« November 2024 | Main | January 2025 »

December 2024

2024.12.31

欧州法研究所 AI法におけるAIシステムの定義の適用に関するガイドライン:三要素アプローチに関するELIの提案 (2024.12.12)

こんにちは、丸山満彦です。

2024.11.13に欧州委員会のAI Officeがマルチステークホルダーアプローチの一環として、「AI法で定められたAIシステムの定義および禁止されたAI行為の適用に関する委員会ガイドライン (COMMISSION GUIDELINES ON THE APPLICATION OF THE DEFINITION OF AN AI SYSTEM AND THE PROHIBITED AI PRACTICES ESTABLISHED IN THE AI ACT)」に対するコメントを2024.12.11まで求めていたようですね...

それに対する欧州法研究所 (Euopean Law Institute; ELI) [wikipedia]が三要素アプローチという方法論をつかった提案をしているので、紹介です...

AI法の対象となるAIの定義についての話ですので、いろいろと参考になることがあるように思います...

法律をつくるとなると、立法課程、適用までの準備課程を含めて、議論が深まりますね...

 

欧州法研究所は、2011年にベルギー法に基づいて設立された会員制の非営利法人で、EU法的発展に焦点をあてた団体で、欧州議会、欧州連合司法裁判所 (CJEU)、国際連合国際商取引法委員会 (UNCITRAL)、国際私法統一研究所 (UNIDROIT)、欧州のいくつかの最高裁判所、法律事務所、学部、専門家協会 (欧州弁護士会・法曹協会協議会 (CCBE)、欧州連合公証人協議会 (CNUE)、欧州司法評議会ネットワーク (ENCJ)、欧州連合最高裁判所長官ネットワークなども会員に含まれているようですね。資金は、会員の会費の他、ウィーン大学、EUからの運営補助金等ですね...

 

Euopean Law Institute; ELI

・2024.12.12 ELI Submits a Response to the European Commission's Public Consultation on the AI Act

ELI Submits a Response to the European Commission's Public Consultation on the AI Act ELI、AI法に関する欧州委員会のパブリックコンサルテーションに回答を提出
The recently approved by ELI Council Response, ‘ELI Proposal for a Three-Factor Approach’, was submitted to the Commission on 11 December 2024. ELI評議会が最近承認した回答「3要素アプローチに関するELI提案」が、2024年12月11日に欧州委員会に提出された。
On 1 August 2024, the AI Act entered into force, marking a significant milestone in the EU's efforts to regulate artificial intelligence. This followed the establishment of the European AI Office in May 2024, which is tasked with ensuring the consistent application of the Act across Member States and providing guidance on its implementation. To prepare for the application of rules addressing high-risk AI systems and practices posing unacceptable risks, set to take effect on 2 February 2025, the European Commission launched targeted stakeholder consultation. These consultations aim to refine guidelines and support the development of codes of practice, paving the way for the Act's full implementation by 2026. In furtherance of the above, the Commission launched a Multi-Stakeholder Consultation for Commission Guidelines on the Application of the Definition of an AI System and the Prohibited AI Practices Established in the AI Act on 13 November 2024, to which the ELI contributed. 2024年8月1日、AI法が施行され、EUの人工知能規制への取り組みにおける重要なマイルストーンとなった。これは、加盟国全体で同法の一貫した適用を確保し、その実施に関する指針を提供することを任務とする欧州AIオフィスの2024年5月の設立を受けてのことである。容認できないリスクをもたらす高リスクAIシステムおよび慣行に対処する規則の適用に備え、欧州委員会は対象を絞った利害関係者との協議を開始した。これらの協議は、ガイドラインを洗練させ、行動規範の策定を支援し、2026年までの同法の完全実施への道筋をつけることを目的としている。さらに、欧州委員会は、2024年11月13日に「AI法」で定められた「AIシステム」の定義および禁止されたAI行為の適用に関する欧州委員会ガイドラインの策定に向けた多者協議を開始し、ELIもこれに貢献した。
ELI is extremely grateful to Prof Dr Christiane Wendehorst, ELI’s Scientific Director and Mr Bernhard Nessler, Research Manager Intelligent Systems and Certification of AI at the Software Competence Center Hagenberg (SCCH), lecturer at the Institute for Machine Learning at Johannes Kepler University Linz and Vice-President of the Austrian Society for Artificial Intelligence (ASAI), who drafted the Response, and to ELI’s President, Prof Dr Pascal Pichonnaz, ELI Executive Member Prof Dr Teresa Rodríguez de las Heras Ballell, Judge Marc Clément, Prof Dr Piotr Machnikowski and Dr Rania Wazir for their helpful feedback on the draft Response. ELIは、ELIの科学ディレクターであるクリスティアーネ・ヴェンデホースト教授と、ハゲンベルクソフトウェアコンピテンスセンター(SCCH)のインテリジェントシステムおよびAI認証の研究マネージャーであり、リンツのヨハネス・ケプラー大学機械学習研究所の講師、オーストリア人工知能学会(ASAI)の副会長であるベルンハルト・ネスラー氏に、 回答の草案を作成した同研究所のバーナード・ネスラー研究マネージャー、および回答の草案に対する有益なフィードバックを提供してくださったELIのパスカル・ピションナズ学長、ELIのテレサ・ロドリゲス・デ・ラス・エラス・バジェル執行委員、マーク・クレマン判事、ピョートル・マフニコフスキ教授、ラニア・ワジル博士に感謝の意を表する。
ELI’s Response is available here. ELIの回答

 

・[PDF]

20241231-65935

・[DOCX][PDF] 仮訳

 

 

 


EU委員会のAI法の定義に関する協議の際のプレス...

EU Commission

・2024.11.13 Commission launches consultation on AI Act prohibitions and AI system definition

Commission launches consultation on AI Act prohibitions and AI system definition 欧州委員会、AI法の禁止事項とAIシステムの定義に関する協議を開始
The Commission’s Artificial Intelligence (AI) Office is launching a targeted stakeholders consultation process on the future guidelines on the AI system definition and the implementation of AI practices that pose unacceptable risks under the AI Act. 欧州委員会の人工知能(AI)オフィスは、AIシステムの定義と、AI法の下で容認できないリスクをもたらすAI慣行の実施に関する将来のガイドラインについて、対象を絞った利害関係者との協議プロセスを開始する。
The guidelines will help national competent authorities as well as providers and deployers in complying with the AI Act’s rules on such AI practices ahead of the application of the relevant provisions on 2 February 2025. このガイドラインは、2025年2月2日の関連規定の適用に先立ち、AI慣行に関するAI法の規則を遵守する上で、各国の所轄当局やプロバイダー、展開者に役立つものとなる。
The AI Office invites stakeholders, including AI systems providers, businesses, national authorities, academia, research institutions and civil society to submit their input. The contributions received will feed into the Commission's guidelines on the definition of AI system and prohibited AI practices under the AI Act, to be published in early 2025. AIオフィスは、AIシステムプロバイダー、企業、国家当局、学術機関、研究機関、市民社会を含む利害関係者に対し、意見を提出するよう呼びかけている。寄せられた意見は、2025年初頭に発表予定のAI法に基づくAIシステムの定義および禁止されるAI行為に関する欧州委員会のガイドラインに反映される。
The legal concepts regarding the AI system definition and prohibited AI practices are established in the AI Act. This consultation seeks additional practical examples from stakeholders to feed into the guidelines and provide further clarity on practical aspects and use cases. AIシステム定義および禁止されるAI行為に関する法的概念は、AI法に定められている。今回の協議では、ガイドラインに反映させるため、また、実用面や使用事例に関するさらなる明確化を図るため、利害関係者から追加の実例を求める。
Participants can find more information on the consultation, which will remain open for 4 weeks, until 11 December 2024. 協議に関する詳細は、2024年12月11日までの4週間、公開されている。
More information: 詳細情報:
European Artificial Intelligence (AI) Office 欧州人工知能(AI)事務局
AI Act AI法

 

協議期間が終了していて、協議の詳細がみられない...

 

 

 

 

 

| | Comments (0)

2024.12.30

米国 司法省 LockBitランサムウェアグループの開発者としてロシアおよびイスラエルの二重国籍者を起訴 (2024.12.20)

こんにちは、丸山満彦です。

少し前ですが、LockBitランサムウェアグループの開発者としてロシアおよびイスラエルの二重国籍者を起訴していますね...

容疑者は、イスラエルですでに身柄を拘束されているようですね...

LockBitの壊滅についての米国政府のなみなみならぬ意気込みを感じますね...

起訴状を読むと面白いかもです...

犯人側からの身代金の会計処理についての「教育費(システム管理者のためのトレーニング費用)にしたらええやん」というアドバイスは、「その手があったか!」と思う人がいるかもですが、たぶん間違いです...(^^)

 

LockBitのコントロールパネルの画像(起訴状から)...

初期...

1_20241230070401

他のバージョン...

2_20241230070501

 

Department of Justice; DOJ

・2024.12.20 United States Charges Dual Russian and Israeli National as Developer of LockBit Ransomware Group

United States Charges Dual Russian and Israeli National as Developer of LockBit Ransomware Group 米国、LockBitランサムウェアグループの開発者としてロシアおよびイスラエルの二重国籍者を起訴
Defendant Rostislav Panev in Custody Pending Extradition from Israel to the United States 被告Rostislav Panev、イスラエルから米国への身柄引き渡しを待って拘束中
Note: A copy of the superseding criminal complaint can be found here. 注:刑事告訴状(差替)は、こちら。
A superseding criminal complaint filed in the District of New Jersey was unsealed today charging a dual Russian and Israeli national for being a developer of the LockBit ransomware group. ニュージャージー地区で本日提出された刑事告訴状(差替)は、ロシアとイスラエルの二重国籍者をLockBitランサムウェアグループの開発者として起訴するものである。
In August, Rostislav Panev, 51, a dual Russian and Israeli national, was arrested in Israel pursuant to a U.S. provisional arrest request with a view towards extradition to the United States. Panev is currently in custody in Israel pending extradition on the charges in the superseding complaint. 8月には、米国への身柄引き渡しを目的とした米国の仮逮捕要請に従い、ロシアとイスラエルの二重国籍者であるロスチスラフ・パネフ(51)がイスラエルで逮捕された。パネフは現在、追加の告訴状に基づく罪状での身柄引き渡しを待ってイスラエルで拘束されている。
“The Justice Department’s work going after the world’s most dangerous ransomware schemes includes not only dismantling networks, but also finding and bringing to justice the individuals responsible for building and running them,” said Attorney General Merrick B. Garland. “Three of the individuals who we allege are responsible for LockBit’s cyberattacks against thousands of victims are now in custody, and we will continue to work alongside our partners to hold accountable all those who lead and enable ransomware attacks.” メリック・B・ガーランド司法長官は次のように述べた。「司法省が世界で最も危険なランサムウェアのスキームを追及する業務には、ネットワークの解体だけでなく、その構築と運営に責任のある個人を特定し、法の裁きにかけることも含まれている。数千人の被害者に対するLockBitのサイバー攻撃の責任者とされる3人の容疑者は現在拘束されており、今後もパートナーと協力して、ランサムウェア攻撃を主導し、それを可能にする者すべてに責任を取らせるべく取り組んでいく。」
“The arrest of Mr. Panev reflects the Department's commitment to using all its tools to combat the ransomware threat,” said Deputy Attorney General Lisa Monaco. “We started this year with a coordinated international disruption of LockBit — the most damaging ransomware group in the world. Fast forward to today and three LockBit actors are in custody thanks to the diligence of our investigators and our strong partnerships around the world. This case is a model for ransomware investigations in the years to come.” リサ・モナコ副司法長官は次のように述べた。「パネフ氏の逮捕は、ランサムウェアの脅威に対抗するためにあらゆる手段を講じるという当省の決意を反映するものだ。私たちは今年、世界で最も被害を及ぼしているランサムウェア集団であるLockBitを国際的に連携して壊滅させることでスタートした。そして今日、私たちの捜査官の努力と世界中の強力なパートナーシップのおかげで、LockBitの3人の実行犯が拘束された。この事件は、今後数年にわたるランサムウェア捜査の模範となるだろう。」
“The arrest of alleged developer Rostislav Panev is part of the FBI’s ongoing efforts to disrupt and dismantle the LockBit ransomware group, one of the most prolific ransomware variants across the globe,” said FBI Director Christopher Wray. “The LockBit group has targeted both public and private sector victims around the world, including schools, hospitals, and critical infrastructure, as well as small businesses and multi-national corporations.  No matter how hidden or advanced the threat, the FBI remains committed to working with our interagency partners to safeguard the cyber ecosystem and hold accountable those who are responsible for these criminal activities.”  FBI長官のクリストファー・レイ氏は次のように述べた。「容疑者であるロスチスラフ・パネフの逮捕は、世界で最も悪名高いランサムウェアの亜種のひとつであるLockBitランサムウェアグループを壊滅させるFBIの継続的な取り組みの一環である。LockBitグループは、世界中の公共部門および民間部門の被害者を標的にしており、その中には学校、病院、重要なインフラストラクチャ、中小企業、多国籍企業などが含まれている。脅威がどれほど巧妙に隠されていても、FBIは省庁間のパートナーと協力し、サイバーエコシステムを保護し、これらの犯罪行為に責任のある者を責任を問うことに引き続き取り組んでいく。」
“The criminal complaint alleges that Rostislav Panev developed malware and maintained the infrastructure for LockBit, which was once the world’s most destructive ransomware group and attacked thousands of victims, causing billions of dollars in damage,” said Principal Deputy Assistant Attorney General Nicole M. Argentieri, head of the Justice Department’s Criminal Division. “Along with our domestic and international law enforcement partner actions to dismantle LockBit’s infrastructure, the Criminal Division has disrupted LockBit’s operations by charging seven of its key members (including affiliates, developers, and its administrator) and arresting three of these defendants — including Panev. We are especially grateful for our partnerships with authorities in Europol, the United Kingdom, France, and Israel, which show that, when likeminded countries work together, cybercriminals will find it harder to escape justice.” 司法省刑事局の局長であるニコル・M・アルジェンティエリ首席副次官補は次のように述べた。「刑事告訴状によると、ロスチスラフ・パネフは、かつて世界で最も破壊的なランサムウェア集団であり、数千人の被害者を攻撃し、数十億ドルの損害を与えたLockBitのためにマルウェアを開発し、インフラを維持していたとされている。刑事局は、LockBitのインフラを解体するための国内外の法執行機関との連携に加え、主要メンバー7人(関連企業、開発者、管理者を含む)を起訴し、そのうちの3人(パネフを含む)を逮捕することで、LockBitの活動を中断させた。欧州刑事警察機構、英国、フランス、イスラエルの当局との連携に特に感謝している。同様の考えを持つ国々が協力すれば、サイバー犯罪者が正義から逃れることがより困難になることを示している。」
“As alleged by the complaint, Rostislav Panev for years built and maintained the digital weapons that enabled his LockBit coconspirators to wreak havoc and cause billions of dollars in damage around the world,” said U.S. Attorney Philip R. Sellinger for the District of New Jersey. “But just like the six other LockBit members previously identified and charged by this office and our FBI and Criminal Division partners, Panev could not remain anonymous and avoid justice indefinitely. He must now answer for his crimes. Today’s announcement represents another blow struck by the United States and our international partners against the LockBit organization, and our efforts will continue relentlessly until the group is fully dismantled and its members brought to justice.” ニュージャージー地区のフィリップ・R・セリンジャー米国連邦検事は、次のように述べた。「訴状で申し立てられているように、ロスチスラフ・パネフは長年にわたり、共犯者たちが世界中で大混乱を引き起こし、数十億ドルの損害を与えることを可能にするデジタル兵器を構築し、維持してきた。しかし、この事務所とFBIおよび刑事部門のパートナーによって以前に識別され起訴された6人のLockBitメンバーと同様に、パネフも匿名のままで正義を逃れ続けることはできなかった。彼は今こそ、その犯罪の責任を問われなければならない。本日の発表は、米国および国際パートナーがLockBit組織に対して行ったさらなる打撃であり、このグループが完全に解体され、そのメンバーが法の裁きを受けるまで、我々の努力は容赦なく継続されるだろう。」
According to the superseding complaint, documents filed in this and related cases, and statements made in court, Panev acted as a developer of the LockBit ransomware group from its inception in or around 2019 through at least February 2024. During that time, Panev and his LockBit coconspirators grew LockBit into what was, at times, the most active and destructive ransomware group in the world. The LockBit group attacked more than 2,500 victims in at least 120 countries around the world, including 1,800 in the United States. Their victims ranged from individuals and small businesses to multinational corporations, including hospitals, schools, nonprofit organizations, critical infrastructure, and government and law-enforcement agencies. LockBit’s members extracted at least $500 million in ransom payments from their victims and caused billions of dollars in other losses, including lost revenue and costs from incident response and recovery. 追加の訴状、本件および関連事件で提出された書類、法廷での供述によると、パネフは2019年頃にLockBitランサムウェアグループの開発者となり、少なくとも2024年2月までその任にあった。その間、パネフと共謀者たちは、LockBitを世界で最も活発で破壊的なランサムウェアグループへと成長させた。LockBitグループは、少なくとも120か国、2,500人以上の被害者を攻撃し、その中には米国の1,800人も含まれていた。被害者は、個人や小規模企業から多国籍企業まで幅広く、病院、学校、非営利団体、重要なインフラ、政府および法執行機関も含まれていた。LockBitのメンバーは、被害者から少なくとも5億ドルの身代金を引き出し、収益の損失やインシデント対応および復旧にかかる費用など、数十億ドルの損失を発生させた。
LockBit’s members comprised “developers,” like Panev, who designed the LockBit malware code and maintained the infrastructure on which LockBit operated. LockBit’s other members, called “affiliates,” carried out LockBit attacks and extorted ransom payments from LockBit victims. LockBit’s developers and affiliates would then split ransom payments extorted from victims. LockBitのメンバーは、Panevのような「開発者」で構成されており、LockBitマルウェアのコードを設計し、LockBitが動作するインフラストラクチャを維持していた。LockBitの他のメンバーは「アフィリエイト」と呼ばれ、LockBit攻撃を実行し、LockBitの被害者から身代金を脅し取っていた。そして、LockBitの開発者とアフィリエイトは、被害者から脅し取った身代金を山分けしていた。
As alleged in the superseding complaint, at the time of Panev’s arrest in Israel in August, law enforcement discovered on Panev’s computer administrator credentials for an online repository that was hosted on the dark web and stored source code for multiple versions of the LockBit builder, which allowed LockBit’s affiliates to generate custom builds of the LockBit ransomware malware for particular victims. On that repository, law enforcement also discovered source code for LockBit’s StealBit tool, which helped LockBit affiliates exfiltrate data stolen through LockBit attacks. Law enforcement also discovered access credentials for the LockBit control panel, an online dashboard maintained by LockBit developers for LockBit’s affiliates and hosted by those developers on the dark web. 追加の訴状で申し立てられているように、8月にパネフがイスラエルで逮捕された際、警察はパネフのコンピュータ上で、ダークウェブでホストされていたオンラインリポジトリの管理者資格情報を発見した。このリポジトリには、LockBitのビルダーの複数のバージョンのソースコードが保存されており、LockBitのアフィリエイトが特定の被害者向けにLockBitランサムウェアマルウェアのカスタムビルドを生成することを可能にしていた。また、このリポジトリ上で、LockBitのStealBitツールのソースコードも発見された。このツールは、LockBitの攻撃によって盗まれたデータをLockBitの関係者が外部に持ち出すのに役立っていた。さらに、LockBitの関係者向けにLockBitの開発者が管理し、ダークウェブ上でホスティングされていたオンラインダッシュボード、LockBitのコントロールパネルのアクセス認証情報も発見された。
The superseding complaint also alleges that Panev exchanged direct messages through a cybercriminal forum with LockBit’s primary administrator, who, in an indictment unsealed in the District of New Jersey in May, the United States alleged to be Dimitry Yuryevich Khoroshev (Дмитрий Юрьевич Хорошев), also known as LockBitSupp, LockBit, and putinkrab. In those messages, Panev and the LockBit primary administrator discussed work that needed to be done on the LockBit builder and control panel. また、追加の訴状では、Panevがサイバー犯罪者フォーラムを通じてLockBitの主要管理者と直接メッセージをやり取りしていたと主張している。この主要管理者は、5月にニュージャージー地区で開示された起訴状によると、米国はDimitry Yuryevich Khoroshev(Дмитрий Юрьевич Хорошев)として知られ、LockBitSupp、LockBit、putinkrabとも呼ばれている。これらのメッセージでは、PanevとLockBitの主要管理者が、LockBitのビルダーとコントロールパネルで必要な作業について話し合っていた。
Court documents further indicate that, between June 2022 and February 2024, the primary LockBit administrator made a series of transfers of cryptocurrency, laundered through one or more illicit cryptocurrency mixing services, of approximately $10,000 per month to a cryptocurrency wallet owned by Panev. Those transfers amounted to over $230,000 during that period. 裁判所の文書によると、2022年6月から2024年2月の間、LockBitの主要管理者が、1つまたは複数の違法な暗号通貨混合サービスを通じて洗浄した暗号通貨を、毎月約1万ドル相当をPanevが所有する暗号通貨ウォレットに送金していたことが明らかになっている。これらの送金は、その期間中に23万ドルを超えた。
In interviews with Israeli authorities following his arrest in August, Panev admitted to having performed coding, development, and consulting work for the LockBit group and to having received regular payments in cryptocurrency for that work, consistent with the transfers identified by U.S. authorities. Among the work that Panev admitted to having completed for the LockBit group was the development of code to disable antivirus software; to deploy malware to multiple computers connected to a victim network; and to print the LockBit ransom note to all printers connected to a victim network. Panev also admitted to having written and maintained LockBit malware code and to having provided technical guidance to the LockBit group. 8月に逮捕された後のイスラエル当局とのインタビューで、パネフは、LockBitグループのためにコーディング、開発、コンサルティング業務を行ったこと、またその業務に対して暗号通貨で定期的に支払いを受けていたことを認めた。これは、米国当局が識別した送金と一致している。パネフがLockBitグループのために行ったと認めた業務には、アンチウイルスソフトウェアを無効にするコードの開発、被害者のネットワークに接続された複数のコンピュータへのマルウェアの展開、被害者のネットワークに接続されたすべてのプリンタへのLockBitランサムメモの印刷などがあった。また、パネフはLockBitマルウェアのコードを書き、メンテナンスを行い、LockBitグループに技術的な指導を行っていたことも認めた。
The LockBit Investigation LockBitの捜査
The superseding complaint against, and apprehension of, Panev follows a disruption of LockBit ransomware in February by the United Kingdom (U.K.)’s National Crime Agency (NCA)’s Cyber Division, which worked in cooperation with the Justice Department, FBI, and other international law enforcement partners. As previously announced by the Department, authorities disrupted LockBit by seizing numerous public-facing websites used by LockBit to connect to the organization’s infrastructure and by seizing control of servers used by LockBit administrators, thereby disrupting the ability of LockBit actors to attack and encrypt networks and extort victims by threatening to publish stolen data. That disruption succeeded in greatly diminishing LockBit’s reputation and its ability to attack further victims, as alleged by documents filed in this case. Panevに対する追加の告訴状と逮捕は、司法省、FBI、その他の国際的な法執行機関のパートナーと協力した英国(U.K.)の国家犯罪対策庁(NCA)のサイバー部門による2月のLockBitランサムウェアの混乱に続くものである。司法省が以前に発表したように、当局は、LockBitが組織のインフラに接続するために使用していた多数の公開ウェブサイトを押収し、LockBitの管理者が使用していたサーバーの管理権限を押収することで、LockBitを妨害した。これにより、LockBitの攻撃者がネットワークを攻撃して暗号化し、盗んだデータを公開すると脅迫して被害者から金を脅し取る能力が妨害された。この妨害により、LockBitの評判とさらなる被害者を攻撃する能力が大幅に低下した。この事件で提出された書類によると、その妨害は成功した。
The superseding complaint against Panev also follows charges brought in the District of New Jersey against other LockBit members, including its alleged primary creator, developer, and administrator, Dmitry Yuryevich Khoroshev. An indictment against Khoroshev unsealed in May alleges that Khoroshev began developing LockBit as early as September 2019, continued acting as the group’s administrator through 2024, a role in which Khoroshev recruited new affiliate members, spoke for the group publicly under the alias “LockBitSupp,” and developed and maintained the infrastructure used by affiliates to deploy LockBit attacks. Khoroshev is currently the subject of a reward of up to $10 million through the U.S. Department of State’s Transnational Organized Crime (TOC) Rewards Program, with information accepted through the FBI tip website at www.tips.fbi.gov/. また、Panevに対する追加の訴状は、ニュージャージー地区で他のLockBitメンバーに対して提起された訴訟に続くものであり、その中には、主犯とされる開発者および管理者、Dmitry Yuryevich Khoroshevも含まれている。5月に非公開が解除されたホロシェフに対する起訴状によると、ホロシェフは2019年9月には早くもLockBitの開発を開始し、2024年までグループの管理者として活動し、その役割において、新たな提携メンバーを勧誘し、別名「LockBitSupp」として公にグループを代表し、提携メンバーがLockBit攻撃を展開するために使用するインフラの開発と維持を行っていたとされている。現在、Khoroshevは米国国務省の国際組織犯罪(TOC)懸賞プログラムを通じて最高1000万ドルの懸賞の対象となっており、情報はFBIのタレコミ情報ウェブサイト(www.tips.fbi.gov/)で受け付けている。
A total of seven LockBit members have now been charged in the District of New Jersey. Beyond Panev and Khoroshev, other previously charged LockBit defendants include: 現在、ニュージャージー地区で合計7人のLockBitメンバーが起訴されている。PanevとKhoroshev以外に、以前に起訴されたLockBit被告には以下が含まれる。
・In July, two LockBit affiliate members, Mikhail Vasiliev, also known as Ghostrider, Free, Digitalocean90, Digitalocean99, Digitalwaters99, and Newwave110, and Ruslan Astamirov, also known as BETTERPAY, offtitan, and Eastfarmer, pleaded guilty in the District of New Jersey for their participation in the LockBit ransomware group and admitted deploying multiple LockBit attacks against U.S. and foreign victims. Vasiliev and Astamirov are presently in custody awaiting sentencing. ・7月には、LockBitの関連メンバーであるMikhail Vasiliev(別名Ghostrider、Free、Digitalocean90、Digitalocean99、Digitalwaters99、Newwave110)とRuslan Astami 別名BETTERPAY、offtitan、Eastfarmerとして知られるロス・アスタミロフは、ニュージャージー地区で、LockBitランサムウェアグループへの参加を認め、米国および外国の被害者に対して複数のLockBit攻撃を展開したことを認めた。ワシリエフとアスタミロフは現在、判決を待って拘置されている。
・In February, in parallel with the disruption operation described above, an indictment was unsealed in the District of New Jersey charging Russian nationals Artur Sungatov and Ivan Kondratyev, also known as Bassterlord, with deploying LockBit against numerous victims throughout the United States, including businesses nationwide in the manufacturing and other industries, as well as victims around the world in the semiconductor and other industries. Sungatov and Kondratyev remain at large. ・2月には、上述の撲滅作戦と並行して、米国ニュージャージー地区で、ロシア国籍のアルトゥール・スンガトフとイワン・コンドラチェフ(別名:Bassterlord)が、米国中の多数の被害者(製造事業者を含む全米の事業者など)や、世界中の半導体産業などの被害者に対してLockBitを展開した容疑で起訴状が公開された。スンガトフとコンドラチェフは現在も逃亡中である。
・In May 2023, two indictments were unsealed in Washington, D.C., and the District of New Jersey charging Mikhail Matveev, also known as Wazawaka, m1x, Boriselcin, and Uhodiransomwar, with using different ransomware variants, including LockBit, to attack numerous victims throughout the United States, including the Washington, D.C., Metropolitan Police Department. Matveev remains at large and is currently the subject of a reward of up to $10 million through the U.S. Department of State’s TOC Rewards Program, with information accepted through the FBI tip website at www.tips.fbi.gov/. ・2023年5月、ワシントンD.C.とニュージャージー地区で、ワザワカ、m1x、ボリセルチン、ウホディランサムウェアとしても知られるミハイル・マトヴェーエフを、LockBitを含むさまざまなランサムウェアの亜種を使用してワシントンD.C.のメトロポリタン警察署を含む米国中の多数の被害者を攻撃した容疑で起訴した。マトヴェエフは依然として逃亡中で、現在、米国務省のTOC報奨プログラムを通じて最高1000万ドルの懸賞金がかけられている。情報はFBIのタレコミ情報ウェブサイト(www.tips.fbi.gov/)で受け付けている。
The U.S. Department of State’s TOC Rewards Program is offering rewards of: 米国国務省のTOC報奨プログラムでは、以下の報奨金を提示している。
・Up to $10 million for information leading to the arrest and/or conviction in any country of Khoroshev; ・Khoroshevの逮捕および/または有罪判決につながる情報に対して、最大1000万ドル
・Up to $10 million for information leading to the arrest and/or conviction of Matveev; ・Matveevの逮捕および/または有罪判決につながる情報に対して、最大1000万ドル
・Up to $10 million for information leading to the identification and location of any individuals who hold a key leadership position in LockBit; and ・LockBitの主要な指導的立場にある人物の身元および所在につながる情報に対して、最大1000万ドル
・Up to $5 million for information leading to the arrest and/or conviction in any country of any individual participating or attempting to participate in LockBit. ・LockBitに関与している、または関与を試みた人物の逮捕および/または有罪判決につながる情報に対しては、最大500万ドルが支払われる。
Information is accepted through the FBI tip website at tips.fbi.gov. 情報はFBIの情報ウェブサイト(tips.fbi.gov)で受け付けている。
Khoroshev, Matveev, Sungatov, and Kondratyev have also been designated for sanctions by the Department of the Treasury’s Office of Foreign Assets Control for their roles in launching cyberattacks. また、サイバー攻撃の実行に関与したとして、ホロシェフ、マトヴェエフ、スンガトフ、コンドラチェフの4名は、財務省外国資産管理局(OFAC)により制裁対象に指定されている。
Victim Assistance 被害者支援
LockBit victims are encouraged to contact the FBI and submit information at www.ic3.gov/. As announced by the Department in February, law enforcement, through its disruption efforts, has developed decryption capabilities that may enable hundreds of victims around the world to restore systems encrypted using the LockBit ransomware variant. Submitting information at the IC3 site will enable law enforcement to determine whether affected systems can be successfully decrypted. LockBitの被害者はFBIに連絡し、www.ic3.gov/で情報を提出することが推奨される。2月に同省が発表したように、法執行機関は、その妨害活動を通じて、世界中の数百人の被害者がLockBitランサムウェアの亜種で暗号化されたシステムを復元できる可能性がある復号化能力を開発した。IC3サイトで情報を提出することで、法執行機関は影響を受けたシステムが正常に復号化できるかどうかを判断できるようになる。
LockBit victims are also encouraged to visit www.justice.gov/usao-nj/lockbit for case updates and information regarding their rights under U.S. law, including the right to submit victim impact statements and request restitution, in the criminal litigation against Panev, Astamirov, and Vasiliev. LockBitの被害者の方々には、事件の最新情報や、Panev、Astamirov、Vasilievに対する刑事訴訟において、被害影響声明の提出や損害賠償請求を行う権利など、米国法に基づく権利に関する情報を得るために、www.justice.gov/usao-nj/lockbitにアクセスすることも推奨する。
The FBI Newark Field Office, under the supervision of Acting Special Agent in Charge Nelson I. Delgado, is investigating the LockBit ransomware variant. Israel’s Office of the State Attorney, Department of International Affairs, and Israel National Police; France’s Gendarmerie Nationale Cyberspace Command, Paris Prosecution Office — Cyber Division, and judicial authorities at the Tribunal Judiciare of Paris; Europol; Eurojust; the U.K.’s NCA; Germany’s Landeskriminalamt Schleswig-Holstein, Bundeskriminalamt, and the Central Cybercrime Department North Rhine-Westphalia; Switzerland’s Federal Office of Justice, Public Prosecutor’s Office of the Canton of Zurich, and Zurich Cantonal Police; Spain’s Policia Nacional and Guardia Civil; Japan’s National Police Agency; Australian Federal Police; Sweden’s Polismyndighetens; Canada’s Royal Canadian Mounted Police; Politie Dienst Regionale Recherche Oost-Brabant of the Netherlands; and Finland’s National Bureau of Investigation have provided significant assistance and coordination in these matters and in the LockBit investigation generally. FBIニューアーク支局は、ネルソン・I・デルガド特別捜査官代理の指揮の下、LockBitランサムウェアの亜種の捜査を行っている。イスラエル検察庁国際部およびイスラエル国家警察、フランスの国家憲兵隊サイバー空間コマンド、パリ検察庁サイバー犯罪課、およびパリ司法裁判所の司法当局、欧州刑事警察機構、欧州司法機構、英国の国家犯罪対策庁、ドイツの シュレースヴィヒ=ホルシュタイン州警察、連邦警察、ノルトライン=ヴェストファーレン州中央サイバー犯罪対策部門、スイス連邦司法省、チューリッヒ州検察局、チューリッヒ州警察、スペイン国家警察および国家治安警備隊、日本の警察庁、 警察庁、オーストラリア連邦警察、スウェーデン警察、カナダ王立騎馬警察、オランダ・ブラバント州警察、フィンランド国家捜査局は、これらの問題およびLockBitの捜査全般において、多大な支援と調整を提供している。
Trial Attorneys Debra Ireland and Jorge Gonzalez of the Criminal Division’s Computer Crime and Intellectual Property Section (CCIPS) and Assistant U.S. Attorneys Andrew M. Trombly, David E. Malagold, and Vinay Limbachia for the District of New Jersey are prosecuting the charges against Panev and the other previously charged LockBit defendants in the District of New Jersey. ニュージャージー地区の刑事部門コンピュータ犯罪・知的財産課(CCIPS)のデブラ・アイルランドおよびホルヘ・ゴンザレス両弁護士、およびニュージャージー地区の米国連邦検事のアンドリュー・M・トロンブリー、デビッド・E・マラゴールド、ヴィナイ・リンバキア各補佐官が、ニュージャージー地区でパネフおよび以前に告発された他のLockBit被告に対する告訴を担当している。
The Justice Department’s Cybercrime Liaison Prosecutor to Eurojust, Office of International Affairs, and National Security Division also provided significant assistance. 司法省の欧州司法機構サイバー犯罪連絡検事、国際問題担当部署、国家安全保障ディビジョンも多大な支援を提供した。
Additional details on protecting networks against LockBit ransomware are available at StopRansomware.gov. These include Cybersecurity and Infrastructure Security Agency Advisories AA23-325A, AA23-165A, and AA23-075A.  LockBitランサムウェアに対するネットワーク防御に関する詳細は、StopRansomware.govで入手できる。これには、サイバーセキュリティ・インフラセキュリティ庁の勧告AA23-325A、AA23-165A、AA23-075Aが含まれる。
A criminal complaint is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 刑事告訴は単なる申し立てに過ぎない。被告人は、法廷で合理的な疑いを越えて有罪が証明されるまでは、無罪と推定される。

 

起訴状

・[PDF]

20241230-50719

・[DOCX][PDF]仮訳

 


 

LockBit

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.02 Europol Lockbit関係者を新たに逮捕し、経済制裁も加える

・2024.05.08 英国 米国 オーストラリア LockBitの管理者に対する新たな一連の措置を発表

2024.02.21 警察庁 ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウン関係とランサムウェアによる暗号化被害データに関する復号ツールの開発

・2024.02.21 米国 英国 LockBitのネットワークに侵入し破壊

・2023.09.13 英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書

・2023.07.26 Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)

・2023.06.16 Five Eyes ドイツ フランス LookBitに対する包括的なアドバイザリーを公表

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

 

| | Comments (0)

2024.12.29

ENISA 年次報告書 - 2023年トラストサービス・セキュリティ・インシデント (2024.12.20)

こんにちは、丸山満彦です。

ENISAがトラストサービス・セキュリティインシデント 2023年を公表していました。。。EUのトラストサービス部門のセキュリティインシデント報告が公表されていましたね。。。今年で7年目でEU27カ国とEEA3カ国が参加しています。。。
2023年に通知された違反の集計概要を提供し、根本原因、統計、傾向を分析したもののようですね。。。

1年前の話ですが、ENISAが各国から情報を受け取るのが定期的なので、分析期間も含めると、時間がたった報告書になってしまいますね...

なお、分析はENISAのCIRAS(the Cybersecurity Incident Reporting and Analysis Systemでみることができます...

各企業でこれから、サイバーダッシュボードを作成する企業が増えてくると思いますが、CIRASのダッシュボードを参考にしてもよいかもです...

 

ENISA

・2024.12.20 Annual Report - Trust Services Security Incidents 2023

Annual Report - Trust Services Security Incidents 2023 年次報告書 - 2023年トラストサービス・セキュリティ・インシデント
ENISA’s 2023 report on trust services security incidents provides the seventh round of security incident reporting for the EU’s trust services sector, analysing root causes, statistics and trends. It is an aggregated overview of the reported breaches for 2023 as conveyed to ENISA and the Commission by 27 EU Member States and 3 EEA countries. ENISAのトラストサービス・セキュリティ・インシデントに関する2023年版報告書は、EUのトラストサービス部門に関する第7回目のセキュリティ・インシデント報告であり、根本原因、統計、傾向を分析している。本報告書は、EU加盟27カ国およびEEA3カ国からENISAおよび欧州委員会に報告された2023年のセキュリティ侵害の概要をまとめたものである。

 

・[PDF]

20241228-150218

仮対訳...

 

CIRAS

20241229-21959

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.09 ENISA トラストサービス・セキュリティインシデント 2022年 (2023.11.30)

 


 

仮対訳...

 

 

Continue reading "ENISA 年次報告書 - 2023年トラストサービス・セキュリティ・インシデント (2024.12.20)"

| | Comments (0)

2024.12.28

内閣官房 内閣サイバー官(特別職、次官級)・国家サイバー統括室の新設と【内閣府】防災監(次官級)の新設(政府の災害対応の司令塔機能の抜本的強化)(2024.12.27)

こんにちは、丸山満彦です。

2024年12月27日の臨時閣議において、

  • 令和7年度一般会計歳入歳出概算について(決定)(財務省)
  • 令和7年度税制改正の大綱について(決定)(財務・総務省)

が決まりましたね...

政府の一般会計の入りと出の概要が決まったということですかね...

 

その中で...

サイバー安全保障の対応能力向上のための体制整備として、

● 内閣官房

・内閣サイバー官(特別職、次官級)

国家サイバー統括室の新設

・内閣審議官(2名)の恒常化

● 内閣府

政府の災害対応の司令塔機能の抜本的強化のために

防災監(次官級)の新設

することにしたようですね...

 

● 内閣

・2024.12.27 内閣官房長官記者会見(午前)

 

● 官邸 - 令和6年12月27日(金)臨時閣議案件

● 財務省 - 令和7年度予算政府案

● 総務省 - 令和7年度税制改正要望の結果

● 内閣官房 - 機構・定員等審査結果(内閣官房HP)

・2024.12.27 [PDF] 令和7年度機構・定員等審査結果


1 機構

  • 既存機構を廃止等しつつ必要な体制を整備。以下は主な新設(名称は仮称)。

【内閣官房】

  • サイバー安全保障の対応能力向上のための体制整備
  • (内閣サイバー官(特別職、次官級)・国家サイバー統括室の新設、内閣審議官(2)の恒常化)

【内閣府】

  • 防災監(次官級)の新設(政府の災害対応の司令塔機能の抜本的強化)

【公正取引委員会】

  • デジタル・国際総括審議官の新設(スマホソフトウェア競争促進法施行に伴う執行体制の強化)

【デジタル庁】

  • 総括審議官の新設(政府全体の DX政策推進のためのデジタル庁の官房機能強化)

2 定員

  • 防災、DXの推進、サイバー安全保障など、内閣の重要課題の遂行に不可なものに絞り込んだ上で、災害対応など面対応が必要なものは時限定員で措置するなど、メリハリをつけて体制を整備し、全体で4,768人の増員。
  • 一方、既存業務の終了や業務改革の推進等により、A3,554人の減員。

....

内閣官房等...

サイバーセキュリティ対策の強化に伴う体制整備49、経済安全保障の推進体制の強化 10

 


 

人口は減り、GDPもほぼ横ばいが30年間以上つづいているけど、政府職員の人数と予算は増える...

 


 

報道

● NHK

・2024.12.27 来年度予算案 閣議決定 一般会計の総額115兆円余で過去最大に

 

・2024.12.27 「防災立国」へ 内閣府の防災担当を110人増員 防災監の新設も


来年度の国家公務員の定員について、政府は石破総理大臣が重視する防災対策を強化するため内閣府の担当を110人増員して2倍にするほか、事務次官級の「防災監」のポストを新たに設けることを決めました。

27日の臨時閣議で決定した来年度の国家公務員の定員では、石破内閣が掲げる「防災立国」の実現に向けて、内閣府の防災担当を110人増員して2倍にするほか、国土交通省の防災・減災などの体制を強化し、地方整備局を含めて351人増やすとしています。

またサイバーセキュリティー対策の強化などのため、内閣官房に78人を新たに配置するほか、旧優性保護法をめぐる新たな補償が来月始まることなどを受けて、こども家庭庁に40人増員するとしています。

一方、業務改革の推進などにより3554人減らし、全体では産休や介護休暇などの取得に備えて確保する人員も含めて、今年度と比べて614人増やすとしています。

このほか組織の見直しでは、いずれも事務次官級のポストとして、災害対応の司令塔となる「防災監」を内閣府に、サイバー安全保障の対応にあたる「内閣サイバー官」を内閣官房に新設するとしています。


 

● 毎日新聞

・2024.12.27 次官級「内閣サイバー官」と「防災監」を新設 政府、25年度から


政府は27日、2025年度の組織改編で、サイバー安全保障の体制強化に向けて内閣官房に設置されている「内閣サイバーセキュリティセンター」(NISC)を「国家サイバー統括室」に改め、トップとして次官級の「内閣サイバー官」を新設すると発表した。サイバー攻撃を未然に防ぐ「能動的サイバー防御」(ACD)を可能とする法案を来年の通常国会に提出予定で、統括室をサイバー安保の司令塔組織に位置づける。定員もNISCの188人から233人に増員する。

 また、石破茂内閣が看板政策に掲げる防災対応の強化として、内閣府に次官級の「防災監」を新設する。省庁横断の迅速な災害対応につなげる狙いがある。【村尾哲】


 

官邸...

1_20241228051701

| | Comments (0)

ENISA Cyber Europe 2024 After Action Report (2024.12.10)

こんにちは、丸山満彦です。

ENISAがサイバー・ヨーロッパ 2024 活動報告書を公表していますね...

サイバー・ヨーロッパ 2024の演習は、エネルギー部門のレジリエンスを高めるための演習 (Exercise) で、演習に対する教訓がいくつかあったようです。

演習の進め方についてパターン化していくというのも重要でしょうね...

 

事前、期間中、事後に収集されたデータから識別された教訓 

識別された教訓 緩和策の所有者  目標期限 
1. 評価プロセスに地元のプランナーも参加させる  ENISAおよびMSプランナー  次の演習前 
2. プレイヤーにフィードバックを提供する  ENISAおよびMSプランナー  次の演習 
3. 幅広い意見を反映させる  MSプランナー  2026年夏前 
4. エクササイズのシナリオを調整する可能性についてコミュニケーションを図り、宣伝する(国の状況に合わせて)  ENISAおよびMSプランナー  2026年夏前 
5. 注入の実施と結果のトラッキング用ダッシュボードを提供 ENISA  2026年夏前 

 

サイバー・ヨーロッパ2024の企画と計画から識別された教訓

識別された教訓 緩和策の所有者  目標期限 
1. 技術面およびロジスティクス面の準備を確実に  ENISAおよびMSプランナー  次の演習前 
2. プランナーとのより早い段階での意思決定を促進する  ENISA 次の演習前 
3. 詳細な文書と情報を一元化された場所で共有する   MSプランナー  次の演習前 

 

プレイヤーの自己アセスメントから識別された教訓

Lessons identified  識別された課題
from Players' self-assessment  プレイヤーの自己評価から
As previously mentioned, the analysis presented in this section results from data obtained from at least 64% of the Players involved in this exercise.  前述の通り、このセクションで提示する分析は、この演習に参加したプレイヤーの少なくとも64%から得られたデータに基づいている。 
Preparedness   準備態勢 
Before Cyber Europe 2024, Players had moderate confidence in key areas, with substantial room for improvement in familiarity and communication practices. After the exercise, there was a noticeable positive shift in Players' self-assessment across several metrics such as promoting initiatives to increase awareness and implementing business continuity processes. The exercise pinpointed areas needing improvement, such as resource adequacy and cross-border coordination.   サイバー・ヨーロッパ2024以前、プレイヤーは主要分野について中程度の自信を持っており、知識とコミュニケーションの実践方法については大幅な改善の余地があった。演習後、意識向上のためのイニシアティブの推進や事業継続プロセスの実施など、いくつかの評価基準において、プレイヤーの自己評価に顕著な前向きな変化が見られた。演習では、リソースの適切性や国境を越えた調整など、改善が必要な分野が特定された。 
Initially, more than half of the experts had reservations about their preparedness. Post-ex, 82% indicated they could effectively implement business continuity processes within their organisations and 64% of Players expressed intent to promote cybersecurity awareness initiatives within their organisations. This improvement highlights the benefits of targeted training and preparedness initiatives.  当初、半数以上の専門家が自らの準備態勢に不安を抱いていた。 演習後、82%が自組織内で事業継続プロセスを効果的に実施できると回答し、64%の専門家が自組織内でサイバーセキュリティ意識向上の取り組みを推進する意向を示した。 この改善は、的を絞ったトレーニングと準備態勢の取り組みのメリットを浮き彫りにしている。 
Collaboration  コラボレーション 
Before Cyber Europe 2024, the confidence levels among Players varied across different areas of collaboration and was mainly moderate. Effective information sharing across Players saw high confidence levels. Overall, the pre-event data highlights room for improvement in certain aspects of collaboration.  サイバー・ヨーロッパ2024以前は、プレイヤー間の信頼レベルは協力の分野によって異なり、主に中程度であった。プレイヤー間の効果的な情報共有については、高い信頼レベルが見られた。全体として、イベント前のデータは、協力の特定の側面における改善の余地を浮き彫りにしている。
Upskilling and training  スキルアップとトレーニング 
Post-event performance highlights the value of hands-on training and practical simulations. 83% of Players expressed their intent to evaluate and improve their skills by participating in future exercises, showing sustained and growing enthusiasm for ongoing professional development in cybersecurity.  演習後のパフォーマンスは、実地訓練と実践的なシミュレーションの価値を浮き彫りにした。83%の参加者は、今後の演習への参加を通じてスキルを評価し改善する意向を示しており、サイバーセキュリティにおける継続的かつ高まる専門能力開発への意欲を示している。
Incident Management  インシデント管理 
Before the exercise, Players exhibited varied levels of confidence in their cybersecurity incident management abilities, highlighting a general sense of uncertainty and the need for enhanced training and preparedness. Slightly less than half of the Players were unsure or lacked confidence in their capacity to disseminate situational information effectively during the exercise. After the event, Players' assessments were notably positive, demonstrating that their capabilities in detecting, analysing, and responding to cybersecurity incidents are established.  演習前、参加者はサイバーセキュリティ・インシデント対応能力に対する自信の度合いが様々であり、一般的な不安感と、トレーニングと準備の強化の必要性を浮き彫りにした。 演習中、参加者の半数弱は、状況情報を効果的に伝達する能力に自信が持てず、または自信がなかった。 イベント後、参加者のアセスメントは著しくポジティブなものとなり、サイバーセキュリティ・インシデントの検知、分析、対応能力が確立されていることを示した。
Cyber Europe 2024 significantly enhanced Players' views on preparedness and confidence in handling cybersecurity incidents. This increase in confidence underscores the value of such simulation exercises in reinforcing practical skills and adherence to established procedures. However, to ensure consistently high performance across all scenarios, ongoing training and targeted improvements are recommended.  サイバーヨーロッパ2024は、プレイヤーのサイバーセキュリティインシデントへの備えとハンドリングに対する自信を大幅に向上させた。この自信の向上は、このようなシミュレーション演習が実践的なスキルと確立された手順の遵守を強化する上で価値があることを裏付けている。しかし、すべてのシナリオで一貫して高いパフォーマンスを確保するためには、継続的なトレーニングと的を絞った改善が推奨される。
Awareness  意識向上 
Cyber Europe 2024 was designed to evaluate awareness of cybersecurity-related issues and underscore the importance of cybersecurity preparedness. The exercise aimed to raise Player’s cybersecurity awareness within their organisation and enhance their skills. Following the exercise, a notable 64% of Players expressed their intention to promote initiatives to increase cybersecurity awareness within their organisations.  Cyber Europe 2024は、サイバーセキュリティ関連の問題に対する認識を評価し、サイバーセキュリティ対策の重要性を強調するために設計された。この演習は、参加者の組織内でのサイバーセキュリティに対する認識を高め、スキルを向上させることを目的としていた。演習後、参加者の64%が、組織内でのサイバーセキュリティに対する認識を高めるための取り組みを推進する意向を示した。
Cooperation and information sharing   協力と情報共有 
This capability area aimed to assess Players' participation in EU and other relevant networks, including CSIRTs networks, and their cooperation at national, EU, and international levels. Before Cyber Europe 2024, confidence levels varied, with moderate preparedness and room for improvement with regards to collaboration. After the exercise, there was a noticeable improvement in cooperation and information sharing, with strong performance in communicating data breaches and coordinating responses. However, participation in EU-level networks remained moderate, indicating potential for enhanced engagement.   この能力分野では、CSIRTネットワークを含むEUおよびその他の関連ネットワークへの参加と、各国、EU、国際レベルでの協力について、プレイヤーのアセスメントを行うことを目的とした。Cyber Europe 2024以前は、信頼レベルは様々であり、協力に関しては、中程度の準備と改善の余地があった。演習後には、データ侵害のコミュニケーションや対応の調整において優れたパフォーマンスがみられ、協力や情報共有の面で顕著な改善が見られた。しかし、EUレベルのネットワークへの参加は依然として限定的であり、さらなる関与の可能性を示唆している。 

 

 

 

ENISA

・2024.12.10 Cyber Europe 2024 After Action Report

Cyber Europe 2024 - After Action Report サイバー・ヨーロッパ2024 - 活動報告書
The after action report provides an overview of the 2024 edition of the Cyber Europe exercise which was conducted in June and aimed at identifying gaps and increasing cybersecurity preparedeness and resilience. この活動報告書では、2024年版サイバー・ヨーロッパ演習の概要を説明している。この演習は6月に実施され、ギャップの特定とサイバーセキュリティの準備態勢および回復力の強化を目的としていた。

 

・[PDF

20241228-14244

 

目次...

PART 01: EXERCISE OVERVIEW パート 01: 概要
• Introduction • 序文
• Methodology • 方法論
• Scenario • シナリオ
PART 02: KEY INSIGHTS  パート 02: 主な洞察
• Players' insights • プレーヤーの洞察
• Planners' insights • プランナーの洞察
• Findings and observations • 調査結果と観察結果
PART 03: LESSONS IDENTIFIED AND RECOMMENDATIONS FOR IMPROVEMENT  パート 03: 識別された教訓と改善のための推奨事項
• Lessons identified from data collected before, during and after  • 事前、期間中、事後に収集されたデータから識別された教訓 
• Lessons identified from organising and planning Cyber Europe 2024 • サイバー・ヨーロッパ2024の企画と計画から識別された教訓
• Lessons identified from Players' self-assessment • プレイヤーの自己アセスメントから識別された教訓
• Moving forward  • 今後の展望 
PART 04: CLOSING REMARKS  パート04:結びの言葉 
• Closing remarks  • 結びの言葉 
ANNEX 附属書
• Cyber Europe 2024 in numbers • サイバー・ヨーロッパ2024に関する数
• Mapping of Players' roles with European Cybersecurity Skills Framework • プレイヤーの役割と欧州サイバーセキュリティ技能枠組みの対応付け
• Glossary • 用語集

 

 

PART 01: EXERCISE OVERVIEW パート 01: 概要
Introduction  序文
Cyber Europe is a series of European Union-level cyber incident and crisis management exercises organised by the European Union Agency for Cybersecurity (ENISA)[1], intended for both the public and private sector across the European Union and European Free Trade Association (EFTA) Member States. These exercises simulate the escalation of large-scale cybersecurity incidents into cybersecurity crises. They provide opportunities to analyse sophisticated technical cybersecurity incidents and assess participants' ability to manage complex scenarios.   サイバー・ヨーロッパは、欧州連合(EU)および欧州自由貿易連合(EFTA)加盟国における官民両部門を対象に、欧州連合サイバーセキュリティ機関(ENISA)[1]が主催するEUレベルのサイバーインシデントおよび危機管理演習シリーズである。これらの演習は、大規模サイバーセキュリティインシデントがサイバーセキュリティ危機へとエスカレートする状況をシミュレートする。高度な技術的サイバーセキュリティインシデントを分析し、複雑なシナリオを管理する参加者の能力をアセスメントする機会を提供する。 
Cyber Europe 2024, which focused on the energy sector, took place from 19 to 20 June in a hybrid format; it was coordinated from the Exercise Control Centre in Athens, Greece, where the organising team and most national Planners were based. (Local) Planners were involved with preparing, designing, and organising their teams' participation, determining objectives, scenarios, and logistics. During the cybersecurity exercise, they were responsible for coordinating participant involvement, ensuring the exercise runs smoothly, and monitoring the progress of the exercise at the organisational level. They assisted the Players with any questions they had about the scenario.   エネルギー部門に焦点を当てた「サイバー・ヨーロッパ 2024」は、ハイブリッド形式で6月19日から20日にかけて実施された。この演習は、ギリシャのアテネにある演習統制センターで調整され、そこには主催チームとほとんどの国家プランナーが配置された。(ローカル)プランナーは、チームの参加準備、設計、編成、目標、シナリオ、ロジスティクスの決定に関与した。サイバーセキュリティ演習中には、参加者の関与を調整し、演習が円滑に進行するよう確保し、組織レベルでの演習の進捗状況を監視する責任を担った。また、シナリオに関する質問があれば、プレーヤーを支援した。
The local Planners, along with the Players, participated online. Players were the individuals or entities actively involved in exercise. They contributed to Cyber Europe 2024 by executing assigned tasks, making decisions, and responding to simulated events or incidents. Recognising the energy sector's critical importance to the EU’s economic growth and development, and its status as a prime target for cyberattacks, this year's exercise scenario was carefully designed to help stakeholders - including companies and industry leaders - prepare for, and proactively address, evolving cybersecurity threats.  ローカルプランナーは、プレーヤーとともにオンラインで参加した。プレーヤーは、演習に積極的に関与する個人または事業体であった。プレーヤーは、割り当てられたタスクの実行、意思決定、模擬イベントやインシデントへの対応を通じて、Cyber Europe 2024 に貢献した。エネルギー部門がEUの経済成長と発展にとって極めて重要であり、サイバー攻撃の主な標的となっていることを踏まえ、今年の演習シナリオは、企業や業界リーダーを含む関係者が、進化するサイバーセキュリティの脅威に備え、積極的に取り組むことができるよう、慎重に設計された。
In general, the purpose of Cyber Europe 2024 was to ensure the adequacy and improve processes/ standard operating procedures (SOPs), internal cooperation, relationships within the teams of Planners and Players, clear internal communication channels, the capacity to deal with cybersecurity crises and improve the public relations response during cybersecurity crises. Additionally, Cyber Europe 2024 also focused on raising awareness at the corporate level about the importance of cybersecurity preparedness and the value of investing in cybersecurity.    一般的に、サイバー・ヨーロッパ2024の目的は、適切性を確保し、プロセス/標準作業手順(SOP)、内部協力、プランナーとプレイヤーのチーム内での関係、明確な内部コミュニケーションチャネル、サイバーセキュリティ危機への対応能力、サイバーセキュリティ危機における広報対応の改善を改善することにあった。さらに、サイバー・ヨーロッパ2024では、企業レベルでのサイバーセキュリティ対策の重要性とサイバーセキュリティへの投資価値についての意識向上にも重点が置かれた。 
The following sectors were taking part in the cybersecurity exercise with each their own purpose and different aims.   以下の各セクターは、それぞれ独自の目的と異なる目標を持って、サイバーセキュリティ演習に参加した。 
Energy sector   エネルギーセクター 
The specific sectorial entities targeted were Electricity Transmission and Distribution System Operators and Gas Storage Operators. Cyber Europe 2024 concentrated on ensuring compliance with relevant national legislation, particularly concerning reporting obligations. It aimed to enhance the adequacy and effectiveness of dedicated structures for managing cybersecurity crises at the national level, as well as to improve the contributions of energy sector entities and networks at the EU level concerning awareness and readiness during a cybersecurity crisis. Another key aim of Cyber Europe 2024 was to strengthen the effectiveness of communication channels with relevant supply chain actors during a cybersecurity crisis, ensuring that the information exchanged is complete, high-quality, and timely. These aims are also applicable for EU level sectorial networks.  具体的に対象となったのは、送配電事業者およびガス貯蔵事業者であった。サイバー・ヨーロッパ2024は、特に報告義務に関する関連国内法の順守に重点を置いた。また、サイバーセキュリティ危機への対応能力を国家レベルで管理する専門組織の適切性と有効性を高め、サイバーセキュリティ危機における意識と対応能力に関して、エネルギー事業体とネットワークのEUレベルでの貢献を改善することを目指した。サイバー・ヨーロッパ2024のもう一つの主要な目的は、サイバーセキュリティ危機発生時に、関連サプライチェーンの事業体とのコミュニケーション・チャネルの有効性を強化し、交換される情報が完全かつ高品質で、かつタイムリーであることを確保することである。これらの目的は、EUレベルの部門別ネットワークにも適用される。 
Digital Infrastructure and Public Administration sector   デジタルインフラおよび公共行政 部門 
The specific sectorial entities targeted were Data Centre Service Providers (Digital Infrastructure) and National Energy Regulators (Public Administration). One of the aims was to improve the response of indirectly affected sectors during cybersecurity crises impacting the energy sector. Another aim focused on advancing national progress in implementing Network and Information Systems Directive (NIS2)[2] provisions related to incident reporting for Public Administration.  対象となった特定の部門は、データセンター・サービス・プロバイダ(デジタルインフラ)と国家エネルギー規制当局(公共行政)である。その目的の一つは、エネルギー部門に影響を与えるサイバーセキュリティ危機が発生した際に、間接的に影響を受ける部門の対応を改善することである。もう一つの目的は、公共行政のインシデント報告に関するネットワークと情報システム指令(NIS2)[2]の規定を実施するにあたり、国家の進歩を促進することに焦点を当てたものである。
EU level cybersecurity networks  EUレベルのサイバーセキュリティネットワーク 
Cyber Europe 2024 also had specific aims for the Computer Security Incident Response Team (CSIRT) Network and the European Cyber Crisis Liaison Organisation Network (EUCyCLONe). These included ensuring the adequacy of EU-level operational cooperation and escalation mechanisms during cybersecurity crises and ensuring the existence, adequacy, effectiveness, and speed of communication channels and SOPs between CNW (CSIRTs Network), and EU-CyCLONe. An additional aim was to assess the completeness, quality, and timeliness of information exchange.  サイバー・ヨーロッパ2024は、コンピュータセキュリティ・インシデント対応チーム(CSIRT)ネットワークと欧州サイバー危機連絡組織ネットワーク(EUCyCLONe)にも具体的な目標を定めていた。これには、サイバーセキュリティ危機発生時のEUレベルでの運用協力とエスカレーションメカニズムの適切性の確保、およびCNW(CSIRTネットワーク)とEU-CyCLONe間のコミュニケーションチャネルと標準業務手順書(SOP)の存在、適切性、有効性、および迅速性の確保が含まれていた。さらに、情報交換の完全性、品質、および適時性をアセスメントすることも目的としていた。
EU institutions, bodies, and agencies  EUの機構、団体、および機関
Cyber Europe 2024 also had the aim for ENISA Operational Cooperation Unit, CERT-EU and EC3 (European Cyber Crime Centre) to ensure the adequacy and improve their internal processes/SOPs and ensure the adequacy, effectiveness and rapidness of the communication channels and SOPs between EUIBAs and EU level networks.  Cyber Europe 2024は、ENISAの業務協力部門、CERT-EU、およびEC3(欧州サイバー犯罪センター)が、内部プロセス/標準操作手順の適切性を確保し、改善すること、およびEU-IBAsとEUレベルのネットワーク間のコミュニケーションチャネルと標準操作手順の適切性、有効性、迅速性を確保することを目的としていた。
[1] A glossary of terms used in this document is provided in page 34.   [1] 本書で使用される用語の一覧は、34ページに記載されている。 
[2] Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) available at Directive - 2022/2555 - EN - EUR-Lex (europa.eu)  [2] 2022年12月14日付欧州議会および理事会の指令(EU)2022/2555は、欧州連合全体におけるサイバーセキュリティの共通水準の高度化に関する措置について規定し、規則(EU)第910/2014号および 指令(EU)2018/1972を改正し、指令(EU)2016/1148(NIS 2指令)を廃止する。指令 - 2022/2555 - EN - EUR-Lex (europa.eu) 
Methodology  方法論
This After-Action Report was created to present the results of Cyber Europe 2024 based on the predefined Evaluation Framework and methodology. This evaluation framework was developed by ENISA, derived from the Network and Information Security Directive (NIS2), and will be published at a later stage. The report contains expectations and feedback from participants, including both Players and Planners, which will be further explained in this chapter.   この活動報告書は、あらかじめ定められた評価枠組みと方法論に基づいて、Cyber Europe 2024 の結果を提示するために作成された。この評価枠組みは ENISA によって開発され、ネットワークおよび情報セキュリティ指令(NIS2)から派生したものであり、後日公開される予定である。この報告書には、参加者(プレーヤーおよびプランナーの両方)からの期待やフィードバックが含まれており、本章でさらに詳しく説明する。 
The data collection for Cyber Europe 2024 was conducted through various methods before, during, and after the cybersecurity exercise to ensure a comprehensive evaluation of the participants' performance and the effectiveness of the systems and processes in place. This multi-stage approach allowed for a thorough analysis of different aspects of the exercise.   サイバー・ヨーロッパ2024のデータ収集は、参加者のパフォーマンスと、導入されているシステムおよびプロセスの有効性を包括的に評価するために、サイバーセキュリティ演習の前、最中、後にさまざまな方法で実施された。この多段階のアプローチにより、演習のさまざまな側面を徹底的に分析することが可能となった。 
Before Cyber Europe 2024   サイバー・ヨーロッパ2024の実施前
Data was primarily gathered through surveys designed to capture the participants' expectations and Players’ self-assessed confidence levels. These pre-exercise surveys provided baseline information that helped the evaluators understand the initial conditions and expectations of the Planners and Players.    主に、参加者の期待とプレーヤーの自己評価による信頼度を把握するためのアンケートを通じてデータが収集された。この事前調査アンケートにより、評価者がプランナーとプレーヤーの初期条件と期待を理解するための基本情報が提供された。 
During Cyber Europe 2024   サイバー・ヨーロッパ2024実施中 
A more dynamic and real-time approach to data collection was employed during the exercise. Observers and feedback collectors with evaluation responsibilities gathered data through direct observations, 1-on-1 interviews, and social listening. This approach allowed for immediate documentation of events and participant responses as they unfolded. The use of hotwash sessions, which are immediate debriefing meetings held at the end of the exercise to gather participants' feedback and discuss what worked well and what did not, further facilitated the collection of feedback from Planners, facilitating the timely recording of issues and successes.  演習中には、より動的でリアルタイムなデータ収集アプローチが採用された。評価責任を担うオブザーバーとフィードバック収集者は、直接観察、1対1のインタビュー、ソーシャルリスニングを通じてデータを収集した。このアプローチにより、イベントと参加者の反応が展開するにつれて、即座に文書化することが可能となった。また、演習の最後に開催される即時報告会であるホットウォッシュセッションを活用し、参加者のフィードバックを収集し、うまくいったこととうまくいかなかったことを話し合うことで、プランナーからのフィードバック収集がさらに促進され、問題点や成功事例をタイムリーに記録することが可能となった。
After Cyber Europe 2024   サイバー・ヨーロッパ2024実施後 
The day after the exercise, the focus shifted to reflective and analytical data collection methods. Feedback surveys were distributed to participants to assess whether the exercise met their expectations, while post-exercise self-assessment surveys allowed Players to evaluate their own performance. These post-event surveys were important to compare the outcomes with pre-exercise expectations.    演習の翌日からは、反省と分析を目的としたデータ収集方法に焦点が移った。演習が参加者の期待に沿うものだったかどうかを評価するために、参加者にフィードバック調査が配布された。また、演習後の自己評価調査では、各プレイヤーが自身のパフォーマンスを評価することができた。これらの事後調査は、演習前の期待と結果を比較する上で重要であった。 
The combination of these methods has provided a comprehensive view of the exercise's effectiveness and highlighted opportunities for enhancement in future iterations. By analysing both immediate feedback and long-term reflections, ENISA was able to draw comprehensive conclusions and identify potential areas for improvement.    これらの手法を組み合わせることで、演習の有効性に関する包括的な見解が得られ、今後の改善の機会が浮き彫りになった。ENISAは、即時のフィードバックと長期的な考察の両方を分析することで、包括的な結論を導き出し、改善の可能性がある領域を識別することができた。 
It is more crucial than ever to act on these suggested improvements in a timely manner to enhance effectiveness and achieve a tangible impact. To ensure the implemented changes meet the intended and desired effect, relevant parts of the scenario could be replayed and assessed for their effectiveness.    効果を高め、目に見える成果を達成するためには、これらの改善提案をタイムリーに実行することがこれまで以上に重要である。実施された変更が意図した効果を確実に達成できるよう、シナリオの関連部分を再実行し、その効果をアセスメントすることも可能である。 
Scenario  シナリオ
The general purpose of the exercise scenario was to assess how well European stakeholders are prepared to handle a complex and ongoing cyberattack. For instance, due to the growing pressure of incidents together with the number and intensity of these incidents, the scenario aimed to test the sector's ability to keep operations running, protect vital infrastructure, and respond effectively to various threats that could have serious economic and social impacts. Additionally, the scenario emphasised the importance of situational awareness, aiming to enhance participants' ability to perceive, understand, and anticipate the potential impacts of cyber threats in real-time. By doing so, the scenario aimed to improve participants' understanding of the strategic impact of cyber-attacks in the energy sector, as such attacks could be used for broader geopolitical goals.   演習シナリオの一般的な目的は、ヨーロッパのステークホルダーが複雑かつ継続中のサイバー攻撃への対応にどの程度備えているかをアセスメントすることだった。例えば、インシデントの数と深刻度が増すにつれ、インシデントの圧力が高まるため、このシナリオでは、業務を継続し、重要なインフラを防御し、深刻な経済的・社会的影響をもたらす可能性のあるさまざまな脅威に効果的に対応する能力をテストすることを目的とした。さらに、このシナリオでは状況認識の重要性を強調し、参加者がサイバー脅威の潜在的な影響をリアルタイムで感知、理解、予測する能力を高めることを目指した。これにより、エネルギー分野におけるサイバー攻撃が、より広範な地政学的目標のために利用される可能性があることから、このシナリオでは、サイバー攻撃が戦略的に与える影響について参加者の理解を深めることを目指した。 
By challenging the Players to handle a complex crisis in a realistic environment, the exercise aimed to provide important insights into where improvements are needed to strengthen the sector's overall cyber resilience.    プレイヤーに現実的な環境で複雑な危機に対処させることで、この演習は、エネルギー部門全体のサイバーレジリエンスを強化するために改善が必要な分野について重要な洞察を得ることを目的としている。 
The exercise scenario was designed to create a realistic and challenging setting to test the EU's cyber resilience, especially in the energy sector. Different types of threat actors were included to simulate the complexity and variety of real-world cyber threats. The scenario was made more realistic by adding various simulated roles, such as government spokespersons, journalists, and network operations teams, which the Players were required to interact with during the exercise. The Players, representing key stakeholders in the energy sector, such as Electricity Transmission and Distribution System Operators, Gas Storage Operators, Data Centre Service Providers and National Energy Regulators were expected to respond to the events as they unfolded. Their responsibilities were to manage the crisis, reduce the impact of the cyber-attacks, and ensure the continued operation of essential energy infrastructure.    この演習のシナリオは、EUのサイバーレジリエンス、特にエネルギー部門のレジリエンスをテストするために、現実的で挑戦的な設定を創り出すように設計された。 現実世界のサイバー脅威の複雑性と多様性をシミュレートするために、さまざまなタイプの脅威行為者が登場した。シナリオは、政府のスポークスパーソン、ジャーナリスト、ネットワーク運用チームなど、さまざまな役割を追加することで、より現実的なものとなった。演習中、参加者はこれらの役割とやりとりすることが求められた。 電力送配電システム運用者、ガス貯蔵運用者、データセンター・サービス・プロバイダ、国家エネルギー規制当局など、エネルギー分野の主要な利害関係者を代表する参加者は、事態の展開に応じて対応することが求められた。彼らの責任は、危機を管理し、サイバー攻撃の影響を軽減し、不可欠なエネルギーインフラの継続的な運用を確保することだった。
The results and key findings from the scenario, including the performance of both Planners and Players, will be further elaborated in Part 2.  シナリオの結果と主な調査結果、およびプランナーとプレイヤーのパフォーマンスについては、パート2でさらに詳しく説明する。

 

 

| | Comments (0)

米国 NIST IR 8498 スマートインバーターのサイバーセキュリティ:住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン(2024.12.20)

こんにちは、丸山満彦です。

NISTがIR 8498 スマートインバーターのサイバーセキュリティ:住宅および小規模商業用ソーラーエネルギーシステムのためのガイドラインを公表していますね...

トランプ大統領になり、太陽光発電の政策に変化はあるのでしょうが...

ゼロになるわけでもないでしょうし...

 

NIST - ITL

・2024.12.20 NIST IR 8498 Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems

 

NIST IR 8498 Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems NIST IR 8498 スマートインバーターのサイバーセキュリティ:住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン
Abstract 要約
This report provides practical cybersecurity guidance for small-scale solar inverter implementations that are typically used in homes and small businesses. These guidelines are informed by a review of known smart-inverter vulnerabilities documented in the National Vulnerability Database (NVD), a review of information about known smart-inverter cyber-attacks, and testing of five example smart inverters. The report also provides recommendations to smart-inverter manufacturers on the cybersecurity capabilities needed in their products to implement the seven guidelines. These recommendations build on the Internet of Things (IoT) cybersecurity capability baselines defined in NIST IR 8259A and IR 8259B by providing smart-inverter-specific information for some of the baseline cybersecurity capabilities. 本報告書は、一般家庭や小規模事業所で使用される小規模な太陽光発電インバータの実装に関する実用的なサイバーセキュリティの指針を提供する。これらのガイドラインは、米国脆弱性データベース(NVD)に記録されている既知のスマートインバータの脆弱性に関する情報のレビュー、既知のスマートインバータのサイバー攻撃に関する情報のレビュー、および5つのスマートインバータの例のテストに基づいて作成されている。また、本報告書は、7つのガイドラインを実装するために製品に必要とされるサイバーセキュリティ機能について、スマートインバータの製造事業者への推奨事項も提供している。これらの推奨事項は、NIST IR 8259AおよびIR 8259Bで定義されたIoTサイバーセキュリティ能力のベースラインを基に、ベースラインのサイバーセキュリティ能力の一部にスマートインバータ固有の情報を提供することで構築されている。

 

 

・[PDF]

20241225-10925

・[DOCX][PDF]仮訳

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Audience 1.1. 想定読者
1.2. Report Organization 1.2. 報告組織
2. Cybersecurity Guidelines for Owners and Installers 2. 所有者と設置者のためのサイバーセキュリティ・ガイドライン
2.1. Guideline #1: Change Default Passwords and Credentials 2.1. ガイドラインその1:デフォルトのパスワードと認証情報を変更する
2.2. Guideline #2: Use Role-Based Access Control (RBAC) 2.2. ガイドライン2:役割ベースのアクセス管理(RBAC)の使用
2.3. Guideline #3: Configure the Recording of Events in a Log 2.3. ガイドライン#3:ログにイベントを記録する設定
2.4. Guideline #4: Update Software Regularly 2.4. ガイドライン4:ソフトウェアの定期的なアップデート
2.5. Guideline #5: Back Up System Information  2.5. ガイドライン5:システム情報のバックアップ
2.6. Guideline #6: Disable Unused Features 2.6. ガイドラインその6:未使用の機能を無効にする
2.7. Guideline #7: Protect Communications Connections  2.7. ガイドライン7:通信の保護
3. Cybersecurity Recommendations for Smart-Inverter Manufacturers 3. スマートインバータ製造事業者に対するサイバーセキュリティの提言
3.1. Recommended Baseline Cybersecurity Capabilities 3.1. 推奨されるベースライン・サイバーセキュリティ能力
4. Conclusion 4. 結論
References 参考文献
Appendix A. Additional Resources 附属書 A. その他のリソース
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書 B. 記号、略語、頭字語のリスト
Appendix C. Residential and Light Commercial Solar Energy System Setup Cybersecurity Checklist 附属書 C. 住宅用および軽商用太陽エネルギーシステム設置サイバーセキュリティチェックリスト
Appendix D. Smart-Inverter Testing 附属書D. スマート・インバータの試験
D.1. Testing Results for Guideline #1: Change Default Passwords and Credentials D.1.ガイドライン#1: デフォルトパスワードと認証情報の変更に関するテスト結果
D.2. Testing Results for Guideline #2: Use Role-Based Access Control D.2.ガイドライン#2:役割ベースのアクセス管理の使用」のテスト結果
D.3. Testing Results for Guideline #3: Configure the Recording of Events in a Log D.3.ガイドライン#3: ログにイベントを記録する設定」のテスト結果
D.4. Testing Results for Guideline #4: Update Software Regularly D.4.ガイドライン#4: ソフトウェアの定期的なアップデート」のテスト結果
D.5. Testing Results for Guideline #5: Back Up System Information D.5.ガイドライン#5:システム情報のバックアップのテスト結果
D.6. Testing Results for Guideline #6: Disable Unused Features D.6.ガイドライン#6: 未使用の機能を無効にする」のテスト結果
D.7. Testing Results for Guideline #7: Protect Communications Connections D.7.ガイドライン#7: 通信の保護」のテスト結果
Appendix E. Mapping to General Cybersecurity Guidance  附属書 E. 一般的なサイバーセキュリティガイダンスへのマッピング
E.1. General Cybersecurity Guidance That Informs the Guidelines E.1.ガイドラインに影響を与える一般的なサイバーセキュリティガイダンス
E.1.1. NIST Cybersecurity Framework E.1.1.NIST サイバーセキュリティ枠組み
E.1.2. Center for Internet Security Critical Security Controls (CSC) Version 8 E.1.2. インターネットセキュリティセンター クリティカルセキュリティコントロール(CSC)バージョン8
E.1.3. NIST SP 800-53r5 E.1.3.NIST SP 800-53r5
E.1.4. NIST SP 800-213A E.1.4.NIST SP 800-213A
E.1.5. MITRE ATT&CK Framework E.1.5.MITRE ATT&CK フレームワーク
E.1.6. ISA/IEC 62443-2-1 E.1.6.ISA/IEEC 62443-2-1
E.2. Guidelines Relationship to General Cybersecurity Guidance  E.2.ガイドラインと一般的なサイバーセキュリティガイダンスとの関係
Appendix F. Smart Inverter Vulnerability Survey 附属書F. スマートインバータの脆弱性調査

 

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
This report provides practical cybersecurity guidance for the smart inverters used in small-scale residential and light-commercial solar energy systems connected to the electric distribution network and not directly owned or operated by a utility. Smart inverters manage the flow of energy to and from homes or small businesses and the electrical grid. By sensing conditions on the grid and communicating with the electric utility, these devices contribute to power availability, safety, and grid stability.  本報告書は、配電網に接続され、電力会社が直接所有または運営していない小規模な住宅用および軽商用太陽光発電システムで使用されるスマートインバータのための実践的なサイバーセキュリティガイダンスを提供する。スマート・インバータは、家庭や小規模事業所と電力網との間のエネルギーの流れを管理する。送電網の状況を感知し、電力会社とコミュニケーションすることで、これらのデバイスは電力の可用性、安全性、送電網の安定性に貢献する。 
Smart inverters often use the internet to connect with cloud-based management capabilities. This connectivity exposes smart inverters to cyber threats and increases the need for effective device cybersecurity that ensures continued safe and reliable operation.  スマートインバータは多くの場合、インターネットを使用してクラウドベースの管理機能と接続する。この接続性により、スマート・インバータはサイバー脅威にさらされ、安全で信頼性の高い運用を継続するための効果的なデバイス・サイバーセキュリティの必要性が高まる。 
Section 2 of this report provides seven cybersecurity guidelines for homeowners, solar energy system installers, and solar energy system maintainers. These cybersecurity guidelines describe actions that can help ensure that a residential or small business solar energy system is installed, configured, and operated safely and securely.  本報告書のセクション2では、住宅所有者、太陽エネルギーシステム設置者、太陽エネルギーシステム保守業者向けに、7つのサイバーセキュリティガイドラインを提供している。これらのサイバーセキュリティ・ガイドラインは、住宅用または小規模事業用の太陽エネルギー・システムが安全かつ確実に設置、設定、運用されるようにするための行動を記述している。 
Section 3 of this report provides ten cybersecurity capability recommendations for smartinverter manufacturers. These cybersecurity capabilities are derived from the Internet of Things cybersecurity capability core baselines presented in NIST Interagency Report (IR) 8259A and 8259B and enable implementation of the Sec. 2 guidelines.  本報告書のセクション3では、スマートインバータの製造事業者向けに10のサイバーセキュリティ能力を推奨する。これらのサイバーセキュリティ能力は、NIST Interagency Report(IR)8259Aおよび8259Bに示されたIoTサイバーセキュリティ能力コア・ベースラインから導き出されたものであり、セクション2ガイドラインの実施を可能にするものである。 
A collection of appendices provides information that supports the development and use of these guidelines and recommendations.  附属書には、これらのガイドラインと推奨事項の作成と使用をサポートする情報が掲載されている。 
Appendix A provides a bibliography of publications that were consulted in developing the guidelines and recommendations.  附属書 Aは、ガイドラインと勧告を作成する際に参照した出版物の書誌を提供する。 
Appendix B provides a list of abbreviations and acronyms.  附属書 Bは、略語と頭字語のリストである。 
Appendix C provides a sample Provisioning Checklist that system installers can tailor and use in verifying that they have completed the actions defined in the Sec. 2 guidelines.  附属書 C は、システム設置者がセクション2のガイドラインで定義された措置を完了したことを検証する際に、独自に作成し使用することができるプロビジョニング・チェックリストのサンプルを提供する。 
Appendix D records the results of testing five installed smart inverters to determine their ability to implement the Sec. 2 guidelines.  附属書 Dは、設置された5台のスマートインバータをテストし、セクション2ガイドラインを実施する能力を判断した結果を記録している。 
Appendix E maps the Sec. 2 guidelines to six general cybersecurity guidance sources.  附属書 E は、セクション2のガイドラインを 6 つの一般的なサイバーセキュリティガイダンスソースにマッピングしている。 
Appendix F presents information about known smart-inverter cybersecurity vulnerabilities documented in the National Vulnerability Database (NVD).  附属書 Fは、国家脆弱性データベース(NVD)に記録された既知のスマートインバータのサイバーセキュリティ脆弱性に関する情報を示す。 

 

 

 


 

1_20241228023801

2.住宅用または軽商用ソーラー・エネルギー・システムにおけるスマート・インバータの役割

 

 

1_20241228023901

10.スマートインバータの機能要素

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.19 米国 NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン (2024.05.10)

 

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

 

| | Comments (0)

2024.12.27

個人情報保護委員会 個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書

こんにちは、丸山満彦です。

個人情報保護委員会が、「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書」を公表していますね...

課徴金制度は導入されるのでしょうかね...悪質な事業者に対する抑止効果の導入ということですので、社会的にもよいように思うんですがね...

 

個人情報保護委員会

・2024.12.25 [PDF] 個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書

20241226-223912

 

目次...


第1 はじめに
1 開催の背景
2 検討に影響を与える事項

第2 課徴金制度
1 検討に係る前提条件
(1) 課徴金制度を検討する立法事実
(2) 適正なデータ利活用への影響
(3) 国内他法令における課徴金制度との関係
(4) 外国制度との関係
2 想定される制度
(1) 課徴金納付命令の対象となる範囲
(2) 算定方法
(3) その他

第3 団体による差止請求制度及び被害回復制度
1 検討に係る前提条件
(1) 適格消費者団体の現状、他法令の運用
(2) 認定個人情報保護団体等との関係
2 想定される制度
(1) 対象行為と運用
(2) その他(体制整備等)

第4 おわりに

参考


 

 

個人情報保護委員会

・・個人情報保護委員会開催状況

・・個人情報保護法のいわゆる3年ごと見直しに関する検討会

・・個人情報保護法 いわゆる3年ごと見直しについて

 

2024.12.25  第311回個人情報保護委員会
資料1 個人情報保護法のいわゆる3年ごと見直しに関する検討会 報告書
  議事概要
  議事録
   
2024.12.18 第7回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 現行制度と検討の方向性について(課徴金制度③)
資料2 検討会報告書(案)
参考資料1 これまでの主な論点及び関連御意見
参考資料2 第2回~第6回検討会における主な御意見
参考資料3 関係参考資料
参考資料4 「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
議事録  
2024.12.17 第310回個人情報保護委員会
資料1-1 「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」 に関するヒアリングの概要について
資料1-2 事務局ヒアリングにおける主な御意見
参考資料1-1  
参考資料1-2 事務局ヒアリングの各参加者提出資料
  議事概要
  議事録
2024.11.28 第6回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 現行制度と検討の方向性について(課徴金制度②)
資料2 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度③)
資料3 これまでの主な論点及び関連御意見 (PDF : 2006KB)
参考資料1 第2回~第5回検討会における主な御意見
議事録 第6回個人情報保護法のいわゆる3年ごと見直しに関する検討会
2024.11.12 第5回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 国内他法令における課徴金額の算定方法等について
資料2 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度②)
資料3 認定個人情報保護団体制度について
資料4 第4回までの主な論点及び関連意見 
資料5 個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点・今後の検討の進め方
参考資料1 第2回~第4回検討会における主な御意見
参考資料2 関係参考資料 
議事録 第5回個人情報保護法のいわゆる3年ごと見直しに関する検討会
2024.10.16 第304回個人情報保護委員会
資料1-1 個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点(案) 
資料1-2 今後の検討の進め方
  議事概要
  議事録 
2024.10.11 第4回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 全国消費生活相談員協会プレゼン資料 
資料2 中川構成員プレゼン資料 
資料3 第3回事務局資料に対する御質問と考え方
参考資料1 第2回及び第3回検討会における主な御意見 
参考資料2 関係参考資料
前回資料1ー1 総合的な案内所(個人情報保護法相談ダイヤル)における受付状況 
前回資料1ー2 名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
前回資料2 個人情報保護法の違反行為に係る事例等 
前回資料3 現行制度と検討の方向性について(課徴金制度)
前回資料4 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度)
議事録 第4回個人情報保護法のいわゆる3年ごと見直しに関する検討会 
2024.09.26 第3回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第 
資料1-1 総合的な案内所(個人情報保護法相談ダイヤル)における受付状況 
資料1-2 名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について 
資料2 個人情報保護法の違反行為に係る事例等 
資料3 現行制度と検討の方向性について(課徴金制度)
資料4 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度)
参考資料1 第2回検討会における主な御意見 
参考資料2 個人情報の保護に関する基本方針
参考資料3 個人情報の保護に関する法律に基づく行政上の対応について(令和6年9月11日公表資料)
参考資料4 関係参考資料 
議事録 第3回個人情報保護法のいわゆる3年ごと見直しに関する検討会 
2024.09.05 第2回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
資料1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要)
資料3 今後の検討の進め方
資料4 監視・監督活動及び漏えい等報告に関する説明資料
参考資料1 第1回検討会における主な意見
参考資料2 第1回検討会における主な質問及び回答
参考資料3 関係参考資料 
 議事録  
 2024.09.04 第299回個人情報保護委員会
資料1-1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料1-2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要)
 議事概要  
 議事録  
2024.07.31 第1回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
資料1 開催要綱(案)
資料2 主婦連合会御提出資料
資料3 新経済連盟御提出資料
資料4 全国消費者団体連絡会御提出資料
資料5 全国消費生活相談員協会御提出資料
資料6 日本IT 団体連盟御提出資料
資料7 日本経済団体連合会御提出資料
参考資料1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」概要
参考資料2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」本文
議事録  
2024.07.24 第296回個人情報保護委員会
資料1 個人情報保護法のいわゆる3年ごと見直しに関する検討会の設置について
議事概要  
議事録  
 2024.06.26  第292回個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(案)
【委員長預かりで会議後に修正した資料】 資料1 個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理
資料2−1 日EU相互認証の枠組みの拡大に向けた対応について
資料2−2 個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長(価値・透明性担当)の会談に関する共同プレス・ステートメント(英語)
資料2−3 個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長(価値・透明性担当)の会談に関する共同プレス・ステートメント(日本語仮訳)
資料3 一般送配電事業者及び関係小売電気事業者等における顧客情報の不適切な取扱事案に対する個人情報の保護に関する法律に基づく行政上の対応について
議事概要  
議事録  
2024.06.13 第290回個人情報保護委員会
資料1-1 第二次いわゆる3年ごと見直しへのコメント(ひかり総合法律事務所 板倉弁護士)
資料1-2 デジタル社会の個人情報保護法(新潟大学 鈴木教授)
議事概要  
議事録  
2024.06.12 第289回個人情報保護委員会
資料1-1 個人情報保護委員会「いわゆる3年ごと見直し」ヒアリング(国立情報学研究所 佐藤教授) 
資料1-2 個人情報保護法3年ごと見直し令和6年に対する意見(産業技術総合研究所 高木主任研究員)
議事概要  
議事録  
2024.06.03 第287回個人情報保護委員会
資料1-1 個人情報保護法見直しに関するコメント(京都大学 曽我部教授)
資料1-2 いわゆる3年ごと見直しに関する意見(慶應義塾大学 山本教授) 
資料1-3 3年ごと見直しヒアリング2024(英知法律事務所 森弁護士) 
資料1-4-1 個人情報保護法のいわゆる3年ごと見直しに関する意見(東京大学 宍戸教授)
資料1-4-2 宍戸常寿氏御提出資料(令和元年5月21日提出)
議事概要  
議事録  
2024.05.29 第286回個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方③)
議事概要  
議事録  
2024.05.15 第284回個人情報保護委員会
資料2 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(データ利活用に向けた取組に対する支援等の在り方)
資料3 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方②)
議事概要  
議事録  
2024.05.10 第283回個人情報保護委員会
資料1-1 個人情報保護法における課徴金制度導入にかかる諸論点(名古屋大学 林教授)
資料1-2 個人情報保護法における法執行の強化について(神戸大学 中川教授)
議事概要  
議事録  
2024.04.24 第281回個人情報保護委員会
資料1 個人情報保護法の3年ごと見直しに対する意見
資料2 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方③)
議事概要  
議事録  
2024.04.10 第280回個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方② )
議事概要  
議事録  
2024.04.03 第279回個人情報保護委員会
資料1―1 AIと個人情報保護:欧州の状況を中心に(一橋大学 生貝教授) 
資料1―2 AI利用と個人情報の関係の考察(NTT社会情報研究所 高橋チーフセキュリティサイエンティスト)
資料1−3 医療情報の利活用の促進と個人情報保護(東京大学 森田名誉教授)
資料1―4 医療・医学系研究における個人情報の保護と利活用(早稲田大学 横野准教授)
議事概要  
議事録  
2024.03.22 第277回個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方①)
議事概要  
議事録  
2024.03.06 第275回個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)
議事概要  
議事録  
2024.02.21 第273回個人情報保護委員会
資料4 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目
【委員長預かりで会議後に修正した資料】資料4 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目
議事概要   
議事録   
2024.02.14 第272回個人情報保護委員会
資料2-1 地方公共団体における個人情報保護法運用状況のヒアリング(京都府総務部政策法務課)
資料2-2 岡山市における個人情報保護法の運用状況(岡山市総務局行政事務管理課)
資料2-3 個人情報保護法運用状況について(都城市総務部総務課)
資料2-4 個人情報保護法運用状況について(上里町総務課)
議事概要  
議事録  
2024.02.07 第271回個人情報保護委員会
資料1 インターネット広告における個人に関する情報の取扱いについての取組状況(日本インタラクティブ広告協会)
議事概要   
議事録  
2024.01.31 第270回個人情報保護委員会
資料2 個人情報保護法の3 年ごと見直しに対する意見(日本経済団体連合会)
議事概要  
議事録   
2024.01.23 第268回個人情報保護委員会
資料1―1 (特定)適格消費者団体の活動について(消費者支援機構関西)
資料1―2 個人情報保護委員会ヒアリング資料(日本商工会議所)
議事概要  
議事録  
2023.12.21 第266回個人情報保護委員会
資料1―1 個人情報保護法の3年ごと見直しに関する意見(電子情報技術産業協会)
資料1―2 ヒアリング資料(全国商工会連合会)
議事概要  
議事録  
2023.12.20 第265回個人情報保護委員会
資料1―1 ACCJ Comments for the Personal Information Protection Commission Public Hearing(在米国商工会議所)
資料1―2 公開ヒアリングに向けたACCJ意見(在米国商工会議所)
議事概要  
議事録  
2023.12.15 第264回個人情報保護委員会
資料1―1 個人情報保護法の見直しについて(新経済連盟)
資料1―2 個人情報保護法見直しに関する意見(日本IT団体連盟) 
議事概要  
議事録  
2023.12.06 第263回個人情報保護委員会
資料2 個人情報保護法に関する欧州企業の代表的な課題(欧州ビジネス協会)
議事概要  
議事録   
2023.11.29 第262回個人情報保護委員会
資料1 ヒアリング資料(一般社団法人日本情報経済社会推進協会)
議事概要  
議事録   
2023.11.15 第261回個人情報保護委員会
資料2-1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討 
資料2-2 個人情報保護に係る主要課題に関する海外・国内動向調査 概要資料
議事概要  
議事録  

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.20 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第310回委員会、第6-7回検討会)

・2024.11.26 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第304回委員会、第3-5回検討会)

・2024.09.06 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第299回委員会、第2回検討会)

・2024.08.04 個人情報保護委員会 第1回 個人情報保護法のいわゆる3年ごと見直しに関する検討会

・2024.06.28 個人情報保護委員会 意見募集 いわゆる3年ごと見直しに係る検討の中間整理

・2024.06.04 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中... (2)

・2024.04.25 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中...

・2024.01.06 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング中...

 

 

 

| | Comments (0)

Microsoft 包括的なAPIセキュリティ戦略の構築 (2024.10.22)

こんにちは、丸山満彦です。

マイクロソフトが、包括的なAPIセキュリティ戦略の構築という小冊子?を発行していました。これから、こういう視点は重要となると思うので、紹介です...

 

Microsoft - Defender for Cloud Blog

・2024.10.22 New E-book: Building a Comprehensive API Security Strategy

内容は、

  • 序文:API の仕組みと API セキュリティの概念を理解する。
  • API セキュリティがビジネスに不可欠なデータとオペレーションを保護する:今日の脅威の状況を調べて、API セキュリティ戦略について批判的に考える方法を学ぶ。
  • API インベントリへの信頼を構築する: API 検出について、またそれが戦略構築における重要な第一歩である理由について学ぶ。
  • 動的 API インベントリを積極的に管理:インベントリを常に把握するために組織のポリシーとセキュリティ制御を適用するために必要なことを学ぶ。
  • 高度なセキュリティ ソリューションで API を強化:管理の次は API をさらに保護する。一般的な API のリスクと、クラウド ネイティブ アプリケーション保護プラットフォーム (CNAPP) をゲーム プランに統合する利点について学習する。
  • 重層的な防御を構築して API セキュリティを最大限に高める。補完的なツールとサービスを組み込むことで、セキュリティ体制全体を強化し、脅威から保護することで、セキュリティを次のレベルに引き上げる。

というかんじのようです...

翻訳版があるといいですね...

 

・[PDF]

20241224-232813

 

目次...

1 INTRODUCTION 1 序文
2 API SECURITY PROTECTS YOUR BUSINESS CRITICAL DATA AND OPERATIONS 2APIセキュリティが重要なデータと業務を保
2.1 Understand API threats 2.1 API の脅威を理解する
3 BUILD CONFIDENCE IN YOUR API INVENTORY 3 API インベントリの信頼性を高める
3.1 Use API discovery to get a handle on your API inventory 3.1 APIディスカバリを使用してAPIインベントリを把握する
4 ACTIVELY MANAGE YOUR DYNAMIC API INVENTORY 4 動的なAPIインベントリを積極的に管理する
4.1 Use an API management platform 4.1 API管理プラットフォームを使用する
4.2 Streamline API management with API gateways 4.2 APIゲートウェイでAPI管理を効率化する
5 FORTIFY YOUR APIS WITH ADVANCED SECURITY SOLUTIONS 5 高度なセキュリティ・ソリューションでAPIを強化する
5.1 Integrate a CNAPP into your API security strategy 5.1 CNAPPをAPIセキュリティ戦略に統合する
5.2 Monitor and protect APIs against attacks in runtime 5.2 実行時の攻撃を監視し、APIを防御する
6 BUILD LAYERED DEFENSES TO MAXIMIZE YOUR API SECURITY 6 重層的な防御を構築してAPIセキュリティを最大化する
6.1 Build secure networks 6.1 安全なネットワークを構築する
6.2 Control and manage access 6.2 アクセスを管理する
6.3 Keep your secrets secret 6.3 秘密を守る
7 NEXT STEPS 7 次のステップ
7.1 Better together 7.1 より良い関係を築く

 

 

 

| | Comments (0)

2024.12.26

米国 NIST CSWP 35(初期公開ドラフト) ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング:ゲノムデータシーケンスおよび分析のための脅威モデル実装例

こんにちは、丸山満彦です。

NISTがホワイトペーパー:CSWP 35(初期公開ドラフト) ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング:ゲノムデータシーケンスおよび分析のための脅威モデル実装例を公表しています...

IR 8467とは違い、脅威モデルの実装例をしめしあものです...

IR 8467 (第2次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイルも同時に公表されていますね...

 

NIST - ITL

・2024.12.16 NIST CSWP 35 (Initial Public Draft) Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow: An example threat model implementation for genomic data sequencing and analysis

NIST CSWP 35 (Initial Public Draft) Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow: An example threat model implementation for genomic data sequencing and analysis NIST CSWP 35(初期公開ドラフト) ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング:ゲノムデータシーケンスおよび分析のための脅威モデル実装例
Announcement 発表
The NIST National Cybersecurity Center of Excellence (NCCoE) has released two new draft publications to help organizations address cybersecurity and privacy risks associated with processing genomic data. Both drafts are open for public comment until 11:59 PM (ET) on Thursday, January 30, 2025. NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、ゲノムデータの処理に関連するサイバーセキュリティおよびプライバシーのリスクに対処する組織を支援する2つの新しい草案を公表した。両草案は、2025年1月30日(木)午後11時59分(東部標準時間)まで一般からの意見を受け付けている。
About the Drafts ドラフトについて
Draft NIST Internal Report (IR) 8467, Genomic Data Cybersecurity and Privacy Frameworks Community Profile (Genomic Data Profile), provides a structured, risk-based approach for managing both cybersecurity and privacy risks in processing genomic data. This update incorporates the NIST Cybersecurity Framework (CSF) version 2.0 and NIST Privacy Framework (PF) version 1.0 to help organizations prioritize cybersecurity and privacy capabilities. This is the first joint CSF and PF Community Profile developed by NIST. NIST内部報告書(IR)8467、ゲノムデータ・サイバーセキュリティおよびプライバシー・フレームワーク・コミュニティ・プロファイル(ゲノムデータ・プロファイル)は、ゲノムデータの処理におけるサイバーセキュリティおよびプライバシー・リスクの両方を管理するための、構造化されたリスクベースのアプローチを提供する。今回の更新では、NISTサイバーセキュリティ・フレームワーク(CSF)バージョン2.0およびNISTプライバシー・フレームワーク(PF)バージョン1.0が組み込まれ、組織がサイバーセキュリティおよびプライバシー能力の優先順位付けを行うのに役立つ。これは、NISTが開発した初のCSFとPFの共同コミュニティ・プロファイルである。
Draft NIST Cybersecurity White Paper (CSWP) 35, Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow, evaluates potential threats in a genomic data processing environment using an iterative methodology. It provides an example use case and demonstrates an approach which organizations can adapt to identify cybersecurity threats and mitigations in their environments. ドラフト版NISTサイバーセキュリティ・ホワイトペーパー(CSWP)35「ゲノムデータ・シーケンス・ワークフローのサイバーセキュリティ脅威モデリング」では、反復的な方法論を用いてゲノムデータ処理環境における潜在的な脅威を評価している。また、使用例を示し、組織が自らの環境におけるサイバーセキュリティの脅威と緩和策を識別するために採用できるアプローチを実証している。

 

● [PDF] NIST.CSWP.35.ipd

20241225-04217_20241225004301

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Use Case and Scope 1.1. ユースケースと範囲
1.2. Organizational Tailoring 1.2. 組織の調整
1.3. Threats and Risk 1.3. 脅威とリスク
1.4. Threat Modeling Overview 1.4. 脅威モデリングの概要
1.5. Audience 1.5. 対象読者
2. Threat Modeling Exam 2. 脅威モデリング試験
2.1. Question 1: What are we working on? 2.1. 問題 1: 私たちは何を扱っているのか?
2.1.1. Genomics Sequencing Laboratory Data Flow Diagrams 2.1.1. ゲノム配列決定研究所のデータフロー図
2.1.2. Research Partner Data Flow Diagrams 2.1.2. 研究パートナーのデータフロー図
2.1.3. High-Value Dataflows Overvie 2.1.3. 高価値データフローの概要
2.1.4. Genomic Sequencing Laboratory HVD Examples 2.1.4. ゲノムシークエンシング研究所のHVDの例
2.1.5. Research Partner HVDs 2.1.5. 研究パートナーのHVD
2.2. Question 2: What could go wrong 2.2. 質問2:何が問題となり得るか
2.2.1. Spotine. Tamperine, Repudiation, formation Dislose, and levato rule STRIDE) 2.2.1. Spotine、Tamperine、Repudiation、formation Dislose、levato rule STRIDE
2.2.2. Key STRIDE Results 2.2.2. 主なSTRIDEの結果
2.2.3. Attack Trees 2.2.3. 攻撃ツリー
2.3. Question 3: What are we going to do about it? 2.3. 質問 3: それに対して何をすべきか?
2.3.1. Broker Access to Genomic Data 2.3.1. ゲノムデータへのブローカーアクセス
2.3.2. Use Network Isolation and Firewalls 2.3.2. ネットワーク分離とファイアウォールの使用
2.3.3. Use RBAC on the Cluster Filesystem 2.3.3. クラスタファイルシステムでの RBAC の使用
2.3.4. Authenticate and Authorize All Users 2.3.4. すべてのユーザーの認証と認可
2.3.5. Restrict Physical Access to Environments 2.3.5. 環境への物理的アクセスを制限する
2.3.6. Implement Data Retention Policies for the Genomic Data 2.3.6. ゲノムデータに対するデータ保持ポリシーを実施する
2.3.7. Conduct Backups of Datastores 2.3.7. データストアのバックアップを行う
2.3.8. Containerize Untrusted Software 2.3.8. 信頼されていないソフトウェアをコンテナ化する
2.3.9. Implement Least Functionality and use Configuration Benchmark 2.3.9. 最小限の機能の実装と構成ベンチマークの使用
2.3.10. Encrypt Data Whenever Possible 2.3.10. 可能な限りデータの暗号化を行う
2.4. Question 4: Did we do a good job? 2.4. 質問 4: 私たちは良い仕事をしたか?
2.4.1. Did we do a good job documenting the system and data architecture? 2.4.1. システムおよびデータアーキテクチャの文書化は適切に行われたか?
2.4.2. Did we do a good job identifying and documenting threats? 2.4.2. 脅威の識別および文書化は適切に行われたか?
2.4.3. Did we do a good job mitigating the threats? 2.4.3. 脅威の緩和は適切に行われたか?
3. Conclusion 3. 結論
References 参考文献
Appendix A. Abbreviations and Acronyms 附属書 A. 略語および頭字語

 

エグゼエクティブサマリー...

Executive Summary  エグゼクティブサマリー
In this paper, the National Cybersecurity Center of Excellence (NCCoE) Genomic Data project team demonstrates how to conduct cybersecurity threat modeling against the environments involved in genomic sequencing and analysis. The paper demonstrates a common four-step threat modeling process that can be used as an example for organizations involved in genomic research, sequencing, and analysis planning to conduct similar threat modeling and identify mitigations:  本論文では、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)ゲノムデータプロジェクトチームが、ゲノム配列決定および分析に関わる環境におけるサイバーセキュリティの脅威モデリングの実施方法を説明する。本論文では、ゲノム研究、配列決定、分析計画に関わる組織が同様の脅威モデリングを実施し、緩和策を特定するための例として使用できる、一般的な4段階の脅威モデリングプロセスを説明する。
1. Document “What are we working on?” through architecture, dataflow, and high-value dataflow diagrams for the genomic data processing environment (Sec. 2.1).  1. ゲノムデータ処理環境のアーキテクチャ、データフロー、および高価値データフロー図を通じて、「取り組んでいることは何か」を文書化する(セクション2.1)。 
2. Evaluate “What could go wrong?” by identifying threats in the environment using tools such as STRIDE, MITRE ATT&CK®, and attack trees (Sec. 2.2).  2. STRIDE、MITRE ATT&CK®、攻撃ツリーなどのツールを使用して環境内の脅威を識別し、「何が問題となる可能性があるか」を評価する(セクション2.2)。
3. Determine “What are we going to do about it?” by prioritizing the identified threats to help sequence and select initial targets for mitigations, leveraging best practice guides and existing resources (Sec. 2.3).  3. 識別した脅威を優先順位付けし、緩和策の初期ターゲットを順序立てて選択するのに役立てることで、「それに対して何をしようとしているのか」を決定する。その際には、ベストプラクティスガイドや既存のリソースを活用する(セクション2.3)。
4. Consider “Did we do a good job?” by reviewing the results of the threat modeling exercise and identifying any additional activities, including high-priority areas where additional mitigations are needed (Sec. 2.4).  4. 脅威モデリングの作業結果をレビューし、追加の緩和策が必要な優先度の高い領域など、追加の作業を識別することで、「良い仕事ができたか」を検討する(セクション2.4)。
Background. Legislation such as the Genetic Information Nondiscrimination Act of 2008 (GINA) [1] identifies the need to protect genetic data, while Executive Order 14018 [2] lays out the need to identify risks and develop a protection plan for biological datasets, including genomic data. Cyber attacks may impact the confidentiality, integrity, and availability of systems that process genomic data , introducing economic, privacy, discrimination, and national security risks. Organizations rely on genomic data sharing and aggregation to advance scientific and medical research, improve health outcomes, and compete within the global bioeconomy. Cybersecurity and privacy for genomic data are complicated by the nature of the data, which is immutable and includes kinship, health, and phenotype, as well as the broad, diverse, and international composition of the genomics community, which includes government, academia, and industry stakeholders engaged in biopharmaceutical research, healthcare, law enforcement, agriculture, and direct-to-consumer genetic testing.  背景 2008年の遺伝情報差別禁止法(GINA)[1]などの法律は、遺伝子データの防御の必要性を特定している。一方、大統領令14018[2]は、ゲノムデータを含む生物学的データセットのリスクを識別し、防御計画を策定する必要性を定めている。サイバー攻撃は、ゲノムデータを処理するシステムの機密性、完全性、可用性に影響を及ぼし、経済、プライバシー、識別的、国家安全保障上のリスクをもたらす可能性がある。科学および医学研究の進歩、健康状態の改善、そしてグローバルなバイオエコノミーにおける競争のために、組織はゲノムデータの共有と集積に依存している。ゲノムデータのサイバーセキュリティとプライバシーは、その性質により複雑化している。その性質とは、不変であり、親族関係、健康、表現型を含むこと、また、バイオ製薬研究、ヘルスケア、法執行、農業、消費者向け遺伝子検査に従事する政府、学術界、産業界の関係者を含む、広範で多様かつ国際的なゲノムコミュニティの構成である。
The paper is part of a larger effort at the NCCoE to engage genomic data processing stakeholders to create practical guidance that addresses related cybersecurity and privacy concerns. The NCCoE Genomic Data website provides links to previous workshops and publications, including National Institute of Standards and Technology (NIST) Internal Report (IR) 8432, Cybersecurity of Genomic Data [3], and IR 8467, Genomic Data Cybersecurity and  この論文は、NCCoEがゲノムデータ処理の関係者を巻き込み、関連するサイバーセキュリティおよびプライバシーの懸念に対処する実用的な指針を作成する取り組みの一環である。NCCoEのゲノムデータウェブサイトでは、国立標準技術研究所(NIST)の内部報告書(IR)8432「ゲノムデータのサイバーセキュリティ」[3]やIR 8467「ゲノムデータのサイバーセキュリティおよび 
Privacy Frameworks Community Profile (Genomic Data Profile) [4]. Additionally, the NCCoE is currently developing a privacy-focused guide to address privacy-related concerns, threats, and risks that will also be published.  さらに、NCCoEは現在、プライバシーに関する懸念、脅威、リスクに対処するためのプライバシーに焦点を当てたガイドを開発しており、これも公開される予定である。

 

 まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.26 米国 NIST CSWP 35(初期公開ドラフト) ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング:ゲノムデータシーケンスおよび分析のための脅威モデル実装例

・2024.12.26 米国 NIST IR 8467 (第2次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイル (2024.12.16)

・2023.12.23 NISTIR 8432 ゲノムデータのサイバーセキュリティ

・2023.06.24 NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイル

・2023.03.05 NISTIR 8432(ドラフト)ゲノムデータのサイバーセキュリティ

 

| | Comments (0)

米国 NIST IR 8467 (第2次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイル (2024.12.16)

こんにちは、丸山満彦です。

NISTがIR 8467 (第2次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイルを公表し、意見募集をしていますね...

Cybersecurity Framework 2.0とPraivacy Frameworkを掛け合わせたものです。。。

 

同時に、NIST CSWP 35 (Initial Public Draft) Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow: An example threat model implementation for genomic data sequencing and analysis (NIST CSWP 35(初期公開ドラフト) ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング:ゲノムデータシーケンスおよび分析のための脅威モデル実装例)も公表されています...

NIST - ITL

・2024.12.16 NIST IR 8467 (2nd Public Draft) Genomic Data Cybersecurity and Privacy Frameworks Community Profile

NIST IR 8467 (2nd Public Draft) Genomic Data Cybersecurity and Privacy Frameworks Community Profile NIST IR 8467 (第2次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイル
Announcement 発表
The NIST National Cybersecurity Center of Excellence (NCCoE) has released two new draft publications to help organizations address cybersecurity and privacy risks associated with processing genomic data. Both drafts are open for public comment until 11:59 PM (ET) on Thursday, January 30, 2025. NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、ゲノムデータの処理に関連するサイバーセキュリティとプライバシーのリスクに対処する組織を支援するための2つの新しいドラフト出版物を発表した。両ドラフトとも2025年1月30日(木)午後11時59分(米国東部時間)までパブリックコメントを受け付けている。
About the Drafts ドラフトについて
Draft NIST Internal Report (IR) 8467, Genomic Data Cybersecurity and Privacy Frameworks Community Profile (Genomic Data Profile), provides a structured, risk-based approach for managing both cybersecurity and privacy risks in processing genomic data. This update incorporates the NIST Cybersecurity Framework (CSF) version 2.0 and NIST Privacy Framework (PF) version 1.0 to help organizations prioritize cybersecurity and privacy capabilities. This is the first joint CSF and PF Community Profile developed by NIST. ドラフトNIST内部報告書(IR)8467「ゲノムデータのサイバーセキュリティとプライバシーの枠組みコミュニティプロファイル(Genomic Data Profile)」は、ゲノムデータの処理におけるサイバーセキュリティとプライバシーの両方のリスクをマネジメントするための構造化されたリスクベースのアプローチを提供する。このアップデートは、NISTサイバーセキュリティフレームワーク(CSF)バージョン2.0とNISTプライバシーフレームワーク(PF)バージョン1.0を組み込んでおり、組織がサイバーセキュリティとプライバシーの能力に優先順位をつけるのに役立つ。これは、NISTが開発した初のCSFとPFの共同コミュニティプロファイルである。
Draft NIST Cybersecurity White Paper (CSWP) 35, Cybersecurity Threat Modeling the Genomic Data Sequencing Workflow, evaluates potential threats in a genomic data processing environment using an iterative methodology. It provides an example use case and demonstrates an approach which organizations can adapt to identify cybersecurity threats and mitigations in their environments. NIST サイバーセキュリティ白書(CSWP)35(ドラフト)「ゲノムデータ配列決定ワークフローにおけるサイバーセキュリティ脅威モデリング」は、反復的方法論を用いてゲノムデータ処理環境における潜在的脅威を評価している。この論文はユースケースの例を提供し、組織がその環境におけるサイバーセキュリティの脅威と緩和策を特定するために適応できるアプローチを示している。
We Want to Hear from You! あなたの意見を聞きたい!
The public comment period for the drafts is open until 11:59 PM (ET) on Thursday, January 30, 2025. More details for providing public feedback are within the drafts. ドラフトのパブリックコメント期間は、2025年1月30日(木)午後11時59分(米国東部時間)までである。パブリックコメントの詳細については、ドラフトに記載されている。
Looking Ahead 今後の展望
The NCCoE is planning a webinar on January 13, 2025, to give an overview of the drafts. More details will be announced soon. NCCoEは2025年1月13日にドラフト概要を説明するウェビナーを計画している。詳細は近日中に発表される。
The NCCoE has released a new two-page fact sheet summarizing the genomics cybersecurity and privacy project roadmap and outcomes. Additional ongoing project work includes privacy threat modeling for genomic data workflows and development of a Privacy Enhancing Technologies (PETs) testbed for privacy-preserving federated learning (PPFL). NCCoEは、ゲノムサイバーセキュリティとプライバシープロジェクトのロードマップと成果をまとめた2ページのファクトシートを新たに発表した。現在進行中のプロジェクトには、ゲノム・データ・ワークフローのためのプライバシー脅威モデルや、プライバシー保持連合学習(PPFL)のためのプライバシー強化技術(PETs)テストベッドの開発などがある。
To stay informed about this work and receive project updates, join the NCCoE Genomic Data Community of Interest (COI). Email us at genomic_cybersecurity_nccoe@nist.gov.  このプロジェクトに関する最新情報を入手するには、NCCoE Genomic Data Community of Interest (COI)に参加すること。genomic_cybersecurity_nccoe@nist.gov。
Abstract 要旨
Advancements in genomic sequencing technologies are accelerating the speed and volume of data collection, sequencing, and analysis. However, this progress also heightens cybersecurity and privacy risks. This Genomic Data Cybersecurity and Privacy Frameworks Community Profile (“Genomic Data Profile”) identifies the priority outcomes from both the Cybersecurity Framework (CSF) and the Privacy Framework (PF) to provide guidance to reduce cybersecurity and privacy risks to organizations in the genomic data life cycle. This updated version includes both cybersecurity based on the CSF 2.0 and privacy based on the PF 1.0. In developing this Profile, NIST worked closely with genomic stakeholders across government, industry, and academia to identify cybersecurity and privacy risks and priorities. ゲノム配列解析技術の進歩は、データ収集、配列決定、解析のスピードと量を加速している。しかし、この進歩はサイバーセキュリティとプライバシーのリスクも高めている。このゲノムデータ・サイバーセキュリティ・プライバシーフレームワークコミュニティプロファイル(「ゲノムデータプロファイル」)は、サイバーセキュリティフレームワーク(CSF)とプライバシーフレームワーク(PF)の両方から優先される成果を特定し、ゲノムデータのライフサイクルにおける組織のサイバーセキュリティとプライバシーリスクを低減するためのガイダンスを提供する。この更新版には、CSF 2.0 に基づくサイバーセキュリティと PF 1.0 に基づくプライバシーの両方が含まれている。本プロファイルの策定にあたり、NIST は政府、産業界、学界のゲノム関係者と緊密に連携し、サイバーセキュリティ及びプライバシーのリスクと優先事項を特定した。

 

ちなみに、NISTの遺伝情報についてのセキュリティ・プライバシーについてのページ...

Cybersecurity and Privacy of Genomic Data

・[PDF] The 2-page fact sheet

20241225-02557

 

・[PDF] NIST.IR.8467.2pd

20241224-234320

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. scope 1.2. 範囲
1.3. Audience 1.3. 対象読者
1.4. Document Structure 1.4. 文書構成
2. Overview of Genomic Data 2. ゲノムデータの概要
2.1. The Genomic Data Ecosystem and Bioeconomy 2.1. ゲノムデータ・エコシステムとバイオエコノミー
2.2. Cybersecurity and Privacy Risk Relationship 2.2. サイバーセキュリティとプライバシー・リスクの関係
 2.2.1. Privacy Risk Management Overview  2.2.1. プライバシー・リスクマネジメントの概要
2.3. Genomic Data Security and Privacy Concerns and Challenges 2.3. ゲノムデータのセキュリティとプライバシーに関する懸念と課題
3. The NIST Cybersecurity and Privacy Frameworks 3. NIST サイバーセキュリティおよびプライバシー枠組み
3.1. The Core 3.1. コア
 3.1.1. The Cybersecurity Framework Core  3.1.1. サイバーセキュリティ枠組みのコア
 3.1.2. The Privacy Framework Core  3.1.2. プライバシー枠組みのコア
3.2. Community Profile 3.2. コミュニティ・プロファイル
3.3. Applying the NIST Frameworks to Genomic Data 3.3. NIST 枠組みのゲノムデータへの適用
4. Genomic Data Profile Development Methodology 4. ゲノムデータ・プロファイル開発方法論
5. Genomic Data Mission Objective 5. ゲノムデータのミッション目標
5.1. Objective 1: Manage provenance and data quality throughout the genomic data life cycle (Data) 5.1. 目的 1:ゲノムデータのライフサイクル全体を通じて、データの由来とデータ・プライバシーを管理する(データ)
5,2. Objective 2: Manage privacy risk to existing and future relatives (Relatives) 5.2. 目的 2:既存および将来の親族に対するプライバシー・リスクを管理する(親族)
5.3. Objective 3: Identify, model, and address cybersecurity and privacy risks of processing genomic data (Risks) 5.3. 目的 3:ゲノムデータの処理におけるサイバーセキュリティおよびプライバシー・リスクを識別、モデル化、および対処する(リスク)
5.4. Objective 4: Manage informed consent throughout the genomic data life cycle (Consent) 5.4. 目的 4:ゲノムデータのライフサイクル全体を通じて、インフォームド・コンセントを管理する(同意)
5.5. Objective 5: Manage privacy risk to donors (Donors) 5.5. 目的 5:提供者に対するプライバシー・リスクの管理(提供者
5.6. Objective 6: Manage authorized data access (Access) 5.6. 目的 6:認可されたデータ・アクセス管理(アクセス
5.7. Objective 7: Maintain trustworthiness and manage reputational risk (Trust) 5.7. 目的 7:信頼性の維持とレピュテーション・リスクの管理(信頼
5.8. Objective 8: Facilitate research and education to advance science and technology (Research)26 5.8. 目的 8:科学技術の進歩のための研究と教育の促進(研究)26
5.9. Objective 9: Maintain compliance with laws and regulations (Legal 5.9. 目的 9:法律および規制への準拠の維持(法的
5.10. Objective 10: Protect intellectual property (P) 5.10. 目標10:知的財産の防御(P
5.11. Objective 11: Ensure the degree of diversity is appropriate for processing purposes (Diversity) 5.11. 目標11:処理目的に適した多様性の確保(多様性)
5.12. Objective 12: Promote the use of privacy-enhancing technologies (PETs) as well as secure technologies for sharing genomic data (Tech) 5.12. 目標12:プライバシー強化技術(PETs)の利用促進およびゲノムデータ共有のための技術セキュリティ(Tech
6. Priority Subcategories by Mission Objective 6. ミッション目標別優先サブカテゴリー
References 参考文献
Appendix A. Selected Bibliography 附属書A. 参考文献
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書B. 記号、略語、および略称の一覧
Appendix C. Glossary 附属書C. 用語集

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー
The National Institute of Standards and Technology (NIST) National Cybersecurity Center of Excellence (NCCoE) engaged stakeholders across government, academia, and industry to better understand the current state of the cybersecurity and privacy challenges facing the genomics community. This collaboration led to NIST publishing NIST Internal Report (IR) 8432, Cybersecurity of Genomic Data, an overview of the challenges and opportunities with genomic data cybersecurity. As a follow-on effort, the NCCoE collaborated with a diverse subset of stakeholders to conduct working sessions focused on gathering the information needed to develop this Genomic Data Cybersecurity and Privacy Frameworks Community Profile (referred to as the “Genomic Data Profile”). This Profile prioritizes Subcategories from the Cybersecurity Framework (CSF) 2.0 and the Privacy Framework (PF) 1.0 in a single integrated Profile for the genomic community.  国立標準技術研究所(NIST)国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、ゲノムコミュニティが直面するサイバーセキュリティおよびプライバシーの課題について現状をより深く理解するために、政府、学術界、産業界の関係者を巻き込んだ。この共同作業により、NISTはNIST内部報告書(IR)8432「ゲノムデータのサイバーセキュリティ」を発行した。これは、ゲノムデータのサイバーセキュリティに関する課題と機会の概要である。その後の取り組みとして、NCCoEは多様な利害関係者と協力し、この「ゲノムデータ・サイバーセキュリティおよびプライバシー枠組みコミュニティ・プロファイル」(以下、「ゲノムデータ・プロファイル」)の開発に必要な情報の収集に焦点を当てた作業セッションを実施した。このプロファイルは、ゲノムコミュニティ向けの単一の統合プロファイルとして、サイバーセキュリティ枠組み(CSF)2.0およびプライバシー枠組み(PF)1.0のサブカテゴリーを優先順位付けしている。
The Genomic Data Profile provides guidance to help organizations manage and reduce cybersecurity and privacy risks for assets[1] that process any type of genomic data (e.g., human, microbiome, microbial, model organism, plant) as well as privacy risks to individuals whenever human genomic data is processed. The Profile is intended to help organizations understand, assess, prioritize, and communicate their existing and future cybersecurity and privacy strategies, priorities, activities, practices, policies, and guidance. Organizations consider their unique obligations, operating environment, and Mission Objectives when prioritizing and implementing cybersecurity and privacy capabilities.  ゲノムデータ・プロファイルは、あらゆる種類のゲノムデータ(ヒト、マイクロバイオーム、微生物、モデル生物、植物など)を処理する資産[1]のサイバーセキュリティおよびプライバシーリスク、ならびにヒトゲノムデータが処理される際の個人に対するプライバシーリスクを管理し、低減するためのガイダンスを提供する。このプロファイルは、組織が既存および将来のサイバーセキュリティおよびプライバシー戦略、優先事項、活動、慣行、方針、ガイダンスを理解し、アセスメントを行い、優先順位を付け、コミュニケーションを行うことを支援することを目的としている。組織は、サイバーセキュリティおよびプライバシー能力の優先順位付けと実施にあたり、独自の義務、運用環境、およびミッション目標を考慮する。
This Profile identifies 12 genomic-related Mission Objectives and prioritizes relevant Subcategories to help organizations protect genomic data and individuals throughout the data life cycle. CSF and PF Subcategories describe the relevant outcomes from implementing cybersecurity and privacy capabilities. Prioritizing cybersecurity and privacy capabilities based on their organization’s Mission Objectives can inform decision-making.  このプロファイルは、12のゲノム関連ミッション目標を識別し、関連サブカテゴリーの優先順位付けを行うことで、データライフサイクル全体を通じてゲノムデータと個人を防御する組織を支援する。CSFおよびPFサブカテゴリーは、サイバーセキュリティおよびプライバシー能力の実施による関連成果を記述する。組織のミッション目標に基づいてサイバーセキュリティおよびプライバシー能力の優先順位付けを行うことで、意思決定に役立てることができる。
The selection of cybersecurity and privacy capabilities for genomic data is complicated by the broad and diverse nature of the genomics community, including biopharmaceutical research, healthcare, law enforcement, and agriculture. Organizations rely on genomic data sharing to advance scientific and medical research, improve health outcomes, and compete within the bioeconomy, and thus genomic data often needs to be aggregated from multiple sources. In addition, organizations that share data with stakeholders in multiple countries may have additional requirements for protecting genomic data or for managing the cross-border transfer of data.  ゲノムデータに対するサイバーセキュリティおよびプライバシー機能の選択は、バイオ製薬研究、医療、法執行、農業などを含むゲノムコミュニティの広範かつ多様な性質により複雑化している。 組織は、科学的および医学的研究の進歩、健康上の成果の改善、バイオエコノミー内での競争のためにゲノムデータの共有に依存しており、そのためゲノムデータは多くの場合、複数のソースから集約する必要がある。さらに、複数の国々の利害関係者とデータを共有する組織は、ゲノムデータの防御や国境を越えたデータ転送の管理に関して、追加の要件を満たす必要がある場合もある。
Cybersecurity attacks targeted at assets that process genomic data could impact the confidentiality, integrity, and availability of that data, introducing economic, privacy, discrimination, and national security risks. Additionally, processing human genomic data can impact the predictability, disassociability, and manageability of that data, which may result in privacy risks to individuals. For example, the unanticipated revelation of genomic data may  ゲノムデータを処理する資産を標的としたサイバーセキュリティ攻撃は、データの機密性、完全性、可用性に影響を及ぼし、経済、プライバシー、識別、国家安全保障のリスクをもたらす可能性がある。さらに、ヒトゲノムデータの処理は、データの予測可能性、非関連性、管理可能性に影響を及ぼし、個人のプライバシーリスクにつながる可能性がある。例えば、予期せぬゲノムデータの暴露により、
result in an individual’s loss of trust and autonomy when working with a particular organization and cause them to opt out of future activities that would benefit them or a broader population (e.g., research or treatments).  特定の組織と関わる際に個人の信頼や自主性が損なわれ、その個人やより広範な集団に利益をもたらすであろう将来の活動(例えば、研究や治療)から自らを除外する結果となる可能性がある。
Organizations processing any type of genomic data can use this Profile to:   あらゆる種類のゲノムデータを処理する組織は、このプロファイルを使用して、以下のことを行うことができる。 
• Understand cybersecurity and privacy considerations for genomic data  • ゲノムデータのサイバーセキュリティおよびプライバシーに関する考慮事項を理解する 
• Assess current organizational cybersecurity and privacy practices to identify gaps and areas of improvement for existing practices or infrastructure  • 既存の慣行やインフラのギャップや改善領域を識別するために、現在の組織のサイバーセキュリティおよびプライバシー慣行をアセスメントする
• Develop individualized Organizational Target (To-Be) Profiles  • 個別の組織向け目標(To-Be)プロファイルを策定する
• Prioritize investments in cybersecurity and privacy capabilities aligned to the Subcategories identified as most important to support organizational Mission Objectives  • 組織のミッション目標をサポートする上で最も重要であると識別されたサブカテゴリーに整合するサイバーセキュリティおよびプライバシー能力への投資の優先順位付けを行う
• Understand the relationship between cybersecurity and privacy risk management  • サイバーセキュリティとプライバシーのリスクマネジメントの関係を理解する 
   
[1] The CSF 2.0 uses the term asset to describe “assets (e.g., data, hardware, software, systems, facilities, services, people) that enable the organization to achieve business purposes” (ID.AM).  [1] CSF 2.0では、「組織が事業目的を達成するために必要な資産(データ、ハードウェア、ソフトウェア、システム、施設、サービス、人材など)」を指す用語として「資産」という用語を使用している(ID.AM)。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.26 米国 NIST CSWP 35(初期公開ドラフト) ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング:ゲノムデータシーケンスおよび分析のための脅威モデル実装例

・2024.12.26 米国 NIST IR 8467 (第2次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイル (2024.12.16)

・2023.12.23 NISTIR 8432 ゲノムデータのサイバーセキュリティ

・2023.06.24 NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイル

・2023.03.05 NISTIR 8432(ドラフト)ゲノムデータのサイバーセキュリティ

 

| | Comments (0)

2024.12.25

金融庁 「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について(注意喚起)」に伴う「暗号資産の流出リスクへの対応等に関する再度の自主点検要請」

こんにちは、丸山満彦です。

金融庁が、「暗号資産の流出リスクへの対応等に関する再度の自主点検要請」を日本暗号資産等取引業協会の会長宛に出していますね...

これは、警察庁、NISC、金融庁が合同で発表した、「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について(注意喚起)」に伴うものですね...

 

金融庁

・2024.12.24 暗号資産の流出リスクへの対応等に関する再度の自主点検要請について

・[PDF]  暗号資産の流出リスクへの対応等に関する再度の自主点検要請について


令和6年12月24日

一般社団法人 日本暗号資産等取引業協会 会長 殿

金融庁総合政策局長
屋敷 利紀

暗号資産の流出リスクへの対応等に関する再度の自主点検要請について本日、警察庁・内閣サイバーセキュリティセンター・金融庁の連名で、「北朝鮮を背景とするサイバー攻撃グループ TraderTratior によるサイバー攻撃について(注意喚起)」が出されたところですが、当該注意喚起は、本年5月に発生した暗号資産交換業者における暗号資産の不正流出事案に関する具体的なソーシャルエンジニアリングの手法が判明したことを踏まえ、参考となる手口例や緩和策を示しつつ、事業者に適切なセキュリティ対策を講じることを要請する内容となっています。

先般(9 月 26 日)、当庁から、貴協会を通じ、貴協会会員に対して、暗号資産の流出リスクへの対応及びシステムリスク管理態勢に関し、事務ガイドライン第三分冊(金融会社関係16.暗号資産交換業者関係)等に記載している内容が適切に実施されているかに関して自主点検を行うことを要請したところですが、今回の注意喚起の内容を踏まえ、ウォレットに関する管理態勢を含めて、改めて速やかに自主点検を行うことを貴協会会員に対して求めるとともに、その結果を取りまとめてご連絡いただくようにお願いします。

(参考添付)「北朝鮮を背景とするサイバー攻撃グループ TraderTraitor によるサイバー攻撃について(注意喚起)」

以上


20241224-212228

 

 

命令ではなく、要請です...(^^)

 


で肝心の日米の協力によるアトリビューション...

まずは、日本側(警察庁、金融庁、NISC)の発表

● 警察庁

・2024.12.24 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について


 警察庁は、関東管区警察局サイバー特別捜査部及び警視庁による捜査・分析の結果を総合的に評価し、米国連邦捜査局(FBI)及び米国国防省サイバー犯罪センター(DC3)とともに、令和6年5月に北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」(トレイダートレイター)が、我が国の暗号資産関連事業者「株式会社DMM Bitcoin」から約482億円相当の暗号資産を窃取したことを特定し、合同で文書を公表しました。

 また、今回の公表を受け、NISC及び金融庁と連名で、同グループの手口例及び緩和策に関する文書を公表しました。


 

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について

20241224-213739


(前略)

TraderTraitor は、北朝鮮当局の下部組織とされる「Lazarus Group」(ラザルスグループ)の一部とされており、手法の特徴として、同時に同じ会社の複数の従業員に対して実施される、標的型ソーシャルエンジニアリングが挙げられます。

⚫ 令和6年3月下旬、TraderTraitor は、LinkedIn 上で、リクルーターになりすまし、日本に所在する企業向け暗号資産ウォレットソフトウェア会社「株式会社 Ginco」(以下「Ginco」という。)の従業員に接触しました。同サイバー攻撃グループは、Ginco のウォレット管理システムへのアクセス権を保有する従業員に、GitHub 上に保管された採用前試験を装った悪意ある Python スクリプトへの URL を送付しました。被害者は、この Python コードを自身の GitHub ページにコピーし、その後、侵害されました。

⚫ 令和6年5月中旬以降、TraderTraitor は、侵害を受けた従業員になりすますためにセッションクッキーの情報を悪用し、Ginco の暗号化されていない通信システムへのアクセスに成功しました。同月下旬、同サイバー攻撃グループは、同アクセスを利用して、DMM 従業員による正規取引のリクエストを改ざんしたものと認められます。その結果、4,502.9BTC(攻撃当時約 482億円相当)が喪失しました。最終的に、窃取された資産は TraderTraitor が管理するウォレットに移動されました。

(後略)



 

・ FBI,DC3 and NPA Identification of North Korean Cyber Actors, tracked as TraderTraitor, Responsible for Theft of $308 Million from Bitocoin.DMM.COM

・[PDF] (仮訳)FBI、DC3 及び警察庁は、Bitcoin.DMM.Comから3億800万ドルを窃取したとして、北朝鮮のサイバーアクターTraderTraitorを特定

20241224-214203

 

 

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について

20241224-214410

 

金融庁...

・2024.12.24 「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について(注意喚起)」の公表について

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について(注意喚起)

 

内閣官房(NISC) ...

・2024.12.24 [PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitor によるサイバー攻撃について



 

米国側... 

・2024.12.24 FBI, DC3, and NPA Identification of North Korean Cyber Actors, Tracked as TraderTraitor, Responsible for Theft of $308 Million USD from Bitcoin.DMM.com

 

 

| | Comments (0)

英国 ICO 意見募集 ストレージとアクセス技術に関する改訂版ガイドライン案(Cookieやトラッキングピクセルなど...)(2024.12.20)

こんにちは、丸山満彦です。

英国のICOが、ストレージとアクセス技術に関する改訂版ガイドライン案を公表していますね...

昔から英国のICOはクッキーの確認の仕方がについて、「そんなやりかた、茶番でしょう...『だれも理解していないけど、前に進みたいから、おすだけでしょう...』みたいな対応なんて意味がないよ」という感じでしたが、さて、今回のガイドライン案はどのようになっていますでしょうか...

このガイダンスは...

  • Web 開発者やアプリ開発者などのオンライン サービス プロバイダーを対象として、

  • 誰かのデバイス(コンピューターや携帯電話など)に情報を保存したり、保存されている情報にアクセスしたりする技術を利用する場合に、2003 年プライバシーおよび電子通信規制(修正版)(PECR)および該当する場合はデータ保護法がどのように適用されるか

について説明しているものですね...

なお、PECR が適用される技術には、例えば、以下のものが含まれますね...

  • Cookie
  • トラッキングピクセル
  • リンクデコレーション、ナビゲーショントラッキング
  • ローカルストレージ
  • デバイスフィンガープリンティング
  • スクリプト、タグ

 

How do we manage consent in practice?」のパートでは、同意をどのように管理するのか?ということで、ちょっとしたアニメーションのついた例示を使って、わかりやすく説明していますね...

ガイドラインもPDFって感じではないかもですね...

このガイド案では、

  • PECR でカバーされる技術 (Cookie、トラッキング ピクセルなど)
  • ストレージおよびアクセス技術を使用する組織のコンプライアンス義務
  • ポップアップ、ブラウザ設定、設定主導のメカニズムなどの方法を含む、同意の取得と管理に関する期待
  • 子どもが利用するサービスに対する特別な配慮、透明性と同意のメカニズムの要件
  • 追跡、プロファイリング、広告測定に関する同意要件、「Cookieの壁」や同意メカニズムなどのモデルについての説明

などなどを取り扱っていますね...

参考になると思います...

意見は2025.03.14まで...

 

U.K. Information Commissioner's Office; ICO

プレス...

・2024.12.20 ICO consultation on the draft updated guidance on storage and access technologies

ICO consultation on the draft updated guidance on storage and access technologies ICO、ストレージとアクセス技術に関するガイダンスのドラフト更新に関するコンサルテーションを実施
The Information Commissioner's Office (ICO) is consulting on this draft updated guidance on storage and access technologies (previously known as the ‘detailed cookies guidance’). 情報コミッショナー事務局(ICO)は、ストレージおよびアクセス技術に関するガイダンス(以前は「詳細なクッキーガイダンス」として知られていた)の更新ドラフトについてコンサルティングを行っている。
Your responses will help us to provide any additional further clarity required in the final guidance update. 皆様からのご回答は、最終的なガイダンスの更新に必要なさらなる明確性を提供するために役立つ。
Respond to the consultation via SmartSurvey here. SmartSurveyでこのコンサルテーションに対応する。
You can also respond to the consultation by contacting us at [mail] また、 [mail]
までご連絡いただいても対応可能である。
We welcome feedback to the questions set out in the survey. This survey is split into the following sections: アンケートに記載された質問に対するフィードバックを歓迎する。このアンケートは以下のセクションに分かれている:
・Section 1: Your views on our proposed regulatory approach ・セクション1:提案されている規制アプローチに関するご意見
・Section 2: Questions to assess the impact of our approach ・セクション 2: セクション2:我々のアプローチの影響を評価するための質問
・Section 3: About you and your organisation ・セクション3:あなたとあなたの組織について
・Section 4: Final comments ・セクション4:最終コメント
The consultation will remain open until 5pm on Friday 14 March 2025. We may not consider responses received after the deadline. コンサルテーションは2025年3月14日(金)午後5時まで受け付ける。期限を過ぎた回答は考慮しない場合がある。
This survey will take around 15 - 20 minutes to complete. このアンケートの所要時間は約15~20分である。
Impact Assessment 影響アセスメント
We have produced a draft impact assessment to accompany this draft guidance. 我々は、このガイダンス草案に付随する影響評価のドラフトを作成した。
The draft impact assessment is available here. インパクトアセスメントのドラフトはこちらから入手できる。
We are seeking feedback on this draft impact assessment through the above survey to inform the final version, which will accompany the final updated guidance. 最終的なガイダンスに添付される最終版に反映させるため、上記のアンケートを通じてこの影響アセスメント案に対するフィードバックを求めている。

 

 ガイドライン案...

・2024.12.20 Guidance on the use of storage and access technologies

Guidance on the use of storage and access technologies ストレージおよびアクセス技術の使用に関するガイダンス
Contents 目次
What's new 最新情報
About this guidance このガイダンスについて
Why have you produced this guidance? なぜこのガイダンスを作成したのか?
Who is it for? 誰のためのガイダンスなのか?
What does it cover? 何をカバーしているのか?
What doesn’t it cover? 何をカバーしていないのか?
How should we use this guidance? このガイダンスをどのように使うべきか?
What are storage and access technologies? 保管技術とアクセス技術とは何か?
What technologies does PECR apply to? PECRはどのような技術に適用されるのか?
Cookies クッキー
Tracking pixels トラッキングピクセル
Link decoration and navigational tracking リンク装飾とナビゲーショントラッキング
Device fingerprinting デバイスフィンガープリント
Web Storage ウェブストレージ
Scripts / tags スクリプト/タグ
Using storage and access technologies in different contexts さまざまなコンテキストでストレージとアクセス技術を使用する
What are the rules? 規則とは何か?
What does PECR say about storage and access technologies? PECRはストレージとアクセス技術について何を言っているのか?
Who are subscribers and users? 加入者とユーザーとは誰か?
What is terminal equipment? 端末機器とは何か?
What does ‘clear and comprehensive information’ mean? 明確かつ包括的な情報」とは何か?
What does 'consent' mean? 同意」とは何か?
Do all storage and access technologies require consent? すべての保管・アクセス技術に同意が必要か?
What is the ‘communication’ exemption? コミュニケーション」の適用除外とは何か?
What is the ‘strictly necessary’ exemption? 「厳密に必要な」適用除外とは何か?
When do the exemptions not apply? 適用除外はどのような場合に適用されないのか?
Do the rules only apply to websites and web browsers? 規則はウェブサイトとウェブブラウザにのみ適用されるのか?
Do the rules apply to our internal network? 規則は社内ネットワークにも適用されるのか?
Do the rules apply to public authorities? 規則は認可機関に適用されるか?
Do the rules apply to services based outside the UK? 規則は英国外に拠点を置くサービスに適用されるか?
What if children are likely to access our online service? 当社のオンラインサービスに子供がアクセスする可能性がある場合はどうするのか?
How do the PECR rules relate to the UK GDPR? PECR規則は英国のGDPRとどのように関連しているか?
What is the relationship between PECR and the UK GDPR? PECRと英国GDPRの関係は?
What does the UK GDPR say about storage and access technologies? 英国のGDPRは、保管およびアクセス技術についてどう述べているか?
How does PECR consent fit with the lawful basis requirements of the UK GDPR? PECRの同意は、英国GDPRの合法的根拠要件とどのように適合するか?
What does PECR say about subsequent processing? PECRは事後処理についてどのように述べているか?
How do we comply with the rules? どのように規則を遵守するのか?
Who is responsible for compliance? 誰が遵守の責任を負うのか?
How do we consider PECR when designing a new online service? 新しいオンラインサービスを設計する際、PECRをどのように考慮するか?
What do we need to consider if we use someone else’s technologies on our online service? オンラインサービスで他者の技術を使用する場合、何を考慮する必要があるか?
How do we tell people about the storage and access technologies we use? 私たちが使用するストレージやアクセス技術について、どのように人々に伝えるか?
How do we tell people about storage and access technologies set on websites that we link to? リンク先のウェブサイトに設定されているストレージやアクセス技術について、どのように人々に伝えるか?
Can we pre-enable any non-essential storage and access technologies? 必要でないストレージやアクセス技術を事前に有効にすることは可能か?
How long can we store or access information for? どれくらいの期間、情報を保存したりアクセスしたりすることができるか?
What is an audit and how can we do one? 監査とは何か、監査はどのように行うのか。
How do we manage consent in practice? 同意はどのように管理するのか?
When do we need to get consent? いつ同意を得る必要があるのか?
Who do we need consent from? 誰からの同意が必要か?
How do we request consent? どのように同意を求めるのか?
Can we use pop-ups and similar techniques? ポップアップや類似のテクニックを使用してよいか?
Our expectations for consent mechanisms 同意の仕組みに対する期待
Can we rely on settings-led consent? 設定主導の同意に頼ることができるか?
Can we rely on feature-led consent? 機能主導の同意に頼ることができるか?
Can we rely on browser settings and other control mechanisms for consent? 同意のためにブラウザの設定やその他の制御メカニズムに頼ることができるか?
Can we use ‘terms and conditions’ to gain consent? 同意を得るために「利用規約」を使用できるか?
Can we bundle consent requests? 同意の要請を束ねることができるか?
How often do we need to request consent? どれくらいの頻度で同意を求める必要があるか?
What if our use of storage and access technologies changes? 保存技術やアクセス技術の使用に変更があった場合はどうするか?
How do we keep records of user preferences? ユーザーのプリファレンスの記録はどのように保存するか?
What if a user withdraws their consent? ユーザーが同意を撤回した場合はどうするか?
How do the rules apply to online advertising? ルールはオンライン広告にどのように適用されるか?
Do we need consent for tracking and profiling for online advertising? オンライン広告のトラッキングやプロファイリングに同意は必要か?
Does ad measurement require consent? 広告測定には同意が必要か?
What types of online advertising can we use? どのようなオンライン広告を利用できるか?
Can we use ‘cookie walls’ or ‘consent or pay’ models? 「Cookieの壁」や「同意または支払い」モデルを使用できるか?
What happens if we don’t comply? コンプライアンスに従わない場合はどうなるのか?
Glossary 用語集

 

 


 

そして、重要なのは「影響アセスメント」です...日本もこういうアセスメントをきっちりと義務付けることが、重要なのではないかと思います。。。

 

・[PDF] Guidance on the use of storage and access technologies impact assessment - DRAFT

20241224-75432

 

目次...

Contents  目次 
Executive summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Our approach to impact assessment 1.1. 影響アセスメントへのアプローチ
1.2. Report structure 1.2. 報告書の構成
2. Problem definition 2. 問題の定義
2.1. What are storage and access technologies? 2.1. ストレージ技術とアクセス技術とは何か?
2.2. Problem definition 2.2. 問題の定義
2.3. Use of storage and access technologies within the UK 2.3. 英国内でのストレージとアクセス技術の利用
3. Rationale for Intervention 3. 介入の理由
3.1. Data protection (DP) harms 3.1. データ保護(DP)の弊害
3.2. Policy Context 3.2. 政策の背景
3.3. Market failures 3.3. 市場の失敗
3.4. Summary of rationale for intervention 3.4. 介入の根拠
4. Options appraisal 4. オプション評価
4.1. Options for consideration 4.1. 検討すべき選択肢
4.2. Assessment of options 4.2. オプションのアセスメント
5. Detail of proposed intervention 5. 介入案の詳細
5.1. The guidance 5.1. ガイダンス
5.2. Scope of draft guidance 5.2. ドラフトガイダンスの範囲
5.3. Guidance timeline 5.3. ガイダンスのスケジュール
5.4. Affected groups 5.4. 影響を受けるグループ
6. Cost-benefit analysis 6. 費用便益分析
6.1. Identifying impacts 6.1. 影響の識別
6.2. Counterfactual 6.2. 反事実
6.3. Costs and Benefits 6.3. 費用と便益
7. Monitoring and review 7. モニタリングとレビュー
Annex A: What are storage and access technologies? 附属書A:保管技術とアクセス技術とは何か?
Annex B: Measurement of affected groups 附属書B:影響を受けるグループの測定
Annex C: Familiarisation costs 附属書C:周知コスト

 

 

エグゼクティブサマリー

Executive summary  エグゼクティブサマリー 
This draft impact assessment accompanies our draft guidance on the use of storage and access technologies. The overarching objectives of the guidance are to provide regulatory certainty to organisations:  本影響評価ドラフトは、保管・アクセス技術の使用に関するガイダンスのドラフトに付随するものである。ガイダンスの包括的な目的は、組織に規制上の確実性を提供することである: 
• on compliant practices for using storage and/or access to information on a device;  - デバイス上の情報へのストレージおよび/またはアクセスを使用する際の、コンプライアンスに準拠した慣行について; 
• in the application and use of consent mechanisms, where required; and  - 必要な場合には、同意メカニズムの適用と使用に関して。
• regarding our expectations when they are using storage and access technologies.  - また、必要な場合には、同意の仕組みの適用と使用についてである。
This document sets out our initial impact findings for consultation, alongside consultation on the draft guidance itself. It is important to note that this isn’t an exhaustive assessment, and we will develop our analysis further as we move towards publication of the final guidance based on information and feedback received. We are seeking feedback on this draft impact assessment, as well as any other information and insights stakeholders can provide on impacts through the consultation process.  本書は、ドラフトガイダンス自体に関するコンサルテーションと並行して、コンサルテーションのための初期影響調査結果を示すものである。これは網羅的な評価ではないことに留意することが重要であり、最終ガイダンスの公表に向けて、寄せられた情報やフィードバックに基づき、さらに分析を深めていく予定である。我々は、この影響アセスメント草案に対するフィードバックを求めるとともに、コンサルテーション・プロセスを通じて、利害関係者が影響に関して提供できるその他の情報や洞察も求めている。
Problem definition and rationale for intervention  問題の定義と介入の根拠 
Storage and access technologies refer to any technology that stores information, or accesses information that is stored on a subscriber or user’s ‘terminal equipment’ (for instance a smartphone or laptop). This is explained further in Annex A, and includes, but is not limited to:  ストレージおよびアクセス技術とは、加入者またはユーザーの「端末機器」(例えば、スマー トフォンやラップトップ)に保存されている情報を保存したり、情報にアクセスしたりするあらゆる 技術を指す。これについては附属書Aで詳しく説明し、以下を含むが、これらに限定されない: 
• cookies;  - クッキー; 
• tracking pixels;  - トラッキングピクセル 
• link decoration and navigational tracking;  - リンク装飾およびナビゲーショントラッキング 
• scripts and tags; • web storage; and  - スクリプトとタグ。
• device fingerprinting.  - デバイスのフィンガープリンティング。
Since our current guidance was produced in 2019 there have been important developments in relation to storage and access technologies. As a result, our guidance no longer reflects current market practices and has given rise to a need for greater regulatory certainty.  2019年に現行のガイダンスが作成されて以来、ストレージとアクセス技術に関連して重要な進展があった。その結果、我々のガイダンスはもはや現在の市場慣行を反映しておらず、より確実な規制の必要性が生じている。 
The ICO is well placed to provide this regulatory certainty and reduce the risk of harms materialising to individuals and wider society from the use of storage and access technologies. With the growing adoption of these technologies across the economy it is expected that without intervention the potential for these harms will rise.  ICOは、この規制上の確実性を提供し、ストレージ・アクセス技術の使用から個人やより広範な社会が被害を受けるリスクを低減するために十分な立場にある。このような技術の採用が経済全体に拡大する中、介入がなければ、このような危害の可能性が高まることが予想される。
Options appraisal  選択肢の評価 
In the context of the identified problem, the following options for intervention were considered:  識別された問題を踏まえ、以下の介入オプションが検討された: 
• Do nothing: Do not update the current version of the detailed cookies guidance, published in 2019.  - 何もしない:2019年に発行される詳細なクッキーガイダンスの現行版を更新しない。 
• Provide a significant update to guidance (preferred option):  - ガイダンスに大幅な更新をプロバイダする(好ましい選択肢): 
Provide a significant update to the detailed cookies guidance, that will: o Clarify and expand on established policy positions where we can provide further regulatory certainty.  詳細なCookieガイダンスに大幅な更新をプロバイダとして提供する。 
o Provide equal weight to “similar technologies” (such as web storage and scripts and tags) alongside cookies by renaming the guidance products and providing new examples.  o ガイダンスの製品名を変更し、新しい例を提供することで、クッキーと並ぶ「類似の技術」(ウェブストレージやスクリプト、タグなど)に同等の重みを与える。
o Provide clarity by using the new style guide and must / should / could framework.  o 新しいスタイルガイドとmust/should/couldの枠組みを使用することにより、明確性を提供する。 
• Provide a light update to guidance (do less): Provide a light update to the detailed cookies guidance, that will:  - ガイダンスを軽く更新する(do less): 詳細なクッキーのガイダンスに軽いアップデートを提供する: 
o Provide clarity by using the new style guide and must / should / could framework.  o 新しいスタイルガイドとmust、should、couldの枠組みを使用することで明確性を提供する。 
Provide sector specific guidance (do more): Provide sector specific guidance and/ or detailed device-specific guidance.  - セクター別のガイダンスを提供する(もっとやる): 新しいスタイルガイドとmust、should、couldの枠組みを使用することで明確性を提供する。
These options were assessed against a number of critical success factors and the production of a significant update to guidance was identified as the preferred option. The preferred option ensures that guidance on storage and access technologies reflects the current use of technology and reduces the risk of the ICO being challenged on outdated guidance.  これらの選択肢は、多くの重要成功要因に照らしてアセスメントされ、ガイダンスの大幅な更 新が好ましい選択肢として特定された。好ましい選択肢は、保管とアクセス技術に関するガイダンスが現在の技術利用を反映することを保証し、ICOが時代遅れのガイダンスについて異議を唱えられるリスクを軽減する。
Details of proposed intervention  介入案の詳細 
The update to the ‘guidance on the use of cookies and similar technologies’ will expand on existing guidance, reframing it as ‘guidance on the use of storage and access technologies’. The guidance is aimed at providers of online services, including web or app developers, who need a deeper understanding of how PECR (Reg 6) and UK GDPR (where the use of these technologies involves the processing of personal data) apply to the use of storage and access technologies. It provides greater regulatory certainty by setting out what organisations must, should, and could do to comply with legislative requirements within the ICO’s remit or relevant established case law.  クッキーおよび類似技術の使用に関するガイダンス」の更新は、既存のガイダンスを拡大し、「保存およびアクセス技術の使用に関するガイダンス」として再構成する。このガイダンスは、ウェブやアプリの開発者を含むオンラインサービスのプロバイダを対象としており、PECR(規則6)と英国GDPR(これらの技術の使用がパーソナルデータの処理を伴う場合)がストレージとアクセス技術の使用にどのように適用されるかを深く理解する必要がある。このガイダンスは、ICOの権限または関連する確立された判例法の範囲内で、組織が法律上の要件を遵守するために何をしなければならず、何をすべきで、何ができるかを示すことにより、規制の確実性を高めるものである。
The route to impact for the guidance is set out in the theory of change in Figure 1 in Section 5. There are various groups that could be affected by the guidance including:  ガイダンスの影響経路は、セクション 5 の図 1 の変化理論に示されている。ガイダンスの影響を受ける可能性のあるグループは以下の通りである: 
• Online service providers: Organisations that use storage and access technologies for essential and non-essential purposes;  - オンラインサービスプロバイダ: オンライン・サービス・プロバイダー:必須および非必須の目的でストレージおよびアクセス技術を使用する組織; 
• Supply chain: Organisations that interact with and assist in collection and processing of information stored and/or accessed on online services; using storage and access technologies;  - サプライチェーン: サプライチェーン:オンラインサービス上に保存及び/又はアクセスされた情報の収集及び処理に関与し、それを支援する組織; 
• UK organisations: Organisations that use online advertising;  - 英国の組織: 英国の組織:オンライン広告を利用する組織; 
• UK population users: People who interact with online services that use storage and access technologies;  - 英国の人口ユーザー: 英国の利用者:ストレージおよびアクセス技術を使用するオンラインサービスとやりとりする人々; 
• The ICO; and  - ICO、および 
• Wider society.  - より広い社会 
Cost-benefit analysis  費用便益分析 
The costs and benefits of the intervention have been identified, as far as is possible and proportionate. Our ability to fully quantify and monetise impacts has been limited given the evidence gaps around the scale of affected groups.  介入によるコストと便益は、可能かつ適切な範囲で特定した。影響を完全に定量化し、収益化する能力は、影響を受けるグループの規模に関するエビデンスのギャップを考慮すると、限定的である。
We will develop our cost-benefit analysis further as we move towards publication of the final guidance based on information and feedback received through the consultation process.  最終ガイダンスの公表に向け、協議プロセスを通じて得られた情報やフィードバックに基づき、費用便益分析をさらに発展させる予定である。
Although there will be costs to organisations from reading, understanding and implementing the guidance, this is expected to be outweighed by the wider societal benefits of reduced data protection harms. On balance we expect the guidance to have a net positive impact.  ガイダンスを読み、理解し、実施することによって、組織にはコストがかかるが、データ保護の害が減少するというより広い社会的利益によって、このコストは上回ると予想される。バランスとしては、このガイダンスは正味でプラスに働くと期待している。
Monitoring and evaluation  モニタリングと評価 
An appropriate and proportionate review structure will be put in place when finalising our guidance. This will follow best practice and align with our organisational reporting and measurement against ICO25 objectives.  ガイダンスを最終化する際には、適切かつ適切なレビュー体制が導入される。これはベストプラクティスに従ったものであり、ICO25 の目標に対する我々の組織的な報告および測定と整合するものである。

 

 

 

| | Comments (0)

2024.12.24

日本銀行金融研究所 検証可能クレデンシャルにおける本人紐づけを巡る論点:適用事例にみる対応方法と金融分野への含意(佐古和恵先生)

こんにちは、丸山満彦です。

大山永昭先生がなくなったというニュースに触れました。大山先生とは、厚生労働省の保健医療福祉分野における公開鍵基盤(HPKI)認証局の整備と運営に関する専門家会議において、私とも関係がありました。2005年から2023年3月まで委員長としてその任にあたって頂いていました。ご冥福をお祈りいたします。

2023年4月からは、松本勉先生が委員長としてその任を引き継いでおられます。そして、この委員会の委員として、これから紹介する論文の著者の佐古先生も参画されています。

で、佐古先生の属性証明に関わる論文の紹介...

著者の佐古先生は、会議の席でも本当に論理だった適切な議論をされる方です。

 今回紹介する日本銀行金融研究所の論文は、まさにHPKIともかかわってくる属性情報の正しさを発行者が保証する電子的な証明書(検証可能クレデンシャル(Verifiable Credential: VC))の話です...

業務を進めていく上で、社会的に必要なプロセスをデジタル上で実装する上で必要不可欠となってくる話です。HPKIではすでに運用されていますが、さまざまな国家資格を含む属性の証明をする上で重要となってくる話ですね。

そして、この論文、とてもわかりやすく書かれています。(さすが佐古先生です...)

 

日本銀行金融研究所 

・2024.12.20 ディスカッションペーパーシリーズ(日本語版) 2024-J-22

・[PDF] 検証可能クレデンシャルにおける本人紐づけを巡る論点:適用事例にみる対応方法と金融分野への含意 

20241224-62826

 

要旨...


検証可能クレデンシャルにおける本人紐づけを巡る論点:適用事例にみる対応方法と金融分野への含意

佐古和恵

検証可能クレデンシャル(Verifiable Credential: VC)とは、ある対象(人、モノ、組織など)の属性情報の正しさを発行者が保証する電子的な証明書であり、その技術的な中核はデジタル署名である。VCは属性証明の汎用的なツールとして、社会で流通する情報の信頼性を向上させる潜在能力を持ち、金融をはじめとするさまざまな産業分野において活用が期待される。他方、VCはデジタル・データゆえに、従来の紙の証明書と異なり、実活用にあたり注意すべき点がある。例えば、ある人物から「自分の証明書」として「〇山A子」と記載された証明書が送られてきたが、相手は本当に〇山A子なのだろうか。あるいはその証明書をB県が発行したと記載されているが、本当にB県が発行したものなのだろうか。このような、(1)証明書の提示者実体が証明書に記載された提示者と同一人物であることの紐づけと、(2)証明書の発行者実体が証明書に付与されたデジタル署名の発行者と同一であることの紐づけにおける正確性確保は、技術のみでは解決できない課題である。そこで本稿では、エンティティ(実体)とVCに記載された情報との紐づけにおける正確性確保の論点を解説したうえで、VCの適用事例としてワクチン証明書と資格証明書を紹介し、金融分野などの産業応用におけるVCの有用性と運用上の留意点について考察する。

キーワード:検証可能クレデンシャル、デジタル・アイデンティティ、認証、公開鍵


 

図表...

図1:2つの紐付け

1_20241224064401

 

性別が女性であり、住所が B 県であると記述された VC

図2:VCの構成要素

2_20241224064601

 

 

| | Comments (0)

日本公認会計士協会 監査実施状況調査(2023年度)

こんにちは、丸山満彦です。

日本公認会計士協会は、毎年、金商法の監査実施状況等について取りまとめていますが、2023年4月1日から2024年3月31日期の金商法監査等の概要が公表されていますね。。。

2008年からの「平均監査報酬額」(単価が上がり、会社が成長すると増えるでしょう。。。)と「時間あたり平均単価」(会計士の給与が増えれば増えるでしょう。。。)の推移を長期的に見てみると、改めて、日本って成長していないなぁ。。。と感じますね。。。責任の一端はあるわけなので、なんとも複雑な感じですが、、、

というコメントを一昨年、昨年も書きましたが、今年もまた同じですね...今年度からはAIの利用も始まってきていますので、時間当たり平均単価は上がっていくのでしょうかね...

2024_20241223225901

 

 日本公認会計士協会

・2023.12.20 監査実施状況調査(2022年度)

 

・[PDF] 監査実施状況調査(2023年度)

20241223-230648

 

・[PDF] 監査実施状況調査(2023年度)参考資料

20241223-230349

 

・[ELSX] 監査実施状況調査(2023年度)_

 

データ

年度 会社数 総監査報酬額(千円) 前年比 総監査時間 前年比 平均監査報酬額(千円) 前年比 平均監査時間 前年比 時間当たり平均単価(円) 前年比
2008 17,084 253,912,588 133.72% 20,848,899 137.42% 14,863 132.70% 1,220.40 136.37% 12,179 97.31%
2009 17,098 257,093,592 101.25% 19,582,284 93.92% 15,036 101.17% 1,145.30 93.85% 13,129 107.80%
2010 16,941 248,014,437 96.47% 19,445,732 99.30% 14,640 97.36% 1,148.00 100.23% 12,754 97.15%
2011 17,103 241,078,726 97.20% 20,073,674 103.23% 14,096 96.28% 1,173.70 102.24% 12,010 94.16%
2012 16,826 233,338,867 96.79% 19,028,972 94.80% 13,868 98.38% 1,131.00 96.36% 12,262 102.10%
2013 16,919 233,230,193 99.95% 19,255,150 101.19% 13,785 99.40% 1,138.10 100.62% 12,113 98.78%
2014 17,022 235,069,271 100.79% 19,732,969 102.48% 13,810 100.18% 1,159.20 101.86% 11,913 98.35%
2015 17,246 242,126,350 103.00% 20,651,029 104.65% 14,040 101.66% 1,197.40 103.29% 11,725 98.42%
2016 17,392 250,649,070 103.52% 21,664,405 104.91% 14,412 102.65% 1,245.70 104.03% 11,570 98.68%
2017 17,891 260,105,738 103.77% 21,874,539 100.97% 14,538 100.88% 1,222.70 98.15% 11,891 102.78%
2018 18,433 273,266,629 105.06% 22,637,873 103.49% 14,825 101.97% 1,228.10 100.45% 12,071 101.52%
2019 19,909 296,766,088 108.60% 24,646,497 108.87% 14,906 100.55% 1,238.00 100.80% 12,041 99.75%
2020 20,399 307,876,034 103.74% 25,577,804 103.78% 15,093 101.25% 1,253.90 101.29% 12,037 99.97%
2021 20,765 317,584,178 103.15% 26,057,952 101.88% 15,294 101.34% 1,254.90 100.08% 12,188 101.25%
2022 20,923 330,442,214 104.05% 27,193,352 104.36% 15,793 103.26% 1,299.69 103.57% 12,152 99.70%
2023 21,185 346,171,199 104.76% 28,153,201 103.53% 16,340 103.46% 1,328.90 102.25% 12,296 101.18%

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.23 日本公認会計士協会 監査実施状況調査(2022年度)

・2023.02.18 日本公認会計士協会 監査実施状況調査(2021年度)

少し古いですが...(^^;;

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円 (3)詳細データ

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円 (2)対前年比

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円

 

・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円(詳細データ)

・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円


・2005.10.01 監査報酬 監査実施状況及び個別企業の監査報酬

 

 

| | Comments (0)

2024.12.23

米国 MITRE 「ピラミッドの頂上へ」プロジェクト (2024.12.17)

こんにちは、丸山満彦です。

MITREが、Summiting the Pyraid Project についての発表をしています...

敵である攻撃者側の戦術・技術・手順(Tactics, Techniques, and Procedures;TTP)を理解することにより、攻撃者が、検出を回避しようと試みても、検出されることから逃れるのが難しくなり、攻撃に対するコストを引き上げることができるということで、攻撃者のTTPを理解することに集中すればよいという考え方(2013年にデビット・ビアンコが発表した)に基づいたプロジェクトです...

このリリースはVer2.0.0ですが、その前のVer1.0.0は2023.09.14に発表でした...

 

MITRE

・2024.12.17 Summiting the Pyramid

1_20241223072201

プロジェクト概要...

Project Summary プロジェクト概要
Summiting the Pyramid (STP) creates a methodology to score analytics against the pyramid of pain, helping defenders create more robust detections against adversary behavior. With this update, STP reduces false positives and expands scoring to network-based analytics. Summiting the Pyramid(STP)は、敵の行動に対してより強固な検知を作成するために、痛みのピラミッドに対して分析をスコアリングする手法を作成する。今回のアップデートにより、STPは誤検知を減らし、スコアリングをネットワークベースの分析に拡張する。
Problem 問題点
Adversaries can easily evade cyber analytics that are dependent on specific tools or artifacts. 敵は、特定のツールやアーティファクトに依存するサイバー分析を容易に回避することができる。
Solution 解決策
Create and apply a methodology to evaluate the dependencies inside analytics and make them more robust by focusing on adversary behaviors. アナリティクス内部の依存関係を評価し、敵の行動に焦点を当てることでアナリティクスをより堅牢にするための手法を作成し、適用する。
Impact インパクト
Shift the advantage towards defenders with improved analytics that catch adversaries even as they evolve and detect future campaigns. 敵が進化しても捕捉し、将来のキャンペーンを検知できるようにアナリティクスを改善することで、優位性を防御側に移す。

 

プロジェクトの発表

Medium

・2024.12.17 Summiting the Pyramid: Bring the Pain with Robust and Accurate Detection

 

2013年にデビット・ビアンコが発表したブログの文書...

Enterprise Detection & Response

・2013.03.01 The Pyramid of Pain

 

2_20241223072301

 

プロジェクトのウェブサイト

MITRE - Center for Threat-Informed Defense

 ・Summiting the Pyramid v2.0.0

内容...

Overview 概要
Introduction 序文
Project Goal プロジェクトの目標
What is a Robust Detection? ロバスト検知とは何か?
Deconstructing the Pyramid ピラミッドを分解する
Event Observables for Hosts and Networks ホストとネットワークのイベント観測値
How Do We Create Robust Detections? どのようにしてロバスト検知を作成するのか?
Assumptions and Caveats 前提条件と注意点
Definitions 定義
Detection 検知
Accuracy 精度
Robust Detection ロバスト検知
Observable 観測可能
Analytic 分析的
Analytic Robustness Categories 分析的ロバストネスのカテゴリー
Event Robustness Categories イベントのロバストネス・カテゴリー
Network Traffic Robustness Categories ネットワークトラフィックのロバストネスカテゴリー
Originator Endpoint 発信側エンドポイント
Responder Endpoint 対応エンドポイント
Model Mapping Pages モデルマッピングページ
Level 5: Core to Sub-Technique or Technique レベル5:コアからサブテクニックまたはテクニックへ
Level 4: Core to Some Implementations of (Sub-)Technique レベル4:(サブ)テクニックの一部の実装に対するコア
Level 3: Core to Pre-Existing Tools or Inside Boundary レベル3: 既存のツールまたはバウンダリ内部のコア
Level 2: Core to Adversary-Brought Tool or Outside Boundary レベル2:敵が持ち込んだツール、または境界の外側に対するコア
Level 1: Ephemeral Values レベル1:儚い価値
Column A: Application A列:アプリケーション
Column U: User-Mode U列:ユーザーモード
Column K: Kernel-Mode 列K:カーネルモード
Column P: Payload Visibility 列 P: ペイロードの可視性
Column P: Header Visibility 列 P: ヘッダの可視性
Observables Quick Search オブザーバブルのクイック検索
Combining Observables オブザーバブルを組み合わせる
Understanding Resistance to Adversary Change Over Time 時間経過に伴う敵の変化に対する耐性を理解する
Evaluating Robustness 堅牢性を評価する
Example Mappings マッピングの例
T1003.001: LSASS Memory T1003.001: LSASSメモリ
T1053.005 Scheduled Tasks T1053.005 スケジュールされたタスク
Remote Procedure Call (RPC) Protocol リモートプロシージャコール(RPC)プロトコル
Hypertext Transfer Protocol (HTTP) ハイパーテキスト転送プロトコル(HTTP)
T1204.001: User Execution: Malicious Link (i.e., Web Distributed Authoring and Versioning [WebDAV]) T1204.001: ユーザ実行: 悪意のあるリンク(すなわち、Web Distributed Authoring and Versioning [WebDAV])。
How to Score Resistance to Adversary Evasion Over Time 時間経過に伴う敵の回避に対する耐性をスコアリングする方法
Step 1: Scoring the Analytic’s Sensor Data ステップ1:分析対象のセンサーデータをスコアリングする
Step 2: Break Down Each of the Observables ステップ2:各観測項目を分解する
Step 3: Analyze the Selection or Condition of the Analytic ステップ3: 分析対象の選択または状態を分析する
Step 4: Give the Analytic a Final Score ステップ4: 分析結果に最終スコアをつける
Analytics Repository 分析リポジトリ
Suspicious ADFind 疑わしいADFind
Scheduled Task/Job スケジュールされたタスク/ジョブ
Service Registry Permissions Weakness Check サービスレジストリのパーミッションの脆弱性チェック
Potential Access Token Abuse アクセストークンの悪用の可能性
Executable (EXE) File Download from a WebDAV Server WebDAVサーバーからの実行可能(EXE)ファイルのダウンロード
Link (LNK) File Download Containing a WebDAV UNC Hyperlink WebDAV UNC ハイパーリンクを含むリンク (LNK) ファイルのダウンロード
Remote Registry Management Using Reg Utility Regユーティリティによるリモートレジストリ管理
File Creation Date Changed to Another Year ファイルの作成日が別の年に変更される
Zeek DCE-RPC MITRE BZAR Execution Zeek DCE-RPC MITRE BZAR の実行
Components of a Robust Detection 堅牢な検知の構成要素
Accurate Detection 正確な検知
Accurate vs. Resistance 正確さと耐性
Bringing It All Together Through Robust Detection ロバスト検知ですべてをまとめる
How to Build a Robust Detection ロバスト検知の構築方法
Identify All “Spanning Sets” of Observables for Malicious Behavior 悪意のある行動に関するすべての「スパニングセット」を識別する。
Select Spanning Set(s) Most Specific to the Malicious Behavior 悪意のある行動に最も特異的なスパニングセットを選択する
Add Exclusions for False Positive Reduction 誤検出を減らすために除外項目を追加する
Incorporate into Fused Analytic Frameworks 融合分析枠組みに組み込む
Detection Decomposition Diagram (D3) 検知分解図(D3)
What Is D3? D3とは何か?
Our Inspiration: Capability Abstraction 私たちのインスピレーション 能力の抽象化
T1003.001: OS Credential Dumping LSASS Memory T1003.001: OSクレデンシャルダンプLSASSメモリ
T1053.005: Scheduled Tasks T1053.005: スケジュールされたタスク
T1110.001: Brute Force: Password Guessing T1110.001: ブルートフォース: パスワード推測
Future Work 今後の課題
Acknowledgements 謝辞
Changelog 変更履歴
Summiting the Pyramid 2.0 ピラミッドの頂上2.0

 

GitHub

Summiting the Pyramid

 

 

 

| | Comments (0)

英国 Cyber Essentials 2025.04.28以降の要求事項等について...

こんにちは、丸山満彦です。

いろいろな政策の検討をしている中で、英国が中小企業(英国の場合は従業員数250名未満)のCyber Security向上政策の一つとして考えたCyber Essentials制度は2014年に始まった制度で、委託先管理(ある意味サプライチェーンリスク管理)の一つの方法として参考になる面もあるので、最近話題となっていますね...

ISO/IEC 27001の認証では費用負担等が大きいということで、中小企業のサイバーセキュリティ認証として利用されているもので、Cyber Essentialsの宣言をしている組織が3.4万組織、うち認証を取得しているのが1.1万組織(2024.10-2024.09)となっています...

● NCSC

・[ODS] Cyber Essentials management information (July 2024 to September 2024)

認証のための規準 Criteria については2024.04にV3.1に変わったのですが、この9月に2024.04.28以降に利用される要求事項、Plus用の検証の例示が公表されています...

  2025.4.28 以降 以前
評価規準 Cyber Essentials: Requirements for IT infrastructure V3.2 V3.1
認証基準 Cyber Essentials Plus: Illustrative Test Specification V3.2 V3.1

 

要求事項(評価規準)

・[PDF] Cyber Essentials: Requirements for IT infrastructure V3.2

20241222-230201

What’s new in this version 本バージョンの新機能
A. Introducing the technical controls A. 技術的管理の紹介
B. Definitions B. 定義
C. Scope C. 範囲
Scope overview 範囲の概要
Asset management and Cyber Essentials 資産管理とサイバーエッセンシャル
i. Bring your own device (BYOD) i. BYOD(Bring Your Own Device)
ii. Home and remote working ii. 在宅勤務とリモートワーク
iii. Wireless devices iii. ワイヤレスデバイス
iv. Cloud services iv. クラウドサービス
v. Accounts used by third parties and managed infrastructure v. サードパーティが使用するアカウントおよび管理対象インフラ
vi. Devices used by third parties vi. サードパーティが使用するデバイス
vii. Web applications vii. ウェブアプリケーション
D. Requirements by technical control theme D. 技術的管理テーマ別要件
1. Firewalls 1. ファイアウォール
Aim 目的
Introduction 序文
Requirements 要件
2. Secure configuration 2. セキュアな構成
Aim 目的
Introduction 序文
Requirements 要件
3. Security update management 3. セキュリティ更新管理
Aim 目的
Introduction 序文
Requirements 要件
4. User access control 4. ユーザーアクセス管理
Aim 目的
Introduction 序文
Requirements 要件
Password-based authentication パスワードベース認証
Multi-factor authentication (MFA) 多要素認証(MFA)
Passwordless authentication パスワードレス認証
5. Malware protection 5. マルウェア保護
Aim 目的
Introduction 序文
Requirements 要件
Application allow listing (option for all in scope devices) アプリケーションの許可リスト(対象範囲内のすべてのデバイスのオプション)
E. Further guidance E. さらなるガイダンス
Backing up your data データのバックアップ
Zero trust and Cyber Essentials ゼロトラストおよびサイバーエッセンシャル

 

認証基準

・[PDF] Cyber Essentials Plus: Illustrative Test Specification V3.2

20241222-230407

目次..

What’s new 新着情報
Audience 想定読者
Purpose 目的
Before you begin 始める前に
General prerequisites for testing テストの一般的前提条件
Success criteria 成功規準
Test results テスト結果
Pass: 合格:
Fail: 不合格
Advisory notes アドバイザリに関する注記
Test case 1: Remote vulnerability assessment テストケース 1: リモート脆弱性アセスメント
Test purpose テスト目的
Test description テスト説明
Prerequisites 前提条件
Sub-test 1.1 サブテスト 1.1
Interpreting the test case results テストケース結果の解釈
Sample testing サンプルテスト
Test case 2: Check patching, by authenticated vulnerability scan of devices テストケース 2: デバイスの認証脆弱性スキャンによるパッチ適用チェック
Test purpose テスト目的
Test description テスト説明
Prerequisites 前提条件
Sub-test 2.1 サブテスト 2. 1
Interpreting the test case results テストケース結果の解釈
Test case 3: Check malware protection テストケース3:マルウェア防御の確認
Test purpose テスト目的
Test description テスト内容
Prerequisites 前提条件
Selecting appropriate sub-tests 適切なサブテストの選択
Sub-test 3.1 (for devices that use anti-malware software) サブテスト3.1(マルウェア対策ソフトウェアを使用する機器の場合)
Sub-test 3.1.1 (Check effectiveness of defences against malware delivered by email) サブテスト3.1.1(電子メールで配信されるマルウェアに対する防御の有効性の確認)
Sub-test 3.1.2 (Check effectiveness of defences against malware delivered by browser) サブテスト3. 1.2(ブラウザによって配信されるマルウェアに対する防御の有効性の確認)
Sub-test 3.1.3 (Manual Checks for devices that use anti-malware software) サブテスト 3.1.3(マルウェア対策ソフトウェアを使用する機器に対する手動確認)
Sub-test 3.2 (for devices that use certificate-based application allow listing) サブテスト 3.2(証明書ベースのアプリケーション許可リストを使用する機器に対する手動確認)
Interpreting the test case results テストケース結果の解釈
Test case 4: Check multi-factor authentication configuration テストケース 4:多要素認証構成の確認
Test purpose テスト目的
Test description テスト記述
Test case 4.1 テストケース 4.1
Interpreting the test case results テストケース結果の解釈
Test case 5: Check account separation テストケース 5:アカウント分離の確認
Test purpose テスト目的
Test description テスト記述
Test case 5.1 テストケース 5.1
Interpreting the test case results テストケース結果の解釈
Conclude the assessment アセスメントの終了
Appendix A: Vulnerability scanning 附属書 A:脆弱性スキャン
Appendix B: Types of test file 附属書 B:テストファイルの種類

 

ちなみに認証は、IASME という認証機関が行なっています。この認証機関は、Cyber Essentialsも含めて合計10のスキームを提供していますね...

 


 

参考1:最近のCyber Essentialsの取得状況

● NCSC

Cyber Essentials management information

・[ODS] Cyber Essentials management information (July 2024 to September 2024)

そこからグラフにしてみました...

取得数...

0

CEの数...

 1_20241222235201

 

CE Plusの数

2_20241222235301

 

 

参考2:IASMEの認証業務

IASME

NCSCスキーム

  1. Cyber Essentials
  2. Cyber Advisor 
  3. Cyber Incident Response (CIR) Level 2
  4. Cyber Incident Exercising (CIE) 

IASMEスキーム

  1. IASME Cyber Baseline 
  2. IASME Cyber Assurance
  3. IASME IoT Cyber Baseline
  4. IASME IoT Cyber Assurance
  5. Maritime Cyber Baseline 
  6. Civil Aviation Authority's ASSURE 

海事、航空関係のサイバー認証をしているところが興味深いですね...

 

 


 

Cyber Essentials

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.20 英国 サイバーエッセンシャル発行数 (2023.07-2024.06)

・2023.08.17 英国 国家サイバー戦略 2022 の進捗報告 (2022-2023)

・2023.07.13 英国 小規模企業のサイバーセキュリティをサポート:サイバーアドバイザリー制度 (2023.04.17)

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2020.10.11 UK National Cyber Security Centreがスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。(Cyber Essentials認定も意識して

 

 

| | Comments (0)

2024.12.22

アイルランド データ保護委員会 メタ社に約410億円の罰金 (2024.12.17)

こんにちは、丸山満彦です。

アイルランドのデータ保護委員会がメタ社に410億円の罰金を課したと公表していますね...

大きくいうと2つの決定からなります。

  • 第33条監督機関に対する個人データ侵害の通知)違反(約18億円)
  • 第25条(データ保護バイデザイン及びデータ保護バイデフォルト違反(約392億円)

で金額が大きいのは、第25条違反...

 

Irland Data Protection Commission

・2024.12.17 Irish Data Protection Commission fines Meta €251 Million

Irish Data Protection Commission fines Meta €251 Million アイルランドデータ保護委員会、メタに2億5100万ユーロの罰金
The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’). These own-volition inquiries were launched by the DPC following a personal data breach, which was reported by MPIL in September 2018. アイルランドデータ保護委員会(DPC)は本日、メタ・プラットフォームズ・アイルランド・リミテッド(以下「MPIL」)に対する2件の調査に関する最終決定を発表した。これらの自主的な調査は、2018年9月にMPILが報告した個人データ漏えいを受けて、DPCが開始した。
This data breach impacted approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. The categories of personal data affected included: user’s full name; email address; phone number; location; place of work; date of birth; religion; gender; posts on timelines; groups of which a user was a member; and children’s personal data. The breach arose from the exploitation by unauthorised third parties of user tokens[1] on the Facebook platform.  The breach was remedied by MPIL and its US parent company shortly after its discovery. このデータ漏えいは世界で約2,900万のFacebookアカウントに影響を与え、そのうち約300万はEU/EEAに拠点を置くアカウントであった。影響を受けた個人データのカテゴリーには、ユーザーのフルネーム、メールアドレス、電話番号、所在地、勤務先、生年月日、宗教、性別、タイムラインへの投稿、ユーザーがメンバーとなっているグループ、および子供の個人データが含まれていた。この違反は、Facebookプラットフォーム上のユーザートークン[1]を無許可のサードパーティが不正利用したことによって発生した。違反は、発見後すぐにMPILとその米国親会社によって是正された。
The decisions, which were made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, included a number of reprimands and an order to pay administrative fines totalling €251 million. データ保護委員であるデス・ホーガン博士とデール・サンダーランド氏によって下された決定には、数多くの叱責と総額2億5100万ユーロの行政罰金の支払命令が含まれていた。
The DPC submitted a draft decision to the GDPR cooperation mechanism in Sept 2024, as required under Article 60 of the GDPR[2]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case. DPCは、GDPR第60条の規定に従い、2024年9月にGDPR協力メカニズムに決定のドラフトを提出した[2]。DPCの決定のドラフトに対する異議は提起されなかった。DPCは、この件に関して、EU/EEAの同等の監督当局から協力と支援を得られたことに感謝している。
The DPC’s final decisions record the following findings of infringement of the GDPR: DPCの最終決定では、GDPR違反に関する以下の調査結果が記録されている。
Decision 1 決定1
Article 33(3) GDPR - By not including in its breach notification all the information required by that provision that it could and should have included. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €8 million. GDPR第33条(3) - 違反通知に、同条項で要求されているすべての情報が含まれていなかったこと。DPCは、この条項に関するMPILの不履行を叱責し、800万ユーロの行政罰金の支払いを命じた。
Article 33(5) GDPR - By failing to document the facts relating to each breach, the steps taken to remedy them, and to do so in a way that allows the Supervisory Authority to verify compliance. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €3 million. GDPR 第33条(5) - 各違反に関する事実、その是正措置、および監督機関によるコンプライアンスの検証を可能にする方法でそれらを文書化しなかったこと。DPCは、この規定に関する違反を理由にMPILを叱責し、300万ユーロの行政罰金の支払いを命じた。
Decision 2 決定 2
Article 25(1) GDPR - By failing to ensure that data protection principles were protected in the design of processing systems. The DPC found that MPIL had infringed this provision, reprimanded MPIL, and ordered it to pay administrative fines of €130 million. 第25条(1) GDPR - 処理システムの設計においてデータ保護の原則が防御されていることを確保しなかったこと。DPCは、MPILがこの規定に違反したことを認め、MPILを叱責し、1億3000万ユーロの行政罰金の支払いを命じた。
Article 25(2) - By failing in their obligations as controllers to ensure that, by default, only personal data that are necessary for specific purposes are processed. The DPC found that MPIL had infringed these provisions, reprimanded MPIL, and ordered it to pay administrative fines of €110 million. 第25条(2) - 特定の目的に必要な個人データのみがデフォルトで処理されるよう確保するという、管理者としての義務を怠ったこと。DPCは、MPILがこれらの規定に違反したと判断し、MPILを叱責し、1億1000万ユーロの行政罰金の支払いを命じた。
DPC Deputy Commissioner Graham Doyle commented: DPC副委員長であるグラハム・ドイル氏は次のようにコメントした。
“This enforcement action highlights how the failure to build in data protection requirements throughout the design and development cycle can expose individuals to very serious risks and harms, including a risk to the fundamental rights and freedoms of individuals. Facebook profiles can, and often do, contain information about matters such as religious or political beliefs, sexual life or orientation, and similar matters that a user may wish to disclose only in particular circumstances. By allowing unauthorised exposure of profile information, the vulnerabilities behind this breach caused a grave risk of misuse of these types of data.” 「今回の措置は、設計および開発サイクル全体を通じてデータ保護要件を組み込まなかった場合、個人が深刻なリスクや被害にさらされる可能性があることを浮き彫りにしています。Facebookのプロフィールには、宗教や政治的信条、性生活や性的指向など、ユーザーが特定の状況下でのみ開示したいと考えるような情報が含まれていることがあり、実際にそうした情報が記載されていることもよくあります。プロファイル情報の無許可エクスポージャーを許可することで、この違反の背後にある脆弱性は、これらのタイプのデータの悪用という重大なリスクをもたらした。
The DPC will publish the full decision and further related information in due course. DPCは、決定の全文と関連情報を今後公表する予定である。
Further information 詳細情報
[1] User tokens are coded identifiers that can be used to verify the user of a platform or utility, and to control access to particular platform features and to personal data of the user and their contacts. [1] ユーザートークンは、プラットフォームやユーティリティのユーザーを識別し、特定のプラットフォーム機能やユーザーおよびその連絡先の個人データへのアクセスを制御するために使用されるコード化された識別子である。
[2] Article 60 of the GDPR regulates the cooperation procedure between the Lead Supervisory Authority and the other Concerned Supervisory Authorities. [2] GDPR第60条は、主監督当局とその他の関係監督当局間の協力手続きを規定している。
Background 背景
The breach that gave rise to the DPC’s Decisions arose from the deployment of a video upload function on the Facebook platform in July 2017. Facebook’s ‘View As’ feature allowed a user to see their own Facebook page as it would be seen by another user. A user making use of this feature could invoke the video uploader in conjunction with Facebook’s ‘Happy Birthday Composer’ facility. The video uploader would then generate a fully permissioned user token that gave them full access to the Facebook profile of that other user. A user could then use that token to exploit the same combination of features on other accounts, allowing them to access multiple users’ profiles and the data accessible through them. Between 14 and 28 September 2018 unauthorised persons used scripts to exploit this vulnerability and gained the ability to log on as the account holder to approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. Facebook security personnel were alerted to the vulnerability by an anomalous increase in video upload activity and removed the functionality that caused the vulnerability shortly thereafter. DPCの決定につながった違反は、2017年7月にFacebookプラットフォーム上で動画アップロード機能が展開されたことに起因する。Facebookの「View As」機能により、ユーザーは自身のFacebookページを他のユーザーから見えるように表示することが可能であった。この機能を利用するユーザーは、Facebookの「Happy Birthday Composer」機能と併用して動画アップローダーを起動することができた。すると、動画アップローダーが完全許可付きユーザートークンを生成し、他のユーザーのFacebookプロフィールへの完全アクセスが可能となった。ユーザーは、そのトークンを使用して他のアカウントでも同じ機能の組み合わせを利用することができ、複数のユーザーのプロフィールと、それらを通じてアクセス可能なデータにアクセスすることが可能となった。2018年9月14日から28日の間に、不正な人物がスクリプトを使用してこの脆弱性を悪用し、世界中で約2,900万のFacebookアカウントにアカウント保有者としてログインできるようになった。そのうち約300万はEU/EEAに拠点を置くアカウントであった。Facebookのセキュリティ担当者は、動画のアップロード活動の異常な増加により脆弱性に気づき、その後すぐに脆弱性の原因となる機能を削除した。

 

1_20241222134401

 

 

 


 

個人情報保護委員会のGDPR仮訳より...

● 個人情報保護委員会

・[PDF] 一般データ保護規則(GDPR)の条文

Article 25 Data protection by design and by default 第25 条 データ保護バイデザイン及びデータ保護バイデフォルト
1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects. 1. 技術水準、実装費用、取扱いの性質、範囲、過程及び目的並びに取扱いによって引きこされる自然人の権利 及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者は、本規則の要件に適合するも のとし、かつ、データ主体の権利を保護するため、取扱いの方法を決定する時点及び取扱いそれ自体の時点の 両時点において、データの最小化のようなデータ保護の基本原則を効果的な態様で実装し、その取扱いの中に 必要な保護措置を統合するために設計された、仮名化のような、適切な技術的措置及び組織的措置を実装する。
2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons. 2. 管理者は、その取扱いの個々の特定の目的のために必要な個人データのみが取扱われることをデフォルトで確保するための適切な技術的措置及び組織的措置を実装する。この義務は、収集される個人データの分量、その取扱いの範囲、その記録保存期間及びアクセス可能性に適用される。とりわけ、そのような措置は、個人
データが、その個人の関与なく、不特定の自然人からアクセス可能なものとされないことをデフォルトで確保する。
3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article 3. 第42 条により承認された認証方法は、本条の第1 項及び第2 項に定める要件の充足を証明するための要素 として用いることができる。
   
Article 33 Notification of a personal data breach to the supervisory authority 第33 条 監督機関に対する個人データ侵害の通知
1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay. 1. 個人データ侵害が発生した場合、管理者は、その個人データ侵害が自然人の権利及び自由に対するリスクを 発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた 時から遅くとも72 時間以内に、第55 条に従って所轄監督機関に対し、その個人データ侵害を通知しなければ ならない。監督機関に対する通知が 72 時間以内に行われない場合、その通知は、その遅延の理由を付さなけ ればならない。
2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach 2. 処理者は、個人データ侵害に気づいた後、不当な遅滞なく、管理者に対して通知しなければならない。
3. The notification referred to in paragraph 1 shall at least: 3. 第1 項で定める通知は、少なくとも、以下のとおりとする:
(a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned; (a) 可能な場合、関係するデータ主体の類型及び概数、並びに、関係する個人データ記録の種類及び概数 を含め、個人データ侵害の性質を記述する;
(b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained; (b) データ保護オフィサーの名前及び連絡先、又は、より多くの情報を入手することのできる他の連絡先 を連絡する;
(c) describe the likely consequences of the personal data breach; (c) その個人データ侵害の結果として発生する可能性のある事態を記述する;
(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects (d) 適切な場合、起こりうる悪影響を低減させるための措置を含め、その個人データ侵害に対処するため に管理者によって講じられた措置又は講ずるように提案された措置を記述する。
4. Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay 4. 同時に情報を提供できない場合、その範囲内において、その情報は、更なる不当な遅滞なく、その状況に応 じて提供できる。
5. The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article. 5. 管理者は、その個人データ侵害と関連する事実関係、その影響及び講じられた救済措置を含め、全ての個人 データ侵害を文書化しなければならない。その文書は、本条の遵守を検証するために、監督機関が利用できる ものとしなければならない。

| | Comments (0)

米国 国土安全保障省 AI活用のユースケースの状況説明と内部向けChatのリリース (2024.12.16, 17)

こんにちは、丸山満彦です。

国土安全保障省 (Department of Homeland Security; DHS) がブログで、ユースケースについての状況説明と、内部向けに生成的AIを利用したChatbotをリリースについて述べていますね...ChatBotはまだ、10の機関にまたがる2万人弱のスタッフの一部が試験的に利用するという計画の途中過程のようですが...

 

日本の省庁においても参考になるのではないかと思います...

もちろん、何をしたかということも参考になると思いますが、どのように実現してきたかというプロセスも参考になるところがあるかもですね...

 

Department of Homeland Security; DHS - Blog

ユースケースの状況

・2024.12.16 AI at DHS: A Deep Dive into our Use Case Inventory

 

 

DHSChatの発表...

・2024.12.17 DHS’s Responsible Use of Generative AI Tools

 

 


 

DHSに取り組み...

全体

Artificial Intelligence at DHS

リーダーシップ

・・DHS AI Leadership

活用事例

・・Using AI to Secure the Homeland

ユースケース一覧

・・・Artificial Intelligence Use Case Inventory

 

連邦政府のAI人材の採用はこちら...(https://ai.gov/apply/

 


 

DHSのAIについてのウェブ...

Artificial Intelligence at DHS

 

2月に発表した人材募集...(新しいポジションなので、まずは人の募集から...50人規模...)

・2024.02.06 DHS Launches First-of-its-Kind Initiative to Hire 50 Artificial Intelligence Experts in 2024

 

3月に発表したロードマップ...

発表時のプレス...

・2024.03.18 Department of Homeland Security Unveils Artificial Intelligence Roadmap, Announces Pilot Projects to Maximize Benefits of Technology, Advance Homeland Security Mission

 

ロードマップ...

・2024.03.17 DHS Artificial Intelligence Roadmap

・・[PDF

20241222-62630

 

採用した最初の10名についての発表...

 ・2024.06.25 DHS Hires First 10 Experts in “AI Corps” Recruiting Sprint

 

パイロットの発表...

・2024.10.30 FACT SHEET: DHS Completes First Phase of AI Technology Pilots, Hires New AI Corps Members, Furthers Efforts for Safe and Secure AI Use and Development

 

詳細について

↓↓↓↓↓

Continue reading "米国 国土安全保障省 AI活用のユースケースの状況説明と内部向けChatのリリース (2024.12.16, 17)"

| | Comments (0)

英国 意見募集 著作権とAI (2024.12.17)

こんにちは、丸山満彦です。

英国の知的財産事務局、科学・革新技術省、文化・メディア・スポーツ省が「著作権とAI」という文書を公開し、意見募集をしていますね...

著作権者の利益を保護しながら、著作物をAIを利用して活用し、より良い社会をつくるためにはどうすればよいのか?新たな法律が必要か、どの国も頭を使う必要がある分野なのでしょうかね...

 

● Gov.UK

プレス...

・2024.12.17 UK consults on proposals to give creative industries and AI developers clarity over copyright laws

UK consults on proposals to give creative industries and AI developers clarity over copyright laws 英国、クリエイティブ産業とAI開発者に著作権法の明確性をもたらす提案について協議
This consultation seeks views on how the government can ensure the UK’s legal framework for AI and copyright supports the UK creative industries and AI sector together. この協議では、AIと著作権に関する英国の法的枠組みが英国のクリエイティブ産業とAIセクターを共に支援する方法について、政府の見解を求めている。
・new proposals seek to bring legal certainty to creative and AI sectors over how copyright protected materials are used in model training, supporting innovation and boosting the growth of both sectors crucial to our Plan for Change  ・新たな提案は、モデルのトレーニングにおける著作権で保護された素材の利用方法について、クリエイティブ産業とAI産業の両方に法的確実性をもたらすことを目指している。イノベーションを支援し、変革計画にとって重要な両産業の成長を促進する。
・a balanced package of proposals aims to give creators greater control over how their material is used by AI developers, and enhance their ability to be paid for its use ・バランスの取れた提案パッケージは、AI開発者による素材の利用方法をクリエイターがより制御できるようにし、その利用に対して支払われる能力を向上させることを目指している。
・the proposals will also seek greater transparency from AI firms over the data used to train AI models alongside how AI-generated content is labelled ・提案はまた、AIモデルのトレーニングに使用されるデータの透明性をAI企業に高めることを求め、AI生成コンテンツのラベル付け方法についても求める。
・AI developers would have wide access to material to train world-leading models in the UK, and legal certainty would boost AI adoption across the economy ・英国のAI開発者は、世界トップクラスのモデルを訓練するための素材に広くアクセスでき、法的確実性は経済全体におけるAIの採用を後押しする
The UK has today launched a consultation on plans to give certainty to the creative industries and AI developers on how copyright material can be used to train AI models. Supporting the UK Government’s Plan for Change, the move will help drive growth across both sectors by ensuring protection and payment for rights holders and supporting AI developers to innovate responsibly.  英国は本日、著作権素材がAIモデルの訓練にどのように使用できるかについて、クリエイティブ産業とAI開発者に確実性を提供するための計画に関する協議を開始した。英国政府の変革計画を支援するこの動きは、権利保有者の防御と支払い保証を確保し、AI開発者が責任を持って革新できるよう支援することで、両セクターの成長を促進する。
Both sectors are central to the Government’s Industrial Strategy, and these proposals aim to forge a new path forward which will allow both to flourish and drive growth. Key areas of the consultation include boosting trust and transparency between the sectors, so right holders have a better understanding of how AI developers are using their material and how it has been obtained.  両セクターは政府の産業戦略の中心であり、これらの提案は両セクターが繁栄し、成長を促進する新たな道筋を築くことを目的としている。協議の主な分野には、両セクター間の信頼と透明性を高めることが含まれ、これにより権利保有者はAI開発者が自身の素材をどのように使用しているか、またその素材がどのように入手されたかについてより深く理解することができる。
The consultation also explores how creators can license and be remunerated for the use of their material, and how wide access to high-quality data for AI developers can be strengthened to enable innovation across the UK AI sector. また、この協議では、クリエイターが自身の素材の使用に対してライセンスを付与し、報酬を得る方法、および英国のAIセクター全体にわたるイノベーションを可能にするために、AI開発者による高品質なデータへのアクセスをどのように強化できるかについても検討されている。
These proposals will help unlock the full potential of the AI sector and creative industries to drive innovation, investment, and prosperity across the country, driving forward the UK government’s mission to deliver the highest sustained growth in the G7 under its Plan for Change.  これらの提案は、AIセクターとクリエイティブ産業の潜在能力を最大限に引き出し、イノベーション、投資、そして英国全体の繁栄を促進するのに役立つ。これにより、英国政府の使命である「変革のための計画」の下、G7諸国の中で最も持続的な成長を実現するという目標の達成が前進する。
Currently, uncertainty about how copyright law applies to AI is holding back both sectors from reaching their full potential. It can make it difficult for creators to control or seek payment for the use of their work, and creates legal risks for AI firms, stifling AI investment, innovation, and adoption. After previous attempts to agree a voluntary AI copyright code of practice proved unsuccessful, this government is determined to take proactive steps with our creative and AI sectors to deliver a workable solution. 現在、著作権法がAIにどのように適用されるかについての不確実性が、両分野が潜在能力を最大限に発揮するのを妨げている。これにより、クリエイターが自身の作品の利用を管理したり、その対価を求めることが難しくなる可能性があり、AI企業にとっては法的リスクが生じ、AIへの投資、イノベーション、導入が阻害される。AIに関する自主的な著作権規範の合意に向けたこれまでの試みが失敗に終わった後、現政府は、クリエイティブ産業およびAI分野において、実行可能な解決策を実現するための積極的な措置を講じる決意である。
To address this, the consultation proposes introducing an exception to copyright law for AI training for commercial purposes while allowing rights holders to reserve their rights, so they can control the use of their content. Together with transparency requirements, this would give them more certainty and control over how their content is used and support them to strike licensing deals. This would also give AI developers greater certainty about what material they can and cannot use and ensure wide access to material in the UK. これに対応するため、この協議では、権利保有者が権利を留保することを認めつつ、商業目的のAIトレーニングに著作権法の例外規定を導入することを提案している。これにより、透明性の要件とともに、権利保有者は、自らのコンテンツの使用をより確実に管理できるようになり、ライセンス契約の締結を支援することになる。また、これにより、AI開発者は、使用できる素材とできない素材についてより確かな見通しを得ることができ、英国の素材への幅広いアクセスを確保できる。
Before these measures could come into effect, further work with both sectors would be needed to ensure any standards and requirements for rights reservation and transparency are effective, accessible, and widely adopted. This would allow for smooth application by AI developers and right holders alike, ensuring rights holders of all sizes can reserve their rights and that any future regime delivers our objectives. These measures would be fundamental to the effectiveness of any exception, and we would not introduce an exception without them.   これらの措置が施行される前に、権利の留保と透明性に関する標準と要件が効果的で、アクセス可能で、広く採用されることを確実にするために、両業界とのさらなる作業が必要となる。これにより、AI開発者と権利保有者の双方にとって円滑な申請が可能となり、あらゆる規模の権利保有者が権利を留保でき、将来の体制が我々の目的を達成できることが確実になる。これらの措置は、あらゆる例外措置の有効性の根幹をなすものであり、それらなしに例外を導入することはない。 
The consultation also proposes new requirements for AI model developers to be more transparent about their model training datasets and how they are obtained. For example, AI developers could be required to provide more information about what content they have used to train their models. This would enable rights holders to understand when and how their content has been used in training AI.   また、この協議では、AIモデル開発者が、モデルのトレーニングデータセットとその入手方法について、より透明性を高めるための新たな要件を提案している。例えば、AI開発者は、モデルのトレーニングに使用したコンテンツに関するより詳細な情報を提供することが求められる可能性がある。これにより、権利保有者は、AIのトレーニングに自社のコンテンツがいつ、どのように使用されたかを把握できるようになる。 
Secretary of State for Science, Innovation and Technology, Peter Kyle, said:    科学・イノベーション・技術担当大臣のピーター・カイル氏は次のように述べた。
The UK has an incredibly rich and diverse cultural sector and a ground breaking tech sector which is pushing the boundaries of AI. It’s clear that our current AI and copyright framework does not support either our creative industries or our AI sectors to compete on the global stage.  英国には非常に豊かで多様な文化部門があり、AIの限界を押し広げる画期的な技術部門もある。 現在のAIと著作権の枠組みでは、クリエイティブ産業もAI部門もグローバルな舞台で競争していくことをサポートできないことは明らかだ。
That is why we are setting out a balanced package of proposals to address uncertainty about how copyright law applies to AI so we can drive continued growth in the AI sector and creative industries, which will help deliver on our mission of the highest sustained growth in the G7 as part of our Plan for Change.   だからこそ、AIに著作権法がどのように適用されるかについての不確実性に対処するためのバランスの取れた提案パッケージを提示している。これにより、AI分野とクリエイティブ産業の継続的な成長を促進し、変革のための計画の一環としてG7で最高の持続的成長を実現するという我々の使命を果たすことができる。
This is all about partnership: balancing strong protections for creators while removing barriers to AI innovation; and working together across government and industry sectors to deliver this.  これはすべてパートナーシップに関するものである。すなわち、クリエイターを強力に防御しながらAIのイノベーションの障壁を取り除くこと、そしてこれを実現するために政府と産業分野を越えて協力することである。
Secretary of State for Culture, Media and Sport, Lisa Nandy, said:    文化・メディア・スポーツ省のリサ・ナンディ大臣は次のように述べた。
This government firmly believes that our musicians, writers, artists and other creatives should have the ability to know and control how their content is used by AI firms and be able to seek licensing deals and fair payment. Achieving this, and ensuring legal certainty, will help our creative and AI sectors grow and innovate together in partnership. 「この政府は、音楽家、作家、アーティスト、その他のクリエイターが、AI企業によるコンテンツの利用状況を把握し、管理する能力を持ち、ライセンス契約や公正な報酬を求めることができるべきだと強く信じている。これを実現し、法的確実性を確保することは、パートナーシップのもとでクリエイティブ産業とAI産業が共に成長し、革新していくことを支援する。
We stand steadfast behind our world-class creative and media industries which add so much to our cultural and economic life. We will work with them and the AI sector to develop this clearer copyright system for the digital age and ensure that any system is workable and easy-to-use for businesses of all sizes. 我々は、我々の文化的生活や経済生活に多大な貢献をしている世界トップクラスのクリエイティブ産業およびメディア産業を断固として支援する。我々は、デジタル時代に向けたより明確な著作権システムを開発するために、クリエイティブ産業およびメディア産業とAI産業と協力し、あらゆる規模の企業にとって、いかなるシステムも実用可能で使いやすいものとなるよう努める。
Licensing is essential as a means for creators to secure appropriate payment for their work, and these proposals lay the groundwork for rights holders to strike licensing deals with AI developers when rights have been reserved. For example, a photographer who uploads their work onto their internet blog could reserve their rights, with confidence that their wishes will be respected and generative AI developers will not use their images unless a licence has been agreed. This would support the creative and media industries’ control, and their ability to generate revenue from the use of their material and provide AI developers with certainty about the material they can legally access.  ライセンスは、クリエイターが自身の作品に対して適切な報酬を確保するための手段として不可欠であり、これらの提案は、権利が留保されている場合に権利保有者がAI開発者とライセンス契約を結ぶための基盤を築くものである。例えば、自身の作品を自身のインターネットブログにアップロードする写真家は、自身の希望が尊重され、ライセンス契約が締結されない限り生成的AI開発者が自身の画像を使用しないことを確信して、自身の権利を留保することができる。これにより、クリエイティブおよびメディア業界の管理がサポートされ、彼らの素材の使用から収益を得る能力が強化されるとともに、AI開発者に対して、合法的にアクセスできる素材について確実な情報を提供できるようになる。
This combined approach is designed to strengthen trust between the two sectors, which are increasingly interlinked, clearing the way for developers to confidently build and deploy the next generation of AI applications in the UK, in a way that ensures human creators and rights holders have a shared stake in AI’s transformative potential. この複合的なアプローチは、相互に結びつきを強めている2つの業界間の信頼を強化することを目的としている。これにより、英国において開発者が次世代のAIアプリケーションを自信を持って構築し展開することが可能となり、人間であるクリエイターや権利保有者がAIの変革的潜在力から利益を得られる道が開かれる。
The government welcomes licensing deals that have already been agreed, including by major firms in the music and news publishing sectors. But it is clear that many more creatives and right holders have not been able to do so under the current copyright regime. The creative industries, and businesses of all sizes, need more help to control their content and strike licensing deals. The government is determined to make it easier for them to do this. 政府は、音楽やニュース出版業界の大手企業を含む、すでに合意されたライセンス契約を歓迎している。しかし、現在の著作権体制では、多くのクリエイターや権利保有者がこれを行うことができていないことは明らかである。クリエイティブ産業やあらゆる規模の企業は、コンテンツを管理し、ライセンス契約を結ぶために、より多くの支援を必要としている。政府は、彼らがこれをより容易に行えるようにすることを決意している。
The consultation also recognises issues related to the protection of personality rights in the context of digital replicas, such as deepfake imitations of individuals, and will seek views on whether the current legal frameworks are sufficiently robust to tackle the issue.    また、この協議では、ディープフェイクによる個人模倣など、デジタル複製における人格権の防御に関する問題も認識しており、この問題に対処する上で、現在の法的枠組みが十分に強固であるかどうかについて意見を求める予定である。 
As AI continues to develop at a rapid pace, the UK’s response must evolve alongside it. The government welcomes all stakeholder views on these proposals and is committed to making progress by collaborating with creators, rights holders, and AI developers to co-design the right copyright and AI framework for the UK, which will allow both sectors to thrive.     AIが急速に発展を続ける中、英国の対応もそれと歩調を合わせて進化していかなければならない。政府は、これらの提案に関するあらゆる利害関係者の意見を歓迎し、クリエイター、権利者、AI開発者と協力し、両分野がともに繁栄できるような英国にふさわしい著作権とAIの枠組みを共同で設計することで、前進していくことを約束している。
Notes to editors:  編集後記:
the consultation will run for 10 weeks, closing on 25 February, 2025 この協議は10週間行われ、2025年2月25日に終了する。

 

意見募集...

Copyright and Artificial Intelligence

Copyright and Artificial Intelligence 著作権と人工知能
Summary 要約
This consultation seeks views on how the government can ensure the UK’s legal framework for AI and copyright supports the UK creative industries and AI sector together. 本協議では、英国のAIと著作権に関する法的枠組みが英国のクリエイティブ産業とAIセクターを共に支援する方法について、政府の見解を求めている。
This consultation closes at 本協議の締め切りは
11:59pm on 25 February 2025 2025年2月25日午後11時59分
Consultation description 協議内容
Two major strengths of the UK economy are its creative industries and AI sector. Both are essential to drive economic growth and deliver the government’s Plan for Change. 英国経済の2つの大きな強みは、クリエイティブ産業とAIセクターである。両者は経済成長を促進し、政府の変革計画を実現するために不可欠である。
The government is determined to build on the strengths of the UK AI sector, and will set out an ambitious roadmap leveraging AI to grow the economy and improve public services through the AI Opportunities Action Plan. 政府は英国のAIセクターの強みを活かすことを決意しており、AIを活用して経済成長を促進し、公共サービスを改善するための野心的なロードマップを「AIの機会に関する行動計画」を通じて策定する。
The government also recognises the continued economic and cultural contributions of our world-leading creative industries.     また、政府は世界をリードする英国のクリエイティブ産業が経済および文化に継続的に貢献していることを認識している。
Copyright is a key pillar of our creative economy. It exists to help creators control the use of their works and allows them to seek payment for it. However, the widespread use of copyright material for training AI models has presented new challenges for the UK’s copyright framework, and many rights holders have found it difficult to exercise their rights in this context. It is important that copyright continues to support the UK’s world-leading creative industries and creates the conditions for AI innovation that allows them to share in the benefits of these new technologies. 著作権は、英国のクリエイティブ経済の重要な柱である。著作権は、クリエイターが自身の作品の利用を管理し、その対価を求めることを可能にするために存在する。しかし、AIモデルのトレーニングにおける著作物の広範な使用は、英国の著作権の枠組みに新たな課題を突きつけ、多くの権利保有者はこの状況下で権利を行使することが困難であると感じている。著作権が英国の世界をリードするクリエイティブ産業を継続的に支援し、これらの新技術の恩恵を共有できるAIイノベーションの条件を作り出すことが重要である。
This consultation seeks views on proposals to deliver against the government’s objectives for this area, which are: 本協議では、この分野における政府の目標を達成するための提案に対する意見を求めている。その目標とは、
・boosting trust and transparency between sectors, by ensuring AI developers provide right holders with greater clarity about how they use their material. ・AI開発者が権利保有者に対して、素材の使用方法についてより明確な情報を提供することを保証することで、各セクター間の信頼と透明性を高める。
・enhancing right holders’ control over whether or not their works are used to train AI models, and their ability to be paid for its use where they so wish. ・権利保有者が、自身の作品がAIモデルのトレーニングに使用されるかどうかを管理し、希望する場合はその使用に対して報酬を受け取れるようにする。
・ensuring AI developers have access to high-quality material to train leading AI models in the UK and support innovation across the UK AI sector. ・英国でAIモデルのトレーニングに使用される高品質な素材にAI開発者がアクセスできるようにし、英国のAIセクター全体のイノベーションを支援する。
Additionally, the consultation addresses other emerging issues, including copyright protection for computer-generated works, and the issue of digital replicas. さらに、この協議では、コンピュータ生成著作物の著作権防御やデジタル複製の問題など、その他の新たな課題についても取り上げている。
As AI evolves rapidly, the UK’s response must adapt. The consultation is an opportunity for anyone with an interest in these issues to share their views and provide evidence regarding the economic impact of these proposals. During the consultation, we will also run wider engagement activity to help ensure that the full range of views is heard. AIの進化は急速であるため、英国の対応もそれに適応していかなければならない。この協議は、これらの問題に関心のある人々が意見を共有し、これらの提案の経済的影響に関する証拠を提供できる機会である。協議期間中、幅広い意見が確実に反映されるよう、より広範な関与活動も実施する。
This consultation will run for 10 weeks. It commences on 17 December 2024 and will close on 25 February 2025. この協議は10週間実施される。2024年12月17日に開始し、2025年2月25日に終了する。

 

・[PDF][HTMLCopyright and Artificial Intelligence

20241222-01239

 

目次...

Copyright and Artificial Intelligence 著作権と人工知能
A. Overview A. 概要
A.1 Executive summary A.1 エグゼクティブサマリー
A.2 How to engage with this consultation A.2 本協議への参加方法
A.3  Data protection and confidentiality A.3 データ保護と機密保持
B. Copyright and Artificial Intelligence B. 著作権および人工知能
B.1  Background B.1 背景
B.2  AI training and copyright B.2 AIの訓練と著作権
B.3  Our objectives B.3 目的
B.4 Policy options B.4 政策選択肢
C. Our proposed approach C. 提案するアプローチ
C.1  Exception with rights reservation C.1 権利留保付きの例外
C.2 Technical standards C.2 技術標準
C.3  Contracts and licensing C.3 契約とライセンス
C.4  Transparency C.4 透明性
C.5  Wider clarification of copyright law C.5 著作権法のより広範な明確化
C.6  Encouraging research and innovation C.6 研究とイノベーションの奨励
D.  AI outputs D. AIの出力
D.1 Computer-generated works: protection for the outputs of generative AI  D.1 コンピュータ生成著作物:生成的AIの出力の保護
D.2 Policy options D.2 政策オプション
D.3 Computer-generated works interaction with designs D.3 コンピュータ生成著作物とデザインの相互作用
D.4 Infringement and liability relating to AI-generated content D.4 AI生成コンテンツに関する侵害と責任
D.5 AI output labelling D.5 AI 出力のラベル付け
D.6 Digital replicas and other issues          D.6 デジタルレプリカおよびその他の問題
D.7 Other emerging issues D.7 その他の新たな問題

 

エグゼクティブサマリー...

A.1 Executive summary A.1 エグゼクティブサマリー
1. As part of our national mission to grow the economy, the government is committed to supporting the growth of the creative industries and AI sectors while recognising the value of human-centred creativity. 1. 経済成長という国家的な使命の一環として、政府は人間中心の創造性の価値を認識しながら、クリエイティブ産業およびAIセクターの成長を支援することに尽力している。
2. The government is putting both the creative industries and the AI sector at the heart of our Industrial Strategy, to benefit people in every corner of the country with high-quality jobs and drive accelerated growth. 2. 政府は、クリエイティブ産業およびAIセクターを産業戦略の中心に据え、高品質な雇用を全国津々浦々の人々に提供し、加速的な成長を推進していく。
3. The creative industries drive our economy, including TV and film, advertising, the performing arts, music, publishing, and video games. They contribute £124.8 billion GVA to our economy annually, they employ many thousands of people, they help define our national identity and they fly the flag for our values across the globe. They are intrinsic to our success as a nation and the intellectual property they create is essential to our economic strength. 3. テレビや映画、広告、舞台芸術、音楽、出版、ビデオゲームなどを含むクリエイティブ産業は、英国経済を牽引している。クリエイティブ産業は、英国経済に年間1,248億ポンドのGVA(国内総生産額)をもたらし、何千人もの雇用を創出し、英国のアイデンティティを定義し、英国の価値観を世界中に広めている。クリエイティブ産業は、英国の成功に不可欠であり、その知的財産は英国の経済力にとって不可欠である。
4. The UK is also well placed to seize the transformative opportunities presented by AI. According to the International Monetary Fund World Economic Outlook, this could in time unlock productivity gains of up to 1.5 percentage points annually. The government is committed to building an AI sector that can scale and win globally, ensuring that global AI companies want to call the UK home and boosting the responsible adoption of AI across all parts of the economy. We have commissioned Matt Clifford to deliver an AI Opportunities Action Plan to set out an ambitious roadmap to drive AI innovation and adoption across our public and private sectors. We have also committed to legislating to place requirements on those developing the most powerful AI models of tomorrow – these proposals will reduce regulatory uncertainty for AI developers, strengthen public trust and boost business confidence. 4. 英国は、AIがもたらす変革の機会を捉えるのに適した立場にある。国際通貨基金(IMF)の世界経済見通しによると、AIは将来的に年間最大1.5パーセントポイントの生産性向上をもたらす可能性がある。政府は、世界規模で拡大し、成功を収めることができるAI分野の構築に尽力しており、世界的なAI企業が英国を本拠地としたいと思うようにし、経済のあらゆる分野におけるAIの責任ある導入を促進している。私たちは、公共部門と民間部門全体でAIの革新と導入を推進するための野心的なロードマップを定める「AIの機会に関する行動計画」の策定をマット・クリフォードに依頼した。また、将来最も強力なAIモデルを開発する者に対して要件を課すための立法化にも取り組んでいる。これらの提案は、AI開発者にとっての規制上の不確実性を軽減し、国民の信頼を強化し、企業の自信を後押しするものである。
5. The fast pace of development of AI technology over recent years has led to a debate in the UK and across the world. This is about how the existing copyright framework should be applied to the activities that underpin the training of large AI models. The copyright framework provides right holders with economic and moral rights which mean they can control how their works are used. This means that copying works to train AI models requires a licence from the relevant right holders unless an exception applies. 5. 近年、AI技術の開発が急速に進んでいることを受け、英国および世界中で議論が巻き起こっている。これは、大規模なAIモデルのトレーニングを支える活動に、既存の著作権の枠組みをどのように適用すべきかという問題である。著作権の枠組みは、著作権者に経済的および道徳的な権利を与え、著作物の利用方法を管理できるようにするものである。つまり、例外が適用されない限り、AIモデルのトレーニングに著作物をコピーするには、関連する著作権者からライセンスを取得する必要がある。
6. As things stand, this framework does not meet the needs of UK’s creative industries or AI sectors. Creative and media organisations are concerned that their works are used to train AI without their permission, and they are unable to secure remuneration through licensing agreements. They have also highlighted a lack of transparency from AI developers about what content is or has been used and how it is acquired, which can make it difficult to enforce their copyright. Likewise, AI firms have raised concerns that the lack of clarity over how they can legally access training data creates legal risks, stunts AI innovation in the UK and holds back AI adoption. 6. 現状では、この枠組みは英国のクリエイティブ産業やAIセクターのニーズを満たしていない。クリエイティブおよびメディア関連の組織は、自身の作品が許可なくAIのトレーニングに使用されることを懸念しており、ライセンス契約を通じて報酬を確保できないでいる。また、AI開発者側が、どのようなコンテンツが使用されているか、または使用されていたか、またその入手方法について透明性を欠いていることも指摘されており、これにより著作権の行使が困難になる可能性がある。同様に、AI企業側も、トレーニング・データに合法的にアクセスする方法が明確でないことが法的リスクを生み出し、英国におけるAIのイノベーションを妨げ、AIの導入を遅らせるという懸念を表明している。
7. The lack of clarity about the current regime means that leading AI developers do not train their models in the UK, and instead train in jurisdictions with clearer or more permissive rules. Since copyright law applies in the jurisdiction where copying takes place, this means that AI developers are not obliged to respect rights under UK law. This harms our UK AI sector too, as investment from the major AI developers is limited and UK-based SMEs who cannot train overseas are disadvantaged. 7. 現行の体制が明確でないため、AI開発のトップ企業は英国でモデルのトレーニングを行わず、より明確な、あるいはより寛容な規則を持つ管轄区域でトレーニングを行っている。 著作権法はコピーが行われた管轄区域で適用されるため、AI開発者は英国法に基づく権利を尊重する義務を負わないことになる。 これは英国のAI部門にも悪影響を及ぼす。大手AI開発者からの投資は限定的であり、海外でトレーニングを行うことができない英国の中小企業は不利な立場に置かれるからだ。
8. We cannot allow this to continue. We need to act now to help accelerate growth in our creative industries and in our AI sectors - both of which are essential parts of the government’s Industrial Strategy. This consultation seeks views on how we can achieve this by working in partnership with both sectors, and proposes an approach that aims to: 8. この状態を放置することはできない。 クリエイティブ産業とAIセクターの成長を加速させるために、今こそ行動を起こす必要がある。 両者は政府の産業戦略の重要な一部である。 この協議では、両セクターと連携してこれを達成する方法についての意見を求め、以下の目的を達成するためのアプローチを提案する。
・enhance right holders’ control of their material and their ability to be remunerated for its use ・権利保有者が自身の素材を管理し、その使用に対して報酬を得る能力を強化する
・support wide access to high-quality material to drive development of leading AI models in the UK ・英国における最先端のAIモデルの開発を促進するため、高品質な素材への幅広いアクセスを支援する
・secure greater transparency from AI developers to build trust with creators, creative industries, and consumers ・クリエイター、クリエイティブ産業、消費者との信頼関係を構築するため、AI開発者からより高い透明性を確保する
9. The government believes that the best way to achieve these objectives is through a package of interventions that can balance the needs of the two sectors. That is why we are consulting on measures that would require increased transparency from AI developers. This includes the content they use to train their models, how they acquire it, and any content generated by their models. And it is why we are consulting on the introduction of an exception to copyright law for “text and data mining”. This improves access to content by AI developers, allowing right holders to reserve their rights and thereby prevent their content being used for AI training. Progressed together, we believe these measures could meet our objectives above. These measures could come into operation when effective, proportionate, and accessible technological solutions were in place. This ensures the solutions are practicable and possible for right holders and AI developers of all sizes. 9. 政府は、これらの目標を達成する最善の方法は、2つの業界のニーズのバランスを取ることができる一連の介入策であると考えている。これが、AI開発者からの透明性の向上を求める措置について協議している理由である。これには、AI開発者がモデルの訓練に使用するコンテンツ、その入手方法、およびモデルによって生成されたコンテンツが含まれる。また、著作権法に「テキストおよびデータマイニング」の例外を導入することについても協議している。これにより、AI開発者によるコンテンツへのアクセスが改善され、権利保有者は権利を留保し、コンテンツがAIの訓練に使用されるのを防ぐことができる。これらの措置を同時に進めることで、上記の目的を達成できると考える。これらの措置は、効果的で、妥当で、利用可能な技術的ソリューションが整った時点で運用開始となる可能性がある。これにより、あらゆる規模の権利者およびAI開発者にとって、ソリューションが実際的で可能であることが保証される。
10. Although we recognise that much more detailed work will still need to be done, these are the broad parameters of our approach. The package is designed to enhance the ability of right holders to protect their material and seek remuneration for its use through increased licensing. It also aims to motivate AI developers to train leading models in the UK in full compliance with UK law. Delivering this will be challenging and will require practical technical solutions as well as a clear legal framework. It will require us to work closely with our international partners to progress towards an interoperable AI and copyright framework. We seek the constructive engagement of all stakeholders in this consultation process, in particular on the following issues. 10. さらに詳細な作業が必要であることは認識しているが、これらは我々のアプローチの概略である。このパッケージは、権利者が自身の著作物を保護し、ライセンスの増加を通じてその使用に対する報酬を求める能力を強化することを目的としている。また、英国の法律に完全に準拠した形で、英国で最先端のモデルを訓練するAI開発者の意欲を高めることも目的としている。これを実現することは困難であり、明確な法的枠組みだけでなく、実際的な技術的ソリューションも必要となる。相互運用可能なAIと著作権の枠組みに向けて前進するためには、国際的なパートナーと緊密に協力する必要がある。本協議プロセスにおけるすべての利害関係者の建設的な関与を求めたい。特に、以下の問題についてである。
Transparency 透明性
11. The success of any new approach to copyright and AI will depend on stronger trust between AI developers and right holders. The government believes that transparency will be key to this and seeks views on what level of transparency about the use of works to train models is required and how this can best be achieved fairly and proportionately. 11. 著作権とAIに対する新たなアプローチの成功は、AI開発者と権利保有者間のより強固な信頼関係に依存する。政府は、透明性が鍵となると考え、モデルの訓練に著作物が使用されることに関するどの程度の透明性が求められるか、また、これを公正かつ妥当に達成するにはどうすればよいかについての意見を求めている。
Technical standards 技術的基準
12. Some useful tools that enable right holders to reserve their rights already exist, but more work is required to ensure these meet the needs of right holders and AI developers of all sizes. These tools have significant technical limitations and are insufficiently standardised and adopted. The government is therefore seeking views on whether and how it can support work to improve these tools and drive their adoption. 12. 権利者が権利を留保することを可能にするいくつかの有用なツールはすでに存在しているが、これらのツールがすべての規模の権利者およびAI開発者のニーズを満たすことを確実にするには、さらなる作業が必要である。これらのツールには重大な技術的限界があり、標準化および採用が不十分である。そのため政府は、これらのツールを改善し、その採用を推進するための作業を支援できるかどうか、また支援できる場合、どのように支援できるかについて意見を求めている。
Contracts and Licensing 契約およびライセンス
13. In a regime that empowers right holders to reserve their rights, licensing will be important to secure right holder remuneration and provide AI developers with access to high-quality training material at scale. We seek views on whether and how the government should support licensing, including collective licensing, and consider the needs of individual creators as part of this. 13. 権利保有者が権利を留保することを可能にする体制においては、権利保有者の報酬を確保し、AI開発者に質の高いトレーニング教材へのアクセスを大規模に提供するために、ライセンシングが重要となる。政府がライセンシング(集合的ライセンシングを含む)を支援すべきかどうか、またその方法について意見を求めるとともに、この一環として個々のクリエイターのニーズを考慮する。
Labelling ラベリング
14. The government believes that clear labelling of AI outputs would be beneficial to right holders and the public, but acknowledges the technical challenges involved. The government welcomes views on how to achieve this outcome, including how we can support the development of emerging tools and standards. 14. 政府は、AIの出力に明確なラベルを貼ることは権利者と一般市民にとって有益であると考えているが、技術的な課題があることも認めている。政府は、この成果を達成する方法についての意見を歓迎しており、その中には、新興のツールや標準の開発をどのように支援できるかということも含まれる。
Computer generated works コンピュータ生成著作物
15. There are additional issues regarding the ownership of AI systems’ outputs. The UK currently provides copyright protection for purely computer-generated works, but it is not clear that this protection is widely used, or that it functions properly within the broader copyright framework. The government seeks views on potential reform to protections for computer-generated works. 15. AIシステムの出力の所有権に関する追加的な問題がある。英国は現在、純粋にコンピュータ生成された著作物に対して著作権保護を提供しているが、この保護が広く利用されているか、またはより広範な著作権の枠組みの中で適切に機能しているかは明らかではない。政府は、コンピュータ生成著作物の保護に対する潜在的な改革に関する意見を求めている。
Digital Replicas デジタルレプリカ
16. The volume and quality of digital replicas generated by AI systems (sometimes called deepfakes) is increasing. This consultation seeks to gather evidence on the challenges posed by digital replicas. This responds to concerns around the emergence of deepfakes and AI-generated content that may replicate a person’s voice, image, or personal likeness. It asks whether the current legal framework is sufficient to provide individuals with control over use of their likeness and whether further intervention is required. 16. AIシステム(ディープフェイクと呼ばれることもある)によって生成されるデジタルレプリカの量と質は増加している。本協議は、デジタルレプリカによってもたらされる課題に関する証拠の収集を目的としている。これは、人の声、画像、肖像を複製する可能性があるディープフェイクやAI生成コンテンツの出現に関する懸念に対応するものである。本協議では、肖像の利用を個人が管理できるようにする上で、現行の法的枠組みが十分であるか、さらなる介入が必要であるかを問うている。
Emerging issues 新たな問題
17. Rapid developments in AI’s capabilities will continue to raise new policy and legal questions. The consultation seeks views on emerging issues related to the intellectual property framework for AI. For instance the clarity of UK law for AI systems that generate content on Internet Search or other processes that draw on datasets at inference. We are also interested to understand how increasing use of synthetic data to train AI models may affect the ecosystem. 17. AIの能力の急速な発展は、新たな政策および法的問題を引き続き提起するだろう。本協議では、AIに関する知的財産の枠組みに関連する新たな問題についての意見を求めている。例えば、インターネット検索やその他の推論でデータセットを利用するプロセスでコンテンツを生成するAIシステムに関する英国法の明確性などである。また、AIモデルの訓練に合成データの利用が増えることで生態系にどのような影響が及ぶかについても理解したいと考えている。
Next steps 今後のステップ
18. The government is committed to working with all stakeholders to work through these issues together, proceeding carefully, but with a degree of urgency. These are complex issues, as underlined by the experience in other jurisdictions, and legislation is ultimately likely to be needed. We will use responses to shape how we implement our proposed approach to allow the creative industries and AI sectors to continue to grow together in partnership. DSIT and DCMS Ministers will continue to prioritise taking forward these proposals as the government further develops its approach to AI regulation. 18. 政府は、すべての利害関係者と協力し、慎重に、しかしある程度の緊急性をもって、これらの問題を共に解決していくことを約束する。これらの問題は、他の管轄区域での経験が示すように、複雑な問題であり、最終的には立法が必要になる可能性が高い。我々は、クリエイティブ産業とAIセクターが引き続きパートナーシップを組んで共に成長できるよう、提案したアプローチの実施方法を、回答を参考にしながら形作っていく。DSITおよびDCMS大臣は、政府がAI規制へのアプローチをさらに発展させる中で、これらの提案を推進することを引き続き優先する。

 

質問...

Copyright and Artificial Intelligence 著作権と人工知能
A. Overview A. 概要
A.1 Executive summary A.1 エグゼクティブサマリー
A.2 How to engage with this consultation A.2 本協議への参加方法
A.3 Data protection and confidentiality A.3 データ保護と機密保持
B. Copyright and Artificial Intelligence B. 著作権および人工知能
B.1 Background B.1 背景
B.2 AI training and copyright B.2 AIの訓練と著作権
B.3 Our objectives B.3 目的
B.4 Policy options B.4 政策選択肢
Option 0: Do nothing: Copyright and related laws remain as they are. 選択肢0:何もしない:著作権および関連法は現状のまま。
Option 1: Strengthen copyright requiring licensing in all cases 選択肢1:すべてのケースでライセンスを必要とする著作権を強化する
Option 2: A broad data mining exception 選択肢2:広範なデータマイニング例外
Option 3: A data mining exception which allows right holders to reserve their rights, underpinned by supporting measures on transparency 選択肢3:透明性に関する支援措置を伴う、権利保有者が権利を留保することを認めるデータマイニングの例外
Question 1. Do you agree that option 3 is most likely to meet the objectives set out above? 質問1. 上記の目的を最も達成できる可能性が高いのは選択肢3であることに同意するか。
Question 2. Which option do you prefer and why? 質問2. どの選択肢を希望するか、その理由は何か。
C. Our proposed approach C. 提案するアプローチ
C.1 Exception with rights reservation C.1 権利留保付きの例外
Question 3. Do you support the introduction of an exception along the lines outlined above? 質問3. 上記の概要に沿った例外規定の導入を支持するか。
Question 4. If so, what aspects do you consider to be the most important? If not, what other approach do you propose and how would that achieve the intended balance of objectives? 質問4. そうであれば、最も重要と考える側面は何か。そうでない場合、どのような他のアプローチを提案し、どのようにして目的のバランスを達成するか。
Question 5. What influence, positive or negative, would the introduction of an exception along these lines have on you or your organisation? Please provide quantitative information where possible. 質問5. 上記の概要に沿った例外規定の導入は、あなたまたはあなたの組織にどのような影響を与えるか(プラスまたはマイナス)。可能な場合は定量的な情報を提供すること。
Question 6. What action should a developer take when a reservation has been applied to a copy of a work? 質問6. 著作物のコピーに権利留保が適用された場合、開発者はどのような措置を取るべきか?
Question 7. What should be the legal consequences if a reservation is ignored? 質問7. 権利留保が無視された場合、どのような法的影響があるべきか?
Question 8. Do you agree that rights should be reserved in machine-readable formats? Where possible, please indicate what you anticipate the cost of introducing and/or complying with a rights reservation in machine-readable format would be. 質問8. 権利は機械可読フォーマットで留保されるべきであることに同意するか? 可能であれば、機械可読フォーマットでの権利留保の導入および/または遵守にかかる費用を予想して示していただきたい。
C.2 Technical standards C.2 技術標準
Question 9. Is there a need for greater standardisation of rights reservation protocols? 質問9. 権利留保プロトコルのさらなる標準化の必要性はあるか?
Question 10. How can compliance with standards be encouraged? 質問10. 標準への準拠をどのようにして促すことができるか?
Question 11. Should the government have a role in ensuring this and, if so, what should that be? 質問11. 政府がこの確保に役割を持つべきか、持つべきだとすればどのような役割を持つべきか?
C.3 Contracts and licensing C.3 契約とライセンス
Question 12. Does current practice relating to the licensing of copyright works for AI training meet the needs of creators and performers? 質問12. 現在のAIトレーニングのための著作権作品のライセンスに関する慣行は、著作者および実演家のニーズを満たしているか?
Question 13. Where possible, please indicate the revenue/cost that you or your organisation receives/pays per year for this licensing under current practice. 質問13. 可能であれば、現在の慣行の下でこのライセンスに関して、あなたまたはあなたの組織が受け取る/支払う年間収益/費用を提示していただきたい。
Question 14. Should measures be introduced to support good licensing practice? 質問14. 適切なライセンス慣行を支援する措置を導入すべきか?
Question 15. Should the government have a role in encouraging collective licensing and/or data aggregation services? If so, what role should it play? 質問15. 政府は集合的ライセンスおよび/またはデータ集約サービスの奨励に役割を果たすべきか。果たすべき場合、どのような役割を果たすべきか。
Question 16. Are you aware of any individuals or bodies with specific licensing needs that should be taken into account? 質問16. 考慮すべき特定のライセンスニーズを持つ個人または団体についてご存知ですか?
C.4 Transparency C.4 透明性
Question 17. Do you agree that AI developers should disclose the sources of their training material? 質問17. AI開発者がその学習素材のソースを開示すべきであることに同意するか?
Question 18. If so, what level of granularity is sufficient and necessary for AI firms when providing transparency over the inputs to generative models? 質問18. 同意する場合、生成モデルへの入力に関する透明性を提供する際、AI企業にとってどの程度の粒度で十分かつ必要か?
Question 19. What transparency should be required in relation to web crawlers? 質問19. ウェブクローラーに関してどのような透明性が求められるべきか?
Question 20.What is a proportionate approach to ensuring appropriate transparency? 質問20. 適切な透明性を確保するための適切なアプローチとはどのようなものか?
Question 21. Where possible, please indicate what you anticipate the costs of introducing transparency measures on AI developers would be. 質問21. 可能であれば、AI開発者に対する透明性措置の導入に要する費用について、予想される金額を示していただきたい。
Question 22. How can compliance with transparency requirements be encouraged, and does this require regulatory underpinning? 質問22. 透明性要件の順守を促すにはどうすればよいか、また、そのためには規制による裏付けが必要か。
Question 23. What are your views on the EU’s approach to transparency? 質問23. EUの透明性に対するアプローチについて、どう考えるか。
C.5 Wider clarification of copyright law C.5 著作権法のより広範な明確化
Question 24. What steps can the government take to encourage AI developers to train their models in the UK and in accordance with UK law to ensure that the rights of right holders are respected? 質問 24. 権利者の権利が尊重されることを確保するために、AI開発者が英国で、かつ英国法に従ってモデルを訓練することを奨励するために、政府がどのような措置を講じることができるか。
Question 25. To what extent does the copyright status of AI models trained outside the UK require clarification to ensure fairness for AI developers and right holders? 質問 25. AI開発者および権利者の公平性を確保するために、英国外で訓練されたAIモデルの著作権の状態をどの程度明確にする必要があるか。
Question 26. Does the temporary copies exception require clarification in relation to AI training? 質問26. 一時的コピーの例外は、AIのトレーニングとの関連で明確化する必要があるか?
Question 27. If so, how could this be done in a way that does not undermine the intended purpose of this exception? 質問27. もしそうであれば、この例外の意図された目的を損なわないように、どのように行うことができるか?
C.6 Encouraging research and innovation C.6 研究とイノベーションの奨励
Question 28. Does the existing data mining exception for non-commercial research remain fit for purpose? 質問28. 非営利研究のための現行のデータマイニング例外は、目的に適ったままであるか?
Question 29. Should copyright rules relating to AI consider factors such as the purpose of an AI model, or the size of an AI firm? 質問29. AIに関する著作権規則は、AIモデルの目的やAI企業の規模などの要素を考慮すべきか?
D. AI outputs D. AIの出力
D.1 Computer-generated works: protection for the outputs of generative AI D.1 コンピュータ生成著作物:生成的AIの出力の保護
D.2 Policy options D.2 政策選択肢
Question 30. Are you in favour of maintaining current protection for computer-generated works? If yes, please explain whether and how you currently rely on this provision. 質問30. コンピュータ生成著作物に対する現行の保護を維持することに賛成するか。賛成の場合、現行の規定をどの程度、またどのように利用しているか説明されたい。
Question 31. Do you have views on how the provision should be interpreted? 質問31. この規定の解釈について意見はあるか。
Question 32. Would computer-generated works legislation benefit from greater legal clarity, for example to clarify the originality requirement? If so, how should it be clarified? 質問32. コンピュータ生成著作物に関する法律は、例えば独創性の要件を明確化するなど、より明確な法律規定によって恩恵を受けるだろうか? もしそうであれば、どのように明確化すべきだろうか?
Question 33. Should other changes be made to the scope of computer-generated protection? 質問33. コンピュータ生成著作物の保護範囲について、その他の変更を加えるべきだろうか?
Question 34. Would reforming the computer-generated works provision have an impact on you or your organisation? If so, how? Please provide quantitative information where possible. 質問34. コンピュータ生成著作物に関する規定を改正することは、あなたまたはあなたの組織に影響を与えるだろうか? もしそうであれば、どのように影響するだろうか? 可能な場合は定量的な情報を提供していただきたい。
Question 35. Are you in favour of removing copyright protection for computer-generated works without a human author? 質問35. 人間による著作者の関与のないコンピュータ生成著作物について、著作権保護を撤廃することに賛成か?
Question 36. What would be the economic impact of doing this? Please provide quantitative information where possible. 質問36. そうした場合の経済的影響は何か? 可能な限り定量的な情報を提供すること。
Question 37. Would the removal of the current CGW provision affect you or your organisation? Please provide quantitative information where possible. 質問37. 現行のCGW規定の撤廃は、あなたまたはあなたの組織に影響するか? 可能な限り定量的な情報を提供すること。
D.3 Computer-generated works interaction with designs D.3 コンピュータ生成著作物とデザインの相互作用
D.4 Infringement and liability relating to AI-generated content D.4 AI生成コンテンツに関する侵害と責任
Question 38. Does the current approach to liability in AI-generated outputs allow effective enforcement of copyright? 質問38. AIが生成した出力に対する現在の法的責任のアプローチは、著作権の効果的な執行を可能にしているか?
Question 39. What steps should AI providers take to avoid copyright infringing outputs? 質問39. AIプロバイダーは、著作権侵害の出力を回避するためにどのような措置を講じるべきか?
D.5 AI output labelling D.5 AI 出力のラベル付け
Question 40. Do you agree that generative AI outputs should be labelled as AI generated? If so, what is a proportionate approach, and is regulation required? 質問40. 生成的AIの出力はAI生成物としてラベル付けされるべきであることに同意するか? 同意する場合、どのような対応が妥当か、また規制は必要か?
Question 41. How can government support development of emerging tools and standards, reflecting the technical challenges associated with labelling tools? 質問41. 政府は、ラベル付けツールに関連する技術的課題を反映し、新興のツールや標準の開発をどのように支援できるか?
Question 42. What are your views on the EU’s approach to AI output labelling? 質問42. EUのAI出力のラベル付けに対するアプローチについてどう考えるか?
D.6 Digital replicas and other issues D.6 デジタルレプリカおよびその他の問題
Question 43. To what extent would the approach(es) outlined in the first part of this consultation, in relation to transparency and text and data mining, provide individuals with sufficient control over the use of their image and voice in AI outputs? 質問43. この協議の第1部で概説されたアプローチ(複数可)は、透明性およびテキスト・データマイニングに関して、AIの出力における個人の画像および音声の使用について、個人に十分な管理権を与えるものとなるか?
Question 44. Could you share your experience or evidence of AI and digital replicas to date? 質問44. これまでのAIおよびデジタルレプリカに関する経験または証拠を共有できるか?
D.7 Other emerging issues D.7 その他の新たな問題
Question 45. Is the legal framework that applies to AI products that interact with copyright works at the point of inference clear? If it is not, what could the government do to make it clearer? 質問45. 著作権で保護された作品と相互に作用するAI製品に適用される法的枠組みは明確か?明確でない場合、政府はそれを明確にするために何ができるか?
Question 46. What are the implications of the use of synthetic data to train AI models and how could this develop over time, and how should the government respond? 質問 46. AIモデルの訓練に合成データを使用することの意味するところは何か、また、これが将来的にどのように発展する可能性があるか、政府はどのように対応すべきか。
Question 47. What other developments are driving emerging questions for the UK’s copyright framework, and how should the government respond to them? 質問 47. 英国の著作権制度に新たな問題を引き起こしているその他の動向にはどのようなものがあるか、政府はそれらにどのように対応すべきか。

 

Continue reading "英国 意見募集 著作権とAI (2024.12.17)"

| | Comments (0)

2024.12.21

iapp 国際プライバシー専門家協会 プライバシーガバナンス報告 2024

こんにちは、丸山満彦です。

国際プライバシー専門家協会 (International Association of Privacy Professionals; iapp) [wikipedia] がプライバシーガバナンス報告書 2024 を公表していますね。。。

全文はメンバーだけですが、エグゼクティブサマリーは誰でも読めます...

International Association of Privacy Professionals; iapp

Privacy Governance Report 2024 

・[PDF] inforgraphic

1_20241221111201

Exective Suammary

・[PDF]

20241221-111701 

 

 

 

 

 

 

 

| | Comments (0)

米国 CISA 2024の活動...

こんにちは、丸山満彦です。

CISAが、2024年の活動をわかりやすくウェブページで紹介していますね...

1年を振り返るにはわかりやすいかもです... 米国の話ではありますが...

 

CISA

2024 Year in Review

20241221-103409

目次的なもの...

Letter from the Director 局長からの手紙
Election Security 選挙セキュリティ
CISA Goes Live! CISAが稼働開始!
Secure by Design セキュア・バイ・デザイン
Artificial Intelligence 人工知能
Cybersecurity サイバーセキュリティ
Emergency Communications 緊急時の通信
Secure Our World 世界を守ろう
Target Rich, Cyber Poor Outreach 目標は成果の大きなところ、でも攻撃は弱いところから
Mitigating Nation-State Threats 国家による脅威の緩和
Forging Global Alliances グローバルな提携関係の構築
Regional Support 地域サポート
Reducing Risk Together リスクを共に軽減
Next Gen Cyber Workforce 次世代のサイバー人材
CISA @Work CISAの業務
Conclusion 結論

 

 

 

 

| | Comments (0)

欧州 EDPB AIモデルが匿名とみなされるのはどのような場合か?など、4つの質問に答える意見書を公表していますね...

こんにちは、丸山満彦です。

EDPBが、アイルランドの監督当局からの4つの質問に回答する意見書を公表していますね...

 

アイルランドの監督当局の質問...

人工知能(「AI」)モデルの開発・展開段階における個人データの処理に関するもので...

  • (1)いつ、どのようにAIモデルを「匿名」とみなすことができるのか、

  • (2)開発段階および(3)展開段階において、管理者は法的根拠としての正当な利益の適切性をどのように証明することができるのか、

  • (4)AIモデルの開発段階における個人データの違法な処理が、その後のAIモデルの処理または運用にどのような結果をもたらすのか、

というのが質問です...

ざっくりとした回答は...

 

(1)いつ、どのようにAIモデルを「匿名」とみなすことができるのか、

個人データを用いて学習されたAIモデルは、すべての場合において匿名であるとは言えないと考えている。故に、AIモデルの匿名性の主張は、管轄のSAがケースバイケースで評価すべきである。

 

(2)開発段階および(3)展開段階において、管理者は法的根拠としての正当な利益の適切性をどのように証明することができるのか、

監督当局が考慮すべき全般的な考慮事項として、次の3つをあげている...

(1) 管理者または第三者が追求する正当な利益を特定すること

(2) 追求する正当な利益の目的に対する処理の必要性を分析すること(「必要性テスト])

(3) 正当な利益がデータ対象者の利益または基本的権利および自由に優先されないことを評価すること(「均衡テスト」)。

 

(4)AIモデルの開発段階における個人データの違法な処理が、その後のAIモデルの処理または運用にどのような結果をもたらすのか、

監督機関が侵害の可能性を評価し、個々の事案の状況を考慮して、適切かつ必要で相応の措置をとりなさい...

 

まずは、プレス...

 

European data Protection Board;EDPB

・2024.12.17 EDPB opinion on AI models: GDPR principles support responsible AI

EDPB opinion on AI models: GDPR principles support responsible AI AIモデルに関するEDPBの意見:GDPRの原則は責任あるAIを支援する
Brussels, 18 December - The European Data Protection Board (EDPB) has adopted an opinion* on the use of personal data for the development and deployment of AI models. This opinion looks at 1) when and how AI models can be considered anonymous, 2) whether and how legitimate interest can be used as a legal basis for developing or using AI models, and 3) what happens if an AI model is developed using personal data that was processed unlawfully. It also considers the use of first and third party data. ブリュッセル、12月18日 - 欧州データ保護委員会(EDPB)は、AIモデルの開発および展開における個人データの利用に関する意見*を採択した。この意見書では、1)AIモデルが匿名とみなされるのはどのような場合か、2)AIモデルの開発または利用の法的根拠として正当な利益を適用できるか、また適用できる場合、その適用方法はどのようなものか、3)違法に処理された個人データを利用してAIモデルが開発された場合、どのような影響があるか、について検討している。また、ファーストパーティデータおよびサードパーティデータの利用についても考察している。
The opinion was requested by the Irish Data Protection Authority (DPA) with a view to seeking Europe-wide regulatory harmonisation. To gather input for this opinion, which deals with fast-moving technologies that have an important impact on society, the EDPB organised a stakeholders’ event and had an exchange with the EU AI Office. この意見は、欧州全域での規制の調和を求めるという観点から、アイルランドデータ保護局(DPA)によって要請された。社会に重要な影響を与える急速に進化するテクノロジーを取り扱うこの意見のために意見を収集するため、EDPBは利害関係者のイベントを企画し、EU AI Officeと意見交換を行った。
EDPB Chair Talus said: “AI technologies may bring many opportunities and benefits to different industries and areas of life. We need to ensure these innovations are done ethically, safely, and in a way that benefits everyone. The EDPB wants to support responsible AI innovation by ensuring personal data are protected and in full respect of the General Data Protection Regulation (GDPR).” EDPB議長のタラス氏は次のように述べた。「AI技術は、さまざまな産業や生活のさまざまな分野に多くの機会と利益をもたらす可能性がある。これらのイノベーションが倫理的かつ安全に、そしてすべての人に利益をもたらす形で実施されることを確保する必要がある。EDPBは、個人データの保護を確保し、一般データ保護規則(GDPR)を完全に尊重することで、責任あるAIイノベーションを支援したいと考えている。
Regarding anonymity, the opinion says that whether an AI model is anonymous should be assessed  on a case by case basis by the DPAs. For a model to be anonymous, it should be very unlikely (1) to directly or indirectly identify individuals whose data was used to create the model, and (2) to extract such personal data from the model through queries. The opinion provides a non-prescriptive and non-exhaustive list of methods to demonstrate anonymity. 匿名性に関しては、AIモデルが匿名であるかどうかは、DPAsがケースバイケースで評価すべきであるという意見が述べられている。モデルが匿名であるためには、(1) モデルの作成に使用されたデータを持つ個人を直接または間接的に特定する可能性が極めて低く、(2) 問い合わせによりモデルからそのような個人データを抽出することができないものでなければならない。意見書では、匿名性を証明するための方法として、規定的でも網羅的でもないリストが提示されている。
With respect to legitimate interest, the opinion provides general considerations that DPAs should take into account when they assess if legitimate interest is an appropriate legal basis for processing personal data for the development and the deployment of AI models. 正当な利益に関しては、意見書は、AIモデルの開発および展開における個人データの処理について、正当な利益が適切な法的根拠であるかどうかを評価する際にDPAsが考慮すべき一般的な考慮事項を提示している。
three-step test helps assess the use of legitimate interest as a legal basis. The EDPB gives the examples of a conversational agent to assist users, and the use of AI to improve cybersecurity. These services can be beneficial for individuals and can rely on legitimate interest as a legal basis, but only if the processing is shown to be strictly necessary and the balancing of rights is respected. 3段階テストは、正当な利益を法的根拠として使用するかどうかを評価するのに役立つ。EDPBは、ユーザーを支援する会話型エージェントや、サイバーセキュリティの向上を目的としたAIの利用を例示している。これらのサービスは個人にとって有益であり、法的根拠として正当な利益に依拠できるが、処理が厳密に必要なものであり、権利のバランスが尊重されている場合に限られる。
The opinion also includes a number of criteria to help DPAs assess if individuals may reasonably expect certain uses of their personal data. These criteria include: whether or not the personal data was publicly available, the nature of the relationship between the individual and the controller, the nature of the service, the context in which the personal data was collected, the source from which the data was collected, the potential further uses of the model, and whether individuals are actually aware that their personal data is online. また、この意見書には、個人が自身の個人データの特定の用途を合理的に期待できるかどうかをDPAが評価する際に役立つ基準もいくつか含まれている。これらの基準には、個人データが公開されていたかどうか、個人と管理者との関係の性質、サービスの性質、個人データが収集された状況、データ収集元、モデルの今後の利用可能性、および個人が実際に自身の個人データがオンライン上にあることを認識しているかどうか、などが含まれる。
If the balancing test shows that the processing should not take place because of the negative impact on individuals, mitigating measures may limit this negative impact. The opinion includes a non-exhaustive list of examples of such mitigating measures, which can be technical in nature, or make it easier for individuals to exercise their rights or increase transparency. バランステストにより、個人への悪影響を理由に処理を行わないべきであると示された場合、緩和措置によりこの悪影響を制限することができる。意見書には、このような緩和措置の例として、技術的なものや、個人が権利を行使しやすくするもの、透明性を高めるものなど、網羅的なリストではないが例示されている。
Finally, when an AI model was developed with unlawfully processed personal data, this could have an impact on the lawfulness of its deployment, unless the model has been duly anonymised. 最後に、違法に処理された個人データを用いてAIモデルが開発された場合、そのモデルが適切に匿名化されていない限り、その展開の適法性に影響を及ぼす可能性がある。
Considering the scope of the request from the Irish DPA, the vast diversity of AI models and their rapid evolution, the opinion aims to give guidance on various elements that can be used for conducting a case by case analysis. アイルランドデータ保護委員会からの要請の範囲、AIモデルの多様性、およびその急速な進化を考慮し、意見書は、ケースバイケースの分析を行う際に使用できるさまざまな要素に関する指針を提供することを目的としている。
In addition, the EDPB is currently developing guidelines covering more specific questions, such as web scraping. さらに、EDPBは現在、ウェブスクレイピングなど、より具体的な問題を扱うガイドラインを策定中である。
Note to editors: 編集後記:
*An Article 64(2) opinion addresses a matter of general application or produces effects in more than one Member State. *第64条(2)に基づく意見は、複数の加盟国にわたって一般的に適用される問題を取り扱うか、または複数の加盟国に影響を及ぼすものである。

 

意見書...

・2024.12.18 Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models

・[PDF]

20241221-25528

・[DOCX][PDF] 仮訳

 

目次

1 Introduction 1 序文
1.1 Summary of facts 1.1 事実の概要
1.2 Admissibility of the Request for an Article 64(2) GDPR opinion 1.2 GDPR第64条2項意見書の請求の可否
2 Scope and key notions 2 範囲と重要な概念
2.1 Scope of the Opinion 2.1 意見の範囲
2.2 Key notions 2.2 主要な概念
2.3 AI models in the context of the Opinion 2.3 意見の文脈におけるAIモデル
3 On the merits of the request 3 要求の是非について
3.1 On the nature of AI models in relation to the definition of personal data 3.1 個人データの定義に関するAIモデルの性質について
3.2 On the circumstances under which AI models could be considered anonymous and the related demonstration 3.2 AIモデルが匿名とみなされる状況と、それに関連するデモンストレーションについて
3.2.1 General consideration regarding anonymisation in the context at hand 3.2.1 匿名化に関する一般的な考察
3.2.2 Elements to evaluate the residual likelihood of identification 3.2.2 識別の残存可能性を評価する要素
3.3 On the appropriateness of legitimate interest as a legal basis for processing of personal data in the context of the development and deployment of AI Models 3.3 AIモデルの開発・展開における個人データの処理の法的根拠としての正当な利益の妥当性について
3.3.1 General observations 3.3.1 一般的な見解
3.3.2 Considerations on the three steps of the legitimate interest assessment in the context of the development and deployment of AI models 3.3.2 AIモデルの開発と展開における正当な利益評価の3つの段階に関する考察
3.4 On the possible impact of an unlawful processing in the development of an AI model on the lawfulness of the subsequent processing or operation of the AI model 3.4 AIモデルの開発における違法な処理が、その後のAIモデルの処理または運用の適法性に及ぼす可能性のある影響について
3.4.1 Scenario 1. A controller unlawfully processes personal data to develop the model, the personal data is retained in the model and is subsequently processed by the same controller (for instance in the context of the deployment of the model) 3.4.1 シナリオ 1:管理者がモデル開発のために個人データを不法に処理し、その個人データがモデル内に保持され、その後同じ管理者によって処理される(例えばモデルの展開において)。
3.4.2 Scenario 2. A controller unlawfully processes personal data to develop the model, the personal data is retained in the model and is processed by another controller in the context of the deployment of the model 3.4.2 シナリオ2:管理者がモデル開発のために個人データを不法に処理し、個人データがモデル内に保持され、モデルの展開に関連して別の管理者によって処理される。
3.4.3 Scenario 3. A controller unlawfully processes personal data to develop the model, then ensures that the model is anonymised, before the same or another controller initiates another processing of personal data in the context of the deployment 3.4.3 シナリオ 3:管理者がモデルの開発のために個人データを違法に処理し、その後、同じ管理者または別の管理者が展開の文脈で個人データの別の処理を開始する前に、モデルが匿名化されるようにする。
4 Final remarks 4 最終発言

 

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
AI technologies create many opportunities and benefits across a wide range of sectors and social activities.   AI技術は、幅広い分野や社会活動において、多くの機会と利益を生み出す。  
By protecting the fundamental right to data protection, GDPR supports these opportunities and promotes other EU fundamental rights, including the right to freedom of thought, expression and information, the right to education or the freedom to conduct a business. In this way, GDPR is a legal framework that encourages responsible innovation.  データ保護の基本的権利を保護することで、GDPRはこうした機会を支援し、思想、表現、情報の自由、教育を受ける権利、事業を行う自由など、EUの他の基本的権利を促進する。このように、GDPRは責任あるイノベーションを奨励する法的枠組みである。 
In this context, taking into account the data protection questions raised by these technologies, the Irish supervisory authority requested the EDPB to issue an opinion on matters of general application pursuant to Article 64(2) GDPR. The request relates to the processing of personal data in the context of the development and deployment phases of Artificial Intelligence (“AI”) models. In more details, the request asked: (1) when and how an AI model can be considered as ‘anonymous’; (2) how controllers can demonstrate the appropriateness of legitimate interest as a legal basis in the development and (3) deployment phases; and (4) what are the consequences of the unlawful processing of personal data in the development phase of an AI model on the subsequent processing or operation of the AI model.  アイルランドの監督当局は、これらの技術によって提起されるデータ保護上の問題を考慮し、GDPR第64条2項に従い、一般的な適用事項に関する意見を出すようEDPBに要請した。この要請は、人工知能(「AI」)モデルの開発・展開段階における個人データの処理に関するものである。具体的には、(1)いつ、どのようにAIモデルを「匿名」とみなすことができるのか、(2)開発段階および(3)展開段階において、管理者は法的根拠としての正当な利益の適切性をどのように証明することができるのか、(4)AIモデルの開発段階における個人データの違法な処理が、その後のAIモデルの処理または運用にどのような結果をもたらすのか、といった内容である。 
With respect to the first question, the Opinion mentions that claims of an AI model’s anonymity should be assessed by competent SAs on a case-by-case basis, since the EDPB considers that AI models trained with personal data cannot, in all cases, be considered anonymous. For an AI model to be considered anonymous, both (1) the likelihood of direct (including probabilistic) extraction of personal data regarding individuals whose personal data were used to develop the model and (2) the likelihood of obtaining, intentionally or not, such personal data from queries, should be insignificant, taking into account ‘all the means reasonably likely to be used’ by the controller or another person.   最初の質問に関して、EDPBは、個人データを用いて学習されたAIモデルは、すべての場合において匿名であるとは言えないと考えているため、AIモデルの匿名性の主張は、管轄のSAがケースバイケースで評価すべきであると意見書は言及している。AIモデルが匿名であるとみなされるためには、(1)モデルの開発に個人データが使用された個人に関する個人データが直接(確率的なものを含む)抽出される可能性、および(2)意図的であるか否かにかかわらず、問い合わせからそのような個人データを取得する可能性の両方が、管理者または他の者によって「合理的に使用される可能性のあるすべての手段」を考慮して、重要でないことが必要である。  
To conduct their assessment, SAs should review the documentation provided by the controller to demonstrate the anonymity of the model. In that regard, the Opinion provides a non-prescriptive and non-exhaustive list of methods that may be used by controllers in their demonstration of anonymity, and thus be considered by SAs when assessing a controller’s claim of anonymity. This covers, for instance, the approaches taken by controllers, during the development phase, to prevent or limit the collection of personal data used for training, to reduce their identifiability, to prevent their extraction or to provide assurance regarding state of the art resistance to attacks.   アセスメントを実施するために、SAは、モデルの匿名性を実証するために管理者から提供された文書を確認すべきである。この点に関して、本意見書は、管理者が匿名性を証明する際に使用することができ、したがってSAが管理者の匿名性の主張を評価する際に考慮することができる方法の非規定的かつ非網羅的なリストを提供している。例えば、開発段階において、管理者が、訓練に使用される個人データの収集を防止または制限するため、識別可能性を低減するため、抽出を防止するため、または攻撃に対する最新の耐性に関する保証を提供するためにとるアプローチが対象となる。 
With respect to the second and third questions, the Opinion provides general considerations for SAs to take into account when assessing whether controllers can rely on legitimate interest as an appropriate legal basis for processing conducted in the context of the development and the deployment of AI models.   2つ目と3つ目の質問に関して、本意見は、AIモデルの開発・展開の文脈で行われる処理について、統制が正当な利益を適切な法的根拠として依拠できるかどうかを評価する際に、SAが考慮すべき全般的な考慮事項を示している。  
The Opinion recalls that there is no hierarchy between the legal bases provided by the GDPR, and that it is for controllers to identify the appropriate legal basis for their processing activities. The Opinion then recalls the three-step test that should be conducted when assessing the use of legitimate interest as a legal basis, i.e. (1) identifying the legitimate interest pursued by the controller or a third party; (2) analysing the necessity of the processing for the purposes of the legitimate interest(s) pursued (also referred to as “necessity test”); and (3) assessing that the legitimate interest(s) is (are) not overridden by the interests or fundamental rights and freedoms of the data subjects (also referred to as “balancing test”).  意見書は、GDPRが規定する法的根拠には序列がなく、管理者が自らの処理活動に適切な法的根拠を特定する必要があることを想起している。その上で、法的根拠としての正当な利益の利用をアセスメントする際に実施すべき3段階のテスト、すなわち、以下の3点を挙げている。(1) 管理者または第三者が追求する正当な利益を特定すること、(2) 追求する正当な利益( )の目的に対する処理の必要性を分析すること(「必要性テスト」ともいう)、(3) 正当な利益がデータ対象者の利益または基本的権利および自由(「均衡テスト」ともいう)に優先されないことを評価すること(「均衡テスト」ともいう)。 
With respect to the first step, the Opinion recalls that an interest may be regarded as legitimate if the following three cumulative criteria are met: the interest (1) is lawful; (2) is clearly and precisely articulated; and (3) is real and present (i.e. not speculative). Such interest may cover, for instance, in the development of an AI model - developing the service of a conversational agent to assist users, or in its deployment - improving threat detection in an information system.   第1段階に関して、本意見書は、以下の3つの累積的規準が満たされる場合、利益は合法的なものとみなされる可能性があることを想起している:(1)利益が合法的である、(2)明確かつ正確に明示されている、(3)現実に存在する(すなわち推測的ではない)。このような関心には、例えば、AIモデルの開発-ユーザーを支援する会話エージェントのサービス開発-や、その展開-情報システムにおける脅威検知の改善-が含まれる。  
With respect to the second step, the Opinion recalls that the assessment of necessity entails considering: (1) whether the processing activity will allow for the pursuit of the legitimate interest; and (2) whether there is no less intrusive way of pursuing this interest. When assessing whether the condition of necessity is met, SAs should pay particular attention to the amount of personal data processed and whether it is proportionate to pursue the legitimate interest at stake, also in light of the data minimisation principle.  第2段階に関して、同意見は、必要性のアセスメントには、(1)処理活動が正当な利益の追求を可能にするかどうか、および(2)この利益を追求するために、より侵入的でない方法がないかどうかを検討することが含まれることを想起する。必要性の条件を満たすかどうかを評価する際、SAは、処理される個人データの量と、データ最小化の原則に照らしても、問題となっている正当な利益を追求するのに比例しているかどうかに特に注意を払うべきである。 
With respect to the third step, the Opinion recalls that the balancing test should be conducted taking into account the specific circumstances of each case. It then provides an overview of the elements that SAs may take into account when evaluating whether the interest of a controller or a third party is overridden by the interests, fundamental rights and freedoms of data subjects.   第3段階に関して、意見書は、バランステストは各ケースの具体的な状況を考慮して実施されるべきであることを想起している。その上で、データ管理者またはサードパーティの利益が、データ対象者の利益、基本的権利および自由に優先するかどうかを評価する際に、SAが考慮しうる要素の概要を示している。 
As part of the third step, the Opinion highlights specific risks to fundamental rights that may emerge either in the development or the deployment phases of AI models. It also clarifies that the processing of personal data that takes place during the development and deployment phases of AI models may impact data subjects in different ways, which may be positive or negative. To assess such impact, SAs may consider the nature of the data processed by the models, the context of the processing and the possible further consequences of the processing.   第3段階として、本意見書は、AIモデルの開発段階または展開段階のいずれかに出現する可能性のある、基本的権利に対する特定のリスクを強調している。また、AIモデルの開発・展開段階で行われる個人データの処理は、データ対象者に様々な形で影響を与える可能性があり、それは肯定的である場合も否定的である場合もあることを明確にしている。このような影響を評価するために、SAは、モデルによって処理されるデータの性質、処理の文脈、処理によって起こり得る更なる結果を考慮することができる。  
The Opinion additionally highlights the role of data subjects’ reasonable expectations in the balancing test. This can be important due to the complexity of the technologies used in AI models and the fact that it may be difficult for data subjects to understand the variety of their potential uses, as well as the different processing activities involved. In this regard, both the information provided to data subjects and the context of the processing may be among the elements to be considered to assess whether data subjects can reasonably expect their personal data to be processed. With regard to the context, this may include: whether or not the personal data was publicly available, the nature of the relationship between the data subject and the controller (and whether a link exists between the two), the nature of the service, the context in which the personal data was collected, the source from which the data was collected (i.e., the website or service where the personal data was collected and the privacy settings they offer), the potential further uses of the model, and whether data subjects are actually aware that their personal data is online at all.   本意見書はさらに、均衡テストにおけるデータ対象者の合理的な期待の役割を強調している。これは、AIモデルで使用される技術が複雑であり、データ対象者がその潜在的な用途の多様性や、関連するさまざまな処理活動を理解することが困難であるという事実のために重要である。この点で、データ対象者に提供される情報と処理のコンテクストの両方が、データ対象者が個人データの処理を合理的に期待できるかどうかを評価するために考慮されるべき要素に含まれる可能性がある。コンテクストに関しては、個人データが公的に利用可能であったかどうか、データ対象者と管理者の関係の性質(および両者の間にリンクが存在するかどうか)、サービスの性質、個人データが収集されたコンテクスト、データが収集されたソース(すなわち、個人データが収集されたウェブサイトまたはサービスおよびそれらが提供するプライバシー設定)、モデルの潜在的なさらなる使用、およびデータ対象者が自分の個人データがオンライン上にあることを実際に認識しているかどうかが含まれる。  
The Opinion also recalls that, when the data subjects’ interests, rights and freedoms seem to override the legitimate interest(s) being pursued by the controller or a third party, the controller may consider introducing mitigating measures to limit the impact of the processing on these data subjects. Mitigating measures should not be confused with the measures that the controller is legally required to adopt anyway to ensure compliance with the GDPR. In addition, the measures should be tailored to the circumstances of the case and the characteristics of the AI model, including its intended use. In this respect, the Opinion provides a non-exhaustive list of examples of mitigating measures in relation to the development phase (also with regard to web scraping) and the deployment phase. Mitigating measures may be subject to rapid evolution and should be tailored to the circumstances of the case. Therefore, it remains for the SAs to assess the appropriateness of the mitigating measures implemented on a case-by-case basis.   本意見書はまた、データ対象者の利益、権利および自由が、管理者またはサードパーティが追求する正当な利益に優先すると思われる場合、 の管理者は、データ対象者に対する処理の影響を制限する緩和措置の導入を検討することができることを想起する。緩和措置は、GDPRの遵守を確保するために管理者がいずれにせよ採用することが法的に義務付けられている措置と混同してはならない。さらに、その措置は、ケースの状況や、その使用目的を含むAIモデルの特徴に合わせたものでなければならない。この点に関して、本意見書は、開発段階(ウェブスクレイピングに関しても)および展開段階に関する緩和措置の例を非網羅的に列挙している。緩和手段は急速に進化する可能性があり、事案の状況に合わせて調整されるべきである。したがって、ケースバイケースで実施される緩和措置の妥当性を評価するのは、依然としてSAの役割である。  
With respect to the fourth question, the Opinion generally recalls that SAs enjoy discretionary powers to assess the possible infringement(s) and choose appropriate, necessary, and proportionate measures, taking into account the circumstances of each individual case.  The Opinion then considers three scenarios.   第4の質問に関し、意見書は一般的に、SAが侵害の可能性を評価し、個々の事案の状況を考慮した上で、適切かつ必要で相応の措置を選択する裁量権を享受していることを想起している。  その上で、本意見書は3つのシナリオを検討している。  
Under scenario 1, personal data is retained in the AI model (meaning that the model cannot be considered anonymous, as detailed in the first question) and is subsequently processed by the same controller (for instance in the context of the deployment of the model). The Opinion states that whether the development and deployment phases involve separate purposes (thus constituting separate processing activities) and the extent to which the lack of legal basis for the initial processing activity impacts the lawfulness of the subsequent processing, should be assessed on a case-by-case basis, depending on the context of the case.   シナリオ1では、個人データはAIモデル内に保持され(つまり、最初の質問で詳述したように、モデルは匿名とはみなされない)、その後同じデータ管理者により処理される(例えば、モデルの展開において)。アセスメントでは、開発段階と展開段階が別個の目的を含むかどうか(したがって、別個の処理活動を構成する)、および最初の処理活動の法的根拠の欠如がその後の処理の合法性にどの程度影響するかは、事案の状況に応じてケースバイケースで評価されるべきであると述べている。  
Under scenario 2, personal data is retained in the model and is processed by another controller in the context of the deployment of the model. In this regard, the Opinion states that SAs should take into account whether the controller deploying the model conducted an appropriate assessment, as part of its accountability obligations to demonstrate compliance with Article 5(1)(a) and Article 6 GDPR, to ascertain that the AI model was not developed by unlawfully processing personal data. This assessment should take into account, for instance, the source of the personal data and whether the processing in the development phase was subject to the finding of an infringement, particularly if it was determined by a SA or a court, and should be less or more detailed depending on the risks raised by the processing in the deployment phase.   シナリオ2では、個人データはモデル内に保持され、モデルの展開に関連して別の管理者によって処理される。この点に関して、意見書は、SAは、モデルを展開する管理者が、AIモデルが個人データの違法な処理によって開発されたものでないことを確認するために、第5条1項(a)および第6条GDPRの遵守を証明する説明義務の一環として、適切なアセスメントを実施したかどうかを考慮すべきであると述べている。このアセスメントは、例えば、個人データの出所や、開発段階における処理が侵害の認定対象者であったかどうか(特にSAまたは裁判所によって決定された場合)を考慮すべきであり、展開段階における処理によって生じるリスクに応じて、より詳細であるべきである。  
Under scenario 3, a controller unlawfully processes personal data to develop the AI model, then ensures that it is anonymised, before the same or another controller initiates another processing of personal data in the context of the deployment. In this regard, the Opinion states that if it can be demonstrated that the subsequent operation of the AI model does not entail the processing of personal data, the EDPB considers that the GDPR would not apply. Hence, the unlawfulness of the initial processing should not impact the subsequent operation of the model. Further, the EDPB considers that, when controllers subsequently process personal data collected during the deployment phase, after the model has been anonymised, the GDPR would apply in relation to these processing operations. In these cases, the Opinion considers that, as regards the GDPR, the lawfulness of the processing carried out in the deployment phase should not be impacted by the unlawfulness of the initial processing.  シナリオ3では、管理者がAIモデルを開発するために個人データを違法に処理し、その後、同じ管理者または別の管理者が展開の文脈で個人データの別の処理を開始する前に、そのデータが匿名化されるようにする。この点に関して、EDPBは、その後のAIモデルの運用が個人データの処理を伴わないことを証明できる場合、GDPRは適用されないと考えるとしている。したがって、最初の処理の違法性は、その後のモデルの運用には影響しないはずである。さらに、EDPBは、モデルが匿名化された後、管理者が展開段階で収集された個人データの処理を行う場合、これらの処理業務に関してはGDPRが適用されると考えている。このような場合、GDPRに関しては、展開段階で行われた処理の合法性は、最初の処理の違法性によって影響されるべきではないと本意見書は考える。 

 

 

 

 

 

| | Comments (0)

米国 司法省 財務省 ファイアウォールを悪用するマルウェアを開発等の疑いで中国人を起訴し、関与した企業にも制裁 (2024.12.10)

こんにちは、丸山満彦です。

すっかり出遅れているのですが、溜まっている分を徐々にブログにあげていきます...

世界中の何万ものファイアウォールを悪用するマルウェアを開発・展開することに共謀したとして中国人を起訴し、彼を雇っていた?企業(中国の諜報機関の請負企業)に制裁を加えたと発表していますね...

 

司法省側の容疑者起訴編...

U.S. Department of Justice

・2024.12.10 China-Based Hacker Charged for Conspiring to Develop and Deploy Malware That Exploited Tens of Thousands of Firewalls Worldwide

 

China-Based Hacker Charged for Conspiring to Develop and Deploy Malware That Exploited Tens of Thousands of Firewalls Worldwide 中国を拠点とするハッカー、世界の数万ものファイアウォールを悪用するマルウェアを開発・配備した共謀で起訴
NoteView the indictment here and FBI Wanted Poster here. 注:起訴状はこちら、FBI指名手配ポスターはこちら。
A federal court in Hammond, Indiana, unsealed an indictment today charging Guan Tianfeng, a citizen of the People’s Republic of China (PRC) for his involvement in a conspiracy to hack indiscriminately into firewall devices worldwide in 2020. Guan and his co-conspirators worked at the offices of Sichuan Silence Information Technology Co. Ltd. to discover and exploit a previously-unknown vulnerability (an “0-day” vulnerability) in certain firewalls sold by U.K.-based Sophos Ltd. (Sophos) – an information technology company that develops and markets cybersecurity products. The malware that exploited the vulnerability discovered by Guan was designed to steal information from infected computers and to encrypt files on them if a victim attempted to remediate the infection. In total, Guan and his co-conspirators infected approximately 81,000 firewall devices worldwide, including a firewall device used by an agency of the United States. インディアナ州ハモンドの連邦裁判所は本日、2020年に世界中のファイアウォール・デバイスに無差別にハッキングする共謀に関与したとして、中華人民共和国(PRC)国籍の関天峰(Guan Tianfeng)を起訴する起訴状を公開した。関被告と共犯者らは、四川省沈黙信息技術有限公司(Silence Information Technology Co. Ltd.の事務所で、英国を拠点とする情報技術企業Sophos Ltd.(ソフォス)が販売する特定のファイアウォールの、これまで知られていなかった脆弱性(「0-day」脆弱性)を発見し、悪用した。(ソフォス社)は、サイバーセキュリティ製品を開発・販売するIT企業である。グアンが発見した脆弱性を悪用したマルウェアは、感染したコンピューターから情報を盗み出し、被害者が感染を修復しようとすると、そのコンピューター上のファイルを暗号化するように設計されていた。グアンとその共謀者は合計で、米国の某機関が使用するファイアウォール・デバイスを含む、世界中の約81,000台のファイアウォール・デバイスに感染させた。
“The defendant and his co-conspirators exploited a vulnerability in tens of thousands of network security devices, infecting them with malware designed to steal information from victims around the world,” said Deputy Attorney General Lisa Monaco. “Today’s indictment reflects the Justice Department’s commitment to working with partners across government and across the globe to detect and hold accountable malicious cyber actors based in China or elsewhere who pose a threat to global cybersecurity.” リサ・モナコ司法副長官は、次のように述べた。「グアン被告とその共謀者は、何万台ものネットワーク・セキュリティ・デバイスの脆弱性を悪用し、世界中の被害者から情報を盗むために設計されたマルウェアに感染させた。本日の起訴は、政府全体および世界中のパートナーと協力し、世界のサイバーセキュリティに脅威を与える中国またはその他の国に拠点を置く悪意のあるサイバー行為者を検出し、責任を追及するという司法省のコミットメントを反映したものである。」
“The defendant and his conspirators compromised tens of thousands of firewalls and then continued to hold at risk these devices, which protect computers in the United States and around the world,” said Assistant Attorney General for National Security Matthew G. Olsen. “The Department of Justice will hold accountable those who contribute to the dangerous ecosystem of China-based enabling companies that carry out indiscriminate hacks on behalf of their sponsors and undermine global cybersecurity.” マシュー・G・オルセン国家安全保障担当司法次官補は、次のように述べた。「被告とその共謀者は、何万ものファイアウォールを侵害し、米国と世界中のコンピュータを保護するこれらのデバイスを危険にさらし続けた。司法省は、スポンサーに代わって無差別ハッキングを実行し、世界のサイバーセキュリティを弱体化させる、中国を拠点とするイネーブリング企業の危険なエコシステムに加担する者の責任を追及する。」
“Our law enforcement actions, technical expertise, and enduring partnerships with private companies, like Sophos, demonstrate the reputation of the FBI as being a reliable and effective partner for stopping this malicious activity,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “Complementary actions prevented further victimization of U.S. businesses and individuals while contributing to the safety of U.S. citizens as they use the internet.” FBIサイバー課のブライアン・ボーンドラン次長は、次のように述べた。「私たちの法執行活動、技術的専門知識、そしてソフォスのような民間企業との永続的なパートナーシップは、このような悪質な活動を阻止するための信頼できる効果的なパートナーとしてのFBIの評判を示している。相補的な行動により、米国企業や個人のさらなる被害を防ぐと同時に、インターネットを利用する米国市民の安全にも貢献した。」
“Today’s indictment underscores our commitment to protecting the public from malicious actors who use security research as a cover to identify vulnerabilities in widely used systems and exploit them,” said U.S. Attorney Clifford D. Johnson for the Northern District of Indiana. “Guan Tianfeng and his co-conspirators placed thousands of computer networks, including a network in the Northern District of Indiana, at risk by conducting this attack.” インディアナ州北部地区連邦検事クリフォード・D・ジョンソンは、次のように述べた。「本日の起訴は、広く使われているシステムの脆弱性を特定し、それを悪用する隠れ蓑としてセキュリティ研究を利用する悪意ある行為者から一般市民を守るという我々のコミットメントを強調するものである。Guan Tianfengとその共謀者は、この攻撃を行うことで、インディアナ州北部地区のネットワークを含む数千のコンピュータ・ネットワークを危険にさらした。」
“The zero-day vulnerability Guan Tianfeng and his co-conspirators found and exploited affected firewalls owned by businesses across the United States, including in Indiana,” said Special Agent in Charge Herbert J. Stapleton of the FBI Indianapolis Field Office. “If Sophos had not rapidly identified the vulnerability and deployed a comprehensive response, the damage could have been far more severe. Sophos’s efforts combined with the dedication and expertise of our cyber squad formed a powerful partnership resulting in the mitigation of this threat.” FBIインディアナポリス支局のハーバート・J・ステイプルトン特別捜査官は、次のように述べた。「Guan Tianfengとその共謀者が発見し悪用したゼロデイ脆弱性は、インディアナ州を含む全米の企業が所有するファイアウォールに影響を与えた。「もしソフォスが脆弱性を迅速に特定し、包括的な対応策を展開していなければ、被害ははるかに深刻なものになっていただろう。ソフォスの努力とサイバー部隊の献身的で専門的な技術が強力なパートナーシップを形成し、この脅威を軽減することができた。」
The Conspiracy to Exploit Common Vulnerabilities and Exposures (CVE) 2020-12271 The Conspiracy to Exploit Common Vulnerabilities and Exposures (CVE) 2020-12271
As alleged in the indictment, in 2020, Guan and his co-conspirators developed, tested, and deployed malware that targeted approximately 81,000 Sophos firewalls using a 0-day vulnerability that existed on those devices. The 81,000 Sophos firewalls were located throughout the world, including within victim organizations located in the Northern District of Indiana. The vulnerability was later designated CVE 2020-12271. 起訴状で主張されているように、2020年、グアンとその共謀者は、約81,000台のソフォスのファイアウォールを標的とし、これらのデバイスに存在する0日の脆弱性を利用したマルウェアを開発、テスト、配備した。81,000台のソフォスのファイアウォールは、インディアナ州北部地区の被害者組織を含む世界中に設置されていた。この脆弱性は、後にCVE 2020-12271に指定された。
Guan and his co-conspirators designed the malware to steal information from firewalls. To better hide their activity, Guan and his co-conspirators registered and used domains designed to look like they were controlled by Sophos, such as sophosfirewallupdate.com. Sophos discovered the intrusion and remediated its customers’ firewalls in approximately two days, which caused the co-conspirators to modify their malware. As modified, the malware was designed to deploy encryption software from a ransomware variant in the event the victims attempted to remove the malware. Their encryption efforts did not succeed, but demonstrated the conspirators’ disregard for the harm that they would cause to victims. グアンとその共謀者は、ファイアウォールから情報を盗むためにマルウェアを設計した。活動を隠すために、Guan と共謀者は sophosfirewallupdate.com など、ソフォスが管理しているように見せかけたドメインを登録し、使用していた。ソフォスは侵入を発見し、約2日間で顧客のファイアウォールを修復した。修正されたマルウェアは、被害者がマルウェアを削除しようとした場合に、ランサムウェアの亜種の暗号化ソフトウェアを展開するように設計されていた。彼らの暗号化の努力は成功しなかったが、共謀者たちが被害者に与える害を軽視していたことが示された。
Guan Tianfeng’s Employment and Sichuan Silence’s Relationship with the PRC Government Guan Tianfengの雇用とSichuan Silenceと中国政府との関係
According to court documents, Guan worked for Sichuan Silence, a PRC-based private company that has provided services to the PRC Ministry of Public Security, among other PRC organizations. According to Sichuan Silence’s website, it developed a product line which could be used to scan and detect overseas network targets in order to obtain valuable intelligence information. 裁判所の文書によると、GuanはSichuan Silenceに勤務していた。Sichuan Silenceは中国に拠点を置く民間企業で、他の中国組織の中でも特に中国公安部にサービスを提供している。Sichuan Silence社のウェブサイトによると、同社は、貴重な諜報情報を得るために、海外ネットワークのターゲットをスキャンして検出するために使用できる製品ラインを開発した。
In October, Sophos released a number of articles chronicling its separate long-running investigation, “Pacific Rim.” Sophos detailed PRC-based advanced persistent threat groups targeting its networking appliances for over five years, which it described as “unusually knowledgeable about the internal architecture of the device firmware.” One of the attacks described in the Pacific Rim report involved CVE-2020-12271. 10月、ソフォスは、長期にわたる調査「パシフィック・リム」をまとめた記事を発表した。ソフォスは、5年以上にわたってネットワーク・アプライアンスを標的にしてきたPRCベースの高度持続的脅威グループについて詳述し、「デバイスのファームウェアの内部アーキテクチャについて異常に詳しい 」と説明している。パシフィック・リムのレポートに記載された攻撃の1つは、CVE-2020-12271に関係していた。
Soon after the Sophos announcements in October, the FBI issued a call for information regarding computer intrusions into Sophos edge devices. The FBI continues to solicit information on PRC-sponsored malicious actors targeting edge devices and network security appliances
.
10月のソフォスの発表の直後、FBIはソフォスのエッジデバイスへのコンピュータ侵入に関する情報提供を呼びかけた。FBI は引き続き、エッジデバイスやネットワークセキュリティアプライアンスを標的とした、PRC がスポンサーとなっている悪意のある行為者に関する情報を募集している。
The U.S. Department of State also announced rewards today of up to $10 million for information leading to the identification or location of Guan or any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act. The U.S. Department of the Treasury’s Office of Foreign Assets Control also announced sanctions on Sichuan Silence and Guan today. また、米国国務省は本日、外国政府の指示または支配下で行動しながら、コンピュータ詐欺・乱用防止法に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行ったグアンまたはその人物の特定または所在につながる情報に対して、最高1,000万ドルの報奨金を出すと発表した。米財務省外国資産管理局も本日、四川省サイレンス社とグアン社に対する制裁を発表した。
Trial Attorneys Jacques Singer-Emery and George Brown of the National Security Division’s National Security Cyber Section and Assistant U.S. Attorney Steven J. Lupa for the Northern District of Indiana are prosecuting the case. 国家安全保障部国家安全保障サイバー課のジャック・シンガー=エメリー裁判弁護士とジョージ・ブラウン裁判弁護士、およびインディアナ州北部地区のスティーブン・J・ルパ連邦検事補がこの事件を起訴している。
The FBI continues to investigate Sichuan Silence’s hacking activities and intrusions into various edge devices. FBIは、四川省サイレンス社のハッキング活動やさまざまなエッジ・デバイスへの侵入について捜査を続けている。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 起訴は単なる申し立てに過ぎない。すべての被告は、法廷で合理的な疑いを超えて有罪が証明されるまで、無罪と推定される。

 

指名手配

GUAN TIANFENG

20241220-163612

 

起訴状

・[PDF] Indictment

20241220-163750

 

指名手配

Most Wanted

EDGE DEVICE INTRUSIONS

・[PDF] EDGE DEVICE INTRUSIONS Cyber Intrusions into Companies and Government Entities April 2020 to Present

20241220-164216

 

Poster

 

報奨金

Foreign Malicious Cyber Activity Against U.S. Critical Infrastructure

 

 


 

次は財務省...

・2024.12.10 Treasury Sanctions Cybersecurity Company Involved in Compromise of Firewall Products and Attempted Ransomware Attacks

Treasury Sanctions Cybersecurity Company Involved in Compromise of Firewall Products and Attempted Ransomware Attacks 財務省は、ファイアウォール製品の侵害とランサムウェア攻撃の未遂に関与したサイバーセキュリティ企業に対し制裁を科す
WASHINGTON — Today, the Department of the Treasury’s Office of Foreign Assets Control (OFAC) is sanctioning cybersecurity company Sichuan Silence Information Technology Company, Limited (Sichuan Silence), and one of its employees, Guan Tianfeng (Guan), both based in People’s Republic of China (PRC), for their roles in the April 2020 compromise of tens of thousands of firewalls worldwide. Many of the victims were U.S. critical infrastructure companies.  ワシントン - 本日、財務省外国資産管理局(OFAC)は、2020年4月に世界で発生した数万台のファイアウォールの侵害に関与したとして、中華人民共和国(PRC)を拠点とするサイバーセキュリティ企業、四川沈黙信息技術有限公司(Sichuan Silence Information Technology Company, Limited、以下「四川沈黙」)とその従業員の1人である関天峰(Guan Tianfeng、以下「関」)に対し制裁を科す。被害者の多くは米国の重要インフラ企業であった。
Malicious cyber actors, including those operating in China, continue to be one of the greatest and most persistent threats to U.S. national security, as highlighted in the 2024 Annual Threat Assessment released by the Office of the Director of National Intelligence. 国家情報長官室が発表した2024年の年間脅威評価でも強調されているように、中国を含む悪質なサイバー攻撃者は、米国の国家安全保障にとって最大かつ最も永続的な脅威のひとつであり続けている。
“Today’s action underscores our commitment to exposing these malicious cyber activities—many of which pose significant risk to our communities and our citizens—and to holding the actors behind them accountable for their schemes,” said Acting Under Secretary of the Treasury for Terrorism and Financial Intelligence Bradley T. Smith. “Treasury, as part of the U.S. government’s coordinated approach to addressing cyber threats, will continue to leverage our tools to disrupt attempts by malicious cyber actors to undermine our critical infrastructure.” ブラッドリー・T・スミス財務次官代理(テロ・金融情報担当)は、次のように述べた。「本日の措置は、こうした悪質なサイバー活動(その多くが地域社会と市民に重大なリスクをもたらす)を摘発し、その背後にいる行為者の謀略に対する責任を追及するという我々のコミットメントを強調するものである。財務省は、サイバー脅威に対処するための米国政府の協調的アプローチの一環として、重要インフラを弱体化させようとする悪意あるサイバー行為者の試みを妨害するために、引き続き我々のツールを活用していく。」
Today, the Department of Justice (DOJ) unsealed an indictment on Guan for the same activity. Additionally, the U.S. Department of State announced a Rewards for Justice reward offer of up to $10 million for information about Sichuan Silence or Guan. 本日、司法省(DOJ)は、同じ活動でグアンを起訴した。さらに、米国務省は、四川省サイレンスまたはグアンに関する情報に対し、最高1000万ドルの司法報奨金を提供することを発表した。
April 2020 Firewall compromise 2020年4月 ファイアウォールの侵害
Guan Tianfeng discovered a zero-day exploit in a firewall product. A zero-day exploit is a previously unknown vulnerability in a computer software or hardware product that can be used in a cyberattack. Between April 22 and 25, 2020, Guan Tianfeng used this zero-day exploit to deploy malware to approximately 81,000 firewalls owned by thousands of businesses worldwide. The purpose of the exploit was to use the compromised firewalls to steal data, including usernames and passwords. However, Guan also attempted to infect the victims’ systems with the Ragnarok ransomware variant. This ransomware disables anti-virus software and encrypts the computers on a victim’s network if they attempt to remedy the compromise.  Guan Tianfengがファイアウォール製品のゼロデイ・エクスプロイトを発見した。ゼロデイ・エクスプロイトとは、サイバー攻撃に利用できるコンピュータ・ソフトウェアやハードウェア製品の未知の脆弱性のことである。2020年4月22日から25日にかけて、Guan Tianfengはこのゼロデイ・エクスプロイトを利用して、世界中の数千の企業が所有する約81,000のファイアウォールにマルウェアを展開した。この悪用の目的は、侵害されたファイアウォールを使ってユーザー名やパスワードなどのデータを盗むことだった。しかし、Guanはまた、被害者のシステムをRagnarokランサムウェアの亜種に感染させようとした。このランサムウェアはアンチウイルス・ソフトウェアを無効にし、被害者が侵害を修復しようとすると、被害者のネットワーク上のコンピュータを暗号化する。
More than 23,000 of the compromised firewalls were in the United States. Of these firewalls, 36 were protecting U.S. critical infrastructure companies’ systems. If any of these victims had failed to patch their systems to mitigate the exploit, or cybersecurity measures had not identified and quickly remedied the intrusion, the potential impact of the Ragnarok ransomware attack could have resulted in serious injury or the loss of human life. One victim was a U.S. energy company that was actively involved in drilling operations at the time of the compromise. If this compromise had not been detected, and the ransomware attack not been thwarted, it could have caused oil rigs to malfunction potentially causing a significant loss in human life. 侵害されたファイアウォールのうち23,000台以上が米国にあった。このうち36のファイアウォールは、米国の重要インフラ企業のシステムを保護していた。これらの被害者のいずれかが、エクスプロイトを緩和するためにシステムにパッチを適用しなかったり、サイバーセキュリティ対策が侵入を特定し、迅速に対処しなかったりした場合、ラグナロク型ランサムウェア攻撃の潜在的な影響により、重傷を負ったり、人命が失われたりした可能性がある。被害者の1人は、侵害が発生した当時、掘削作業に積極的に関与していた米国のエネルギー企業だった。この侵害が発見されず、ランサムウェア攻撃が阻止されなかった場合、石油掘削装置の誤動作を引き起こし、人命に関わる重大な損失をもたらす可能性があった。
Guan Tianfeng and sichuan silence Guan Tianfeng and sichuan silence
Guan is a Chinese national and was a security researcher at Sichuan Silence at the time of the compromise. Guan competed on behalf of Sichuan Silence in cybersecurity tournaments and posted recently discovered zero-day exploits on vulnerability and exploit forums, including under his moniker GbigMao. Guan was responsible for the April 2020 firewall compromise. Guanは中国国籍で、漏洩当時はSichuan Silenceのセキュリティ研究者だった。GuanはSichuan Silenceを代表してサイバーセキュリティトーナメントに出場し、GbigMaoというニックネームで、脆弱性フォーラムやエクスプロイトフォーラムに最近発見されたゼロデイ・エクスプロイトを投稿していた。Guanは2020年4月のファイアウォール侵害の責任者だった。
Sichuan Silence is a Chengdu-based cybersecurity government contractor whose core clients are PRC intelligence services. Sichuan Silence provides these clients with computer network exploitation, email monitoring, brute-force password cracking, and public sentiment suppression products and services. Additionally, Sichuan Silence provides these clients with equipment designed to probe and exploit target network routers. A pre-positioning device used by Guan in the April 2020 firewall compromise was in fact owned by his employer, Sichuan Silence. Sichuan Silenceは、成都を拠点とするサイバーセキュリティの政府請負業者であり、その中心的な顧客は中国の諜報機関である。Sichuan Silenceはこれらのクライアントに、コンピューター・ネットワーク搾取、電子メール監視、総当りパスワード・クラッキング、国民感情抑制の製品とサービスを提供している。さらに、四川サイレンス社は、標的のネットワーク・ルーターを調査し、悪用するように設計された機器をこれらのクライアントに提供している。2020年4月のファイアウォール侵害でグアンが使用した事前配置装置は、実際に彼の雇用主である四川省サイレンスが所有していた。
OFAC is designating Sichuan Silence and Guan pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757, for being responsible for or complicit in, or having engaged in, directly or indirectly cyber-enabled activities originating from, or directed by persons located, in whole or in substantial part, outside the United States that are reasonably likely to result in, or have materially contributed to, a significant threat to the national security, foreign policy, or economic health or financial stability of the United States and that have the purpose or effect of harming, or otherwise significantly compromising the provision of services by, a computer or network of computers that support one or more entities in a critical infrastructure sector.  OFACは、E.O.13757によって改正された大統領令(E.O.)13694に従って、四川サイレンスと関を指定している。13757 により修正された。米国外から発信された、または米国外にいる人物により指示された、直接的または間接的にサイ バーを利用した活動の全部または実質的な一部に責任を負っているか、それに加担しているか、またはそれに関与している。その活動は、 米国の国家安全保障、外交政策、または経済的健全性もしくは財政的安定に対する重大な脅威をもたらす可能性が合理的に高いか、そ れに重大な貢献をした。
SANCTIONS IMPLICATIONS 制裁の影響
As a result of today’s action, all property and interests in property of the designated persons described above that are in the United States or in the possession or the control of U.S. persons are blocked and must be reported to OFAC. In addition, any entities that are owned, directly or indirectly, individually or in the aggregate, 50 percent or more by one or more blocked persons are also blocked. Unless authorized by a general or specific license issued by OFAC, or exempt, OFAC’s regulations generally prohibit all transactions by U.S. persons or within (or transiting) the United States that involve any property or interests in property of designated or otherwise blocked persons.  本日の措置の結果、米国内にある、または米国人の所有もしくは管理下にある、上記の指定人物の財産および財産の権利はすべて封鎖され、OFACに報告しなければならない。さらに、直接的または間接的に、個人または総計で50%以上を1人または複数の指定された人物が所有している事業体もまた、封鎖される。OFACが発行した一般または特定のライセンスにより許可されるか、または免除されない限り、OFACの規制は一般的に、指定またはその他の方法でブロックされた人物の財産または財産に対する権益に関わる、米国人による、または米国内(または米国を通過する)でのすべての取引を禁止している。
In addition, financial institutions and other persons that engage in certain transactions or activities with the sanctioned entities and individuals may expose themselves to sanctions or be subject to an enforcement action. The prohibitions include the making of any contribution or provision of funds, goods, or services by, to, or for the benefit of any designated person, or the receipt of any contribution or provision of funds, goods, or services from any such person.  加えて、制裁対象団体や個人と特定の取引や活動を行う金融機関やその他の者は、制裁にさらされたり、強制措置の対象となる可能性がある。禁止事項には、指定された人物による、指定された人物への、または指定された人物の利益のための、資金、物品、またはサービスの寄付や提供、あるいはそのような人物からの資金、物品、またはサービスの寄付や提供の受領が含まれる。
The power and integrity of OFAC sanctions derive not only from OFAC’s ability to designate and add persons to the Specially Designated Nationals and Blocked Persons (SDN) List, but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish, but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 here. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here. OFACの制裁の権限と完全性は、OFACが特別指定国民及び要注意人物(SDN)リストに人物を指定し、追加する能力からだけでなく、法律に基づきSDNリストから人物を削除する意思からも派生する。制裁の最終的な目標は、罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求めるプロセスに関する情報については、OFACのよくある質問897を参照のこと。OFAC制裁リストからの削除要請の提出プロセスに関する詳細情報については、こちらを参照のこと。
Click here for more information on the individuals and entities designated today. 本日指定された個人および団体の詳細については、こちらを参照のこと。
### ###

 

 

 


 

ここで触れらている、米国情報機関の脅威報告書...

20240314-21006

仮対訳をつけています...

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.14 米国 インテリジェンス・コミュニティによる2024年の脅威評価 

 

 

 

 

 

 

| | Comments (0)

2024.12.20

オーストラリア 信号局 情報セキュリティマニュアル 2024 (2024.12.12)

こんにちは、丸山満彦です。

オーストラリア信号局が情報セキュリティマニュアルを改訂していますね...(3ヶ月に一度されています...)

オーストラリアの情報セキュリティマニュアルの構成は、NISTのサイバーリスクフレームワークと同じですね...

  • GOVERN: Develop a strong cyber security culture.
  • IDENTIFY: Identify assets and associated security risks.
  • PROTECT: Implement controls to manage security risks.
  • DETECT: Detect and analyse cyber security events to identify cyber security incidents.
  • RESPOND: Respond to and recover from cyber security incidents.

 

対策における主な追加・修正...

  • CISOによるセキュリティプログラムの監督
  • 悪質なコードの封じ込め
  • マネージドサービスプロバイダー・外部クラウドサービスプロバイダーの評価
  • システムや機器への物理的アクセスのコントロール
  • ネットワークや無線等の保護
  • スピーカー、ウェブカメラ、マイク等のコントロール
  • ブルートゥースのコントロール
  • OS、マクロ、ウェブアプリケーションのログの取得、保護
  • 認証情報の保護
  • ソフトウェア廃止、サポート停止
  • ログ一元管理、イベントログの監視と維持
  • 耐量子暗号
  • などなど...

 

Australia Singnals Directrate; ASD

Information Security Manual (ISM)

・・[PDF] Information Security Manual (December 2024)

20241220-194116

 

目次...

Using the Information Security Manual 情報セキュリティマニュアルの利用
Executive summary エグゼクティブサマリー
Applying a risk-based approach to cyber security サイバーセキュリティへのリスクベースアプローチの適用
Cyber Security Principles サイバーセキュリティの原則
The cyber security principles サイバーセキュリティの原則
Guidelines for Cyber Security Roles サイバーセキュリティの役割に関するガイドライン
Chief Information Security Officer 最高情報セキュリティ責任者
System owners システムオーナー
Guidelines for Cyber Security Incidents サイバーセキュリティインシデントに関するガイドライン
Managing cyber security incidents サイバーセキュリティインシデントの管理
Responding to cyber security incidents サイバーセキュリティインシデントへの対応
Guidelines for Procurement and Outsourcing 調達およびアウトソーシングに関するガイドライン
Cyber supply chain risk management サイバーサプライチェーンリスクマネジメント
Managed services and cloud services マネージドサービスおよびクラウドサービス
Guidelines for Security Documentation セキュリティ文書化に関するガイドライン
Development and maintenance of security documentation セキュリティ文書の作成と維持
System-specific security documentation システム固有のセキュリティ文書
Guidelines for Physical Security 物理的セキュリティに関するガイドライン
Facilities and systems 施設およびシステム
IT equipment and media IT機器およびメディア
Guidelines for Personnel Security 人的セキュリティに関するガイドライン
Cyber security awareness training サイバーセキュリティ意識向上トレーニング
Access to systems and their resources システムおよびリソースへのアクセス
Guidelines for Communications Infrastructure 通信インフラに関するガイドライン
Cabling infrastructure ケーブルインフラ
Emanation security 放射セキュリティ
Guidelines for Communications Systems 通信システムに関するガイドライン
Telephone systems 電話システム
Video conferencing and Internet Protocol telephony ビデオ会議およびIP電話
Fax machines and multifunction devices ファクシミリおよび複合機
Guidelines for Enterprise Mobility エンタープライズモビリティに関するガイドライン
Enterprise mobility エンタープライズモビリティ
Mobile device management モバイルデバイス管理
Mobile device usage モバイルデバイスの使用
Guidelines for Evaluated Products 評価済み製品のガイドライン
Evaluated product procurement 評価済み製品の調達
Evaluated product usage 評価済み製品の使用
Guidelines for Information Technology Equipment IT機器のガイドライン
IT equipment usage IT機器の使用
IT equipment maintenance and repairs IT機器の保守および修理
IT equipment sanitisation and destruction IT機器の消去および破棄
IT equipment disposal IT機器の廃棄
Guidelines for Media メディアのガイドライン
Media usage メディアの使用
Media sanitisation メディアの消去
Media destruction メディアの破棄
Media disposal メディアの廃棄
Guidelines for System Hardening システム強化のガイドライン
Operating system hardening オペレーティングシステムの強化
User application hardening ユーザーアプリケーションの強化
Server application hardening サーバーアプリケーションの強化
Authentication hardening 本人認証の強化
Virtualisation hardening 仮想化の強化
Guidelines for System Management システム管理に関するガイドライン
System administration システム管理
System patching システムのパッチ適用
Data backup and restoration データのバックアップと復元
Guidelines for System Monitoring システム監視に関するガイドライン
Event logging and monitoring イベントのログ記録と監視
Guidelines for Software Development ソフトウェア開発に関するガイドライン
Application development アプリケーション開発
Web application development ウェブアプリケーション開発
Guidelines for Database Systems データベースシステムに関するガイドライン
Database servers データベースサーバー
Databases データベース
Guidelines for Email 電子メールに関するガイドライン
Email usage 電子メールの利用
Email gateways and servers 電子メールゲートウェイとサーバー
Guidelines for Networking ネットワークに関するガイドライン
Network design and configuration ネットワークの設計と構成
Wireless networks ワイヤレスネットワーク
Service continuity for online services オンラインサービスのサービス継続性
Guidelines for Cryptography 暗号化に関するガイドライン
Cryptographic fundamentals 暗号化の基礎
ASD-Approved Cryptographic Algorithms ASD承認暗号アルゴリズム
ASD-Approved Cryptographic Protocols ASD承認暗号プロトコル
Transport Layer Security トランスポート層セキュリティ
Secure Shell セキュアシェル
Secure/Multipurpose Internet Mail Extension セキュア/多目的インターネットメール拡張
Internet Protocol Security インターネットプロトコルセキュリティ
Guidelines for Gateways ゲートウェイに関するガイドライン
Gateways ゲートウェイ
Cross Domain Solutions クロスドメインソリューション
Firewalls ファイアウォール
Diodes ダイオード
Web proxies ウェブプロキシ
Web content filters ウェブコンテンツフィルタ
Content filtering コンテンツフィルタリング
Peripheral switches 周辺スイッチ
Guidelines for Data Transfers データ転送に関するガイドライン
Data transfers データ転送
Cyber Security Terminology サイバーセキュリティ用語
Glossary of abbreviations 略語集
Glossary of cyber security terms サイバーセキュリティ用語集

 

 

変更点について説明文書

・・[PDF] ISM December 2024 Changes (December 2024)

20241220-194504

December 2024 Changes 2024年12月の変更点
A summary of the content changes for the latest update of the Information Security Manual (ISM) are covered below.  情報セキュリティマニュアル(ISM )の最新更新における内容の変更点の概要は、以下の通りである。
Using the Information Security Manual 情報セキュリティマニュアルを使用する
Select controls 管理策を選択する
The ‘NC’ applicability marking has been introduced for controls applicable to non-classified systems used by either government or non-government entities. In doing so, the ‘All’ applicability that previously captured such systems has been replaced by the ‘NC, OS, P, S, TS’ applicability marking. Note, government entities operating non-classified systems can continue to refer to them as OFFICIAL systems.  政府機関または非政府機関が使用する非機密システムに適用されるコントロールに、「NC」適用可能マークが導入された。これにより、従来はこのようなシステムを「All」適用可能としていたが、「NC, OS, P, S, TS」適用可能マーキングに変更された。なお、非分類システムを運用する政府機関は、それらを引き続き公式システムと呼ぶことができる。
Guidelines for Cyber Security Roles サイバーセキュリティの役割に関するガイドライン
Overseeing the cyber security program サイバーセキュリティプログラムの監督
A new control was added recommending that the CISO develops, implements, maintains and verifies on a regular basis a register of systems used by their organisation. [ISM-1966] CISO は、組織が使用するシステムの登録簿を作成し、実施し、維持し、定期的に検証することを推奨する新たな統制が追加された。[ISM-1966]
Protecting systems and their resources システムとそのリソースの保護
The existing control recommending that system owners ensure controls for each system and its operating environment are assessed to determine if they have been implemented correctly and are operating as intended was split into two controls to clearly articulate that non-classified, OFFICIAL: Sensitive, PROTECTED and SECRET systems can be assessed by an organisation’s own assessors or an IRAP assessor while TOP SECRET systems, including sensitive compartmented information systems, need to be assessed by ASD assessors (or their delegates). [ISM-1636, ISM-1967] システム所有者が、各システムとその運用環境の統制が正しく実装され、意図されたとおりに運用されているかどうかを判断するために評価されることを保証することを推奨する既存の統制は、非機密、公式:機微、保護及び機密システムは、組織独自の評価者または IRAP 評価者が評価することができるが、機微コンパートメント情報システムを含む TOP SECRET システムは、ASD 評価者(またはその委任者)が評価する必要があることを明確にするために、2 つの統制に分割された。[ISM-1636, ISM-1967]
The existing control recommending that system owners obtain authorisation to operate each system from its authorising officer based on the acceptance of the security risks associated with its operation was split into two controls to clearly articulate that only Director-General ASD (or their delegate) can accept security risks associated with the operation of TOP SECRET systems, including sensitive compartmented information systems. [ISM-0027, ISM-1968] システム所有者が、その運用に関連するセキュリティリスクを受諾することに基づいて、各システムを運用する認可をその認可 担当官から得ることを推奨する既存の管理は、機密コンパートメント情報システムを含む TOP SECRET システムの運用に関連するセキュリティリスクを受諾できるのは、ASD 局長(またはその代理)だけであることを明確に示すために、2 つの管理に分割された。[ISM-0027, ISM-1968] を参照のこと。
Guidelines for Cyber Security Incidents サイバー・セキュリティ・インシデントに関するガイドライン
Handling and containing malicious code infections 悪質なコード感染への対処と封じ込め
A new control was added recommending that malicious code, when stored or communicated, is treated beforehand to prevent accidental execution. [ISM-1969] 悪意のあるコードが保存または通信される場合、誤って実行されないように事前に処理することを推奨する新しい管理が追加された。[ISM-1969]
A new control was added recommending that malicious code processed for cyber security incident response or research purposes is done so in a dedicated analysis environment that is segregated from other systems. [ISM-1970] サイバーセキュリティのインシデント対応や研究目的で処理される悪意のあるコードは、他のシステムから分離された専用の分析環境で処理されることを推奨する新たな管理が追加された。[ISM-1970]
Guidelines for Procurement and Outsourcing 調達及びアウトソーシングに関するガイドライン
Assessment of managed service providers マネージドサービスプロバイダの評価
The existing control recommending that managed service providers and their managed services undergo a security assessment by an IRAP assessor at least every 24 months was amended to specify that this recommendation relates to non-classified, OFFICIAL: Sensitive, PROTECTED and SECRET managed services. In addition, the recommendation was amended to specify that the latest release of the ISM available prior to the beginning of the IRAP assessment (or a subsequent release) needs to be used. [ISM-1793] マネージドサービスプロバイダ及びそのマネージドサービスが、少なくとも 24 カ月ごとに IRAP 評価者によるセキュリティ評価を受けることを推奨する既存の管理は、この推奨が非分類、公式: 機密、保護及び秘密のマネージドサービスに関するものであることを明記するために修正された。さらに、IRAP 評価の開始前に入手可能な ISM の最新リリース(またはその後のリリース)を使用する必要があることを明記するために、勧告が修正された。[ISM-1793]
A new control was added recommending that managed service providers and their TOP SECRET managed services, including sensitive compartmented information managed services, undergo a security assessment by ASD assessors (or their delegates), using the latest release of the ISM available prior to the beginning of the security assessment (or a subsequent release), at least every 24 months. [ISM-1971] 機密区画情報管理サービスを含む、管理されたサービスプロバイダとその TOP SECRET 管理サービスは、セキュリティ評価開始前に入手可能な ISM の最新リリース(またはその後のリリース)を使用して、ASD 評価者(またはその代理人)によるセキュリティ評価を、少なくとも 24 ヶ月ごとに受けることを推奨する新しい管理が追加された。[ISM-1971]
Assessment of outsourced cloud service providers 外部委託クラウドサービスプロバイダのアセスメント
The existing control recommending that outsourced cloud service providers and their cloud services undergo a security assessment by an IRAP assessor at least every 24 months was amended to specify that this recommendation relates to non-classified, OFFICIAL: Sensitive, PROTECTED and SECRET cloud services. In addition, the recommendation was amended to specify that the latest release of the ISM available prior to the beginning of the IRAP assessment (or a subsequent release) needs to be used. [ISM-1570] 外部委託クラウドサービスプロバイダー及びそのクラウドサービスが、少なくとも 24 カ月ごとに IRAP アセッサーによるセキュリティアセスメントを受けることを推奨する既存の管理は、この推奨が非分類、 OFFICIAL: 機密、PROTECTED 及び SECRET クラウドサービスに関連することを明記するために修正された。さらに、IRAP 評価の開始前に入手可能な ISM の最新リリース(またはその後のリリース)を使用する必要があることを明記するために、勧告が修正された。[ISM-1570]
A new control was added recommending that outsourced cloud service providers and their TOP SECRET cloud services, including sensitive compartmented information cloud services, undergo a security assessment by ASD assessors (or their delegates), using the latest release of the ISM available prior to the beginning of the security assessment (or a subsequent release), at least every 24 months. [ISM-1972] 機密区画情報クラウドサービスを含む、外部委託クラウドサービスプロバイダとその TOP SECRET クラウドサービスは、セキュリティアセスメント開始前に入手可能な ISM の最新リリース(またはその後のリリース)を使用して、ASD 評価者(またはその代理人)によるセキュリティアセスメントを少なくとも 24 ヶ月ごとに受けることを推奨する新たな管理が追加された。[ISM-1972]
Guidelines for Physical Security 物理的セキュリティに関するガイドライン
Physical access to systems システムへの物理的アクセス
A new control was added recommending that non-classified systems are secured in suitably secure facilities. [ISM-1973]
非機密システムを適切に安全な施設に保護することを推奨する新たな管理が追加された。[ISM-1973]
The existing control recommending that systems are secured in facilities that meet the requirements for a security zone suitable for their classification was amended to specify that this recommendation relates to classified systems. [ISM-0810]
システムが、その分類に適したセキュリティゾーンの要件を満たす施設で保護されることを推奨する既存の管理は、この推奨が分類されたシステムに関するものであることを明記するために修正された。[ISM-0810]
Physical access to servers, network devices and cryptographic equipment サーバー、ネットワーク機器、暗号機器への物理的アクセス
A new control was added recommending that non-classified servers, network devices and cryptographic equipment are secured in suitably secure server rooms or communications rooms. [ISM-1974] 非分類サーバー、ネットワーク機器、暗号機器は、適切に安全なサーバー室または通信室で保護されることを推奨する新たな管理が追加された。[ISM-1974]
The existing control recommending that servers, network devices and cryptographic equipment are secured in server rooms or communications rooms that meet the requirements for a security zone suitable for their classification was amended to specify that this recommendation relates to classified servers, network devices and cryptographic equipment. [ISM-1053] サーバ、ネットワーク機器、暗号化機器は、その分類に適したセキュリティゾーンの要件を 満たすサーバルームまたは通信室で保護されることを推奨する既存の管理策を修正し、この推奨が機密サ ーバ、ネットワーク機器、暗号化機器に関するものであることを明記した。[ISM-1053]
A new control was added recommending that non-classified servers, network devices and cryptographic equipment are secured in suitably secure security containers. [ISM-1975] 非分類サーバー、ネットワーク機器、暗号化機器は、適切に安全なセキュリティーコンテナで保 護されることを推奨する新しい管理策を追加した。[ISM-1975]
The existing control recommending that servers, network devices and cryptographic equipment are secured in security containers or secure rooms suitable for their classification taking into account the combination of security zones they reside in was amended to specify that this recommendation relates to classified servers, network devices and cryptographic equipment. In addition, the control was amended to remove the reference to secure rooms. [ISM-1530] サーバ、ネットワーク機器および暗号化機器は、それらが存在するセキュリティゾーンの組 み合わせを考慮し、それらの分類に適したセキュリティコンテナまたはセキュリティルームで保 護されることを推奨する既存の管理策を修正し、この推奨が分類されたサーバ、ネットワーク機 器および暗号化機器に関するものであることを明記した。加えて、安全な部屋に関する言及を削除するため、管理が修正された。[ISM-1530]
The existing control recommending that server rooms, communications rooms, security containers and secure rooms are not left in unsecured states was amended to remove the reference to secure rooms. [ISM-0813]  サーバ室、通信室、セキュリティコンテナ、セキュリティルームを非セキュアな状態で放置 しないことを推奨する既存の管理を修正し、セキュリティルームへの言及を削除した。[ISM-0813] 
The existing control recommending that keys or equivalent access mechanisms to server rooms, communications rooms, security containers and secure rooms are appropriately controlled was amended to remove the reference to secure rooms. [ISM-1074]  サーバ室、通信室、セキュリティコンテナ及び安全な部屋への鍵又は同等のアクセス機 構が適切に管理されることを推奨する既存の管理基準を修正し、安全な部屋への言及を削除した。[ISM-1074]。
Guidelines for Communications Infrastructure 通信インフラに関するガイドライン
Cable colours ケーブルの色
The existing control recommending that OFFICIAL: Sensitive and PROTECTED cables are coloured neither salmon pink nor red was expanded to include non-classified cables. [ISM-0926] OFFICIAL: 機密及び保護されたケーブルの色は、サーモンピンクでも赤でもないことを推奨する既存の管理は、非分類ケーブルを含むように拡張された。[ISM-0926]
Cable inspectability ケーブルの検査可能性
The existing control recommending that cables are inspectable at a minimum of five-metre intervals was amended to clarify that cables should be inspectable every five-metres or less. [ISM-1112] ケーブルが最低 5 メートル間隔で検査可能であることを推奨する既存の管理は、ケーブルが 5 メートル以 下ごとに検査可能であるべきであることを明確にするために修正された。[ISM-1112]
Wall outlet box colours 壁コンセントボックスの色
The existing control recommending that OFFICIAL: Sensitive and PROTECTED wall outlet boxes are coloured neither salmon pink nor red was expanded to include non-classified wall outlet boxes. [ISM-1107] OFFICIAL: Sensitive and PROTECTEDの壁コンセントボックスの色は、サーモンピンクでも赤でもないことを推奨する既存の管理は、非分類壁コンセントボックスを含むように拡大された。[ISM-1107]
Emanation security threat assessments 発散セキュリティ脅威評価
The existing control recommending that system owners deploying OFFICIAL: Sensitive or PROTECTED systems with radio frequency transmitters (including any wireless capabilities) that will be located within 20 meters of SECRET or TOP SECRET systems contact ASD for an emanation security threat assessment has been rescinded. [ISM-0248] 機密または最高機密システムから20メートル以内に配置される無線周波数トランスミッタ(無線機能を含む)を持つ、機密または保護されたシステムを展開するシステム所有者が、発散セキュリティ脅威評価のためにASDに連絡することを推奨する既存の管理は、取り消された。[ISM-0248]
Existing controls relating to emanation security threat assessments, that included OFFICIAL: Sensitive and PROTECTED systems within their scope, have been re-scoped to apply exclusively to SECRET and TOP SECRET systems. [ISM-0246, ISM-1885]
発散セキュリティ脅威アセスメントに関連する既存の管理は、その範囲に機密および保護されたシス テムを含んでいたが、SECRET および TOP SECRET システムにのみ適用されるように再設定された。[ISM-0246, ISM-1885]
Guidelines for Communications Systems 通信システムのガイドライン
Speakerphones スピーカーフォン
The existing control recommending that speakerphones are not used on telephone systems in TOP SECRET areas unless the telephone system is located in an audio secure room, the room is audio secure during conversations and only personnel involved in conversations are present in the room was expanded to include non-classified telephone systems. [ISM-0235] 電話システムがオーディオセキュア・ルームに設置され、そのルームが会話中もオーディオセキュアであり、そのルームに会話に関与する要員のみが存在する場合を除き、TOP SECRETエリアの電話システムでスピーカーフォンを使用しないことを推奨する既存の管理は、非機密電話システムにも適用されるように拡張された。[ISM-0235]
Off-hook audio protection オフフックオーディオ保護
The existing control recommending that in SECRET and TOP SECRET areas, push-to-talk handsets or push-to-talk headsets are used to meet any off-hook audio protection requirements was expanded to include non-classified telephone systems. [ISM-0931] SECRETおよびTOP SECRETエリアでは、プッシュ・ツー・トーク・ハンドセットまたはプッシュ・ツー・トーク・ヘッドセットを使用して、オフフック・オーディオ保護要件を満たすことを推奨する既存の管理は、非機密電話システムを含めるように拡張された。[ISM-0931]
Microphones and webcams マイクおよびウェブカメラ
The existing control recommending that microphones (including headsets and USB handsets) and webcams are not used with non-SECRET workstations in SECRET areas was expanded to include non-classified workstations. [ISM-0559] マイク(ヘッドセットと USB ハンドセットを含む)とウェブカメラを、機密エリア内の非秘 密ワークステーションで使用しないことを推奨する既存の管理は、非機密ワークステーショ ンを含むように拡張された。[ISM-0559]
The existing control recommending that microphones (including headsets and USB handsets) and webcams are not used with non-TOP SECRET workstations in TOP SECRET areas was expanded to include non-classified workstations. [ISM-1450]
トップシークレットエリアにおいて、トップシークレット以外のワークステーションでマイク(ヘッドセットおよび USB ハンドセットを含む)およびウェブカメラを使用しないことを推奨する既存の管理は、非機密ワークステーショ ンを含むように拡張された。[ISM-1450]
Guidelines for Enterprise Mobility エンタープライズモビリティのガイドライン
Using Bluetooth functionality ブルートゥース機能の使用
Existing controls relating to the use of Bluetooth functionality with OFFICIAL: Sensitive and PROTECTED mobile devices were expanded to include non-classified mobile devices. [ISM-1196, ISM-1198, ISM-1199, ISM-1200] ブルートゥース機能の使用に関連する既存のコントロール OFFICIAL: 機密および保護されたモバイル機器での Bluetooth 機能の使用に関連する既存の管理は、非機密モバイル機器にも拡大された。[SM-1196、SM-1198、SM-1199、SM-1200]。
Guidelines for System Hardening システムハードニングのガイドライン
Operating system event logging オペレーティングシステムのイベントロギング
A new control was added recommending that security-relevant events for Apple macOS operating systems are centrally logged. [ISM-1976] Apple macOS オペレーティングシステムのセキュリティ関連イベントを一元的にログ記録することを推奨する新しい管理方法が追加された。[ISM-1976]
A new control was added recommending that security-relevant events for Linux operating systems are centrally logged. [ISM-1977] Linux OS のセキュリティ関連イベントを一元的にログ記録することを推奨する、新しいコン トロールが追加された。[ISM-1977]
The existing control recommending that security-relevant events for operating systems are centrally logged, including […] was simplified and re-scoped to Microsoft Windows operating systems. [ISM-0582] オペレーティングシステムのセキュリティ関連イベントを一元的にログ記録することを推奨する既存のコントロール([...]を含む)が簡素化され、Microsoft Windows オペレーティングシステムに再対象化された。[ISM-0582]
Microsoft Office macros Microsoft Office マクロ
The existing control recommending that allowed and blocked Microsoft Office macro execution events are centrally logged was rescinded. [ISM-1677] 許可およびブロックされたMicrosoft Officeマクロ実行イベントが一元的にログに記録されることを推奨する既存のコントロールが取り消された。[ISM-1677]
Server application event logging サーバーアプリケーションイベントのログ
A new control was added recommending that security-relevant events for server applications on internet-facing servers are centrally logged. [ISM-1978] インターネットに面したサーバ上のサーバアプリケーションのセキュリティ関連イベントを一元的に記録することを推奨する新しいコントロールが追加された。[ISM-1978]
A new control was added recommending that security-relevant events for server applications on non-internet-facing servers are centrally logged. [ISM-1979] インターネットに面していないサーバー上のサーバーアプリケーションのセキュリティ関連イベントを一元的に記録することを推奨する、新しいコントロールが追加された。[ISM-1979]
Protecting credentials 認証情報の保護
A new control was added recommending that credential hint functionality is not used for systems. [ISM-1980] システムにクレデンシャルヒント機能を使用しないことを推奨する、新しいコントロールが追加された。[ISM-1980]
The existing control recommending that credentials are kept separate from systems they are used to authenticate to, except for when performing authentication activities was amended to reflect that the control relates to physical credentials, such as written down memorised secrets, security keys, smart cards and one-time password tokens. [ISM-0418]
認証活動を実行するときを除き、本人認証を認証に使用するシステムから分離しておくことを推奨 する既存の管理は、書き留めた秘密情報、セキュリティ・キー、スマート・カード、ワンタイム・パスワー ド・トークンなどの物理的なクレデンシャルに関連する管理であることを反映するように修正された。[ISM-0418]
Guidelines for System Management システム管理ガイドライン
Software register ソフトウェア登録
The existing control recommending that software registers for workstations, servers, network devices and other IT equipment are developed, implemented, maintained and verified on a regular basis was amended to re-scope ‘other IT equipment’ to ‘networked IT equipment’. [ISM-1493] ワークステーション、サーバ、ネットワーク機器、その他の IT 機器のソフトウェア登録簿が、定期的に開発、 実施、維持、検証されることを推奨する既存の管理は、「その他の IT 機器」を「ネットワーク化された IT 機器」に再分類するよう修正された。[ISM-1493]
Cessation of support サポートの停止
The existing control recommended that network devices and other IT equipment that are no longer supported by vendors are replaced was split into three controls focusing on internet-facing network devices, non-internet-facing network devices and networked IT equipment. [ISM-1753, ISM-1981, ISM-1982] ベンダーのサポートが終了したネットワーク機器およびその他の IT 機器を交換することを推奨する既存の管理は、 インターネットに面したネットワーク機器、インターネットに面していないネットワーク機器、 およびネットワーク化された IT 機器に焦点を当てた 3 つの管理に分割された。[ISM-1753, ISM-1981, ISM-1982]
The existing control recommending that when applications, operating systems, network devices or other IT equipment that are no longer supported by vendors cannot be immediately removed or replaced, compensating controls are implemented until such time that they can be removed or replaced was amended to re-scope ‘other IT equipment’ to ‘networked IT equipment’. [ISM-1809] ベンダーのサポートが終了したアプリケーション、オペレーティングシステム、ネットワークデバ イス、またはその他の IT 機器を直ちに削除または交換できない場合、削除または交換できるようにな るまで補償管理を実施することを推奨する既存の管理は、「その他の IT 機器」を「ネットワーク化された IT 機器」にスコープを変更するために修正された。[ISM-1809]
Guidelines for System Monitoring システム監視のガイドライン
Centralised event logging facility 集中型イベントロギング機能
The existing control recommended that a centralised event logging facility is implemented and event logs are sent to the facility as soon as possible after they occur was split into two controls. [ISM-1405, ISM-1983] 一元化されたイベントロギング施設を導入し、イベント発生後できるだけ早くイベントログを施設に送信することを推奨する既存の管理は、2つの管理に分割された。[ISM-1405, ISM-1983]
A new control was added recommending that event logs sent to a centralised event logging facility are encrypted in transit. [ISM-1984]  集中型イベントロギング施設に送信されるイベントログは、転送中に暗号化されることを推奨する新しい コントロールが追加された。[ISM-1984] 
A new control was added recommending that event logs are protected from unauthorised access. [ISM-1985] イベントログが不正アクセスから保護されることを推奨する新しい管理策が追加された。[ISM-1985] イベントログの監視
Event log monitoring イベントログの監視
A new control was added recommending that event logs from critical servers are analysed in a timely manner to detect cyber security events. [ISM-1986] 重要なサーバーのイベントログを適時に分析し、サイバーセキュリティイベントを検知することを推奨する新しい管理策が追加された。[ISM-1986]
A new control was added recommending that event logs from security products are analysed in a timely manner to detect cyber security events. [ISM-1987] サイバーセキュリティイベントを検知するために、セキュリティ製品のイベントログを適時に分析することを推奨する新しい管理策が追加された。[ISM-1987]
Event log retention イベントログの保持
The existing control recommending that event logs, excluding those for Domain Name System services and web proxies, are retained for at least seven years was rescinded. [ISM-0859] ドメインネームシステムサービスとウェブプロキシに関するものを除くイベントログを少なくとも 7 年間保持することを推奨する既存の管理策が取り消された。[ISM-0859]
The existing control recommending that event logs for Domain Name System services and web proxies are retained for at least 18 months was rescinded. [ISM-0991] ドメインネームシステムサービスとWebプロキシのイベントログを少なくとも18ヶ月間保持することを推奨する既存の管理は取り消された。[ISM-0991]
A new control was added recommending that event logs are retained in a searchable manner for at least 12 months. [ISM-1988]
イベントログを少なくとも12カ月間、検索可能な方法で保持することを推奨する新しい管理が追加された。[ISM-1988]
A new control was added recommending that event logs are retained as per minimum retention requirements for various classes of records as set out by the National Archives of Australia’s Administrative Functions Disposal Authority Express (AFDA Express) Version 2 publication. [ISM-1989] イベントログが、オーストラリア国立公文書館の行政機能廃棄権限エクスプレス(AFDAエクスプレス)バージョン2出版物で規定されている、様々なクラスの記録の最小保存要件に従って保持されることを推奨する、新しい管理が追加された。[ISM-1989]
Guidelines for Networking ネットワークに関するガイドライン
Network access controls ネットワークアクセス制御
The existing control recommending that network access controls are implemented on networks to prevent the connection of unauthorised network devices and other IT equipment was amended to re-scope ‘other IT equipment’ to ‘networked IT equipment’. [ISM-0520] 許可されていないネットワーク機器およびその他のIT機器の接続を防止するために、ネットワーク上でネットワークアクセス制御を実装することを推奨する既存の制御は、「その他のIT機器」を「ネットワーク化されたIT機器」に再スコープするように修正された。[ISM-0520]
Guidelines for Cryptography 暗号技術に関するガイドライン
ASD-Approved Cryptographic Algorithms ASDが承認した暗号アルゴリズム
The following cryptographic algorithms have been approved as ASD-Approved Cryptographic Algorithms and endorsed for the following purposes:  以下の暗号アルゴリズムは、ASD-Approved Cryptographic Algorithms として承認され、以下の目的で承認された: 
§ Module-Lattice-Based Digital Signature Algorithm (ML-DSA) for digital signatures § モジュール-格子に基づくデジタル署名アルゴリズム(ML-DSA)。
§ Module-Lattice-Based Key Encapsulation Mechanism (ML-KEM) for encapsulating encryption session keys (and similar keys). デジタル署名のためのモジュール-格子に基づくデジタル署名アルゴリズム(ML-DSA) § 暗号化セッション鍵(および類似の鍵)をカプセル化するためのモジュール-格子に基づく鍵カプセル 化機構(ML-KEM)。
Clarification has been provided that Secure Hashing Algorithm 2 (SHA-2) is the only approved hashing algorithm for general purpose use. However, Secure Hashing Algorithm 3 (SHA-3), including its extendable-output functions (XOFs), has been approved exclusively for use within ML-DSA and ML-KEM.  Secure Hashing Algorithm 2 (SHA-2)が、汎用用途で承認された唯一のハッシュアルゴリズムであることが 明確化された。しかし、拡張可能出力関数(XOF)を含むSecure Hashing Algorithm 3 (SHA-3)は、ML-DSAおよびML-KEM内での使用に限定して承認されている。
Using Diffie-Hellman Diffie-Hellmanの使用
The existing control recommending that when using DH for agreeing on encryption session keys, a modulus of at least 2048 bits is used, preferably 3072 bits was extended to the protection of non-classified data. [ISM-0472] 暗号化セッション鍵の合意に DH を使用する場合、少なくとも 2048 ビット、できれば 3072 ビットのモジュラスを使用することを推奨する既存の管理者は、非機密データの保護に拡張された。[ISM-0472]を参照のこと。
Using Elliptic Curve Diffie-Hellman 楕円曲線Diffie-Hellmanの使用
The existing control recommending that when using ECDH for agreeing on encryption session keys, a base point order and key size of at least 224 bits is used, preferably the NIST P-384 curve was extended to the protection of nonclassified data. [ISM-0474] 暗号化セッション鍵の合意に ECDH を使用する場合、少なくとも 224 ビットの基点次数と鍵サイズ、望ましくは NIST P-384 カーブを使用することを推奨する既存の管理者が、非機密データの保護に拡張された。[ISM-0474]
Using the Elliptic Curve Digital Signature Algorithm 楕円曲線デジタル署名アルゴリズムの使用
The existing control recommending that when using ECDSA for digital signatures, a base point order and key size of at least 224 bits is used, preferably the P-384 curve was extended to the protection of non-classified data. [ISM-0475] ECDSAをデジタル署名に使用する場合、少なくとも224ビットの基点順序と鍵サイズを使用することを推奨する既存の管理者は、好ましくはP-384曲線を非機密データの保護に拡張した。[ISM-0475]。
Using post-quantum cryptographic algorithms ポスト量子暗号アルゴリズムの使用
A new control was added recommending that when using ML-DSA and ML-KEM, as per FIPS 204 and FIPS 203 respectively, adherence to pre-requisite FIPS publications is preferred. [ISM-1990] ML-DSA および ML-KEM を使用する場合、それぞれ FIPS 204 および FIPS 203 に従い、 前提条件となる FIPS 出版物に準拠することを推奨する新しいコントロールが追加された。[ISM-1990]
Using the Module-Lattice-Based Digital Signature Algorithm モジュール-格子に基づく電子署名アルゴリズムの使用
A new control was added recommending that when using ML-DSA for digital signatures, ML-DSA-65 or ML-DSA-87 is used, preferably ML-DSA-87. [ISM-1991] デジタル署名にML-DSAを使用する場合、ML-DSA-65またはML-DSA-87を使用することを推奨する。[ISM-1991]
A new control was added recommending that when using ML-DSA for digital signatures, the hedged variant is used whenever possible. [ISM-1992] 電子署名にML-DSAを使用する場合、可能な限りヘッジ付きバリアントを使用する ことを推奨する新しい制御が追加された。[ISM-1992]
A new control was added recommending that pre-hashed variants of ML-DSA-65 and ML-DSA-87 are only used when the performance of default variants is unacceptable. [ISM-1993] ML-DSA-65とML-DSA-87のプリハッシュされた亜種は、デフォルトの亜種の性能が 受け入れられない場合にのみ使用することを推奨する新しい制御が追加された。[ISM-1993]
A new control was added recommending that when the pre-hashed variants of ML-DSA-65 and ML-DSA-87 are used, at least SHA-384 and SHA-512 respectively are used for pre-hashing. [ISM-1994] ML-DSA-65とML-DSA-87のプリハッシュされた亜種が使用される場合、少なくともそれぞれ SHA-384とSHA-512をプリハッシュに使用することを推奨する新しい制御が追加された。[ISM-1994]
Using the Module-Lattice-Based Key Encapsulation Mechanism モジュール格子ベースの鍵カプセル化機構を使用する
A new control was added recommending that when using ML-KEM for encapsulating encryption session keys (and similar keys), ML-KEM-768 or ML-KEM-1024 is used, preferably ML-KEM-1024. [ISM-1995] 暗号化セッション鍵(および類似の鍵)のカプセル化にML-KEMを使用する場合、 ML-KEM-768またはML-KEM-1024を使用することを推奨する。[ISM-1995]を参照のこと。
Using Rivest-Shamir-Adleman Rivest-Shamir-Adlemanの使用
The existing control recommending that when using RSA for digital signatures, and passing encryption session keys or similar keys, a modulus of at least 2048 bits is used, preferably 3072 bits was extended to the protection of nonclassified data. [ISM-0476] デジタル署名に RSA を使用し、暗号化セッション鍵または類似の鍵を渡す場合、少なくとも 2048 ビット、望ましくは 3072 ビットのモジュラスを使用することを推奨する既存の管理者は、非機密データの保護に拡張された。[ISM-0476]
Using Secure Hashing Algorithms 安全なハッシュアルゴリズムの使用
The existing control recommending that when using SHA-2 for hashing, an output size of at least 224 bits is used, preferably SHA-384 was amended to ‘preferably SHA-384 or SHA-512’ and extended to the protection of nonclassified data. [ISM-1766] ハッシュに SHA-2 を使用する場合、少なくとも 224 ビットの出力サイズを使用し、好ましくは SHA-384 を使用することを推奨する既存の管理者を、「好ましくは SHA-384 または SHA-512」に修正し、非機密データの保護に拡張した。[ISM-1766]
The existing control recommending that when using SHA-2 for hashing, an output size of at least 256 bits is used, preferably SHA-384 was amended to ‘preferably SHA-384 or SHA-512’. [ISM-1767] ハッシングにSHA-2を使用する場合、少なくとも256ビットの出力サイズを使用すること、好ましくはSHA-384を使用することを推奨する既存のコントロールを、「好ましくはSHA-384またはSHA-512」に修正した。[ISM-1767]
The existing control recommending that when using SHA-2 for hashing, an output size of at least 384 bits is used, preferably SHA-384 was amended to ‘preferably SHA-384 or SHA-512’. [ISM-1768] ハッシュにSHA-2を使用する場合、少なくとも384ビットの出力サイズを使用すること、好ましくはSHA-384を使用することを推奨する既存の制御を、「好ましくはSHA-384またはSHA-512」に修正した。[ISM-1768]
Using symmetric cryptographic algorithms 対称暗号アルゴリズムの使用
The existing control recommending that when using AES for encryption, AES-128, AES-192 or AES-256 is used, preferably AES-256was extended to the protection of non-classified data. [ISM-1769] 暗号化に AES を使用する場合、AES-128、AES-192 または AES-256 を使用すること、好ましくは AES-256 を使用することを推奨する既存の管理者を、非機密データの保護に拡張した。[ISM-1769]
Transitioning to post-quantum cryptography ポスト量子暗号への移行
The existing control recommending that future cryptographic requirements and dependencies are considered during the transition to post-quantum cryptographic standards was replaced with a recommendation that the development and procurement of new cryptographic equipment and software ensures support for the use of ML-DSA-87, ML-KEM1024, SHA-384, SHA-512 and AES-256 by no later than 2030. [ISM-1917] ポスト量子暗号標準への移行中に、将来の暗号要件と依存関係を考慮することを推奨する既存の管理は、新しい暗号機器とソフトウェアの開発と調達において、遅くとも 2030 年までに ML-DSA-87、ML-KEM1024、SHA-384、SHA-512、AES-256 の使用を確実にサポートすることを推奨することに変更された。[ISM-1917]
Post-quantum traditional hybrid schemes ポスト量子伝統的ハイブリッド方式
A new control was added recommending that when a post-quantum traditional hybrid scheme is used, either the postquantum cryptographic algorithm, the traditional cryptographic algorithm or both are AACAs. [ISM-1996] ポスト量子トラディショナルハイブリッド方式を使用する場合、ポスト量子暗号アルゴリズム、トラディショナル暗号アルゴリズムのいずれか、または両方を AACA とすることを推奨する新しい制御が追加された。[ISM-1996]
Miscellaneous その他
References to ‘accounts’ were changed to ‘user accounts’ in order to more closely match Microsoft Active Directory account types (i.e. ‘users’ and ‘computers’).  MicrosoftのActive Directoryのアカウントタイプ(すなわち「ユーザー」と「コンピュータ」)に近づけるため、「アカウント」への参照を「ユーザーアカウント」に変更した。
[ISM-0380, ISM-0383, ISM-1146, ISM-1247, ISM-1249, ISM-1250, ISM-1260, ISM-1304, ISM-1403, ISM-1554, ISM-1555, ISM-1556, ISM-1806] [ism-0380、ism-0383、ism-1146、ism-1247、ism-1249、ism-1250、ism-1260、ism-1304、ism-1403、ism-1554、ism-1555、ism-1556、ism-1806]。
A number of existing controls were reworded for increased clarity without changing their intent. [ISM-0421, ISM-0477, ISM-1400, ISM-1482, ISM-1559, ISM-1607, ISM-1765] 多くの既存のコントロールは、その意図を変えることなく、より明確にするために文言が変更された。[ism-0421、ism-0477、ism-1400、ism-1482、ism-1559、ism-1607、ism-1765]。
Contact details 連絡先
If you have any questions regarding this guidance you can write to us or call us on 1300 CYBER1 (1300 292 371).  本ガイダンスに関してご質問がある場合は、書面または電話(1300 CYBER1 (1300 292 371))にてお問い合わせいただきたい。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.15 オーストラリア 信号局 サイバーセキュリティ原則 (2024.06.13)

・2021.03.07 Australia 政府の情報セキュリティマニュアルは毎月更新されますね。。。

 

 

| | Comments (0)

個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第310回委員会、第6-7回検討会)

こんにちは、丸山満彦です。

前回紹介してから、少し時間がたっているので、まとめて紹介!

検討会報告書(案)が公表されていますね...

議論されて、少しかわりますかね...

課徴金についてもかなり丁寧に触れられていますね...

 

・2024.12.17 [PDF] 検討会報告書(案)

20241220-22949

 

【目次】

第1 はじめに
1 開催の背景
2 検討に影響を与える事項

第2 課徴金制度
1 検討に係る前提条件
(1)課徴金制度を検討する立法事実
(2)適正なデータ利活用への影響
(3)国内他法令における課徴金制度との関係
(4)外国制度との関係
2 想定される制度
(1)課徴金納付命令の対象となる範囲
(2)算定方法
(3)その他

第3 団体による差止請求制度及び被害回復制度
1 検討に係る前提条件
(1)適格消費者団体の現状、他法令の運用
(2)認定個人情報保護団体等との関係
2 想定される制度
(1)対象行為と運用
(2)その他(体制整備等)

第4 おわりに

参考


 

個人情報保護委員会

・・個人情報保護委員会開催状況

・・個人情報保護法のいわゆる3年ごと見直しに関する検討会

・・個人情報保護法 いわゆる3年ごと見直しについて

 

2024.12.18 第7回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 現行制度と検討の方向性について(課徴金制度③)
資料2 検討会報告書(案)
参考資料1 これまでの主な論点及び関連御意見
参考資料2 第2回~第6回検討会における主な御意見
参考資料3 関係参考資料
参考資料4 「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
議事録  
2024.12.17 第310回個人情報保護委員会
資料1-1 「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」 に関するヒアリングの概要について
資料1-2 事務局ヒアリングにおける主な御意見
参考資料1-1  
参考資料1-2 事務局ヒアリングの各参加者提出資料
  議事概要
  議事録
2024.11.28 第6回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 現行制度と検討の方向性について(課徴金制度②)
資料2 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度③)
資料3 これまでの主な論点及び関連御意見 (PDF : 2006KB)
参考資料1 第2回~第5回検討会における主な御意見
議事録 第6回個人情報保護法のいわゆる3年ごと見直しに関する検討会

 

 

 

 

 

 

2024.11.12 第5回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 国内他法令における課徴金額の算定方法等について
資料2 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度②)
資料3 認定個人情報保護団体制度について
資料4 第4回までの主な論点及び関連意見 
資料5 個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点・今後の検討の進め方
参考資料1 第2回~第4回検討会における主な御意見
参考資料2 関係参考資料 
議事録 第5回個人情報保護法のいわゆる3年ごと見直しに関する検討会
2024.10.16 第304回個人情報保護委員会
資料1-1 個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点(案) 
資料1-2 今後の検討の進め方
  議事概要
  議事録 
2024.10.11 第4回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 全国消費生活相談員協会プレゼン資料 
資料2 中川構成員プレゼン資料 
資料3 第3回事務局資料に対する御質問と考え方
参考資料1 第2回及び第3回検討会における主な御意見 
参考資料2 関係参考資料
前回資料1ー1 総合的な案内所(個人情報保護法相談ダイヤル)における受付状況 
前回資料1ー2 名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
前回資料2 個人情報保護法の違反行為に係る事例等 
前回資料3 現行制度と検討の方向性について(課徴金制度)
前回資料4 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度)
議事録 第4回個人情報保護法のいわゆる3年ごと見直しに関する検討会 
2024.09.26 第3回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第 
資料1-1 総合的な案内所(個人情報保護法相談ダイヤル)における受付状況 
資料1-2 名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について 
資料2 個人情報保護法の違反行為に係る事例等 
資料3 現行制度と検討の方向性について(課徴金制度)
資料4 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度)
参考資料1 第2回検討会における主な御意見 
参考資料2 個人情報の保護に関する基本方針
参考資料3 個人情報の保護に関する法律に基づく行政上の対応について(令和6年9月11日公表資料)
参考資料4 関係参考資料 
議事録 第3回個人情報保護法のいわゆる3年ごと見直しに関する検討会 
2024.09.05 第2回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
資料1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要)
資料3 今後の検討の進め方
資料4 監視・監督活動及び漏えい等報告に関する説明資料
参考資料1 第1回検討会における主な意見
参考資料2 第1回検討会における主な質問及び回答
参考資料3 関係参考資料 
 議事録  
 2024.09.04 第299回個人情報保護委員会
資料1-1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料1-2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要)
 議事概要  
 議事録  
2024.07.31 第1回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
資料1 開催要綱(案)
資料2 主婦連合会御提出資料
資料3 新経済連盟御提出資料
資料4 全国消費者団体連絡会御提出資料
資料5 全国消費生活相談員協会御提出資料
資料6 日本IT 団体連盟御提出資料
資料7 日本経済団体連合会御提出資料
参考資料1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」概要
参考資料2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」本文
議事録  
2024.07.24 第296回個人情報保護委員会
資料1 個人情報保護法のいわゆる3年ごと見直しに関する検討会の設置について
議事概要  
議事録  
 2024.06.26  第292回個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(案)
【委員長預かりで会議後に修正した資料】 資料1 個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理
資料2−1 日EU相互認証の枠組みの拡大に向けた対応について
資料2−2 個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長(価値・透明性担当)の会談に関する共同プレス・ステートメント(英語)