、すべての侵入で観察される可能性が高い。
Notable Tradecraft	注目すべき手口
Although APT40 has previously used compromised Australian websites as command and control (C2) hosts for its operations, the group have evolved this technique [T1594].	APT40 は以前、侵害されたオーストラリアのウェブサイトをコマンド・アンド・コントロール（C2）ホストとして使用していたが、同グループはこの手法を進化させてきた [T1594]。
APT40 has embraced the global trend of using compromised devices, including small-office/home-office (SOHO) devices, as operational infrastructure and last-hop redirectors [T1584.008] for its operations in Australia. This has enabled the authoring agencies to better characterize and track this group’s movements.	APT40 は、小規模オフィス/ホームオフィス（SOHO）デバイスを含む侵害されたデバイスを、運用インフラおよびラストホップリダイレクト [T1584.008] として使用するという世界的な傾向を、オーストラリアでの活動に取り入れている。これによって認可機関は、このグループの動きをよりよく特徴付け、追跡することができるようになった。
Many of these SOHO devices are end-of-life or unpatched and offer a soft target for N-day exploitation. Once compromised, SOHO devices offer a launching point for attacks that is designed to blend in with legitimate traffic and challenge network defenders [T1001.003].	これらのSOHOデバイスの多くは、使用済みであったり、パッチが適用されていなかったりするため、N-dayの悪用の格好の標的となっている。いったん侵害されると、SOHO デバイスは、正当なトラフィックに紛れ込み、ネットワーク防御者に挑戦するように設計された攻撃の出発点を提供する [T1001.003]。
This technique is also regularly used by other PRC state-sponsored actors worldwide, and the authoring agencies consider this to be a shared threat. For additional information, see joint advisories People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices and PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure.	このテクニックは、世界中の他のPRC国家支援行為者にも定期的に使用されており、認可機関はこれを共有の脅威とみなしている。追加情報については、共同勧告「中華人民共和国国家支援サイバー行為者がネットワーク・プロバイダおよびデバイスを悪用」および「中華人民共和国国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持」を参照のこと。
APT40 does occasionally use procured or leased infrastructure as victim-facing C2 infrastructure in its operations; however, this tradecraft appears to be in relative decline.	APT40は、時折、調達またはリースされたインフラを、被害者向けのC2インフラとして使用することがあるが、この手口は相対的に減少しているようである。

 

● NISC

・2024.07.09 国際アドバイザリー「APT40 Advisory PRC MSS tradecraft in action」に署名しました

・[PDF]

 

● 警察庁

・2024.07.09 豪州主導のAPT40グループに関する国際アドバイザリーへの共同署名について

・[PDF] 報道発表資料

 

 仮訳が追って公表されるようです...

 

 

 

ISO/IEC 27403:2024サイバーセキュリティ - IoTセキュリティとプライバシー - IoTドモティクスのためのガイドライン (2024.06.25)

こんにちは、丸山満彦です。

ISO/IEC 27403:2024サイバーセキュリティ - IoTセキュリティとプライバシー - IoTドモティクスのためのガイドラインが公表されていますね...

 

● ISO

・2024.06.25 ISO/IEC 27403:2024(en) Cybersecurity – IoT security and privacy – Guidelines for IoT-domotics

 

目次...

Foreword	まえがき
Introduction	序文
1 Scope	1 範囲
2 Normative references	2 引用規格
3 Terms and definitions	3 用語と定義
4 Abbreviated terms	4 略語
5 Overview	5 概要
5.1 General	5.1 概要
5.2 Features	5.2 特徴
5.3 Stakeholders	5.3 ステークホルダー
5.4 Life cycles	5.4 ライフサイクル
5.5 Reference model	5.5 参照モデル
5.6 Security and privacy dimensions	5.6 セキュリティとプライバシーの側面
6 Guidelines for risk assessment	6 リスクアセスメントのガイドライン
6.1 General	6.1 一般事項
6.2 Sources of security risks	6.2 セキュリティリスクの発生源
6.2.1 Security risks for service sub-systems	6.2.1 サービスサブシステムのセキュリティリスク
6.2.2 Security risks for IoT-domotics gateway	6.2.2 IoT-ドモティクス・ゲートウェイのセキュリティリスク
6.2.3 Security risks for IoT-domotics devices and physical entities	6.2.3 IoT-ドモティクス機器及び物理事業体のセキュリティリスク
6.2.4 Security risks for networks	6.2.4 ネットワークのセキュリティリスク
6.3 Sources of privacy risks	6.3 プライバシーリスクの原因
6.3.1 Privacy risks for service sub-systems	6.3.1 サービスサブシステムのプライバシーリスク
6.3.2 Privacy risks for IoT-domotics gateway	6.3.2 IoTドモティクス・ゲートウェイのプライバシーリスク
6.3.3 Privacy risks for IoT-domotics devices and physical entitles	6.3.3 IoTドモティクス機器及び物理的エンタイトルメントのプライバシーリスク
6.3.4 Privacy risks for networks	6.3.4 ネットワークのプライバシーリスク
7 Security and privacy controls	7 セキュリティとプライバシー管理
7.1 Principles	7.1 原則
7.1.1 General	7.1.1 一般原則
7.1.2 Different levels of security for different services	7.1.2 サービスごとに異なるセキュリティレベル
7.1.3 Easy security settings for users	7.1.3 ユーザの簡単なセキュリティ設定
7.1.4 Failsafe domotics devices	7.1.4 フェールセーフなドモティクス機器
7.1.5 Restricted access to content services	7.1.5 コンテンツサービスへのアクセス制限
7.1.6 Consideration for children	7.1.6 子どもへの配慮
7.1.7 Scenario-specific privacy preferences	7.1.7 シナリオ別のプライバシー設定
7.2 Security controls	7.2 セキュリティ管理
7.2.1 Policy for IoT-domotics security	7.2.1 IoTドモティクスのセキュリティに関する方針
7.2.2 Organization of IoT-domotics security	7.2.2 IoTドモティクスセキュリティの組織化
7.2.3 Asset management	7.2.3 資産管理
7.2.4 Equipment and assets located outside physical secured areas	7.2.4 物理的に保護された区域外にある機器及び資産
7.2.5 Secure disposal or re-use of equipment	7.2.5 機器の安全な廃棄又は再利用
7.2.6 Learning from security incidents	7.2.6 セキュリティインシデントからの学習
7.2.7 Secure IoT-domotics system engineering principles	7.2.7 安全な IoT ドモグラフィシステム工学の原則
7.2.8 Secure development environment and procedures	7.2.8 安全な開発環境及び手順
7.2.9 Security of IoT-domotics systems in support of safety	7.2.9 安全を支えるIoTドモティクス・システムのセキュリティ
7.2.10 Security in connecting varied IoT-domotics devices	7.2.10 多様なIoTドモティクス機器の接続におけるセキュリティ
7.2.11 Verification of IoT-domotics devices and systems design	7.2.11 IoTドモティクス機器とシステム設計の検証
7.2.12 Monitoring and logging	7.2.12 監視とロギング
7.2.13 Protection of logs	7.2.13 ログの防御
7.2.14 Use of suitable networks for the IoT-domotics systems	7.2.14 IoTドモティクス・システムに適したネットワークの利用
7.2.15 Secure settings and configurations in delivery of IoT-domotics devices and services	7.2.15 IoT ドモティクス機器及びサービスの提供における安全な設定及び構成
7.2.16 User and device authentication	7.2.16 ユーザ及び機器の認証
7.2.17 Provision of software and firmware updates	7.2.17 ソフトウェア及びファームウェアの更新の提供
7.2.18 Sharing vulnerability information	7.2.18 脆弱性情報の共有
7.2.19 Security measures adapted to the life cycle of IoT-domotics system and services	7.2.19 IoT ドモティクス・システム及びサービスのライフサイクルに適合したセキュリティ対策
7.2.20 Guidance for IoT-domotics users on the proper use of IoT-domotics devices and services	7.2.20 IoT ドモティクス利用者に対する IoT ドモティクス機器及びサービスの適切な利用に関するガイダンス
7.2.21 Determination of security roles for stakeholders	7.2.21 関係者のセキュリティ上の役割の決定
7.2.22 Management of vulnerable devices	7.2.22 脆弱性機器の管理
7.2.23 Management of supplier relationships in IoT-domotics security	7.2.23 IoT ドモティクス・セキュリティにおける供給者関係の管理
7.2.24 Secure disclosure of Information regarding security of IoT-domotics devices	7.2.24 IoT ドモティクス・機器のセキュリティに関する情報の安全な開示
7.3 Privacy controls	7.3 プライバシー管理
7.3.1 Prevention of privacy invasive events	7.3.1 プライバシー侵害事象の防止
7.3.2 IoT-domotics privacy by default	7.3.2 デフォルトによる IoT ドモグラフィのプライバシー
7.3.3 Provision of privacy notice	7.3.3 プライバシー通知の提供
7.3.4 Verification of IoT-domotics functionality	7.3.4 IoTドモティクスの機能検証
7.3.5 Consideration of IoT-domotics users	7.3.5 IoTドモティクス利用者への配慮
7.3.6 Management of IoT-domotics privacy controls	7.3.6 IoTドモティクスのプライバシー管理の管理
7.3.7 Unique device identity	7.3.7 ユニークな機器ID
7.3.8 Fail-safe authentication	7.3.8 フェイルセーフ認証
7.3.9 Minimization of indirect data collection	7.3.9 間接的データ収集の最小化
7.3.10 Communication of privacy preferences	7.3.10 プライバシー設定のコミュニケーション
7.3.11 Verification of automated decision	7.3.11 自動化された決定の検証
7.3.12 Accountability for stakeholders	7.3.12 利害関係者に対する説明責任
7.3.13 Unlinkability of PII	7.3.13 PII の連結不可能性
7.3.14 Sharing information on PII protection measures of IoT-domotics devices	7.3.14 IoT ドモティクス機器の PII 保護対策に関する情報の共有
Annex A Use cases of IoT-domotics	附属書 A IoT ドモティクスのユースケース
A.1 Use case 1: entertainment	A.1 ユースケース 1：娯楽
A.2 Use case 2: electrical appliance control	A.2 ユースケース 2：電化製品の制御
A.3 Use case 3: monitoring and security system	A.3 ユースケース3：監視・セキュリティシステム
A.4 Use case 4: care service	A.4 ユースケース4：介護サービス
A.5 Use case 5: energy management	A.5 ユースケース5：エネルギー管理
A.6 Use case 6: car video communication	A.6 ユースケース6：車載ビデオコミュニケーション
Annex B Security and privacy concerns from stakeholders	附属書B ステークホルダーからのセキュリティとプライバシーに関する懸念
B.1 Security concerns	B.1 セキュリティに関する懸念
B.1.1 General	B.1.1 一般的な懸念
B.1.2 Security concerns from IoT-domotics service provider	B.1.2 IoT ドモティクス・サービス・プロバイダからのセキュリティ懸念
B.1.3 Security concerns from IoT-domotics service developer	B.1.3 IoT ドモティクスサービス開発者のセキュリティ懸念
B.1.4 Security concerns from IoT-domotics user	B.1.4 IoTドモティクス利用者のセキュリティ懸念
B.2 Privacy concerns	B.2 プライバシーに関する懸念
B.2.1 General	B.2.1 一般的な懸念
B.2.2 Privacy concerns from IoT-domotics service provider	B.2.2 IoTドモティクスサービスプロバイダからのプライバシーに関する懸念
B.2.3 Privacy concerns from IoT-domotics service developer	B.2.3 IoTドモティクスサービス開発者のプライバシーに関する懸念
B.2.4 Privacy concerns from IoT-domotics user	B.2.4 IoT ドモティクス利用者のプライバシーに関する懸念
Annex C Security and privacy responsibilities of stakeholders	附属書 C 関係者のセキュリティ及びプライバシーに関する責任
C.1 Responsibilities of IoT-domotics service provider	C.1 IoT ドモティクスサービスプロバイダの責任
C.2 Responsibilities of IoT-domotics service developer	C.2 IoTドモティクスサービス開発者の責任
C.3 Responsibilities of IoT-domotics user	C.3 IoT ドモティクス利用者の責任
Annex D Security measures for different types of IoT-domotics devices	附属書 D IoT ドモティクス機器の種類に応じたセキュリティ対策
D.1 General	D.1 一般
D.2 Class I	D.2 クラス I
D.3 Class II	D.3 クラスII
D.4 Class III	D.4 クラス III
D.5 Class IV	D.5 クラス IV
Figuares	図
Figure 1 — IoT-domotics life cycles	図1-IoTドモティクス・ライフサイクル
Figure 2 — IoT-domotics reference model	図2-IoTドモティクス参照モデル
Figure A.1 — Entertainment scene	図A.1 - 娯楽シーン
Figure A.2 — Electrical appliance control scene	図A.2 - 電化製品の制御シーン
Figure A.3 — IoT-domestics security system scene	図A.3 - IoTドーメスティクスのセキュリティシステムのシーン
Figure A.4 — Healthcare service scene	図A.4 - ヘルスケアサービスシーン
Figure A.5 — Energy management scene	図A.5 - エネルギー管理シーン
Figure A.6 — Car video communication scene	図A.6 - カービデオ・コミュニケーション・シーン
Tables	表
Table 1 — Stakeholders involved in IoT-domotics	表1 - IoT ドモティクスに関わる関係者
Table 2 — Correspondence between entities described in this document and domains described in ISO/IEC 27400	表2 - 本文書に記載された事業体と ISO/IEC 27400 に記載されたドメインとの対応関係
Table 3 — IoT-domotics entities and their involved security and privacy dimensions	表3 - IoT ドモティクスの事業体と、それらに関係するセキュリティ及びプライバシーの次元
Table B.1 — Security protection attributes	表B.1 - セキュリティ保護属性
Table B.2 — Privacy protection attributes	表B.2 - プライバシー保護属性
Table D.1 — Classification of IoT-domotics devices based on hardware resources	表D.1-ハードウェア資源に基づく IoT ドモティクス機器の分類

 

Domotics（ドモティックス）はHome automation（ホームオートメーション）のことですね...

 

米国 CISA 選挙関係者のための運用セキュリティガイド

こんにちは、丸山満彦です。

CISAが、選挙関係者のための運用セキュリティーガイドを公表していますね...

 

● CISA

プレス...

・2024.07.05 CISA Releases Guide to Operational Security for Election Officials

CISA Releases Guide to Operational Security for Election Officials	CISAが選挙関係者のための運用セキュリティガイドを発表
WASHINGTON –Today, the Cybersecurity and Infrastructure Security Agency (CISA) released its “Guide to Operational Security for Election Officials.” This essential guide aims to enhance the security of election infrastructure by providing a thorough overview of operational security (OPSEC) within the election context, highlighting potential risks and offering practical mitigation measures.	ワシントン -本日、サイバーセキュリティ・インフラセキュリティ庁（CISA）は、「選挙関係者のための運用セキュリティガイド」を発表した。この重要なガイドは、選挙の文脈におけるオペレーショナル・セキュリティ（OPSEC）の概要を提供し、潜在的なリスクを浮き彫りにし、実践的な低減策を提示することによって、選挙インフラのセキュリティを強化することを目的としている。
Operational security is a systematic approach to identifying and protecting sensitive information, data, or capabilities within an organization.  Without robust safeguards, sensitive information can be inadvertently or deliberately exposed and exploited by threat actors, potentially impacting the ability of election workers to fulfill their duties, exposing voters’ personally identifiable information (PII) and enabling unauthorized access to internal systems and facilities.	運用セキュリティとは、組織内の機密情報、データ、能力を特定し、保護するための体系的なアプローチである。 強固な保護措置がなければ、機密情報は不注意または故意に脅威行為者に暴露され、悪用される可能性があり、選挙作業員の職務遂行能力に影響を与えたり、有権者の個人を特定できる情報（PII）を暴露したり、内部システムや施設への不正アクセスを可能にしたりする可能性がある。
By incorporating OPSEC principles into daily election operations and fostering a culture of security awareness, election workers can significantly reduce the risk of unauthorized disclosures while maintaining a transparent elections process and responding to public inquiries.  The guide emphases the importance of viewing data from an adversary’s perspective to holistically assess and mitigate potential threats.	OPSECの原則を日常的な選挙業務に取り入れ、セキュリティを意識する文化を醸成することで、選挙職員は、透明性の高い選挙プロセスを維持し、一般からの問い合わせに対応しながら、不正な情報開示のリスクを大幅に減らすことができる。 このガイドでは、潜在的な脅威を総合的に評価し緩和するために、敵の視点からデータを見ることの重要性を強調している。
“CISA provides various training programs for election workers, including secure practices, incident response planning, and de-escalation techniques.” said CISA Special Advisor to the Director for Election Security Cait Conley. “This guide is another excellent resource CISA provides the public with to keep our elections safe and secure.”	CISAの特別アドバイザーであるカイト コネリー選挙セキュリティディレクターは次のように述べている。「CISAは選挙作業員向けに、安全な実務、インシデント対応計画、デスカレーション技術など、さまざまな研修プログラムを提供している。このガイドもまた、CISAが選挙を安全かつセキュアに保つために国民に提供する優れたリソースである。」
Key points from the Guide:	ガイドのポイント
・OPSEC is critical for protecting election infrastructure from exposure to potential threat actors.	・OPSECは選挙インフラを潜在的脅威行為者のエクスポージャーから守るために重要である。
・Embedding OPSEC principles in daily operations helps prevent unauthorized access to sensitive information.	・日常業務にOPSECの原則を組み込むことで、機密情報への不正アクセスを防ぐことができる。
・Training and awareness of OPSEC principles enable election workers to understand and manage aggregated risks effectively.	・OPSECの原則を意識向上およびトレーニングすることで、選挙従事者は統合されたリスクを理解し、効果的に管理することができる。
・The guide provides real-world examples and mitigation activities to strengthen operational security.	・このガイドは、運用上のセキュリティを強化するための実例と低減活動を提供している。

 

ガイド...

・2024.07.05 Guide to Operational Security for Election Officials

Guide to Operational Security for Election Officials	選挙関係者のための運用セキュリティの手引き
This essential guide aims to enhance the security of election operations by providing a thorough overview of operational security (OPSEC) within the election context, highlighting potential risks and offering practical mitigation strategies.	この重要なガイドは、選挙の文脈における運用セキュリティ（OPSEC）の概要を提供し、潜在的なリスクを浮き彫りにし、実践的な軽減策を提供することによって、選挙運用のセキュリティを強化することを目的としている。
Operational security is a systematic approach to identifying and protecting sensitive information, data, or capabilities within an organization. In the realm of election security, OPSEC is paramount. Without robust safeguards, sensitive information can be inadvertently or deliberately exposed and exploited by threat actors, jeopardizing the ability of election workers to fulfill their duties, compromising voters’ personally identifiable information (PII) and enabling unauthorized access to election systems and facilities.	運用セキュリティとは、組織内の機密情報、データ、能力を特定し、保護するための体系的なアプローチである。選挙セキュリティの領域では、OPSECが最も重要である。強固な保護措置がなければ、機密情報は不注意または故意に脅威行為者に暴露され、悪用される可能性があり、選挙作業員の職務遂行能力を危険にさらし、有権者の個人を特定できる情報（PII）を危険にさらし、選挙システムや施設への不正アクセスを可能にする。
By incorporating OPSEC principles into daily election operations and fostering a culture of security awareness, election workers can significantly reduce the risk of unauthorized disclosures while maintaining the necessary transparency for legitimate inquiries and examination of election processes. The guide emphases the importance of viewing data from an adversary’s perspective to holistically assess and mitigate potential threats.	OPSECの原則を日常的な選挙業務に取り入れ、セキュリティを意識する文化を醸成することで、選挙職員は不正な情報開示のリスクを大幅に低減することができる一方、正当な問い合わせや選挙プロセスの検証に必要な透明性を維持することができる。このガイドでは、潜在的な脅威を総合的に評価し軽減するために、敵の視点からデータを見ることの重要性を強調している。

 

・[PDF]

 

・[DOCX][PDF] 仮訳

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

一般セキュリティ

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁（CISA）と米国選挙支援委員会（EAC）が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2023.12.12 カナダ サイバーセキュリティセンター 選挙に対するサイバー脅威、政治家候補へのサイバーセキュリティ・アドバイス他

・2023.11.23 ENISA 2024年のEU議会議員選挙に向けたサイバー演習

・2023.08.25 シンガポール CSR 大統領選に向け立候補者、有権者、それぞれに向けてサイバー関連の注意喚起

 

電子投票システムの保護

・2024.02.29 米国 IC3 電子投票の交付、マーク付け、返送に関するリスクマネジメント (2024.02.14)

・2022.06.15 ドイツ BSI Security in focus - BSI Magazine 2021-02 はオンライン選挙をテーマにしていますね。。。 (2022.05.31)

 

偽情報を含む情報操作対策

・2024.06.07 欧州議会 欧州議会選挙に対する偽情報に対する準備は整った（選挙期間中）

・2024.06.02 欧州会計監査院がEU選挙を控えているので偽情報とサイバーセキュリティには気をつけろといってますね...

・2024.04.22 米国 CISA FBI ODNI 外国の悪質な影響力工作の手口から選挙インフラを守るためのガイダンス

・2024.04.14 米国 EPIC他 テック・プラットフォーマーにAIによる選挙偽情報に対抗するように要請

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.08.07 米国 MITRE グローバル民主主義への脅威

・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ（52大学から56チームが参加）

欧州 ETSI 電子署名と信頼基盤（ESI）；属性の電子認証に適用される選択的開示とゼロ知識証明の分析

こんにちは、丸山満彦です。

ETSIの電子署名と信頼基盤（ESI）；属性の電子認証に適用される選択的開示とゼロ知識証明の分析...

 

● ETSI

・2024.07 [PDF] TR 119 476 V1.2.1 (2024-07) Electronic Signatures and Trust Infrastructures (ESI); Analysis of selective disclosure and zero-knowledge proofs applied to Electronic Attestation of Attributes 

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
The eIDAS2 regulation and the Architecture and Reference Framework (ARF) define regulatory requirements on selective disclosure and unlinkability for the EUDI Wallet. The present document provides a general yet comprehensive analysis of signature schemes, formats and protocols that cater for selective disclosure, unlinkability and predicates. More specifically, the present document includes an analysis of how certain selective disclosure techniques can be applied on eIDAS2 and the EUDI Wallet.	eIDAS2 規制およびアーキテクチャと参照フレームワーク（ARF）は、EUDI ウォレットの選択的 開示とリンク不能に関する規制要件を定義している。本文書は、選択的開示、非リンク性、述語に対応する署名スキーム、フォーマット、プロトコルの一般的かつ包括的な分析を提供する。より具体的には、本文書はeIDAS2とEUDIウォレット上でどのように特定の選択的開示技術を適用できるかについての分析を含む。
The term selective disclosure means that a user should be capable of presenting a subset of attributes from at least one, but potentially multiple, (Qualified) Electronic Attestations of Attributes ((Q)EAAs). For example, a user should be able to only present their birth date.	選択的開示という用語は、ユーザーが少なくとも1つ、しかし潜在的には複数の（Qualified）Electronic Attestations of Attributes（(Q)EAAs）から属性のサブセットを提示できるべきであることを意味する。例えば、利用者は生年月日のみを提示できるべきである。
The term unlinkability means that different parties should not be able to connect the user's selectively disclosed attributes beyond what is disclosed. There are different categories and degrees of unlinkability, and the present report focuses both on verifier unlinkability and full unlinkability. Verifier unlinkable means that one or more verifiers cannot collude to determine if the selectively disclosed attributes describe the same identity subject, whilst fully unlinkable means that no party can collude to determine if the selectively disclosed attributes describe the same identity subject.	非連結性（unlinkability）という用語は、異なる当事者が、開示されたものを超えて、選択的に開示されたユーザの属性を結びつけることができないようにすべきであることを意味する。非連結性にはさまざまなカテゴリーと程度があり、本報告書では検証者非連結性と完全非連結性の両方に焦点を当てている。検証者非連結性とは、選択的に開示された属性が同じ ID 対象を記述しているかどうかを判断するために、1 人以上の検証者が結託できないことを意味し、完全非連結性とは、選択的に開示された属性が同じ ID 対象を記述しているかどうかを判断するために、いかなる当事者も結託できないことを意味する。
Predicate proofs are verifiable Boolean assertions (true or false) about attributes in a (Q)EAA without disclosing the attribute value itself. For example, a user could derive a proof that they are above the age of 20 from their birthdate and show only the proof as opposed to the birthdate itself. Predicate proofs are often employed in Zero-Knowledge Proof (ZKP) systems aimed at limiting information disclosure.	述語証明は、属性値自体を開示することなく、（Q）EAA の属性に関する検証可能なブーリアン主張 （真または偽）である。たとえば、ユーザは生年月日から 20 歳以上であることの証明を導き出すことができ、生年月日自体ではなく証明のみを示すことができる。述語証明は、情報公開を制限することを目的としたゼロ知識証明（ZKP）システムでよく採用される。
The selective disclosure signature schemes described in the present report are divided in the following categories:	本報告書で説明する選択的開示署名方式は、以下のカテゴリーに分類される：
• Atomic (Q)EAA schemes. An atomic electronic attribute attestation is a (Q)EAA with a single attribute claim, which can be issued by a (Q)TSP upon request or as part of a batch to an EUDI Wallet. The atomic (Q)EAAs can be selected by the user and be included in a verifiable presentation that is presented to a verifier.	・アトミック（Q）EAAスキーム。アトミック電子属性証明は、単一の属性主張を持つ（Q）EAAであり、（Q）TSPが要求に応じて、またはEUDIウォレットへのバッチの一部として発行することができる。アトミック(Q)EAAは、利用者が選択し、検証者に提示する検証可能なプレゼンテーションに含めることができる。
• Multi-message signature schemes. The category of multi-message signature schemes has the capability of proving knowledge of a signature while selectively disclosing any subset of the signed messages. The following schemes in this category are described: BBS/BBS+, Camenisch-Lysyanskaya (CL) signatures, Mercurial signatures, and Pointcheval-Sanders Multi-Signatures (PS-MS). ISO/IEC have standardized parts of BBS and PS-MS in ISO/IEC 20008 [i.143], and have taken the initiative to standardize BBS+ and PS-MS in ISO/IEC PWI 24843 [i.144] and ISO/IEC CD 27565 [i.150]. Furthermore, there are cryptographic research projects, such as MoniPoly, where undisclosed attributes have no impact on the proof size.	・マルチメッセージ署名スキーム。マルチメッセージ署名スキームのカテゴリーは、署名されたメッセージの任意のサブセットを選択的に開示しながら、署名の知識を証明する機能を持つ。このカテゴリーには以下のスキームがある： BBS/BBS+、Camenisch-Lysyanskaya（CL）署名、Mercurial署名、 Pointcheval-Sandersマルチ署名（PS-MS）である。ISO/IECはISO/IEC 20008 [i.143]でBBSとPS-MSの一部を標準化し、ISO/IEC PWI 24843 [i.144]とISO/IEC CD 27565 [i.150]でBBS+とPS-MSの標準化を主導している。さらに、MoniPolyのような、非公開属性が証明サイズに影響を与えない 暗号研究プロジェクトもある。
• Salted attribute hashes. The general concept of this category is to combine each attribute with a salt, hash the combined values, and insert the resulting salted attribute hashes in a list that is signed. The user presents a selection of attributes to the verifier, which can validate them against the list of salted attribute hashes. The following schemes, based on salted attribute hashes, are described: HashWires, Authentic Chained Data Containers (ACDC), and Gordian Envelopes.	・ソルティッド属性ハッシュ。このカテゴリの一般的なコンセプトは,各属性をソルトと組み合わせ,組み合わされた値をハッシュ化し,得られたソルト化された属性ハッシュを署名されたリストに挿入することである。ユーザーは検証者に属性の選択を提示し,検証者は塩付けされた属性ハッシュのリストに対して属性を検証することができる。ソルティッド属性ハッシュに基づく以下のスキームについて説明する: HashWires,Authentic Chained Data Containers (ACDC),Gordian Envelopesである。
• Proofs for arithmetic circuits (programmable ZKPs). This category of ZKP protocols enable the user to prove to the verifier that a certain statement is true, without revealing any additional information beyond the truth of the statement itself. The discussion of proofs for arithmetic circuits is focused on zk-SNARKs.	・算術回路の証明（プログラマブルZKP）。このカテゴリのZKPプロトコルは、あるステートメントが真であることを検証者に証明することを可能にする。算術回路に対する証明の議論は、zk-SNARKに焦点を当てている。
The present document also includes descriptions of (Q)EAA formats that can be used with selective disclosure. The (Q)EAA formats are divided in the following categories:	本文書には、選択的開示で使用可能な(Q)EAA形式の記述も含まれている。(Q)EAAフォーマットは以下のカテゴリーに分類される：
• Atomic (Q)EAA formats. These (Q)EAA formats are based on the category of atomic (Q)EAA formats. The following (Q)EAA formats in this category are described: PKIX X.509 attribute certificate with atomic attribute and W3C Verifiable Credential with atomic attribute.	・アトミックな(Q)EAAフォーマット。これらの(Q)EAA形式は、アトミック(atomic)EAA形式のカテゴリーに基づいている。このカテゴリーには以下の(Q)EAA形式が含まれる： アトミック属性を持つ PKIX X.509 属性証明書およびアトミック属性を持つ W3C 検証可能クレデンシャル。
• Multi-message signature (Q)EAA formats. This category of (Q)EAA formats is based on the multi-message signature schemes. Mainly W3C and Hyperledger have specified such formats to be used for privacy preserving features. The following (Q)EAA formats in this category are described: W3C VC Data Model with ZKP, W3C VC Data Integrity with BBS Cryptosuite, W3C Data Integrity ECDSA Cryptosuites v1.0, and Hyperledger AnonCreds (format).	・マルチメッセージ署名(Q)EAA フォーマット。このカテゴリの(Q)EAA形式は、マルチメッセージ署名スキームに基づいている。主に W3C と Hyperledger が、プライバシー保護機能に使用されるこのようなフォーマットを規定している。このカテゴリーでは、以下の(Q)EAAフォーマットについて説明する： W3C VC Data Model with ZKP、W3C VC Data Integrity with BBS Cryptosuite、W3C Data Integrity ECDSA Cryptosuites v1.0、Hyperledger AnonCreds（フォーマット）である。
• (Q)EAAs with salted attribute hashes. This category of (Q)EAA formats is based on the concept of salted attribute hashes. These (Q)EAA formats specify in detail how the attributes are combined with the random salts and hashed, inserted in a list, which is signed. The following (Q)EAA formats of this category are described: IETF SD-JWT and ISO/IEC 18013-5 [i.140] Mobile Security Object (MSO).	・ソルティッド属性ハッシュを持つ(Q)EAA。このカテゴリーの(Q)EAA形式は、ソルティッド属性ハッシュの概念に基づいている。これらの(Q)EAAフォーマットは、属性がどのようにランダムな塩と組み合わされてハッシュ化され、署名されたリストに挿入されるかを詳細に規定している。このカテゴリの以下の(Q)EAAフォーマットについて説明する： IETF SD-JWTおよびISO/IEC 18013-5 [i.140] モバイル・セキュリティ・オブジェクト（MSO）。
• JSON container formats. This category of generic JSON container formats allows for combining and presenting a mix of selective disclosure signature schemes. The following JSON container formats are described: IETF JSON WebProof (JWP) and W3C JSON Web Proofs For Binary Merkle Trees.	・JSONコンテナ形式。このカテゴリの汎用JSONコンテナ形式は、選択的開示署名スキームを組み合わせて提示することを可能にする。以下のJSONコンテナ形式について説明する： IETF JSON WebProof (JWP)とW3C JSON Web Proofs For Binary Merkle Treesである。
Furthermore, the present document describes systems and protocols with selective disclosure capabilities. The systems and protocols are divided in the following categories:	さらに、本文書では、選択的開示機能を持つシステムとプロトコルについても記述する。システムおよびプロトコルは、以下のカテゴリーに分類される：
• Atomic attribute (Q)EAA presentation protocols. This category of protocols is designed to present the atomic attribute (Q)EAA formats. The atomic attribute (Q)EAAs may be issued on demand to the user, upon request by a verifier. The following protocols in this category are described: PKIX X.509 attribute certificates with single attributes and VC-FIDO for atomic (Q)EAAs.	・アトミック属性（Q）EAA提示プロトコル。このカテゴリのプロトコルは、アトミック属性(Q)EAA形式を提示するように設計されている。アトミック属性(Q)EAAは、検証者の要求に応じて、ユーザーにオンデマンドで発行することができる。このカテゴリーには以下のプロトコルが含まれる： 単一属性のPKIX X.509属性証明書と、アトミック属性（Q）EAA用のVC-FIDOである。
• Multi-message signature protocols and solutions. This category of protocols is based on the multi-message signature schemes, such as BBS+ and CL-signatures, and are used to present selected attributes of the	・マルチメッセージ署名プロトコルとソリューション。このカテゴリのプロトコルは、BBS+ や CL 署名などのマルチメッセージ署名スキームに基づくものであり、(Q)EAA の選択された属性を提示するために使用される。
(Q)EAAs. The following protocols and solutions in this category are described: Hyperledger AnonCreds (protocols) and Direct Anonymous Attestation (DAA) used with Trusted Platform Modules (TPMs); the TPMs have been deployed in personal computers at a large scale.	(Q)EAAsの選択された属性を提示するために使用される。このカテゴリーに属する以下のプロトコルとソリューションについて説明する： Hyperledger AnonCreds（プロトコル）と、Trusted Platform Modules（TPM）とともに使用されるDirect Anonymous Attestation（DAA）。
• Salted attribute hashes protocols. These solutions and protocols are designed to present selectively disclosed attributes based on salted attribute hashes. The OpenAttestation solution of Singapore's Smart Nation is described in the present report. Furthermore, ISO mDL MSOs can be shared over the proximity protocols described in ISO/IEC 18013-5 [i.140] or over the Internet by using ISO/IEC 23220-4 [i.146]. The SD-JWTs can be presented with different protocols, such as OID4VP (OpenID for Verifiable Presentations), ISO 18013-7 [i.141] or ISO/IEC 23220-4 [i.146].	・ソルティッド属性ハッシュプロトコル。これらのソリューションやプロトコルは、ソルティッド属性ハッシュに基づいて、選択的に開示された属性を提示するように設計されている。シンガポールのSmart NationのOpenAttestationソリューションは、本報告書で紹介されている。さらに、ISO mDL MSOは、ISO/IEC 18013-5 [i.140]に記載されている近接プロトコルを使用するか、ISO/IEC 23220-4 [i.146]を使用してインターネット上で共有することができる。SD-JWTは、OID4VP（OpenID for Verifiable Presentations）、ISO 18013-7 [i.141]、ISO/IEC 23220-4 [i.146]など、さまざまなプロトコルで提示することができる。
• Solutions based on proofs for arithmetic circuits (programmable ZKPs). The solutions that are based on proofs for arithmetic circuits intend to use ZKP schemes such as zk-SNARK to facilitate data-minimizing verifiable presentations based on existing digital identity infrastructures. In particular, they can provide selective disclosure, unlinkability, and predicates. The projects Cinderella (zk-SNARKs used with X.509 certificates) and zk-creds (zk-SNARKs used with ICAO passports) are described in the present document.	・算術回路（プログラマブルZKP）の証明に基づくソリューション。算術回路の証明に基づくソリューションは、zk-SNARK などの ZKP スキームを使用して、既存のデジ タル ID インフラストラクチャに基づくデータ最小化検証可能提示を促進することを意図している。特に、選択的開示、非連結性、および述語を提供することができる。プロジェクト・シンデレラ（X.509 証明書とともに使用される zk-SNARK）および zk-creds（ICAOパスポートとともに使用される zk-SNARK）は、本文書に記載されている。
• Anonymous attribute based credentials systems. These solutions are implementations of existing multimessage signature schemes such as CL-signatures or BBS+, with the purpose to present anonymous credentials ((Q)EAAs) to a verifier. The following solutions in this category are described: Idemix (Identity Mixer), U-Prove, ISO/IEC 18370 [i.142] (blind digital signatures), and Keyed-Verification Anonymous Credentials (KVAC).	・匿名属性ベースのクレデンシャル・システム。これらのソリューションは、匿名クレデンシャル（（Q）EAA）を検証者に提示する目的で、CL 署名や BBS+ などの既存のマルチメッセージ署名スキームを実装したものである。このカテゴリーには以下のソリューションがある： Idemix（Identity Mixer）、U-Prove、ISO/IEC 18370 [i.142]（ブラインド電子署名）、およびKVAC（Keyed-Verification Anonymous Credentials）である。
• ISO mobile driving license (ISO mDL). The ISO mDL standard specifies various flows for selective disclosure of attributes. In the present document, the following ISO mDL flows are described: ISO/IEC 18013-5 [i.140] (device retrieval flow), ISO/IEC 18013-5 [i.140] (server retrieval flows), ISO/IEC 18013-7 [i.141] (unattended flow) and ISO/IEC 23220-4 [i.146] (operational protocols).	・ISO モバイル運転免許証（ISO mDL）。ISO mDL標準は、属性を選択的に開示するためのさまざまなフローを規定している。本文書では、以下の ISO mDL フローについて説明する： ISO/IEC 18013-5 [i.140] （デバイス検索フロー）、ISO/IEC 18013-5 [i.140] （サーバー検索フロー）、ISO/IEC 18013-7 [i.141] （無人フロー）、および ISO/IEC 23220-4 [i.146] （運用プロトコル）である。
The ARF proposes two protection mechanisms for the PID, which support selective disclosure but not unlinkability (unless batch issued):	ARFは、PIDの2つの防御メカニズムを提案している。これらは、選択的な 開示をサポートするが、(バッチ発行でない限り)リンク不能をサポートしない：
• ISO/IEC 18013-5 [i.140] (ISO mDL). The ISO mDL mdoc contains all attributes of a user, whilst the ISO mDL MSO contains the corresponding hashed salted attributes.	・ISO/IEC 18013-5 [i.140] (ISO mDL)。ISO mDL mdocにはユーザーのすべての属性が含まれ、ISO mDL MSOには対応するハッシュ化されたソルティッド属性が含まれる。
• A JWT encoding of the W3C Verifiable Credentials Data Model v1.1 in conjunction with IETF SD-JWT. The JWT contains the user attributes, whilst the SD-JWT contains the corresponding hashed salted attributes.	・IETF SD-JWT と連携する W3C 検証可能クレデンシャル・データ・モデル v1.1 の JWT エンコード。JWT にはユーザ属性が含まれ、SD-JWT には対応するハッシュされた塩付き属性が含まれる。
The present document includes an extensive analysis of ISO mDL MSO and SD-JWT and how the formats comply with the eIDAS2 requirements on selective disclosure and unlinkability.	本文書には、ISO mDL MSOとSD-JWTの広範な分析、および選択的開示とリンク不能に関するeIDAS2要件への準拠方法が含まれる。
The ISO mDL MSO and the SD-JWT formats, and related presentation protocols, cater for selective disclosure based on the concept of salted attribute hashes. Furthermore, the MSO and SD-JWT formats support SOG-IS approved cryptographic algorithms and can also be used with quantum-safe cryptography for future use. The conclusion is thus that MSO and SD-JWT meet the eIDAS2 regulatory and technical requirements on selective disclosure.	ISO mDL MSOとSD-JWTフォーマット、および関連するプレゼンテーション プロトコルは、ソルティッド属性ハッシュの概念に基づく選択的開示に対応している。さらに、MSOとSD-JWTフォーマットは、SOG-ISが承認した暗号化アルゴリズムをサポートしており、将来的に量子安全暗号を使用することもできる。したがって、MSO と SD-JWT は、選択的開示に関する eIDAS2 の規制要件と技術要件を満たしている。
As stated, ISO mDL MSO and SD-JWT are not fully unlinkable, although they can provide verifier unlinkability with certain operational measures. In order to achieve verifier unlinkability, batches of ISO mDL MSOs or SD-JWTs need to be issued to each EUDI Wallet. The random salts in the ISO mDL MSO and SD-JWT should be unique, meaning that refreshed MSOs and SD-JWTs are presented to a relying party. Furthermore, the user public keys used for holder binding, if present, need to be unique too.	前述のとおり、ISO mDLのMSOとSD-JWTは完全にはリンク不可能であるが、特定の運用対策 を講じることで、検証者のリンク不可能性を提供することができる。検証者のアンリンカビリティを実現するためには、各EUDIウォレットにISO mDL MSOまたはSD-JWTのバッチを発行する必要がある。ISO mDL MSO および SD-JWT のランダムな塩は一意でなければならず、これはリフレッシュされた MSO および SD-JWT が依拠当事者に提示されることを意味する。さらに、保有者のバインディングに使用されるユーザー公開鍵が存在する場合、 これも一意である必要がある。
There are many similarities between the ISO mDL issuers and the eIDAS2 compliant PID Providers (PIDPs) or QTSPs. The PIDPs/QTSPs can issue PIDs/(Q)EAAs to EUDI Wallets as follows to cater for selective disclosure:	ISO mDL発行者とeIDAS2準拠のPIDプロバイダ（PIDP）またはQTSPの間には多くの類似点がある。PIDP/QTSPは選択的開示に対応するため、以下のようにEUDIウォレットにPID/(Q)EAAを発行することができる：
• The PIDP/QTSP issues ISO mDL mdoc and/or JWT as PID/(Q)EAAs to the EUDI Wallet.	・PIDP/QTSPはEUDIウォレットにPID/(Q)EAAとしてISO mDL mdocおよび/またはJWTを発行する。
• The PIDP/QTSP issues ISO mDL MSOs and/or SD-JWTs batchwise to the EUDI Wallet. The ISO mDL MSOs are associated with the ISO mDL mdoc, and the SD-JWTs with the JWT. Random salts are used for the hashed salted attributes in each MSO or SD-JWT. This will cater for verifier unlinkability when the MSOs or SD-JWTs are presented to and validated by a relying party.	・PIDP/QTSPはISO mDL MSOおよび/またはSD-JWTをEUDIウォレットに一括発行する。ISO mDL MSOはISO mDL mdocと関連付けられ,SD-JWTはJWTと関連付けられる。各 MSO または SD-JWT のハッシュ化された塩属性には,ランダムな塩が使用される。これは,MSO または SD-JWT が依拠当事者に提示され,依拠当事者によって検証される際に,検証者がリンクできないようにするためである。
• The EUDI Wallet selectively discloses certain attribute(s) of an ISO mDL mdoc or JWT. One ISO mDL MSO or SD-JWT is selected from the batch in the EUDI Wallet, and is associated with the disclosed attribute(s).	・EUDIウォレットは,ISO mDL mdocまたはJWTの特定の属性を選択的に開示する。1つのISO mDL MSOまたはSD-JWTがEUDIウォレットのバッチから選択され,開示された属性に関連付けられる。
• The relying party can use the eIDAS2 trust list (which is equivalent to an ISO mDL VICAL) to retrieve the QTSP/PIDP trust anchor (which is equivalent to the IACA trust anchor). The relying party validates the MSOs or SD-JWTs signatures by using the QTSP/PIDP trust anchor. The relying party also verifies that the presented selected attribute hash is present in the MSO or SD-JWT.	・依拠当事者は、eIDAS2トラストリスト（これはISO mDL VICALに相当する）を使用してQTSP/PIDPトラストアンカー（これはIACAトラストアンカーに相当する）を取得することができる。依拠当事者は、QTSP/PIDPトラストアンカーを使用してMSOまたはSD-JWTの署名を検証する。また、 依拠当事者は、提示された選択属性ハッシュがMSOまたはSD-JWTに存在することを 検証する。
These recommendations could be considered for the upcoming ETSI TS 119 471 [i.80] and ETSI TS 119 472-1 [i.81] that will standardize the issuance policies and profiles of (Q)EAAs.	これらの推奨事項は、(Q)EAAの発行ポリシーとプロファイルを標準化する予定の ETSI TS 119 471 [i.80]およびETSI TS 119 472-1 [i.81]で考慮される可能性がある。
Multi-message signature schemes such as BBS+, Camenisch-Lysyanskaya (CL) signatures, Mercurial signatures, and Pointcheval-Sanders Multi-Signatures (PS-MS) cater for full unlinkability, although they are not yet fully standardized. Hence, ISO/IEC PWI 24843 intends to standardize BBS+ and PS-MS with blinded signatures, which may allow for a future standard that could be used in compliance with the EUDI Wallet requirements on selective disclosure and unlinkability in eIDAS2.	BBS+、Camenisch-Lysyanskaya（CL）署名、Mercurial署名、Pointcheval-Sanders Multi-Signatures (PS-MS)などのマルチメッセージ署名方式は、まだ完全には標準化されていないが、完全なリンク不能性に対応している。したがって、ISO/IEC PWI 24843は、BBS+とPS-MSをブラインド署名で標準化することを意図している。これは、eIDAS2における選択的開示とリンク不能に関するEUDIウォレットの要件に準拠して使用できる将来の標準を可能にするかもしれない。
There are also systems based on programmable ZKPs in the form of zk-SNARKs, such as Cinderella and zk-creds, that can achieve both selective disclosure and unlinkability with existing digital identity infrastructures such as X.509 certificates or ICAO passports. Such systems can generate pseudo-certificates that share selected attributes from the (Q)EAAs and attest holder binding and non-revocation without exposing linkable cryptographic identifiers. In contrast to multi-signature schemes, anonymous credentials based on programmable ZKPs can be made compatible with deployed secure hardware and are easily extendable. However, these projects are still in the research phase. Still, they may be considered for the EUDI Wallet and eIDAS2 relying parties.	また、シンデレラや zk-creds などの zk-SNARKs 形式のプログラマブル ZKP に基づくシステムもあり、X.509 証明書や ICAO パスポートな どの既存のデジタル ID インフラを使用して、選択的開示と非連結性の両方を実現できる。このようなシステムは、リンク可能な暗号識別子を公開することなく、(Q)EAA から選択された属性を共有する擬似証 明書を生成し、所有者のバインディングおよび非取消を証明することができる。マルチシグネチャ方式とは対照的に、プログラマブル ZKP に基づく匿名クレデンシャルは、配備されたセキュアなハードウェアと互換性を持たせることができ、拡張も容易である。しかし、これらのプロジェクトはまだ研究段階である。それでも、EUDI ウォレットと eIDAS2 の依拠当事者には考慮されるかもしれない。
Furthermore, there are recommendations on how to store such (Q)EAA formats in the EUDI Wallet, and how to present selectively disclosed attributes to eIDAS2 relying parties. These recommendations can be considered for the upcoming ETSI TS 119 462 [i.79] on EUDI Wallet interfaces.	さらに、そのような(Q)EAAフォーマットをEUDIウォレットに格納する方法や、選択的に開示された属性をeIDAS2依拠当事者に提示する方法についての推奨がある。これらの勧告は、EUDIウォレットインターフェースに関する今後のETSI TS 119 462 [i.79]のために考慮することができる。
The present document also analyses the privacy aspects of revocation schemes and validity status checks. In order to achieve privacy preserving features for revocation and validity status checks it is recommended to use OCSP in	本文書はまた、失効スキームと有効性ステータスチェックのプライバシーの側面を分析する。失効と有効性ステータスチェックのためのプライバシー保護機能を実現するために、以下の方法でOCSPを使用することが推奨される。
Must-Staple mode, implement Revocation Lists or validity Status Lists with additional privacy techniques such as Private Information Retrieval or Private Set Intersection, and use cryptographic accumulators where possible given the associated complexity. If programmable ZKP schemes (such as zk-SNARKs) are combined with existing credentials (such as X.509), the status validity checks are performed at the EUDI Wallet, and only the relevant information (revocation state) without any linkable cryptographic identifiers is disclosed with the verifier.	Must-StapleモードでOCSPを使用し、Private Information RetrievalやPrivate Set Intersectionのような付加的なプライバシー技術を使用して失効リストや有効性ステータスリストを実装し、関連する複雑さを考慮して可能であれば暗号アキュムレータを使用することを推奨する。プログラム可能なZKPスキーム（zk-SNARKなど）が既存のクレデンシャル（X.509など）と組み合わされる場合、ステータスの有効性チェックはEUDIウォレットで実行され、リンク可能な暗号識別子を含まない関連情報（失効状態）のみが検証者に開示される。
The present document also includes an analysis of post-quantum computing attacks on cryptographic schemes with selective disclosure capabilities. More specifically, the hashed salted attributes formats, such as ISO mDL MSO and SD-JWT, can be signed with post-quantum safe cryptographic algorithms. Also the atomic (Q)EAA formats can be secured with post-quantum safe signatures. The multi-message signature schemes, such as BBS+ and CL-signatures, have the following characteristics in a post-quantum world: an attacker can use a quantum computer to reveal the signer's private key from the public key and thereafter forge proofs and signatures, but an attacker will not be able to break data confidentiality, meaning that undisclosed messages are safe in a post-quantum world, as are undisclosed signature values. As regards to the programmable ZKP schemes, it depends on the design of the arithmetic circuit proof if it is post-quantum safe or not, meaning that there are zk-SNARKs that are post-quantum safe whilst others are not.	本文書には、選択的開示機能を持つ暗号方式に対するポスト量子コンピューティング攻撃の分析も含まれている。具体的には、ISO mDL MSOやSD-JWTのようなハッシュ化された塩属性形式は、ポスト量子安全暗号 アルゴリズムで署名することができる。また、アトミック(Q)EAAフォーマットもポスト量子安全署名で保護できる。BBS+やCL署名のようなマルチメッセージ署名方式は、ポスト量子世界において次のような特徴を持つ。攻撃者は、量子コンピュータを使って公開鍵から署名者の秘密鍵を明らかにし、証明や署名を偽造することができるが、攻撃者はデータの機密性を破ることはできない。つまり、ポスト量子世界では、非公開のメッセージも、非公開の署名値も安全である。プログラム可能なZKPスキームに関しては、ポスト量子安全かどうかは演算回路証明の設計に依存する。
Finally, there is an annex with research projects about innovative ZKP schemes. One such approach is to design cryptographic ZKP schemes based on quantum physics. Quantum Key Distribution (QKD), quantum physics applied to the graph 3-colouring ZKP scheme, and ZKP using the quantum Internet (based on Schnorr's algorithm) are described in the annex. The ZKP schemes based on quantum physics are still in the research phase, but may be considered for the future. There are also cryptographic research initiatives on post-quantum safe (lattice-based) anonymous credentials, which cater for privacy-preserving signature schemes. The most recent research in this field is related to efficient anonymous credentials that are post-quantum safe, yet with small signature sizes.	最後に、革新的なZKPスキームに関する研究プロジェクトをまとめた附属書がある。そのようなアプローチの1つは、量子物理学に基づいて暗号ZKP方式を設計することである。量子鍵配送（QKD）、グラフ3色ZKP方式への量子物理学の応用、量子インターネットを利用したZKP（Schnorrのアルゴリズムに基づく）などが附属書に記載されている。量子物理学に基づくZKP方式はまだ研究段階であるが、将来的には検討される可能性がある。また、ポスト量子安全（格子ベース）匿名クレデンシャルに関する暗号研究イニシアチブもあり、プライバシーを保持する署名方式に対応している。この分野の最新の研究は、ポスト量子安全でありながら署名サイズが小さい、効率的な匿名認証情報に関するものである。

 

 

 

米国 MITRE 将来の危機に備える：国家システムの全体的危機管理

こんにちは、丸山満彦です。

MITREが、国家システムの全体的危機管理についての報告書を公表していますね...

目次的なもの...

National Threat Modeling and Criticality Analysis	国家脅威のモデリングと臨界性分析
The Vignettes	ヴィネット（短い話）
Terrorism: Existential Crisis	テロリズム：存亡の危機
Semiconductors: Growing Crisis	半導体： 高まる危機
Epidemics/Pandemics: Rolling Crisis	伝染病／パンデミック：転がる危機
Pick a Future National Crisis	将来の国家的危機を選ぶ
Not Organized to Optimize	最適化のために組織化されていない
Planning to Avert Future Crises	将来の危機を回避するための計画
Preparing for Specifc Threats	特定の脅威に備える
Building National Criticality Systems	国家の危機管理システムを構築する
Create a process to identify and prioritize future national crises	将来の国家危機を識別し、優先順位をつけるプロセスを構築する
Establish oversight to enforce the requirements and authorities	要件と権限を実施するための監督を確立する
Implement national systems planning	国家システム計画を実施する
Apply rigorous response system testing	厳格な対応システム・テストを実施する
Prevent Future Crises Now	将来の危機を今防ぐ
References	参考文献

 

● MITRE

・2024.07.03 Intelligence After Next: Preparing for Future Crises—Holistic Criticality Management of National Systems

Intelligence After Next: Preparing for Future Crises—Holistic Criticality Management of National Systems	インテリジェンス・アフター・ネクスト 将来の危機に備える-国家システムのホリスティック・クリティカリティ・マネジメント
National security planning that employs criticality promotes the essential information, human factors, organizations, and technology to improve U.S. readiness and minimize intelligence failures, catastrophic losses, and diminished national power.	クリティカリティを採用した国家安全保障計画は、米国の即応性を改善し、情報の失敗、壊滅的な損失、国力の低下を最小限に抑えるために不可欠な情報、人的要因、組織、技術を促進する。
The national security enterprise faces challenges today and into the future that will require greater sharing, creativity, and innovation. Access to essential information and systems interoperability is critical for organizations to build resilience to a national threat or crisis. Yet, we lack both a centralized process to identify threats that may become a national crisis and a planning manager with the authority to manage the process of optimizing information sharing or information management across systems prior to, during, or after a crisis. This paper identifies a repeatable process for implementing national systems crisis planning that will be essential if we are to move more rapidly, coherently, and strategically than ever before.	国家安全保障エンタープライズは、現在そして将来にわたって、より大きな共有、創造性、革新性を必要とする課題に直面している。組織が国家の脅威や危機に対するレジリエンスを構築するためには、重要な情報へのアクセスとシステムの相互運用性が不可欠である。しかし、国家的危機となる可能性のある脅威を特定するための一元的なプロセスと、危機発生前、危機発生中、あるいは危機発生後に、システム間の情報共有や情報管理を最適化するプロセスを管理する認可を持つ計画管理者の両方が欠如している。本稿は、国家システム危機計画を実施するための反復可能なプロセスを明らかにするものであり、これまで以上に迅速かつ首尾一貫した戦略的な行動をとるためには不可欠なものである。

 

・[PDF]

 

 

Continue reading "米国 MITRE 将来の危機に備える：国家システムの全体的危機管理"

米国 MITRE AI規制を通じてAIのセキュリティと安全性を確保する

こんにちは、丸山満彦です。

MITREが、今後の政権のために、AIの悪用を防ぎ、AIを効果的に活用するためのガイダンスを公表していますね...政権が大きく変わっても、政策が連続して行われていくようにしようと考えているのかもですね...

 

● MITRE

・2024.07.03 Assuring AI Security and Safety through AI Regulation

Assuring AI Security and Safety through AI Regulation	AI規制によるAIの安全・安心の確保
This document provides guidance for the incoming administration on establishing a comprehensive and effective regulatory framework for AI security and safety by balancing technological progression, ethical considerations, and public trust in AI.	この文書は、今後の政権に対し、AIに対する技術的進歩、倫理的配慮、社会的信頼のバランスをとることにより、AIの安全性と安心のための包括的かつ効果的な規制の枠組みを確立するためのガイダンスを提供するものである。
What’s the issue? The rapid advancement and diverse applications of AI present unique regulatory challenges. There is a need to bridge the gap between policymakers and agency implementation, develop sector-specific AI assurance requirements, and increase transparency in AI applications.	何が問題なのか？AIの急速な進歩と多様な応用は、規制上のユニークな課題を提示している。政策立案者と規制当局の間のギャップを埋め、分野別のAI保証要件を策定し、AIアプリケーションの透明性を高める必要がある。
What did we do? A cross-MITRE team analyzed these issues and leveraged insights from various federal government sectors to develop this guide for the incoming administration.	我々は何をしたのか？MITREの横断的チームは、これらの問題を分析し、連邦政府の様々なセクターからの知見を活用して、次期政権のためのこのガイドを作成した。
What did we find? By enhancing communication between policymakers and those implementing AI strategies, understanding adversary use of AI advancements, and refining regulatory and legal frameworks for AI systems, the incoming administration can ensure the proper application and use of AI. This approach will not only reinforce the United States' international leadership in AI but also unlock its transformative potential to address a wide range of critical challenges.	何を発見したか？政策立案者とAI戦略を実施する人々とのコミュニケーションを強化し、敵対勢力によるAIの進歩の利用を理解し、AIシステムの規制と法的枠組みを洗練させることで、次期政権はAIの適切な適用と利用を確保することができる。このアプローチは、米国がAIにおける国際的リーダーシップを強化するだけでなく、広範な重要課題に対処するための変革の可能性を解き放つことになる。
MITRE’s 2024 presidential transition project leverages our cross-agency insights to develop nonpartisan and evidence-informed policy recommendations to help the next administration succeed.	MITREの2024年大統領移行プロジェクトは、省庁横断的な見識を活用し、超党派でエビデンスに基づいた政策提言を作成し、次期政権の成功を支援する。

 

 

・[PDF]

 

本文...

ASSURING AI SECURITY AND SAFETY THROUGH AI REGULATION	AI規制を通じてAIのセキュリティと安全性を確保する
Rethinking regulatory and legal frameworks can guide federal funding decisions, advance AI research, and promote responsible AI use while deterring misuse.	規制と法的枠組みを再考することで、連邦政府の資金調達決定を導き、AI研究を促進し、悪用を抑止しつつ責任あるAIの利用を促進することができる。
By establishing a comprehensive and effective regulatory framework for AI security and safety, the incoming administration can ensure a balanced approach to technological progression, ethical considerations, and public trust. Doing so will not only reinforce the United States’ international leadership in AI but also unlock its transformative potential to address a wide range of critical challenges.	AIのセキュリティと安全性に関する包括的かつ効果的な規制の枠組みを確立することで、今後の政権は、技術の進歩、倫理的配慮、国民の信頼に対するバランスの取れたアプローチを確保することができる。そうすることで、米国はAIにおける国際的なリーダーシップを強化するだけでなく、さまざまな重要課題に対処するための変革の可能性を解き放つことができる。
The Case for Action	行動の事例
Over the past decade, the field of artificial intelligence (AI) has experienced remarkable advancements, ushering in a new era of technological innovation.These advancements have equipped us with a transformative technology in AI, which can be leveraged to address critical challenges in diverse fields, from healthcare to national security.	この10年間で、人工知能（AI）の分野は目覚ましい進歩を遂げ、技術革新の新時代を迎えた。こうした進歩により、AIという変革的なテクノロジーが備わり、ヘルスケアから国家安全保障に至るまで、さまざまな分野の重要な課題に対処するために活用できるようになった。
With each new presidential term comes the opportunity to reassess and enhance our approach to rapidly advancing technologies. In the realm of AI, it will be essential for the administration to stay informed about the current state of AI, its potential impacts, and the importance of advancing a sensible regulatory framework for AI assurance. While current policy and legislative activities have begun to address the need for AI regulation, more progress is needed to ensure the proper application and use of this technology, balancing security, ethical considerations, and public trust.	新しい大統領の任期が始まるたびに、急速に進歩するテクノロジーへのアプローチを見直し、強化する機会が訪れる。AIの領域では、AIの現状、その潜在的影響、AI保証のための賢明な規制枠組みを推進することの重要性について、政権が常に情報を得ることが不可欠となる。現在の政策や立法活動は、AI規制の必要性に取り組み始めているが、安全保障、倫理的配慮、社会的信頼のバランスを取りながら、この技術の適切な適用と利用を確保するためには、さらなる進展が必要である。
Key Challenges and Opportunities	主な課題と機会
AI regulation presents unique challenges due to the rapid pace of AI advancement and its diverse applications. Bridging the gap between policymakers at the Executive Office of the President (EOP) and agency implementation is a significant hurdle. Ensuring that policies formulated at the executive level are effectively translated into action at the agency level, taking into account the unique needs and contexts of each agency, is crucial.	AI規制は、AIの急速な進歩ペースとその多様な応用により、独自の課題を提示している。大統領府(EOP)の政策立案者と各省庁の実施とのギャップを埋めることは重要なハードルである。行政府レベルで策定された政策が、各省庁固有のニーズや状況を考慮しつつ、各省庁レベルで効果的に実行に移されるようにすることが極めて重要である。
Developing sector-specific AI assurance requirements that consider use cases and operationalizing the National Institute of Standards and Technology’s (NIST’s) AI Risk Management Framework (RMF) across sectors present significant challenges. These steps are necessary to ensure AI applications, within their specific contexts, meet safety and performance standards and effectively manage risks.	ユースケースを考慮した部門固有のAI保証要件を策定し、国立標準技術研究所（NIST）のAIリスクマネジメントフレームワーク（RMF）を部門横断的に運用することは大きな課題である。これらの措置は、AIアプリケーションが特定の文脈の中で、安全性と性能の標準を満たし、リスクを効果的に管理することを保証するために必要である。
Establishing system auditability and increasing transparency in AI applications are essential for tracking misuse of AI and ensuring accountability within organizations. However, these measures pose challenges due to the complexity of AI systems and the current gap in technical expertise needed to effectively implement and manage these processes.	システムの監査可能性を確立し、AIアプリケーションの透明性を高めることは、AIの悪用を追跡し、組織内の説明責任を確保するために不可欠である。しかし、AIシステムの複雑さと、これらのプロセスを効果的に実施・管理するために必要な技術的専門知識のギャップが現状であるため、これらの対策には課題がある。
Despite these challenges, there are significant opportunities. Rethinking regulatory and legal frameworks can guide federal funding decisions, advance AI research, and promote responsible AI use while deterring misuse. Strengthening critical infrastructure plans and promoting continuous regulatory analysis can help secure our critical infrastructure against exploitation by humans, AI-augmented humans, or malicious AI agents.	こうした課題にもかかわらず、大きなチャンスもある。規制や法的枠組みを再考することで、連邦政府の資金調達の決定を導き、AI研究を促進し、悪用を抑止しつつ責任あるAIの利用を促進することができる。重要インフラ計画を強化し、継続的な規制分析を促進することで、人間、AIを強化した人間、悪意のあるAIエージェントによる悪用から重要インフラを守ることができる。
Moreover, the diverse needs and requirements of agencies based on their size, organization, budget, mission, and internal AI talent present an opportunity to promote flexibility and adaptability in AI governance. An effective approach to AI regulation should allow for a tailored and effective implementation of AI strategies and policies across agencies.	さらに、政府機関の規模、組織、予算、使命、内部のAI人材に基づく多様なニーズと要件は、AIガバナンスにおける柔軟性と適応性を促進する好機となる。AI規制への効果的なアプローチは、各省庁に合わせた効果的なAI戦略・政策の実施を可能にするはずだ。
Data-Driven Recommendations	データ主導の提言
1. BRIDGE THE GAP BETWEEN POLICYMAKERS AND AGENCY IMPLEMENTATION	1. 政策立案者と政府機関の間のギャップを埋める
Enhance communication and collaboration between policymakers and those implementing AI strategies by ensuring policies formulated at the executive level are effectively translated into action at the agency level, taking into account the unique needs and contexts of each agency. This can be achieved by evaluating existing EOP-interagency committees, expanding their mandates, adjusting their composition, or enhancing their resources, and if necessary, establishing a new dedicated committee that includes representatives from the EOP, various agencies, and industry. This group would help ensure effective communication and collaboration, involving regular meetings, shared resources, and a common platform for exchanging ideas and best practices.	行政レベルで策定された政策が、各省庁固有のニーズやコミュニケーションを考慮しながら、各省庁レベルで効果的に実行に移されるようにすることで、政策立案者とAI戦略を実施する人々との間のコミュニケーションとコラボレーションを強化する。これは、既存のEOP-省庁間委員会を評価し、その任務を拡大し、構成を調整し、あるいはリソースを強化し、必要であれば、EOP、各省庁、産業界の代表者を含む専門委員会を新設することで達成できる。このグループは、定期的な会合、リソースの共有、アイデアやベストプラクティスを交換するための共通のプラットフォームなど、効果的なコミュニケーションと協力を確保するのに役立つだろう。
2. DEVELOP SECTOR-SPECIFIC ASSURANCE REQUIREMENTS AND AI ASSURANCE PLANS	2. 分野別の保証要件とAI保証計画を策定する
Collaborate with stakeholders in a repeatable AI assurance process to ensure that the use of AI within their specific contexts meets necessary safety and performance standards and manages risks associated with AI. Adoption of safe and secure AI can be achieved through requiring a structured AI assurance process that involves four steps: Discovering Assurance Needs, Characterizing and Prioritizing Risks, Evaluating Risks, and Managing Risks. This risk management process should incorporate the NIST AI RMF, be iterative, and be executed throughout the AI system’s life cycle. A required output of this process is an AI Assurance Plan.	特定の状況におけるAIの利用が、必要な安全・性能基準を満たし、AIに関連するリスクを管理することを保証するため、繰り返し可能なAI保証プロセスにおいて利害関係者と協力する。安全でセキュアなAIの採用は、4つのステップを含む構造化されたAI保証プロセスを要求することで達成できる： 保証ニーズの発見」、「リスクの特性化と優先順位付け」、「リスクの評価」、「リスクのマネジメント」である。このリスクマネジメントプロセスは、NIST AI RMFを取り入れ、反復的であり、AIシステムのライフサイクルを通じて実行されるべきである。このプロセスの必須アウトプットは、AI保証計画である。
This living document outlines the management and technical activities necessary to achieve and maintain assurance of the AI system over its operational lifetime and will require updating as new issues or risks are discovered.	この生きた文書は、AIシステムの運用期間を通じて保証を達成し維持するために必要なマネジメント及び技術的活動の概要を示すものであり、新たな問題やリスクが発見された場合には更新が必要となる。
3. SUPPORT AND ENHANCE THE OPERATIONS OF THE AI INFORMATION SHARING AND ANALYSIS CENTER (AI-ISAC)	3. AI情報共有分析センター（AI-ISAC）の運営を支援し、強化する。
Promote the recently established AI-ISAC to accelerate the sharing of real-world assurance incidents.	最近設立されたAI-ISACを推進し、実際の保証インシデントの共有を加速させる。
This is essential to hasten understanding of threats, vulnerabilities, and risks to AI technology adoption for consequential use. The AI-ISAC should work in tandem with a national incident database like the Adversarial Threat Landscape for AI Systems (ATLASTM) to promote safe and anonymous sharing of real-world incidents. AI vulnerabilities and risks arise not only from malicious action but also because of the nature of the algorithms themselves and their susceptibility to misinterpretation, bias, performance drift, and other assurance factors. The AI-ISAC promotes analysis of incidents to identify root causes, and identification and development of mitigations, which can be derived from and/or contributed to the NIST AI RMF.	これは、脅威、脆弱性、結果的にAI技術を採用するリスクについての理解を早めるために不可欠である。AI-ISACは、AIシステムのための敵対的脅威情勢（ATLASTM）のような国家インシデント・データベースと連携し、実世界のインシデントの安全かつ匿名での共有を促進すべきである。AIの脆弱性やリスクは、悪意ある行為からだけでなく、アルゴリズム自体の性質や、誤解、バイアス、性能ドリフト、その他の保証要因の影響を受けやすいことから生じる。AI-ISACは、根本原因を特定するためにインシデントの分析を促進し、NIST AI RMFから派生する、あるいはNIST AI RMFに貢献するような低減策の特定と開発を促進する。
4. UNDERSTAND ADVERSARY USE OF AI ADVANCEMENTS	4. 敵の AI 進歩の利用を理解する。
Support an at-scale AI Science and Technology Intelligence (AI S&TI) apparatus to monitor adversarial AI tradecraft from open sources such as research literature and publications, while providing continuous red-teaming of U.S. public and commercial AI infrastructure and operations. Doing so is crucial to understanding how our adversaries are using AI to gain advantage globally and to characterizing the reach of adversary capabilities into the United States, as well as the threat such reach poses to national security.	研究文献や出版物などのオープンソースから敵対的なAIの技術を監視するための大規模なAI科学技術インテリジェンス（AI S&TI）装置を支援する。これは、敵対勢力がどのようにAIを利用して世界的な優位に立とうとしているのかを理解し、敵対勢力の米国への進出状況や、そのような進出が国家安全保障にもたらす脅威を把握する上で極めて重要である。
5. ESTABLISH SYSTEM AUDITABILITY AND INCREASE TRANSPARENCY IN AI APPLICATIONS	5. システムの監査可能性を確立し、AIアプリケーションの透明性を高める。
Issue an executive order that mandates system auditability, developing standards for audit trails, and advocating for policies that increase transparency in AI applications.	システムの監査可能性を義務付ける大統領令を出し、監査証跡の標準を開発し、AIアプリケーションの透明性を高める政策を提唱する。
This would include requiring AI developers to disclose what data was used to train their systems as well as the foundation models on which their systems were built. System auditability is vital for tracking misuse of AI and holding individuals accountable, as well as maintaining public trust in AI technologies.	これには、AI開発者に対し、システムの訓練にどのようなデータが使用されたのか、またシステムが構築された基盤モデルを開示することを義務付けることも含まれる。システムの監査可能性は、AIの悪用を追跡し、個人に責任を負わせるだけでなく、AI技術に対する社会の信頼を維持するためにも不可欠である。
6. PROMOTE PRACTICES FOR AI PRINCIPLES ALIGNMENT AND REFINE REGULATORY AND LEGAL FRAMEWORKS FOR AI SYSTEMS WITH INCREASING AGENCY	6. AIの原則を整合させるためのプラクティスを推進し、AIシステムに関する規制・法的枠組みを、より多くの機関とともに洗練させる。
Take the following key actions to ensure the safe and responsible development and use of AI.	AIの安全で責任ある開発と利用を確保するために、以下の主要な行動をとる。
• Recognize that purpose (an understanding of objectives or goals) is an inherently human quality, and AI systems with agency (having the ability to act independently) will either directly receive purpose from a human (as instruction) or infer purpose through learning from human behaviors and artifacts.	- 目的（目的や目標の理解）は本質的に人間の資質であり、エージェンシー（独立して行動する能力）を持つAIシステムは、人間から直接（指示として）目的を受け取るか、人間の行動や人工物からの学習を通じて目的を推測することを認識する。
• For AI principles alignment, create common vocabulary and research frameworks for guiding AI alignment in systems as scientific and engineering advances are made (rather than limiting or regulating advancements toward artificial general intelligence) to mitigate the risk of either humans tasking AI to carry out dangerous actions or AI systems exhibiting dangerous emergent behavior. Resulting guidelines would be similar to those established for research involving human subjects. Such advancements in AI alignment practices will serve to limit emergent, undesirable AI behavior, but research activities will still need safe environments with regulated guidelines like bioresearch and biosafety levels.	- AIの原則の調整については、人間がAIに危険な行動を実行させたり、AIシステムが危険な創発的行動を示したりするリスクを軽減するために、（人工的な一般知能に向けた進歩を制限したり規制したりするのではなく）科学的・工学的な進歩に伴い、システムにおけるAIの調整を導くための共通の語彙や研究フレームワークを作成する。その結果生じるガイドラインは、人間を対象とする研究のために確立されたガイドラインと同様のものとなるだろう。AIのアライメントプラクティスにおけるこのような進歩は、創発的で望ましくないAIの行動を制限するのに役立つだろうが、研究活動には依然として、生物研究やバイオセーフティレベルのような規制されたガイドラインを持つ安全な環境が必要である。
• Refine regulatory and legal frameworks to differentiate between appropriate research (with risk mitigations) and bad actors using AI for malintent, establish guidelines that address misuse of AI, and hold all appropriately accountable for harms.	- リスク低減を伴う）適切な研究と、悪意を持ってAIを使用する悪質な行為者を区別し、AIの悪用に対処するガイドラインを確立し、すべての人に被害に対する適切な責任を負わせるために、規制と法的枠組みを洗練させる。
7. STRENGTHEN CRITICAL INFRASTRUCTURE PLANS AND PROMOTE CONTINUOUS REGULATORY ANALYSIS	7. 重要インフラ計画を強化し、継続的な規制分析を推進する。
Direct federal agencies to review and strengthen government-critical infrastructure plans, focusing on safety-critical cyber-physical systems vulnerable to increased threats due to the scale and speed AI enables, and establish a dedicated executive task force to propose regulatory updates as needed.	連邦政府機関に対し、AIが可能にする規模と速度により脅威が増大するセーフティ・クリティカルなサイバー・フィジカル・システムを中心に、政府の重要インフラ計画を見直し、強化するようガバナンスを指示し、必要に応じて規制の更新を提案する専門のエグゼクティブ・タスクフォースを設置する。
Such actions are necessary to ensure that our critical infrastructure is secure against exploitation by humans, AI-augmented humans, or malicious AI agents.	このような措置は、重要インフラが人間、AIに拡張された人間、悪意のあるAIエージェントによる悪用に対して安全であることを保証するために必要である。
8. PROMOTE FLEXIBILITY AND ADAPTABILITY IN AI GOVERNANCE	8. AIガバナンスにおける柔軟性と適応性を促進する。
Develop guidelines that allow for flexibility in AI governance implementation across different agencies, considering their unique needs and contexts (e.g., size, organization, budget, mission, AI workforce competencies). This involves enabling each agency to set an AI strategy that aligns with its needs and specific level of AI maturity. The guidelines should provide a range of options for AI governance structures, processes, and practices, and allow agencies to choose the ones that best fit their specific circumstances while ensuring minimum standards for consistency and effectiveness. As AI technologies rapidly evolve, these guidelines should also be flexible to accommodate ongoing innovation and shifting expectations about what is possible.	政府独自のニーズや状況（規模、組織、予算、ミッション、AI人材の能力など）を考慮し、異なる政府間でAIガバナンスを柔軟に実施できるガイドラインを策定する。これには、各機関がそのニーズとAI成熟度の特定のレベルに沿ったAI戦略を設定できるようにすることが含まれる。ガイドラインは、AIのガバナンス構造、プロセス、慣行について様々な選択肢を提供し、一貫性と有効性に関する最低限の標準を確保しつつ、各省庁がそれぞれの状況に最も適したものを選択できるようにすべきである。AI技術が急速に進化する中、これらのガイドラインは、継続的なイノベーションと、何が可能かについての期待の移り変わりに柔軟に対応するものでなければならない。
9. BRING IT ALL TOGETHER	9. すべてをまとめる
Create a National AI Center of Excellence (NAICE) that promotes and coordinates these priorities, drawing on threat and risk assessment from the AI-ISAC and AI S&TI. The NAICE should not only cross-pollinate lessons learned by sector-specific regulatory authorities and build on and advance AI assurance frameworks and best practices, but also lead in conducting cutting-edge applied research and development in AI. This includes developing new AI technologies, methodologies, and tools that can be adopted across different sectors. The Center would facilitate collaboration among industry, government, and academia, thereby accelerating the transition and adoption of cutting-edge AI capabilities that are safe and secure.	AI-ISACとAI S&TIの脅威とリスクアセスメントを活用し、これらの優先事項を推進・調整する国家AIセンター・オブ・エクセレンス（NAICE）を創設する。NAICEは、各分野の規制当局が学んだ教訓を相互に提供し、AI保証のフレームワークやベストプラクティスを構築・発展させるだけでなく、AIにおける最先端の応用研究開発の実施を主導すべきである。これには、異なるセクター間で採用可能な新しいAI技術、方法論、ツールの開発も含まれる。センターは産官学の連携を促進し、安全でセキュアな最先端のAI能力の移行と採用を加速する。
Implementation Considerations	実施に関する検討事項
Implementing the proposed recommendations will require a blend of expertise, collaboration, funding, infrastructure upgrades, continuous learning resources, and flexibility in AI governance. Here is a suggested timeline and milestones to guide the process:	提案された提言を実施するには、専門知識、コラボレーション、資金、インフラのアップグレード、継続的な学習リソース、AIガバナンスの柔軟性などを組み合わせる必要がある。以下は、そのプロセスを導くためのタイムラインとマイルストーンの提案である：
FIRST 100 DAYS	最初の100日間
Evaluate existing EOP-interagency committees and identify opportunities to enhance their role in bridging the gap between policymakers and agency implementation. Initiate collaborations with industry experts, academia, and regulatory bodies. Begin the process of issuing directives for the adoption of the structured AI assurance process and the development of AI Assurance Plans across relevant agencies and departments.	既存のEOP省庁間委員会を評価し、政策立案者と各省庁の実施とのギャップを埋める役割を強化する機会を特定する。産業界の専門家、学界、規制団体との協力を開始する。構造化されたAI保証プロセスの採用と、関連省庁全体におけるAI保証計画の策定に向けた指令の発出プロセスを開始する。
FIRST SIX MONTHS	最初の6ヶ月間
Monitor the initial implementation of the AI assurance process in sector-specific AI assurance infrastructure such as AI assurance laboratories and testbeds, as well as the development of AI Assurance Plans for use of specific AI-enabled systems in consequential mission spaces. Issue an executive order for system auditability and increased transparency in AI applications.	AI保証ラボやテストベッドといった分野別のAI保証インフラにおけるAI保証プロセスの初期導入、および結果的に重要なミッション空間における特定のAI対応システムの使用に関するAI保証計画の策定を監視する。AIアプリケーションにおけるシステムの監査可能性と透明性の向上を求める大統領令を発布する。
Start the process of directing federal agencies to review and strengthen government-critical infrastructure plans. Develop strategies and guidelines that allow for flexibility and adaptability in AI governance across agencies.	政府重要インフラ計画の見直しと強化を連邦政府機関に指示するプロセスを開始する。政府機関におけるAIガバナンスの柔軟性と適応性を可能にする戦略とガイドラインを策定する。
FIRST YEAR	最初の1年間
Secure increased federal funding for AI alignment research and necessary infrastructure upgrades. Implement system auditability and increased transparency in AI applications through executive orders and regulatory guidance. Complete the strengthening of federal government critical infrastructure plans. Establish a dedicated executive task force or enhance existing EOP-interagency committees to monitor the development and use of AI.	AIアライメント研究と必要なインフラのアップグレードのための連邦政府の資金増額を確保する。大統領令と規制ガイダンスを通じて、AIアプリケーションのシステム監査可能性と透明性向上を実施する。連邦政府の重要インフラ計画の強化を完了する。AIの開発と利用を監視するため、専門の行政タスクフォースを設置するか、既存のEOP-省庁間委員会を強化する。
ONGOING	継続
Continuously monitor the development and use of AI and propose regulatory updates as needed, based on the effectiveness of the AI assurance process, AI assurance infrastructure, and AI Assurance Plans. The NAICE should play a key role in this process, not only advancing state-of-the-art AI assurance knowledge and processes to agencies/sectors but also drawing from their practices and integrating insights across sectors. This could be facilitated through a network of AI assurance labs, modeled after MITRE’s AI Assurance and Discovery Lab, that would support each sector and promote transformative insights across the AI R&D and implementation spectrum. Maintain collaborations with industry experts, academia, and regulatory bodies. Ensure access to resources for continuous learning. Regularly assess the effectiveness of implemented measures and make adjustments as necessary.	AIの開発と利用を継続的に監視し、AI保証プロセス、AI保証インフラ、AI保証計画の有効性に基づき、必要に応じて規制の更新を提案する。NAICEはこのプロセスにおいて重要な役割を果たすべきであり、最先端のAI保証の知識とプロセスを各省庁・セクターに提供するだけでなく、各省庁・セクターの実践を参考にし、セクターを超えた見識を統合する必要がある。これは、MITREのAI Assurance and Discovery Labに倣ったAI保証ラボのネットワークを通じて促進される可能性があり、各部門を支援し、AIの研究開発および実装の範囲にわたって変革的な洞察を促進する。業界の専門家、学術団体、規制団体との連携を維持する。継続的な学習のためのリソースへのアクセスを確保する。実施した施策の効果を定期的にアセスメントし、必要に応じて調整を行う。
Continue to foster strong relationships with stakeholders and promote continuous learning within the administration and among career staffers.	関係者との強固な関係を継続的に醸成し、行政内部およびキャリア職員間での継続的な学習を促進する。

 

 

 

OECD AIとデータ・ガバナンス、プライバシー (2024.06.27)

こんにちは、丸山満彦です。

OECDが、AIとデータ・ガバナンス、プライバシーに関する報告書を公表していますね...

 

● OECD iLibrary

・2024.06.27 AI, data governance and privacy

AI, data governance and privacy	AI、データ・ガバナンス、プライバシー
Synergies and areas of international co-operation	相乗効果と国際協力の分野
Recent AI technological advances, particularly the rise of generative AI, have raised many data governance and privacy questions. However, AI and privacy policy communities often address these issues independently, with approaches that vary between jurisdictions and legal systems. These silos can generate misunderstandings, add complexities in regulatory compliance and enforcement, and prevent capitalising on commonalities between national frameworks. This report focuses on the privacy risks and opportunities stemming from recent AI developments. It maps the principles set in the OECD Privacy Guidelines to the OECD AI Principles, takes stock of national and regional initiatives, and suggests potential areas for collaboration. The report supports the implementation of the OECD Privacy Guidelines alongside the OECD AI Principles. By advocating for international co-operation, the report aims to guide the development of AI systems that respect and support privacy.	最近のAI技術の進歩、特に生成的AIの台頭は、多くのデータ・ガバナンスとプライバシーに関する問題を提起している。しかし、AIとプライバシー政策のコミュニティは、しばしば独立してこれらの問題に取り組んでおり、法域や法制度によってアプローチが異なっている。このような縦割りは、誤解を生み、規制の遵守と執行に複雑さをもたらし、各国の枠組み間の共通点を生かすことを妨げる。本レポートは、最近の AI の発展から生じるプライバシーのリスクと機会に焦点を当てている。OECDプライバシー・ガイドラインに定められた原則をOECD AI原則に対応させ、各国・各地域のイニシアティブを把握し、潜在的な協力分野を示唆している。本報告書は、OECD AI原則とともにOECDプライバシー・ガイドラインの実施を支援するものである。国際協力を提唱することで、プライバシーを尊重し支援するAIシステムの開発を導くことを目的としている。

 

 

・[DOCX][PDF] 仮訳

 

目次...

Foreword	まえがき
Acronyms and abbreviations	頭字語および略語
Abstract	概要
Executive summary	エグゼクティブサマリー
Introduction	序文
1 Generative AI: a catalyst for collaboration on AI and privacy	1 生成的AI：AIとプライバシーに関する協力のきっかけとなる
The opportunities and risks of generative AI for privacy	生成的AIがプライバシーにもたらす機会とリスク
Privacy concerns emerging from generative AI: Privacy Enforcement Authorities step in	生成的AIから浮かび上がるプライバシーの懸念：プライバシー執行当局が踏み込む
Generative AI enhances the urgency to work on the interplay between AI and privacy regulations	生成的AIは、AIと プライバシー規制の相互作用に取り組む緊急性を高めている。
2 Mapping existing OECD principles on privacy and on AI: key policy considerations	2 プライバシーと AI に関する OECD の現行原則のマッピング：政策上の重要な検討事項
The five values-based principles in the OECD AI Recommendation	OECD AI勧告の価値観に基づく5原則
Key policy considerations from mapping AI and privacy principles	AIとプライバシーの原則をマッピングし、政策上考慮すべき主要事項を明らかにする
Overview of possible commonalities and divergences in AI and privacy principles	AIとプライバシー原則の共通点と相違点の概要
3 National and regional developments on AI and privacy	3 AIとプライバシーに関する国や地域の動き
International responses by Privacy Enforcement Authorities	プライバシー執行機関による国際的な対応
Guidance provided by Privacy Enforcement Authorities on the application of privacy laws to AI	プライバシー法のAIへの適用に関するプライバシー執行当局によるガイダンスの提供
PEA enforcement actions in AI, including generative AI	生成的AIを含むAIにおけるPEAの強制措置
4 Conclusion	4 結論
References	参考文献
Notes	備考

 

概要とエグゼクティブサマリー...

Abstract	概要
Recent AI technological advances, particularly the rise of generative AI, have raised many data governance and privacy questions. However, AI and privacy policy communities often address these issues independently, with approaches that vary between jurisdictions and legal systems. These silos can generate misunderstandings, add complexities in regulatory compliance and enforcement, and prevent capitalising on commonalities between national frameworks. This report focuses on the privacy risks and opportunities stemming from recent AI developments. It maps the principles set in the OECD Privacy Guidelines to the OECD AI Principles, takes stock of national and regional initiatives, and suggests potential areas for collaboration. The report supports the implementation of the OECD Privacy Guidelines alongside the OECD AI Principles. By advocating for international co-operation, the report aims to guide the development of AI systems that respect and support privacy.	最近のAI技術の進歩、特に生成的AIの台頭は、多くのデータ・ガバナンスとプライバシーに関する問題を提起している。しかし、AIとプライバシーポリシーのコミュニティは、これらの問題に独立して取り組むことが多く、法域や法制度によってアプローチが異なる。このような縦割りは、誤解を生み、規制の遵守と執行に複雑さをもたらし、各国の枠組み間の共通点を生かすことを妨げる。本レポートは、最近の AI の発展から生じるプライバシーのリスクと機会に焦点を当てている。OECDプライバシー・ガイドラインに定められた原則をOECD AI原則に対応させ、各国・各地域のイニシアティブを把握し、潜在的な協力分野を示唆している。本報告書は、OECD AI原則とともにOECDプライバシー・ガイドラインの実施を支援するものである。国際協力を提唱することで、プライバシーを尊重し支援するAIシステムの開発を導くことを目的としている。
Executive summary	エグゼクティブサマリー
Recent AI technological advances—particularly the rise of generative AI— raise both opportunities and risks related to data protection and privacy. As a general-purpose technology, AI is wide-reaching and rapidly permeating products, sectors, and business models across the globe. Recent progress in generative AI owes its progress in large part to the availability and use of vast training data stored worldwide. Like the data, actors involved in the AI lifecycle are distributed across jurisdictions, underscoring the need for global synchronisation, clear guidance and cooperative efforts to address the challenges posed by AI’s impact on privacy.	最近のAI技術の進歩、特に生成的AIの台頭は、データ保護とプライバシーに関するチャンスとリスクの両方を提起している。汎用的な技術として、AIは広範囲に及び、世界中の製品、分野、ビジネスモデルに急速に浸透している。生成的AIにおける最近の進歩は、世界中に蓄積された膨大な学習データの利用可能性と活用に負うところが大きい。データと同様に、AIのライフサイクルに関与する関係者も法域を越えて分散しており、AIがプライバシーに与える影響によってもたらされる課題に対処するためには、グローバルな同期、明確な指針、協力的な取り組みが必要であることを強調している。
However, the AI and privacy policy communities currently tend to address challenges separately, without much co-operation, such that their approaches vary across jurisdictions and legal systems. For instance, the practice of scraping personal data to train generative AI raises significant privacy questions and is attracting increasing regulatory attention as a consequence. However, discussions on practical solutions to align data scraping practices with Privacy Guidelines  have been limited. Likewise, the practical implementation of individual data protection and privacy rights in the development of Generative AI is not yet the subject of collective in-depth reflection. As more countries move to regulate AI, lack of co-operation between these communities could result in misunderstandings as to the actual reach of data protection and privacy laws, as well as in conflicting and/or duplicative requirements that could lead to additional complexity in regulatory compliance and enforcement. As both communities consider possible responses to the opportunities and risks of AI, they could benefit from each other’s knowledge, experience, and priorities through greater collaboration, aligning policy responses and improving complementarity and consistency between AI policy frameworks on the one hand, and data protection and privacy frameworks on the other.	しかし、AIとプライバシーポリシーのコミュニティは現在、あまり協力することなく、別々に課題に取り組む傾向にあり、そのアプローチは法域や法制度によって異なっている。例えば、生成的AIを訓練するために個人データをスクレイピングする行為は、プライバシーに関する重大な問題を提起しており、その結果として規制当局の注目が高まっている。しかし、データ・スクレイピングの実践をプライバシーガイドラインに合わせるための現実的な解決策に関する議論は限られている。同様に、生成的AIの開発における個人データ保護とプライバシーの権利の実践は、まだ集団的な綿密な考察の主体ではない。AIを規制しようとする国が増えるにつれ、これらのコミュニティ間の協力が不足すると、データ・プライバシー法の実際の適用範囲について誤解が生じたり、規制の遵守や執行がさらに複雑になる可能性がある矛盾した要件や重複した要件が生じたりする可能性がある。両コミュニティがAIの機会とリスクに対する可能な対応を検討する際、両コミュニティは、より大きな協力を通じて互いの知識、経験、優先事項から恩恵を受け、政策対応を調整し、一方のAI政策枠組みと他方のデータ保護・プライバシー枠組みとの間の補完性と一貫性を改善することができる。
With their differences in history, profiles and approaches, the AI and privacy policy communities have lessons to learn from each other. In recent years, the AI community, including AI researchers and developers, from academia, civil society, and the public and private sectors, has formed dynamic and strong networks. Many in the AI community have taken an innovation-driven approach, while the privacy community has been generally adopting a more cautious approach marked by decades of implementation of long-standing privacy and data protection laws. The privacy community is also often characterised as more established because of long-standing privacy and data protection laws and has evolved over time to include a diverse array of stakeholders such as regulators, privacy and data protection officers, technologists, lawyers, public policy professionals, civil society groups, and regulatory technology providers, among others. This community is focused on establishing privacy safeguards and mitigating risks assessed within often sophisticated and firmly established regulatory frameworks. Despite these differences, synergies exist, and co-operation is essential.	その歴史、プロフィール、アプローチの違いから、AIコミュニティとプライバシーポリシーコミュニティは互いに学ぶべきことがある。近年、学術界、市民社会、官民のAI研究者や開発者を含むAIコミュニティは、ダイナミックで強力なネットワークを形成している。AIコミュニティの多くはイノベーション主導のアプローチをとっているが、プライバシー・コミュニティは一般的に、長年にわたるプライバシー・データ保護法の数十年にわたる施行に特徴づけられる、より慎重なアプローチを採用してきた。プライバシー・コミュニティはまた、長年のプライバシー・データ保護法のために、より確立されたものとして特徴付けられることが多く、規制当局、プライバシー・データ保護担当者、技術者、弁護士、公共政策の専門家、市民社会グループ、規制技術プロバイダなど、多様な利害関係者を含むように時間をかけて発展してきた。このコミュニティは、しばしば高度で強固に確立された規制の枠組みの中で評価されるプライバシーのセーフガードの確立とリスクアセスメントの低減に焦点を当てている。こうした違いにもかかわらず、相乗効果は存在し、協力は不可欠である。
This report identifies areas that would benefit from further synergy and complementarity, including key terminological differences between the two policy communities. It maps existing privacy and data protection considerations to the AI values-based principles set in the OECD’s 2019 Recommendation on AI to identify relevant areas for closer coordination. This mapping illustrates the different interpretations of  the privacy and AI communities around key concepts – including fairness, transparency and explainability. Understanding these differences is essential for building sustainable co-operation actions.	本報告書は、2つの政策コミュニティ間の主要な用語の違いを含め、さらなる相乗効果と補完性から恩恵を受けるであろう分野を特定する。OECDの2019年AIに関する勧告で設定されたAIの価値観に基づく原則に、既存のプライバシー・データ保護の考慮事項をマッピングし、より緊密な協調のための関連分野を特定する。このマッピングは、公平性、透明性、説明可能性などの重要な概念をめぐるプライバシーとAIのコミュニティの異なる解釈を示している。これらの違いを理解することは、持続可能な協力行動を構築するために不可欠である。
Actors in both the AI and privacy communities have implemented measures at the national, regional, and global levels to tackle opportunities and risks posed by AI. The report provides a snapshot of national and regional developments on AI and privacy, including guidance provided by privacy regulators on the application of privacy laws to AI and related enforcement actions, specifically regarding generative AI. It finds that while many actions have been taken, including policy initiatives and enforcement actions by Privacy Enforcement Authorities, they could benefit from further coordination as AI-specific laws emerge worldwide.	AIとプライバシーの両コミュニティの関係者は、AIがもたらす機会とリスクに取り組むために、国、地域、そして世界レベルで対策を実施してきた。本レポートは、AIとプライバシーに関する国や地域の動向のスナップショットを提供するもので、特に生成的AIに関する、AIへのプライバシー法の適用や関連する執行措置に関するプライバシー規制当局によるガイダンスを含む。この報告書では、政策的な取り組みやプライバシー執行当局による強制措置など、多くの行動が取られている一方で、世界中でAIに特化した法律が登場するにつれて、さらなる協調から恩恵を受ける可能性があることを明らかにしている。
With its international reach and substantive expertise in both AI and data protection and privacy, the OECD appears as a key forum to strengthen synergies and areas of international co-operation in this area. It can draw on well-established policy work in both areas, including the leading principles included in the 1980 OECD Privacy Guidelines, updated in 2013, and the 2019 OECD Recommendation on AI, updated in 2024. Moreover, in 2024, the OECD has established a unique Expert Group on AI, Data, and Privacy, which convenes leading voices in both communities to explore key questions and policy solutions at the intersection of AI and data protection and privacy.	AIとデータ保護・プライバシーの両分野における国際的なリーチと実質的な専門性を有するOECDは、この分野における相乗効果と国際協力の分野を強化するための重要なフォーラムである。OECDは、2013年に更新された1980年のOECDプライバシー・ガイドラインや、2024年に更新された2019年のAIに関するOECD勧告に含まれる主要な原則を含め、両分野で確立された政策活動を活用することができる。さらに2024年、OECDはAI、データ・プライバシーに関する独自の専門家グループを設立し、AIとデータ保護・プライバシーの交差点における重要な疑問と政策的解決策を探るため、両分野の第一人者を招集した。
Despite the challenges, both this policy work and the ongoing activities within this expert group showcase that broad and lasting co-operation, as well as mutual understanding, are achievable. To provide a common reference framework for these co-operation opportunities and highlight the OECD’s distinctive role, the report aligns the OECD AI Principles—the first intergovernmental standard on AI—with the well-established OECD Privacy Guidelines, which serve as the foundation for data protection laws globally.	このような課題にもかかわらず、この政策作業とこの専門家グループにおける進行中の活動は、広範かつ永続的な協力と相互理解が達成可能であることを示している。このような協力の機会に共通の参照枠組みを提供し、OECDの際立った役割を強調するため、本報告書は、AIに関する初の政府間標準であるOECD AI原則を、世界的なデータ保護法の基礎として定着しているOECDプライバシー・ガイドラインと整合させている。
The report assesses national and regional initiatives related to AI and privacy and identifies areas for collaboration, such as in the area of Privacy Enhancing Technologies (PETs), that can help address privacy concerns, particularly regarding the “explainability” of AI algorithms.  The joint expert group on AI, data, and privacy will play a crucial role, in more precisely articulating the concrete opportunities for innovative, technological and regulatory developments of AI that respect privacy and personal data protection rules.	この報告書は、AIとプライバシーに関連する国や地域のイニシアティブをアセスメントし、プライバシー強化技術（PETs）の分野など、特にAIアルゴリズムの「説明可能性」に関するプライバシーの懸念に対処するのに役立つ協力分野を特定している。  AI・データ・プライバシーに関する合同専門家グループは、プライバシーと個人データ保護規則を尊重したAIの革新的・技術的・規制的発展の具体的な機会をより正確に明示する上で、極めて重要な役割を果たすだろう。

 

 

---

 

ブログ...

・2024.06.26 Six crucial policy considerations for AI, data governance, and privacy: Insights from the OECD

Six crucial policy considerations for AI, data governance, and privacy: Insights from the OECD	AI、データ・ガバナンス、プライバシーに関する6つの重要な政策的検討事項： OECDからの洞察
The rapid evolution of artificial intelligence (AI) presents unprecedented opportunities and significant challenges, particularly in data governance and privacy.	人工知能（AI）の急速な進化は、特にデータ・ガバナンスとプライバシーにおいて、前例のない機会と重大な課題をもたらしている。
A new report by the OECD delves into these complexities, including the implications of generative AI driven by vast amounts of training data that often includes personal data. Written with the contributions of two working groups with representatives from OECD and partner economies, and an expert group of representatives from industry, regulators, civil society, and academia, the report highlights the need for global coordination to address these challenges.	OECDの新しい報告書は、個人データを含むことが多い膨大な学習データによって駆動される生成的AIの意味を含め、これらの複雑性を掘り下げている。OECDとパートナー経済圏の代表者からなる2つのワーキンググループと、産業界、規制当局、市民社会、学界の代表者からなる専門家グループの貢献によって書かれたこの報告書は、これらの課題に対処するための世界的な協調の必要性を強調している。
Here are six crucial policy considerations to harmonise AI’s advancements with privacy principles and how they relate to the report’s main takeaways.	以下は、AIの進歩とプライバシー原則を調和させるための6つの重要な政策的検討事項であり、それらが報告書の主要な要点とどのように関連しているかを示している。
1. Privacy and AI	1. プライバシーとAI
While privacy frameworks have always applied to AI, they play an increasingly important role in the age of Generative AI. A growing number of actions from regulators and the courts remind us that privacy must be considered at conception and during AI’s development and deployment stages.	プライバシーの枠組みは常にAIに適用されてきたが、生成的AIの時代にはますます重要な役割を果たしている。規制当局や裁判所からの多くの措置は、AIの構想段階や開発・展開ステージにおいてプライバシーを考慮しなければならないことを思い起こさせる。
Challenges abound. For instance, informing people in advance about how their data might be used can be impossible. If trained on unbalanced datasets, AI-generated data may also lead to inaccurate outcomes or bias. Access to modify or delete personal data can also be challenging for both individuals to obtain and organisations to provide, given the nature of AI systems. This can lead people to face privacy harms and AI developers or users to violate privacy laws.	課題は山積している。例えば、自分のデータがどのように利用されるかを事前に知らせることは不可能かもしれない。偏ったデータセットで学習させた場合、AI生成的データは不正確な結果やバイアスにつながる可能性もある。個人データの修正や削除へのアクセスは、AIシステムの性質上、個人にとってもプロバイダにとっても困難な場合がある。このため、人々はプライバシー侵害に直面し、AIの開発者や利用者はプライバシー法に違反する可能性がある。
Given these challenges, ensuring AI developments align with privacy rules from the outset and by design requires proactive efforts to identify common ground and bridge gaps. The report therefore emphasises the crucial need to build bridges between AI and privacy policy communities. This integration should ensure that privacy safeguards get embedded into AI systems throughout their lifecycle, promoting innovation based on privacy.	このような課題を考えると、AIの開発が当初から、そして設計上、確実にプライバシー・ルールと整合するようにするには、共通の基盤を特定し、ギャップを埋めるための積極的な取り組みが必要である。したがって、本報告書は、AIとプライバシー政策のコミュニティの間に橋を架ける極めて重要な必要性を強調している。この統合によって、プライバシーの保護措置がライフサイクルを通じてAIシステムに組み込まれ、プライバシーに基づくイノベーションが促進されることが保証されるべきである。
2. Mutual understanding and collaboration between policy communities	2. 政策コミュニティ間の相互理解と協力
Terminology and conceptual differences between privacy and AI policy communities can lead to misunderstandings and create uncertainties regarding compliance with existing privacy and AI regulations for AI developers and deployers.	プライバシーとAIの政策コミュニティ間の用語や概念の違いは、誤解を招き、AIの開発者や導入者にとって、既存のプライバシーとAIの規制の遵守に関する不確実性を生み出す可能性がある。
Key concepts such as fairness, transparency, and explainability may have different meanings in the AI and privacy policy communities depending on the context, for instance. A key value-add of the report is that it not only acknowledges the different interpretations of essential concepts between the AI and privacy communities but also analyses these differences and discusses how these concepts are interrelated.	例えば、公平性、透明性、説明可能性といった重要な概念は、AIとプライバシー政策のコミュニティにおいて、文脈によって異なる意味を持つことがある。この報告書の重要な付加価値は、AIとプライバシーのコミュニティ間で本質的な概念の解釈が異なることを認めているだけでなく、これらの違いを分析し、これらの概念がどのように相互に関連しているかを論じていることである。
The report highlights the importance of sustained interactions between these communities to foster awareness and improve mutual understanding. Doing so can effectively align their approaches and help to develop AI that embeds privacy considerations from the outset.	この報告書は、これらのコミュニティ間の持続的な交流が、認識を促進し、相互理解を改善するために重要であることを強調している。そうすることで、両者のアプローチを効果的に整合させ、プライバシーへの配慮を最初から組み込んだAIの開発に役立てることができる。
In practice, however, AI and privacy policy communities still often operate in silos, which can lead to varied approaches across policy streams, jurisdictions, and legal systems. The report thus calls for collaboration to align policy responses, leveraging each community’s knowledge and experience to effectively align approaches.	しかし、実際には、AIとプライバシー政策のコミュニティは、いまだにサイロの中で活動することが多く、その結果、政策の流れ、管轄区域、法制度によってアプローチが異なることがある。そのため、本報告書では、各コミュニティの知識と経験を活用し、効果的にアプローチを調整することで、政策対応を一致させるための協力を呼びかけている。
3. Fairness	3. 公平性
Ensuring that AI systems process personal data fairly and lead to fair outcomes is paramount in both AI and privacy principles. The report discusses principles such as collection limitation, purpose specification, use limitation, openness, and data quality as fundamental to achieving fairness.	AIシステムが個人データを公正に処理し、公正な結果を導くことを保証することは、AIとプライバシーの原則の両方において最も重要である。本報告書では、収集の制限、目的の特定、利用の制限、公開性、データの質といった原則を、公正さを達成するための基本的なものとして論じている。
4. Transparency and explainability	4. 透明性と説明可能性
Transparency is essential to inform individuals about how their personal data is used in AI systems and is also a prerequisite condition for processing personal data based on informed consent. Transparency builds trust and should enable users to make informed decisions regarding their data. The report mentions practical initiatives like model cards to enhance AI interpretability, ensuring that the information provided is meaningful and that AI outcomes are understandable.	透明性は、AIシステムにおいて個人データがどのように利用されるかを個人に知らせるために不可欠であり、インフォームド・コンセントに基づいて個人データを処理するための前提条件でもある。透明性は信頼を築き、利用者が自分のデータに関して十分な情報を得た上で意思決定できるようにすべきである。報告書は、AIの解釈可能性を高めるためのモデルカードのような実用的な取り組みについて言及しており、提供される情報が意味のあるものであり、AIの結果が理解できるものであることを保証している。
5. Accountability	5. 説明責任
Integrating AI and privacy risk management frameworks is crucial for addressing attendant risks in designing or adopting AI systems, and accountability mechanisms as they have been developed in the two communities can ensure that AI systems comply with data protection laws across jurisdictions and ethical standards. As well, well-established privacy management programmes can help identify, prevent and mitigate potential discrimination by AI systems.	AIとプライバシー・リスクマネジメントの枠組みを統合することは、AIシステムの設計や導入に伴うリスクに対処する上で極めて重要であり、2つのコミュニティで開発されてきた説明責任の仕組みは、AIシステムが法域を超えたデータ保護法や倫理標準に準拠していることを保証することができる。また、確立されたプライバシー管理プログラムは、AIシステムによる潜在的な識別的差別を特定、防止、軽減するのに役立つ。
Note: These tables represent preliminary analysis and are not exhaustive.	注：これらの表は予備的な分析であり、網羅的なものではない。
6. Global synergies and cooperation	6. グローバルな相乗効果と協力
AI’s global reach necessitates international regulatory cooperation to address privacy challenges effectively. The report underscores the need for global synchronisation, clear guidance, and cooperative efforts to tackle AI’s impact on privacy. Indeed, cooperation can help prevent regulatory fragmentation and ensure consistent application of privacy principles across jurisdictions.	AIのグローバルな広がりは、プライバシーの課題に効果的に対処するための国際的な規制協力を必要とする。報告書は、AIがプライバシーに与える影響に取り組むためには、グローバルな同期、明確な指針、協力的な取り組みが必要であることを強調している。実際、協力は規制の分断を防ぎ、司法管轄区を超えたプライバシー原則の一貫した適用を確保するのに役立つ。
To help, the report provides a snapshot of national and regional developments in AI and privacy, indicating that while significant steps have been taken, more coordination is needed. Among other domains, the report identifies Privacy Enhancing Technologies (PETs) as a promising area of cooperation for addressing data governance and privacy concerns in AI. While not foolproof, PETs can help bridge the gap between developing safe AI models and protecting individuals’ privacy rights.	その一助として、本報告書はAIとプライバシーに関する各国・地域の動向のスナップショットを提供し、重要な一歩が踏み出された一方で、より多くの協調が必要であることを示している。他の領域の中で、報告書はAIにおけるデータ・ガバナンスとプライバシーの懸念に対処するための協力の有望な領域として、プライバ シー向上技術（PETs）を挙げている。確実ではないが、PETsは安全なAIモデルの開発と個人のプライバシー権保護のギャップを埋めるのに役立つ。
The OECD can play a pivotal role in fostering coordination, drawing on its extensive substantive expertise and established policy work in AI, data protection, and privacy.	OECDは、その広範な実質的専門知識と、AI・データ保護・プライバシーにおける確立された政策活動を活用し、協調を促進する上で極めて重要な役割を果たすことができる。
Integrating AI and privacy	AIとプライバシーの統合
The challenges at the intersection of AI, data governance and privacy are significant and the sheer interest in the new Expert Group on AI, Data and Privacy shows that the concern of striking a balance between innovative AI and privacy is global.	AI、データ・ガバナンス、プライバシーの交差点における課題は重大であり、新しい「AI、データ、プライバシーに関する専門家グループ」への関心の高さは、革新的なAIとプライバシーのバランスを取るという懸念が世界的なものであることを示している。
With its extensive experience in the areas of privacy and AI, the OECD is ready to help stakeholders develop AI systems that respect and protect privacy, thus ensuring that technological advancements benefit society while protecting individual rights.	プライバシーとAIの分野における豊富な経験を持つOECDは、関係者がプライバシーを尊重し保護するAIシステムを開発するのを支援する用意がある。
The authors would like to acknowledge the contribution of Sergi Gálvez Duran, Celine Caira, Sarah Berube, Andras Molnar, Limor Shmerling Magazanik and other members of the OECD Secretariat, in the writing of this blog post.	本ブログ記事の執筆にあたり、Sergi Gálvez Duran、Celine Caira、Sarah Berube、Andras Molnar、Limor Shmerling Magazanik、その他OECD事務局メンバーの貢献に認可を謝意を表したい。

 

IPA 「AI利用時の脅威、リスク調査報告書」

こんにちは、丸山満彦です。

IPAが「AI利用時の脅威、リスク調査報告書」を公表していますね...

---

一方AIの悪用や誤用により、今まで経験したことのないようなサイバー攻撃、あるいはインシデント被害といったものが懸念されています。欧米各国ではAIを安全に利用するために急速に法制度や評価方法の検討が始まっています。国内においてもAI事業者ガイドラインの整備や推進体制の検討が進んでおり注目されています。

本調査は、新しい技術としてAIが業務利用されつつある状況の中、セキュリティリスクの認識や安全な利用のための組織内の規程や体制がどこまで進んでいるのかの実態を、企業・組織の実務担当者に対してアンケートを実施し取りまとめたものです。

---

 

アンケートデータとして興味深いですね...

 

● IPA

・2024.07.04 IPAテクニカルウォッチ「AI利用時の脅威、リスク調査報告書」

・・[PDF]

 

・・[PDF]

 

 

---

 

 

金融庁 「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」の開催

こんにちは、丸山満彦です。

金融庁が、「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」を開催していくようですね...

松本さんや、宇根さんが専門家としては参加していますね。。。銀行からは峰さん等も参加されていますね...

参加しているサイバー犯罪に関する白浜シンポジウムの初日の講演で、猪俣先生が耐量子暗号への移行は時間がかかるので、準備は進めておく必要があるという話をしていました。

欧米では議論は進んでいるのですが、日本でも、金融庁で議論がすすむというのは、よいことですね...

第1回の会合は2024.07.18のようです...

 

● 金融庁

・2024.07.04「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」の開催について

・・[PDF] 預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」メンバー等名簿

 

 

 

欧州 EDPB AI監査チェックリスト (2024.6.27)

こんにちは、丸山満彦です。

欧州の欧州データ保護委員会 (European Data Protection Board; EDPB) がAI監査について、チェックリスト等を公表していますね...

監査のチェックリストということは、想定されるControl Objectivesに関係するということですよね...

ちょっと読んでみましょっと...

 

● European Data Protection Board; EDPB

・2024.06.27 AI Auditing

AI Auditing	AI監査
The AI Auditing project aims to map, develop and pilot tools that help evaluate the GDPR compliance of AI systems and applications are GDPR compliant.	AI監査プロジェクトは、AIシステムやアプリケーションがGDPRに準拠しているかどうかを評価するのに役立つツールのマッピング、開発、試験運用を目的としている。
The EDPB launched this project in the framework of the Support Pool of Experts programme, at the initiative of the Spanish Data Protection Authority (DPA).	EDPBはスペインデータ保護庁（DPA）の認可を受け、専門家支援プログラム（Support Pool of Experts）の枠組みでこのプロジェクトを立ち上げた。
Project completed by the external expert Dr. Gemma Galdon Clavell in February 2023.	2023年2月、外部専門家ジェンマ・ガルドン・クラベル博士によりプロジェクト完了。
Objective	目的
This project helps all parties understand and assess data protection safeguards in the context of the AI Act. In particular, it may help DPAs to inspect AI systems by defining a methodology in the form of a check-list to perform an audit of an algorithm and proposing tools that would enhance transparency.	このプロジェクトは、すべての関係者がAI法の文脈におけるデータ保護セーフガードを理解し、評価するのに役立つ。特に、アルゴリズムの監査を実施するためのチェックリスト形式の方法論を定義し、透明性を高めるツールを提案することで、DPAがAIシステムを検査するのに役立つ可能性がある。

 

AI監査チェックリスト

・[PDF] Checklist for AI auditing

目次

1. Introduction	1. 序文
2. Scope of algorithmic auditing	2. アルゴリズム監査の範囲
3. Auditing process	3. 監査プロセス
3.1. Model card	3.1. モデルカード
3.2. System map	3.2. システムマップ
3.3. Moments and sources of bias	3.3. モーメントとバイアスの原因
3.4. Bias testing	3.4. バイアステスト
3.5. Adversarial audit (optional)	3.5. 敵対的監査（オプション）
4. The audit report	4. 監査報告書
Document submitted in January 2023	2023年1月に提出される書類

 

・[PDF] proposal for AI leaflets

・[PDF] Proposal for Algo-scores

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.31 OECD.AI AIアルゴリズム監査 (2023.12.19)

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2022.07.31 スタンフォード大学 AI監査のアイデア募集 賞金総額は約1000万円 (^^) (2022.07.11)

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ　AIの保証についての3つの記事

・2020.05.21 UK-ICO Explaining decisions made with AI / AIによる決定の説明

---

 

Continue reading "欧州 EDPB AI監査チェックリスト (2024.6.27)"

デジタル庁 地方公共団体情報システムにおける文字要件の運用に関する検討会の報告書

こんにちは、丸山満彦です。

デジタル庁が開催していた、地方公共団体情報システムにおける文字要件の運用に関する検討会が、報告書を公表していますね...

決めないと決まらない案件ですね...決めても、そこから変換作業がありますしね...

 

● デジタル庁

・地方公共団体情報システムにおける文字要件の運用に関する検討会

・2024.07.03 [PDF] 地方公共団体情報システムにおける文字要件の運用に関する検討会報告書

 

目次...

１．はじめに
（１）検討の背景

２．文字要件について
（１）標準化法における文字要件の位置付け
（２）文字要件の検討

３．行政事務標準文字について
（１）行政事務標準文字
（２）フォントについて
（３）IVS 対応について
（４）外部印刷について

４．同定支援ツールについて
（１）同定支援ツールの概要
（２）同定支援ツールの同定方法
（３）実証事業によるツールの精度向上

５．行政事務標準文字への同定手順について
（１）行政事務標準文字への同定手順について
（２）同定支援ツールで同定できない文字の取扱いについて

６．周知・広報について
（１）国民向けの周知・広報について
（２）自治体向けの周知・広報について

７．文字の追加について

８．行政事務標準文字の国際標準化について
（１）国際標準化への手順について
（２）国際標準化が完了するまでの暫定措置について

９．今後の取組

参考
（１）文字要件ロードマップ
（２）同定支援ツール（β 版）実証事業協力自治体一覧
（３）検討会構成員及び開催日程

---

 

日程...

 

検討会...

2023.02.20	第1回
2023.02.20	第2回
2023.07.14	第3回
2023.09.29	第4回
2023.11.29	第5回
2023.12.26	第6回
2024.10.30	第7回
2024.0.3.28	第8回

 

2023.02.20	第1回	地方公共団体の基幹業務システムにおける文字要件の取組
		文字要件の改定案と基幹業務システムへの円滑な導入と運用に向けた検討
		議事次第
		資料1 地方公共団体情報システムにおける文字要件の運用に関する検討会開催要綱
		資料2 地方公共団体情報システムにおける文字要件の運用に関する検討会（第1回）
		資料3 データ要件・連携要件標準仕様書【第2.0版】（案）に係る全国意見照会の実施について
		議事概要
2023.03.29	第2回	第1回検討会でのご意見及び「データ要件・連携要件標準仕様書（文字要件）【第2.0版】案」に係る全国意見照会の結果について
		「データ要件・連携要件標準仕様書（文字要件）【第2.0版】案」について
		「MJ+の全体像」案について
		令和5年度の取組に向けた課題整理について
		議事次第
		資料1 地方公共団体情報システムにおける文字要件の運用に関する検討会資料
		資料2 MJ+の国際標準化プロセス_小林構成員提出資料
		議事概要
2023.07.14	第3回	報告事項
		行政事務標準文字の位置づけについて
		文字管理運用方法の検討について
		フォントファイルの検討について
		同定マップの概要について
		議事次第
		資料1 地方公共団体情報システムにおける文字要件の運用に関する検討会資料
		資料2 地方公共団体情報システムにおける文字要件の運用に関する検討会 開催要綱
		議事概要
2023.09.29	第4回	第3回検討会振り返り
		「データ要件・連携要件標準仕様書【第3.0版】案」について
		文字要件に関する関係資料等の公開について
		同定支援ツール（β版）を用いた実証事業について
		検討会の延長について
		議事次第
		資料1 地方公共団体情報システムにおける文字要件の運用に関する検討会（第4回）
		資料2 地方公共団体情報システムにおける文字要件の運用に関する検討会 開催要綱
		議事概要
2023.11.29	第5回	前回までの検討会振り返り
		行政事務標準文字の国際標準化について
		行政事務標準文字の周知・広報について
		議事次第
		資料 地方公共団体情報システムにおける文字要件の運用に関する検討会資料
2023.12.26	第6回	第5回検討会振り返り
		改製不適合戸籍に使用されている文字の取扱いについて
		基本フォントファイルの提供について
		その他
		議事次第
		資料 地方公共団体情報システムにおける文字要件の運用に関する検討会資料
		議事概要
2024.10.30	第7回	第6回検討会振り返り
		実証事業中間報告について
		文字要件の改定について
		その他
		議事次第
		地方公共団体情報システムにおける文字要件の運用に関する検討会資料
		議事録
2024.0.3.28	第8回	第7回検討会振り返り（文字要件の改定について）
		文字要件の改定について
		実証事業報告について
		周知・広報について
		3月末公開資料について
		その他
		議事次第
		地方公共団体情報システムにおける文字要件の運用に関する検討会資料
		議事録

 

 

 

デジタル庁 マイナンバーカードを用いた公的個人認証サービス（JPKI）導入事業者及び事例一覧 566社が導入...

こんにちは、丸山満彦です。

デジタル庁が、現在公的個人認証サービス (JPKI) [wikipedia] を導入している民間事業者（566社：2024年6月26日時点）とその導入事例を紹介していますね...

公的個人認証サービス (JPKI) を利用することにより、

---

たとえば、銀行・証券業界においては、口座開設において公的個人認証サービスが多く利用されており、その導入効果が認められています。口座開設時に必要であった本人確認書類のコピーや申込書の記入・郵送などが不要となり、マイナンバーカードの電子証明書を利用することで、スマートフォンなどから簡単・正確に申込することができます。これにより、受付や審査などの事務コスト削減や、顧客利便性の向上につながります。

---

ということですね...

ところで、JPKIは信頼できる運用をしているのでしょうかね...JPKIが信頼できないと、ここに依拠しているサービス全てが信頼できなくなりますからね。。。

WebTrustの監査くらいは受けているのかもしれませんね...（知らんけど...）

 

● デジタル庁

・2024.07.03 マイナンバーカードを用いた公的個人認証サービス（JPKI）導入事業者及び事例一覧を更新しました

 

 

---

 

国、自治体等の利用については地方公共団体情報システム機構（J-LIS）のこちらから...

 

● 公的個人認証サービス ボータルサイト

 

 

・ご利用できる行政手続き等

・・国の機関等

・・地方公共団体

• 北海道・東北エリア
• 関東エリア
• 甲信越・北陸エリア
• 東海エリア
• 近畿エリア 
• 中国・四国エリア
• 九州・沖縄エリア

 

認証局の運営については、

・認証局の運営

・・署名用認証局の運営に関する情報

・・利用者証明用認証局の運営に関する情報

 

JPKIの認証局の監査についての情報はありませんね...

 

---

 

● 政府認証基盤　（GPKI)

 

ここにも、認証局監査についての情報はないですね...

 

 

 

 

---

 

総務省 「インターネット上の偽・誤情報対策技術の開発・実証事業」の公募結果

こんにちは、丸山満彦です。

総務省が2024.04.26に　「インターネット上の偽・誤情報対策技術の開発・実証事業」に係る対策技術の開発・実証事業の公募をボストン コンサルティングを通じて実施していたようですが、21件の応募があり、有識者による検討の結果、6件が採択されたと公表されたようですね...

採択された6つの案件は、

No	技術開発主体	事業名
1	株式会社データグリッド	多様なメディアにおける最新のディープフェイクに追従した偽・誤情報検出技術の開発・実証
2	日本電気株式会社	AIを活用した情報コンテンツの真偽判別支援技術の開発・実証（複合的なコンテンツを対象）
3	Originator Profile技術研究組合	発信者識別技術OPを利用した被災地におけるインターネット上の偽情報・誤情報対策
4	株式会社DataSign	個人の署名によるコンテンツの真偽表明データベース
5	関西テレビソフトウェア株式会社	放送波を活用した災害時における偽・誤情報対策技術の実証
6	エヴィクサー株式会社	音響透かしと音響フィンガープリントを用いた偽・誤情報対策クラウドシステムの開発

ですね...

技術的なことに合わせて、社会への実装ということが重要になってくるのだろうと思います。メールの認証だって...(^^;;

 

● 総務省

・2024.07.02 「インターネット上の偽・誤情報対策技術の開発・実証事業」の公募結果

 

 

---

参考情報...

 

● 総務省 - 政策 - 情報通信(ICT政策)  - 電気通信政策の推進 - 電気通信消費者情報コーナー

・インターネット上の違法・有害情報に対する対応（プロバイダ責任制限法）

 

 

● 違法・有害情報相談センター

 

● 一般社団法人テレコムサービス協会

・プロバイダ責任制限法ガイドライン等検討協議会

 

● プロバイダ責任制限法ガイドライン等検討協議会

 

 

英国 RUSI ランサムウェア被害者の体験

こんにちは、丸山満彦です。

英国のシンクタンク、英国王立防衛安全保障研究所 (The Royal United Services Institute for Defence and Security Studies; RUSI) が、ランサムウェ被害者等へのインタビューを取りまとめた報告書を公表していますね...

興味深いです...

 

● The Royal United Services Institute for Defence and Security Studies; RUSI

・2024.07.02 ‘Your Data is Stolen and Encrypted’: The Ransomware Victim Experience

‘Your Data is Stolen and Encrypted’: The Ransomware Victim Experience	「データが盗まれ、暗号化された」： ランサムウェア被害者の体験
This paper aims to understand the wide range of harm caused by ransomware attacks to individuals, organisations and society at large.	本稿の目的は、ランサムウェア攻撃によって個人、組織、社会全体にもたらされる幅広い被害を理解することである。
More individuals and organisations in the UK and globally are becoming victims of ransomware. However, little is known about their experiences. This paper sheds light on the victim experience and identifies several key factors that typically shape such experiences. These factors are context specific and can either improve or worsen the victim experience. They include the following:	ランサムウェアの被害者となる個人や組織は、英国だけでなく世界的に増加している。しかし、彼らの経験についてはほとんど知られていない。本稿では、被害者の経験に光を当て、そのような経験を形成するいくつかの重要な要因を特定する。これらの要因は文脈に固有であり、被害体験を改善することも悪化させることもある。それらには以下のようなものがある：
Timing of an incident, which may happen after a victim has increased their cyber security measures or at an already stressful time for an organisation, such as the beginning of a school year.	インシデントが発生したタイミング（被害者がサイバーセキュリティ対策を強化した後や、学年の初めなど、組織にとってすでにストレスの多い時期に発生する可能性がある）。
Level of preparation in the form of strong cyber security measures and contingency plans explicitly tailored to respond to a cyber incident.	強力なサイバーセキュリティ対策や、サイバーインシデントへの対応を明確にしたコンティンジェンシープランなどの準備レベル。
Human factors, such as the workplace environment and pre-existing dynamics which are often reinforced during an incident. Good levels of unity can bring staff together during a moment of crisis, but a lack of leadership or a blame culture are likely to aggravate the harm experienced during the incident.	インシデント発生時に強化されることの多い職場環境や既存の力学などの人的要因。良好な団結力は、危機の瞬間にスタッフを団結させることができるが、リーダーシップの欠如や非難文化は、インシデント中に経験した被害を悪化させる可能性が高い。
Engagement with third-party service providers, such as those providing technical incident response or legal services, can alleviate the negative aspects of the victim experience by providing critical legal, technical or other help. However, they may aggravate the harm by providing poor services or losing valuable time in responding to the incident.	技術的なインシデント対応や法的サービスを提供するプロバイダなど、サードパーティーのサービスプロバイダとの関わりは、重要な法的、技術的、その他の支援を提供することによって、被害者の体験の否定的な側面を軽減することができる。しかし、不十分なサービスを提供したり、インシデント対応に貴重な時間を費やしたりすることで、被害を悪化させる可能性もある。
A successful communications campaign is highly context- and victim-specific. It must include external and internal communications with staff members not part of the immediate response to ensure a good workplace culture.	コミュニケーション・キャンペーンを成功させるためには、被害者の状況に特化したものでなければならない。良好な職場風土を確保するためには、緊急対応に加わっていないスタッフとの外部および内部コミュニケーションを含めなければならない。
For support, many victims turn to public sector institutions such as law enforcement. Expectations for technical support and expertise from law enforcement are generally low, but victims feel especially unsupported where phone calls are not returned and there is no engagement or feedback loop. The National Cyber Security Centre enjoys a better reputation. However, there is widespread uncertainty about its role and the thresholds that must be met for it to provide support. This poses a reputational risk.	被害者の多くは、法執行機関などの公的機関に支援を求める。法執行機関に対する技術支援や専門知識への期待は一般的に低いが、被害者は、電話がつながらない、関与やフィードバックのループがない場合、特に支援されていないと感じる。国家サイバーセキュリティセンターの評判は良い。しかし、同センターの役割や、同センターが支援を提供するために満たさなければならない基準値については、広く不透明な部分がある。これは風評リスクをもたらす。
Understanding how ransomware attacks are personally felt by victims and what factors aggravate or alleviate the harm they experience is key for policymakers seeking to implement measures to minimise harm as much as possible.	ランサムウェア攻撃を受けた被害者が個人的にどのように感じているのか、どのような要因が被害を悪化させたり軽減させたりしているのかを理解することは、被害を可能な限り最小化するための対策を実施しようとする政策立案者にとって重要である。

 

・[PDF] 

 

・[DOCX][PDF] 仮訳

 

目次...

Executive Summary	エグゼクティブ・サマリー
Summary of Recommendations	提言のまとめ
Introduction	はじめに
I. Existing Insights on the Ransomware Victim Experience	I.ランサムウェア被害者の経験に関する既存の洞察
II. Factors Affecting the Victim Experience	II.被害者体験に影響を与える要因
The Scale, Timing and Context of the Incident	インシデントの規模、時期、背景
Size of Organisation	組織の規模
Level of Preparation	準備のレベル
Pre-Existing Workplace Culture	既存の職場文化
Paying (or Not Paying) a Ransom Demand	身代金要求の支払い（あるいは不払い）について
Internal and External Communications	社内外コミュニケーション
Transparency and Information Sharing	透明性と情報共有
The Influence of Regulators	規制当局の影響力
III. The Role of Government, the NCSC and Law Enforcement	III.政府、NCSC、法執行機関の役割
Types of Support	サポートの種類
How NCSC and Law Enforcement Support is Allocated	NCSCと法執行機関の支援の配分方法
The Impact of Police Support: Perspectives from Victims and Stakeholders	警察の支援の影響：被害者と関係者の視点
The Impact of NCSC and NCA Support: Perspectives from Victims and Stakeholders	NCSCとNCAの支援の影響：被害者とステークホルダーからの視点
Conclusion and Recommendations	結論と提言
Recommendations for Victims and Victim Organisations	被害者と被害組織への提言
Recommendations for Private Sector Service Providers	民間サービス・プロバイダーへの提言
Recommendations for Policymakers and Public Institutions	政策立案者と公的機関への提言
About the Authors	著者について

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブ・サマリー
More individuals and organisations in the UK and globally are becoming victims of ransomware. However, little is known about their experiences. This paper sheds light on the victim experience and identifies several key factors that typically shape such experiences.	ランサムウェアの被害に遭う個人や組織が、英国をはじめ世界的に増えている。しかし、彼らの体験についてはほとんど知られていない。本稿では、被害者の体験に光を当て、そのような体験を形成するいくつかの重要な要因を明らかにする。
These factors are context-specific and can either improve or worsen the victim experience. They include the following:	これらの要因は状況によって異なり、被害者の体験を改善することも悪化させることもある。以下のようなものがある：
• Timing of an incident, which may happen after a victim has increased their cyber security measures or at an already stressful time for an organisation, such as the beginning of a school year.	• インシデントが発生するタイミングは、被害者がサイバーセキュリティ対策を強化した後や、年度初めなど組織にとってすでにストレスの多い時期に発生する可能性がある。
• Level of preparation in the form of strong cyber security measures and contingency plans explicitly tailored to respond to a cyber incident.	• 強力なサイバーセキュリティ対策と、サイバーインシデントに対応するために明確に調整されたコンティンジェンシープランという形での準備のレベル。
• Human factors, such as the workplace environment and pre-existing dynamics which are often reinforced during an incident. Good levels of unity can bring staff together during a moment of crisis, but a lack of leadership or a blame culture are likely to aggravate the harm experienced during the incident.	• 職場環境や既存の力関係などの人的要因は、インシデント時に強化されることが多い。良好な団結力は、危機の瞬間にスタッフを団結させることができるが、リーダーシップの欠如や非難文化は、インシデント時に経験した被害を悪化させる可能性が高い。
• Engagement with third-party service providers, such as those providing technical incident response or legal services, can alleviate the negative aspects of the victim experience by providing critical legal, technical or other help. However, they may aggravate the harm by providing poor services or losing valuable time in responding to the incident.	• 技術的なインシデント対応や法的サービスを提供するような第三者サービス・プロバイダーとの関わりは、重要な法的、技術的、またはその他の支援を提供することによって、被害者の経験の否定的な側面を軽減することができる。しかし、不十分なサービスを提供したり、インシデントに対応するために貴重な時間を失ったりすることで、被害を悪化させる可能性もある。
• A successful communications campaign is highly context and victim specific. It must include external and internal communications with staff members not part of the immediate response to ensure a good workplace culture.	• 成功するコミュニケーション・キャンペーンは、非常に文脈や被害者に特化したものである。良好な職場風土を確保するためには、緊急対応に加わっていないスタッフとの外部・内部コミュニケーションを含めなければならない。
For support, many victims turn to public sector institutions such as law enforcement. Expectations for technical support and expertise from law enforcement are generally low, but victims feel especially unsupported where phone calls are not returned and there is no engagement or feedback loop. The National Cyber Security Centre enjoys a better reputation. However, there is widespread uncertainty about its role and the thresholds that must be met for it to provide support. This poses a reputational risk.	被害者の多くは、法執行機関などの公的機関に支援を求めている。法執行機関に対する技術支援や専門知識への期待は一般的に低いが、被害者は、電話がつながらない、関与やフィードバックのループがないなど、特に支援されていないと感じている。国家サイバーセキュリティセンターの評判は良い。しかし、同センターの役割や、同センターが支援を提供するために満たさなければならない基準値については、広く不透明な部分がある。これは風評リスクをもたらしている。
Understanding how ransomware attacks are personally felt by victims and what factors aggravate or alleviate the harm they experience is key for policymakers seeking to implement measures to minimise harm as much as possible.	ランサムウェア攻撃を受けた被害者が個人的にどのように感じているのか、またどのような要因が被害を悪化させたり軽減させたりしているのかを理解することは、被害を可能な限り最小化するための対策を実施しようとする政策立案者にとって重要な鍵となる。
Summary of Recommendations	提言のまとめ
• While ransomware causes many kinds of harm, mitigating the psychological impact of ransomware attacks needs to be at the centre of the support given to (potential) victims preparing for and responding to a ransomware incident.	• ランサムウェアは様々な被害をもたらすが、ランサムウェア攻撃による心理的影響を軽減することは、ランサムウェアのインシデントに備え、対応する（潜在的な）被害者へのサポートの中心に据える必要がある。
ú   Third-party service providers also need to recognise that efforts mitigating the psychological impact of ransomware attacks are critical to improving victims’ experience. They must therefore form part of their technical, legal or other services.	ú   サードパーティのサービスプロバイダーもまた、ランサムウェア攻撃の心理的影響を緩和する取り組みが、被害者の体験を改善するために不可欠であることを認識する必要がある。そのため、技術的、法的、その他のサービスの一部を構成する必要がある。
ú   Public policy on ransomware must centre on measures that mitigate victims’ harm. This includes acknowledging and mitigating the psychological impact on victims, for example through counselling, compensation or time off in lieu.	ú   ランサムウェアに関する公共政策は、被害者の被害を軽減する対策を中心に据える必要がある。これには、例えばカウンセリング、補償、代休などを通じて、被害者の心理的影響を認め、軽減することが含まれる。
• Victims should aim for the right balance of discretion and transparency within their external and internal communications.	• 被害者は、対外的および対内的なコミュニケーションにおいて、慎重さと透明性の適切なバランスを目指すべきである。
• Third-party service providers should actively enable information sharing, subject to the consent of parties, among past, current and potential victims through their networks.	• 第三者サービス・プロバイダーは、当事者の同意を前提に、過去、現在、潜在的な被害者の間で、ネットワークを通じた情報共有を積極的に可能にすべきである。
• Law enforcement and intelligence agencies should establish a positive feedback loop that shares success stories and notifies victims when the information they share has been successfully used for intelligence and law enforcement activities.	• 法執行機関と情報機関は、成功事例を共有し、被害者が共有した情報が諜報活動や法執行活動にうまく利用された場合に被害者に通知する、前向きなフィードバック・ループを確立すべきである。
• Government authorities need to clarify the tasks of relevant public institutions and their role in the ransomware response, including who can receive support and under what circumstances.	• 政府当局は、誰がどのような状況で支援を受けることができるかを含め、ランサムウェア対応における関連公的機関の任務とその役割を明確にする必要がある。
• Given year-on-year increases in the frequency of incidents, the resourcing of the Information Commissioner’s Office should be routinely assessed to enable timely assessments of ransomware breaches.	• インシデントの発生頻度が年々増加していることから、ランサムウェアによる侵害をタイムリーに評価できるよう、情報コミッショナー事務局のリソースを定期的に評価すべきである。

 

 

総務省 スマートシティセキュリティガイドライン（第3.0版）とスマートシティセキュリティガイドブック

こんにちは、丸山満彦です。

総務省が、「スマートシティセキュリティガイドライン（第3.0版）」（案）に対する意見募集の結果と、「スマートシティセキュリティガイドライン（第3.0版）」を公表していますね...コメントが、460件もあったようですね...

合わせて、「スマートシティセキュリティガイドブック」も公表されています...

スマートシティって、IoT、AI等の先進技術を活用して、都市の課題（交通、健康・医療、災害等）や地域格差の解決を図るもので、Society5.0の先行的な社会実装の場ということになっていて、2019年くらいから進んでいるとは思うのですが、そろそろいろいろな成果がでて、横展開され始めているのでしょうかね...

なんか、ITベンダーが頑張っていろいろやっているわりに、住民が置いていかれいるような気がしないわけではないですよね（ブラウンフィールド型）。人口が減少している日本において、あらたに都市開発する場合（大阪の夢洲とか）はスマートシティ（グリーンフィールド型）を前提とするとかのアイデアはあってもよいかもですね...

● 総務省

・2024.06.28 「スマートシティセキュリティガイドライン（第3.0版）」（案）に対する意見募集の結果及び「スマートシティセキュリティガイドライン（第3.0版）」の公表

・[PDF] 別紙1 提出された意見及びその意見に対する総務省の考え方

・[PDF] 別紙2 スマートシティセキュリティガイドライン（第3.0版）

 

・[PDF] 別紙3「スマートシティセキュリティガイドブック」

 

 

スマートシティ関連

● 内閣府

・2024.03.29 スマートシティ施策のロードマップの公開について

 

・2024.06.21 令和６年度のスマートシティ関連事業の選定結果

 

 

関係府省のスマートシティ関連事業の選定結果		2024	2023	2021	2020
		令和６	令和 5	令和 4	令和 3
内閣府	未来技術社会実装事業	1	2	10	9
総務省	地域課題解決のためのスマートシティ推進事業	8	5	13
総務省	データ連携促進型スマートシティ推進事業				9
経済産業省	地域新MaaS創出推進事業	6	8	11	14
国土交通省	共創・MaaS実証プロジェクト（日本版MaaS推進・支援事業)	6	6	6	12
国土交通省	国土交通省スマートシティ実装化支援事業	13	13	14
国土交通省	国土交通省スマートシティモデルプロジェクト				30
	合計	34	34	54	74

 

	2024	2023	2021	2020
	令和６	令和 5	令和 4	令和 3
委員名簿	PDF	PDF	PDF	PDF
選定結果	PDF	PDF	PDF	PDF
選定結果一覧	PDF	PDF	PDF	PDF

 

選考プロジェクトについては、

プロジェクト規模とか、補助金額とか、その後の評価とかもみれるようなデータベースになっていればよいのにね...

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.30 総務省 「スマートシティセキュリティガイドライン（第2.0版）」の公表

パブコメ時、、、

・2021.04.26 総務省 意見募集 「スマートシティセキュリティガイドライン（第2.0版）」（案）

総務省の関連施策

・2020.06.07 総務省 「IoT・5Gセキュリティ総合対策2020（案）」に対する意見募集

 

 

NISTのスマートシティ

・2024.01.31 米国 NIST スマートシティプログラムの戦略計画についての意見募集 (2024.01.25)

 

UKのスマートシティーセキュリティ

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2021.05.13 UK NCSC スマートシティを安全に設計、管理、構築する方法を示す一連の原則

IEEEのスマートシティのセキュリティとプライバシー

・2021.02.26 IoT対応のスマートシティにおけるセキュリティとプライバシー：課題と将来の方向性 (IEEE Security & Privacy)

ISO/IECのスマートシティのプライバシー保護のガイドライン

・2021.02.02 ISO/IEC TS 27570:2021 Privacy protection — Privacy guidelines for smart cities（プライバシー保護- スマートシティーのためのプライバシーガイドライン）

米国 PCAOB 分析的実証手続の改訂案

こんにちは、丸山満彦です。

米国の会計監査においては、1980年代に監査手続の近代化？が行われ、いろいろな監査手続きの改訂が行われましたが、その際に、新たに導入されたのが、分析的手続です。。。

今回PCAOBから、分析的実証手続についての改訂案が提示されていますが、1989年のStatements on Auditing Standards; SAS No,56 Analytical Procedures から大きく変更されていないようですね。。。

当時、統計的分析的手続とかが流行りましたね...

ちなみに、欧州及び日本は、国際監査・保証基準審議会 (International Auditing and Assurance Standards Board; IAASB [wikipedia]) の作成する International Standards on Audit [wikipedia] や、それをベースに自国で開発された監査基準にもとづいて実施しますよね...

日本では、公認会計士協会が作成した、[PDF] 監査基準報告書520 分析的手続　になります。

 

● Public Company Accounting Oversight Board; PCAOB

・2024.06.27 Investor Bulletin: Opportunity To Comment on Proposal To Enhance How Auditors Address Certain Assessed Risks of Material Misstatement

Investor Bulletin: Opportunity To Comment on Proposal To Enhance How Auditors Address Certain Assessed Risks of Material Misstatement	投資家向け情報 監査人が特定の重要な虚偽表示のリスクアセスメントに対処する方法を強化する提案に関するコメント募集のお知らせ
The Public Company Accounting Oversight Board (PCAOB or the “Board”) Office of the Investor Advocate is alerting investors to the opportunity to comment on the proposal regarding designing and performing substantive analytical procedures and amendments to other PCAOB standards.	公開会社会計監視委員会(PCAOB)投資家擁護委員会は、実質的な分析的実証手続の設計と実施に関する提案及びその他のPCAOB標準の改訂に関する意見募集の機会を投資家に提供している。
This document represents the views of the PCAOB Office of the Investor Advocate and not necessarily those of other PCAOB staff or the Board. It is not a rule, policy, or statement of the Board.	本文書は、PCAOB投資家擁護室の代表者の見解であり、必ずしも他のPCAOBスタッフや理事会の見解ではない。また、これは理事会の規則、方針、声明ではない。
On June 12, 2024, the Board issued for public comment a proposal to replace the existing standard for substantive analytical procedures (AS 2305) and other related amendments. If adopted, the proposal would clarify and strengthen certain procedures that auditors may use to address certain assessed risks of material misstatement for significant accounts or disclosures and determine if there is a misstatement. The proposal, if adopted, would modernize PCAOB standards to reflect the ever-increasing use of technology by auditors in performing substantive analytical procedures and would better protect investors by increasing the likelihood that auditors obtain relevant and reliable information to support their conclusions in audit opinions.	2024年6月12日、米国財務会計基準審議会は、現行の分析的実証手続に関する標準（AS2305）とその他の関連する改訂を置き換える提案をパブリックコメントに付した。本提案が採用された場合、監査人が、重要な勘定科目又は開示について、評価した重要な虚偽表示のリスクに対処し、虚偽表示があるかどうかを判断するために使用することができる特定の手続を明確化し、強化することになる。本提案が採択されれば、実質的な分析的実証手続を実施する際の監査人による技術の使用がますます増加していることを反映し、PCAOB基準を近代化することになり、監査人が監査意見において結論を裏付ける適切で信頼できる情報を入手する可能性が高まることで、投資家保護がより強化されることになる。
In 2003, the PCAOB adopted AS 2305 from a standard put in place by the auditing profession in 1989. The existing standard remains substantially the same today. Consistent with existing standards, the proposed standard reiterates that substantive analytical procedures alone are unlikely to be sufficient to address significant risks of material misstatement, including fraud risks.	2003年、PCAOBは、1989年に監査専門家が導入した標準からAS2305を採用した。既存の標準は現在も実質的に同じである。提案されている標準は、既存の標準と整合しており、不正リスクを含む重要な虚偽表示リスクに対処するためには、分析的実証手続だけでは不十分である可能性が高いことを改めて示している。
Read the full proposal here(PDF).	提案の全文はこちら(PDF)を参照のこと。
Background	提案の背景
Auditors may use substantive analytical procedures to address certain assessed risks of material misstatement. In a substantive analytical procedure, the auditor seeks to determine whether there is a misstatement in a company’s recorded financial information.	アセスメントは、評価した特定の重要な虚偽表示リスクに対処するために、実質的な分析的実証手続を使用することができる。分析的実証手続では、監査人は、企業の記録された財務情報に虚偽表示があるかどうかを判断する。
When performing substantive analytical procedures, the auditor compares (i) a company’s recorded amount (or an amount derived from the recorded amount) to (ii) what the auditor would expect. For example, an auditor could compare (i) a company’s recorded expense for debt interest payments to (ii) an expected expense based on the principal and interest rates of the debt.	分析的実証手続を実施する場合、監査人は、(i)企業の記録金額（又は記録金額から派生する金額）と(ii)監査人が予想する金額とを比較する。例えば、監査人は、(i)企業が計上した負債利払いの費用と、(ii)負債の元本及び金利に基づく予想費用とを比較することができる。
The effectiveness of substantive analytical procedures depends on their appropriate design and performance, such as which data and which relationships in the data auditors rely on to form their expectations.	分析的実証手続の有効性は、監査人がどのようなデータ及びデータのどのような関係に依拠して期待値を形成するかといった、分析的実証手続の適切な設計及び実施に依存する。
Over the years, the use of technology and data analytics in audits has grown, including when auditors design and perform substantive analytical procedures. For example, some auditors have been able to use more disaggregated data (e.g., at transaction or customer level) to identify previously unknown relationships and develop more precise expectations to test against a company’s recorded financial information. Additionally, PCAOB staff have observed some auditors inappropriately design and perform substantive analytical procedures. Such shortcomings may result in failing to identify a material misstatement of a company’s financial statements or failing to obtain sufficient appropriate audit evidence when performing the audit.	ここ数年、監査人が分析的実証手続を設計・実施する際も含め、監査におけるテクノロジーやデータ分析の利用が拡大している。例えば、一部の監査人は、より細分化されたデータ（例えば、取引や顧客レベル）を使用して、以前は知られていなかった関係を特定し、企業の記録された財務情報と照らし合わせてテストするために、より正確な予想を策定することができるようになった。さらに、PCAOBスタッフは、一部の監査人が不適切に分析的実証手続を設計し、実施していることを確認している。このような欠点は、企業の財務諸表の重要な虚偽表示を識別できなかったり、監査実施時に十分な適切な監査証拠を入手できなかったりする可能性がある。
The Proposal	提案
The proposal would clarify and strengthen the standard for substantive analytical procedures, including those involving data analytics. For example, the proposal would:	本提案は、データ分析を含む、分析的実証手続に関する標準を明確化し、強化するものである。例えば、本提案は以下のようなことを行う：
Specify that the auditor may not develop their expectation of the company’s recorded amount using the company’s amount or information that is based on the company’s amount;	監査人は、会社の金額又は会社の金額を基礎とする情報を使用して、会社の計上金額の予想を策定してはならないと規定する；
Require that the relationships in the data on which the procedure is based must be sufficiently plausible and predictable to achieve the procedure’s objective; and	手続の基礎となるデータの関係は、手続の目的を達成するために十分に妥当で予測可能でなければならない。
Specify certain responsibilities for the auditor to perform when there is a difference between a company’s amount and the auditor’s expectation.	会社の金額と監査人の予想との間に差異がある場合に、監査人が行うべき一定の責任を規定する。
The proposed standard would apply to all substantive analytical procedures.	提案されている標準は、すべての実質的な分析的実証手続に適用される。

 

・[PDF]  Proposed Auditing Standard – Designing and Performing Substantive Analytical Procedures and Amendments to Other PCAOB Standards

 

 

---

 

● 日本公認会計士協会

・2022.10.13 [PDF] 監査基準報告書520 分析的手続

 

昔の米国監査基準

・1988.04 [PDF] Statements on Auditing Standards; SAS No,56 Analytical Procedures 

 

当時、上司が書いた本...

・1993.07.01 [Amazon] 統計手法による分析的監査手続

実家にあるかも...

 

Continue reading "米国 PCAOB 分析的実証手続の改訂案"

ENISA 意見募集 組み込み型汎用集積回路カードの認証に関連する仕様

こんにちは、丸山満彦です。

ENISAが、組み込み型汎用集積回路カードの認証に関連する仕様についての意見募集をしていますね...

半導体は重要というだけでなく、具体的な動きができていますね...仕様についての動きは欧米は早いですね...

コモンクライテリアベースでどこまで普及するか...

 

● ENISA

プレス...

・2024.06.26 Share your feedback: ENISA public consultation bolsters EU5G Cybersecurity Certification

Share your feedback: ENISA public consultation bolsters EU5G Cybersecurity Certification	フィードバックを共有しよう ENISAがEU5Gサイバーセキュリティ認証を強化するための公開コンサルテーションを実施
ENISA has released and is seeking feedback on the embedded Universal Integrated Circuit Card (eUICC) specifications of the cybersecurity certification scheme on EU5G, which is carried out under the Common Criteria scheme.	ENISAは、コモンクライテリア・スキームの下で実施されるEU5Gのサイバーセキュリティ認証スキームの組み込み型汎用集積回路カード（eUICC）仕様を発表し、フィードバックを求めている。
Today, in response to a European Commission request for a cybersecurity certification scheme on EU5G, the European Union Agency for Cybersecurity is launching a 2-month long public consultation concerning the specifications related to the certification of the embedded Universal Integrated Circuit Card (eUICC), under the Common Criteria based European Cybersecurity Certification Scheme (EUCC).	本日、EU5Gに関するサイバーセキュリティ認証スキームに関する欧州委員会の要請を受け、欧州連合サイバーセキュリティ機関は、コモンクライテリアに基づく欧州サイバーセキュリティ認証スキーム（EUCC）の下で、組み込み型汎用集積回路カード（eUICC）の認証に関連する仕様に関する2カ月にわたる公開協議を開始する。
The eUICC is a secure element that contains one or more subscription profiles (Embedded Subscriber Identity Module - eSIM) and provides operators and end customers a secure solution. Through the specifications, ENISA aims to facilitate the certification of conformity of the eUICCs with the EU Cybersecurity Certification Scheme on Common Criteria (EUCC) to further enhance both the consumers’ and industry trust in the product. Additionally, efforts have already been made to address current functional, security and certification requirements by means of these specifications; the requirements of other relevant regulations, such as the European Digital Identity Regulation, can be met as well by means of these specifications.	eUICCは、1つまたは複数の加入プロファイル（Embedded Subscriber Identity Module - eSIM）を含むセキュアエレメントであり、通信事業者およびエンドカスタマーにセキュアなソリューションを提供する。ENISAは、本仕様を通じて、コモンクライテリア（EUCC）に関するEUサイバーセキュリティ認証スキームへのeUICCの適合性認証を促進し、消費者と業界双方の製品に対する信頼をさらに高めることを目指している。さらに、これらの仕様によって、現行の機能、セキュリティ、認証要件に対応するための努力もすでに行われている。欧州デジタル ID 規則などの他の関連規則の要件も、これらの仕様によって満たすことができる。
In line with the European Commission request to ENISA to develop a candidate cybersecurity certification scheme on EU5G, ENISA has developed a range of requirements for 5G networks. The specifications currently under consultation for eUICC certification have been drawn up with the support of the Ad Hoc Working Group (AHWG) on EU5G.	欧州委員会がENISAに対し、EU5Gに関するサイバーセキュリティ認証スキームの候補を策定するよう要請したことに伴い、ENISAは5Gネットワークに関するさまざまな要件を策定した。eUICC認証のために現在協議中の仕様は、EU5Gに関するアドホック・ワーキング・グループ（AHWG）の支援を受けて策定された。
Through the European Cybersecurity Certification Framework established by the Cybersecurity Act, the EU aims to provide solutions in a single market by adopting schemes that define the necessary requirements in cybersecurity of services and products. Commonly recognised certification schemes in the EU enable ICT suppliers and businesses to expand to markets by demonstrating adherence to the scheme specifications and requirements. These certification schemes bolster the trust of the end users or service providers to certified solutions, as they are better aware of the security level of the products or services they use.	サイバーセキュリティ法によって設立された欧州サイバーセキュリティ認証フレームワークを通じて、EUは、サービスや製品のサイバーセキュリティに必要な要件を定義するスキームを採用することにより、単一市場でソリューションを提供することを目指している。EUで一般的に認知されている認証スキームにより、ICTサプライヤーや企業は、スキームの仕様や要件に準拠していることを証明することで、市場に進出することができる。これらの認証制度は、エンドユーザーやサービスプロバイダが、使用する製品やサービスのセキュリティレベルをよりよく認識できるようにするため、認証されたソリューションに対するトラストユーザーやサービスプロバイダの信頼を強化する。
The public consultation allows interested parties and stakeholders to provide feedback on the specifications. The outcome will be processed and shared. Please note that the consultation will remain open for contributions until August 26st, 12.00 CET.	パブリックコンサルテーションでは、関係者や利害関係者が仕様に関するフィードバックを提供することができる。結果は処理され、共有される。コンサルテーションは8月26日12:00（中央ヨーロッパ標準時）まで受け付けている。
You may find the specifications document in the following link: Specifications related to the certification of the embedded Universal Integrated Circuit Card - European Union (europa.eu)	仕様書は以下のリンクから入手できる： 組み込み型ユニバーサル集積回路カードの認証に関する仕様書 - 欧州連合 (europa.eu)
To participate in the Public Consultation, please click here.	パブリックコンサルテーションに参加するには、こちらをクリック。
Further Information	その他の情報
EUSurvey - Survey (europa.eu)	EUSurvey - 調査 (europa.eu)
Homepage - European Union (europa.eu)	ホームページ - 欧州連合 (europa.eu)
Cybersecurity Certification Framework — ENISA (europa.eu)	サイバーセキュリティ認証フレームワーク - ENISA (europa.eu)
Certification — ENISA (europa.eu)	認証 - ENISA (europa.eu)

 

 

・2024.06.26 Specifications related to the certification of the embedded Universal Integrated Circuit Card

Specifications related to the certification of the embedded Universal Integrated Circuit Card	組み込み型汎用集積回路カードの認証に関連する仕様
The Specifications for eUICC (Embedded Universal Integrated Circuit Card) Certification under the EUCC Scheme are released today for public consultation.	EUCCスキームに基づくeUICC（組み込み型汎用集積回路カード）認証に関する仕様が、本日公開された。
Description	概要
The public consultation allows interested parties and stakeholders to provide feedback on the specifications. The outcome will be processed and shared. Please note that the consultation will remain open for contributions until August 26st, 12.00 CET.	パブリックコンサルテーションでは、関係者や利害関係者が仕様に関するフィードバックを提供することができる。結果は処理され、共有される。コンサルテーションは8月26日12:00 CETまで受け付けている。

 

・[PDF]

.

・[DOCX][PDF] 仮訳

 

 

目次..

1. INTRODUCTION AND CONTEXT	1.序論と背景
1.1 INTRODUCTION	1.1 はじめに
1.2 CONTEXT	1.2 CONTEXT
2. REFERENCES, DEFINITION OF TERMS, ABBREVIATIONS	2.参考文献、用語の定義、略語
2.1 REFERENCES	2.1 参考文献
2.2 DEFINITION OF TERMS	2.2 用語の定義
2.3 ABBREVIATIONS	2.3 略語
3. EUICC: DEFINITION AND TYPES	3.EUICC：定義とタイプ
3.1 eUICC DEFINITION	3.1 eUICCの定義
3.2 eUICC TYPES	3.2 eUICCのタイプ
3.2.1 Type 1 - eUICCs for consumer and IoT devices not requiring third party applets	3.2.1 タイプ 1 - サードパーティアプレットを必要としないコンシューマー機器および IoT 機器向け eUICC
3.2.2 eUICCs for consumer devices hosting third party applets	3.2.2 サードパーティアプレットをホストする消費者機器用eUICC
3.2.3 Type 4 - eUICC with CSP-Enabled support for applets within telco profiles	3.2.3 タイプ 4 - 通信事業者プロファイル内のアプレットを CSP がサポートする eUICC
3.2.4 Mapping between eUICC types and components	3.2.4 eUICCタイプとコンポーネント間のマッピング
3.2.5 Mapping between eUICC types and use cases	3.2.5 eUICCタイプとユースケース間のマッピング
4. CERTIFICATION OF EUICC	4.EUICCの認証
4.1 GENERAL STATEMENT	4.1 総論
4.2 CERTIFICATION SCHEME	4.2 認証スキーム
4.3 CERTIFICATION REQUIREMENTS ON COMPONENTS	4.3 コンポーネントの認証要件
4.3.1 eUICC hardware	4.3.1 eUICCハードウェア
4.3.2 eUICC java card platform (JCP)	4.3.2 eUICC Java カード・プラットフォーム（JCP）
4.3.3 eUICC java card platform (JCP) with GP framework	4.3.3 GP フレームワークによる eUICC Java カード・プラットフォーム（JCP）
4.3.4 eUICC RSP	4.3.4 eUICC RSP
4.3.5 Secure application on mobile (SAM)	4.3.5 セキュア・アプリケーション・オン・モバイル（SAM）
4.3.6 Cryptographic abstraction layer (e.g.: CSP)	4.3.6 暗号抽象化レイヤー（例：CSP）
4.3.7 Vulnerability handling	4.3.7 脆弱性の取り扱い
4.4 PATCH MECHANISM	4.4 パッチメカニズム
4.5 OPTIMISATION	4.5 最適化
ANNEX A – OPTIMISATION	附属書A - 最適化
A.1 OPTIMISATION OF eUICC CERTIFICATION	A.1 eUICC認証の最適化
A.2 OPTIMISATION OF THIRD-PARTY APPLETS CERTIFICATION	A.2 サードパーティアプレット認証の最適化
A.3 OPTIMISATION OF EVALUATION PROCEDURES OF THE EUCC CERTIFICATION TO MATCH REQUIREMENTS OF THE MOBILE MARKET	A.3 モバイル市場の要件に合わせたEUCC認証の評価手順の最適化
A.3.1 Harmonisation between EUCC and eSA	A.3.1 EUCCとeSAのハーモナイゼーション
A.3.2 Consideration of GSMA specifications as part of certification evidences	A.3.2 認証証憑の一部としての GSMA 仕様の検討
A.3.3 Maintenance with partial re-evaluation	A.3.3 部分的再評価を伴うメンテナンス
A.4 ADV_FSP.4	A.4 ADV_FSP.4
A.5 ADV_TDS.3	A.5 ADV_TDS.3
A.6 ATE_COV.2, ATE_FUN.1	A.6 ATE_COV.2, ATE_FUN.1
A.7 AGD	A.7 AGD
ANNEX B – STATE OF THE ART PROTECTION PROFILES	附属書B - 最先端の保護プロファイル

 

 

金融庁 金融分野におけるサイバーセキュリティに関するガイドライン（案） (2024.06.28)

こんにちは、丸山満彦です。

金融庁が、「主要行等向けの総合的な監督指針」等の一部改正（案）とともに、「金融分野におけるサイバーセキュリティに関するガイドライン」（案） を公表し、意見募集をしていますね...

文書の構造的には、米国のサイバーセキュリティフレームワークに似ていますね...

内容としては、【基本的な内容】ふつうするやろという内容と、【対応が望ましい事項】社会的にやっとかなあかんのちゃうのん、とか、先進的な対応という内容の２つがありますが、両方とも、リスクベースで金融機関が考えて実施してください、ということです。

---

「基本的な対応事項」は、いわゆるサイバーハイジーンと呼ばれる事項その 他の金融機関等が一般的に実施する必要のある基礎的な事項を指す。「対応が望ましい事項」は、金融機関等の規模・特性等を踏まえると、インシデント発生時に、地域社会・経済等に大きな影響を及ぼしうる先において実践することが望ましいと考えられる取組みや、他国の当局又は金融機関等との対話等によって把握した先進的な取組み等の大手金融機関及び主要な清算・振替機関等が参照すべき 優良事例を指す。金融機関等の規模・特性は様々であることから、「基本的な対 応事項」及び「対応が望ましい事項」のいずれについても、一律の対応を求めるものではなく、金融機関等が、自らを取り巻く事業環境、経営戦略及びリスクの 許容度等を踏まえた上で、サイバーセキュリティリスクを特定、評価し、リスク に見合った低減措置を講ずること（いわゆる「リスクベース・アプローチ」を採 ること）が求められることに留意が必要である。

---

 

あと、金融機関っぽいなぁと思えたのは、

---

2. サイバーセキュリティ管理態勢
2.1. サイバーセキュリティ管理態勢の構築
2.1.1. 基本方針、規程類の策定等

【対応が望ましい事項】

d. 経営陣は、少なくとも１年に２回、以下の報告を担当部署等に求めること。
・ サイバーセキュリティにかかるパフォーマンス指標（KPI）15及びリスク指標（KRI）16

15 KPI の例：標的型メール訓練の報告率、脆弱性対応率、情報資産棚卸進捗率、トレーニング受講率等。
16 KRI の例：サイバー攻撃試行件数、監査指摘件数、インシデント件数、未対応の脆弱性件数等。

---

と書いているところですかね...

もちろん、リスクベースで実施の是々非々は各企業ごとに考えるのでしょうが、やらないならやらない理由を考える必要もあるということになるかもですね。。。

人材についても、どういう人材の確保が必要かということを、書いていますね。。。

色々と参考になりますね...

 

● 金融庁

・2024.06.28 「主要行等向けの総合的な監督指針」等の一部改正（案）及び「金融分野におけるサイバーセキュリティに関するガイドライン」（案）の公表について

・[PDF] 「金融分野におけるサイバーセキュリティに関するガイドライン」（案）

 

　目次...

1. 基本的考え方
1.1. サイバーセキュリティに係る基本的考え方
1.2. 金融機関等に求められる取組み
1.2.1. サイバーセキュリティ管理態勢
1.2.2. 経営陣の関与・理解
1.3. 業界団体や中央機関等の役割
1.4. 本ガイドラインの適用対象等

2. サイバーセキュリティ管理態勢
2.1. サイバーセキュリティ管理態勢の構築
 2.1.1. 基本方針、規程類の策定等 
 2.1.2. 規程等及び業務プロセスの整備
 2.1.3. 経営資源の確保、人材の育成
 2.1.4. リスク管理部門による牽制
 2.1.5. 内部監査
2.2. サイバーセキュリティリスクの特定
 2.2.1. 情報資産管理
 2.2.2. リスク管理プロセス
 2.2.3. ハードウェア・ソフトウェア等の脆弱性管理
 2.2.4. 脆弱性診断及びペネトレーションテスト
 2.2.5. 演習・訓練
2.3. サイバー攻撃の防御
 2.3.1. 認証・アクセス管理
 2.3.2. 教育・研修
 2.3.3. データ保護
 2.3.4. システムのセキュリティ対策
2.4. サイバー攻撃の検知
 2.4.1. 監視
2.5. サイバーインシデント対応及び復旧
 2.5.1. インシデント対応計画及びコンティンジェンシープランの策定
 2.5.2. インシデントへの対応及び復旧
2.6. サードパーティリスク管理

3. 金融庁と関係機関の連携強化
3.1. 情報共有・情報分析の強化
3.2. 捜査当局等との連携
3.3. 国際連携の深化
3.4. 官民連携

---

 

金融庁のサイバーセキュリティに関するページ

・金融分野におけるサイバーセキュリティ対策について

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.29 金融庁 金融機関のシステム障害に関する分析レポート 2024 (2024.06.26)

・2023.12.22 金融庁 金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査報告書

・2023.10.20 金融庁 金融業界横断的なサイバーセキュリティ演習（Delta Wall Ⅷ）

・2023.07.07 金融庁 「「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂（案）に対するパブリック・コメントの結果等の公表」及び「金融機関のシステム障害に関する分析レポート」 (2023.06.30)

・2023.04.29 金融庁 オペレーショナル・レジリエンス確保に向けた基本的な考え方

・2022.02.21 金融庁 金融分野におけるサイバーセキュリティ強化に向けた取組方針（Ver. 3.0）

 

防衛省 防衛研究所 防衛省・自衛隊の７０年史を振り返る

こんにちは、丸山満彦です。

2024年7月1日に防衛省（旧防衛庁）・自衛隊は創設から７０年を迎えるようですね...

 防衛省 防衛研究所が、防衛省・自衛隊の７０年史を振り返るを公表していますね...

 

● 防衛省 防衛研究所

・2024.06.28 防衛省・自衛隊の７０年史を振り返る

• はじめに
• 三文書前史―「国防の基本方針」と「一次防」から「四次防」まで
• 「一文書」時代―「防衛計画の大綱」への転換
• 「二文書」時代―「中期防衛力整備計画」の登場
• 「三文書」時代へ―「国家安全保障戦略」・「国家防衛戦略」・「防衛力整備計画」の成立
• おわりに

・[PDF]

 

防衛省 防衛研究所 「商業宇宙戦争」の時代における防衛組織の課題 + 米国国防総省の商業宇宙統合戦略

こんにちは、丸山満彦です。

防衛省 防衛研究所が、「商業宇宙戦争」の時代における防衛組織の課題を公表していますね。。。

興味深い内容です...

ロシア・ウクライナ紛争において、商業宇宙関連サービスの軍事作戦での利用等の重要性が明らかになったように思います。そうなると、紛争時に商業宇宙関連サービスが攻撃対象となる可能性もでてきますね。。。

すなわち、紛争時における、

1. 商業宇宙関連サービスの利活用の問題
2. 商業宇宙関連サービスの防御の問題

の２つが重要となってくるわけですが、米国では、2024年4月には米国防省全体の「商業宇宙統合戦略」（CSIS）とUSSFの「商業宇宙戦略」（CSS）が初めて策定・公表されていたのですね...

 

● 防衛省 防衛研究所

・2024.06.25 「商業宇宙戦争」の時代における防衛組織の課題

 

 

---

 

 

2024.04.02に公表された米国国防総省の商業宇宙統合戦略...

● U.S. Department of Defense

プレスリリース...

・2024.04.02 DoD Releases 2024 DoD Commercial Space Integration Strategy

DoD Releases 2024 DoD Commercial Space Integration Strategy	国防総省、2024年国防総省商業宇宙統合戦略を発表
Today, the Department of Defense released the 2024 DoD Commercial Space Integration Strategy. In line with the National Security Strategy and the 2022 National Defense Strategy, this strategy seeks to align the Department’s efforts and drive more effective integration of commercial space solutions into national security space architectures.	本日、国防総省は2024年国防総省商業宇宙統合戦略を発表した。この戦略は、国家安全保障戦略および2022年国防戦略に沿って、国防総省の努力を調整し、国家安全保障の宇宙アーキテクチャーに民間宇宙ソリューションをより効果的に統合することを目指すものである。
This strategy identifies four top-level priorities that the Department will pursue to maximize the benefits of integrating commercial space solutions:	この戦略は、商業宇宙ソリューションの統合の利点を最大化するために、国防総省が追求する4つの最優先事項を特定している：
1. Ensure access to commercial solutions across the spectrum of conflict;	1. 紛争のスペクトル全体にわたって商業ソリューションへのアクセスを確保する；
2. Achieve integration prior to crisis;	2. 危機の前に統合を達成する；
3. Establish the security conditions to integrate commercial space solutions; and	3. 商業宇宙ソリューションを統合するための安全保障条件を確立する。
4. Support the development of new commercial space solutions for use by the joint force.	4. 統合軍が使用する新しい民間宇宙ソリューションの開発を支援する。
The Department will adhere to four foundational principles in its strategy, balance, interoperability, resilience, and responsible conduct, to ensure that commercial solutions are integrated into national security space architecture.	同省は、その戦略において、バランス、相互運用性、レジリエンス、責任ある行動という4つの基本原則を堅持し、商業ソリューションが国家安全保障の宇宙アーキテクチャーに統合されるようにする。
To integrate commercial space solutions, the Department will work with commercial entities to mitigate risk as necessary and accept risk where appropriate. Such integration will help deny adversaries the benefits of attacks against national security space systems and contribute to a safe, secure, stable, and sustainable space domain.	商業宇宙ソリューションを統合するために、防衛省は商業事業体と協力し、必要に応じてリスクを低減し、適切な場合にはリスクを受け入れる。このような完全性攻撃は、敵対者が国家安全保障の宇宙システムに対する攻撃から利益を得ることを阻止し、安全、安心、安定、持続可能な宇宙領域に貢献することになる。

 

・[PDF] 2024.04.02  Commercial Space Integration Strategy

 

 

米国 CISA FBI、オーストラリアACSC カナダ CCCS 選択したオープン・ソース・ソフトウェア（OSS）におけるメモリ安全性リスクの規模に関する調査結果 (2024.06.26)

こんにちは、丸山満彦です。

米国 CISA FBI、オーストラリアACSC カナダ CCSCが、選択したオープン・ソース・ソフトウェア（OSS）におけるメモリ安全性リスクの規模に関する調査結果を公表していますね...

興味深いですね...

 

● Cybersecurity & Infrstracture Security Agency; CISA

・2024.06.26 Exploring Memory Safety in Critical Open Source Projects

Exploring Memory Safety in Critical Open Source Projects	重要なオープンソースプロジェクトにおけるメモリ安全性を探る
CISA, in partnership with the Federal Bureau of Investigation, Australian Signals Directorate’s Australian Cyber Security Centre, and Canadian Cyber Security Center, crafted this joint guidance to provide organizations with findings on the scale of memory safety risk in selected open source software (OSS). This guide builds on The Case for Memory Safe Roadmaps by providing a starting point for software manufacturers to create memory safe roadmaps, including plans to address memory safety in external dependencies which commonly include OSS. Exploring Memory Safety in Critical Open Source Projects also aligns with the 2023 National Cybersecurity Strategy and corresponding implementation plan, which discusses investing in memory safety and collaborating with the open source community—including the establishment of the interagency Open Source Software Security Initiative (OS3I) and investment in memory-safe programming languages.	CISA は、連邦捜査局（FBI）、オーストラリア信号局（Australian Signals Directorate）のオーストラリア・サイバー・セキュリティ・センター（Australian Cyber Security Centre）、カナダ・サイバー・セキュリティ・センター（Canadian Cyber Security Center）と共同で、選択したオープン・ソース・ソフトウェア（OSS）におけるメモリ安全性リスクの規模に関する調査結果を組織に提供するために、この共同ガイダンスを作成した。この手引きは、「メモリ安全ロードマップの事例」に基づき、ソフトウェア・メーカーがメモリ安全ロードマップを作成するための出発点を提供するもので、OSSをよく含む外部依存関係におけるメモリ安全性に対処する計画も含まれている。クリティカルなオープンソースプロジェクトにおけるメモリ安全性の探求は、2023年国家サイバーセキュリティ戦略および対応する実施計画とも整合しており、メモリ安全性への投資およびオープンソースコミュニティとの協業（省庁間オープンソースソフトウェアセキュリティイニシアティブ（OS3I）の設立やメモリ安全なプログラミング言語への投資を含む）について議論している。
CISA encourages all organizations and software manufacturers to review the methodology and results found in the guidance to:	CISAは、すべての組織とソフトウェア・メーカーに対し、本ガイダンスに記載されている方法論と結果を検討することを推奨する：
・Reduce memory safety vulnerabilities;	・メモリ安全性の脆弱性を減らす；
・Make secure and informed choices;	・安全で十分な情報に基づいた選択を行う；
・Understand the memory-unsafety risk in OSS;	・OSSのメモリ安全性リスクについて理解する；
・Evaluate approaches to reducing this risk; and	・このリスクを低減するためのアプローチを評価する。
・Continue efforts to drive risk-reducing action by software manufacturers.	・ソフトウェアメーカーによるリスク低減のための取り組みを継続する。
To learn more about taking a top-down approach to developing secure products, visit CISA’s Secure by Design webpage.	セキュアな製品を開発するためのトップダウン・アプローチについての詳細は、CISAのセキュア・バイ・デザインのウェブページを参照のこと。

 

 

・[PDF] Exploring Memory Safety in Critical Open Source Projects - 508c

 

目次...

Executive Summary	エグゼクティブサマリー
Background	背景
Recent Efforts	最近の取り組み
Report Terminology	報告書の用語
Methodology and Results	方法論と結果
Dependencies	依存関係
Discussion	ディスカッション
Disclaimer	免責事項
Annex	附属書

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
In December 2023, the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and international cybersecurity authorities from Australia, Canada, New Zealand, and the United Kingdom, published The Case for Memory Safe Roadmaps. This joint publication notes that memory safety vulnerabilities are among the most prevalent classes of software vulnerability and generate substantial costs for both software manufacturers and consumers related to patching, incident response, and other efforts. It further recommends software manufacturers create memory safe roadmaps, including plans to address memory safety in external dependencies, which commonly include open source software (OSS).	2023年12月、Cybersecurity and Infrastructure Security Agency（CISA）、National Security Agency（NSA）、Federal Bureau of Investigation（FBI）、およびオーストラリア、カナダ、ニュージーランド、イギリスの国際的なサイバーセキュリティ当局は、「The Case for Memory Safe Roadmaps」を発表した。この共同出版物は、メモリ安全性の脆弱性がソフトウェアの脆弱性の中で最も一般的なクラスの一つであり、パッチ適用、インシデント対応、その他の取り組みに関連する多大なコストをソフトウェアメーカーと消費者の双方に生じさせていることを指摘している。さらに、ソフトウェアメーカーに対し、オープンソースソフトウェア（OSS）を含む外部依存関係におけるメモリ安全性への対応計画を含む、メモリ安全ロードマップの作成を推奨している。
This joint report, authored by CISA, FBI, the Australian Signals Directorate’s Australian Cyber Security Center (ASD’s ACSC), and the Canadian Centre for Cybersecurity (CCCS), provides a starting point for these roadmaps by investigating the scale of memory safety risk in selected OSS. To understand the state of memory unsafety in OSScode, we explored a set of critical open source projects to determine the extent to which they are written in memoryunsafe languages.[1] Memory-unsafe languages require developers to properly manage memory use and allocation. Mistakes, which inevitably occur, can result in memory-safety vulnerabilities such as buffer overflows and use after free. Successful exploitation of these types of vulnerabilities can allow adversaries to take control of software, systems, and data. Memory-safe languages shift the abstraction layer and responsibility for writing memory-safe code from the developer to the compiler or interpreter, vastly reducing opportunities to introduce memory-safety vulnerabilities.	CISA、FBI、Australian Signals Directorate's Australian Cyber Security Center (ASD's ACSC)、Canadian Centre for Cybersecurity (CCCS)が執筆したこの共同報告書は、特定のOSSにおけるメモリ安全性リスクの規模を調査することで、これらのロードマップの出発点を提供する。OSSコードにおけるメモリ非安全状態を理解するために、私たちは一連の重要なオープンソースプロジェクトを調査し、それらがどの程度メモリ非安全言語で書かれているかを調べた[1]。メモリ非安全言語は、開発者がメモリの使用と割り当てを適切に管理することを要求する。必然的に発生するミスは、バッファ・オーバーフローやuse after freeのようなメモリ安全性の脆弱性を引き起こす可能性がある。このような脆弱性の悪用に成功すると、敵はソフトウェア、システム、データを制御できるようになる。メモリ安全言語は、抽象化レイヤとメモリ安全コードを書く責任を開発者からコンパイラやインタプリタに移し、メモリ安全性の脆弱性を導入する機会を大幅に減らす。
Upon analyzing a list of 172 projects derived from the Open Source Security Foundation (OpenSSF) Securing Critical Projects Working Group’s List of Critical Projects,[2] we observe that:	Open Source Security Foundation (OpenSSF) Securing Critical Projects Working Group's List of Critical Projects[2]から派生した172のプロジェクトのリストを分析したところ、以下のことがわかった：
•       52% of the projects contain code written in a memory-unsafe language.	・プロジェクトの52%にメモリ非安全言語で書かれたコードが含まれている。
•       55% of the total lines of code (LoC) for all projects were written in a memory-unsafe language.	・全プロジェクトの総コード行数（LoC）の55％がメモリ非安全言語で書かれている。
•       The largest projects are disproportionately written in memory-unsafe languages. Of the ten largest projects by total LoC, each has a proportion of memory unsafe LoC above 26%. The median proportion using memory-unsafe languages across the ten projects is 62.5% and four of the ten project proportions exceed 94%.	・最大規模のプロジェクトは、メモリ非安全言語で書かれている割合が高い。LoCの合計が最も大きい10個のプロジェクトのうち、メモリ非安全なLoCの割合が26％を超えている。10プロジェクト全体のメモリ非安全言語を使用する割合の中央値は62.5%で、10プロジェクトのうち4プロジェクトの割合が94%を超えている。
•       Dependency analysis of three projects written in memory-safe languages demonstrated that each one depended on other components written in memoryunsafe languages.	・メモリ非安全言語で書かれた3つのプロジェクトの依存関係を分析したところ、それぞれのプロジェクトがメモリ非安全言語で書かれた他のコンポーネントに依存していることがわかった。
Hence, we determine that most critical open source projects analyzed, even those written in memory-safe languages, potentially contain memory safety vulnerabilities. This can be caused by direct use of memory-unsafe languages or external dependency on projects that use memory-unsafe languages. Additionally, low-level functional requirements to disable memory safety may create opportunities for memory safety vulnerabilities in code written in otherwise memory-safe languages. These limitations highlight the need for continued diligent use of memory safe programming languages, secure coding practices, and security testing.	したがって、分析したほとんどの重要なオープンソース・プロジェクトは、メモリ安全言語で書かれたものであっても、潜在的にメモリ安全の脆弱性を含んでいると判断される。これは、メモリ非安全言語を直接使用したり、メモリ非安全言語を使用するプロジェクトに外部依存したりすることによって引き起こされる可能性がある。さらに、メモリ安全を無効にするための低レベルの機能要件が、そうでなければメモリ安全な言語で書かれたコードに、メモリ安全の脆弱性を生む機会を作り出すかもしれない。これらの制限は、メモリ安全プログラミング言語の継続的な使用、安全なコーディングプラクティス、セキュリティテストの必要性を強調している。
We encourage additional efforts to understand the scope of memory-unsafety risks in OSS and continued discussion of the best approaches to managing and reducing this risk. These discussions should not only consider the risk reduction of a given approach, but also resource constraints, performance requirements, and direct and indirect costs of implementation. We note that while memory safety vulnerabilities are the most prevalent class of vulnerabilities, there is important work to be done to reduce other systemic classes of vulnerabilities.[3] Please read further recommendations to address memory safety in the joint document, The Case for Memory Safe Roadmaps and CISA’s Technical Advisory Council of CISA’s Cybersecurity Advisory Committee report on memory safety.	我々は、OSSにおけるメモリ非安全リスクの範囲を理解するためのさらなる努力と、このリスクを管理し低減するための最善のアプローチについての継続的な議論を奨励する。これらの議論は、与えられたアプローチのリスク低減だけでなく、リソースの制約、性能要件、実装の直接的・間接的コストも考慮すべきである。メモリ安全性の脆弱性は最も一般的な脆弱性のクラスであるが、他のシステム的なクラスの脆弱性を低減するために行うべき重要な作業があることに留意する[3]。メモリ安全に対処するための更なる推奨事項については、共同文書であるメモリ安全ロードマップの事例と、メモリ安全に関するCISAのサイバーセキュリティ諮問委員会の技術諮問委員会の報告書を参照されたい。

[1] Memory-unsafe languages used in this analysis are defined in Table 1.

[2] https://github.com/ossf/wg-securing-critical-projects/tree/main/Initiatives/Identifying-Critical-Projects.

[3] CVE-2022-44228 is an example of an impactful vulnerability that is outside the class of memory safety vulnerabilities: https://www.cisa.gov/news-events/news/apache-log4j-vulnerability-guidance.

 

 

参考されているメモリー安全ロードマップ...

・2023.12.06 The Case for Memory Safe Roadmaps

The Case for Memory Safe Roadmaps	メモリー安全ロードマップの事例
Why Both C-Suite Executives and Technical Experts Need to Take Memory Safe Coding Seriously	なぜ経営幹部も技術専門家もメモリー安全コーディングに真剣に取り組む必要があるのか？
The Case for Memory Safe Roadmaps: Why Both C-Suite Executives and Technical Experts Need to Take Memory Safe Coding Seriously details how software manufacturers can transition to memory safe programming languages (MSLs) to eliminate memory safety vulnerabilities. The guidance provides manufacturers steps for creating and publishing memory safe roadmaps that will show their customers how they are owning security outcomes, embracing radical transparency, and taking a top-down approach to developing secure products—key Secure by Design tenets.	メモリー安全ロードマップの事例： C-Suite Executiveと技術専門家の双方がメモリー安全コーディングに真剣に取り組む必要がある理由」では、ソフトウェア製造事業者がどのようにメモリー安全プログラミング言語（MSL）に移行し、メモリー安全性の脆弱性を排除できるかについて詳述している。このガイダンスでは、製造事業者がメモリ安全ロードマップを作成・公開するための手順を示している。このロードマップは、製造事業者がセキュリティの成果をどのように所有し、抜本的な透明性を受け入れ、セキュア・バイ・デザインの主要な信条であるトップダウン方式で安全な製品を開発しているかを顧客に示すものである。

 

・[PDF] The-Case-for-Memory-Safe-Roadmaps-508c

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

Memory Safe, メモリー安全

・2023.10.18 Five Eyes、ドイツ、オランダ、ノルウェー、韓国、イスラエル、日本、シンガポール、チェコ他 セキュア・バイ・デザイン原則の改訂

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.08.14 米国 CISA他 情報提供依頼： オープンソースソフトウェア・セキュリティ： 長期的な重点分野と優先順位付け

・2023.04.15 CISA他 サイバーセキュリティリスクのバランスを変える：セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトの原則とアプローチ

・2022.05.07 NISTIR 8320 ハードウェア対応セキュリティ：クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ：クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現（第二次ドラフト）