« July 2024 | Main | September 2024 »

August 2024

2024.08.31

中国 2025年までにIoT分野で30以上の新しい国家標準と業界標準を開発する見込み

こんにちは、丸山満彦です。

中国政府が、2025年までにIoT分野で30以上の新しい国家標準と業界標準を開発する見込みであると発表していますね...

そして、その国家標準、業界標準は国際標準に提案されていくことになりますね...かつて英国は、英国標準を国際標準にしていくことを結構していましたが(例えば、ISO9001、ISO14001、ISO27001といったマネジメントシステム認証の国際標準もかつては英国標準でした...)、それと同じようなことをかんがえているのかもしれませんね...

 

中华人民共和国中央人民政府

・2024.08.27 预计到2025年我国新制定30项以上物联网领域国家标准和行业标准

预计到2025年我国新制定30项以上物联网领域国家标准和行业标准 中国は2025年までにIoT分野で30以上の新しい国家標準と業界標準を開発する見込み
新华社北京8月27日电 记者27日从工业和信息化部获悉,工业和信息化部、国家标准化管理委员会近日联合发文提出,到2025年,我国新制定物联网领域国家标准和行业标准30项以上,参与制定国际标准10项以上,引领物联网产业高质量发展的标准体系加快形成。 北京8月27日新華社:工業・情報化部(MIIT)と国家標準化管理委員会(NSAC)はこのほど、2025年までにIoT(IoT)分野で30以上の新たな国家標準と業界標準を策定し、10以上の国際標準の策定に参加することで、IoT産業の高品質な発展につながる標準システムの形成を加速させることを提案する共同文書を発表した。
物联网是以感知技术和网络通信技术为主要手段,实现人、机、物的泛在连接,提供信息感知、信息传输、信息处理等服务的基础设施。当前,我国物联网产业已形成庞大市场规模,在技术创新突破、行业融合应用、产业生态培育等方面取得积极成效。 IoTは、センス技術とネットワーク通信技術を主な手段として、人、機械、モノのユビキタス接続を実現し、情報認識、情報伝送、情報処理、その他のサービスインフラを提供するものである。 現在、中国のIoT産業は巨大な市場規模を形成しており、技術革新のブレークスルー、産業統合と応用、産業生態育成の面で成果を上げている。
根据两部门联合印发的《物联网标准体系建设指南(2024版)》,物联网标准体系包括基础标准、技术标准、建设运维标准和应用标准等4部分,其中,技术标准包括感知技术、网络与通信技术、数据处理技术、融合技术、射频与电磁兼容技术、边缘计算技术、物联网操作系统、数字孪生技术等标准。 両部門が共同で発表した「IoT標準システム構築ガイドライン(2024年版)」によると、IoT標準システムには、基本標準、技術標準、構築・運用・保守標準、応用標準の4つの部分があり、このうち技術標準には、センシング技術、ネットワーク・通信技術、データ処理技術、コンバージェンス技術、RF・電磁両立性技術、エッジコンピューティング技術、IoT・オペレーティングシステム、デジタルツイン技術などの標準が含まれる。 技術やその他の標準が含まれる。
指南提出,将加快物联网国际标准转化,提升国内和国际标准关键指标的一致性程度,积极参与国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟(ITU)等标准国际化活动,同全球产业链上下游企业共同制定物联网国际标准。 同ガイドは、IoTの国際標準化を加速させ、国内標準と国際標準の主要指標の整合性を向上させ、国際標準化機構(ISO)、国際電気標準会議(IEC)、国際電気通信連合(ITU)の標準の国際化に積極的に参加し、グローバル産業チェーンの上流と下流の企業と協力してIoTの国際標準を策定することを提案している。

 

● 中华人民共和国工业和信息化部

・2024.08.26 两部门关于印发物联网标准体系建设指南(2024版)的通知

两部门关于印发物联网标准体系建设指南(2024版)的通知 IoTの標準システム構築のためのガイドライン(2024年版)の発行に関する両部門の通知
工业和信息化部 国家标准化管理委员会关于印发物联网标准体系建设指南(2024版)的通知 IoTの標準システム構築のためのガイドライン(2024年版)の発行に関する工業情報化部国家標準化管理委員会の通知
工信部联科函〔2024〕206号 工業情報化部聯絡書簡[2024]第206号
各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门、市场监管局(厅、委),有关行业协会、标准化技术组织、标准化专业机构: 各省、自治区、中央政府直轄市、計画分離市、新疆生産建設兵団、工業・情報化主管部門、市場監督局(部門、委員会)、関連業界団体、標準化技術組織、標準化専門機関:
为扎实推进《新产业标准化领航工程实施方案(2023-2035年)》,加强标准工作顶层设计,引领物联网产业高质量发展,工业和信息化部、国家标准化管理委员会组织编制了《物联网标准体系建设指南(2024版)》。现印发给你们,请结合实际,抓好贯彻落实。 新産業標準化試行プロジェクト実施計画(2023-2035年)」を堅固に推進し、標準業務のトップレベル設計を強化し、IoT産業の高品質な発展をリードするため、工業情報化部と国家標準化管理委員会は『IoT標準システム構築の手引き(2024年版)』を作成した。 実情に合わせ、しっかりと実施すること。
工业和信息化部 工業情報化部
国家标准化管理委员会 国家標準化管理委員会

 

・[PDF] 物联网标准体系建设指南(2024版)[downloaded]

・[DOCX][PDF] 仮訳

 

これがIoT標準体系の全体像ですかね...

1_20240831071701

 

 

 

| | Comments (0)

米国 GAO 環境保護庁は上下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に立案すべき (2024.08.01)

こんにちは、丸山満彦です。

米国のGAOが環境保護庁は追う下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に立案すべきという報告書を公表していました...

上下水道両方で検討していますね...

 

U.S. Government Accountability Office; GAO

・2024.08.01 Critical Infrastructure Protection:EPA Urgently Needs a Strategy to Address Cybersecurity Risks to Water and Wastewater Systems

 

Critical Infrastructure Protection:EPA Urgently Needs a Strategy to Address Cybersecurity Risks to Water and Wastewater Systems 重要インフラ防御: EPAは上下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に必要としている
GAO-24-106744 GAO-24-106744
Fast Facts ファスト・ファクト
A cyberattack on U.S. drinking and wastewater systems could, for example, produce drinking water with unsafe levels of bacteria or chemicals. Nations, cybercriminals, and others have targeted some of the nearly 170,000 U.S. water systems, which are increasingly automated. 米国の上下水道システムに対するサイバー攻撃は、例えば、安全基準を超える細菌や化学物質を含む飲料水を作り出す可能性がある。 各国、サイバー犯罪者、その他の者たちは、自動化が進む米国の約17万の上下水道システムのいくつかを標的にしている。
EPA leads water cybersecurity efforts. It has worked with the water sector to improve cybersecurity. However, EPA hasn't identified and prioritized the greatest risks sector-wide. It also relies on water systems to voluntarily agree to improve cybersecurity. EPAは水のサイバーセキュリティ対策を主導している。EPAは水関連部門と協力してサイバーセキュリティの改善に取り組んできた。しかし、EPAは部門全体で最大のリスクを識別し、優先順位付けをしていない。また、サイバーセキュリティの改善を自主的に行うよう水関連システムに依存している。
We recommended that EPA develop a national cybersecurity strategy, assess whether it needs more authority, and more. 我々は、EPAが国家サイバーセキュリティ戦略を策定し、より強力な権限が必要かどうかをアセスメントするなど、さらなる対策を講じることを勧告した。
Cyberattacks on Water and Wastewater Systems Can Have Consequences for Public Health and the Environment 上下水道システムへのサイバー攻撃は、公衆衛生や環境に影響を及ぼす可能性がある
Highlights ハイライト
What GAO Found GAOが発見したこと
The water sector faces increasing cybersecurity-related risk. While national reporting requirements for cyber incidents are being developed, known incidents have disrupted water sector operations. Nations (including Iran and China), cybercriminals, and others have targeted water systems. For example, foreign hackers targeted multiple water systems in late 2023. Cyberattacks threaten public health, the environment, and other critical infrastructure sectors. 水関連部門は、サイバーセキュリティ関連のリスクが増大している。サイバーインシデントに関する国家的な報告要件が策定されている一方で、既知のインシデントが水関連部門の業務を混乱させている。イランや中国を含む国家、サイバー犯罪者、その他の者が、水システムを標的にしている。例えば、2023年後半には、外国のハッカーが複数の水システムを標的にした。サイバー攻撃は、公衆衛生、環境、その他の重要なインフラ部門を脅かす。
Water and Wastewater Systems' Vulnerability to Cyberattacks サイバー攻撃に対する水および廃水システムの脆弱性
1_20240830204401
Federal agencies and other entities have acted to improve water sector cybersecurity, but reported challenges such as workforce skills gaps and older technologies that are difficult to update with cybersecurity protections. Further, the sector has made limited investments in cybersecurity protections because water systems prioritize funding to meet regulatory requirements for clean and safe water, while improving cybersecurity is voluntary. In a May 2024 alert, the Environmental Protection Agency (EPA) said it planned to increase enforcement activities to ensure drinking water systems address cybersecurity threats. 連邦政府機関やその他の事業体は、水関連部門のサイバーセキュリティの改善に取り組んできたが、人材のスキルギャップや、サイバーセキュリティ保護の更新が難しい旧式の技術といった課題が報告されている。さらに、水関連部門は、清潔で安全な水に関する規制要件を満たすための資金調達を優先しているため、サイバーセキュリティ保護への投資は限定的である。2024年5月の警告で、環境保護庁(EPA)は、飲料水システムがサイバーセキュリティの脅威に対処することを確実にするために、執行活動を強化する計画であると述べた。
EPA has assessed aspects of cybersecurity risk but has not conducted a comprehensive sector-wide risk assessment or developed and used a risk-informed strategy to guide its actions. EPA is required by law, as well as National Security Memorandum 22 (NSM-22), to identify, assess, and prioritize water sector risk. EPA official said they have assessed threats, vulnerabilities, and consequences, but have not integrated this work in a comprehensive assessment. Without a risk assessment and strategy to guide its efforts, EPA has limited assurance its efforts address the highest risks. EPAはサイバーセキュリティリスクの側面を評価しているが、包括的なセクター全体のリスクアセスメントを実施したり、行動指針となるリスク情報を活用した戦略を策定・利用したりはしていない。EPAは、法律および国家安全保障覚書22(NSM-22)により、水セクターのリスクを識別、評価、優先順位付けすることが義務付けられている。EPA当局者は、脅威、脆弱性、影響を評価しているが、この作業を包括的なアセスメントに統合していないと述べた。リスクアセスメントと取り組みを導く戦略がなければ、EPAは取り組みが最も高いリスクに対処しているという確証が限定的になる。
EPA has faced challenges using its existing legal authority and voluntary approaches to manage cybersecurity risks but has not fully evaluated either approach. In March 2023, EPA interpreted existing legal requirements to include cybersecurity assessments at drinking water systems but withdrew the requirement 7 months later after facing legal challenges. Previous requirements and NSM-22 direct EPA to identify the authorities it needs to compel the sector to address risks. In July 2024, EPA officials said they had evaluated their authorities and would release the evaluation in 2025 with their risk assessment and strategy. Doing so and seeking additional authority as necessary can help EPA ensure the water sector is better prepared for any future cyberattacks. EPAは、サイバーセキュリティリスクを管理するために、既存の法的権限と自主的なアプローチを使用することに課題を抱えていたが、いずれのアプローチも十分に評価していない。2023年3月、EPAは既存の法的要件を解釈し、飲料水システムにおけるサイバーセキュリティアセスメントを含めることとしたが、法的課題に直面したため、7か月後にこの要件を撤回した。NSM-22以前の要件では、EPAは、リスクに対処するためにセクターに強制力を及ぼすために必要な権限を識別するよう指示されていた。2024年7月、EPA当局者は、権限を評価済みであり、2025年にリスクアセスメントと戦略とともに評価結果を公表する予定であると述べた。そうすることで、必要に応じて追加の権限を求めることにより、EPAは、水セクターが将来のサイバー攻撃に対してより万全の備えができるようにすることができる。
Why GAO Did This Study GAOがこの調査を実施した理由
Recent cyber incidents highlight the vulnerability of the 170,000 water and wastewater systems in the U.S. water sector. EPA is responsible for leading, coordinating, and supporting activities to reduce cybersecurity risk to the water sector. The agency works in partnership with the Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) and other federal, state, and local entities. 最近のサイバーインシデントは、米国の水セクターにおける17万の上下水道システムの脆弱性を浮き彫りにしている。EPAは、水セクターのサイバーセキュリティリスクを低減するための活動を主導、調整、支援する責任を担っている。EPAは、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)やその他の連邦、州、地方の事業体と連携して業務を行っている。
GAO was asked to review cybersecurity threats facing the water sector and the federal government's efforts to address these threats. This report (1) describes cybersecurity risks and incidents; (2) examines actions by selected federal and nonfederal entities to improve cybersecurity; and (3) evaluates EPA's actions to address known risks. GAOは、水関連分野が直面するサイバーセキュリティの脅威と、それらの脅威に対処するための連邦政府の取り組みについて調査するよう要請された。本報告書では、(1) サイバーセキュリティのリスクとインシデントについて説明し、(2) サイバーセキュリティの改善に向けた連邦政府および非連邦政府事業体の取り組みを検証し、(3) 既知のリスクに対処するためのEPAの取り組みを評価している。
GAO analyzed documents from EPA, CISA, and other entities on cyber threats, threat actors, and sector efforts to reduce risk. GAO interviewed federal and nonfederal officials with relevant cybersecurity responsibilities. GAO also visited and interviewed officials from large and small systems selected to provide varying perspectives. GAOは、サイバー脅威、脅威行為者、リスク低減に向けた各分野の取り組みについて、EPA、CISA、その他の事業体から入手した文書を分析した。GAOは、サイバーセキュリティに関する責任を担う連邦および非連邦政府当局者へのインタビューを実施した。また、さまざまな視点を提供するために選定された大規模および小規模のシステムを訪問し、当局者へのインタビューも実施した。
Recommendations 勧告
GAO is making four recommendations, including that EPA assess sector risk; develop and implement a national cybersecurity strategy; and evaluate the sufficiency of its legal authorities to carry out its cybersecurity responsibilities and seek additional authority as necessary. EPA concurred with the recommendations and said it is taking action to complete them. GAOは、以下の4つの勧告を行っている。これには、EPAがセクターリスクをアセスメントすること、国家サイバーセキュリティ戦略を策定し実施すること、およびサイバーセキュリティ責任を遂行するための法的権限が十分であるかを評価し、必要に応じて追加の権限を求めることが含まれる。EPAは勧告に同意し、勧告を完了するための措置を講じていると述べた。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected 影響を受ける機関
Environmental Protection Agency 環境保護庁
Recommendation 勧告
The Administrator of EPA should, as required by law, conduct a water sector risk assessment, considering physical security and cybersecurity threats, vulnerabilities, and consequences. (Recommendation 1) EPA長官は、法律で義務付けられているとおり、物理的セキュリティおよびサイバーセキュリティの脅威、脆弱性、影響を考慮した水部門のリスクアセスメントを実施すべきである。(勧告1)
The Administrator of EPA should develop and implement a risk-informed cybersecurity strategy, in coordination with other federal and sector stakeholders, to guide its water sector cybersecurity programs. Such a strategy should include information from a risk assessment and should identify objectives, activities, and performance measures; roles, responsibilities, and coordination; and needed resources and investments. (Recommendation 2) EPA長官は、水関連のサイバーセキュリティプログラムを導くため、他の連邦およびセクターの利害関係者と連携し、リスク情報を活用したサイバーセキュリティ戦略を策定し、実施すべきである。このような戦略には、リスクアセスメントからの情報を含め、目的、活動、パフォーマンス指標、役割、責任、連携、必要なリソースおよび投資を識別すべきである。(勧告2)
The Administrator of EPA should evaluate its existing legal authorities for carrying out EPA's cybersecurity responsibilities and seek any needed enhancements to such authorities from the administration and Congress. (Recommendation 3) EPA長官は、EPAのサイバーセキュリティ責任を遂行するための現行の法的権限を評価し、そのような権限に必要な強化策を政権および議会に求めるべきである。(勧告3)
The Administrator of EPA should submit the Vulnerability Self-Assessment Tool (VSAT) for independent peer review and revise the tool as appropriate. (Recommendation 4) EPA長官は、独立したピアレビューのために脆弱性自己評価ツール(VSAT)を提出し、必要に応じてツールを修正すべきである。(勧告4)

 

 

・[PDF] Full Report

20240830-204809

・[DOCX][PDF] 仮訳

 

・[PDF] Highlights Page

20240830-204919

 


 

 

日本の場合、経済安全保障推進法の「基幹インフラ役務の安定的な提供の確保に関する制度」では、

水道分野の

(1)簡易水道事業以外の水道事業 (給水人口:100万人超)

(2)水道用水供給事業(1日最大給水量:50万㎥超)

が対象となっています。

事業者は、令和6年7月31日現在

(1)簡易水道事業以外の水道事業

札幌市(札幌市水道事業)
仙台市(仙台市水道事業)
さいたま市(さいたま市水道事業)
千葉県(千葉県水道事業)
東京都(東京都水道事業)
神奈川県(神奈川県水道事業)
横浜市(横浜市水道事業)
川崎市(川崎市水道事業)
名古屋市(名古屋市水道事業)
京都市(京都市水道事業)
大阪市(大阪市水道事業)
神戸市(神戸市水道事業)
広島市(広島市水道事業)
北九州市(北九州市水道事業)
福岡市(福岡市水道事業)

(2)水道用水供給事業

宮城県(仙南・仙塩広域水道用水供給事業)
埼玉県(埼玉県水道用水供給事業)
愛知県(愛知県水道用水供給事業)
沖縄県(沖縄県営水道用水供給事業)
北千葉広域水道企業団(北千葉広域水道用水供給事業)
神奈川県内広域水道企業団(神奈川県内広域水道用水供給事業)
大阪広域水道企業団(大阪広域水道企業団水道用水供給事業)
阪神水道企業団(阪神水道企業団用水供給事業)

となっていますね...

 

 

| | Comments (0)

2024.08.30

米国 CISA FBI DC3 米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告

こんにちは、丸山満彦です。

米国のCISA、FBI、国防総省サイバー犯罪センター(DC3)が、共同で、米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告を発表していますね...

一般には、Pioneer Kitten、UNC757、Parisite、Rubidium、Lemon Sandstormとして知られるサイバーアクターということのようです...

 

CISA

プレス...

・2024.08.28 CISA and Partners Release Advisory on Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations

CISA and Partners Release Advisory on Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations CISAとパートナー、米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告を発表
Today, CISA—in partnership with the Federal Bureau of Investigation (FBI) and the Department of Defense Cyber Crime Center (DC3)—released Iran-based Cyber Actors Enabling Ransomware Attacks on U.S. Organizations. This joint advisory warns of cyber actors, known in the private sector as Pioneer Kitten, UNC757, Parisite, Rubidium, and Lemon Sandstorm, targeting and exploiting U.S. and foreign organizations across multiple sectors in the U.S 本日、CISAは連邦捜査局(FBI)および国防省サイバー犯罪センター(DC3)と連携し、「米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者」を発表した。この共同勧告は、民間ではPioneer Kitten、UNC757、Parisite、Rubidium、Lemon Sandstormとして知られるサイバー行為者が、米国内の複数の部門にわたって米国内外の組織を標的にし、悪用していることを警告するものである。
FBI investigations conducted as recently as August 2024 assess that cyber actors like Pioneer Kitten are connected with the Government of Iran (GOI) and linked to an Iranian information technology (IT) company. Their malicious cyber operations are aimed at deploying ransomware attacks to obtain and develop network access. These operations aid malicious cyber actors in further collaborating with affiliate actors to continue deploying ransomware.  2024年8月に行われたFBIの調査では、Pioneer Kittenのようなサイバーアクターはイラン政府(GOI)と関係があり、イランの情報技術(IT)企業とつながっていると評価されている。彼らの悪意あるサイバー活動は、ランサムウェア攻撃を展開し、ネットワークへのアクセスを獲得・発展させることを目的としている。このような活動は、悪意のあるサイバー行為者がランサムウェアを展開し続けるために、関連する行為者とさらに協力することを支援している。
This advisory highlights similarities to a previous advisory, Iran-Based Threat Actor Exploits VPN Vulnerabilities published on Sept. 15, 2020, and provides known indicators of compromise (IOCs) and tactics, techniques, and procedures (TTPs) この勧告は、2020年9月15日に公表された以前の勧告「イランベースの脅威行為者がVPNの脆弱性を悪用する」との類似点を強調し、既知の侵害指標(IOC)および戦術、技術、手順(TTP)を提供している。
CISA and partners encourage critical infrastructure organizations to review and implement the mitigations provided in this joint advisory to reduce the likelihood and impact of ransomware incidents. For more information on Iranian state-sponsored threat actor activity, see CISA’s Iran Cyber Threat Overview and Advisories page CISAとパートナーは、重要インフラ組織がランサムウェアインシデントの可能性と影響を低減するために、この共同勧告で提供されている低減策を検討し、実施することを奨励する。イラン国家が支援する脅威行為者の活動の詳細については、CISAの「イラン・サイバー脅威の概要と勧告」のページを参照のこと。
See #StopRansomware along with the updated #StopRansomware Guide for additional guidance on ransomware protection, detection, and response. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including additional recommended baseline protections. ランサムウェアの防御、検知、対応に関する追加ガイダンスについては、更新された#StopRansomware Guideとともに#StopRansomwareを参照のこと。CISAの「Cross-Sector Cybersecurity Performance Goals」には、推奨される基本的防御の追加など、CPGの詳細が掲載されている。

 

 

・2024.08.28 Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations

Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations 米国の組織に対するランサムウェア攻撃を可能にするイランベースのサイバー行為者
Alert Code AA24-241A アラートコード AA24-241A
Summary 概要
The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), and the Department of Defense Cyber Crime Center (DC3) are releasing this joint Cybersecurity Advisory (CSA) to warn network defenders that, as of August 2024, a group of Iran-based cyber actors continues to exploit U.S. and foreign organizations. This includes organizations across several sectors in the U.S. (including in the education, finance, healthcare, and defense sectors as well as local government entities) and other countries (including in Israel, Azerbaijan, and the United Arab Emirates). The FBI assesses a significant percentage of these threat actors’ operations against US organizations are intended to obtain and develop network access to then collaborate with ransomware affiliate actors to deploy ransomware. The FBI further assesses these Iran-based cyber actors are associated with the Government of Iran (GOI) and—separate from the ransomware activity—conduct computer network exploitation activity in support of the GOI (such as intrusions enabling the theft of sensitive technical data against organizations in Israel and Azerbaijan). 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、および国防総省サイバー犯罪センター(DC3)は、2024年8月現在、イランを拠点とするサイバー行為者グループが米国内外の組織を悪用し続けていることをネットワーク防御者に警告するため、この共同サイバーセキュリティ勧告(CSA)を発表する。これには、米国(教育、金融、医療、防衛の各セクターや地方政府事業体など)および他国(イスラエル、アゼルバイジャン、アラブ首長国連邦など)の複数のセクターの組織が含まれる。FBIは、米国の組織に対するこれらの脅威行為者の活動のかなりの割合が、ランサムウェア関連行為者と協力してランサムウェアを展開するために、ネットワークへのアクセスを取得し、開発することを目的としているとアセスメントしている。FBI はさらに、これらのイランを拠点とするサイバー行為者はイラン政府(GOI)と関連しており、ランサムウェアの活動とは別に、GOI を支援するためのコンピュータ・ネットワークの搾取活動(イスラエルやアゼルバイジャンの組織に対する機密技術データの窃取を可能にする侵入など)を行っているとアセスメントしている。
This CSA provides the threat actor’s tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs), as well as highlights similar activity from a previous advisory (Iran-Based Threat Actor Exploits VPN Vulnerabilities) that the FBI and CISA published on Sept. 15, 2020. The information and guidance in this advisory are derived from FBI investigative activity and technical analysis of this group’s intrusion activity against U.S. organizations and engagements with numerous entities impacted by this malicious activity. 本 CSA は、脅威行為者の戦術、技術、手順(TTPs)、および侵害の指標(IOCs)をプロバイダとして提供するとともに、FBI と CISA が 2020 年 9 月 15 日に発表した前回の勧告(Iran-Based Threat Actor Exploits VPN Vulnerabilities)から同様の活動をハイライトしている。この勧告に記載されている情報とガイダンスは、米国組織に対するこのグループの侵入活動に関するFBIの調査活動と技術分析、およびこの悪質な活動によって影響を受けた多数の事業体との関わりから得られたものである。
The FBI recommends all organizations follow guidance provided in the Mitigations section of this advisory to defend against the Iranian cyber actors’ activity. FBI は、すべての組織がイランのサイバー行為者の活動から防御するために、本勧告の「低減」のセクションに記載されているガイダンスに従うことを推奨する。
If organizations believe they have been targeted or compromised by the Iranian cyber actors, the FBI and CISA recommend immediately contacting your local FBI field office for assistance and/or reporting the incident via CISA’s Incident Reporting Form (see the Reporting section of this advisory for more details and contact methods). 組織がイランのサイバー行為者に標的とされた、または侵害されたと思われる場合、FBIおよびCISAは、直ちに最寄りのFBI支部に連絡して支援を求めるか、CISAのインシデント報告フォーム(詳細および連絡方法については、本勧告の「報告」のセクションを参照)を通じてインシデントを報告することを推奨する。
For more information on Iran state-sponsored malicious cyber activity, see CISA’s Iran Cyber Threat webpage. イラン国家が支援する悪質なサイバー活動の詳細については、CISAの「イランのサイバー脅威」ウェブページを参照のこと。

 

・[PDF]

20240829-124446

 


 

 

| | Comments (0)

2024.08.29

内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理 (2024.08.07)

こんにちは、丸山満彦です。

仕掛かりのまま放置していたのですが、月が変わる前にと思い、とりあえず...

 

気になった点

Ⅰ.官民連携の強化

0 対応能力向上のための官民連携の必要性

  • ・インシデントの報告窓口の一本化やフォーマットの統一すべき
  • ・数の上で90%以上を占める中小企業の対策は絶対的に必要

1 高度な攻撃に対する支援・情報提供

  • ・情報共有が最も重要
  • ・被害企業から情報を報告してもらうには、インセンティブの設計が大事
  • ・政府が情報を受け取るだけでなく、率先して情報を示していくべき
  • ・アナリスト向けの技術情報に加え、経営層が判断を下す際に必要な国際情勢、地政学といった視点からの情報も共有すべき
  • ・攻撃者の手法に関する具体的情報の提供も必要
  • ・仮想通貨の移動を分析することも有効
  • ・情報提供はNISCのもとに官民の協議会を置く体制
  • ・緊急性の高い情報発信はワンボイスで行うべき
  • ・ISAC間のノウハウ共有を政府が支援してはどうか
  • ・国内技術による自立性

2 ソフトウェア等の脆弱性対応

  • ・約3万件の脆弱性が報告されているが、攻撃に悪用されているのは1%未満。悪用されている脆弱性に優先的に手当てをすることが重要
  • ・官民が連携してゼロデイ脆弱性を早期認知・対処できるよう、システム開発やセキュリティ監視等を担うベンダとの連携を深めるべき
  • ・安全性のテスト基準などベンダの規律を設定し、セキュアな製品の提供や脆弱性情報の報告等を求めるべき
  • ・SBOMやセキュアバイデザイン・セキュアバイデフォルトを推進すべき
  • ・国内で悪用されている脆弱性情報を一元的に分かりやすく発信すべき

3 政府の情報提供・対処を支える制度

  • ・影響の大きさに応じたインシデント報告を義務化し、情報共有を促進すべきで
  • ・デジタルインフラと電力は特に重要なインフラとして扱うべき
  • ・報告された情報の利用目的を明確化し、情報の不用意な流出や、制裁目的での利用防止を規定すべき

 

Ⅱ.通信情報の利用

1 攻撃実態解明のための通信情報利用の必要性

  • ・通信情報を分析することにより、攻撃の実態を把握することが必要
  • ・日本独自の情報収集が必要
  • ・通信情報の利用が、安全保障目的のインテリジェンス活動の中核

2 通信情報の利用の範囲及び方式

  • ・外国が関係する通信について分析する必要が特にあ
  • ・メールの中身を逐一全て見るようなことは、サイバー防御では適当とは言えない行為
  • ・サイバー防御に必要な情報を取り出すため、機械的にデータを選別するとともに、検索条件等で絞っていくなどの工夫が必要

3 通信の秘密との関係

  • ・コミュニケーションの本質的な内容ではない通信情報も、憲法上の通信の秘密として適切に保護
  • ・法律により公共の福祉のために必要かつ合理的な制限を受けることが認められている
  • ・具体的な制度設計の各場面において、通信の秘密との関係を考慮しつつ丁寧な検討を行うべき
  • ・実体的な規律とそれを遵守するための組織・手続き的な仕組み作りが必要
  • ・独立機関は重要。各国の司法制度等との関係や日本の他法での類例を含め、検討していくべきではないか。

4 電気通信事業者の協力

  • ・電気通信事業者が直面し得る訴訟等のリスク及び通信ネットワーク運営に対する負担について、回避策を検討していくべき

5 国民の理解を得るための方策

  • ・独立機関の構成や業務の在り方が重要

 

Ⅲ.アクセス・無害化・

1 サイバー空間の特徴を踏まえた実効的な制度構築

  • ・従来の法執行システムと接合的で連続的な仕組みとして構想
  • ・無害化に当たっては、政治・外交等の手段も活用していく必要があることも踏まえると、行政的作用法で規律されるのが妥当
  • ・危害防止のための措置を即時執行として行うことを可能としている警察官職務執行法を参考とすべき

2 措置の実施主体

  • ・防衛省や自衛隊、警察等が保有する能力を活用すること、その能力を高度化することが重要

3 措置の対象

  • ・無害化措置の対象としては通信・電力などのインフラ等が優先順位が高い
  • ・サプライチェーンを構成する中小企業のレジリエンス強化
  • ・サプライチェーン全体のレジリエンス強化に向けて、ガイドラインの策定のみならず実行に必要なリソース支援、政府調達要件への採用等も検討すべき

4 アクセス・無害化措置と国際法との関係

  • ・具体的にどの行為が主権侵害に当たるか、確定することは困難。
  • ・緊急避難の方が違法性阻却事由として援用しやすいのではないか。

5 制度構築に当たっての留意点

  • ・比例原則を遵守し、必要な範囲で実施されるものであるべき
  • ・独立性を持った機関が事後監査を行うこととすべき
  • ・誤って無害か措置をした場合のセーフティーネットについての議論も必要

6 運用に当たっての留意点

  • ・中継ネットワークが所在する国との連携が重要
  • ・攻撃グループのアトリビューションが必要
  • ・公開情報のみの収集には限界
  • ・極めて高い専門性を有する専門家の協力が必要
  • ・サイバー対処の現場には、法律家等含めて各分野に精通した人材がいることが重要で

Ⅳ.横断的課題

1 サイバーセキュリティ戦略本部・NISC・関係省庁が連携した施策の推進

  • ・事案が発生したときに、司令塔として関連省庁に指示を出す組織だとすれば、有識者の関わり方、構成の在り方を検討すべき
  • ・地方公共団体についても、政府が横断的な指令塔としての役割を果たせるようにすべき

2 重要インフラ事業者等の対策強化

  • ・衛星測位関連システムの役割は増大している。

3 政府機関等の対策強化

  • 政府主導で高品質な国産セキュリティ製品、サービス供給の強化を支援すべき

4 サイバーセキュリティ人材の育成・確保

  • ・政府主導で人材定義の可視化を検討するとともに、必要な人数・規模についてもメッセージを示すべき
  • ・CISOを組織で重要視すべき
  • ・サイバーセキュリティを担う人材のインセンティブが重要
  • ・NISC等の政府機関との官民人材交流に関する枠組みを導入すべき

5 中小企業を含めた対策強化

  • ・中小企業の事業継続・セキュリティ対策の支援

6 その他の論点

政府の司令塔は、インテリジェンス能力を高め、技術・法律・外交等の多様な分野の専門家を官民から結集し、強力な情報収集・分析、対処調整の機能を有する組織とすべき

 

内閣官房 - サイバー安全保障分野での対応能力の向上に向けた有識者会議

・2024.08.07 [PDF] これまでの議論の整理(概要)

20240829-30831

 

・[PDF] これまでの議論の整理

20240829-30803

目次...

Ⅰ.官民連携の強化
0 対応能力向上のための官民連携の必要性
 ① 重要インフラ等への攻撃の高度化
 ② 重要インフラ等のデジタル化
 ③ 社会全体の強靱化の必要性

1 高度な攻撃に対する支援・情報提供
 ① 政府の役割について
 ② 提供されるべき情報について
 ③ 情報提供の方法について

2 ソフトウェア等の脆弱性対応
 ① ベンダの責務について
 ② 脆弱性情報等の提供について

3 政府の情報提供・対処を支える制度
 ① インシデント報告の義務化、情報共有を促進する仕組みについて
 ② インシデント報告の迅速化について
 ③ 報告された情報の取扱いについて

Ⅱ.通信情報の利用
1 攻撃実態解明のための通信情報利用の必要性
2 通信情報の利用の範囲及び方式
3 通信の秘密との関係
4 電気通信事業者の協力
5 国民の理解を得るための方策
別添 英国及びドイツにおける通信情報の利用と通信の秘密又は人権との関係

Ⅲ.アクセス・無害化
1 サイバー空間の特徴を踏まえた実効的な制度構築
2 措置の実施主体
3 措置の対象
4 アクセス・無害化措置と国際法との関係
5 制度構築に当たっての留意点
6 運用に当たっての留意点

Ⅳ.横断的課題
1 サイバーセキュリティ戦略本部・NISC・関係省庁が連携した施策の推進
2 重要インフラ事業者等の対策強化
3 政府機関等の対策強化
4 サイバーセキュリティ人材の育成・確保
5 中小企業を含めた対策強化
6 その他の論点

 


 

委員会での資料等...

2024.08.06 第3回 議事次第  
    資料1 サイバー安全保障分野での対応能力の向上に向けた有識者会議これまでの会議開催実績
    資料2-1 サイバー安全保障分野での対応能力の向上に向けた有識者会議これまでの議論の整理(案)(概要)
    資料2-2 サイバー安全保障分野での対応能力の向上に向けた有識者会議これまでの議論の整理(案)
    資料3 官民連携に関するテーマ別会合(第1回) 資料(令和6年7月3日)
    資料3-1 御議論いただきたい事項
    資料3-2 事務局資料
    資料3-3 参考資料
    資料3-4 議事要旨
    資料3-5 議論の概要
    資料4 官民連携に関するテーマ別会合(第2回) 資料(令和6年7月23日)
    資料4-1 これまでの議論の整理 素案 概要
    資料4-2 これまでの議論の整理(素案) 
    資料4-3 参考資料
    資料4-4 議事要旨
    資料4-5 議論の概要
    資料5 通信情報の利用に関するテーマ別会合(第1回) 資料(令和6年6月19日、20日)
    資料5-1 御議論いただきたい事項
    資料5-2 事務局資料
    資料5-3 能動的サイバー防御に関連する論点(⼟屋⼤洋)
    資料5-4 参考資料(サイバー攻撃の情勢とこれまでの政府の取組)
    資料5-5 英国調査権限法(Investigatory Powers Act:IPA2016)~調査権限法の構成・内容と調査権限をめぐる司法判断~ (田川義博)
    資料5-6 「通信の秘密」の日独比較(小西葉子)
    資料5-7 議事要旨
    資料5-8 議事の概要
    資料6 通信情報の利用に関するテーマ別会合(第2回) 資料(令和6年7月26日)
    資料6-1 先進主要国における通信情報利用の実施過程とその制限・監督
    資料6-2 これまでの議論の整理 素案 概要
    資料6-3 これまでの議論の整理(素案)
    資料6-4 議事要旨
    資料6-5 議事の概要
    資料7 アクセス・無害化措置に関するテーマ別会合(第1回) 資料(令和6年7月1日)
    資料7-1 御議論いただきたい事項
    資料7-2 事務局資料
    資料7-3 警察におけるこれまでの取組等(警察庁サイバー警察局)
    資料7-4 防衛省・自衛隊におけるこれまでの取組等(防衛省)
    資料7-5 アクセス・無害化措置と国際法の関係 -能動的サイバー防御(ACD)の国際法上の評価-(酒井啓亘)
    資料7-6 参考資料(サイバー攻撃の情勢)
    資料7-7 議事要旨
    資料7-8 議論の概要
    資料8 アクセス・無害化措置に関するテーマ別会合(第2回) 資料(令和6年7月24日)
    資料8-1 サイバー安全保障における政府に求められる役割(髙見澤將林)
    資料8-2 事務局資料
    資料8-3 これまでの議論の整理 素案 概要
    資料8-4 これまでの議論の整理(素案)
    資料8-5 議事要旨
    資料8-6 議論の概要 1
    議事要旨  
2024.07.08 第2回 議事次第  
    議事次第  
    資料1 サイバー安全保障分野での対応能力の向上に向けた有識者会議に対する経団連意見(日本経済団体連合会)
    資料2 伊藤 穰一
    資料3 ヒアリング資料(日本商工会議所)
    資料4 官民連携に関するテーマ別会合(第1回) 資料(令和6年7月3日)
    資料4-1 御議論いただきたい事項
    資料4-2 事務局資料
    資料4-3 参考資料
    資料5 通信情報の利用に関するテーマ別会合(第1回) 資料(令和6年6月19日、20日)
    資料5-1 御議論いただきたい事項
    資料5-2 事務局資料
    資料5-3 能動的サイバー防御に関連する論点(⼟屋⼤洋)
    資料5-4 参考資料(サイバー攻撃の情勢とこれまでの政府の取組)
    資料5-5 英国調査権限法(Investigatory Powers Act:IPA2016)~調査権限法の構成・内容と調査権限をめぐる司法判断~ (田川義博)
    資料5-6 「通信の秘密」の日独比較(小西葉子)
    資料6 アクセス・無害化措置に関するテーマ別会合(第1回) 資料(令和6年7月1日)
    資料6-1 御議論いただきたい事項
    資料6-2 事務局資料
    資料6-3 警察におけるこれまでの取組等(警察庁サイバー警察局)
    資料6-4 防衛省・自衛隊におけるこれまでの取組等(防衛省)
    資料6-5 アクセス・無害化措置と国際法の関係 -能動的サイバー防御(ACD)の国際法上の評価-(酒井啓亘)
    資料6-6 参考資料(サイバー攻撃の情勢)
    議事要旨  
2024.06.07 第1回 議事次第  
    資料1 サイバー安全保障分野での対応能力の向上に向けた有識者会議の開催について
    資料2 サイバー安全保障分野での対応能力の向上に向けた有識者会議運営要領
    資料3 サイバー安全保障分野での対応能力の向上に向けて
    議事要旨  
根拠・構成員    

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.10 内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議

 

 

| | Comments (0)

OXFORD JOURNAL of Cybersecurity 戦争においてサイバー作戦の有用性は限界的

こんにちは、丸山満彦です。

興味深い分析です。

戦争における攻撃的サイバー作戦の利用は、もはや机上の空論ではないものの、通常の戦闘において攻撃的サイバー作戦は

  • ・どのように利用され、
  • ・戦闘におけるその有用性とは何なのか?

というのは、まだよく検討されていない。ということで、

  • ・ウクライナ・ロシア紛争から得られた新たな実証的証拠を分析し、
  • ・攻撃的サイバー作戦を体系的に分析・理解するために構築された新しいTECIモデル(モデルの4つの構成変数:標的、影響、複雑性、統合)を活用し、

検討しています。

結論からいうと、「攻撃的なサイバー作戦が戦争において限定的な有用性しか持たない」ということのようです...

比較する対象が爆弾ですから、常識的に考えたら、そうでしょうね..爆弾で破壊しづらいのはなにか?というと、データでしょうから、その分野については、効果の面ではあるかも...ということでしょうね...

 

OXFORD - JOURNAL of Cybersecurity  - Volume 10, Issue 1 2024

Narrow windows of opportunity: the limited utility of cyber operations in war 

目次...

Abstract 要旨
Introduction 序文
Cyber conflict studies: from cyber war to cyber operations サイバー紛争研究:サイバー戦争からサイバー作戦へ
The TECI-model for understanding cyber operations in war 戦争におけるサイバー作戦を理解するためのTECIモデル
A systematic analysis of Russian cyber operations in Ukraine ウクライナにおけるロシアのサイバー作戦の体系的分析
Targets ターゲット
Effects 影響
Complexity 複雑性
Integration 統合
Four notable trends 4つの注目すべき傾向
Limited with exceptions: the utility of cyber operations in war 例外はあるが限定的:戦争におけるサイバー作戦の有用性
Strategic utility 戦略的有用性
Operational utility 作戦的有用性
Tactical utility 戦術的有用性
Conclusions 結論

 

 

Narrow windows of opportunity: the limited utility of cyber operations in war 狭い機会の窓:戦争におけるサイバー作戦の限定的な有用性
Abstract 要約
The use of offensive cyber operations in war is no longer theoretical conjecture. Still, as we witness their use, important questions remain. How are offensive cyber operations employed in conventional warfighting, and what is their utility for the warfighting? This article answers these questions by analyzing new empirical evidence from the Russo–Ukrainian War, drawing on the novel TECI-model built for systematically analyzing and understanding offensive cyber operations in war through the model’s four constituent variables: target, effect, complexity, and integration. The article finds the utility of cyber operations in war is limited owing to an unsuitability for physical destruction, high risks of failure, high costs of complex operations that are more likely to attain successful and destructive effects, and a dichotomy between the tempi of conventional and cyber operations leading to cross-domain integration difficulties. Still, two narrow windows for achieving utility exist. Cumulative strategic utility is achievable by targeting critical infrastructure and governments in a persistent barrage of less complex cyber operations. Operational and tactical utility is achievable in the beginning of warfighting where the temporal dichotomy is less pronounced because cross-domain integration can be planned before warfighting commences. Filling a gap in the literature, TECI provides a common and operationalized model for future research systematically analyzing cyber operations, allowing for comparisons on the evolving role of cyberspace in war. 戦争における攻撃的サイバー作戦の利用は、もはや机上の空論ではない。しかし、その利用を目撃する中で、依然として重要な疑問が残っている。通常戦闘において攻撃的サイバー作戦はどのように利用され、戦闘におけるその有用性とは何なのか? 本稿では、ウクライナ・ロシア紛争から得られた新たな実証的証拠を分析し、攻撃的サイバー作戦を体系的に分析・理解するために構築された新しいTECIモデル(モデルの4つの構成変数:標的、影響、複雑性、統合)を活用しながら、これらの疑問に答える。本記事では、物理的な破壊には不向きであること、失敗のリスクが高いこと、複雑な作戦には高いコストがかかること、成功と破壊的な効果を得る可能性が高いこと、そして、従来の作戦とサイバー作戦のテンポが異なることで、領域横断的な統合が困難になることなどから、戦争におけるサイバー作戦の有用性は限定的であると結論づけている。しかし、有用性を達成できる2つの狭いウィンドウが存在する。累積的な戦略的有用性は、複雑性の低いサイバー作戦を継続的に実施し、重要なインフラと政府を標的にすることで達成できる。戦闘作戦の初期においては、時間的な二分法がそれほど顕著ではないため、戦闘作戦開始前にクロスドメイン統合を計画することが可能であり、作戦上および戦術上の有用性を達成することができる。TECIは、サイバー作戦を系統的に分析し、戦争におけるサイバー空間の進化する役割の比較を可能にする、将来の研究のための共通かつ運用化されたモデルを提示することで、この分野における研究のギャップを埋める。
Introduction 序文
On 24 February 2022, Russia launched a full-scale invasion of Ukraine, prompting conventional warfighting in all three classical domains of the air, sea, and land [1]. A newer domain —cyberspace— also saw action. Already in the lead-up to the war, Russia conducted cyber operations targeting the Ukrainian government and critical infrastructure [2]. When conventional warfighting broke out, more cyber operations followed. Russia’s invasion of Ukraine is thus historic; it is one of the first conventional wars involving military operations in cyberspace [3]. Although cyber operations are clearly used, it is less clear what they mean for the warfighting. Are they useful or ineffectual? 2022年2月24日、ロシアはウクライナへの全面侵攻を開始し、空、海、陸の3つの古典的な領域すべてにおいて通常戦闘が開始された[1]。新しい領域であるサイバー空間でも活動が確認された。戦争に先立つ段階で、ロシアはすでにウクライナ政府と重要インフラを標的としたサイバー作戦を実施していた[2]。通常戦が勃発すると、さらに多くのサイバー作戦が続いた。 このように、ロシアによるウクライナ侵攻は歴史的なものであり、サイバー空間における軍事作戦を伴う初めての通常戦争のひとつである [3]。 サイバー作戦が明確に使用されているとはいえ、それが戦闘にどのような影響を与えるかは明確ではない。 それらは有用なのか、それとも無力なのか?
Cyber scholars have sought to answer this question for a long time. Many assumptions about the utility of cyber operations have been based on a few oft-cited incidents, however, due to a lack of data [4–6]. Despite this, scholars have made important contributions in recent years to the emerging field of cyber conflict studies and to our understanding of the utility of cyber operations in particular. Initially, the field was characterized by a broad discussion on the possible revolutionary potential of cyber war [7–12]. More recently, situating International Relations concepts in the context of the unique traits of cyberspace, scholars have moved toward a more detailed study of whether and how offensive cyber operations can produce strategic and operational effects in and outside the context of warfighting [5, 6, 13–21]. サイバー学者たちは長い間、この疑問の答えを模索してきた。しかし、サイバー作戦の有用性に関する多くの想定は、データ不足により、よく引用されるいくつかのインシデントに基づいていた [4-6]。 にもかかわらず、学者たちは近年、台頭しつつあるサイバー紛争研究の分野、特にサイバー作戦の有用性に対する我々の理解に重要な貢献をしてきた。当初、この分野はサイバー戦争の革命的な可能性について幅広い議論が行われていたのが特徴であった [7–12]。 さらに最近では、国際関係論の概念をサイバー空間の独特な特性を踏まえた文脈に位置づけ、攻撃的なサイバー作戦が戦時および戦時以外の状況において戦略的および戦術的な効果を生み出すことができるかどうか、また、その方法について、より詳細な研究が行われるようになってきた [5, 6, 13–21]。
Now, the Russo–Ukrainian War provides novel data allowing us to revisit debates in cyber conflict studies and assess some of the common assumptions. Several scholars have already studied the use of cyber operations in the war [22–32]. While these studies constitute important steps toward a more data-driven discussion of cyber operations, the field lacks a firm basis for comparing findings across different studies, which are often disparate in methodology. We make up for this by formulating a model capable of serving as the common basis for analyzing cyber operations in war. そして今、ロシア・ウクライナ戦争は、サイバー紛争研究における議論を再考し、一般的な想定の一部をアセスメントするための新たなデータを提供している。すでに複数の学者が、この戦争におけるサイバー作戦の利用について研究している [22-32]。これらの研究は、よりデータ主導のサイバー作戦の議論に向けた重要なステップであるが、この分野では、方法論がしばしば異なるさまざまな研究における調査結果を比較するための確固たる基盤が欠如している。この欠点を補うため、本稿では戦争におけるサイバー作戦を分析するための共通の基盤となり得るモデルを構築する。
Besides characterizing the utility of offensive cyber operations in warfighting based on a systematic analysis of data from the Russo–Ukrainian War, this article contributes to the literature by formulating the novel TECI-model named for its four variables of analysis: target, effect, complexity, and integration. The TECI-model is tailored to deliver insights on the utility of cyber operations in war and it serves as a common model for future research on the Russo–Ukrainian War and other conflicts, improving the field’s ability to compare and track the evolving use of cyber operations in war. 本稿では、ウクライナ・ロシア戦争のデータを系統的に分析した結果に基づいて、戦争における攻撃的サイバー作戦の有用性を特徴づけるだけでなく、分析の4つの変数(ターゲット、影響、複雑性、統合)にちなんで名付けられた新しいTECIモデルを構築することで、この分野の研究に貢献する。TECIモデルは、戦争におけるサイバー作戦の有用性に関する洞察を提供するように調整されており、ロシア・ウクライナ戦争やその他の紛争に関する今後の研究のための共通モデルとして役立つ。これにより、戦争におけるサイバー作戦の進化する利用状況を比較・追跡する能力が向上する。
Empirically, the article draws mainly on material published by the CyberPeace Institute (CPI) and Microsoft, including both their April and June 2022 reports (We acknowledge that the sources are not free from bias and compensate by cross-checking between multiple sources [33]. Microsoft has commercial interests in cybersecurity and supplies the Ukrainian government with services used to defend against Russian operations. CPI delivers services to Ukrainian NGOs. To strengthen the data’s credibility, this article disregards any value-based assessments of cyber events made by either Microsoft or CPI and uses only fact-based descriptions and technical analyses. These are then cross-checked when possible. The data consist of descriptions and technical analyses of cyber operations conducted in Ukrainian cyberspace by Russian state actors from January until December 2022 (The dataset will be made available upon request by contacting the authors). Using material from both sources serves as a control of their accuracy. The sources are cross-checked to find common trends that, thus constitute a more representative sample of operations in Ukrainian cyberspace. However, publicly available data most likely do not represent a full picture of Ukrainian cyberspace due to the fog of war. Different trends may emerge if more data were released, in which case further research should be conducted. 経験則として、この記事では主にサイバーピース研究所(CPI)とマイクロソフトが発表した資料を引用している。これには、2022年4月と6月の両方の報告書が含まれる(出典にはバイアスが含まれている可能性があることを認めているが、複数のソース間のクロスチェックにより補っている[33]。マイクロソフトはサイバーセキュリティに商業的利益を持っており、ウクライナ政府にロシアの作戦から防御するためのサービスを提供している。CPIはウクライナのNGOにサービスを提供している。データの信頼性を高めるため、本記事ではマイクロソフト社またはCPI社によるサイバーイベントの価値に基づくアセスメントは無視し、事実に基づく記述と技術的分析のみを使用する。 可能な場合は、これらの記述を相互に確認する。 データは、2022年1月から12月にかけてウクライナのサイバー空間でロシアの国家主体によって実施されたサイバー作戦の記述と技術的分析で構成されている(データセットは著者に問い合わせれば入手可能)。両方のソースからの資料を使用することで、その正確性を制御することができる。ソースを相互に確認することで、共通する傾向を見つけ出し、ウクライナのサイバー空間における作戦のより代表的なサンプルを構成する。しかし、公開されているデータは、戦場の霧により、ウクライナのサイバー空間の全体像を表している可能性は低い。より多くのデータが公開されれば、異なる傾向が現れる可能性があり、その場合はさらなる調査が必要となる。
The empirical evidence is analyzed through the TECI-model. The model contains four variables that describe essential aspects of offensive cyber operations in war, namely the target, effect, and complexity of a cyber operation as well as its integration with conventional military operations. The variables were chosen for their ability to provide insights necessary for assessing the utility of cyber operations in warfighting, as evaluated by the analysis in this article. TECI thus elucidates how military actors employ cyber operations in warfighting, which allows us to determine their strategic, operational, and tactical utility. 実証的証拠はTECIモデルで分析される。このモデルには、戦争における攻撃的なサイバー作戦の重要な側面を説明する4つの変数、すなわちサイバー作戦のターゲット、影響、複雑性、そして通常軍事作戦との統合が含まれている。これらの変数は、本記事の分析によって評価されたように、戦闘におけるサイバー作戦の有用性をアセスメントするために必要な洞察力を提供する能力に基づいて選択された。TECIは、軍事関係者が戦闘においてサイバー作戦をどのように利用しているかを明らかにし、それによって、その戦略的、戦術的、および戦術的な有用性を判断することを可能にする。
The article finds that Russia’s military cyber operations have generally been of limited utility for the conventional warfighting in Ukraine except for in two circumstances. These findings may not be generalizable to future wars, however, for example due to idiosyncratic decisions by Russian cyber forces and the particular composition of Ukrainian cyberspace as well as actions by Western actors [30, 31]. Wars may unfold in ways that lessen or exacerbate the limitations and windows of opportunity found in this article. Still, the findings are indicative of the current state of affairs, and the TECI-model is readily applicable for systematically analyzing future wars. 本記事では、ロシア軍のサイバー作戦は、ウクライナにおける通常戦闘においては、2つの状況を除いて、概して限定的な効果しか持たなかったと結論づけている。ただし、この結論は、例えばロシアのサイバー部隊の特異な決定やウクライナのサイバー空間の特殊な構成、および西側諸国の行動などにより、将来の戦争に一般化できるものではない可能性がある[30, 31]。戦争は、本記事で発見された限界や機会の窓を軽減または悪化させる形で展開する可能性がある。それでも、この調査結果は現状をよく表しており、TECIモデルは今後の戦争を体系的に分析する際に容易に適用できる。
On the face of it, Russian cyber operations have had a large potential for affecting the warfighting by repeatedly targeting Ukrainian government entities in addition to critical infrastructure, as shown in our analysis. This potential is limited by four other trends, however, with each trend speaking to assumptions in the literature as explained below. No particular trend can be singled out as more significant than the rest in limiting the utility of the cyber operations. 一見したところ、ロシアのサイバー作戦は、分析で示したように、重要インフラに加えてウクライナ政府の事業体を繰り返し標的にすることで、戦闘に大きな影響を与える可能性を秘めている。しかし、この可能性は、以下で説明する文献上の想定と関連する4つの他の傾向によって制限されている。サイバー作戦の有用性を制限する上で、他の傾向よりも特に重要な傾向は見当たらない。
First, Russian cyber operations rarely sought physical destruction, opting instead for destruction of data which lowered their potential utility in warfighting. This trend supports the widely shared assumption in the literature that cyber operations are unsuited for physical destruction [5, 7, 20]. Second, the effects of Russian cyber operations as encoded in their payloads often failed to materialize. This suggests that cyberspace in fact favors the defense with respect to the offense–defense balance, contrary to the common assumption that cyberspace is offense dominant [34, 35]. Third, Russian state actors have tended to recycle already known malware families [36]. This decreased their ability to avoid detection by defensive measures, which partly explains the second trend of absent effects. The third trend, thus speaks to the transience of cyber weapons, confirming the assumption that offensive cyber operations eventually lose their utility without the continuous but costly development of novel cyber weapons [15, 37, 38]. Fourth, cyber operations were seldom integrated into conventional military operations, lowering their potential utility for the warfighting. This supports the common assumption that integrating cyber capabilities with other capabilities is difficult [16, 39, 40]. 第一に、ロシアのサイバー作戦は物理的な破壊をめったに求めず、代わりに戦闘における有用性を低下させるデータの破壊を選択している。この傾向は、サイバー作戦は物理的な破壊には適していないという文献で広く共有されている想定を裏付けるものである[5, 7, 20]。第二に、ペイロードにエンコードされたロシアのサイバー作戦の効果は、しばしば実現しなかった。これは、サイバー空間は攻撃優位であるという一般的な想定とは逆に、実際には攻撃と防御のバランスにおいて防御が優位であることを示唆している[34, 35]。第3に、ロシアの国家主体は既知のマルウェアファミリーを再利用する傾向にある[36]。これにより、防御策による検知を回避する能力が低下し、効果が見られないという第2の傾向を部分的に説明している。第3の傾向は、サイバー兵器の短命さを物語っており、攻撃的なサイバー作戦は、継続的に、しかし費用のかかる新たなサイバー兵器の開発を行わなければ、最終的にはその有用性を失うという想定を裏付けるものである[15, 37, 38]。第4に、サイバー作戦は通常、従来の軍事作戦に統合されることはまれであり、戦闘における潜在的有用性を低下させている。これは、サイバー能力を他の能力と統合することは困難であるという一般的な想定を裏付けるものである[16, 39, 40]。
The article finds two explanations for these limitations. The first explanation concerns the temporal characteristics of operations. Contrasted with conventional warfighting, cyber operations tend to be slower to plan and stage as well as more uncertain in their ability to execute precisely timed effects. There is, in a nutshell, an incongruity between the relatively slow cyber operation and the fast-paced conventional operation. This explains why Russian cyber operations were infrequently integrated with conventional operations, and why conventional means such as missile strikes were likely preferred when destructive effects were sought. The second explanation is the high cost of cyber operations that rely on novel and target-specific malware and tools. Such highly complex operations are more likely to be successful and to achieve destructive effects. It is prohibitively difficult for most actors to continuously conduct such complex and costly operations, however, explaining why Russia began recycling malware a few weeks into the invasion. This limited the operations’ chances of successful and destructive effects as well as their utility. 本記事では、こうした限界に対する2つの説明を提示している。1つ目の説明は、作戦の時間的特性に関するものである。従来の戦争遂行と比較すると、サイバー作戦は計画や準備に時間がかかり、また、正確なタイミングで効果を出す能力に不確実性が高い傾向がある。一言で言えば、比較的遅いサイバー作戦とテンポの速い通常作戦との間に不整合があるということだ。これが、ロシアのサイバー作戦が通常作戦と統合されることが少なかった理由であり、破壊的な効果を求める場合にはミサイル攻撃などの通常手段が好まれた理由である。2つ目の説明は、新規で標的特有のマルウェアやツールに依存するサイバー作戦のコストが高いことである。このような高度に複雑な作戦は成功する可能性が高く、破壊的な効果を達成できる可能性も高い。しかし、ほとんどの行為者にとって、このような複雑でコストのかかる作戦を継続的に行うことは法外に難しい。これが、ロシアが侵攻から数週間後にマルウェアのリサイクルを開始した理由である。これにより、作戦の成功と破壊的な効果の可能性、およびその実用性が制限された。
As exceptions to this general trend of limited utility, however, the article finds two sets of circumstances —narrow windows of opportunity— in which cyber operations can affect conventional warfighting. Both windows of opportunity are evident in the analyzed data from the Russo–Ukrainian War. しかし、この限定的な実用性という一般的な傾向に対する例外として、この記事では、サイバー作戦が通常戦闘に影響を与えることができる2つの状況、すなわち「狭い機会の窓」を見出している。この2つの機会の窓は、ロシア・ウクライナ戦争の分析データから明らかになっている。
The first narrow window of opportunity is a cumulative impact on the strategic level of warfighting. This is achieved by undermining national resources and instruments of power through the persistent targeting of critical infrastructure and government entities as well as forcing the defender to direct resources to defensive cyber capabilities instead of conventional warfighting. The second window of opportunity is an impact on the operational and tactical levels of warfighting specific to the beginning of a war. The incongruity between the slow cyber operation and the fast conventional operation, which otherwise hinders operational and tactical utility, is less applicable right when warfighting commences. The slow aspects of a cyber operation can be conducted before war breaks out, rendering its delivery of effects fast-paced in the war’s beginning. This improves its ability to integrate into conventional operations and so also its chance of generating operational or tactical advantages. In these narrow ways, cyber operations can achieve significance and impact the warfighting despite their otherwise limited utility. 最初の狭い機会は、戦争遂行における戦略レベルへの累積的な影響である。これは、重要なインフラや政府事業体を継続的に標的にすることで国家資源や権力手段を弱体化させ、また防御側が通常戦闘ではなく防御的なサイバー能力にリソースを集中させることを余儀なくさせることによって達成される。2つ目の機会は、戦争の初期に特有の、戦争遂行における作戦および戦術レベルへの影響である。サイバー作戦の遅さと通常作戦の速さの不整合は、通常作戦や戦術の有用性を妨げるが、戦争が始まった直後は、その不整合はあまり当てはまらない。サイバー作戦の遅い側面は、戦争が勃発する前に実施することができ、戦争の初期段階では、その効果の実現が迅速になる。これにより、通常作戦への統合能力が改善され、通常作戦や戦術上の優位性を生成する可能性も高まる。このように限定的な方法ではあるが、サイバー作戦は意義を達成し、戦闘に影響を与えることができる。
The article proceeds in five sections. The first section situates the current debate on cyber operations in war within the broader field of cyber conflict studies. The second section develops the TECI-model for assessing the use of cyber operations in war. The third section applies the TECI-model to systematically analyze Russian cyber operations in the Russo–Ukrainian war. The fourth section discusses these results to elucidate the strategic, operational, and tactical utility of cyber operations in conventional warfighting. The fifth section concludes the article. 本稿は5つのセクションで構成されている。第1セクションでは、サイバー作戦に関する現在の議論を、より広範なサイバー紛争研究の分野に位置づける。第2セクションでは、戦時におけるサイバー作戦の使用をアセスメントするためのTECIモデルを展開する。第3セクションでは、TECIモデルを適用し、ウクライナ・ロシア戦争におけるロシアのサイバー作戦を体系的に分析する。第4節では、これらの結果を考察し、通常戦におけるサイバー作戦の戦略的、戦術的、および作戦上の有用性を明らかにする。第5節で本稿を締めくくる。
Cyber conflict studies: from cyber war to cyber operations サイバー紛争研究:サイバー戦争からサイバー作戦へ
Over the last decade, the literature on cyber warfare and cyber operations has evolved quite extensively, and today some scholars even talk about a new subdiscipline in International Security Studies called cyber conflict studies [41, 42]. The initial discussions within cyber conflict studies were dominated by conceptual and theoretical disagreements, on the one hand, on “cyber war” as a useful analytical category [7, 10, 11, 43–46], and on the other, on the revolutionary potential of our new cyber realities for the international order [8, 47–50]. These disagreements led to several attempts to apply well-known strategic concepts such as deterrence [12, 44, 51–56], offensive–defensive balance [34, 35, 57, 58], and escalation [59–62] to the context of cyberspace often characterized by increased speed, scale, and relative ease of anonymity [8, 17, 54, 63–67]. Specifically for the offense–defense balance, consensus in the literature sees cyberspace as offense dominant, increasing fears of attacks and encouraging arms races [34]. Even so, there is broad agreement on cyberspace being less suitable for causing physical violence than conventional military domains [5, 20]. 過去10年間で、サイバー戦およびサイバー作戦に関する文献は大幅に進化し、現在では一部の学者は、国際安全保障研究における新たな一分野として「サイバー紛争研究」について語っている[41, 42]。サイバー紛争研究における初期の議論は、有用な分析カテゴリーとしての「サイバー戦争」に関する概念的・理論的な相違意見が一方に、そして、国際秩序に対する新しいサイバー現実の革命的な可能性に関する意見が他方に、それぞれ支配されていた。こうした意見の相違により、抑止力[12, 44, 51–56]、攻撃と防御のバランス[34, 35, 57, 58]、エスカレーション[59–62]といったよく知られた戦略的概念を、速度、規模、匿名性の容易さの増大という特徴を持つことが多いサイバー空間の状況に適用しようとする試みがいくつか行われた[8, 17, 54, 63–67]。特に攻撃と防御のバランスに関しては、サイバー空間は攻撃が優勢であり、攻撃への懸念を高め、軍拡競争を促すという見解が文献ではコンセンサスとなっている [34]。 それでも、サイバー空間は従来の軍事領域よりも物理的な暴力を引き起こすのに適していないという点では、幅広い合意がある [5, 20]。
Most of these contributions, however, relied primarily on few oft-cited incidents like the 2007 Russian cyberattacks against Estonia, the Israeli bombing of a suspected Syrian nuclear reactor allegedly enabled by a cyberattack (Operation Orchard), the Russian cyberattacks accompanying the 2008 military intervention in Georgia, and the US–Israeli Stuxnet worm destroying Iranian nuclear centrifuges (Two notable exceptions to the reliance on few oft-cited incidents are Valeriano and Maness’ 2014 “The dynamics of cyber conflict between rival antagonists” as well as Maness and Valeriano’s 2016 “The Impact of Cyber Conflict on International Interactions” [68, 69]. See also [4].). しかし、これらの寄稿のほとんどは、主に2007年のロシアによるエストニアへのサイバー攻撃、サイバー攻撃によって可能になったとされるイランの核反応炉を標的としたイスラエルの爆撃(オペレーション・オーチャード)、2008年のグルジアへの軍事介入に伴うロシアのサイバー攻撃、そしてイランの核遠心分離機を破壊した米・イスラエルのスタクスネット・ワームといった、よく引き合いに出されるいくつかのインシデントに依拠している (よく引用されるインシデントへの依存に関する2つの注目すべき例外は、ValerianoとManessによる2014年の論文「ライバルの敵対者間のサイバー紛争の力学」、およびManessとValerianoによる2016年の論文「国際交流におけるサイバー紛争の影響」[68, 69]である。また、[4]も参照のこと。)
With the increasing political acceptance of cyberspace as a domain for military operations, and with more and more states investing in military cyber capabilities [70–72], the literature saw several contributions discussing how states can integrate cyber operations with conventional capabilities in other branches of the armed forces [20, 40, 73, 74] and in alliances [75–77]. Smeets’ PETIO-framework, for example, highlights the importance of C2 and preparatory infrastructure, interorganizational coordination, and having the right people to develop, maintain, and operate exploits and tools as well as to support with administrative, operational, and legal expertise when developing a military cyber force [78]. Others also point to challenges to the integration of cyber and noncyber capabilities stemming from temporal constraints as well as issues with deconfliction and battle damage assessment [75]. 軍事作戦の領域としてのサイバー空間の政治的受容が高まり、軍事サイバー能力に投資する国家が増えるにつれ [70-72]、文献では、国家が他の軍事部門における従来の能力 [20, 40, 73, 74] や同盟関係 [75-77] とサイバー作戦を統合する方法について論じたいくつかの寄稿が見られるようになった。例えば、Smeets氏のPETIOフレームワークでは、軍事サイバー部隊を編成する際に、指揮統制(C2)と準備インフラ、組織間の調整、およびエクスプロイトやツールの開発・維持・運用、および管理、運用、法律の専門知識によるサポートを行う適切な人材の確保が重要であることを強調している[78]。また、時間的制約や、デコンフリクト(軍事衝突回避)や戦闘ダメージアセスメント(戦闘被害評価)の問題に起因する、サイバー能力と非サイバー能力の統合の難しさも指摘されている。
Some scholars zoom in on the difficulty of military cyber operations to produce strategic effects [14, 17, 79, 80]. Maschmeyer argues that the effectiveness of military cyber operations is limited by a trilemma between speed, intensity, and control, rendering cyber operations unlikely to deliver on their strategic promise —even in their more covert subversive forms [6]. Scholars further hypothesize that offensive cyber operations are temporally constrained by the transitory nature of cyber weapons, leading to difficulties achieving effects once malware is burned and requiring costly reinvestment to produce new malware to sustain operations [15, 37]. Again, many of these assumptions draw on the cases mentioned above, accompanied by case studies of the Russo–Ukrainian conflict 2013–2017 and the US Operation Glowing Symphony against ISIS [6, 39, 81–84]. 一部の学者は、戦略的効果を生み出すための軍事サイバー作戦の難しさに焦点を当てている。マシュマイヤーは、軍事サイバー作戦の有効性は、速度、強度、制御の3つの要素の間のトリレンマによって制限され、サイバー作戦は、より秘密裏に破壊工作を行う形態であっても、戦略的な期待に応えることはできないと主張している[6]。 学者たちはさらに、攻撃的なサイバー作戦は、サイバー兵器の一時的な性質によって時間的な制約を受け、マルウェアが一度実行されると効果を達成することが難しくなり、作戦を継続するために新たなマルウェアを作成するには多大な再投資が必要になるという仮説を立てている[15, 37]。ここでも、これらの仮説の多くは、上述の事例を参考にしており、2013年から2017年のロシア・ウクライナ紛争や、ISISに対する米国の「オペレーション・グローイング・シンフォニー」の事例研究も併せて参照されている[6, 39, 81–84]。
The lack of accessible data on the use of cyber capabilities in military operations has also meant that most scholars have turned their attention to activities that take place in the grey zone below the threshold of armed conflict [85]. Often spurred by Russia’s 2016 hack of the US Democratic National Committee or the new US strategic cyber vision of persistent engagement, scholarly contributions have largely come to see cyber operations as part of an intelligence contest, information warfare, or as a preemptive logic [18, 86–94]. While it is certainly justified to conclude that cyber operations have proven most useful as a tool in political competitions short of war, it is premature to disregard the potential benefit of cyber operations in war. With the Russian invasion of Ukraine, a new dataset is available to help us better understand the utility of cyber operations in war and ultimately validate or reject assumptions in the literature. 軍事作戦におけるサイバー能力の使用に関する入手可能なデータが不足しているため、ほとんどの学者は、武力紛争の引き金となるグレーゾーンで発生する活動に注目している[85]。2016年のロシアによる米民主党全国委員会へのハッキングや、米国の新たな戦略的サイバービジョンである持続的関与に触発されたこともあり、学術的な貢献の多くは、サイバー作戦を情報戦の一部、あるいは先制論として捉えるようになってきている[18, 86–94]。戦争に至らない政治的競争においては、サイバー作戦が最も有用な手段であることは確かに証明されているが、戦争におけるサイバー作戦の潜在的な利益を無視するのは時期尚早である。ロシアによるウクライナ侵攻により、戦争におけるサイバー作戦の有用性をより深く理解し、最終的に文献における想定を検証または否定するのに役立つ新たなデータセットが利用可能となった。
The TECI-model for understanding cyber operations in war 戦争におけるサイバー作戦を理解するためのTECIモデル
Analyzing the new data requires an analytical model for understanding militaries’ use of cyber operations in war. This section develops such a model (Some scholars categorize different kinds of cyber harms. Agrafiotis et al. [95] construct a taxonomy of cyber harms that can result from cyberattacks). Summarized in Table 1, the model —named TECI for its constituent variables— systematizes and operationalizes a broad range of perspectives in the literature that have not been readily applicable to systematically analyzing larger data sets in the specific context of warfighting. The TECI-model is explained in detail after first noting some of these existing perspectives in the literature. 新しいデータを分析するには、戦争における軍のサイバー作戦の利用を理解するための分析モデルが必要である。このセクションでは、そのようなモデルを構築する(一部の学者は、さまざまな種類のサイバー被害を分類している。Agrafiotis et al. [95]は、サイバー攻撃によって生じるサイバー被害の分類体系を構築している)。表1に要約されているように、構成変数からTECIと名付けられたこのモデルは、戦闘という特定の文脈におけるより大規模なデータセットの体系的な分析に容易に適用できなかった、文献における幅広い視点を体系化し、運用可能にするものである。TECIモデルは、まず文献における既存の視点のいくつかを指摘した上で、詳細に説明されている。
Table 1. Summary of the TECI-Model 表1. TECIモデルの概要
20240828-151707
20240828-152353
Ashraf has introduced a framework for comparing definitions of cyberwar [5]. This framework is not built for understanding the use of cyber operations but still hints at some central aspects of cyber operations. Rattray and Healey [96] have proposed a 12-factor framework for categorizing offensive cyber operations. It is neither tailored to cyber operations in warfighting nor evaluated empirically. More recently, Moore proposed a framework distinguishing between event- and presence-based offensive cyber operations [19]. While this framework is better suited for the context of war, it is not evaluated on extensive empirical evidence in war. アシュラフはサイバー戦争の定義を比較するための枠組みを導入している[5]。この枠組みはサイバー作戦の使用を理解するために構築されたものではないが、サイバー作戦のいくつかの中心的な側面を示唆している。ラットレイとヒーリーは[96]、攻撃的なサイバー作戦を分類するための12の要因からなる枠組みを提案している。これは戦争におけるサイバー作戦に特化したものではなく、実証的な評価も行われていない。さらに最近では、ムーアがイベントベースとプレゼンスベースの攻撃的サイバー作戦を区別する枠組みを提案している[19]。この枠組みは戦争の文脈により適しているが、戦争における広範な実証的証拠に基づいて評価されたものではない。
Specifically elaborating on relations between cyberspace and other domains, Egloff and Shires propose “three logics of integration” for categorizing how cyber capabilities can be integrated with noncyber capabilities [20]. Cyber operations can substitute conventional operations by achieving effects instead of conventional operations, support conventional operations by increasing the conventional operations’ power, precision, range, or resilience, and finally complement conventional operations by acting in addition to conventional means thus adding a new course of action to the actor’s repertoire [20]. The logics of substitution, support, and complementation show the realms of possibility for how cyberspace and noncyber domains can be interrelated when conducting cyber operations. サイバー空間とその他の領域の関係について特に詳しく述べているのは、エグロフとシャイアーズで、サイバー能力を非サイバー能力と統合する方法を分類する「統合の3つの論理」を提案している[20]。サイバー作戦は、従来の作戦に代わって効果を達成することで従来の作戦に取って代わることもでき、従来の作戦のパワー、精度、範囲、レジリエンスを高めることで従来の作戦を支援することもでき、さらに従来の手段に加えて行動することで従来の作戦を補完することもでき、それによって行動主体のレパートリーに新たな行動様式を加えることもできる[20]。 代用、支援、補完の論理は、サイバー作戦を遂行する際にサイバー空間と非サイバー空間を相互に関連させる可能性を示している。
None of the above perspectives and proposed models are simultaneously readily applicable for systematic analysis of larger data sets, evaluated on data other than few oft-cited operations, and tailored to elucidate insights on the utility of offensive cyber operations in war. Still, their underlying ideas suggest useful starting points for developing such a model. 上記の視点や提案されたモデルは、いずれも体系的な分析に即座に適用できるものではない。より大規模なデータセットの分析、少数のよく引用される作戦以外のデータに基づく評価、戦争における攻撃的サイバー作戦の有用性に関する洞察の解明に適合するものではない。しかし、その根底にある考え方は、そのようなモデルを開発するための有用な出発点となる。
Based on these insights, this section develops and introduces the TECI-model. The model is then applied on data in subsequent sections. TECI spans four operationalized variables: the target, effect, and complexity of a cyber operation as well as its degree of integration with conventional operations. The four variables were carefully chosen as they reveal aspects of cyber operations key to their use and utility in war (While other variables such as actor types and attribution could be included, these are less relevant than the TECI-variables when examining militaries’ use of cyber operations in war. This article only examines operations by state actors, leaving little reason for adding an ‘actor’-variable. Similarly, the question of attribution is not important for examining the utility of cyber operations in war. Attribution is certainly a relevant parameter in conflicts short of war. See [97, 98]. However, it is much less relevant once warfighting has commenced.). To assess the utility of an offensive cyber operation in warfighting, one must have insights into who the operation is affecting (target), how it is affecting the target (effect), how costly, difficult, and time-consuming it is to conduct and defend against (complexity), and how it may be a force-multiplier for the warfighting (integration). Tailored to the study of war, readily applicable for analysis of larger data sets, and empirically evaluated in this paper, TECI delivers exactly these necessary insights to assess the utility of cyber operations in war. これらの洞察に基づき、本セクションではTECIモデルを開発し、紹介する。このモデルは、その後のセクションでデータに適用される。TECIは、サイバー作戦のターゲット、影響、複雑性、および通常作戦との統合の度合いの4つの運用変数にまたがる。4つの変数は、戦争におけるサイバー作戦の使用と有用性の鍵となる側面を明らかにするものとして慎重に選択されたものである(行為者のタイプや帰属などの他の変数も含まれる可能性はあるが、戦争における軍のサイバー作戦の使用を検証する場合には、TECI変数ほど関連性は高くない)。本稿では国家主体による作戦のみを検証しており、「主体」変数を追加する理由はほとんどない。同様に、帰属の問題は、戦争におけるサイバー作戦の有用性を検証する上では重要ではない。帰属は、戦争に至らない紛争においては確かに重要なパラメータである。[97, 98]を参照。しかし、戦争行為が開始された後は、関連性は大幅に低下する。戦争行為における攻撃的サイバー作戦の有用性をアセスメントするには、その作戦が誰に影響を及ぼすのか(ターゲット)、ターゲットにどのような影響を及ぼすのか(効果)、実施および防御にどれほどの費用、困難、時間が必要なのか(複雑性)、そして、戦争行為における戦力増強要因となり得るのか(統合性)を洞察する必要がある。戦争研究に適合し、より大規模なデータセットの分析にも容易に適用でき、本稿で実証的に評価されたTECIは、まさに戦争におけるサイバー作戦の有用性をアセスメントするために必要な洞察をもたらす。
The first variable is the target of a cyber operation. It is a categorical variable denoting the type of entity or entities whose IT-systems are directly affected by the operation. It distinguishes between four categories of targets. The first is critical infrastructure and includes entities in the transportation, energy, utilities, and ICT sectors. The second category, government, covers public authorities across local, regional, and national levels as well as military entities. The third is media, which comprises entities involved in mass communication such as newspapers, broadcasters, and online news media. The fourth category, other targets, covers any other type of target not included in the preceding categories. The four categories, thus pick out and differentiate between targets that are typically considered key for both the defender and the attacker to control or influence in order to further their war efforts. 最初の変数は、サイバー作戦の対象である。これはカテゴリー変数であり、そのITシステムが作戦によって直接影響を受ける事業体の種類を示す。これは4つのカテゴリーの対象を区別する。1つ目は重要なインフラであり、交通、エネルギー、公益事業、ICTセクターの事業体が含まれる。2つ目のカテゴリーである政府は、軍事事業体だけでなく、地方、地域、国家レベルの公共機関をカバーする。3番目はメディアで、新聞、放送局、オンラインニュースメディアなどのマスメディアに関わる事業体を含む。4番目のカテゴリーであるその他の標的は、前述のカテゴリーに含まれないその他のタイプの標的をカバーする。この4つのカテゴリーは、防衛側と攻撃側の双方が戦争を有利に進めるために支配または影響を及ぼすことが重要であると一般的に考えられている標的を特定し、区別するものである。
The second variable gets at the effects of a cyber operation. It is an ordinal variable that measures the direct effects experienced by a cyber operation’s target entity or entities based on the coding of the operation’s cyber weapon. The variable’s scale ranges from no effects to low, medium, and high effects. 2つ目の変数は、サイバー作戦の効果を測定する。これは順序変数であり、サイバー作戦の標的となった事業体が経験した直接的な効果を、そのサイバー兵器のコード化に基づいて測定する。この変数の尺度は、効果なしから低、中、高の効果までである。
No effects straightforwardly denote the absence of effects of a cyber operation on its intended target, for example in the case of premature discovery. Low effects are defined as the disruption of IT-systems by temporarily undermining their functionality as well as the exfiltration of data from IT-systems. A DDoS-attack or data theft would constitute a low-effect operation. Cyber operations with a low effect importantly do not produce irreversible effects on their targets. Medium effects cover cyber operations that render data permanently inaccessible or, in essence, destroys data. This is an irreversible and therefore more severe effect, but it is importantly limited to the logical layer of cyberspace such that no physical objects are irreversibly damaged. A wiper attack deleting data would be a medium-effect operation (Ransomware attacks, where actors encrypt data with the intent of receiving monetary compensation before decrypting the data, could constitute either medium or low severity depending on the actual effects on data. During warfighting, if the data is decrypted once a target pays an actor, the attack constitutes low severity since the target’s access to the data was disrupted and not irreversibly blocked. If the data is not decrypted, however, the attack would constitute medium severity since the target’s data are permanently and irreversibly inaccessible. Ransomware could even fall into the high severity effects category if the data encryption somehow caused physical damage.). The final high effects category contains operations whose effects amount to physical destruction. These operations cause irreversible damage to hardware or other physical objects. The physical destruction need not present itself in the physical layer of cyberspace only; it may involve the destruction of other physical objects such as industrial hardware like generators brought about by malicious code. A cyber operation damaging hardware or other physical objects in a power grid would thus a high-effect operation. 効果なしとは、例えば早期に発見された場合のように、意図した標的に対するサイバー作戦の効果がまったくなかったことを端的に示す。低影響とは、ITシステムの機能が一時的に損なわれることによる混乱や、ITシステムからのデータ流出を指す。DDoS攻撃やデータ盗難は低影響の作戦に該当する。低影響のサイバー作戦では、ターゲットに不可逆的な影響は及ぼさない。中影響とは、データが恒久的にアクセス不能になるサイバー作戦、つまり本質的にはデータの破壊を指す。これは不可逆的で、したがってより深刻な影響であるが、物理的な物体が不可逆的に損傷することはないように、サイバー空間の論理層に限定される。データを消去するワイパー攻撃は中程度の影響を与える作戦である(ランサムウェア攻撃は、データを暗号化して復号前に金銭的補償を得ることを意図する行為であり、データへの実際の影響に応じて、中程度または低度の深刻度となる可能性がある。戦闘中、標的が攻撃者に支払うことでデータが一度復号化された場合、攻撃の深刻度は低くなる。なぜなら、標的のデータへのアクセスが妨害されただけで、不可逆的にブロックされたわけではないからだ。しかし、データが復号化されない場合、標的のデータは恒久的に不可逆的にアクセス不能となるため、攻撃の深刻度は中程度となる。ランサムウェアは、データ暗号化が何らかの形で物理的損害を引き起こした場合、深刻度が高いカテゴリーに分類される可能性もある。最終的な「重大な影響」カテゴリーには、物理的な破壊に相当する影響をもたらす作戦が含まれる。これらの作戦は、ハードウェアやその他の物理的対象に不可逆的な損害を与える。物理的な破壊は、サイバー空間の物理層のみで発生するとは限らず、悪意のあるコードによって引き起こされる発電機のような産業用ハードウェアなどのその他の物理的対象の破壊を伴う可能性もある。したがって、電力網のハードウェアやその他の物理的対象に損害を与えるサイバー作戦は、重大な影響をもたらす作戦となる。
In sum, this second variable gets at a central aspect of a cyber operation —its effect on target entities— and delineates operations based on the types of these direct effects, with irreversible effects and physical effects understood to be more severe than reversible and nonphysical effects, respectively. まとめると、この2番目の変数はサイバー作戦の中心的な側面である標的事業体への影響を捉え、不可逆的影響と物理的影響はそれぞれ可逆的影響と非物理的影響よりも深刻であると理解される。
The third variable measures a cyber operation’s complexity. As an ordinal variable, it assumes one of three ordered categories from low to medium and high complexity. Complexity is understood as the scale and technical sophistication of the planning, staging, and execution of a given cyber operation. The complexity is thus positively correlated with the operation’s costs and the time needed to plan, stage, and execute it. Additionally, the operation’s complexity is positively correlated with its target specificity. If an operation targets a very specific entity or a set of specific entities with a very specific effect —such as malware aimed at a certain brand of industrial control systems running certain hardware— the operation is, ceteris paribus, less capable of replicating these effects against other entities. This high degree of target specificity makes the operation more complex as more time and resources are needed to tailor the appropriate aspects of the operation to match its distinctive target or set of distinctive targets (An operation targeting a single, specific entity is understood as more complex than one indiscriminately affecting hundreds of random targets. An operation targeting multiple very specific entities is of course more complex than one targeting just the single one.). 3番目の変数は、サイバー作戦の複雑さを測定する。順序変数として、低~中~高の3つのカテゴリーのいずれかに分類される。複雑さとは、特定のサイバー作戦の計画、準備、実行の規模と技術的洗練度を意味する。したがって、複雑さは作戦のコストおよび計画、準備、実行に必要な時間と正の相関関係にある。さらに、作戦の複雑性は、その標的の特異性と正の相関がある。作戦が非常に特異な事業体、または特定の効果を持つ特異な事業体の集合体を標的とする場合、例えば、特定のハードウェアを稼働する産業用制御システムの特定のブランドを標的とするマルウェアなど、他の事業体に対しては、他の条件が同じであれば、これらの効果を再現することはより困難となる。この標的の特異性の高さは、その独特な標的または独特な標的の集合に適合するように作戦の適切な側面を調整するために、より多くの時間とリソースが必要となるため、作戦をより複雑にする(単一の特定の事業体を標的とする作戦は、無差別に数百のランダムな標的に影響を与える作戦よりも複雑であると理解される。複数の非常に特定の事業体を標的とする作戦は、もちろん単一の事業体を標的とする作戦よりも複雑である)。
However, the complexity and its correlated costs are difficult to measure directly in most empirical evidence of cyber operations. The cost, duration, or intended target specificity of operations are rarely divulged by their actors. It is nevertheless more often possible to identify the cyber weapons used in an operation, although this identification process may be time-consuming. We define a cyber weapon as the computer code —in the form of malware or other tools— utilized by a cyber operation to achieve a technical effect on targets in or through cyberspace. It is worth emphasizing that the cyber weapon need not be malware but could involve utilizing other tools and techniques, even legitimate ones employed in a malicious way [36]. しかし、サイバー作戦のほとんどの実証的証拠では、その複雑性と関連コストを直接測定することは困難である。作戦のコスト、期間、または意図する標的の特異性は、その実行者によって明かされることはほとんどない。とはいえ、その識別プロセスには時間がかかる可能性はあるものの、作戦で使用されたサイバー兵器を特定できる場合の方が多い。 サイバー兵器とは、サイバー作戦によってサイバー空間内またはサイバー空間を通じて標的に技術的効果をもたらすために使用される、マルウェアやその他のツールの形態をとるコンピュータコードである。 強調すべきは、サイバー兵器はマルウェアである必要はなく、他のツールや技術、さらには悪意を持って使用される合法的なツールや技術も含まれる可能性があるということである[36]。
Importantly, a cyber weapon can act as a proxy for an operation’s costs in time and money, target specificity, and thus its complexity in lieu of other evidence. That is, the use of a highly complex cyber weapon indicates a highly complex operation and vice versa. To find the complexity of a cyber operation, the model therefore analyzes the technical complexity of the operation’s cyber weapon. 重要なのは、サイバー兵器は、時間や費用、標的の特定性など、作戦の複雑性を代用するものとして、他の証拠に代わるものとして機能し得るということである。つまり、高度に複雑なサイバー兵器の使用は、高度に複雑な作戦を示唆し、その逆もまた真実である。したがって、このモデルでは、サイバー作戦の複雑性を把握するために、その作戦で使用されたサイバー兵器の技術的複雑性を分析する。
The complexity variable is thus operationalized as follows. High complexity covers operations using novel malware or tools that have not been observed before, for example because they utilize zero-days. Such operations are highly complex because they necessitate the time-consuming and costly development of cyber weapons, often with a particular target in mind. To illustrate with a typical example, Stuxnet would be categorized as a highly complex cyber weapon and Operation Olympic Games as a highly complex operation. したがって、複雑性の変数は以下のように定義される。高度な複雑性は、ゼロデイ攻撃に利用されるなど、これまで確認されていない新しいマルウェアやツールを使用する作戦を指す。このような作戦は、特定の標的を念頭に置いて、時間と費用のかかるサイバー兵器の開発を必要とするため、高度な複雑性を持つ。典型的な例を挙げると、Stuxnetは高度な複雑性を持つサイバー兵器であり、オリンピック作戦は高度な複雑性を持つ作戦である。
Medium complexity covers operations utilizing already known malware or tools, including modified versions of said malware or tools. These are less complex because they do not involve the same time-consuming and costly novel developments, but they are still complex in that they necessitate some degree of target-specific preparation, planning, and execution. An example of medium complexity is the 2017 NotPetya-operation utilizing, i.e. EternalBlue exploits, which had previously been used in the WannaCry-ransomware campaign and allegedly been leaked from the NSA [99, 100]. The original deployment of EternalBlue amounts to high complexity; the reuse of those exploits even if slightly modified is what drives an operation into medium complexity. 中程度の複雑性は、既知のマルウェアやツールを利用する作戦を指し、これには当該のマルウェアやツールの修正版も含まれる。これらは、時間と費用のかかる新規開発を伴わないため、複雑性は低い。しかし、ある程度の標的特化型の準備、計画、実行を必要とするという点では、依然として複雑である。中程度の複雑さの例としては、2017年の「NotPetya」作戦が挙げられる。これは、以前「WannaCry」ランサムウェアキャンペーンで使用され、NSAから流出したとされる「EternalBlue」エクスプロイトを利用している[99, 100]。 EternalBlueの当初の展開は、高い複雑さである。エクスプロイトをわずかに変更して再利用することで、作戦が中程度の複雑さになる。
Finally, low complexity operations cover those utilizing only DDoS, password spraying, or other simple brute-forcing methods, which are cheaper, easier, and faster to prepare, plan, and execute just as they are suitable for replication against any other targets, indicating low target specificity [101–105]. 最後に、低複雑性攻撃は、DDoS、パスワードスプレー、またはその他の単純なブルートフォース法のみを使用するものを対象とし、これらは、準備、計画、実行がより安価で容易かつ迅速であり、他のあらゆる標的に対する複製にも適していることから、標的の特異性が低いことを示している[101-105]。
Of course, operations may involve the use of multiple different cyber weapons such as a mixture of the novel use of malware or tools, recycled malware, and DDoS attacks. This is completely in line with the above formulation of the complexity variable, as will be explained below. もちろん、作戦には、マルウェアやツールの新しい使用法、再利用されたマルウェア、DDoS攻撃の混合など、複数の異なるサイバー兵器が使用される可能性がある。これは、以下で説明するように、上記の複雑性の変数に関する定義と完全に一致する。
For an operation to be considered of high complexity, it must use novel malware or tools against its target regardless of its use of other cyber weapons. This means an operation involving novel malware, recycled malware, and DDoS-attacks would be classified as highly complex. The medium complexity category is governed by the two-pronged condition that the operation does not use novel malware or tools but does use already known malware or tools against its target regardless of its use of other cyber weapons. This means operations using recycled malware and DDoS-attacks would be of medium complexity whereas operations using recycled as well as novel malware, e.g. would not. Lastly, low complexity operations are governed by the three-pronged condition that the operation does not use novel malware or tools, does not use recycled malware or tools, but does use DDoS, password spraying, or other brute-forcing methods as its cyber weapon. Operations using any type of malware-based exploit against their targets would thus not be considered low complexity; those employing only DDoS-attacks against their targets would. 作戦が高度な複雑性を持つと見なされるためには、他のサイバー兵器の使用に関わらず、標的に対して新しいマルウェアやツールを使用しなければならない。つまり、新しいマルウェア、再利用されたマルウェア、DDoS攻撃を伴う作戦は、高度な複雑性を持つと分類される。中程度の複雑さのカテゴリーは、新しいマルウェアやツールは使用しないが、他のサイバー兵器の使用に関わらず、既知のマルウェアやツールを標的に使用するという2つの条件によって規定される。つまり、リサイクルされたマルウェアやDDoS攻撃を使用する作戦は中程度の複雑さであるが、リサイクルされたマルウェアや新しいマルウェア(例えば)を使用する作戦はそうではないということである。最後に、低複雑性作戦は、新しいマルウェアやツールを使用せず、再利用されたマルウェアやツールも使用しないが、DDoS攻撃、パスワードスプレー攻撃、またはその他のブルートフォース攻撃をサイバー兵器として使用するという3つの条件によってガバナンスされる。標的に対してあらゆる種類のマルウェアベースのエクスプロイトを使用する作戦は、低複雑性とはみなされない。標的に対してDDoS攻撃のみを使用する作戦は、低複雑性とみなされる。
The fourth and final variable, integration, is ordinal and covers four ordered categories from no to low, medium, and high degrees of integration. This range is based on the degree to which a cyber operation is coordinated with and thus integrated into events into warfighting in the conventional domains. 4つ目の最後の変数である統合は順序性があり、統合の度合いが低いものから中程度、高いものまで、4つのカテゴリーに分類される。この範囲は、サイバー作戦がどの程度調整され、その結果、従来の領域における戦闘に統合されているかという度合いに基づいている。
No integration simply corresponds to the absence of any coordination and thus integration between events and capabilities in cyberspace and noncyber domains. 統合が全くないということは、サイバー空間と非サイバー領域における事象と能力の間の調整や統合が全くないことを意味する。
Low integration picks out cyber operations whose effects are aligned with the objective of effects delivered by conventional capabilities without directly influencing or being influenced by these. This amounts to a low degree of coordination because there is no direct dependency between the cyber and noncyber operation. Still, the low-integration cyber effects are at least loosely coordinated with the noncyber operation in terms of their timing, targeting, and their general purpose if the effects are to truly stand in addition to the noncyber operation and its objective. This loose coordination in timing, target, and purpose account for the evident albeit low degree of integration. An example of low integration is the US Operation Glowing Symphony countering ISIS in cyberspace alongside the conventional campaign against the terrorist group. The operations were aligned in timing, targeting, and overall purpose [106]. 低統合は、従来の能力が直接的に影響を与えたり、影響を受けたりすることなく、その効果を従来の能力がもたらす効果の目的と一致させるサイバー作戦を指す。これは、サイバー作戦と非サイバー作戦の間に直接的な依存関係がないため、低度の調整に相当する。それでも、低統合のサイバー効果は、そのタイミング、標的、およびその目的が非サイバー作戦と本当に補完関係にある場合、少なくともそのタイミング、標的、および目的の面で非サイバー作戦と緩やかに調整されている。タイミング、標的、目的におけるこの緩やかな調整が、統合の度合いが低いとはいえ、明白な理由である。統合の度合いが低い例としては、米国の「Operation Glowing Symphony」が挙げられる。これは、サイバー空間でISISに対抗するもので、テロリスト集団に対する従来のキャンペーンと並行して実施された。この作戦は、タイミング、標的、全体的な目的において調整されていた[106]。
Medium integration occurs when a cyber operation is coordinated with noncyber capabilities in the planning phase when military staffs plan and decide between cyber and noncyber courses of action. A medium-integration cyber operation is thus carried out to achieve an operational goal of the warfighting that could have been achieved by other capabilities. Medium integration thus creates cross-domain dependencies by necessitating alignment in at least the battle rhythms of cyber and noncyber planning entities, resulting in a higher level of integration than low integration operations. Importantly, the TECI-model is concerned specifically with cyber operations in the context of warfighting contrary to other models’ focus on contests short of war. In the warfighting-focused TECI-model, the cross-domain dependency in the medium integration logic precisely arises because there is in fact a war “going on around” the cyber and noncyber operations under consideration. The cyber operation, if chosen to achieve an operational goal of the warfighting, is not happening in a vacuum but must fit in and be somewhat aligned with the noncyber efforts characterizing the warfighting at that point in time at least in the planning phase —e.g. its battle rhythm, targets, and objectives. 中程度の統合は、軍事スタッフがサイバーおよび非サイバーの行動方針を計画・決定する計画段階において、サイバー作戦が非サイバー能力と調整される場合に発生する。したがって、中程度の統合によるサイバー作戦は、他の能力によって達成可能であった戦闘作戦の目標を達成するために実施される。中程度の統合は、少なくともサイバーおよび非サイバーの計画事業体の戦闘リズムを調整する必要があるため、クロスドメインの相互依存関係を生み出し、低統合作戦よりも高いレベルの統合を実現する。重要なのは、TECIモデルが、他のモデルが戦争に至らない競争に焦点を当てているのに対し、戦闘を前提としたサイバー作戦に特に着目していることである。戦闘を前提としたTECIモデルでは、中間統合のロジックにおけるクロスドメインの依存関係は、検討中のサイバーおよび非サイバー作戦の「周辺で」実際に戦争が「進行中」であるため、必然的に生じる。サイバー作戦は、戦闘作戦目標を達成するために選択された場合、真空状態の中で行われるのではなく、少なくとも計画段階においては、その時点での戦闘作戦の特徴である非サイバーの取り組みに適合し、ある程度整合性が取れていなければならない。例えば、戦闘リズム、目標、目的などである。
Finally, high integration covers cyber operations that are directly coordinated with noncyber operations such that the cyber effects contribute to the success of a noncyber operation. In this case, robust and direct dependencies exist between cyber and noncyber operations through, for example, deconfliction or precisely timed effects necessary for progressing the respective operations. This necessitates comprehensive coordination and alignment in battle rhythms between cyber and noncyber capabilities not only in the planning phase —as in the case of medium integration— but also during the execution of the operation itself. A cyber operation characterized by direct coordination with noncyber capabilities throughout its operational life cycle thus exhibits a higher form of integration than the medium-integration where the coordination chiefly occurs before the cyber operation is carried out. An example of high integration is the Israeli Operation Orchard, where cyber assets allegedly disabled Syrian air defenses during an air strike, contributing to the conventional operation’s success through real-time cross-domain dependencies [47]. 最後に、高度な統合は、サイバー効果が非サイバー作戦の成功に貢献するように、非サイバー作戦と直接的に調整されるサイバー作戦をカバーする。この場合、例えば、それぞれの作戦の進行に必要な効果の調整やタイミングの正確さなどによって、サイバー作戦と非サイバー作戦の間に強固で直接的な依存関係が存在する。このため、中程度の統合の場合のように計画段階だけでなく、作戦の実行中にも、サイバー能力と非サイバー能力の間の戦闘リズムにおける包括的な調整と整合が必要となる。サイバー作戦は、その運用ライフサイクル全体を通じて非サイバー能力との直接的な調整を特徴とし、主にサイバー作戦が実施される前に調整が行われる媒体統合よりも高度な統合形態を示す。高度な統合の例としては、イスラエルのオレンジ作戦がある。この作戦では、サイバー能力が空爆中にシリアの防空能力を無効化し、リアルタイムのクロスドメイン依存関係を通じて通常作戦の成功に貢献したとされる[47]。
In sum, the integration variable explicates and orders the ways in which cyber operations can be integrated with noncyber operations based on the extent of cross-domain coordination and dependencies required. まとめると、統合変数は、必要なクロスドメインの調整と依存の程度に基づいて、サイバー作戦を非サイバー作戦と統合する方法を明らかにし、順序付ける。
A systematic analysis of Russian cyber operations in Ukraine ウクライナにおけるロシアのサイバー作戦の体系的分析
This section applies the TECI-model to data from the 2022 Russo–Ukrainian War to analyze trends in the use of offensive cyber operations in conventional warfighting. このセクションでは、TECIモデルを2022年の露ウクライナ戦争のデータに適用し、通常戦における攻撃的サイバー作戦の使用傾向を分析する。
The analysis is concerned only with offensive cyber operations conducted by Russian state actors against Ukrainian targets. This is for two reasons. First, data sources examined by this article are mainly focused on operations by Russian state actors. Second, to analyze the use of cyber operations in conventional warfighting, the data should be comprised of operations against entities that take part in the warfighting. The data is further limited to operations between January and December 2022, thereby including the immediate preparations for war in January and February. 分析の対象は、ロシアの国家主体がウクライナを標的として実施した攻撃的サイバー作戦のみである。その理由は2つある。第1に、本記事で調査したデータソースは主にロシアの国家主体による作戦に焦点を当てている。第2に、通常戦におけるサイバー作戦の利用を分析するには、データは戦闘に参加する事業体に対する作戦で構成される必要がある。さらに、データは2022年1月から12月までの作戦に限定されており、1月と2月の戦争直前の準備も含まれている。
The analysis is divided into four subsections matching the target, effects, complexity, and integration variables. Trends are presented and accompanied by emblematic examples. Major findings are summarized in a concluding subsection. 分析は、標的、影響、複雑性、統合の変数に一致する4つの小項目に分けられている。傾向が示され、象徴的な例が添えられている。主な調査結果は、結論の小項目で要約されている。
Targets 標的
Overall, Russian cyber operations predominantly targeted Ukrainian critical infrastructure and government entities. The results of the TECI-model’s target analysis are shown in Fig. 1. This indicates Russia sought to undermine Ukrainian war efforts through offensive cyber operations, directly by targeting the Ukrainian state and indirectly by targeting functions critical to the stability of Ukrainian society. 全体として、ロシアのサイバー作戦は主にウクライナの重要インフラおよび政府事業体を標的にしていた。TECIモデルの標的分析の結果は図1に示されている。これは、ロシアが攻撃的なサイバー作戦を通じて、ウクライナ政府を直接標的にし、またウクライナ社会の安定に不可欠な機能を間接的に標的にすることで、ウクライナの戦争努力を弱体化させようとしていたことを示している。
1_20240828153001
Figure 1. 図1
Distribution of target type for Russian cyber operations with identifiable targets in CPI data (n = 42). CPIデータで識別可能な標的に対するロシアのサイバー作戦の標的タイプの分布(n=42)。
Critical infrastructure comprises the transportation, energy, utilities, and ICT sectors. The CPI data includes 47 operations by Russian state actors with 42 identifiable Ukrainian targets [107]. The transportation sector was targeted twice, the energy sector four times, and the ICT sector 10 times. Altogether, critical infrastructure accounts for 38% of identifiable targets in CPI’s data. 重要インフラは、運輸、エネルギー、公益事業、およびICTセクターで構成される。CPIデータには、ロシアの国家行為者による47件の作戦が含まれ、42件の識別可能なウクライナの標的が存在する[107]。運輸セクターは2回、エネルギーセクターは4回、ICTセクターは10回標的とされた。全体として、重要インフラはCPIのデータにおける識別可能な標的の38%を占める。
In April, Microsoft published target types for an allegedly representative selection of Russian cyber operations since the invasion [36]. These constitute a subset of 57 targets. Seven targets belong to the energy sector and 12 to the ICT sector. An unspecified number of operations targeted the transportation sector, which is grouped with other target types, although an operation around 17–23 March targeting a transportation entity is explicitly mentioned [36]. Thus, critical infrastructure entities were likely targeted at least 20 times in the presented subset. This amounts to roughly 35% of targets, matching CPI’s 38%. Additionally, until late April, more than 40% of data-destroying operations targeted critical infrastructure [36]. 4月には、マイクロソフトが、侵攻以降のロシアのサイバー作戦の代表者とされる標的の種類を公表した[36]。これらは57の標的のサブセットを構成している。7つの標的はエネルギーセクターに属し、12の標的はICTセクターに属する。不特定の数の作戦が交通セクターを標的にしており、これは他の標的の種類とグループ化されているが、3月17日から23日にかけて交通事業体を標的にした作戦は明確に言及されている[36]。したがって、提示されたサブセットでは、重要なインフラ事業体が少なくとも20回は標的にされていた可能性が高い。これは標的の約35%に相当し、CPIの38%と一致する。さらに、4月下旬まで、データ破壊活動の40%以上が重要なインフラを標的にしていた[36]。
The government category consists of public authorities across national, regional, and local levels including military entities. Of the 57 targets in Microsoft’s data, two are military entities and 19 are national authorities [36]. The subset does not specify the number of targets in regional and local government, which are grouped with other target types. Yet, the Microsoft data explicitly describes two operations targeting regional authorities around 17–23 March and 3–9 March [36]. This means all levels of government are targeted at least 23 times accounting for 40% of the subset. Microsoft also reports that government entities account for 32% of targets by Russian data-destroying operations [36]. In comparison, 14 of the 42 targets in CPI’s data can be categorized as government entities [107]. This amounts to 33% —largely similar to the Microsoft data. 政府カテゴリーには、軍事組織を含む国家、地域、地方レベルの公共機関が含まれる。Microsoftのデータにおける57の標的のうち、2つは軍事組織であり、19は国家機関である[36]。このサブセットでは、地方および地方自治体の標的の数は特定されていない。それらは他の標的タイプとグループ化されている。しかし、Microsoftのデータでは、3月17日~23日および3月3日~9日頃に地方当局を標的とした2つの作戦が明確に記述されている[36]。これは、すべてのレベルの政府が少なくとも23回標的とされており、その割合はサブセットの40%に達することを意味する。また、Microsoftは、ロシアによるデータ破壊活動では、政府機関が標的の32%を占めていると報告している[36]。これに対し、CPIのデータでは、42件の標的のうち14件が政府機関に分類されている[107]。これは33%に相当し、Microsoftのデータとほぼ同様である。
The remaining categories are media and other targets. Only four of 57 targets or seven % are described as media entities in the Microsoft subset [36]. Six operations or 14% target the media in CPI’s data [107]. Another six targets in CPI’s data can be classified as other targets, accounting for the remaining 14% [107]. In Microsoft’s subset, 11 targets appear in an “other targets” category [36]. The analysis above found at least two of these were regional government entities while at least one was a transportation entity. This leaves at most eight other targets per the model. Microsoft’s subset further reports two targets in the consumer retail sector which brings the number of other targets to 10. Similar to CPI, then, roughly 17% of Microsoft’s subset constitute other targets. 残りのカテゴリーはメディアおよびその他の対象である。マイクロソフトのサブセットでは、57の対象のうちメディア事業体とされるのはわずか4件、7%である[36]。CPIのデータでは、6つの事業体または14%がメディアを対象としている[107]。CPIのデータでは、さらに6つの対象がその他の対象として分類され、残りの14%を占めている[107]。Microsoft のサブセットでは、「その他の標的」カテゴリーに 11 の標的が含まれている [36]。 上記の分析では、これらのうち少なくとも 2 つは地方自治体の事業体であり、少なくとも 1 つは運輸事業体であることが判明した。 したがって、モデルごとのその他の標的は最大でも 8 つとなる。 Microsoft のサブセットでは、さらに消費者向け小売セクターの 2 つの標体が報告されており、その他の標的の数は 10 となる。 CPI と同様に、Microsoft のサブセットのおよそ 17% がその他の標的である。
In sum, as shown in Fig. 1, Russian cyber operations targeted other targets and media considerably less frequently than critical infrastructure and government. While media and other targets may be less important for Ukraine’s war efforts than government and critical infrastructure, they still include entities which provide services of importance for the stability of Ukrainian society. まとめると、図1に示されているように、ロシアのサイバー作戦は、重要インフラや政府よりも、他の標的やメディアを標的にする頻度がはるかに低かった。メディアやその他の標的は、政府や重要インフラよりもウクライナの戦争努力にとって重要ではないかもしれないが、それでもウクライナ社会の安定にとって重要なサービスを提供する事業体は含まれている。
Effects 影響
Analyzing the effects of Russian cyber operations, this subsection finds that a large share of operations had payloads coded to destroy data and thus sought to achieve medium effects while another large share sought low effects through disruption and data exfiltration. Only one operation sought high effects in the form of physical destruction, although there is no clear evidence of this effect materializing. The data further suggest many operations coded to achieve medium and low effects in fact failed to achieve them, although the fog of war in Ukrainian cyberspace inevitably clouds any clear conclusion on this point. The results of the effects analysis are summarized in Fig. 2. ロシアのサイバー作戦の影響を分析した結果、作戦の大部分はデータを破壊するようコード化されたペイロードを使用しており、中程度の影響を及ぼそうとしていたことが分かった。また、別の大部分は混乱とデータ抽出により低レベルの影響を狙っていた。物理的な破壊という形で高レベルの影響を狙った作戦は1件のみであったが、この影響が実際に生じたことを示す明確な証拠はない。さらに、データは、中程度および低程度の効果を達成するようにコード化された多くの作戦が、実際にはそれらの効果を達成できなかったことを示唆している。ただし、ウクライナのサイバー空間における戦場の霧は、この点に関する明確な結論を必然的に曇らせる。効果分析の結果は図2に要約されている。
2_20240828153701
Figure 2. Distribution of effect types for Russian cyber operations with identifiable effects in CPI data (n = 29). 図2 CPIデータで識別可能な効果を持つロシアのサイバー作戦の効果タイプの分布(n = 29)。
In total, the effects of 29 operations could be identified in CPI’s data as assessed by their payloads. Microsoft’s reporting reveals the technical effects of at least 38 cyber operations in their April report, excluding an unreported number of operations with effects amounting to disruption and data exfiltration, and at least 48 cyber operations in their June report, although many of these were likely also included in the April report. 合計すると、ペイロードのアセスメントにより、CPIのデータで29件の作戦の効果を識別することができた。マイクロソフト社の報告書では、4月の報告書では少なくとも38件のサイバー作戦の技術的効果を明らかにしており、影響が混乱とデータ流出に留まる報告されていない作戦の件数は除外されている。また、6月の報告書では少なくとも48件のサイバー作戦を明らかにしているが、その多くは4月の報告書にも含まれている可能性が高い。
The only Russian operation whose payload was coded to achieve high effects was discovered on April 8. It targeted industrial control systems in Ukrainian power grid substations [36, 107]. The operation utilized malware now known as Indstroyer2 and the data-destroying CaddyWiper-malware [108]. The former was a modified version of Industroyer-malware used in cyber operations against the Ukrainian power grid in 2016 [108]. According to technical analyses, the Industroyer2 operation sought physically destructive effects, attempting to affect control systems and cut the power for up to two million Ukrainians [36, 108, 109]. Discovered quickly after payload deployment, the operation ultimately did not affect the power grid [108]. Had it been successful, it would have been a strong case for high effects. While Industroyer2 may have destroyed some hardware even if the power grid was not affected and CaddyWiper could have destroyed data on some systems, there is no evidence of this. Still, even as the Industroyer2-operation’s effects did not materialize, it was coded to achieve high effects —and was the only Russian operation to do so. ペイロードが高度な効果を達成するようにコード化された唯一のロシアの作戦は、4月8日に発見された。これは、ウクライナの送電網変電所の産業用制御システムを標的としていた[36, 107]。この作戦では、現在Indstroyer2として知られるマルウェアと、データを破壊するCaddyWiperマルウェアが利用された[108]。前者は、2016年にウクライナの電力網に対するサイバー作戦で使用されたIndustroyerマルウェアの修正版である[108]。技術的分析によると、Industroyer2作戦は物理的な破壊効果を狙っており、制御システムに影響を与え、最大200万人のウクライナ人の電力を遮断しようとしていた[36, 108, 109]。ペイロードが展開された後、すぐに発見されたため、この作戦は最終的に電力網に影響を及ぼすことはなかった [108]。 もし成功していた場合、大きな影響を及ぼした可能性が高い。 Industroyer2は、電力網に影響を及ぼさなかったとしても、一部のハードウェアを破壊した可能性があり、CaddyWiperは一部のシステム上のデータを破壊した可能性があるが、その証拠はない。それでも、Industroyer2作戦の効果が現れなかったとしても、高い効果を達成するようにコード化されていた。そして、ロシアによる作戦でそのようなコード化がなされていたのは、この作戦だけである。
Medium effects consist in data destruction. Numerous Russian operations in the CPI and Microsoft data fit this category. It is unclear, though, to what extent these effects materialized, i.e. whether the data-destructive effects coded in the cyber weapons were actually triggered on target systems. Some reporting suggests many failed. 中程度の影響は、データの破壊である。CPIとマイクロソフトのデータに対する多数のロシアによる作戦が、このカテゴリーに該当する。しかし、これらの影響がどの程度まで現れたのか、すなわち、サイバー兵器にコード化されたデータの破壊的な影響が標的システム上で実際に引き起こされたのかどうかは不明である。一部の報告では、多くの攻撃が失敗したと示唆している。
Microsoft’s April report describes “destructive” cyber operations as a prominent part of Russian activities in Ukrainian cyberspace [36]. This is Microsoft’s terminology for data-destroying operations. Microsoft reports a data set of 37 operations from 23 February until 8 April that deployed data-destroying cyber weapons [36]. In June, Microsoft claimed having witnessed “multiple waves” of data-destroying operations targeting 48 unique Ukrainian entities [2]. マイクロソフトの4月の報告書では、「破壊的」サイバー作戦がウクライナのサイバー空間におけるロシアの活動の主要な部分を占めていると述べている[36]。これは、データ破壊作戦に対するマイクロソフトの用語である。マイクロソフトは、2月23日から4月8日までの37件の作戦でデータ破壊サイバー兵器が展開されたと報告している[36]。6月には、マイクロソフトは、ウクライナの48の異なる事業体を標的とした「複数の波」のデータ破壊活動を目撃したと主張している[2]。
Likewise, in CPI’s data, numerous operations appear to have deployed cyber weapons coded to achieve medium effects. Some of these operations are also described in Microsoft’s data. At least 12 operations in CPI’s data can be classified as seeking data destruction based on observed effects or utilized cyber weapons [107]. Moreover, every identified Russian operation utilizing novel cyber weapons, which is therefore highly complex per the model and among the most costly operations, sought to destroy data [36]. That Russia sought data-destroying effects in the operations they spent the most time and resources on suggests that medium effects were prioritized. They constitute 41% of identified effects in CPI’s data. 同様に、CPIのデータでは、中程度の効果を狙ったサイバー兵器が多数展開されているように見える。これらの活動の一部は、マイクロソフトのデータでも説明されている。CPIのデータでは、少なくとも12の活動が、観測された効果や利用されたサイバー兵器に基づいて、データ破壊を目的としていると分類できる[107]。さらに、新しいサイバー兵器を利用したすべての識別されたロシアの作戦は、モデル上極めて複雑であり、最も費用のかかる作戦のひとつであるため、データの破壊を目的としていた[36]。ロシアが最も時間とリソースを費やした作戦でデータの破壊効果を狙っていたことは、中程度の効果を優先していたことを示唆している。CPIのデータで識別された効果の41%を占めている。
The analysis is complicated by difficulties confirming actual effects of cyber operations described in the data before they are discovered and mitigated. Microsoft’s June assessment said data-destroying operations had been more prevalent than the reporting at the time made them out to be [2]. The assessment does not reveal the success rate of Russian operations but states that defensive measures until late June had “withstood attacks far more often” than not [2]. If true, many operations coded to achieve medium effects likely failed to achieve them. Scholars and companies like Microsoft have posited the migration of Ukrainian data to cloud services hosted in NATO countries, where Russia is less willing and able to strike, as one factor limiting the impact of Russia’s data-destructive cyber operations [2, 30, 110]. Nevertheless, both CPI and Microsoft data indicate that a large share of Russian operations at least attempted to deploy cyber weapons coded to achieve medium effects. データが発見され、低減される前に、サイバー作戦の実際の影響を確認することが困難であることが、分析を複雑にしている。マイクロソフトの6月のアセスメントでは、データ破壊作戦は、当時報告されていたよりも広範に行われていたと述べている[2]。このアセスメントでは、ロシアの作戦の成功率は明らかにされていないが、6月下旬までの防御策は「攻撃に耐えることができた」ことが「攻撃に耐えられなかった」ことよりも多かったと述べている[2]。もしこれが事実であれば、中程度の影響を及ぼすことを目的とした多くの作戦は、おそらくその目的を達成できなかったことになる。学者やマイクロソフトのような企業は、ロシアが攻撃を行う意欲や能力が低いNATO加盟国でホストされているクラウドサービスへのウクライナのデータの移行を、ロシアのデータ破壊を目的としたサイバー作戦の影響を限定する要因のひとつとして挙げている[2, 30, 110]。しかし、CPIとマイクロソフトのデータは、ロシアによる攻撃の多くが、少なくとも中程度の影響を及ぼすようコード化されたサイバー兵器の展開を試みていたことを示している。
Low effects amount to data exfiltration or disruption of systems. The analysis finds a large share of Russian operations employing cyber weapons coded to achieve such low effects. The prevalence is comparable to and possibly greater than the prevalence of medium effects. It is again unclear how often these low effects materialized on target systems. 低影響とは、データの外部流出やシステムの混乱を指す。分析の結果、ロシアによる攻撃の多くが、このような低影響を及ぼすようコード化されたサイバー兵器を使用していたことが判明した。その割合は、中程度の影響を及ぼすようコード化されたサイバー兵器の割合と同等か、場合によってはそれを上回る可能性がある。これらの低影響が標的のシステム上でどの程度の頻度で実現されたのかは依然として不明である。
In CPI’s data, a total of 16 operations can be classified as pursuing either disruption or data exfiltration based on observed effects or cyber weapons like DDoS-attacks or data-stealing malware [107]. This is more than the 12 data-destroying operations. Microsoft does not report the precise prevalence of low effects operations. Instead, the April report observes that Russian state actors have “routinely” attempted to disrupt in addition to destroy data on networks belonging to government and critical infrastructure entities [36]. Microsoft elsewhere describes that Russian state actors both destroy and exfiltrate data on targeted systems [36]. Microsoft’s reporting thus indicates that low effects constitute a nontrivial share of observed effects on Ukrainian targets. CPIのデータでは、DDoS攻撃やデータ窃取マルウェアなどの観測された影響やサイバー兵器に基づいて、合計16件の作戦が混乱またはデータ抽出を目的としていると分類できる[107]。これは、データ破壊を目的とした12件の作戦よりも多い。マイクロソフトは、低影響作戦の正確な蔓延率を報告していない。代わりに、4月の報告書では、ロシアの国家行為者が「日常的に」、政府および重要インフラ事業体のネットワーク上のデータの破壊に加えて、混乱を引き起こそうとしていることが観察されている[36]。マイクロソフトは別の箇所で、ロシアの国家行為者が標的システム上のデータの破壊と抽出の両方を行っていると説明している[36]。したがって、マイクロソフトの報告は、ウクライナの標的で観察された影響の非無視できる割合が低影響であることを示している。
In sum, Microsoft and CPI data suggest a large share of Russian operations were coded to achieve low effects through disruption or data exfiltration. The data do not permit estimating a precise success rate for these low effects. If Microsoft’s assessment that Ukrainian defenses succeeded more often than not is true, many low effects may have failed. まとめると、マイクロソフトとCPIのデータは、ロシアの作戦の大部分が、混乱やデータ抽出を通じて低レベルの効果を達成するようにコード化されていることを示唆している。これらのデータでは、これらの低レベルの効果の正確な成功率を推定することはできない。ウクライナの防御が成功したケースの方が多いというマイクロソフトのアセスメントが正しいとすれば、多くの低レベルの効果は失敗した可能性がある。
The final category of no effects denotes a cyber operation’s failure to achieve its effects, which has been touched upon in the preceding analyses. Based on these, four points are noteworthy. First, it is often difficult to obtain reliable evidence for the effects of reported cyber operations. This complicates the analysis. Second, despite this, our analysis suggests that at least some Russian operations fail such that the effects coded in their cyber weapons do not materialize on target systems. The data includes several such failures. Other sources corroborate Microsoft’s claim on the success of Ukrainian defenses [111, 112]. Third, it is clear, however, that Russia has succeeded to some extent in achieving medium and low effects. Several such successes are evident in the data. What is also clear, as a fourth point, is the absence of high effects. 最後の「影響なし」のカテゴリーは、サイバー作戦がその効果を達成できなかったことを意味し、これは前述の分析でも触れた。これらを踏まえると、4つの点が注目に値する。第一に、報告されたサイバー作戦の影響について、信頼できる証拠を入手することはしばしば困難である。これは分析を複雑にする。第二に、それにもかかわらず、我々の分析では、少なくとも一部のロシアの作戦は、そのサイバー兵器にコード化された影響が標的システム上で実現されないような失敗を犯していることが示唆されている。データには、そのような失敗例がいくつか含まれている。他の情報源も、ウクライナの防衛が成功したというマイクロソフトの主張を裏付けている[111, 112]。第三に、しかし、ロシアが中程度および低程度の影響をある程度達成していることは明らかである。そのような成功例はデータにもいくつか見られる。第四に、高影響の欠如も明らかである。
Complexity 複雑性
This subsection analyzes the complexity of Russian cyber operations based on the low, medium, and high complexity categories reflecting the respective use of DDoS or other simple brute-forcing methods, known malware and tools, and novel malware and tools. The majority of operations across the period of observation are of medium complexity but the ratio between complexity categories changes through time. See Fig. 3 for the overall distribution of complexity types in Russian cyber operations. この小項では、DDoS攻撃やその他の単純なブルートフォース法、既知のマルウェアやツール、新しいマルウェアやツールの使用状況を反映した低、中、高の複雑さのカテゴリーに基づいて、ロシアのサイバー作戦の複雑さを分析する。 観測期間中の作戦の大部分は中程度の複雑さであるが、複雑さのカテゴリー間の比率は時とともに変化している。 ロシアのサイバー作戦における複雑さのタイプ全体の分布については図3を参照のこと。
3_20240828153901
Figure 3. Distribution of complexity of Russian cyber operations with identifiable complexity types in CPI data (n = 29). 図3 CPIデータで識別可能なロシアのサイバー作戦の複雑さの分布(n=29)。
The complexity of 29 Russian operations can be identified in CPI’s data [107]. 18 are medium complexity operations, nine are high complexity, and two are low complexity. Microsoft’s reporting reveals a comparable ratio with nine high complexity operations, an unspecified number of medium complexity operations that is likely in the high 20’s to low 30’s, and four low complexity operations. CPIのデータでは、ロシアによる29件の作戦の複雑性を識別できる[107]。そのうち18件は中程度の複雑性、9件は高複雑性、2件は低複雑性である。マイクロソフト社の報告では、高複雑性作戦が9件、中複雑性作戦が20件後半から30件前半と思われる不特定の数、低複雑性作戦が4件となっている。
A total of nine high complexity operations are evident across CPI and Microsoft data [36, 107]. These operations utilized malware and tools not deployed previously —even in modified versions. One operation took place in the run-up to the invasion, four operations coincided with the invasion’s beginning, and two operations were discovered three and four weeks into the invasion. The remaining two operations occurred much later in September and October, suggesting a 6-month hiatus in the interim [36, 107, 113]. High complexity operations thus coincided with the outbreak of warfighting and dropped in prevalence as warfighting continued until a sudden but short-lived return in the fall. CPIとマイクロソフトのデータによると、合計9件の高度な複雑性を持つ作戦が明らかになっている[36, 107]。これらの作戦では、修正版であっても、これまで展開されていなかったマルウェアやツールが使用された。1件の作戦は侵攻の直前に行われ、4件の作戦は侵攻の開始と同時に行われ、2件の作戦は侵攻から3週間後と4週間後に発見された。残りの2つの活動は9月と10月に発生しており、その間6か月間活動が休止していたことが示唆されている[36, 107, 113]。このように、高度な複雑性を持つ活動は戦争の勃発と時を同じくして発生し、戦争が継続するにつれて減少したが、秋には突然、短期間ながら再び増加した。
For example, Russia deployed data-destroying malware against critical infrastructure and government entities on 23 February, hours before the conventional invasion commenced [36]. This “FoxBlade”-malware had not previously been observed [114]. FoxBlade was designed to target specific systems and only propagate on specific networks, showing high target specificity [36]. Technical analyses by ESET indicate that actors behind the FoxBlade-operation likely compromised the targets several weeks before 23 February [115]. This implies high costs in terms of resources and time. The novelty, target specificity, and cost of the FoxBlade-operation point to it being high complexity. 例えば、ロシアは2月23日、通常戦の開始数時間前に、データ破壊マルウェアを重要なインフラおよび政府事業体に展開した [36]。この「FoxBlade」マルウェアは、それまで観測されたことはなかった [114]。FoxBladeは特定のシステムを標的にし、特定のネットワーク上でのみ拡散するように設計されており、高い標的特異性を示している[36]。ESETによる技術的分析によると、FoxBlade作戦の背後にいる攻撃者は、2月23日の数週間前に標的を侵害した可能性が高い[115]。これは、リソースと時間という観点で高いコストを要することを意味する。FoxBlade作戦の新規性、標的特異性、およびコストは、その作戦が高度な複雑性を備えていることを示している。
Another example of high complexity is the 24 February attack on Viasat that left Ukrainian customers, including parts of Ukrainian military, without internet [36, 116, 117] (Some have questioned whether AcidRain had a sizeable and long-lasting impact on Ukrainian military communications [118]. This does not change the classification of the AcidRain operation as highly complex per the TECI-model given the nondisputed reports of its utilizing novel malware. It does, however, underscore that even a highly complex cyber operation is not automatically guaranteed to succeed.). The operation utilized novel “AcidRain”-malware, which was unique for the operation and so indicates high complexity [107, 117]. Besides AcidRain and FoxBlade, the high complexity operations utilized specifically developed and novel malware now known as WhisperGate, SonicVote, Lasainraw, DesertBlade, CaddyWiper, FiberLake, and Prestige ransomware [36, 114, 115, 119, 120]. Some have since been recycled in other operations, in which case they signify medium rather than high complexity. 高複雑性のもう一つの例は、2月24日のViasatに対する攻撃で、ウクライナ軍の一部を含むウクライナの顧客がインターネットにアクセスできなくなったことである[36, 116, 117](一部では、AcidRainがウクライナ軍のコミュニケーションに多大かつ長期的な影響を与えたかどうか疑問視する声もある[118]。このことは、その作戦が新しいマルウェアを使用しているという疑いの余地のない報告があることから、TECIモデルに基づく高度に複雑なAcidRain作戦という分類を変えるものではない。しかし、高度に複雑なサイバー作戦であっても、自動的に成功が保証されるわけではないことを強調している。この作戦では、新しい「AcidRain」マルウェアが使用された。これはこの作戦に特有のものであり、高度な複雑性を示すものである[107, 117]。AcidRainやFoxBladeの他にも、WhisperGate、SonicVote、Lasainraw、DesertBlade、CaddyWiper、FiberLake、およびPrestigeランサムウェアとして現在知られている、特に開発された新しいマルウェアが、高度な複雑性を持つ活動で利用されている[36, 114, 115, 119, 120]。 そのうちのいくつかは、その後他の活動で再利用されており、その場合は、高度な複雑性ではなく中程度の複雑性を示す。
Medium complexity operations over time become the most prevalent in the CPI and Microsoft data. These operations utilize previously observed malware or tools by either recycling those cyber weapons without alterations or modifying them to some extent. 中程度の複雑さの攻撃は、時間の経過とともに、CPIとマイクロソフトのデータで最も多く見られるようになる。これらの攻撃では、以前に観測されたマルウェアやツールを再利用するか、ある程度変更を加えて使用する。
Microsoft’s April report shows that at least FoxBlade, SonicVote, and DesertBlade are utilized in new operations after their discovery [36]. In other reporting, Microsoft describes CaddyWiper as being recycled [114]. Moreover, Microsoft generally observes that Russian state actors tend to modify utilized malware between operations [36]. As analyzed above, in Microsoft’s April report, only 5 of 37 data-destructive incidents between 23 February and 8 April were high complexity operations [36]. Although the data does not allow for a detailed analysis of every incident, the relatively small number of incidents attributable to high complexity operations suggests that a large share of the 37 incidents could be attributed to operations using recycled or modified malware. マイクロソフト社の4月の報告書では、少なくともFoxBlade、SonicVote、DesertBladeは、発見後も新たな活動で利用されていることが示されている [36]。 別の報告書では、マイクロソフト社はCaddyWiperが再利用されていると説明している [114]。 さらに、マイクロソフト社は一般的に、ロシアの国家機関が活動の間に利用するマルウェアを変更する傾向があることを観察している [36]。上述の分析によると、マイクロソフトの4月の報告書では、2月23日から4月8日までの間に発生したデータ破壊インシデント37件のうち、高度な複雑性を持つ作戦とされたのは5件のみであった [36]。 データでは個々のインシデントの詳細な分析はできないが、高度な複雑性を持つ作戦とされたインシデントの数が比較的少ないことから、37件のインシデントの多くは、再利用または修正されたマルウェアを使用する作戦によるものである可能性が高い。
Roughly 31% of Russian operations in CPI’s data are of high complexity whereas 62% are medium and 7% are low complexity [107]. Thus, for the entire period from January until December, medium complexity operations are almost twice as prevalent as high complexity operations. This trend is reversed in the beginning of the invasion, however. Seven cases of high complexity operations in the CPI data occur before 17 March within the first month of warfighting. Conversely, 16 of 18 medium complexity operations occur after 22 March. Essentially, Russia mostly conducted high complexity operations in the war’s first weeks after which medium complexity operations become more frequent while high complexity operations disappear until the fall. CPIのデータにおけるロシアの活動のおよそ31%は高複雑度のものであり、62%は中程度、7%は低複雑度のものである[107]。したがって、1月から12月までの全期間において、中程度複雑度の活動は高複雑度の活動のほぼ2倍の頻度で発生している。しかし、侵攻の初期にはこの傾向は逆転する。CPIのデータにおける高複雑度活動の7件は、戦闘開始から1か月以内の3月17日以前に発生している。逆に、中程度の複雑性を持つ作戦の18件のうち16件は3月22日以降に発生している。基本的に、ロシアは戦争の最初の数週間は主に高複雑性作戦を実施し、その後は中程度の複雑性を持つ作戦がより頻繁に行われるようになり、秋までは高複雑性作戦は行われなくなった。
Low complexity operations cover the use of DDoS-attacks. Only few of the observed cyber operations fall into this category. Microsoft’s reporting includes four cyber operations utilizing DDoS [36]. The CPI data includes two cases [107]. Russian state actors thus rarely utilized DDoS-attacks. Moreover, all low complexity operations except one occurred before the war. The sole exception is the use of DDoS in conjunction with AcidRain-malware in the operation against Viasat on the invasion’s first day. 低複雑性作戦にはDDoS攻撃の使用が含まれる。観測されたサイバー作戦のうち、このカテゴリーに該当するものはわずかである。Microsoftの報告書には、DDoSを使用した4件のサイバー作戦が含まれている[36]。CPIデータには2件の事例が含まれている[107]。したがって、ロシアの国家主体がDDoS攻撃を利用することはまれである。さらに、低複雑性攻撃は1件を除いてすべて戦争前に発生している。唯一の例外は、侵攻初日にViasatに対する攻撃で、AcidRainマルウェアと併用したDDoS攻撃である。
In short, Russia deprioritized low complexity nonmalware operations once warfighting commenced in favor of initially high and later medium complexity operations. つまり、ロシアは戦争が始まると、低複雑性でマルウェアを使用しない攻撃の優先順位を下げ、当初は高複雑性、後に中複雑性の攻撃を優先した。
Integration 統合
Analyzing the integration between cyber and noncyber capabilities, this subsection finds relatively few Russian cyber operations integrated with conventional operations. For most cyber operations, there is no evidence to suggest their being integrated with other capabilities. When integration is evident, though, it is predominantly in the form of low integration and largely in the first weeks of the war. Across the CPI and Microsoft data, a total of nine cyber operations could be identified as constituting some form of integration. The results are summarized in Fig. 4. サイバー能力と非サイバー能力の統合を分析したこの小項では、ロシアのサイバー作戦で通常作戦と統合されたものは比較的少ないことが分かった。ほとんどのサイバー作戦では、他の能力と統合されたことを示す証拠は見つからなかった。ただし、統合が明らかな場合、そのほとんどは低レベルの統合であり、主に戦争の最初の数週間に実施されている。CPIとマイクロソフトのデータ全体を通じて、何らかの統合形態をとっていると識別されたサイバー作戦は合計9件であった。結果は図4に要約されている。
4_20240828154301  
Figure 4. 図4
Distribution of integration types of Russian cyber operations identifiable in CPI and Microsoft data (n = 9). CPIとマイクロソフトのデータで識別可能なロシアのサイバー作戦の統合タイプの分布(n = 9)。
High integration occurs when a cyber operation is supporting a noncyber operation to contribute to its successful completion. The analysis shows two Russian cyber operations that live up to this standard. The first case is the cyber operation against the Zaporizhzhia nuclear powerplant discovered on 2 March [2]. A Russian state actor moved laterally on networks belonging to the nuclear power company running the facility. A day later, Russian conventional forces attacked and occupied the nuclear plant with video footage suggesting the attack was planned in advance [121]. In the absence of public evidence of other actions or intentions of the actor besides their lateral movement, it is not possible to indisputably prove that the cyber operation supported the conventional operation. Since the cyber operation closely preceded the conventional operation and Ukrainian forces were present at the plant, though, it is conceivable that the cyber operation sought to collect intelligence on the plant to support a later conventional attack. On this reading, the Zaporizhzhia operation constitutes high integration. 高度な統合は、サイバー作戦が非サイバー作戦を支援し、その成功に貢献する場合に発生する。分析では、この標準を満たす2つのロシアのサイバー作戦が確認された。最初のケースは、3月2日に発見されたザポリージャ原子力発電所に対するサイバー作戦である[2]。ロシアの国家主体が、その施設を運営する原子力発電会社のネットワーク上で水平移動した。その翌日、ロシアの通常戦力部隊が原子力発電所を攻撃し占領した。その攻撃は事前に計画されていたことを示すビデオ映像が残されている[121]。アクターによる他の行動や意図を示す公開された証拠がないため、サイバー作戦が通常作戦を支援したことを明確に証明することはできない。しかし、サイバー作戦は通常作戦に先立って行われたものであり、ウクライナ軍が原子力発電所に駐留していたことから、サイバー作戦は後の通常攻撃を支援するために発電所に関する情報を収集しようとした可能性がある。この解釈に基づけば、ザポリージャ作戦は高度な統合を構成する。
The second case is the AcidRain-operation against Viasat on 24 February. According to Victor Zhora, deputy chairman of Ukrainian cybersecurity agency SSSCIP, the effects were a “huge loss in communications in the very beginning of the war” [122]. US Secretary of State Antony Blinken stated the operation intended to disrupt Ukrainian command and control [123]. Subsequent reports have questioned whether AcidRain had a “huge” impact on Ukrainian military communication systems or rather impacted a backup communication method [118]. Either way, the operation sought to disrupt Ukrainian C2 and contribute positively to Russia’s concurrent offensive, satisfying the supportive integration logic. The AcidRain-operation is thus a case of high integration of cyber and noncyber capabilities. 2つ目の事例は、2月24日のViasatに対するAcidRain作戦である。ウクライナのサイバーセキュリティ機関SSSIPの副会長であるVictor Zhora氏によると、その影響は「戦争の初期段階におけるコミュニケーションの大きな損失」であったという[122]。米国務長官のアンソニー・ブリンケンは、この作戦はウクライナの指揮統制を混乱させることを意図したものだと述べた[123]。その後の報告では、AcidRainがウクライナ軍の通信システムに「甚大な」影響を与えたのか、それともバックアップの通信手段に影響を与えたのかが疑問視されている[118]。いずれにしても、この作戦はウクライナのC2を混乱させ、同時に行われていたロシアの攻撃に積極的に貢献することを目的としており、支援的統合ロジックを満たしている。したがって、AcidRain作戦はサイバーおよび非サイバー能力の高度な統合の事例である。
Medium integration refers to cyber capabilities coordinated with conventional capabilities in the planning phase of an operation, for example when military staffs decide between cyber and noncyber courses of action. The analysis finds only one case, namely the Industroyer2-operation against Ukrainian substations on April 8 [36, 107, 108]. As shown in the effects analysis, although it was ultimately prevented, the cyber operation sought the physical destruction of hardware in substations to shut off electricity for millions of Ukrainians. This effect could reasonably have been achieved by conventional means. One method would be a missile attack similar to the thousands already conducted by Russia [124]. In fact, Russia routinely used missiles to damage Ukrainian critical infrastructure [125]. Instead of achieving the destructive effect through a kinetic explosion, the Industroyer2-operation sought to achieve it through malware, thus suggesting that some form of coordination and deconfliction of cyber and noncyber capabilities in the planning phase had preceded the execution of the operation. It is thus a case of medium integration. The data indicate no other plausible cases. 中程度の統合とは、作戦の計画段階でサイバー能力が通常戦力と調整されることを指し、例えば軍事スタッフがサイバー作戦と通常戦力のどちらの行動方針をとるかを決定する場合などがこれに該当する。分析の結果、該当する事例は1件のみ、すなわち4月8日にウクライナの変電所に対して実施されたIndustroyer2作戦のみであることが判明した[36, 107, 108]。影響分析で示されているように、最終的には阻止されたものの、このサイバー作戦は、変電所のハードウェアを物理的に破壊して、数百万人のウクライナ人の電気を遮断することを目的としていた。この影響は、従来の手段によっても十分に達成可能であった。その手段の一つは、ロシアがすでに数千回実施しているミサイル攻撃である [124]。実際、ロシアは日常的にミサイルを使用してウクライナの重要インフラに損害を与えていた [125]。運動爆発による破壊効果を狙うのではなく、Industroyer2作戦ではマルウェアによって破壊効果を狙ったため、作戦の実行に先立って、計画段階でサイバーおよび非サイバー能力の何らかの調整とデコンフリクトが行われたことが示唆される。したがって、これは中程度の統合の事例である。データからは、他に妥当な事例は見当たらない。
Low integration means that cyber capabilities are aligned with noncyber capabilities in terms of timing, targeting, and general purpose without directly supporting the latter. With CPI and Microsoft data showing six cases of low integration, it is the most prevalent form of integration. One of the six cases is the FoxBlade operation against government entities discovered on 23 February. This cyber operation sought to destroy data on government servers [2, 36]. Meanwhile, Russia conducted missile attacks in the beginning of the war against a specific government data center [2, 126]. In other words, conventional capabilities also targeted government entities’ access to data in the war’s beginning. This means FoxBlade was aligned with conventional strikes on the data center in terms of timing, targeting, and the general purpose of denying the government access to data. It is then a case of low integration. 低統合とは、サイバー能力がタイミング、標的、および汎用性の観点で非サイバー能力と調整されているものの、後者を直接支援するものではないことを意味する。CPIとマイクロソフトのデータでは、低統合の事例が6件確認されており、統合の最も一般的な形態である。6件の事例のうちの1つは、2月23日に発見された政府事業体に対するFoxBlade作戦である。このサイバー作戦は、政府サーバー上のデータを破壊することを目的としていた[2, 36]。一方、ロシアは戦争の初期段階で、特定の政府データセンターに対してミサイル攻撃を実施した[2, 126]。つまり、従来の能力も戦争の初期段階では、政府事業体のデータへのアクセスを標的にしていた。これは、タイミング、標的、そして政府のデータへのアクセスを妨害するという一般的な目的において、FoxBladeがデータセンターに対する従来の攻撃と一致していたことを意味する。したがって、これは低統合の事例である。
The five other cases of low integration in the data are evident on 17 February, between 28 February and 1 March, 4 March, 11 March, and 29 April [2, 36, 127]. Together with the FoxBlade operation on 23 February, the data suggest that low integration is primarily present in the war’s beginning —as was the case for medium and high integration. This coincides with the Russian spring offensive. Notably, though, Microsoft has reported that Russian missile attacks in October coincided with data-destroying cyber operations against critical infrastructure [113]. The cyber operations were thus associated with missile attacks in terms of timing, targets, and geography, indicating low integration [113]. These plausible cases of low integration came after a months-long hiatus in data-destructive cyber operations per Microsoft, which is also evident in our analysis of CPI data. Although the reported data lack detail, they point to Russia pursuing low integration during the Ukrainian fall offensive after a long hiatus without integration since their own offensive. データにおける低統合の他の5つの事例は、2月17日、2月28日から3月1日、3月4日、3月11日、4月29日に明白である[2, 36, 127]。2月23日のFoxBlade作戦と併せて、データは、低統合が主に戦争の初期に存在していたことを示唆している。これは、中程度および高統合の場合と同様である。これは、ロシアの春の攻勢と一致する。注目すべきは、Microsoftが、10月のロシアのミサイル攻撃は、重要インフラに対するデータ破壊サイバー作戦と一致していたと報告していることである[113]。したがって、このサイバー作戦は、タイミング、標的、地理的な観点からミサイル攻撃と関連しており、統合の度合いが低いことを示している[113]。 このような統合の度合いが低いと思われる事例は、マイクロソフト社によると、データ破壊を目的としたサイバー作戦が数か月間中断した後に発生しており、これはCPIデータの分析でも明らかである。 報告されたデータは詳細に欠けるが、ロシアがウクライナの秋の攻勢時に、自らの攻勢以来、統合を伴わない長い中断期間を経て、統合の度合いが低いことを示している。
Altogether, the analysis found nine operations constituting integration between cyber and noncyber capabilities. No integration is thus the most prevalent integration category. The analysis is complicated, however, by limited access to data on both cyber and conventional operations in Ukraine. Even with this caveat, the analysis suggests a large majority of Russian cyber operations were not integrated with noncyber capabilities. This echoes the findings of Bateman as well as Mueller et al. [28, 30]. 分析の結果、サイバーおよび非サイバー能力の統合を構成する作戦は9件であることが判明した。統合なしが最も多い統合カテゴリーである。ただし、ウクライナにおけるサイバーおよび通常作戦に関するデータへのアクセスが限られているため、分析は複雑になっている。この注意書きがあるにもかかわらず、分析結果は、ロシアのサイバー作戦の大半は非サイバー能力と統合されていないことを示唆している。これは、バトマンの研究結果と同様、ミューラーらの研究結果とも一致している[28, 30]。
Four notable trends 4つの注目すべき傾向
In applying the TECI-model on Russian cyber operations in Ukraine, the article finds four notable trends. First, Russian operations rarely sought physically destructive high effects, opting instead for medium or low effects. Second, the effects often failed to materialize. In particular, there are no known successful high effects. Third, over time, Russia mostly conducted medium complexity operations by recycling or modifying used malware and tools, although they opted for high complexity operations using novel malware and tools in the war’s first weeks. Fourth, Russian cyber operations were seldom integrated with noncyber capabilities, and when they were it was predominantly in the war’s first weeks and in the form of low integration. 本記事では、TECIモデルをウクライナにおけるロシアのサイバー作戦に適用し、4つの注目すべき傾向を見出している。まず、ロシアの作戦は物理的な破壊による高い効果をめったに求めず、代わりに中程度または低効果を選んでいる。次に、その効果はしばしば実現しなかった。特に、高い効果を成功させた事例は知られていない。第三に、ロシアは、戦争の最初の数週間は新しいマルウェアやツールを使用した高難度の作戦を選択していたが、その後は使用済みのマルウェアやツールを再利用または修正することで、主に中程度の難度の作戦を実施した。第四に、ロシアのサイバー作戦は、サイバー以外の能力と統合されることはほとんどなく、統合されたとしても、それは戦争の最初の数週間に限られ、統合の度合いも低かった。
These findings largely corroborate and add detail to studies published since the outbreak of war [128, 31, 32, 30]. In their 2023 report, Mueller et al. [30] conclude that Russia struggled to integrate cyber and conventional operations and that observed cyber operations mostly opted for “disruption” instead of “degradation” without targeting military entities as often as expected. They argue cyber operations may be more apt at shaping strategic interactions than determining tactical outcomes where conventional means prove better suited, pithily noting: “Why hack what you can destroy?” [30]. Even as the trends in the mentioned studies and this article are largely similar, utilizing a common model such as TECI would have improved the ability to systematically compare and discuss the trends and their hypothesized explanations between the studies. これらの調査結果は、戦争勃発後に発表された研究結果を概ね裏付け、さらに詳細を追加するものである [128, 31, 32, 30]。 2023年の報告書で、ミューラー氏らは [30] 、ロシアはサイバー作戦と通常作戦の統合に苦戦しており、観測されたサイバー作戦のほとんどは、想定されていたほど軍事事業体を標的にせず、「機能低下」ではなく「機能破壊」を選択していたと結論付けている。彼らは、サイバー作戦は、通常手段の方が適している戦術的な結果を左右するよりも、戦略的な相互作用を形成するのに適している可能性があると主張し、「破壊できるものをなぜハッキングするのか?」と簡潔に指摘している[30]。前述の研究と本記事の傾向は概ね類似しているが、TECIのような共通のモデルを利用すれば、研究間の傾向とその仮説的説明を体系的に比較・議論する能力が改善されたであろう。
Limited with exceptions: the utility of cyber operations in war 例外はあるが限定的:戦争におけるサイバー作戦の有用性
What do the analyzed trends from Ukraine reveal about the utility of offensive cyber operations in war? This section examines the question in three parts by assessing the utility on strategic, operational, and tactical levels of warfighting. Besides its use in Western military doctrine, the tripartition of warfighting clarifies and delineates where cyber operations may be of utility in the complex and wide-ranging phenomenon of warfighting. What is of utility for a platoon of soldiers in battle —and the characteristics that govern whether a cyber operation can be of such utility— may be different from what is of utility when organizing a nation’s resources to win a war. The tripartition is a simple methodological framework for finding these differences. ウクライナにおける分析された傾向は、戦争における攻撃的サイバー作戦の有用性について何を明らかにしているのだろうか? このセクションでは、戦争遂行における戦略、作戦、戦術の各レベルにおける有用性をアセスメントすることで、この問題を3つのパートに分けて検証する。西側の軍事理論における使用法に加え、戦争遂行の3つの区分は、複雑かつ広範な戦争遂行の現象においてサイバー作戦が有用となり得る領域を明確化し、区分するものである。戦闘中の小隊の兵士にとって有用なものは何か、そして、サイバー作戦がそのような有用性を持つかどうかを決定する特性は何か、という点については、戦争に勝つために国家の資源を組織化する際に有用なものと異なる可能性がある。3つの区分は、これらの相違を見出すための単純な方法論的枠組みである。
The strategic level of warfare concerns a state’s disposition of national resources and instruments of power to wage war [129]. These get at not only a nation’s ability but also its will to wage war. To achieve strategic utility a cyber operation must therefore generate advantages on this strategic level by improving one’s own or undermining the adversary’s ability or will to wage war by affecting national resources or instruments of power. 戦争の戦略レベルでは、国家の国家資源の配分と戦争遂行のための手段が問題となる[129]。これらは国家の能力だけでなく、戦争遂行の意志にも関わる。戦略的有用性を達成するためには、サイバー作戦は国家資源や戦争遂行の手段に影響を与えることで、自国の能力を改善し、あるいは敵国の能力や戦争遂行の意志を損なうことで、この戦略レベルで優位性を生み出さなければならない。
The operational level concerns military campaigns deploying larger military units in larger geographic areas —theaters of operations— to realize operational objectives that contribute to strategic goals [129]. Operational utility entails providing military advantages against the adversary in a specific theater of operations. A cyber operation should thus improve the ability of units in a theater to accomplish objectives, for example by worsening the adversary’s general combat effectiveness in the specific theater. 作戦レベルは、より広大な地理的領域(作戦地域)に大規模な軍事部隊を展開し、戦略目標に貢献する作戦目標を達成する軍事キャンペーンに関わるものである。[129] 作戦上の有用性は、特定の作戦地域において敵対者に対する軍事的優位性を提供することを意味する。したがって、サイバー作戦は、例えば特定の作戦地域における敵対者の戦闘能力全般を低下させることによって、作戦地域内の部隊が目標を達成する能力を改善すべきである。
The tactical level concerns task-specific deployment of smaller military units in specific terrain generating effects that contribute to larger operational objectives through, e.g. localized engagements with adversarial forces [129]. Cyber operations achieve tactical utility by generating advantages for a friendly unit in its assigned task, for example against an adversarial unit. This could involve worsening the adversarial unit’s ability to maneuver, fire, survive, or otherwise succeed in the local engagement. 戦術レベルでは、特定の地形におけるより小規模な軍事部隊の任務特化型展開が問題となる。これにより、例えば敵対的部隊との局地的な交戦を通じて、より大きな作戦目標に貢献する効果が生成される[129]。サイバー作戦は、例えば敵対的部隊に対する任務において、味方部隊に優位性をもたらすことで戦術的効用を達成する。これには、敵対的部隊の機動、射撃、生存、または局地的な交戦におけるその他の成功能力を低下させることが含まれる可能性がある。
In sum, the strategic, operational, or tactical utility of a cyber operation is a matter of generating advantages on the corresponding levels of warfare. These different levels of warfighting can overlap [129]. A general advantage for units in a theater could spill over to the tactical level by creating a local advantage in a specific battle. Disrupting a power grid, which undermines national resources and provides strategic utility, could provide operational utility by limiting access to electricity, which worsens the combat effectiveness of units in an entire theater. This means a cyber operation can be of utility on multiple levels. 要約すると、サイバー作戦の戦略的、作戦的、戦術的有用性とは、対応する戦闘レベルで優位性を生成することである。これらの異なる戦闘レベルは重複することがある[129]。ある戦域における部隊の一般的な優位性は、特定の戦闘における局地的な優位性を生み出すことで戦術レベルに波及する可能性がある。電力網を混乱させることで国家資源を損傷させ、戦略的な有用性を実現できるが、それによって戦域全体の部隊の戦闘能力が低下し、電力へのアクセスが制限されることで作戦上の有用性が実現できる可能性もある。つまり、サイバー作戦は複数のレベルで有用性を発揮できるということである。
Strategic utility 戦略的有用性
Previous research both question and advocate for the strategic utility of cyber operations. Maschmeyer sees the trilemma of speed, intensity, and control as limiting the strategic potential [6]. Smeets instead writes of the strategic promise of cyber operations as force-multipliers and independent assets [14]. This article qualifies these perspectives as they pertain to the strategic utility of cyber operations in warfighting. Indeed, this article argues that, while no single cyber operation is likely to achieve strategic utility on its own, the impact of multiple sustained cyber operations can cumulatively achieve strategic utility. This appears to be the case for Russia in Ukraine, although the utility has been costly and dwarfed by the cumulative utility of conventional operations. これまでの研究では、サイバー作戦の戦略的有用性について疑問を呈する意見と支持する意見の両方が見られる。Maschmeyerは、速度、強度、制御のトリレンマが戦略的可能性を制限すると考えている[6]。Smeetsは、サイバー作戦の戦略的潜在力について、戦力増強効果と独立した資産として書いている[14]。本稿では、戦闘におけるサイバー作戦の戦略的有用性に関連するこれらの見解を検証する。実際、本稿では、単独のサイバー作戦が戦略的有用性を達成することはまずないが、持続的な複数のサイバー作戦のインパクトは累積的に戦略的有用性を達成しうると論じている。これはウクライナにおけるロシアのケースに当てはまると思われるが、その有用性はコストがかさみ、通常作戦の累積的有用性に比べると取るに足らない。
Prima facie, the target analysis of Russian cyber operations indicated a large potential for strategic utility. Russia predominantly targeted critical infrastructure and government entities, which fall under Ukraine’s national resources and instruments of power important for their ability and will to wage war. Analyses of other model variables sow doubt about this potential, however. Especially the effects analysis reveals the limitations of Russia’s cyber operations. 一見したところ、ロシアのサイバー作戦のターゲット分析は、戦略的有用性の大きな可能性を示唆している。ロシアは主に、ウクライナの戦争遂行能力と意志にとって重要な国家資源と権力手段に該当する、重要なインフラと政府事業体を標的にしていた。しかし、他のモデル変数の分析は、この可能性に疑問を投げかけている。特に、効果分析はロシアのサイバー作戦の限界を明らかにしている。
If a single cyber operation is to generate strategic utility by itself, it is arguably more likely to do so by physically destroying national resources or instruments of power. This is one possibility Smeets sees for a cyber operation to fulfill its strategic promise [14]. Only the Industroyer2-operation was coded to achieve such physically destructive high effects, however. The rarity of operations seeking physical destruction naturally limits Russia’s potential for strategic utility through their cyber operations. 単独のサイバー作戦がそれ自体で戦略的有用性を生み出すのであれば、国家資源や権力手段を物理的に破壊することによって、その可能性はより高くなるだろう。これが、Smeetsが戦略的潜在能力を満たすサイバー作戦の可能性として挙げているものである[14]。しかし、物理的な破壊による高い効果を達成したとコード化されたのは、Industroyer2作戦のみであった。物理的な破壊を目的とする作戦が稀であるため、当然ながら、ロシアのサイバー作戦による戦略的有用性の可能性は限られている。
Why did Russia not conduct more high-effect cyber operations? One explanation is the extraordinary availability of conventional weapons suitable for physical destruction. A cyber operation typically takes much longer to plan and stage than missile attacks. The chance of success may also have been higher for a Russian kinetic attack. After all, the analysis showed that a large share of cyber operations failed to achieve the effects, which their cyber weapons were coded to achieve. All of this suggests that highly severe effects are more easily and reliably achieved by conventional means. なぜロシアは、より効果の高いサイバー作戦を実行しなかったのか? その理由の一つとして、物理的破壊に適した通常兵器が豊富に利用可能であったことが挙げられる。 サイバー作戦は通常、ミサイル攻撃よりも計画と実行に多くの時間を要する。 また、ロシアの運動エネルギー攻撃は成功する可能性も高かったかもしれない。 結局のところ、分析の結果、サイバー作戦の大部分は、そのサイバー兵器がコード化された効果を達成できなかったことが明らかになった。これらのすべてが、非常に深刻な影響は従来型の手段によってより容易かつ確実に達成できることを示唆している。
Had the Industroyer2-operation been successful, it might have been able to provide strategic utility; cutting the power for 2 million Ukrainians would arguably have negatively influenced Ukraine’s ability and will to wage war. So why was Industroyer2 not successful? One reason may be its medium degree of complexity. It recycled malware observed before by the defender, making it easier to discover and mitigate. Indeed, if Ukrainian cyber forces have been able to react to novel malware used in Russia’s high complexity operations and adapt their defenses accordingly, they will likely have had an easier time discovering and mitigating later operations merely recycling such malware. Reports indicate that Ukraine aided by Western actors built a relatively capable and responsive cyber defense [111]. This can explain why Industroyer2 and other Russian operations failed. Recycling malware made them too easy to discover and mitigate. In other words, cyber operations of medium and low complexity are less likely to achieve successful effects than high complexity operations. 仮に「インダストロイヤー2」作戦が成功していた場合、戦略的な有用性を提供できた可能性がある。200万人のウクライナ人の電力供給を遮断することは、間違いなくウクライナの戦争遂行能力と意志に悪影響を及ぼしただろう。では、なぜ「インダストロイヤー2」は成功しなかったのか? その理由の一つとして、その作戦の複雑さが中程度であったことが考えられる。この作戦では、以前に防御側が確認したマルウェアが再利用されており、発見や低減が容易であった。実際、ウクライナのサイバー部隊がロシアの高複雑性作戦で使用された新しいマルウェアに反応し、それに応じて防御を適応させることができていたのであれば、その後、そのようなマルウェアを再利用した作戦を発見し、低減することはより容易であった可能性が高い。報告によると、ウクライナは西側の支援を受けて、比較的対応能力の高いサイバー防衛を構築したという[111]。これが、Industroyer2やその他のロシアの作戦が失敗した理由を説明できる。マルウェアを再利用したことで、発見や低減が容易になりすぎたのだ。言い換えれば、中程度および低程度の複雑さのサイバー作戦は、高程度の複雑さの作戦よりも効果を達成できる可能性が低い。
High complexity operations are comparatively more likely to achieve not only successful effects but also high effects. This is because achieving physical destruction typically necessitates the specific manipulation of specific industrial control systems. This high degree of specificity is arguably more difficult to realize by recycling older malware compared to developing novel and tailored malware, which means that high complexity operations are more suited for this task than medium complexity operations. In sum, high complexity operations are more likely to achieve both successful effects and high effects. Together with the assumption that a cyber operation is more likely to provide strategic utility by generating high effects, it follows that high complexity operations are more likely to achieve strategic utility than other operation types. This is unfortunate for the strategic utility potential of Russian cyber operations since relatively few of them were of high complexity compared to medium complexity, and almost all high complexity operations were conducted in the war’s first month. 高複雑性作戦は、成功効果だけでなく、高い効果も達成できる可能性が比較的高い。これは、物理的な破壊を達成するには、通常、特定の産業用制御システムの特定の操作が必要となるためである。この高い特異性は、新規で特注のマルウェアを開発するよりも、古いマルウェアを再利用する方が実現が難しいことは明らかである。つまり、高複雑性作戦は中複雑性作戦よりもこの作業に適している。まとめると、高複雑性作戦は成功効果と高い効果の両方を達成できる可能性が高い。サイバー作戦は高い効果を生成することで戦略的有用性をより提供できるという前提と併せて考えると、高複雑性作戦は他の作戦タイプよりも戦略的有用性を達成できる可能性が高いということになる。これは、ロシアのサイバー作戦の戦略的有用性の潜在的可能性にとっては残念なことである。なぜなら、中程度の複雑性と比較して、高複雑性の作戦は比較的少なく、高複雑性作戦のほぼすべてが戦争の最初の月に実施されたからである。
The relatively few high complexity operations can be explained by their tall demands on resources, time, and target knowledge. One high complexity operation is costly enough, but continuously conducting them requires the continuous tolerance of such costs and regeneration of burned cyber weapons. Even for state actors, it is may well be prohibitively costly to sustain a high rate of high complexity operations over time. The 6-month hiatus in the conduct of high complexity operations between March and September underscores these difficulties; Russia seemingly needs time to regenerate their capabilities. The data confirm Smeets’ claim about the transient nature of cyber weapons [15, 37]. 高複雑度作戦が比較的少数にとどまっているのは、リソース、時間、標的に関する知識の要求度が高いことが原因である。高複雑度作戦は1つでも費用がかかるが、継続的に実施するには、こうしたコストを継続的に負担し、使い古したサイバー兵器を再生産する必要がある。国家による行為であっても、高複雑度作戦を高い割合で長期間継続することは、おそらく法外なほど費用がかかるだろう。3月から9月にかけて、高難度作戦の実施が6か月間中断したことは、こうした困難を浮き彫りにしている。ロシアは能力を再生する時間が必要なようだ。データは、サイバー兵器の一過性の性質に関するSmeetsの主張を裏付けている[15, 37]。
Essentially, high costs limited Russia’s capability for high complexity operations and thus their chances of achieving both successful and high effects, which in turn limited their potential for achieving strategic utility through cyberspace. The analyzed data therefore suggest that a cyber operation is unlikely to achieve strategic utility in warfighting. The high complexity and high-effect operation is the best candidate for achieving strategic utility, but it is too rare an occurrence and less attractive than conventional capabilities to provide such utility in warfighting. 基本的に、高コストがロシアの高難度作戦遂行能力を制限し、その結果、成功と高い効果の両方を達成する可能性が制限され、ひいてはサイバー空間を通じて戦略的有用性を達成する可能性も制限された。したがって、分析されたデータは、サイバー作戦が戦闘において戦略的有用性を達成する可能性は低いことを示唆している。高難度かつ高い効果を伴う作戦は戦略的有用性を達成する最善の候補であるが、発生頻度が低く、戦闘においてそのような有用性を提供するには従来の能力よりも魅力に欠ける。
This argument rests on the assumption that a cyber operation best achieves strategic utility through high effects. Although the assumption may be true, it does not preclude other effect types from being able to affect national resources and instruments of power, even if the likelihood is comparatively lower. The majority of Russian cyber operations were coded to achieve medium effects. Could such a nonkinetic but data-destructive cyber operation be of strategic utility? On its face, the analyzed data suggest this is not the case. There is no medium-effect cyber operation in the data that in and of itself appears to have had a measurable impact on Ukraine’s national resources or instruments of power. この主張は、サイバー作戦は高い効果を通じて戦略的有用性を最もよく達成するという前提に基づいている。この前提は正しいかもしれないが、可能性が比較的低くても、他の種類の影響が国家資源や権力手段に影響を与える可能性を排除するものではない。ロシアのサイバー作戦の大部分は、中程度の効果を狙ったものと分類された。このような非運動的でデータ破壊を目的としたサイバー作戦が戦略的有用性を持つ可能性はあるのだろうか? 分析データを見る限り、そうではないことが示唆される。データの中には、それ自体がウクライナの国家資源や権力手段に測定可能な影響を与えたと思われる中程度の効果を持つサイバー作戦は存在しない。
Yet, a cyber operation’s potential for influencing the strategic level of warfare need not be viewed in isolation. It is a tall order for a single operation —in any domain—t o singlehandedly impact a nation’s ability and will to wage war. Analyzing the utility of a military operation in isolation risks overlooking the possible cumulative utility of several operations, which individually did not measurably impact national resources and instruments of power but together prove enough to do so. The risk of overlooking a cumulative utility is irrelevant for Russia’s high-effect cyber operations in Ukraine given that only one has been conducted so far. It is relevant, however, for Russia’s medium-effect operations that constitute a prominent share of their actions in the analyzed data. The question thus becomes: Have the nonkinetic data-destructive cyber operations cumulatively achieved strategic utility? しかし、サイバー作戦が戦略レベルの戦いに影響を与える可能性は、個別に見る必要はない。単独の作戦が、単独で国家の戦争遂行能力や意志に影響を与えることは、どの領域においても非常に難しい。軍事作戦の有用性を個別に分析することは、個々の作戦が国家の資源や権力手段に目に見える影響を与えていないものの、全体として見れば十分な影響力があることを示す、いくつかの作戦の累積的な有用性を見落とすリスクがある。累積的な効用を見落とすリスクは、これまでに1件しか実施されていないことを踏まえると、ウクライナにおけるロシアの高効果サイバー作戦には関係がない。しかし、分析データにおけるロシアの行動の大部分を占める中程度の効果を持つ作戦には関係がある。したがって、問題となるのは、非運動性データ破壊型サイバー作戦が累積的に戦略的効用を達成しているかということである。
Some trends in the analyzed data support the existence of such a cumulative strategic utility. In the Microsoft data, Russian state actors conducted 37 medium-effect cyber operations between 23 February and 8 April [36]. A total of 22 of these occur in the war’s first week, averaging three per day. For the entire period, Russia leveraged an average of six data-destructive operations per week. More than 72% of them targeted critical infrastructure and government entities, many of them civilian (Mueller et al. [30] point to the shifting of Russian cyber operations toward civilian and away from military targets. This supports the argument that even low and medium cyber effects —e.g. on communication networks such as the Viasat hack— may be part of a pursuit of a cumulative strategic effect through undermining the civilian will to fight.). Taken together, it is a nontrivial and sizable collective of cyber operations being conducted in a short period. It indicates a potential for this collective of medium-effect operations to have cumulatively influenced Ukraine’s ability and will to wage war by undermining the state’s capacity to administer resources and instruments of power through the destruction of data and digital systems. Of course, the effects analysis’ conclusion that a substantial share of operations failed to achieve their data-destructive effects limits this cumulative potential. 分析データには、このような累積的な戦略的有用性が存在することを裏付けるいくつかの傾向が見られる。マイクロソフトのデータによると、ロシアの国家行為者は2月23日から4月8日までの間に37件の中規模効果のサイバー作戦を実施した[36]。このうち22件は戦争の最初の1週間に発生しており、1日あたり平均3件である。全期間を通じて、ロシアは1週あたり平均6件のデータ破壊作戦を実施した。そのうち72%以上が、重要なインフラや政府事業体を標的としており、その多くは民間であった(ミューラー氏ら[30]は、ロシアのサイバー作戦が軍事目標から民間へとシフトしていることを指摘している。これは、低・中程度のサイバー効果(例えば、Viasatのハッキングのようなコミュニケーションネットワークへの影響)でさえ、民間人の戦う意志を損なうことで累積的な戦略的効果を追求する一部であるという主張を裏付けるものである)。総合すると、これは短期間に実施された、重大かつ大規模なサイバー作戦の集合体である。この中程度の影響を与える作戦の集合体が、データの破壊やデジタルシステムの損壊を通じて、国家の資源管理能力や権力手段を弱体化させることで、ウクライナの戦争遂行能力や意志に累積的な影響を与えた可能性があることを示している。もちろん、効果分析の結論では、相当数の作戦がデータ破壊効果を達成できなかったとされているため、この累積的な可能性は限定的である。
All of the medium-effect operations need not be successful in their effects for the collective of medium-effect operations to achieve cumulative strategic utility, though. Even in the absence of materialized effects, the medium-effect operations could force Ukraine to prioritize resources on cyber defenses that could have been used on warfighting in other domains. Conventional warfighting is likely what will be decisive for the war’s outcome. Preventing Ukraine from allocating resources for conventional warfighting may then well have strategic importance. The collective of data-destructive cyber operations could achieve cumulative strategic utility by, on the one hand, directly undermining Ukraine’s resources and instruments of power whenever their effects were successful and by, on the other hand, undermining Ukraine’s ability to prioritize resources optimally for winning the war even when their effects failed. しかし、中程度の影響を与える作戦のすべてが効果を達成できなくても、中程度の影響を与える作戦の集合体は累積的な戦略的有用性を達成できる。たとえ効果が発生しなかったとしても、中程度の影響を与える作戦は、他の領域での戦闘に使用できる可能性があったリソースを、ウクライナがサイバー防衛に優先的に割り当てることを余儀なくさせる可能性がある。通常戦闘が戦争の帰趨を決定する可能性が高い。ウクライナが通常戦闘のためのリソースを割り当てないようにすることは、戦略的に重要な意味を持つ可能性がある。データ破壊を目的としたサイバー作戦の集合体は、その効果を成功させるたびに、ウクライナの資源と権力手段を直接的に損なうことで、また、その効果が失敗した場合でも、戦争に勝利するためにリソースを最適に優先させるウクライナの能力を損なうことで、累積的な戦略的有用性を達成できる可能性がある。
It is difficult to access data on Ukraine’s prioritization of national resources. One piece of the puzzle is the allocation of the 22.3 billion Hryvnia in foreign economic assistance donated to the National Bank of Ukraine [130]. By January 2023, Ukraine had allocated a total of 3.8 billion —more than 17%— of these toward SSSCIP, which is the primary actor behind their cyber defense (3.8 billion Hryvnia correspond to ~110 million USD). This is a nontrivial share of donated resources that could have gone toward the conventional warfighting. The collective of medium-effect Russian cyber operations could have forced Ukraine to make this disposition, especially in the first weeks of the war when the frequency of these operations was most intense. Of course, National Bank donations do not give a complete picture of Ukraine’s allocation of national resources. It does, however, illustrate that Ukraine considered the threat of Russian cyber operations serious enough to warrant the strategic decision of allocating considerable resources to cyber versus conventional capabilities. ウクライナが国家資源を優先的に配分したデータにアクセスするのは難しい。そのパズルの1ピースとなるのは、ウクライナ国立銀行に寄付された223億グリブナの対外経済援助の配分である[130]。2023年1月までに、ウクライナはこれらのうち合計38億グリブナ(17%以上)をサイバー防衛の主要な担い手であるSSSCIPに割り当てた(38億グリブナは約1億1000万米ドルに相当)。これは、従来の戦闘に充てられた可能性のある寄付された資源の、無視できないほどの割合である。中程度の影響力を持つロシアのサイバー作戦の集団は、特に戦争の初期段階において、これらの作戦の頻度が最も激しかった時期に、ウクライナにこのような処分を余儀なくさせた可能性がある。もちろん、ウクライナ国家銀行の寄付は、ウクライナの国家資源の配分を完全に表しているわけではない。しかし、ウクライナがロシアのサイバー作戦の脅威を深刻なものとみなし、サイバー能力と通常能力に相当な資源を配分するという戦略的決定を下すに値すると考えたことは明らかである。
Even if Russia’s medium-effect cyber operations achieved cumulative strategic utility, it is unclear if it was cost-beneficial considering the high cost of especially their high complexity operations, which provided many of the medium effects directly as well as indirectly through later malware recycling. Finally, the cumulative strategic utility of Russian cyber operations is almost certainly minimal compared to the cumulative strategic utility of their conventional operations like missile attacks. たとえロシアの中程度の効果を持つサイバー作戦が累積的な戦略的有用性を達成したとしても、特にその高い複雑性を持つ作戦は、その後のマルウェア再利用を通じて間接的に、また直接的に中程度の効果の多くをもたらしたものの、そのコストは高額であったため、費用対効果の面で有益であったかどうかは不明である。最後に、ロシアのサイバー作戦の累積的な戦略的有用性は、ミサイル攻撃のような通常作戦の累積的な戦略的有用性と比較すると、ほぼ確実に最小限である。
Operational utility 作戦上の有用性
Some scholars have questioned the ability of cyber operations to affect events on the battlefield. Schulze points to cyber operations being operationally ineffective due to difficulties in integrating with conventional capabilities [40]. In a study of the Ukraine conflict from 2014 to 2016, Kostyuk and Zhukov [39] find that cyber operations did not compel reactions in noncyber domains. This suggests cyber operations are of limited operational utility. 一部の学者は、サイバー作戦が戦場の出来事に影響を与える能力に疑問を呈している。シュルツは、従来の能力との統合の難しさから、サイバー作戦は作戦上効果的ではないと指摘している[40]。2014年から2016年のウクライナ紛争に関する研究において、コスティュクとジュコフは[39]、サイバー作戦がサイバー以外の領域での反応を強いることはなかったと結論づけている。これは、サイバー作戦の作戦上の有用性には限界があることを示唆している。
This article reaches a similar albeit more nuanced conclusion. In the analyzed data from the Russo–Ukrainian War, cyber operations generally failed to achieve operational utility with one notable exception. One cyber operation —the AcidRain-operation— managed to affect the operational level of warfare, even if it did so by only removing a backup communication method for Ukrainian military, as some newer reports argue [118]. The operation highlights a narrow potential for cyber operations to provide operational utility in the beginning of warfighting. Generally, though, the operational utility is limited by difficulties integrating cyber and conventional operations especially at higher levels of integration. This is due to a temporal mismatch between relatively slow planning speeds of cyber operations and conventional operations’ typical demand for fast and precisely timed effects. This limiting factor is less pronounced in the beginning of a war because the slower planning can be done before war breaks out. 本稿も同様の、しかしより微妙な結論に達している。 分析されたロシア・ウクライナ戦争のデータでは、サイバー作戦は概して、1つの顕著な例外を除いて作戦上の有用性を達成できなかった。 あるサイバー作戦、すなわちAcidRain作戦は、一部の新しい報告書が主張するように、たとえウクライナ軍のバックアップ・コミュニケーション手段を除去することによってであったとしても、戦闘の作戦レベルに影響を与えることに成功した。 この作戦は、戦闘開始時にサイバー作戦が作戦上の有用性を提供できる可能性が限られていることを浮き彫りにしている。しかし一般的に、サイバー作戦と通常作戦の統合は、特に統合レベルが高くなるほど困難になるため、作戦上の有用性は限定的である。これは、比較的遅いサイバー作戦の計画速度と、通常作戦が求める迅速かつ正確なタイミングでの効果という典型的な要求との間に時間的なミスマッチがあるためである。戦争の初期においては、戦争が勃発する前に遅い計画を行うことができるため、この制約要因はそれほど顕著ではない。
As analyzed earlier, the AcidRain-operation is an example of high integration between cyber and noncyber as it supported Russia’s conventional warfighting by undermining Ukrainian C2 capability —at least on the first day of the war. The fact that AcidRain is categorized as high integration immediately suggests it provided operational utility for Russia. Indeed, the operation straightforwardly passes the requirement for operational utility; it improved the ability of Russian units in a theater of operations to accomplish their objectives. It did so by generally undermining Ukrainian C2 capability and generating a substantial advantage for Russian units in general in a theater of operations in Ukraine. Even the least damaging version of the alleged effects of AcidRain —disrupting Ukrainian satellite communication serving as a backup for military communication— amounts to the undermining of Ukrainian C2. AcidRain thus shows that it is indeed possible for cyber operations to achieve operational utility in warfighting. As the only example, AcidRain suggests that, although cyber operations can achieve operational utility, they rarely do. 先に分析したように、AcidRain作戦は、少なくとも戦争の初日においては、ウクライナのC2能力を弱体化させることでロシアの通常戦闘を支援したという点で、サイバーと非サイバーの高度な統合の例である。AcidRainが高度な統合に分類されるという事実は、それがロシアに作戦上の有用性を提供したことを即座に示唆している。実際、この作戦は作戦上の有用性の要件を明確に満たしている。作戦地域におけるロシア軍部隊の目標達成能力を改善したからだ。これは、概してウクライナのC2能力を損ない、ウクライナの作戦地域におけるロシア軍部隊全般に実質的な優位性をもたらすことによって達成された。AcidRainの疑わしい影響の最も軽微なバージョン、すなわち軍事コミュニケーションのバックアップとして機能するウクライナの衛星通信を混乱させることでも、ウクライナのC2能力を損なうことに等しい。したがって、AcidRainは、サイバー作戦が戦闘における作戦上の有用性を達成することが実際に可能であることを示している。唯一の例として、AcidRainは、サイバー作戦が作戦上の有用性を達成できる可能性はあるものの、それはまれであると示唆している。
Part of the explanation for this can be found in the analysis’ second trend of Russian cyber operations often failing to materialize the effects their cyber weapons were coded to achieve. Another part of the explanation is found in the fourth trend of the rarity of integration between cyber and noncyber capabilities. If it was difficult for Russia to achieve successful effects in the first place and additionally to integrate their effects with conventional operations, the basis for achieving operational utility was limited. The “missing effects” part of the explanation was discussed above. The second part of “integration difficulties” needs a closer examination. この説明の一部は、分析の2番目の傾向である、ロシアのサイバー作戦がしばしば、そのサイバー兵器が達成するようにコード化された効果を実現できないことにある。説明のもう一つの部分は、サイバー能力と非サイバー能力の統合が稀であるという4番目の傾向にある。そもそもロシアが効果を達成することが困難であり、さらにその効果を通常作戦と統合することが困難である場合、作戦上の有用性を達成するための基盤は限られていた。「効果の欠如」の部分についてはすでに説明した。「統合の難しさ」の2つ目の部分については、より詳細な検証が必要である。
As explained, although the actual deployment of a cyber weapon may occur at the speed of light, the whole of a cyber operation including the planning and staging process is typically time-consuming. This is especially so when the cyber operation is of high complexity or is coded to achieve high effects. Moreover, a cyber operation may not be able to guarantee a precise timing of its effects owing to the complexity of the domain. Conversely, conventional domains of warfare are typically characterized by a higher pace in the conduct of operations, especially on the operational and tactical levels of warfighting. Supporting a conventional operation also requires precise timing to ensure the supportive effects are aligned appropriately with the unfolding of the conventional operation, similar to integrating disparate capabilities in combined arms warfare. 前述の通り、サイバー兵器の実際の展開は光速で行われる可能性があるが、計画やステージングプロセスを含むサイバー作戦全体は通常、時間を要する。これは、サイバー作戦が高度に複雑である場合や、高い効果を達成するためにコード化されている場合に特に当てはまる。さらに、サイバー作戦は領域の複雑性により、その効果の正確なタイミングを保証できない場合がある。逆に、従来の戦域では、特に戦術・作戦レベルの戦闘においては、作戦の遂行ペースが速いのが一般的である。従来の作戦を支援する場合も、支援効果が従来の作戦の展開に適切に一致するように、支援のタイミングを正確に合わせる必要がある。これは、統合兵科戦闘における異種の能力の統合に似ている。
There is consequently a dichotomy between the relatively long duration and sometimes imprecisely timed effects of a cyber operation and the conventional operations’ faster pace and need for precise effects. If the pace of events in conventional domains is sufficiently high, a cyber operation is too slow and temporally imprecise to integrate into conventional operations. Similar claims have been made by other cyber conflict scholars [40]. その結果、比較的長期にわたって展開され、効果のタイミングが不正確になりがちなサイバー作戦と、より迅速な展開と正確な効果を必要とする通常作戦との間に二分論が生じる。通常領域における事象の展開が十分に速い場合、サイバー作戦は通常作戦に統合するには遅すぎて、時間的に不正確である。同様の主張は、他のサイバー紛争学者からもなされている[40]。
The dichotomy is most pronounced in high integration, where the aim of directly supporting a conventional operation severely constrains when and how cyber effects should materialize, and medium integration, where the cyber weapon directly competes against typically faster conventional weapons. The looser connection between cyber and noncyber domains in low integration’s complementing logic means the dichotomy is less pronounced; the necessary alignment between cyber and noncyber effects is less strict. One should, thus expect a higher frequency of low integration compared to medium and high integration. This is exactly what this article finds. In sum, the temporal dichotomy explains why so few Russian cyber operations were integrated with conventional operations, and it points to a general limitation in the operational utility of cyber operations. この二分法は、通常作戦を直接支援するという目的が、サイバー効果をいつどのように実現すべきかを厳しく制約する高度な統合、および、サイバー兵器が通常より高速な通常兵器と直接競合する中程度の統合において、最も顕著である。 低統合の補完論理におけるサイバー領域と非サイバー領域の緩やかなつながりは、この二分法をそれほど際立たないものにする。サイバー効果と非サイバー効果の間の必要な調整はそれほど厳密ではない。したがって、中程度および高度の統合と比較して、低統合の頻度が高いことが予想される。これはまさに、本稿で発見されたことである。まとめると、時系列的な二分法は、ロシアのサイバー作戦が通常作戦と統合されたものが非常に少ない理由を説明しており、サイバー作戦の運用上の有用性における一般的な限界を示している。
If cyber operations are generally limited in achieving operational utility in war, why did AcidRain do so? The operation’s timing is crucial here. Based on its high complexity, the operation likely commenced planning and staging such as conducting reconnaissance, developing malware, and compromising target systems weeks before 24 February. There is no evidence in the data suggesting AcidRain was unusually fast [117]. However, the need for a fast-paced or precisely timed cyber effect to support conventional operations was not present until 24 February due to the simple fact that conventional warfighting had not commenced yet. Russia had time to plan and stage AcidRain-malware as well as coordinate this with the deployment of conventional capabilities. The temporal dichotomy was thus not an issue for the AcidRain-operation because the “slow” part of the cyber operation was conducted before the “fast” conventional needs for effects arose. サイバー作戦が戦争における運用上の有用性を達成する上で一般的に限界があるならば、なぜ「AcidRain」はそうしたのか?この場合、作戦のタイミングが重要である。その高度な複雑性から、この作戦は、おそらく2月24日の数週間前から偵察活動、マルウェアの開発、標的システムの侵害などの計画と準備を開始していたと思われる。データからは、AcidRainが異常に迅速であったことを示す証拠はない[117]。しかし、通常作戦を支援するサイバー攻撃の効果を迅速に、あるいは正確なタイミングで実現する必要性は、単純な事実として通常戦闘がまだ開始されていなかったため、2月24日までは存在しなかった。ロシアには、AcidRainマルウェアを計画し展開する時間があり、また通常戦力の展開と調整する時間もあった。したがって、時間的な二分法は、サイバー作戦の「遅い」部分が通常戦力の「速い」効果の必要が生じる前に実施されたため、AcidRain作戦にとっては問題とはならなかった。
The AcidRain-operation demonstrates the potential of cyber operations achieving operational utility in the beginning of warfighting despite their general limitations. This is because there is ample time before warfighting commences to complete slower parts of a cyber operation so as to sidestep the temporal dichotomy that otherwise typically limits a cyber operation’s integration with conventional operations. 「AcidRain作戦」は、一般的な限界があるにもかかわらず、戦争遂行の初期段階で戦術的有用性を達成できるサイバー作戦の潜在的可能性を示している。 戦争遂行が開始される前に、サイバー作戦の遅い部分を完了させるのに十分な時間があるため、そうでなければ一般的にサイバー作戦と通常作戦の統合を制限する時間的二分法を回避できるからである。
Tactical utility 戦術的有用性
Is the tactical level of warfare as limiting for the utility of cyber operations as the operational? Schulze points to historical evidence for the tactical ineffectiveness of cyber operations [40, 131, 132]. Conversely, Brantly and Collins [133] argue that Russia achieved frequent and persistent tactical effects through cyber operations in Ukraine during the hybrid war until 2018. 戦術レベルの戦闘は、作戦レベルと同様にサイバー作戦の有用性を制限するものだろうか? シュルツは、サイバー作戦の戦術レベルでの非有効性を示す歴史的証拠を指摘している[40, 131, 132]。 一方、ブレンティとコリンズは[133]、2018年までのハイブリッド戦におけるウクライナでのサイバー作戦を通じて、ロシアは戦術レベルで頻繁かつ持続的な効果を達成したと主張している。
The analyzed data in this article suggest cyber operations are generally limited in their ability to meaningfully affect the tactical level of warfare similar to the limitations evident on the operational level. In fact, the temporal dichotomy is possibly even more limiting at the tactical level. Importantly, though, the window of opportunity for utility in the beginning of a war observed at the operational level plausibly holds true at the tactical level as well. This qualifies the previous findings in the literature. 本記事で分析したデータは、サイバー作戦は一般的に、作戦レベルで明らかになった限界と同様に、戦術レベルに有意な影響を与える能力が限られていることを示唆している。実際、時間的な二分法は、戦術レベルではさらに限定的である可能性がある。しかし重要なのは、作戦レベルで観察された戦争の初期における実用性のウィンドウは、おそらく戦術レベルでも同様に当てはまるということだ。これは、これまでの文献における調査結果を裏付けるものである。
Two Russian cyber operations are prima facie candidates for achieving tactical utility. The first is the AcidRain-operation. In providing operational utility for units during the Kyiv offensive, the debilitating effect on Ukrainian (backup) C2 provided Russian units with potential tactical advantages in local battles —and so also tactical utility. There is no direct evidence for this in the analyzed data. However, combining the evidence for the operational utility with the fact that circumstances in the operational level of warfare influence the tactical level, the tactical utility of AcidRain is a plausible conclusion. This suggests cyber operations can achieve tactical utility in the beginning of warfighting for the same reasons they can achieve operational utility. ロシアのサイバー作戦のうち、戦術的有用性を達成する候補として一見して考えられるのは2つある。1つ目はAcidRain作戦である。キエフ攻勢中の部隊に作戦的有用性を提供することで、ウクライナ(予備)C2への疲弊効果により、ロシア部隊は局地戦において戦術的優位性を得る可能性がある。分析データにはこのことを示す直接的な証拠はない。しかし、作戦上の有用性の証拠と、戦術レベルに影響を与える戦術レベルの状況という事実を組み合わせると、AcidRainの戦術上の有用性は妥当な結論である。これは、サイバー作戦が作戦上の有用性を達成できるのと同じ理由で、戦闘開始時に戦術上の有用性を達成できることを示唆している。
The second candidate is the operation against the Zaporizhzhia nuclear power plant, which the above analysis deemed an example of high integration due to the operation plausibly supporting a conventional attack on the plant by collecting intelligence. It is thus plausible that the cyber operation generated an advantage for Russian units engaged in the local battle for the power plant. This meets the definition of tactical utility. Some caveats should be noted, however. The data does not reveal exactly when cyber actors comprised the networks, their exact actions, or their intentions. The nuclear power plant is also critical infrastructure, and so it is possible that Russia originally targeted it to conduct an operation akin to Industroyer2 without intending integration with conventional operations. The later opportunity to support a conventional attack may have been unforeseen. 2つ目の候補は、ザポリージャ原子力発電所に対する作戦である。上記の分析では、この作戦は、発電所に対する通常攻撃を支援する可能性が高いことから、高度な統合の例であると判断された。したがって、サイバー作戦が、発電所を巡る局地戦に従事するロシア部隊に優位性をもたらした可能性は高い。これは戦術的有用性の定義に合致する。ただし、いくつかの注意点がある。データからは、サイバー攻撃者がネットワークを侵害した正確な時期、その正確な行動、意図は明らかになっていない。また、この原子力発電所は重要なインフラであるため、ロシアは当初、Industroyer2のような作戦を実行することを目的としていたが、通常作戦との統合を意図していなかった可能性もある。通常攻撃を支援する機会が後から訪れたことは、予期せぬことだったかもしれない。
Overall, the few candidates for cyber operations of tactical utility indicate their general limitation. The dichotomy between the slow-paced cyber operation and the fast-paced conventional operation is again likely part of the explanation for the limited tactical utility. In fact, the dichotomy is possibly more pronounced at the tactical level of warfare. Here, the pace of operations is faster as the operations accomplish tactical tasks necessary for progressing toward operational level objectives. In a nutshell, the operational level “waits” for events at the tactical level. Operations at the tactical level such as direct combat between units are also more confined in time and space than campaigns at the operational level. Accordingly, to be aligned with and thus of utility at the tactical level, cyber effects must be more precise and versatile in time and space. The above discussion of operational utility already clarified why this is a tall order, except for the moment when warfighting commences. 全体として、戦術的有用性のあるサイバー作戦の候補が少ないことは、その一般的な限界を示している。 テンポの遅いサイバー作戦とテンポの速い通常作戦という二分法は、戦術的有用性が限定的であることの説明の一部である可能性が高い。 実際、この二分法は戦術レベルではより顕著である可能性がある。 戦術レベルでは、作戦のテンポは速く、作戦レベルの目標達成に必要な戦術的任務を遂行する。一言で言えば、作戦レベルは戦術レベルの出来事を「待つ」のである。部隊間の直接戦闘のような戦術レベルの作戦は、作戦レベルのキャンペーンよりも時間的にも空間的にも限定されている。したがって、戦術レベルで整合性を保ち、有用であるためには、サイバー効果は時間的にも空間的にもより正確かつ多様でなければならない。上記の作戦における有用性に関する議論では、戦闘が始まる瞬間を除いて、これがなぜ難しい注文であるのかがすでに明らかになっている。
Conclusions 結論
Applying the TECI-model on the Russo–Ukrainian War, this article found four notable trends in Russia’s offensive cyber operations that contribute to the literature’s understanding of the utility of cyber operations in war. 本稿では、TECIモデルをロシア・ウクライナ戦争に適用し、戦争におけるサイバー作戦の有用性に関するこれまでの研究の理解に貢献する、ロシアの攻撃的サイバー作戦における4つの注目すべき傾向を見出した。
First, Russian cyber operations rarely sought physically destructive effects but opted for data destruction, exfiltration, or disruption. This validates the assumption in the literature that cyber operations are unsuitable for physical destruction. Second, a substantial share of Russia’s offensive cyber operations failed to achieve effects. This rejects the assumption that cyberspace is offense dominant; the defender may have an easier time than thought. This is partly caused by the third trend. Russia began recycling malware after the first weeks of warfighting, which lowered their ability to penetrate Ukrainian defenses. This suggests sustaining high complexity operations with novel malware and tools through a longer period of warfighting is prohibitively costly. It validates the literature’s assumptions about the transience of cyber weapons and their need for costly regeneration. Fourth, and finally, cyber operations were rarely integrated with conventional operations. When they were, it was the least demanding form of integration and primarily in the war’s beginning. This validates assumptions in the literature about the difficulty of integrating cyber and noncyber capabilities, i.e. due to a dichotomy between their operational tempi. 第一に、ロシアのサイバー作戦は物理的な破壊効果をほとんど狙わず、データ破壊、外部への情報流出、または混乱の選択に留まった。これは、サイバー作戦は物理的な破壊には不適であるという文献上の想定を裏付けるものである。第二に、ロシアの攻撃的サイバー作戦の相当な割合が効果を達成できなかった。これは、サイバー空間は攻撃優位であるという想定を否定するものであり、防御側は考えられているよりも容易な場合があることを示唆している。これは、第3の傾向による部分的な原因である。ロシアは戦闘開始から数週間後にはマルウェアのリサイクルを開始しており、これによりウクライナの防御を突破する能力が低下した。これは、より長期にわたる戦闘において、新しいマルウェアやツールを用いた高度な複雑性作戦を継続することは、法外なコストがかかることを示唆している。これは、サイバー兵器の寿命が短いこと、およびその兵器には高コストの再生が必要であるという文献の想定を裏付けるものである。第4に、最後に、サイバー作戦は通常作戦と統合されることはほとんどなかった。統合されたとしても、それは最も要求の低い統合形態であり、主に戦争の初期段階においてであった。これは、サイバー能力と非サイバー能力の統合の難しさに関する文献上の想定を裏付けるものである。すなわち、その理由は、両者の作戦テンポの二分性にある。
Data from the Russo–Ukrainian War thus point to offensive cyber operations having limited utility in war. The article found two important exceptions to this. Offensive cyber operations can achieve strategic utility cumulatively through persistent data-destructive targeting of national resources and operational as well as tactical utility in the beginning of warfighting when there is time to synchronize cyber and noncyber capabilities. It is worth noting that the early claims in cyber conflict studies positing a cyber doom and a future of cyber operations decisively shaping conventional warfare are still unsubstantiated by evidence including this article’s findings [49, 134–136]. Rather, the limited utility of cyber operations in warfighting —even with the two important exceptions above— point to cyber operations serving more impactful roles outside of warfighting such as in enhancing information warfare operations and strategic influence campaigns as suggested by Mueller et al. [30]. したがって、ロシア・ウクライナ戦争のデータは、攻撃的なサイバー作戦が戦争において限定的な有用性しか持たないことを示している。しかし、この記事では、これには2つの重要な例外があることが分かった。攻撃的なサイバー作戦は、国家の資源を標的とした持続的なデータ破壊を狙うことで、戦略的な有用性を徐々に達成できる。また、サイバー能力と非サイバー能力を同期させる時間がある戦闘開始時には、戦術的および運用上の有用性も達成できる。 サイバー紛争研究における初期の主張では、サイバーの破滅とサイバー作戦の未来が従来の戦争を決定づけるとされていたが、この記事の調査結果を含め、その主張は未だに証拠によって裏付けられていないことは注目に値する[49, 134–136]。むしろ、戦争におけるサイバー作戦の限定的な有用性は、上述の2つの重要な例外を除いても、ミューラー氏らによって示唆されているように、情報戦作戦の強化や戦略的影響力キャンペーンなど、戦争以外の分野でより大きな影響力を持つ役割を果たすことを示唆している[30]。
Granted, our findings may not be generalizable to other conflicts or future developments in the Russo–Ukrainian War. Some scholars have argued that Russian military essentially failed in the strategic and operational planning of the invasion of Ukraine which perhaps reflects a similar inaccurate planning in cyberspace [28, 137]. Others suggest that Russia prioritizes cyber-enabled espionage and information operations over military cyber effects [30]. Meanwhile, multiple Western militaries and companies have offered substantial assistance to Ukraine’s cyber defenses, including migrating data to cloud services hosted in NATO countries [110]. Had Russian military been organized differently and avoided their strategic planning failures, and had Ukraine received less assistance in cyberspace, another picture of the utility of cyber operations could have emerged. A conflict between other actors in other circumstances may well introduce its own idiosyncratic factors influencing the utility of cyber operations in warfighting. It is too early to determine how representative our findings are. もちろん、我々の調査結果は、他の紛争や今後のロシア・ウクライナ戦争の展開に一般化できるものではないかもしれない。一部の学者は、ロシア軍はウクライナ侵攻の戦略および作戦計画において本質的に失敗したと主張しており、これはおそらくサイバー空間における同様の不正確な計画を反映していると考えられる[28, 137]。また、ロシアは軍事的なサイバー効果よりも、サイバー技術を活用したスパイ活動や情報操作を優先しているという意見もある[30]。一方、複数の西側諸国の軍および企業は、NATO諸国がホストするクラウドサービスへのデータの移行を含め、ウクライナのサイバー防衛に実質的な支援を提供している [110]。ロシア軍が異なる編成で戦略計画の失敗を回避できていた場合、また、ウクライナがサイバー空間でそれほど多くの支援を受けていなかった場合、サイバー作戦の有用性について別の見解が示されていた可能性がある。他の状況における他のアクター間の紛争は、戦闘におけるサイバー作戦の有用性に影響を与える独自の要因を導入する可能性がある。我々の調査結果がどれほど代表的なものなのかを判断するには、まだ時期尚早である。
The article’s main contribution to the field of cyber conflict studies is thus the TECI-model itself. Precisely because the role of cyber operations in warfighting is unsettled, and because this role may change over time, the field needs an operationalized model capable of systematically analyzing cyber operations in war to compare and track the utility of cyber operations over time and across conflicts. The TECI-model fills this gap in the literature, has been empirically tested and applied on data in this article, and will be as readily applicable on future data sets from Ukraine and other conflicts that may shape the role of cyberspace in war. したがって、本記事がサイバー紛争研究分野に貢献できる主な点は、TECIモデルそのものである。戦時におけるサイバー作戦の役割が定まっておらず、また、この役割が時とともに変化する可能性があるからこそ、この分野では、戦時におけるサイバー作戦を体系的に分析し、サイバー作戦の有用性を時系列および紛争間で比較・追跡できる実用化されたモデルが必要とされている。TECIモデルは、この分野における研究のギャップを埋めるものであり、本記事では実証的に検証され、データに適用されている。また、ウクライナやその他の紛争から得られる将来のデータセットにも容易に適用できるだろう。これらの紛争は、戦争におけるサイバー空間の役割を形作る可能性がある。

 

 

参考文献

 

Continue reading "OXFORD JOURNAL of Cybersecurity 戦争においてサイバー作戦の有用性は限界的"

| | Comments (0)

2024.08.28

米国 国家安全保障局 (NSA) 商用超小型地球局(VSAT)ネットワークの保護

こんにちは、丸山満彦です。

米国の国家安全保障局 (National Security Agency; NSA) が、2022.05.10に公表した商用の超小型地球局(Very Small Aperture Terminal; VSAT)[wikipedia]ネットワークの保護についての文書を改訂して、公表していますね.

どこが変わったかはわかりません(^^;;

文書としては、次のところがポイントですかね...

  • 超小型地球局(Very Small Aperture Terminal; VSAT)システム(端末、モデム、地上局を含む)は、サイバーセキュリティの目的では暗号化されていないワイヤレスネットワークとして扱うべきである。

  • 言い換えれば、VSATシステムは、悪意のあるサイバー攻撃者からの機密保持を保証するものではない。

  • VSATシステムは「仮想」ネットワーク分離機能を提供するが、このような論理的な分離は、アクセス制御、分離、または機密情報の機密保持を提供できるとは限らない。

  • さらに、これらのネットワークの多くはインターネットへのゲートウェイとなり、リモートからの悪用を容易に受ける可能性がある。VSATネットワークを使用する際には、他の信頼されていない伝送ネットワークと同様に、まずネットワーク暗号化ソリューションを使用して情報を保護し、機密性を確保し、悪意のあるサイバー攻撃から保護する必要がある

National Security Agency - Cetnral Security Service

・ 2024.08.26 [PDF] CSA: Protecting VSAT Communications (August 2024 Update)

20240828-91024

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.04.06 米国 国防総省 商業宇宙統合戦略2024 - 新宇宙戦略は国防総省と民間企業の努力の統合を目指す

・2024.02.19 ENISA 低軌道(LEO)衛星通信のサイバーセキュリティ評価

・2023.09.26 NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル

・2023.08.01 NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

・2023.03.08 欧州 安全な宇宙ベースの接続プログラムを欧州理事会が承認

・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティフレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

 

 

| | Comments (0)

オランダ データ保護局 ドライバーデータの米国への転送を理由にUberに2億9000万ユーロ(467億円)の罰金

こんにちは、丸山満彦です。

オランダのデータ保護局 (Autoriteit Persoonsgegevens: AP) が米国のUBERに対して2億9000万ユーロ(467億円)の罰金を課すと発表していますね...

UBERは訴訟も考えているようです...

なお、2023.12.31期のAnnual Report では、売上高は約373億ドル(約5.4兆円)ですね。。。

 

金額が大きくなったのは、センシティブなデータが含まれていたからのようですね...

 

Autoriteit Persoonsgegevens: AP

・2024.08.26 Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US

Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US オランダDPA、米国へのドライバーデータの転送を理由にUberに2億9000万ユーロの罰金
The Dutch Data Protection Authority (DPA) imposes a fine of 290 million euros on Uber. The Dutch DPA found that Uber transferred personal data of European taxi drivers to the United States (US) and failed to appropriately safeguard the data with regard to these transfers. According to the Dutch DPA, this constitutes a serious violation of the General Data Protection Regulation (GDPR). In the meantime, Uber has ended the violation. オランダのデータ保護当局(DPA)は、Uberに2億9000万ユーロの罰金を科した。オランダのDPAは、Uberが欧州のタクシー運転手の個人情報を米国に転送し、これらの転送に関するデータの適切な保護を怠っていたことを発見した。オランダのDPAによると、これは一般データ保護規則(GDPR)の重大な違反にあたる。一方で、Uberは違反を解消した。
"In Europe, the GDPR protects the fundamental rights of people, by requiring businesses and governments to handle personal data with due care", Dutch DPA chairman Aleid Wolfsen says. "But sadly, this is not self-evident outside Europe. Think of governments that can tap data on a large scale. That is why businesses are usually obliged to take additional measures if they store personal data of Europeans outside the European Union. Uber did not meet the requirements of the GDPR to ensure the level of protection to the data with regard to transfers to the US. That is very serious." オランダDPAのAleid Wolfsen議長は次のように述べた。「欧州では、GDPRは、企業や政府が個人情報を適切に扱うことを義務付けることで、人々の基本的権利を保護している。しかし残念ながら、これは欧州以外では自明のことではない。大規模なデータ傍受を行う政府を考えてみてほしい。だからこそ、企業は通常、欧州連合域外で欧州人の個人情報を保存する場合には、追加の措置を取る義務があるのだ。Uberは、米国への転送に関して、データ保護のレベルを保証するGDPRの要件を満たしていなかった。これは非常に深刻な問題だ。」
Sensitive data センシティブなデータ
The Dutch DPA found that Uber collected, among other things, sensitive information of drivers from Europe and retained it on servers in the US. It concerns account details and taxi licences, but also location data, photos, payment details, identity documents, and in some cases even criminal and medical data of drivers. オランダのDPAは、Uberが欧州のドライバーのセンシティブな情報を収集し、米国のサーバーに保存していることを発見した。これには、アカウントの詳細やタクシーのライセンス、さらには位置情報、写真、支払い情報、身分証明書、場合によってはドライバーの犯罪歴や医療データも含まれる。
For a period of over 2 years, Uber transferred those data to Uber's headquarters in the US, without using transfer tools. Because of this, the protection of personal data was not sufficient. The Court of Justice of the EU invalidated the EU-US Privacy Shield in 2020 Uberは2年以上にわたり、転送ツールを使用せずに、これらのデータを米国のUber本社に転送していた。このため、個人データの保護は十分ではなかった。EU司法裁判所は2020年にEU-USプライバシーシールドを無効とした。
According to the Court, Standard Contractual Clauses could still provide a valid basis for transferring data to countries outside the EU, but only if an equivalent level of protection can be guaranteed in practice 裁判所によると、標準契約条項は、EU域外へのデータ移転の有効な根拠となり得るが、同等の保護レベルが実際に保証される場合に限られる。
Because Uber no longer used Standard Contractual Clauses from August 2021, the data of drivers from the EU were insufficiently protected, according to the Dutch DPA. Since the end of last year, Uber uses the successor to the Privacy Shield. Uberは2021年8月以降、標準契約条項を使用していないため、EUのドライバーのデータは十分に保護されていないと、オランダのDPAは指摘している。昨年末以降、Uberはプライバシーシールドの後継プログラムを使用している。
Complaints from drivers ドライバーからの苦情
The Dutch DPA started the investigation on Uber after more than 170 French drivers complained to the French human rights interest group the Ligue des droits de l’Homme (LDH), which subsequently submitted a complaint to the French DPA. オランダのDPAがUberの調査を開始したのは、170人以上のフランスのドライバーがフランスの人権擁護団体「人権の会(Ligue des droits de l'Homme:LDH)」に苦情を申し立てた後、同団体がフランスのDPAに苦情を提出したためである。
Pursuant to the GDPR, businesses that process data in several EU Member States have to deal with one DPA: the authority in the country in which the business has its main establishment. Uber's European headquarters is based in the Netherlands. During the investigation, the Dutch DPA closely cooperated with the French DPA and coordinated the decision with other European DPAs. GDPRに従い、複数のEU加盟国でデータを処理する企業は、その企業の本拠地がある国のデータ保護当局と対応しなければならない。Uberの欧州本部はオランダにある。調査中、オランダのデータ保護当局はフランスのデータ保護当局と緊密に協力し、他の欧州のデータ保護当局と決定を調整した。
Fine for Uber Uberへの罰金
All DPAs in Europe calculate the amount of fines for businesses in the same manner. Those fines amount to a maximum of 4% of the worldwide annual turnover of a business. Uber had a worldwide turnover of around 34.5 billion euro in 2023. Uber has indicated its intent to object to the fine. 欧州のすべてのデータ保護当局は、企業に対する罰金額を同じ方法で算出している。これらの罰金額は、企業の全世界年間売上高の最大4%に相当する。Uberの2023年の全世界売上高は約345億ユーロであった。Uberは罰金に異議を申し立てる意向を示している。
This is the third fine that the Dutch DPA imposes on Uber. The Dutch DPA imposed a fine of 600,000 euro on Uber in 2018, and a fine of 10 million euro in 2023. Uber has objected to this last fine. これは、オランダのDPAがUberに科した3回目の罰金である。オランダのDPAは2018年にUberに60万ユーロの罰金を科し、2023年には1000万ユーロの罰金を科した。Uberは最後の罰金に対して異議を申し立てている。

 

1_20240828061401

 

 


European Data Protection Board; EDPB

・2024.08.26 Dutch SA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US

Dutch SA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US オランダSAは、運転手のデータを米国に転送したことを理由に、Uberに2億9000万ユーロの罰金を課した
Background information 背景情報
Date of final decision:    22 July 2024 最終決定日: 2024年7月22日
Cross-border case  国境を越える案件 
One-Stop-Shop Procedure: the decision was taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (OSS).  ワンストップショップ手続き: この決定は、ワンストップショップ協力手続き(OSS)に従って、国内の監督当局によって下された。 
Netherlands  オランダ 
and CSAs:    All SAs, except for Bulgaria, Cyprus, Iceland, Latvia, Liechtenstein, Luxembourg and Slovenia.  および CSA:ブルガリア、キプロス、アイスランド、ラトビア、リヒテンシュタイン、ルクセンブルク、スロベニアを除くすべてのSA。
Legal Reference(s): Article 44 (General principle for transfers), Article 46 (Transfers by way of appropriate safeguards),  Article 49 (Derogations for specific situations)  参照条文:第44条(移転に関する一般原則)、第46条(適切な保護措置による移転)、第49条(特定の状況における例外
Decision: Administrative fine 決定:行政罰金
Key words: Administrative fine,   International transfer,  Third party access to personal data キーワード:行政罰金、国際移転、第三者による個人情報へのアクセス
Summary of the Decision 決定の概要
Origin of the case   事案の経緯 
The Dutch Supervisory Authority (SA) started the investigation on Uber after more than 170 French Uber drivers complained to the French human rights interest group the Ligue des droits de l’Homme (LDH), which subsequently submitted a complaint to the French SA. The French SA forwarded the complaints to the Dutch SA, which is the Lead Supervisory Authority for Uber. 170人以上のフランスのUberドライバーがフランスの人権擁護団体「人権の会(Ligue des droits de l'Homme:LDH)」に苦情を申し立てたことを受け、オランダの監督当局(SA)がUberの調査を開始した。その後、LDHがフランスのSAに苦情を申し立てた。フランスのSAは、Uberの主導監督当局であるオランダのSAに苦情を転送した。
Key Findings  主な調査結果 
The Dutch SA found that Uber collected, among other things, sensitive information of drivers from Europe and retained it on servers in the US. It concerns account details and taxi licences, but also location data, photos, payment details, identity documents, and even in some cases criminal and medical data of the drivers. オランダSAは、Uberが欧州のドライバーの機密情報を収集し、米国のサーバーに保存していることを発見した。これには、アカウントの詳細やタクシーのライセンス、さらには位置情報、写真、支払い情報、身分証明書、場合によってはドライバーの犯罪歴や医療データも含まれる。
For a period of over two years, Uber transferred those data to Uber's headquarters in the US, without using transfer tools. Because of this, the protection of personal data was not sufficient. The Court of Justice of the EU invalidated the Privacy Shield in 2020. According to the Court, Standard Contractual Clauses could still provide a valid basis for transferring data to countries outside the EU, but only if an equivalent level of protection can be guaranteed in practice. Because Uber no longer used Standard Contractual Clauses from August 2021, the data of drivers from the EU were insufficiently protected, according to the Dutch SA. Since the end of last year, Uber uses the successor to the Privacy Shield. Uberは2年以上にわたり、転送ツールを使用せずに、それらのデータを米国のUber本社に転送していた。このため、個人データの保護は十分ではなかった。EU司法裁判所は2020年にプライバシーシールドを無効とした。同裁判所によると、標準契約条項は、EU域外へのデータ転送の有効な根拠を提供できるが、同等の保護レベルが実際に保証される場合に限られる。2021年8月以降、Uberは標準契約条項を使用しなくなったため、オランダのSAによると、EUのドライバーのデータは十分に保護されていなかった。昨年末以降、Uberはプライバシーシールドの後継プログラムを使用している。
Decision  決定
The Dutch SA imposed a fine of 290 million euros on Uber. オランダのSAはUberに2億9000万ユーロの罰金を科した。

 

1_20240828061501

 

 


 

UBERの開示...

● SEC - EDGAR

Uber Technologies, Inc (CIK 0001543151)

最新の10-K

2024.02.15 2023 10-K (Annual report)

 


| | Comments (0)

日本監査研究会 監査研究 No.34 わが国におけるダイレクト・レポーティングの採用について他 続き

こんにちは、丸山満彦です。

昨日、

日本監査研究会の学会誌No.34の内容のうち、J-SOX開始時にダイレクト・レポーティング方式を採用しなかった時の議論を振り返ったのですが、今日は、インダイレクト・レポーティング方式(言明方式)を採用した結果どうだったのか?という点を整理しておきたいと思います...

本日は、昨日取り上げた

・解題 内部統制報告制度の現在と課題/蟹江章

・わが国におけるダイレクト・レポーティングの採用について/中村元彦

に加えて

・内部統制報告書の作成を巡る諸課題及びエンフォースメント/兼田克幸

さらに、一昨日、ひさしぶりに東京で食事をして、その後喫茶店で深夜まで話こんだ「てりたま」さんの記事(有料なので、一部しか見られませんが)

・2023.12.23 J-SOXの光と闇 「闇」編


も参考にさせてもらいたいと思います。

で、今日の本題の「インダイレクト・レポーティング方式の問題点」です。

 

 

インダイレクト・レポーティング方式を採用したことに関連する課題、あるいは、根拠が希薄だったのではないかということに対して、

蟹江章先生論文では、


日本の内部統制報告制度の現状においても、企業経営者の評価範囲外の拠点や業務プロセスについて監査人が財務諸表監査目的で内部統制の評価を実施しているケースは多いし、財務報告に対する影響の重要性を勘案して評価対象範囲が拡大される場合には、ダイレクト・レポーティングを採用したからといって、評価対象範囲が必ずしも大幅に増えるとは限らない。アメリカではダイレクト・レポーティングが採用されているが、監査人が内部統制の有効性について直接意見を表明することから、通常、その評価範囲は、財務諸表監査で対象とされている事業拠点や重要な勘定科目に関連する業務プロセスと一致する。また、監査人が内部統制の評価範囲や評価方法を決定して監査するダイレクト・レポーティングの方が、財務諸表監査との整合性という観点では効果的な統合監査を実施できるとの見解もある(中谷[2023])。


という内容が記載されています。要はコストを考えて、インダイレクト・レポーティング方式にしたというけど、コストは変わらない、あるいはダイレクト・レポーティング方式のほうがむしろコストが抑えられたかもよ。。。という指摘ですね...

 

また、

兼田先生の論文では、

「2 制度形骸化の原因」として4点挙げているのですが、その一つに


ダイレクト・レポーティングによる監査人の監査手法が採用されていないこと。すなわち、経営者による内部統制評価とは別に、監査人が内部統制の有効性について直接評価する二段構えの評価手法が採用されていないため。経営者が評価の対象外とした内部統制について、監査人により厳密な監査手続が実施されていないこと。


が、挙げられています。要は、監査人がより厳格に評価したら、より見つかるのではないか?ということです。

ただ、これは、インダイレクト・レポーティング方式であっても、より厳格に評価したら、より見つかるという話にはつながる(例えば、経営者評価から外した業務プロセスは、重要性があるので、経営者評価に入れるべきという意見を言えばよい)ように思います。むしろ、「米国ほどコストがかかりませんよ!」とアピールするために、「結果として、売上高等の一定割合(おおむね3分の2程度)を相当程度下回ることがあり得る。」という文言が入った(そして、今も残っている)ことが問題なのだろうと思います。

 

中村さんの論文では、

日本内部統制研究学会(現:日本ガバナンス研究学会)の2020年の課題別研究部会報告「内部統制報告制度導入後10年が経過した実務上の課題と展望」から取り上げていますね...

提言6として、ダイレクト・レポーティング方式に変更すべきとしているのですが、その理由が2つあって、1つ目は、内部統制が有効ではなく、その旨の経営者報告書を記載した場合の監査報告書が、適正意見なので、ちょっとわかりづらいという話なのですが、重要な点ではありますが、あまり監査報告書の文言を変更すれば、わかりやすくなったりすると思うので、本質的な問題ではないかと思います。2つ目はより本質的だと思います。

すなわち、「財務諸表監査と内部統制監査を一体で実施するという前提であるにも関わらず、評価範囲の妥当性も含め、経営者の評価結果を監査するという内部統制監査は、財務諸表監査との一体監査という前提と整合的な理解が難しく、監査人・経営者だけでなく、内部統制報告書等の利用者にとっても混乱をもたらす」という話です。


提言6:規制当局は、監査人による内部統制報告に対する監査報告書を、ダイレクト・レポーティングに変更すべきである。

現状の問題点

現状の内部統制の対する監査報告書は、経営者による内部統制報告書に対して意見を述べる方式であるため、重要な不備がある場合でも、その内容等が内部統制報告書に適正に記載されている場合には、適正意見が表明される。企業の内部統制に不備があるにもかかわらず、無限定適正の意見が付された監査報告書が発行されることは、監査報告書の利用者には理解しづらく内部統制に問題がないとの誤解を与える可能性を否定できない。

また、財務諸表監査と内部統制監査を一体で実施するという前提であるにも関わらず、評価範囲の妥当性も含め、経営者の評価結果を監査するという内部統制監査は、財務諸表監査との一体監査という前提と整合的な理解が難しく、監査人・経営者だけでなく、内部統制報告書等の利用者にとっても混乱をもたらすと考えられる。

あるべき姿

規制当局は、内部統制報告書に対する監査報告書を、開示企業の財務報告に係る内部統制そのものの有効性について意見を表明するダイレクト・レポーティングに変更し。監査人が、財務諸表監査における内部統制の整備・運用状況の検討結果を基礎として全体としての財務報告に係る内部統制に対する監査意見を表明する制度に変更すべきである。

企業と独立の立場にある監査人が、直接的に企業の内部統制の評価範囲や有効性について監査することにより、厳密な評価が実施できるとともに、監査人による財務諸表監査と内部統制監査の一体的な実施を容易にすると考えられる。

なお、経営者による内部統制評価と内部統制報告書の発行は継続し、経営者が自らリスク評価を行い、内部統制を整備・運用するように促すべきである。また、期中に生じた内部統制の不備のうち、期末までに是正されたものについても、監査人が直接的に監査結果として報告することが望まれる。


 

2 研究者における見解として、

町田先生の意見


町田[2011,400頁]は、インダイレクト・レポーティングへの批判として、現行の評価範囲を絞り込んだ上でのアサーション型の内部統制
監査よりも、ダイレクト・レポーティングのほうが財務諸表監査に対する親和性が高いことはたしかであるとしている。この点に関して、

第ーに監査人は、監査計画上、経営者の評価範囲にかかわらず内部統制の評価範囲を決定し、評価の実施時期も自由に設定できる点、

第二に財務諸表監査における内部統制の評価プロセスに内部統制の評価を組み入れられる点、

第三に財務諸表監査の手続の終了と財務諸表に対する心証の確定が監査報告書日付時点であるとするならば、内部統制の評価に係る心証の確定も同じタイミングとなる点

をあげている。

また、その前提となるのは、財務報告に係る内部統制の全体を評価対象とすることを述べている。


この意見は全うだと思います。

井上先生の意見


井上[2021,14-16頁]は、副産物という言葉を使用して、

第一に評価範囲の決定をめぐる経営者と監査人との間の協議の必要性、

第二に監査報告に及ぼす影響をあげている。

第一に関連して、監査人の独立性と二重責任の原則の観点から、評価範囲の決定に際しての経営者と監査人の協議は重大な問題を孕んでいると指摘している。

また,第二に関連しては、1の第ーで述べた内部統制報告書の表示の適正性に対して意見を表明する点について述べている。

評価範囲に関しては、企業会計審議会[2022b]において、経営者の評価範囲外で「開示すべき重要な不備」が検出される企業が一定程度見られるとの指摘がある。大手監査法人へのヒアリングをもとに開示すべき重要な不備が認識された直近数年の訂正内部統制報告書のうち、当該不備が経営者による評価範囲外から認識されたものは2~3割程度見られたとしている。


これも重要な論点を含んでいると思います。評価範囲の決定に際しての経営者と監査人の協議の部分ですね...二重責任ということなので、独立性の問題とも絡むかも...ということなのかもしれません。

実態的には経営者評価の計画段階で、監査人に経営者評価の範囲を説明し、監査人の意見も踏まえて、再度経営者評価の範囲を決定し、経営者評価を進めていくということになるし、あとで監査人が評価して、経営者評価の対象が少ないという意見があれば、経営者評価範囲を見直して評価し直すということに(理屈の上では)なるので、問題ではないとは思うのですが、表現の仕方の問題はあるかもですね...

 

実務家へのヒアリングの結果では、次のようなコメントがありますね

・評価としてダイレクト・レポーティング、インダイレクト・レポーティングの違いはないと考える(コントロールは同じ)

 


 

てりたまさんとも有楽町の深夜の喫茶店で語った時の内容は、ダイレクト・レポーティング、インダイレクト・レポーティングは一緒や、でしたね。。。

ところで、てりたまさんのブログはかなり面白いです...J-SOXのついての話は一部有料コンテンツ(J-SOXの光と闇 「闇」編)もあるのですが、興味深いないようですね...金融庁の人は五百円はらって読むべきだと思いました (^^;;

途中の議論を全部すっとばして、てりたまさんの結論をいうと

❶ 内部統制監査は廃止する

❷ 経営者評価は継続する

監査人はより根本的な指摘をする

です(^^)

でこれを実現するための、シナリオがまた秀逸(^^)。それは有料コンテンツだからかもしれません(^^)

 


なお、今回の改正につながった

さて、2023年の内部統制基準の改訂のきっかけなったキーワードの一つが

・「形骸化

ですが、これについては以下の資料がその理由の一つになっているようです....

企業会計審議会・第9回会計部会

・2022.09.29 資料1 事務局資料 「内部統制を巡る動向」

の「開示すべき重要な不備開示会社」と、「訂正報告書提出会社」の推移のグラフ(金融庁謹製)です。

この資料は、

企業会計審議会・第22回内部統制部会

・2022.10.13 の事務局資料(内部統制報告制度について)

20240827-174632

です。

最近の数字で訂正報告書の数が少ないのは、将来でてくる過去の訂正報告書が含まれていないからだろうと思われます。(調査が2022年6月までなので、その後の数字を拾えば更新できるのでしょうが...)

全体的には、内部統制が有効ではないという報告書は100件前後であるのですが、最初の2年間は期末段階で内部統制が不備と報告した企業が多いにも関わらず、その後は期末段階では内部統制は有効と報告したにも関わらず、不正等が発覚し、内部統制は(振り返ってみると不備であった)と訂正報告書を提出企業が増加しています。とりあえず、内部統制は有効と報告していて、その後不正等が発覚したら、訂正報告書を出せば良いのだ...という空気があるのではないか、ということで、そういう状況を踏まえて、内部統制の経営者評価と監査が形骸化しているのではないか?ということです。

この原因は、経営者が評価する業務プロセスの範囲ですが「結果として、売上高等の一定割合(おおむね3分の2程度)を相当程度下回ることがあり得る。」という記載があるために、重要性の判断が甘くなっているということが考えられますね。。。これは、J-SOXを導入するときに、米国よりも厳しくないということにするために、入れられた文言であるということから、制度設計時の経済界との理論を軽んじた妥協の問題点であろうかと思います。

この文言があることから、2/3にこだわり、経営者が評価する業務プロセスの範囲から外した業務プロセスの内部統制が不備で訂正報告書の提出に至ることも多いように思います(確認していないので、わかりませんが...直近の訂正報告書では、2〜3割程度あるという意見もあるようです

※:井上善弘 [2021] 「内部統制監査の理論と課題」創成社


 

皆さんも指摘しているとおり、今回は、重要な論点を最初に網羅して提示したにも関わらず、重要な論点は法改正を伴うので、先送りとなりましたね...

でも、そんなこと、金融庁は初めからわかっていたわけでしょうから、次の法改正への準備という感じですかね。。。この課題を受け取って、法改正にする際の、後ろ盾となる議員ってだれなんでしょうかね...政治の世界の会計人材、監査人材不足というのも課題かもしれませんね...

今回の内部統制部会の委員では、堀江先生、山口先生、藤木さんなど、何名かは交流がある人なのですが、そういう意味では気の毒な面もありましたかね...

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.27 日本監査研究会 監査研究 No.34 わが国におけるダイレクト・レポーティングの採用について他

・2023.04.08 金融庁 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について

・2008.08.14 公認会計士協会 パブコメ 監査・保証実務委員会研究報告「公認会計士等が行う保証業務等に関する研究報告」

2008.02.13 米国では、小規模公開会社へのSOX法404条の適用が1年延長されるかもなのですが・・・

2008.02.08 実施基準に書かれていないことは監査人の判断しだい?

・2008.01.16 内部統制報告書の記載項目と、内部統制報告書に重要な虚偽表示がないかどうかの合理的な保証を求める監査。。。

・2007.07.28 内部統制報告書の監査って、経営者評価手続きをする前に監査手続きはできへんよな。。。

・2007.07.26 PCAOB’s New Audit Standard for Internal Control Over Financial Reporting (AS No.5) is Approved by the SEC

・2007.07.21 CIAフォーラム研究会 「~米国SOX 法404 条の教訓を踏まえた~JSOX への対応アプローチ」を公表

・2007.07.13 現場感覚 ダイレクトレポーティングのほうが経営者の負担は少ないんじゃないの?

・2007.05.25 PCAOB 監査基準書第5号が承認されましたね。。。

・2007.05.09 あずさ監査法人 財務報告に係る内部統制について

・2007.04.30 学者もわからない?内部統制監査の意見形成論(ダイレクトレポーティングの不採用)

・2006.12.30 弦巻ナレッジネットワークの「「日本版404条」審議過程の検証」は興味深いです。。。

・2006.12.29 米国の費用対効果分析によると日本の方法は費用がかかる?

・2006.12.20 PCAOB 監査基準書第2号(公開草案)公表

・2006.12.20 全銀協 「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」へのコメント

・2006.12.08 PCAOB 監査基準書第2号の改訂公開草案の公開は12月19日

・2006.12.02 米国 内部統制評価と監査制度 負担の緩和

・2006.11.15 実施基準(2006.11.06部会資料) に対する様々な反応

・2006.11.02 実施基準では、100項目のQ&Aを示したり、対象となる財務報告の範囲を示したりするが、「特に米国の監査事情に精通している人ほど、違和感を持つかもしれない」らしい・・・

・2006.09.06 監査がダイレクトレポーティング方式でも言明方式でも経営者評価の手間は関係ない

2006.08.09 内部統制部会議事録等

・2006.08.06 監査人が「内部統制は有効であると監査意見を述べる場合」と「内部統制は有効であるという報告書の内容が適正であるという監査意見を述べる場合」の監査対象(保証又は証明対象)の違い

・2006.07.21 実施基準で検討することになっていること(3)財務報告に係る内部統制の監査篇

・2006.07.21 実施基準で検討することになっていること(2)財務報告に係る内部統制の評価及び報告篇

・2006.06.02 参議院 財政金融委員会の議事録を読んで

・2006.04.21 ダイレクトレポーティング方式と言明方式で監査コストが異なるのか

・2006.04.19 米国が内部統制監査報告書においてダイレクトレポーティング方式を採用した理由

・2006.03.11 日本の保証基準

 

 

・2006.11.10 実施基準(2006.11.06部会資料) 持分法適用となる関連会社も評価範囲を決定する際の対象に含まれる!

・2006.11.07 実施基準案 (11月6日内部統制部会)

・2006.11.05 日経 金融庁、内部統制ルールで監査の基準案

・2006.11.02 実施基準では、100項目のQ&Aを示したり、対象となる財務報告の範囲を示したりするが、「特に米国の監査事情に精通している人ほど、違和感を持つかもしれない」らしい・・・

・2006.09.16 IT全般統制が有効に機能していなければIT業務処理統制の有効性は保証できないのか・・・

・2006.09.06 監査がダイレクトレポーティング方式でも言明方式でも経営者評価の手間は関係ない

・2006.08.17 SAS70、監査基準委員会報告書第18号

・2006.08.06 監査人が「内部統制は有効であると監査意見を述べる場合」と「内部統制は有効であるという報告書の内容が適正であるという監査意見を述べる場合」の監査対象(保証又は証明対象)の違い

・2006.08.06 経営者評価を期末日現在にした理由

・2006.08.01 内部統制が有効であるということ

| | Comments (0)

2024.08.27

日本監査研究会 監査研究 No.34 わが国におけるダイレクト・レポーティングの採用について他

こんにちは、丸山満彦です。

日本監査研究会の学会誌No.34が送られてきたのですが、今回は興味深い内容が多かったです。

まだ、学会の監査研究のウェブページにはNo.34の案内が掲載されていないのですが、No.34の内容は次のとおりです。

 


[特別講演]
・公認会計士法の改正と監査業務の質の向上/齊藤貴文

[全国大会および東西部会報告]
・解題わが国会計専門職の現状と将来展望一公認会計士と税理士に相克はあるのかー/八田進二
・独立性の観点から見た公会計士と税理士一会計専門職の制度的基盤(独立性を中心として)一/坂本孝司
・試験制度の視点から見た公認会計士と税理士/小俣光文
・わが国保証業務の拡張可能性/松本祥尚
・サステナビリティ情報の保証にあたっての課題を考える一公認会計士の立場から一/濵田善彦
・解題 内部統制報告制度の現在と課題/蟹江章
・内部統制報告書の作成を巡る諸課題及びエンフォースメント/兼田克幸
・非財務情報の報告に係る内部統制の課題/岡野泰掛

[査読論文]
・内部監査の組織内における位置付けに関する研究一最高経営者と内部監査の関係の視点から一/蓮沼利建
・サステナビリティ情報保証の業務実施者に求められる要件/藤原英賢
・わが国におけるダイレクト・レポーティングの採用について/中村元彦

*
全国大会,東西部会の報告者・報告論題等一覧
年度 監査研究の動向/堀古秀徳
年度「岩田・渡邊賞」、「監査研究奨励賞」および「監査教育貢献賞」
審査結果報告/町田祥弘


 

特に私としては、

解題 内部統制報告制度の現在と課題/蟹江章

わが国におけるダイレクト・レポーティングの採用について/中村元彦

の2つが興味をひきました。いわゆるJ-SOXが始まって15年以上がたち、いろいろと課題が見えてきたところで、昨年制度改正がありましたね...

制度課題の1つが、日本独特のインダイレクト方式をやめて米国と同じダイレクトレポーティング方式に変えた方が良いのではないかという話でした。しかし、結果的に今回の改正では先に送りにされ、今後の課題とされ、改正はされませんでした。ということもあり、論文が出てきているところのだろうということです...

 

ということで、今回は、ダイレクトレポーティング方式を採用せずに、インダイレクト・レポーティング方式(言明方式)を採用した当時の理由を探りたいと思います...

 

● 蟹江先生論文では、

・実施にかかるコストや労力の大きさ

・経営者の財務情報の作成責任(信頼性の確保)に対する認識の改善

と初めのほうで説明されているが、後半では、


日本でダイレクト・レポーティング方式が採用されなかった理由としては、次の2点が指摘されている(八田・町田[2007])

(1) ダイレクト・レポーティング方式による内部統制監査実務が、監査人の責任意識を背景として、アメリカ企業社会においても禁止的ともいえるような課題な費用負担をもたらしたこと

(2) 内部統制の評価結果に対する監査と別枠で直接的な監査が行われるというのは、無駄も多く、また、そのことによって内部統制の有効性が高まるという効果は見出せないという企業側の実態を踏まえていること。

(3) 経営サイドでの内部統制評価とは別の視点で監査人サイドだけのチェックポイントを抽出して、直接に監査していくという流れは、おそらく不正摘発型の抜き打ち的な監査手法にも似ていること。

新しい制度を導入するに当たって、主に受け入れ側である企業の負担に配慮した理由であり、内部統制報告制度のスムーズな導入を図ったものと考えられる。


 

● 中村元彦論文では


1. 企業会計審議会における議論

内部統制報告制度の導入において、企業会計審議会 [2005]では、米国がおこなっているような、監査人が直接内部統制の有効性を検証し報告する方法(ダイレクト・レポーティング)をどう考えるかという論点に対して、米国の企業改革法では、監査人が直接に内部統制の有効性を検証し、非常に保守的となっていることが、企業に過度のコスト負担を敷いているとの指摘があるとしている。そして、企業会計審議会 [2007 5頁] において、評価・監査に係るコスト負担が課題なものとならないよう、先行して制度が導入された米国における運用の状況等も検証し、具体的な方策の一つとして、ダイレクト・レポーティングの不採用を示している。

2023年における改訂時の議論であるが、表1が第レクタオ・レポーティングに関する議論の主なものである。議論において、①コストの問題ととともに、②監査人のリソース、さらに③法律的な製薬があるとしている。特に、①と②は今回の改訂において、ダイレクト・レポーティングが採用されたに理由となっている。また、メリットに関しては現状での問題点として発言がなされているが、深い議論には繋がっておらず、今後に関して、様々なメリット(ベネフィット)とデメリット(コスト増など)があるため、この点については、よく検討する時間を費やしたほうがいいとの発言がなされている。

2 研究者における見解

日本においてダイレクト・レポーティングが採用されなかった理由として、八田 [2006 110-111頁] は、第一にダイレクト・レポーティングが導入されると、全ての取引や活動を吟味することが求められるため、監査業務やコストが際限なく増える恐れがあることを挙げている。社内で横領があった時、横領があったという事実そのものが問題視され、どこまでを監査するかといった監査範囲が絞れ込まれていないと、監査項目やコスト (9) が際限なく膨らむことが0時されている。そして、ダイレクト・レポーティングそ導入するのであれば、これまでの財務諸表監査とは全く違った監査の枠組みを構築し、監査人の責任範囲の明示が必要としている。第二として、監査人と企業との関係が大きく変わってしまう可能性があることをあげている。ダイレクト・レポーティングを導入するのであれば、これまでの財務諸表監査とは全く違った監査の枠組みを構築し、監査人の責任範囲の明示が必要としている。第二として、監査人と企業との関係が多く変わってしまう可能性があることを挙げている。ダイレクト・レポーティング方式ど導入すると、どこまで取り組めばよいのかという基準を示した上で、それでできているかどうかを検証する「不正摘発型の監査」 になってしまう恐れがあるとしている。

第一の点及び第二の点は、コストの増加につながることになる。また、八田ほか [2007, 38, 40頁] において、八田は今回の制度設計にあたっての要請事項の1つとして、ある程度コスト効率の良い制度を構築しなければならないとし (10) 制度作りの観点からの対応ということが述べられている。制度というのは、少なくとも市場に関わっている関係当事者のその時点における合意形成で受け入れられるべきものであり、これで問題があるならば、見直し等が求められるとしており、ダイレクト・レポーティングに関しても同様と考える。表1でさまざまなメリット(ベネフィット)とデメリット(コスト増など)の検討が示唆されているが、合意形成のためにはこの検討は十分におこなわれる必要があると考える。

町田 [2011, 397-400頁]は、評価・監査に係るコスト負担が過大なものとならないという、ダイレクト・レポーティングをコスト負担の観点から採用しないことを述べると共に、関連して第一として、内部統制報告書において表明される評価範囲に対する保証が必要と考えられた点、第二に会計士法制の問題、第3に監査人が保守的傾向をとるおそれをあげている。第一に関しては、当初は、企業ごとに内部統制の評価方法や評価範囲をある程度自由かつ詳細に記載することが期待されたことが背景にある。また、第二に関しては、公認会計士法2条1項業務であるかの問題が生じ、法改正の必要性につながること、第3に関しては、監査人に対して、業務において保守的な対応をとらせ、必要以上の監査証拠の入手や監査判断自体の過度な厳格化を招くのではないかという懸念が述べられている。


という説明がありますね...

要は

・ダイレクト・レポーティング方式が、インダイレクト・レポーティング方式(言明方式)よりも経営者評価+監査コストがかかる

ので、経営者はそれを嫌がり、インダイレクト・レポーティング方式でコストを下げたから、、、ということで、経営者に納得してもらい、導入を決めた。

ということなのでしょうね...

ちなみに、表1


<ダイレクト・レポーティング導入時の問題点>

①コスト増加について
・現在の実務では、業務プロセスの評価は会社のサンプリングを利用する実務が多いが、ダイレクト・レボーティングの導入になるとサンプリングの利用もしないということで、コストは増加する
・現在の実務では、全社統制については、会社が評価したものを監査人が評価するということになるが、ダイレクト・レポーティングの導入になると監査人が別に確認することになるので、コストが増加する

②監査人のリソース問題
・監査人の内部統制評価にダイレクト・レポーティングを採用する場合には、監査人の工数が増加するということで、現在、監査法人側のリソースが通迫している状態のため、すぐの対応は困難

③法律上の制約
・ダイレクト・レポーティング。特に財務諸表監査の中に内部統制の評価を盛り込むことについては、法制度を変えない。法律規定を変えないという前提での制度改訂では、難しい(金融商品取引法の193条の2の第2項の問題)

<今後の検討へのコメント>
・ダイレクト・レポーティングには、様々なメリットとデメリットがあるため、この点については、よく検計する時間を費やしたほうがいいのではないか
・限界的なコスト増と、それによってもたらされるベネフィット、この評価というのをしっかり検討していくべきではないか

出所:企業会計審議会[2022a:2022c]に基づいて筆者作成。


 

しかし、どう考えても論理的には、インダイレクト・レポーティング方式がコスト的に有利ということが言えないにも関わらず、大人の事情?でそう言い切ってしまったことが不幸の始まりだったように思います...

 

Img_7173

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.08 金融庁 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について

・2008.08.14 公認会計士協会 パブコメ 監査・保証実務委員会研究報告「公認会計士等が行う保証業務等に関する研究報告」

2008.02.13 米国では、小規模公開会社へのSOX法404条の適用が1年延長されるかもなのですが・・・

2008.02.08 実施基準に書かれていないことは監査人の判断しだい?

・2008.01.16 内部統制報告書の記載項目と、内部統制報告書に重要な虚偽表示がないかどうかの合理的な保証を求める監査。。。

・2007.07.28 内部統制報告書の監査って、経営者評価手続きをする前に監査手続きはできへんよな。。。

・2007.07.26 PCAOB’s New Audit Standard for Internal Control Over Financial Reporting (AS No.5) is Approved by the SEC

・2007.07.21 CIAフォーラム研究会 「~米国SOX 法404 条の教訓を踏まえた~JSOX への対応アプローチ」を公表

・2007.07.13 現場感覚 ダイレクトレポーティングのほうが経営者の負担は少ないんじゃないの?

・2007.05.25 PCAOB 監査基準書第5号が承認されましたね。。。

・2007.05.09 あずさ監査法人 財務報告に係る内部統制について

・2007.04.30 学者もわからない?内部統制監査の意見形成論(ダイレクトレポーティングの不採用)

・2006.12.30 弦巻ナレッジネットワークの「「日本版404条」審議過程の検証」は興味深いです。。。

・2006.12.29 米国の費用対効果分析によると日本の方法は費用がかかる?

・2006.12.20 PCAOB 監査基準書第2号(公開草案)公表

・2006.12.20 全銀協 「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」へのコメント

・2006.12.08 PCAOB 監査基準書第2号の改訂公開草案の公開は12月19日

・2006.12.02 米国 内部統制評価と監査制度 負担の緩和

・2006.11.15 実施基準(2006.11.06部会資料) に対する様々な反応

・2006.11.02 実施基準では、100項目のQ&Aを示したり、対象となる財務報告の範囲を示したりするが、「特に米国の監査事情に精通している人ほど、違和感を持つかもしれない」らしい・・・

・2006.09.06 監査がダイレクトレポーティング方式でも言明方式でも経営者評価の手間は関係ない

2006.08.09 内部統制部会議事録等

・2006.08.06 監査人が「内部統制は有効であると監査意見を述べる場合」と「内部統制は有効であるという報告書の内容が適正であるという監査意見を述べる場合」の監査対象(保証又は証明対象)の違い

・2006.07.21 実施基準で検討することになっていること(3)財務報告に係る内部統制の監査篇

・2006.07.21 実施基準で検討することになっていること(2)財務報告に係る内部統制の評価及び報告篇

・2006.06.02 参議院 財政金融委員会の議事録を読んで

・2006.04.21 ダイレクトレポーティング方式と言明方式で監査コストが異なるのか

・2006.04.19 米国が内部統制監査報告書においてダイレクトレポーティング方式を採用した理由

・2006.03.11 日本の保証基準

 

 

・2006.11.10 実施基準(2006.11.06部会資料) 持分法適用となる関連会社も評価範囲を決定する際の対象に含まれる!

・2006.11.07 実施基準案 (11月6日内部統制部会)

・2006.11.05 日経 金融庁、内部統制ルールで監査の基準案

・2006.11.02 実施基準では、100項目のQ&Aを示したり、対象となる財務報告の範囲を示したりするが、「特に米国の監査事情に精通している人ほど、違和感を持つかもしれない」らしい・・・

・2006.09.16 IT全般統制が有効に機能していなければIT業務処理統制の有効性は保証できないのか・・・

・2006.09.06 監査がダイレクトレポーティング方式でも言明方式でも経営者評価の手間は関係ない

・2006.08.17 SAS70、監査基準委員会報告書第18号

・2006.08.06 監査人が「内部統制は有効であると監査意見を述べる場合」と「内部統制は有効であるという報告書の内容が適正であるという監査意見を述べる場合」の監査対象(保証又は証明対象)の違い

・2006.08.06 経営者評価を期末日現在にした理由

・2006.08.01 内部統制が有効であるということ

 

| | Comments (0)

2024.08.26

米国 司法省 アルゴリズム価格設定スキームで賃貸料を高止まりにしているとして、賃貸住宅業界向けソフトウェア提供会社を提訴

こんにちは、丸山満彦です。

AIとかを使って売り手と買い手の間に完全市場が成り立つようにできれば、社会的便益は高まるので、いいですよね...ということなのですが、多数のアパート等を貸す側からお金をもらって、アパートの賃貸料金をきめるようなアルゴリズムをつくると、同じ条件の物件には同じ金額をリコメンデーションをするようになるので、実質的に価格競争が起こらないようになってしまい、寡占市場と同じような状況を作り出しかねないということでしょうね...

AI等でリコメンデーション機能をつけるビジネスを考えている事業者はこういう点も意識する必要があるのでしょうね...

提訴されたのはRealPage社 [wikipedia]ですね...

 

U.S. Department of Justice Office of Public Affairs 

1_20240826135401

・2024.08.23 Justice Department Sues RealPage for Algorithmic Pricing Scheme that Harms Millions of American Renters

Justice Department Sues RealPage for Algorithmic Pricing Scheme that Harms Millions of American Renters 司法省、数百万人の米国人賃借人に損害を与えるアルゴリズム価格設定スキームでRealPage社を提訴
RealPage’s Pricing Algorithm Violates Antitrust Laws RealPageの価格設定アルゴリズムは独占禁止法に違反する
The Justice Department, together with the Attorneys General of North Carolina, California, Colorado, Connecticut, Minnesota, Oregon, Tennessee, and Washington, filed a civil antitrust lawsuit today against RealPage Inc. for its unlawful scheme to decrease competition among landlords in apartment pricing and to monopolize the market for commercial revenue management software that landlords use to price apartments. RealPage’s alleged conduct deprives renters of the benefits of competition on apartment leasing terms and harms millions of Americans. The lawsuit was filed today in the U.S. District Court for the Middle District of North Carolina and alleges that RealPage violated Sections 1 and 2 of the Sherman Act. 司法省は本日、ノースカロライナ州、カリフォルニア州、コロラド州、コネチカット州、ミネソタ州、オレゴン州、テネシー州、ワシントン州の検事総長とともに、リアルページ社に対し、アパートの価格設定における家主間の競争を減少させ、家主がアパートの価格設定に使用する商業収益管理ソフトウェアの市場を独占する違法なスキームがあるとして、民事反トラスト法を提訴した。リアルページ社の行為は、アパート賃貸条件における競争の利益を借り手から奪い、何百万人ものアメリカ人に損害を与えるものである。この訴訟は本日、ノースカロライナ州中部地区連邦地方裁判所に提起され、RealPage社がシャーマン法第1条および第2条に違反したと主張している。
The complaint alleges that RealPage contracts with competing landlords who agree to share with RealPage nonpublic, competitively sensitive information about their apartment rental rates and other lease terms to train and run RealPage’s algorithmic pricing software. This software then generates recommendations, including on apartment rental pricing and other terms, for participating landlords based on their and their rivals’ competitively sensitive information. The complaint further alleges that in a free market, these landlords would otherwise be competing independently to attract renters based on pricing, discounts, concessions, lease terms, and other dimensions of apartment leasing. RealPage also uses this scheme and its substantial data trove to maintain a monopoly in the market for commercial revenue management software. The complaint seeks to end RealPage’s illegal conduct and restore competition for the benefit of renters in states across the country. 訴状によると、リアルページ社は、競合する家主と契約し、その家主のアパートの賃貸料やその他の賃貸条件に関する非公開の、競争上微妙な情報をリアルページ社と共有することに同意して、リアルページ社のアルゴリズム価格設定ソフトウェアを訓練し、稼動させている。このソフトウェアは、参加家主とそのライバルの競争上の機密情報に基づいて、参加家主のためにアパート賃貸価格やその他の条件を含む推奨事項を生成する。さらに訴状では、自由市場であれば、これらの家主は、価格設定、割引、譲歩、賃貸条件、その他アパート賃貸の諸条件に基づいて、借り手を引き付けるために独自に競争しているはずだと主張している。RealPage社はまた、このスキームとその膨大なデータ資産を利用して、商業用収益管理ソフトウェアの市場で独占を維持している。この訴状は、リアルページ社の違法行為をやめさせ、全国各州の賃借人の利益のために競争を回復することを求めるものである。
“Americans should not have to pay more in rent because a company has found a new way to scheme with landlords to break the law,” said Attorney General Merrick B. Garland. “We allege that RealPage’s pricing algorithm enables landlords to share confidential, competitively sensitive information and align their rents. Using software as the sharing mechanism does not immunize this scheme from Sherman Act liability, and the Justice Department will continue to aggressively enforce the antitrust laws and protect the American people from those who violate them.” 「メリック・B・ガーランド司法長官は、次のように述べた。「米国人は、ある会社が法律を破るために家主と企む新しい方法を見つけたからといって、家賃を多く支払う必要はない。われわれは、リアルページの価格設定アルゴリズムによって、大家が競争上重要な機密情報を共有し、賃料を調整することを可能にしていると主張している。司法省は今後も反トラスト法を積極的に執行し、違反者からアメリカ国民を守っていく」。
“Today’s complaint against RealPage illustrates our corporate enforcement strategy in action. We identify the most serious wrongdoers, whether individuals or companies, and focus our full energy on holding them accountable,” said Deputy Attorney General Lisa Monaco. “By feeding sensitive data into a sophisticated algorithm powered by artificial intelligence, RealPage has found a modern way to violate a century-old law through systematic coordination of rental housing prices — undermining competition and fairness for consumers in the process. Training a machine to break the law is still breaking the law. Today’s action makes clear that we will use all our legal tools to ensure accountability for technology-fueled anticompetitive conduct.”  リサ・モナコ司法副長官は次のように述べた 「本日のリアルページ社に対する提訴は、われわれの企業取り締まり戦略の実例を示すものである。われわれは、個人であれ企業であれ、最も深刻な不正行為者を特定し、その責任を追及することに全力を傾ける。人工知能を搭載した高度なアルゴリズムに機密データを送り込むことで、リアルページは賃貸住宅価格の体系的な調整を通じて100年前の法律に違反する現代的な方法を発見した。法律を破るために機械を訓練しても、法律を破ることに変わりはない。本日の措置は、テクノロジーによる反競争的行為に対する説明責任を果たすため、あらゆる法的手段を行使することを明確にするものである。」
“RealPage’s egregious, anticompetitive conduct allows landlords to undermine fair pricing and limit housing options while stifling necessary competition,” said Acting Associate Attorney General Benjamin C. Mizer. “The Department remains committed to rooting out illegal schemes and practices aimed at empowering corporate interests at the expense of consumers.”  「リアルページ社の悪質な反競争的行為により、家主は必要な競争を阻害されながら、公正な価格設定を損ない、住宅の選択肢を狭めることになる。「司法省は、消費者を犠牲にして企業の利益を強化することを目的とした違法な計画や慣行を根絶することに全力を尽くしている。」
“As Americans struggle to afford housing, RealPage is making it easier for landlords to coordinate to increase rents,” said Assistant Attorney General Jonathan Kanter of the Justice Department’s Antitrust Division. “Today, we filed an antitrust suit against RealPage to make housing more affordable for millions of people across the country. Competition – not RealPage – should determine what Americans pay to rent their homes.” 司法省反トラスト部門のジョナサン・カンター司法次官補は次のように述べた。「アメリカ人が住宅を購入するのに苦労している中、リアルページは、家主が家賃を上げるために協力することを容易にしている。「今日、われわれはリアルページ社に対して反トラスト法違反の訴えを起こし、全国の何百万人もの人々がより手頃な価格で住宅を購入できるようにした。アメリカ人が賃貸住宅を借りる際に支払う金額を決めるのは、リアルページ社ではなく、競争であるべきだ。」
The complaint cites internal documents and sworn testimony from RealPage and commercial landlords that make plain RealPage’s and landlords’ objective to maximize rental pricing and profitability at the expense of renters. For example: 訴状では、リアルページ社と家主の内部文書と宣誓証言が引用され、賃貸料を最大化し、賃借人を犠牲にして利益を上げようとするリアルページ社と家主の目的が明らかにされている。例えば、こうだ:
RealPage acknowledged that its software is aimed at maximizing prices for landlords, referring to its products as “driving every possible opportunity to increase price,” “avoid[ing] the race to the bottom in down markets,” and “a rising tide raises all ships.” リアルページ社は、同社のソフトウェアが家主のために価格を最大化することを目的としていることを認めており、同社の製品について、「価格を上げるためのあらゆる可能な機会を促進する」、「不況市場での底値競争を避ける」、「上げ潮はすべての船を上昇させる 」と言及している。
A RealPage executive observed that its products help landlords avoid competing on the merits, noting that “there is greater good in everybody succeeding versus essentially trying to compete against one another in a way that actually keeps the entire industry down.” あるリアルページ社の幹部は、同社の製品は大家が実力競争を避けるのに役立っているとし、「業界全体を低迷させるような方法で本質的に競争し合うよりも、皆が成功する方がより大きな利益がある」と指摘した。
A RealPage executive explained to a landlord that using competitor data can help identify situations where the landlord “may have a $50 increase instead of a $10 increase for the day.” あるリアルページの幹部は、競合他社のデータを使うことで、大家が 「その日に10ドルの値上げではなく、50ドルの値上げをするかもしれない 」という状況を特定することができると説明した。
Another landlord commented about RealPage’s product, “I always liked this product because your algorithm uses proprietary data from other subscribers to suggest rents and term. That’s classic price fixing…” 別の大家はRealPageの製品について、「この製品は、アルゴリズムが他の契約者の独自データを使って賃料や期間を提案するので、いつも気に入っていた。これは典型的な価格操作だ。」
The complaint alleges that RealPage’s agreements and conduct harm the competitive process in local rental markets for multi-family dwellings across the United States. Armed with competing landlords’ data, RealPage also encourages loyalty to the algorithm’s recommendations through, among other measures, “auto accept” functionality and pricing advisors who monitor landlords’ compliance. As a result, RealPage’s software tends to maximize price increases, minimize price decreases, and maximize landlords’ pricing power. RealPage also trained landlords to limit concessions (e.g., free month(s) of rent) and other discounts to renters. The complaint also cites internal documents from RealPage and landlords touting the fact that landlords have responded by reducing renter concessions. 訴状では、リアルページ社の契約と行為が米国中の集合住宅の賃貸市場における競争プロセスを害していると主張している。競合する家主のデータを手に入れたリアルページは、「自動承諾」機能や家主のコンプライアンスを監視するプライシング・アドバイザーなどの手段を通じて、アルゴリズムの推奨に忠実であることを奨励している。その結果、リアルページ社のソフトウェアは、値上げを最大化し、値下げを最小化し、家主の価格決定力を最大化する傾向がある。RealPage社はまた、家主に対して、賃借人に対する譲歩(家賃の無料月分など)やその他の割引を制限するよう教育していた。訴状はまた、家主が賃借人の譲歩を減らすことで対応したことを宣伝するリアルページと家主の内部文書を引用している。
The complaint separately alleges that RealPage has unlawfully maintained its monopoly over commercial revenue management software for multi-family dwellings in the United States, in which RealPage commands approximately 80% market share. Landlords agree to share their competitively sensitive data with RealPage in return for pricing recommendations and decisions that are the result of combining and analyzing competitors’ sensitive data. This creates a self-reinforcing feedback loop that strengthens RealPage’s grip on the market and makes it harder for honest businesses to compete on the merits. 訴状では、RealPage社が米国の集合住宅向け商業収益管理ソフトの独占を不法に維持しており、RealPage社の市場シェアは約80%に達しているとしている。家主は、競合他社のセンシティブなデータを組み合わせて分析した結果である価格勧告や決定を受ける見返りに、競争上センシティブなデータをリアルページ社と共有することに同意する。これは自己強化的なフィードバックループを生み出し、リアルページ社の市場支配力を強め、誠実な企業が実力で競争することを難しくしている。
RealPage Inc., is a property management software company headquartered in Richardson, Texas. リアルページ社は、テキサス州リチャードソンに本社を置く不動産管理ソフトウェア会社である。

 

・[PDF] complaint

20240826-134958

 

 

 

| | Comments (0)

経済産業省 IoT製品に対するセキュリティ適合性評価制度構築方針 (2024.08.23)

こんにちは、丸山満彦です。

経済産業省の産業サイバーセキュリティ研究会 ワーキンググループ3(IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)が、「IoT製品に対するセキュリティ適合性評価制度構築方針」を公表していますね...

今年の3月15日からの意見募集を踏まえて最終確定していますね...

 

経済産業省 - 産業サイバーセキュリティ研究会 - ワーキンググループ3(IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)

・2024.08.23 IoT製品に対するセキュリティ適合性評価制度構築方針

・・[PDF] IoT製品に対するセキュリティ適合性評価制度構築方針(本編)

20240826-03649

 

 

・・[PDF] 別添 ☆1セキュリティ要件・適合基準

(3月15日から変更なし...)

20240826-04015

 

・・[PDF] IoT製品に対するセキュリティ適合性評価制度構築方針(概要説明資料)

20240826-03850

 

 

意見募集

・[web] IoT製品に対するセキュリティ適合性評価制度構築方針案に対する意見公募(募集期間:2024年3月15日~4月15日)の結果

 

過去分...

・202403.27 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会最終とりまとめ

・・[PDF] 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 最終とりまとめ

・・[PDF] 別添1 セキュリティ要件一覧

・・[PDF] 別添2 ☆1セキュリティ要件・適合基準

・・[PDF] IoT製品のセキュリティ適合性評価制度 ☆1チェックリスト(案)

 


 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

米国...

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

| | Comments (0)

2024.08.25

Five Eyes +α イベントロギングと脅威検知のベストプラクティス

こんにちは、丸山満彦です。

ファイブアイズ+日本+韓国+シンガポール+オランダのセキュリティセンターが協力して「イベントロギングと脅威検知のベストプラクティス」を公表していますね...

参考になることも多いように思います...

・ログについての組織全体の方針を決めなはれ

・ログの収集と相関は一元管理しなはれ

・収集したログは改ざんされんように、漏れんようにしなはれ

・脅威に関連させて検知戦略を立なはれ

ということですかね...

 

ベストプラクティスの目次...

Best practices ベストプラクティス
Enterprise-approved event logging policy エンタープライズが承認したイベントロギングポリシー
Event log quality イベントログの品質
Captured event log details キャプチャされたイベントログの詳細
Operational Technology considerations 運用技術 (OT) に関する考慮事項
Additional resources 追加リソース
Content and format consistency コンテンツとフォーマットの一貫性
Additional resources 追加リソース
Timestamp consistency タイムスタンプの一貫性
Event log retention イベントログの保持
Centralised log collection and correlation ログの収集と相関の一元化
Logging priorities for enterprise networks エンタープライズ・ネットワークのログの優先順位
Logging priorities for operational technology 運用技術 (OT) のログの優先順位
Logging priorities for enterprise mobility using mobile computing devices モバイルコンピューティングデバイスを使用するエンタープライズモビリティのログの優先順位
Logging priorities for cloud computing クラウドコンピューティングにおけるロギングの優先順位
Secure storage and event log integrity 安全な保存とイベントログの完全性
Secure transport and storage of event logs イベントログの安全な転送と保存
Protecting event logs from unauthorised access, modification and deletion イベントログの不正アクセス、変更、削除からの防御
Centralised event logging enables threat detection イベントログの一元化が脅威検知を可能にする
Timely ingestion 適時の取り込み
Detection strategy for relevant threats 関連する脅威の検知戦略
Detecting living off the land techniques 現地調達技術の検知
Cloud considerations クラウドに関する考慮事項
Operational technology considerations 運用技術 (OT) に関する考慮事項

 

 

U.S. CISA

・2024.08.21 ASD’s ACSC, CISA, FBI, and NSA, with the support of International Partners Release Best Practices for Event Logging and Threat Detection

 

ASD’s ACSC, CISA, FBI, and NSA, with the support of International Partners Release Best Practices for Event Logging and Threat Detection ASDのACSC、CISA、FBI、NSA、国際的なパートナーの支援によりイベントログと脅威検知のベストプラクティスをリリース
Today, the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), CISA, FBI, NSA, and international partners are releasing Best Practices for Event Logging and Threat Detection. This guide will assist organizations in defining a baseline for event logging to mitigate malicious cyber threats. 本日、オーストラリア信号総局のオーストラリア・サイバーセキュリティセンター(ASD's ACSC)、CISA、FBI、NSA、および国際的なパートナーは、イベントロギングと脅威検知のベストプラクティスをリリースする。このガイドは、悪意のあるサイバー脅威を軽減するために、イベントロギングのベースラインを定義する際に組織を支援するものである。
The increased prevalence of malicious actors employing living off the land (LOTL) techniques, such as living off the land binaries (LOLBins) and fileless malware, highlights the importance of implementing and maintaining an effective event logging program. 現地調達バイナリ(LOLBins)やファイルレスマルウェアのような現地調達(LOTL)テクニックを採用する悪意ある事業者の増加傾向は、効果的なイベントロギングプログラムの実装と維持の重要性を浮き彫りにしている。
 CISA encourages public and private sector senior information technology (IT) decision makers, operational technology (OT) operators, network administrators, network operators, and critical infrastructure organizations to review the best practices in the guide and implement recommended actions. These actions can help detect malicious activity, behavioral anomalies, and compromised networks, devices, or accounts.  CISAは、公共部門および民間部門の上級情報技術(IT)意思決定者、運用技術(OT)オペレータ、ネットワーク管理者、ネットワークオペレータ、および重要インフラストラクチャ組織に対し、本ガイドのベストプラクティスを検討し、推奨されるアクションを実施するよう奨励している。これらの行動は、悪意のある活動、行動の異常、侵害されたネットワーク、デバイス、またはアカウントの検知に役立つ。
For more information on LOTL techniques, see joint guidance Identifying and Mitigating Living Off the Land Techniques and CISA’s Secure by Design Alert Series. LOTL テクニックの詳細については、共同ガイダンス「現地調達テクニックの識別と低減」および CISA の「Secure by Design Alert Series」を参照のこと。
For more information and guidance on event logging and threat detection, see CISA’s Secure Cloud Business Applications (SCuBA) products, network traffic analysis tool Malcom, and Logging Made Easy. イベント・ロギングと脅威検知に関する詳細な情報とガイダンスについては、CISA の Secure Cloud Business Applications(SCuBA)製品、ネットワーク・トラフィック分析ツール Malcom、Logging Made Easy を参照のこと。

 

・[PDF

20240825-40357

 

 

日本...

内閣官房サイバーセキュリティセンター (NISC)

・2024.08.22 国際文書「Best practices for event logging and threat detection」に署名しました

・[PDF]

20240825-41544

 

 

オーストラリア...

Australian Cyber Security Centre; ASCS

1_20240825034301

プレス...

・2024.08.22 Best practices for event logging and threat detection

Best practices for event logging and threat detection イベントロギングと脅威検知のベストプラクティス
Today we have released new guidance on Best practices for event logging and threat detection. It outlines best practice for event logging and threat detection for cloud services, enterprise information technology (IT) networks, enterprise mobility and operational technology (OT) networks. 本日、我々はイベントロギングと脅威検知のベストプラクティスに関する新しいガイダンスを発表した。このガイダンスは、クラウドサービス、エンタープライズ情報技術(IT)ネットワーク、エンタープライズモビリティ、運用技術(OT)ネットワークにおけるイベントロギングと脅威検知のベストプラクティスを概説している。
The advice assumes a basic understanding of event logging and is intended primarily for cyber security practitioners, IT managers, OT operators, network administrators and network operators within medium to large organisations. このアドバイスは、イベントロギングの基本的な理解を前提としており、主に中規模から大規模の組織内のサイバーセキュリティ実務者、IT管理者、OTオペレータ、ネットワーク管理者、ネットワークオペレータを対象としている。
There are four key factors to consider when pursuing event logging and threat detection best practice: イベントロギングと脅威検知のベストプラクティスを追求する際に考慮すべき4つの重要な要素がある:
1. Develop an enterprise-approved logging policy. 1. エンタープライズで承認されたロギングポリシーを策定する。
2. Centralise log collection and correlation. 2. ログの収集と相関を一元化する。
3. Maintain log integrity, including through secure log storage. 3. 安全なログ保管を含め、ログの完全性を維持する。
4. Develop a detection strategy for relevant threats. 4. 関連する脅威の検知戦略を策定する。
This publication has been released in cooperation with the following international partners: 本書は、以下の国際的なパートナーの協力を得て発行された:
・United States (US) Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI) and the National Security Agency (NSA) ・米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局 (NSA)。
・United Kingdom (UK) National Cyber Security Centre (NCSC-UK) ・英国(UK) ナショナル・サイバー・セキュリティ・センター(NCSC-UK)
・Canadian Centre for Cyber Security (CCCS) ・カナダ・サイバーセキュリティセンター(CCCS)
・New Zealand National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team (CERT NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)及びコンピュータ緊急対応チーム(CERT NZ)
・Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) and Computer Emergency Response Team Coordination Center (JPCERT/CC) ・日本内閣サイバーセキュリティセンター(NISC)及びコンピュータ緊急対 応チームコーディネーションセンター(JPCERT/CC)
・The Republic of Korea National Intelligence Services (NIS) and NIS’s National Cyber Security Center (NCSC-Korea) ・韓国国家情報院(NIS)及び NIS 国家サイバーセキュリティセンター(NCSC-Korea)
・Singapore Cyber Security Agency (CSA) ・シンガポール サイバーセキュリティ庁(CSA)
・The Netherlands General Intelligence and Security Service (AIVD) and Military Intelligence and Security Service (MIVD). ・オランダ国家情報安全保障局(AIVD)および軍情報安全保障局(MIVD)。
To learn more about these key factors, read the Best practices for event logging and threat detection publication. これらの重要な要因の詳細については、イベント・ロギングと脅威検知のベスト・プラクティスを参照されたい。

 

ベストプラクティス...

・2024.08.22 Best Practices for Event Logging and Threat Detection

エグゼクティブサマリーと序文...

Best Practices for Event Logging and Threat Detection イベントロギングと脅威検知のベストプラクティス
Executive summary エグゼクティブサマリー
This publication defines a baseline for event logging best practices to mitigate cyber threats. It was developed by the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) in cooperation with the following international partners: 本書は、サイバー脅威を軽減するためのイベントロギングのベストプラクティスのベースラインを定義する。本書は、オーストラリア信号局(Australian Signals Directorate)のオーストラリア・サイバー・セキュリティ・センター(Australian Cyber Security Centre: ASD's ACSC)が、以下の国際的なパートナーと協力して作成した:
・United States (US) Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI) and the National Security Agency (NSA) ・米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局 (NSA)。
・United Kingdom (UK) National Cyber Security Centre (NCSC-UK) ・英国(UK) ナショナル・サイバー・セキュリティ・センター(NCSC-UK)
・Canadian Centre for Cyber Security (CCCS) ・カナダ・サイバーセキュリティセンター(CCCS)
・New Zealand National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team (CERT NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)及びコンピュータ緊急対応チーム(CERT NZ)
・Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) and Computer Emergency Response Team Coordination Center (JPCERT/CC) ・日本内閣サイバーセキュリティセンター(NISC)及びコンピュータ緊急対 応チームコーディネーションセンター(JPCERT/CC)
・The Republic of Korea National Intelligence Services (NIS) and NIS’s National Cyber Security Center (NCSC-Korea) ・韓国国家情報院(NIS)及び NIS 国家サイバーセキュリティセンター(NCSC-Korea)
・Singapore Cyber Security Agency (CSA) ・シンガポール サイバーセキュリティ庁(CSA)
・The Netherlands General Intelligence and Security Service (AIVD) and Military Intelligence and Security Service (MIVD). ・オランダ国家情報安全保障局(AIVD)および軍情報安全保障局(MIVD)。
Event logging supports the continued delivery of operations and improves the security and resilience of critical systems by enabling network visibility. This guidance makes recommendations that improve an organisation’s resilience in the current cyber threat environment, with regard for resourcing constraints. The guidance is of moderate technical complexity and assumes a basic understanding of event logging.  イベント・ロギングは、業務の継続的な提供を支援し、ネットワークの可視化を可能にすることで、 重要なシステムのセキュリティとレジリエンスを改善する。このガイダンスは、レジリエンスの制約を考慮しつつ、現在のサイバー脅威環境における組織のレジリエンスを改善するための勧告を行う。このガイダンスは、技術的に中程度の複雑さを持ち、イベントロギングの基本的な理解を前提としている。
An effective event logging solution aims to: 効果的なイベントロギング・ソリューションの目的は以下のとおりである:
・send alerts to the network defenders responsible for monitoring when cyber security events such as critical software configuration changes are made or new software solutions are deployed ・重要なソフトウェア構成の変更や新しいソフトウェアソリューションの導入などのサイバーセキュリティイベントが発生したときに、監視を担当するネットワーク防御担当者にアラートを送信する。
・identify cyber security events that may indicate a cyber security incident, such as malicious actors employing living off the land (LOTL) techniques or lateral movement post-compromise ・意のある行為者が現地調達(LOTL)技術を使用したり、侵害後に横方向に移動したりするなど、サイバーセキュリティインシデントを示す可能性のあるサイバーセキュリティイベントを識別する。
・support incident response by revealing the scope and extent of a compromise ・侵害の範囲と程度を明らかにすることで、インシデント対応を支援する。
・monitor account compliance with organisational policies ・組織のポリシーに対するアカウントのコンプライアンスを監視する。
・reduce alert noise, saving on costs associated with storage and query time ・アラートノイズを低減し、ストレージやクエリにかかるコストを削減する。
・enable network defenders to make agile and informed decisions based on prioritisation of alerts and analytics ・アラートと分析結果の優先順位付けに基づき、ネットワーク防御担当者が情報に基づいた迅速な意思決定を行えるようにする。
・ensure logs and the logging platforms are useable and performant for analysts. ・ログとロギング・プラットフォームが、アナリストにとって使用可能で高性能であることを保証する。
There are four key factors to consider when pursuing logging best practices: ロギングのベストプラクティスを追求する際に考慮すべき4つの重要な要素がある:
1. enterprise-approved event logging policy 1. エンタープライズが承認したイベントロギング方針
2. centralised event log access and correlation 2. イベントログへのアクセスと相関の一元化
3. secure storage and event log integrity 3. 安全な保存とイベントログの完全性
4. detection strategy for relevant threats. 4. 関連する脅威の検知戦略
Introduction 序文
The increased prevalence of malicious actors employing LOTL techniques, such as LOTL binaries (LOLBins) and fileless malware, highlights the importance of implementing and maintaining an effective event logging solution. As demonstrated in the joint-sealed publication Identifying and Mitigating Living Off the Land Techniques, Advanced Persistent Threats (APTs) are employing LOTL techniques to evade detection. The purpose of this publication is to detail best practice guidance for event logging and threat detection for cloud services, enterprise networks, enterprise mobility, and operational technology (OT) networks. The guidance in this publication focuses on general best practices for event logging and threat detection; however, LOTL techniques feature as they provide a great case study due to the high difficulty in detecting them. LOTL バイナリ(LOLBin)やファイルレスマルウェアのような LOTL テクニックを採用する悪意ある事業者 の増加傾向は、効果的なイベントロギングソリューションを実装し、維持することの重要性を浮き 彫りにしている。共同発行の『現地調達手法の検知と低減』で示したように、高度な持続的脅威(APT)は検知を回避するために LOTL 手法を採用している。本書の目的は、クラウドサービス、エンタープライズネットワーク、エンタープライズモビリティ、オペレーショナルテクノロジー(OT)ネットワークのイベントロギングと脅威検知に関するベストプラクティスのガイダンスを詳述することである。本書のガイダンスは、イベントロギングと脅威検知のための一般的なベストプラクティスに重点を置いているが、LOTL 技術は検知の難易度が高いため、優れたケーススタディとなる。
Audience 想定読者
This guidance is technical in nature and is intended for those within medium to large organisations. As such, it is primarily aimed at: 本ガイダンスは、本質的に技術的であり、中規模から大規模の組織内の人々を対象としている。そのため、主に以下を対象としている:
・senior information technology (IT) and OT decision makers ・上級情報技術(IT)およびOTの意思決定者
・IT and OT operators ・IT および OT オペレーター
・network administrators ・ネットワーク管理者
・critical infrastructure providers. ・重要インフラプロバイダー

 

ベストプラクティス本文...

 

Continue reading "Five Eyes +α イベントロギングと脅威検知のベストプラクティス"

| | Comments (0)

2024.08.24

米国 NIST SP 800-63-4(第2次公開草案)デジタル・アイデンティティ・ガイドライン他...

こんにちは、丸山満彦です。

NIST SP 800-63-4(第2次公開草案)デジタル・アイデンティティ・ガイドラインが公表され、意見募集されていますね...

4,000通を超えるコメントがあったため、このドラフトの発表が遅れたのでしょうかね...

 

NIST SP 800-63-4 (2nd Public Draft) Digital Identity Guidelines NIST SP 800-63-4(第2次公開草案)デジタル・アイデンティティ・ガイドライン
NIST SP 800-63A-4 (2nd Public Draft) Digital Identity Guidelines: Identity Proofing and Enrollment NIST SP 800-63A-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: アイデンティティ証明および登録
NIST SP 800-63B-4 (2nd Public Draft) Digital Identity Guidelines: Authentication and Authenticator Management NIST SP 800-63B-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: 認証および認証子管理
NIST SP 800-63C-4 (2nd Public Draft) Digital Identity Guidelines: Federation and Assertions NIST SP 800-63C-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: フェデレーションおよびアサーション

4つ合わせて467ページです...これは国力だ(^^)

 

こちらを参考に...

崎村さんのブログ

● @_Nat Zone - Identity, Privacy, and Music

・2024.08.22 NIST SP800-63-4 デジタルアイデンティティガイドライン更新:セキュリティと利便性の両立を目指して

 

富士榮さんのブログ

● IdM実験室

・2024.08.23 NIST SP800-63-4のSecond Public Draftが出てきました

 

NIST - ITL

プレス...

・2024.08.21 NIST Releases Second Public Draft of Digital Identity Guidelines for Final Review

NIST Releases Second Public Draft of Digital Identity Guidelines for Final Review NIST がデジタル・アイデンティティ・ガイドラインの第 2 次公開草案を発表し、最終レビューを求める
・NIST is offering updated guidance on a wide range of methods people use to prove their identity, from digital wallets and passkeys to physical IDs. ・NIST は、デジタル・ウォレットやパスキーから物理的アイデンティティ に至るまで、人々が自分の アイデンティティを証明するために使用する幅広い方法について、最新のガイダンスを提供している。
・The guidance aims to ensure security, privacy and accessibility during the identity-proofing process for people accessing government services. ・このガイダンスは、政府サービスにアクセスする人の アイデンティティ証明プロセスにおいて、セキュリ ティ、プライバシー、およびアクセシビリティを確保することを目的としている。
・NIST is seeking public comments on the draft guidelines through Oct. 7, 2024. ・NIST は、2024 年 10 月 7 日までガイドライン草案に対するパブリック・コメントを募集している。
GAITHERSBURG, Md. — When we need to show proof of identity, we might reach for our driver’s license — or perhaps, sooner than many of us imagine, we may opt for a digital credential stored on a smartphone. To ensure we can use both novel and time-tested methods to prove our identities securely when accessing essential services, the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has updated its draft digital identity guidance.  マサチューセッツ州ゲーサーバーグ - 身分証明を示す必要があるとき、私たちは運転免許証に手を伸 ばすかもしれない。あるいは、私たちの多くが想像しているよりも早く、スマートフォン に保存されたデジタル・クレデンシャルを選ぶかもしれない。米国商務省の国立標準技術研究所(NIST)は、必要不可欠なサービスにアクセスする際に、新規の方法と従来から慣れ親しんだ方法の両方を使用して ID を安全に証明できるようにするため、デジタル・アイデンティティ・ガイドラインの草案を更新した。
The draft Digital Identity Guidelines (NIST Special Publication [SP] 800-63 Revision 4 and its companion publications SPs 800-63A800-63B and 800-63C) have been updated to reflect the robust feedback that NIST received in 2023 as part of a four-month-long comment period and yearlong period of external engagement デジタル・アイデンティティ・ガイドラインの草案(NIST 特別刊行物 [SP] 800-63 Revision 4 およびその関連出版物 SPs 800-63A、800-63B、800-63C)は、NIST が 2023 年に 4 か月に及ぶコメント期間と 1 年間に及ぶ外部関与の一環として受けた強固なフィードバックを反映して更新された。
“Today’s draft revision from NIST highlights the Biden-Harris administration’s commitment to strengthening anti-fraud controls while ensuring broad and equitable access to digital services,” said Jason Miller, deputy director for management at the Office of Management and Budget. “By incorporating feedback from private industry, federal agencies, privacy and civil rights advocacy groups, and members of the public, NIST has developed strong and fair draft guidelines that, when finalized, will help federal agencies better defend against evolving threats while providing critical benefits and services to the American people, particularly those that need them most.” 行政管理予算局のジェイソン・ミラー次長は次のように述べた。「本日のNISTの改訂草案は、デジタル・サービスへの広範かつ公平なアクセスを確保しつつ、不正防止対策を強化するというバイデン-ハリス政権のコミットメントを浮き彫りにするものである。民間企業、連邦政府機関、プライバシーおよび公民権擁護団体、そして一般市民からのフィードバックを取り入れることで、NISTは強力かつ公正なガイドライン草案を作成した。このガイドライン草案が最終化されれば、連邦政府機関は進化する脅威に対してより良い防御を行うことができるようになり、同時にアメリカ国民、特にそれを最も必要とする人々に重要な利益とサービスを提供することができるようになる。」
“Everyone should be able to lawfully access government services, regardless of their chosen methods of identification,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “These improved guidelines are intended to help organizations of all kinds manage risk and prevent fraud while ensuring that digital services are lawfully accessible to all.”   標準技術担当商務次官兼NISTディレクターのローリー・E・ロカシオは、は次のように述べた。「誰もが、選択した本人確認方法にかかわらず、合法的に政府サービスにアクセスできるべきである。これらの改善されたガイドラインは、あらゆる種類の組織がリスクを管理し、不正行為を防止するのに役立つと同時に、デジタル・サービスに合法的にアクセスできるようにすることを意図している。」
The suite of documents is the second public draft of the updated guidelines, which NIST first announced in December 2022. NIST is seeking public comment on this new iteration, which is intended to make access to online services both secure and straightforward, regardless of the means by which a person chooses to prove their identity. この一連の文書は、NISTが2022年12月に初めて発表したガイドライン更新の2回目の公開草案である。NISTは、オンライン・サービスへのアクセスを、人がどのような手段で本人であることを証明するかを問わず、安全かつ容易にすることを意図したこの新しい版について、パブリック・コメントを求めている。
“We are trying to make sure we maintain as many pathways as possible to enable secure online access to services,” said NIST Digital Identity Program Lead Ryan Galluzzo, one of the publication’s authors. “We want to open up the use of modern digital pathways while still allowing for physical and manual methods whenever they may be necessary.” この出版物の著者の一人である NIST デジタル ID プログラム・リードのライアン・ガ ルッツォ氏は、次のように述べた。「われわれは、サービスへの安全なオンライン・アクセスを可能にするため に、できるだけ多くの経路を確保しようとしている。私たちは、最新のデジタル経路の使用を開放する一方で、物理的および手動的な方法が必要な場合はいつでも利用できるようにしたい。」
Proving one’s identity is often a necessary step in accessing services from federal agencies. Identity management is important to these agencies and other organizations, especially because fraudulent claims can be very costly to both organizations and individuals, but not everyone uses the same methods to demonstrate their identity either in person or online. Defending against fraud while maintaining accessibility for a multitude of potential users are two of the goals NIST is trying to balance with the update, Galluzzo said . 自分のアイデンティティを証明することは、連邦政府機関のサービスを利用する上でしばしば必要なステップである。特に不正請求は、組織と個人の両方にとって甚大な損害となる可能性があるため、アイデンティティ管理はこれらの機関やその他の組織にとって重要である。不正行為から身を守ると同時に、多数の潜在的な利用者のアクセシビリティを維持することは、NISTが更新でバランスを取ろうとしている目標の2つである、とガルッツォ氏は言う。
“We want to open up the use of modern digital pathways while still allowing for physical and manual methods whenever they may be necessary.” —Ryan Galluzzo, NIST Digital Identity Program Lead 「私たちは、最新のデジタル経路の使用を開放する一方で、物理的な方法と手作業による方法が必要な場合はいつでもそれを可能にしたいと考えている」。-ライアン・ガルッツォ、NISTデジタル・アイデンティティ・プログラム・リード
NIST received nearly 4,000 comments from 140 organizations and individuals on the 2022 version of the draft. Many of these comments focused on expanding the guidance on two technologies that are rapidly growing in use: syncable authenticators and digital credentials presented through user-controlled wallets. Syncable authenticators, often called passkeys, offer greater security than passwords while allowing a user to save a single passkey on multiple devices. User-controlled wallets, which several major companies currently offer, can securely store payment information along with other items like plane tickets and digital versions of physical identification documents like driver’s licenses. NIST は、2022 年版の草案に対して 140 の組織と個人から 4,000 近いコメントを受け取った。これらのコメントの多くは、利用が急速に拡大している 2 つの技術、すなわち同期可能な認証子と、ユーザが管理するウォレットを通じて提示されるデジタル・クレデンシャルに関するガイダンスの拡大に重点を置いていた。同期可能な認証子は、パスキーと呼ばれることが多いが、パスワードよりも高いセキュリ ティを提供する一方で、ユーザは複数のデバイスに 1 つのパスキーを保存することができる。現在、大手企業数社が提供しているユーザー管理ウォレットは、航空券や運転免許証のような物理的な身分証明書のデジタル版といった他のアイテムとともに、支払い情報を安全に保存することができる。
The expanded guidance around passkeys is found in volume SP 800-63B, Galluzzo said, while additions concerning digital wallets are in volume SP 800-63C.  ガルッツォ氏は次のように述べた。パスキーに関する拡張ガイダンスはSP800-63Bにあり、デジタルウォレットに関する追加ガイダンスはSP800-63Cにある。」
“In response to the comments we received on the first draft, we added more detail about wallets,” he said. “We added guidance on how to trust the wallet itself and on how to trust its contents. There is more about how to securely present the information stored on the wallet, as well as how the other party can trust it.” 「最初の草案に寄せられたコメントを受けて、我々はウォレットに関する詳細を追加した。ウォレットそのものを信頼する方法と、その中身を信頼する方法についてのガイダンスを追加した。ウォレットに保存されている情報をどのように安全に提示するか、また、相手がどのようにそれを信頼するかについて、さらに詳しく説明した。」
Not everyone will feel comfortable or be able to use digital passkeys or wallets, however, and not everyone has a smartphone. The updated draft also expands guidance on how agencies can maintain access to services for people using more traditional forms of identification, Galluzzo said. This includes details on in-person identity proofing and mechanisms for handling exceptions. It also includes the concept of the “applicant reference” — meaning a trusted individual who can vouch for a person who doesn’t have access to identification documents, including a person who may not qualify for traditional forms of evidence or one whose evidence may have been lost or destroyed.   ガルッツォ氏はまた、次のように述べた。「しかし、すべての人がデジタルパスキーやウォレットを快適に使えるとは限らないし、すべての人がスマートフォンを持っているわけでもない。更新された草案では、より伝統的な身分証明書を使用している人々のサービスへのアクセスを機関が維持する方法についてのガイダンスも拡大されている、これには、対面での身分証明や例外処理の仕組みについての詳細が含まれる。また、「申請者参照」の概念も含まれている。これは、従来の証明形式を利用する資格がない人、または証明が紛 失または破棄された可能性のある人を含め、アイデンティティ文書を利用できない人を保証できる信頼できる個人を意味する。」
The authors also sought input from NIST’s team of face recognition and analysis experts to refine the guidance on using biometrics to identify a person through a face image. Galluzzo said that biometric-based methods of identity verification have been maintained in the guidance, but that for this path to achieve NIST’s goal of balancing security and access, systems that use these technologies must perform accurately, adhere to the privacy requirements articulated in the guidance, and include manual processes to address errors or challenges that users may encounter. 著者らはまた、NISTの顔認識および分析の専門家チームから意見を求め、顔画像を通じて人物を識別するためにバイオメトリクスを使用する際のガイダンスを改良した。ガルッツォ氏によると、バイオメトリクスに基づく本人確認方法はガイダンスの中で維持 されているが、この方法がセキュリティとアクセスのバランスをとるという NIST の目標を達成するた めには、これらの技術を使用するシステムは正確に動作し、ガイダンスの中で明示されたプライバシ ー要件を遵守し、ユーザが遭遇する可能性のあるエラーや課題に対処するための手動プロセスを 含まなければならない。
“We continue to augment the guidance to emphasize the importance of providing alternatives to face recognition and biometrics, particularly for systems supporting public services,” he said.  「我々は、特に公共サービスをサポートするシステムにおいて、顔認証や生体認証に代わるものを提供することの重要性を強調するため、ガイダンスを引き続き補強していく」と述べた。

 

・2024.08.21 NIST SP 800-63-4: Digital Identity Guidelines | Second Public Draft

NIST SP 800-63-4: Digital Identity Guidelines | Second Public Draft NIST SP 800-63-4: デジタル・アイデンティティ・ガイドライン|第 2 次公開草案
The rapid proliferation of online services over the past few years has heightened the need for reliable, equitable, secure, and privacy-protective digital identity solutions. Revision 4 of NIST’s Special Publication (SP) 800-63, Digital Identity Guidelines, responds to the changing digital landscape that has emerged since the last major revision of this suite was published in 2017—including the real-world implications of online risks. The guidelines present the process and technical requirements for meeting digital identity management assurance levels for identity proofing, authentication, and federation, including requirements for security and privacy as well as considerations for fostering equity and the usability of digital identity solutions and technology. 過去数年間のオンライン・サービスの急速な普及により、信頼性が高く、公平で、安全で、プライ バシを保護するデジタル・アイデンティティ・ソリューションの必要性が高まっている。NIST の特別刊行物(SP)800-63「デジタル・アイデンティティ・ガイドライン」の改訂 4 は、このスイートの最後の主要改訂が 2017 年に発行されて以来、オンライン・リスクの現実世界での影響を含め て、変化するデジタル環境に対応している。このガイドラインは、セキュリティとプライバシーの要件だけでなく、公平性とデジタル・アイデンティティ・ソリューションおよび技術の使いやすさを促進するための考慮事項を含め、アイデンティティ証明、認証、およびフェデレーションに関するデジタル ID 管理の保証レベルを満たすためのプロセスと技術要件を提示している。
Webinar on August 28, 2024 | Digital Identity Guidelines Update 2024年8月28日ウェビナー|デジタル・アイデンティティ・ガイドラインの更新
Join us on 8/28 from 12:00 pm - 2:00 pm EDT for a webinar where we will cover the major changes to all four volumes. Registration is open until the event begins. 8月28日12:00~14:00(米国東部夏時間)に開催されるウェビナーに参加し、全4巻の主な変更点をカバーする。参加登録はイベント開始まで受け付けている。
In December 2022, NIST released the Initial Public Draft (IPD) of SP 800-63, Revision 4. Over the course of a 119-day public comment period, NIST received close to 4000 comments that improved these Digital Identity Guidelines in a manner that supports NIST's critical goals of providing foundational risk management processes and requirements that enable secure, private, equitable, and accessible identity systems. 2022年12月、NISTはSP 800-63改訂4の初期公開草案(IPD)を発表した。119 日間の意見公募期間中、NIST には 4000 近い意見が寄せられ、安全で、プライベートで、公平で、アクセシブルなアイデンティティ・システムを可能にする基礎的なリスク管理プロセスと要件を提供するという NIST の重要な目標をサポートする形で、このデジタル・アイデンティティ・ガイドラインが改善された。
Based on this initial wave of feedback, several substantive changes have been made across all the volumes. These changes include but are not limited to: updated text and context setting for risk management; added recommended continuous evaluation metrics; expanded fraud requirements and recommendations; restructured identity proofing controls; integrated syncable authenticators; and added user-controlled wallets to the federation model. この最初のフィードバックの波に基づいて、すべてのボリュームにわたっていくつかの実質的な 変更が加えられた。これらの変更には、リスク管理に関する文言およびコンテキスト設定の更新、推奨される継続 的評価基準の追加、不正要件および推奨事項の拡大、アイデンティティ証明コントロールの再構築、同期可能な認証子の統合、フェデレーション・モデルへのユーザ制御ウォレットの追加などが含まれるが、こ れらに限定されない。
Additionally, this draft seeks to: さらに、この草案は以下を目指す:
・Address comments received in response to the IPD of Revision 4 of SP 800-63. ・SP 800-63 の改訂 4 の IPD に対して寄せられたコメントに対応する。
・Clarify the text to address the questions and issues raised in the public comments. ・パブリックコメントで提起された質問と問題に対処するため、本文を明確にする。
・Update all four volumes of SP 800-63 based on current technology and market developments, the changing digital identity threat landscape, and organizational needs for digital identity solutions to address online security, privacy, usability, and equity. ・現在の技術および市場の発展、変化するデジタル ID 脅威の状況、およびオンライン・セ キュリティ、プライバシー、ユーザビリティ、および公平性に対処するデジタル ID ソ リューションに対する組織のニーズに基づいて、SP 800-63 の全 4 巻を更新する。
These second public drafts (2PD) include: これらの第 2 公開草案(2PD)には以下が含まれる:
NIST SP 800-63-4 2pd, Digital Identity Guidelines NIST SP 800-63-4 2PD、デジタル・アイデンティティ・ガイドライン
NIST SP 800-63A-4 2pd, Digital Identity Guidelines: Identity Proofing and Enrollment NIST SP 800-63A-4 2pd、デジタル・アイデンティティ・ガイドライン: アイデンティティ証明および登録
NIST SP 800-63B-4 2pd, Digital Identity Guidelines: Authentication and Authenticator Management NIST SP 800-63B-4 2pd、デジタル・アイデンティティ・ガイドライン: 認証および認証者管理
NIST SP 800-63C-4 2pd, Digital Identity Guidelines: Federation and Assertions NIST SP 800-63C-4 2pd、デジタル・アイデンティティ・ガイドライン: フェデレーションおよびアサーション

 

 


 

・2024.08.21 NIST SP 800-63-4 (2nd Public Draft) Digital Identity Guidelines

NIST SP 800-63-4 (2nd Public Draft) Digital Identity Guidelines NIST SP 800-63-4(第2次公開草案)デジタル・アイデンティティ・ガイドライン
Announcement 発表 
NIST requests comments on the second draft of the fourth revision to the four-volume suite of Special Publication 800-63, Digital Identity Guidelines. This publication presents the process and technical requirements for meeting the digital identity management assurance levels specified in each volume. They also provide considerations for enhancing privacy, equity, and usability of digital identity solutions and technology. NIST は、Special Publication 800-63 の 4 巻からなる「デジタル・アイデンティティ・ガイドライン」の第 4 版改訂の第 2 草案に対するコメントを求めている。本書は、各巻で指定されたデジタル・アイデンティティ 管理保証レベルを満たすためのプロセスと技術要件を提 示する。また、デジタル・アイデンティティ ソリューションおよび技術のプライバシー、公平性、およびユーザビリティを強化するための考慮事項も示している。
Background 背景
In December 2022, NIST released the Initial Public Draft (IPD) of SP 800-63, Revision 4. Over the course of a 119-day public comment period, the authors received exceptional feedback from a broad community of interested entities and individuals. The input from nearly 4,000 specific comments has helped advance the improvement of these Digital Identity Guidelines in a manner that supports NIST's critical goals of providing foundational risk management processes and requirements that enable the implementation of secure, private, equitable, and accessible identity systems. Based on this initial wave of feedback, several substantive changes have been made across all of the volumes. These changes include but are not limited to the following: 2022年12月、NISTはSP 800-63改訂4の初期公開草案(IPD)を公表 した。119日間のパブリックコメント期間中、著者は幅広い関係団体や個人から非常に多くのフィードバックを得た。約 4,000 件の具体的なコメントからのインプットは、安全で、プライベートで、公平で、アクセ ス可能な アイデンティティ・システムの実装を可能にする基礎的なリスク管理プロセスと要件を提供するという NIST の重要な目標を支援する形で、デジタル・アイデンティティ・ガイドラインの改善を進めるのに役立った。この最初のフィードバックの波に基づいて、すべてのボリュームにわたっていくつかの実質的な 変更が加えられた。これらの変更には以下が含まれるが、これらに限定されない:
1. Updated text and context setting for risk management. Specifically, the authors have modified the process defined in the IPD to include a context-setting step of defining and understanding the online service that the organization is offering and intending to potentially protect with identity systems. 1. リスク管理に関する本文および背景設定を更新した。具体的には、著者は IPD で定義されたプロセスを修正し、組織が提供し、アイデンティティ・システムで保護する可能性があるオンライン・サービスを定義し理解するコンテキスト設定ステップを含めるようにした。
2. Added recommended continuous evaluation metrics. The continuous improvement section introduced by the IPD has been expanded to include a set of recommended metrics for holistically evaluating identity solution performance. These are recommended due to the complexities of data streams and variances in solution deployments. 2. 推奨される継続的評価基準を追加した。IPD によって導入された継続的改善のセクションは拡張され、アイデンティティ・ソリューションのパフォーマンスを全体的に評価するための推奨される測定基準のセットが含まれるようになった。これらは、データ・ストリームの複雑さとソリューションの展開のばらつきのために推奨される。
3. Expanded fraud requirements and recommendations. Programmatic fraud management requirements for credential service providers and relying parties now address issues and challenges that may result from the implementation of fraud checks. 3. 拡張された不正要件および推奨。クレデンシャル・サービス・プロバイダおよび依拠当事者に対するプログラム上の不正 管理要件は、不正チェックの実装から生じる可能性のある問題および課題に対応するようにな った。
4. Restructured the identity proofing controls. There is a new taxonomy and structure for the requirements at each assurance level based on the means of providing the proofing: Remote Unattended, Remote Attended (e.g., video session), Onsite Unattended (e.g., kiosk), and Onsite Attended (e.g., in-person). 4. アイデンティティ証明コントロールを再構築した。証明を提供する手段に基づいて、各保証レベルの要件に新しい分類法と構造が設けられた: 遠隔無人、遠隔出席(ビデオ・セッションなど)、現場無人(キオスクなど)、現場出席 (対面など)である。
5. Integrated syncable authenticators. In April 2024, NIST published interim guidance for syncable authenticators. This guidance has been integrated into SP 800-63B as normative text and is provided for public feedback as part of the Revision 4 volume set. 5. 同期可能な統合器。2024 年 4 月、NIST は、同期可能な認証子に関する暫定ガイダンスを公表 した。このガイダンスは、規範となるテキストとして SP 800-63B に統合され、リビジョン 4 のボリュームセットの一部として、一般からのフィードバックのために提供されている。
6. Added user-controlled wallets to the federation model. Digital wallets and credentials (called "attribute bundles" in SP 800-63C) are seeing increased attention and adoption. At their core, they function like a federated IdP, generating signed assertions about a subject. Specific requirements for this presentation and the emerging context are presented in SP 800-63C-4. 6. フェデレーション・モデルにユーザ管理ウォレットを追加した。デジタル・ウォレットとクレデンシャル(SP 800-63C では「属性バンドル」と呼ばれる)は、注目と採用 が高まっている。その核心は、フェデレーショ ンされた IdP のように機能し、対象者に関する署名されたアサーションを生成することである。このプレゼンテーションの具体的な要件と新たなコンテキストは、SP 800-63C-4 に示されている。
The rapid proliferation of online services over the past few years has heightened the need for reliable, equitable, secure, and privacy-protective digital identity solutions. 過去数年間のオンライン・サービスの急速な普及により、信頼性が高く、公平で、安全で、プライバシを保護するデジタル・アイデンティティ ソリューションの必要性が高まっている。
Revision 4 of NIST Special Publication 800-63, Digital Identity Guidelines, intends to respond to the changing digital landscape that has emerged since the last major revision of this suite was published in 2017 — including the real-world implications of online risks. The guidelines present the process and technical requirements for meeting digital identity management assurance levels for identity proofing, authentication, and federation, including requirements for security and privacy as well as considerations for fostering equity and the usability of digital identity solutions and technology. NIST 特別刊行物 800-63「デジタル・アイデンティティ・ガイドライン」の改訂 4 は、このスイートの最後の大改訂が 2017 年に発行されて以来、オンライン・リスクの現実世界への影響を含め、変化するデジタ ル環境に対応することを意図 している。このガイドラインは、セキュリティとプライバシに関する要件だけでなく、公平性を育むための 考慮事項や、デジタル・アイデンティティ ソリューションおよび技術のユーザビリティを含め、アイデンティティ証明、 認証、およびフェデレーションに関するデジタル・アイデンティティ管理保証レベルを満たすための プロセスおよび技術要件を示している。
Based on the feedback provided in response to our June 2020 Pre-Draft Call for Comments, research into real-world implementations of the guidelines, market innovation, and the current threat environment, this draft seeks to: 2020 年 6 月のプレ・ドラフト意見募集に対して提供されたフィードバック、ガイドラインの実世界での 実装に関する調査、市場の革新、および現在の脅威環境に基づいて、このドラフトは以下を目指す:
・Address comments received in response to the IPD of Revision 4 of SP 800-63 ・SP 800-63 の改訂 4 の IPD に対して寄せられたコメントに対応する。
・Clarify the text to address the questions and issues raised in the public comments ・パブリックコメントで提起された疑問や問題に対処するため、本文を明確にする。
・Update all four volumes of SP 800-63 based on current technology and market developments, the changing digital identity threat landscape, and organizational needs for digital identity solutions to address online security, privacy, usability, and equity ・現在の技術および市場の発展、変化するデジタル・アイデンティティ 脅威の状況、およびオンライン・セ キュリティ、プライバシー、ユーザビリティ、および公平性に対処するデジタル・アイデンティティ ソ リューションに対する組織のニーズに基づいて、SP 800-63 の全 4 巻を更新する。
Note to Reviewers 査読者への注記
NIST is specifically interested in comments and recommendations on the following topics: NIST は、特に次のトピックに関するコメントおよび提言に関心を持っている:
1. Risk Management and Identity Models 1. リスク管理と アイデンティティ・モデル
Is the "user controlled" wallet model sufficiently described to allow entities to understand its alignment to real-world implementations of wallet-based solutions such as mobile driver's licenses and verifiable credentials? ユーザが管理する」ウォレット・モデルは、モバイル運転免許証や検証可能なクレデンシャルなど のウォレット・ベースのソリューションの実際の実装との整合性をエンティティが理解できるよう に、十分に説明されているか。
Is the updated risk management process sufficiently well-defined to support an effective, repeatable, real-world process for organizations seeking to implement digital identity system solutions to protect online services and systems? 更新されたリスク管理プロセスは、オンライン・サービスおよびシステムを保護するためにデジタル・アイデンティティ システム・ソリューションの実装を目指す組織にとって、効果的で反復可能な実世界のプロセスを支援するために十分に定義されているか。
2. Identity Proofing and Enrollment 2. アイデンティティ証明および登録
Is the updated structure of the requirements around defined types of proofing sufficiently clear? Are the types sufficiently described? 定義された証明の種類に関する要件の更新された構造は、十分に明確であるか。その種類は十分に説明されているか。
Are there additional fraud program requirements that need to be introduced as a common baseline for CSPs and other organizations? CSP およびその他の組織の共通基準として導入する必要がある追加の不正プログラム要件はあるか。
Are the fraud requirements sufficiently described to allow for appropriate balancing of fraud, privacy, and usability trade-offs? 不正行為要件は、不正行為、プライバシー、およびユーザビリティのトレードオフの適切なバラン スを可能にするように十分に記述されているか。
Are the added identity evidence validation and authenticity requirements and performance metrics realistic and achievable with existing technology capabilities? 追加されるアイデンティティ証拠の検証および真正性の要件とパフォーマンス測定基準は、既存の技術能力で現実 的かつ達成可能であるか。
3. Authentication and Authenticator Management 3. 認証および認証子管理
Are the syncable authenticator requirements sufficiently defined to allow for reasonable risk-based acceptance of syncable authenticators for public and enterprise-facing uses? 同期可能な認証子の要件は、一般向けおよび企業向けの用途で同期可能な認証子を合理的なリ スクに基づいて受け入れることができるように十分に定義されているか。
Are there additional recommended controls that should be applied? Are there specific implementation recommendations or considerations that should be captured? 適用すべき追加推奨管理はあるか。具体的な実装上の推奨事項や考慮事項があるか。
Are wallet-based authentication mechanisms and "attribute bundles" sufficiently described as authenticators? Are there additional requirements that need to be added or clarified? ウォレットベースの認証メカニズムおよび「属性バンドル」は、認証子として十分に説明されて いるか。追加または明確化すべき追加要件はあるか。
4. Federation and Assertions 4. フェデレーションとアサーション
Is the concept of user-controlled wallets and attribute bundles sufficiently and clearly described to support real-world implementations? Are there additional requirements or considerations that should be added to improve the security, usability, and privacy of these technologies? ユーザが管理するウォレットと属性バンドルの概念は、実際の実装をサポートするために十分かつ明 確に記述されているか。これらの技術のセキュリティ、ユーザビリティ、プライバシーを改善するために追加すべき要件や考慮事項はあるか。
5. General 5. 一般
What specific implementation guidance, reference architectures, metrics, or other supporting resources could enable more rapid adoption and implementation of this and future iterations of the Digital Identity Guidelines? デジタル・アイデンティティ・ガイドラインおよび今後の反復をより迅速に採用し実装するために、具体的な実 装ガイダンス、参照アーキテクチャ、測定基準、またはその他の支援リソースは何か。
What applied research and measurement efforts would provide the greatest impacts on the identity market and advancement of these guidelines? どのような応用研究と測定の取り組みが、アイデンティティ市場とこれらのガイドラインの進展に最も大きな 影響を与えるか。

 

Abstract 概要
These guidelines cover identity proofing and authentication of users (such as employees, contractors, or private individuals) interacting with government information systems over networks. They define technical requirements in each of the areas of identity proofing, registration, authenticators, management processes, authentication protocols, federation, and related assertions. They also offer technical recommendations and other informative text intended as helpful suggestions. The guidelines are not intended to constrain the development or use of standards outside of this purpose. This publication supersedes NIST Special Publication (SP) 800-63-3. このガイドラインは、ネットワークを介して政府情報システムとやり取りするユーザ(職員、請負 業者、または個人など)の アイデンティティ証明および認証を対象としている。ID プルーフィング、登録、認証子、管理プロセス、認証プロトコル、フェデレーション、 および関連アサーションの各分野における技術要件を定義する。また、有用な提案として意図 された技術的推奨およびその他の情報的文章も提供する。このガイドラインは、この目的以外の標準の開発または使用を制約することを意図 するものではない。本書は、NIST 特別刊行物(SP)800-63-3 に取って代わるものである。

 

・[PDF] NIST.SP.800-63-4.2pd

20240824-33829

 

Table of Contents 目次
1. Introduction 1. はじめに
1.1. Scope and Applicability 1.1. 適用範囲と適用可能性
1.2. How to Use This Suite of SPs 1.2. 本スイートの使用方法
1.3. Enterprise Risk Management Requirements and Considerations 1.3. 企業リスクマネジメントの要求事項及び考慮事項
1.3.1. Security, Fraud, and Threat Prevention 1.3.1. セキュリティ、詐欺、脅威の防止
1.3.2. Privacy 1.3.2. プライバシー
1.3.3. Equity 1.3.3. 公平性
1.3.4. Usability 1.3.4. ユーザビリティ
1.4. Notations 1.4. 表記
1.5. Document Structure 1.5. 文書構造
2. Digital Identity Model 2. デジタル・アイデンティティ モデル
2.1. Overview 2.1. 概要
2.2. Identity Proofing and Enrollment 2.2. アイデンティティ証明と登録
2.2.1. Subscriber Accounts 2.2.1. 加入者アカウント
2.3. Authentication and Authenticator Management 2.3. 認証および認証子管理
2.3.1. Authenticators 2.3.1. オーセンティケータ
2.3.2. Authentication Process 2.3.2. 認証プロセス
2.4. Federation and Assertions 2.4. フェデレーションとアサーション
2.5. Examples of Digital Identity Models 2.5. デジタル・アイデンティティ・モデルの例
3. Digital Identity Risk Management 3. デジタル・アイデンティティ リスク管理
3.1. Define the Online Service 3.1. オンライン・サービスを定義する
3.2. Conduct Initial Impact Assessment 3.2. 初期影響評価の実施
3.2.1. Identify Impact Categories and Potential Harms 3.2.1. 影響カテゴリーと潜在的な損害を特定する
3.2.2. Identify Potential Impact Levels 3.2.2. 潜在的影響レベルを特定する
3.2.3. Impact Analysis 3.2.3. 影響分析
3.2.4. Determine Combined Impact Level for Each User Group 3.2.4. 各ユーザーグループの複合的な影響レベルを決定する
3.3. Select Initial Assurance Levels and Baseline Controls 3.3. 初期保証レベルとベースライン・コントロールの選択
3.3.1. Assurance Levels 3.3.1. 保証レベル
3.3.2. Assurance Level Descriptions 3.3.2. 保証レベルの説明
3.3.3. Initial Assurance Level Selection 3.3.3. 最初の保証レベルの選択
3.3.4. Identify Baseline Controls 3.3.4. ベースライン統制の特定
3.4. Tailor and Document Assurance Levels 3.4. 保証レベルの調整と文書化
3.4.1. Assess Privacy, Equity, Usability and Threat Resistance 3.4.1. プライバシー、公平性、ユーザビリティ、脅威への耐性を評価する
3.4.2. Identify Compensating Controls 3.4.2. 代償となる統制を特定する
3.4.3. Identify Supplemental Controls 3.4.3. 補足的コントロールを特定する
3.4.4. Digital Identity Acceptance Statement (DIAS) 3.4.4. デジタル・アイデンティティ受入ステートメント(DIAS)
3.5. Continuously Evaluate and Improve 3.5. 継続的な評価と改善
3.5.1. Evaluation Inputs 3.5.1. 評価インプット
3.5.2. Performance Metrics 3.5.2. パフォーマンス指標
3.5.3. Measurement in Support of Equity Assessments and Outcomes 3.5.3. 公平性の評価と成果を支援するための測定
3.6. Redress 3.6. 救済
3.7. Cybersecurity, Fraud, and Identity Program Integrity 3.7. サイバーセキュリティ、不正行為、アイデンティティ・プログラムの完全性
3.8. Artificial Intelligence (AI) and Machine Learning (ML) in Identity Systems 3.8. アイデンティティ・システムにおける人工知能(AI)と機械学習(ML)
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、頭字語一覧
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Change Log 附属書 C. 変更履歴
C.1. SP 800-63-1 C.1. SP 800-63-1
C.2. SP 800-63-2 C.2. SP 800-63-2
C.3. SP 800-63-3 C.3. SP 800-63-3
C.4. SP 800-63-4 C.4. SP 800-63-4
List of Tables 表 一覧
Table 1. IAL Summary 表 1. IAL の概要
Table 2. AAL Summary 表 2. AALの概要
Table 3. FAL Summary 表 3. FALの概要
Table 4. Performance Metrics 表 4. パフォーマンス指標
List of Figures 図 一覧
Fig. 1. Sample Identity Proofing and Enrollment Digital Identity Model 図 1. アイデンティティ証明と登録のデジタル・アイデンティティ・モデルの例
Fig. 2. Sample Authentication Process 図 2. 認証プロセスの例
Fig. 3. Non-Federated Digital Identity Model Example 図 3. 非連携デジタル・アイデンティティ モデルの例
Fig. 4. Federated Digital Identity Model Example 図 4. 連携デジタル・アイデンティティ モデルの例
Fig. 5. Federated Digital Identity Model with Subscriber-Controlled Wallet Example 図 5. サブスクライバが管理するウォレットを持つ統合デジタル・アイデンティティ モデルの例
Fig. 6. High-level diagram of the Digital Identity Risk Management Process Flow 図 6. デジタル・アイデンティティ リスク管理プロセスフローのハイレベル図 

 

 

800-63-4 2pdの附属書Cに過去からの変更履歴あります...

Appendix C. Change Log 附属書C. 変更履歴
C.1. SP 800-63-1 C.1. SP 800-63-1
NIST SP 800-63-1 updated NIST SP 800-63 to reflect current authenticator (then referred to as “token”) technologies and restructured it to provide a better understanding of the digital identity architectural model used here. Additional (minimum) technical requirements were specified for the CSP, protocols used to transport authentication information, and assertions if implemented within the digital identity model. NIST SP 800-63-1 は、現在の認証子(当時は「トークン」と呼ばれた)技術を反映するために NIST SP 800-63 を更新し、ここで使用されるデジタル:アイデンティティ・アーキテクチャ・モデルの理解を深めるために再構築した。デジタル・アイデンティティ・モデルに実装される場合、CSP、認証情報の伝送に使用されるプロトコル、および主張 について、追加の(最低限の)技術要件が規定された。
C.2. SP 800-63-2 C.2. SP 800-63-2
NIST SP 800-63-2 was a limited update of SP 800-63-1 and substantive changes were made only in Sec. 5, Registration and Issuance Processes. The substantive changes in the revised draft were intended to facilitate the use of professional credentials in the identity proofing process, and to reduce the need to send postal mail to an address of record to issue credentials for level 3 remote registration. Other changes to Sec. 5 were minor explanations and clarifications. NIST SP 800-63-2 は、SP 800-63-1 の限定的な更新であり、実質的な変更は第 5 節「登録および発行プロセ ス」のみに加えられた。改訂ドラフトの実質的な変更は、身元証明プロセスにおける専門家クレデンシャルの使用を容 易にし、レベル 3 遠隔登録のクレデンシャルを発行するために記録された住所に郵便を送る必要 性を減らすことを意図していた。セクション5のその他の変更は、軽微な説明および明確化であった。
C.3. SP 800-63-3 C.3. SP 800-63-3
NIST SP 800-63-3 is a substantial update and restructuring of SP 800-63-2. SP 800-63- 3 introduces individual components of digital authentication assurance — AAL, IAL, and FAL — to support the growing need for independent treatment of authentication strength and confidence in an individual’s claimed identity (e.g., in strong pseudonymous authentication). A risk assessment methodology and its application to IAL, AAL, and FAL has been included in this guideline. It also moves the whole of digital identity guidance covered under SP 800-63 from a single document describing authentication to a suite of four documents (to separately address the individual components mentioned above) of which SP 800-63-3 is the top-level document. NIST SP 800-63-3 は、SP 800-63-2 の大幅な更新および再構築である。SP 800-63-3 は、デジタル認証保証の個々の構成要素(AAL、IAL、および FAL)を導入し、認証強度の独立した扱いと個人の主張するアイデンティティに対する信頼(強力な仮名認証など)の必要性の高まりをサポートする。リスクアセスメント方法論および IAL、AAL、および FAL へのその適用が、このガイドラ インに含まれている。また、SP 800-63 でカバーされるデジタル・アイデンティティ・ガイダンスの全体が、認証を説明する 1 つの文書から、SP 800-63-3 を最上位文書とする 4 つの文書群(上記の個々の構成要素に個別に対応)に移行している。
Other areas updated in 800-63-3 include: 800-63-3 で更新された他の分野は以下のとおりである:
• Renamed to Digital Identity Guidelines to properly represent the scope includes identity proofing and federation, and to support expanding the scope to include device identity, or machine-to-machine authentication in future revisions. ・身元確認およびフェデレーションを含む範囲を適切に代表し、今後の改訂でデバイス・アイデンティティやマシン間認証を含む範囲への拡張をサポートするため、「デジタル・アイデンティティ・ガイドライン」に改名した。
• Changed terminology, including the use of authenticator in place of token to avoid conflicting use of the word token in assertion technologies. ・アサーション技術におけるトークンという単語の矛盾した使用を避けるため、トークンの代わりに認証子を使用するなど、用語を変更した。
• Updated authentication and assertion requirements to reflect advances in both security technology and threats. ・セキュリティ技術と脅威の両方の進歩を反映するために、認証およびアサーションの要件を更新した。
• Added requirements on the storage of long-term secrets by verifiers. ・検証者による長期秘密の保管に関する要件を追加した。
• Restructured identity proofing model. ・身元証明モデルを再構築した。
• Updated requirements regarding remote identity proofing. ・遠隔身元証明に関する要件を更新した。
• Clarified the use of independent channels and devices as “something you have”. ・独立したチャネルおよびデバイスを「持っているもの」として使用することを明確にした。
• Removed pre-registered knowledge tokens (authenticators), with the recognition that they are special cases of (often very weak) passwords. ・事前登録された知識トークン(認証)は、(多くの場合非常に脆弱な)パスワードの特殊な ケースであるとの認識のもと、削除した。
• Added requirements regarding account recovery in the event of loss or theft of an authenticator. ・認証情報の紛失・盗難時のアカウント復旧に関する要件を追加した。
• Removed email as a valid channel for out-of-band authenticators. ・帯域外認証子の有効なチャネルとして電子メールを削除した。
• Expanded discussion of reauthentication and session management. ・再認証およびセッション管理に関する記述を拡張した。
• Expanded discussion of identity federation; restructuring of assertions in the context of federation. ・アイデンティティ・フェデレーションに関する論点を拡張し、フェデレーションに関連するアサーションを再構築した。
C.4. SP 800-63-4 C.4. SP 800-63-4
NIST SP 800-63-4 has substantial updates and re-organization from SP 800-63-3. Updates to 800-63-4 include: NIST SP 800-63-4 には、SP 800-63-3 からの大幅な更新と再構成がある。800-63-4 の更新には以下が含まれる:
• Expanded security and privacy considerations and added equity and usability considerations. ・セキュリティおよびプライバシーに関する考慮事項を拡張し、公平性およびユーザビリティ に関する考慮事項を追加した。
• Updated digital identity models and added a user-controlled wallet federation model that addresses the increased attention and adoption of digital wallets and attribute bundles. ・デジタル・アイデンティティ・モデルを更新し、デジタル・ウォレットおよび属性バンドルの注目の高まりと採用に対応 する、ユーザ制御ウォレット・フェデレーション・モデルを追加した。
• Expanded digital identity risk management process to include definition of the protected online services, user groups, and impacted entities. ・デジタル・アイデンティティ・リスクマネジメント・プロセスを拡張し、保護されるオンライン・サービス、ユ ーザ・グループ、および影響を受ける事業体の定義を含める。
• A more descriptive introduction to establish the context of the DIRM process, the two dimensions of risk it addresses, and the intended outcomes. This context setting step includes defining and understanding the online service that the 2organization is offering and intending to protect with identity systems. ・ DIRM プロセスのコンテキスト、DIRM が対処するリスクの 2 つの側面、および意図する結果を 確立するためのより説明的な序文である。このコンテキスト設定のステップには、2 組織が提供し、アイデンティティ・システムで保護することを意図しているオンライン・サービスを定義し、理解することが含まれる。
• Expanded digital identity risk management process to include definition of the protected online services, user groups, and impacted entities. ・デジタル・アイデンティティ・リスクマネジメント・プロセスを拡張し、保護対象のオンライン・サービス、ユー ザ・グループ、および影響を受ける事業体の定義を含めるようにした。
• Updated digital identity risk management process for additional assessments for tailoring initial baseline control selections. ・デジタル・アイデンティティ・リスクマネジメント・プロセスを更新し、初期ベースラインコントロールの選 択を調整するための追加アセスメントを追加した。
• Added performance metrics for the continuous evaluation of digital identity systems. ・デジタル・アイデンティティ・システムの継続的評価のためのパフォーマンス測定基準を追加した。
• Added a new subsection on redress processes and requirements. ・救済プロセスと要件に関する新しいサブセクションを追加した。
• Added a new Artificial Intelligence subsection to address the use of Artificial Intelligence in digital identity services. ・デジタル・アイデンティティ・サービスにおける人工知能の使用に対処するために、新しい人工知能のサブセ クションを追加した。

 

 


 

・2024.08.21 NIST SP 800-63A-4 (2nd Public Draft) Digital Identity Guidelines: Identity Proofing and Enrollment

NIST SP 800-63A-4 (2nd Public Draft) Digital Identity Guidelines: Identity Proofing and Enrollment NIST SP 800-63A-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: アイデンティティ証明および登録
Abstract 概要
This guideline focuses on the enrollment and verification of an identity for use in digital authentication. Central to this is a process known as identity proofing in which an applicant provides evidence to a credential service provider (CSP) reliably identifying themselves, thereby allowing the CSP to assert that identification at a useful identity assurance level. This document defines technical requirements for each of three identity assurance levels. The guidelines are not intended to constrain the development or use of standards outside of this purpose. This publication supersedes NIST Special Publication (SP) 800-63A. このガイドラインは、デジタル認証で使用するアイデンティティ登録および検証に焦点を当てている。この中心は、申請者が自分自身を確実に識別する証拠をクレデンシャル・サービス・プロバイダ (CSP)に提供することで、CSP が有用な アイデンティティ保証レベルでその識別をアサートできるようにする、 アイデンティティ証明として知られるプロセスである。本文書は、3 つの アイデンティティ保証レベルごとに技術要件を定義する。このガイドラインは、この目的以外の標準の開発または使用を制約することを意図 するものではない。本書は、NIST 特別刊行物(SP)800-63A に取って代わるものである。

 

・[PDF] NIST.SP.800-63A-4.2pd

20240824-35727

 

Table of Contents 目次
1. Introduction 1. はじめに
1.1. Expected Outcomes of Identity Proofing 1.1. アイデンティティ証明に期待される成果
1.2. Identity Assurance Levels 1.2. 身元保証レベル
1.3. Notations 1.3. 表記
1.4. Document Structure 1.4. 文書構造
2. Identity Proofing Overview 2. 身元証明の概要
2.1. Identity Proofing and Enrollment 2.1. 身元証明と登録
2.1.1. Process Flow 2.1.1. プロセスの流れ
2.1.2. Identity Proofing Roles 2.1.2. アイデンティティ証明の役割
2.1.3. Identity Proofing Types 2.1.3. アイデンティティ証明の種類
2.2. Core Attributes 2.2. コア属性
2.3. Identity Resolution 2.3.アイデンティティ解決
2.4. Identity Validation and Identity Evidence Collection 2.4.アイデンティティ検証およびアイデンティティ証拠収集
2.4.1. Evidence Strength Requirements 2.4.1. 証拠強度の要件
2.4.2. Identity Evidence and Attribute Validation 2.4.2. アイデンティティ証拠と属性の検証
2.5. Identity Verification 2.5.アイデンティティ検証
2.5.1. Identity Verification Methods 2.5.1. 本人確認方法
3. Identity Proofing Requirements 3. 本人確認要件
3.1. General Requirements 3.1. 一般要件
3.1.1. Identity Service Documentation and Records 3.1.1. アイデンティティ・サービスの文書化および記録
3.1.2. Fraud Management 3.1.2. 不正管理
3.1.3. General Privacy Requirements 3.1.3. 一般的プライバシー要件
3.1.4. General Equity Requirements 3.1.4. 一般的な公平性の要件
3.1.5. General Security Requirements 3.1.5. 一般的なセキュリティ要件
3.1.6. Redress Requirements 3.1.6. 救済要件
3.1.7. Additional Requirements for Federal Agencies 3.1.7. 連邦政府機関に対する追加要件
3.1.8. Requirements for Confirmation Codes 3.1.8. 確認コードの要件
3.1.9. Requirements for Continuation Codes 3.1.9. 継続コードに関する要件
3.1.10. Requirements for Notifications of Identity Proofing 3.1.10. 身元証明の通知に関する要件
3.1.11. Requirements for the Use of Biometrics 3.1.11. バイオメトリクスの使用に関する要件
3.1.12. Requirements for Evidence Validation Processes (Authenticity Checks) 3.1.12. 証拠検証プロセス(真正性チェック)に関する要件
3.1.13. Exception and Error Handling 3.1.13. 例外及びエラー処理
3.2. Elevating Subscriber IALs 3.2. 利用者 IAL の昇格
4. Identity Assurance Level Requirements 4. アイデンティティ保証レベル要件
4.1. Identity Assurance Level 1 Requirements 4.1. アイデンティティ保証レベル 1 要件
4.1.1. Proofing Types 4.1.1. 証明タイプ
4.1.2. Evidence Collection 4.1.2. 証拠収集
4.1.3. Attribute Collection 4.1.3. 属性収集
4.1.4. Evidence Validation 4.1.4. 証拠の検証
4.1.5. Attribute Validation 4.1.5. 属性の検証
4.1.6. Verification Requirements 4.1.6. 検証要件
4.1.7. Remote Attended Requirements 4.1.7. 遠隔出席の要件
4.1.8. Onsite Attended Requirements 4.1.8. 現地出席の要件
4.1.9. Onsite Unattended Requirements (Devices & Kiosks) 4.1.9. オンサイト無人要件(デバイスおよびキオスク端末)
4.1.10. Initial Authenticator Binding 4.1.10. 初期認証子バインディング
4.1.11. Notification of Proofing 4.1.11. プルーフィングの通知
4.2. Identity Assurance Level 2 Requirements 4.2. アイデンティティ保証レベル 2 要件
4.2.1. Proofing Types 4.2.1. 証明の種類
4.2.2. Evidence Collection 4.2.2. 証拠収集
4.2.3. Attribute Collection 4.2.3. 属性収集
4.2.4. Evidence Validation 4.2.4. 証拠の検証
4.2.5. Attribute Validation 4.2.5. 属性の検証
4.2.6. Verification Requirements 4.2.6. 検証要件
4.2.7. Remote Attended Requirements 4.2.7. 遠隔出席の要件
4.2.8. Onsite Attended Requirements 4.2.8. 現地出席の要件
4.2.9. Onsite Unattended Requirements (Devices & Kiosks) 4.2.9. オンサイト無人要件(デバイスおよびキオスク端末)
4.2.10. Notification of Proofing 4.2.10. プルーフィングの通知
4.2.11. Initial Authenticator Binding 4.2.11. 初期認証子バインディング
4.3. Identity Assurance Level 3 4.3. アイデンティティ保証レベル 3
4.3.1. Proofing Types 4.3.1. 証明タイプ
4.3.2. Evidence Collection 4.3.2. 証拠収集
4.3.3. Attribute Requirements 4.3.3. 属性要件
4.3.4. Evidence Validation 4.3.4. 証拠の検証
4.3.5. Attribute Validation 4.3.5. 属性の検証
4.3.6. Verification Requirements 4.3.6. 検証要件
4.3.7. Onsite Attended Requirements (Locally Attended) 4.3.7. 現地出席要件(ローカルアテンダント)
4.3.8. Onsite Attended Requirements (Remotely Attended - Formerly Supervised Remote Identity Proofing) 4.3.8. 現地立会要件(遠隔立会-旧監督付き遠隔身元証明)
4.3.9. Notification of Proofing 4.3.9. 証明の通知
4.3.10. Initial Authenticator Binding 4.3.10. 最初の認証子バインディング
4.4. Summary of Requirements 4.4. 要件のまとめ
5. Subscriber Accounts 5. サブスクライバ・アカウント
5.1. Subscriber Accounts 5.1. 加入者アカウント
5.2. Subscriber Account Access 5.2. 加入者アカウントへのアクセス
5.3. Subscriber Account Maintenance and Updates 5.3. 加入者アカウントのメンテナンスおよび更新
5.4. Subscriber Account Suspension or Termination 5.4. 加入者アカウントの一時停止または終了
6. Threats and Security Considerations 6. 脅威およびセキュリティに関する考慮事項
6.1. Threat Mitigation Strategies 6.1. 脅威緩和戦略
6.2. Collaboration with Adjacent Programs 6.2. 隣接プログラムとの協力
7. Privacy Considerations 7. プライバシーへの配慮
7.1. Collection and Data Minimization 7.1. 収集とデータの最小化
7.1.1. Social Security Numbers 7.1.1. 社会保障番号
7.2. Notice and Consent 7.2. 通知と同意
7.3. Use Limitation 7.3. 利用制限
7.4. Redress 7.4. 救済
7.5. Privacy Risk Assessment 7.5. プライバシーリスク評価
7.6. Agency-Specific Privacy Compliance 7.6. 省庁固有のプライバシー・コンプライアンス
8. Usability Considerations 8. ユーザビリティに関する考慮事項
8.1. General User Considerations During Identity Proofing and Enrollment 8.1. アイデンティティ証明および登録時の一般的なユーザへの配慮
8.2. Pre-Enrollment Preparation 8.2. 登録前の準備
8.3. Identity Proofing and Enrollment 8.3. 身元証明および登録
8.4. Post-Enrollment 8.4. 登録後の準備
9. Equity Considerations 9. 公平性への配慮
9.1. Identity Resolution and Equity 9.1. アイデンティティーの解決と公平性
9.2. Identity Validation and Equity 9.2. アイデンティティの検証と公平性
9.3. Identity Verification and Equity 9.3. 本人確認と公平性
9.4. User Experience and Equity 9.4. ユーザー・エクスペリエンスと公平性
References 参考文献
Appendix A. Identity Evidence Examples by Strength 附属書 A. 強度別のアイデンティティ証拠の例
A.1. Fair Evidence Examples A.1. 公正な証拠例
A.2. Strong Evidence Examples A.2. 強い証拠の例
A.3. Superior Evidence Examples A.3. 優れた証拠の例
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書 B. 記号、略語、頭字語一覧
Appendix C. Glossary 附属書 C.用語集
Appendix D. Change Log 附属書 D. 変更履歴
List of Tables 表 一覧
Table 1. IAL Requirements Summary 表 1. IAL要求事項の概要
Table 2. Identity Proofing and Enrollment Threats 表 2. 身分証明と入会の脅威
Table 3. Identity Proofing and Enrollment Threat Mitigation Strategies 表 3. アイデンティティ証明と登録の脅威軽減戦略
Table 4. Fair Evidence Examples 表 4. 公正な証拠の例
Table 5. Strong Evidence Examples 表 5. 強力な証拠の例
Table 6. Superior Evidence Examples 表 6. 優れた証拠の例
List of Figures 図 一覧
Fig. 1. Identity Proofing Process 図 1. 身元証明のプロセス

 

 


 

・2024.08.21 NIST SP 800-63B-4 (2nd Public Draft) Digital Identity Guidelines: Authentication and Authenticator Management

NIST SP 800-63B-4 (2nd Public Draft) Digital Identity Guidelines: Authentication and Authenticator Management NIST SP 800-63B-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: 認証および認証子管理
Abstract 概要
This guideline focuses on the authentication of subjects who interact with government information systems over networks to establish that a given claimant is a subscriber who has been previously authenticated. The result of the authentication process may be used locally by the system performing the authentication or may be asserted elsewhere in a federated identity system. This document defines technical requirements for each of the three authenticator assurance levels. The guidelines are not intended to constrain the development or use of standards outside of this purpose. This publication supersedes NIST Special Publication (SP) 800-63B. 本ガイドラインは、ネットワークを介して政府の情報システムと相互作用する対象者の認証に焦点を当て、特定の請求者が以前に認証された加入者であることを立証する。認証プロセスの結果は、認証を実行するシステムによってローカルに使用されるか、または連携アイデンティティ・システムの他の場所でアサートされる。本文書は、3 つの認証子保証レベルごとに技術要件を定義する。このガイドラインは、この目的以外の標準の開発または使用を制約することを意図 するものではない。本書は、NIST 特別刊行物(SP)800-63B に取って代わるものである。

 

・[PDF] NIST.SP.800-63B-4.2pd

20240824-40644

 

Table of Contents 目次
1. Introduction 1. はじめに
1.1. Notations 1.1. 表記
1.2. Document Structure 1.2. 文書の構造
2. Authentication Assurance Levels 2. 認証保証レベル
2.1. Authentication Assurance Level 1 2.1. 認証保証レベル 1
2.1.1. Permitted Authenticator Types 2.1.1. 許可される認証子タイプ
2.1.2. Authenticator and Verifier Requirements 2.1.2. 認証子および検証者の要件
2.1.3. Reauthentication 2.1.3. 再認証
2.2. Authentication Assurance Level 2 2.2. 認証保証レベル 2
2.2.1. Permitted Authenticator Types 2.2.1. 許可される認証子タイプ
2.2.2. Authenticator and Verifier Requirements 2.2.2. 認証子および検証者の要件
2.2.3. Reauthentication 2.2.3. 再認証
2.3. Authentication Assurance Level 3 2.3. 認証保証レベル 3
2.3.1. Permitted Authenticator Types 2.3.1. 許可される認証タイプ
2.3.2. Authenticator and Verifier Requirements 2.3.2. 認証子および検証者の要件
2.3.3. Reauthentication 2.3.3. 再認証
2.4. General Requirements 2.4. 一般要件
2.4.1. Security Controls 2.4.1. セキュリティ制御
2.4.2. Records Retention Policy 2.4.2. 記録保持方針
2.4.3. Privacy Requirements 2.4.3. プライバシー要件
2.4.4. Redress Requirements 2.4.4. 救済要件
2.5. Summary of Requirements 2.5. 要件のまとめ
3. Authenticator and Verifier Requirements 3. 認証子および検証者の要件
3.1. Requirements by Authenticator Type 3.1. 認証子供タイプ別要件
3.1.1. Passwords 3.1.1.パスワード
3.1.2. Look-Up Secrets 3.1.2. ルックアップ・シークレット
3.1.3. Out-of-Band Devices 3.1.3. 帯域外デバイス
3.1.4. Single-Factor OTP 3.1.4. 単一ファクタOTP
3.1.5. Multi-Factor OTPs 3.1.5. 多要素OTP
3.1.6. Single-Factor Cryptographic Authentication 3.1.6. シングルファクター暗号化認証
3.1.7. Multi-Factor Cryptographic Authentication 3.1.7. 多要素暗号化認証
3.2. General Authenticator Requirements 3.2. 一般的な認証機能要件
3.2.1. Physical Authenticators 3.2.1. 物理的認証子
3.2.2. Rate Limiting (Throttling) 3.2.2. レート制限(スロットリング)
3.2.3. Use of Biometrics 3.2.3. バイオメトリクスの使用
3.2.4. Attestation 3.2.4. 認証
3.2.5. Phishing (Verifier Impersonation) Resistance 3.2.5. フィッシング(検証者なりすまし)への耐性
3.2.6. Verifier-CSP Communications 3.2.6. 検証者と CSP の通信
3.2.7. Replay Resistance 3.2.7. リプレイ耐性
3.2.8. Authentication Intent 3.2.8. 認証の意図 
3.2.9. Restricted Authenticators 3.2.9. 制限された認証子
3.2.10. Activation Secrets 3.2.10. アクティベーション・シークレット
3.2.11. Connected Authenticators 3.2.11. 接続された認証子
3.2.12. Random Values 3.2.12. ランダム値
3.2.13. Exportability 3.2.13. エクスポート可能性
4. Authenticator Event Management 4. 認証子イベント管理
4.1. Authenticator Binding 4.1. 認証子バインディング
4.1.1. Binding at Enrollment 4.1.1. 登録時のバインディング
4.1.2. Post-Enrollment Binding 4.1.2. 登録後のバインディング
4.1.3. Binding to a Subscriber-Provided Authenticator 4.1.3. サブスクライバが提供する認証機能へのバインディング
4.1.4. Renewal 4.1.4. 更新
4.2. Account Recovery 4.2. アカウント復旧
4.2.1. Account Recovery Methods 4.2.1. アカウント復旧方法
4.2.2. Recovery Requirements by IAL/AAL 4.2.2. IAL/AALによる復旧要件
4.2.3. Account Recovery Notification 4.2.3. アカウント復旧の通知
4.3. Loss, Theft, Damage, and Compromise 4.3. 紛失、盗難、破損、および危殆化
4.4. Expiration 4.4. 有効期限切れ
4.5. Invalidation 4.5. 無効化
4.6. Account Notifications 4.6. アカウント通知
5. Session Management 5. セッション管理
5.1. Session Bindings 5.1. セッション・バインディング
5.1.1. Browser Cookies 5.1.1. ブラウザクッキー
5.1.2. Access Tokens 5.1.2. アクセストークン
5.2. Reauthentication 5.2. 再認証
5.3. Session Monitoring 5.3. セッション・モニタリング
6. Threats and Security Considerations 6. 脅威とセキュリティに関する考慮事項
6.1. Authenticator Threats 6.1. 認証子の脅威
6.2. Threat Mitigation Strategies 6.2. 脅威緩和戦略
6.3. Authenticator Recovery 6.3. 認証子の復旧
6.4. Session Attacks 6.4. セッション攻撃
7. Privacy Considerations 7. プライバシーに関する考察
7.1. Privacy Risk Assessment 7.1. プライバシー・リスクの評価
7.2. Privacy Controls 7.2. プライバシー管理
7.3. Use Limitation 7.3. 利用制限
7.4. Agency-Specific Privacy Compliance 7.4. 省庁固有のプライバシー・コンプライアンス
8. Usability Considerations 8. ユーザビリティに関する考慮事項
8.1. Common Usability Considerations for Authenticators 8.1. 認証子に関する一般的なユーザビリティの考慮事項
8.2. Usability Considerations by Authenticator Type 8.2. 認証子タイプ別のユーザビリティに関する考慮事項
8.2.1. Passwords 8.2.1. パスワード
8.2.2. Look-Up Secrets 8.2.2. ルックアップ・シークレット
8.2.3. Out-of-Band 8.2.3. 帯域外
8.2.4. Single-Factor OTP 8.2.4. 単一ファクタ OTP
8.2.5. Multi-Factor OTP 8.2.5. 多要素OTP
8.2.6. Single-Factor Cryptographic Authenticator 8.2.6. シングルファクタ暗号化認証
8.2.7. Multi-Factor Cryptographic Authenticator 8.2.7. 多要素暗号化認証機能
8.3. Summary of Usability Considerations 8.3. ユーザビリティに関する考慮事項のまとめ
8.4. Usability Considerations for Biometrics 8.4. バイオメトリクスに関するユーザビリティの考慮事項
9. Equity Considerations 9. 公平性に関する考察
References 参考文献
Appendix A. Strength of Passwords 附属書 A. パスワードの強度
A.1. Introduction A.1. はじめに
A.2. Length A.2. 長さ
A.3. Complexity A.3. 複雑さ
A.4. Central vs. Local Verification A.4. 中央検証とローカル検証
A.5. Summary A.5. まとめ
Appendix B. Syncable Authenticators 附属書 B. 同期可能な認証子
B.1. Introduction B.1. はじめに
B.2. Cloning of Authentication Keys B.2. 認証キーのクローニング
B.3. Implementation Requirements B.3. 実装要件
B.4. Sharing B.4. 共有
B.5. Example B.5. 例
B.6. Security Considerations B.6. セキュリティに関する考察
Appendix C. List of Symbols, Abbreviations, and Acronyms 附属書 C. 記号、略語、頭字語一覧
Appendix D. Glossary 附属書 D.用語集
Appendix E. Change Log 附属書 E. 変更履歴
List of Tables 表 一覧
Table 1. Summary of Secrets (non-normative) 表 1. 秘密事項の要約(非基準)
Table 2. Authenticator Threats 表 2. 認証子の脅威
Table 3. Mitigating Authenticator Threats 表 3. 認証子の脅威を軽減する
Table 4. Syncable Authenticator Threats, Challenges, and Mitigations 表 4. 同期可能な認証子の脅威、課題、および緩和策
List of Figures 図 一覧
Fig. 1. Summary of requirements by AAL 図 1. AAL による要件の概要
Fig. 2. Transfer of Secret to Primary Device 図 2. プライマリ・デバイスへの秘密の転送
Fig. 3. Transfer of Secret to Out-of-band Device 図 3. 帯域外デバイスへの秘密転送
Fig. 4. Usability considerations by authenticator type 図 4. 認証タイプ別のユーザビリティ

 

 


 

・2024.08.21 NIST SP 800-63C-4 (2nd Public Draft) Digital Identity Guidelines: Federation and Assertions

NIST SP 800-63C-4 (2nd Public Draft) Digital Identity Guidelines: Federation and Assertions NIST SP 800-63C-4(第 2 次公開草案)デジタル・アイデンティティ・ガイドライン: フェデレーションおよびアサーション
Abstract 概要
This guideline focuses on the use of federated identity and the use of assertions to implement identity federations. Federation allows a given credential service provider to provide authentication attributes and (optionally) subscriber attributes to a number of separately-administered relying parties. Similarly, relying parties may use more than one credential service provider. The guidelines are not intended to constrain the development or use of standards outside of this purpose. This publication supersedes NIST Special Publication (SP) 800-63C. このガイドラインは、フェデレーションされた ID の使用と、ID フェデレーションを実装するための アサーションの使用に焦点を当てている。フェデレーションにより、所定のクレデンシャル・サービス・プロバイダは、認証属性と(オプ ションで)サブスクライバ属性を、個別に管理される多数の依拠当事者に提供できる。同様に、依拠当事者は複数のクレデンシャル・サービス・プロバイダを使用できる。このガイドラインは、この目的以外の標準の開発または使用を制限することを意図 していない。本書は、NIST 特別刊行物(SP)800-63C に取って代わるものである。

 

・[PDF] NIST.SP.800-63C-4.2pd

20240824-42911

 

Table of Contents 目次
1. Introduction 1. はじめに
1.1. Notations 1.1. 表記
1.2. Document Structure 1.2. 文書の構造
2. Federation Assurance Level (FAL) 2. フェデレーション保証レベル(FAL)
2.1. Common FAL Requirements 2.1. 共通FAL要件
2.2. Federation Assurance Level 1 (FAL1) 2.2. フェデレーション保証レベル 1(FAL1)
2.3. Federation Assurance Level 2 (FAL2) 2.3. フェデレーション保証レベル2(FAL2)
2.4. Federation Assurance Level 3 (FAL3) 2.4. フェデレーション保証レベル 3(FAL3)
2.5. Requesting and Processing xALs 2.5. xALの要求と処理
3. Common Federation Requirements 3. 共通のフェデレーション要件
3.1. Roles 3.1. 役割
3.1.1. Credential Service Provider (CSP) 3.1.1. クレデンシャル・サービス・プロバイダ(CSP)
3.1.2. Identity Provider (IdP) 3.1.2. アイデンティティ・プロバイダ(IdP)
3.1.3. Relying Party (RP) 3.1.3. 依拠当事者(RP)
3.2. Functions 3.2. 機能
3.2.1. Trust Agreement Management 3.2.1. トラスト・エージェント管理
3.2.2. Authorized Party 3.2.2. 認定当事者
3.2.3. Proxied Federation 3.2.3. 代理フェデレーション
3.2.4. Fulfilling Roles and Functions of a Federation Model 3.2.4. フェデレーションモデルの役割と機能
3.3. Federated Identifiers 3.3. フェデレーション識別子
3.3.1. Pairwise Pseudonymous Identifiers (PPI) 3.3.1. ペアワイズ仮名識別子(PPI)
3.4. Trust Agreements 3.4. 信頼協定
3.4.1. Bilateral Trust Agreements 3.4.1. 二者間信頼協定
3.4.2. Multilateral Trust Agreements 3.4.2. 複数者間信頼協定
3.4.3. Redress Requirements 3.4.3. 救済要件
3.5. Identifiers and Cryptographic Key Management for CSPs, IdPs, and RPs 3.5. CSP、IdP、および RP の識別子および暗号鍵管理
3.5.1. Cryptographic Key Rotation 3.5.1. 暗号鍵のローテーション
3.5.2. Cryptographic Key Storage 3.5.2. 暗号鍵の保管
3.5.3. Software Attestations 3.5.3. ソフトウェア認証
3.6. Authentication and Attribute Disclosure 3.6. 認証と属性開示
3.7. RP Subscriber Accounts 3.7. RP加入者アカウント
3.7.1. Account Linking 3.7.1. アカウントのリンク
3.7.2. Account Resolution 3.7.2. アカウントの解決
3.7.3. Alternative Authentication Processes 3.7.3. 代替認証プロセス
3.8. Authenticated Sessions at the RP 3.8. RPでの認証セッション
3.9. Privacy Requirements 3.9. プライバシー要件
3.9.1. Transmitting Subscriber Information 3.9.1. 加入者情報の送信
3.10. Security Controls 3.10. セキュリティ管理
3.10.1. Protection from Injection Attacks 3.10.1. インジェクション攻撃からの保護
3.10.2. Protecting Subscriber Information 3.10.2. 加入者情報の保護
3.10.3. Storing Subscriber Information 3.10.3. 加入者情報の保存
3.11. Identity Attributes 3.11. アイデンティティ属性
3.11.1. Attribute Bundles 3.11.1. 属性バンドル
3.11.2. Derived Attribute Values 3.11.2. 派生属性値
3.11.3. Identity APIs 3.11.3. アイデンティティAPI
3.12. Assertion Protection 3.12. アサーションの保護
3.12.1. Assertion Identifier 3.12.1. アサーション識別子
3.12.2. Signed Assertion 3.12.2. 署名されたアサーション
3.12.3. Encrypted Assertion 3.12.3. 暗号化されたアサーション
3.12.4. Audience Restriction 3.12.4. 視聴者制限
3.13. Bearer Assertions 3.13. ベアラアサーション
3.14. Holder-of-Key Assertions 3.14. HKアサーション
3.15. Bound Authenticators 3.15. バウンド認証子
3.15.1. RP-Provided Bound Authenticator Issuance 3.15.1. RPが提供するバウンド認証子の発行
3.15.2. Subscriber-Provided Bound Authenticator Binding Ceremony 3.15.2. サブスクライバが提供するバウンド認証子のバインディング・セレモニー
3.16. RP Requirements for Processing Holder-of-Key Assertions and Bound Authenticators 3.16. 鍵所有者アサーションおよびバウンド認証子の処理に関する RP 要件
4. General-Purpose IdPs 4. 汎用 IdP
4.1. IdP Account Provisioning 4.1. IdP アカウント・プロビジョニング
4.2. Federation Transaction 4.2. フェデレーション・トランザクション
4.3. Trust Agreements 4.3. 信任契約
4.3.1. Apriori Trust Agreement Establishment 4.3.1. アプリオリ信任契約の成立
4.3.2. Subscriber-driven Trust Agreement Establishment 4.3.2. 加入者主導型信任契約の確立
4.4. Discovery and Registration 4.4. 発見と登録
4.4.1. Manual Registration 4.4.1. 手動登録
4.4.2. Dynamic Registration 4.4.2. 動的登録
4.5. Subscriber Authentication at the IdP 4.5. IdP における加入者認証
4.6. Authentication and Attribute Disclosure 4.6. 認証と属性開示
4.6.1. IdP-Controlled Decisions 4.6.1. IdP が制御する決定
4.6.2. RP-Controlled Decisions 4.6.2. RPが制御する決定
4.6.3. Provisioning Models for RP subscriber accounts 4.6.3. RP 加入者アカウントのプロビジョニングモデル
4.6.4. Attribute Synchronization 4.6.4. 属性の同期
4.6.5. Provisioning APIs 4.6.5. プロビジョニング API
4.6.6. Collection of Additional Attributes by the RP 4.6.6. RPによる追加属性の収集
4.6.7. Time-based Removal of RP Subscriber Accounts 4.6.7. RP 加入者アカウントの時間ベースの削除
4.7. Reauthentication and Session Requirements in Federated Environments 4.7. 連携環境における再認証およびセッション要件
4.8. Shared Signaling 4.8. 共有シグナリング
4.9. Assertion Contents 4.9. アサーション・コンテンツ
4.10. Assertion Requests 4.10. アサーション・リクエスト
4.11. Assertion Presentation 4.11. アサーション・プレゼンテーション
4.11.1. Back-Channel Presentation 4.11.1. バックチャネル・プレゼンテーション
4.11.2. Front-Channel Presentation 4.11.2. フロントチャンネル・プレゼンテーション
5. Subscriber-Controlled Wallets 5. 加入者管理ウォレット
5.1. Wallet Activation 5.1. ウォレットの有効化
5.2. Federation Transaction 5.2. フェデレーション・トランザクション
5.3. Trust Agreements 5.3. トラスト・アグリーメント
5.4. Provisioning the Subscriber-Controlled Wallet 5.4. 加入者管理ウォレットのプロビジョニング
5.4.1. Deprovisioning the Subscriber-Controlled Wallet 5.4.1. サブスクライバが管理するウォレットのデプロビジョニング
5.5. Discovery and Registration 5.5. ディスカバリーと登録
5.6. Authentication and Attribute Disclosure 5.6. 認証と属性開示
5.7. Assertion Requests 5.7. アサーション・リクエスト
5.8. Assertion Contents 5.8. アサーション・コンテンツ
5.9. Assertion Presentation 5.9. アサーション・プレゼンテーション
5.10. Assertion Validation 5.10. アサーションの検証
5.11. RP Subscriber Accounts 5.11. RP 利用者アカウント
6. Security 6. セキュリティ
6.1. Federation Threats 6.1. フェデレーションの脅威
6.2. Federation Threat Mitigation Strategies 6.2. フェデレーションの脅威緩和戦略
7. Privacy Considerations 7. プライバシーに関する考慮事項
7.1. Minimizing Tracking and Profiling 7.1. トラッキングとプロファイリングの最小化
7.2. Notice and Consent 7.2. 通知と同意
7.3. Data Minimization 7.3. データの最小化
7.4. Agency-Specific Privacy Compliance 7.4. 省庁固有のプライバシー・コンプライアンス
7.5. Blinding in Proxied Federation 7.5. プロキシされたフェデレーションにおける盲検化
8. Usability Considerations 8. ユーザビリティに関する考慮事項
8.1. General Usability Considerations 8.1. 一般的なユーザビリティに関する考察
8.2. Specific Usability Considerations 8.2. 特定のユーザビリティに関する考慮事項
8.2.1. User Perspectives on Online Identity 8.2.1. オンライン・アイデンティティに関するユーザーの視点
8.2.2. User Perspectives of Trust and Benefits 8.2.2. 信頼と利点に関するユーザーの視点
8.2.3. User Mental Models and Beliefs 8.2.3. ユーザーのメンタル・モデルと信念
9. Equity Considerations 9. 公平性の考慮
10. Examples 10. 例
10.1. Mapping FALs to Common Federation Protocols 10.1. FALを共通のフェデレーション・プロトコルにマッピングする
10.2. Direct Connection to an Agency’s IdP 10.2. エージェンシの IdP への直接接続
10.3. Multilateral Federation Network 10.3. 多国間フェデレーション・ネットワーク
10.4. Issuance of a Credential to a Digital Wallet 10.4. デジタル・ウォレットへのクレデンシャルの発行
10.5. Enterprise Application Single-Sign-On 10.5. エンタープライズアプリケーションシングルサインオン
10.6. FAL3 With a Smart Card 10.6. スマートカードによる FAL3
10.7. FAL3 With a non-PKI Authenticator 10.7. FAL3 と PKI 以外の認証機能
10.8. FAL3 With Referred Token Binding 10.8. 参照トークン・バインディングを使用する FAL3
10.9. Ephemeral Federated Attribute Exchange 10.9. エフェメラルなフェデレート属性交換
10.10. Multiple Different Authorized Parties and Trust Agreements 10.10. 複数の異なる認可された当事者と信頼契約
10.11. Shared Pairwise Pseudonymous Identifiers for Multiple RPs 10.11. 複数のRPのための共有ペアワイズ仮名識別子
10.12. RP Authentication to an IdP 10.12. IdPに対するRP認証
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、頭字語一覧
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Changelog 附属書 C. 変更履歴
List of Tables 表 一覧
Table 1. Federation Assurance Levels 表 1. フェデレーション保証レベル
Table 2. Federation Threats 表 2. フェデレーションの脅威
Table 3. Mitigating Federation Threats 表 3. フェデレーションの脅威を軽減する
Table 4. Proxy Characteristics 表 4. プロキシの特徴
Table 5. FAL Protocol Examples 表 5. FALプロトコルの例
List of Figures 図 一覧
Fig. 1. Federation Proxy 図 1. フェデレーションプロキシ
Fig. 2. Federation Authority 図 2. フェデレーションオーソリティ
Fig. 3. Holder-of-Key Assertions 図 3. 鍵の所有者のアサーション
Fig. 4. Bound Authenticators 図 4. バウンド認証機能
Fig. 5. Subscriber-Provided Bound Authenticator Binding Ceremony 図 5. サブスクライバが提供するバウンド認証機能バインディング・セレモニー
Fig. 6. Federation Overview 図 6. フェデレーションの概要
Fig. 7. Just-In-Time Provisioning 図 7. ジャストインタイム・プロビジョニング
Fig. 8. Pre-Provisioning 図 8. 事前プロビジョニング
Fig. 9. Ephemeral Provisioning 図 9. エフェメラル・プロビジョニング
Fig. 10. Session Lifetimes 図 10. セッションの有効期間
Fig. 11. Back-channel Presentation 図 11. バックチャネル・プレゼンテーション
Fig. 12. Front-channel Presentation 図 12. フロント・チャンネル・プレゼンテーション
Fig. 13. Subscriber-Controlled Wallet 図 13. 加入者が管理するウォレット

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.04.25 米国 NIST SP 800-63B [補足 1] NIST SP 800-63B: デジタル・アイデンティティ・ガイドライン - 認証およびライフサイクル管理への同期可能な本人認証の組み込み

・2022.12.19 NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines

・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました

 

 

 

 

 

 

| | Comments (0)

2024.08.23

中国 中国サイバーセキュリティ産業連盟 「2024 サイバーセキュリティ優秀技術賞」受賞者発表

こんにちは、丸山満彦です。

審査の結果、86 件(ソリューション部門 46 件、イノベーティブ製品部門 40 件)の「2024 年サイバーセキュリティ優秀技術開発賞」の受賞者が決まったようですね...内容までよくわかりませんが、なんとなく...

 

中国网络安全产业联盟 : China Cybersecurity Industry Alliance

・2024.08.22 关于公布“2024年网络安全优秀创新成果大赛”优胜奖获奖名单的通知

 

# 项目名称 プロジェクト名 单位名称 タイプ
1 AI 技术赋能医疗行业SG MEP 内生数据安全方案 AI技術による医療業界向けSG MEP内生データセキュリティソリューション 中国移动通信集团上海有限公司、杭州安恒信息技术股份有限公司 ソリューション
2 梆梆安全汽车信息安全测试平台 Bangbang Security自動車情報セキュリティテストプラットフォーム 北京梆梆安全科技有限公司 ソリューション
3 保险行业个人信息一体化数据安全解决方案 保険業界における個人情報統合データセキュリティソリューション 中华联合人寿保险股份有限公司、北京原点数安科技有限公司 ソリューション
4 博智装备网络安全试验鉴定解决方案  Bozhi設備サイバーセキュリティ試験・認証ソリューション  博智安全科技股份有限公司 ソリューション
5 车联网端云一体数据安全防护方案 テレマティクス向け統合データセキュリティ保護ソリューション 重庆长安汽车股份有限公司 ソリューション
6 持安零信任应用数据安全防护方案 ゼロトラストアプリケーションデータセキュリティ保護ソリューション 北京持安科技有限公司 ソリューション
7 电力网络加密业务安全运营解决方案  電力ネットワーク暗号化業務セキュリティ運用ソリューション  北京观成科技有限公司 ソリューション
8 个人数据流通授权解诀方案 個人データ流通認証ソリューション 金联汇通信息技术有限公司 ソリューション
9 工业互联网的安全防护解决方案 産業インターネットセキュリティソリューション 奇安信科技集团股份有限公司 ソリューション
10 化工园区工业互联网安全运营服务解决方案 ケミカルパーク向け産業インターネットセキュリティ運用サービスソリューション 山东云天安全技术有限公司 ソリューション
11 基于“车网云一体化全程可信”的车联网安全方案 「完全信頼の車両ネットワークとクラウド統合」に基づく車両ネットワークセキュリティソリューション 中移(上海)信息通信科技有限公司 ソリューション
12 基于 AI+的运营商数据安全风险治理解决方案 AI+を活用した事業者向けデータセキュリティリスク管理ソリューション 上海观安信息技术股份有限公司 ソリューション
13 基于 AI 的软件供应链安全解决方案 AIベースのソフトウェアサプライチェーンセキュリティソリューション 杭州默安科技有限公司 ソリューション
14 基于AI语义分析的云原生化 Web 应用防护方案 AIセマンティック分析に基づくクラウドネイティブWebアプリケーション保護ソリューション 北京长亭科技有限公司 ソリューション
15 基于闭环管理的水利行业安全运营体系建设方案 クローズドループ管理に基づく水利業界セキュリティ運用システム構築ソリューション 北京天融信网络安全技术有限公司 ソリューション
16 基于大模型的动态数据分类分级方案  ビッグモデルによる動的データ分類と評価ソリューション  深信服科技股份有限公司 ソリューション
17 基于多源元数据融合分析计算的安全智能应用技术解决方案 マルチソースメタデータ融合分析・算出に基づくセキュリティインテリジェンス応用技術ソリューション 中国联合网络通信有限公司河南省分公司 ソリューション
18 基于高级诱饵技术的视联网主动安全防护技术方案 高度なおとり技術に基づくInternet of Vision向けアクティブセキュリティ保護技術ソリューション 北京元支点信息安全技术有限公司 ソリューション
19 基于商用密码的智能网联汽车ECU 控制器安全可信应用 商用パスワードに基づくインテリジェント・ネットワーク自動車のECUコントローラーセキュリティとトラステッドアプリケーション 上海伊世智能科技有限公司 ソリューション
20 基于石油石化场景工控安全标准的融合构建与实施 石油と石油化学のシナリオに基づく産業制御セキュリティ標準の収束構築と実装 中国石化集团共享服务有限公司东营分公司 ソリューション
21 基于特权身份管理的数据安全解决方案 特権ID管理に基づくデータセキュリティソリューション 杭州帕拉迪网络科技有限公司 ソリューション
22 基于业务数据流构建广东省数字政府重点应用数据生命周期安全防护体系解诀方案 ビジネスデータフローに基づく広東省デジタル政府主要アプリケーションのデータライフサイクルセキュリティ保護システム構築ソリューション 数字广东网络建设有限公司 ソリューション
23 金融行业大数据场景下的数据访问治理与管控一体化解决方案 金融業界のビッグデータシナリオにおけるデータアクセスガバナンスとコントロールのための統合ソリューション 浙江民泰商业银行、上海凯馨信息科技有限公司 ソリューション
24 金融内网资产测绘和物联网安全管理解决方案 金融イントラネットの資産マッピングとモノのインターネットのセキュリティ管理ソリューション 深圳万物安全科技有限公司 ソリューション
25 麦唐车联网 VSOC解决方案 マクタン・ビークル・ネットワーキングVSOCソリューション 杭州麦唐科技有限公司 ソリューション
26 面向证券核心交易系统的韧性运行安全解决方案 証券コア取引システムの弾力運用セキュリティソリューション 杭州美创科技股份有限公司 ソリューション
27 面向中小银行软件供应链安全管控服务云平台 中小銀行向けソフトウェアサプライチェーンセキュリティ管理サービスクラウドプラットフォーム 杭州孝道科技有限公司 ソリューション
28 能源行业关键信息基础设施安全防护解决方案 エネルギー産業重要情報インフラセキュリティ保護ソリューション 中国移动通信集团广东有限公司深圳分公司 ソリューション
29 宁波市政务信息化网络数据安全一体化指挥系统 寧波市政府情報ネットワークデータセキュリティ統合指揮システム 亚信安全科技股份有限公司 ソリューション
30 汽车行业数据安全方案 自動車業界向けデータセキュリティソリューション 北京天空卫士网络安全技术有限公司 ソリューション
31 全生命周期一体化威胁情报运营解决方案(TIOS) フルライフサイクル統合脅威インテリジェンス運用ソリューション(TIOS) 奇安信科技集团股份有限公司 ソリューション
32 瑞数车联网应用数据安全监测方案 テレマティクスアプリケーション向けRuixiデータセキュリティ監視ソリューション 瑞数信息技术(上海)有限公司 ソリューション
33 三峡岸电工控网络模拟靶场 三峡岸電力制御ネットワークシミュレーション範囲 湖北央中巨石信息技术有限公司 ソリューション
34 数据安全隐私计算平台赋能数据要素安全流通解决方案 データセキュリティ・プライバシーコンピューティングプラットフォーム データ要素の安全な流れを可能にするソリューション 杭州安恒信息技术股份有限公司 ソリューション
35 数据要素合规流动管理的创新实践解决方案 データ要素のコンプライアンスフロー管理のための革新的な実践ソリューション 杭州数圭通科技有限公司 ソリューション
36 数字政府需码高质量发展新模式:密码保障体系建设 デジタル政府は高品質発展の新モデルをコード化する必要がある:暗号セキュリティシステムの構築 北京数字认证股份有限公司 ソリューション
37 数字政府数据安全体系建设方案 デジタル政府データセキュリティシステム構築ソリューション 奇安信科技集团股份有限公司 ソリューション
38 腾讯数据与个人信息合规管理解决方案灵犀隐私平台 騰訊データ及び個人情報コンプライアンス管理ソリューション 霊湖プライバシープラットフォーム 腾讯科技(深圳)有限公司 ソリューション
39 天御金融风控大模型解决方案 天空金融リスクコントロールビッグモデルソリューション 腾讯云计算(北京)有限责任公司 ソリューション
40 新型数字政府安全运营集成化解决方案 新型デジタル政府セキュリティ運営統合ソリューション 黑龙江省政务大数据中心、中移系统集成有限公司、中国移动通信集团黑龙江有限公司、北京启明星辰信息安全技术有限公司 ソリューション
41 新一代网络安全运营中心解决方案 新世代ネットワークセキュリティ運用センターソリューション 中电科网络安全科技股份有限公司 ソリューション
42 医保系统下基于AI大模型習能代码亥全解决方案 医療保険システムのAIベースのビッグモデル学習コードオハイオソリューション 深圳开源互联网安全技术有限公司 ソリューション
43 隐私数据安全交互中台化解决方案 プライバシーデータセキュリティ対話ソリューション 北京火山引擎科技有限公司 ソリューション
44 用户个人信息签约及授权管理解決方案 ユーザー個人情報署名認証管理ソリューション 蚂蚁科技集团股份有限公司 ソリューション
45 云网一体化综合运营解决方案 クラウドネットワーク統合・総合運用ソリューション 北京安信天行科技有限公司 ソリューション
46 中移“元信任”安全防护-网络安全保险 全管理与运行中心、中国移动互联一站式安全解决方案 CMCC「元信」セキュリティ保護-ネットワークセキュリティ保険安全管理運営センター、中国移動インターネットワンストップセキュリティソリューション 中国移动通信集团有限公司信息安网公司、中国移动智慧家庭运营中心、中国移动金科公司 ソリューション
47 100G 超高速低时延链路密码机 100G超高速低遅延リンク暗号機 远江盛邦(北京)网络安全科技股份有限公司 革新的な製品
48 API 雷达系统 APIレーダーシステム 安天科技集团股份有限公司 革新的な製品
49 USB 安全管理系統(LAUG-100-D) USBセキュリティ管理システム(LAUG-100-D) 北京珞安科技有限责任公司 革新的な製品
50 XDLP 全链路数据安全平台 XDLPオールリンクデータセキュリティプラットフォーム 杭州亿格云科技有限公司 革新的な製品
51 爱加密移动应用个人信息合规专家检测平台 Love Encryptionモバイルアプリケーション 個人情報コンプライアンスエキスパート検査プラットフォーム 北京智游网安科技有限公司 革新的な製品
52 安泉数据安全检查工具箱 Anquanデータ・セキュリティ検査ツールキット 杭州安泉数智科技有限公司 革新的な製品
53 超级 SIM 国密资源池 スーパーSIMステート・シークレット・リソース・プール 中移互联网有限公司 革新的な製品
54 持安零信任数据安全网关 ホールディングセキュリティ ゼロトラストデータセキュリティゲートウェイ 北京持安科技有限公司 革新的な製品
55 春秋 AI 大模型安全测评平台 Spring AIビッグモデルセキュリティ評価プラットフォーム 永信至诚科技集团股份有限公司 革新的な製品
56 个人信息主体权利保障一站式合规创新产品SDK 個人情報対象者権利保護ワンストップコンプライアンス革新製品SDK 北京抖音信息服务有限公司 革新的な製品
57 基于 RiscV处理器的工业防火墙 RiscVプロセッサベースの産業用ファイアウォール 北京威努特技术有限公司 革新的な製品
58 基于能力底座的纵深防御安全综合能力管控平台 能力基盤に基づく深層防衛セキュリティのための総合能力制御プラットフォーム 浙江鹏信信息科技股份有限公司 革新的な製品
59 基于人工智能的二进制函数级开源软件安全智能基因检测技术 人工知能ベースのバイナリ関数レベルのオープンソースソフトウェアセキュリティ スマート遺伝子検出技術 杭州孝道科技有限公司 革新的な製品
60 基于云知识库的全域数据安全自动化评估系统 DCAS クラウド知識ベースをベースとしたドメイン全体のデータセキュリティ自動アセスメントシステム DCAS 杭州美创科技股份有限公司 革新的な製品
61 基于整车在环的车联网信息安全检测平台 車両全体ループに基づくテレマティクス情報セキュリティ検知プラットフォーム 北京天融信网络安全技术有限公司 革新的な製品
62 极拓 極拓 上海极氪蓝色新能源技术有限公司 革新的な製品
63 炬火-数据安全风险评估系统 炬火 - データセキュリティリスクアセスメントシステム 广州熠数信息技术有限公司 革新的な製品
64 聚铭下一代智慧安全运营中心 次世代インテリジェントセキュリティオペレーションセンター 南京聚铭网络科技有限公司 革新的な製品
65 开源网安代码审核平台 CodeSec V4.0 オープンソース・ネットセキュリティ・コードレビュー・プラットフォーム CodeSec V4.0 深圳开源互联网安全技术有限公司 革新的な製品
66 开源网安模糊测试平台 SFUZZ オープンソースネットワークセキュリティファジーテストプラットフォームSFUZZ 深圳开源互联网安全技术有限公司 革新的な製品
67 科力锐勒索拦截系统 クオリコム身代金横取りシステム 深圳市科力锐科技有限公司 革新的な製品
68 雳鉴-软件供应链风险评估平台 雷鏡-ソフトウェアサプライチェーンリスクアセスメントプラットフォーム 杭州默安科技有限公司 革新的な製品
69 绿盟数据保险箱系统(PCP-DSDB) グリーンアライアンスデータセーフボックスシステム(PCP-DSDB) 北京神州绿盟科技有限公司 革新的な製品
70 汽车信息安全运营系统 Baidu Vehicle Security Operations Centers 自動車情報セキュリティ運用システム 百度車両セキュリティ運用センター 北京百度网讯科技有限公司 革新的な製品
71 嵌入式安全审计平台(Embedded System Security Audit Studio) 組み込みシステムセキュリティ監査スタジオ 腾讯云计算(北京)有限责任公司 革新的な製品
72 融合 4A 平台 フュージョン4Aプラットフォーム 中国电信股份有限公司江苏分公司、中国电信股份有限公司青海分公司、江苏保旺达软件技术有限公司 革新的な製品
73 融合防勒索与零信任的一体化办公终端安全软件:星点御河 Anti-Ransom and Zero Trust 融合オールインワンオフィス端末セキュリティソフトウェア:Starpoint Royal River 支付宝(杭州)信息技术有限公司 革新的な製品
74 深信服数据安全大脑 V3.0 データセキュリティブレインV3.0 深信服科技股份有限公司 革新的な製品
75 数据安全治理自动化平台(DSAG) データセキュリティガバナンス自動化プラットフォーム(DSAG) 北京天空卫士网络安全技术有限公司 革新的な製品
76 探真智航智能安全运营中心(Tensor AI-SOC) AI-SOC(テンソル・インテリジェント・セキュリティ・オペレーション・センター) 杭州探真数字科技有限公司 革新的な製品
77 腾讯安全攻击面管理平台 (T-Sec-ASM ) テンセント・セキュリティ・アタック・サーフェイス・マネジメント・プラットフォーム(T-Sec-ASM) 腾讯云计算(北京)有限责任公司 革新的な製品
78 腾讯里约可信应用支撑平台 テンセント・リオ・トラステッド・アプリケーション・サポート・プラットフォーム(Tencent Rio Trusted Application Support Platform 腾讯云计算(北京)有限责任公司 革新的な製品
79 天狗漏洞攻击防护系统 Tengu脆弱性攻撃防御システム 奇安信科技集团股份有限公司 革新的な製品
80 图灵加密威胁智能检测系统 チューリング暗号脅威インテリジェント検出システム 四川图𣶏信安科技有限公司 革新的な製品
81 显示屏内容播放审计系统 DAS-IOT-SCR DAS-IOT-SCR ディスプレイコンテンツ再生監査システム 杭州安恒信息技术股份有限公司 革新的な製品
82 亚信安全信舱云安全防护系统应用软件 ForCloudV20.0 AsiaInfo Security Capsule クラウドセキュリティ保護システム アプリケーションソフトウェア ForCloudV20.0 亚信安全科技股份有限公司 革新的な製品
83 知影-API 风险监测系统 3.0 Knowing Shadow-API リスク監視システム3.0 全知科技(杭州)有限责任公司 革新的な製品
84 智能物联网设备口令安全管控系统 Intelligent Internet of Things デバイス パスワードセキュリティ制御システム 杭州海康威视数字技术股份有限公司 革新的な製品
85 智能终端AIGC人脸合成反诈检测系统 インテリジェント端末 AIGC 顔合成不正検知システム 荣耀终端有限公司 革新的な製品
86 专项隔离系统 GLS SID1000 特殊隔離システム GLS SID1000 浙江国利网安科技有限公司 革新的な製品

 

1_20240822233001

 

| | Comments (0)

内部監査研究所 価値創造に貢献する内部監査 ~戦略に貢献する内部監査への進化と提言~ (2024.07.16)

こんにちは、丸山満彦です。

公益財団法人 日本内部監査研究所「内部監査の将来について考える研究会」が、「価値創造に貢献する内部監査 ~戦略に貢献する内部監査への進化と提言~」を公表していますね...

座長は元金融庁総合政策局長の佐々木清隆さん。そして、内部統制の評価及び監査制度の基準づくりにも関わっていて、私と情報セキュリティ大学院大学で一緒に授業をしている堀江先生も委員に加わっています。

2024年1月に改訂された内部監査基準や、IFRSサステナビリティ開示基準にも触れられるなど、 最新の情報も取り込んでいますね...

私もこの提言の内容には賛成で、異論もほぼない感じです(経営者を含むほとんど人がそう思うと思います)。ただ、これを整理して、まとめて文書として、世の中に出したのは非常によいことだと思います。

 

20240822-110334

 

取締役(社外取締役は特に)、監査役、経営者には、是非読んでいただきたい資料だと思いました。(そのような人向けに、エグゼクティブサマリーをビジュアル化したものを作っても良いかもですね)

内部監査というのは、ガバナンスの一部として取締役会に責任を果たすという色が濃くなってきていますよね。日本でも、「企業内容等の開示に関する内閣府令」等が改正され、2023年3月期の有価証券報告書より、コーポレート・ガバナンスに関する開示の一環として、デュアルレポーティングの有無を含む、内部監査の実効性を確保するための取組をわかりやすく、具体的に開示することが求められるようになっていますよね...

様式3が有価証券報告書の様式で、そこに記載すべきことが以下の通りです(ただし、有価証券届出書の様式2を参照しています)

ーーーーー

(56) 監査の状況

b 提出会社が上場会社等である場合には、内部監査の状況等について、次のとおり記載すること。

⒜ 内部監査の組織、人員及び手続について、具体的に、かつ、分かりやすく記載すること。

⒝ 内部監査、監査役監査及び会計監査の相互連携並びにこれらの監査と内部統制部門との関係について、具体的に、かつ、分かりやすく記載すること。

⒞ 内部監査の実効性を確保するための取組(内部監査部門が代表取締役のみならず、取締役会並びに監査役及び監査役会に対しても直接報告を行う仕組みの有無を含む。cにおいて同じ。)について、具体的に、かつ、分かりやすく記載すること。

ーーーーーー

 

あと、気になるのは、ステージ3にあがっていくのは良いのですが、だからといって、ステージ1、ステージ2でやっていることをしなくて良いわけではないわけで、その部分をテクノロジーを使って効率化することも合わせてしないと、単に人を増やすだけになってしまい、予算の制約等からなかなかステージ3に上がっていけなくなると思います。

ということで、特にステージ1についての効率化は重要で、テクノロジーの利用が必要となりますよね。

 

 

さて、報告書です...

公益財団法人 日本内部監査研究所

・2024.07.16 [PDF] 価値創造に貢献する内部監査 ~戦略に貢献する内部監査への進化と提言~

20240822-133547

 

目次...

 

座長挨拶

エグゼクティブサマリー

報告書本文

1. 経営環境の変化と内部監査への期待
1.1.
経営環境の変化とパラダイムシフト
1.2.
攻めのガバナンスとリスクテイクへのパラダイムシフト
1.3.
公共の利益へのパラダイムシフト
1.4.
内部監査への期待

2. 経営機能としての内部監査の課題
2.1.
内部統制の機能不全と内部監査
2.2.
内部監査の変化への対応の遅れ
2.3.
内部監査の役割の再評価の必要性と価値提供の向上

3. 経営としての価値創造と内部監査の関与
3.1.
経営としての価値創造とは 
3.2.
価値創造の追求において考慮すべき要素
3.3.
内部監査の価値創造プロセスへの貢献
3.4.
価値創造へ向けて内部監査をステージアップさせる

4. 戦略に貢献する内部監査
4.1.
グローバルガイダンスへの適応 .
4.2.
内部監査が「戦略に貢献する」とは:果たせる役割 
4.3.
サステナビリティへの関与:戦略への貢献のゲートとしてのサステナビリティの監査

5. 内部監査のトランスフォーメーション (どうすれば変われるのか)
5.1.
コンプライアンス・内部統制中心の内部監査(ステージ 1)からリスク・ベースの内部監査(ステージ 2)へ
5.2.
リスク・ベースの内部監査(ステージ2)から戦略に貢献する内部監査(ステージ3)へ

6. 取締役会・監査役会等・経営陣による内部監査の活用への提言
6.1.
なぜ、取締役会・監査役会等・経営陣が内部監査を重要視すべきか?
6.2.
取締役会・監査役会等・経営陣が内部監査を機能させるためのアクション

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.28 内部監査人協会 グローバル内部監査基準(日本語版)(2024.07.05)

・2024.02.17 グローバル内部監査基準 (2024.01.09)

 

| | Comments (0)

2024.08.22

米国 ODNI FBI CISA イランによる選挙への影響工作に関する共同声明 (2024.08.19)

こんにちは、丸山満彦です。

米国大統領選挙が11月5日に向けて盛り上がってきておりますが...外国からの干渉は受けてはならないということで、

国家情報長官室(ODNI)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)が、共同でイランによる選挙への影響工作に関する注意喚起をだしています...

 

ODNI

・2024.08.19 Joint ODNI, FBI, and CISA Statement on Iranian Election Influence Efforts

 

FBI

・2024.08.19 Joint ODNI, FBI, and CISA Statement on Iranian Election Influence Efforts

 

CISA

・2024.08.19 Joint ODNI, FBI, and CISA Statement on Iranian Election Influence Efforts

Joint ODNI, FBI, and CISA Statement on Iranian Election Influence Efforts イランによる選挙への影響工作に関する ODNI、FBI、CISA の共同声明
WASHINGTON, D.C. – Today, the Office of the Director of National Intelligence (ODNI), the Federal Bureau of Investigation (FBI), and the Cybersecurity and Infrastructure Security Agency (CISA) released the following statement:  ワシントンD.C. – 本日、国家情報長官室(ODNI)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)は以下の声明を発表した。
“As each of us has indicated in prior public statements, Iran seeks to stoke discord and undermine confidence in our democratic institutions. Iran has furthermore demonstrated a longstanding interest in exploiting societal tensions through various means, including through the use of cyber operations to attempt to gain access to sensitive information related to U.S. elections. In addition to these sustained efforts to complicate the ability of any U.S. administration to pursue a foreign policy at odds with Iran’s interests, the IC has previously reported that Iran perceives this year’s elections to be particularly consequential in terms of the impact they could have on its national security interests, increasing Tehran’s inclination to try to shape the outcome. We have observed increasingly aggressive Iranian activity during this election cycle, specifically involving influence operations targeting the American public and cyber operations targeting Presidential campaigns.  「我々はこれまでも公の場で表明してきたように、イランは不和を煽り、我々の民主的機構に対する信頼を損なわせようとしている。イランはさらに、米国の選挙に関する機密情報へのアクセスを試みるサイバー作戦の使用を含む、さまざまな手段を通じて社会的な緊張を利用することに長年関心を示してきた。米国の政権がイランの利益と相反する外交政策を追求する能力を妨害する継続的な努力に加えて、ICは以前、イランが今年の選挙を自国の国家安全保障上の利益に与える影響という観点で特に重大なものと捉えており、その結果を左右しようとする傾向が強まっていると報告している。私たちは、この選挙期間中に、特に米国民を対象とした影響工作や大統領選挙キャンペーンを標的としたサイバー作戦など、ますます積極的なイランの活動を観察してきた。
This includes the recently reported activities to compromise former President Trump’s campaign, which the IC attributes to Iran. The IC is confident that the Iranians have through social engineering and other efforts sought access to individuals with direct access to the Presidential campaigns of both political parties. Such activity, including thefts and disclosures, are intended to influence the U.S. election process. It is important to note that this approach is not new.  Iran and Russia have employed these tactics not only in the United States during this and prior federal election cycles but also in other countries around the world.   これには、最近報告された、トランプ前大統領の選挙キャンペーンを妨害する活動も含まれている。ICは、この活動をイランによるものと見なしている。ICは、ソーシャルエンジニアリングやその他の取り組みを通じて、イランが両党の大統領選挙キャンペーンに直接アクセスできる個人へのアクセスを試みてきたと確信している。盗難や情報開示を含むこうした活動は、米国の選挙プロセスに影響を与えることを目的としている。 重要なのは、この手法は目新しいものではないということだ。イランとロシアは、今回の連邦選挙だけでなく、それ以前の連邦選挙においても、米国だけでなく世界中の他の国々でも、こうした戦術を駆使してきた。 
Protecting the integrity of our elections from foreign influence or interference is our priority.  As the lead for threat response, the FBI has been tracking this activity, has been in contact with the victims, and will continue to investigate and gather information in order to pursue and disrupt the threat actors responsible. We will not tolerate foreign efforts to influence or interfere with our elections, including the targeting of American political campaigns. As an interagency we are working closely with our public and private sector partners to share information, bolster security, and identify and disrupt any threats.  Just as this activity demonstrates the Iranians’ increased intent to exploit our online platforms in support of their objectives, it also demonstrates the need to increase the resilience of those platforms. Using strong passwords and only official email accounts for official business, updating software, avoiding clicking on links or opening attachments from suspicious emails before confirming their authenticity with the sender, and turning on multi-factor authentication will drastically improve online security and safety. 外国の影響や干渉から選挙の完全性を防御することは、我々の最優先事項である。 脅威対応の主導者として、FBIはこうした活動を追跡し、被害者と連絡を取り合っており、今後も調査と情報収集を継続し、責任のある脅威行為者を追跡し、その活動を妨害していく。 外国による、米国の選挙への影響や干渉の試み、米国の政治キャンペーンの標的化などを容認することはない。 政府機関として、官民のパートナーと緊密に協力し、情報を共有し、セキュリティを強化し、あらゆる脅威を識別し、その活動を妨害している。 この活動は、イランが自らの目的達成のために米国のオンラインプラットフォームを悪用しようとする意図を強めていることを示すと同時に、それらのプラットフォームのレジリエンスを高める必要性を示すものでもある。強力なパスワードを使用し、公式業務には公式の電子メールアカウントのみを使用すること、ソフトウェアを更新すること、送信者からの確認を行う前に疑わしい電子メールのリンクをクリックしたり添付ファイルを開いたりしないこと、多要素認証を有効にすることは、オンラインのセキュリティと安全性を大幅に改善する。

 

一方、日本の自民党総裁戦も盛り上がってきていますね...というか、報道機関が盛り上げているんでしょうかね...視聴率が上がらないと刻々収入もこの先厳しくなるかもですからね...

ただ、こういう外国の干渉の話は本当にでてきませんね...(党のトップを決める話だからまぁ、関係ないのかもしれませんが...)

 

1_20240821231901

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.19 英国 国家警備局 英国の利益と国家安全保障に対する妨害工作の脅威への対策

・2024.08.19 米国 FBI CISA 知っておいてください: 投票期間中のランサムウェアによる混乱は、投開票プロセスのセキュリティや正確性には影響ありません!

・2024.08.09 英国 NCSC長官がブラックハットでサイバー空間における英国の選挙の安全確保について話をしたようですね...

・2024.07.25 米国 司法省監察官室 米国の選挙に対する外国の悪質な影響力の脅威に関する情報共有を調整するための司法省の取り組みの評価

・2024.07.09 米国 CISA 選挙関係者のための運用セキュリティガイド

・2024.06.24 国連安全保障理事会 サイバー空間における脅威の進化 (2024.06.20)

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.06.07 欧州議会 欧州議会選挙に対する偽情報に対する準備は整った(選挙期間中)

・2024.06.02 欧州会計監査院がEU選挙を控えているので偽情報とサイバーセキュリティには気をつけろといってますね...

・2024.04.22 米国 CISA FBI ODNI 外国の悪質な影響力工作の手口から選挙インフラを守るためのガイダンス

・2024.04.14 米国 EPIC他 テック・プラットフォーマーにAIによる選挙偽情報に対抗するように要請

・2024.03.27 ドイツ 政治選挙以外の選挙向けオンライン投票製品の認証を開始...

・2024.03.15 ENISA 選挙におけるサイバーセキュリティとレジリエンスに関する大要 (2024.03.06)

・2023.12.12 カナダ サイバーセキュリティセンター 選挙に対するサイバー脅威、政治家候補へのサイバーセキュリティ・アドバイス他

・2023.11.23 ENISA 2024年のEU議会議員選挙に向けたサイバー演習

・2023.10.12 米国 サイバー軍 標的になるな:敵対的プロパガンダの見分け方 (2023.10.05)

・2023.09.17 米国 NSA FBI CISA 組織に対するディープフェイクの脅威の文脈化

・2023.08.18 防衛省 認知領域を含む情報戦への対応

・2023.08.11 米国 国家情報戦略 2023

・2023.08.07 米国 MITRE グローバル民主主義への脅威

 

| | Comments (0)

デジタル庁 マイナンバーカード対面確認アプリをリリース (2024.08.20)

こんにちは、丸山満彦です。

デジタル庁が、マイナンバーカード対面確認アプリをリリースしましたね...

20240821-171143

スマホを使って、マイナンバーカードのチップから、本人に関する情報

  • ・顔写真(白黒)
  • ・氏名
  • ・住所
  • ・生年月日
  • ・性別
  • ・有効期限
  • ・セキュリティコード(画像)

が読み取れますね...

利用シーンは、

  • ・金融機関での取引のための本人確認時
  • ・携帯電話の契約のための本人確認時
  • ・中古品の買取のための本人確認時
  • ・自治体窓口での本人確認時
  • ・その他、マイナンバーカードの対面での本人確認が必要なとき

とのことです。照合番号bを利用しているようですね...

目視でカードを確認せずに、アプリをつかってカードを確認することが必要ですね...

 

携帯電話、銀行口座の開設は厳密な本人確認がないとダメですよね...

 

 

デジタル庁

プレス...

・2024.08.20 「マイナンバーカード対面確認アプリ」をリリースしました

 

マイナンバーカード対面確認アプリ - 店舗や窓口での本人確認を確実に

 

 


・2024.08.24 追記...

富士榮さんが、マインバーカードのチップから情報を読み取るアプリをかなりたくさんまとめています(^^)

 

富士榮さんのブログ

● IdM実験室

・2024.08.24 マイナンバーカードを読み取るアプリがいっぱい

 

| | Comments (0)

2024.08.21

バーゼル銀行監督委員会 パブコメ 健全なサードパーティリスク管理のための諸原則について協議 (2024.07.09)

こんにちは、丸山満彦です。

バーゼル銀行監督委員会が、健全なサードパーティリスク管理のための諸原則についてのパブリックコメントを求めています。これは、2005年に銀行・証券・保険の業態横断的な文書である「金融サービスにおけるアウトソーシング」(原題:Outsourcing in Financial Services)を銀行業態について置き換えるものとして作成されているようです。

具体的には銀行のサードパーティリスク管理について、

・銀行に対する9つの原則(取締役会等の責任、リスク管理枠組みの実施、リスク評価、デュー・デリジェンス、契約締結、オンボーディング、継続的なモニタリング、業務継続管理、契約終了)及び

・監督当局に対する3つの原則(銀行のリスク評価、システム全体の集中リスク、当局間の協調)

からなる計12の原則を示していますね...

 

サードパーティリスクとして、

・サプライチェーンリスク

・集中リスク

という概念も入っていますね。。。

集中リスクは、いわゆるクラウド事業者に対するリスクで、夏井先生が2010年に提唱した「クラウドは竹」という話に通じます(^^)

 

 Basel Committee on Banking Supervision

プレス...

・2024.07.09 Basel Committee consults on principles for the sound management of third-party risk

Basel Committee consults on principles for the sound management of third-party risk バーゼル委員会、健全なサードパーティリスク管理のための諸原則について協議
・The Basel Committee has published a consultation on Principles for the sound management of third-party risk. ・バーゼル委員会は、「健全なサードパーティリスク管理のための諸原則」についての協議を公表した。
・The proposed principles provide guidance to banks and prudential supervisors on effective third-party risk management, aiming to enhance banks' ability to withstand operational disruptions and mitigate the impact of severe disruptive events. ・提案された原則は、効果的なサードパーティ・リスク管理について銀行および健全性監督当局に指針を提供し、銀行の業務中断への耐性強化と深刻な業務中断事象の影響の低減を目的としている。
・Comments on the proposed principles are requested by 9 October 2024. ・提案された原則に関する意見は、2024年10月9日まで求められている。
The Basel Committee on Banking Supervision today published a consultative document proposing Principles for the sound management of third-party risk in the banking sector. バーゼル銀行監督委員会は本日、銀行セクターにおける健全なサードパーティリスク管理のための諸原則を提案する協議文書を公表した。
Ongoing digitalisation has led to rapid adoption of innovative approaches in the banking sector. As a result, banks have become increasingly reliant on third parties for services that they had not previously undertaken. This increased reliance on third parties beyond the scope of traditional outsourcing, coupled with the expansion of supply chains and rising concentration risks, has necessitated an update to the 2005 Joint Forum paper Outsourcing in financial services, specifically for the banking sector. デジタル化の進展により、銀行業界では革新的なアプローチが急速に採用されるようになった。その結果、銀行は従来は自社で対応していなかったサービスについて、サードパーティへの依存度を高めている。従来のアウトソーシングの範囲を超えてサードパーティへの依存度が高まっていること、またサプライチェーンの拡大や集中リスクの増大と相まって、2005年の共同フォーラムの論文「金融サービスにおけるアウトソーシング」の更新が必要となっている。
The consultative document consists of 12 high-level principles offering guidance to banks and supervisors on effectively managing and supervising risks from third-party arrangements. The Principles introduce the concept of a third-party life cycle and emphasise overarching concepts such as criticality and proportionality. Furthermore, they delve into the topics of supply chain risk and concentration risk and highlight the importance of supervisory coordination and dialogue across sectors and borders. この協議文書は、サードパーティ契約から生じるリスクの効果的な管理と監督について、銀行と監督当局に指針を提供する12のハイレベル原則で構成されている。原則では、サードパーティ・ライフサイクルという概念が導入され、重要度や比例性といった包括的な概念が強調されている。さらに、サプライチェーンリスクと集中リスクについても掘り下げ、セクターや国境を越えた監督上の調整と対話の重要性が強調されている。
The Principles complement and expand on the Financial Stability Board's 2023 report Enhancing third-party risk management and oversight – a toolkit for financial institutions and financial authorities. While primarily directed at large internationally active banks and their prudential supervisors, these Principles also offer benefits to smaller banks and authorities in all jurisdictions. They establish a common baseline for banks and supervisors for the risk management of third parties, while providing the necessary flexibility to accommodate evolving practices and regulatory frameworks across jurisdictions. 本原則は、金融安定理事会(FSB)が2023年に発表した報告書「サードパーティ・リスク管理と監督の強化 – 金融機関および金融当局のためのツールキット」を補完し、さらに発展させたものである。本原則は、主に国際的に活動する大手銀行とその監督当局を対象としているが、あらゆる管轄区域の小規模な銀行や当局にもメリットをもたらす。本原則は、サードパーティのリスク管理に関する銀行と監督当局の共通のベースラインを確立する一方で、管轄区域ごとに進化する慣行や規制枠組みに対応するための必要な柔軟性も提供する。
To remain adaptable and applicable to a wide range of technologies, the Principles maintain a technology-neutral stance. As a result, they can be applied to recent trends like artificial intelligence, machine learning and blockchain technology, even though these trends are not explicitly referenced. 幅広いテクノロジーに適応し適用可能であり続けるため、本原則はテクノロジーに中立な立場を維持している。その結果、本原則は、人工知能、機械学習、ブロックチェーン技術といった最近のトレンドにも適用可能である。これらのトレンドは明示的に言及されていないが、それでも適用可能である。

 

・[PDF

20240820-184647

・[DOCX][PDF] 仮訳...

 

原則...

Principle 1: The board of directors has ultimate responsibility for the oversight of all TPSP arrangements and should approve a clear strategy for TPSP arrangements within the bank’s risk appetite and tolerance for disruption.  原則1:取締役会は、すべてのTPSPとの取決めを監督する最終的な責任を有し、銀行のリスクアペタイトと混乱に対する許容度の範囲内で、TPSPとの取決めに関する明確な戦略を承認すべき。 
Principle 2: The board of directors should ensure that senior management implements the policies and processes of the third-party risk management framework (TPRMF) in line with the bank’s third-party strategy, including reporting of TPSP performance and risks related to TPSP arrangements, and mitigating actions.  原則2:取締役会は、上級管理職が、サードパーティの実績並びにTPSPとの取り決めに関するリスクの報告及び低減措置を含む戦略に沿って、サードパーティリスク管理の枠組みの方針及びプロセスを実施することを確実にすべき。 
Principle 3: Banks should perform a comprehensive risk assessment under the TPRMF to evaluate and manage identified and potential risks both before entering into and throughout a TPSP arrangement.  原則3:銀行は、TPSPとの取決めを締結する前及び取決めを結んでいる間を通じて、特定されたリスク及び潜在的なリスクを評価し管理するために、サードパーティリスク管理の枠組みの下で包括的なリスク評価を行うべき。 
Principle 4: Banks should conduct appropriate due diligence on a prospective TPSP prior to entering into an arrangement.  原則4: 銀行は、TPSPとの取決めを締結する前に適切なデュー・デリジェンスを行うべき。 
Principle 5: TPSP arrangements should be governed by legally binding written contracts that clearly describe rights and obligations, responsibilities and expectations of all parties in the arrangement.  原則5:TPSPとの取決めは、すべての当事者の権利、責 任及び期待を明確に記述した法的拘束力のある書面による 契約によって管理されるべき。 
Principle 6: Banks should dedicate sufficient resources to support a smooth transition of a new TPSP arrangement in order to prioritise the resolution of any issues identified during due diligence or interpretation of contractual provisions.  原則6:銀行は、デュー・デリジェンスや契約条項の解釈の過程で特定されたあらゆる問題の解決を優先させるために、 新たなサードパーティとの取決めに円滑に移行するための十分な資源を投入すべき。 
Principle 7: Banks should, on an ongoing basis, assess and monitor the performance and changes in the risks and criticality of TPSP arrangements and report accordingly to board and senior management. Banks should respond to issues as appropriate.  原則7:銀行は、TPSPとの取決めのパフォーマンス、リスクの変化、及び重要性を継続的に評価・監視し、その結果を取締役会や上級管理職に報告し、必要に応じて 問題に対応すべき。
Principle 8: Banks should maintain robust business continuity management to ensure their ability to operate in case of a TPSP service disruption.  原則8:銀行は、TPSPのサービスが中断した場合に業務を継続する能力を確保するために、堅固な業務継続 管理を維持すべき。
Principle 9: Banks should maintain exit plans for planned termination and exit strategies for unplanned termination of TPSP arrangements.  原則9:銀行は、TPSPとの取決めの計画的な終了のための出口計画及び計画外の終了のための出口戦略を 維持すべき。 
Principle 10: Supervisors should consider third-party risk management as an integral part of ongoing assessment of banks.  原則10:監督当局は、サードパーティリスク管理を銀行の継続的な評価の不可欠な部分として考慮すべき。
Principle 11: Supervisors should analyse the available information to identify potential systemic risks posed by the concentration of one or multiple TPSPs in the banking sector.  原則11:監督当局は、銀行セクターにおける1つ又は複数のTPSPの集中がもたらす潜在的なシステミック・リスクを特定するために、利用可能な情報を分析すべき。
Principle 12: Supervisors should promote coordination and dialogue across sectors and borders to monitor systemic risks posed by critical TPSPs that provide services to banks.  原則12:監督当局は、セクターや国境を越えて銀行にサービスを 提供する重要なTPSPがもたらすシステミック・リスクをモニターするために、協調と対話を促進すべき。

 

 


 

金融庁からの発表...

金融庁

・2024.07.12 バーゼル銀行監督委員会による市中協議文書「健全なサードパーティリスク管理のための諸原則」の公表について

 

本件に関する金融庁・日本銀行作成説明資料

・2024.08.14 [PDF] バーゼル銀行監督委員会による市中協議文書「健全なサードパーティリスク管理のための諸原則」について

20240820-185913

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2010.05.31 パブリッククラウドコンピューティングサービスは竹である (夏井説)

 

こういう視点も...

・2021.02.19 除草剤をまけば強い植物だけが生き残る

 

| | Comments (0)

2024.08.20

英国 サイバーエッセンシャル発行数 (2023.07-2024.06)

こんにちは、丸山満彦です。

英国では、幅広い企業を対象にサイバーセキュリティが一定の水準以上にあることを自主宣言する (Cyber Essential; CE) と、第三者にそれを認証してもらう (Cyber Essential Plus; CE+)、を取得するサイバーエッセンシャルズ [wikipedia]というのを2014.10から始めています(2022.10に大幅変更)が、

2023.07-2024.06までの1年間の、

CEの発行数が32,967、

CE+の発行数が10,513

になっていますね...(CE+を取得すると自動的にCEも付与されるので、CEの発行数の中にはCE+も含まれています...)

 

GOV.UK - Statistical data set Cyber Essentials management information

・[ODS] Cyber Essentials management information (April 2024 to June 2024)

2023.07-2024.06までのCE、CE+,の発行数の規模別割合は次のようになっていますね。。。

Organisation size number of employees working in that organisation across the UK CE CE+
Large 250 or more 3,332 10% 1,523 14%
Medium 50 to 250 6,688 20% 2,400 23%
Small 10 to 49 11,462 35% 3,066 29%
Micro up to 10 11,502 35% 3,524 34%
Total   32,967 100% 10,513 100%
%   100%   32%  

 

(参考)半年前の数字...

2023.01-2023.12までのCE、CE+,の発行数の規模別割合は次のようになっていますね。。。

・[ODS] Cyber Essentials management information (October 2023 to December 2023)

Organisation size number of employees working in that organisation across the UK CE CE+
Large 250 or more 3,148 10% 1,418 15%
Medium 50 to 250 6,193 20% 2,115 22%
Small 10 to 49 10,522 35% 2,818 29%
Micro up to 10 10,541 35% 3,321 34%
Total   30,404 100% 9,672 100%
%   100%   32%  

 

Table 8には、取得理由の調査結果もあり、これも参考になりますね...

ロンドンは京都みたいなところがあるというので、本当かどうかはわかりませんが、外部からの要求というよりも、自主的、自発的...

Reason 理由 2023.07-2023.09 2023.10-2023.12 2024.01-2024.03 2024.04-2024.06 2023.07-2024.06 (%)
Required by a customer 顧客から要求されている 94 38 6 2 140 0%
Required by a regulatory body 規制団体から要求されている 207 417 272 238 1,134 3%
Required by an insurer 保険会社から要求されている 149 161 155 173 638 2%
Required for a grant 助成金を受けるために必要である 29 29 32 39 129 0%
Required for commercial contract 商業契約のために必要である 936 1,045 1,174 1,006 4,161 13%
Required for government contract 政府契約のために必要である 1,092 1,109 1,074 1,077 4,352 13%
To generally improve our security 全般的なセキュリティの改善 2,609 2,833 2,845 2,944 11,231 34%
To give confidence to our Customers 顧客に信頼していただくため 1,927 2,498 2,788 3,006 10,219 31%
To meet Data Protection Requirements データ保護要件を満たすため 84 31 9 3 127 0%
Other その他 187 229 190 196 802 2%
Total 合計 7,314 8,390 8,545 8,684 32,933 100%

 

 

日本でも類似の制度を考える際のベンチマークになるかもしれませんね...

GOV.UK

サイバーエッセンシャルズ

About Cyber Essentials

データ

Statistical data set - Cyber Essentials management information

 

1_20240502191201

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.17 英国 国家サイバー戦略 2022 の進捗報告 (2022-2023)

・2023.07.13 英国 小規模企業のサイバーセキュリティをサポート:サイバーアドバイザリー制度 (2023.04.17)

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2020.10.11 UK National Cyber Security Centreがスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。(Cyber Essentials認定も意識して

 

| | Comments (0)

米国 国土安全保障省 海港のサイバーセキュリティ保護のためのコントロール環境研究所リソース(CELR)プラットフォームを公表

こんにちは、丸山満彦です。

米国連邦政府の、国土安全保障省科学技術局 (Science and Technology Directorate; S&T)、サイバーセキュリティ・重要インフラセキュリティ庁 (Cybersecurity and Infrastructure Security Agency; CISA)、およびパシフィック・ノースウエスト国立研究所(Pacific Northwest National Laboratory; PNNL)[wikipedia]は、港湾オペレーターがサイバー攻撃の影響を安全に体験し、脅威の探知とサイバー防御のスキルを磨くことができる、実験室規模の港湾プラットフォームを設計・実装したと発表していますね...

日本でいうと、制御システムセキュリティセンター(CSSC)が用意しているものとか、IPAの中核人材育成プログラムで利用するような環境の海港バージョンのようなものですかね...

 

Homeland Security - Science and Technology Directorate

・2024.08.15 Feature Article: Keeping Our Seaports Cyber Secure

Feature Article: Keeping Our Seaports Cyber Secure 特集: 港湾のサイバーセキュリティを守る
A new cutting-edge Control Environment Laboratory Resource (CELR) platform developed by the Science and Technology Directorate (S&T) and Cybersecurity and Infrastructure Security Agency (CISA) will help the U.S. Coast Guard (USCG) boost the cyber strength of our nation’s harbors. 科学技術局(S&T)とサイバーセキュリティ・インフラセキュリティ庁(CISA)が開発した最先端のコントロール環境研究所リソース(CELR)プラットフォームは、米国沿岸警備隊(USCG)による米国の港湾のサイバーセキュリティ強化に役立つ。
1_20240819203401
Though it may not look flashy, the new CELR test environment will help prepare stakeholders for potential cyberattacks against our nation’s seaports. Photo credit: PNNL. 派手な印象はないかもしれないが、この新しい CELR テスト環境は、米国の海港に対する潜在的なサイバー攻撃に備える上で、関係者にとって役立つだろう。写真提供:PNNL
Seaports play an integral role in ensuring the health of our economy. According to the National Oceanic and Atmospheric Administration’s Office for Coastal Management, $2.3 trillion of international trading is facilitated by our seaports, with roughly 1.6 billion tons of imported and exported goods being transported by almost 45,000 vessels every year. 海港は、わが国の経済の健全性を確保する上で重要な役割を果たしている。米国海洋大気庁沿岸管理局によると、海港では年間およそ4万5千隻の船舶により、約16億トンの輸入・輸出貨物が輸送され、2兆3千億ドルの国際貿易が促進されている。
To keep this vital infrastructure running smoothly, our nation’s more than 300 seaports rely heavily on sophisticated information technology (IT) (e.g. software, the cloud, and computer networks) and operational technology (OT) systems (e.g. industrial control systems, supervisory control and data acquisition systems, and terminal operating systems) for their daily operations. These systems are managed, accessed, and controlled via the internet, which makes them susceptible to “hacking, malware attacks, and other malicious online activities,” according to S&T Program Manager Eileen Rubin. この重要なインフラを円滑に稼働させるため、米国の300以上の港湾は、日々の業務に高度な情報技術(IT)(ソフトウェア、クラウド、コンピュータネットワークなど)と運用技術(OT)(産業制御システム、監視制御およびデータ収集システム、端末オペレーティングシステムなど)システムに大きく依存している。これらのシステムはインターネット経由で管理、アクセス、制御されているため、「ハッキング、マルウェア攻撃、その他の悪意のあるオンライン活動」の影響を受けやすいと、S&Tプログラムマネージャーのアイリーン・ルービン氏は指摘する。
With funding from the Infrastructure Investment and Jobs Act, S&T, CISA, and the Pacific Northwest National Laboratory (PNNL) designed and implemented a laboratory-sized seaport platform that gives operators the ability to safely experience the effects of a cyber-attack and hone their threat hunting and cyber-defense skills. インフラ投資・雇用法(Infrastructure Investment and Jobs Act)の資金提供を受け、S&T、CISA、およびパシフィック・ノースウエスト国立研究所(PNNL)は、港湾オペレーターがサイバー攻撃の影響を安全に体験し、脅威の探知とサイバー防御のスキルを磨くことができる、実験室規模の港湾プラットフォームを設計・実装した。
“Cyber threats to seaport operations are a national security concern given our nation's dependence on seaports for the movement of products and material goods. A disruption, even of brief duration, could have cascading negative consequences at regional and national levels,” said CISA Industrial Control Systems Section Chief Alex Reniers. “Therefore, it is imperative that we take the time to understand the potential risks to seaport IT and OT systems that malicious cyber actors could exploit.” CISAの産業制御システム部門の責任者であるアレックス・レニエ氏は次のように述べた。 「港湾業務に対するサイバー脅威は、製品や資材の輸送に港湾に依存している我が国の国家安全保障上の懸念事項です。たとえ短期間であっても、混乱が生じれば、地域レベルおよび国家レベルで連鎖的な悪影響が及ぶ可能性がある。したがって、悪意のあるサイバー行為者が悪用する可能性のある港湾のITおよびOTシステムに対する潜在的なリスクを理解するために時間をかけることが不可欠である。」
Disruptions to a major U.S. seaport could affect shipments via road, rail, or pipelines for days or even weeks. Monetary damages could be in the millions or even billions of dollars and delay the arrival of critical supplies. These interruptions could significantly impact our economy and global supply chain, which is why the team is working to boost the online and physical security of this critical infrastructure so our frontline workers will be prepared to respond to any attempts to compromise their crucial services and related systems. 米国の主要な港湾が機能停止に陥れば、道路、鉄道、パイプラインによる輸送に数日間、あるいは数週間にもわたって影響が及ぶ可能性がある。金銭的な損害は数百万ドル、あるいは数十億ドルに上る可能性もあり、重要な物資の到着が遅れることも考えられる。こうした中断は、わが国の経済やグローバルなサプライチェーンに多大な影響を及ぼす可能性がある。だからこそ、この重要なインフラのオンラインおよび物理的なセキュリティを強化し、現場で働く人々が、重要なサービスや関連システムを脅かすあらゆる試みに対応できるよう備える必要がある。
The new platform will ultimately be part of CISA’s Control Environment Laboratory Resource (CELR) program; be incorporated into CISA’s existing suite of OT security offerings; and serve as a training and research platform for USCG, Department of Homeland Security/Department of Defense partners, manufacturers, cybersecurity experts and researchers, and other seaport owners and operators. この新しいプラットフォームは最終的に、CISAの制御環境ラボリソース(CELR)プログラムの一部となり、CISAが提供するOTセキュリティの既存のスイートに組み込まれる。また、米国沿岸警備隊、国土安全保障省/国防総省のパートナー、製造事業者、サイバーセキュリティの専門家や研究者、その他の港湾所有者や運営者向けのトレーニングおよび研究プラットフォームとしても機能する。
“CELR platforms are laboratory scale environments (about the size of a ping-pong table) that emulate critical infrastructure facilities and the processes, software, and hardware that they rely on in the real world,” said PNNL Senior Cyber-physical Engineer Scott Warnick. “They are designed to provide security professionals—alongside technical personnel, owners, and operators who may have limited exposure to cyber effects—with a safe setting to simulate and experience the effects of cyberattacks without real-world consequences.” PNNLの上級サイバーフィジカルエンジニアであるスコット・ワーニック氏は、「CELRプラットフォームは、実験室規模の環境(卓球台ほどの大きさ)で、現実世界における重要なインフラ施設や、それらが依存するプロセス、ソフトウェア、ハードウェアを模倣するものです」と述べた。「このプラットフォームは、サイバー攻撃の影響にエクスポージャーが限られている技術職員、所有者、運営者とともに、セキュリティ専門家に、現実世界に影響を及ぼすことなく、サイバー攻撃の影響をシミュレートし、体験できる安全な環境を提供することを目的として設計されている」とPNNLの上級サイバーフィジカルエンジニアであるスコット・ワーニック氏は述べた。
Stakeholders will be able to use the new CELR platform to study and analyze ‘attacks’ to discover IT and OT vulnerabilities and prepare to implement countermeasures that will detect, prevent, or mitigate these malicious online attacks. Nine additional CELR platforms are currently in operation at two national laboratory locations. PNNL operates four other platforms: a wastewater treatment system, a water treatment facility, a hydroelectric dam, and a freight rail platform which was also funded through S&T research and development dollars. Idaho National Laboratory (INL) operates five other platforms: an electric transmission substation; an electric distribution substation; a building management system; a chemical processing system; and a natural gas pipeline system. 利害関係者は、この新しいCELRプラットフォームを使用して「攻撃」を研究・分析し、ITおよびOTの脆弱性を発見し、これらの悪意のあるオンライン攻撃を検知、防止、または低減する対策を実施するための準備を行うことができる。現在、9つの追加CELRプラットフォームが2つの国立研究所で運用されている。PNNLは、下水処理システム、水処理施設、水力発電ダム、貨物鉄道プラットフォームの4つのプラットフォームを運用している。このプラットフォームも、S&T研究開発費によって資金提供されている。アイダホ国立研究所(INL)は、送電変電所、配電変電所、ビル管理システム、化学処理システム、天然ガスパイプラインシステムの5つのプラットフォームを運用している。
“When CISA mentioned that the USCG’s Cyber Protection Team (CPT) identified the need to develop new training and testing tools for our seaports, we got right to work with subject matter experts (SMEs) in this field to build and implement a state-of-the-art seaport CELR platform,” said Rubin. 「CISAがUSCGのサイバー防御チーム(CPT)が我々の海港のために新しいトレーニングおよびテストツールの開発の必要性を識別したと述べたとき、我々は直ちにこの分野の専門家(SME)と協力して、最先端の海港CELRプラットフォームを構築し、導入することに取りかかった」とルービン氏は述べた。
The platform is modeled after multiple seaports across the United States. It is designed to show users how the seaport’s various IT and OT systems and processes control daily operations such as the loading, unloading, and movements of containers between ships, trucks, and trains. Users can also simulate and observe the various effects of cyberattacks, and train to develop and implement appropriate countermeasures for these attacks. このプラットフォームは、米国の複数の港湾をモデルに開発された。このプラットフォームは、港湾のさまざまなITおよびOTシステムやプロセスが、船舶、トラック、列車間でのコンテナの積み下ろしや移動などの日常業務をどのように制御しているかをユーザーに表示するように設計されている。また、ユーザーはサイバー攻撃のさまざまな影響をシミュレーションし、観察することができ、これらの攻撃に対する適切な対策を開発し、実施するための訓練を行うこともできる。
The team recently hosted an online demonstration of the seaport platform for stakeholders to demonstrate functionality, including “normal” daily seaport operations, and also run scenarios that illustrate the potential consequences of cyberattacks. 最近、このチームは関係者向けに、港湾プラットフォームのオンラインデモンストレーションを開催し、港湾の「通常」の日常業務を含む機能のデモンストレーションを行い、またサイバー攻撃の潜在的な結果を示すシナリオも実行した。
Simulated cyberattack engagement scenarios are being developed in coordination with USCG CPT and are expected to be ready by next summer. From there, both the platform and simulated engagement scenarios will be made available to USCG CPT and others who want to access it for their own training or research purposes. 模擬サイバー攻撃シナリオは、USCG CPTと連携して開発が進められており、来夏までに完成する予定である。その後、プラットフォームと模擬シナリオの両方が、USCG CPTや、自らの訓練や研究目的でアクセスを希望するその他の人々にも利用可能になる。
S&T and CISA are also looking at the bigger picture. S&TとCISAは、より大きな視点も視野に入れている。
“Defending our nation’s critical infrastructure against threats and strengthening their overall cybersecurity is a high priority for CISA that requires vigilance, education, and collaboration from everyone in our field,” said Reniers. “And, since we have an entire suite of CELR platforms, one of our top priorities is to make all of them available to the cybersecurity SMEs, researchers, and owners and operators who would benefit from being able to use them.” レニエス氏は次のように述べた。「わが国の重要なインフラを脅威から守り、サイバーセキュリティ全体を強化することは、CISAにとって最優先事項であり、この分野に携わるすべての人々の警戒、教育、協力が必要とされている。また、CELRプラットフォーム一式をすべて揃えているため、サイバーセキュリティの専門家、研究者、そしてこれらのプラットフォームを利用することで恩恵を受ける可能性のある所有者や運営者に対して、それらすべてを利用できるようにすることが、最優先事項のひとつとなっている。」
Over the next couple of years, S&T, CISA, PNNL, and INL look to spread awareness, build additional platforms, and increase access to the CELR suite, including equipping U.S. colleges and universities with their own test environments. 今後数年間、S&T、CISA、PNNL、INLは、米国の大学に独自のテスト環境を装備させるなど、認知度の向上、追加プラットフォームの構築、CELRスイートへのアクセス増加を目指している。
“We anticipate by doing this, it will increase accessibility to these vital resources and make it easier for critical infrastructure owners, operators, and staff to be more prepared to address potential cyberattacks against critical infrastructure in the future,” explained Reniers. 「これにより、これらの重要なリソースへのアクセスが向上し、重要インフラの所有者、運営者、スタッフが、将来重要インフラに対するサイバー攻撃の可能性に備えることが容易になるものと期待しています」と、レニエス氏は説明した。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.19 米国 国土安全保障省 監察官室 (OIG) 沿岸警備隊はサイバー攻撃から海上輸送システムを守るため、さらなる措置を講じるべき (2024.07.11)

・2024.02.16 米国 MITRE 海港における中国技術の影響

・2024.01.30 内閣官房 経済安全保障法制に関する有識者会議(第9回) 2024.01

・2023.07.31 名古屋港運協会 NUTS システム障害の経緯報告 (2023.07.26)

・2023.03.22 ENISA 輸送セクターのサイバー脅威状況

・2021.10.07 Atlantic Council 海事サイバーセキュリティに関する協力

・2021.01.08 米国 海事サイバーセキュリティ計画の公表

・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)

 

| | Comments (0)

2024.08.19

英国 国家警備局 英国の利益と国家安全保障に対する妨害工作の脅威への対策

こんにちは、丸山満彦です。

英国の国家警備局 (National Protective Security Authority; NPSA) [wikipedia]は、英国政府のテロ対策など物理的・人的防護セキュリティに関する国家技術機関であり、国家インフラの脆弱性を軽減するために活動していますね...

そのNPSAが妨害工作の脅威への対策について文書を公表していますね...

事業継続計画と同じですよね...重要な資産・システム(人、プロセス、情報、技術、施設
)を把握し、それを脅かす脅威を把握し、関連する脆弱性を考慮して対策を講じる...

滅多にないようなことでも影響が大きければ考慮する必要はありますね(発生可能性が低いものは対策を講じる優先順位が下がる場合もあるけど...)。

興味深い点は、事業が止まった場合の話は事業継続でそれはちゃんとするとして...防御セキュリティ低減策(内部者も油断するなよも含めて)もちゃんと考えとけよ...という点です。そういうことが起こりにくくすることもできるやろ...というわけです。

例えば、

・攻撃を仕掛けようとしている者(内部者を含む)に対して必要となる情報を遮断したり、

・放火や爆発物にも気をつけろとか、

・ドローンにも気をつけろとか...

そして、絵に書いた餅に終わらないように、

・ちゃんと演習 (exercise) をし、その結果を踏まえた見直しも重要となりますよね...

 

 

National Protective Security Authority; NPSA

・2024.08.13 Countering the Threat of Sabotage Operations to UK Interests and National Security

Countering the Threat of Sabotage Operations to UK Interests and National Security 英国の利益と国家安全保障に対する妨害工作の脅威への対策
n general terms, for the purposes of the National Security Act (2023), sabotage is: ‘activity conducted for, on behalf of, or for the benefit of a foreign power, resulting in damage to property, sites and data affecting the UK’s interests, and national security. This can be done through, but not limited to, the use of cyber actions and physical damage.’ 概略として、国家安全保障法(2023年)では、妨害工作とは「外国勢力の利益のために、またはその代理として、あるいはその利益のために行われる活動であり、英国の利益と国家安全保障に影響を及ぼす財産、施設、データへの損害をもたらすもの」と定義されている。これはサイバー攻撃や物理的な損害の発生によって行われるが、これに限定されるものではない。
This guidance outlines the particular sabotage threat and provides a toolbox, signposting users to relevant useful guidance. 本ガイドラインでは、サボタージュの具体的な脅威を概説し、関連する有用なガイダンスへの道標となるツールボックスを提供する。
What is the threat picture? 脅威の全体像とは?
Security Risk Management セキュリティリスクマネジメント
Asset Identification 資産の識別
Identify Threats and Assess Risk 脅威の識別とリスクアセスメント
Develop a Risk Register and Strategy リスクレジストリと戦略の策定
Business Continuity 事業継続
Protective Security Mitigations 防御セキュリティ低減策
Security Minded Communications セキュリティを意識したコミュニケーション
Disrupt Hostile Reconnaissance 敵対的な偵察の妨害
People Security 人的セキュリティ
Fire as a Weapon or an Act of Sabotage 武器またはサボタージュ行為としての放火
Improvised Explosive Devices 即席爆発装置
Drones 無人機
Incident Response インシデント対応
Incident Management インシデント管理
Exercise and Continuously Review 演習と継続的な見直し
   
What is the threat picture? 脅威の全体像とは?
Sabotage activities, on behalf of or for the benefit of a foreign power, may target a broad range of UK infrastructure, critical assets and the supply chains. Activities and sites that can be viewed as opposing the interests of foreign states are likely to be at heightened threat from sabotage activities. This could include, for example, disrupting Western support to Ukraine conflict by targeting the UK defence industry and their broader supply chains of critical goods and military equipment. 外国政府の代理または利益のために行われる妨害活動は、英国の幅広いインフラ、重要な資産、サプライチェーンを標的とする可能性がある。外国の利益に反する活動や場所は、妨害活動による脅威が高まる可能性が高い。例えば、英国の防衛産業や、重要な物資や軍事装備の広範なサプライチェーンを標的にすることで、ウクライナ紛争に対する欧米の支援を妨害することが考えられる。
Sabotage is a means by which hostile state actors undermine the UK’s national security to further their political, military and economic interests. These acts may be carried out in the UK but can be conducted from anywhere in the world and still impact the UK’s interests and security. 妨害行為とは、敵対的な国家が英国の国家安全保障を損ない、政治的、軍事的、経済的利益を追求する手段である。これらの行為は英国国内で実行される可能性もあるが、世界中のどこからでも実行可能であり、英国の利益と安全保障に影響を及ぼす可能性がある。
Sabotage may be conducted directly by members of a foreign intelligence service but could also be conducted by proxies which can include agents, co-optees or other organisations working knowingly or unwittingly on behalf of a foreign state. 妨害行為は外国の諜報機関の職員が直接行う場合もあるが、外国政府の代理として故意または無意識に活動するエージェント、協力者、その他の組織を含む代理人によって行われる可能性もある。
Hostile state actors may also pre-position equipment and technology to commit acts of sabotage at a later date. Acts of sabotage may also be preceded by unusual cyber activity on a target’s systems as well as instances of aerial or other hostile reconnaissance around the intended targets. 敵対的な国家の行為者も、後日破壊行為を行うために、機器や技術を事前に配置しておく可能性がある。破壊行為は、標的のシステム上での異常なサイバー活動や、標的周辺での空中偵察やその他の敵対的な偵察活動に先立って行われる可能性もある。
The means of sabotage will be dependent on the sophistication and capability of the actors and any proxies used. This could impact significantly on the levels of collateral damage caused. Acts of sabotage, for example, could include workers intentionally damaging equipment on a critical programme for the purpose of delaying the UK having specific capabilities, through to use of explosives to destroy essential infrastructure critical to the running of the UK. Arson attacks have recently been seen in several countries however different sabotage methods, including those making use of more sophisticated technology, should also be considered. 破壊行為の手段は、行為者や代理人の洗練度や能力によって異なる。これは、二次被害のレベルに大きな影響を与える可能性がある。例えば、英国が特定の能力を獲得するのを遅らせる目的で、重要なプログラムの機器を故意に損傷する行為や、英国の運営に不可欠なインフラを破壊するために爆発物を使用する行為などが、妨害行為に含まれる可能性がある。放火攻撃は最近、いくつかの国で発生しているが、より高度な技術を利用するものも含め、妨害行為にはさまざまな方法が考えられる。
Effective security risk management is essential when seeking to understand and reduce risks. Utilising this model, we would highlight the following relevant protective security guidance. リスクを理解し、軽減しようとする場合、効果的なセキュリティリスクマネジメントは不可欠である。このモデルを活用し、以下の関連する防御セキュリティガイドラインを強調したい。
Security Risk Management セキュリティリスクマネジメント
Asset Identification 資産の特定
Roles with a responsibility for business continuity, should determine and categorise your most critical systems (people, processes, information, technology and facilities), their locations and their impact of loss or damage including unexpected consequences and knock-on impacts locally. 事業継続に責任を持つ役割は、最も重要なシステム(人、プロセス、情報、技術、施設)を決定し、分類し、それらの場所と、損失や損害による影響(予期せぬ結果や地域への波及効果を含む)を特定すべきである。
These activities should be conducted with people who understand the business, its operations, supply chains and security arrangements. これらの活動は、ビジネス、業務、サプライチェーン、セキュリティ対策を理解している人々とともに実施すべきである。
Identify Threats and Assess Risk 脅威の識別とリスクアセスメント
Establish if businesses’, including subsidiaries’ and sites’, activity might put them at heightened risk to sabotage from foreign states, considering their purpose, output and dependencies. 子会社や事業所を含む事業活動が、その目的、生産物、依存関係を考慮した上で、外国による妨害工作のリスクが高まる可能性があるかどうかを判断する。
Determine whether certain sites/infrastructure/supply chains are at greater risk due to permissive operating environments and proximity to conflict zones. 特定の事業所/インフラ/サプライチェーンが、寛容なビジネス環境や紛争地域への近さにより、より大きなリスクにさらされているかどうかを判断する。
With suitable subject matter experts, carry out vulnerability assessments considering this context of the critical systems you have identified above. Consider the most likely attack methodologies applicable to the critical systems you have identified. 適切な専門家とともに、上記の重要システムを識別した文脈を考慮した脆弱性アセスメントを実施する。 識別した重要システムに適用される可能性が最も高い攻撃手法を検討する。
Develop a Risk Register and Strategy リスクレジスターと戦略の策定
At this point, you should have a risk register that identifies and prioritises the key risk areas and high-level statements on how they are or will be mitigated. この時点で、主要なリスク領域を特定し優先順位付けし、それらがどのように軽減されているか、または軽減される予定であるかについてのハイレベルなステートメントを記載したリスクレジストリが作成されているはずである。
For each risk identified that you are seeking to reduce, people with related roles and responsibilities should develop mitigation plans (Section THREE, FOUR and FIVE provides guidance around this). 軽減を求めるために識別された各リスクについて、関連する役割と責任を持つ人々が軽減計画を策定すべきである(セクション3、4、5では、この点に関するガイダンスを提供している)。
Business Continuity 事業継続
Review your Business Continuity Plans. 事業継続計画を見直す。
Where possible, seek to: 可能な場合は、以下を試みる。
- Increase the redundancy of critical systems. ・重要なシステムの冗長性を高める。
- Improve the operational resilience of the organisation. ・組織の業務レジリエンシーを改善する。
- Divest non-critical functions from vulnerable locations. ・脆弱な場所にある非重要な機能を排除する。
- Reduce, re-locate or evenly distribute business critical stock. ・事業に不可欠な在庫を削減,再配置,または均等に分配する。
Protective Security Mitigations 防御セキュリティ低減策
Sabotage activity can involve a broad range of attack methodologies. Some key protective security mitigations are highlighted below, but other mitigations across the NPSA Extranet should be considered to complement these areas based on your risk assessments. 妨害活動には、幅広い攻撃手法が含まれる可能性がある。以下では、主な防御セキュリティ低減策をいくつか取り上げるが、NPSAエクストラネット全体にわたるその他の低減策も、リスクアセスメントに基づいて、これらの領域を補完するために検討すべきである。
Security Minded Communications セキュリティを意識したコミュニケーション
Assess and reduce the digital footprint relating to people, sites, infrastructure, and business operations. An organisation’s online channels, including websites and social media accounts, are often the first port of call for someone seeking information that could help them target it. 人、場所、インフラ、業務運営に関連するデジタル・フットプリントをアセスメントし、削減する。 ウェブサイトやソーシャルメディアのアカウントなど、組織のオンライン・チャネルは、標的を絞るのに役立つ情報を探している人物にとって、最初にアクセスする場所となることが多い。
By adopting a security-minded approach to your communications, you can deny any hostiles (a person who wants to attack or disrupt an organisation) valuable information they require in the attack planning stage, while also reassuring your genuine visitors. コミュニケーションにセキュリティを重視したアプローチを採用することで、攻撃や妨害を企てる人物(敵対者)が攻撃計画の段階で必要とする貴重な情報を遮断し、同時に正当な訪問者を安心させることができる。
Disrupt Hostile Reconnaissance 敵対的な偵察を妨害する
Most attacks require a degree of hostile reconnaissance during the planning stage. This is normally conducted online, on site, or through utilising knowledge of someone (either wittingly or unwittingly) inside the organisation (known as an ’insider’). ほとんどの攻撃は、計画段階においてある程度の敵対的な偵察を必要とする。これは通常、オンライン上、現地、または組織内部の人物(故意または過失による)の知識を利用することで実施される(「内部者」として知られている)。
Staff security awareness is essential to disrupting hostile reconnaissance and the attack. It is therefore important that you promote a good security culture within your organisation, empowering a security conscious workforce. 敵対的な偵察や攻撃を妨害するには、スタッフのセキュリティ意識が不可欠である。そのため、組織内でセキュリティ文化を推進し、セキュリティ意識の高い労働力を育成することが重要である。
You should consider whether you’re creating an environment that enables key teams to strategically connect observations around hostile reconnaissance, for example considering the connectivity of online and physical events. 例えば、オンラインと物理的なイベントの関連性を考慮するなど、主要なチームが戦略的に敵対的偵察に関する情報を結びつけることができる環境を構築しているかどうかを検討すべきである。
Additional support about how to detect and deter hostile reconnaissance can be found in NPSA guidance Disrupting Hostile Reconnaissance  and Deterrence Communications Toolkit. 敵対的偵察の検知と阻止方法に関する追加のサポートは、NPSAのガイダンス「敵対的偵察の阻止と抑止のためのコミュニケーションツールキット」を参照のこと。
People Security 人的セキュリティ
Upskill workforces to be alert to unusual or suspicious activity (utilising See, Check & Notify) and know what to do if they do encounter unusual activity. SCaN for All is a 30 mins training video that covers vigilance, suspicious activity & how to report concerns. 従業員に、異常な行動や不審な行動に注意を払うようスキルアップを図り(「見る、確認する、報告する」を活用)、異常な行動に遭遇した場合にどうすべきかを理解させる。SCaN for Allは、警戒、不審な行動、懸念事項の報告方法について解説した30分のトレーニングビデオである。
People are an organisation's biggest asset, however, in some cases they can also pose an insider risk utilised to either conduct reconnaissance and/or enable acts of sabotage against an organisation. 従業員は組織にとって最大の資産であるが、場合によっては、組織に対する偵察活動や破壊行為を実行する内部者リスクとなる可能性もある。
Remind your staff to be alert and not provide sensitive or privileged information that may be of use to someone outside of the organisation (and to report anything suspicious). NPSA provides further advice about encouraging these behaviours through the Employee Vigilance Campaign. スタッフに注意を促し、組織外部の誰かに利用される可能性のある機密情報や特権情報を提供しないよう(また、疑わしいことがあれば報告するよう)注意を促す。NPSAは、従業員警戒キャンペーンを通じて、このような行動を奨励するためのさらなるアドバイスを提供している。
The Insider Risk Mitigation Framework is NPSA's recommendation for developing an Insider Threat programme which aims to reduce insider risk. 内部者リスク低減フレームワークは、内部者リスクを低減することを目的とした内部者脅威プログラムの開発を推奨するNPSAの提言である。
Fire as a Weapon or an Act of Sabotage 武器または妨害行為としての放火
Using fire as a weapon or an act of sabotage, can stop or damage the operation of a site and intimidate workforces. Fire as a weapon is considered an attack on people, and fire as an act of sabotage is likely to be focused against a predetermined target. 放火を武器として使用したり、妨害行為として使用したりすることで、施設の業務を停止させたり、損害を与えたり、従業員を脅迫したりすることが可能となる。放火を武器として使用することは