« June 2024 | Main | August 2024 »

July 2024

2024.07.31

米国 NIST SP 800-218A 生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス: SSDFコミュニティプロファイル

こんにちは、丸山満彦です。

ホワイトハウスからAIについての大統領令(E.O. 14110)に関する行動がすべて終了したという発表があり、このブログでも紹介しましたが、その内容の一部がNISTの SP 800-218A 生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス: SSDFコミュニティプロファイルの公表です...

SP800-218と一緒に使ってください(^^)

 

● NIST -ITL

プレス...

・2024.07.27 Secure Software Development Practices for Generative AI and Dual-Use Foundation Models | NIST SP 800-218A

Secure Software Development Practices for Generative AI and Dual-Use Foundation Models | NIST SP 800-218A 生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発の実践|NIST SP 800-218A
Today, NIST is releasing Special Publication (SP) 800-218A, Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile. 本日、NISTは特別刊行物(SP)800-218A「生成的AIとデュアルユースファウンデーションモデルのための安全なソフトウェア開発プラクティス」をリリースする: An SSDF Community Profile』である。
This publication augments the secure software development practices and tasks defined in SP 800-218, Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities. SP 800-218A adds practices, tasks, recommendations, considerations, notes, and informative references that are specific to artificial intelligence (AI) model development throughout the software development life cycle 本書は、SP 800-218「セキュアソフトウェア開発フレームワーク(SSDF)バージョン1.1」で定義されたセキュアソフトウェア開発の実践とタスクを補強するものである: ソフトウェアの脆弱性リスクを低減するための推奨事項である。SP 800-218A は、ソフトウェア開発ライフサイクル全体を通して、人工知能(AI)モデル開発に特化した実践方法、タスク、推奨事項、考慮事項、注記、および参考文献を追加している。
These additions are documented in the form of an SSDF Community Profile to support Executive Order (EO) 14110Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, which tasked NIST with “developing a companion resource to the [SSDF] to incorporate secure development practices for generative AI and for dual-use foundation models.”  これらの追加事項は、大統領令(EO)14110「人工知能の安全、確実、信頼できる開発と使用」をサポートするために、SSDFコミュニティプロファイルの形で文書化されており、NISTに「生成的AIとデュアルユース基盤モデルのための安全な開発プラクティスを組み込むために、(SSDFに)付随するリソースを開発する」ことを課している。
This Community Profile is intended to be useful to the producers of AI models, the producers of AI systems that use those models, and the acquirers of those AI systems. This Profile should be used in conjunction with SP 800-218. このコミュニティ・プロファイルは、AI モデルの製作者、それらのモデルを使用する AI システムの製作者、およびそれらの AI システムの取得者にとって有用であることを意図している。このプロファイルは SP 800-218 と合わせて使用されるべきである。

 

 

文書

・2024.07.27 NIST SP 800-218A Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile

NIST SP 800-218A  Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile NIST SP 800-218A 生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス: SSDFコミュニティプロファイル
Abstract 概要
This document augments the secure software development practices and tasks defined in Secure Software Development Framework (SSDF) version 1.1 by adding practices, tasks, recommendations, considerations, notes, and informative references that are specific to AI model development throughout the software development life cycle. These additions are documented in the form of an SSDF Community Profile to support Executive Order (EO) 14110, Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, which tasked NIST with “developing a companion resource to the [SSDF] to incorporate secure development practices for generative AI and for dual-use foundation models.” This Community Profile is intended to be useful to the producers of AI models, the producers of AI systems that use those models, and the acquirers of those AI systems. This Profile should be used in conjunction with NIST Special Publication (SP) 800-218, Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities. 本文書は、Secure Software Development Framework(SSDF)バージョン 1.1 で定義されたセキュアソフトウェア開発プラクティスとタスクを補強するものであり、ソフトウェア開発ライフサイクル全体を通じて AI モデル開発に特化したプラクティス、タスク、推奨事項、考慮事項、注記、参考文献を追加している。これらの追加事項は、大統領令(EO)14110「人工知能の安全、セキュア、かつ信頼できる開発と使用」をサポートするために、SSDFコミュニティ・プロファイルの形で文書化されている。このコミュニティ・プロファイルは、NISTに「生成的AIとデュアルユース基盤モデルのための安全な開発プラクティスを組み込んだ(SSDFの)付属リソースを開発する」ことを課している。このコミュニティ・プロファイルは、AI モデルの製作者、それらのモデルを使用する AI システムの製作者、およびそれらの AI システムの取得者にとって有用であることを意図している。このプロファイルは、NIST 特別刊行物(SP)800-218「Secure Software Development Framework (SSDF) Version 1.1」と併せて使用されるべきである: ソフトウェアの脆弱性リスクを低減するための推奨事項」と併せて使用すること。

 

・[PDF] NIST.SP.800-218A

20240731-75936

・[DOCX][PDF] 仮訳

 

目次...

1. Introduction 1.序文
1.1 Purpose 1.1 目的
1.2 Scope 1.2 適用範囲
1.3 Sources of Expertise 1.3 専門知識の源泉
1.4 Document Structure 1.4 文書の構造
2. Using the SSDF Community Profile 2. SSDFコミュニティ・プロフィールを使う
3. SSDF Community Profile for AI Model Development 3. AIモデル開発のためのSSDFコミュニティ・プロフィール
Appendix A. Glossary 附属書A. 用語集

 

 

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.27 米国 ホワイトハウス 新たなAI行動を発表し、 AIに関する追加の主要な自主的コミットメントをAppleからも受領

・2024.05.03 米国 商務省 NISTがAIに関する4つのドラフトを公開し、意見募集を開始 (2023.04.29)

・2023.04.15 CISA他 サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインとセキュリティ・バイ・デフォルトの原則とアプローチ

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.02.06 NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

・2021.10.02 NIST SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

 

| | Comments (0)

米国 ホワイトハウス ファクトシート:重要新興技術のための国家標準戦略の実施

こんにちは、丸山満彦です。

重要新興技術 (Critical and Emerging Technology) は経済安全保障上、民主主義を守るためにも重要な要素として、その発展に力を入れていますが、ベースは民間の力を活性化するという方向ですよね...

競合する国々も重要新興技術の獲得には国を挙げて力を入れているでしょうね。。。例えば、自国で開発しが技術を世界に広めるために国際標準化に国として力をいれたり...

米国の場合は、このブログでも紹介しましたが、昨年5月に国際標準化のための戦略をホワイトハウスから発表していますね...

そして、今度はファクトシート:重要新興技術のための国家標準戦略の実施を公表しています。

重要新興技術のリストの更新版(2024年2月)があります...

 

日本では、経済安全保障推進法の先端的な重要技術の開発支援に関する制度に関連してくるような分野(特定重要技術...)が近い感じですかね...

 

U.S. White House

・2024.07.26 FACT SHEET: Implementing the National Standards Strategy for Critical and Emerging Technology

 

FACT SHEET: Implementing the National Standards Strategy for Critical and Emerging Technology ファクトシート:重要新興技術のための国家標準戦略の実施
Today, the Biden-Harris Administration released the Implementation Roadmap for the U.S. Government’s May 2023 National Standards Strategy for Critical and Emerging Technology (USG NSSCET). The roadmap sustains and reinforces the U.S. Government’s commitment to standards development led by the private sector and enhanced by partnerships with public institutions and calls for robust engagement in the standardization of critical and emerging technologies (CETs) to protect U.S. national and economic security 本日、バイデン-ハリス政権は、2023 年 5 月に米国政府が策定した「重要新興技術に関する国家標準化戦略」(USG NSSCET)の実施ロードマップを発表した。このロードマップは、民間部門が主導し、公的機関とのパートナーシップによって強化された標準開発に対する米国政府のコミットメントを維持・強化するものであり、米国の国家安全保障と経済安全保障を守るために、重要新興技術(CETs)の標準化に積極的に関与することを求めている。
Standards are essential to commerce and to the safe, reliable, and interoperable functioning of a broad array of essential products and services. Standards help ensure that technologies and parts from many suppliers work together seamlessly, and facilitate efficient operation of services and manufacturing while facilitating a competitive marketplace for goods and services. Standards provide industries and innovators with a common language that facilitates trade, simplifies transactions, accelerates innovation, and enables people to work across disciplines and borders toward common goals. 標準機能は、商取引や、広範な重要製品・サービスの安全性、信頼性、相互運用性に不可欠である。標準は、多くの供給者の技術や部品がシームレスに連携し、サービスや製造の効率的な運用を促進すると同時に、商品やサービスの競争市場を促進するのに役立つ。標準は、貿易を促進し、取引を簡素化し、技術革新を加速させ、人々が共通の目標に向かって分野や国境を越えて働くことを可能にする共通言語を産業界や技術革新者に提供する。
Critical and emerging technologies have been designated by the Administration as potentially significant to U.S. national security, including economic security and the defense of democratic values. Recognizing the strategic value of CETs, our competitors abroad are seeking to influence international standards development to their own advantage, placing at risk leadership opportunities for U.S. innovators and industry and access to quality products and services that benefit all. 重要新興技術は、経済安全保障や民主主義的価値観の擁護など、米国の国家安全保障にとって重要な意味を持つ可能性があるとして、政権によって指定されている。CETsの戦略的価値を認識している海外の競争相手は、国際標準化に影響力を行使して自国に有利な立場を取ろうとしており、その結果、米国のイノベーターや産業界がリーダーシップを発揮する機会や、すべての人に利益をもたらす高品質の製品やサービスを利用する機会がリスクにさらされている。
The Implementation Roadmap recommends steps the U.S. Government should take to realize the objectives of the USG NSSCET. The roadmap is organized around eight lines of effort for the U.S. Government, with an understanding that success will require extensive and sustained coordination with the U.S. private sector and like-minded allies. The Implementation Roadmap is based on information collected through a Request for Information, stakeholder engagements, consultations, and formal recommendations from federal advisory committees including the National Institute of Standards and Technology (NIST) Visiting Committee on Advanced Technology. 実施ロードマップは、USG NSSCETの目標を実現するために米国政府がとるべき措置を提言している。このロードマップは、成功のためには米国の民間部門や志を同じくする同盟国との広範かつ持続的な協調が必要であることを理解した上で、米国政府が取り組むべき8つのラインを中心に構成されている。実施ロードマップは、情報提供要請、利害関係者の関与、協議、および国立標準技術研究所(NIST)先端技術視察委員会を含む連邦諮問委員会からの正式な勧告を通じて収集された情報に基づいている。
The U.S. Government is committed to supporting and upholding private sector-led standards development processes that are: 米国政府は、以下のような民間主導の標準開発プロセスを支援し、支持することを約束する:
・Built on transparency; ・透明性を基盤とする;
・Strengthen long-standing public private partnerships;  ・長年の官民パートナーシップを強化する; 
・And, reflect the U.S. commitment to free and fair market competition in which the best technologies come to market. ・そして、最高の技術が市場に投入される自由で公正な市場競争に対する米国のコミットメントを反映する。
Approach アプローチ
The United States is committed to a private sector-led standards system that is inclusive, diverse, and draws on robust research and innovation. Through clear actions and effective diplomacy, the Departments of Commerce and State, together with the Office of the United States Trade Representative, will continue to work with private sector leadership including the American National Standards Institute (ANSI) to engage international partners with an aim to promote this approach globally. 米国は、包括的で多様性に富み、確固とした研究と革新に基づく民間主導の標準システムにコミットしている。米国商務省および国務省は、米国通商代表部とともに、明確な行動と効果的な外交を通じて、米国規格協会(ANSI)を含む民間部門のリーダーシップと協力し、このアプローチを世界的に推進することを目指し、国際的なパートナーとの関わりを深めていく。
The ANSI administers and coordinates the private sector-led U.S. voluntary standards and conformity assessment system, while the NIST coordinates Federal Government engagement in standards activities. The USG NSSCET complements the United States Standards Strategy (USSS) published by the ANSI and supports, complements, and further communicates U.S. Government priorities for CET standards development.  Through SDOs, the U.S. private sector leads standardization activities globally to respond to market demand, with substantial contributions from the U.S. Government, academia, industry, and civil society groups. Industry associations, consortia, and other private sector groups work together within this system to develop standards to solve specific challenges and respond to national priorities. ANSIは民間主導の米国自主標準および適合性評価制度を管理・調整し、NISTは連邦政府の標準活動への関与を調整する。USG NSSCETは、ANSIが発表した米国標準化戦略(USSS)を補完し、CET標準化開発における米国政府の優先事項をサポート、補完、さらにコミュニケーションする。 SDOを通じて、米国の民間部門は、米国政府、学界、産業界、および市民社会グループからの多大な貢献により、市場の需要に応える標準化活動をグローバルに主導している。業界団体、コンソーシアム、その他の民間団体は、このシステムの中で協力し合い、特定の課題を解決し、国家の優先事項に対応する標準を開発している。
We also call upon standards stakeholders, including representatives of industry, start-ups, small- and medium-sized enterprises, the academic community, and civil society organizations to work with U.S. Government officials and ANSI on creative solutions to lower barriers, incentivize greater participation, and protect the integrity of international standards development through robust investment and engagement. Building on increased investment in Research and Development (R&D) through initiatives like the National Artificial Intelligence Research Resource, the CHIPS and Science Act, and the 21st Century Cures Act, the Implementation Roadmap focuses on short-term actions and long-term sustained outcomes that promote global trade, interoperability in manufacturing, and U.S. competitiveness and innovation through CET standardization. 我々はまた、産業界、新興企業、中小企業、学術界、市民社会組織の代表者を含む標準関係者に対し、強固な投資と関与を通じて、障壁を低くし、より多くの参加を促し、国際標準開発の完全性を守るための創造的な解決策について、米国政府当局およびANSIと協力するよう求める。この実施ロードマップは、国家人工知能研究資源、CHIPS および科学法、21 世紀治療法のようなイニシアチブを通じた研究開発(R&D)への投資増に基づき、CET 標準化を通じた世界貿易、製造業における相互運用性、米国の競争力とイノベーションを促進する短期的な行動と長期的な持続的成果に焦点を当てている。
In the short-term, the U.S. Government will take immediate action to include but not limited to: 短期的には、米国政府は以下を含む(ただしこれに限定されない)早急な行動をとる:
・Identifying opportunities to increase U.S. Government pre-standardization R&D and standards participation efforts; ・米国政府による標準化前の研究開発および標準化への参加を増やす機会を特定する;
・Tracking and evaluating current U.S. Government CET standards education grants and programs that promote, foster, and remove barriers to U.S. stakeholder participation in national and international standards activities, and; ・国内および国際的な標準化活動への米国の利害関係者の参加を促進し、育成し、障壁を取り除くた めの、現行の米国政府 CET 標準教育補助金およびプログラムを追跡し、評価する;
・Tracking and evaluating current U.S. Government technology cooperation agreements and international mechanisms for standards-related communication and cooperation. ・標準に関連するコミュニケーションと協力のための、現行の米国政府技術協力協定および国際 メカニズムを追跡し評価すること。
For long-term sustained implementation outcomes, the U.S. Government will take steps to: 長期的に持続する実施成果のために、米国政府は以下の措置を講じる:
・Enhance standards coordination across the federal government; ・連邦政府全体の標準調整を強化する;
・Enhance standards coordination with the private sector; ・民間部門との標準調整を強化する;
・Enhance standards policy coordination between the U.S. Government and foreign governments; ・米国政府と諸外国政府との間の標準政策調整を強化する;
・Recognize and incentivize federal agency engagement in standardization; ・標準化における連邦政府機関の関与を認識し、奨励する;
・Provide strong and sustained funding for CET R&D and pre-standardization coordination; ・CET の研究開発および標準化前の調整に強力かつ持続的な資金を提供する;
・Engage academia as a critical partner to the private sector in standards development efforts; ・標準開発における民間部門の重要なパートナーとして学術界を関与させる;
・Enhance educational efforts in standards; ・標準に関する教育活動を強化する;
・Develop and sustain communications about standards, and; ・標準に関するコミュニケーションを発展させ、維持する;
・Remove barriers to participation in standardization. ・標準化への参加に対する障壁を取り除く。
A Whole-of-Government Effort 政府全体の取り組み
Many U.S. Government organizations are demonstrating their commitment to implementation through their actions and partnerships. These efforts signal a broad emphasis across the government aimed at strengthening U.S. competitiveness, innovation, and national and economic security via standards-related policies and actions. Examples include:  多くの米国政府組織が、その行動やパートナーシップを通じて実施へのコミットメントを示している。これらの取り組みは、標準関連の政策や行動を通じて、米国の競争力、イノベーション、国家・経済安全保障を強化することを目的とした政府全体の広範な重点化を示すものである。その例として以下が挙げられる: 
The National Institute of Standards and Technology (NIST) coordinates Federal agency implementation of standards and conformity-assessment-related National Technology Transfer and Advancement Act provisions.  In addition, NIST provides technical expertise to standards development efforts across the entire science and technology enterprise, including for critical and emerging technologies. For example: NIST’s experience in contributing to trust in new technologies in general, and in AI research in particular, is why it was among the federal agencies chosen to help fulfill President Biden’s Executive Order (EO) on Safe, Secure, and Trustworthy Artificial Intelligence (14110). The deliverables include A Plan for Global Engagement on AI Standards, which recognizes the importance of technical standards in shaping the development and use of artificial intelligence. 国立標準技術研究所(NIST)は、標準および適合性アセスメントに関連する国家技術移転促進法(National Technology Transfer and Advancement Act)規定の連邦政府機関による実施を調整している。 さらに NIST は、重要技術や新興技術を含む科学技術エ ンタープライズ全体の標準開発努力に技術的専門知識を提供している。例えば 一般的な新技術、特にAI研究の信頼に貢献してきたNISTの経験は、バイデン大統領の安全、安心、信頼できる人工知能に関する大統領令(EO)(14110)の履行を支援する連邦機関に選ばれた理由である。成果物には、人工知能の開発と利用を形成する技術標準の重要性を認識した「AI標準に関するグローバルな関与のための計画」が含まれる。
NIST will establish and operate a Standardization Center of Excellence as a public-private partnership focusing on four key areas: Pre-standardization engagement, workforce capacity building, an information and data sharing hub, and a collaborative pilot program in CETs. NISTは、4つの主要分野に焦点を当てた官民パートナーシップとして、標準化センター・オブ・エクセレンスを設立・運営する: 標準化前の関与、労働力の能力構築、情報・データ共有ハブ、CETにおける共同パイロット・プログラムである。
The CHIPS and Science Act appropriated $50 billion to the Department of Commerce’s CHIPS for America program both to support semiconductor research and development (R&D) and to expand semiconductor manufacturing capacity in the United States. A key element in achieving these CHIPS R&D goals is to accelerate the private sector-led development and deployment by industry of effective technical standards. CHIPS and Science Actは、半導体研究開発(R&D)を支援し、米国内の半導体製造能力を拡大するために、商務省のCHIPS for Americaプログラムに500億ドルを計上した。これらのCHIPS研究開発目標を達成するための重要な要素は、効果的な技術標準の民間主導による開発と産業界による展開を加速することである。
The U.S. Patent and Trademark Office (USPTO) is partnering with foreign partners to forge alliances and collaborate toward enhanced efficiencies in standards essential patent licensing markets. So far, the USPTO signed an Memorandum of Understanding (MOU) with the United Kingdom Intellectual Property Office to this effect on June 3, 2024. It has also partnered with the World Intellectual Property Organization on dispute resolution efforts related to standards essential patents. 米国特許商標庁(USPTO)は、海外のパートナーと提携し、標準に不可欠な特許ライセンス市場の効率化に向けて協力している。これまでにUSPTOは、2024年6月3日に英国知的財産庁と覚書を締結している。また、世界知的所有権機関とも標準必須特許に関する紛争解決で提携している。
The National Telecommunications and Information Administration (NTIA) continues to administer the Public Wireless Supply Chain Innovation Fund, a $1.5 billion grant program funded by the CHIPS and Science Act of 2022, which aims to catalyze research, development, and adoption of open, interoperable, standards-based next-generation wireless networks. NTIA coordinates extensively with the private sector, U.S. Department of State, and other agency partners to represent the United States at the International Telecommunication Union. 国家電気通信情報局(NTIA)は、2022年CHIPSおよび科学法(CHIPS and Science Act of 2022)により資金提供された15億ドルの助成金プログラムである公共無線サプライチェーンイノベーション基金(Public Wireless Supply Chain Innovation Fund)の運営を継続しており、これはオープンで相互運用可能な標準ベースの次世代無線ネットワークの研究、開発、採用を促進することを目的としている。NTIAは、民間企業、米国務省、および他の省庁のパートナーと幅広く連携し、国際電気通信連合(International Telecommunication Union)における米国の代表者として活動している。
The International Trade Administration (ITA) leverages multilateral and bilateral fora, dialogues, and partnerships such as the Asia-Pacific Economic Cooperation and the U.S.-E.U. Trade and Technology Council to engage like-minded nations in promoting the use of international standards and best practices for the development of standards for emerging technologies. Additionally, ITA employs Digital, Standards, and Intellectual Property Attachés in key foreign markets to increase U.S. exports by helping U.S. companies access the global marketplace and navigate foreign regulatory issues.  These Attachés play a critical role in ensuring that U.S. companies remain competitive globally and that foreign markets have access to the high-quality products and services that U.S. industries provide.  国際貿易局(ITA)は、アジア太平洋経済協力会議(Asia-Pacific Economic Cooperation)や米英貿易技術協議会(U.S.-E.U. Trade and Technology Council)のような多国間および二国間のフォーラム、対話、パートナーシップを活用し、新興技術に関する標準の開発における国際標準やベストプラクティスの利用を促進するため、志を同じくする国々に働きかけている。さらにITAは、米国企業が世界市場にアクセスし、外国の規制問題を解決するのを支援することにより、米国の輸出を増加させるため、主要な海外市場にデジタル、標準、知的財産担当官を派遣している。 これらのアタッシェは、米国企業が世界的な競争力を維持し、米国産業が提供する高品質の製品やサービスを海外市場が利用できるようにする上で重要な役割を果たしている。
The Department of State launched a project to support an international standards development process grounded in transparency, private sector leadership and public sector support, and diverse stakeholder engagement. The project will also enhance like-minded nations’ representation and expand the number of countries that are aligned with U.S. Government vision, thus creating greater leadership in international standards governance by the United States. In addition, this project will assist participant countries in adopting international standards for domestic policies and laws. 国務省は、透明性、民間部門のリーダーシップと公的部門の支援、多様な利害関係者の参加に基づく国際標準開発プロセスを支援するプロジェクトを立ち上げた。このプロジェクトはまた、志を同じくする国々の代表を強化し、米国政府のビジョンと一致する国の数を拡大することで、米国による国際標準ガバナンスのリーダーシップを高める。さらに、このプロジェクトは参加国が国内の政策や法律に国際標準を採用するのを支援する。
The Department of Defense (DoD) engages with ANSI and the private sector in collaborative standards activities such as the Alliance for Telecommunications Industry Solutions and the 3rd Generation Partnership Project (3GPP). In the context of the North Atlantic Trade Agreement (NATO) and other multinational organizations, the DoD experts routinely engage with personnel from over 70 countries on standardization matters related to national defense requirements, including participation in Standards Developing Organizations (SDO) activities, development of standardization policy and implementing standards to support defense capability and interoperability requirements. 国防省(DoD)は、電気通信産業ソリューション同盟(Alliance for Telecommunications Industry Solutions)や第3世代パートナーシップ・プロジェクト(3GPP)などの共同標準化活動において、ANSIや民間部門と協力している。北大西洋貿易協定(NATO)やその他の多国籍組織との関連で、国防総省の専門家は、標準化団体(SDO)活動への参加、標準化方針の策定、防衛能力や相互運用性の要件をサポートする標準の導入など、国防要件に関連する標準化事項について、70カ国以上の職員と日常的に関与している。
The Department of Transportation (U.S. DOT) has many engagements across a diverse and complex spectrum of regulatory and technical standardization activities including within CETs such as automation/autonomy and complementary Positioning, Navigation, and Timing (PNT).  U.S DOT  will continue to support advancement of standards benefitting safe, efficient, and interoperable transportation in cooperation with public and private sector stakeholder communities. For example, the Intelligent Transportation Systems (ITS) Program supports both private and public sector stakeholder participation in standards activities via multiple SDOs including SAE International, IEEE, the Institute for Transportation Engineers (ITE), ISO and others, including facilitating multi-SDO cooperation on multiple topics, including the Connected Transportation Interoperability (CTI) family of standards. 米国運輸省(U.S. DOT)は、自動化・自律化や補完的測位・航法・計時(PNT)などの CETs 内を含め、多様で複雑な規制・技術標準化活動に多数関与している。 米国運輸省(U.S. DOT)は、官民の利害関係者コミュニティと協力して、安全で効率的かつ相互運用可能な輸送に役立つ標準の推進を引き続き支援する。例えば、高度道路交通システム(ITS)プログラムでは、SAE International、IEEE、運輸技術者協会(ITE)、ISO などの複数の SDO を通じて、Connected Transportation Interoperability(CTI)標準ファミリーを含む複数のトピックに関する複数の SDO の協力を促進するなど、標準活動への民間および公共部門の利害関係者の参加を支援している。
The U.S. Department of Energy (DOE) has a long history of leadership in international standardization efforts to accelerate the adoption of transformative science and technology solutions to energy, environmental, and nuclear challenges. Technical experts at DOE and its 17 National Laboratories provide critical input to new standards in areas ranging from hydrogen and energy storage, to biotechnology, artificial intelligence, and high-performance computing (HPC). DOE’s experts work alongside participants from all over the world toward standards that are consistent with U.S. values and informed by the latest scientific and technological advancements. DOE’s continued investments support the USG NSSCET through research, development, and demonstration (RD&D) and participation and workforce. DOE recognizes that standardization can accelerate the adoption of transformative science and technology solutions that are key to the success of its mission. 米国エネルギー省(DOE)は、エネルギー、環境、および原子力の課題に対する変革的な科学技術ソリュー ションの採用を促進するために、国際標準化の取り組みにおいてリーダーシップを発揮してき た長い歴史がある。DOE とその 17 の国立研究所の技術専門家は、水素やエネルギー貯蔵からバイオテクノロジー、人工知能、ハイパフォーマン スコンピューティング(HPC)に至るまで、幅広い分野の新規格に重要なインプットを提供している。DOE の専門家たちは、米国の価値観に合致し、最新の科学技術の進歩を反映した標準を目指して、世界各国からの参加者たちとともに活動している。DOE の継続的な投資は、研究・開発・実証(RD&D)および参加と労働力を通じて、USG NSSCET を支援する。DOE は、標準化によって、その使命の成功の鍵となる変革的な科学技術ソリュー ションの採用を加速できることを認識している。
The U.S. National Science Foundation (NSF) revised its Proposal and Award Policies and Procedures Guide (PAPPG) governing submission, review, and oversight of all proposals and awards to now explicitly encourage researchers’ “participation in national and/or international standards development efforts” as an example of the broader impacts of the funding agency’s investments in the nation’s research and innovation ecosystem. Relatedly, through the “CHIPS and Science Act of 2022,” NSF’s new Directorate for Technology, Innovation and Partnerships is charged with investing in new pathways for translating research results to practice, and is considering steps toward one such pathway that would enable researchers to mature their technological and related innovations to inform standards development. 米国国立科学財団(NSF)は、すべての提案と賞の提出、審査、および監督を規定する提案と賞の方針と 手続きの手引き(PAPPG)を改訂し、国の研究とイノベーションのエコシステムに対する資金提供機関の投 資の広範な影響の一例として、研究者の「国内および/または国際標準開発努力への参加」を明確に奨励するようになった。これに関連して、「2022年CHIPSおよび科学法」を通じて、NSFの新しい技術・イノベーション・パートナーシップ部門は、研究成果を実用化するための新しい経路に投資することを課せられており、研究者が標準開発に情報を提供するための技術および関連イノベーションを成熟させることを可能にする、そのような経路へのステップを検討している。
The Federal Bureau of Investigation (FBI) engages with domestic and international government partners, the private sector, academia, and non-government organizations to further public safety standards activities in groups such as the International Telecommunications Union (ITU), Internet Corporation for Assigned Names and Numbers (ICANN), and 3rd Generation Partnership Project (3GPP). Technical and policy experts at the FBI serve as members, consultants, and in leadership roles in the Standards Development Organizations (SDO) and regularly contribute public safety perspectives across a broad range of activities from emergency and law enforcement communications networks to stemming the flow of counterfeit devices to tackling domain name system (DNS) abuse. 連邦捜査局 (FBI) は、国際電気通信連合 (ITU)、Internet Corporation for Assigned Names and Numbers (ICANN)、3rd Generation Partnership Project (3GPP) などの団体において、国内外の政府パートナー、民間企業、学界、非政府組織と協力し、公共安全の標準化活動を推進している。FBI の技術および政策の専門家は、標準開発機関 (SDO) のメンバー、コンサルタント、指導的役割を担っており、緊急および法執行機関のコミュニケーション・ネットワークから、偽造デバイスの流出の阻止、ドメインネームシステム (DNS) の不正使用への取り組みまで、幅広い活動において公共安全の観点から定期的に貢献している。

 

 

・[PDF] CRITICAL AND EMERGING TECHNOLOGIES LIST UPDATE

20240730-173926

 

概要...

Overview  概要 
Critical and emerging technologies (CETs) are a subset of advanced technologies that are potentially significant to U.S. national security. The 2022 National Security Strategy identifies three national security interests: protect the security of the American people, expand economic prosperity and opportunity, and realize and defend the democratic values at the heart of the American way of life.  The NSTC established this Fast Track Action Subcommittee in 2020 to identify critical and emerging technologies to inform national security-related activities. This list identifies CETs with the potential to further these interests and builds on the October 2020 National Strategy for Critical and Emerging Technologies, which contains an initial list of priority CETs.  This updated document expands upon that original CET list and the February 2022 update by identifying subfields for each CET with a focus, where possible, on core technologies that continue to emerge and modernize, while remaining critical to a free, open, secure, and prosperous world. While enabling or supporting technologies are sometimes referenced, other enabling capabilities, like a modernized, technically capable workforce, are excluded. Though certain enabling capabilities are not explicitly included, they remain critical to the promotion and protection of all CETs.  クリティカル・テクノロジーおよびエマージング・テクノロジー(CETs)は、米国の国家安全保障にとって潜在的に重要な先端技術のサブセットである。2022年国家安全保障戦略は、3つの国家安全保障上の利益を特定している:米国民の安全を守ること、経済的繁栄と機会を拡大すること、米国人の生活様式の中核にある民主的価値を実現し防衛すること。 NSTCは、国家安全保障に関連する活動に情報を提供するため、2020年にこのファスト・トラック・アクション小委員会を設立し、重要な新興技術を特定した。このリストは、これらの利益を促進する可能性のあるCETを特定するものであり、優先CETの初期リストを含む2020年10月の「クリティカル・テクノロジーと新興テクノロジーのための国家戦略」を基礎としている。 この更新された文書は、当初のCETリストと2022年2月に更新されたものを発展させたもので、各CETのサブ分野を特定し、可能な限り、自由で開かれた安全で豊かな世界にとって重要でありながら、出現と近代化を続けるコア技術に焦点を当てている。実現技術や支援技術が言及されることもあるが、近代化された技術力のある労働力など、その他の実現能力は除外されている。ある種の実現可能な能力は明確に含まれていないが、すべてのCETsの促進と保護にとって不可欠であることに変わりはない。
Though not a strategy document, this updated CET list may inform government-wide and agencyspecific efforts concerning U.S. technological competitiveness and national security. This list may also inform future efforts to prioritize across CETs and their component subfields; however, this list should not be interpreted as a priority list for either policy development or funding. Instead, this list should be used as a resource to: inform future efforts that promote U.S. technological leadership; cooperate with allies and partners to advance and maintain shared technological advantages; develop, design, govern, and use CETs that yield tangible benefits for society and are aligned with democratic values; and develop U.S. Government measures that respond to threats against U.S. security. Departments and agencies may consult this CET list when developing, for example, initiatives to research and develop technologies that support national security missions, compete for international talent, and protect sensitive technology from misappropriation and misuse.  戦略文書ではないが、この更新されたCETリストは、米国の技術競争力と国家安全保障に関する政府全体および各省庁固有の取り組みに情報を提供することができる。また、このリストは、CETとその構成サブフィールド間の優先順位を決める今後の取り組みに役立つかもしれない。しかし、このリストを政策立案や資金調達の優先順位リストと解釈すべきではない。むしろ、このリストは、米国の技術的リーダーシップを促進するための将来の取り組みに情報を提供するため、同盟国やパートナーと協力して共通の技術的優位性を促進・維持するため、社会に具体的な利益をもたらし、民主的価値観に沿ったCETを開発・設計・管理・利用するため、米国の安全保障に対する脅威に対応する米国政府の対策を開発するための資料として使用されるべきである。各省庁は、例えば、国家安全保障の使命を支援する技術の研究開発、国際的な人材の獲得競争、機密技術の不正流用や悪用からの保護などのイニシアチブを開発する際に、このCETリストを参考にすることができる。
To generate this updated CET list, the Office of Science and Technology Policy (OSTP) facilitated an extensive interagency deliberative process through the National Science and Technology Council (NSTC) and in coordination with the National Security Council (NSC). The responsible NSTC subcommittee included subject matter experts from 18 departments, agencies, and offices in the Executive Office of the President, who identified CET subfields that their home organizations determined may be critical to U.S. national security. As such, this updated CET list, which was coordinated through both the NSTC and the NSC, reflects an interagency consensus on updates to the 2022 CETs.   この更新されたCETリストを生成するために、米国科学技術政策局(OSTP)は、国家安全保障会議(NSC)との連携の下、国家科学技術会議(NSTC)を通じて、広範な省庁間の審議プロセスを促進した。担当のNSTC小委員会には、大統領府の18の省庁および部局の専門家が参加し、それぞれの所属機関が米国の国家安全保障にとって重要であると判断したCETサブフィールドを特定した。そのため、NSTCとNSCの両方を通じて調整されたこの更新されたCETリストは、2022年のCETの更新に関する省庁間のコンセンサスを反映している。 
Critical and Emerging Technologies List  重要新興技術リスト 
The following critical and emerging technology areas are of particular importance to the national security of the United States:  以下の重要・新興技術分野は、米国の国家安全保障にとって特に重要である: 
• Advanced Computing  ・先進コンピューティング 
• Advanced Engineering Materials  ・先端エンジニアリング材料 
• Advanced Gas Turbine Engine Technologies  ・先進ガスタービンエンジン技術 
• Advanced and Networked Sensing and Signature Management  ・高度でネットワーク化されたセンシングとシグネチャ管理
• Advanced Manufacturing  ・先進製造業
• Artificial Intelligence  ・人工知能
• Biotechnologies  ・バイオテクノロジー
• Clean Energy Generation and Storage  ・クリーンエネルギーの生成と貯蔵 
• Data Privacy, Data Security, and Cybersecurity Technologies  ・データ・プライバシー,データ・セキュリティ,サイバーセキュリティ技術
• Directed Energy  ・指向性エネルギー
• Highly Automated, Autonomous, and Uncrewed Systems (UxS), and Robotics  ・高度自動化・自律化・無人システム(UxS)・ロボット工学
• Human-Machine Interfaces  ・ヒューマン・マシン・インターフェース
• Hypersonics  ・ハイパーソニックス
• Integrated Communication and Networking Technologies  ・統合コミュニケーションとネットワーキング技術
• Positioning, Navigation, and Timing (PNT) Technologies  ・測位・航法・計時(PNT)技術 
• Quantum Information and Enabling Technologies  ・量子情報とそれを可能にする技術
• Semiconductors and Microelectronics  ・半導体とマイクロエレクトロニクス
• Space Technologies and Systems   ・宇宙技術とシステム  

 

 

リストの詳細...

Critical and Emerging Technology Subfields  重要かつ新興の技術サブ分野 
Each identified CET area includes a set of key subfields that describe its scope in more detail.  識別された各 CET 領域には、その範囲をより詳細に説明する一連の重要なサブ分野が含まれている。
Advanced Computing  先進コンピューティング 
• Advanced supercomputing, including for AI applications  ・AIアプリケーションを含む高度スーパーコンピューティング
• Edge computing and devices  ・エッジコンピューティングとデバイス
• Advanced cloud services  ・先進クラウドサービス
• High-performance data storage and data centers  ・高性能データストレージとデータセンター
• Advanced computing architectures  ・高度なコンピューティング・アーキテクチャ
• Advanced modeling and simulation  ・高度なモデリングとシミュレーション
• Data processing and analysis techniques  ・データ処理と分析技術
• Spatial computing  ・空間コンピューティング
Advanced Engineering Materials  先端エンジニアリング材料 
• Materials by design and material genomics  ・マテリアル・バイ・デザインとマテリアル・ゲノミクス
• Materials with novel properties to include substantial improvements to existing properties  ・既存の特性の大幅な改善を含む新規特性を持つ材料
• Novel and emerging techniques for material property characterization and lifecycle assessment  ・材料特性評価とライフサイクルアセスメントのための新しい技術、出現しつつある技術
Advanced Gas Turbine Engine Technologies  先進ガスタービンエンジン技術 
• Aerospace, maritime, and industrial development and production technologies  ・航空宇宙、海事、産業開発および生産技術
• Full-authority digital engine control, hot-section manufacturing, and associated technologies  ・完全認可のデジタル・エンジン制御、ホットセクション製造、および関連技術
Advanced and Networked Sensing and Signature Management  高度でネットワーク化されたセンシングとシグネチャ管理 
• Payloads, sensors, and instruments  ・ペイロード、センサー、計器
• Sensor processing and data fusion  ・センサー処理とデータ・フュージョン
• Adaptive optics  ・適応光学
• Remote sensing of the Earth  ・地球のリモートセンシング
• Geophysical sensing  ・地球物理学的センシング
• Signature management  ・シグネチャ管理
• Detection and characterization of pathogens and of chemical, biological, radiological and nuclear weapons and materials  ・病原体や化学・生物・放射線・核兵器・核物質の検知と特性評価
• Transportation-sector sensing  ・輸送分野のセンシング
• Security-sector sensing  ・安全保障分野のセンシング
• Health-sector sensing  ・健康分野のセンシング
• Energy-sector sensing  ・エネルギー分野のセンシング
• Manufacturing-sector sensing  ・製造事業者のセンシング
• Building-sector sensing  ・ビルディングセクター・センシング
• Environmental-sector sensing  ・環境セクター・センシング
Advanced Manufacturing  先進製造業 
• Advanced additive manufacturing  ・先進アディティブ・マニュファクチャリング
• Advanced manufacturing technologies and techniques including those supporting clean, sustainable, and smart manufacturing, nanomanufacturing, lightweight metal manufacturing, and product and material recovery ・クリーンで持続可能なスマート製造、ナノマニュファクチャリング、軽量金属製造、製品・材料回収を支援するものを含む、先進製造技術・手法
Artificial Intelligence (AI)  人工知能(AI) 
• Machine learning  ・機械学習
• Deep learning  ・ディープラーニング
• Reinforcement learning  ・強化学習
• Sensory perception and recognition  ・知覚と認識
• AI assurance and assessment techniques  ・AIの保証とアセスメント技術
• Foundation models  ・基礎モデル
• Generative AI systems, multimodal and large language models  ・生成的AIシステム、マルチモーダルモデル、大規模言語モデル
• Synthetic data approaches for training, tuning, and testing  ・トレーニング、チューニング、テストのための合成データアプローチ
• Planning, reasoning, and decision making  ・計画、推論、意思決定
• Technologies for improving AI safety, trust, security, and responsible use  ・AIの安全性、信頼性、セキュリティ、責任ある使用を改善する技術
Biotechnologies  バイオテクノロジー 
• Novel synthetic biology including nucleic acid, genome, epigenome, and protein synthesis and engineering, including design tools  ・核酸、ゲノム、エピゲノム、タンパク質の合成と設計ツールを含むエンジニアリングを含む新しい合成生物学
• Multi-omics and other biometrology, bioinformatics, computational biology, predictive modeling, and analytical tools for functional phenotypes  ・マルチオミクスやその他のバイオメトロジー、バイオインフォマティクス、計算生物学、予測モデリング、機能表現型の分析ツール
• Engineering of sub-cellular, multicellular, and multi-scale systems  ・亜細胞、多細胞、マルチスケールシステムのエンジニアリング
• Cell-free systems and technologies  ・無細胞システムと技術
• Engineering of viral and viral delivery systems  ・ウイルスおよびウイルス送達システムの工学
• Biotic/abiotic interfaces  ・生物/生体インターフェース
• Biomanufacturing and bioprocessing technologies  ・バイオマニュファクチャリングとバイオプロセス技術
Clean Energy Generation and Storage  クリーンエネルギーの生成と貯蔵 
• Renewable generation  ・生成的発電
• Renewable and sustainable chemistries, fuels, and feedstocks  ・再生可能で持続可能な化学物質、燃料、原料
• Nuclear energy systems  ・原子力エネルギー・システム
• Fusion energy  ・核融合エネルギー
• Energy storage  ・エネルギー貯蔵
• Electric and hybrid engines  ・電気およびハイブリッド・エンジン
• Batteries  ・バッテリー
• Grid integration technologies  ・グリッド統合技術
• Energy-efficiency technologies  ・エネルギー効率化技術
• Carbon management technologies  ・炭素管理技術
Data Privacy, Data Security, and Cybersecurity Technologies  データ・プライバシー、データ・セキュリティ、サイバーセキュリティ技術 
• Distributed ledger technologies  ・分散型台帳技術
• Digital assets  ・デジタル資産
• Digital payment technologies  ・デジタル決済技術
• Digital identity technologies, biometrics, and associated infrastructure  ・デジタルID技術、バイオメトリクス、関連インフラストラクチャー
• Communications and network security  ・コミュニケーションとネットワーク・セキュリティ
• Privacy-enhancing technologies  ・プライバシー強化技術
• Technologies for data fusion and improving data interoperability, privacy, and security   ・データ・フュージョン、データ相互運用性・プライバシー・セキュリティ改善技術
• Distributed confidential computing  ・分散機密コンピューティング
• Computing supply chain security  ・コンピューティング・サプライチェーンのセキュリティ
• Security and privacy technologies in augmented reality/virtual reality  ・拡張現実/仮想現実におけるセキュリティとプライバシー技術
Directed Energy  指向性エネルギー 
• Lasers  ・レーザー
• High-power microwaves  ・高出力マイクロ波
• Particle beams  ・粒子ビーム
Highly Automated, Autonomous, and Uncrewed Systems (UxS), and Robotics  高度自動化・自律化・無人システム(UxS)・ロボット工学
• Surface   ・表面
• Air   ・航空
• Maritime  ・海上
• Space   ・宇宙
• Supporting digital infrastructure, including High Definition (HD) maps  ・高精細(HD)地図を含むデジタル・インフラのサポート 
• Autonomous command and control  ・自律型コマンド・コントロール
Human-Machine Interfaces  ヒューマン・マシン・インターフェース 
• Augmented reality  ・拡張現実
• Virtual reality  ・仮想現実
• Human-machine teaming  ・ヒューマン・マシン・チーム
• Neurotechnologies  ・ニューロテクノロジー
Hypersonics  極超音速
• Propulsion  ・推進力
• Aerodynamics and control  ・空気力学と制御
• Materials, structures, and manufacturing  ・材料、構造、製造事業者
• Detection, tracking, characterization, and defense  ・検知、追跡、特性評価、防衛
• Testing  ・試験
Integrated Communication and Networking Technologies  統合コミュニケーション・ネットワーク技術 
• Radio-frequency (RF) and mixed-signal circuits, antennas, filters, and components  ・無線周波数(RF)および混合信号回路、アンテナ、フィルター、コンポーネント 
• Spectrum management and sensing technologies  ・スペクトラム管理とセンシング技術
• Future generation wireless networks  ・生成的無線ネットワーク
• Optical links and fiber technologies  ・光リンクとファイバー技術
• Terrestrial/undersea cables  ・地上/海底ケーブル
• Satellite-based and stratospheric communications  ・衛星ベースおよび成層圏コミュニケーション
• Delay-tolerant networking  ・遅延耐性ネットワーキング
• Mesh networks/infrastructure independent communication technologies  ・メッシュネットワーク/インフラに依存しないコミュニケーション技術
• Software-defined networking and radios  ・ソフトウェア定義ネットワーキングと無線
• Modern data exchange techniques  ・最新のデータ交換技術
• Adaptive network controls  ・適応型ネットワーク制御
• Resilient and adaptive waveforms  ・レジリエンスと適応性のある波形
Positioning, Navigation, and Timing (PNT) Technologies  測位・航法・計時(PNT)技術 
• Diversified PNT-enabling technologies for users and systems in airborne, space-based, terrestrial, subterranean, and underwater settings   ・空中、宇宙、地上、地下、水中におけるユーザーとシステムのための多様なPNT実現技術
• Interference, jamming, and spoofing detection technologies, algorithms, analytics, and networked monitoring systems  ・干渉、妨害、スプーフィング検知技術、アルゴリズム、分析、ネットワーク監視システム
• Disruption/denial-resisting and hardening technologies   ・妨害・拒否耐性およびハードニング技術
Quantum Information and Enabling Technologies  量子情報とそれを可能にする技術 
• Quantum computing  ・量子コンピューティング
• Materials, isotopes, and fabrication techniques for quantum devices  ・量子デバイスの材料、同位体、製造技術
• Quantum sensing  ・量子センシング
• Quantum communications and networking  ・量子コミュニケーションとネットワーキング
• Supporting systems  ・支援システム
Semiconductors and Microelectronics  半導体とマイクロエレクトロニクス 
• Design and electronic design automation tools  ・設計および電子設計自動化ツール
• Manufacturing process technologies and manufacturing equipment  ・製造プロセス技術と製造装置
• Beyond complementary metal-oxide-semiconductor (CMOS) technology  ・CMOS(相補型金属酸化膜半導体)技術を超える 
• Heterogeneous integration and advanced packaging  ・ヘテロジニアス・インテグレーションとアドバンスト・パッケージング
• Specialized/tailored hardware components for artificial intelligence, natural and hostile radiation environments, RF and optical components, high-power devices, and other critical applications  ・人工知能、自然環境および過酷な放射線環境、RFおよび光学部品、ハイパワーデバイス、その他の重要な用途に特化/カスタマイズされたハードウェア部品
• Novel materials for advanced microelectronics  ・先端マイクロエレクトロニクス用新素材
• Microelectromechanical systems (MEMS) and Nanoelectromechanical systems (NEMS)  ・微小電気機械システム(MEMS)およびナノ電気機械システム(NEMS) 
• Novel architectures for non-Von Neumann computing  ・非Von Neumannコンピューティングのための新しいアーキテクチャ
Space Technologies and Systems  宇宙技術とシステム 
• In-space servicing, assembly, and manufacturing as well as enabling technologies  ・宇宙空間でのサービス、組立、製造、およびそれを可能にする技術
• Technology enablers for cost-effective on-demand, and reusable space launch systems  ・費用対効果の高いオンデマンド、再利用可能な宇宙打上げシステムを実現する技術
• Technologies that enable access to and use of cislunar space and/or novel orbits  ・二重星雲空間および/または新規軌道へのアクセスと利用を可能にする技術
• Sensors and data analysis tools for space-based observations  ・宇宙観測用のセンサーとデータ分析ツール
• Space propulsion  ・宇宙推進
• Advanced space vehicle power generation  ・先進的宇宙船発電
• Novel space vehicle thermal management  ・新しい宇宙船の熱管理
• Crewed spaceflight enablers  ・有人宇宙飛行の実現
• Resilient and path-diverse space communication systems, networks, and ground stations  ・レジリエンスと経路多様性に優れた宇宙通信システム、ネットワーク、地上局 
• Space launch, range, and safety technologies ・宇宙打ち上げ、航続距離、安全技術

 

 


国家安全保障局 - 中央セキュリティサービス

National Security Agency; NSA - Central Security Service

・2024.07.30 [PDF] ESF: Recommendations for Increasing U.S. Participation & Leadership in Standards Development

20240804-224147 

・[DOCX][PDF] 仮訳

 

目次...

Introduction はじめに
Establish the United States as a Venue of Choice for Hosting Standards Meetings 標準会議の開催地として米国が選ばれるようにする
Recommendations to U.S. Government 米国政府への提言
Recommendations to Private Sector Stakeholders 民間セクター関係者への提言
Engage Early in Emerging Technology Standards-Related Activities 新興技術標準に関連する活動に早くから取り組む
Standards Process 標準プロセス
Bene its of Early Engagement 早期関与の恩恵
Pre-Standardization Activities 標準化以前の活動
Recommendations for Individual Participants 個人参加者への提言
Recommendations for Private Sector Stakeholders 民間セクター関係者への提言
Recommendations for Academia 学術界への提言
Recommendations for U.S. Government 米国政府への提言
Develop a more Standards-Savvy U.S. Workforce 標準に精通した米国の労働力を育成する
Recommendations for Individual Participants 個人参加者への提言
Recommendations to Private Sector Stakeholders 民間セクター関係者への提言
Recommendations for SDOs SDOへの提言
Recommendations for the U.S. Government 米国政府への提言
Recommendations to Academia 学界への提言
Engage Academia to Grow the Next Generation of Standards Experts 次世代の標準専門家を育てるために学術界を巻き込む
Recommendations to the U.S. Government 米国政府への提言
Recommendations to Private-Sector Stakeholders 民間セクター関係者への提言
Recommendations to Standards Organizations 標準化団体への提言
Conclusion 結論
Appendix A: Timing Considerations in Standardization 附属書A:標準化におけるタイミングの考慮点
Internet Protocol インターネット・プロトコル
The ATIS NEXT G Alliance ATIS NEXT G アライアンス
Engaging Too Early 早すぎる関与

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.10 米国 ホワイトハウス 重要新興技術に関する国家標準化戦略を発表 (2023.05.04)

 

| | Comments (0)

世界貿易機構 (WTO) 電子商取引交渉に関する共同議長国声明 (2024.07.26)

こんにちは、丸山満彦です。

せっかく書いていたのに、あげるのを忘れていました(^^;;

 

世界貿易機構 (WTO) が電子商取引交渉に関する共同議長国声明を発出していますね。議長国の一つが日本ですから、外務省、経済産業省でも公表していますね...

 

World Trade Organizaion; WTO 

・2024.07.26 Joint Statement Initiative on E-commerce

Joint Statement Initiative on E-commerce 電子商取引に関する共同声明イニシアティブ
At the 11th Ministerial Conference in December 2017, a group of 71 WTO members agreed to initiate exploratory work towards future WTO negotiations on trade-related aspects of e-commerce. In January 2019, 76 WTO members confirmed in a joint statement their intention to commence these negotiations. They agreed to “seek to achieve a high standard outcome that builds on existing WTO agreements and frameworks with the participation of as many WTO members as possible”. 2017年12月の第11回閣僚会議において、WTO加盟71カ国のグループは、電子商取引の貿易関連側面に関する将来のWTO交渉に向けた探索的作業を開始することに合意した。2019年1月、76のWTO加盟国は共同声明において、これらの交渉を開始する意向を確認した。彼らは、「可能な限り多くのWTO加盟国の参加を得て、既存のWTO協定や枠組みを基礎とした標準的な成果を目指す」ことに合意した。
As of 25 June 2024, there are 91 WTO members participating in these discussions, accounting for over 90 per cent of global trade. As is the case for all the joint statement initiatives, participation in the e-commerce JSI is open to all WTO members. The initiative is jointly co-convened by H.E. Mr. James Victor BAXTER (Australia), H.E. Mr. Atsuyuki OIKE (Japan) and H.E Mr TAN Hung Seng (Singapore). 2024年6月25日現在、この協議には91のWTO加盟国が参加しており、世界貿易の90%以上を占めている。すべての共同声明イニシアティブと同様、電子商取引JSIへの参加はすべてのWTO加盟国に開かれている。このイニシアティブは、ジェームズ・ビクター・バクスター閣下(オーストラリア)、尾池厚之閣下(日本)、タン・フンセン閣下(シンガポール)が共同議長を務める。
On 26 July 2024, the joint statement Co-conveners, Australia, Japan and Singapore, confirmed in a statement on behalf of the participants that after five years of negotiations, participants had achieved a stabilised text (INF/ECOM/87). 2024年7月26日、共同開催国であるオーストラリア、日本、シンガポールは、参加国を代表する 声明の中で、5年にわたる交渉の末、参加国が安定した文書を作成したことを確認した(INF/ECOM/87)。

 

・[PDF] JOINT STATEMENT INITIATIVE ON ELECTRONIC COMMERCE 

20240729-84521

 

外務省

・2024.07.26 WTO電子商取引交渉に関する共同議長国声明の発出について


  1. これは、これまでの交渉成果を確認し、グローバルなデジタル貿易に関するルール形成に寄与するとともに、今日的課題に対するWTOのルール形成機能の成功例にもなる大変意義のある成果であり、我が国として歓迎します。

  2. 合計38条文からなる安定化したテキストは、
    (1)貿易書類の電子化や規制の透明化等を通じた電子決済の促進による電子商取引の貿易円滑化、
    (2)電子的送信に対する関税賦課の禁止、政府データの公開やインターネットのアクセス・使用を通じた開かれた電子商取引の確保、
    (3)サイバーセキュリティ、オンライン消費者保護や個人情報保護による電子商取引の信頼性向上にかかる規律を含むものであり、
    企業の予見可能性を高め、ビジネスコストを低減するとともに、消費者にとっても安心・安全な環境の実現に貢献することが期待されます。

  3. 今後のプロセスにつき、我が国は、共同議長国として、電子商取引に関する協定をWTOの法的枠組みに組み込むことに向けて、参加国・地域と連携しつつ取り組んでいきます。

 

 

 


 

経済産業省

・2024.07.26 WTO電子商取引交渉 安定化したテキストを達成しました


合計38条文からなるテキストは、(1)貿易書類の電子化や規制の透明化等を通じた電子決済の促進による電子商取引の貿易円滑化、(2)政府データの公開やインターネットのアクセス・使用を通じた開かれた電子商取引の確保、(3)サイバーセキュリティ、オンライン消費者保護や個人情報保護による電子商取引の信頼性向上にかかる規律を含むものです。特に商業上有意義な規定として、我が国の産業界が長年求めていた、電子的送信に対する関税賦課の恒久的な禁止も含まれています。

これらの規定は、実際に協定化されれば、グローバルなデジタル貿易に関するルールとして、企業の予見可能性を高め、ビジネスコストを低減するとともに、消費者にとっても安心・安全な環境の実現に貢献することが期待されます。

また、これは、現代的課題に対応するためのWTOのルール交渉機能の成功例となるとともに、我が国が提唱する「信頼性のある自由なデータ流通(DFFT)」の具体化にも繋がる大変意義のある成果です。


 


 

 

英国政府は、また少し違った感じ...

● GOV. UK

・2024.07.26 UK joins groundbreaking global digital trade agreement

 

UK joins groundbreaking global digital trade agreement 英国、画期的な世界デジタル貿易協定に参加
UK joins the first global digital trade agreement negotiated under the World Trade Organization. 英国は、世界貿易機関(WTO)の下で交渉された初のグローバルなデジタル貿易協定に参加した。
・The UK and 90 other countries have negotiated a set of new rules designed to make global trade faster, fairer, cheaper and more secure ・英国をはじめとする90カ国は、世界貿易をより迅速、公正、安価かつ安全にするための新ルールについて交渉した。
・Once in force the agreement will permanently ban customs duties on digital content, lower costs for UK businesses and help protect UK consumers from online fraud ・この協定が発効すれば、デジタルコンテンツへの関税が恒久的に禁止され、英国企業のコストが下がり、オンライン詐欺から英国の消費者を守ることができる。
・Global adoption of digital customs systems, processes and documents could significantly grow the UK economy ・デジタル税関システム、プロセス、文書の世界的な採用は、英国経済を大きく成長させる可能性がある
The UK has today [Friday 26 July] joined a groundbreaking agreement which is designed to grow the economy by boosting global digital trade.   英国は本日[7月26日(金)]、グローバルなデジタル貿易を促進することで経済成長を目指す画期的な協定に参加した。 
After five years of negotiations, the UK and 90 other countries have finalised the E-Commerce Joint Initiative at the World Trade Organization (WTO), which will make trade faster, cheaper, fairer and more secure. It will help British businesses, workers and consumers seize the opportunities of global digital trade, which is estimated by the OECD to be worth around £4 trillion and growing.   5年にわたる交渉の末、英国をはじめとする90カ国は、世界貿易機関(WTO)において電子商取引共同イニシアティブを最終決定した。この協定は、英国の企業、労働者、消費者が、グローバルなデジタル貿易のチャンスをつかむ助けとなる。 
Once implemented, the agreement will commit all participants to the digitalisation of customs documents and processes. This will in many cases end the need to print forms off and hand them over at customs – a slow, expensive and old-fashioned way of working.  この協定が実施されれば、すべての参加国が税関書類と手続きのデジタル化に取り組むことになる。これにより、多くの場合、書類を印刷して税関で手渡す必要がなくなる。
The signatories to this agreement will also commit to recognising e-documents and e-signatures, reducing the need for businesses to physically sign contracts and post them around the world.  この協定の署名国はまた、電子文書と電子署名を承認し、企業が契約書に物理的に署名して世界中に郵送する必要性を減らすことを約束する。
Global adoption of digital customs systems, processes and documents would increase UK GDP by up to £24.2 billion in 2023 UK GDP terms. Even partial adoption could represent a significant boost to UK GDP.  デジタル税関システム、プロセス、文書の世界的な採用により、英国のGDPは2023年の英国GDPベースで最大242億ポンド増加する。部分的な採用であっても、英国のGDPを大幅に押し上げる可能性がある。
It also commits signatories to putting in place legal safeguards against online fraudsters and misleading claims about products. また、オンライン詐欺師や製品に関する誤解を招くような主張に対する法的保護措置を講じることも、署名国に約束されている。
Business and Trade Secretary Jonathan Reynolds said:  ジョナサン・レイノルズ商務貿易長官は次のように述べた: 
We are proud to play our part in securing the first ever global digital trade agreement, cutting costs for business and delivering on this government’s ambition to deliver economic growth. 史上初のグローバルなデジタル貿易協定の締結において、我々の役割を果たし、ビジネスのコストを削減し、経済成長を実現するという政府の野望を実現できることを誇りに思う。
Britain is back and proudly playing her role as an outward looking trading nation. Global digital trade is already estimated by the OECD to be worth around £4 trillion and counting but no common set of global rules exist. This is a huge step forward in correcting that and ensuring British businesses feel the benefit. 英国は、対外貿易国としての役割を取り戻し、誇りを持っている。世界のデジタル貿易は、OECDによってすでに約4兆ポンドと見積もられているが、世界共通のルールは存在しない。これは、それを是正し、英国企業がその恩恵を感じられるようにするための大きな前進である。
Science Secretary Peter Kyle said: ピーター・カイル科学長官は次のように述べた:
This global agreement aims to help people use technology safely by protecting them from fraud, while driving economic growth through the digitalisation of trade so it’s faster and more secure. この世界的な協定は、貿易のデジタル化を通じて経済成長を促進し、より迅速で安全な貿易を実現する一方で、人々を詐欺から守ることによって、人々が安全にテクノロジーを利用できるようにすることを目的としている。
We will leave no stone unturned in our work to share the benefits of technology and drive economic growth by working with partners around the world to achieve this. 我々は、世界中のパートナーと協力することで、テクノロジーの恩恵を共有し、経済成長を促進するために、あらゆる手を尽くしていく。
For a UK financial services provider, doing business in any of the participating countries will require far fewer paper contracts and invoices, or manual signatures or authentication, as these will be replaced with their electronic equivalents. 英国の金融サービス・プロバイダにとって、参加国のいずれかでビジネスを行う場合、紙の契約書や請求書、あるいは手書きの署名や認証ははるかに少なくなり、これらは同等の電子的なものに置き換えられるからである。
Chris Southworth, Secretary General, International Chambers of Commerce UK said:  英国国際商工会議所のクリス・サウスワース事務局長は、次のように述べた: 
Businesses and economies thrive when there is one common set of rules. The E-Commerce Agreement is a major breakthrough and an excellent reminder of the power of international collaboration. It creates the environment we need to drive innovation as we transition away from archaic paper-based processes and into the modern world of data and technology.   共通のルールがあれば、ビジネスも経済も発展する。Eコマース協定は、大きな突破口であり、国際的な協力の力を再認識させるものだ。この協定は、古臭い紙ベースのプロセスからデータとテクノロジーの現代世界へと移行する際に、イノベーションを推進するために必要な環境を作り出すものだ。 
It is an opportunity to accelerate efforts to digitalise our borders and global supply chains, and help to remove unnecessary friction and costs that prevent SMEs from trading. This is good news for business, consumers and the economy. これは、国境とグローバル・サプライチェーンのデジタル化への取り組みを加速させ、中小企業の取引を妨げる不必要な摩擦やコストを取り除く一助となる機会である。これは、ビジネス、消費者、経済にとって朗報だ
Matt Hammerstein, Head of Barclays UK Corporate Bank said:  バークレイズUKコーポレート・バンクのマット・ハマースタイン代表は、次のように述べた: 
As co-chair of the Trade Digitisation Taskforce with ICC United Kingdom, we have worked closely with the Government to support efforts to secure the competitiveness of UK exports, champion the digitalisation of trade at scale and continue to work on streamlining processes related to fraud and financial crime risk.   ICCユナイテッド・キングダムとの貿易デジタル化タスクフォースの共同議長として、我々は政府と緊密に協力し、英国の輸出競争力を確保するための取り組みを支援し、規模に応じた貿易のデジタル化を支持し、詐欺や金融犯罪リスクに関するプロセスの合理化に引き続き取り組んできた。 
We welcome this announcement, which will help make the trade process easier for small, medium and large-sized businesses in the UK by removing paper-based barriers to trade. Barclays stands ready to play its part in supporting the success of British exports. 紙ベースの貿易障壁を撤廃することで、英国の中小・大企業の貿易プロセスをより容易にする一助となる今回の発表を歓迎する。バークレイズは、英国の輸出の成功を支援する役割を果たす用意がある。
Reaching this agreement is part of the government’s commitment to rebuild and strengthen global partnerships and stand up for the rules-based international order. It is an important step in modernising the global trade rulebook and furthering cooperation in the World Trade Organization.  今回の合意は、グローバル・パートナーシップを再構築・強化し、ルールに基づく国際秩序を守るための政府のコミットメントの一環である。この協定は、世界貿易のルールブックを近代化し、世界貿易機関(WTO)における協力を促進するための重要な一歩である。
Not only will the E-Commerce Joint Initiative deliver new growth opportunities for the UK, it also recognises the importance of supporting developing and least-developed countries, to ensure growth and prosperity for all.   Eコマース共同イニシアティブは、英国に新たな成長機会をもたらすだけでなく、すべての人々の成長と繁栄を確保するために、発展途上国や後発開発途上国を支援することの重要性も認識している。 
Attention now turns to working with WTO partners to incorporate the agreement into the WTO legal framework. Once incorporated, UK ratification will take place.   今後は、この協定をWTOの法的枠組みに組み込むために、WTOのパートナーと協力していくことになる。WTOに組み込まれた後、英国の批准が行われる。 
Notes to editors:   編集後記  
・The outcome of the E-Commerce Joint Initiative is officially called the ‘Agreement on Electronic Commerce’. ・電子商取引共同イニシアティブの成果は、正式には「電子商取引に関する協定」と呼ばれる。
・Global digital trade is estimated by the OECD to be worth around $5 trillion in 2020. Converting this to sterling at the market exchange rate gives around £4 trillion. The OECD have defined this as all trade that is digitally-ordered or delivered. ・世界のデジタル貿易は2020年に約5兆ドルに達するとOECDは推定している。これを市場為替レートで英ポンドに換算すると、約4兆ポンドとなる。OECDはこれを、デジタルで発注または納入されるすべての貿易と定義している。
The ‘Benefits of the digitalisation of trade processes and cross border barriers to their adoption’ report estimates that global adoption of advanced digital trading systems and e-transactions for services is associated with a rise in UK GDP of up to 0.9% and 0.1 respectively. ・貿易プロセスのデジタル化のメリットとその導入に対する国境を越えた障壁」報告書では、先進的なデジタル取引システムとサービスの電子取引の世界的な導入は、英国のGDPをそれぞれ最大0.9%と0.1%増加させると推定している。
・Applied to 2023 ONS UK GDP of £2,687 billion in current prices, a 0.1% increase would amount to £2.7 billion, and a 0.9% increase would amount to £24.2 billion. ・2023年のONSの英国GDP(現在の物価で2兆6,870億ポンド)に当てはめると、0.1%の増加は27億ポンド、0.9%の増加は242億ポンドになる。

 

 


 

 

・[PDF] JOINT STATEMENT INITIATIVE ON ELECTRONIC COMMERCE 

の仮対訳...

Continue reading "世界貿易機構 (WTO) 電子商取引交渉に関する共同議長国声明 (2024.07.26)"

| | Comments (0)

2024.07.30

オーストラリア会計検査院 (ANAO) 国防省によるマイクリアランス・システムの調達と導入 (2024.07.11)

こんにちは、丸山満彦です。

日本でもクリアランス制度の導入がされることになりましたが、システム導入間に合いますかね。。。当面は手作業(エクセル方眼紙)?になりますかね...

オーストラリアの会計検査院が、クリアランス制度で使っているシステムについての監査をし、結果を報告しています。これからの日本の制度上も参考になるような気がします!

なお、報告書をみると、


  • 基本能力(2022年第4四半期)と「継続的評価」モジュール(2023年第4四半期)の提供のために、総額1億3860万ドル(約140億円)の取得予算が2020年12月に政府によって承認された。

  • そのうち60%がシステム導入コスト

  • myClealanceシステムで2022/11/28-2024/5/9まで(529日間)に処理されたトランザクションは約11万(107,249)。

 

1トランザクションあたり、約13万円となりますね...(取得コストと運用コストのバランスがあるので、あくまで参考ですが...)

そして、年間処理量は、7.4万トランザクション...

ちなみに、2024年のオーストラリアの人口は2,660万人ということで、日本の人口が1億2,400万人の約5分の1となっています。トランザクション量が人口比の通りとなれば、年間のトランザクションは34.5万トランザクションとなりそうです...

そして、監査の対象となった調達については、

  • プロジェクト承認・支援サービスプロバイダー(デロイト)、
  • プライムシステムインテグレーター(アクセンチュア)、
  • 組織変更管理パートナー(KPMG)、
  • プロジェクト提供パートナー(VOAKグループ)

となりますね...

 

Australian National Audit Office; ANAO

・2024.07.11 Defence’s Procurement and Implementation of the myClearance System

・[PDF]

20240729-163804

 

Why did we do this audit? なぜこの監査を行ったのか?
• The new whole-of-government vetting system, myClearance, went live on 28 November 2022. By February 2023, the extent of the user issues encountered after the system’s introduction was the subject of parliamentary interest. ・新しい政府全体の審査システム、マイ・クリアランスは2022年11月28日に稼動した。2023年2月までに、システム序文後に発生したユーザー問題の程度は、国会の関心の的となった。
• This audit was identified as a 2023–24 audit priority by the Joint Committee of Public Accounts and Audit. ・この監査は、公会計監査合同委員会によって2023-24年の監査優先事項として特定された。
• The audit provides assurance to the Parliament on the effectiveness of the Department of Defence’s (Defence) procurement and implementation of the myClearance system. ・この監査は、国防省によるマイクリアランス・システムの調達と導入の有効性について、国会に保証 (assurance) を与えるものである。
Key facts 主な事実
• A total acquisition budget of $138.6 million for the delivery of a base capability (in Quarter 4 2022) and a ‘continuous assessment’ module (in Quarter 4 2023) was approved by government in December 2020. ・基本能力(2022年第4四半期)と「継続的アセスメント」モジュール(2023年第4四半期)の提供のために、総額1億3860万ドルの取得予算が2020年12月に政府によって承認された。
• By July 2023, 87 per cent of the total acquisition budget had been expended and delivery of the continuous assessment module remained ongoing. ・2023年7月までに、取得予算総額の87%が費やされ、継続的アセスメント・モジュールの提供は継続中であった。
• In November 2023, Defence recommended, and government agreed to de-scope the: continuous assessment; automated risk sharing; use of artificial intelligence; and enhanced interface functionalities of the myClearance system. ・2023年11月、ガバナンスは、継続的アセスメント、自動化されたリスク共有、人工知能の利用、マイクリアランス・システムのインターフェイス機能強化について、スコープを外すよう勧告し、政府はこれに同意した。
$138.6m $138.6m
the approved acquisition budget for the myClearance system. マイクリアランス・システムの承認された取得予算である。
60% 60%
of the acquisition budget was for systems integration services. はシステム・インテグレーション・サービスであった。
107,249 107,249
security clearances processed in the myClearance system to 9 May 2024. 2024 年 5 月 9 日までにマイクリアランス・システムで処理されたセキュリ ティ・クリアランス。
What did we find? 我々は何を発見したか?
• Defence’s procurement and implementation of the myClearance system was partly effective. ・国防省によるマイクリアランス・システムの調達と導入は部分的に効果的であった。
• Defence’s planning activities were largely effective. Defence’s governance, oversight and reporting arrangements were not implemented effectively and did not support informed, risk-based decision-making. ・国防省の計画活動は概ね効果的であった。国防省のガバナンス、監督、報告体制は効果的に実施されておらず、情報に基づいたリスクベースの意思決定をサポートしていなかった。
• The procurement processes for the systems integrator and project delivery partner were not conducted in a manner consistent with Defence’s procurement policy or the intent of the Commonwealth Procurement Rules (CPRs). ・システム・インテグレーターとプロジェクト提供パートナーの調達プロセスは、国防省の調達方針または英連邦調達規則(CPRs)の意図に合致した方法で実施されなかった。
• Initial implementation of the system was not effective. Defence’s remediation efforts, since the system went live, have achieved progressive improvements. In November 2023, Defence advised government that the system will not deliver the full functionality as approved by government in December 2020. ・システムの初期導入は効果的ではなかった。システム稼動後の国防省の改善努力は、漸進的な改善を達成した。2023年11月、国防省は政府に対し、システムが2020年12月に政府によって承認されたような完全な機能を提供しないことを通知した。
What did we recommend? 我々は何を勧告したのか?
• There were two recommendations made to improve Defence’s management of risk and the security of the myClearance system. ・国防省のリスクマネジメントとマイクリアランス・システムのセキュリティを改善するために、2つの勧告がなされた。
• The Department of Defence has agreed to the two recommendations. ・国防省は2つの勧告に同意した。

 

要約と勧告...

Summary and recommendations 要約と勧告
Background 背景
1. Security vetting involves the assessment of an individual’s suitability to hold a security clearance at a particular level. Australian Government employees and contractors require a security clearance to access classified resources, which can relate to Australia’s national security, economic and other interests.1 The security vetting and clearance process is an important risk mitigation activity intended to protect the national interest, which can also affect an individual’s employment and the business operations of entities if not managed effectively or in a timely manner. 1. セキュリティ審査とは、特定のレベルのセキュリティ・クリアランスを保持する個人の適性をアセスメントすることである。オーストラリア政府の職員や請負業者は、オーストラリアの国家安全保障、経済、その他の利益に関 連する機密資源にアクセスするために、セキュリティ・クリアランスを必要とする1 。セキュリティ審査とク リアランスのプロセスは、国益の保護を目的とした重要なリスク軽減活動であるが、効果的かつ適時 に管理されなければ、個人の雇用や事業体の事業運営にも影響を及ぼす可能性がある。

2. The Australian Government Security Vetting Agency (AGSVA) is part of the Department of Defence (Defence) and provides security clearance assessments as a whole-of-government service. In February 2014, Defence identified the need for long-term and potentially significant investment in ICT solutions because the existing system used by AGSVA to process security clearances, the Personnel Security Assessment Management System (PSAMS), did not have the ‘functionality needed for the future’. The February 2016 Defence Integrated Investment Program (IIP) subsequently outlined a need for ‘expanded security vetting’ as one of the ‘principal areas of focus’ for Defence.2 2. オーストラリア政府セキュリティ審査機関(AGSVA)は国防省(Defence)の一部で、政府全体のサービスとしてセキュリティクリアランス審査を提供している。2014年2月、国防省は、AGSVAがセキュリティ・クリアランスのプロセスに使用している既存システム、 職員セキュリティ・アセスメント管理システム(PSAMS)が「将来に必要な機能」を備えていないため、 ICTソリューションに長期的かつ潜在的に多額の投資を行う必要性を認識した。その後、2016年2月の国防統合投資計画(IIP)では、国防省の「主要な重点分野」の1つとして、「セキュリティ審査の拡大」の必要性が概説された2。
3. In October 2016, the Australian Government agreed to a suite of reforms to improve government entities’ management of the threat posed by malicious insiders, which included upgrading AGSVA’s ICT system.3 3. 2016年10月、オーストラリア政府は、AGSVAのICTシステムのアップグレードを含む、悪意のある内部関係者による脅威に対する政府事業体の管理を改善するための一連の改革に合意した3。
Vetting Transformation Project 審査変革プロジェクト
4. The ‘Defence and Security Vetting Services 20/20 Reform Program’ was established in December 2016 and consisted of four workstreams: vetting; security policy, services and advice; security governance, assurance and reporting; and cultural change. The objectives for the vetting workstream included delivering: a new vetting security business model; a supporting ICT system; and relevant training, communications and change management activities. 4. 国防・安全保障審査サービス20/20改革プログラム」は2016年12月に設立され、審査、セキュリティポリシー、サービス、アドバイス、セキュリティガバナンス、保証、報告、文化変革の4つのワークストリームで構成された。審査業務の目的は、新しい審査セキュリティ・ビジネスモデル、サポートするICTシステム、関連するトレーニング、コミュニケーション、チェンジマネジメント活動を提供することであった。
5. The Vetting Transformation Project was established to deliver the vetting workstream objectives, including the design and implementation of a new system that: 5. 審査変革プロジェクトは、審査ワークストリームの目標を達成するために設立された:
• provides sponsoring entities with information on identified risk factors associated with individual clearance holders; ・スポンサー事業体に対し、個々のクリアランス保有者に関連する識別されたリスク要因に関する情報を提供する;
• increases automation of clearance decision-making and data collection (including across other government holdings, and online social-media information); and ・クリアランスの意思決定とデータ収集の自動化(他の政府所蔵品やオンライン・ソーシャルメディア情報を含む)。
• supports continuous assessment of security risk.4 ・セキュリティ・リスクの継続的アセスメントをサポートする4。
Previous ANAO reports 過去のANAO報告書
6. The ANAO previously reviewed Defence’s performance in providing security vetting services through AGSVA in the following performance audits. 6. ANAOは以前、AGSVAを通じて安全保障審査サービスを提供する国防省の実績を、以下の実績監査で検証している。
• Auditor-General Report No. 45 2014–15 Central Administration of Security Vetting, which was presented for tabling in Parliament in June 2015. The audit conclusion was that the performance of centralised vetting had been mixed and government expectations of improved efficiency and cost savings had not been realised.5 ・監査総監報告書No.45 2014-15安全保障審査中央管理部門、これは2015年6月に国会に提出された。監査の結論は、一元化された審査のパフォーマンスはまちまちであり、効率改善とコスト削減という政府の期待は実現されていないというものであった5。
• Auditor-General Report No. 38 2017–18 Mitigating Insider Threats through Personnel Security, which was presented for tabling in May 2018. The audit conclusion was that the effectiveness of personnel security arrangements for managing insider threats had been reduced by AGSVA not implementing the government’s policy direction to share information with client entities on identified personnel security risks. The report also observed that AGSVA planned to realise the necessary process improvements through the procurement of a new ICT system, expected to be fully operational in 2023.6 ・監査総監報告書No.38 2017-18「職員のセキュリティによるインサイダーの脅威の低減」は、2018年5月に上程された。監査の結論は、AGSVAが、特定された職員のセキュリティリスクに関する情報を顧客事業体と共有するという政府の方針指示を実施していないことにより、内部脅威を管理するための職員セキュリティの取り決めの有効性が低下しているというものであった。報告書はまた、AGSVAが新しいICTシステムの調達を通じて必要なプロセス改善を実現する予定であり、2023年に完全稼動する予定であることを確認した6。
Rationale for undertaking the audit 監査実施の理由
7. The ANAO undertook this audit, and previous (2015 and 2018) audits of Defence’s provision of security vetting services through AGSVA, as effective personnel security arrangements underpin the protection of the Australian Government’s people, information and assets. Previous audits identified deficiencies in AGSVA’s information systems. In the context of the Joint Committee of Public Accounts and Audit’s (JCPAA) inquiry into the ANAO’s 2018 audit, Defence advised the JCPAA that a project to build a new ICT system had received first-pass approval in April 2018, with delivery of the ‘initial operating capability’ (the base capability) expected in late 2020.7 7. ANAO は、AGSVA を通じた国防省の身元審査サービス提供について、効果的な職員のセキュリテ ィ態勢がオーストラリア政府の人員、情報、資産の保護を支えるとして、今回の監査と前回 (2015 年と 2018 年)の監査を実施した。以前の監査では、AGSVA の情報システムの欠陥が指摘された。ANAO の 2018 年監査に関する合同会計監査委員会(JCPAA)の調査との関連で、国防省は JCPAA に対し、新しい ICT システムを構築するプロジェクトが 2018 年 4 月に一次承認を受け、「初期運用能力」(基本能力)の提供は 2020 年後半になる見込みであると助言した7。
8. The base capability of the new system was introduced on 28 November 2022. By February 2023, the extent of user issues experienced after the system ‘went live’ were the subject of parliamentary interest. This audit provides independent assurance to the Parliament on the effectiveness of Defence’s procurement and implementation of the new ICT system, now known as myClearance, and Defence’s remediation progress to date. 8. 新システムの基本機能は2022年11月28日に導入された。2023年2月までに、システム「稼動」後に発生したユーザーの問題の程度が、国会の関心の的となった。本監査は、国防省による新 ICT システム(現在はマイ・クリアランスとして知られる)の調達と導入の 有効性、および国防省の現在までの改善進捗状況について、国会に独立した保証を提供するものである。
Audit objective and criteria 監査の目的と基準
9. The objective of the audit was to assess the effectiveness of Defence’s procurement and implementation of the myClearance system to date. 9. 監査の目的は、国防省によるマイクリアランス・システムの調達と導入の有効性を評価することである。
10. To form a conclusion against the audit objective the following high-level criteria were adopted. 10. 監査目的に照らして結論を出すために、以下のハイレベル基準が採用された。
• Did Defence plan effectively and establish fit for purpose governance, oversight and reporting arrangements? ・政府は効果的な計画を立て、目的に合ったガバナンス、監督、報告体制を確立したか。
• Was Defence’s implementation of the system effective and supported by procurement processes conducted in accordance with the Commonwealth Procurement Rules (CPRs)? ・国防省によるシステムの導入は効果的であり、英連邦調達規則(CPR)に従って行われた調達プロ セスに支えられていたか。
11. The audit focused on the procurement of the project approval and support services provider (Deloitte), the prime systems integrator (Accenture), the organisational change management partner (KPMG) and the project delivery partner (VOAK Group). The audit also considered the arrangements used to procure the hardware and software components of the myClearance system, and other services to manage the delivery of the Vetting Transformation Project. The audit did not examine Defence’s administration or management of its contracts with the service providers. 11. 監査は、プロジェクト承認・支援サービスプロバイダー(デロイト)、プライムシステムインテグレーター(アクセンチュア)、組織変更管理パートナー(KPMG)、プロジェクト提供パートナー(VOAKグループ)の調達に焦点を当てた。監査はまた、マイクリアランス・システムのハードウェアとソフトウェア・コンポーネントの調達に使用された取り決め、および審査変革プロジェクトの実施を管理するためのその他のサービスについても検討した。この監査では、国防省によるサービス・プロバイダとの契約の管理・運用については調査していない。
Conclusion 結論
12. Defence’s procurement and implementation of the myClearance system to date has been partly effective. The full functionality of the system will not be delivered as key elements, including the continuous assessment, automated risk-sharing and enhanced interface functionalities, were de-scoped from the project in November 2023. 12. 国防省によるマイクリアランス・システムの調達と導入は、部分的には効果があった。継続的なアセスメント、自動化されたリスク共有、強化されたインターフェイス機能など、主要な要素が 2023 年 11 月にプロジェクトから除外されたため、システムの全機能は提供されない。
13. Defence’s planning activities were largely effective. Early planning work in 2016 and 2017 focused on industry engagement and assessing the market’s ability to deliver and integrate the new IT system into Defence’s ICT environment. Work to refine the user and system requirements in mid-2018 was not informed by other government entities or stakeholders. Defence designed governance, oversight and reporting arrangements in line with the requirements of its Capability Life Cycle framework. The project governance arrangements were not implemented effectively and there was a lack of clarity on the purpose of and relationship between the various decision-making forums. Project reporting did not support informed, risk-based decision-making as project risks and issues were not clearly communicated to Defence leadership. 13. 国防省の計画策定活動は概ね効果的であった。2016年と2017年の初期の計画策定作業は、産業界の関与と、新しいITシステムを国防省のICT環境に提供し統合する市場の能力のアセスメントに重点を置いた。2018年半ばのユーザー要件とシステム要件を洗練させる作業は、他の事業体やステークホルダーから情報を得ていなかった。政府は、ガバナンス、監督、報告の取り決めを、能力ライフサイクルフレームワークの要件に沿って設計した。プロジェクトガバナンスの取り決めは効果的に実施されず、様々な意思決定フォーラムの目的と関係が明確でなかった。プロジェクトのリスクと問題が国防指導部に明確に伝えら れていなかったため、プロジェクト報告は情報に基づくリスクベースの意思決定を支えなかった。
14. Defence’s procurement processes were partly effective. The processes to engage project approval and support services and the organisational change management partner were conducted in line with the Commonwealth Procurement Rules (CPRs). The process to engage the prime systems integrator was not consistent with the CPRs. The tender documentation included a list of mandatory products referring to trade names and producers — an approach that did not comply with Defence’s procurement policy framework. Defence’s conduct of the ‘Analysis of Alternatives’ in early 2020 resulted in material changes to the technical solution, schedule and delivery approach and provided opportunities to the preferred supplier that were not provided to other prospective suppliers. Defence’s approach to engaging the Project Delivery Partner in 2022 did not comply with Defence’s Accountable Authority Instructions or the intent of the CPRs. 14. 国防省の調達プロセスは部分的に有効であった。プロジェクト承認・支援サービスと組織変更管理パートナーを関与させるプロセスは、英連邦調達規則(CPR)に沿って実施された。プライムシステムインテグレーターとの契約プロセスはCPRsと整合していなかった。入札文書には、商号や生産者に言及した必須製品のリストが含まれていたが、これは国防省の調達方針の枠組みに準拠しないアプローチであった。国防省が2020年初頭に実施した「代替案の分析」は、技術的ソリューション、スケジュール、納期アプローチに重大な変更をもたらし、他のサプライヤー候補には提供されなかった機会を優先サプライヤーに提供した。2022 年にプロジェクト・デリバリー・パートナーを関与させる国防省のアプローチは、国防省の認可、指示または CPR の意図に準拠していなかった。
15. Defence’s implementation of the myClearance system has been partly effective. Identified risks and issues were not resolved in a timely manner. Data cleansing and migration activities were not effective. Testing processes were truncated and were not conducted in line with agreed testing plans or Defence guidance. To address the issues encountered after the core vetting system went live in November 2022, Defence established the myClearance taskforce in February 2023. Defence’s remediation activities have progressively improved the performance of the system since it went live. In July 2023, Defence advised government that it had delivered a system that largely met the initial operating capability requirements. In November 2023 Defence advised government that the myClearance system would not deliver the full functionality as approved in December 2020. 15. 国防省によるマイクリアランス・システムの導入は部分的に有効であった。識別されたリスクと問題は適時に解決されなかった。データのクレンジングと移行活動は効果的でなかった。テスト工程は切り捨てられ、合意されたテスト計画や国防省の指針に沿って実施されなかった。2022年11月にコア審査システムが稼動した後に発生した問題に対処するため、国防省は2023年2月にマイクリアランス・タスクフォースを設立した。国防省の改善活動により、システム稼動以来、システムの性能は徐々に改善されてきた。2023年7月、国防省は政府に対し、初期運用能力要件をほぼ満たすシステムを納入したと通知した。2023年11月、国防省は政府に対し、マイクリアランス・システムは2020年12月に承認されたような完全な機能を提供できないと通知した。
Supporting findings 補足所見
Effectiveness of planning activities 計画活動の効果
16. Defence conducted early planning activities between late 2016 and early 2018. Industry engagement and market research was undertaken to assess the market’s ability to design, build and integrate a new IT system into Defence’s ICT environment. Workshops and forums held to refine the user requirements and technical components in June 2018 did not include external stakeholders such as other government entities with ICT systems that AGSVA’s new vetting system would need to integrate or interface with. (See paragraphs 2.7 to 2.29) 16. 国防省は2016年後半から2018年前半にかけて初期計画活動を実施した。国防省の ICT 環境に新しい IT システムを設計、構築、統合する市場の能力を評価するため、産業界 の関与と市場調査が行われた。2018年6月に開催されたユーザー要件と技術コンポーネントを洗練するためのワークショップとフォーラムには、AGSVAの新しい審査システムが統合またはインターフェースする必要があるICTシステムを持つ他の事業体などの外部の利害関係者は含まれていなかった。(段落 2.7 から 2.29 を参照のこと)。
17. The financial and technical risks associated with the planned procurement were assessed. To mitigate some of the identified risks, a list of mandatory products referring to trade names and producers was included in Defence’s tender documentation for the IT solution to be delivered by the systems integrator. As a result, the design of the procurement: 17. 計画された調達に関連する財務的及び技術的リスクがアセスメントされた。識別されたリスクのいくつかを軽減するために、システムインテグレーターが提供するITソリューションのための国防省の入札文書に、商品名と生産者に言及した必須製品のリストが含まれた。その結果、調達の設計が変更された:
• did not comply with Defence’s procurement policy framework and was inconsistent with the Commonwealth Procurement Rules (CPRs); ・国防省の調達方針の枠組みに準拠しておらず、連邦調達規則(CPR)と矛盾していた;
• reduced the opportunity for suppliers to propose alternative solutions based on ‘functional and performance requirements’ that may have met Defence’s requirements; and ・国防省の要求を満たす可能性のある「機能・性能要件」に基づく代替ソリューションをサプライヤーが提案する機会を減少させた。
• introduced critical dependencies that increased the integration and schedule risks of the project. These risks were not effectively managed or communicated to senior Defence leadership or government. (See paragraphs 2.30 to 2.52) ・プロジェクトの統合リスクとスケジュールリスクを増大させる重要な依存関係を導入した。これらのリスクは効果的に管理されず、国防省の上級幹部や政府にも伝えられなかった。(段落2.30から2.52参照)。
Governance, oversight and reporting arrangements ガバナンス、監督、報告の取り決め
18. Defence established governance, oversight and reporting arrangements for the Vetting Transformation Project in accordance with its Capability Life Cycle Manual — a framework that was designed to govern Defence’s acquisition of complex military equipment and materiel. These arrangements were not implemented effectively. (See paragraphs 2.63 to 2.79) 18. 国防省は、能力ライフサイクル・マニュアル(国防省の複雑な軍事装備と資材の取得を管理するために設計された枠組み)に従い、審査変革プロジェクトのガバナンス、監督、報告の取り決めを確立した。これらの取り決めは効果的に実施されなかった。(段落 2.63 から 2.79 参照)。
19. Reporting to decision-making forums accurately assessed the risks and issues that contributed to the problems experienced after the system ‘went live’. The impacts of those risks and issues on the expected functionality and capability of the system were not clearly communicated to Defence leadership. (See paragraphs 2.86 to 2.96) 19. 意思決定フォーラムへの報告は、システム「稼動」後に発生した問題の原因となったリスクと問題を正確に評価していた。これらのリスクや問題がシステムの期待される機能や能力に与える影響は、国防省のリー ダーシップに明確に伝えられていなかった。(パラグラフ2.86から2.96参照)。
20. Successive reviews, including independent assurance reviews found that project governance arrangements were not ‘formally defined and maintained’ and there was a lack of clarity on the purpose of and relationship between each forum within the governance model. At March 2024, Defence had commenced a program of work to address the identified governance issues, including the implementation of a new governance model for the project. (See paragraphs 2.82 to 2.84 and 2.103 to 2.112) 20. 独立保証レビューを含む一連のレビューで、プロジェクトガバナンスの取り決めが「正式に定義され維持」されておらず、ガバナンスモデル内の各フォーラムの目的と関係が明確でないことが判明した。2024年3月、政府は、プロジェクトの新しいガバナンス・モデルの導入を含め、特定されたガバナンスの問題に対処するための作業プログラムを開始した。(パラグラフ2.82~2.84、2.103~2.112参照)。
Procurement processes 調達プロセス
21. The processes to engage project approval and support services and the organisational change management partner were conducted in accordance with the CPRs. For the prime systems integrator (PSI) procurement, processes such as initial screening, evaluation, value for money assessment, and additional clarification activities were compliant with CPR requirements. Key shortcomings in the design of the PSI procurement resulted in the conduct of activities that were not consistent with the CPRs. These activities involved material changes to the technical solution, schedule and delivery approach and provided opportunities to the preferred supplier that were not provided to other prospective suppliers. These opportunities enabled the preferred supplier to develop a ‘solution to a budget’ and submit costings for work it did not originally tender for. (See paragraphs 3.15 to 3.44) 21. プロジェクト承認・支援サービスおよび組織変更管理パートナーとの契約プロセスは CPR に従って実施された。プライムシステムインテグレーター(PSI)調達については、初期審査、評価、バリューフォー マネーアセスメント、追加明確化活動などのプロセスは CPR 要件に適合していた。PSI 調達の設計における主な欠点は、CPR と整合しない活動を実施する結果となった。これらの活動は、技術的ソリューション、スケジュール、納品手法の重要な変更に関与し、 他のサプライヤー候補には提供されなかった機会を優先サプライヤーに提供した。このような機会により、優先サプライヤーは「予算に対するソリューション」を開発し、本来は 入札しなかった業務の原価を提出することができた。(パラグラフ3.15から3.44を参照のこと)。
22. Defence did not comply with its Accountable Authority Instructions for the procurement of the Project Delivery Partner in June 2022. Up to 85 per cent of the project management and other specialist support services were engaged through approaches to single suppliers, selected from a panel on each occasion. This approach was technically compliant with the CPRs but was not consistent with their intent — to drive value for money through competition. (See paragraphs 3.48 to 3.56) 22. 国防省は2022年6月のプロジェクト・デリバリー・パートナーの調達に関する認可当局の指示に従わなかった。プロジェクト管理およびその他の専門家支援サービスの最大85%は、その都度パネルから選ばれた単一のサプライヤーへのアプローチを通じて従事した。このアプローチは技術的にはCPRに準拠していたが、CPRの意図(競争を通じてバリュー・フォー・マネーを推進する)には合致していなかった。(段落3.48~3.56参照)。
Implementation of the system システムの実施
23. Identified risks and issues were not resolved in a timely manner and cumulative delays in providing Government Furnished Materials to the Prime Systems Integrator gave rise to risks impacting the critical path of the project. These risks were realised, reducing the time available to test the system as required prior to the core vetting system (the base capability) going live on 28 November 2022. (See paragraphs 3.63 to 3.66, 3.70 to 3.72, and 3.84 to 3.90) 23. 識別されたリスクと問題は適時に解決されず、プライムシステムインテグレータへの政府支給資材の提供における累積的な遅延は、プロジェクトのクリティカルパスに影響を与えるリスクを生じさせた。これらのリスクは現実のものとなり、2022年11月28日にコア審査システム(基本機能)が稼動する前に必要なシステムのテストに使える時間が短縮された。(パラグラフ3.63~3.66、3.70~3.72、3.84~3.90を参照)。
• Data cleansing and migration activities were not conducted effectively or completed in a timely manner. Representative data (production data) was not used for testing as planned. The impacts arising from these issues on the functionality and capability of the system were not clearly communicated to decision-makers. (See paragraphs 3.103 to 3.110) ・データクレンジングと移行作業は効果的に実施されず、また適時に完了しなかった。代表者データ(本番データ)が計画通りにテストに使用されなかった。これらの問題から生じるシステムの機能と能力への影響が意思決定者に明確にコミュニケーションされなかった。(パラグラフ3.103から3.110を参照)。
• Testing activities were truncated and were not conducted in line with agreed testing plans or in a manner consistent with Defence guidance. Testing activities that were to be conducted sequentially were conducted in parallel. (See paragraphs 3.111 to 3.123) ・テスト活動が切り捨てられ、合意されたテスト計画や国防省のガイダンスに沿った方法で実施されなかった。順次実施されるはずのテスト活動が並行して実施された。(段落 3.111 から 3.123 参照)。
• Defence does not have a program in place to monitor and review privileged user activity and does not have a process to periodically revalidate user accounts for the myClearance system. (See paragraphs 3.91 to 3.100) ・国防省は、特権ユーザの活動を監視しレビューするプログラムを実施しておらず、マイクリアランス・ システムのユーザ・アカウントを定期的に再検証するプロセスを有していない。(パラグラフ 3.91 から 3.100 参照)
24. Throughout 2023, Defence’s myClearance taskforce achieved progressive improvements to the core vetting system. In November 2023, Defence recommended that the government agree to de-scoping the: continuous assessment; automated risk sharing; use of artificial intelligence; and enhanced interfaces from the myClearance system. As a consequence, the myClearance system will not deliver the desired capability uplift or provide the full functionality advised to government in December 2020. (See paragraphs 3.135 to 3.139) 24. 2023 年を通して、国防省の マイクリアランス・タスクフォースは、中核的な審査システムの漸進的な改善を達成した。2023 年 11 月、国防省は政府に対し、マイクリアランス・システムから、継続的アセスメント、自動化されたリス ク共有、人工知能の使用、および強化されたインタフェースを削除することに同意するよう勧告した。その結果、マイクリアランス・システムは、2020年12月に政府に勧告されたような能力向上や全機能を提供することはできない。(段落3.135から3.139参照)。
Recommendations 勧告事項
25. The ANAO has made two recommendations to improve risk management for complex high value ICT projects and manage and maintain the security of the system. 25. ANAO は、複雑で高価値な ICT プロジェクトのリスクマネジメントを改善し、システムのセキュリティを 管理・維持するために、2 つの勧告を行った。
Recommendation no. 1 勧告 No.
Paragraph 2.53 パラグラフ2.53
The Department of Defence ensure that risk management plans, comprising a risk appetite statement and risk tolerances, are developed, implemented and maintained for its complex, high value ICT projects. 国防省は、複雑で高価値な ICT プロジェクトについて、リスク選好度声明とリスク許容度 からなるリスクマネジメント計画を策定し、実施し、維持することを確実にすること。
Department of Defence response: Agreed. 国防省の回答 同意する。
Recommendation no. 2 勧告 No.
Paragraph 3.101 パラグラフ 3.101
The Department of Defence develop and implement a program of work to periodically revalidate user access and monitor privileged user accounts to ensure that management of the myClearance system complies with the requirements of the Information Security Manual. 国防省は、マイクリアランス・システムの管理が情報セキュリティ・マニュアルの要件に準拠 していることを確認するため、定期的にユーザー・アクセスの再検証を行い、特権ユーザー・ アカウントを監視する作業プログラムを策定し、実施すること。
Department of Defence response: Agreed. 国防省の回答 同意する。
Summary of the Department of Defence’s response 国防省の回答の要約
26. The proposed audit report was provided to the Department of Defence. Defence’s summary response is provided below, and its full response is included at Appendix 1. Improvements observed by the ANAO during the course of this audit are listed in Appendix 2. 26. 提案された監査報告書は国防省にプロバイダされた。国防省の回答概要は以下に、回答全文は附属書 1 に記載されている。本監査の過程で ANAO が観察した改善点は附属書 2 に記載されている。
Defence acknowledges the Auditor-General’s findings that the implementation of the myClearance system was partly effective. Defence is committed to strengthening procurement and governance arrangements, ensuring important projects are delivered in the best interests of Australia’s national security. 国防省は、マイクリアランス・システムの導入が部分的に有効であったという監 査役の調査結果を認める。国防省は、重要なプロジェクトが豪州の国家安全保障に最善の利益をもたらすよう、調達とガ バナンス体制の強化に取り組んでいる。
Defence has achieved substantial improvements in security clearance processing since the system launched. Following the introduction of myClearance in November 2022, over 110,000 clearances have been processed, with over 75,000 clearances completed in the myClearance system during 2023–24. Vetting timeframes for all clearance levels are also being consistently met. 国防省は、マイクリアランス・システム導入以来、セキュリティ・クリアランス処理の大幅な 改善を達成してきた。2022年11月のマイクリアランス導入後、11万件を超えるクリアランスが処理され、2023-24年には7万5、000件を超えるクリアランスがマイクリアランス・システムで完了した。すべてのクリアランス・レベルの審査時間枠も一貫して遵守されている。
Defence is committed to increasing ICT project risk oversight and management through three robust lines of assurance to ensure decision makers are well informed of emerging risks and potential impacts. The methodology includes: 国防省は、意思決定者が新たなリスクと潜在的な影響について十分な情報を得られるよう、3つの強固な保証ラインを通じてICTプロジェクトのリスク監視・マネジメントの強化に取り組んでいる。その方法論には以下が含まれる:
• Establishing robust first-line assurance for ICT projects prior to progressing through gate decisions, ensuring all mandatory project artefacts are complete and performance milestones are achieved; ・ゲート決定を経て進行する前に、ICTプロジェクトに対する強固な第一線保証を確立し、すべての必須プロジェクト要素が完了し、パフォーマンスのマイルストーンが達成されていることを確認する;
• Increasing second-line assurance, assessing ICT project governance implementation and the end-to-end business solution; and ・セカンドラインの保証を強化し、ICTプロジェクトガバナンスの実施とエンドツーエンドのビジネスソリューションを評価する。
• Continuing third-line enterprise level objective assessment of adequacy, effectiveness and efficiency of governance, performance and risk management. ・ガバナンス、パフォーマンス、リスクマネジメントの適切性、有効性、効率性についてのエンタープライズレベルの客観的アセスメントを第3ラインとして継続する。
Defence is confident this holistic approach to oversight and assurance will enable active identification, robust management and reporting of risks and opportunities. 国防省は、監督と保証に対するこの総合的なアプローチによって、リスクと機会の積極的な特定、堅固なマネジメント、報告が可能になると確信している。
Key messages from this audit for all Australian Government entities オーストラリア政府全事業体に対する本監査の主なメッセージ
27. Below is a summary of key messages, including instances of good practice, which have been identified in this audit and may be relevant for the operations of other Australian Government entities. 27. 以下は、本監査で確認された、他のオーストラリア政府機関の業務に関連すると思われる、グッドプラクティスの事例を含むキーメッセージの要約である。
Governance and risk management ガバナンスとリスクマネジメント
• Reporting on technical issues and risks should be clearly communicated to senior leaders and decision makers in plain English and in terms of the anticipated impact on the functionality or capability of the system. ・技術的な問題やリスクに関する報告は、システムの機能や能力への予想される影響という観点で、 シニアリーダーや意思決定者にわかりやすく明確に伝えるべきである。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.11 日本でもセキュリティクリアランス制度が本格的に導入されることになりましたね...

 

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

 

 

その他、こちらも...

 

 まるちゃんの情報セキュリティ気まぐれ日記

日本...

・2024.02.28 内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定

・2024.02.20 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)

・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)

・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第9回)

・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第7回)

・2023.08.27 参議院常任委員会調査室・特別調査室:セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.10.19 自民党 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~ (2022.10.04)

 

 

米国...

・2024.02.26 米国 GAO 国防総省インテリジェンス:プログラムの監督を強化しリスクを管理するために必要な行動

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察

・2023.11.05 RAND研究所 多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

 

 

| | Comments (0)

2024.07.29

中国 公安部 国家サイバースペース管理局「国家ネットワーク ID 認証公共サービス管理弁法(意見募集案)」意見募集 (2024.07.26)

こんにちは、丸山満彦です。

中国の公安部、国家サイバースペース管理局が「国家ネットワーク ID 認証公共サービス管理弁法(意見募集案)」を公表し、意見募集をしていますね...

中国はインターネット実名制ですが、国家ネットワークID認証公共サービス基盤を利用することで、最小限の個人情報の提供ですむのでいいでしょうという話?

日本でも参考になる部分があるように思います...

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2024.07.26 公安部 国家互联网信息办公室关于《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见的公告

 

公安部 国家互联网信息办公室关于《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见的公告 公安部 国家サイバースペース管理局による「国家ネットワーク ID 認証公共サービ ス管理弁法(意見募集案)」公開諮問に関する発表
为强化公民个人信息保护,推进并规范国家网络身份认证公共服务建设应用,加快实施网络可信身份战略,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出意见建议: 国民の個人情報保護を強化し、国家ネットワーク身元認証公共サービスの構築と応用を促進・標準化し、ネットワーク信頼されるアイデンティティ戦略の実施を加速するため、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、中華人民共和国通信ネットワーク詐欺防止法などの法規に従って、公安部、国家サイバースペース管理局などは、「国家ネットワーク身元認証公共サービス管理弁法(案)」を研究・起草した。 公安部、国家インターネット情報弁公室などは、「国家ネットワーク身元認証公共サービス管理弁法(案)」を研究・起草し、現在一般に公開し、意見を募集している。 国民は以下の方法・手段で意見・提案を行うことができる:
附件:1.《国家网络身份认证公共服务管理办法(征求意见稿)》 添付資料: 1.国家ネットワークID認証公共サービス管理弁法(意見募集案)
2.关于起草《国家网络身份认证公共服务管理办法(征求意见稿)》的说明 2.国家ネットワーク識別情報認証公共サービス管理弁法(意見募集案)の作成に関する説明書

 

・全奥ネットワークID認証公共サービス管理弁法(意見募集案)

国家网络身份认证公共服务管理办法 国家ネットワーク識別情報認証公共サービス管理弁法(案
(征求意见稿) (意見募集案)
第一条 为实施网络可信身份战略,推进国家网络身份认证公共服务建设,保护公民身份信息安全,促进数字经济发展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,制定本办法。 第1条 本弁法は、中華人民共和国サイバーセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、中華人民共和国電気通信網詐欺対策法およびその他の法令に基づき、ネットワーク信頼されるアイデンティティ戦略を実施し、国家ネットワーク身元認証公共サービスの建設を推進し、国民の身元情報の安全を保護し、デジタル経済の発展を促進することを目的として制定される。
第二条 本办法所称国家网络身份认证公共服务(以下称“公共服务”),是指国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台(以下称“公共服务平台”),为自然人提供申领网号、网证以及进行身份核验等服务。 第2条 この弁法にいう国家ネットワーク ID 認証公共サービス(以下「公共サービス」という。)とは、 法定 ID 文書の情報に基づき、国家統一構築ネットワーク ID 認証公共サービスプラットフォーム(以下「公共サービスプラットフォーム」という。 (以下、「公共サービス・プラットフォーム」という。)において、ネットワーク番号、ネットワーク証明書の申請、本人確認の実施などのサービスを自然人に提供する。
本办法所称网号,是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。 本方針でいうネットワーク番号とは、自然人の身元情報に対応し、身元情報を明示しない文字と数字で構成されるネットワーク身元記号を指し、ネットワーク証明書とは、自然人のネットワーク番号および身元情報を明示しないネットワーク身元認証クレデンシャルを指す。 ネットワーク番号、ネットワーク証明書は、インターネットサービスおよび関連部門、業界管理、サービスおよび非明示的な登録、自然人の真の身元情報の検証で使用できる。
第三条 国务院公安部门、国家网信部门依照各自法定职责,负责国家网络身份认证公共服务的监督管理,监督、指导公共服务平台依法落实数据安全和个人信息保护义务。 第3条 国務院公安部門、国家インターネット情報部門は、それぞれの法定任務に従い、データセキュリティおよび個人情報保護義務の実施に従い、国家ネットワークID認証公共サービス、公共サービスプラットフォームの監督および指導の監督および管理を担当する。
国务院民政、文化和旅游、广播电视、卫生健康、铁路、邮政等部门依照本办法和有关法律、行政法规的规定,在各自职责范围内负责国家网络身份认证公共服务的推广应用和监督管理工作。 国務院の民政、文化観光、ラジオ・テレビ、衛生、鉄道、郵政などの部門は、本弁法および関連法律・行政法規の規定に従って、それぞれの職務範囲内で国家ネットワーク ID 認証公共サービスの推進および適用、監督および管理に責任を負う。
第四条 持有有效法定身份证件的自然人,可自愿向公共服务平台申领网号、网证。 第4条 有効な法的身元証明書を有する自然人は、ネットワーク番号およびネットワーク証明書を公共サービスプラットフォームに自主的に申請することができる。
不满十四周岁的自然人需要申领网号、网证的,应当征得其父母或者其他监护人同意,并由其父母或者其他监护人代为申领。 14歳未満の自然人がネットワーク番号、ネットワーク証明書を申請する場合、両親またはその他の保護者の同意を得る必要があり、両親またはその他の保護者が申請を代行する。
已满十四周岁未满十八周岁的自然人需要申领网号、网证的,应当在其父母或者其他监护人的监护下申领。 14歳に達したが18歳に達していない自然人がネットワーク番号またはネットワーク免許を申請する必要がある場合は、両親またはその他の保護者の監督の下で申請しなければならない。
第五条 根据法律、行政法规规定,在互联网服务中需要登记、核验用户真实身份信息的,可以使用网号、网证依法进行登记、核验。 第5条 法律および行政法規の規定に従い、インターネットサービスにおいて、利用者の身元情報を登録・確認する必要がある場合、登録・確認のために、法律に従ってネットワーク番号、ネットワークカードを使用することができる。
不满十四周岁的自然人使用网号、网证登记、核验真实身份信息的,应当征得其父母或者其他监护人同意。 ネットワーク番号、ネットワークカードの登録、本当の身元情報の検証を使用する14歳未満の自然人は、両親または他の保護者の同意を得なければならない。
第六条 鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证,为用户提供安全、便捷的身份登记和核验服务,通过公共服务培育网络身份认证应用生态。 第6条は、関係主務官庁および主要産業に対して、自主性の原則に従ってネットワーク番号およびネットワーク証明書の適用を促進し、利用者に安全で便利な ID 登録および検証サービスを提供し、公共サービスを通じてネットワーク ID 認証適用の生態を育成することを奨励する。
第七条 鼓励互联网平台按照自愿原则接入公共服务,用以支持用户使用网号、网证登记、核验用户真实身份信息,依法履行个人信息保护和核验用户真实身份信息的义务。 第7条は、インターネットプラットフォームが自主性の原則に従って公共サービスにアクセスし、利用者がネットワーク番号、ネットワーク証明書の登録、利用者の本当の身元情報の検証を利用することを支援し、法律に従って個人情報保護と利用者の本当の身元情報の検証の義務を果たすことを奨励する。
互联网平台接入公共服务后,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。 インターネットプラットフォームが公共サービスにアクセスする場合、利用者はネットワーク番号、ネットワーク証明書登録、本人確認情報の検証を利用することを選択し、検証を通じて、インターネットプラットフォームは、法律および行政法規に別段の定めがある場合、または利用者が同意した場合を除き、利用者に別途明示的な本人確認情報の提供を求めないものとする。
互联网平台应当保障使用网号、网证的用户与其他用户享有相同服务。 インターネットプラットフォームは、ネットワーク番号、ネットワーク証明書の利用者およびその他の利用者が同じサービスを享受することを保証しなければならない。
第八条 互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的,公共服务平台应当仅提供用户身份核验结果。 第8条 インターネットプラットフォームは、法律に基づき利用者の真正な身元情報を確認する必要があるが、利用者の法的身元証明書類情報を保持する必要はなく、公共サービスプラットフォームは利用者の身元確認結果のみを提供するものとする。
根据法律、行政法规规定,互联网平台确需获取、留存用户法定身份证件信息的,经用户授权或者单独同意,公共服务平台应当按照最小化原则提供。 法律および行政法規の規定に基づき、インターネットプラットフォームが本当に利用者の合法的身分証明書情報を取得、保持する必要がある場合、利用者が許可した場合、または利用者が個別に同意した場合、公共サービスプラットフォームは最小化の原則に従って提供しなければならない。
未经自然人单独同意,互联网平台不得擅自处理或者对外提供相关数据信息,法律、行政法规另有规定的除外。 自然人の個別同意がない場合、インターネットプラットフォームは、法律および行政法規に別段の定めがある場合を除き、関連データおよび情報を処理し、または外部に提供してはならない。
第九条 公共服务平台处理个人信息不得超出为自然人提供申领网号、网证以及进行身份核验等服务所必需的范围和限度,在向自然人提供公共服务时应当依法履行告知义务并取得其同意。处理敏感个人信息的,应当取得个人的单独同意,法律、行政法规规定应当取得书面同意的,从其规定。 第9条 公共サービスプラットフォームは、自然人に対してネットワーク番号、ネットワーク証明書の申請、本人確認などのサービスを提供するために必要な範囲および限度を超えて個人情報を取り扱ってはならず、法律に基づき公共サービスを提供する場合は、自然人に通知し同意を得る義務を履行しなければならない。機微(センシティブ)個人情報を取り扱う場合には、別途本人の同意を得るものとし、法令および行政規則において書面による同意を得ることが定められている場合には、当該規定を適用する。
未经自然人单独同意,公共服务平台不得擅自处理或者对外提供相关数据信息,法律、行政法规另有规定的除外。 公共サービスプラットフォームは、本人の同意がない場合、法令及び行政法規に別段の定めがある場合を除き、関連データ及び情報を処理し、または外部に提供してはならない。
公共服务平台应当依照法律、行政法规规定或者用户要求,及时删除用户个人信息。 公共サービスプラットフォームは、法律および行政法規の規定または利用者の要請により、適時に利用者の個人情報を削除しなければならない。
第十条 公共服务平台在处理用户个人信息前,应当通过用户协议等书面形式,以显著方式、清晰易懂的语言真实、准确、完整地向用户告知下列事项: 第10条 公共サービスプラットフォームは、利用者の個人情報を取り扱う前に、利用契約書及びその他の書面により、利用者に次の事項を分かりやすい言葉で、真実、正確かつ完全に通知しなければならない:
(一)公共服务平台的名称和联系方式; (一) 公共サービスプラットフォームの名称及び連絡先
(二)用户个人信息的处理目的、处理方式,处理的个人信息种类、保存期限; (二) 利用者の個人情報の利用目的及び取扱方法、取り扱う個人情報の種類及び保存期間
(三)用户依法行使其个人信息相关权利的方式和程序; (三) 利用者が法令に基づき個人情報に関する権利を行使するための方法及び手続
(四)法律、行政法规规定应当告知的其他事项。 (四) その他法令及び行政規則で定めるところにより、通知しなければならない事項
处理敏感个人信息的,还应当向个人告知处理的必要性以及对个人权益的影响,法律、行政法规另有规定的除外。 機微(センシティブ)個人情報を取り扱う場合には、法令に別段の定めがある場合を除き、その必要性及び本人の権利利益に与える影響についても本人に通知するものとする。
第十一条 公共服务平台处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。 第11条 公共サービスプラットフォームは、個人情報を取り扱う場合であって、法令及び行政規則で定める秘密を保持すべき事情又は通知することを要しない事情があるときは、前条第1項に規定する事項を本人に通知しないことができる。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,公共服务平台应当在紧急情况消除后及时告知。 緊急事態において、自然人の生命、健康及び財産の安全を保護するため、適時に本人に通知することができない場合、公益事業プラットフォームは、緊急事態が解消した後、適時に本人に通知しなければならない。
第十二条 公共服务平台应当加强数据安全和个人信息保护,依法建立并落实安全管理制度与技术防护措施。 第12条 公共サービスプラットフォームは、データセキュリティと個人情報保護を強化し、法律に基づいてセキュリティ管理システムと技術保護措置を構築し、実施しなければならない。
第十三条 公共服务平台的建设和服务涉及密码的,应当符合国家密码管理有关要求。 第13条 公共サービスプラットフォームの建設およびパスワードが関係するサービスは、国家パスワード管理の関連要求を遵守しなければならない。
第十四条 违反本办法第七条第二款、第八条、第九条、第十条、第十二条规定,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》应当追究法律责任的,由国务院公安部门、国家网信部门在各自职责范围内依法予以处罚;构成犯罪的,依法追究刑事责任。 第14条 「中華人民共和国ネットワーク安全法」、「中華人民共和国データ安全法」、「中華人民共和国個人情報保護法」に基づき、本弁法第7条第2項、第8条、第9条、第10条、第12条の規定に違反した場合、国務院公安部門、国家インターネット情報化部門は、それぞれの責任範囲において、法律に従って処罰され、犯罪を構成する。刑事責任は、法律に従って調査されなければならない。
第十五条 本办法所称法定身份证件,包括居民身份证、定居国外的中国公民的护照、前往港澳通行证、港澳居民来往内地通行证、台湾居民来往大陆通行证、港澳居民居住证、台湾居民居住证、外国人永久居留身份证等身份证件。 第15条 本弁法にいう法定身分証明書には、在留身分証明書、海外に定住する中国公民のパスポート、香港・マカオへの渡航許可証、香港・マカオ居住者の本土との往復渡航許可証、台湾居住者の本土との往復渡航許可証、香港・マカオ居住者の本土との往復渡航居住許可証、台湾居住者の本土との往復渡航居住許可証、永住外国人身分証明書などの身分証明書が含まれる。
第十六条 本办法自 年 月 日起施行。 第16条 本弁法は、年 月 日から施行する。

 

解説...

关于起草《国家网络身份认证公共服务管理办法(征求意见稿)》的说明 国家ネットワーク・アイデンティティ認証公共サービス管理弁法(案)」(意見募集案) についての説明
一、起草必要性 一、草案の必要性
为全面贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》中关于国家实施网络可信身份战略、推进网络身份认证公共服务建设等有关规定,国家组织建设网络身份认证公共服务基础设施,旨在建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众统一签发“网号”“网证”,提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。基于国家网络身份认证公共服务(以下简称公共服务),自然人在互联网服务中依法需要登记、核验真实身份信息时,可通过国家网络身份认证APP自愿申领并使用“网号”“网证”进行非明文登记、核验,无需向互联网平台等提供明文个人身份信息。由此,可以最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。为进一步强化个人信息保护、规范公共服务的运行管理,公安部、国家互联网信息办公室等有关部门经充分调研论证,起草了《国家网络身份认证公共服务管理办法(征求意见稿)》(以下简称《管理办法》)。 中華人民共和国ネットワーク安全法、中華人民共和国データ安全法、中華人民共和国個人情報保護法、および中華人民共和国電気通信ネットワーク詐欺防止法の関連規定 を全面的に実施し、国家ネットワーク信頼できる ID 戦略を実施し、ネットワーク ID 認証公共サービスの建設を推進するため、国家はネットワーク ID 認証公共サービス・インフラを構築する。 国家ネットワーク ID 認証公共サービス・プラットフォーム、国家ネットワーク ID 認証公共サービ ス能力の形成、国民のための「ネットワーク番号」と「ネットワーク証明書」の統一的な発行、法定 ID 文書の情報に基づく本当の ID 登録および検証サービスを提供し、 国民の利用の利便性を実現し、個人情報の安全を保護する。国民の利用を容易にし、個人情報のセキュリティを保護し、ネットワーク信頼される ID 戦略を推進するという目標を達成するために、法的な ID 文書情報に基づいて実際の ID 登録および検証サービスを提供する。国家ネットワーク ID 認証公共サービス(以下、公共サービスという)に基づき、自然人が法律 に従ってインターネット・サービスに自分の本当の ID 情報を登録および検証する必要が ある場合、国家ネットワーク ID 認証 APP を通して「ネットワーク番号」および「ネットワーク証明書」を自主的に申請し、使用することができる。 インターネット・サービスにおいて実 ID 情報の登録および検証が法律で義務付けられている場合、申請者は、インターネット・プラットフォームに明示的な個人 ID 情報を提供する必要なく、非明示的な登録および検証を実施するように、国家ネットワーク ID 認証 APP を通じて「ネットワーク番号」および「ネット証明書」を自主的に申請および使用することができる。これにより、インターネット・プラットフォームが「実名制」の範囲を超えて市民の個人情報を収集・保持する必要性を最小限に抑えることができる。個人情報の保護をさらに強化し、公共サービスの運営管理を規制するため、公安部、国家サイバースペース管理局およびその他の関連部門は、綿密な調査と実証を経て、「国家ネットワーク身元認証公共サービス管理弁法(案)」(以下、「管理弁法」という)を起草した。
二、主要内容 二、主な内容
《管理办法》共16条,主要包括四个方面的内容:一是明确了公共服务和“网号”“网证”等概念;二是明确了公共服务的使用方式和场景;三是强调了公共服务平台和互联网平台的数据和个人信息保护义务;四是明确了公共服务平台和互联网平台违反数据和个人信息保护义务的法律责任。 第一に、公共サービスと「ネットワーク番号」、「ネットワーク証明書」の概念を明確にしている。第二に、公共サービスの利用方法とシナリオを明確にしている。第三に、公共サービスプラットフォームとインターネットプラットフォームのデータと個人情報保護義務を強調している。第三に、公共サービスプラットフォーム及びインターネットプラットフォームのデータ及び個人情報保護義務を強調し、第四に、公共サービスプラットフォーム及びインターネットプラットフォームのデータ及び個人情報保護義務違反に対する法的責任を明らかにした。
三、主要考虑 三、主な検討事項
《管理办法》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》的规定,明确了使用“网号”“网证”进行网络身份认证的方式,并对“网号”“网证”的申领条件、公共服务的使用场景、法定身份证件范围、数据和个人信息安全保护义务等基础性事项作出规定。此外,依照《中华人民共和国个人信息保护法》《未成年人网络保护条例》等对未成年人的特殊保护要求,对未成年人申领、使用公共服务作出了特别规定。 中華人民共和国ネットワーク安全法』、『中華人民共和国データ安全法』、『中華人民共和国個人情報保護法』、『中華人民共和国電気通信ネットワーク詐欺対策法』の規定に基づき、本行政弁法はネットワーク身元認証に「ネットワーク番号」と「ネットワーク証明書」を使用することを規定している。また、「ネットワーク番号」および「ネットワーク証明書」を使用するネットワーク ID 認証の方法を規定し、「ネットワーク番号」および「ネットワーク証明書」の適用条件、公共サービスの使用シナリオ、合法的な ID 文書の範囲、 データおよび個人情報のセキュリティ保護の義務、およびその他の基本的な事項について規定している。規定する。また、「中華人民共和国個人情報保護法」および「インターネットにおける未成年者の保護に関する規定」に基づく未成年者の特別な保護要件に従い、未成年者が公共サービスを申請および利用するための特別な規定が設けられている。
《管理办法》鼓励互联网平台接入公共服务,支持用户使用“网号”“网证”登记、核验真实身份,并作为其履行用户真实身份核验和个人信息保护等法定义务的一种方式。对自愿选择使用“网号”“网证”的用户,除法律法规有特殊规定或者用户同意外,互联网平台不得要求用户另行提供明文身份信息,最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。 行政弁法」は、インターネットプラットフォームが公共サービスにアクセスすることを奨励し、「ネットワーク番号」と「ネットワーク証明書」の利用を支持して、利用者の本当の身元を登録・確認し、利用者の本当の身元を確認し、個人情報を保護する法的義務を果たす方法としている。自発的に「ネットワーク番号」および「ネットワーク証明書」の使用を選択するユーザーについては、法令に特別な規定がある場合またはユーザーが同意する場合を除き、インターネットプラットフォームはユーザーに別途明示的な身元情報の提供を求めないものとし、インターネットプラットフォームが「実名制」を実施する必要性を最小限に抑える。本行政措置は、「中華人民共和国実名制」および「中華人民共和国行政弁法」に厳格に従う。
《管理办法》严格依照《中华人民共和国个人信息保护法》等上位法的规定,充分保障了用户个人信息相关权利。明确了公共服务平台采集个人信息的“最小化和必要性原则”,即公共服务平台处理个人信息不得超出为自然人提供“网号”“网证”相关服务所必需的范围和限度。明确了公共服务平台处理用户个人信息时的解释告知、数据保护等义务,充分保障用户的知情权、选择权、删除权等个人信息相关权利。 本行政措置は、「中華人民共和国個人情報保護法」及びその他の優越的な法律の規定を厳格に遵守し、ユーザーの個人情報に関する権利を全面的に保護する。公共サービスプラットフォームが個人情報を収集する際の「必要最小化の原則」が明確に規定されている。すなわち、公共サービスプラットフォームが個人情報を取り扱うのは、自然人の「ネットワーク番号」および「ネットワーク証明書」に関連するサービスを提供するために必要な範囲を超えないものとする。公共サービスプラットフォームは、自然人に対する「ネット番号」及び「ネット証明書」関連サービスの提供に必要な範囲及び限度を超えて、個人情報を取り扱ってはならない。公共サービスプラットフォームが利用者の個人情報を取り扱う際の説明・通知、データ保護などの義務を明確にし、利用者の個人情報に関する知る権利、選択する権利、削除する権利などの権利を全面的に保護する。
《管理办法》明确了身份核验结果信息的“最小化提供原则”和依法处理要求。对依法需要核验用户真实身份但无需留存用户法定身份证件信息的,公共服务平台应当仅向互联网平台提供核验结果;对于依法确需获取、留存用户法定身份证件信息的,经用户单独同意,公共服务平台应按照“最小化原则”向互联网平台提供必要、相关的明文信息。 行政措置では、「本人確認の結果に関する情報の提供を最小限に抑える原則」と、法律に従った処理の要件が規定されている。法律で要求される利用者の身元確認については、利用者の法的身元証明書情報を保持する必要なく、公共サービス・プラットフォームはインターネット・プラットフォームに確認結果のみを提供するものとし、利用者の法的身元証明書情報を取得および保持する法的必要性については、利用者の個別の同意を得て、公共サービス・プラットフォームは「最小化」の原則に従い、必要かつ関連性のある明示的な情報をインターネット・プラットフォームに提供するものとする。公共サービスプラットフォームは、利用者個人の同意を得て、「最小化原則」に従い、必要かつ関連性のある明示的な情報をインターネットプラットフォームに提供するものとする。

 

1_20210612030101

 

| | Comments (0)

米国 PCAOB 監査と財務報告における生成的AIの統合に関するアウトリーチ活動に関するスタッフの最新情報 (2024.07.22)

こんにちは、丸山満彦です。

数年前の話だったと思いますが、AIによって大幅に仕事が無くなる職業として上位に経理・監査業務があったかのように思います。それほど、経理・監査業務においてAIの利用が期待されているのだろうと思います。

実体は全ての人をAIが置き換えるというよりも、多くの仕事はAIに置き換わるが、最後まで人の判断は必要となるので、人とAIがどのように統合的に仕事をするのか?ということが問題になってくるのだろうと思います。

ということもあって?、PCAOBが、監査と財務報告における生成的AIに利用に関する簡単な報告書を公表しています...

大企業の監査をしているAudit Firmにインタビューをしたということで、Big4+αに聞いているようです...(ちなみにBig4のグローバルの収入はこちら...D>P>E>Kですね...)

Big4はどこも監査にAIを活用しようとしているでしょうね...これからはそうなる...多くの作業はたしかに、AIに置き換えられるが、最終判断は人間がしないといけない。今は、熟練した監査人がいるが、下積み作業がAIにかわられると今とは違う監査人の育成の仕方が必要となるでしょうね...

 

Public Company Accounting Oversight Board; PCAOB

・2024.07.22 [PDF] SPOTLIGHT: Staff Update on Outreach Activities Related to the Integration of Generative Artificial Intelligence in Audits and Financial Reporting

20240728-203953

 

OVERVIEW 概要
Recent expansion in the development and capabilities of artificial intelligence (AI) is changing the business landscape. While artificial intelligence has existed in different forms for many years, generative AI (“GenAI”) has emerged as a tool with significant potential to affect the business environment, including the way auditors plan and perform audits.  最近の人工知能(AI)の開発と能力の拡大は、ビジネス環境を変えつつある。人工知能は長年にわたり様々な形で存在してきたが、生成的AI(「GenAI」)は、監査人が監査を計画・実行する方法を含め、ビジネス環境に大きな影響を与える可能性を秘めたツールとして登場した。
GenAI is a technology that can produce new content, including text, images, audio, or video, when prompted by a user. Unlike traditional AI, which focuses on solving specific tasks using predefined rules or patterns in users’ data, GenAI creates new content in response to user instructions or queries using algorithms that are trained using specified information, often open-source information such as text and images from the internet. These algorithms use iterative training and feedback loops enabling the generative models to create a wide range of content. GenAIは、ユーザーに促されると、テキスト、画像、音声、動画などの新しいコンテンツを生成できる技術である。ユーザーのデータから事前に定義されたルールやパターンを使用して特定のタスクを解決することに重点を置く従来のAIとは異なり、GenAIは、指定された情報(多くの場合、インターネットからのテキストや画像などのオープンソース情報)を使用して訓練されたアルゴリズムを使用して、ユーザーの指示やクエリに応答して新しいコンテンツを作成する。これらのアルゴリズムは反復訓練とフィードバックループを使用し、生成的モデルが幅広いコンテンツを作成することを可能にしている。
In recent months, PCAOB staff conducted limited outreach to several audit firms and companies to understand their perspectives on the integration of GenAI in audits and financial reporting. The purpose of this Spotlight is to provide greater transparency regarding the use of GenAI in audits and financial reporting by sharing observations from that outreach.   ここ数ヶ月、PCAOBのスタッフは、監査と財務報告におけるGenAIの統合に関する彼らの見解を理解するために、いくつかの監査法人や企業に対して限定的なアウトリーチを行った。このスポットライトの目的は、そのアウトリーチから得られた見解を共有することで、監査と財務報告におけるGenAIの使用に関する透明性を高めることである。 
PCAOB STAFF OUTREACH PCAOBスタッフによるアウトリーチ
The PCAOB’s standard-setting agenda includes a research project to assess whether there is a need for guidance, changes to PCAOB standards, or other regulatory actions in light of the increased use of technology-based tools in the preparation and subsequent audit of financial statements. The research includes evaluating the role that technology innovation plays in driving audit quality[1] through outreach with various stakeholders, including the PCAOB’s Standards and Emerging Issues Advisory Group,[2] and other activities. PCAOBの標準設定アジェンダには、財務諸表の作成及びその後の監査におけるテクノロジーベースのツールの使用の増加に照らして、ガイダンスの必要性、PCAOB基準の変更、又はその他の規制措置の必要性があるかどうかを評価するための調査プロジェクトが含まれている。この調査には、PCAOBの標準・新興問題諮問グループ[2]を含む様々な利害関係者とのアウトリーチ活動[1]を通じて、技術革新が監査品質[1]の向上に果たす役割を評価することも含まれている。
In connection with this research, we conducted outreach regarding the current state of integration of GenAI tools in audits and financial reporting. We spoke to auditors mainly at larger firms[3] and representatives from several companies (i.e., preparers of the financial statements) about their current use of GenAI and the direction in which they expect GenAI will be integrated in audits and financial reporting. As the use of GenAI evolves, we plan to continue outreach with these and other stakeholders and perform other research activities to better understand the effect of GenAI on planning and performing the audit. この調査に関連して、我々は、監査及び財務報告におけるGenAIツールの統合の現状に関するアウトリーチを実施した。我々は、主に大企業の監査人[3]及び複数の企業の代表者(すなわち、財務諸表の作成者)に対し、GenAIの現在の利用状況及びGenAIが監査及び財務報告に統合される方向性について話を聞いた。GenAIの利用が進展するにつれて、我々は、これらの利害関係者及びその他の利害関係者とのアウトリーチを継続し、GenAIが監査の計画及び実施に及ぼす影響をよりよく理解するために、その他の調査活動を実施する予定である。
OBSERVATIONS FROM STAFF OUTREACH スタッフのアウトリーチからの見解
The integration of GenAI in audits and financial reporting is in its early stages but rapidly evolving. The observations below reflect the use of GenAI discussed by auditors and preparers at the time of our outreach. Audit firms and preparers alike emphasized that they are continuing to explore various ways of integrating GenAI-enabled tools in auditing and financial reporting. 監査と財務報告におけるGenAIの統合は初期段階にあるが、急速に進化している。以下の見解は、アウトリーチ実施時に監査人及び作成者によって議論されたGenAIの利用を反映したものである。監査法人も作成者も同様に、監査と財務報告においてGenAIを活用したツールを統合する様々な方法を模索し続けていることを強調している。
Observations Related to GenAI Integration in Audits   監査におけるGenAIの統合に関する見解  
Based on the information we obtained, the current integration of GenAI in audits conducted by the firms we spoke to appears to be focused primarily on administrative and research activities. However, most audit firms interviewed noted the potential for using GenAI in certain aspects of planning and performing the audit. These firms indicated that PCAOB auditing standards are not currently viewed as impediments to the development and use of GenAI in the audit. Key observations from our outreach with audit firms include: 我々が入手した情報によると、我々がインタビューした監査法人が実施した監査におけるGenAIの現在の統合は、主に管理及び調査活動に焦点を当てているようである。しかしながら、インタビューした監査事務所のほとんどは、監査の計画及び実施の特定の局面においてGenAIを利用する可能性を指摘している。これらの監査事務所は、PCAOB監査標準は、現在、監査におけるGenAIの開発及び使用の障害とはなっていないと考えている。監査事務所へのアウトリーチから得られた主な意見は以下の通りである:
Current Use of GenAI: Some firms stated that their staff can use GenAI when preparing certain administrative documents or initial drafts of memos and presentations related to the audit. Some firms also indicated that they had developed and deployed GenAI-enabled tools to assist staff in researching internal accounting and auditing guidance. Generally, the global network firms we spoke to are further along in developing and deploying GenAI-enabled tools than non-affiliated firms are. ・GenAIの現在の利用: 一部の監査法人は、監査に関連する特定の管理文書、メモやプレゼンテーションの初回ドラフトを作成する際に、スタッフがGenAIを利用することができると述べている。また、内部会計や監査ガイダンスの調査を支援するために、GenAIを利用したツールを開発・導入しているファームもある。一般的に、我々が話を聞いたグローバル・ネットワーク・ファームは、非系列ファームよりもGenAI対応ツールの開発・展開が進んでいる。
Investment in GenAI: Most firms indicated that they are continuing to invest in GenAIenabled tools either by developing them internally or by partnering with third parties. These firms identified several potential areas where such tools may assist engagement teams in the future with planning and performing audits. The areas could include assisting with summarizing accounting policy and legal documents, evaluating the completeness of audit documentation against relevant documentation requirements, performing certain risk assessment procedures, scoping the audit, evaluating the completeness of financial statement disclosures, and comparing amounts in the financial statements or notes to the financial statements with audited amounts.  ・GenAIへの投資:ほとんどの監査法人は、GenAI対応ツールの内部開発またはサードパーティとの提携により、GenAI対応ツールへの投資を継続していると回答した。これらの監査法人は、将来、このようなツールが監査チームの監査計画立案や監査実施を支援する可能性のある分野をいくつか挙げている。そのような分野には、会計方針及び法的文書の要約、関連文書要件に照らした監査文書の完全性の評価、特定のリスクアセスメント手続の実行、監査のスコーピング、財務諸表の開示の完全性の評価、財務諸表又は財務諸表の注記と監査された金額との比較などが含まれる。
Limitations on the Use of GenAI: Data privacy and data security continue to be areas of focus for firms. Some firms described safeguards in place that address what information can be uploaded to firms’ GenAIenabled tools in order to prevent confidential information (e.g., data of companies under audit) from becoming public. Further, some firms also said that they have policies in place that limit the extent to which staff can use GenAI tools in an audit. Some firms currently do not allow GenAI to be used when performing audit or attest procedures due to data privacy concerns and other risks, such as reliability concerns related to GenAI output (discussed below). ・GenAI利用の制限:データ・プライバシーとデータ・セキュリティは、引き続き企業にとって重要な分野である。機密情報(例えば、監査対象企業のデータ)が公になることを防ぐため、GenAI対応ツールにどのような情報をアップロードできるかを定めたセーフガードを導入していると説明する企業もあった。さらに、監査においてスタッフがGenAIツールを使用できる範囲を制限するポリシーを設けているファームもあるという。データ・プライバシーの懸念や、GenAIの出力に関する信頼性の懸念(後述)などのリスクにより、現在、監査手続や証明手続を実施する際にGenAIを使用することを認めていない事務所もある。
Supervision and Review of GenAI: The firms that are investing in GenAI-enabled tools indicated that they expect GenAI to augment, but not replace, humans in auditing or in financial reporting. In their view, human involvement remains essential for auditors and preparers and is needed to review the output from GenAI. Some firms noted that, despite the ongoing integration of GenAI, their policies for the supervision and review of audits have not changed. These firms indicated that an engagement team member who uses a GenAI-enabled tool is still responsible for the results and documentation of the work. Likewise, these firms indicated that supervisors who review work performed with the assistance of GenAI are expected to apply the same level of diligence as when reviewing work where GenAI was not involved.  GenAIの監督とレビュー:GenAI対応ツールに投資している企業は、GenAIが監査や財務報告において人間を補強することはあっても、代替することはないと考えている。彼らの見解によれば、監査人及び作成者にとって人間の関与は不可欠であり、GenAIからのアウトプットをレビューするために必要である。GenAIの統合が進んでいるにもかかわらず、監査の監督とレビューの方針は変わっていないと指摘する事務所もある。これらのファームは、GenAI対応ツールを使用する監査チームメンバーは、その結果と文書化に責任を負うと述べている。同様に、これらの監査法人は、GenAIの支援を受けて実施された業務をレビューする監 督者は、GenAIが関与していない業務をレビューする場合と同レベルの注意を払うことが期待され ているとしている。
Risks Related to GenAI Input and Output: Some audit firms emphasized the importance of the auditability of both the underlying source data (whether from public sources or confidential company information) and GenAI-created content when GenAIenabled tools are used. For example, some firms are designing their GenAI tools to document the relevant underlying source data used. Further, some firms noted that GenAI output may not always be reliable because GenAI may sometimes generate new content that is false or misleading (socalled “hallucinations”) or may be skewed or biased. To mitigate these risks, some firms are developing more specific instructions or queries for users that are intended to improve the consistency and accuracy of responses provided by GenAI. Some firms also pointed to risks related to the data used in GenAI tools (e.g., using source data in large language models that is incomplete or compromised). GenAI のインプットとアウトプットに関連するリスク: GenAIインプットとアウトプットに関連するリスク:一部の監査法人は、GenAI対応ツールが使用される場合、基礎となるソースデータ(公開ソースか企業機密情報かを問わない)とGenAIが作成したコンテンツの両方の監査可能性の重要性を強調している。例えば、いくつかのファームは、GenAIツールを設計し、使用された関連するソースデータを文書化している。さらに、GenAIは時に虚偽や誤解を招く(いわゆる「幻覚」)コンテンツを生成したり、歪んだりバイアスがかかったりする可能性があるため、GenAIの出力が必ずしも信頼できるとは限らないと指摘する企業もある。このようなリスクを軽減するために、GenAIが提供する回答の一貫性と正確性を改善することを目的とした、より具体的な指示やクエリーをユーザー向けに開発している企業もある。また、GenAIツールで使用されるデータに関連するリスク(例えば、不完全または危うい大規模言語モデルのソースデータの使用)を指摘する企業もある。
Other Risks Related to the Use of GenAI: Some firms indicated that the use of GenAI by preparers could amplify certain existing information technology risks (e.g., risks related to the segregation of duties), or potentially create new risks that previously did not exist. Firms indicated that identifying and assessing new and emerging risks remain top of mind as GenAI-enabled tools are developed and integrated in audits. GenAIの使用に関連するその他のリスク:一部の会社は、作成者によるGenAIの使用は、特定の既存の情報技術のリスク(例えば、職務分掌に関連するリスク)を増幅させる可能性があり、また、以前は存在しなかった新たなリスクを生み出す可能性があると指摘している。監査法人は、GenAIを利用できるツールが開発され、監査に統合される中で、新たなリスクの識別とアセスメントが引き続き最重要課題であると指摘している。
Firm Policies Related to GenAI: Firms emphasized the importance of policies and procedures, internal controls, and training related to the use of GenAI. Some firms said the development of policies, procedures, and controls for GenAI tools was similar to the development for other technology solutions. For example, these firms develop resources and training for staff on the appropriate use of technology tools, including GenAI.  GenAIに関連する会社の方針:会社は、GenAIの使用に関連する方針と手続き、内部統制、及びトレーニングの重要性を強調した。GenAIツールのための方針、手順、統制の整備は、他のテクノロジーソリューションのための整備と同様であると答えた会社もあった。例えば、これらの企業は、GenAIを含むテクノロジーツールの適切な使用に関するリソースやトレーニングをスタッフ向けに開発している。
Observations Related to GenAI Integration in Financial Reporting 財務報告におけるGenAIの統合に関する見解
Our outreach indicated that preparers are exploring how GenAI can be used throughout their operations. While some preparers are exploring opportunities to incorporate GenAI in accounting and financial reporting processes, integrating GenAI in these processes appears to be secondary to integrating GenAI in operational and customer-facing areas. Key observations from our outreach to preparers include: 我々のアウトリーチによれば、作成者は、GenAIをどのように業務に活用できるかを模索している。会計・財務報告プロセスにGenAIを組み込む機会を模索している作成者もいるが、これらのプロセスにおけるGenAIの統合は、業務・顧客対応分野におけるGenAIの統合に比べ、二次的なものであるようだ。作成者へのアウトリーチから得られた主な見解は以下の通りである:
Current Use of GenAI: Some preparers noted that their personnel use GenAI in creating initial drafts of internal documents (e.g., summaries of accounting standards and interpretations, presentations, and benchmarking of company information with publicly available information from competitors). In addition, some preparers also use GenAI to assist in the performance of less complex and repetitive processes, such as preparing account reconciliations or to assist with identifying reconciling items.  GenAIの現在の利用:一部の作成者は、担当者が内部文書(例えば、会計基準や解釈の要約、プレゼンテーション、競合他社から公開されている情報との会社情報のベンチマーク)の初期ドラフトを作成する際にGenAIを利用していることを指摘している。加えて、一部の作成者は、勘定照合表の作成や、照合項目の識別の補助など、それほど複雑でない反復的なプロセスの実行を補助するためにGenAIを使用している。
Supervision and Review of GenAI: Preparers emphasized that while GenAI has the potential to improve the efficiency of certain financial reporting processes, human involvement in supervising the use of GenAI and reviewing GenAI output continues to be important. GenAIの監督とレビュー:GenAIは特定の財務報告プロセスの効率を改善する可能性を秘めているが、GenAIの使用を監督し、GenAIのアウトプットをレビューする人間の関与が引き続き重要であることを輸入事業者は強調している。
Governance of GenAI: Some preparers said the development and integration of GenAI was similar to the development of processes and governance for other types of technology (e.g., running technology in a parallel environment prior to deployment). Other preparers indicated that they are establishing new policies and procedures to ensure appropriate oversight of the development, integration, and use of GenAI tools. Some preparers also emphasized the importance of establishing controls over the reliability and accuracy of the data used to train GenAI models and acknowledged that there may be challenges in establishing these controls for GenAI models that are developed or trained by third parties.  GenAIのガバナンス:一部の作成者は、GenAIの 開発と統合は、他のタイプのテクノロジーに対す るプロセスやガバナンスの開発と同様であると述べている (例えば、導入前に並行環境でテクノロジーを稼動 させる)。他の作成者は、GenAIツールの開発、統合、使用に関する適切な監視を確実にするために、新たな方針と手順を確立していると述べた。また、一部の輸入事業者は、GenAIモデルの学習に使用されるデータの信頼性と正確性に関する制御を確立することの重要性を強調し、サードパーティによって開発または学習されたGenAIモデルについてこれらの制御を確立することに課題がある可能性があることを認めた。
Consistency of GenAI Created Content: Preparers noted certain challenges in the broader use of GenAI within the financial reporting process. They include the “blackbox” nature of some GenAI tools and the lack of consistent output produced by GenAI, which raise questions around the auditability of certain GenAI-created output. Some preparers are testing individual use cases to understand the extent of controls that would be needed before GenAI is more widely integrated in the financial reporting processes. GenAIが作成したコンテンツの一貫性: 作成者は、財務報告プロセスにおいてGenAIをより広範に利用する上での課題を指摘している。その課題とは、一部のGenAIツールの「ブラックボックス」的な性質や、GenAIが作成する出力に一貫性がないことであり、GenAIが作成する特定の出力の監査可能性に疑問を投げかけている。一部の作成者は、GenAIが財務報告プロセスに広く統合される前に、必要となる統制の程度を理解するために、個々のユースケースをテストしている。
NEXT STEPS – WE WANT TO HEAR FROM YOU  次のステップ - ご意見をお聞かせいただきたい 
We are eager to hear from auditors about how they are integrating GenAI in the audit and how the use of this technology is affected by the requirements in PCAOB standards. We are also eager to hear from preparers about how GenAI is used in financial reporting, and from other stakeholders – including audit committee members, investors, and academics – about how GenAI may be used in the audit or financial reporting. We encourage you to share your experiences with the topics discussed in this Spotlight or other related areas. Please reach out to us at [mail] . 我々は、監査人がGenAIをどのように監査に組み込んでいるか、また、この技術の使用がPCAOB標準の要求事項によってどのような影響を受けるかについて、監査人から話を聞くことを切望している。また、監査委員会メンバー、投資家、学識経験者を含むその他の利害関係者からも、監査や財務報告においてGenAIがどのように利用される可能性があるのかについて聞きたい。また、監査委員会のメンバーや投資家、学識経験者など、その他の利害関係者からも、監査や財務報告においてGenAIがどのように利用されるかについてご意見をお寄せいただきたい。[mail]
   
   
[1] PCAOB Standard-Setting, Research, and Rulemaking Projects as of May 2024, available at: [web] [1] 2024年5月時点のPCAOB基準設定、研究及び規則制定プロジェクト、[web]で入手可能
[2] See, e.g., the June 29, 2023, meeting of the SEIAG which discussed emerging issues in auditing, including artificial intelligence. An archive of the meeting agenda, briefing papers, and webcast is available at [web]. [2] 例えば、人工知能を含む監査における新たな論点について議論したSEIAGの2023年6月29日の会合を参照のこと。会議のアジェンダ、ブリーフィング・ペーパー、ウェブキャストのアーカイブは、 [web]で入手可能。
[3] Audit firms included in this staff outreach consist of the U.S. global network firms and several U.S. non-affiliated firms that audit more than 100 issuers. Collectively, these firms audit the majority of the market capitalization for issuers. [3] 今回のアウトリーチに参加した監査法人は、米国のグローバル・ネットワーク・ファームと、 100以上の発行体を監査する米国の非系列ファーム数社で構成されている。これらの監査法人を合わせると、発行体の時価総額の大半を監査していることになる。

 

 

| | Comments (0)

NISC 経団連 サイバーセキュリティの確保に向けた企業経営層向け意見交換会 河野大臣があいさつ

こんにちは、丸山満彦です。

NISCと経団連がサイバーセキュリティの確保に向けた企業経営層向け意見交換会を7月26日に実施したようですね。200名ほど参加したようです。開会の挨拶は河野大臣...

インシデント事例等に関する説明と質疑応答・意見交換...

資料1 「サイバーセキュリティの確保に向けた企業経営層向け意見交換会(当日配布資料)」
資料2 「名古屋港コンテナターミナルのサイバー攻撃におけるインシデント対応について」

資料1は、JAXAの案件、NISCのメールデータの漏えいの話がありますね。。。で、Living off the Land戦術についての説明もしていますね...

資料2は北尾さんの資料ですね...業務的に観点も含めて時系列に整理していますね...

そういえば、河野太郎議員は、

ですね...

 

 

内閣官房 内閣サイバーセキュリティセンター

・2024.07.26 [PDF] サイバーセキュリティの確保に向けた企業経営層向け意見交換会の開催


・[PDF] 議事次第

・[PDF] 資料1 サイバーセキュリティの確保に向けた企業経営層向け意見交換会

20240728-172749

 

・[PDF] 資料2 名古屋港コンテナターミナルのサイバー攻撃におけるインシデント対応について

20240728-172854

 

 

 

| | Comments (0)

米国 GAO DODはソフトウェア評価基準を強化し、継続的なサイバーセキュリティと報告のギャップに対処する必要がある。

こんにちは、丸山満彦です。

国防総省のシステム開発コストは大きいですよね...

3年間でこんな感じ...

1_20240729082201

で、もちろん、日本でもSAPの導入の失敗があるように、計画に比べて完成がおくれたり、経費が膨らんだりはします...

でも、これだけの規模なのに以外と計画通りに行っているようにも感じますね...

 

IT Systems Annual Assessment:DOD Needs to Strengthen Software Metrics and Address Continued Cybersecurity and Reporting Gaps ITシステム年次アセスメント:DODはソフトウェア評価基準を強化し、継続的なサイバーセキュリティと報告のギャップに対処する必要がある。
Fast Facts 事実
DOD spent, or planned to spend, $9.1 billion on IT business programs in FYs 2022-24. 国防総省は2022~24年度に、ITビジネス・プログラムに91億ドルを支出した、あるいは支出する予定である。
In our annual assessment, we reviewed 21 of those programs and found 10 are developing software and using an Agile approach. This is an iterative development process in which software is delivered in increments throughout the project, letting program staff catch errors quickly and get continual user feedback. 年次アセスメントにおいて、我々はこれらのプログラムのうち21をレビューし、10がソフトウェアを開発し、アジャイル・アプローチを使用していることを発見した。これは反復的な開発プロセスであり、プロジェクトを通じて段階的にソフトウェアを提供することで、プログラム担当者はエラーを素早く発見し、継続的にユーザーからのフィードバックを得ることができる。
But 4 of these programs didn't use metrics or management tools required for this type of approach—especially when tracking customer satisfaction and software development progress. しかし、これらのプログラムのうち4つは、この種のアプローチに必要な測定基準や管理ツール、特に顧客満足度とソフトウェア開発の進捗状況を追跡するための測定基準や管理ツールを使用していなかった。
We recommended that DOD address this issue. 我々はDODに対し、この問題に対処するよう勧告した。
Highlights ハイライト
What GAO Found GAOが発見したこと
According to the Department of Defense's (DOD) fiscal year (FY) 2024 Federal IT Dashboard data, DOD's planned expenditures for 21 selected IT business programs amounted to $9.1 billion from FY 2022 through FY 2024. The four largest programs accounted for just over half of the planned cost of the portfolio (see figure). 国防省(DOD)の2024会計年度連邦ITダッシュボード・データによると、DODが2022会計年度から2024会計年度にかけて計画した21のITビジネス・プログラムへの支出は91億ドルであった。最も大きな4つのプログラムは、ポートフォリオの計画コストの半分強を占めている(図参照)。
The Department of Defense's (DOD) Planned Costs for the Four Largest IT Business Programs Compared to the Remaining 17 Selected Programs from Fiscal Year (FY) 2022–FY 2024 国防総省(DOD)の2022会計年度から2024会計年度までの4大ITビジネス・プログラムの計画コストと残り17の厳選されたプログラムの比較
1_20240728142201
For the 21 programs, 70 percent ($6.4 billion) of the total reported cost across the 3 years was for operating and maintaining the systems and 30 percent ($2.7 billion) was for development and modernization. 21のプログラムについて、3年間で報告された総コストの70%(64億ドル)はシステムの運用・保守、30%(27億ドル)は開発と近代化であった。
Officials from 15 of the 21 IT business programs reported cost and/or schedule changes since January 2022 (see figure). 21のITビジネス・プログラムのうち15の関係者が、2022年1月以降のコストおよび/またはスケジュールの変更を報告した(図参照)。
Selected Department of Defense (DOD) IT Business Programs Reported Cost and Schedule Changes Since January 2022 国防総省(DOD)の一部のITビジネス・プログラムは、2022年1月以降のコストとスケジュールの変更を報告している。

20240728-143401

20240728-143427

This included 13 programs that reported cost increases ranging from $0.5 million to $1.3 billion (a median of $163.3 million) and seven that reported schedule delays ranging from 15 months to 36 months (a median of 24 months). この中には、0.5百万ドルから13億ドル(中央値1億6330万ドル)のコスト増を報告した13のプログラムと、15ヶ月から36ヶ月(中央値24ヶ月)のスケジュール遅延を報告した7つのプログラムが含まれている。
Programs reported mixed progress on performance. Programs are required to identify and track a minimum of five metrics covering customer satisfaction, business results, financial performance, and innovation. Of the 21 programs, four reported meeting all performance targets, 10 reported meeting at least one, and one reported meeting none. The remaining six programs did not report. GAO has previously recommended that DOD ensure that such reporting occur. 各プログラムは、パフォーマンスに関してまちまちの進捗を報告している。各プログラムは、顧客満足度、業績、財務実績、技術革新の最低5つの指標を特定し、追跡することが義務付けられている。21のプログラムのうち、4つのプログラムがすべての目標を達成したと報告し、10プログラムが少なくとも1つの目標を達成したと報告した。残りの6つのプログラムは報告していない。GAOは以前、DODがこのような報告を確実に行うよう勧告している。
The 10 DOD IT business programs actively developing software reported using recommended Agile and iterative approaches. However, in areas related to tracking customer satisfaction and progress of software development, four of the 10 programs did not use metrics and management tools required by DOD and consistent with GAO's Agile Assessment Guide. As a result, the department risks not having sound information on its Agile software development efforts. ソフトウェアを積極的に開発している10のDOD ITビジネス・プログラムは、推奨されるアジャイル・アプローチと反復的アプローチを使用していると報告した。しかし、顧客満足度やソフトウェア開発の進捗状況の追跡に関する分野では、10件のプログラムのうち4件が、DODが要求し、GAOのアセスメントガイドに合致したメトリクスや管理ツールを使用していなかった。その結果、国防総省はアジャイルソフトウェア開発の取り組みに関する適切な情報を得られないリスクがある。
Further, while program officials for all 21 programs reported conducting cybersecurity testing and assessments, several programs did not have an approved cybersecurity strategy. In June 2022, GAO had recommended that DOD's Chief Information Officer (CIO) ensure that programs each develop such a strategy. The department concurred with the recommendation and officials stated that they were continuing to follow up with programs that did not have a strategy. さらに、全21プログラムのプログラム担当者はサイバーセキュリティのテストとアセスメントを実施していると報告しているが、いくつかのプログラムでは承認されたサイバーセキュリティ戦略がなかった。2022年6月、GAOはDODの最高情報責任者(CIO)に対し、各プログラムがそのような戦略を策定するよう確保するよう勧告していた。国防総省はこの勧告に同意しており、担当者は戦略を持たないプログラムのフォローアップを続けていると述べた。
Regarding legislative and policy changes, DOD is revising its business systems investment management guidance, modernizing its business enterprise architecture, and adopting zero trust cybersecurity principles. GAO will continue to monitor DOD's efforts to redistribute roles and responsibilities, improve department management of IT investments, and adopt zero trust cybersecurity. 立法と政策の変更に関しては、DODはビジネスシステム投資管理ガイダンスを改訂し、ビジネスエンタープライズアーキテクチャを近代化し、ゼロトラストサイバーセキュリティ原則を採用している。GAOは引き続き、役割と責任の再分配、IT投資の部門管理の改善、ゼロ・トラスト・サイバーセキュリティの採用に関するDODの取り組みを監視していく。
Why GAO Did This Study GAOがこの調査を行った理由
Information technology is critical to the success of DOD's major business functions. These functions include such areas as health care, human capital, financial management, logistics, and contracting. 情報技術はDODの主要なビジネス機能の成功に不可欠である。これらの機能には、医療、人的資本、財務管理、兵站、契約などの分野が含まれる。
The National Defense Authorization Act for FY 2019, as amended, includes a provision for GAO to conduct assessments of selected DOD IT programs annually through March 2026. GAO's objectives for this fifth such review were to (1) examine the cost, schedule, and performance of selected DOD IT business programs, (2) assess the extent to which DOD has implemented key software development and cybersecurity practices for selected programs, and (3) describe DOD actions to implement legislative and policy changes that could affect its IT acquisitions. 2019年度の国防認可法には、GAOが2026年3月まで毎年、選択されたDOD ITプログラムのアセスメントを実施する条項が含まれている。この5回目のレビューにおけるGAOの目的は、(1)選択されたDODのITビジネスプログラムのコスト、スケジュール、パフォーマンスを調査すること、(2)DODが選択されたプログラムに対して、主要なソフトウェア開発とサイバーセキュリティの実践をどの程度実施しているかを評価すること、(3)IT買収に影響を与える可能性のある法律や政策の変更を実施するためのDODの行動を説明すること、であった。
To address the first objective, GAO selected 21 DOD IT business programs, including (1) 20 business programs listed as major IT investments in the department's FY 2024 submission to the Federal IT Dashboard and (2) an additional business program that that had been previously designated as major and continued to have high annual costs. In analyzing the FY 2024 Dashboard data, GAO examined DOD's planned expenditures for these programs from FY 2022 through FY 2024. 最初の目的に取り組むため、GAOは21の国防総省のIT事業プログラムを選択した。(1)同省が連邦ITダッシュボードに提出した2024年度の主要IT投資としてリストアップされた20の事業プログラムと、(2)以前に主要と指定され、引き続き年間コストが高い追加事業プログラムである。2024年度ダッシュボードのデータを分析するにあたり、GAOは2022年度から2024年度までのこれらのプログラムに対するDODの支出計画を調査した。
GAO also administered a questionnaire to the 21 program offices to obtain and analyze information about cost and schedule changes that the programs reported experiencing since January 2022. GAOはまた、2022年1月以降にプログラムが経験したと報告したコストとスケジュールの変更に関する情報を入手し分析するために、21のプログラムオフィスにアンケートを実施した。
Further, GAO compared programs' performance metrics data reported on the Dashboard to OMB guidance and met with DOD CIO officials to understand differences in how the data were reported. さらにGAOは、ダッシュボードで報告されたプログラムのパフォーマンス指標データをOMBのガイダンスと比較し、データの報告方法の違いを理解するためにDODのCIO職員と面会した。
To address the second objective, the questionnaire also sought information about the programs' software development and cybersecurity practices, including their use and documentation of Agile metrics and development of cybersecurity strategies. GAO compared the responses and documentation against relevant guidance and best practices (e.g. DOD guidance and GAO's Agile Guide) to identify gaps and risks associated with not following the guidance. For programs that did not follow the guidance or demonstrate having documentation, GAO followed up with DOD officials for clarification on reasons why the programs did not do so. また、2つ目の目的に取り組むため、アジャイルメトリクスの使用と文書化、サイバーセキュリティ戦略の策定など、プログラムのソフトウェア開発とサイバーセキュリティの実践に関する情報も求めた。GAOは、ガイダンスに従わないことに関連するギャップやリスクを特定するために、関連するガイダンスやベストプラクティス(例えば、DODのガイダンスやGAOのアジャイルガイド)と回答や文書を比較した。ガイダンスに従わなかったり、文書があることを示さなかったプログラムについて、GAOはDODの職員に追跡調査を行い、そうしなかった理由を明らかにした。
For the third objective, GAO reviewed policy, plans, and guidance associated with the department's efforts to reorganize former CMO responsibilities; implement changes to its defense business systems investment management guidance and business enterprise architecture; and adopt zero trust cybersecurity principles. GAO also met with DOD CIO officials to discuss the department's efforts in these areas. 第3の目的のために、GAOは旧CMOの責任を再編成し、国防ビジネスシステム投資管理ガイダンスとビジネスエンタープライズアーキテクチャの変更を実施し、ゼロトラストサイバーセキュリティ原則を採用するための国防総省の努力に関連する政策、計画、ガイダンスを検討した。GAOはまた、国防総省のCIO職員と面会し、これらの分野における同省の取り組みについて議論した。
Recommendations 勧告
GAO is making one recommendation to DOD to ensure that IT business programs developing software are using Agile metrics and management tools required by DOD and consistent with GAO's Agile Guide. DOD concurred with GAO's recommendation and described actions it planned to take to address it. In its prior annual assessment reviews, GAO made three recommendations related to performance reporting and cybersecurity strategies. Although DOD described actions it planned to take to address the recommendations, they have not yet been implemented. Doing so would help ensure that the issues GAO identified are addressed. GAOはDODに対して、ソフトウェアを開発するITビジネス・プログラムが、DODによって要求され、GAOのアジャイル・ガイドと一致するアジャイル・メトリクスと管理ツールを使用していることを確認するよう、1つの勧告を行っている。DODはGAOの勧告に同意し、それに対処するための計画した行動を説明した。以前の年次アセスメントレビューにおいて、GAOはパフォーマンス報告とサイバーセキュリティ戦略に関連する3つの勧告を行った。DODは勧告に対処するために計画した行動を説明したが、それらはまだ実施されていない。そうすることで、GAOが特定した問題が確実に対処されることになる。
Recommendation 勧告
We are making one recommendation to the Department of Defense that the Secretary direct the Chief Information Officer and Under Secretary of Defense for Acquisition and Sustainment to ensure that IT business programs developing software use the metrics and management tools required by DOD and consistent with those identified in GAO's Agile Assessment Guide. われわれは国防総省に対し、ソフトウェアを開発するITビジネス・プログラムが、GAOのアセスメント・ガイドで特定されたものと一致し、国防総省が要求するメトリクスと管理ツールを使用するよう、国防長官が最高情報責任者と取得・維持担当国防次官に指示するよう、1件の勧告を行う。

 

・[PDF] Full Report

20240728-143708

 

・[PDF] Highlights

20240728-143716

 

 

 

| | Comments (0)

2024.07.28

クラウドセキュリティアライアンス AIモデルのリスクマネジメントフレームワーク (2024.07.23)

こんにちは、丸山満彦です。

クラウドセキュリティアライアンスが、AIモデルのリスクマネジメントフレームワークを公表していますね....

アプローチ方法が目新しく感じました。参考になるところも多そうです...

これもいずれCSA-Japanが翻訳をしてくれると助かりますね...

 

Cloud Security Alliance; CSA

・2024.07.23 AI Model Risk Management Framework

AI Model Risk Management Framework AIモデルのリスクマネジメントフレームワーク
Sophisticated machine learning (ML) models present exciting opportunities in fields such as predictive maintenance and smart supply chain management. While these ML models hold the potential to unlock significant innovation, their increasing use also introduces inherent risks. Unaddressed model risks can lead to substantial financial losses, regulatory issues, and reputational harm. To address these concerns, we need a proactive approach to risk management. 洗練された機械学習(ML)モデルは、予測保守やスマート・サプライ・チェーン管理などの分野でエキサイティングな機会をもたらしている。これらのMLモデルは、重要なイノベーションを引き出す可能性を秘めている一方で、その利用の拡大には固有のリスクも伴う。未対処のモデル・リスクは、多額の財務的損失、規制上の問題、風評被害につながる可能性がある。これらの懸念に対処するためには、リスクマネジメントへの積極的なアプローチが必要である。
This paper from the CSA AI Technology and Risk Working Group discusses the importance of AI model risk management (MRM). It showcases how model risk management contributes to responsible AI development and deployment and explores the core components of the framework. These components work together to identify and mitigate risks and improve model development through a continuous feedback loop. CSA AIテクノロジー・リスクワーキンググループの本ペーパーでは、AIモデルリスク・マネジメント(MRM)の重要性について論じている。モデルリスク・マネジメントがいかに責任あるAIの開発と展開に貢献するかを紹介し、フレームワークの中核的な構成要素を探る。これらの構成要素は、継続的なフィードバックループを通じて、リスクを特定・軽減し、モデル開発を改善するために協働する。
Key Takeaways: 主な要点
Benefits of a comprehensive AI risk management framework, including the more responsible use of AI, enhanced transparency, informed decision-making processes, and robust model validation 包括的なAIリスクマネジメントフレームワークのメリット:より責任あるAIの利用、透明性の向上、十分な情報に基づいた意思決定プロセス、強固なモデル検証など。
Elements, benefits, and limitations of the four core components: AI model cards, data sheets, risk cards, and scenario planning 4つのコア・コンポーネントの要素、利点、限界: AIモデルカード、データシート、リスクカード、シナリオプランニング
How to combine the core components into a comprehensive AI risk management framework コア・コンポーネントを組み合わせて包括的なAIリスクマネジメントのフレームワークを構築する方法

 

・[PDF]

20240728-70659

・[DOCX][PDF] 仮訳

 

Table of Contents 目次
Acknowledgments 謝辞
Executive Summary エグゼクティブサマリー
Intended Audience 対象読者
Scope スコープ
Introduction 序文
The Need and Importance of MRM MRMの必要性と重要性
The Four Pillars: Model Cards, Data Sheets, Risk Cards, Scenario Planning 4つの柱モデルカード、データシート、リスクカード、シナリオプランニング
Benefits of a Comprehensive Framework 包括的なフレームワークの利点
Core Components コア・コンポーネント
1. Model Cards: Understanding the Model 1. モデルカード:モデルを理解する
2. Data Sheets: Examining the Training Data 2. データシート:トレーニングデータを検証する
3. Risk Cards: Identifying Potential Issues 3. リスクカード:潜在的な問題の識別
4. Scenario Planning: The “What If” Approach 4. シナリオ・プランニング:「もしも」の場合のアプローチ
Combining Techniques: A Holistic Approach 技術を組み合わせる:ホリスティック・アプローチ
1. Leveraging Model Card Information for Risk Cards 1. リスクカードのモデルカード情報を活用する
2. Using Data Sheets to Enforce Model Understanding 2. データシートを使ってモデルの理解を強制する
3. Using Risk Cards to Inform Scenario Planning 3. リスクカードをシナリオ・プランニングに活用する
4. Scenario Planning Feedback to Risk Management and Development 4. シナリオ・プランニングをリスクマネジメントと開発にフィードバックする
5. AI MRM in Action 5. AI MRMの実際
Conclusion and Future Outlook 結論と今後の展望
References 参考文献
Appendix 1: AI Frameworks, Regulations, and Guidance 附属書1:AIの枠組み、規制、ガイダンス

 

 

エグゼクティブサマリー...

Executive Summary エグゼクティブサマリー
The widespread adoption of sophisticated machine learning (ML) models presents exciting opportunities in fields like predictive maintenance, fraud detection, personalized medicine, autonomous vehicles, and smart supply chain management [1]. While these models hold the potential to unlock significant innovation and drive efficiency, their increasing use also introduces inherent risks, specifically those stemming from the models themselves. Unmitigated model risks can lead to substantial financial losses, regulatory issues, and reputational harm. To address these concerns, we need a proactive approach to risk management. Model Risk Management (MRM) is a key factor for fostering a culture of responsibility and trust in developing, deploying, and using artificial intelligence (AI) and ML models, enabling organizations to harness their full potential while minimizing risks. 高度な機械学習(ML)モデルの広範な採用は、予知保全、不正検知、個別化医療、自律走行車、スマートサプライチェーン管理[1] といった分野にエキサイティングな機会をもたらしている。これらのモデルは、重要なイノベーションを解き放ち、効率化を推進する可能性を秘めている一方で、その利用の拡大には、固有のリスク、特にモデル自体に起因するリスクも導入される。モデル・リスクを未然に防ぐことは、多額の財務的損失、規制上の問題、風評被害につながる可能性がある。これらの懸念に対処するためには、リスクマネジメントへの積極的なアプローチが必要である。モデル・リスク・マネジメント(MRM)は、人工知能(AI)やMLモデルの開発、展開、使用において、責任と信頼の文化を醸成するための重要な要素であり、組織がリスクを最小限に抑えながら、その潜在能力を最大限に活用することを可能にする。
This paper explores the importance of MRM in ensuring the responsible development, deployment, and use of AI models. It caters to a broad audience with a shared interest in this topic, including practitioners directly involved in AI development and business and compliance leaders focusing on AI governance. 本稿では、AIモデルの責任ある開発、展開、利用を確保するためのMRMの重要性を探る。AI開発に直接携わる実務者や、AIガバナンスに焦点を当てるビジネスおよびコンプライアンスのリーダーなど、このトピックに共通の関心を持つ幅広い読者を対象としている。
The paper highlights the inherent risks associated with AI models, such as data biases, factual inaccuracies or irrelevancies (known colloquially as “hallucinations” or “fabrications”[2]), and potential misuse. It emphasizes the need for a proactive approach to ensure a comprehensive MRM framework. This framework is built on four interconnected pillars: Model Cards, Data Sheets, Risk Cards, and Scenario Planning. These pillars work together to identify and mitigate risks and improve model development and risk management through a continuous feedback loop. Specifically, Model Cards and Data Sheets inform risk assessments, and Risk Cards guide Scenario Planning. Scenario Planning refines risk management and model development. 本稿は、データのバイアス、事実の不正確さや関連性のなさ(俗に「幻覚」や「捏造」と呼ばれる)[2] )、誤用の可能性など、AIモデルに内在するリスクを強調している。これは、包括的なMRMフレームワークを確保するためのプロアクティブアプローチの必要性を強調している。この枠組みは、相互に関連した4つの柱で構築されている:モデルカード、データシート、リスクカード、シナリオプランニングである。これらの柱は、継続的なフィードバックのループを通じて、リスクを特定し、軽減し、モデル開発とリスクマネジメントを改善するために協働する。具体的には、モデルカードとデータシートはリスクアセスメントに情報を提供し、リスクカードはシナリオプランニングの指針となる。シナリオ・プランニングは、リスクマネジメントとモデル開発を改善する。
By implementing this framework, organizations can ensure the safe and beneficial use of ML models with key benefits such as: このフレームワークを導入することで、組織はMLモデルを安全かつ有益に使用することができる:
●      Enhanced transparency and explainability ●         透明性と説明可能性の向上
●      Proactive risk mitigation and “security by design” ●         プロアクティブなリスク低減と "セキュリティ・バイ・デザイン"
●      Informed decision-making ●         情報に基づいた意思決定
●      Trust-building with stakeholders and regulators ●         ステークホルダーや規制当局との信頼構築
This paper emphasizes the importance of MRM for harnessing the full potential of AI and ML while minimizing risks. 本稿では、リスクを最小限に抑えながらAIやMLの可能性を最大限に活用するためのMRMの重要性を強調する。

 

[1] McKinsey & Company “The state of AI in 2023: Generative AI’s breakout year” [1]マッキンゼー・アンド・カンパニー「2023年のAI事情:生成的AIがブレイクする年"
[2] NIST AI 600-1 “Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile” [2]NIST AI 600-1 「人工知能リスクマネジメントフレームワーク」:生成的人工知能プロファイル"

 

 

| | Comments (0)

クラウドセキュリティアライアンス セキュリティガイダンス バージョン5 (2024.07.15)

こんにちは、丸山満彦です。

クラウドセキュリティアライアンスのセキュリティガイダンスが改訂されてバージョン5になりましたね...

最近の技術動向を踏まえて、改訂されているようです... CSAジャパンから正式な翻訳版がでるのでしょうかね...

12のドメインはこんな感じ...

 

Domain 1: Cloud Computing Concepts & Architectures ドメイン1:クラウドコンピューティングの概念とアーキテクチャ
Domain 2: Cloud Governance and Strategies ドメイン2:クラウドガバナンスと戦略
Domain 3: Risk, Audit and Compliance ドメイン3:リスク、監査、コンプライアンス
Domain 4: Organization Management ドメイン4:組織管理
Domain 5: Identity and Access Management ドメイン5:アイデンティティとアクセス管理
Domain 6: Security Monitoring ドメイン6: セキュリティ監視
Domain 7: Infrastructure & Networking ドメイン7:インフラとネットワーキング
Domain 8: Cloud Workload Security ドメイン8:クラウドワークロードセキュリティ
Domain 9: Data Security ドメイン9:データセキュリティ
Domain 10: Application Security ドメイン10:アプリケーションセキュリティ
Domain 11: Incident Response & Resilience ドメイン11:インシデントレスポンスとレジリエンス
Domain 12: Related Technologies & Strategies ドメイン12:関連技術と戦略

 

Cloud Security Alliance; CSA

・2024.07.15 CSA Security Guidance for Critical Areas of Focus in Cloud Computing

CSA Security Guidance for Critical Areas of Focus in Cloud Computing クラウド・コンピューティングにおける重要分野の CSA セキュリティガイダンス
Read the best practices recommended by security experts for staying secure in the cloud. クラウドでセキュリティを維持するために、セキュリティの専門家が推奨するベストプラクティスを読む。
Cloud computing offers tremendous benefits in agility, resiliency, economy, and security. However, the security benefits only appear if you adopt cloud-native models and adjust your architectures and security controls to align with the capabilities of cloud platforms. クラウド・コンピューティングは、俊敏性、レジリエンス、経済性、セキュリティの面で非常に大きなメリットをもたらす。しかし、セキュリティ上のメリットは、クラウドネイティブモデルを採用し、クラウドプラットフォームの機能に合わせてアーキテクチャとセキュリティ制御を調整した場合にのみ現れる。
The Cloud Security Alliance’s Security Guidance for Critical Areas of Focus in Cloud Computing outlines cloud security best practices that have been developed and refined by CSA's extensive community of experts. Emphasizing the practical application of security principles in real-world scenarios, this comprehensive guide equips professionals with actionable skills. Learn how to adopt and implement a cloud-native approach that addresses modern challenges in complex cloud environments. クラウド・セキュリティ・アライアンスの「クラウド・コンピューティングにおける重要分野のセキュリティガイダンス」は、CSAの広範な専門家コミュニティによって開発・改良されたクラウド・セキュリティのベスト・プラクティスの要約を示している。実世界のシナリオにおけるセキュリティ原則の実践的な適用に重点を置いたこの包括的なガイドは、専門家に実用的なスキルを提供する。複雑なクラウド環境における最新の課題に対処するクラウドネイティブアプローチを採用し、実装する方法を学ぶことができる。
All NEW content with Security Guidance v5! Version 5 provides a comprehensive understanding of the essential security measures needed in today's cloud landscape. Completely revamped from v4, the v5 body of knowledge includes the latest in cloud architecture, cloud native security, workloads, virtual networking, data security, DevSecOps, Zero Trust, Generative AI, and much more. V5 also includes vital information about risk management, achieving compliance, optimizing organizational cloud security strategies, and understanding the shared responsibility model. Security Guidance v4 is still available for download here. セキュリティガイダンスv5.の内容を一新!バージョン5では、今日のクラウド環境で必要不可欠なセキュリティ対策を包括的に理解できる。v4から完全に刷新されたv5の知識体系には、クラウドアーキテクチャ、クラウドネイティブセキュリティ、ワークロード、仮想ネットワーキング、データセキュリティ、DevSecOps、ゼロトラスト、生成的AIなどの最新情報が含まれている。V5には、リスクマネジメント戦略、コンプライアンスの達成、組織のクラウドセキュリティ戦略の最適化、責任共有モデルの理解などに関する重要な情報も含まれている。セキュリティガイダンスv4はまだここからダウンロードできる。

 

Domain 1: Cloud Computing Concepts & Architectures ドメイン1:クラウドコンピューティングの概念とアーキテクチャ
This domain lays the foundational framework for the Cloud Security Alliance (CSA) Security Guidance. It covers the definitions, baseline terminologies, controls, deployment, and architectural models crucial for understanding cloud computing. Learners will explore the transformative impact of cloud computing and its benefits when properly understood and adopted, emphasizing the importance of cloud-native capabilities and services. この領域は、クラウド・セキュリティ・アライアンス(CSA)のセキュリティ・ガイダンスの基礎となる枠組みを構築する。クラウドコンピューティングを理解するために重要な定義、基本的な用語、制御、展開、アーキテクチャーモデルをカバーする。学習者は、クラウドコンピューティングがもたらす変革的な影響と、クラウドネイティブの機能とサービスの重要性を強調しながら、適切に理解し、採用した場合のその利点を探求する。
Domain 2: Cloud Governance and Strategies ドメイン2:クラウドガバナンスと戦略
Focusing on the governance framework of policies, procedures, and controls, this domain ensures transparency and accountability within cloud environments. It addresses strategic guidance, risk management, compliance monitoring, and budget allocation. Learners will understand key governance frameworks and regulations such as ISO/IEC 38500:2024, ISACA COBIT, ISO/IEC 27014:2020, and GDPR. ポリシー、手順、コントロールのガバナンスフレームワークに焦点を当て、クラウド環境における透明性と説明責任を確保する。戦略的ガイダンス、リスクマネジメント、コンプライアンス監視、予算配分を扱う。学習者は、ISO/IEC 38500:2024、ISACA COBIT、ISO/IEC 27014:2020、GDPRなどの主要なガバナンスフレームワークと規制を理解する。
Domain 3: Risk, Audit and Compliance ドメイン3:リスク、監査、コンプライアンス
This domain delves into evaluating cloud service providers (CSPs), establishing cloud risk registries, and implementing approval processes. It covers compliance and auditing, including compliance inheritance, and introduces tools and technologies for governance, risk, and compliance (GRC) processes. Emphasis is placed on robust risk management frameworks, compliance with regulatory standards, and leveraging tools and technologies for effective governance. この領域では、クラウドサービスプロバイダ(CSP)の評価、クラウドリスク登録の確立、承認プロセスの実施について掘り下げる。コンプライアンスの継承を含むコンプライアンスと監査をカバーし、ガバナンス、リスク、コンプライアンス(GRC)プロセスのためのツールとテクノロジーを紹介する。強固なリスクマネジメントフレームワーク、規制標準への準拠、効果的なガバナンスのためのツールとテクノロジーの活用に重点を置いている。
Domain 4: Organization Management ドメイン4:組織管理
Learners will explore the overall management of cloud environments, including organizing and validating the security assurance of CSPs and securing individual cloud service deployments. This domain highlights the importance of tenancy in a multitenant environment, key controls for managing hierarchy, and best practices for managing multiple cloud deployments. It also covers organization-level security management nuances and strategies for hybrid and multi-cloud environments. 学習者は、CSPのセキュリティ保証の組織化と検証、個々のクラウド・サービスのデプロイメントの安全確保など、クラウド環境の全体的な管理について探求する。この領域では、マルチテナント環境におけるテナントの重要性、階層を管理するための主要なコントロール、複数のクラウド配備を管理するためのベストプラクティスを取り上げる。また、ハイブリッド環境とマルチクラウド環境における組織レベルのセキュリティ管理のニュアンスと戦略についても取り上げる。
Domain 5: Identity and Access Management ドメイン5:アイデンティティとアクセス管理
This domain ensures that only authorized identities have the right access to resources. It covers fundamental IAM concepts, the characteristics and challenges of IAM in the cloud, and effective management strategies. Key topics include multi-factor authentication (MFA), just-in-time (JIT) access, identity federation, policy-based access control (PBAC), and secure identity providers (IdPs). このドメインでは、認可されたIDのみがリソースに正しくアクセスできるようにする。基本的なIAMの概念、クラウドにおけるIAMの特徴と課題、効果的な管理戦略について説明する。主なトピックとして、多要素認証(MFA)、ジャストインタイム(JIT)アクセス、IDフェデレーション、ポリシーベースアクセス管理(PBAC)、安全なIDプロバイダ(IdP)などがある。
Domain 6: Security Monitoring ドメイン6: セキュリティ監視
Focusing on the distinct aspects of security monitoring in cloud environments, this domain covers cloud telemetry, management plane logs, service and resource logs, and advanced monitoring tools. Learners will explore hybrid and multi-cloud setups, the role of logs, events, and configuration detection in security monitoring, and the use of Generative Artificial Intelligence (GenAI) for enhancing cloud security. クラウド環境におけるセキュリティモニタリングの明確な側面に焦点を当て、クラウドテレメトリー、管理プレーンのログ、サービスとリソースのログ、および高度なモニタリングツールをカバーする。学習者は、ハイブリッドクラウドとマルチクラウドのセットアップ、セキュリティ監視におけるログ、イベント、構成検知の役割、クラウドセキュリティを強化するための生成的人工知能(GenAI)の使用について探求する。
Domain 7: Infrastructure & Networking ドメイン7:インフラとネットワーキング
This domain covers managing the overall infrastructure footprint and network security. Key topics include Software Defined Networks (SDN), security groups, container networking, connectivity options, Zero Trust Architectures (ZTA), and Secure Access Service Edge (SASE). Emphasis is placed on implementing secure architectures, integrating security early in the development lifecycle, and maintaining vigilant monitoring. この領域では、インフラ全体のフットプリントとネットワーク・セキュリティを管理する。主なトピックとして、SDN(Software Defined Networks)、セキュリティグループ、コンテナネットワーキング、接続オプション、ZTA(Zero Trust Architectures)、SASE(Secure Access Service Edge)などがある。セキュアなアーキテクチャの実装、開発ライフサイクルの早い段階でのセキュリティの統合、警戒監視の維持に重点を置く。
Domain 8: Cloud Workload Security ドメイン8:クラウドワークロードセキュリティ
Learners will explore securing various cloud workloads, including virtual machines (VMs), containers, serverless functions (FaaS), AI, and platform as a service (PaaS). The domain covers practices such as VM image security automation, enforcing least privilege, regular vulnerability assessments, customizing container configurations, securing API endpoints, managing secrets, adversarial training for AI workloads, and regular security audits for PaaS environments. 学習者は、仮想マシン(VM)、コンテナ、サーバーレス機能(FaaS)、AI、Platform as a Service(PaaS)など、さまざまなクラウドワークロードのセキュリティを探求する。この領域では、VMイメージのセキュリティ自動化、最小特権の強制、定期的な脆弱性アセスメント、コンテナ構成のカスタマイズ、APIエンドポイントのセキュリティ確保、シークレットの管理、AIワークロードの敵対的トレーニング、PaaS環境の定期的なセキュリティ監査などのプラクティスをカバーする。
Domain 9: Data Security ドメイン9:データセキュリティ
This domain addresses the complexities of data security within cloud environments, emphasizing the need for resilient practices to safeguard information. It explores strategies, tools, and practices essential for protecting data in-transit and at rest. Key topics include data classification, cloud storage types, advanced encryption methods, and access controls. The domain also provides a primer on cloud storage and examines key concepts and technologies shaping the future of data security. Learning objectives include understanding data security fundamentals, data classifications and states, cloud storage security measures, key management, protecting computing workloads, posture management, and advanced data security concepts. この領域では、クラウド環境におけるデータセキュリティの複雑さを取り上げ、情報を保護するためのレジリエンスの必要性を強調する。この領域では、転送中および静止中のデータを保護するために不可欠な戦略、ツール、およびプラクティスを探求する。主なトピックとしては、データ格付、クラウドストレージの種類、高度な暗号化手法、アクセス管理などがある。また、クラウドストレージの入門書も提供し、データセキュリティの未来を形作る重要な概念や技術についても検討する。学習目標には、データセキュリティの基礎、データ格付と状態、クラウドストレージのセキュリティ対策、鍵管理、コンピューティングワークロードの保護、姿勢管理、高度なデータセキュリティの概念などを理解することが含まれる。
Domain 10: Application Security ドメイン10:アプリケーションセキュリティ
This domain focuses on the practice of using security controls to protect computer applications from external threats. It covers the entire lifecycle of application security, from early design and threat modeling to maintaining and defending production applications. Cloud computing advancements necessitate stable, scalable, and secure progress in application development. Key topics include microservices, API exposure, DevOps approaches, shared responsibility models, third-party libraries, security features from cloud providers, programmable infrastructure, and stateless architectures. Emphasis is placed on secure architecture, IAM, DevSecOps, continuous monitoring, threat modeling, and automated security testing. この領域では、コンピュータアプリケーションを外部の脅威から保護するためのセキュリティ対策の実践に焦点を当てる。初期の設計や脅威のモデル化から本番アプリケーションの保守・防御まで、アプリケーションセキュリティのライフサイクル全体をカバーする。クラウド・コンピューティングの進歩は、アプリケーション開発における安定性、拡張性、安全性の向上を必要とする。主なトピックとしては、マイクロサービス、APIエクスポージャー、DevOpsアプローチ、責任共有モデル、サードパーティ・ライブラリ、クラウドプロバイダのセキュリティ機能、プログラマブル・インフラストラクチャ、ステートレス・アーキテクチャなどがある。セキュアなアーキテクチャ、IAM、DevSecOps、セキュリティの継続的なモニタリング、脅威モデリング、自動化されたセキュリティテストに重点を置く。
Domain 11: Incident Response & Resilience ドメイン11:インシデントレスポンスとレジリエンス
This domain covers critical aspects of incident response (IR) in cloud environments, addressing unique challenges introduced by cloud adaptation. It provides best practices for cloud incident response (CIR) and resilience, organized according to the IR Lifecycle described in the CSA Cloud Incident Response Framework and NIST SP 800-61 Rev. 2. Key frameworks include ISO/IEC 27035 and ENISA Strategies for IR. Emphasis is placed on preparation, detection and analysis, containment, eradication and recovery, and post-incident analysis. Effective communication and information sharing between CSPs and CSCs, internal IR teams, law enforcement, and key partners are crucial for strengthening CIR capabilities. この領域では、クラウド環境におけるインシデントレスポンス(IR)の重要な側面をカバーし、クラウドの適応によってもたらされる独自の課題に対処する。クラウドインシデントレスポンス(CIR)とレジリエンスのベストプラクティスを提供し、CSAクラウドインシデントレスポンスフレームワークとNIST SP 800-61 Rev.2に記載されているIRライフサイクルに沿って整理している。主要なフレームワークには、ISO/IEC 27035 および ENISA Strategies for IR が含まれる。準備、検知と分析、封じ込め、根絶と復旧、インシデント発生後の分析に重点が置かれている。CIR 能力の強化には、CSP と CSC、社内の IR チーム、法執行機関、および主要なパートナ ー間の効果的なコミュニケーションと情報共有が不可欠である。
Domain 12: Related Technologies & Strategies ドメイン12:関連技術と戦略
This domain explores various angles for analyzing cloud security challenges using perspectives (lenses) and processes. It covers critical security areas such as organization management, IAM, security monitoring, network, workload, application, and data. Key technologies and strategies include Zero Trust (ZT), Artificial Intelligence (AI), and Threat and Vulnerability Management (TVM). Practices include continuous verification of users and devices, least privilege principles, multi-factor authentication, micro-segmentation, encryption, threat detection, access control, policy enforcement, machine learning for anomaly detection, risk management, CSPM, and continuous monitoring. Integrating AI into TVM enhances threat detection and response, maintaining a robust security posture. この領域では、視点(レンズ)とプロセスを用いてクラウドセキュリティの課題を分析するための様々な角度から検討する。組織管理、IAM、セキュリティ監視、ネットワーク、ワークロード、アプリケーション、データなどの重要なセキュリティ分野をカバーする。主要な技術と戦略には、ゼロ・トラスト(ZT)、人工知能(AI)、脅威・脆弱性管理(TVM)などがある。実践には、ユーザーとデバイスの継続的検証、最小特権原則、多要素認証、マイクロセグメンテーション、暗号化、脅威検知、アクセス管理、ポリシー実施、異常検知のための機械学習、リスクマネジメント、CSPM、継続的モニタリングなどが含まれる。AIをTVMに統合することで、脅威検知と対応が強化され、強固なセキュリティ態勢が維持される。

 

 

・2024.07.15 Security Guidance for Critical Areas of Focus in Cloud Computing v5

Security Guidance for Critical Areas of Focus in Cloud Computing v5 クラウド・コンピューティングにおける重要分野のセキュリティガイダンス v5
Cloud computing has firmly cemented its place as the foundation of the information security industry. The Cloud Security Alliance’s Security Guidance v5 is professionals' go-to resource for understanding modern cloud components and cloud security best practices. Balancing foundational knowledge with in-depth exploration of specialized topics across 12 domains, this essential document equips professionals with actionable skills and enables them to effectively address modern cloud security challenges. クラウド・コンピューティングは、情報セキュリティ業界の基盤としての地位を確固たるものにしている。クラウド・セキュリティ・アライアンスのセキュリティガイダンスv5は、最新のクラウド・コンポーネントとクラウド・セキュリティのベスト・プラクティスを理解するための、専門家にとって最適なリソースである。基礎的な知識と12のドメインにわたる専門的なトピックの詳細な探求のバランスが取れたこの重要な文書は、専門家に実用的なスキルを身につけさせ、最新のクラウドセキュリティの課題に効果的に対処できるようにする。
This fifth version is built on previous iterations of the Security Guidance and is enhanced with a decade’s worth of insights about the skills needed to be successful in today's complex environments. Additions include the latest developments in Zero Trust, Generative AI, CI/CD, Security Monitoring and Operations, Resilience, Cloud Telemetry and Security Analytics, and Data Lakes. Version 5 also has reduced coverage of Laws and Regulations and has removed the Security-as-a-Service domain. 第5版となる本書は、これまでの「セキュリティガイダンス」をベースに、今日の複雑な環境で成功するために必要なスキルに関する10年分の知見を盛り込んだ。ゼロ・トラスト、生成的AI、CI/CD、セキュリティモニタリングと運用、レジリエンス、クラウド・テレメトリーとセキュリティ分析、データレイクなどの最新動向が追加されている。また、バージョン5では、法規制の範囲が縮小され、Security-as-a-Serviceのドメインが削除された。
Note that Security Guidance is no longer the primary study material for the Certificate of Cloud Security Knowledge (CCSK). Access the CCSK v5 Study Guide here. Security Guidance v5 provides a more comprehensive understanding of the 12 domains, but is not required to pass the CCSK v5 exam. セキュリティガイダンスは、Certificate of Cloud Security Knowledge (CCSK)の主要な学習教材ではなくなっている。CCSK v5 Study Guideはこちらから。セキュリティガイダンスv5は、12のドメインをより包括的に理解するためのプロバイダであるが、CCSK v5試験に合格するために必要なものではない。
Cloud Security Domains Covered: クラウド・セキュリティ・ドメイン
・Cloud Computing Concepts and Architectures ・クラウド・コンピューティングの概念とアーキテクチャ
・Cloud Governance ・クラウドガバナンス
・Risk, Audit, and Compliance ・リスク、監査、コンプライアンス
・Organization Management ・組織管理
・Identity and Access Management ・アイデンティティとアクセス管理
・Security Monitoring ・セキュリティ監視
・Infrastructure and Networking ・インフラとネットワーキング
・Cloud Workload Security ・クラウドワークロードセキュリティ
・Data Security ・データセキュリティ
・Application Security ・アプリケーションセキュリティ
・Incident Response and Resilience ・インシデントレスポンスとレジリエンス
・Related Technologies and Strategies ・関連技術と戦略

 

・[PDF]

20240727-192610

 

目次...

Introduction to Security Guidance v5 セキュリティガイダンス v5 序文
Domain 1: Cloud Computing Concepts & Architectures ドメイン1:クラウドコンピューティングの概念とアーキテクチャ
Learning Objectives 学習目標
1.1 Defining Cloud Computing 1.1 クラウドコンピューティングの定義
1.2 Cloud Computing Models 1.2 クラウドコンピューティングモデル
1.3 Reference & Architecture Models 1.3 参照モデルとアーキテクチャモデル
1.4 Cloud Security Scope, Responsibilities, & Models 1.4 クラウドセキュリティの範囲、責任、およびモデル
Summary & Areas of Critical Focus - Governance & Operations 要約と重点分野 - ガバナンスと運用
Domain 2: Cloud Governance and Strategies ドメイン2:クラウドガバナンスと戦略
Learning Objectives 学習目標
2.1 Cloud Governance 2.1 クラウドガバナンス
2.2 Effective Cloud Governance 2.2 効果的なクラウドガバナンス
2.3 The Governance Hierarchy 2.3 ガバナンスの階層構造
2.4 Key Strategies & Concepts 2.4 主要な戦略と概念
Summary 要約
Domain 3: Risk, Audit and Compliance ドメイン3:リスク、監査、コンプライアンス
3.1. Cloud Risk Management 3.1. クラウドのリスクマネジメント
3.2 Compliance & Audit 3.2 コンプライアンスと監査
3.3 Governance, Risk, and Compliance: Tools & Technologies 3.3 ガバナンス、リスク、コンプライアンス ツールとテクノロジー
Summary 要約
Domain 4: Organization Management ドメイン4:組織管理
Introduction 序文
Learning Objectives 学習目標
4.1 Organization Hierarchy Models 4.1 組織階層モデル
4.2 Managing Organization-Level Security 4.2 組織レベルのセキュリティを管理する
4.3 Considerations for Hybrid & Multi-Cloud Deployments 4.3 ハイブリッドクラウドとマルチクラウドの導入に関する考慮事項
Summary 要約
Recommendations 推奨事項
Additional Resources その他のリソース
Domain 5: Identity and Access Management ドメイン5:アイデンティティとアクセス管理
Introduction 序文
Learning Objectives 学習目標
5.1 How IAM is Different in the Cloud 5.1 クラウドにおけるIAMの違い
5.1 Fundamental Terms 5.1 基本用語
5.2 Federation 5.2 フェデレーション
5.3 Strong Authentication & Authorization 5.3 強力な認証と認可
5.4 IAM Policy Types for Public Cloud 5.4 パブリッククラウドのIAMポリシータイプ
5.5 Least Privilege & Automation 5.5 最小特権と自動化
Summary 要約
Domain 6: Security Monitoring ドメイン6: セキュリティ監視
Introduction 序文
Learning Objectives 学習目標
6.1 Cloud Monitoring 6.1 クラウド監視
6.2 Cloud Telemetry Sources 6.2 クラウドテレメトリソース
6.3 Collection Architectures 6.3 コレクションアーキテクチャ
6.4 Detection & Security Analytics 6.4 検知とセキュリティ分析
6.5 Generative AI for Security Monitoring 6.5 セキュリティ監視のための生成的AI
Summary 要約
Domain 7: Infrastructure & Networking ドメイン7:インフラとネットワーキング
Introduction 序文
Learning Objectives 学習目標
7.1 Cloud Infrastructure Security 7.1 クラウドインフラのセキュリティ
7.2 Cloud Network Fundamentals 7.2 クラウドネットワークの基礎
7.3 Cloud Connectivity 7.3 クラウド接続性
7.4 Zero Trust & Secure Access Service Edge 7.4 ゼロトラストとセキュアアクセスサービスエッジ
Summary 要約
Domain 8: Cloud Workload Security ドメイン8:クラウドワークロードセキュリティ
Introduction 序文
Learning Objectives 学習目標
8.1 Introduction to Cloud Workload Security 8.1 クラウドワークロードセキュリティの序文
8.2 Virtual Machines 8.2 仮想マシン
8.3 Securing Containers 8.3 コンテナのセキュリティ
8.4 PaaS Security 8.4 PaaSのセキュリティ
8.5 Securing Serverless or Function as a Service 8.5 サーバーレスまたはサービスとしての機能のセキュリティ確保
8.6 AI Workloads 8.6 AIワークロード
Summary 要約
Domain 9: Data Security ドメイン9:データセキュリティ
Introduction 序文
Learning Objectives 学習目標
9.1 Data Classification & Storage Types 9.1 データ分類とストレージタイプ
9.2 Securing Specific Cloud Workload Types 9.2 特定のクラウドワークロードタイプの保護
9.3 Securing Specific Storage Types 9.3 特定のストレージタイプの保護
Summary 要約
Domain 10: Application Security ドメイン10:アプリケーションセキュリティ
Introduction 序文
Learning Objectives 学習目標
10.1 Secure Development Lifecycle 10.1 安全な開発ライフサイクル
10.2 Secure Cloud Applications Architecture 10.2 安全なクラウドアプリケーションアーキテクチャ
10.3 Identity & Access Management Application Security 10.3 IDとアクセス管理アプリケーションセキュリティ
10.4 DevSecOps: CI/CD & Application Testing 10.4 DevSecOps:CI/CDとアプリケーションテスト
10.5 Serverless & Containerized Application Considerations 10.5 サーバーレスとコンテナ化アプリケーションの考慮事項
Summary 要約
Domain 11: Incident Response & Resilience ドメイン11:インシデントレスポンスとレジリエンス
Introduction 序文
Learning Objectives 学習目標
11.1 Incident Response 11.1 インシデントレスポンス
11.2 Preparation 11.2 準備
11.3 Detection & Analysis 11.3 検知と分析
11.4 Containment, Eradication & Recovery 11.4 封じ込め、根絶、復旧
11.5 Post-Incident Analysis 11.5 インシデント発生後の分析
11.6 Resilience 11.6 レジリエンス
Summary 要約
Domain 12: Related Technologies & Strategies ドメイン12:関連技術と戦略
Introduction 序文
Learning Objectives 学習目標
12.1 Zero Trust 12.1 信頼ゼロ
12.2 Artificial Intelligence 12.2 人工知能
12.3 Threat & Vulnerability Management 12.3 脅威と脆弱性の管理
Summary 要約

 

・[PDF] 

20240727-210551

 

 

| | Comments (0)

内部監査人協会 グローバル内部監査基準(日本語版)(2024.07.05)

こんにちは、丸山満彦です。

原文は、このブログでもすでに紹介していますが、、、内部監査人協会が、「グローバル内部監査基準™」(日本語版)を公表していました...

2017年版から構成が大きく変わっていますね...

 


本基準は、15の原則を通じて、より明確に内部監査人が高品質の業務を実施できるよう設計されています。各々の原則は複数の基準でサポートされており、基準には要求事項、実施に当たって考慮すべき事項、及び適合していることの証拠の例が含まれます。これらの要素は、内部監査人が原則を実現し、「内部監査の目的」を達成することを支援しています


 

とのことです...

 

内部監査人協会

・2024.07.05 グローバル内部監査基準™」(日本語版)公表のお知らせ

 

・[PDF] グローバル内部監査基

20240727-170835

 

 

 

・[PDF] 新旧対照表

20240727-170953

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.17 グローバル内部監査基準 (2024.01.09)

 

 

| | Comments (0)

2024.07.27

米国 ホワイトハウス 新たなAI行動を発表し、 AIに関する追加の主要な自主的コミットメントをAppleからも受領

こんにちは、丸山満彦です。

昨年に公表した大統領令14110に各省庁がするといっていたことが全て完了したという報告と、Appleが自主的な約束に署名をしたと公表していますね...Appleのウェブページではその報告は見つけられていません...

人口は日本の3倍。しかし、科学技術に対する国の力はそれ以上の差を感じてしまいますね。。。そして、技術的な分野の産業力も...

日本の組織は外に成果を出すためのエネルギーよりも、内部の調整(政治とかも...)にエネルギーをかけすぎなのかもしれませんね...

 

● U.S. White House

・2024.07.26 FACT SHEET: Biden-⁠Harris Administration Announces New AI Actions and Receives Additional Major Voluntary Commitment on AI

FACT SHEET: Biden-⁠Harris Administration Announces New AI Actions and Receives Additional Major Voluntary Commitment on AI ファクトシート:バイデン-ハリス政権は新たなAI行動を発表し、AIに関する主要な自主的コミットメントを追加で受け取った
Nine months ago, President Biden issued a landmark Executive Order to ensure that America leads the way in seizing the promise and managing the risks of artificial intelligence (AI). バイデン大統領は9カ月前、人工知能(AI)の有望性を捉え、リスクをマネジメントする上で米国が主導権を握ることを確実にするため、画期的な大統領令を発布した。
This Executive Order built on the voluntary commitments he and Vice President Harris received from 15 leading U.S. AI companies last year. Today, the administration announced that Apple has signed onto the voluntary commitments, further cementing these commitments as cornerstones of responsible AI innovation. この大統領令は、昨年バイデン大統領とハリス副大統領が米国の主要AI企業15社から受けた自発的なコミットメントに基づいている。本日、同政権は、アップル社が自主的なコミットメントに署名したことを発表し、責任あるAIイノベーションの礎として、これらのコミットメントをさらに強固なものにした。
In addition, federal agencies reported that they completed all of the 270-day actions in the Executive Order on schedule, following their on-time completion of every other task required to date. Agencies also progressed on other work directed for longer timeframes. さらに、連邦政府機関は、大統領令に定められた270日間の行動をすべて予定通りに完了したことを報告した。各省庁はまた、より長い期間をかけて指示された他の作業も進めた。
Following the Executive Order and a series of calls to action made by Vice President Harris as part of her major policy speech before the Global Summit on AI Safety, agencies all across government have acted boldly. They have taken steps to mitigate AI’s safety and security risks, protect Americans’ privacy, advance equity and civil rights, stand up for consumers and workers, promote innovation and competition, advance American leadership around the world, and more. Actions that agencies reported today as complete include the following : 大統領令と、AIセーフティ・グローバル・サミットに先立つハリス副大統領の主要政策演説の一環として行われた一連の行動要請を受け、政府全省庁が果敢に行動した。彼らは、AIの安全・セキュリティリスクの軽減、アメリカ人のプライバシーの保護、公平性と公民権の向上、消費者と労働者の支援、イノベーションと競争の促進、世界におけるアメリカのリーダーシップの推進などのための措置を講じてきた。本日、各省庁が完了したと報告したアクションは以下の通りである:
Managing Risks to Safety and Security: 安全とセキュリティに対するリスクマネジメント:
Over 270 days, the Executive Order directed agencies to take sweeping action to address AI’s safety and security risks, including by releasing vital safety guidance and building capacity to test and evaluate AI. To protect safety and security, agencies have: 大統領令は270日以上にわたって、重要な安全ガイダンスの発表やAIのテスト・評価能力の構築など、AIの安全・安心リスクに対処するための抜本的な対策を講じるよう各省庁に指示した。安全・安心を守るため、各省庁は以下を実施した:
1. Released for public comment new technical guidelines from the AI Safety Institute (AISI) for leading AI developers in managing the evaluation of misuse of dual-use foundation models. AISI’s guidelines detail how leading AI developers can help prevent increasingly capable AI systems from being misused to harm individuals, public safety, and national security, as well as how developers can increase transparency about their products . 1. AI Safety Institute (AISI)から、AI開発者がデュアルユース基盤モデルの誤用評価を管理するための新しい技術ガイドラインをパブリックコメント用に発表した。AISIのガイドラインは、主要なAI開発者が、ますます高性能になるAIシステムが個人、公共の安全、国家安全保障に危害を加えるために悪用されるのを防ぐのをどのように支援できるか、また開発者が製品の透明性をどのように高めることができるかについて詳述している。
2. Published final frameworks on managing generative AI risks and securely developing generative AI systems and dual-use foundation models. These documents by the National Institute of Standards and Technology (NIST) will provide additional guidance that builds on NIST’s AI Risk Management Framework, which offered individuals, organizations, and society a framework to manage AI risks and has been widely adopted both in the U.S. and globally. NIST also submitted a report to the White House outlining tools and techniques to reduce the risks from synthetic content. 2. 生成的AIのリスクマネジメントと、生成的AIシステムおよびデュアルユース基盤モデルの安全な開発に関する最終フレームワークを発表した。国立標準技術研究所(NIST)によるこれらの文書は、個人、機構、社会にAIリスクを管理する枠組みを提供し、米国内外で広く採用されているNISTのAIリスクマネジメントフレームワークを基礎とする追加ガイダンスを提供する。NISTはまた、合成コンテンツによるリスクを低減するためのツールや技術をまとめた報告書をホワイトハウスに提出した。
3. Developed and expanded AI testbeds and model evaluation tools at the Department of Energy (DOE). DOE, in coordination with interagency partners, is using its testbeds to evaluate AI model safety and security, especially for risks that AI models might pose to critical infrastructure, energy security, and national security. DOE’s testbeds are also being used to explore novel AI hardware and software systems, including privacy-enhancing technologies that improve AI trustworthiness. The National Science Foundation (NSF) also launched an initiative to help fund researchers outside the federal government design and plan AI-ready testbeds. 3. エネルギー省(DOE)において、AIのテストベッドとモデル評価ツールを開発・拡張した。DOEは、省庁間のパートナーと連携して、AIモデルの安全性とセキュリティ、特にAIモデルが重要インフラ、エネルギーセキュリティ、国家安全保障にもたらす可能性のあるリスクを評価するために、テストベッドを活用している。DOEのテストベッドは、AIの信頼性を向上させるプライバシー強化技術など、新しいAIのハードウェアやソフトウェアシステムの研究にも利用されている。全米科学財団(NSF)もまた、連邦政府以外の研究者がAIに対応したテストベッドを設計・計画するための資金援助を行うイニシアティブを立ち上げた。
4. Reported results of piloting AI to protect vital government software. The Department of Defense (DoD) and Department of Homeland Security (DHS) reported findings from their AI pilots to address vulnerabilities in government networks used, respectively, for national security purposes and for civilian government. These steps build on previous work to advance such pilots within 180 days of the Executive Order. 4. 政府の重要なソフトウェアを保護するためにAIを試験的に導入した結果を報告した。国防総省(DoD)と国土安全保障省(DHS)は、それぞれ国家安全保障と民間政府で使用される政府ネットワークの脆弱性に対処するためのAI試験運用の結果を報告した。これらの措置は、大統領令から180日以内にこのような試験運用を進めるという、これまでの作業を基礎としている。
5. Issued a call to action from the Gender Policy Council and Office of Science and Technology Policy to combat image-based sexual abuse, including synthetic content generated by AI. Image-based sexual abuse has emerged as one of the fastest growing harmful uses of AI to-date, and the call to action invites technology companies and other industry stakeholders to curb it. This call flowed from Vice President Harris’s remarks in London before the AI Safety Summit, which underscored that deepfake image-based sexual abuse is an urgent threat that demands global action. 5. AIによって生成された合成コンテンツを含む、画像に基づく性的虐待と闘うために、米国科学技術政策局および生成的政策評議会から行動への呼びかけが出された。画像に基づく性的虐待は、これまで最も急速に増加しているAIの有害な用途の1つとして浮上しており、行動への呼びかけは、テクノロジー企業やその他の業界関係者に抑制を呼びかけている。この呼びかけは、AIセーフティ・サミットの前にロンドンで行われたハリス副大統領の発言から生まれたもので、ディープフェイク画像に基づく性的虐待が世界的な行動を求める緊急の脅威であることを強調した。
Bringing AI Talent into Government AI人材を政府に導入する
Last year, the Executive Order launched a government-wide AI Talent Surge that is bringing hundreds of AI and AI-enabling professionals into government. Hired individuals are working on critical AI missions, such as informing efforts to use AI for permitting, advising on AI investments across the federal government, and writing policy for the use of AI in government. 昨年、大統領令は政府全体のAIタレント・サージを開始し、何百人ものAIとAIを可能にする専門家を政府に導入している。採用された人材は、AIを許認可に活用する取り組みへの情報提供、連邦政府全体のAI投資に関する助言、政府におけるAI活用のための政策立案など、重要なAIミッションに取り組んでいる。
1. To increase AI capacity across the federal government for both national security and non-national security missions, the AI Talent Surge has made over 200 hires to-date, including through the Presidential Innovation Fellows AI cohort and the DHS AI Corps. 1. 国家安全保障と非国家安全保障の両ミッションで連邦政府全体のAI能力を向上させるため、AI人材急増は、大統領イノベーションフェローAIコホートやDHS AI軍団を含め、これまでに200人以上を採用してきた。
2. Building on the AI Talent Surge 6-month report, the White House Office of Science and Technology Policy announced new commitments from across the technology ecosystem, including nearly $100 million in funding, to bolster the broader public interest technology ecosystem and build infrastructure for bringing technologists into government service. 2. ホワイトハウスの米国科学技術政策局は、AI Talent Surgeの6ヶ月報告書を基に、より広範な公益技術エコシステムを強化し、技術者を政府で雇用するためのインフラを構築するため、約1億ドルの資金を含む技術エコシステム全体からの新たなコミットメントを発表した。
Advancing Responsible AI Innovation 責任あるAIイノベーションの推進
President Biden’s Executive Order directed further actions to seize AI’s promise and deepen the U.S. lead in AI innovation while ensuring AI’s responsible development and use across our economy and society. Within 270 days, agencies have: バイデン大統領の大統領令は、AIの有望性を捉え、AIイノベーションにおける米国のリードをさらに深めると同時に、我々の経済と社会全体でAIの責任ある開発と利用を確保するためのさらなる行動を指示した。270日以内に、各省庁は以下を行った:
1. Prepared and will soon release a report on the potential benefits, risks, and implications of dual-use foundation models for which the model weights are widely available, including related policy recommendations. The Department of Commerce’s report draws on extensive outreach to experts and stakeholders, including hundreds of public comments submitted on this topic. 1. モデルの重みが広く利用可能なデュアルユース基盤モデルの潜在的なメリット、リスク、意味合いに関する報告書を作成し、近く発表する。商務省の報告書は、このテーマに関して提出された何百ものパブリックコメントを含む、専門家や利害関係者への広範な働きかけをもとに作成されている。
2. Awarded over 80 research teams’ access to computational and other AI resources through the National AI Research Resource (NAIRR) pilot—a national infrastructure led by NSF, in partnership with DOE, NIH, and other governmental and nongovernmental partners, that makes available resources to support the nation’s AI research and education community. Supported projects will tackle deepfake detection, advance AI safety, enable next-generation medical diagnoses and further other critical AI priorities. 2. 全米AI研究リソース(NAIRR)試験を通じて、80以上の研究チームが計算機やその他のAIリソースを利用できるようになった。-これは、NSFが主導し、DOE、NIH、その他の政府・非政府パートナーと連携して、全米のAI研究・教育コミュニティを支援するためのリソースを提供する国家インフラである。支援されるプロジェクトは、ディープフェイク検出への取り組み、AIの安全性の向上、次世代医療診断の実現、その他の重要なAIの優先課題への取り組みとなる。
3. Released a guide for designing safe, secure, and trustworthy AI tools for use in education. The Department of Education’s guide discusses how developers of educational technologies can design AI that benefits students and teachers while advancing equity, civil rights, trust, and transparency. This work builds on the Department’s 2023 report outlining recommendations for the use of AI in teaching and learning. 3. 教育で使用する安全、安心、信頼できるAIツールを設計するためのガイドを発表した。教育省のガイドは、教育技術の開発者が、公平性、公民権、信頼性、透明性を高めながら、生徒や教師のためになるAIを設計する方法について論じている。この作業は、教育・学習におけるAIの活用に関する提言をまとめた同省の2023年報告書に基づいている。
4. Published guidance on evaluating the eligibility of patent claims involving inventions related to AI technology, as well as other emerging technologies. The guidance by the U.S. Patent and Trademark Office will guide those inventing in the AI space to protect their AI inventions and assist patent examiners reviewing applications for patents on AI inventions. 4. AI技術やその他の新興技術に関連する発明を含む特許請求の範囲の適格性評価に関するガイダンスを公表した。米国特許商標庁によるこのガイダンスは、AI分野で発明を行う者がAI発明を保護するための指針となり、AI発明に関する特許出願を審査する特許審査官を支援する。
5. Issued a report on federal research and development (R&D) to advance trustworthy AI over the past four years. The report by the National Science and Technology Council examines an annual federal AI R&D budget of nearly $3 billion. 5. 過去4年間の信頼できるAIの進歩のための連邦政府の研究開発(R&D)に関する報告書を発行した。全米科学技術評議会によるこの報告書では、年間30億ドル近い連邦政府のAI研究開発予算が検討されている。
6. Launched a $23 million initiative to promote the use of privacy-enhancing technologies to solve real-world problems, including related to AI. Working with industry and agency partners, NSF will invest through its new Privacy-preserving Data Sharing in Practice program in efforts to apply, mature, and scale privacy-enhancing technologies for specific use cases and establish testbeds to accelerate their adoption. 6. AI関連を含む現実世界の問題解決にプライバシー強化技術の利用を促進するため、2,300万ドルのイニシアチブを開始した。NSFは、産業界や省庁のパートナーと協力し、新しいプライバシー保護データ共有プログラム(Privacy-preserving Data Sharing in Practice)を通じて、特定のユースケースにプライバシー強化技術を適用し、成熟させ、規模を拡大する取り組みに投資し、その採用を加速するためのテストベッドを確立する。
7. Announced millions of dollars in further investments to advance responsible AI development and use throughout our society. These include $30 million invested through NSF’s Experiential Learning in Emerging and Novel Technologies program—which supports inclusive experiential learning in fields like AI—and $10 million through NSF’s ExpandAI program, which helps build capacity in AI research at minority-serving institutions while fostering the development of a diverse, AI-ready workforce. 7. 社会全体で責任あるAIの開発と利用を促進するため、数百万ドルの追加投資を発表した。これには、AIなどの分野における包括的な体験学習を支援するNSFのExperiential Learning in Emerging and Novel Technologiesプログラムを通じて投資される3000万ドルや、多様なAIに対応できる労働力の育成を促進しながら、マイノリティ支援機構におけるAI研究の能力構築を支援するNSFのExpandAIプログラムを通じて投資される1000万ドルが含まれる。
Advancing U.S. Leadership Abroad 海外における米国のリーダーシップを促進する
President Biden’s Executive Order emphasized that the United States lead global efforts to unlock AI’s potential and meet its challenges. To advance U.S. leadership on AI, agencies have: バイデン大統領の大統領令は、米国がAIの可能性を引き出し、その課題を解決するための世界的な取り組みを主導することを強調した。AIに関する米国のリーダーシップを推進するため、各省庁は以下を行った:
1. Issued a comprehensive plan for U.S. engagement on global AI standards. The plan, developed by the NIST, incorporates broad public and private-sector input, identifies objectives and priority areas for AI standards work, and lays out actions for U.S. stakeholders including U.S. agencies. NIST and others agencies will report on priority actions in 180 days AI標準に関する米国の包括的な関与計画を発表した。NISTが策定したこの計画は、官民の幅広い意見を取り入れ、AI標準作業の目的と優先分野を特定し、米国政府機関を含む米国の利害関係者の行動を示している。NISTとその他の機関は、180日以内に優先的な行動について報告する。
2. Developed guidance for managing risks to human rights posed by AI. The Department of State’s “Risk Management Profile for AI and Human Rights”—developed in close coordination with NIST and the U.S. Agency for International Development—recommends actions based on the NIST AI Risk Management Framework to governments, the private sector, and civil society worldwide, to identify and manage risks to human rights arising from the design, development, deployment, and use of AI AIがもたらす人権へのリスクをマネジメントするためのガイダンスを策定した。国務省の「AIと人権に関するリスクマネジメントプロファイル」は、NISTおよび米国国際開発庁と緊密に連携して作成されたもので、AIの設計、開発、配備、使用から生じる人権へのリスクを特定し、管理するために、NISTのAIリスクマネジメントフレームワークに基づく行動を世界中の政府、民間セクター、市民社会に推奨している。
3. Launched a global network of AI Safety Institutes and other government-backed scientific offices to advance AI safety at a technical level. This network will accelerate critical information exchange and drive toward common or compatible safety evaluations and policies. AIの安全性を技術レベルで推進するため、AI安全機構や政府が支援する科学的オフィスのグローバルネットワークを立ち上げた。このネットワークは、重要な情報交換を加速させ、共通または互換性のある安全性評価と政策を推進する。
4. Launched a landmark United Nations General Assembly resolution. The unanimously adopted resolution, with more than 100 co-sponsors, lays out a common vision for countries around the world to promote the safe and secure use of AI to address global challenges. 画期的な国連総会決議を開始した。全会一致で採択されたこの決議は、100人以上の賛同者を得て、世界的な課題に対処するためにAIの安全かつ確実な利用を促進するための世界各国の共通ビジョンを示している。
5.Expanded global support for the U.S.-led Political Declaration on the Responsible Military Use of Artificial Intelligence and Autonomy.  Fifty-five nations now endorse the political declaration, which outlines a set of norms for the responsible development, deployment, and use of military AI capabilities. 米国主導の「人工知能とオートノミーの責任ある軍事利用に関する政治宣言」への世界的な支持を拡大した。 この政治宣言は、軍事用AI能力の責任ある開発、配備、使用に関する一連の規範をまとめたもので、現在55カ国が支持している。
The Table below summarizes many of the activities that federal agencies have completed in response to the Executive Order: 以下の表は、大統領令に対応して連邦政府機関が完了した活動の多くをまとめたものである:

 

1_20240727123401

2_20240727123401

3_20240727123501

4_20240727123501

5_20240727123501

 

 


 

U.S. Department of Commerce

・2024.07.26 Department of Commerce Announces New Guidance, Tools 270 Days Following President Biden’s Executive Order on AI

Department of Commerce Announces New Guidance, Tools 270 Days Following President Biden’s Executive Order on AI 商務省は、バイデン大統領によるAIに関する大統領令の270日後に、新たなガイダンスとツールを発表した。
Artificial Intelligence 人工知能
**For the first time, Commerce makes public new NIST draft guidance from the U.S. AI Safety Institute to help AI developers evaluate and mitigate risks stemming from generative AI and dual-use foundation models.** **商務省は、AI開発者が生成的AIやデュアルユース基盤モデルから生じるリスクを評価し、軽減するのに役立つ米国AI安全機構による新しいNISTドラフトガイダンスを初めて公開した。
Read the White House Fact sheet on Administration-wide actions on AI. AIに関する政府全体の行動に関するホワイトハウスのファクトシートを読む。
The U.S. Department of Commerce announced today, on the 270-day mark since President Biden’s Executive Order (EO) on the Safe, Secure and Trustworthy Development of AI, the release of new guidance and software to help improve the safety, security and trustworthiness of artificial intelligence (AI) systems. 米商務省は本日、バイデン大統領令「AIの安全・安心・信頼できる開発」から270日目を迎え、人工知能(AI)システムの安全・安心・信頼性を改善するための新たなガイダンスとソフトウェアを発表した。
The Department’s National Institute of Standards and Technology (NIST) released three final guidance documents that were first released in April for public comment, as well as a draft guidance document from the U.S. AI Safety Institute that is intended to help mitigate risks. NIST is also releasing a software package designed to measure how adversarial attacks can degrade the performance of an AI system. In addition, Commerce’s U.S. Patent and Trademark Office (USPTO) issued a guidance update on patent subject matter eligibility to address innovation in critical and emerging technologies, including AI, and the National Telecommunications and Information Administration (NTIA) delivered a report to the White House that examines the risks and benefits of large AI models with widely available weights
.
同省の国立標準技術研究所(NIST)は、4月に初めて公開されパブリックコメントを求めていた3つの最終ガイダンス文書と、リスク軽減を目的とした米国AI安全研究所のガイダンス文書案を公開した。NISTはまた、敵対的な攻撃がAIシステムの性能をどのように低下させるかを測定するために設計されたソフトウェアパッケージも発表している。さらに、米国特許商標庁(USPTO)は、AIを含む重要かつ新興の技術革新に対応するため、特許の主題適格性に関するガイダンスを更新し、国家電気通信情報局(NTIA)は、広く利用可能な重みを持つ大規模なAIモデルのリスクと利点を検討した報告書をホワイトハウスに提出した。
“Under President Biden and Vice President Harris’ leadership, we at the Commerce Department have been working tirelessly to implement the historic Executive Order on AI and have made significant progress in the nine months since we were tasked with these critical responsibilities,” said U.S. Secretary of Commerce Gina Raimondo. “AI is the defining technology of our generation, so we are running fast to keep pace and help ensure the safe development and deployment of AI. Today’s announcements demonstrate our commitment to giving AI developers, deployers, and users the tools they need to safely harness the potential of AI, while minimizing its associated risks. We’ve made great progress, but have a lot of work ahead. We will keep up the momentum to safeguard America’s role as the global leader in AI.” 「バイデン大統領とハリス副大統領のリーダーシップの下、我々商務省はAIに関する歴史的な大統領令の実施に精力的に取り組んでおり、この重要な責務を課せられてから9ヶ月間で大きな進展を遂げた」とジーナ・ライモンド米商務長官は述べた。「AIはわれわれの生成的AI技術であり、われわれはその歩調を合わせ、AIの安全な開発と普及を支援するため、急ピッチで取り組んでいる。本日の発表は、AIの開発者、導入者、利用者がAIの可能性を安全に活用するために必要なツールを提供する一方で、関連するリスクを最小限に抑えるという我々のコミットメントを示すものだ。我々は大きな進歩を遂げたが、まだ多くの課題が残っている。我々は、AIにおけるグローバルリーダーとしてのアメリカの役割を守るため、この勢いを維持していく」。
NIST’s document releases cover varied aspects of AI technology. Two were made public today for the first time. One is the initial public draft of a guidance document from the U.S. AI Safety Institute, and is intended to help AI developers evaluate and mitigate the risks stemming from generative AI and dual-use foundation models — AI systems that can be used for either beneficial or harmful purposes. The other is a testing platform designed to help AI system users and developers measure how certain types of attacks can degrade the performance of an AI system. Of the remaining three document releases, two are guidance documents designed to help manage the risks of generative AI — the technology that enables many chatbots as well as text-based image and video creation tools — and serve as companion resources to NIST’s AI Risk Management Framework (AI RMF) and Secure Software Development Framework (SSDF). The third proposes a plan for U.S. stakeholders to work with others around the globe on AI standards. NISTが発表した文書は、AI技術の様々な側面をカバーしている。今日初めて公開されたものが2つある。ひとつは、米国AI安全研究所のガイダンス文書の初公開草案で、AI開発者が生成的AIやデュアルユース基盤モデル(有益にも有害にも使用可能なAI機構)から生じるリスクを評価し、軽減するためのものだ。もうひとつは、AIシステムのユーザーや開発者が、ある種の攻撃がAIシステムの性能をどのように低下させるかを測定できるように設計されたテストプラットフォームである。残りの3つの文書のうち、2つは生成的AI(多くのチャットボットやテキストベースの画像・動画作成ツールを実現する技術)のリスクマネジメントを支援するためのガイダンス文書で、NISTのAIリスクマネジメントフレームワーク(AI RMF)とセキュアソフトウェア開発フレームワーク(SSDF)の関連リソースとして機能する。3つ目は、米国の関係者がAI標準について世界中の関係者と協力するための計画を提案している。
“For all its potentially transformational benefits, generative AI also brings risks that are significantly different from those we see with traditional software,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “These guidance documents and testing platform will inform software creators about these unique risks and help them develop ways to mitigate those risks while supporting innovation.” 「標準技術担当商務次官兼NIST長官のローリー・E・ロカシオ氏は、「生成的AIは、その潜在的な利点のすべてにおいて、従来のソフトウェアとは大きく異なるリスクももたらす。「これらのガイダンス文書とテストプラットフォームは、ソフトウェア作成者にこれらのユニークなリスクについて知らせ、イノベーションを支援しながらリスクを軽減する方法を開発するのに役立つ。
USPTO’s guidance update will assist USPTO personnel and stakeholders in determining subject matter eligibility under patent law (35 U.S.C. § 101) of AI inventions. This latest update builds on previous guidance by providing further clarity and consistency to how the USPTO and applicants should evaluate subject matter eligibility of claims in patent applications and patents involving inventions related to AI technology. The guidance update also announces three new examples of how to apply this guidance throughout a wide range of technologies. USPTOのガイダンス・アップデートは、AI発明の特許法(35 U.S.C. § 101)上の主題適格性を判断する際に、USPTO職員および関係者を支援する。この最新のガイダンスは、これまでのガイダンスに基づき、USPTOと出願人がAI技術に関連する発明を含む特許出願および特許のクレームの主題適格性をどのように評価すべきかについて、さらなる明確性と一貫性を提供するものである。また、このガイダンスの更新では、幅広い技術にこのガイダンスを適用する方法について、3つの新しい例を発表している。
“The USPTO remains committed to fostering and protecting innovation in critical and emerging technologies, including AI,” said Kathi Vidal, Under Secretary of Commerce for Intellectual Property and Director of the USPTO. “We look forward to hearing public feedback on this guidance update, which will provide further clarity on evaluating subject matter eligibility of AI inventions while incentivizing innovations needed to solve world and community problems.” 「米国特許商標庁(USPTO)の知的財産担当商務次官兼長官であるカティ・ヴィダル氏は、「USPTOは、AIを含む重要な新興技術のイノベーションを促進し、保護することに引き続き尽力する。「このガイダンスの更新により、AI発明の主題適格性の評価がさらに明確になると同時に、世界や地域社会の問題を解決するために必要なイノベーションを奨励することになる。
NTIA’s soon-to-be-published report will review the risks and benefits of dual-use foundation models whose model weights are widely available (i.e. “open-weight models”), as well as develop policy recommendations maximizing those benefits while mitigating the risks. Open-weight models allow developers to build upon and adapt previous work, broadening AI tools’ availability to small companies, researchers, nonprofits, and individuals. NTIAが間もなく発表する報告書では、モデルウェイトが広く利用可能なデュアルユースファウンデーションモデル(すなわち「オープンウェイトモデル」)のリスクとベネフィットを検討し、リスクを低減しながらベネフィットを最大化する政策提言を策定する。オープン・ウェイト・モデルは、開発者が過去の研究を基にしたり、適応させたりすることを可能にし、中小企業、研究者、非営利団体、個人がAIツールを幅広く利用できるようにする。
Additional information on today’s announcements from NIST can be found below. 本日のNISTの発表に関する追加情報は以下を参照のこと。
Protecting Against Misuse Risk from Dual-Use Foundation Models デュアルユース基盤モデルからの誤用リスク防御
AI foundation models are powerful tools that are useful across a broad range of tasks and are sometimes called “dual-use” because of their potential for both benefit and harm. NIST’s U.S. AI Safety Institute has released the initial public draft of its guidelines on Managing Misuse Risk for Dual-Use Foundation Models, which outlines voluntary best practices for how foundation model developers can protect their systems from being misused to cause deliberate harm to individuals, public safety and national security. AI基盤モデルは、幅広いタスクに有用な強力なツールであり、利益と害悪の両方の可能性があることから、「デュアルユース」と呼ばれることもある。NISTの米国AI安全研究所は、「デュアルユースファウンデーションモデルの悪用リスクマネジメント」に関するガイドラインの初公開ドラフトを発表した。このガイドラインは、ファウンデーションモデル開発者が、そのシステムが悪用され、個人、公共の安全、国家安全保障に意図的な危害が及ぶことを防ぐための自主的なベストプラクティスの概要を示している。
The draft guidance offers seven key approaches for mitigating the risks that models will be misused, along with recommendations for how to implement them and how to be transparent about their implementation. Together, these practices can help prevent models from enabling harm through activities like developing biological weapons, carrying out offensive cyber operations, and generating child sexual abuse material and non-consensual intimate imagery. ドラフト・ガイダンスは、モデルが悪用されるリスクを低減するための7つの主要なアプローチと、それらをどのように実施するか、またその実施についてどのように透明性を確保するかについての勧告を提示している。これらの実践を組み合わせることで、生物兵器の開発、攻撃的なサイバー作戦の実行、児童性的虐待の素材や同意のない親密な画像の生成といった活動を通じて、モデルが危害を加えることを防ぐことができる。
The AI Safety Institute is accepting comments from the public on the draft Managing the Misuse Risk for Dual-Use Foundation Models until Sept. 9, 2024, at 11:59 PM Eastern Time. Comments can be submitted electronically to NISTAI800-1@nist.gov with “NIST AI 800-1, Managing Misuse Risk for Dual-Use Foundation Models” in the subject line AIセーフティ・インスティテュートは、ドラフト「Managing the Misuse Risk for Dual-Use Foundation Models」に対する一般からのコメントを、2024年9月9日午後11時59分(米国東部時間)まで受け付けている。意見は、件名を「NIST AI 800-1、Managing Misuse Risk for Dual-Use Foundation Models」として、NISTAI800-1@nist.gov 宛てに電子的に提出することができる。
Testing how AI Models Respond to Attacks AIモデルが攻撃にどのように対応するかをテストする
One of the vulnerabilities of an AI system is the model at its core. By exposing a model to large amounts of training data, it learns to make decisions. But if adversaries poison the training data with inaccuracies — for example, by introducing data that can cause the model to misidentify stop signs as speed limit signs — the model can make incorrect, potentially disastrous decisions. Testing the effects of adversarial attacks on machine learning models is one of the goals of Dioptra, a new software package aimed at helping AI developers and customers determine how well their AI software stands up to a variety of adversarial attacks.   AIシステムの脆弱性の一つは、その中核にあるモデルである。モデルを大量の訓練データにさらすことで、モデルは意思決定を行うことを学習する。しかし、敵対的サンプルが不正確なデータ・ポイズニングを行った場合、例えば、一時停止標識を速度制限標識と誤認させるようなデータを導入した場合、モデルは誤った、潜在的に悲惨な判断を下す可能性がある。機械学習モデルに対する敵対的攻撃の影響をテストすることは、Dioptraの目標の一つである。Dioptraは、AI開発者や顧客が、AIソフトウェアが様々な敵対的攻撃にどの程度耐えられるかを判断するのを支援することを目的とした新しいソフトウェア・パッケージである。 
The open-source software, available for free download, could help the community including government agencies and small- to medium-sized businesses conduct evaluations to assess AI developers’ claims about their systems’ performance. This software responds to Executive Order section 4.1 (ii) (B), which requires NIST to help with model testing. Dioptra does this by allowing a user to determine what sorts of attacks would make the model perform less effectively and quantifying the performance reduction so that the user can learn how often and under what circumstances the system would fail. 無料でダウンロード可能なオープンソースソフトウェアは、政府機関や中小企業を含むコミュニティが、AI開発者が主張するシステムの性能を評価するための評価を行うのに役立つだろう。このソフトウェアは、大統領令4.1項(ii)(B)に対応するもので、NISTにモデルテストの支援を求めている。Dioptraは、どのような攻撃がモデルのパフォーマンスを低下させるかをユーザーが判断できるようにし、パフォーマンスの低下を定量化することで、ユーザーがシステムがどの程度の頻度で、どのような状況下で失敗するかを知ることができるようにする。
Managing the Risks of Generative AI 生成的AIのリスクマネジメント
The AI RMF Generative AI Profile (NIST AI 600-1) can help organizations identify unique risks posed by generative AI and proposes actions for generative AI risk management that best aligns with their goals and priorities. The guidance is intended to be a companion resource for users of NIST’s AI RMF. It centers on a list of 12 risks and just over 200 actions that developers can take to manage them. AI RMFの生成的AIプロファイル(NIST AI 600-1)は、組織が生成的AIによってもたらされる固有のリスクを特定し、その目標や優先事項に最適な生成的AIのリスクマネジメントのための行動を提案するのに役立つ。このガイダンスは、NISTのAI RMFの利用者向けの付属リソースとなることを意図している。このガイダンスは、12のリスクと、開発者がリスクマネジメントのために取ることができる200以上のアクションのリストを中心に構成されている。
The 12 risks include a lowered barrier to entry for cybersecurity attacks, the production of mis- and disinformation or hate speech and other harmful content, and generative AI systems confabulating or “hallucinating” output. After describing each risk, the document presents a matrix of actions that developers can take to mitigate them, mapped to the AI RMF. 12のリスクには、サイバーセキュリティ攻撃への参入障壁の低下、偽情報やヘイトスピーチ、その他の有害なコンテンツの生成、生成的AIシステムによる出力の混同や「幻覚」などが含まれる。各リスクを説明した後、開発者がそのリスクを低減するために取るべき行動を、AI RMFに対応させてマトリクスとして示している。
Reducing Threats to the Data Used to Train AI Systems AIシステムの学習に使用されるデータへの脅威を軽減する
The second finalized publication, Secure Software Development Practices for Generative AI and Dual-Use Foundation Models (NIST Special Publication (SP) 800-218A) is designed to be used alongside the Secure Software Development Framework (SP 800-218). While the SSDF is broadly concerned with software coding practices, the companion resource expands the SSDF in part to address a major concern with generative AI systems: They can be compromised with malicious training data that adversely affect the AI system’s performance. 2つ目の最終刊行物である「生成的AIおよびデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス」(NIST特別刊行物(SP)800-218A)は、安全なソフトウェア開発フレームワーク(SP800-218)と並行して使用されるように設計されている。SSDFは広くソフトウェアのコーディング手法に関わるものであるが、この関連リソースは、生成的AIシステムの主要な懸念に対処するためにSSDFを一部拡張したものである: それは、AIシステムの性能に悪影響を与える悪意のある学習データによって、システムが危険にさらされる可能性があるというものだ。
In addition to covering aspects of the training and use of AI systems, this guidance document identifies potential risk factors and strategies to address them. Among other recommendations, it suggests analyzing training data for signs of poisoning, bias, homogeneity and tampering. AIシステムの訓練と使用の側面をカバーすることに加え、このガイダンス文書は潜在的なリスク要因とそれに対処するための戦略を特定している。特に、ポイズニング、バイアス、均質性、改ざんなどの兆候がないか、トレーニングデータを分析することを推奨している。
Global Engagement on AI Standards AI標準に関するグローバルな取り組み
AI systems are transforming society not only within the U.S., but around the world. A Plan for Global Engagement on AI Standards (NIST AI 100-5), today’s third finalized publication, is designed to drive the worldwide development and implementation of AI-related consensus standards, cooperation and coordination, and information sharing. AIシステムは米国内だけでなく、世界中で社会を変革しつつある。AI標準に関するグローバルな関与のための計画(NIST AI 100-5)は、AI関連のコンセンサス標準の世界的な開発と実施、協力と調整、情報共有を推進するために策定された。
The guidance is informed by priorities outlined in the NIST-developed Plan for Federal Engagement in AI Standards and Related Tools and is tied to the National Standards Strategy for Critical and Emerging Technology. This publication suggests that a broader range of multidisciplinary stakeholders from many countries participate in the standards development process. このガイダンスは、NISTが策定した「AI標準および関連ツールにおける連邦政府の関与のための計画」で示された優先事項に基づいており、「重要かつ新たな技術のための国家標準化戦略」と関連している。本書は、標準開発プロセスに多くの国から幅広い分野の利害関係者が参加することを示唆している。

 

 

NIST - ITL

・2024.07.26 Department of Commerce Announces New Guidance, Tools 270 Days Following President Biden’s Executive Order on AI

Department of Commerce Announces New Guidance, Tools 270 Days Following President Biden’s Executive Order on AI 商務省、AI に関するバイデン大統領の大統領令から 270 日後に新たなガイダンスとツールを発表
For the first time, Commerce makes public new NIST draft guidance from U.S. AI Safety Institute to help AI developers evaluate and mitigate risks stemming from generative AI and dual-use foundation models. 米商務省は、AI開発者が生成的AIやデュアルユース基盤モデルから生じるリスクを評価し、軽減するのを支援するため、米国AI安全機構による新しいNISTドラフトガイダンスを初めて公開する。
The U.S. Department of Commerce announced today, on the 270-day mark since President Biden’s Executive Order (EO) on the Safe, Secure and Trustworthy Development of AI, the release of new guidance and software to help improve the safety, security and trustworthiness of artificial intelligence (AI) systems. 米商務省は本日、バイデン大統領の「AIの安全・安心・信頼できる開発に関する大統領令(EO)」から270日目を迎え、人工知能(AI)システムの安全・安心・信頼性を改善するための新たなガイダンスとソフトウェアを公開すると発表した。
The department’s National Institute of Standards and Technology (NIST) released three final guidance documents that were first released in April for public comment, as well as a draft guidance document from the U.S. AI Safety Institute that is intended to help mitigate risks. NIST is also releasing a software package designed to measure how adversarial attacks can degrade the performance of an AI system. In addition, Commerce’s U.S. Patent and Trademark Office (USPTO) issued a guidance update on patent subject matter eligibility to address innovation in critical and emerging technologies, including AI. 同省の国立標準技術研究所(NIST)は、4月に初めて公開されパブリックコメントを求めていた3つの最終ガイダンス文書と、リスク軽減を目的とした米国AI安全研究所のガイダンス文書案を公開した。NISTはまた、敵対的な攻撃がAIシステムの性能をどのように低下させるかを測定するために設計されたソフトウェアパッケージも発表している。さらに、米国特許商標庁(USPTO)は、AIを含む重要かつ新興の技術革新に対応するため、特許の主題適格性に関するガイダンスを更新した。
“For all its potentially transformational benefits, generative AI also brings risks that are significantly different from those we see with traditional software. These guidance documents and testing platform will inform software creators about these unique risks and help them develop ways to mitigate those risks while supporting innovation.” —Laurie E. Locascio, Under Secretary of Commerce for Standards and Technology and NIST Director  「生成的AIは、その潜在的な変革の可能性から、従来のソフトウェアとは大きく異なるリスクももたらす。これらのガイダンス文書とテストプラットフォームは、ソフトウェア作成者にこれらのユニークなリスクについて知らせ、イノベーションを支援しながらリスクを軽減する方法を開発するのに役立つだろう。-ローリー・E・ロカシオ商務次官(標準技術担当)兼NIST理事 
Read the full Department of Commerce news release. 商務省のニュースリリース全文を読む。
Read the White House fact sheet on administration-wide actions on AI. AIに関する政府全体の行動に関するホワイトハウスのファクトシートを読む。
Background: NIST Delivers 5 Products in Response to 2023 Executive Order on AI 背景 NIST、AIに関する2023年大統領令に対応した5つの製品を発表
The NIST releases cover varied aspects of AI technology. Two of them appear today for the first time: One is the initial public draft of a guidance document from the U.S. AI Safety Institute, and is intended to help software developers mitigate the risks stemming from generative AI and dual-use foundation models — AI systems that can be used for either beneficial or harmful purposes. The other is a testing platform designed to help AI system users and developers measure how certain types of attacks can degrade the performance of an AI system.  NISTのリリースはAI技術の様々な側面をカバーしている。そのうちの2つが本日初めて公開された: ひとつは、米国AI安全研究所によるガイダンス文書の初公開草案で、ソフトウェア開発者が生成的AIやデュアルユース基盤モデル(有益にも有害にも使用できるAI機構)に起因するリスクを軽減することを目的としている。もう1つは、AIシステムのユーザーや開発者が、ある種の攻撃がAIシステムの性能をどのように低下させるかを測定するのを助けるために設計されたテストプラットフォームである。
Of the remaining three releases, two are guidance documents designed to help manage the risks of generative AI — the technology that enables many chatbots as well as text-based image and video creation tools — and serve as companion resources to NIST’s AI Risk Management Framework (AI RMF) and Secure Software Development Framework (SSDF). The third proposes a plan for U.S. stakeholders to work with others around the globe on AI standards. These three publications previously appeared April 29 in draft form for public comment, and NIST is now releasing their final versions 残りの3つのリリースのうち、2つは生成的AI(多くのチャットボットやテキストベースの画像・動画作成ツールを実現する技術)のリスクマネジメントを支援するために設計されたガイダンス文書で、NISTのAIリスクマネジメントフレームワーク(AI RMF)とセキュアソフトウェア開発フレームワーク(SSDF)の関連リソースとなっている。3つ目は、米国の関係者が世界中の関係者とAI標準について協力するための計画を提案している。これら3つの出版物は、4月29日にパブリックコメント用のドラフトとして発表されたが、NISTは今回、最終版を発表する。
The two releases NIST is announcing today for the first time are:  NISTが本日初めて発表するのは、以下の2つである: 
Preventing Misuse of Dual-Use Foundation Models デュアルユースファウンデーションモデルの誤用を防ぐ
AI foundation models are powerful tools that are useful across a broad range of tasks and are sometimes called “dual-use” because of their potential for both benefit and harm. NIST’s AI Safety Institute has released the initial public draft of its guidelines on Managing Misuse Risk for Dual-Use Foundation Models (NIST AI 800-1), which outlines voluntary best practices for how foundation model developers can protect their systems from being misused to cause deliberate harm to individuals, public safety and national security. AI基盤モデルは、幅広いタスクに有用な強力なツールであり、利益と害悪の両方の可能性があるため、「デュアルユース」と呼ばれることもある。NISTのAIセーフティ・インスティテュートは、「デュアルユース・ファウンデーションモデルの悪用リスクマネジメントに関するガイドライン」(NIST AI 800-1)の初公開ドラフトを発表した。このガイドラインは、ファウンデーションモデル開発者が、そのシステムが悪用されて、個人、公共の安全、国家安全保障に意図的な危害が及ぶことを防ぐための自主的なベストプラクティスをまとめたものである。
The draft guidance offers seven key approaches for mitigating the risks that models will be misused, along with recommendations for how to implement them and how to be transparent about their implementation. Together, these practices can help prevent models from enabling harm through activities like developing biological weapons, carrying out offensive cyber operations, and generating child sexual abuse material and nonconsensual intimate imagery.  ドラフト・ガイダンスは、モデルが悪用されるリスクを軽減するための7つの主要なアプローチと、それらの実施方法、および実施方法の透明性に関する勧告を提示している。これらの実践を組み合わせることで、生物兵器の開発、攻撃的サイバー作戦の実行、児童性的虐待資料や非合意の親密な画像の生成といった活動を通じて、モデルが危害を加えることを防ぐことができる。
NIST is accepting comments from the public on the draft Managing the Risk of Misuse for Dual-Use Foundation Models until Sept. 9, 2024, at 11:59 p.m. Eastern Time. Comments can be submitted to NISTAI800-1@nist.gov.  NISTは、ドラフト「Managing the Risk of Misuse for Dual-Use Foundation Models」に対する一般からのコメントを、2024年9月9日午後11時59分(米国東部時間)まで受け付けている。コメントはNISTAI800-1@nist.gov。
Testing How AI System Models Respond to Attacks AIシステムモデルが攻撃にどのように対応するかをテストする
One of the vulnerabilities of an AI system is the model at its core. By exposing a model to large amounts of training data, it learns to make decisions. But if adversaries poison the training data with inaccuracies — for example, by introducing data that can cause the model to misidentify stop signs as speed limit signs — the model can make incorrect, potentially disastrous decisions. Testing the effects of adversarial attacks on machine learning models is one of the goals of Dioptra, a new software package aimed at helping AI developers and customers determine how well their AI software stands up to a variety of adversarial attacks.    AIシステムの脆弱性のひとつは、その核となるモデルである。モデルを大量の訓練データにさらすことで、意思決定を行うことを学習する。しかし、敵対的サンプルが不正確なデータ・ポイズニングを行った場合、例えば、モデルが一時停止標識を制限速度標識と誤認するようなデータを導入した場合、モデルは誤った、潜在的に悲惨な判断を下す可能性がある。機械学習モデルに対する敵対的攻撃の影響をテストすることは、Dioptraの目標の一つである。Dioptraは、AI開発者や顧客が、AIソフトウェアが様々な敵対的攻撃にどの程度耐えられるかを判断するのを支援することを目的とした新しいソフトウェア・パッケージである。  
The open-source software, available for free download, could help the community, including government agencies and small to medium-sized businesses, conduct evaluations to assess AI developers’ claims about their systems’ performance. This software responds to Executive Order section 4.1 (ii) (B), which requires NIST to help with model testing. Dioptra does this by allowing a user to determine what sorts of attacks would make the model perform less effectively and quantifying the performance reduction so that the user can learn how often and under what circumstances the system would fail 無料でダウンロード可能なオープンソースソフトウェアは、政府機関や中小企業を含むコミュニティが、AI開発者が主張するシステムの性能を評価するための評価を実施するのに役立つだろう。このソフトウェアは、大統領令4.1項(ii)(B)に対応するもので、NISTにモデルテストの支援を求めている。Dioptraは、どのような攻撃がモデルの性能を低下させるかをユーザーが判断できるようにし、性能低下を定量化することで、システムがどのような状況下でどの程度の頻度で失敗するかをユーザーが知ることができるようにする。
Augmenting today’s two initial releases are three finalized documents:  本日の2つの初期リリースに加え、3つの最終文書が発表された: 
Mitigating the Risks of Generative AI 生成的AIのリスク低減
The AI RMF Generative AI Profile (NIST AI 600-1) can help organizations identify unique risks posed by generative AI and proposes actions for generative AI risk management that best aligns with their goals and priorities. The guidance is intended to be a companion resource for users of NIST’s AI RMF. It centers on a list of 12 risks and just over 200 actions that developers can take to manage them AI RMFの生成的AIプロファイル(NIST AI 600-1)は、組織が生成的AIがもたらす固有のリスクを特定し、その目標や優先順位に最も適した生成的AIのリスクマネジメントのための行動を提案するのに役立つ。このガイダンスは、NISTのAI RMFの利用者向けの付属リソースとなることを意図している。このガイダンスは、12のリスクと、開発者がリスクマネジメントのために取ることができる200以上のアクションのリストを中心に構成されている。
The 12 risks include a lowered barrier to entry for cybersecurity attacks, the production of mis- and disinformation or hate speech and other harmful content, and generative AI systems confabulating or “hallucinating” output. After describing each risk, the document presents a matrix of actions that developers can take to mitigate it, mapped to the AI RMF.  12のリスクには、サイバーセキュリティ攻撃への参入障壁の低下、偽情報やヘイトスピーチ、その他の有害なコンテンツの生成、生成的AIシステムによる出力の混同や「幻覚」などが含まれる。それぞれのリスクについて説明した後、開発者がそのリスクを低減するために取るべき行動を、AI RMFに対応させてマトリックスで提示している。
Reducing Threats to the Data Used to Train AI Systems AIシステムの学習に使用されるデータへの脅威を軽減する
The second finalized publication, Secure Software Development Practices for Generative AI and Dual-Use Foundation Models (NIST Special Publication (SP) 800-218A), is designed to be used alongside the Secure Software Development Framework (SP 800-218). While the SSDF is broadly concerned with software coding practices, the companion resource expands the SSDF in part to address a major concern with generative AI systems: They can be compromised with malicious training data that adversely affect the AI system’s performance. 2つ目の最終刊行物である「生成的AIおよびデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス」(NIST特別刊行物(SP)800-218A)は、安全なソフトウェア開発フレームワーク(SP800-218)と並行して使用されるように設計されている。SSDFは広くソフトウェアコーディングの実践を対象としているが、この関連リソースは、生成的AIシステムの主要な懸念に対処するためにSSDFを部分的に拡張している: それは、AIシステムの性能に悪影響を与える悪意のある学習データによって、システムが危険にさらされる可能性があるというものだ。
In addition to covering aspects of the training and use of AI systems, this guidance document identifies potential risk factors and strategies to address them. Among other recommendations, it suggests analyzing training data for signs of poisoning, bias, homogeneity and tampering. AIシステムの訓練と使用の側面をカバーすることに加え、このガイダンス文書は潜在的なリスク要因とそれらに対処するための戦略を特定する。特に、ポイズニング、バイアス、均質性、改ざんなどの兆候がないか、学習データを分析することを推奨している。
Global Engagement on AI Standards  AI標準に関するグローバルな取り組み 
AI systems are transforming society not only within the U.S., but around the world. A Plan for Global Engagement on AI Standards (NIST AI 100-5), today’s third finalized publication, is designed to drive the worldwide development and implementation of AI-related consensus standards, cooperation and coordination, and information sharing. AIシステムは米国内だけでなく、世界中で社会を変革しつつある。AI標準に関するグローバルな関与のための計画(NIST AI 100-5)は、AI関連のコンセンサス標準の世界的な開発と実施、協力と調整、情報共有を推進するために策定された。
The guidance is informed by priorities outlined in the NIST-developed Plan for Federal Engagement in AI Standards and Related Tools and is tied to the National Standards Strategy for Critical and Emerging Technology. This publication suggests that a broader range of multidisciplinary stakeholders from many countries participate in the standards development process このガイダンスは、NISTが策定した「AI標準および関連ツールにおける連邦政府の関与のための計画」で示された優先事項に基づいており、「重要かつ新たな技術のための国家標準化戦略」と関連している。本書は、標準開発プロセスに多くの国から幅広い分野の利害関係者が参加することを示唆している。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

大統領令14110

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

 

AI企業との自主的約束

・2023.07.22 米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした3つの分野の8つの約束

 

 

| | Comments (0)

ニュージーランド プライバシーコミッショナー 子供のプライバシーについての調査結果と洞察... (2024.04.17)

こんにちは、丸山満彦です。

ニュージーランドのプライバシーコミッショナーが子供のプライバシーについての調査結果と洞察を公表していました...

文化的な背景も、法環境も違うので、そのままというわけにはいかないとは思いますが、参考になりそうですね...そういえば、日本でも個人情報保護法の改正に向けた有識者会議が設置委員)されるようですし...

 

 

Privacy Commissioner

・2024.04.17 New survey shows we all need to sharpen up about privacy risks for kids

New survey shows we all need to sharpen up about privacy risks for kids 新たな調査によれば、我々は皆、子供のプライバシーリスクについて研ぎ澄ます必要がある
Concern about social media use was one of the three themes raised by experts and agencies working directly with children. ソーシャルメディアの使用に関する懸念は、専門家や子どもと直接関わる機関から寄せられた3つのテーマのうちの1つであった。
The three key themes were: 3つの主要テーマは以下の通りである:
- Social media is a major concern, and a combination of guidance and regulatory changes are needed to manage this risk to children’s privacy. ・ソーシャルメディアは大きな懸念事項であり、子どものプライバシーに対するこのリスクをマネジメントするためにはガイダンスと規制の変更の組み合わせが必要である。
- More guidance is needed to help professionals, parents and children better understand privacy risks. ・専門家、保護者、そして子どもたちがプライバシーのリスクをよりよく理解できるよう、より多くのガイダンスが必要である。
- Some regulatory changes could better protect children’s privacy, including changing the Privacy Act to include a right to be forgotten, introducing a requirement to consider the best interests of the child, or creating a code of practice. ・忘れられる権利を含むプライバシー法の改正、子どもの最善の利益を考慮する義務の導入、または実践規範の作成などいくつかの規制改正は子どものプライバシーをよりよく保護することができる。
Privacy Commissioner Michael Webster said the sorts of concerns raised in the survey were well summed up by one respondent, "Young people don’t have the capacity to make fully informed decisions about their digital footprint and the long-lasting implications of having an online presence." プライバシー・コミッショナーのマイケル・ウェブスター氏は、次のように述べた。「調査で提起された種類の懸念は、ある回答者によってうまく要約されている。若者は、自分のデジタルフットプリントや、オンラインプレゼンスを持つことの長期的な影響について、十分な情報を得た上で意思決定する能力を持っていない」。
Mr Webster says, "Privacy concerns like children sharing personal information and details that can be used to bully or blackmail them are well known." ウェブスター氏はまた次のようも述べた。「いじめや脅迫に使われる可能性のある個人情報や詳細を子供たちが共有するようなプライバシーに関する懸念はよく知られている。」
"But there are other risks too like children sharing their own or others personal and financial details, including credit card details, home address, phone and email contact information." 「しかし、クレジットカードの詳細、自宅の住所、電話や電子メールの連絡先など、自分や他人の個人情報や金銭的な情報を共有するようなリスクもある。」
"Geolocation is a good example of a lesser-known privacy risk. Many apps and games use this feature, which can be used track the location of the child. However, it’s something that can be easily managed by having the right privacy settings on a device." 「ジオロケーションは、あまり知られていないプライバシーリスクの良い例だ。多くのアプリやゲームがこの機能を利用しており、子どもの居場所を追跡することができる。しかし、デバイスのプライバシー設定を適切にすることで、簡単に管理できるものだ。」
The privacy risks parents had as children aren’t the same issues children face now. 親たちが子供の頃に抱えていたプライバシーリスクは、今の子供たちが直面している問題とは違う。
"Sometimes, adults share images and content featuring their children on social media, but children also have their own lives, and they might not want that content shared. If possible, it’s good to involve children in discussions about the pros and cons of sharing content," says Mr Webster. ウェブスター氏はさらに次のように述べた。「時には、大人がソーシャルメディア上で子供が登場する画像やコンテンツを共有することもあるが、子供にも自分の生活があり、そのコンテンツの共有を望まないこともある。可能であれば、コンテンツを共有することの是非について、子どもたちを巻き込んで話し合うとよいでしょう」。
The nature of social media means it’s hard to keep things restricted even in private groups. A good question to ask is can you guarantee that this content will stay private? ソーシャルメディアの性質上、個人的なグループであっても、物事を制限し続けることは難しい。そのコンテンツが非公開であり続けることを保証できるのか?
"Children and young people’s privacy is a priority area for my office. Children are more vulnerable to privacy harms, and so they require additional care to ensure that their privacy is protected." 「子供と若者のプライバシーは、私の事務所にとって優先分野である。子どもたちはプライバシー侵害に対してより脆弱であるため、彼らのプライバシーが確実に守られるよう、さらなる配慮が必要である。」
Other survey findings included: その他の調査結果は以下の通りである:
- Parents need guidance to understand how they can protect their child’s privacy rights, including what they can expect from agencies collecting their child’s information ・保護者は,子どもの情報を収集する機関から何を期待できるかなど,子どものプライバシーの権利を保護する方法を理解するためのガイダンスが必要である。
- Help is needed to educate tamariki/children from a young age about privacy harms ・プライバシーの害について幼い頃からタマリキ/子どもたちを教育する手助けが必要である。
- Organisations should tell people about how their information is used ・組織は自分の情報がどのように使用されるかについて人々に伝えるべきである。
- There needs to be higher penalties for organisations who breach a child’s privacy ・子どものプライバシーを侵害した組織にはより高い罰則が必要である。
- The need for an information campaign to educate parents on the risks of posting images of their tamariki/children on social media. ・タマリキ/子どもの画像をソーシャルメディアに投稿するリスクについて親を教育する情報キャンペーンが必要である。
Findings from the survey will help finalise the next steps for protecting children’s privacy, including helping determine whether our current regulatory framework adequately supports children and young people’s privacy rights, or whether new or expanded regulatory responses are required. この調査の防御は、現在の規制の枠組みが子どもや若者のプライバシーの権利を適切にサポートしているかどうか、あるいは新たな、あるいは拡大された規制の対応が必要であるかどうかを判断する一助となるなど、子どものプライバシー保護のための次のステップを最終的に決定するのに役立つだろう。
A summary of the findings can be found on our website. 調査結果の要約は、我々のウェブサイトで見ることができる。

 

 

Children and Young People's Privacy project

・[DOCX][PDF] Short Report

20240727-73952

 

・[DOCX][PDF] Full Report

20240727-74003

・[DOCX][PDF] 仮訳

 

 

 

| | Comments (0)

米国 司法省 米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で北朝鮮政府のハッカーを起訴

こんにちは、丸山満彦です。

米国の司法省が、米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で北朝鮮政府のハッカーを起訴していますね...

合わせて、CISAから警告が、国務省から情報に対する報奨に関して公表されていますね...

あと、マイクロソフト、グーグルからも情報を出していますね...

 

U.S. Department of JusticeOffice of Public Affairs

・2024.07.25 North Korean Government Hacker Charged for Involvement in Ransomware Attacks Targeting U.S. Hospitals and Health Care Providers

North Korean Government Hacker Charged for Involvement in Ransomware Attacks Targeting U.S. Hospitals and Health Care Providers 北朝鮮政府のハッカーが米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で起訴される
Hacking Group Known as “Andariel” Used Ransom Proceeds to Fund Theft of Sensitive Information from Defense and Technology Organizations Worldwide, Including U.S. Government Agencies Andariel」として知られるハッキング・グループは、身代金収入を米国政府機関を含む世界中の防衛・技術組織からの機密情報窃盗の資金として使用していた。
NoteView the indictment here and view cryptocurrency seizure affidavit here. 注:起訴状はこちら、暗号通貨押収宣誓供述書はこちら。
A grand jury in Kansas City, Kansas, returned an indictment on Wednesday charging North Korean national Rim Jong Hyok for his involvement in a conspiracy to hack and extort U.S. hospitals and other health care providers, launder the ransom proceeds, and then use these proceeds to fund additional computer intrusions into defense, technology, and government entities worldwide. Their ransomware attacks prevented victim health care providers from providing full and timely care to patients. カンザス州カンザスシティの大陪審は2日、北朝鮮国籍のリム・ジョンヒョクを、米国の病院やその他の医療提供者をハッキングして恐喝し、身代金収入を洗浄した後、これらの収入を世界中の防衛、技術、政府機関への追加的なコンピュータ侵入の資金源にするための共謀に関与したとして起訴した。彼らのランサムウェア攻撃は、被害者である医療提供者が患者に十分かつタイムリーな治療を提供することを妨げた。
“Two years ago, the Justice Department disrupted the North Korean group using Maui ransomware to hold hostage U.S. hospitals and health care providers,” said Deputy Attorney General Lisa Monaco. “Today’s criminal charges against one of those alleged North Korean operatives demonstrates that we will be relentless against malicious cyber actors targeting our critical infrastructure. This latest action, in collaboration with our partners in the U.S. and overseas, makes clear that we will continue to deploy all the tools at our disposal to disrupt ransomware attacks, hold those responsible to account, and place victims first.” 「司法省は2年前、マウイ・ランサムウェアを使って米国の病院や医療提供者を人質に取っていた北朝鮮のグループを壊滅させた。「本日の北朝鮮工作員容疑者の一人に対する刑事起訴は、われわれが重要インフラを標的とする悪質なサイバー工作員に対して容赦なく対処することを示している。米国内外のパートナーとの協力によるこの最新の行動は、ランサムウェア攻撃を妨害し、責任者の責任を追及し、被害者を第一に考えるために、我々が自由に使えるあらゆる手段を引き続き展開することを明確にするものである。"
“Rim Jong Hyok and his co-conspirators deployed ransomware to extort U.S. hospitals and health care companies, then laundered the proceeds to help fund North Korea’s illicit activities,” said Deputy Director Paul Abbate of the FBI. “These unacceptable and unlawful actions placed innocent lives at risk. The FBI and our partners will leverage every tool available to neutralize criminal actors and protect American citizens.” 「リム・ジョンヒョクとその共謀者たちは、ランサムウェアを展開して米国の病院や医療関連企業を恐喝し、その収益を北朝鮮の不正活動の資金源とするために洗浄した」とFBIのポール・アベイト副長官は述べた。「このような容認できない違法行為により、罪のない人々の命が危険にさらされた。FBIと我々のパートナーは、犯罪者を無力化し、アメリカ市民を守るために、あらゆる手段を活用していく。
“North Korean hackers developed custom tools to target and extort U.S. health care providers and used their ill-gotten gains to fund a spree of hacks into government, technology, and defense entities worldwide, all while laundering money through China,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “The indictment, seizures, and other actions announced today demonstrate the Department’s resolve to hold these malicious actors accountable, impose costs on the North Korean cyber program, and help innocent network owners recover their losses and defend themselves.” 「北朝鮮のハッカーたちは、米国のヘルスケア・プロバイダーを標的にし、恐喝するためのカスタム・ツールを開発し、その不正に得た利益を使って、世界中の政府、技術、防衛団体へのハッキングの乱発に資金を提供し、その一方で、すべて中国を通じて資金洗浄を行っていた。「本日発表された起訴、差し押さえ、およびその他の措置は、これらの悪意ある行為者の責任を追及し、北朝鮮のサイバー・プログラムにコストを課し、無実のネットワーク所有者が損失を回復し、自己防衛できるよう支援するという司法省の決意を示すものである。
“Today’s indictment underscores our commitment to protecting critical infrastructure from malicious actors and the countries that sponsor them,” said U.S. Attorney Kate E. Brubacher for the District of Kansas. “Rim Jong Hyok and those in his trade put people’s lives in jeopardy. They imperil timely, effective treatment for patients and cost hospitals billions of dollars a year. The Justice Department will continue to disrupt nation-state actors and ensure that American systems are protected in the District of Kansas and across our nation.” 「本日の起訴は、悪意ある行為者とそれを支援する国から重要インフラを守るという我々の決意を強調するものである。「リム・ジョンヒョクとその仲間たちは、人々の命を危険にさらしている。彼らは患者のタイムリーで効果的な治療を妨げ、病院に年間何十億ドルもの損害を与えている。司法省は、カンザス地区とわが国全体において、国家的行為者を混乱させ、米国のシステムが確実に守られるようにし続ける。
“The Air Force Office of Special Investigations (OSI) will continue to work alongside our law enforcement partners to root out malicious actors who seek to degrade the Department of the Air Force’s ability to protect the nation,” said Brigadier General Amy S. Bumgarner, OSI Commander. “Multiple OSI units, including one of our newly established National Security Detachments, which were established to provide counterintelligence, law enforcement and analytical support to protect technology at the earliest stages of advanced research and development, provided support to this investigation.” 「空軍特別捜査局(OSI)は、国家を守る空軍省の能力を低下させようとする悪意ある行為者を根絶するために、法執行機関のパートナーとともに引き続き取り組んでいく」と、OSI司令官のエイミー・S・バムガーナー准将は語った。「OSIの複数のユニットは、防諜、法執行、高度な研究開発の初期段階で技術を保護するための分析支援を提供するために設立された新設の国家安全保障分遣隊の1つを含め、この調査に支援を提供した。
“While North Korea uses these types of cybercrimes to circumvent international sanctions and fund its political and military ambitions, the impact of these wanton acts have a direct impact on the citizens of Kansas,” said Special Agent in Charge Stephen A. Cyrus of the FBI Kansas City Field Office. “These actions keep our families from getting the health care they need, slowing the response of our first responders, endangering our critical infrastructure and, ultimately, costing Kansans through ransoms paid, lost productivity, and money spent to rebuild our networks following cyber attacks. Today’s charges prove these cyber actors cannot act with impunity and that malicious actions against the citizens of Kansas and the rest of the United States have severe consequences.” 「北朝鮮は、国際的制裁を回避し、政治的・軍事的野心に資金を供給するために、この種のサイバー犯罪を利用しているが、このような無謀な行為の影響は、カンザス州の市民に直接的な影響を及ぼしている」と、FBIカンザスシティ支局のスティーブン・A・サイラス特別捜査官は語った。「このような行為により、私たちの家族は必要な医療を受けられず、第一応答者の対応は遅れ、重要なインフラは危険にさらされ、最終的には、身代金の支払い、生産性の低下、サイバー攻撃後のネットワーク再構築に費やされる費用を通じて、カンザス市民に犠牲を強いている。本日の起訴は、こうしたサイバー行為者が平然と行動することはできず、カンザス州市民やその他の米国市民に対する悪意ある行為が深刻な結果をもたらすことを証明するものである。
“The indictment of individuals responsible for breaching U.S. government systems, regardless of their location, demonstrates the dedication of the National Aeronautics and Space Administration Office of Inspector General (NASA-OIG), the Justice Department, and our law enforcement partners to relentlessly investigate, prosecute, and hold accountable those who believe they can operate in the shadows,” said Assistant Inspector General for Investigations Robert Steinau of NASA-OIG. 「NASA-OIGのロバート・スタイナウ監察官補は、次のように述べた。「米国政府のシステム侵入に責任のある個人が、その所在地に関係なく起訴されたことは、米国航空宇宙局監察官室(NASA-OIG)、司法省、および法執行機関のパートナーが、影で活動できると信じている者たちを執拗に調査し、起訴し、責任を負わせることに専念していることを示している。
According to court documents, Rim and his co-conspirators worked for North Korea’s Reconnaissance General Bureau, a military intelligence agency, and are known to the private sector as “Andariel,” “Onyx Sleet,” and “APT45.” Rim and his co-conspirators laundered ransom payments through China-based facilitators and used these proceeds to purchase internet infrastructure, which the co-conspirators then used to hack and exfiltrate sensitive defense and technology information from entities across the globe. Victims of this further hacking include two U.S. Air Force bases, NASA-OIG, and entities located in Taiwan, South Korea, and China. Related Andariel activity has been the subject of private sector reporting, and a cybersecurity advisory with updated technical indicators of compromise was published by the FBI, the National Security Agency, U.S. Cyber Command’s Cyber National Mission Force, the Department of the Treasury, the Department of Defense’s Cyber Crime Center, the Cybersecurity and Infrastructure Security Administration, and South Korean and United Kingdom partners today. 法廷文書によると、リムとその共謀者たちは、軍事情報機関である北朝鮮の偵察総局で働いており、民間では "Andariel"、"Onyx Sleet"、"APT45 "として知られている。リムとその共謀者は、中国を拠点とするファシリテーターを通じて身代金の支払いを洗浄し、その資金でインターネット・インフラを購入した。このさらなるハッキングの犠牲者には、2つの米空軍基地、NASA-OIG、台湾、韓国、中国の事業体が含まれる。関連するアンダリエルの活動は民間部門の報告の対象となっており、侵害の技術的指標を更新したサイバーセキュリティ勧告が、FBI、国家安全保障局、米サイバー司令部のサイバー国家任務部隊、財務省、国防総省のサイバー犯罪センター、サイバーセキュリティおよびインフラセキュリティ管理局、および韓国と英国のパートナーによって本日発表された。
The Justice Department and the FBI are also announcing the interdiction of approximately $114,000 in virtual currency proceeds of ransomware attacks and related money laundering transactions, as well as the seizure of online accounts used by co-conspirators to carry out their malicious cyber activity. The FBI previously seized approximately $500,000 in virtual currency proceeds of ransomware attacks and related money laundering transactions. In addition to these actions, the Department of State announced today a reward offer of up to $10 million for information leading to the location or identification of Rim. The State Department’s Rewards for Justice program has a standing reward offer for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act. 司法省とFBIはまた、ランサムウェア攻撃と関連するマネーロンダリング取引による仮想通貨収入約11万4000ドルの差し止めと、共謀者が悪質なサイバー活動の実行に使用したオンライン口座の押収についても発表する。FBIは以前にも、ランサムウェア攻撃および関連するマネーロンダリング取引による仮想通貨収入約50万ドルを押収している。これらの措置に加え、国務省は本日、リムの居場所や特定につながる情報に対して最高1,000万ドルの報奨金を提供することを発表した。国務省の司法のための報奨プログラムは、外国政府の指示または支配下で行動している間に、コンピュータ詐欺および乱用防止法に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行った者の特定または所在につながる情報に対する報奨を常時提供している。
Private sector partners are also taking other voluntary actions to limit the spread of Andariel-created malware. In partnership with the Department, Microsoft developed and implemented technical measures to block Andariel actors from accessing victims’ computer networks. Additionally, Mandiant is publishing research today that highlights its unique insights into Andariel’s tactics, techniques, and procedures. These actions by Microsoft and Mandiant were a significant part of the overall effort to secure networks, and they will help cybersecurity practitioners prevent, identify, and mitigate attacks from Andariel actors. 民間部門のパートナーは、アンダリエルが作成したマルウェアの拡散を制限するために、他の自主的な行動も取っている。マイクロソフト社は、同省との協力の下、アンダリエル行為者が被害者のコンピュータ・ネットワークにアクセスするのをブロックする技術的手段を開発し、実施した。さらに、Mandiantは本日、アンダリエルの戦術、技術、手順に関する独自の洞察に焦点を当てた調査結果を発表している。マイクロソフトとマンディアントによるこれらの措置は、ネットワークを保護するための全体的な取り組みの重要な一部であり、サイバーセキュリティの実務者がアンダリエル行為者からの攻撃を防止、特定、緩和するのに役立つだろう。
Maui Ransomware and Money Laundering マウイ・ランサムウェアとマネーロンダリング
As alleged in the indictment, Rim worked for North Korea’s Reconnaissance General Bureau (RGB), a military intelligence agency, and participated in the conspiracy to target and hack computer networks of U.S. hospitals and other health care providers, encrypt their electronic files, extort a ransom payment from them, launder those payments, and use the laundered proceeds to hack targets of interest to the North Korean regime. 起訴状で主張されているように、Rimは軍事諜報機関である北朝鮮の偵察総局(RGB)で働き、米国の病院やその他の医療提供者のコンピュータ・ネットワークを標的にしてハッキングし、その電子ファイルを暗号化して身代金の支払いを強要し、その支払いを洗浄し、洗浄された収益を使って北朝鮮の政権が関心を持つ標的をハッキングするという陰謀に参加した。
The Andariel actors used custom malware, developed by the RGB, known as “Maui.” After running the maui.exe program to encrypt a ransomware victim’s computer network, the North Korean co-conspirators would extort the organization by leaving a note with a cryptocurrency address for a ransom payment. アンダリエルの行為者は、RGBが開発した "マウイ "として知られるカスタムマルウェアを使用した。maui.exeプログラムを実行してランサムウェア被害者のコンピュータネットワークを暗号化した後、北朝鮮の共謀者は身代金支払いのための暗号通貨アドレスを記したメモを残すことで組織を恐喝した。
The Andariel actors received ransom payments in a virtual currency and then laundered the payments with the assistance of Hong Kong-based facilitators. In at least one case, these Hong Kong facilitators converted ransom funds from cryptocurrency to Chinese yuan. The yuan was then accessed from an ATM in China in the immediate vicinity of the Sino-Korean Friendship Bridge, which connects Dandong, China, and Sinuiju, North Korea. アンダリエルの実行犯は、身代金の支払いを仮想通貨で受け取り、香港に拠点を置く仲介業者の支援を受けて支払いを洗浄した。少なくとも1つのケースでは、この香港のファシリテーターが身代金の資金を暗号通貨から中国人民元に変換していた。人民元はその後、中国の丹東と北朝鮮の新義州を結ぶ中韓友好橋のすぐ近くにある中国のATMからアクセスされた。
Exfiltration of Sensitive Data from Companies and Government Agencies 企業や政府機関からの機密データの流出
Rim and his co-conspirators used ransom proceeds to lease virtual private servers that were used to launch attacks against defense, technology, and other organizations, and to steal information from them. Victims of this further hacking included U.S. defense contractors, two U.S. Air Force bases, NASA-OIG, South Korean and Taiwanese defense contractors, and a Chinese energy company. The Andariel actors obtained initial access to victims’ networks by exploiting known vulnerabilities that had not been patched by the victims, including the widespread Log4Shell vulnerability. (Additional tactics, techniques, and procedures are available in the joint cybersecurity advisory released today.) The Andariel actors stole terabytes of information, including unclassified U.S. government employee information, old technical information related to military aircraft, intellectual property, and limited technical information pertaining to maritime and uranium processing projects. リムとその共謀者たちは、身代金収入を使って仮想プライベートサーバーをリースし、防衛、技術、その他の組織に対する攻撃を開始し、それらの組織から情報を盗んだ。このさらなるハッキングの被害者には、米国の防衛請負業者、2つの米空軍基地、NASA-OIG、韓国と台湾の防衛請負業者、中国のエネルギー会社が含まれていた。Andarielの行為者は、被害者がパッチを適用していない既知の脆弱性(広範に存在するLog4Shellの脆弱性を含む)を悪用することで、被害者のネットワークへの最初のアクセスを得た。(その他の戦術、技術、手順については、本日発表された共同サイバーセキュリティ勧告を参照されたい)。アンダリエルの行為者は、機密扱いのない米国政府職員情報、軍用機に関する古い技術情報、知的財産、海事およびウラン処理プロジェクトに関する限定的な技術情報など、テラバイト単位の情報を盗んだ。
Assistant U.S. Attorneys Ryan Huschka and Chris Oakley for the District of Kansas and Trial Attorneys Neeraj Gupta and George Brown of the National Security Division’s National Security Cyber Section are prosecuting the case. カンザス地区担当のライアン・ハシュカおよびクリス・オークリー両米国弁護士補と、国家安全保障部国家安全保障サイバー課のニーラジ・グプタおよびジョージ・ブラウン両裁判官がこの事件を起訴している。
The FBI continues to investigate Andariel’s hacking and money laundering activities. The Air Force Office of Special Investigations, the Department of Defense Cyber Crime Center, and NASA-OIG provided valuable assistance. FBIは引き続きアンダリエルのハッキングとマネーロンダリング活動を捜査している。空軍特別捜査局、国防総省サイバー犯罪センター、NASA-OIGは貴重な援助を提供した。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt. 起訴は単なる申し立てに過ぎない。すべての被告は、合理的な疑いを超えて有罪が証明されるまでは無罪と推定される。
View previous joint cybersecurity advisories from CISA here. CISAによる過去の共同サイバーセキュリティ勧告はこちらで閲覧できる。
View previous joint cybersecurity advisories from Department of Defense here. 国防総省による過去の共同サイバーセキュリティ勧告はこちら。
View previous cryptocurrency seizure announcement here. 過去の暗号通貨押収に関する発表はこちら。

 

起訴状

・[PDF] indictment

20240726-232557

 

暗号通貨押収宣誓供述書

・[PDF] cryptocurrency seizure affidavit

20240726-232645

 


 

CISA

・2024.07.25 North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs

 

North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs 北朝鮮のサイバー集団が政権の軍事・核プログラムを推進するため世界的なスパイキャンペーンを実施
Alert Code AA24-207A アラートコード AA24-207A
Summary 概要
The U.S. Federal Bureau of Investigation (FBI) and the following authoring partners are releasing this Cybersecurity Advisory to highlight cyber espionage activity associated with the Democratic People’s Republic of Korea (DPRK)’s Reconnaissance General Bureau (RGB) 3rd Bureau based in Pyongyang and Sinuiju: 米国連邦捜査局(FBI)と以下の認可パートナーは、平壌と新義州に拠点を置く朝鮮民主主義人民共和国(DPRK)の偵察総局(RGB)第3局に関連するサイバースパイ活動に焦点を当てるため、このサイバーセキュリティ勧告を発表する:
U.S. Cyber National Mission Force (CNMF) 米サイバー国家任務部隊(CNMF)
U.S. Cybersecurity and Infrastructure Security Agency (CISA) 米サイバーセキュリティ・インフラセキュリティ庁(CISA)
U.S. Department of Defense Cyber Crime Center (DC3) 米国防総省サイバー犯罪センター(DC3)
U.S. National Security Agency (NSA) 米国国家安全保障局(NSA)
Republic of Korea’s National Intelligence Service (NIS) 大韓民国国家情報院(NIS)
Republic of Korea’s National Police Agency (NPA) 韓国の警察庁(NPA)
United Kingdom’s National Cyber Security Centre (NCSC) 英国国家サイバーセキュリティセンター(NCSC)
The RGB 3rd Bureau includes a DPRK (aka North Korean) state-sponsored cyber group known publicly as Andariel, Onyx Sleet (formerly PLUTONIUM), DarkSeoul, Silent Chollima, and Stonefly/Clasiopa. The group primarily targets defense, aerospace, nuclear, and engineering entities to obtain sensitive and classified technical information and intellectual property to advance the regime’s military and nuclear programs and ambitions. The authoring agencies believe the group and the cyber techniques remain an ongoing threat to various industry sectors worldwide, including but not limited to entities in their respective countries, as well as in Japan and India. RGB 3rd Bureau actors fund their espionage activity through ransomware operations against U.S. healthcare entities. RGB第3局には、Andariel、Onyx Sleet(旧PLUTONIUM)、DarkSeoul、Silent Chollima、Stonefly/Clasiopaとして公に知られているDPRK(別名北朝鮮)国家支援サイバーグループが含まれている。このグループは、主に防衛、航空宇宙、原子力、エンジニアリングの事業体を標的にし、政権の軍事・核プログラムや野望を推進するための機密技術情報や知的財産を入手している。認可機関は、このグループとサイバー技術は、それぞれの国や日本、インドの事業体を含むがこれに限定されない、世界中の様々な産業部門に対する継続的な脅威であり続けていると考えている。RGB第3局の行為者は、米国の医療事業体に対するランサムウェアの操作を通じてスパイ活動の資金を調達している。
The actors gain initial access through widespread exploitation of web servers through known vulnerabilities in software, such as Log4j, to deploy a web shell and gain access to sensitive information and applications for further exploitation. The actors then employ standard system discovery and enumeration techniques, establish persistence using Scheduled Tasks, and perform privilege escalation using common credential stealing tools such as Mimikatz. The actors deploy and leverage custom malware implants, remote access tools (RATs), and open source tooling for execution, lateral movement, and data exfiltration.  この行為者は、Log4jのようなソフトウェアの既知の脆弱性を利用したウェブサーバーの広範な悪用を通じて最初のアクセスを獲得し、ウェブシェルを展開し、さらなる悪用のために機密情報やアプリケーションへのアクセスを獲得する。その後、標準的なシステム発見と列挙のテクニックを採用し、スケジュールされたタスクを使用して永続性を確立し、Mimikatzのような一般的な資格情報窃取ツールを使用して特権の昇格を実行する。行為者は、カスタムマルウェアインプラント、リモートアクセスツール(RAT)、オープンソースツールなどを展開し、実行、横展開、データ流出などに活用する。
The actors also conduct phishing activity using malicious attachments, including Microsoft Windows Shortcut File (LNK) files or HTML Application (HTA) script files inside encrypted or unencrypted zip archives. 行為者はまた、暗号化または非暗号化zipアーカイブ内のMicrosoft Windowsショートカットファイル(LNK)ファイルやHTMLアプリケーション(HTA)スクリプトファイルなど、悪意のある添付ファイルを使用したフィッシング活動を行う。
The authoring agencies encourage critical infrastructure organizations to apply patches for vulnerabilities in a timely manner, protect web servers from web shells, monitor endpoints for malicious activities, and strengthen authentication and remote access protections. While not exclusive, entities involved in or associated with the below industries and fields should remain vigilant in defending their networks from North Korea state-sponsored cyber operations: 認可機関は、重要インフラ組織に対し、脆弱性に対するパッチを適時に適用すること、ウェブシェルからウェブサーバーを保護すること、悪意のある行為についてエンドポイントを監視すること、認証とリモートアクセスの保護を強化することを奨励している。排他的なものではないが、以下の産業や分野に関わる事業体は、北朝鮮の国家支援によるサイバー活動からネットワークを守るために警戒を怠らないべきである:
For additional information on DPRK state-sponsored malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage. 北朝鮮が支援する悪質なサイバー活動に関する追加情報については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照のこと。

 

・[PDF] AA24-207A North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs

20240726-233731

 


 

国務省...

U.S. Department of State

・2024.07.25 Rewards for Justice – Reward Offer for Information on North Korean Malicious Cyber Actor Targeting U.S. Critical Infrastructure

 

Rewards for Justice – Reward Offer for Information on North Korean Malicious Cyber Actor Targeting U.S. Critical Infrastructure 司法のための報奨金 - 米国の重要インフラを標的とする北朝鮮の悪質なサイバー行為者に関する情報に対する報奨金の提供について
The U.S. Department of State’s Rewards for Justice (RFJ) program, administered by the Diplomatic Security Service, is offering a reward of up to $10 million for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act. 外交安全保障局(Diplomatic Security Service)が運営する米国国務省の司法報奨(Rewards for Justice:RFJ)プログラムは、外国政府の指示または支配下で行動しながら、コンピューター詐欺・乱用防止法(Computer Fraud and Abuse Act)に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行った人物の特定または所在につながる情報に対して、最高1000万ドルの報奨金を提供する。
Rim Jong Hyok is a national of the Democratic People’s Republic of Korea (DPRK) who is associated with a malicious cyber group known as Andariel. The Andariel group is controlled by the DPRK’s military intelligence agency, the Reconnaissance General Bureau, which has primary responsibility for the DPRK’s malicious cyber activities and is also involved in the DPRK’s illicit arms trade. リム・ジョンヒョクは朝鮮民主主義人民共和国(DPRK)の国民であり、アンダリエルとして知られる悪質なサイバー集団に関係している。アンダリエル・グループは朝鮮民主主義人民共和国の軍事情報機関である偵察総局によって全般統制されており、同総局は朝鮮民主主義人民共和国の悪質なサイバー活動の主要な責任を負うとともに、朝鮮民主主義人民共和国の不正武器取引にも関与している。
Andariel’s targets include foreign businesses, government entities, and the defense industry. アンダリエルの標的は、外国企業、政府事業体、防衛産業などである。
Rim and others conspired to hack into the computer systems of U.S. hospitals and other healthcare providers, install Maui ransomware, and extort ransoms. The ransomware attacks encrypted victims’ computers and servers used for medical testing or electronic medical records and disrupted healthcare services. These malicious cyber actors then used the ransom payments to fund malicious cyber operations targeting U.S. government entities and U.S. and foreign defense contractors, among others. In one computer intrusion operation that began in November 2022, the malicious cyber actors hacked a U.S.-based defense contractor from which they extracted more than 30 gigabytes of data, including unclassified technical information regarding material used in military aircraft and satellites, much of which was from 2010 or earlier. リムらは共謀して、米国の病院やその他の医療プロバイダのコンピュータシステムに侵入し、マウイ・ランサムウェアをインストールし、身代金を要求した。ランサムウェア攻撃は、医療検査や電子カルテに使われる被害者のコンピューターやサーバーを暗号化し、医療サービスを妨害した。これらの悪意あるサイバー行為者はその後、身代金の支払いを資金源として、米国政府事業体や米国内外の防衛関連企業などを標的とした悪意あるサイバー作戦を展開した。2022年11月に始まったあるコンピューターへの抽出作戦では、悪意のあるサイバー行為者は米国を拠点とする防衛請負業者をハッキングし、そこから軍用機や人工衛星に使用される材料に関する未分類の技術情報を含む30ギガバイト以上のデータを抽出したが、その多くは2010年以前のものであった。
U.S. law enforcement investigators have documented that Andariel actors victimized five healthcare providers, four U.S.-based defense contractors, two U.S. Air Force bases, and the National Aeronautics and Space Administration’s Office of Inspector General. 米国の法執行機関の調査官によると、アンダリエルの行為者は5つの医療プロバイダ、4つの米国を拠点とする防衛請負業者、2つの米空軍基地、および米航空宇宙局監察官室を被害者としている。
This action underscores the United States’ continued efforts to address the DPRK’s malicious cyber activity against critical infrastructure as well as prevent and disrupt the DPRK’s ability to generate illicit revenue through malicious cyber activity, which it uses to fund its unlawful WMD and ballistic missile programs. 今回の措置は、重要なインフラに対する北朝鮮の悪質なサイバー活動に対処するとともに、悪質なサイバー活動を通じて不正な収入を得る北朝鮮の能力を阻止し、混乱させ、それを違法な大量破壊兵器や弾道ミサイル計画の資金源とする米国の継続的な取り組みを強調するものである。
We encourage anyone with information on the malicious cyber activity of Rim Jong Hyok, Andariel, and associated individuals, entities, and activities to contact Rewards for Justice via the Tor-based tips-reporting channel at: [onion] (Tor browser required). 我々は、リム・ジョンヒョク、アンダリエル、および関連する個人、事業体、活動の悪質なサイバー活動に関する情報を持つ人は誰でも、Torベースの情報報告チャンネル[onion] (Torブラウザが必要)を通じて、司法のための報奨に連絡することを奨励する。
More information about this reward offer is located on the Rewards for Justice website at [web]. この報奨オファーの詳細は、Rewards for Justiceのウェブサイト [web] に掲載されている。
Since its inception in 1984, RFJ has paid in excess of $250 million to more than 125 people across the globe who provided actionable information that helped resolve threats to U.S. national security. Follow us on Twitter at [web]. 1984年の創設以来、RFJは米国の国家安全保障に対する脅威の解決に役立つ実用的な情報を提供した世界中の125人以上に2億5000万ドル以上を支払ってきた。ツイッター [web] でフォローしてほしい。

 

 


 

マイクロソフト

Microsoft - Blog

・2024.07.25 Onyx Sleet uses array of malware to gather intelligence for North Korea

Onyx Sleet uses array of malware to gather intelligence for North Korea Onyx Sleet、北朝鮮の情報収集にマルウェアの数々を使う
On July 25, 2024, the United States Department of Justice (DOJ) indicted an individual linked to the North Korean threat actor that Microsoft tracks as Onyx Sleet. Microsoft Threat Intelligence collaborated with the Federal Bureau of Investigation (FBI) in tracking activity associated with Onyx Sleet. We will continue to closely monitor Onyx Sleet’s activity to assess changes following the indictment. 2024年7月25日、米国司法省(DOJ)は、マイクロソフトがOnyx Sleetとして追跡している北朝鮮の脅威行為者に関連する個人を起訴した。Microsoft Threat Intelligenceは、Onyx Sleetに関連する活動の追跡において連邦捜査局(FBI)と協力した。我々は、起訴後の変化を評価するために、Onyx Sleetの活動を注意深く監視し続ける。
First observed by Microsoft in 2014, Onyx Sleet has conducted cyber espionage through numerous campaigns aimed at global targets with the goal of intelligence gathering. More recently, it has expanded its goals to include financial gain. This threat actor operates with an extensive set of custom tools and malware, and regularly evolves its toolset to add new functionality and to evade detection, while keeping a fairly uniform attack pattern. Onyx Sleet’s ability to develop a spectrum of tools to launch its tried-and-true attack chain makes it a persistent threat, particularly to targets of interest to North Korean intelligence, like organizations in the defense, engineering, and energy sectors. 2014年にマイクロソフトによって初めて観測されたOnyx Sleetは、情報収集を目的としたグローバルな標的を狙った数々のキャンペーンを通じて、サイバースパイ活動を行ってきた。最近では、その目標を金銭的な利益にも拡大している。この脅威行為者は、広範なカスタムツールとマルウェアのセットで活動し、かなり均一な攻撃パターンを維持しながら、新しい機能を追加し、検出を回避するために定期的にツールセットを進化させている。Onyx Sleetは、試行錯誤を重ねた攻撃チェーンを展開するために、さまざまなツールを開発する能力を備えているため、特に防衛、エンジニアリング、エネルギー分野の組織など、北朝鮮の諜報機関が関心を寄せるターゲットにとって、持続的な脅威となっている。
Microsoft tracks campaigns related to Onyx Sleet and directly notifies customers who have been targeted or compromised, providing them with the necessary information to help secure their environments. In this blog, we will share intelligence about Onyx Sleet and its historical tradecraft and targets, as well as our analysis of recent malware campaigns, with the goal of enabling the broader community to identify and respond to similar campaigns. We also provide protection, detection, and hunting guidance to help improve defenses against these attacks. マイクロソフトは、Onyx Sleetに関連するキャンペーンを追跡し、標的や侵害を受けた顧客に直接通知することで、顧客の環境を保護するために必要な情報を提供している。このブログでは、Onyx Sleetとその過去の手口や標的に関するインテリジェンス、および最近のマルウェアキャンペーンの分析を共有し、より広範なコミュニティが同様のキャンペーンを特定し、対応できるようにすることを目的としている。また、このような攻撃に対する防御の改善を支援するため、防御、検知、ハンティングに関するガイダンスも提供する。

 

 


 

グーグル...

Google Cloud - Blog

・2024.07.26 APT45: North Korea’s Digital Military Machine

APT45: North Korea’s Digital Military Machine APT45:北朝鮮のデジタル軍事マシン
Executive Summary エグゼクティブサマリー
・APT45 is a long-running, moderately sophisticated North Korean cyber operator that has carried out espionage campaigns as early as 2009. ・APT45は、2009年の時点でスパイキャンペーンを実施していた、長期にわたって活動する中程度に洗練された北朝鮮のサイバーオペレーターである。
・APT45 has gradually expanded into financially-motivated operations, and the group’s suspected development and deployment of ransomware sets it apart from other North Korean operators.  ・APT45は徐々に金銭的な動機に基づく活動へと拡大しており、ランサムウェアの開発と展開が疑われていることから、他の北朝鮮工作員とは一線を画している。
・APT45 and activity clusters suspected of being linked to the group are strongly associated with a distinct genealogy of malware families separate from peer North Korean operators like TEMP.Hermit and APT43.  ・APT45および同グループとの関連が疑われる活動クラスターは、TEMP.HermitやAPT43のような北朝鮮の同業者とは別のマルウェアファミリーの明確な系譜と強く関連している。
・Among the groups assessed to operate from the Democratic People's Republic of Korea (DPRK), APT45 has been the most frequently observed targeting critical infrastructure. ・朝鮮民主主義人民共和国(DPRK)から活動するとアセスメントされたグループの中で、APT45は重要インフラを標的とした活動が最も頻繁に観測されている。
Overview 概要
Mandiant assesses with high confidence that APT45 is a moderately sophisticated cyber operator that supports the interests of the DPRK. Since at least 2009, APT45 has carried out a range of cyber operations aligned with the shifting geopolitical interests of the North Korean state. Although the group's earliest observed activities consisted of espionage campaigns against government agencies and defense industries, APT45 has expanded its remit to financially-motivated operations, including targeting of the financial vertical; we also assess with moderate confidence that APT45 has engaged in the development of ransomware. Additionally, while multiple DPRK-nexus groups focused on healthcare and pharmaceuticals during the initial stages of the COVID-19 pandemic, APT45 has continued to target this vertical longer than other groups, suggesting an ongoing mandate to collect related information. Separately, the group has conducted operations against nuclear-related entities, underscoring its role in supporting DPRK priorities. Mandiantは、APT45は朝鮮民主主義人民共和国の利益を支援する中程度に洗練されたサイバーオペレーターであると高い信頼性をもってアセスメントしている。少なくとも2009年以降、APT45は北朝鮮国家の地政学的利益の変化に沿ったさまざまなサイバー作戦を実施してきた。APT45の初期の活動は、政府機関や防衛産業に対するスパイキャンペーンであったが、APT45は金融業界を標的とするなど、金融を動機とする活動へとその範囲を拡大している。さらに、COVID-19のパンデミックの初期段階では、複数のDPRK関連グループがヘルスケアと医薬品に焦点を当てていたが、APT45は他のグループよりも長くこの分野をターゲットにし続けており、関連情報を収集する継続的な任務があることを示唆している。これとは別に、同グループは核関連事業体に対する作戦も実施しており、北朝鮮の優先事項を支援する役割を明確にしている。

 

 

| | Comments (0)

インド データセキュリティ協議会 2024サイバーセキュリティの展望 (2024.07.08)

こんにちは、丸山満彦です。

インドのデータ保護に関する業界団体であるデータセキュリティ協議会 (Data Security Council of India; DSCI) [wikipedia] が、2024年のサイバーセキュリティについての展望について報告書を公表していますね...

 

● Data Security Council of India; DSCI 

2024 Cybersecurity Outlook 2024 サイバーセキュリティの展望
The Cybersecurity Outlook 2024 provides a comprehensive analysis of the evolving landscape of cybersecurity, offering insights into current challenges and emerging trends expected to shape the industry in the coming year. Data Security Council of India (DSCI) has curated this document to equip stakeholders with strategic foresight and actionable intelligence. Cybersecurity Outlook 2024」は、進化するサイバーセキュリティの展望を包括的に分析し、現在の課題と来年の業界を形成すると予想される新たなトレンドに関する洞察を提供する。Data Security Council of India (DSCI)は、戦略的な先見性と実用的なインテリジェンスを関係者に提供するために、この文書を作成した。
Key areas of focus include: 主な注目分野は以下の通りである:
Emerging Threats and Vulnerabilities: Analysis of sophisticated cyber threats such as zero-day attacks by APTs, ransomware targeting critical infrastructure, and vulnerabilities in supply chains 新たな脅威と脆弱性:APTによるゼロデイ攻撃、重要インフラを狙うランサムウェア、サプライチェーンの脆弱性など、高度なサイバー脅威の分析
Regulatory and Compliance Landscape: Examination of global and Indian regulatory frameworks, highlighting compliance challenges and cybersecurity's evolving role in ESG frameworks. 規制とコンプライアンスの状況:グローバルおよびインドの規制の枠組みを検討し、コンプライアンスの課題とESGフレームワークにおけるサイバーセキュリティの進化する役割に焦点を当てる。
Technological Advancements: Insights into cloud security advancements, quantum computing's impact on encryption, and the adoption of passwordless authentication solutions. 技術の進歩:クラウドセキュリティの進歩、量子コンピューティングが暗号化に与える影響、パスワードレス認証ソリューションの採用に関する洞察。
Strategic Imperatives: Emphasis on Cyber Risk Quantification (CRQ) for enhanced risk management, advancements in identity and access management, and proactive threat exposure management. 戦略的課題: リスク管理強化のためのサイバーリスク定量化(CRQ)、アイデンティティとアクセス管理の進歩、プロアクティブな脅威暴露管理に重点を置く。
Global and Local Perspectives: Balanced view of cybersecurity trends, focusing on global developments and local implications for businesses operating in India. グローバルとローカルの視点: サイバーセキュリティのトレンドについて、世界的な動向とインドで事業を展開する企業にとっての地域的な影響に焦点を当て、バランスの取れた見解を示す。

 

・[PDF] [downloaded]

20240726-193633

 

目次的...

1. Paradigm Shift in Identity and Access Management 1. アイデンティティとアクセス管理のパラダイムシフト
2. Cybersecurity's Evolving Role in ESG Discourse 2. ESGの議論におけるサイバーセキュリティの役割の進化
3. Cyber Risk Quantification (CRQ) Reshaping Risk Management 3. サイバーリスク定量化(CRQ)がリスク管理を再構築する
4. Emerging Technologies Security Challenges 4. 新興テクノロジーのセキュリティ課題
5. Reporting Obligations for Security and Privacy Breaches 5. セキュリティとプライバシー侵害の報告義務
6. Advancements in Cloud Security 6. クラウドセキュリティの進歩
7. Trends in Quantum Computing 7. 量子コンピューティングの動向
8. Data Privacy Integration: A Strategic Imperative 8. データ・プライバシーの統合: 戦略的必須事項
9. The Rising Tide of Threat Exposure Management (TEM) 9. 脅威暴露管理(TEM)の台頭
10. The AI Evolution in Cybersecurity: Trends Reshaping Strategies 10. サイバーセキュリティにおけるAIの進化: 戦略を変えるトレンド

 

 

| | Comments (0)

米国 NIST SP 1314 NIST リスクマネジメントフレームワーク(RMF)小規模エンタープライズクイックスタートガイド: 情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ

こんにちは、丸山満彦です。

NISTが、「NIST SP 1314 NIST リスクマネジメントフレームワーク(RMF)小規模エンタープライズクイックスタートガイド: 情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ」を公表しています...

大規模ではない組織におけるエンタープライズリスクマネジメントに取り組むためのガイドで、サプライチェーンリスクマネジメントの観点もあってこれから苦労する中小企業にとっても、参考になるかもですね...もちろん、自社のサプライチェーン上の中小企業にエンタープライズリスクマネジメントを実施してもらうためのガイドとして紹介をするのもありかもですね...

なお、私も策定に関わった経済産業省の[PDF]サイバーセキュリティ経営ガイドライン Ver3.0でも、「I.企業リスクマネジメントの一部としてのサイバーセキュリティ」として、エンタープライズリスクマネジメントの一部としてのサイバーセキュリティを強調しています...

 

NIST - ITL

・2024.07.23 NIST Risk Management Framework (RMF) Small Enterprise Quick Start Guide: A Comprehensive, Flexible, Risk-Based Approach to Managing Information Security and Privacy Risk

 

NIST SP 1314 NIST Risk Management Framework (RMF) Small Enterprise Quick Start Guide: A Comprehensive, Flexible, Risk-Based Approach to Managing Information Security and Privacy Risk NIST SP 1314 NIST リスクマネジメントフレームワーク(RMF)小規模エンタープライズクイックスタートガイド: 情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ
Abstract 概要
For organizations of all sizes, managing risk (including information security and privacy risk), is critical for organizational resilience. This guide is designed to help small, under-resourced entities understand the value and core components of the NIST Risk Management Framework (RMF) and provide a starting point for designing and implementing an information security and privacy risk management program. This document is not intended to replace the RMF; it is intended to be an introductory guide to help organizations get started. あらゆる規模の組織にとって、リスク(情報セキュリティとプライバシーのリスクを含む)をマネジメントすることは、組織のレジリエンスにとって極めて重要である。本書は、小規模で十分なリソースを持たない事業体が、NISTリスクマネジメントフレームワーク(RMF)の価値と中核的な構成要素を理解し、情報セキュリティとプライバシーのリスクマネジメントプログラムを設計し、実施するための出発点を提供することを目的としている。本書は、RMFに取って代わることを意図したものではなく、組織が開始するための入門ガイドとなることを意図している。

 

・[PDF] NIST.SP.1314

20240726-155521

 

NIST Risk Management Framework (RMF) Small Enterprise Quick Start Guide NISTリスクマネジメントフレームワーク(RMF)小規模エンタープライズクイックスタートガイド
A Comprehensive, Flexible, Risk-Based Approach to Managing Information Security and Privacy Risk 情報セキュリティとプライバシーのリスクをマネジメントするための包括的で柔軟なリスクベースのアプローチ
Overview 概要
Purpose of this Small Enterprise Quick Start Guide 本「小規模企業向けクイックスタートガイド」の目的
For organizations of all sizes, managing risk (including information security1 and privacy risk) is critical for organizational resilience. This guide is designed to help small, under-resourced entities understand the value and core components of the NIST Risk Management Framework (RMF)2 and provide a starting point for designing and implementing an information security and privacy risk management program. This document is not intended to replace the RMF; it is intended to be an introductory guide to help organizations get started.  あらゆる規模の組織にとって、リスク(情報セキュリティリスク1 とプライバシーリスク を含む)をマネジメントすることは、組織のレジリエンスにとって極めて重要である。本ガイドは、小規模で十分なリソースを持たない事業体が、NISTリスクマネジメントフレームワーク(RMF)2の価値と中核的な構成要素を理解し、情報セキュリティとプライバシーのリスクマネジメントプログラムを設計し、実施するための出発点を提供することを目的としている。本書は、RMFに取って代わることを意図したものではなく、組織が開始するための入門ガイドとなることを意図している。
Risk Management Fundamentals リスクマネジメントの基礎
Before we explore the RMF in detail, let’s take a moment to understand risk management broadly. Risk management is a comprehensive process that enables organizations to: RMFについて詳しく説明する前に、リスクマネジメントについて広く理解しておこう。リスクマネジメントは、組織が以下を行うための包括的なプロセスである:
• Frame Risk: Establish a risk context by providing a common perspective on how organizations manage risk. A key output is the risk management strategy that addresses risk tolerance, assumptions and constraints, and how the organization intends to assess, respond to, and monitor risk. ・リスクの枠組み:組織がどのようにリスクを管理するかについて共通の視点を提供する ことにより,リスクの文脈を確立する。重要なアウトプットは,リスクマネジメント戦略であり,リスク許容度,前提条件,制約条件,及び組織がどのようにリスクをアセスメントし,対応し,モニタリングするつもりであるかに対処するものである。
• Assess Risk: Identify, prioritize, and estimate risk impacts to the organization, operations, and mission/business. Learn more about Conducting Risk Assessments in SP 800-30. ・リスクのアセスメント:組織、業務、ミッション/ビジネスに対するリスクの影響を識別し、優先順位を付け、推定する。リスクアセスメントの実施については、SP800-30を参照のこと。
• Respond to Risk: Identify, evaluate, decide on, and implement appropriate courses of action to accept, avoid, mitigate, share, or transfer risk. ・リスクへの対応:リスクを受容,回避,軽減,共有,又は移転するための適切な行動方針を特定し,評価し,決定し,実施する。
• Monitor Risk: Verify planned risk response measures are implemented, determine the ongoing effectiveness of the risk responses, and continuously monitor risk. ・リスクの監視:計画されたリスク対応策が実施されていることを確認し,リスク対応の継続的な有効性を判断し,継続的にリスクを監視する。
The NIST RMF NIST RMF
The RMF provides a comprehensive, flexible, repeatable, and measurable seven-step process that organizations can use to manage their unique information security and privacy risks. The RMF can be applied to new and existing systems, any type of system or technology (e.g., Internet of Things, control systems), and within any type of organization regardless of size or sector. RMFは、包括的で柔軟性があり、反復可能で測定可能な7段階のプロセスを提供するものであり、組織はこれを用いて固有の情報セキュリティおよびプライバシーリスクをマネジメントすることができる。RMFは、新規および既存のシステム、あらゆる種類のシステムまたは技術(モノのインターネット、制御システムなど)、および規模や部門に関係なくあらゆる種類の組織に適用することができる。
The Seven Steps of the RMF Process  RMFプロセスの7つのステップ 
There are seven steps in the RMF process. All seven steps are required for successful execution of the RMF. The image below lists each step and their respective descriptions. While the process is shown as linear, after initial implementation, organizations can move between steps in any order, as needed. RMFプロセスには7つのステップがある。RMFを成功させるには、7つのステップすべてが必要である。下の図は、各ステップとそれぞれの説明を示したものである。プロセスは直線的に示されているが、初期導入後、組織は必要に応じてどのような順序でもステップ間を移動することができる。
1_20240726161501
Tying Organizational Mission to Information Security and Privacy Risk Management  組織のミッションを情報セキュリティとプライバシーのリスクマネジメントに結びつける 
In our current information age, relying on digital capabilities and data processing is essential for achieving organizational missions. This reliance increases potential exposure to information security risks and potential privacy problems for customers, employees, or even society as a whole. A disciplined and structured approach to information security and privacy risk management enables you to understand, for instance:  現在の情報化時代において、デジタル機能とデータ処理に依存することは、組織のミッションを達成するために不可欠である。このような依存は、顧客、従業員、あるいは社会全体にとって、情報セキュリティリスクや潜在的プライバシー問題にさらされる可能性を増大させる。情報セキュリティとプライバシーのリスクマネジメントに対する規律ある構造化されたアプローチによって、例えば、次のようなことが理解できるようになる: 
o What information, technologies, people, processes, etc., are the most critical to your organization’s mission?  o
組織のミッションにとって最も重要な情報、技術、人材、プロセスなどは何か?
o What internal or external risks might impede your ability to carry out your mission successfully?  o 任務を成功裏に遂行する能力を阻害する可能性のある内部又は外部のリスクは何か。
o Who within the organization is accountable for information security and privacy risk management success?  o 情報セキュリティ及びプライバシーのリスクマネジメントを成功させるための責 任者は組織内の誰であるか?
o What steps are needed to minimize or eliminate the possibility of identified risks impeding your mission? o 識別されたリスクが使命を阻害する可能性を最小化または排除するために、どのような措置が必要か?
Information Security and Privacy  情報セキュリティとプライバシー 
The RMF addresses both information security and privacy. Though they are distinct disciplines, they can have overlapping and complementary objectives.  RMFは、情報セキュリティとプライバシーの両方を取り扱う。両者は別個の分野であるが、目的が重複し補完し合うこともある。
For example, when your organization processes personally identifiable information (PII), your information security program and privacy program have a shared responsibility for managing the risks to individuals that may arise from unauthorized access to those data. You must keep this in mind when selecting, implementing, assessing, and monitoring appropriate controls. Note, however, protecting individuals’ privacy cannot be achieved solely by securing PII.  例えば、組織が個人を特定できる情報(PII)を処理する場合、情報セキュリ ティ・プログラムとプライバシー・プログラムは、それらのデータへの不正アクセ スから生じる可能性のある個人へのリスクをマネジメントする責任を共有する。適切な管理策を選択し、実施し、アセスメントし、モニタリングする際には、このことを念頭に置かなければならない。しかしながら、個人のプライバシーの保護は、PIIを保護することのみによって達成され るものではないことに注意すること。
The risk management processes described in the RMF are equally applicable to security and privacy programs. Learn more about this in section 2.3 of the RMF. RMFに記載されているリスクマネジメントプロセスは、セキュリ ティおよびプライバシープログラムにも同様に適用できる。これについては、RMFのセクション2.3で詳しく説明している。
   
1Information security, often used interchangeably with the term “cybersecurity,” is the protection of information and systems from unauthorized access, use, disclosure, disruption, modification, or destruction. See full definition. 1情報セキュリティは、しばしば「サイバーセキュリティ」という用語と互換的に使用されるが、情報およびシステムを不正アクセス、使用、開示、中断、変更、または破壊から防御することである。完全な定義を参照のこと。
2 NIST Special Publication (SP) 800-37, Revision 2, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. 2 NIST特別刊行物(SP)800-37改訂2版「情報システムおよび組織のためのリスクマネジメントフレームワーク」: セキュリティとプライバシーのためのシステムライフサイクルアプローチ。

 

 

 

| | Comments (0)

2024.07.26

米国 国家情報長官室(ODNI) NCSC他 米国の新興技術企業への外国の脅威行為者による投資についての警告

こんにちは、丸山満彦です。

投資と安全保障の関係では、敵対的勢力によるベンチャー企業等への出資を通じた技術情報等の摂取という脅威と、米国投資家による(実は)敵対的勢力のベンチャー企業等への出資を通じた資金提供による敵対勢力の支援という脅威の2つがあるわけですが、こちらの警告は前者の方ですね。

資金繰りに困っている会社を買収してしまうというのもあります。

投資前にデューデリをする必要があるということで、技術情報の開示を求めたりする...というパターンもありますしね...

Office of the Director of National Intelligence ODNI 国家情報長官室 wikipedia
National Counterintelligence and Security Center NCSC 国家防諜・安全保障センター wikipedia
Office of Economic Security and Emerging Technology OESET 経済安全保障・新興技術局 -
Air Force Office of Special Investigations AFOSI 空軍特殊捜査局 wikipedia
Naval Criminal Investigative Service NCIS 海軍犯罪捜査局 wikipedia

 


・2024.07.24 NCSC and Partners Warn U.S. Emerging Technology Startups About Investment by Foreign Threat Actors

NCSC and Partners Warn U.S. Emerging Technology Startups About Investment by Foreign Threat Actors NCSCとパートナー、外国の脅威行為者による投資について米国の新興技術企業に警告を発する
WASHINGTON, D.C. -・The Office of the Director of National Intelligence’s (ODNI) National Counterintelligence and Security Center (NCSC) today issued a joint bulletin with ODNI’s Office of Economic Security and Emerging Technology (OESET), the Air Force Office of Special Investigations (AFOSI), and the  NCSC (NCIS) to protect U.S. emerging technology startups from investment by foreign threat actors. ワシントンD.C.--国家情報長官室(ODNI)の国家防諜・安全保障センター(NCSC)は本日、ODNIの経済安全保障・新興技術局(OESET)、空軍特殊捜査局(AFOSI)、海軍犯罪捜査局(NCIS)と共同で、米国の新興技術新興企業を外国の脅威行為者による投資から保護するための公報を発表した。
“U.S. emerging tech startups are at the forefront of American innovation, but they face risks when seeking potential foreign investment to expand their firms. Unfortunately, our adversaries continue to exploit early-stage investments in U.S. startups to take their sensitive data. These actions threaten U.S. economic and national security and can directly lead to the failure of these companies. Today’s bulletin highlights this evolving threat and provides guidance for startups to secure their innovation as they grow,” said NCSC Director Michael Casey. NCSCのマイケル・ケイシー所長は、 次のように述べた。「米国の新興技術ベンチャー企業は、米国のイノベーションの最前線にいるが、企業拡大のために外国からの投資の可能性を模索する際にはリスクに直面する。残念ながら、敵対勢力は米国の新興企業への初期段階の投資を悪用し、機密データを奪おうとし続けている。このような行為は、米国の経済および国家安全保障を脅かし、これらの企業の倒産に直結しかねない。本日の速報は、この進化しつつある脅威に焦点を当て、新興企業が成長する過程でイノベーションの安全を確保するためのガイダンスを提供する。」
The joint bulletin provides information on this threat, as well as potential indicators, mitigation steps, and where to report incidents. この共同速報は、この脅威に関する情報、潜在的な指標、低減ステップ、インシデントの報告先などを提供している。

 

・[PDF] SAFEGUARDING OUR INNOVATION - PROTECTING U.S. EMERGING TECHNOLOGY COMPANIES FROM INVESTMENT BY FOREIGN THREAT ACTORS

20240726-44746

SAFEGUARDING OUR INNOVATION イノベーションを守る
PROTECTING U.S. EMERGING TECHNOLOGY COMPANIES FROM INVESTMENT BY FOREIGN THREAT ACTORS 外国の脅威行為者による投資から米国の新興技術企業を保護する。
THREAT 脅威
Venture capital (VC), private equity, and other foreign-origin private investment can provide vital funding for United States (U.S.) technology startups. Foreign threat actors can also use these investments to exploit U.S. startups and harm U.S. economic and national security interests. ベンチャー・キャピタル(VC)、プライベート・エクイティ、その他の外国からの民間投資は、米国(U.S.)のテクノロジー新興企業に不可欠な資金を提供することができる。外国の脅威行為者は、これらの投資を利用して米国の新興企業を悪用し、米国の経済的・国家的安全保障上の利益を害することもある。
• U.S. startups can lose market share and fail if foreign threat actors obtain their proprietary data in the investment process, then use it to compete against them in global markets. ● 外国の脅威行為者が投資の過程で彼らの専有データを入手し、それを使ってグローバル市場で彼らと競争すれば、米国の新興企業は市場シェアを失い、失敗する可能性がある。
• Startups can be denied U.S. government contracts or funding if foreign threat actors gain a footing in their firms. ● 新興企業は、外国の脅威行為者がその企業で足場を固めた場合、米国政府との契約や資金提供を拒否される可能性がある。
▷ To help mitigate foreign risk, federal agencies that grant Small Business Innovation Research or Small Business Technology Transfer awards are required to have due diligence programs to assess small businesses seeking these awards. ▷ 外国のリスクを軽減するために、中小企業技術革新研究賞や中小企業技術移転賞を授与する連邦政府機関は、これらの賞を求める中小企業をアセスメントするためのデューデリジェンス・プログラムを持つことを義務付けられている。
• Startups can also suffer undue foreign influence that forces corporate decisions or direction benefiting foreign threat actors at the expense of the U.S. ● 新興企業はまた、米国を犠牲にして外国の脅威行為者に利益をもたらす企業決定や方向性を強制する外国の不当な影響に苦しむ可能性がある。
• Foreign threat actors can acquire data and technology from U.S. startups that advances their nation’s economic and military capabilities at the expense of the U.S. ● 外国の脅威行為者は、米国を犠牲にして自国の経済・軍事能力を向上させるデータや技術を米国の新興企業から取得することができる。
• Foreign threat actors can also target startups that contract with the U.S. government—and other critical U.S. sectors—to threaten U.S. national security. ● 外国の脅威行為者はまた、米国の国家安全保障を脅かすために、米国政府やその他の米国の重要なセクターと契約している新興企業を標的にすることもできる。
U.S. startups seeking capital can face challenges in determining the ownership and intent of foreign investors. For example, foreign threat actors may: 資本を求める米国の新興企業は、外国人投資家の所有権や意図を判断する上で困難に直面する可能性がある。例えば、外国の脅威行為者は以下のような可能性がある:
• Structure their investments to avoid scrutiny from the Committee on Foreign Investment in the United States (CFIUS), which reviews certain mergers, acquisitions, and investments into the U.S. for national security risks. ● 米国への特定のM&Aや投資を国家安全保障上のリスクから審査する対米外国投資委員会(CFIUS)の審査を回避するために、投資を計画する。
• Route investments through intermediaries in the U.S. or other third countries to obscure the money’s origin. ● 資金の出所を不明瞭にするため、米国やその他の第三国の仲介業者を通じて投資を行う。
• Use minority and limited partner investments. ● マイノリティやリミテッド・パートナーの投資を利用する。
• Attempt to acquire sensitive and proprietary data from U.S. startups under the guise of due diligence, before investing. ● 投資前に、デューデリジェンスと称して米国の新興企業から機密データや専有データを取得しようとする。
In 2018, the U.S. Trade Representative warned that the People’s Republic of China (PRC) government directs the investment in, and acquisition of, U.S. companies by China-based firms to obtain technologies and Intellectual Property (IP), and to facilitate technology transfer to support PRC state plans. VC investment from China has focused on U.S. emerging technology sectors like Artificial Intelligence and other PRC government priorities. Recent developments have heightened these concerns:  2018年、米通商代表部は、中華人民共和国(PRC)政府は、技術や知的財産(IP)を入手するため、またPRCの国家計画を支援するための技術移転を促進するために、中国に拠点を置く企業による米国企業への投資や買収を指示していると警告した。中国からのVC投資は、人工知能などの米国の新興技術分野や中国政府が優先する分野に集中している。最近の動向はこうした懸念を高めている: 
• In January 2024, the U.S. Department of Defense (DOD) added IDG Capital, a China-based VC/ private equity firm, to its list of “Chinese military companies” operating directly or indirectly in the U.S. The firm has invested in more than 1,600 companies, including several in the U.S. ● 2024年1月、米国防総省(DOD)は、中国を拠点とするVC/プライベート・エクイティ企業であるIDGキャピタルを、米国内で直接または間接的に活動する「中国軍需企業」のリストに加えた。
• Last year, the CEO of a U.S. startup (which is suing defendants in China for trade secret theft) told U.S. Congress that some China-based VC firms may target and pay employees of U.S. startups to acquire technology, then fund competitors in China who try to monetize the stolen technology. ● 昨年、米国の新興企業(企業秘密の窃盗で中国の被告を提訴中)のCEOが米国議会で語ったところによると、中国を拠点とするVCの中には、米国の新興企業の従業員をターゲットにして報酬を支払い、技術を取得した後、盗んだ技術を収益化しようとする中国の競合企業に資金を提供する場合があるという。
• Some U.S. and European firms have alleged Chinabased investors offered them investments, then withdrew the offers after obtaining their proprietary data in the due diligence process. ● 米国や欧州の企業の中には、中国を拠点とする投資家から投資を持ちかけられたが、デューデリジェンスの過程で独自のデータを入手した後、その申し出を取り下げたと主張する企業もある。
• One U.K. firm, after agreeing to a takeover by an investor in China, began transferring technology to its would-be acquirer in exchange for part of the firm’s sales price. The investor in China later abandoned the acquisition. The U.K. firm was left facing bankruptcy after sharing its IP. ● ある英国企業は、中国の投資家による買収に合意した後、その企業の売却価格の一部と引き換えに、買収予定者に技術を譲渡し始めた。中国の投資家は後に買収を断念した。英国企業は知的財産を共有した後、破産に直面することになった。
POTENTIAL INDICATORS  潜在的指標 
Below are activities that may be associated with investment efforts by foreign threat actors, although some of them are also routine legal tactics. U.S. technology startups should be diligent if foreign investment involves:  以下は、外国の脅威行為者による投資活動に関連する可能性のある活動であるが、その中には日常的な法的手口もある。米国の技術系新興企業は、外国からの投資が関与している場合には注意深くなるべきである: 
• Complex Ownership: A foreign investor whose structure includes separate entities with the same key personnel or shell companies with no substantive purpose. Entities are often incorporated in offshore locations lacking transparency and effective regulatory oversight. ● 複雑なオーナーシップ: 複雑なオーナーシップ:外国人投資家が、同じ主要人物を持つ別個の事業体や、実質的な目的を持たないシェル・カンパニーを含む構造を持っている。事業体は多くの場合、透明性や効果的な規制監督を欠くオフショアで設立される。
• Investments Through Intermediaries: A foreign investor that routes investment through funds, partners, or intermediaries in the U.S. or other countries. This tactic can help foreign threat actors avoid or complicate outside scrutiny through degrees of separation. ● 仲介業者を介した投資: 米国または他国のファンド、パートナー、仲介者を通じて投資を行う外国投資家。この手口は、海外の脅威行為者が外部からの監視を回避したり、複雑化させたりするのに役立つ。
• Limited Partner Investments: A foreign investor that invests in U.S. companies indirectly through U.S. firms or others in which they are limited partners. ● リミテッド・パートナー投資: リミテッド・パートナーである米国企業等を通じて間接的に米国企業に投資する外国人投資家。
Some limited partners are truly passive, while others can gain influence over corporate decisions or access to proprietary data. 本当に受動的なリミテッド・パートナーもいれば、企業の意思決定に対する影響力を得たり、専有データにアクセスできるリミテッド・パートナーもいる。
• Requests for Sensitive Data: A foreign investor that requests proprietary or other sensitive data from a U.S. firm before making an investment or while feigning interest in an investment. All investors conduct due diligence. Startups should be alert to intrusive requests for sensitive data. ● 機密データの要求: 投資を行う前に、または投資に関心があるように見せかけながら、米国企業に専有データまたはその他の機密データを要求する外国人投資家。全ての投資家はデューデリジェンスを行う。新興企業は機密データの押し付けがましい要求に注意すべきである。
• Preying on Struggling U.S. Firms: A foreign investor that preys on struggling U.S. companies, which can lead to the transfer of a company’s IP in exchange for an infusion of capital. ● 苦境にある米国企業を食い物にする: 経営難に陥っている米国企業を食い物にする外国人投資家。資本注入と引き換えに企業の知的財産を譲渡する可能性がある。
MITIGATION 低減策
U.S. technology startups are not helpless. Below are some steps U.S. companies can take to guard against investment by foreign threat actors. 米国のテクノロジー新興企業は無力ではない。以下は、外国の脅威行為者による投資を防ぐために米国企業が講じることのできる対策である。
• Identify and Protect Critical Assets: Before seeking investment, identify and compartmentalize your company’s “crown jewels.”  ● 重要資産の識別と防御: 投資を求める前に、自社の "王冠の宝石 "を特定し、区分けする。
▷ Put physical and virtual protection around these assets. ▷ これらの資産を物理的・仮想的に保護する。
▷ Restrict access only to those who require it. ▷ 必要な者のみにアクセスを制限する。
▷ Identify a risk manager empowered by leadership to organize protection efforts. ▷ 保護活動を組織する権限をリーダーシップから与えられたリスクマネージ ャーを識別する。
▷ Include protections for your assets within contracts and investment documentation. ▷ 契約や投資文書に資産防御を盛り込む。
▷ Ensure legal and contractual agreements are enforceable in the investor’s home country. ▷ 法的・ 契約的合意が投資家の母国で執行可能であることを確認す る。
▷ Implement a structure that ensures risk management over time. ▷ 長期的なリスクマネジメントを保証する仕組みを導入する。
• Know Your Investor: Scrutinize prospective investors to assess risks. ● 投資家を知る: リスクをアセスメントするため、投資家候補を精査す る。
▷ Verify who they say they are, who owns them (e.g., foreign governments or militaries), and the origin of their funding. ▷ 投資家が何者であるか、投資家の所有者(外国政府や軍など)、資 金の出所を確認する。
▷ Determine if investors are subject to sanctions, export controls, or similar designations. ▷ 投資家が制裁措置、輸出規制、または類似の指定の対 象であるかどうかを判断する。
▷ Research the laws where the foreign investor operates. Determine if they must share data with or assist their host government. ▷ 外国投資家が活動する法律を調査する。外国投資家がホスト国政府とデータを共有し、またはホスト国政府を支援しなければならないかどうかをガバナンスで判断する。
▷ Confirm that their values and intentions align with your own. ▷ 投資家の価値観や意向が自社の価値観と一致していることを確 認する。
• Limit Your Exposure: Before negotiating with investors, determine what is appropriate to share. ● エクスポージャーを制限する:投資家と交渉する前に、何を 共有するのが適切かを判断する。
▷ Limit data sharing to only that which is appropriate, before and after investment. ▷ データ共有は、投資の前後で適切なもののみに限定する。
▷ Identify red lines and responses if an investor requests information beyond what you would share with other investors. ▷ 投資家が他の投資家と共有する以上の情報を要求してきた場 合のレッドラインと対応を特定する。
▷ Set protocols for investors to handle sensitive data appropriately. ▷ 投資家が機密データを適切に取り扱うための手順を定める。
▷ Consider what you could lose if an investor reneges on a deal. ▷ 投資家が取引を破棄した場合に失う可能性のあるものを検討する。
• Engage: Engage federal agencies and others in your industry to gather and share up-to-date threat information and risk mitigation resources. ● 関与する: 最新の脅威情報やリスク低減のためのリソースを収集・共有するため、連邦機関や同業他社と連携する。
REPORTING 報告
• To report a tip about a potential foreign investment with national security implications, contact [mail]
or (202) 622-1860.
● 国家安全保障に影響を及ぼす外国投資の可能性に関する情報を報告する場合は、[mail]
または (202) 622-1860 に連絡すること。
• If you believe that you, your personnel, or your company’s data have been targeted, or are at risk of compromise, contact your local FBI Field Office: [web]. ● あなた自身、あなたの従業員、またはあなたの会社のデータが標的にされている、または侵害のリスクにさらされていると思われる場合は、最寄りのFBI支局( [web]
)に連絡する。
• To report foreign investment of concern in U.S. DOD critical technology sectors, contact the Department of the Air Force Office of Special Investigations and the Naval Criminal Investigative Service at [web]
or [web]
● 米国防総省の重要技術分野で懸念される外国投資を報告するには、空軍特別捜査局および海軍犯罪捜査局 [web]
または [web] に連絡すること。
• For more threat awareness materials or publications, visit the National Counterintelligence and Security Center (NCSC) website at [web] or contact [mail] . ● 脅威認識に関する資料や出版物については、国家防諜安全保障センター(NCSC)のウェブサイト ( [web] )を参照するか、[mail] まで問い合わせること。

 

 

| | Comments (0)

バーゼル銀行監督委員会 「暗号資産に係る基準の改訂」と「暗号資産エクスポージャーに係る開示」 (2024.07.17)

こんにちは、丸山満彦です。

バーゼル銀行監督委員会が「暗号資産に係る基準の改訂」と「暗号資産エクスポージャーに係る開示」を公表しています...

暗号資産と一言にいっても、ボラティリティがさまざまであるので、投資家等にもわかりやすくエクスポージャーにかかる開示は重要となりますね...

 

 Basel Committee on Banking Supervision

プレス...

・2024.07.17 Basel Committee publishes final disclosure framework for banks' cryptoasset exposures and targeted amendments to its cryptoasset standard

Basel Committee publishes final disclosure framework for banks' cryptoasset exposures and targeted amendments to its cryptoasset standard バーゼル委員会、銀行の暗号資産エクスポージャーに関する最終的な開示フレームワークと暗号資産標準の目標修正を公表
Basel Committee has published its final disclosure framework for banks' cryptoasset exposures. バーゼル委員会は、銀行の暗号資産エクスポージャーに関する最終的な開示枠組みを公表した。
The Committee has also published targeted amendments to its cryptoasset standard to tighten the criteria for certain stablecoins to receive a preferential regulatory treatment. 同委員会はまた、特定のステーブルコインが規制上の優遇措置を受けるための基準を厳格化するため、暗号資産標準の的を絞った改正も公表した。
Both standards are to be implemented by 1 January 2026. 両基準は2026年1月1日までに実施される。
The Basel Committee on Banking Supervision today published its final disclosure framework for banks' cryptoasset exposures and targeted amendments to its cryptoasset standard published in December 2022. Both standards have an implementation date of 1 January 2026. バーゼル銀行監督委員会は本日、銀行の暗号資産エクスポージャーに関する最終的な開示枠組みと、2022年12月に公表した暗号資産基準の的を絞った改正を公表した。両基準の実施日は2026年1月1日である。
The final disclosure framework includes a set of standardised tables and templates covering banks' cryptoasset exposures. These require banks to disclose qualitative information on their cryptoasset-related activities and quantitative information on the capital and liquidity requirements for their cryptoasset exposures. The use of common disclosure requirements aims to enhance information availability and support market discipline. 最終的な開示枠組みには、銀行の暗号資産エクスポージャーをカバーする標準化された表とテンプレートが含まれる。これらにより、銀行は暗号資産関連の活動に関する定性的情報と、暗号資産エクスポージャーの資本要件および流動性要件に関する定量的情報を開示することが求められる。共通の開示要件の使用は、情報の利用可能性を高め、市場規律をサポートすることを目的としている。
The targeted amendments to the cryptoasset prudential standard aim to further promote a consistent understanding of the standard, particularly regarding the criteria for stablecoins to receive a preferential "Group 1b" regulatory treatment. Various other technical amendments clarify other aspects of the standard. 暗号資産プルデンシャル基準の的を絞った改正は、特にステーブルコインが「グループ1b」の規制上の優遇措置を受けるための基準について、基準の一貫した理解をさらに促進することを目的としている。その他、様々な技術的修正により、標準の他の側面が明確化されている。
The Committee will continue to monitor developments in cryptoasset markets and the need to mitigate new risks. 委員会は、暗号資産市場の発展と新たなリスク軽減の必要性を引き続き監視していく。

 

・2024.07.17 Cryptoasset standard amendments

Cryptoasset standard amendments 暗号資産標準の改正
The Basel Committee on Banking Supervision has finalised targeted amendments to its prudential standard on banks' exposures to cryptoassets. バーゼル銀行監督委員会は、銀行の暗号資産エクスポージャーに関するプルデンシャル標準の的を絞った改正を最終決定した。
The targeted amendments to the cryptoasset prudential standard aim to further promote a consistent understanding of the standard, particularly regarding the criteria for stablecoins to receive a preferential "Group 1b" regulatory treatment. Various other technical amendments clarify other aspects of the standard. 暗号資産に関するプルデンシャル・スタンダードの対象的な改正は、特にステーブルコインが「グループ1b」の規制上の優遇措置を受けるための基準について、標準の一貫した理解をさらに促進することを目的としている。その他の様々な技術的修正により、標準の他の側面が明確化された。
The Committee has agreed to implement the final revised standard by 1 January 2026. 委員会は、2026年1月1日までに最終改訂標準を導入することに合意した。

 

・[PDF]

20240725-205934

 

・2024.07.17 Disclosure of cryptoasset exposures

Disclosure of cryptoasset exposures 暗号資産エクスポージャーの開示
The Basel Committee on Banking Supervision has finalised its disclosure framework for banks' cryptoasset exposures. バーゼル銀行監督委員会は、銀行の暗号資産エクスポージャーに関する開示枠組みを最終決定した。
The disclosure framework has been developed based on the disclosure requirements contained in the final prudential standard on banks' cryptoasset exposures published in December 2022. It includes a standardised table and templates that cover the disclosure of both qualitative and quantitative information. この開示フレームワークは、2022年12月に公表された銀行の暗号資産エクスポージャーに関するプルデンシャル・スタンダードの最終版に含まれる開示要件に基づいて策定された。これには、定性的および定量的情報の開示をカバーする標準化された表とテンプレートが含まれる。
The use of the common disclosure table and templates will support the exercise of market discipline and help to reduce information asymmetry amongst banks and market participants. 共通の開示表とテンプレートの使用は、市場規律の行使をサポートし、銀行と市場参加者間の情報の非対称性を低減するのに役立つ。
The Committee has agreed to implement the standard by 1 January 2026. 委員会は、この標準を2026年1月1日までに実施することで合意している。

 

・[PDF]

20240725-210338

 

これは、金融庁でも公表されていますね...

● 金融庁 

・2024.07.24 バーゼル銀行監督委員会による「暗号資産に係る基準の改訂」の公表について

・2024.07.24 バーゼル銀行監督委員会による「暗号資産エクスポージャーに係る開示」の公表について

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.08 バーゼル銀行監督委員会:(パブコメ)銀行の暗号資産エクスポージャーのプルデンシャルな取り扱いに関する第2回協議文書を公表 (2022.06.30)

 

・2023.06.21 世界経済フォーラム (WEF) 暗号資産規制への道筋: グローバルアプローチ (2023.05.25)

・2023.05.09 デジタル庁 Web3.0研究会(フォローアップ会議)資料等...

・2022.10.12 金融安定理事会 (FSB) 暗号資産活動の国際的規制の枠組みの提案

| | Comments (0)

欧州委員会 電気通信および電力分野におけるサイバーセキュリティリスク低減のためのEUの勧告

こんにちは、丸山満彦です。

欧州委員会が、インフラの中のインフラと言われている(ような気がする)電気通信分野、電料分野におけるサイバーセキュリティリスク低減のための勧告を公表していますね。。。

 

European Commission

プレス...

・2024.07.24 EU’s recommendations for mitigating cybersecurity risks in telecommunications and electricity sectors published

EU’s recommendations for mitigating cybersecurity risks in telecommunications and electricity sectors published 電気通信および電力分野におけるサイバーセキュリティ・リスク低減のためのEUの勧告が発表される
Today, EU Member States, with the support of the Commission and of the EU Agency for Cybersecurity (ENISA), published a report on the cybersecurity of the telecommunications and electricity sectors in the EU, as well as recommendations to bolster their resilience. 本日、EU加盟国は、欧州委員会およびEUサイバーセキュリティ機関(ENISA)の支援の下、EUにおける電気通信および電力分野のサイバーセキュリティに関する報告書と、そのレジリエンスを強化するための勧告を発表した。
The report identifies threats such as cyber-attacks and espionage activities from state-sponsored threat actors and cyber criminals in both sectors. Supply chains, especially regarding 5G networks and renewable energy infrastructures, are at particular risk.  報告書では、両分野における国家に支援された脅威行為者やサイバー犯罪者によるサイバー攻撃やスパイ活動などの脅威を特定している。特に5Gネットワークや再生可能エネルギーインフラに関するサプライチェーンは、特にリスクにさらされている。
To mitigate the identified risks, the report contains recommendations to Member States, the Commission and ENISA to timely implement resilience-enhancing measures. These recommendations include sharing good practices on mitigating ransomware, improving collective cyber-situational awareness and information sharing; improving contingency planning, crisis management and operational collaboration; assessing dependencies on high-risk third-country providers to strengthen supply chain security. 特定されたリスクを軽減するため、報告書は加盟国、欧州委員会、ENISAに対し、レジリエンス強化策を適時に実施するよう勧告している。これらの勧告には、ランサムウェアの低減に関するグッドプラクティスの共有、集団的なサイバー状況認識と情報共有の改善、緊急時計画、危機マネジメント、業務協力の改善、サプライチェーンセキュリティを強化するためのリスクの高い第三国プロバイダへの依存度の評価などが含まれる。
The report follows Council conclusions calling for the development of the EU’s Cyber Posture and follows-up on the report on the cybersecurity and resilience of the EU communications infrastructures and networks.  本報告書は、EUのサイバー態勢の整備を求める理事会の結論に続くものであり、EUのコミュニケーション・インフラおよびネットワークのサイバーセキュリティとレジリエンスに関する報告書をフォローアップするものである。

 

報告書...

・2024.07.24 Risk assessment report on cyber resilience on EU’s telecommunications and electricity sectors

Risk assessment report on cyber resilience on EU’s telecommunications and electricity sectors EUの通信・電力分野のサイバーレジリエンスに関するリスクアセスメント報告書
EU Member States, with the support of the European Commission and ENISA, the EU Agency for Cybersecurity, published the first report on the cybersecurity and resilience of Europe’s telecommunications and electricity sectors. EU加盟国は、欧州委員会とEUサイバーセキュリティ機関ENISAの支援を受けて、欧州の通信・電力分野のサイバーセキュリティとレジリエンスに関する初の報告書を発表した。
The report points to concerns about a number of risks, including risks to supply chain security, the lack of cyber professionals and the risks posed by malicious activities from cyber criminals and state-sponsored threat actors. 本報告書では、サプライチェーンの安全性に対するリスク、サイバー専門家の不足、サイバー犯罪者や国家に支援された脅威行為者による悪質な活動がもたらすリスクなど、多くのリスクに対する懸念が指摘されている。
The risk evaluation identified technical and non-technical risks in more detail. In both the telecommunications and electricity sectors, supply chain risks remain the main concern, especially regarding 5G rollout and renewable energy infrastructures. Ransomware, data wipers and exploitation of zero-day vulnerabilities were also identified as an ongoing but pressing concerns in both sectors, especially where operational technology is concerned. リスク評価では、技術的リスクと非技術的リスクをより詳細に特定した。電気通信と電力の両セクターにおいて、サプライチェーンのリスクは、特に5Gの展開と再生可能エネルギーのインフラに関して、依然として主な懸念事項である。ランサムウェア、データワイパー、ゼロデイ脆弱性の悪用も、特に運用技術に関わる両分野において、継続的ではあるが喫緊の懸念事項として認識された。
For the electricity sector, the most critical risk identified is malicious insiders, spurred by a difficulty in adequately vetting new personnel and attracting local cybersecurity talent. For the telecommunications sector, the main threats include attacks via roaming infrastructures and attacks originating from large bot networks. 電力セクターでは、最も重大なリスクは悪意のある内部関係者であり、新しい身元を適切に審査し、地域のサイバーセキュリティ人材を集めることが困難であることがこれに拍車をかけている。電気通信分野では、ローミング・インフラを介した攻撃や、大規模なボット・ネットワークから発信される攻撃が主な脅威となっている。
In addition, the physical sabotage of cable infrastructure and the jamming of satellite signals were identified as specific risks that are particularly difficult to mitigate. さらに、ケーブルインフラの物理的妨害行為や衛星信号の妨害行為も、特に軽減が困難な特定のリスクとして識別された。
To mitigate these risks, the report puts forward a number of recommendations across 4 areas for improvement, which can be summarised as follows:  これらのリスクを軽減するため、報告書は4つの改善分野にわたって多くの提言を提示しており、その要約は以下の通りである: 
1. Resilience and cybersecurity posture can be improved through sharing good practices on mitigating ransomware, vulnerability monitoring, human resources security and asset management. Additionally, cooperation with technical Member States’ network, the Computer Security Incident Response Team (CSIRTs), law enforcement and international partners needs to be stepped up.  Member States should conduct further self-assessments for the sectors as per the NIS2 Directive and CER Directive. 1. ランサムウェア、脆弱性監視、人材セキュリティ、資産管理の軽減に関するグッドプラクティスを共有することにより、レジリエンスとサイバーセキュリティ態勢を改善することができる。さらに、技術的な加盟国のネットワーク、コンピュータセキュリティ・インシデント対応チーム(CSIRT)、法執行機関、国際的なパートナーとの協力を強化する必要がある。 加盟国は、NIS2指令およびCER指令に従って、各セクターの自己アセスメントをさらに実施すべきである。
2. Collective cyber situational awareness and information sharing needs to be improved and include the geopolitical context, potential physical harm and disinformation.  2. 集団的なサイバー状況認識と情報共有を改善し、地政学的背景、潜在的な物理的被害、偽情報を含める必要がある。
3. Contingency planning, crisis management and operational collaboration needs to be improved by shortening lines between sectors and cybersecurity authorities in procedures. 3. 緊急時計画、危機管理、作戦上の協力は、セクターとサイバーセキュリティ当局との間の手続きを短縮することによって改善される必要がある。
4. Supply chain security should be further addressed with follow-up assessments of dependencies on high-risk third-country providers and the development of an EU framework for supply chain security. 4. サプライチェーンのセキュリティについては、リスクの高い第三国のプロバイダへの依存度をフォローアップアセスメントし、サプライチェーンのセキュリティに関するEUの枠組みを策定することにより、さらに取り組むべきである。
Given the criticality of the infrastructures and networks in the scope of this report and in view of the fast-evolving threat landscape, and without prejudice to the Member States’ competences as regards national security, Member States, Commission and ENISA are encouraged to implement these resilience-enhancing measures as soon as possible, based on the work that has already started on the implementation of some of the recommendations. 本報告書の対象範囲に含まれるインフラおよびネットワークの重要性を考慮し、また、急速に進化する脅威の状況を考慮し、加盟国の国家安全保障に関する権限を害することなく、加盟国、欧州委員会およびENISAは、勧告の一部の実施に関してすでに開始されている作業に基づいて、これらのレジリエンス強化策を可能な限り早期に実施することが奨励される。
Download the report below for more information. 詳細は以下の報告書をダウンロードのこと。
Background 背景
The Council, in its Conclusions on the development of the European Union’s cyber posture of 23 May 2022, ‘invite[d] the Commission, the High Representative and the NIS Cooperation Group, in coordination with relevant civilian and military bodies and agencies and established networks, including the EU CyCLONe, to conduct a risk evaluation and build risk scenarios from a cybersecurity perspective in a situation of threat or possible attack against Member States or partner countries and present them to the relevant Council bodies.’ EU理事会は、2022年5月23日のEUのサイバー態勢の整備に関する結論において、「欧州委員会、上級代表、NIS協力グループが、関連する文民・軍事機関およびEUサイクロンを含む確立されたネットワークと連携して、加盟国またはパートナー諸国に対する脅威または攻撃の可能性がある状況において、サイバーセキュリティの観点からリスク評価を実施し、リスクシナリオを構築し、理事会の関連団体に提示するよう求める」とした。
Moreover, in its 23 May 2023 Conclusions on the EU Policy on Cyber Defence, the Council ‘invite[d] the above-mentioned actors to ensure that risk evaluations, scenarios and subsequent recommendations are taken into account when defining and prioritising measures and support, at EU and where appropriate national level’. The Council furthermore calls for ‘the risk scenarios to be considered by all relevant actors in risk assessment processes, as well as in the development of cyber exercises’. さらに理事会は、2023年5月23日の「サイバー防衛に関するEU政策に関する結論」において、「上記の関係者に対し、EUレベルおよび適切な場合には国レベルで、リスク評価、シナリオ、およびそれに続く勧告が、対策や支援を定義し、優先順位を決定する際に考慮されるように要請する」と述べている。さらに理事会は、「リスクシナリオが、リスクアセスメントプロセスやサイバー演習の開発において、すべての関係者によって考慮される」ことを求めている。
The risk evaluation follows up on a recent report on the cybersecurity and resilience of the EU communications infrastructures and networks, which was published in February 2024. このリスク評価は、2024年2月に発表された、EUのコミュニケーションインフラとネットワークのサイバーセキュリティとレジリエンスに関する最近の報告書に続くものである。
You can read further information about Cybersecurity Policies. サイバーセキュリティ政策についての詳細はこちらをご覧いただきたい。

 

・[PDF]

20240725-190304

・[DOCX][PDF] 仮訳

 

目次...

Executive summary エグゼクティブサマリー
1. Introduction 1.はじめに
1.1 Request for this report from Council 1.1 審議会からの本報告書の要請
1.2 Scope 1.2 スコープ
1.3 Relationship to related exercises 1.3 関連エクササイズとの関係
1.4 Methodology 1.4 方法論
1.5 Structure of this report 1.5 本報告書の構成
2. Context of the risk evaluation 2.リスク評価の背景
2.1 Threat landscape 2.1 脅威の状況
2.2 Sectoral threat landscape: telecommunications 2.2 分野別の脅威の状況:電気通信
2.3 Sectoral threat landscape: electricity 2.3 分野別の脅威の状況:電力
3. Risk evaluation 3.リスク評価
3.1 Risk evaluation for the EU’s telecommunications sector 3.1 EUの電気通信分野のリスク評価
3.2 Risk evaluation for the EU’s electricity sector 3.2 EUの電力分野のリスク評価
3.3 Spill-over risks and interdependencies across sectors, Member States and with third countries 3.3 分野間、加盟国間、第三国間の波及リスクと相互依存
4. Risk scenarios 4.リスクシナリオ
4.1 Telecommunications sector scenarios 4.1 通信分野のシナリオ
4.2 Electricity sector scenarios 4.2 電力分野シナリオ
5. Conclusions for areas of improvement 5.改善点の結論
(1) Resilience and cybersecurity posture (Addresses Scenarios TRS1, TRS2, ERS1, ERS3, ERS4, ERS5) (1) レジリエンスとサイバーセキュリティ態勢(シナリオ TRS1、TRS2、ERS1、ERS3、ERS4、ERS5 に対応)
(2) Collective cyber situational awareness and information sharing (TRS3, TRS4, ERS2) (2) 集団的サイバー状況認識と情報共有 (TRS3, TRS4, ERS2)
(3) Contingency planning, crisis management and operational collaboration (TRS2, ERS1, ERS5) (3) コンティンジェンシー・プランニング、危機管理、作戦協力 (TRS2, ERS1, ERS5)
(4) Supply chain security (TRS1, ERS5, ERS6) (4) サプライ・チェーン・セキュリティ(TRS1、ERS5、ERS6)
Annex 1: Relationship between this report and related exercises 附属書1:本報告書と関連演習の関係
Annex 2 – Risk scenario building blocks 附属書2 - リスクシナリオの構成要素
Annex 2.1: Threat actors 附属書2.1:脅威要因
Annex 2.2: Threats 附属書2.2:脅威
Annex 2.3: Assets 附属書2.3:資産
Annex 2.4: Vulnerabilities 附属書2.4:脆弱性
Annex 2.5: Harms 附属書2.5:被害

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
The Council, in its May 2022 Conclusions on the EU’s cyber posture, requested the Commission, the High Representative, and the NIS Cooperation Group (NIS CG) to carry out a risk evaluation and develop risk scenarios from a cybersecurity perspective in a situation of threat or possible attack against Member States or partner countries. It was decided to focus this report on two sectors: telecommunications (mobile networks, fixed networks, satellite, and core internet infrastructure) and electricity (including gas to the extent it supports the generation of electricity).   EU理事会は、2022年5月のEUのサイバー態勢に関する結論において、欧州委員会、上級代表、NIS協力グループ(NIS CG)に対し、加盟国またはパートナー諸国に対する脅威または攻撃の可能性がある状況におけるサイバーセキュリティの観点から、リスク評価を実施し、リスクシナリオを策定するよう要請した。本報告書は、電気通信(モバイル・ネットワーク、固定ネットワーク、衛星、コア・インターネット・インフラ)と電力(発電をサポートする範囲でのガスを含む)の2分野に焦点を当てることが決定された。  
Dependencies on critical components from third countries and supply chain-related vulnerabilities are a particular risk for both sectors. Many specific components have limited suppliers based outside the EU which may be considered high-risk due to susceptibility to government interference without adequate legal or judicial constraints. Moreover, the increasing importance of renewable energy sources, such as wind and solar power, introduces many new - and often less secure - digital technologies into energy networks critical to society. The EU’s cyber posture would greatly benefit from further research on potential security measures.  第三国からの重要部品への依存とサプライチェーン関連の脆弱性は、両分野にとって特に大きなリスクである。多くの特定部品は、EU域外を拠点とする限られたサプライヤーしか供給しておらず、十分な法的・司法的制約がないまま政府の干渉を受けやすいため、高リスクとみなされる可能性がある。さらに、風力発電や太陽光発電のような再生可能エネルギーの重要性が高まるにつれ、社会にとって重要なエネルギー・ネットワークに、多くの新しい(そしてしばしば安全性の低い)デジタル技術が導入される。EUのサイバー態勢は、潜在的なセキュリティ対策に関するさらなる研究から大きな恩恵を受けるだろう。 
For the telecommunications sector, the top risks identified are risks to mobile and fixed telecommunications networks, risks to the internet’s core infrastructure and risks to the satellite communications. The enormous databases of sensitive information held by the mobile subsector are a major target for ransomware. The unavailability of communication sector services caused by ransomware and destructive malware carries large potential for spillover harm into other sectors. Moreover, the risk of disruption is heightened in areas where a telecommunications operator is the sole provider for critical entities or in a particular region. The risk of espionage resulting from infiltration of malicious insiders, or from hostile third countries exercising pressure on 5G suppliers to facilitate cyberattacks scores equally likely, though its impact is much harder to assess. Vulnerabilities in roaming infrastructure can be exploited to geolocate users, intercept calls and SMS messages, while smishing (using deceptive text messages) and vishing (using voice and telephone technologies) attacks can be used to harvest credentials and gain access to critical systems. Unpatched devices used to connect to the Internet are susceptible to compromise and can be used as part of botnets controlled by malicious actors. For core Internet infrastructure, including the around 200 undersea cables around the world, physical sabotage is the most salient risk. The highest risk concerning satellite networks is signals jamming, due to its low cost and the ease with which it can be orchestrated.    電気通信分野では、モバイルおよび固定通信ネットワークへのリスク、インターネットの中核インフラへのリスク、衛星通信へのリスクが上位に挙げられている。モバイル・サブ分野が保有する機密情報の膨大なデータベースは、ランサムウェアの主要な標的である。ランサムウェアや破壊的なマルウェアによって通信分野のサービスが利用できなくなると、他の分野にも被害が波及する可能性が大きい。さらに、電気通信事業者が重要な事業体や特定の地域の唯一のプロバイダーである地域では、混乱のリスクが高まる。悪意のある内部者の侵入や、敵対的な第三国がサイバー攻撃を促進するために5Gサプライヤーに圧力をかけることによるスパイ活動のリスクも同様に考えられるが、その影響を評価するのははるかに難しい。ローミングインフラストラクチャの脆弱性を悪用してユーザーを地理的に特定したり、通話やSMSメッセージを傍受したり、スミッシング(欺瞞的なテキストメッセージを使用)やビッシング(音声や電話技術を使用)攻撃を使って認証情報を採取し、重要なシステムにアクセスしたりすることができる。インターネットに接続するために使用されるパッチ未適用のデバイスは、侵害の影響を受けやすく、悪意のある行為者によって制御されるボットネットの一部として使用される可能性がある。世界中に張り巡らされた約200本の海底ケーブルを含む中核的なインターネット・インフラについては、物理的な妨害行為が最も顕著なリスクである。衛星ネットワークに関する最も高いリスクは、低コストで簡単に組織化できる信号妨害である。   
For the electricity sector, the highest identified risks concern entities directly connected to the electricity grid (including gas infrastructure). The most salient threats are insiders who either work for hostile actors and infiltrate organisations, or are manipulated via social engineering, along with cyberattacks from the outside, where ransomware and malware are used to gain control over, or otherwise disrupt, operational technology relied on by gas producers and electricity generators. Additionally, espionage is an important risk for the energy sector, for two reasons: first, there are large amounts of sensitive intellectual property in the sector and, second, the sector attracts considerable pre-positioning activity by advanced threat actors with the aim of later executing destructive attacks.   電力分野では、電力網(ガスインフラを含む)に直結する事業体に関するリスクが最も高いことが確認されている。最も顕著な脅威は、敵対的な行為者のために働き、組織に潜入するか、ソーシャル・エンジニアリングによって操られる内部関係者であり、外部からのサイバー攻撃では、ランサムウェアやマルウェアが、ガス製造業者や発電事業者が信頼する運用技術を制御したり、そうでなければ混乱させるために使用される。第一に、エネルギー分野には機密性の高い知的財産が大量に存在すること、第二に、エネルギー分野は、後に破壊的な攻撃を実行することを目的とした高度な脅威行為者による事前準備活動をかなり誘引していることである。  
Ten risk scenarios have been developed for use in both EU and national risk preparedness exercises on the basis of the results. The scenarios reflect the most salient risks across a wide range of subsectors and are designed to stress test current preparedness measures.   この結果に基づいて、EUと各国のリスク対策演習で使用するための10のリスクシナリオが作成された。シナリオは、幅広いサブ分野にまたがる最も顕著なリスクを反映しており、現在の準備態勢をストレステストするように設計されている。  
The conclusions include 17 suggestions over four areas of improvement for the civilian electricity and telecommunications sectors’ overall cybersecurity posture and resilience, collective intelligence, cross-sectoral crisis management and follow-up risk assessments. They take into account recent policy and legislative developments: notably, the adoption of the Cyber Resilience Act will create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle.  結論には、民間の電力・通信分野の全体的なサイバーセキュリティ態勢と回復力、集合的インテリジェンス、分野横断的な危機管理、フォローアップのリスク評価に関する4つの改善分野にわたる17の提案が含まれている。特に、サイバーレジリエンス法の採択は、ハードウェアやソフトウェア製品がより脆弱性の少ない状態で市場に投入され、製造業者が製品のライフサイクルを通じてセキュリティに真剣に取り組むようにすることで、デジタル要素を含む安全な製品を開発するための条件を整えることになる。 
Member States and cyber networks are recommended to take this report into account when organising their future risk preparedness exercises. This includes any national and EU-level risk assessments, as well as organisational readiness exercises and stress testing of critical infrastructures in the electricity and/or telecommunications sectors.    加盟国およびサイバーネットワークは、今後リスク準備演習を実施する際には、本報告書を考慮することが推奨される。これには、国レベルおよびEUレベルのリスクアセスメント、組織的な準備演習、電力・通信分野の重要インフラのストレステストなどが含まれる。  

 

 

 

| | Comments (0)

2024.07.25

米国 司法省監察官室 米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための司法省の取り組みの評価

こんにちは、丸山満彦です。

米国大統領選は、大統領候補の名前間違えや、候補者暗殺未遂、候補者変更など、いろいろあるようですが...一貫して、選挙への外国の影響をいかに排除するか?このソーシャルメディアの時代に...そしてAIも...というところが課題となっていて、連邦政府もいろいろと対策をしていますよね...

今回は、司法省の取り組みについて司法省監察官室の報告書です。参考になる部分が多いように思います。AIによる誤情報の問題が取り上げられがちですが、本質的な問題は、ソーシャルメディアによる情報拡散が世論に影響を及ぼすという中で、国民の言論の自由をまもりつつ、いかに外国の悪影響を取り除くか?ということなのですよね...たぶん...

米国政府の考え方や取り組みを理解するのに、この報告書はとても参考になると思います。

 

OIG.Gov

・2024.07.23 Evaluation of the U.S. Department of Justice’s Efforts to Coordinate Information Sharing About Foreign Malign Influence Threats to U.S. Elections

・[PDF]

20240725-83314

・[DOCX][PDF] 仮訳

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Evaluation of the U.S. Department of Justice’s Efforts to Coordinate Information Sharing About Foreign Malign Influence Threats to U.S. Elections   米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための米国司法省の取り組みの評価 
Introduction   はじめに  
Protecting the Integrity of U.S. elections is an important component of the U.S. Department of Justice’s (Department, DOJ) overall mission to uphold the rule of law, keep our country safe, and protect civil rights.  One type of threat to U.S. elections comes in the form of foreign malign influence, which the Federal Bureau of Investigation (FBI) defines as “subversive, covert (or undeclared) coercive, or criminal activities by foreign governments, nonstate actors, or their proxies to sow division, undermine democratic processes and institutions, or steer policy and regulatory decisions in favor of the foreign actor’s strategic objectives.”  米国の選挙の完全性を守ることは、法の支配を守り、国の安全を保ち、市民の権利を守るという米国司法省(DOJ)の全体的な使命の重要な要素である。  米連邦捜査局(FBI)は、「外国政府、非国家主体、またはその代理人による、破壊的、秘密(または宣言されていない)強制的、または犯罪的な活動であり、分断の種をまき、民主的なプロセスや制度を弱体化させ、外国人主体の戦略目標に有利なように政策や規制の決定を誘導するもの」と定義している。 
In January 2017, the U.S. Intelligence Community issued an assessment stating that Russia’s efforts to influence the 2016 U.S. presidential election demonstrated a “significant escalation in directness, level of activity, and scope of effort compared to previous operations.”  Similarly, the U.S. Senate Select Committee on Intelligence in 2019 and the U.S. House Permanent Select Committee on Intelligence in 2018 found, in part, that the Russian government historically has attempted to interfere in U.S. elections and attempted to interfere in the 2016 election through attacks on state voter registration databases and cyber operations targeting governments and businesses using tactics such as spear phishing, hacking operations, and social media campaigns.  In 2017, the FBI established its Foreign Influence Task Force (FITF) to “identify and counteract the full range of malign foreign influence operations” targeting the United States, including operations targeting U.S. elections.  DOJ’s National Security Division (NSD) and U.S. Attorney’s Offices (USAO) work with the FBI to combat foreign malign influence threats.  Additionally, the Department and its components share information with other federal partners, states, and social media companies to counter foreign malign influence directed at U.S. elections.    2017年1月、米国情報機関は、2016年の米国大統領選挙に影響を及ぼそうとするロシアの努力は、"以前の作戦と比較して、直接的さ、活動のレベル、努力の範囲が著しくエスカレートしている "ことを示したとする評価を発表した。  同様に、2019年の米上院情報特別委員会と2018年の米下院情報特別委員会は、ロシア政府が歴史的に米国の選挙への干渉を試みており、スピアフィッシング、ハッキング作戦、ソーシャルメディア・キャンペーンなどの戦術を用いて、各州の有権者登録データベースへの攻撃や政府や企業を標的としたサイバー作戦を通じて、2016年の選挙への干渉を試みたことを一部認めている。  2017年、FBIは、米国の選挙を標的にした作戦を含む、米国を標的にした「あらゆる悪質な外国の影響力作戦を特定し、これに対抗する」ために、外国影響力タスクフォース(FITF)を設立した。  司法省の国家安全保障局(NSD)と連邦検事局(USAO)は、FBIと協力して外国の悪質な影響力の脅威と戦っている。  さらに、司法省とその構成機関は、他の連邦政府パートナー、州、ソーシャルメディア企業と情報を共有し、米国の選挙に向けられた外国の悪意ある影響に対抗している。   
The DOJ Office of the Inspector General (OIG) undertook this evaluation to assess the effectiveness of the Department’s information-sharing system related to foreign malign influence directed at U.S. elections, evaluate the Department’s oversight and management of its response, and identify any gaps or duplication among the Department’s efforts in this area.  We focused on the Department’s information sharing with social media companies to evaluate the aspect of the Department’s information-sharing system that the FITF developed following foreign malign influence directed at the 2016 U.S. presidential election.   司法省監察総監室(OIG)は、米国選挙に向けられた外国の悪意ある影響に関連する同省の情報共有システムの有効性を評価し、その対応に関する同省の監督と管理を評価し、この分野における同省の取り組みのギャップや重複を特定するために、本評価を実施した。  われわれは、2016年の米国大統領選挙に向けられた外国の悪意ある影響力を受けてFITFが開発した同省の情報共有システムの側面を評価するため、ソーシャルメディア企業との同省の情報共有に焦点を当てた。  
Recommendations  勧告
In this report, we make two recommendations to ensure that DOJ takes a public and strategic approach to sharing information with social media companies in a manner that protects First Amendment rights to combat foreign malign influence directed at U.S. elections, thus strengthening public trust in the Department.  本報告書では、司法省が、米国の選挙に向けられた外国の悪意ある影響に対抗するために、憲法修正第1条の権利を保護する形でソーシャルメディア企業と情報を共有するための公的かつ戦略的なアプローチを取ることを確実にし、その結果、司法省に対する国民の信頼を強化するために、2つの勧告を行う。 
Results in Brief  結果の概要 
We found that the FBI has developed an ”intelligence sharing model,” involving other members of the U.S. Intelligence Community and social media companies, but that neither DOJ nor the FBI had specific policy or guidance applicable to information sharing with social media companies.  We also found that the DOJ components tasked with countering foreign malign influence directed at U.S. elections effectively share information with each other.    我々は、FBIが米国情報機関の他のメンバーとソーシャルメディア企業を巻き込んだ「情報共有モデル」を開発したが、司法省もFBIもソーシャルメディア企業との情報共有に適用される具体的なポリシーやガイダンスは持っていないことを明らかにした。  また、米国の選挙に向けられた外国の悪意ある影響に対抗することを任務とする司法省の各部門は、効果的に情報を共有していることもわかった。   
The Department Previously Lacked Guidance for Certain Types of Engagement with Social Media Companies  同省は以前、ソーシャルメディア企業との特定のタイプの関わり方に関するガイダンスを欠いていた。 
We found that neither DOJ nor the FBI had a specific policy or guidance applicable to information sharing with social media companies until February 2024.    司法省もFBIも、2024年2月まではソーシャルメディア企業との情報共有に適用される特定のポリシーやガイダンスは持っていないことがわかった。   
At the time of our fieldwork, the Department shared information about foreign malign influence directed at U.S. elections by means of an “intelligence sharing model,” through which the FBI obtained information related to foreign malign influence actors from other U.S. Intelligence Community agencies and shared that information with social media companies.  In some instances, the companies may have chosen to investigate further activity on their platforms.  Upon receiving a court order obtained by DOJ, the companies were then able to provide information to the FBI.  This could result in the development of new leads, which could help the FBI in its operational activities and potentially identify additional information that it could share with the companies.  われわれが現地調査を行った時点では、FBIは「情報共有モデル」によって、米国の選挙に向けられた外国の悪質な影響力に関する情報を共有していた。情報共有モデルとは、FBIが他の米国情報コミュニティ機関から外国の悪質な影響力行為者に関連する情報を入手し、その情報をソーシャルメディア企業と共有するものである。  場合によっては、各社は自社のプラットフォームでのさらなる活動を調査することを選択したかもしれない。  司法省が取得した裁判所命令を受け、各社はFBIに情報を提供することができた。  その結果、新たな手がかりが得られる可能性があり、FBIの作戦活動に役立ち、企業と共有できる追加情報を特定できる可能性がある。 
FBI officials said that, in the absence of a specific policy or guidance, the FBI’s information-sharing method has been based on an “actor-driven versus content-driven” approach.  DOJ and FBI officials told us that the FBI does not monitor social media content on platforms as it relates to foreign malign influence, nor does it investigate specific narratives spread online.  Rather than using online content to identify foreign malign influence activity, the FBI told us that it acts based on intelligence developed during its ongoing investigations or received from other federal agencies concerning the activities of specific foreign actors.  However, we also found during our document review that the FBI shared “content” information when the FBI had intelligence indicating that a foreign actor planned to promote specific themes or narratives with its social media activity.  The FBI said that it relies on the social media companies to assess the information provided by the FBI and to determine whether to take any action based on its customer having violated the companies’ terms of service.    FBI職員によると、具体的な方針や指針がない場合、FBIの情報共有方法は「行為者主導かコンテンツ主導か」というアプローチに基づいているという。  司法省とFBIの関係者によると、FBIは外国の悪意ある影響力に関連するソーシャルメディアコンテンツを監視しておらず、オンライン上で拡散された特定のシナリオを調査することもないという。  FBIは、外国の悪質な影響活動を特定するためにオンラインコンテンツを利用するのではなく、進行中の捜査の中で開発された、または特定の外国人行為者の活動に関する他の連邦機関から受け取った情報に基づいて行動していると、私たちは述べた。  しかし、文書調査の結果、外国人行為者がソーシャルメディア活動で特定のテーマや物語を宣伝する予定であることを示す情報を FBI が得た場合、FBI は「コンテンツ」情報を共有していることも分かりました。  FBI は、FBI から提供された情報を評価し、顧客が各社の利用規約に違反したことに基づいて何らかの措置を講じるかどうかを判断するのは、ソーシャルメディア企業に依存していると述べている。   
We also found that the Department does not have a comprehensive strategy guiding its approach to engagement with social media companies on foreign malign influence directed at U.S. elections and that it faces risks as a result.  Specifically, the FBI maintains relationships with social media companies in the San Francisco area, where many social media companies are based, but lacks ongoing relationships with social media companies outside that area.  Further, we found that the Department faces novel threats, such as the expansion of foreign-owned social media platforms and the development of new technologies that could support foreign malign influence campaigns directed at U.S. elections.  また、米国の選挙に向けられた外国の悪意ある影響に関するソーシャルメディア企業との関わり方について、同省には包括的な戦略がなく、その結果リスクに直面していることも分かった。  具体的には、FBIは多くのソーシャルメディア企業が拠点を置くサンフランシスコ地域のソーシャルメディア企業とは関係を維持しているが、同地域以外のソーシャルメディア企業とは継続的な関係を築いていない。  さらに、外国資本のソーシャルメディア・プラットフォームの拡大や、米国の選挙に向けられた外国の悪意ある影響力キャンペーンを支援する可能性のある新技術の開発など、新たな脅威に直面していることが分かった。 
While the FBI’s model and approach has put this framework in place, it nonetheless has an inherent risk arising from the fact that social media companies provide a forum for speech, which is subject to protection under the First Amendment from infringement by the government.  While there are no apparent First Amendment implications from the FBI simply sharing information about foreign malign influence threats with social media companies, concerns may arise if that information is communicated in such a way that those communications could reasonably be perceived as constituting coercion or significant encouragement aimed at convincing the companies to act on the shared information in a way that would limit or exclude the speech of those who participate on their platforms.  DOJ and the FBI issued a new standard operating procedure (SOP) in February 2024 that acknowledges this risk and takes steps to mitigate it.  We believe that identifying a way to inform the public about this SOP and how it protects First Amendment rights would strengthen public trust in the Department and the FBI.  FBIのモデルとアプローチはこの枠組みを整えたが、それにもかかわらず、ソーシャルメディア企業が言論の場を提供しているという事実から生じる固有のリスクがある。  FBIがソーシャルメディア企業と外国の悪意ある影響力の脅威に関する情報を共有するだけでは、憲法修正第1条への明白な影響はないが、その情報が、そのプラットフォームで参加する人々の言論を制限または排除するような方法で、共有された情報に基づいて行動するよう企業を説得することを目的とした強制または重大な奨励を構成すると合理的に認識され得るような方法で伝達された場合、懸念が生じる可能性がある。  司法省とFBIは2024年2月に新しい標準業務手順書(SOP)を発表し、このリスクを認め、軽減するための措置を講じた。  私たちは、このSOPとそれが憲法修正第1条の権利をどのように保護するのかを一般に知らせる方法を特定することが、司法省とFBIに対する国民の信頼を強化することになると考える。 
NSD, USAOs, and FBI Field Offices Effectively Share Information Regarding Foreign Malign Influence Cases Involving Threats to U.S. Elections  NSD、USAO、FBI各支部は、米国の選挙に対する脅威を伴う海外からの悪質な影響力案件に関する情報を効果的に共有している。 
We found effective coordination within and among the three DOJ components tasked with sharing information regarding foreign malign influence directed at U.S. elections.  Within DOJ, coordination on foreign malign influence directed at U.S. elections occurs at both a strategic case management level, where decisions about DOJ’s overall approach to combating foreign malign influence are made, and at a case investigative level, where FBI agents, Assistant U.S. Attorneys, and NSD attorneys coordinate weekly on the investigation and prosecution of individual cases.  Officials we spoke to at each of the three DOJ components expressed positive views about their information-sharing relationships within DOJ pertaining to foreign malign influence directed at U.S. elections.  われわれは、米国の選挙に向けられた外国の悪意ある影響に関する情報を共有することを任務とする司法省の3部門内および部門間で、効果的な調整が行われていることを発見した。  司法省内では、米国の選挙に向けられた外国の悪質な影響力に関する調整は、外国の悪質な影響力と闘うための司法省の全体的なアプローチについて決定する戦略的な事件管理レベルと、FBI捜査官、連邦検事補、NSD弁護士が個々の事件の捜査と起訴について毎週調整する事件捜査レベルの両方で行われている。  われわれが話を聞いた司法省の3部局の職員は、米国の選挙に向けられた外国の悪質な影響力に関する司法省内の情報共有関係について、肯定的な見解を示した。 

 

目次...

EXECUTIVE SUMMARY 要旨
Table of Contents 目次
Introduction はじめに
Background 背景
Purpose and Scope of the OIG Evaluation OIG評価の目的と範囲
Results of the Evaluation 評価結果
The Department Previously Lacked Guidance for Certain Types of Engagement with Social Media Companies 同省は以前、ソーシャル メディア企業との特定のタイプの関わり方に関するガイダンスを欠いていた。
NSD, USAOs, and FBI Field Offices Effectively Share Information Regarding Foreign Malign Influence Cases Involving Threats to U.S. Elections NSD、USAO、FBIの各支部は、米国の選挙に対する脅威を伴う外国の悪質な インフルエンス事件に関する情報を効果的に共有している。
Conclusion and Recommendations 結論と勧告
Conclusion 結論
Recommendations 勧告
Appendix 1:  Purpose, Scope, and Methodology 附属書1:目的、範囲、方法論
Standards 規格
Purpose and Scope 目的と範囲
Methodology 方法論
Appendix 2:  The Mission, Structure, and Development of the Foreign Influence Task Force and the Role of the FBI’s Cyber Division 附属書 2:  対外影響タスクフォースの任務、構造、発展、およびFBIサイバー課の役割
The Mission and Structure of the Foreign Influence Task Force 対外影響タスクフォースの使命と構造
Additional Background on the FITF’s Development FITF設立の背景
The Role of the FBI’s Cyber Division in the FITF FITFにおけるFBIサイバー部門の役割
Appendix 3:  Databases and Systems Available to the FBI for Sharing Information 附属書3:FBIが情報を共有するために利用できるデータベースとシステム
FBI Official System of Record FBI公式記録システム
Methods for Sharing Information with Nonfederal Entities 連邦機関以外との情報共有方法
Methods for Sharing Information within the U.S. Government 米国政府内の情報共有方法
Method for Receiving Information from the General Public 一般からの情報受信方法
Appendix 4:  Overview of DOJ’s Mission to Counter Election Crimes 附属書4:  選挙犯罪に対抗する司法省の任務の概要
Appendix 5:  DOJ’s Election-Related Information Sharing with Other Federal Agencies and State Government Officials 附属書5:司法省による他の連邦政府機関および州政府関係者との選挙関連情報共有
Coordination with the Department of Homeland Security 国土安全保障省との調整
Coordination with Other Federal Agencies 他の連邦政府機関との調整
Coordination with State Government Officials 州政府関係者との調整
Appendix 6:  Descriptions of Laws and Policies Relevant to DOJ’s Mission to Counter Foreign Malign Influence 附属書6.  外国の悪質な影響に対抗する司法省の使命に関連する法律と政策の説明
First Amendment to the U.S. Constitution 合衆国憲法修正第1条
Statutes 法令
Executive Order 大統領令
Department of Justice Policies 司法省の方針
FBI Policies FBIの方針
Appendix 7:  The Department’s Response to the Draft Report 附属書7:報告書草案に対する同省の回答
Appendix 8:  OIG Analysis of the Department’s Response 附属書8:同局の回答に対するOIGの分析

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

 

一般セキュリティ

・2024.07.25 米国 司法省監察官室 米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための司法省の取り組みの評価

・2024.07.09 米国 CISA 選挙関係者のための運用セキュリティガイド

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2023.12.12 カナダ サイバーセキュリティセンター 選挙に対するサイバー脅威、政治家候補へのサイバーセキュリティ・アドバイス他

・2023.11.23 ENISA 2024年のEU議会議員選挙に向けたサイバー演習

・2023.08.25 シンガポール CSR 大統領選に向け立候補者、有権者、それぞれに向けてサイバー関連の注意喚起

 

電子投票システムの保護

・2024.02.29 米国 IC3 電子投票の交付、マーク付け、返送に関するリスクマネジメント (2024.02.14)

・2022.06.15 ドイツ BSI Security in focus - BSI Magazine 2021-02 はオンライン選挙をテーマにしていますね。。。 (2022.05.31)

 

偽情報を含む情報操作対策

・2024.06.07 欧州議会 欧州議会選挙に対する偽情報に対する準備は整った(選挙期間中)

・2024.06.02 欧州会計監査院がEU選挙を控えているので偽情報とサイバーセキュリティには気をつけろといってますね...

・2024.04.22 米国 CISA FBI ODNI 外国の悪質な影響力工作の手口から選挙インフラを守るためのガイダンス

・2024.04.14 米国 EPIC他 テック・プラットフォーマーにAIによる選挙偽情報に対抗するように要請

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.08.07 米国 MITRE グローバル民主主義への脅威

・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ(52大学から56チームが参加)

| | Comments (0)

米国国立科学財団 AI技術の安全・安心を推進する新たなAIテストベッド構想

こんにちは、丸山満彦です。

米国国立科学財団が、AI技術の安全・安心を推進する新たなAIテストベッド構想を発表していますね...

このイニシアチブは、2023年10月に署名された「人工知能の安全、安心、信頼できる開発と使用」に関する大統領令14410に沿ったもので、安全、安心、信頼の配慮を優先したAI開発のための強固なエコシステムを構築することが重要ということのようですね...

で、AI-Ready Test Bedsをつくるということのようです...

静的データによるAIシステムの構築はよく理解されているが、リアルタイム・ストリーミング・データや予測困難な時空間特性を持つデータなど、継続的に変化する動的データに基づいてAIシステムを構築したり進化させたりすることはこれから重要となりそうということのようです...

ということで、このテストベッドは、個人やコミュニティへの危害を含む社会的影響を研究する能力を研究者に提供し、セキュリティ、安全性、プライバシー、公平性に関連するさまざまなリスクを評価し、確立されたAIリスク管理フレームワークに従って利害関係者がAIシステムを効果的に展開するのを支援し、さまざまなレッド・チーミング技術を実験・開発し、その有効性を評価することを目的とする「リビング・ラボ」モデルを取り入れるようです...

このテストベッドで革新的な AI の大規模かつリアルタイムでの実世界テストを可能にしながら、研究者が現在アプリケーション領域に入る際に遭遇するコストを下げ、コミュニケーションの障壁を減らすためのインフラを提供することを想定している...

日本で先端にいる人たちは、米国がこれからやろうとしていることは理解していると思いますが、そんな米国も中国に追いつけ?という感じで、頑張っているのでしょうしね...日本の場合は、周囲の理解も含め、予算や人材の面でも苦労があるのかもしれませんね...

 

U.S. National Science Fundation

1_20240724225101

プレス...

・2024.07.23 NSF announces new AI test beds initiative to advance safety and security of AI technologies

NSF announces new AI test beds initiative to advance safety and security of AI technologies 米国立科学財団(NSF)は、AI技術の安全性とセキュリティを向上させるための新たなAIテストベッド構想を発表した。
The U.S. National Science Foundation announces the launch of a new initiative that will invest in the development of artificial intelligence-ready test beds, a critical infrastructure designed to propel responsible AI research and innovation forward. These test beds, or platforms, will allow researchers to study new AI methods and systems in secure, real-world settings. The initiative calls for planning grants from the research community to accelerate the development of the test beds.  米国国立科学財団(NSF)は、責任あるAI研究とイノベーションを推進するための重要なインフラである人工知能テストベッドの開発に投資する新たなイニシアチブの開始を発表した。これらのテストベッド(プラットフォーム)により、研究者は安全な実環境で新しいAI手法やシステムを研究できるようになる。このイニシアチブでは、テストベッドの開発を加速させるために、研究コミュニティからの計画助成金を求めている。
The initiative is aligned with Executive Order 14410 on the "Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence," signed in October 2023, underscoring the importance of creating a robust ecosystem for AI development that prioritizes safety, security and trustworthy considerations. The executive order emphasizes the extraordinary potential of AI to address urgent societal challenges while also highlighting the risks associated with possible irresponsible use. Recognizing this dual potential, NSF's AI-ready test beds initiative is set to enhance and advance the essential infrastructure needed for researchers to develop, test and refine responsible AI systems in real-world settings.  このイニシアチブは、2023年10月に署名された「人工知能の安全、安心、信頼できる開発と利用」に関する大統領令14410に沿ったもので、安全、安心、信頼を優先したAI開発のための強固なエコシステムを構築することの重要性を強調している。大統領令は、緊急の社会的課題に対処するためのAIの並外れた可能性を強調する一方で、無責任な使用に伴うリスクも強調している。この2つの可能性を認識し、NSFのAI-ready test bedsイニシアチブは、研究者が実社会で責任あるAIシステムを開発し、テストし、改良するために必要不可欠なインフラを強化・発展させることを目的としている。
"Artificial intelligence holds incredible promise for advancing numerous fields, but its development must be guided by rigorous testing and evaluation in applications that involve decisions about, or contact with, people in the real world," said NSF Director Sethuraman Panchanathan. "With this initiative, NSF is demonstrating its commitment to innovate in AI and also ensure that those innovations are safe, secure and beneficial to society and our economy." 「NSFのセスラマン・パンチャナサン所長は、「人工知能は、多くの分野を発展させる素晴らしい可能性を秘めているが、その開発は、現実世界の人々に関する意思決定や人々との接触を伴うアプリケーションにおける厳密なテストと評価によって導かれなければならない。「このイニシアチブにより、NSFはAIの革新へのコミットメントを示すとともに、それらの革新が安全、安心で、社会と経済に有益なものであることを保証する」と述べた。
AI-ready test beds create an environment where AI researchers can deploy and assess the impact of their work and study the societal and economic impacts of AI-powered solutions, including various risks related to security, safety, privacy and fairness. For example, an AI-ready test bed may enable a researcher to evaluate a new AI solution for decision-making in a transportation scenario, or a test bed could allow an AI researcher to create new weather models and visualizations and assess them with meteorologists in the field. The infrastructure allows the researcher to innovate safely and collect real-world evidence that is beneficial to the intended users.  AI-readyテストベッドは、AI研究者が彼らの研究の影響を展開・評価し、セキュリティ、安全性、プライバシー、公平性に関連する様々なリスクを含め、AIを活用したソリューションの社会的・経済的影響を研究できる環境を構築する。例えば、AI対応テストベッドによって、研究者は交通シナリオにおける意思決定のための新しいAIソリューションを評価することができるかもしれないし、テストベッドによって、AI研究者は新しい気象モデルと可視化を作成し、現場の気象学者とともに評価することができるかもしれない。このインフラによって、研究者は安全にイノベーションを起こし、想定されるユーザーにとって有益な実世界の証拠を収集することができる。
Projects funded by the initiative will lay the framework for providing researchers with scalable, real-world environments to test novel AI methods and their impacts. These test beds will support interdisciplinary collaborations, bringing together private AI laboratories, academia, civil society and third-party evaluators to support the design, development and deployment of AI systems, including associated privacy-enhancing technologies. このイニシアティブが資金提供するプロジェクトは、新しいAI手法とその影響をテストするためのスケーラブルな実環境を研究者に提供するための枠組みを構築する。これらのテストベッドは学際的なコラボレーションを支援し、民間のAI研究所、学界、市民社会、サードパーティ評価者を集め、関連するプライバシー強化技術を含むAIシステムの設計、開発、導入を支援する。
The initiative will offer planning grants to cultivate research teams that actively address the expansion or enhancement of an existing test bed to evaluate the impact on and interaction with users of novel AI methods. These grants will facilitate the collection of preliminary data, team formation, design efforts and the development of governance and management plans for scalable AI-ready test beds. このイニシアチブでは、新しいAI手法のユーザーへの影響やユーザーとの相互作用を評価するために、既存のテストベッドの拡張や強化に積極的に取り組む研究チームを育成するための計画助成金を提供する。これらの助成金は、予備データの収集、チーム編成、設計作業、拡張可能なAI対応テストベッドのガバナンスと管理計画の策定を促進する。
NSF encourages proposal submissions from institutions in the Established Program to Stimulate Competitive Research (EPSCoR) jurisdictions and collaborative proposals led by NSF EPSCoR institutions. This approach aims to engage a wide array of perspectives and scientific talent in addressing national AI research challenges and opportunities. NSFは、EPSCoR(Established Program to Stimulate Competitive Research:競争的研究促進プログラム)管轄内の機構からの提案や、NSFのEPSCoR機関が主導する共同提案の提出を奨励している。このアプローチは、国家的なAI研究の課題と機会への取り組みに、幅広い視点と科学的才能を参加させることを目的としている。

 

レター...

・2024.07.19 Dear Colleague Letter: Planning Grants to Create Artificial Intelligence (AI)-Ready Test Beds

Dear Colleague Letter: Planning Grants to Create Artificial Intelligence (AI)-Ready Test Beds 親愛なる同僚の手紙 人工知能(AI)に対応したテストベッドを作るための補助金計画
19-Jul-24 2024年7月19日
Dear Colleagues: 親愛なる同僚の皆様
The U.S. National Science Foundation's (NSF) Directorates for Computer and Information Science and Engineering (CISE) and Technology, Innovation and Partnerships (TIP) are seeking new approaches to develop and evaluate novel artificial intelligence (AI) methods in real-world settings. Too often new AI systems are deployed before the interactions with and impacts on users can be fully evaluated or understood. Often, when AI is evaluated, it is with an inadequate number of samples that do not scale or generalize beyond a limited number of use cases. 米国国立科学財団(NSF)のコンピュータ・情報科学・工学(CISE)部門と技術・イノベーション・パートナ ーシップ(TIP)部門は、新しい人工知能(AI)手法を開発し、実環境で評価するための新しいアプローチを模索している。新しいAIシステムは、ユーザーとの相互作用やユーザーへの影響が十分に評価・理解される前に導入されることがあまりにも多い。また、AIが評価される場合、サンプル数が不十分で、限られたユースケースを超えるスケールや一般化ができないことも多い。
This Dear Colleague Letter (DCL) seeks to address these limitations by encouraging the community to pursue Planning Grants designed to develop AI-Ready Test Beds that can be used by researchers to test novel AI methods in potential real-world application scenarios. Because of the current limits in scalability and scope, the AI community is encouraged to expand existing test beds and infrastructure to make them AI-ready and appropriate for use in evaluating the impact and effect of AI tools and systems on users. To do this, proposers are encouraged to create teams of researchers who have expertise in AI as well as domain experts and staff managing existing test beds. Existing test beds and infrastructure can be found in a range of settings, including, but not limited to: NSF-funded centers (e.g., Engineering Research Centers) and facilities, infrastructure funded by other federal agencies (e.g., Department of Energy, National Institute of Standards and Technology, National Oceanic and Atmospheric Administration, Department of Homeland Security, Department of Transportation, etc. or at [web]), state agencies (e.g., [web]) and industry. These Planning Grants will support costs associated with the formation of teams, the planning of the desired or envisioned AI-Ready infrastructure, the collection of preliminary pilot data and creation of governance and management plans for scalable AI-Ready Test Beds. この親愛なる同僚への手紙(DCL)は、このような限界に対処するため、研究者が新しいAI手法を実世界の潜在的な応用シナリオでテストするために使用できるAI-Ready Test Bedsを開発することを目的とした計画補助金を追求することをコミュニティに奨励している。現状では拡張性や適用範囲に限界があるため、AIコミュニティは、既存のテストベッドやインフラを拡張し、AIに対応できるようにし、AIツールやシステムがユーザーに与える影響や効果を評価するために使用するのに適したものにすることが奨励されている。そのためには、提案者は、AIの専門知識を持つ研究者、ドメインの専門家、既存のテストベッドを管理するスタッフからなるチームを作ることが推奨される。既存のテストベッドやインフラは、以下を含むがこれに限定されない様々な環境で見つけることができる: NSFが資金提供するセンター(工学研究センターなど)や施設、他の連邦機関(エネルギー省、国立標準技術研究所、国家海洋大気庁、国土安全保障省、運輸省など、または[web] )が資金提供するインフラ、州機関([web] など)、産業界などである。これらのプランニング・グラントは、チームの結成、望ましい、あるいは想定されるAI-Readyインフラのプランニング、予備的なパイロットデータの収集、スケーラブルなAI-Readyテストベッドのためのガバナンスと管理計画の作成に関連する費用を支援する。
AI-Ready Test Beds are envisioned as comprehensive services that will provide infrastructure to support researchers to bring innovative applications of AI to bear in high-impact settings. The AI-Ready Test Beds will include technical staff and domain experts to guide and enable new researchers to easily connect to the application domains and provide human and technology interfaces that embed with front-line service providers and domain experts. Planning Grant proposers should consider that the targeted AI-Ready Test Beds could include both co-located and remote research teams and that the AI-Ready Test Beds should support multiple and varied use cases, facilitating inter-project collaboration and nexus-building as appropriate. Planning Grant proposers should envision AI-Ready Test Beds that add AI components to test beds that are already suited to use case experimentation, adopter demonstrations, longer baseline validation testing, etc. AI-Readyテストベッドは、研究者が影響力の高い環境でAIの革新的な応用を実現するためのインフラを提供する包括的なサービスとして構想されている。AI-Readyテストベッドには、新しい研究者がアプリケーション・ドメインに容易に接続できるように指導する技術スタッフやドメイン専門家が含まれ、第一線のサービスプロバイダーやドメイン専門家と一体化した人的・技術的インターフェースを提供する。計画補助金の提案者は、対象となるAI-Ready Test Bedsには、共同研究チームと遠隔地の研究チームの両方が含まれる可能性があること、また、AI-Ready Test Bedsは、複数の多様なユースケースをサポートし、適宜、プロジェクト間のコラボレーションやネクサス構築を促進する必要があることを考慮すべきである。計画補助金の提案者は、AI-Ready Test Beds を、ユースケースの実験、採用者のデモンストレーション、より長いベースラインの検証テストなどに既に適しているテストベッドに AI コンポーネントを追加することを想定すべきである。
While building AI systems with static data is well-understood, building them or evolving them based on continuously changing or dynamic data, including real-time streaming data and data with significant spatio-temporal characteristics that are difficult to predict, is a significant issue. Hence, AI-Ready Test Beds should embrace a "living lab" model that aims to provide researchers with the ability to study societal impacts including harms to individuals and communities; assess various risks related to security, safety, privacy and fairness, and help stakeholders effectively deploy AI systems following well-established AI risk management frameworks; and experiment with and develop various red-teaming techniques as well as evaluate their effectiveness. AI-Ready Test Beds are envisioned to provide the infrastructure to lower the costs and reduce the communication barriers that researchers currently encounter upon entering an application domain, while allowing real-world tests of innovative AI at scale and in real time. 静的データによるAIシステムの構築はよく理解されているが、リアルタイム・ストリーミング・データや予測困難な時空間特性を持つデータなど、継続的に変化する動的データに基づいてAIシステムを構築したり進化させたりすることは重要な問題である。したがって、AI-Ready Test Bedsは、個人やコミュニティへの危害を含む社会的影響を研究する能力を研究者に提供し、セキュリティ・安全性・プライバシー・公平性に関連する様々なリスクをアセスメントし、確立されたAIリスクマネジメントフレームワークに従ってステークホルダーがAIシステムを効果的に展開するのを支援し、様々なレッドチーム技術を実験・開発し、その有効性を評価することを目的とした「リビングラボ」モデルを採用すべきである。AI-Readyテストベッドは、研究者がアプリケーション領域に参入する際に現在遭遇するコストを下げ、コミュニケーションの障壁を軽減するためのインフラを提供する一方で、革新的なAIの実環境テストを大規模かつリアルタイムで可能にすることを想定している。
Funding is available for Planning Grants in Fiscal Year (FY) 2025 to provide support to teams so that they may later submit a full proposal for an AI-Ready Test Bed. 2025会計年度には、AI-Ready Test Bedの正式な提案書を提出できるよう、チームを支援するための計画補助金を提供するための資金が用意されている。
BACKGROUND 背景
This initiative is responsive to the Executive Order (EO) on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence (the AI EO, October 2023), which states, "Artificial intelligence (AI) holds extraordinary potential for both promise and peril. Responsible AI use has the potential to help solve urgent challenges while making our world more prosperous, productive, innovative, and secure. At the same time, irresponsible use could exacerbate societal harms such as fraud, discrimination, bias, and disinformation; displace and dis-empower workers; stifle competition; and pose risks to national security." このイニシアチブは、AIの安全、確実、信頼できる開発と使用に関する大統領令(EO)に対応するものである。この大統領令は、人工知能(AI EO、2023年10月)は、「人工知能(AI)は、将来性と危険性の両面において、並外れた可能性を秘めている。責任あるAIの利用は、我々の世界をより豊かで、生産的で、革新的で、安全なものにすると同時に、緊急の課題の解決に役立つ可能性を秘めている。同時に、無責任な使用は、詐欺、識別的バイアス、偽情報などの社会的危害を悪化させ、労働者を置き去りにし、力を失わせ、競争を阻害し、国家安全保障にリスクをもたらす可能性がある」。
Thus, to enhance the value and responsible use of AI, it is imperative to foster a healthy infrastructure ecosystem for evaluating novel AI methods, including how these systems interact with and impact their human users. NSF has long funded research and development in AI and in infrastructure for developing novel computational methods. The AI EO tasks NSF to expand on these efforts, to "ensure the availability of testing environments, such as test beds, to support the development of safe, secure, and trustworthy AI technologies." Through this DCL, NSF is providing funding for Planning Grants that support the science and engineering community to generate plans to enhance and expand existing test beds and infrastructure to make them "AI-ready" to support multi- and interdisciplinary research collaborations to test novel AI methods in real-time and real-world scenarios. To do this, Planning Grants should bring together teams of researchers who have expertise in AI with domain experts and staff managing existing test beds and testing infrastructure. したがって、AIの価値と責任ある利用を強化するためには、これらのシステムが人間のユーザーとどのように相互作用し、どのような影響を与えるかを含め、新しいAI手法を評価するための健全なインフラ・エコシステムを育成することが不可欠である。NSFは長い間、AIの研究開発と、新しい計算手法を開発するためのインフラに資金を提供してきた。AI EOは、NSFにこれらの取り組みを拡大し、"安全、安心、信頼できるAI技術の開発を支援するため、テストベッドなどのテスト環境の利用可能性を確保する "ことを求めている。このDCLを通じて、NSFは科学・工学コミュニティが既存のテストベッドやインフラを強化・拡張し、リアルタイムかつ実世界のシナリオで新しいAI手法をテストするための複数・学際的研究協力を支援する「AI対応」にするための計画を生成するのを支援する計画補助金に資金を提供する。そのためには、AIに精通した研究者チームと、既存のテストベッドやテストインフラを管理する専門家やスタッフを、計画補助金によって結びつける必要がある。
DESCRIPTION OF THE OPPORTUNITY 機会の説明
Planning Grants funded through this DCL are expected to cultivate research teams that actively address the expansion or enhancement of an existing test bed to evaluate the impact on and interaction with users of novel AI methods. Proposers supported through this DCL may use the funding to organize activities that help stimulate the formation of AI-Ready Test Bed teams [in terms of Principal Investigator (PI), co-PI, Senior/Key Personnel, and organization type] and crystalize the ideas and research plans to be presented in a future AI-Ready Test Bed proposal. 本DCLを通じて資金提供される計画グラントでは、新しいAI手法のユーザーへの影響やユーザーとの相互作用を評価するために、既存のテストベッドの拡張や強化に積極的に取り組む研究チームを育成することが期待される。このDCLを通じて支援される提案者は、AI-Ready Test Bedチーム(主任研究者(PI)、共同研究者(Co-PI)、シニア/キーパーソン、組織タイプ)の形成を刺激し、将来のAI-Ready Test Bed提案書に提示するアイデアや研究計画を具体化する活動を組織するために資金を利用することができる。
Examples of application domains cover all major areas, such as: urban and regional transportation networks; telecommunications networks; power grid control; development, monitoring, maintenance, and repair of urban infrastructure; multi-level healthcare delivery systems: criminal justice system; human and social services requiring coordination across several city or community offices; allocation of public services; public safety; automated farming and food distribution; autonomous scientific laboratories; and manufacturing including the industrial Internet of Things (IIOT), materials and labor pipelines, warehousing, and distribution. 例えば、都市・地域交通ネットワーク、電気通信ネットワーク、電力網制御、都市インフラの開発・監視・保守・修理、マルチレベル医療提供システム、刑事司法システム、複数の市役所やコミュニティ事務所にまたがる調整を必要とする人的・社会的サービス、公共サービスの割り当て、公共安全、自動農業・食品流通、自律型科学研究所、モノのインターネット(IIOT)、資材・労働パイプライン、倉庫管理、流通を含む製造事業者などである。
Given the complexity of an AI-Ready Test Bed, NSF recognizes that many teams will identify important research priorities but may not have the full complement of skills needed to effectively address the challenge. The Planning Grant can be used to support team-formation activities that create opportunities for the development of partnerships between researchers, organizations and existing test beds or infrastructure that are bi-directional and mutually beneficial, thus engaging a wide array of perspectives and scientific talent to address the national needs and grand challenges presented in AI. AI-Readyテストベッドの複雑さを考慮すると、NSFは、多くのチームが重要な研究の優先順位を特定するものの、課題に効果的に取り組むために必要なスキルを完全に備えていない可能性があることを認識している。計画助成金は、研究者、組織、既存のテストベッドやインフラストラクチャーとの間で、双方向かつ相互に有益なパートナーシップを構築する機会を創出するチーム形成活動を支援するために使用することができる。
NSF seeks to broaden geographic and demographic participation in research programs. To that end, proposal submissions from organizations in Established Program to Stimulate Competitive Research (EPSCoR) jurisdictions ([web]) are encouraged. Collaborative proposals led by an organization in an EPSCoR jurisdiction with subaward(s) to organization(s) in non-EPSCoR jurisdictions are also particularly welcomed. NSFは、研究プログラムへの地理的、人口統計学的参加の拡大を目指す。そのため、EPSCoR(Established Program to Stimulate Competitive Research:競争的研究促進プログラム)の管轄地域([web])にある組織からの提案提出が奨励される。また、EPSCoR管轄区域内の組織が主導し、EPSCoR管轄区域外の組織に副助成を与える共同提案も特に歓迎される。
AWARD SIZE AND DURATION 賞の規模と期間
The budget for a planning proposal may be up to $100,000 per year, with total funding requested of up to $200,000 for up to 24 months. 計画提案の予算は、年間10万ドルを上限とし、最長24カ月間で総額20万ドルを上限とする。
PREPARATION AND SUBMISSION INFORMATION 準備と提出に関する情報
To be considered for an AI-Ready Test Bed Planning Grant, planning proposals must be submitted by 5:00 p.m., submitting organization's local time, on November 13, 2024. AI-Readyテストベッド計画補助金の対象となるためには、計画提案書を2024年11月13日午後5時(提出機関の現地時間)までに提出しなければならない。
PIs must submit a Concept Outline to [mail] prior to submission of a planning proposal to aid in determining the appropriateness of the work for consideration under this opportunity. Guidance on Concept Outlines can be found in in Chapter I.D.1 of the NSF Proposal & Award Policies & Procedures Guide (PAPPG). Proposers must include the email from the NSF AI-Ready Test Beds team encouraging submission in the Program Officer Concurrence Email(s) section of the planning proposal. PIは、計画提案書を提出する前に、コンセプト・アウトラインを[mail]  に送付すること。コンセプト・アウトラインに関するガイダンスは、NSF Proposal & Award Policies & Procedures Guide (PAPPG)の第I.D.1章に記載されている。提案者は、NSF AI-Ready Test Beds チームからの提出を促す電子メールを、計画提案書の Program Officer Concurrence Email(s) セクションに含めること。
Planning proposals must be prepared in accordance with the instructions in Chapter II.F.1 of the PAPPG. Per the guidance contained in PAPPG Chapter I.E, eligible proposing organizations include: Institutions of Higher Education, Non-profit, Non-academic Organizations and Tribal Nations. When preparing the planning proposal in Research.gov, proposers should select the PAPPG (NSF 24-1) as the funding opportunity and direct the proposal to the Human-Centered Computing Program, in the Information and Intelligent Systems Division of the CISE Directorate. The "Planning" type of proposal should be selected. The system will automatically insert the prepended title "Planning" and that should be followed by "AI-Ready". Please note that although the PAPPG accepts planning proposals at any time, proposals submitted in response to this DCL must be submitted by 5:00 p.m., submitting organization's local time, on November 13, 2024. 計画提案書は PAPPG の II.F.1 章の指示に従って作成すること。PAPPG第I.E章に記載されているガイダンスによると、適格な提案団体には以下のものが含まれる: PAPPG第I.E章に記載されているガイダンスによると、適格な提案組織には、高等教育機構、非営利、非学術団体、部族国家が含まれる。Research.gov で計画提案書を作成する場合、提案者は資金提供機会として PAPPG (NSF 24-1) を選択し、CISE Directorate の Information and Intelligent Systems Division にある Human-Centered Computing Program に提案書を提出する。提案のタイプは「計画(Planning)」を選択する。システムは自動的に「Planning」という前置きのタイトルを挿入し、その後に「AI-Ready」と続くはずである。PAPPGは企画提案を随時受け付けているが、このDCLに対応する提案は、2024年11月13日午後5時(提出機関の現地時間)までに提出されなければならないことに留意されたい。
Planning proposals do not constitute any commitment on behalf of the PI/co-PI(s) or their organizations to submit a future proposal. Nor does award of a Planning Grant constitute any commitment on behalf of NSF to fund a future AI-Ready Test Bed proposal subsequently submitted by the Planning Grant team. Prospective PIs are encouraged to read this DCL and the PAPPG carefully for planning proposal preparation and submission requirements. 企画提案書は、PI/共同PIまたはその組織を代表して、将来の提案書の提出を確約するものではない。また、計画助成金の授与は、計画助成金チームによって提出された将来のAI-Ready Test Bed提案にNSFが資金を提供することを約束するものでもない。PI候補者は、計画提案の準備と提出要件について、このDCLとPAPPGを注意深く読むことが奨励される。
AI-Ready Test Bed planning proposals may be reviewed internally by NSF staff, reviewed in a panel, reviewed by ad hoc reviewers, or reviewed by any combination of these methods. AI-Readyテストベッド計画提案書は、NSFスタッフによる内部審査、パネル審査、特別審査員による審査、またはこれらの方法の組み合わせにより審査される。
For further information, please contact: [mail]. 詳細については、以下に問い合わせること: [mail]
Sincerely, 敬具
Dr. Gregory Hager, Assistant Director グレゴリー・ヘイガー博士
Directorate for Computer and Information Science and Engineering コンピュータ・情報科学工学部門長
Dr. Erwin Gianchandani, Assistant Director アーウィン・ジャンチャンダニ博士、アシスタント・ディレクター
Directorate for Technology, Innovation and Partnerships 技術・イノベーション・パートナーシップ総局

 

 

 

| | Comments (0)

2024.07.24

米国 CISA インフラ・レジリエンス計画のためのプレイブック (2024.07.17)

こんにちは、丸山満彦です。

米国のCISA (Cybersecurity & Infrastracture Security Agency) といえば、サイバーセキュリティで有名ですが、もう一つの役割がインフラセキュリティです。

ということで、インフラセキュリティの話。

 

CISA

プレス...

・2024.07.17 CISA Releases Playbook for Infrastructure Resilience Planning

CISA Releases Playbook for Infrastructure Resilience PlanningCISA インフラ・レジリエンス計画のためのプレイブックを発表
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) released a companion guide to the Infrastructure Resilience Planning Framework (IRPF), which provides guidance on how local governments and the private sector can work together to plan for the security and resilience of critical infrastructure services in the face of threats. Dubbed the IRPF Playbook, this supplemental manual will assist state, local, tribal, territorial (SLTT) and private sector stakeholders in planning for the security and resilience of infrastructure in their regions
.
サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、インフラ・レジリエンス・プランニング・フレームワーク(IRPF)の付属ガイドを発表した。IRPFプレイブックと呼ばれるこの補足マニュアルは、州、地方、部族、地域(SLTT)、民間セクターの関係者が、それぞれの地域のインフラのセキュリティとレジリエンスを計画する際に役立つ。
The IRPF Playbook lists inputs, processes, and fictional scenarios like a recipe to help users better understand how best to implement the IRPF guidance. By walking through the IRPF’s core resilience concepts, users can identify their objectives and develop an approach that incorporates the appropriate elements of the IRPF into their planning activities. The Playbook also includes a narrative hypothetical illustration of how a community might conduct resilience planning or incorporate infrastructure resilience into existing planning efforts using the IRPF. IRPFプレイブックは、IRPFガイダンスを実施するための最良の方法をユーザーがよりよく理解できるように、インプット、プロセス、架空のシナリオをレシピのように列挙している。IRPFの中核となるレジリエンスの概念を通じて、ユーザーは自分たちの目的を特定し、IRPFの適切な要素を計画活動に組み込むアプローチを開発することができる。プレイブックには、地域社会がどのようにレジリエンス計画を実施するか、あるいは既存の計画策定にIRPFを利用してインフラのレジリエンスを組み込むかについて、物語仕立ての仮想図解も掲載されている。
“Reading through the Playbook process, not only are the IRPF steps articulated with clear inputs and outputs but the additional guidance on resilience concepts will help communities increase their readiness and bounce back quickly after a disaster,” said Dr. David Mussington, CISA Executive Assistant Director for Infrastructure Security. “We anticipate that the IRPF Playbook will address a crucial challenge by not only outlining the IRPF steps but also providing guidance on their practical implementation in disaster preparedness planning.” 「プレイブックのプロセスを読むと、IRPFのステップが明確なインプットとアウトプットとともに示されているだけでなく、レジリエンスの概念に関する追加ガイダンスは、地域社会が災害への備えを強化し、災害後に迅速に立ち直るのに役立つだろう。「IRPFプレイブックは、IRPFのステップを概説するだけでなく、災害準備計画における実践的な実施に関するガイダンスを提供することで、極めて重要な課題に取り組むことができると期待している。
The nation’s capacity to secure its infrastructure and sustain essential community services also depends on SLTT and private sector partners working together to assess and reduce risk to increasingly complex natural and human threats. CISA is releasing the IRPF Playbook to share its expertise with the public and with private sector entities, which have the primary responsibility for planning, investing in, and maintaining multiple water, transportation, health, education and other facilities and recovering essential community services. 国のインフラを確保し、必要不可欠なコミュニティ・サービスを維持する能力も、SLTTと民間セクターのパートナーが協力して、複雑化する自然や人的脅威に対するリスクをアセスメントし、軽減することにかかっている。CISAは、複数の水、交通、保健、教育、その他の施設の計画、投資、維持、および必須コミュニティサービスの回復に主な責任を持つ民間事業体と、一般市民と専門知識を共有するために、IRPFプレイブックを発表する。
The IRPF Playbook can be accessed alongside other resilience planning resources at the Resilience Planning Program webpage. IRPFプレイブックは、レジリエンス・プランニング・プログラムのウェブページから、他のレジリエンス・プランニングのリソースとともにアクセスすることができる。

 

Infrastructure Resilience Planning Framework (IRPF) Playbook

Infrastructure Resilience Planning Framework (IRPF) Playbook インフラ・レジリエンス計画フレームワーク(IRPF)プレイブック
An IRPF Instruction Set IRPFインストラクションセット
The IRPF Playbook is a supplementary, how-to guide to assist critical infrastructure stakeholders in executing IRPF guidance to incorporate infrastructure resilience into planning so that communities can become more secure and resilient in the face of multiple threats and changes. Designed as a companion to the main IRPF, this Playbook offers users concise instruction and highlights useful resources for accomplishing key actions within each of the five steps for planning for infrastructure resilience and security. The Playbook also provides a narrative hypothetical illustration of how a community might conduct planning using the various steps of the IRPF. IRPFプレイブックは、重要インフラ関係者がIRPFガイダンスを実行し、インフラのレジリエンスを計画に取り入れることで、コミュニティが複数の脅威や変化に直面しても、より安全でレジリエンスに富んだものになるよう支援するための補助的なハウツーガイドである。このプレイブックは、IRPF本編に付随するものとして設計されており、インフラのレジリエンスとセキュリティのための計画立案のための5つのステップのそれぞれにおいて、重要な行動を達成するための簡潔な説明と有用なリソースの紹介を行っている。また、このプレイブックは、地域社会がIRPFの様々なステップを利用してどのように計画立案を行うかを、ストーリー仕立てで仮想的に示している。
The IRPF Playbook is voluntary and does not: constitute any regulations, define mandatory practices, provide a checklist for compliance or carry statutory authority. It is intended to be a set of guidelines, best practices, and awareness to planning resources. IRPFプレイブックは自主的なものであり、いかなる規制を構成するものでも、強制的な慣行を定義するものでも、遵守のためのチェックリストを提供するものでも、法的権限を持つものでもない。IRPFプレイブックは、ガイドライン、ベストプラクティス、プランニングのためのリソースに関する情報を提供することを目的としている。
The IRPF Playbook can be used by anyone with interest in applying the IRPF; however, intended users include:  IRPFプレイブックは、IRPFの適用に関心のある人であれば誰でも利用することができる: 
・State, local, tribal, and territorial government planners ・州、地方、部族、地域政府のプランナー
・Regional planning and development organizations ・地域計画・開発組織
・Multi-jurisdiction or multi-sector collaborative groups ・複数管轄区域または複数セクターの共同グループ
・Planning assistance providers  ・計画支援プロバイダ 
Please send questions or feedback to [mail]. ご質問やご意見は、[mail]

 

・[PDF] IRPF-Playbook-07-17-2024.pdf

20240724-90712

 

IRPF PLAYBOOK OVERVIEW IRPFプレーブックの概要
STEP 1: LAY THE FOUNDATION ステップ1:基礎を固める
STEP 2: IDENTIFY CRITICAL INFRASTRUCTURE ステップ2:重要インフラの識別
STEP 3: ASSESS RISK ステップ3:リスクアセスメント
STEP 4: DEVELOP ACTIONS ステップ4:対策を立てる
STEP 5: IMPLEMENT & EVALUATE ステップ5:実施と評価
APPENDIX A. FOUNDATIONAL INFRASTRUCTURE RESILIENCE CONCEPTS 附属書 A. インフラのレジリエンスの基本概念
APPENDIX B. GRAPHICS SHOWING INTEGRATION INTO SELECT PLANS 附属書 B. 選択された計画への統合を示す図
APPENDIX C. AFFILIATED RESOURCES & TEMPLATES 附属書 C. 提携リソースとテンプレート

 

 

 


レジリエンス・プランニング・プログラム...

Resilience Planning Program

Resilience Planning Program レジリエンス計画プログラム
Collaborating with infrastructure stakeholders at all levels to create solutions that enhance critical infrastructure security and resilience. あらゆるレベルのインフラ関係者と協力し、重要インフラの安全性とレジリエンスを高める解決策を生み出す。
The Resilience Planning Program works with federal, state, local, tribal, and territorial government officials and infrastructure owners and operators to plan, design, and implement solutions that enhance the security and resilience of critical infrastructure against a variety of threats. レジリエンス・プランニング・プログラムは、連邦政府、州政府、地方政府、部族政府、準州政府、インフラ所有者・運営者と協力して、さまざまな脅威に対する重要インフラのセキュリティとレジリエンスを強化するソリューションを計画、設計、実施する。
Overview 概要
The Resilience Planning Program offers an interdisciplinary and partnership-based approach that incorporates resilience strategies and policies into all phases of critical infrastructure planning, design, construction, and maintenance. This holistic approach helps public and private owners and operators, and state, local, tribal, and territorial planners and policy makers effectively prioritize and integrate resilience measures into policies, plans, designs, and operational procedures.   レジリエンス計画プログラムは、重要インフラの計画、設計、建設、保守のすべての段階にレジリエンス戦略と政策を組み込む学際的かつパートナーシップに基づくアプローチを提供する。この総合的なアプローチは、公共・民間の所有者・事業者、州・地方・部族・地域の計画立案者・政策立案者が、レジリエンス対策に効果的に優先順位をつけ、政策・計画・設計・運用手順に組み込むのを支援する。 
Infrastructure Resilience Planning Framework (IRPF) インフラ・レジリエンス計画フレームワーク(IRPF)
The Infrastructure Resilience Planning Framework (IRPF) is comprehensive, step-by-step planning guidance to inform long-term planning and investment decisions. The IRPF encourages partnering with local governments, planners, and the private sector to enhance the understanding of and planning for infrastructure resilience. インフラ・レジリエンス計画フレームワーク(IRPF)は、長期的な計画と投資の意思決定に情報を提供するための、包括的で段階的な計画ガイダンスである。IRPFは、地方自治体、プランナー、民間セクターとのパートナーシップを奨励し、インフラのレジリエンスに対する理解と計画の強化を図っている。

 

 

・2024.03.25 Infrastructure Resilience Planning Framework (IRPF)

Infrastructure Resilience Planning Framework (IRPF) インフラ・レジリエンス計画フレームワーク(IRPF)
The Infrastructure Resilience Planning Framework (IRPF) provides a process and series of resources for incorporating critical infrastructure resilience considerations into planning activities. インフラ・レジリエンス計画フレームワーク(IRPF)は、重要インフラのレジリエンスへの配慮を計画活動に組み込むためのプロセスと一連のリソースを提供する。
CISA developed the Infrastructure Resilience Planning Framework (IRPF) to provide an approach for localities, regions, and the private sector to work together to plan for the security and resilience of critical infrastructure services in the face of multiple threats and changes. The primary audience for the IRPF is state, local, tribal, and territorial governments and associated regional organizations; however, the IRPF can be flexibly used by any organization seeking to enhance their resilience planning. It provides resources for integrating critical infrastructure into planning as well as a framework for working regionally and across systems and jurisdictions. CISAは、複数の脅威や変化に直面する重要インフラサービスのセキュリティとレジリエンスを計画するために、自治体、地域、民間セクターが協力するためのアプローチを提供するために、インフラ・レジリエンス計画フレームワーク(IRPF)を開発した。IRPFの主な対象者は、州、地方、部族、および準州政府と関連する地域組織であるが、IRPFは、レジリエンス計画の強化を目指すあらゆる組織が柔軟に利用することができる。IRPFは、重要インフラを計画に統合するためのリソースを提供するとともに、地域的に、また制度や管轄区域を超えて活動するための枠組みを提供する。
This framework provides methods and resources to address critical infrastructure security and resilience through planning, by helping communities and regions: このフレームワークは、計画を通じて重要インフラのセキュリティとレジリエンスに取り組むための手法とリソースを提供し、地域社会と地域を支援する:
Understand and communicate how infrastructure resilience contributes to community resilience インフラのレジリエンスが地域のレジリエンスにどのように寄与するかを理解し、コミュニケーションする。
Identify how threats and hazards might impact the normal functioning of community infrastructure and delivery of services 脅威やハザードが地域社会のインフラの正常な機能やサービスの提供にどのような影響を及ぼすかを特定する。
Prepare governments, owners and operators to withstand and adapt to evolving threats and hazards 政府、所有者、事業者が、進化する脅威や危険に耐え、適応できるよう準備する。
Integrate infrastructure security and resilience considerations, including the impacts of dependencies and cascading disruptions, into planning and investment decisions 依存関係や連鎖的な途絶の影響など、イン フラのセキュリティとレジリエンスに関する 考慮を、計画や投資の意思決定に組み 込む。
Recover quickly from disruptions to the normal functioning of community and regional infrastructure コミュニティや地域のインフラの正常な機能の障害から迅速に回復する。

 

 

・[PDF] Infrastructure Resilience Planning Framework (IRPF) v1.2

 

20240724-91629

 

 

・[PDF] Infrastructure Resilience Planning Framework Fact Sheet

20240724-91517

 

| | Comments (0)

米国 NIST SP 800-233(初期公開ドラフト) クラウドネイティブアプリケーションのサービスメッシュプロキシモデル (2024.07.19)

こんにちは、丸山満彦です。

NISTが、クラウドネイティブアプリケーションのサービスメッシュプロキシモデルについての初期公開ドラフトを公表し、意見募集をしていますね...

これからはこっちですかね...

 

NIST - ITL

・2024.07.19 NIST SP 800-233 (Initial Public Draft) Service Mesh Proxy Models for Cloud-Native Applications

 

NIST SP 800-233 (Initial Public Draft) Service Mesh Proxy Models for Cloud-Native Applications NIST SP 800-233(初期公開ドラフト) クラウドネイティブアプリケーションのサービスメッシュプロキシモデル
Announcement 発表
The service mesh has become the de facto application services infrastructure for cloud-native applications. It enables an application’s runtime functions (e.g., network connectivity, access control, etc.) through proxies that form the data plane of the service mesh. Different proxy models or data plane architectures have emerged, depending on the distribution of the network layer functions (i.e., L4 and L7) and the granularity of association of the proxies to individual services/computing nodes. サービスメッシュは、クラウドネイティブ・アプリケーションのための事実上のアプリケーション・サービス・インフラとなっている。サービスメッシュは、サービスメッシュのデータプレーンを形成するプロキシを通じて、アプリケーションのランタイム機能(ネットワーク接続、アクセス管理など)を実現する。ネットワークレイヤー機能(L4とL7)の配分と、個々のサービス/コンピューティングノードへのプロキシの関連付けの粒度に応じて、異なるプロキシモデルやデータプレーンアーキテクチャが出現している。
The purposes of this document are two-fold: この文書の目的は2つある:
Develop a threat profile for each of the data plane architectures by considering a set of potential threats to various proxy functions and assign scores to the impacts and likelihoods of their exploits. 様々なプロキシ機能に対する潜在的な脅威のセットを考慮することによって、 各データプレーンアーキテクチャの脅威プロファイルを作成し、その悪用の 影響と可能性にスコアを割り当てる。
Analyze the service mesh capabilities that are required for each class of cloud-native applications with different risk profiles (i.e., low, medium, and high) and provide recommendations for the data plane architectures or proxy models that are appropriate and applicable for each class. 異なるリスクプロファイル(低、中、高)を持つクラウドネイティブアプリケーションの各クラスに必要なサービスメッシュ機能を分析し、各クラスに適切で適用可能なデータプレーンアーキテクチャまたはプロキシモデルの推奨を提供する。
Abstract 概要
The service mesh has become the de-facto application services infrastructure for cloud-native applications. It enables the various runtime functions (network connectivity, access control etc.) of an application through proxies which thus form the data plane of the service mesh. Depending upon the distribution of the network layer functions (L4 & L7) and the granularity of association of the proxies to individual services/computing nodes, different proxy models or data plane architectures have emerged. The purpose of this document is to develop a threat profile for each of the data plane architectures through a detailed threat analysis in order to make recommendations for their applicability (usage) for cloud-native applications with different security risk profiles. サービスメッシュは、クラウドネイティブアプリケーションの事実上のアプリケーションサービスインフラとなっている。サービスメッシュは、サービスメッシュのデータプレーンを形成するプロキシを通じて、アプリケーションの様々な実行時機能(ネットワーク接続、アクセス管理など)を実現する。ネットワークレイヤー機能(L4とL7)の配分と、個々のサービス/コンピューティングノードへのプロキシの関連付けの粒度に応じて、異なるプロキシモデルやデータプレーンアーキテクチャが出現している。この文書の目的は、詳細な脅威分析を通じて、それぞれのデータプレーンアーキテクチャの脅威プロ ファイルを作成し、異なるセキュリティリスクプロファイルを持つクラウドネイティブアプリケーショ ンに適用(使用)するための推奨を行うことである。

 

 

・[PDF] NIST.SP.800-233.ipd

20240723-165133

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
Run-time services for Cloud-native applications, consisting of multiple loosely coupled components called microservices, are sometimes provided through a centralized infrastructure called a service mesh. These services include secure communication, service discovery, resiliency, and authorization of application communication. These services are mainly provided through Proxies that form the data plane of the service mesh, the layer that handles application traffic at runtime and enforces policy.  マイクロサービスと呼ばれる複数の疎結合コンポーネントで構成されるクラウドネイティブ・アプリケーションのランタイム・サービスは、サービス・メッシュと呼ばれる集中型インフラを通じてプロバイダされることがある。これらのサービスには、セキュアなコミュニケーション、サービス・ディスカバリ、レジリエンス、アプリケーション・コミュニケーションの認可などが含まれる。これらのサービスは主に、サービスメッシュのデータプレーンを形成するプロキシ(実行時にアプリケーションのトラフィックを処理し、ポリシーを実施するレイヤー)を通じて提供される。
The functions that the proxies provide can be broadly categorized into two groups, based on the OSI model’s network layer to which those functions pertain to. These groups are: Layer 4 (“L4”) and Layer 7 (“L7”). In majority of deployments of service mesh in production environments today, all proxy functions (providing services in both L4 and L7 layers) are packed into a single proxy that is assigned to a single microservice. This service mesh proxy model is called a sidecar proxy model since the proxy is not only associated with a single service but is implemented to execute in the same network space as the service.  プロキシが提供する機能は、OSIモデルのネットワークレイヤーに基づき、2つのグループに大別できる。これらのグループは以下の通りである: レイヤー4(「L4」)とレイヤー7(「L7」)である。今日、本番環境におけるサービスメッシュのデプロイメントの大部分 では、すべてのプロキシ機能(L4とL7の両方のレイヤーのサービスを提供する)は、単一のマイクロサービスに割り当てられる単一のプロキシにまとめられる。このサービスメッシュのプロキシモデルは、プロキシが一つのサービ スに関連付けられるだけでなく、サービスと同じネットワーク空間で実行されるように実装されるので、サイドカープロキシモデルと呼ばれる。
However, performance and resource considerations have led to the exploration of alternate proxy models which involve not only splitting up of L4 and L7 functions into different proxies (instead of a single proxy) but also the association or assignments of these proxies to either a single service or a group of services, thus enabling the proxies to be implemented at different locations - at the granularity of a node rather than at the level of services. Though different models are theoretically possible, we consider only those service mesh proxy models in the data plane implementation of commonly used service mesh offerings, at different stages.  しかしながら、パフォーマンスとリソースを考慮した結果、L4とL7機能を(単一 のプロキシの代わりに)異なるプロキシに分割するだけでなく、これらのプロキシを単一 のサービスまたはサービスグループのいずれかに関連付けたり割り当てたりするこ とで、プロキシを異なる場所(サービスレベルではなくノードの粒度)で実装することを 可能にする、別のプロキシモデルの探究につながった。理論的には様々なモデルが可能であるが、ここでは、一般的に使用され ているサービスメッシュのデータプレーンの実装において、様々な段階のサービスメッシュプロキシモデルのみを考察する。
We then consider a set of potential/likely threats to various proxy functions. Each of the threats may result in different types of exploits in different proxy models. This variation is due to several factors such as: attack surface (communication patterns to which a particular proxy is exposed), number of clients (services) served and OSI layer functions they provide (e.g., L7 functions are more complicated and likely to have more vulnerabilities than L4 functions).  The two main contributions of this document are as follows:  次に、様々なプロキシ機能に対する潜在的/可能性のある一連の脅 威について考察する。各脅威は、異なるプロキシモデルにおいて異なるタイプのエクスプロイトをもたらすかもしれない。この変化は、攻撃対象領域(特定のプロキシがさらされるコミュニケーションパターン)、提供されるクライアント(サービス)の数、お よびそれらが提供するOSIレイヤーの機能(例えば、L7機能はL4機 能よりも複雑で、より多くの脆弱性を持つ可能性が高い)などのいくつかの要因によるものである。 本文書の2つの主要な貢献は以下のとおりである: 
1. The nature of exploits possible for each threat in each of the proxy models are characterized by assigning scores to the impact and likelihood of each of these threats in each of the proxy models or architectural patterns resulting in a threat profile associated with each architectural pattern or proxy model of service mesh.  1. 各プロキシモデルにおける各脅威の影響度と可能性にスコアを割り当てることで、各プロキシモデルにおいて可能な悪用の性質を特徴づけ、その結果、サービスメッシュの各アーキテクチャパターンまたはプロキシモデルに関連付けられた脅威プロファイルを作成する。
2. Each threat profile inherently has a built-in set of security tradeoffs at an architectural level. The implications of these tradeoffs in meeting the requirements associated with security risk profile of different cloud-native applications are analyzed to make a broad set of recommendations towards specific architectural patterns that are appropriate for applications with different security risk profiles. 2. 各脅威プロファイルには、アーキテクチャレベルでのセキュリティトレードオ フのセットが本質的に組み込まれている。さまざまなクラウドネイティブアプリケーションのセキュリ ティリスクプロファイルに関連する要件を満たす上で、これらのトレードオフが持つ意味を分析し、さまざまなセキュリティリスクプロファイルを持つアプリケーションに適した特定のアーキテクチャパターンに向 けて、幅広い推奨を行う。

 

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. L4 and L7 Functions of Proxies 1.1. プロキシのL4とL7の機能
1.2. Objective & Target Audience 1.2. 目的と対象読者
1.3. Relationship to Other NIST Documents 1.3. 他のNIST文書との関係
1.4. Document Structure 1.4. 文書の構造
2. Typical Service Mesh Data Plane Capabilities and Associated Proxy Functions 2. 典型的なサービスメッシュのデータプレーン機能と関連するプロキシ機能
3. Proxy Models (Data plane Architectures) in Service Mesh Implementations 3. サービスメッシュ実装におけるプロキシモデル(データプレーンアーキテクチャ
3.1. L4 and L7 Proxy per Service Instance - Sidecar Model (DPA-1) 3.1. サービスインスタンスごとのL4およびL7プロキシ - サイドカーモデル(DPA-1)
3.2. Shared L4 - L7 per Service Model (DPA-2) 3.2. サービスごとの共有L4-L7モデル(DPA-2)
3.3. Shared L4 and L7 Model (DPA-3) 3.3. 共有L4およびL7モデル(DPA-3)
3.4. L4 and L7 Part of the Application Model (DPA-4) 3.4. アプリケーションモデルのL4とL7部分(DPA-4)
4. Data Plane Architectures Threat Scenarios and Analysis Methodology 4. データプレーンアーキテクチャ 脅威シナリオと分析手法
4.1. Threat analysis Methodology 4.1. 脅威分析手法
5. Detailed Threat Analysis for Data Plane Architectures 5. データプレーンアーキテクチャの詳細脅威分析
5.1. Threat Analysis for L4 and L7 Proxy per Service Instance - Sidecar Model (DPA-1) 5.1. サービスインスタンスごとの L4 および L7 プロキシの脅威分析 - サイドカーモデル(DPA-1)
5.1.1. Compromised L4 Proxy (TR-1) 5.1.1. 侵害された L4 プロキシ(TR-1)
5.1.2. Compromised Application Container (TR-2) 5.1.2. 侵害されたアプリケーションコンテナ(TR-2)
5.1.3. Compromise of Business Data (TR-3) 5.1.3. 業務データの漏洩 (TR-3)
5.1.4. Compromised L7 Proxy (TR-4) 5.1.4. 侵害された L7 プロキシ(TR-4)
5.1.5. Compromise of Shared L7 Proxy (TR-5) 5.1.5. 共有 L7 プロキシの侵害(TR-5)
5.1.6. Outdated Client Libraries in Applications (TR-6) 5.1.6. アプリケーションの古いクライアントライブラリ (TR-6)
5.1.7. Denial of Service (TR-7) 5.1.7. サービス拒否 (TR-7)
5.1.8. Resource Consumption (TR-8) 5.1.8. リソースの消費 (TR-8)
5.1.9. Privileged L4 Proxy (TR-9) 5.1.9. 特権 L4 プロキシ (TR-9)
5.1.10. Data Plane (Service Mesh) Bypassed (TR-10) 5.1.10. データプレーン(サービスメッシュ)のバイパス(TR-10)
5.2. Threat Analysis for Shared L4 - L7 per Service Model (DPA-2) 5.2. サービスモデル(DPA-2)ごとの共有 L4 - L7 の脅威分析
5.2.1. Compromised L4 Proxy (TR-1) 5.2.1. 侵害された L4 プロキシ(TR-1)
5.2.2. Compromised Application Container (TR-2) 5.2.2. 侵害されたアプリケーションコンテナ(TR-2)
5.2.3. Compromise of Business Data (TR-3) 5.2.3. 業務データの漏洩 (TR-3)
5.2.4. Compromised L7 Proxy (TR-4) 5.2.4. 侵害された L7 プロキシ(TR-4)
5.2.5. Compromise of Shared L7 Proxy (TR-5) 5.2.5. 共有 L7 プロキシの侵害(TR-5)
5.2.6. Outdated Client Libraries in Applications (TR-6) 5.2.6. アプリケーションの古いクライアントライブラリ (TR-6)
5.2.7. Denial of Service (TR-7) 5.2.7. サービス拒否 (TR-7)
5.2.8. Resource Consumption (TR-8) 5.2.8. リソースの消費 (TR-8)
5.2.9. Privileged L4 Proxy (TR-9) 5.2.9. 特権 L4 プロキシ (TR-9)
5.2.10. Data Plane (Service Mesh) Bypassed (TR-10) 5.2.10. データプレーン(サービスメッシュ)のバイパス(TR-10)
5.3. Threat Analysis for Shared L4 and L7 Model (DPA-3) 5.3. 共有 L4 及び L7 モデルの脅威分析(DPA-3)
5.3.1. Compromised L4 Proxy (TR-1) 5.3.1. 侵害された L4 プロキシ(TR-1)
5.3.2. Compromised Application Container (TR-2) 5.3.2. 侵害されたアプリケーションコンテナ(TR-2)
5.3.3. Compromise of Business Data (TR-3) 5.3.3. 業務データの漏洩 (TR-3)
5.3.4. Compromised L7 Proxy (TR-4) 5.3.4. 侵害された L7 プロキシ(TR-4)
5.3.5. Compromise of Shared L7 Proxy (TR-5) 5.3.5. 共有 L7 プロキシの侵害(TR-5)
5.3.6. Outdated Client Libraries in Applications (TR-6) 5.3.6. アプリケーションの古いクライアントライブラリ (TR-6)
5.3.7. Denial of Service (TR-7) 5.3.7. サービス拒否 (TR-7)
5.3.8. Resource Consumption (TR-8) 5.3.8. リソースの消費 (TR-8)
5.3.9. Privileged L4 Proxy (TR-9) 5.3.9. 特権 L4 プロキシ (TR-9)
5.3.10. Data Plane (Service Mesh) Bypassed (TR-10) 5.3.10. データプレーン(サービスメッシュ)のバイパス (TR-10)
5.4. Threat Analysis for L4 and L7 within Application Model (gRPC proxyless Model (DPA-4)) 5.4. アプリケーションモデル(gRPC プロキシレスモデル(DPA-4))内の L4 及び L7 の脅威分析
5.4.1. Compromised L4 Proxy (TR-1) 5.4.1. 侵害された L4 プロキシ(TR-1)
5.4.2. Compromised Application Container (TR-2) 5.4.2. 侵害されたアプリケーションコンテナ(TR-2)
5.4.3. Compromise of Business Data (TR-3) 5.4.3. 業務データの漏洩 (TR-3)
5.4.4. Compromised L7 Proxy (TR-4) 5.4.4. 侵害された L7 プロキシ(TR-4)
5.4.5. Compromise of Shared L7 Proxy (TR-5) 5.4.5. 共有 L7 プロキシの侵害(TR-5)
5.4.6. Outdated Client Libraries in Applications (TR-6) 5.4.6. アプリケーションの古いクライアントライブラリ (TR-6)
5.4.7. Denial of Service (TR-7) 5.4.7. サービス拒否 (TR-7)
5.4.8. Resource Consumption (TR-8) 5.4.8. リソースの消費 (TR-8)
5.4.9 Privileged L4 Proxy (TR-9) 5.4.9 特権 L4 プロキシ (TR-9)
5.4.10 Data Plane (Service Mesh) Bypassed (TR-10) 5.4.10 データプレーン(サービスメッシュ)のバイパス(TR-10)
6. Recommendations Based on Application Security Risk Profile 6. アプリケーションセキュリティリスクプロファイルに基づく推奨事項
6.1. Cloud-Native Applications with Low Risk Profile 6.1. リスクプロファイルが低いクラウドネイティブアプリケーション
6.2. Cloud-Native Applications with Medium Risk Profile … 6.2. リスクプロファイルが中程度のクラウドネイティブ・アプリケーション 
6.3. Cloud-Native Applications with High Risk Profile 6.3. 高リスクプロファイルのクラウドネイティブアプリケーション
7. Summary and Conclusions 7. まとめと結論
References 参考文献

 

 


 

1_20240723172401

Figure 1 – L4 and L7 Proxy per Service Instance (Side Car Model) (DPA-1)

図1 - サービスインスタンスごとのL4およびL7プロキシ(サイドカーモデル)(DPA-1)

 

 

 

2_20240723172401

Figure 2 – Shared L4 - L7 per Service Model (DPA-2)

図2 - サービスごとの共有L4 - L7 モデル(DPA-2)

 

 

3_20240723172501

Figure 3 – Shared L4 - L7 Model (DPA-3)

図3 - 共有L4 - L7モデル(DPA-3)

 

 

4_20240723172501

Figure 4 – L4 and L7 Part of the Application Model (gRPC proxyless Model) (DPA-4)

図4-アプリケーションモデル(gRPCプロキシレスモデル)のL4とL7の部分(DPA-4)

 

| | Comments (0)

2024.07.23

欧州 Europol インターネット組織犯罪脅威アセスメント(IOCTA)2024年版

こんにちは、丸山満彦です。

欧州、Europolがインターネット組織犯罪脅威アセスメント(IOCTA)2024年版を公表していますね...

今年で10年目ということです...今年は、サイバー攻撃、児童の性的搾取、オンライン詐欺や決済詐欺といった犯罪分野の関連傾向に焦点を当てているようです...

Europol

・2024.07.22 Fragmented and multiplied cybercriminal landscape, warns new Europol report

Fragmented and multiplied cybercriminal landscape, warns new Europol report 欧州刑事警察機構(Europol)の新報告書、サイバー犯罪の断片化・複合化に警鐘を鳴らす
Today, Europol publishes the 10th edition of the Internet Organised Crime Threat Assessment (IOCTA), an in-depth assessment of the key developments, changes and emerging threats in cybercrime over the last year 欧州刑事警察機構(Europol)は本日、インターネット組織犯罪脅威アセスメント(IOCTA)の第10版を発表した。
The report highlights relevant trends in crime areas such cyber-attacks, child sexual exploitation and online and payment fraud schemes. It also provides an outlook of what can be expected in the near future, especially regarding new technologies, payment systems, AI, cryptocurrencies and illicit content online.  この報告書では、サイバー攻撃、児童の性的搾取、オンライン詐欺や決済詐欺などの犯罪分野における関連傾向を明らかにしている。また、特に新技術、決済システム、AI、暗号通貨、オンライン上の不正コンテンツに関して、近い将来に予想されることの見通しも示している。
Millions of victims exploited across the EU on a daily basis EU全域で数百万人の被害者が日々搾取されている
Recent law enforcement operations have prompted ransomware groups to splinter and rebrand under different disguises. Furthermore, continuous takedowns of forums and marketplaces on the dark web have shortened the lifecycle of criminal sites. This instability, combined with the surge of exist scams, has contributed to the fragmentation and multiplication of cyber threats.  最近の法執行活動により、ランサムウェア・グループは分裂し、さまざまな偽装を施して再ブランド化を図っている。さらに、ダークウェブ上のフォーラムやマーケットプレイスの継続的なテイクダウンにより、犯罪サイトのライフサイクルが短くなっている。このような不安定さは、存在する詐欺の急増と相まって、サイバー脅威の断片化と増殖を助長している。
In 2023, millions of victims across the EU were attacked and exploited online on a daily basis: 2023年には、EU全体で数百万人の被害者が、日常的にオンラインで攻撃され、悪用されていた:
・Ransomware groups increasingly target small and medium-sized businesses because they have lower cyber defences; ・ランサムウェアのグループは、サイバー防御力が低いため、中小企業を標的にすることが増えている;
・E-merchants and banking institutions are the preferred targets of digital skimming attacks;  ・電子商取引業者や銀行機構は、デジタル・スキミング攻撃の格好の標的となっている; 
・Users continue to fall victim to phishing campaigns, business email compromise (BEC), investment and romance fraud;  ・フィッシングキャンペーン、ビジネスメール詐欺(BEC)、投資詐欺、ロマンス詐欺などの被害が後を絶たない; 
・The number of cases of online sexual extortion targeting vulnerable minors is increasing. ・脆弱性のある未成年者を狙ったオンライン上での性的恐喝事件が増加している。
Multi-layered extortion tactics are increasingly common throughout the entire spectrum of cybercrime threats, as stolen data are at risk of being published and auctioned, making re-victimisation a threat. Offenders appear to be underage in many cases, and some have started leveraging AI, which is already becoming a component in their toolbox. The use of cryptocurrencies in a wider variety of crime areas has also become more noticeable.  多層的な恐喝手口は、サイバー犯罪の脅威の全領域でますます一般的になっている。盗まれたデータは公開され、オークションにかけられるリスクがあり、再被害が脅威となっている。犯罪者の多くは未成年であり、AIを活用し始めた者もいる。また、より広範な犯罪分野で暗号通貨の利用が目立ってきている。
Cybercrime assisted by AI: what to expect in the near future? AIが支援するサイバー犯罪:近い将来に何が起こるか?
AI-assisted cybercrime has only begun: AI-assisted child sexual abuse material (CSAM) is a worrisome threat that will need close monitoring. Instances of AI-altered and completely artificial CSAM will pose growing challenges to law enforcement investigations, not only in terms of the volume of CSAM in circulation, but also to the ability of investigators to identify the true identity of victims and offenders. AIによるサイバー犯罪はまだ始まったばかりだ: AIが支援する児童性的虐待資料(CSAM)は憂慮すべき脅威であり、綿密な監視が必要だ。AIによって改変された、完全に人工的なCSAMの事例は、流通するCSAMの量だけでなく、被害者と加害者の真の身元を特定する捜査能力という点でも、法執行機関の捜査にますます大きな課題をもたらすだろう。
Abusing technologies: Mainstream end-to-end encryption (E2EE) communication platforms are increasingly used by offenders. The current regulatory framework for the protection of personal communications via E2EE creates digital challenges for law enforcement authorities’ lawful access to criminal communications.  技術の悪用: 主流のエンド・ツー・エンド暗号化(E2EE)コミュニケーション・プラットフォームは、犯罪者によってますます使用されるようになっている。E2EEによる個人通信の保護に関する現行の規制枠組みは、法執行当局が犯罪通信に合法的にアクセスするためのデジタル上の課題を生み出している。
The future of crypto threats: The use of cryptocurrencies in a number of areas of crime has become more evident. Several developments in the cryptocurrency market are set to have a significant impact on criminals’ abuse of cryptocurrencies in the near future. Scammers could abuse the rise of exchange traded funds (ETFs) related to cryptocurrencies.   暗号の脅威の未来: 犯罪の多くの分野で暗号通貨が使用されていることが明らかになってきた。暗号通貨市場におけるいくつかの進展は、近い将来、犯罪者による暗号通貨の乱用に大きな影響を与えることになるだろう。詐欺師は、暗号通貨に関連する上場投資信託(ETF)の台頭を悪用する可能性がある。 
Digital challenges: law enforcement need to stay ahead デジタルの課題:法執行機関は先手を打つ必要がある
To tackle the main threats highlighted in the IOCTA 2024 quickly effectively, law enforcement needs the right knowledge, tools and legislation in place. As criminals adapt, law enforcement and legislators must also innovate to stay ahead, and seek to capitalise on new and developing technologies. This in turn requires training to produce the specialised capabilities required to investigate technically challenging or complex cybercrimes, such as those involving the abuse of cryptocurrencies or the dark web. IOCTA 2024で強調された主な脅威に迅速に効果的に取り組むためには、法執行機関は適切な知識、ツール、法律を整備する必要がある。犯罪者が適応していく中で、法執行機関や立法機関もまた、先手を打つために革新的でなければならず、新しく発展する技術を活用しようとしなければならない。そのためには、暗号通貨やダークウェブの悪用など、技術的に困難で複雑なサイバー犯罪を捜査するために必要な専門能力を身につけるための訓練が必要となる。
Europol is addressing these digital challenges with its Strategy Delivering Security in Partnership. The agency is at the forefront of law enforcement innovation and acts as a knowledge platform for the provision of EU policing solutions in relation to encryption, cryptocurrencies and other issues. In doing so, Europol expands the toolbox available to law enforcement officers across Europe and beyond, increasing their technical and forensic capabilities. The European Cybercrime Centre (EC3) at Europol is the first port of call for cybercrime investigators 欧州刑事警察機構は、「パートナーシップによる安全保障の実現」という戦略で、こうしたデジタル上の課題に取り組んでいる。同機関は法執行の革新の最前線にあり、暗号化、暗号通貨、その他の問題に関連するEUの取り締まりソリューションを提供するための知識プラットフォームとして機能している。そうすることで、欧州刑事警察機構は、欧州内外の法執行官が利用できるツールボックスを拡大し、その技術的・法医学的能力を高めている。欧州刑事警察機構の欧州サイバー犯罪センター(EC3)は、サイバー犯罪捜査官の最初の窓口である。

 

Internet Organised Crime Threat Assessment (IOCTA)

Internet Organised Crime Threat Assessment (IOCTA) インターネット組織犯罪脅威アセスメント(IOCTA)
Strategic, policy and tactical updates on the fight against cybercrime サイバー犯罪との戦いに関する戦略、政策、戦術の最新情報
Europol’s European Cybercrime Centre (EC3) publishes the Internet Organised Crime Threat Assessment (IOCTA), its flagship strategic report on key findings and emerging threats and developments in cybercrime — threats that impact governments, businesses and citizens in the EU. 欧州刑事警察機構(EC3)の欧州サイバー犯罪センター(EC3)は、EUの政府、企業、市民に影響を与えるサイバー犯罪の主要な発見と新たな脅威および進展に関する主要戦略報告書である「インターネット組織犯罪脅威アセスメント(IOCTA)」を発行している。
The IOCTA provides key recommendations to law enforcement, policy makers and regulators to allow them to respond to cybercrime in an effective and concerted manner. IOCTAは、法執行機関、政策立案者、規制当局が効果的かつ協調的にサイバー犯罪に対応できるよう、重要な勧告を提供している。
Download the IOCTA 2024 report IOCTA 2024報告書をダウンロードする
The report focuses on the crime areas that fall under EC3’s mandate. These cybercrime priorities, which are determined by the EU Policy Cycle - EMPACT, are currently: この報告書は、EC3の任務である犯罪分野に焦点を当てている。これらのサイバー犯罪の優先事項は、EUの政策サイクルであるEMPACTによって決定される:
・Cyber-dependent crime ・サイバー依存犯罪
・Online child sexual exploitation ・オンライン児童性的搾取
・Payment fraud ・決済詐欺
Another typical focus of the IOCTA is cross-cutting crime enablers, factors that straddle more than one crime area but are not necessarily inherently criminal themselves. These enablers include: IOCTAのもう一つの典型的な焦点は、横断的犯罪イネーブラー(複数の犯罪分野にまたがるが、それ自体は必ずしも本質的に犯罪ではない要因)である。これらのイネイブラーには以下が含まれる:
・phishing/smishing/vishing, ・フィッシング/スミッシング/ビッシング
・business email compromise, ・ビジネスメールの漏洩
・bulletproof hosting, ・防弾ホスティング
・anonymisation tools, ・匿名化ツール
・criminal abuse of cryptocurrencies, ・暗号通貨の犯罪的悪用、
・money muling. ・マネー・マルチング
Structure 構造
The 2023 IOCTA has been serialised in a series of Spotlight Reports, allowing for greater focus on specific and urgent topics within the cybercrime landscape. These Spotlight Reports are supplemented by a summary report, released at the start of the series. 2023年版IOCTAは、サイバー犯罪の中でも特に緊急性の高いトピックに焦点を当てられるよう、一連のスポットライト・レポートとして構成されている。これらのスポットライト・レポートは、シリーズ開始時に発表されるサマリー・レポートによって補足される。
The IOCTA and each Spotlight Report serves the following purposes: IOCTAと各スポットライトレポートの目的は以下の通りである:
・describe key findings on particular cybercrime areas in the reporting year, ・報告年における特定のサイバー犯罪領域に関する重要な発見を説明する、
・identify future trends and developments, ・今後の傾向と動向を特定する、
・make recommendations.  ・勧告を行う。
Each issue relies on a wide array of sources, drawing on contributions from: 各号は、幅広い情報源に依拠し、以下からの寄稿をもとに作成されている:
・experts at Europol, ・欧州刑事警察機構の専門家、
・EU Member States, ・EU加盟国
・law enforcement authorities both within and outside the EU,  ・EU内外の法執行当局、 
・partners in private industry, the financial sector and academia. ・民間企業、金融セクター、学界のパートナーなどである。
Successes 成功事例
The IOCTA may also include word on operational successes in the year under review. Two examples below serve as illustrations.  IOCTAは、当該年度における業務上の成功についても言及することができる。以下に2つの例を挙げる。
VPNLab takedown – OPERATION OVERLORD: VPNLab, one of the most prolific services used by cybercriminals, was taken down in a law enforcement action involving 10 countries in January 2022. Europol provided analytical and forensic support, facilitated information exchange and coordinated more than 60 operational meetings. VPNLab was used in support of serious criminal acts, such as setting up of infrastructure and communication behind ransomware operations and malware distribution. The service, active since 2008, was advertised on the dark web for as little as USD 60 per year and did not cooperate with lawful requests from law enforcement authorities. VPNLabの取り締まり - OPERATION OVERLORD:サイバー犯罪者が最も多用するサービスのひとつであるVPNLabは、2022年1月、10カ国を巻き込んだ法執行活動で取り締まられた。欧州刑事警察機構は分析およびフォレンジック支援を提供し、情報交換を促進し、60以上の作戦会議を調整した。VPNLabは、ランサムウェア操作やマルウェア配布の背後にあるインフラやコミュニケーションのセットアップなど、重大な犯罪行為のサポートに使用された。2008年から活動しているこのサービスは、ダークウェブ上で年間60米ドルという低価格で認可されており、法執行当局からの合法的な要請にも協力しなかった。
RaidForums shutdown – OPERATION TOURNIQUET: RaidForums started its operations in 2015 and grew to be one of the world’s biggest hacking forums with a community of over half a million users. It focused on the harvesting and re-selling of ‘exclusive’ personal data and databases from compromised servers. RaidForums made a name for itself by hacking rival forums and releasing (doxing) personal information about their administrators. The high-profile database leaks that were sold on the forum usually belonged to corporations across different industries. Next to the forum admin, two accomplices were arrested. Europol coordinated various independent investigations into RaidForums (by Portugal, Romania, Sweden, the United Kingdom and the United States), which led to the take down of the service in April 2022. RaidForumsの閉鎖 - OPERATION TOURNIQUET: RaidForumsは2015年に運営を開始し、50万人以上のユーザーを抱える世界最大級のハッキングフォーラムに成長した。侵害されたサーバーから「独占的な」個人データやデータベースを採取し、再販売することに重点を置いていた。RaidForumsは、ライバルのフォーラムをハッキングし、その管理者の個人情報を公開(doxing)することで有名になった。フォーラムで販売された有名なデータベース・リークは、通常、さまざまな業界の企業に属していた。フォーラムの管理者に続いて、2人の共犯者が逮捕された。欧州刑事警察機構は、RaidForumsに対する様々な独立調査(ポルトガル、ルーマニア、スウェーデン、英国、米国による)を調整し、2022年4月にサービスを停止するに至った。

 

 

・2024.07.22 Internet Organised Crime Threat Assessment (IOCTA) 2024

Internet Organised Crime Threat Assessment (IOCTA) 2024 インターネット組織犯罪脅威アセスメント(IOCTA)2024年版
The Internet Organised Crime Threat Assessment (IOCTA) is Europol’s assessment of evolving threats and trends in the cybercrime landscape, with  a focus on how it has changed over the last 12 months. インターネット組織犯罪脅威アセスメント(IOCTA)は、欧州刑事警察機構による、サイバー犯罪の状況における進化する脅威と傾向の評価であり、過去12ヶ月間でどのように変化したかに焦点を当てている。
This year's report highlights relevant trends in crime areas such cyber-attacks, child sexual exploitation and online and payment fraud schemes. Recent law enforcement operations have prompted ransomware groups to splinter and rebrand under different guises. Furthermore, continuous takedowns of forums and marketplaces on the dark web have shortened the lifecycle of criminal sites. This instability, combined with the surge of exist scams, has contributed to the fragmentation and multiplication of cyber threats.  今年の報告書では、サイバー攻撃、児童の性的搾取、オンライン詐欺や決済詐欺といった犯罪分野の関連傾向に焦点を当てている。最近の法執行活動により、ランサムウェア・グループは分裂し、異なる装いでブランド名を変更するようになった。さらに、ダークウェブ上のフォーラムやマーケットプレイスの継続的なテイクダウンにより、犯罪サイトのライフサイクルが短くなっている。このような不安定さは、実在する詐欺の急増と相まって、サイバー脅威の断片化と増殖を助長している。

 

・[PDF]

20240723-13756

目次...

Foreword まえがき
Abbreviations 略語
Introduction  序文 
Key Developments 主な進展
1. Cryptocurrencies and the dark web: enablers of cybercrime 1. 暗号通貨とダークウェブ:サイバー犯罪を助長するもの
1.1 Cryptocurrencies 1.1 暗号通貨
1.2 The dark web 1.2 ダークウェブ
2. Cyber-attacks 2. サイバー攻撃
2.1 Ransomware-as-a-service 2.1 ランサムウェア・アズ・ア・サービス
2.2 Ransomware groups 2.2 ランサムウェア・グループ
2.3 Malware-as-a-service 2.3 マルウェア・アズ・ア・サービス
3. Child sexual exploitation 3. 児童の性的搾取
3.1 Current CSE threats 3.1 現在のCSEの脅威
3.2 Sexual extortion and violent content online 3.2 オンライン上での性的恐喝と暴力的コンテンツ
3.3 AI-generated CSAM 3.3 AI生成的CSAM
4. Online and payment fraud schemes 4. オンライン詐欺と支払い詐欺
4.1 Phishing 4.1 フィッシング
4.2 Account takeover (ATO) 4.2 口座乗っ取り(ATO)
4.3 Investment, BEC and romance fraud 4.3 投資、BEC、ロマンス詐欺
4.4 Digital skimming attacks 4.4 デジタルスキミング攻撃
4.5 ATM attacks 4.5 ATM攻撃
4.6 Online fraud and money laundering 4.6 オンライン詐欺とマネーロンダリング
5. Outlook: what to expect in the near future 5. 展望:近い将来に予想されること
5.1 AI-assisted cybercrime has only just begun