« December 2024 | Main | February 2025 »

January 2025

2025.01.31

欧州 地方自治体および地域行政によるAIおよびGenAIの採用

こんにちは、丸山満彦です。

巷では中国の生成的AIであるDeepSeekが話題になっているようですが、欧州の話題です...

欧州委員会が、地方自治体および地域行政によるAIおよびGenAIの採用に関する報告書を公表していますね...

欧州の地方自治体でのAIの取り組みの事例も少しあり、自治体のAIに対する取り組みのヒントになるかもですね...(AI法があることにより、できないことがはっきりしていて、変な迷いも生じることなく取り組みがしやすいかもですね...)

European Union

AI and GenAI adoption by local and regional administrations

 

AI and GenAI adoption by local and regional administrations 地方自治体および地域行政によるAIおよびGenAIの採用
Based on the previous recent research and results in this area, notably the EU Public Sector Tech Watch reports and handbooks "European Landscape on the Use of Artificial Intelligence by the Public Sector", "Road to the adoption of AI by the public sector", "A collective effort in exploring the applications of Artificial Intelligence and blockchain in the Public Sector" and a European Parliament briefing on "Artificial Intelligence and Public services", this study on “AI and GenAI adoption by local and regional administrations” (1) analyses the results of the previous studies – which are based on data gathered over the last couple of years – and (2) delves deeper into the opportunities and challenges subnational authorities have with the AI and GenAI adoption and the impact this has on the quality of their interactions with citizens, as well as the efficiency of internal and cross-administration processes. The study also (3) investigates whether and how AI and GenAI could contribute to bridging digital divides across different types of territories and/or groups of citizens. It further (4) examines the role of political leaders in promoting AI, scalability, knowledge sharing and the need for cooperation between the technical and political levels to ensure boost of AI use. In the end, the study offers a number of recommendations for enhancing the adoption and effectiveness of AI and GenAI at subnational level. この分野における最近の調査および結果、特にEU公共部門テクノロジーウォッチの報告書およびハンドブック「公共部門における人工知能の利用に関する欧州の状況」、「公共部門におけるAI導入への道」、「公共部門における人工知能とブロックチェーンの応用に関する共同の取り組み」、および欧州議会による「人工知能と公共サービス」に関するブリーフィングを踏まえ、本研究「地方自治体および地域行政によるAIおよびGenAIの導入」では、 過去数年にわたって収集されたデータに基づくこれまでの研究結果を分析し、(2) 地方自治体がAIおよびGenAIの導入によって得られる機会と課題、そしてそれが市民とのやりとりの質や、内部および行政間のプロセス効率に与える影響について、さらに深く掘り下げている。また、本研究では、(3) 異なるタイプの地域や市民グループ間のデジタル格差の解消にAIおよびGenAIが貢献できるかどうか、またその方法についても調査している。さらに、(4) AIの利用を促進するために、政治的リーダーが果たす役割、スケーラビリティ、知識共有、技術レベルと政治レベル間の協力の必要性についても検証している。最後に、本研究では、地方レベルでのAIおよびGenAIの導入と効果を高めるためのいくつかの提言を行っている。

 

・[PDF] [downloaded]

20250131-63140

・[DOCX][PDF] 仮訳

 

目次...

Executive Summary エグゼクティブサマリー
Background and objective of this study 本研究の背景と目的
Methodology 方法論
Report structure 報告書の構成
Key findings 主な調査結果
Policy recommendations 政策提言
Introduction 序文
Part 1: State of play of AI and GenAI adoption at local and regional level パート1:地方・地域レベルでのAIとGenAIの導入状況
1.1 Overview 1.1 概要
1.1.1 Local and Regional Authority (LRA) and Public Authority (PA) implementations 1.1.1 地方自治体(LRA)と公共機関(PA)の実装
1.1.2 Existing AI infrastructure to support LRAs 1.1.2 LRAをサポートする既存のAIインフラ
1.1.3 Academic research 1.1.3 学術研究
1.1.4 Citizen acceptance and user experience with AI in the public sector 1.1.4 公共部門におけるAIの市民受容とユーザー体験
1.1.5 Summary 1.1.5 まとめ
1.2 State of play of AI adoption across the EU LRAs 1.2 EUのLRAにおけるAI導入の現状
1.2.1 AI adoption, application sectors and main benefits for LRAs 1.2.1 AI導入、応用分野、LRAにとっての主なメリット
1.2.2 Human resources dedicated to AI and relations with the external environment 1.2.2 AIに特化した人材と外部環境との関係
1.2.3 AI monitoring and evaluation mechanisms 1.2.3 AIモニタリングと評価の仕組み
1.2.4 Challenges and drivers of AI adoption 1.2.4 AI導入の課題と推進要因
1.2.5 Conclusions 1.2.5 結論
Part 2: Factors for the successful AI and GenAI adoption in cities and regions 第2部:都市と地域におけるAIとGenAIの導入成功の要因
2.1 Fostering cooperation between the technical and political levels 2.1 技術レベルと政治レベルの間の協力を促進する
2.2 The facilitating role of political decision-makers and appropriate governance 2.2 政治的意思決定者の促進的役割と適切なガバナンス
2.3 Organisational context and AI procurement 2.3 組織的背景とAI調達
2.4 Enhancing citizen acceptance and engagement 2.4 市民の受け入れと関与を強化する
2.5 Data availability and governance 2.5 データの可用性とガバナンス
2.6 Making AI-based solutions scalable and applicable to other contexts 2.6 AIベースのソリューションを拡張可能にし、他の文脈にも適用できるようにする
2.7 Investment and funding 2.7 投資と資金調達
Part 3: Foresight analysis, conclusion and policy recommendations 第3部:フォーサイト分析、結論、政策提言
3.1 Foresight analysis 3.1 先見性分析
3.1.1 The AI trends identified by survey respondents 3.1.1 調査回答者が特定したAIのトレンド
3.1.2 The Horizon Scanning for relevant weak signals detection 3.1.2 ホライゾン・スキャニングによる弱シグナルの検知
3.1.3 Megatrends 3.1.3 メガトレンド
3.1.4 Results of the foresight analysis 3.1.4 先見性分析の結果
3.2.1 Overview of the policy recommendations on the AI implementation 3.2.1 AI導入に関する政策提言の概要
3.2.2  Recommendations 3.2.2 推奨事項
3.3 Conclusions of the study 3.3 研究の結論
Annex I – The online survey 附属書 I - オンライン調査
Annex II – Eight case studies 附属書 II - 8つのケーススタディ
Case II.1. De Virtuele Assistent (‘The Virtual Assistant’) (Belgium) ケースII.1.バーチャルアシスタント(ベルギー
Case II.2. Green public transport on demand (Bulgaria) ケースII.2.オンデマンドのグリーン公共交通(ブルガリア)
Case II.3. Vaasan kadut kuntoon (‘Fix the Streets’) (Finland) ケースII.3.街路を直せ」(フィンランド
Case II.4. Satellites for Wilderness Inspection and Forest Threat Tracking (SWIFTT) (Latvia) ケースII.4.原生地域監視・森林脅威追跡用人工衛星(SWIFTT)(ラトビア)
Case II.5. Vadindekset (‘The wet index’) project (Denmark) ケースII.5.Vadindekset(「湿った指標」)プロジェクト(デンマーク)
Case II.6. Policies for Holistic Urban Mobility and Accessibility (Cyprus) ケースII.6.総合的な都市モビリティとアクセシビリティのための政策(キプロス)
Case II.7   The AI-based LisNav application dedicated to transforming the lives of the visually impaired (Portugal) ケースII.7 視覚障害者の生活を変えるためのAIベースのLisNavアプリケーション(ポルトガル)
Case II.8. Immediate and Long-Term Energy Reduction (RECITAL) (France) ケースII.8.即時かつ長期的なエネルギー削減(前文)(フランス)
Annex III – Bibliography 附属書 III - 書誌情報

 

 

 

| | Comments (0)

2025.01.30

オランダ 重要インフラ・水管理省 AI 影響アセスメント第2.0版 (2024.12.31)

こんにちは、丸山満彦です。

オランダの重要インフラ・水管理省が、AI 影響アセスメント第2.0版を大晦日に公表していました...

質問形式になっていて使いやすいかもです...

 

Governmnet of Netherlands

・2024.12.31 AI Impact Assessment

・[PDF

20250130-53805

・[DOCX][PDF] 仮訳

 

目次...

The AI Impact Assessment helps in ensuring responsible AI by design AI影響アセスメントは、設計による責任あるAIの確保に役立つ
Use the AIIA in all phases of your AI project AIプロジェクトのすべてのフェーズでAIIAを活用する
How to use this document この文書の使い方
Who does what? 誰が何をするのか?
Part A: Assessment パートA:アセスメント
1 System purpose and necessity 1 システムの目的と必要性
1.1  Purpose of the system 1.1 システムの目的
1.2  Intended solution 1.2 想定される解決策
1.3  Role within the organisation 1.3 組織内での役割
1.4  Maintenance and administration 1.4 保守と管理
2 Impact 2 影響
2.1  Fundamental rights 2.1 基本的権利
2.2  Sustainability 2.2 持続可能性
2.3  Other effects 2.3 その他の効果
3 Assessing whether or not to use the AI system 3 AIシステムを使うかどうかのアセスメント
Part B: Implementation and use of AI system パートB:AIシステムの導入と活用
4 Technical robustness 4 技術的堅牢性
4.1  Bias 4.1 バイアス
4.2  Accuracy 4.2 精度
4.3  Reliability 4.3 信頼性
4.4  Technical implementation 4.4 技術的実施
4.5  Reproducibility 4.5 再現性
4.6  Explainability 4.6 説明可能性
5 Data governance 5 データガバナンス
5.1  Data quality and integrity 5.1 データの品質と完全性
5.2  Privacy and confidentiality 5.2 プライバシーと守秘義務
6 Risk management 6 リスクマネジメント
6.1  Risk prevention 6.1 リスク予防
6.2  Alternative procedure 6.2 代替手続き
6.3  Information security risks 6.3 情報セキュリティリスク
7 Accountability 7 説明責任
7.1  Transparency towards users 7.1 ユーザーに対する透明性
7.2  Communication to parties involved 7.2 関係者へのコミュニケーション
7.3  Verifiability 7.3 検証可能性
7.4  Archiving 7.4 アーカイビング
Glossary of Terms 用語集
Appendix 1: Risk level assessment 附属書1:リスクアセスメント
Definition of high-risk AI system (AI Act) リスクの高いAIシステムの定義(AI法)
Exceptions 例外
Appendix 2: High-risk systems 附属書2:リスクの高いシステム
Questions if you wish to use a high-risk AI system リスクの高いAIシステムを使用したい場合の質問
Questions for developers (providers) of high-risk AI systems リスクの高いAIシステムの開発者(プロバイダ)への質問
Appendix 3: Points to consider regarding generative AI 附属書3:生成的AIに関する留意点

 

| | Comments (0)

2025.01.29

自民党 能動的サイバー防御の導入へ 関係会議が法案概要を了承 (2025.01.24)

こんにちは、丸山満彦です。

能動的サイバー防御の導入についての法案がこれから政府から国会に提出され、審議に入るということで、既存法令も含めて改正がありますね...

 

自由民主党

1_20250129184201

・2024.01.24 能動的サイバー防御の導入へ 関係会議が法案概要を了承

新法の制定による官民連携の強化や通信情報の利用、法改正によるアクセス・無害化措置に加え、サイバーセキュリティ対策に関する政府の抜本的な体制強化を図る方針が示されました。

自民党の提言色濃く反映されているようです...

 

各種報道によれば...

  • 法案の名前は、「重要電子計算機に対する不正行為被害防止法案」と警察官職務執行法など15の現行法改正案を束ねた「整備法案」

  • 通信の秘密との関係で重要となる独立機関は「3条委員会」で名称は「サイバー通信情報監理委員会」 

  • 権限と人選が重要となるが、委員長と委員4人の計5人。任期は5年。裁判官ら法律の専門家や情報通信の有識者らから国会の同意を得て、首相が任命。別途、専門事項を調査する専門委員を首相が任命できる
  • 行政職員らが取得した通信情報を複製・加工するなどして外部に提供した場合、4年以下の拘禁刑か、200万円以下の罰金

  • 外国間や外国・国内間の通信情報の監視は、政府は監理委員会の事前承認を得て行う

  • 監視期間は原則、外国間が6か月、外国・国内間は3か月

  • 無害化措置は、原則として監理委員会の事前承認が必要
  • 無害化措置は、 まず警察が担う

  • 海外からの「極めて高度に組織的かつ計画的な行為」が行われた場合は、国家公安委員会の要請や同意などを条件に、首相が自衛隊に「通信防護措置」を命じることができる

  • 政府と民間の連携を強化するため、首相が情報共有の協議会を設置

  • 基幹インフラ事業者に被害報告を義務化。報告を怠れば30万円以下の罰金。

 

 法案は2月上旬?に国会に提出される予定...

 


報道...

● NHK

・2025.01.22 「能動的サイバー防御」導入に向けた法案概要 自民 会議で了承


自民党は安全保障調査会などの合同会議を開き、政府が先にまとめた「能動的サイバー防御」の導入に向けた法案の概要をめぐり意見を交わしました。

概要には、電気や鉄道など重要なインフラの関連事業者と協定を結び、サイバー攻撃のおそれがないか監視するため、通信情報を取得できるようにすることや、警察や自衛隊は新たに設置する独立した機関の事前承認を得た上で、攻撃元のサーバーなどにアクセスし、無害化する措置を講じることなどが盛り込まれています。

会議では「独立した機関の関与による歯止めは必要だが実効性に支障が出ないような運用とすべきだ」といった意見や「サイバー攻撃への対処の必要性が国民に十分伝わっておらず、丁寧に説明すべきだ」といった指摘が出され、法案の概要は了承されました。


 

・2025.01.16 「能動的サイバー防御」導入に向け 法案概要を自民に示す 政府


サイバー攻撃を未然に防ぐ「能動的サイバー防御」の導入に向けて、政府は警察や自衛隊が独立した機関の事前承認を得たうえで攻撃元にアクセスし無害化する措置を講じることなどを盛り込んだ法案の概要を自民党に示しました。

...

それによりますと電気や鉄道など重要なインフラの関連事業者と協定を結び、サイバー攻撃のおそれがないか監視するため、通信情報を取得できるようにするとともに、攻撃を受けた場合の報告を義務づけるとしています。

さらに、重大な被害を防ぐため警察や自衛隊は新たに設置する独立した機関の事前承認を得たうえで、攻撃元のサーバーなどにアクセスし無害化する措置を講じることができるとしています。

また、取得した情報を漏えいした場合には罰則を科すとしています。


 

・2025.01.24 「能動的サイバー防御」導入へ 法案の概要まとまる


重大な被害を防ぐため、警察や自衛隊が、独立した機関の事前承認を得たうえで、攻撃元にアクセスし無害化する措置を講じることを盛り込んでいます。




政府は「能動的サイバー防御」の導入に向け、有識者会議の提言に沿って法案の概要をまとめました。

それによりますと、電気や鉄道、通信、放送、金融など重要なインフラの関連事業者と協定を結び、サイバー攻撃のおそれがないか監視するため、通信情報を取得できるようにするとしています。

そして、こうした事業者には攻撃を受けた場合の報告を義務づけます。

さらに重大な被害を防ぐため、警察や自衛隊は、新たに設置する独立した機関の事前承認を得たうえで、攻撃元のサーバーなどにアクセスし無害化する措置を講じることができると明記しています。

このほか、内閣官房にサイバー安全保障の対応にあたる事務次官級の「内閣サイバー官」のポストを新設し、体制を強化するとしています。


 

● 東京新聞

・2025.01.29 戦争にもなりかねず「火遊びのよう」 石破政権が成立目指す「能動的サイバー防御法案」を識者が警戒


防御能力を欧米並みに引き上げるのが狙いだが、監視による憲法の通信の秘密との整合性のほか、他国のサーバーに入り込み「無害化」する措置はサイバー上の先制攻撃に当たるとの指摘もある。情報運用や安全保障上のリスクをどう捉えるべきか。

◆攻撃側サーバーへの侵入を担うのは警察や自衛隊と想定

...

概要はこうだ。政府は攻撃の兆候を探るため平時からサイバー空間を監視。未然に被害を防ぐため、攻撃側のサーバーに侵入して機能を停止させるなどの無害化措置を警察や自衛隊が行う。

 ただ、サイバー空間の監視は憲法21条の「通信の秘密」を侵害しかねないと検討当初から指摘され、課題となってきた。

◆有識者会議「サイバー攻撃を防ぐ目的なら」ネット監視を容認

 これに対し有識者会議は提言で「通信の秘密であっても、(サイバー攻撃を防ぐという)公共の福祉のために必要かつ合理的な制限を受ける」とネット監視を容認する考えを示し、政府の情報収集をチェックする独立した監督機関の設置を提言した。

 内閣官房サイバー安全保障体制整備準備室の担当者は「国や国民生活が脅かされることを念頭に置いた時、通信の秘密にある程度の制限をお願いするのはやむを得ないだろうということ」と説明する。「やむを得ない範囲」にとどめるためにどうするかは今後の法案の中で工夫するとし「独立機関の審査を受けるべきだという有識者会議の提言に従った法案を考えており、懸念はクリアできる」と話した。

◆政府をチェックする第三者機関、その役割は現時点で不明

報道では国家行政組織法3条に基づく第三者機関として独立性をもたせることなどが浮上している。肝心のこの機関について、担当者は「法律が固まるまで明かせない」とした。

 東北大の井原聡名誉教授(科学技術史)は「『公共の福祉』の定義はあいまいで恣意(しい)的に解釈できる。第三者機関を設けるとしているが、政府から独立した厳格な監査機関が不可欠だ。この組織は非常に重要だが、公表されている資料では、どんな内容になるかは分からない」と懸念する。

 どういうことか。「サイバー空間での攻撃は国境を越えて行われる。無害化措置が攻撃と捉えられて報復される恐れもあるだろう。従って無害化措置に踏み出すかどうか、ゴーサインを出す監督機関の役割は重要になる。透明性を持って判断を下さなければならない」

◆責任の所在などあいまい 法案の拙速な成立には専門家も懸念

 ただ、無害化措置については先の提言で「緊急性を意識し、事象や状況の変化に臨機応変に対処可能な制度とする」と指摘されており、事前に監督機関のチェックが受けられない可能性もある。「実際の実施者である警察官や自衛官に非常に大きな権限を持たせることになる。ところがどういう立場の人が担当するのか、責任や役割はどう定義されるのか。これも明らかになっていない」

 石破政権は少数与党であるものの、国民民主党は法案に前向きで会期内の可決成立も見込まれる。井原氏は「サイバー防御は必要」との立場だが「これだけ問題のある法案には反対だ。提案されれば、審議にそれほど多くの時間が割かれることもなく国民があまり注目しないまま成立してしまうのでは」と懸念する。


 

・2025.01.16 通信情報漏えいに罰則 サイバー防御法案全容


  • 能動的サイバー防御導入法案のポイント
    • 収集した通信情報を漏えいした行政職員らの罰則を明記
    • 電気や鉄道など基幹インフラ業種に被害報告を要求
    • 国家行政組織法3条に基づく独立性の高い第三者機関を設置。運用が適正かどうかを監視
    • 攻撃を無害化する対応は、まず警察が担い、自衛隊は高度で組織的な行為が認められた場合に首相命令で対処。原則として第三者基幹の事前承認を義務付け

 

● 読売新聞

・2025.01.26 能動的サイバー法案の全容判明、情報漏えいなら新たな独立機関「監理委」が懲戒要求


憲法が保障する「通信の秘密」を尊重しつつ、通信情報の取得・分析を適正に行うため、新たに独立機関「サイバー通信情報監理委員会」を創設する。監理委には、警察庁や防衛省などサイバー攻撃への対処に関係する職員が情報漏えいした際に、懲戒処分を要求する権限を付与する。


 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.28 内閣官房 内閣サイバー官(特別職、次官級)・国家サイバー統括室の新設と【内閣府】防災監(次官級)の新設(政府の災害対応の司令塔機能の抜本的強化)(2024.12.27)

 

・2024.12.02 内閣官房 サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29)

 

・2024.10.22 参議院常任委員会調査室・特別調査室 「能動的サイバー防御に係る制度構築の方向性と課題」

 

・2024.09.13 自民党 サイバー安全保障分野での対応能力向上に向けた提言 (2024.09.11)

 

・2024.08.29 内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理 (2024.08.07)

・2024.07.13 防衛白書(2024年)

・2024.03.23 国立国会図書館 調査及び立法考査局 サイバーセキュリティの確保と通信の秘密の保護―この 20年の議論と能動的サイバー防御導入等に向けた課題―

・2023.09.23 サイバー領域への軍事的適応の課題:オランダの事例研究 (2023.07.13)

・2023.07.28 防衛白書(2023年) (+ 能動的サイバー防衛...)

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2023.06.17 経団連 サイバー安全保障に関する意見交換会を開催

・2023.05.24 米国 国防総合大学 「統合抑止力とサイバー空間 - 国益追求のためのサイバー作戦の役割を探る論文選集」(2023.05.15)

・2023.04.03 米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.08.23 米国 サイバー司令部:クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

・2021.04.07 ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

 

 

| | Comments (0)

ドイツ BSI 生成的AIモデルV2.0 (2025.01.21)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局が作成している、生成的AIモデルが、整理の仕方の点でよくできているように思います。

継続的に改訂されていくとのことですので、今後も期待できますね...

 

ちなみに、日本も経済産業省の「AI事業者ガイドライン検討会」で検討がされていますね...

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2025.01.21 Generative AI Models: Opportunities and Risks for Industry and Authorities

 

Generative AI Models: Opportunities and Risks for Industry and Authorities 生成的AIモデル: 産業界と規制当局にとってのチャンスとリスク
Generative AI models represent a subset of general-purpose AI models. They are trained on large datasets and learn patterns from the existing data. Subsequently, they can generate new content such as texts, images, music, and videos that also follow these patterns. Due to their high level of generalisation, such models can be applied in a variety of use cases that traditionally require creativity and human understanding. These include applications like translating or classifying texts, processing large datasets, or creating and improving visual representations. 生成的AIモデルは、汎用AIモデルのサブセットである。大規模なデータセットで学習され、既存のデータからパターンを学習する。その後、これらのパターンに従ったテキスト、画像、音楽、動画などの新しいコンテンツを生成することができる。その高い汎化能力により、このようなモデルは、従来は創造性や人間の理解を必要としていた様々なユースケースに適用することができる。これには、テキストの翻訳や分類、大規模なデータセットの処理、視覚的表現の作成や改善などのアプリケーションが含まれる。
However, alongside the opportunities, the use of generative AI models also introduces novel IT security risks and can amplify known cybersecurity threats. In its current version, the publication "Generative AI Models: Opportunities and Risks for Industry and Authorities" provides an overview. In addition to large language models (LLMs), it also considers image and video generators. Furthermore, it outlines possible countermeasures to address these risks. The publication is aimed at companies and public authorities considering the integration of generative AI models into their workflows. It is designed to raise basic security awareness about these models and promote their safe use; it can also serve as a foundation for systematic risk analysis. With the intended exploration of further subfields in generative AI (e.g. audio generators), the publication is continuously updated. しかし、生成的AIモデルの使用は、このようなチャンスと同時に、新たなITセキュリティリスクをもたらし、既知のサイバーセキュリティの脅威を増幅させる可能性もある。現行版では、「生成的AIモデル: 産業界と規制当局にとってのチャンスとリスク」では、その概要を説明している。大規模言語モデルLLM)に加え、画像や映像の生成モデルについても考察している。さらに、これらのリスクに対処するための可能な対策についても概説している。本書は、生成的AIモデルのワークフローへの統合を検討している企業や公的機関を対象としている。また、体系的なリスク分析の基礎としても役立つ。生成的AI(例えば音声ジェネレーター)のさらなるサブフィールドの探求を意図して、本書は継続的に更新される。

 

・[PDF

20250129-64259

・[DOCX][PDF] 仮訳

 

 

4 生成的AIモデルのリスク テキスト イメージ ビデオ
4.1 適切な使用      
R1 モデルの開発者/運営者への依存 X X X
R2 入力データの機密性の欠如 X X X
R3 入力に対する反応が正しくない X X X
R4 出力品質の欠如 X X X
R5 問題のある、バイアスのかかった出力 X X X
R6 生成的コードとコード類似テキストの安全性の欠如 X    
R7 再現性と説明可能性の欠如 X X X
R8 オートメーションバイアス X X X
R9 自己強化効果とモデルの崩壊 X X X
4.2 誤用      
R10 偽造・捏造コンテンツの生成的 X X X
R11 (メディアの)アイデンティティを偽る  X X X
R12 犯罪活動における知識収集と処理 X X  
R13 匿名化されたデータから個人を再特定する X X X
R14 マルウェアの生成と改善 X    
R15 マルウェアの配置 X    
R16 RCE攻撃 X    
4.3 攻撃      
4.3.1 ポイズニング攻撃      
R17 トレーニング・データ・ポイズニング X X X
R18 知識中毒  X X X
R19 モデル・ポイズニング X X X
R20 評価モデル・ポイズニング X X X
R21 前処理コンポーネントを介した毒物混入 X X X
4.3.2 プライバシー攻撃      
R22 学習データの再構築 X X X
R23 反転を埋め込む X X X
R24 モデル窃盗 X X X
R25 コミュニケーションデータおよび保存情報の抽出 X X X
4.3.3 回避攻撃      
R26 プロンプトを直接操作する X X X
R27 自動コンテンツ処理の摂動 X    
R28 間接的プロンプト・インジェクション X    

 

 

5 生成的AIモデルの文脈における対策 運用者 開発者 利用者 テキスト イメージ ビデオ
M1 モデルと運用者の選択 O   U X X X
M2 説明可能性の確保 O D   X X X
M3 AI生成的コンテンツの検知 O D   X X X
M4 トレーニングおよび評価データの管理   D   X X X
M5 トレーニングデータとモデルの完全性の確保   D   X X X
M6 トレーニングデータの品質の確保   D   X X X
M7 機密トレーニングデータの防御   D U X X X
M8 人間のフィードバックからの強化学習   D U X X X
M9 堅牢性を高める O D   X X X
M10 モデル盗難防御   D   X X X
M11 総合テストの実施 O D U X X X
M12 入力の妥当性確認、サニタイズ、フォーマット O D   X X X
M13 アウトプットの妥当性確認とサニタイズ O D   X X X
M14 検索拡張生成 O D   X X X
M15 モデルへのアクセスを制限する O     X X X
M16 利用リスクについての意識向上と情報提供 O D U X X X
M17 LLMベースのアプリケーションの権利を制限する O   U X    
M18 機密データの慎重な取り扱い O   U X X X
M19 ロギングとモニタリング O   U X    
M20 アウトプットの監査と後処理      U X X X

 

 

| | Comments (0)

米国 CISA FBI 注意喚起:Ivantiクラウドサービス・アプリケーションにおける脅威アクター連鎖型脆弱性 (2025.01.22)

こんにちは、丸山満彦です。

CISAとFBIがIvantiクラウドサービス・アプリケーションにおける脅威アクター連鎖型脆弱性について、バージョンアップを薦める警告を出していましたね。。。

中国のアクターが関与している可能性もあり、実害が生じていることから少し警戒モードが上がっている感じですかね...

 

CISA - ITL

・2025.01.22 Threat Actors Chained Vulnerabilities in Ivanti Cloud Service Applications

Alert Code AA25-022A

管理バイパスに関する脆弱性 (CVE-2024-8963)、SQLインジェクションに関する脆弱性 (CVE-2024-9379)、リモートコード実行に関する脆弱性 (CVE-2024-8190, CVE-2024-9380) を組み合わせて、システムに侵入し、認証情報を取得し、ネットワーク内のシステムにWEBシェルを埋め込んでいたようです。

脅威アクターの主な侵入経路は、

のようです...

 

1_20250129040801

 

 

| | Comments (0)

2025.01.28

米国 司法省 北朝鮮IT労働者をリモート雇用させるスキームの関係者を逮捕...(2025.01.23)

こんにちは、丸山満彦です。

北朝鮮が外貨を稼ぐための北朝鮮のIT労働者をリモートで働かせるというスキームに加担したということで、北朝鮮人、メキシコ人、米国人が起訴されていますね...

この件では、2018年から行われていたようです...

日本でも行われているのでしょうね...

 

Department of Justice - Office of Public Affairs

・2025.01.23 Two North Korean Nationals and Three Facilitators Indicted for Multi-Year Fraudulent Remote Information Technology Worker Scheme that Generated Revenue for the Democratic People’s Republic of Korea

 

Two North Korean Nationals and Three Facilitators Indicted for Multi-Year Fraudulent Remote Information Technology Worker Scheme that Generated Revenue for the Democratic People’s Republic of Korea 朝鮮民主主義人民共和国に歳入をもたらした複数年にわたる不正な遠隔情IT労働者スキームについて、2人の北朝鮮国民と3人のファシリテーターが起訴された。
Action is Latest Disruption of U.S.-Based “Laptop Farms” that Deceive U.S. Companies Into Hiring DPRK Nationals 今回の措置は、米国企業を騙して北朝鮮国民を雇用させる米国ベースの「ラップトップ・ファーム」の最新の破壊行為である。
Note: View the indictment here. 注:起訴状はこちら
The Justice Department today announced the indictment of North Korean nationals Jin Sung-Il (진성일) and Pak Jin-Song (박진성), Mexican national Pedro Ernesto Alonso De Los Reyes, and U.S. nationals Erick Ntekereze Prince and Emanuel Ashtor for a fraudulent scheme to obtain remote information technology (IT) work with U.S. companies that generated revenue for the Democratic People’s Republic of Korea (DPRK or North Korea). 司法省は本日、北朝鮮国籍のジン・ソンイル(진성일)とパク・ジンソン(박진성)、メキシコ国籍のペドロ・エルネスト・アロンソ・デ・ロス・レイエス(Pedro Ernesto Alonso De Los Reyes)、米国国籍のエリック・ンテケレ(Erick Ntekere)の起訴を発表した。米国籍のエリック・ンテケレゼ・プリンスとエマニュエル・アシュターは、朝鮮民主主義人民共和国(DPRKまたは北朝鮮)のために収益を生み出す米国企業との遠隔情報技術(IT)業務を得るための詐欺的スキームで逮捕された。
“The Department of Justice remains committed to disrupting North Korea’s cyber-enabled sanctions-evading schemes, which seek to trick U.S. companies into funding the North Korean regime’s priorities, including its weapons programs,” said Supervisory Official Devin DeBacker of the Justice Department's National Security Division. “Our commitment includes the vigorous pursuit of both the North Korean actors and those providing them with material support. It also includes standing side-by-side with U.S. companies to not only disrupt ongoing victimization, but also to help them independently detect and prevent such schemes in the future.” 「司法省は、北朝鮮のサイバー制裁回避スキームを阻止することに引き続き全力を尽くしている。このスキームは、米国企業を騙して、兵器プログラムを含む北朝鮮政権の優先事項に資金を提供させようとするものである。「我々のコミットメントには、北朝鮮の行為者と、彼らに物質的支援を提供する者の両方を精力的に追求することが含まれる。また、現在進行中の被害を阻止するだけでなく、将来的にこのような企てを独自に検知し、防止することを支援するために、米国企業と肩を並べることも含まれる。
“FBI investigation has uncovered a years-long plot to install North Korean IT workers as remote employees to generate revenue for the DPRK regime and evade sanctions,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “The indictments announced today should highlight to all American companies the risk posed by the North Korean government. As always, the FBI is available to assist victims of the DPRK. Please reach out to your local FBI field office should you have any questions or concerns.” 「FBIサイバー課のブライアン・ボルドラン課長補佐は、「FBIの捜査により、北朝鮮のIT労働者をリモート従業員として雇い、北朝鮮政権に収益をもたらし、制裁を逃れようとする数年にわたる陰謀が明らかになった。「本日発表された起訴は、すべてのアメリカ企業に北朝鮮政府がもたらすリスクを浮き彫りにするものだ。これまで通り、FBIは北朝鮮による被害者を支援する。ご質問やご不明な点がありましたら、お近くのFBI支部にご連絡ください。」
According to the indictment, over the course of their scheme, from approximately April 2018 through August 2024, the defendants and their unindicted co-conspirators obtained work from at least sixty-four U.S. companies. Payments from ten of those companies generated at least $866,255 in revenue, most of which the defendants then laundered through a Chinese bank account. As part of this prosecution, the FBI arrested Ntekereze and Ashtor and executed a search of Ashtor’s residence in North Carolina, where he previously operated a “laptop farm” that hosted victim company-provided laptops to deceive companies into thinking they had hired U.S.-located workers. Alonso was arrested in the Netherlands on Jan. 10, pursuant to an arrest warrant from the United States. 起訴状によると、2018年4月から2024年8月までのスキームの過程で、被告とその未起訴の共謀者は、少なくとも64の米国企業から仕事を得ていた。そのうちの10社からの支払いで少なくとも86万6,255ドルの収益が発生し、その大半を被告らは中国の銀行口座を通じて洗浄した。この起訴の一環として、FBIはNtekerezeとAshtorを逮捕し、ノースカロライナ州にあるAshtorの住居を捜索した。Ashtorは以前、企業が米国に所在する労働者を雇ったと誤認させるために、被害者の企業が提供したラップトップをホストする「ラップトップ・ファーム」を運営していた。アロンソは米国からの逮捕状に従い、1月10日にオランダで逮捕された。
The DPRK has dispatched thousands of skilled IT workers to live abroad, primarily in China and Russia, with the aim of deceiving U.S. and other businesses worldwide into hiring them as freelance IT workers to generate revenue for the regime. DPRK IT worker schemes involve the use of pseudonymous email, social media, payment platform and online job site accounts, as well as false websites, proxy computers, and witting and unwitting third parties located in the United States and elsewhere. As described in a May 2022 tri-seal public service advisory released by the FBI, and State and Treasury Departments, such IT workers have been known individually earn up to $300,000 annually, generating hundreds of millions of dollars collectively each year, on behalf of designated entities, such as the North Korean Ministry of Defense and others directly involved in the DPRK’s weapons of mass destruction programs. 朝鮮民主主義人民共和国は、数千人の熟練IT労働者を海外、主に中国とロシアに派遣し、米国やその他の世界中の企業を欺き、フリーランスのIT労働者として雇用させ、政権に収益をもたらすことを目的としている。朝鮮民主主義人民共和国のIT労働者スキームは、偽名の電子メール、ソーシャルメディア、支払いプラットフォーム、オンライン求人サイトのアカウント、偽のウェブサイト、プロキシコンピュータ、米国やその他の場所にいる故意または無意識の第三者を使用する。FBIと国務省、財務省が2022年5月に発表した三者間公示に記載されているように、このようなIT労働者は、北朝鮮国防総省や北朝鮮の大量破壊兵器プログラムに直接関与しているその他の事業体などの指定された事業体のために、個人で年間最高30万ドルを稼ぎ、集団で毎年数億ドルを生み出していることが知られている。
According to the indictment, the defendants used forged and stolen identity documents, including U.S. passports containing the stolen personally identifiable information of a U.S. person, to conceal the true identities of Jin, Pak, and other North Korean co-conspirators, so that these North Korean nationals could circumvent sanctions and other laws to obtain employment with U.S. companies. Ntekereze and Ashtor received laptops from U.S. company employers at their residences, downloading and installing remote access software on them, without authorization, to facilitate IT worker access and to perpetuate the deception of U.S. companies. The defendants further conspired to launder payments for the remote IT work through a variety of accounts designed to promote the scheme and conceal its proceeds. 起訴状によると、被告らは、米国人の個人を特定できる情報を盗んだ米国パスポートを含む偽造・盗難身分証明書を使用し、ジン、パク、その他の北朝鮮の共謀者の真の身元を隠し、これらの北朝鮮国民が制裁やその他の法律を回避して米国企業に就職できるようにした。NtekerezeとAshtorは、ITワーカーのアクセスを容易にし、米国企業を欺くことを永続させるために、米国企業の雇用主からノートパソコンを受け取り、認可を得ずにリモートアクセスソフトウェアをダウンロードしてインストールした。被告らはさらに、この計画を推進し、その収益を隠蔽するために設計された様々な口座を通じて、リモートIT作業に対する支払いを洗浄することを共謀した。
All five defendants are charged with conspiracy to cause damage to a protected computer, conspiracy to commit wire fraud and mail fraud, conspiracy to commit money laundering, and conspiracy to transfer false identification documents. Jin and Pak are charged with conspiracy to violate the International Emergency Economic Powers Act. If convicted, the defendants face a maximum penalty of 20 years in prison. A federal district court judge will determine the sentence of each defendant after considering the U.S. Sentencing Guidelines and other statutory factors. 被告5人全員は、防御用コンピューターに損害を与えた共謀、電信詐欺と郵便詐欺の共謀、マネーロンダリングの共謀、虚偽の身分証明書を譲渡した共謀で起訴されている。ジンとパクは、国際緊急経済権限法違反の共謀で起訴されている。有罪判決を受けた場合、被告らは最高で禁固20年の刑に処される。連邦地裁判事は、米国量刑ガイドラインおよびその他の法定要素を考慮した上で、各被告の量刑を決定する。
Under the Department-wide “DPRK RevGen: Domestic Enabler Initiative,” launched in March 2024 by the National Security Division and the FBI’s Cyber and Counterintelligence Divisions, Department prosecutors and agents are prioritizing the identification and shuttering of U.S.-based “laptop farms” – locations hosting laptops provided by victim U.S. companies to individuals they believed were legitimate U.S.-based freelance IT workers – and the investigation and prosecution of individuals hosting them. Today’s announcement follows successful actions taken by the Department in October 2023, May 2024, August 2024, and December 2024, which targeted similar and related conduct. 朝鮮民主主義人民共和国全土を対象とする「DPRK RevGen: 国家安全保障部とFBIのサイバーおよび防諜ディビジョンが2024年3月に開始した「国内イネイブラー・イニシアチブ」の下、同省の検察官と捜査官は、米国を拠点とする「ラップトップ・ファーム」(被害者である米国企業から、米国を拠点とする合法的なフリーランスIT労働者と思われる個人に提供されたラップトップをホストしている場所)の特定と閉鎖、およびそれらをホストしている個人の捜査と起訴を優先している。本日の発表は、同局が2023年10月、2024年5月、2024年8月、2024年12月に実施した類似・関連行為を対象とした措置の成功に続くものである。
The FBI Miami Field Office is investigating the case. FBIマイアミ支局が本件を捜査している。
Assistant U.S. Attorneys Jonathan Stratton and Sean Cronin for the Southern District of Florida and Trial Attorney Gregory J. Nicosia, Jr. of the National Security Division’s National Security Cyber Section are prosecuting the case. Substantial assistance was also provided by Tracy Varghese and Menno Goedman of the National Security Division’s Counterintelligence and Export Control Section and the Justice Department’s Office of International Affairs. フロリダ州南部地区担当のジョナサン・ストラットン、ショーン・クローニン両米国弁護士補と、国家安全保障部国家安全保障サイバー課のグレゴリー・J・ニコシア・ジュニア裁判長がこの事件を起訴している。また、国家安全保障部防諜・輸出管理課のトレイシー・ヴァルゲーズとメンノ・ゲードマン、司法省国際局からも多大な協力を得た。
The FBI, in conjunction with the State and Treasury Departments, issued a May 2022 advisory to alert the international community, private sector, and public about the North Korea IT worker threat. Updated guidance was issued in October 2023 by the United States and the Republic of Korea (South Korea) and in May 2024 by the FBI, which include indicators to watch for that are consistent with the North Korea IT worker fraud and the use of U.S.-based laptop farms. Today, the FBI issued additional guidance regarding extortion and theft of sensitive company data by North Korean IT workers, along with recommended mitigations. FBIは2022年5月、国務省および財務省とともに、北朝鮮のIT労働者の脅威について国際社会、民間部門、一般市民に注意を喚起するための勧告を発表した。米国と大韓民国(韓国)は2023年10月に、FBIは2024年5月に、北朝鮮のIT労働者詐欺や米国を拠点とするラップトップファームの使用に一致する注意すべき指標を含む更新ガイダンスを発表した。本日FBIは、北朝鮮IT労働者による恐喝や企業の機密データの窃盗に関して、推奨される緩和策とともに追加ガイダンスを発表した。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 起訴は単なる申し立てに過ぎない。法廷で合理的な疑いを超えて有罪が証明されるまでは、すべての被告は無罪と推定される。

 

起訴状...

20250128-125323

 

| | Comments (0)

総務省 意見募集 「eシールに係る認定制度の関係規程策定のための有識者会議取りまとめ(案)」及び 「eシールに係る認証業務の認定に関する規程(案)」

こんにちは、丸山満彦です。

総務省が、「eシールに係る認定制度の関係規程策定のための有識者会議取りまとめ(案)」及び 「eシールに係る認証業務の認定に関する規程(案)」を公表し、意見募集をしていますね...

eシールは会社印のようなもので、欧州ではeIDASの中で電子シールとして規定されているものですね...日本でもその制度化に向けて動き出しているというところです...

紙で社印をおしていた文書が電子化されるとeシールをついたデータということだと思いますが、紙と異なり電子だとそれが本物だということを証明するのに、少し手間がかかりますね。。。それでも、紙に印刷して社印を押すという作業と比較すれば、ずいぶんと時間とコストの削減にはなると思うんですけどね...

eシールがついたデータは出所又は起源がわかり、そのデータが改変が行われていないことがわかるということですよね...

 

PKIの監査については、ちゃんとしたルールを作った方が良いですよね...一般的に認定のための確認作業についての一定のルールが必要だと思うんですよね...WebTrustのような...

できれば、保証水準に段階があればよいと思います...

 

eシール認証業務の認定基準は総務省告示の予定です...

告示の根拠は、総務省設置法4条第1項第60号の規定

58 符号、音響、影像その他の情報の電磁的方式による発信、伝送又は受信(以下「情報の電磁的流通」という。)のための有線又は無線の施設の設置及び使用の規律並びにこれらの施設の整備の促進に関すること。
59 国際放送その他の本邦と外国との間の情報の電磁的流通の促進に関すること。
60 前二号に掲げるもののほか、情報の電磁的流通の規律及び振興に関すること。

ということのようです...

 

総務省

・2025.01.27 「eシールに係る認定制度の関係規程策定のための有識者会議取りまとめ(案)」及び 「eシールに係る認証業務の認定に関する規程(案)」に対する意見募集

意見募集対象ですが...

 

別紙1「eシールに係る認定制度の関係規程策定のための有識者会議取りまとめ(案)」

20250128-54432

 

別紙2 「eシールに係る認証業務の認定に関する規程(案)」

20250128-54714

 

 

eシールに係る認定制度の関係規程策定のための有識者会議

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.12 総務省 「ICTサイバーセキュリティ政策の中期重点方針」(案)に対する意見募集 (2024.07.01)

・2024.04.23 総務省 「eシールに係る検討会 最終取りまとめ」、「eシールに係る指針(第2版)」及び意見募集の結果の公表 (2024.04.16)

・2023.04.13 総務省 我が国におけるeシールサービスの状況等に関する情報提供依頼

・2020.12.06 ENISA 第19条専門家グループ第16回会合:eIDAS監督機関等の53名の専門家が信託サービスのセキュリティとインシデント報告に関する情報を交換

・2020.11.13 JIPDEC 第98回JIPDECセミナー 「eシールとは? —内外での活用状況からJIPDECの取組みまで」資料公開

・2020.04.21 会社認印電子版?=>総務省 組織が発行するデータの信頼性を確保する制度に関する検討会


 

Continue reading "総務省 意見募集 「eシールに係る認定制度の関係規程策定のための有識者会議取りまとめ(案)」及び 「eシールに係る認証業務の認定に関する規程(案)」"

| | Comments (0)

2025.01.27

英国 現代的デジタル政府のための青写真 (2025.01.21)

こんにちは、丸山満彦です。

英国政府が、デジタル政府の現状と、現代的デジタル政府のための青写真という2つの文書を議会に提出していますね...

こちらは、現代的デジタル政府のための青写真のほうです...

デジタル政府の現状で認識された課題を克服して、どういうデジタル政府を目指すのか、どうやって目指すのか?という感じですかね...

 

英国政府の文書では、このブログでAI Opportunities Action Plan(AI機会行動計画)を紹介しましたが、この2つの文書もなかなか興味深いです。

 

 

GOV.UK

・2025.01.21 A blueprint for modern digital government

Policy paper A blueprint for modern digital government 政策文書 現代的デジタル政府のための青写真
A long-term vision for digital public services, a 6-point plan for reform, and the role of the new digital centre of government. デジタル公共サービスの長期ビジョン、改革に向けた6つの計画、政府の新しいデジタルセンターの役割。

 

 

目次...

・[HTML] A blueprint for modern digital government

Secretary of State foreword 国務長官まえがき
Executive summary エグゼクティブサマリー
The case for change 変化のケース
The vision for modern digital government 現代デジタル政府のビジョン
A six-point plan for public sector digital reform 公共部門デジタル改革のための6点プラン
Driving this change この変化を推進する
Next steps 次のステップ
Section 1 The case for change セクション1:変化のケース
Context コンテクスト
The State of Digital Government デジタル政府の現状
Section 2 The vision for modern digital government  セクション2:現代デジタル政府のビジョン
What we want to deliver  私たちが実現したいこと
Section 3: Making it happen: a six-point plan for government digital reform セクション3:実現させる:政府デジタル改革のための6項目計画
Progress since 2022  2022年以降の進展
What is different this time?  今回は何が違うのか?
1. Join up public sector services  1. 公共部門のサービスを統合する
2. Harness the power of AI for the public good  2. 公共の利益のためにAIの力を活用する
3. Strengthen and extend our digital and data public infrastructure  3. デジタルとデータの公共インフラを強化・拡張する
4. Elevate leadership, invest in talent  4. リーダーシップを高め、人材に投資する
5. Fund for outcomes, procure for growth and innovation  5. 成果のための資金調達、成長とイノベーションのための調達
6. Commit to transparency, drive accountability  6. 透明性へのコミット、説明責任の推進
Section 4 Driving this change  セクション4:この変化の推進
The digital centre’s scope and remit  デジタル・センターの範囲と任務
Changes in focus  焦点の変更
What this will feel like for the public sector  公共部門にとってどのように感じられるか
What this will feel like for suppliers and the UK tech sector  供給業者と英国のハイテク部門にとってどのように感じられるか
What this will feel like for civil society and local communities  市民社会と地域社会にとってどのように感じられるか
Section 5 Next steps  セクション5:次のステップ
Kickstarters to kick things off  キックスターターによるキックオフ
Addressing the big challenges  大きな課題への取り組み
Annex: The new Government Digital Service  附属書:新しい政府デジタル・サービス
At a glance guide to the remit of the digital centre  デジタル・センターの任務に関する一目瞭然のガイド

 

 

国務長官まえがき...

Secretary of State foreword 国務長官まえがき
The UK public sector has some digital services to be proud of, including those that help millions of people do things like apply for Universal Credit, Register to Vote, check for flood warnings, get an MOT test reminder, and order repeat prescriptions with the NHS app. Behind the scenes, there are supporting products like Pay, Notify and One Login, providing invaluable help for the teams that build the services. 英国の公共部門には、ユニバーサル・クレジットの申請、選挙人登録、洪水警報の確認、MOTテストのリマインダーの取得、NHSアプリを使った処方箋の再注文など、何百万人もの人々を支援するデジタル・サービスがある。舞台裏では、Pay、Notify、One Loginなどのサポート製品があり、サービスを構築するチームに貴重な支援を提供している。
Yet it’s easy to see these successes as entirely unremarkable. Across society, people’s expectations are higher, and they keep rising. So your service is available on a phone? So what? Of course it is. That’s the bare minimum that most people expect, most of the time. Too many of our services still fall short of these basic expectations. しかし、これらの成功をまったく目立たないものと見なすのは簡単だ。社会全体において、人々の期待はより高いものとなり、それは上昇の一途をたどっている。では、あなたのサービスは携帯電話で利用できるのか?それがどうした?もちろんそうだ。それは、ほとんどの人が期待する最低限のものだ。しかし、あまりにも多くのサービスが、こうした基本的な期待を下回っている。
It’s vital that government understands and responds to this. We’re still a long way from building a truly digital state - one where services work across institutional boundaries, and where digital credentials enable a more timesaving, personalised user experience. Lots of public sector services stretch across the remit of many central departments, local authority teams, and NHS trusts. There’s a lot we can do to link those services up, while reducing the bureaucratic burden on the public to remember dozens of different accounts and passwords. 政府がこのことを理解し、対応することが不可欠だ。真にデジタルな国家を築くには、まだ長い道のりがある。すなわち、サービスが機構の垣根を越えて機能し、デジタル証明書がより時間節約的でパーソナライズされたユーザー体験を可能にする国家である。公共部門のサービスの多くは、多くの中央省庁、地方自治体、NHSのトラスト(受託機関)にまたがっている。これらのサービスを連携させ、国民が何十もの異なるアカウントやパスワードを覚える官僚的負担を軽減するために、私たちができることはたくさんある。
It’s also vital that government responds to rapid advances in technology. Artificial intelligence (AI) is a paradigm shift, bringing substantial new opportunities that we must explore, understand and embrace - responsibly.  政府がテクノロジーの急速な進歩に対応することも不可欠だ。人工知能(AI)はパラダイムシフトであり、私たちが責任を持って探求し、理解し、受け入れなければならない実質的な新しい機会をもたらす。
There’s a con to every pro - the more we use technology, the greater the risk from technological threats. So we must protect against them. The more we use technology, the harder we must work to serve people who are less able to use it, or less confident using it.  テクノロジーを使えば使うほど、テクノロジーの脅威によるリスクは高まる。だから我々は脅威から守らなければならない。テクノロジーを使えば使うほど、テクノロジーを使いこなせない人々や、テクノロジーを使う自信がない人々にサービスを提供するために努力しなければならない。
It’s not enough for government to just ‘keep up’ with the scale of change happening all around us. We have to understand it, use it, and shape it. And we must grasp every opportunity to drive greater value for money for the taxpayer. 政府は、私たちの周りで起こっている変化の規模に「ついていく」だけでは十分ではない。私たちはそれを理解し、利用し、形成しなければならない。そして、納税者により大きな価値をもたらすために、あらゆる機会をとらえなければならない。
The newly formed digital centre of government has been set up to lead work that’s more than just a change – it will help catalyse a wholesale reshaping of the public sector, reaching out to local government, the NHS, and the private sector too. 新たに設立されたデジタル・センター・オブ・ガバメントは、単なる変革にとどまらず、地方政府、NHS、そして民間部門にも手を差し伸べ、公共部門の全体的な再構築の触媒となるような仕事を主導するために設立された。
This document sets out how we see the current state of play, our vision for what the future might look like, and a plan for reaching it. I’d like to thank members of the external advisory panel, my ministerial colleagues and digital transformation leaders in departments for helping to create it. この文書では、私たちが現状をどのように見ているのか、将来はどのような姿になるのかというビジョン、そしてそれに到達するための計画を示している。この文書の作成に協力してくれた外部諮問委員会のメンバー、私の同僚閣僚、各省のデジタルトランスフォーメーション・リーダーたちに感謝したい。
It offers a long-term view that will take many years to bring about. This plan is only the starting point.  この計画は、実現に何年もかかるであろう長期的な展望を提供するものである。この計画は出発点に過ぎない。
Rt Hon Peter Kyle MP Rt Hon Peter Kyle MP
Secretary of State for Science, Innovation and Technology 科学・イノベーション・技術担当国務長官

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
1. The case for change 1. 変革のケース
Despite the work of digital teams across the public sector to deliver better designed, time-saving public services, progress over the last 15 years has been uneven, and it hasn’t been fast or systemic enough.  公共部門全体のデジタルチームが、より良い設計と時間節約の公共サービスを提供するために活動しているにもかかわらず、過去15年間の進歩にはばらつきがあり、十分なスピードと体系的なものではなかった。
Rapid advances in AI make it possible to transform our public services at a faster pace than ever before. But while new technology presents us with ever-expanding possibilities to improve the way that government delivers for the public, it also demands that our people have the right skills and are enabled to work together across organisational boundaries. AIの急速な進歩は、公共サービスをかつてないスピードで変革することを可能にしている。しかし、新しいテクノロジーは、政府が市民のために提供する方法を改善する可能性を拡大し続ける一方で、職員が適切なスキルを持ち、組織の境界を越えて協働できるようにすることも求めている。
The State of Digital Government Review published alongside this paper has identified deep systemic challenges: institutionalised fragmentation; persistent legacy, cyber and resilience risk; siloed data; under-digitisation; inconsistent leadership; a skills shortfall; diffuse buying power; and outdated funding models. 本ペーパーと同時に発表された「デジタル政府の現状レビュー」では、制度化された分断、レガシー、サイバー、レジリエンスリスクの持続、サイロ化されたデータ、デジタル化不足、一貫性のないリーダーシップ、スキル不足、購買力の拡散、時代遅れの資金調達モデルといった、深い制度的課題が指摘されている。
Addressing these means a fundamental shift - for whole organisations, not just digital teams. We must not underestimate the scale of the changes and challenges ahead. We need to adopt a digital-first operating model where we treat digital leadership skills as essential for senior leaders, redesign our services, and how we work, and use shared digital and data infrastructure to meet common needs. It must be underpinned by new funding models which support safe, sustainable services. And digital inclusion must be at the heart of how we do this, ensuring as many people as possible can access public services digitally, and that we support the digitally excluded. これらに対処することは、デジタルチームだけでなく、組織全体の根本的な転換を意味する。これからの変化と挑戦の規模を過小評価してはならない。私たちは、デジタル・リーダーシップ・スキルをシニア・リーダーに不可欠なものとして扱い、私たちのサービスや働き方を再設計し、共通のニーズを満たすために共有デジタル・データ・インフラを利用する、デジタル・ファーストの運営モデルを採用する必要がある。そして、安全で持続可能なサービスを支える新たな資金調達モデルに支えられなければならない。そして、デジタル・インクルージョンは、可能な限り多くの人々がデジタルで公共サービスにアクセスできるようにし、デジタルから排除された人々を支援することで、これを実現する方法の中核をなすものでなければならない。
2. The vision for modern digital government 2. 現代デジタル政府のビジョン
The vision for modern digital government in the UK is to enable the following outcomes:  英国における現代デジタル政府のビジョンは、以下のガバナンスを実現することである: 
Easier lives: delivering transparent, next-generation public services that do the hard work for the public, can be accessed and used by everyone who needs them, and are designed around the user. より快適な生活:透明性の高い次世代公共サービスを提供することで、市民のために大変な仕事をこなし、それを必要とするすべての人がアクセスし、利用することができ、利用者を中心に設計されている。
Faster growth: helping businesses start and scale by delivering services that work as well as they do for citizens. より速い成長:市民のためと同様に機能するサービスを提供することで、事業の立ち上げと拡大を支援する。
Firmer foundations: securing public services so they are trustworthy and resilient.  より強固な基盤:公共サービスの信頼性とレジリエンスを確保する。
Smarter organisations: changing how delivery is done to embed the right ways of working, moving at the same pace that people’s lives do, and working as agile, user-centred, multidisciplinary teams by default. よりスマートな組織:適切な働き方を定着させるために、サービスの提供方法を変え、人々の生活と同じペースで動き、アジャイルで、ユーザー中心の、学際的なチームとして働くことをデフォルトとする。
Higher productivity and efficiency: saving public money, delivering outstanding public services at a price we can afford, and enabling front-line workers to focus on delivery. 生産性と効率性の向上:公的資金を節約し、卓越した公共サービスを手頃な価格で提供し、第一線で働く人々がサービスの提供に専念できるようにする。
3. A six-point plan for public sector digital reform 3. 公共部門デジタル改革のための6つの計画
Transforming government for the digital era will not be straightforward. We’ve identified a set of six priorities to help us get there:  デジタル時代に向けた政府のガバナンス改革は一筋縄ではいかない。我々は、そこに到達するための6つの優先事項を特定した: 
Join up public sector services: enabling next-generation public services, better supporting businesses, redesigning cross-organisation end-to-end service delivery, ensuring services are consistently high standard, and acting as one public sector. 公共部門サービスの統合:次世代公共サービスの実現、ビジネス支援の改善、組織横断的なエンド・ツー・エンドのサービス提供の再設計、一貫して標準の高いサービスの確保、1つの公共部門としての行動。
Harness the power of AI for the public good: establishing an AI adoption unit to build and deploy AI into public services, growing AI capacity and capability across government, and building trust, responsibility and accountability into all we do. 公共利益のためにAIのパワーを活用する:公共サービスにAIを構築・展開するためのAI採用ユニットを設立し、政府全体でAIの能力と能力を向上させ、信頼、責任、説明責任をすべての行動に組み込む。
Strengthen and extend our digital and data public infrastructure: expanding GOV.UK One Login and other common components, enabling access to data through the National Data Library, strengthening cyber and technical resilience and building more responsibly. デジタルとデータの公共インフラを強化・拡張する:GOV.UK One Loginとその他の共通コンポーネントを拡大し、National Data Libraryを通じてデータへのアクセスを可能にし、サイバーと技術的レジリエンスを強化し、より責任ある建物を建設する。
Elevate leadership, invest in talent: elevating digital leadership to the centre of public sector decision-making, investing in the digital and data profession and competing for talent and raising the digital skills baseline for all public servants. リーダーシップを高め、人材に投資する:デジタル・リーダーシップを公共部門の意思決定の中心に据え、デジタルとデータの専門職に投資し、人材を獲得し、すべての公務員のデジタル・スキルのベースラインを引き上げる。
Fund for outcomes, procure for growth and innovation: reforming government’s approach to funding digital and technology and maximising the value and potential of public procurement. 成果のための資金、成長とイノベーションのための調達:デジタルとテクノロジーに資金を提供する政府のアプローチを改革し、公共調達の価値と可能性を最大化する。
Commit to transparency, drive accountability: publishing and acting more on performance data, and doing more of the work of government ‘in the open’ so that people can help shape changes that affect them. 透明性をガバナンスし、アカウンタビリティを推進する:パフォーマンス・データを公表し、それに基づいて行動し、政府の仕事を「オープンに」することで、国民が自分たちに影響を与える変化の形成に貢献できるようにする。
4. Driving this change 4. この変革の推進
This change will be led by the new digital centre of government. The digital centre exists to serve the public, departments and the wider public sector. It will be magnetic: the home of specialist expertise in digital service design, artificial intelligence and other areas. It will be catalytic: enabling teams to work together more easily to deliver the government’s missions and power public sector reform. It will be strategic: ensuring that the use of digital in the public sector drives efficiency and productivity gains, and helping to accelerate economic growth.  この変革は、政府の新しいデジタルセンターが主導する。デジタル・センターは、国民、各省庁、より広範な公共部門に奉仕するために存在する。デジタル・センターは、デジタル・サービス・デザイン、人工知能、その他の分野の専門家の拠点となる。触媒的である:政府のミッションを実現し、公共部門改革を推進するために、チームがより簡単に協力できるようにする。戦略的:公共部門におけるデジタルの活用が効率性と生産性の向上を促進し、経済成長を加速させることを確実にする。
And it will be collegiate: working in partnership with colleagues across and beyond the public sector - including over time with local councils, police forces and arm’s length bodies (ALBs) - who will continue to be home to the vast majority of digital, data and technology specialists. また、公共部門内外の同僚(地方議会、警察、独立行政法人(ALB)を含む)と連携し、デジタル、データ、テクノロジーのスペシャリストの大半を擁し続ける。
The public sector cannot deliver next-generation public services alone: we need to work in partnership with industry and civil society to drive digital change in the public sector but also to support growth in the UK tech sector.  公共部門は、単独で次世代の公共サービスを提供することはできない。我々は、産業界や市民社会と連携して、公共部門のデジタル変革を推進するとともに、英国のハイテク部門の成長を支援する必要がある。
5. Next steps 5. 次のステップ
Today we are: 今日、我々は次のことを行っている:
Launching the new digital centre of government, to be known as the Government Digital Service. 政府の新たなデジタルセンター(デジタルサービス)を立ち上げる。
Announcing five ‘kickstarter’ tests and products, including a GOV.UK App.  GOV.UKアプリを含む5つの「キックスターター」テストと製品を発表する。
Launching new collaborations to accelerate work in priority areas, such as in local government and with the Government Commercial Function. 地方自治体や政府商業機能など、優先分野での作業を加速させるための新たなコラボレーションを開始する。
This document is the start of a conversation: there’s lots more to do. Over the coming months, we’ll co-develop a new Government Digital & AI Roadmap, to set out our collective priorities and how they will help drive the government’s missions and public sector reform. We’ll do this in parallel with the second phase of the Spending Review. We’ll work in the open as we go, seeking input and collaboration from colleagues across central government, the wider public sector, civil society, and tech companies. この文書は対話の始まりである。今後数ヶ月の間に、我々は新しいガバメント・デジタル&AIロードマップを共同開発し、我々の総体的な優先事項と、それらが政府のミッションと公共部門改革の推進にどのように役立つかを示す。これは、歳出見直しの第2段階と並行して行う。我々は、中央政府、より広い公共部門、市民社会、そしてテック企業の同僚からの意見や協力を求めながら、オープンに作業を進めていく。

 

 ・[PDF]

20250127-50510

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.27 英国 現代的デジタル政府のための青写真 (2025.01.21)

・2025.01.26 英国 AI機会行動計画 (2025.01.13)

 

| | Comments (0)

英国 デジタル政府の現状 (2025.01.21)

こんにちは、丸山満彦です。

英国政府が、デジタル政府の現状と、現代的デジタル政府のための青写真という2つの文書を議会に提出していますね...

こちらは、デジタル政府の現状のほうです...

現代的デジタル政府のための青写真という将来の目指す方向やそれをどのようにして実現するのか?を考える上でのAS-ISの把握というところでしょうか...

 

英国政府の文書では、このブログでAI Opportunities Action Plan(AI機会行動計画)を紹介しましたが、この2つの文書もなかなか興味深いです。

英国政府は継続的に必要と思われるデータを取得し、データに基づく政策をしていますから、改善の際にも効果的な対策ができるような気がします...

政策の際にもVFMの観点で調査し、そして監査もしますからね...

英国政府のデジタル化の課題についてまとめていますが、これは日本政府に当てはまるかもしれないので、日本政府に向けて書かれたものと思い込んで対応をしてみると80%くらいうまくいくかも(^^)...

 

5つの根本原因...

  1. リーダーシップ
  2. 構造
  3. 測定
  4. 人材
  5. 資金調達
1. Leadership 1. リーダーシップ
There is little reward for prioritising an agenda of service digitisation, reliability, or risk mitigation. Organisational leaders are not paid, promoted, or valued for doing so. Digital does not shape and drive the organisational agenda. サービスのデジタル化、信頼性、リスク緩和のアジェンダを優先しても、ほとんど報われない。組織のリーダーは、デジタル化を推進することに対し、報酬も昇進も評価もされない。デジタルが組織のアジェンダを形成し、推進することがない。
2. Structure 2. 構造
Fragmentation is a feature of the system. Public sector organisations are independent bodies with limited mechanisms to contract services from each other. Most choose to build and maintain their own technology estate, inhibiting standardisation, interoperability and reuse, and constraining the ability to benefit from scale. Architectural design, product management, operations, and development are inconsistent between organisations. The public is presented with fragmented services and expected to make sense of them. 細分化はシステムの特徴である。公共部門は独立団体であり、相互にサービスを契約する仕組みは限られている。ほとんどの組織は、独自の技術資産を構築し維持することを選択し、標準化、相互運用性、再利用を阻害し、規模の恩恵を受ける能力を制約している。アーキテクチャの設計、製品管理、運用、開発は、組織間で一貫性がない。国民は断片的なサービスを見せられ、それを理解することを求められる。
3. Measurement 3. 測定
The public sector does not have consistent metrics of digital performance. Aggregate data about service quality, user experience, cost and risk exposure is not available without dedicated, periodic effort such as the production of this report. 公共部門は、デジタル・パフォーマンスの一貫した測定基準を持っていない。サービス品質、ユーザー・エクスペリエンス、コスト、リスク・エクスポージャーに関する集計データは、本レポートのような専用かつ定期的な取り組みなしには入手できない。
4. Talent 4. 人材
Compensation and career path progression are uncompetitive with the private sector, especially for senior leaders. A lack of integrated cross-government workforce strategy limits recognition of specialist skill needs and prevents realisation of efficiencies longer term. Headcount restrictions intended to constrain spend have shifted cost and talent to third-party contractors, managed services and IT consultants, also degrading institutional knowledge. 報酬とキャリアパスは、特にシニアリーダーにとって、民間企業との競争力がない。政府を横断する統合的な人材戦略の欠如により、専門スキルのニーズの認識が制限され、長期的な効率性の実現が妨げられている。支出抑制を目的とした人員制限により、コストと人材がサードパーティ、マネージドサービス、ITコンサルタントにシフトし、制度的知識も低下している。
5. Funding 5. 資金調達
Spend is biased towards new programmes with insufficient prioritisation of the effective operation and maintenance of existing systems, especially legacy assets. New or urgent legislation often comes without additional funding, forcing re-prioritisation of previously allocated budgets. This presents an acute challenge for digital and data projects as funding has shifted from capital purchase towards subscription-based, increasing the reliance on committed ongoing funding. 既存システム(特にレガシー資産)の効果的な運用と保守の優先順位付けが不十分で、新規プロ グラムに支出が偏っている。新しい法律や緊急の法律が追加資金なしで制定されることも多く、以前割り当てられた予算の再優先化を余儀なくされる。資金調達が資本購入からサブスクリプション・ベースに移行し、継続的な資金調達への依存度が高まっているためである。

 

 調査結果のポイント...

Users expect more.  利用者はより多くを期待している。
Services are under-digitised.  サービスは過小評価されている。
Digital delivery creates policy success. デジタル・デリバリーは政策の成功を生み出す。
Public sector productivity has fallen 公共部門の生産性は低下している。
Public sector technology is fragmented and duplicative.  公共部門のテクノロジーは断片的で重複している。
Data is fragmented and underused.  データは断片化され、十分に活用されていない。
Critical services depend on decades-old legacy technology.  重要なサービスは、数十年前のレガシー・テクノロジーに依存している。
Service reliability is too low. サービスの信頼性が低すぎる。
Cyber risk to the public sector is critically high.  公共部門のサイバーリスクは極めて高い。
The public sector spends less on technology than peers. 公共部門は同業他社に比べてテクノロジーへの支出が少ない。
Funding models do not reflect modern digital practice. 資金調達モデルは、現代のデジタル実務を反映していない。
Cloud adoption is concentrated in central government. クラウドの導入は中央政府に集中している。
The public sector is dependent on external resources for core skills.  公共部門はコアスキルを外部リソースに依存している。
There are not enough digital and data people in the right roles.  適切な職務に就くデジタル・データ人材が不足している。
The public sector struggles to consistently attract and retain top digital and data talent.  公共部門は、デジタルとデータの優秀な人材を常に惹きつけ、維持するのに苦労している。
Digital leadership is not a consistent priority.  デジタル・リーダーシップは一貫した優先事項ではない。
The public sector does not realise the value of its buying power. 公共部門は、その購買力の価値に気づいていない。
Central digital capabilities have had some success but limited cross-sector reform. 中央デジタル機能は一定の成功を収めているが、セクター横断的な改革は限定的である。

 

 

GOV.UK

・2025.01.21 State of digital government review

Research and analysis  調査・分析
State of digital government review デジタル政府の現状レビュー
A review of technology and data in the public sector: successes, challenges and root causes 公共部門におけるテクノロジーとデータのレビュー:成功、課題、根本原因

 

 

・[HTML] State of digital government review

目次...

Executive summary エグゼクティブサマリー
Introduction 序文
Context コンテクスト
Key facts 主要事実
Key assessment areas 主要アセスメント領域
Services サービス
Technology テクノロジー
Data and AI データと附属書
Central and shared capabilities 中央および共有能力
People, leadership and skills 人材、リーダーシップ、スキル
Digital supply chain デジタルサプライチェーン
Investment prioritisation and controls 投資の優先順位付けと管理
Root causes 根本原因
Conclusion 結論
Annex 1 附属書1

 

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
The UK public sector has enormous digital resources: it spends over £26 billion annually on digital technology, employs a workforce of nearly 100,000 digital and data professionals, and delivers millions of online transactions every day. Millions of people across the country rely on digital services from their local authority, their hospital, their school and all parts of the public sector to help them in their daily lives. 英国の公共部門は莫大なデジタル資源を有しており、デジタル技術に年間260億ポンド以上を費やし、約10万人のデジタルおよびデータの専門家を雇用し、毎日数百万件のオンライン取引を実現している。全国で何百万人もの人々が、日常生活で役立てるために、地方自治体、病院、学校、そして公共部門のあらゆる部分からのデジタルサービスに依存している。
When these resources are deployed effectively, they can deliver outstanding results. これらのリソースが効果的に展開されれば、卓越した結果をもたらすことができる。
The NHS app, delivered in a time of crisis, is the most widely used app in the UK. GOV.UK combines government digital services in a way which is emulated worldwide. This report is full of examples where digital teams across the public sector have used their ingenuity and expertise to improve services and keep them running. NHSのアプリは、危機の時に配信され、英国で最も広く使われているアプリである。GOV.UKは政府のデジタルサービスを統合したもので、世界中で模倣されている。この報告書には、公共部門全体のデジタルチームが、創意工夫と専門知識を駆使してサービスを改善し、運営を維持している事例が数多く紹介されている。
Yet these successes are too often achieved despite the system rather than because of it. They rely on the dedication of experts doing their best with limited resources, navigating processes which were not designed for a digital age, and implementing policies which were not designed to be digital first. As we move into a new era of opportunities created by artificial intelligence (AI) and other technology innovations, we must take a realistic and unflinching view of how much more we have to do to create a modern digital government and reform public services. しかし、こうした成功は、システムのおかげというよりも、むしろシステムにもかかわらず達成されることがあまりにも多い。限られたリソースの中で最善を尽くし、デジタル時代のために設計されていないプロセスをナビゲートし、デジタルファーストのために設計されていない政策を実施する専門家の献身に依存している。人工知能(AI)やその他の技術革新が生み出す新たなチャンスの時代に突入する中、我々は、近代的なデジタル・ガバメントを構築し、公共サービスを改革するために、どれだけ多くのことをしなければならないかについて、現実的かつ冷徹な視点を持たなければならない。
This report presents key findings on the state of digital government, including where we can build on success, where we must improve, and identifies 5 root causes for the challenges we face. 本報告書では、デジタル政府の現状について、成功の上に築ける部分、改善しなければならない部分、直面する課題の5つの根本原因など、主要な調査結果を示す。
Users expect more. In the past decade, satisfaction with public services in the UK has dropped from 79% to 68%.[footnote 1] Satisfaction with 70% of the Top 75 services is below private sector benchmarks. Even where the public sector provides great digital services, users must join them up across disparate offerings. Someone moving home needs to contact 10 separate organisations. Managing a long-term condition or disability requires interaction with more than 40 services across 9 different organisations. The average UK adult citizen spends a week and a half dealing with government bureaucracy every single year. 利用者はより多くを期待している。過去10年間で、英国の公共サービスに対する満足度は79%から68%に低下した[脚注1]。トップ75のサービスのうち70%に対する満足度は、民間セクターのベンチマークを下回っている。公共部門が優れたデジタルサービスを提供している場合でも、利用者はバラバラのサービスを組み合わせて利用しなければならない。引っ越しをする人は、10もの組織に連絡を取る必要がある。長期的な症状や障害を管理するには、9つの異なる組織にまたがる40以上のサービスとのやり取りが必要になる。英国の平均的な成人は、毎年1週間半を政府の官僚主義に費やしている。
Services are under-digitised. 47% of central government and 45% of NHS services still lack a digital pathway, and very few services avoid manual processing altogether. For instance, HMRC handles approximately 100,000 calls each day, the DVLA processes around 45,000 letters daily, and Defra still manages over 500 paper form-based services. サービスは過小評価されている。中央政府の47%、NHSの45%のサービスは、いまだにデジタル・パスウェイを欠いており、手作業による処理を完全に回避しているサービスはほとんどない。例えば、HMRCは毎日約10万件の電話を処理し、DVLAは毎日約45,000通の手紙を処理し、Defraは未だに500以上の紙のフォームベースのサービスを管理している。
Digital delivery creates policy success. When public sector policy is developed without involvement of digital teams or consideration for digital delivery, opportunities are missed. By contrast, when digital, operational, and policy teams work collaboratively, they can deliver rapid impact. The Home Office’s EU Settlement Scheme, for example, showed how a digital-first approach, with collaboration across HMRC and DWP digital and policy teams, could automate residency verification for over 6 million people at record pace. デジタル・デリバリーは政策の成功を生み出す。公共部門の政策が、デジタル・チームの関与やデジタル・デリバリーへの配慮なしに策定されると、機会を逃すことになる。それとは対照的に、デジタルチーム、業務チーム、政策チームが協力し合うことで、迅速な効果をもたらすことができる。例えば、内務省のEU定着スキームでは、HMRCとDWPのデジタルチームと政策チームが協力し、デジタルファーストのアプローチによって、600万人以上の在留資格検証を記録的なスピードで自動化することができた。
Public sector productivity has fallen.[footnote 2] Analysis shows that over £45 billion per year of unrealised savings and productivity benefits, 4-7% of public sector spend, could be achieved through full potential digitisation of public sector services. This makes digitisation the most powerful lever available to drive public sector and service reform. Opportunities are based predominantly on process simplification, AI-driven automation of manual tasks, greater availability, adoption of low-cost digital channels and reduced fraud through compliance automation. 公共部門の生産性は低下している。[脚注2] 分析によれば、公共部門サービスの潜在的なデジタル化を完全に実現することで、公共部門支出の4~7%に相当する年間450億ポンド以上の未実現の節約と生産性向上効果が達成できる可能性がある。このことから、デジタル化は、公共部門とサービス改革を推進するための最も強力なテコとなる。プロセスの簡素化、AIによる手作業の自動化、可用性の向上、低コストのデジタル・チャネルの採用、コンプライアンスの自動化による不正行為の削減などが、その主な要因である。
Public sector technology is fragmented and duplicative. Most organisations implement their own solutions, even for common needs. For example, in 2021, there were 44 different accounts and ways to prove who you are. Where sharing happens, it has great impact: the West Midlands Police Force, for example, has integrated AI to respond to non-urgent 101 (non-emergency) calls and shared their approach with other forces. However, this is the exception rather than the rule. 公共部門のテクノロジーは断片的で重複している。ほとんどの組織は、共通のニーズに対しても独自のソリューションを導入している。例えば、2021年には44の異なるアカウントと、自分が誰であるかを証明する方法があった。例えば、ウェスト・ミッドランズ警察は、緊急ではない101番通報に対応するためにAIを統合し、そのアプローチを他の警察と共有している。しかし、これはルールというよりは例外である。
Data is fragmented and underused. This holds back AI, machine learning, and advanced analytics. Only 27% of survey respondents believe their current data infrastructure enables a comprehensive view of operations or transactions. 70% say their data landscape is not well co-ordinated, interoperable, and does not provide a unified source of truth. Despite these limitations, the ingenuity of public servants has led to some noteworthy results such as DfE using supplier-held data to overcome the friction of sharing between schools and enable real-time attendance visibility. データは断片化され、十分に活用されていない。これが、AI、機械学習、高度な分析の足かせとなっている。調査回答者の27%だけが、現在のデータインフラが業務やトランザクションの包括的なビューを可能にすると考えている。70%は、自社のデータ環境はうまく調整、相互運用されておらず、統一された真実のプロバイダを提供していないと回答している。このような制約があるにもかかわらず、公務員の創意工夫により、DfEはサプライヤーが保有するデータを利用して学校間の共有の摩擦を克服し、リアルタイムの出席状況の可視化を可能にするなど、注目すべき成果を上げている。
Critical services depend on decades-old legacy technology. The scale of legacy varies by organisation and is not consistently measured, but it is estimated to comprise 28% of systems in central government departments in 2024, an increase from 26% in 2023. Levels of legacy technology in police forces and NHS trusts varies widely, ranging from 10% to 60-70%, depending on the organisation. While some central government departments such as MOD, Home Office and MOJ classify and track their legacy assets, most public sector organisations do not have comprehensive registers or quantification of the legacy risk they carry. 重要なサービスは、数十年前のレガシー・テクノロジーに依存している。レガシーの規模は組織によって異なり、一貫して測定されているわけではないが、2024年には中央政府省庁のシステムの28%を占めると推定され、2023年の26%から増加している。警察やNHSのトラストにおけるレガシー・テクノロジーのレベルは、組織によって10%から60〜70%と幅がある。国土海洋省、内務省、法務省など一部の中央政府はレガシー資産を分類・追跡しているが、ほとんどの公共機関は、レガシー・リスクの包括的な登録や定量化を行っていない。
Service reliability is too low. Over 2024, 25% of survey respondents suffered critical outages, 123 in NHS England alone. Many systems do not have adequate plans in place for how to manage incidents and even where they do they are not exercised frequently enough. サービスの信頼性が低すぎる。2024年にかけて、調査回答者の25%が致命的な機能停止に見舞われ、NHSイングランドだけで123件に上った。多くのシステムでは、インシデントに対処するための適切な計画が策定されておらず、策定されていても十分な頻度で実施されていない。
Cyber risk to the public sector is critically high. We have seen a number of high-profile incidents across the public sector that have had real world impacts on citizens’ lives and incurred new costs to repair the damage done. 公共部門のサイバーリスクは極めて高い。私たちは、市民生活に現実的な影響を及ぼし、被害を修復するために新たなコストが発生した、公共部門全体で注目されるインシデントを数多く見てきた。
The public sector spends less on technology than peers. In 2023, the public sector spent around £26 billion on technology, around 30% below benchmark comparisons.[footnote 3] Current budgets and funding practices make it difficult to maintain the existing technology estate, respond to legislative change, and keep up with evolving cyber threats. 28% of red-rated legacy systems lack remediation funding. All organisations profiled in this study cited not having enough appropriate funding to manage legacy technology and technical debt. Most mentioned budgets that prioritise new programmes at the expense of continuous improvement. 公共部門は同業他社に比べてテクノロジーへの支出が少ない。2023年、公共部門がテクノロジーに費やした金額は約260億ポンドで、ベンチマーク比較では約30%下回っている[脚注3]。現在の予算と資金調達のやり方では、既存のテクノロジー資産を維持し、法改正に対応し、進化するサイバー脅威に追いつくことは難しい。赤評価のレガシーシステムの28%は、改善資金が不足している。この調査でプロファイルされたすべての組織が、レガシー・テクノロジーと技術的負債を管理するための十分な適切な資金がないことを挙げている。ほとんどの組織が、継続的改善を犠牲にして新規プログラムを優先する予算を挙げている。
Funding models do not reflect modern digital practice. In the last 15 to 20 years, technology has shifted from a capital-intensive business, based on the acquisition and creation of hardware and software assets, to a revenue intensive business based on continuous improvement and subscription services.[footnote 4] In central government, RDEL (resource or operating funds) accounted for less than half of total digital and data funding in Spending Review 2021 versus 78% for peer-set benchmark.[footnote 5] [footnote 6] Many have highlighted that it is easier to get CDEL (capital funds) than RDEL, and only 1 in 5 survey respondents felt the current funding model enabled effective investment in and running of digital services. Existing governance and controls processes are not seen as well suited to digital programmes as they prioritise predictable returns over longer-term resilience and continuous improvement, and do not allow for the flexible nature of digital delivery. 資金調達モデルは、現代のデジタル実務を反映していない。過去15年から20年の間に、テクノロジーは、ハードウェアとソフトウェア資産の取得と作成に基づく資本集約型ビジネスから、継続的改善とサブスクリプションサービスに基づく収益集約型ビジネスへと移行した。 [脚注4]中央政府では、2021年の支出見直しにおいて、RDEL(資源または運営資金)がデジタルとデータに関する資金総額の半分以下であったのに対し、同業他社のベンチマークでは78%であった[脚注5][脚注6]多くの人が、RDELよりもCDEL(資本資金)を得る方が容易であることを強調しており、調査回答者の5人に1人しか、現在の資金モデルがデジタルサービスへの効果的な投資と運営を可能にしていると感じていない。既存のガバナンスや管理プロセスは、長期的なレジリエンスや継続的改善よりも予測可能なリターンを優先しており、デジタル・デリバリーの柔軟な性質に対応できないため、デジタル・プログラムには適していないと考えられている。
Cloud adoption is concentrated in central government. The cloud-first policy defined in 2013, accelerated by dedicated cloud transformation budgets, means that around 55% of central government organisations reported that over 60% of their estate is now on the cloud, although most of these migrations entail replicating systems in the cloud with minimal reengineering. Despite this progress in central government, other areas of the public sector, such as local authorities, policing and the NHS, are less advanced in cloud adoption, with remaining on-premises estates. クラウドの導入は中央政府に集中している。2013年に定義されたクラウドファーストの方針は、クラウド変革のための専用予算によって加速され、中央政府の約55%が、所有する資産の60%以上がクラウド上にあると報告しているが、これらの移行のほとんどは、最小限のリエンジニアリングでシステムをクラウド上に複製するものである。中央政府におけるこのような進展にもかかわらず、地方自治体、警察、NHSといった公共部門の他の分野では、クラウドの導入はあまり進んでおらず、オンプレミスの施設が残っている。
The public sector is dependent on external resources for core skills. The public sector depends heavily on third parties to augment digital and data teams. Of the £26 billion public sector digital and data spend in 2023, less than 20% (around £5 billion) was on permanent public sector staff while 55% (£14.5 billion) was spent on contractors, managed services providers, and IT consultants. Headcount restrictions have made it easier to hire more costly third-party resources than permanent staff, with the average contractor in the central government costing 3 times as much per year as the average civil servant. In the public sector, contractors account for approximately 18% headcount but around 40% headcount cost. Use of temporary staff also hinders retention of institutional knowledge. 公共部門はコアスキルを外部リソースに依存している。公共部門は、デジタルチームやデータチームを補強するためにサードパーティに大きく依存している。2023年の公共部門のデジタル・データ関連の支出260億ポンドのうち、公共部門の正規職員への支出は20%未満(約50億ポンド)であり、55%(145億ポンド)は請負業者、マネージドサービス・プロバイダー、ITコンサルタントに費やされている。人員制限により、正規職員よりもコストの高いサードパーティ・リソースの雇用が容易になり、中央政府の平均的な請負業者の年間コストは平均的な公務員の3倍となっている。公共部門では、契約社員は人員数の約18%を占めるが、人件費は約40%である。また、臨時職員の利用は、機構知識の保持を妨げる。
There are not enough digital and data people in the right roles. The proportion of the workforce in digital and data roles varies across the public sector and has doubled across central government and agencies from 3% in 2021 to around 6% today. Despite this significant growth, the largest operational departments (MOD, HMRC, Home Office, DWP) average 5% vs. benchmarks of 6% for central governments and 8-12% in regulated private sector industries. Most other operational organisations are in-line with benchmarks, and many agencies, arm’s length bodies (ALBs) and non-departmental public bodies (NDPBs) have a greater share of digital and data staff than benchmarks. In local government, digital and data roles are only 2% of headcount, against benchmarks of 4%, in the NHS, workforce proportion roughly matches a comparable 3% benchmark. The mix of digital and data roles is also skewed. The digital and data workforce has an oversupply of project managers and other non-technical digital and data functions relative to technical roles (such as software developers). High-performing private sector organisations achieve a ratio of 4:1 technical to non-technical roles in their permanent staff. In the Civil Service, the current ratio is closer to 2:1. 適切な職務に就くデジタル・データ人材が不足している。デジタルとデータの職務に就く労働者の割合は、公共部門によって異なり、中央政府およびガバナンス全体で、2021年の3%から現在の約6%へと倍増している。この大幅な成長にもかかわらず、最大の業務部門(国土海洋省、HMRC、内務省、DWP)の平均は5%で、中央政府のベンチマークは6%、規制対象の民間業界では8~12%である。その他のほとんどの業務組織はベンチマークと同水準であり、多くの機関、独立行政法人(ALB)、非省庁公共団体(NDPB)では、デジタル・データ担当者の割合がベンチマークを上回っている。地方政府では、デジタルとデータの役割は、ベンチマークの4%に対し、従業員数のわずか2%であり、NHSでは、従業員数の割合は、同ベンチマークの3%とほぼ一致している。デジタルとデータの役割の構成も偏っている。デジタル・データ部門の労働力は、技術的な役割(ソフトウェア開発者など)に対して、プロジェクト・マネジャーやその他の非技術的なデジタル・データ機能が過剰に供給されている。高業績の民間企業では、正社員の技術職と非技術職の比率は4:1である。公務員では、現在の比率は2:1に近い。
The public sector struggles to consistently attract and retain top digital and data talent. Compensation is below the private sector; for example a typical central government cyber specialist earns 35% less than private sector peers, while civil service CISOs earn on average 40% less than their private sector counterparts.[footnote 7] While the Digital, Data and Technology pay framework attempts to close this gap, it is not universally or consistently adopted, encouraging skilled talent to move within the sector to earn more. 公共部門は、デジタルとデータの優秀な人材を常に惹きつけ、維持するのに苦労している。例えば、典型的な中央政府のサイバー・スペシャリストの給与は民間企業より35%低く、公務員CISOの給与は民間企業より平均40%低い[脚注7]。デジタル・データ・テクノロジーの給与枠組みはこのギャップを埋めようとしているが、普遍的かつ一貫して採用されているわけではないため、熟練した人材がより多くの給与を得るために部門内を移動することを奨励している。
Digital leadership is not a consistent priority. In contrast to the private sector where digital leaders are routinely part of executive committees, public sector digital leaders are not well represented at executive level and often report lower in their organisations, relative to policy, operational delivery, and finance colleagues. Digital capabilities are not seen as essential for policy formulation or operational delivery and are regarded as lower prestige. Most non-digital leaders have insufficient technical expertise and lack the digital orientation and training to implement tech-enabled programmes, in contrast to best practice in the private sector where digital and technical expertise are increasingly seen as essential general management skills. デジタル・リーダーシップは一貫した優先事項ではない。デジタル・リーダーが日常的に経営委員会の一員となっている民間セクターとは対照的に、公共セクターのデジタル・リーダーは、経営幹部レベルではあまり代表者がおらず、組織内でも、政策、業務遂行、財務の同僚に比べ、相対的に低い位置にいることが多い。デジタル能力は、政策立案や業務遂行に不可欠とは見なされておらず、名声も低いと見なされている。ほとんどの非デジタル・リーダーは、技術的な専門知識が不十分で、ハイテクを活用したプログラムを実施するためのデジタル志向やトレーニングを受けていない。
The public sector does not realise the value of its buying power. The public sector does not have a cohesive digital sourcing strategy: organisational silos, the challenges of sharing services, and the lack of collective buying drive fragmented purchasing. Each of the NHS’s 209 secondary care entities negotiates and buys its own infrastructure. Over 320 local councils negotiate their own agreements. Commercial teams often have insufficient category expertise to drive optimal terms, and digital teams commonly lack the capability to properly manage vendors. Only 28% of survey respondents believe their organisation has sufficient internal capabilities to monitor, track and drive supplier performance. Work by the Crown Commercial Service (CCS), the Government Commercial Function (GCF) and Central Digital and Data Office (CDDO) has created common frameworks and constructs which consolidate the buying power of central government, but these are not mandatory or universally adopted. 公共部門は、その購買力の価値に気づいていない。公共部門は、まとまったデジタル・ソーシング戦略を持っていない。組織のサイロ化、サービス共有の課題、共同購買の欠如が、断片的な購買を促進している。NHSの209の二次医療事業体は、それぞれ独自のインフラを交渉し購入している。320を超える地方議会が、それぞれ独自に契約交渉を行っている。カテゴリー別の専門知識が不十分なため、最適な条件を提示できないことが多く、デジタル部門はベンダーを適切に管理する能力を欠いている。調査回答者の28%だけが、サプライヤーのパフォーマンスを監視、追跡、推進するための十分な内部能力が組織にあると考えている。クラウン・コマーシャル・サービス(CCS)、政府商業機能(GCF)、セントラル・デジタル・アンド・データ・オフィス(CDDO)の取り組みにより、中央政府の購買力を統合する共通の枠組みや構成が作成されたが、これらは強制的でも普遍的でもない。
Central digital capabilities have had some success but limited cross-sector reform. Government Digital Service (GDS) created GOV.UK, a single publishing platform replacing more than 1,800 separate websites, and continues to refine One Login to simplify access to central government services. CDDO has driven a critical focus on service usability and efficiency through the Top 75 Services Programme. However, a lack of sustained senior sponsorship, uneven funding and a focus on central government departments rather than the full public sector have limited the ability of central teams to drive deep, cross-sector reforms which address the challenges described in this report. 中央デジタル機能は一定の成功を収めているが、セクター横断的な改革は限定的である。政府デジタル・サービス(GDS)は、1,800以上の個別のウェブサイトに代わる単一のパブリッシング・プラットフォームであるGOV.UKを創設し、中央政府サービスへのアクセスを簡素化するためにワン・ログインの改良を続けている。CDDOは、トップ75サービスプログラムを通じて、サービスの使いやすさと効率性に重要な焦点を当ててきた。しかし、継続的なシニア・スポンサーの不足、不均一な資金調達、公共部門全体ではなく中央政府部門に焦点を当てた取り組みにより、本報告書に記載された課題に取り組む部門横断的な深い改革を推進する中央チームの能力が制限されている。
This review has identified 5 root causes: このレビューでは、5つの根本原因を特定した:
1. Leadership 1. リーダーシップ
There is little reward for prioritising an agenda of service digitisation, reliability, or risk mitigation. Organisational leaders are not paid, promoted, or valued for doing so. Digital does not shape and drive the organisational agenda. サービスのデジタル化、信頼性、リスク緩和のアジェンダを優先しても、ほとんど報われない。組織のリーダーは、デジタル化を推進することに対し、報酬も昇進も評価もされない。デジタルが組織のアジェンダを形成し、推進することがない。
2. Structure 2. 構造
Fragmentation is a feature of the system. Public sector organisations are independent bodies with limited mechanisms to contract services from each other. Most choose to build and maintain their own technology estate, inhibiting standardisation, interoperability and reuse, and constraining the ability to benefit from scale. Architectural design, product management, operations, and development are inconsistent between organisations. The public is presented with fragmented services and expected to make sense of them. 細分化はシステムの特徴である。公共部門は独立団体であり、相互にサービスを契約する仕組みは限られている。ほとんどの組織は、独自の技術資産を構築し維持することを選択し、標準化、相互運用性、再利用を阻害し、規模の恩恵を受ける能力を制約している。アーキテクチャの設計、製品管理、運用、開発は、組織間で一貫性がない。国民は断片的なサービスを見せられ、それを理解することを求められる。
3. Measurement 3. 測定
The public sector does not have consistent metrics of digital performance. Aggregate data about service quality, user experience, cost and risk exposure is not available without dedicated, periodic effort such as the production of this report. 公共部門は、デジタル・パフォーマンスの一貫した測定基準を持っていない。サービス品質、ユーザー・エクスペリエンス、コスト、リスク・エクスポージャーに関する集計データは、本レポートのような専用かつ定期的な取り組みなしには入手できない。
4. Talent 4. 人材
Compensation and career path progression are uncompetitive with the private sector, especially for senior leaders. A lack of integrated cross-government workforce strategy limits recognition of specialist skill needs and prevents realisation of efficiencies longer term. Headcount restrictions intended to constrain spend have shifted cost and talent to third-party contractors, managed services and IT consultants, also degrading institutional knowledge. 報酬とキャリアパスは、特にシニアリーダーにとって、民間企業との競争力がない。政府を横断する統合的な人材戦略の欠如により、専門スキルのニーズの認識が制限され、長期的な効率性の実現が妨げられている。支出抑制を目的とした人員制限により、コストと人材がサードパーティ、マネージドサービス、ITコンサルタントにシフトし、制度的知識も低下している。
5. Funding 5. 資金調達
Spend is biased towards new programmes with insufficient prioritisation of the effective operation and maintenance of existing systems, especially legacy assets. New or urgent legislation often comes without additional funding, forcing re-prioritisation of previously allocated budgets. This presents an acute challenge for digital and data projects as funding has shifted from capital purchase towards subscription-based, increasing the reliance on committed ongoing funding. 既存システム(特にレガシー資産)の効果的な運用と保守の優先順位付けが不十分で、新規プロ グラムに支出が偏っている。新しい法律や緊急の法律が追加資金なしで制定されることも多く、以前割り当てられた予算の再優先化を余儀なくされる。資金調達が資本購入からサブスクリプション・ベースに移行し、継続的な資金調達への依存度が高まっているためである。

 

 

・[PDF] State of digital government review

20250127-53115

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.27 英国 現代的デジタル政府のための青写真 (2025.01.21)

・2025.01.26 英国 AI機会行動計画 (2025.01.13)

| | Comments (0)

2025.01.26

英国 AI機会行動計画 (2025.01.13)

こんにちは、丸山満彦です。

英国政府が、AI機会行動計画 (AI Opportunities Action Plan) を公表しています。これは、科学技術革新担当国務長官のピーター・カイル議員 が、技術起業家であり先進研究・発明推進機構(ARIA)会長のマット・クリフォード(Matt Clifford CBE)に依頼して作成し、議会に提出したものです。。。

読めば、英国の目指すところと、危機感がよく現れているように思いました。(もちろん、実際にこの計画を実現できるのか?という実行力がポイントとなるわけですが...)

目指すところは...

  • AIの基盤に投資する:世界クラスのコンピューティングとデータのインフラ、人材へのアクセス、そして規制が必要である(Section 1

  • 経済圏を超えたAIの採用を強力に推進する:公共部門は、AI製品やサービスを迅速に試験的に拡大し、民間部門にも同じことを奨励すべきである。 そうすることで、市民にとってより良い体験と成果をもたらし、生産性を高めることができる(Section 2

  • 英国をAIメーカーに位置づけ、AIテイカーにしない:テクノロジーがより強力になるにつれて、我々はフロンティアAIを構築する人々にとって最良の国家パートナーとなるべきである。 英国は、AI スタックの重要な層で真の国家チャンピオンを持つことを目指し、英国がAI の進歩から経済的に利益を得、将来のAI の価値、安全性、ガバナンスに影響力を持つようにすべきである(Section 3)。

 

優秀な人材がいる会社が発展するように、優秀なAIがある会社は発展しそうです。同様に、優秀な人材がいる国は発展するように、優秀なAIがある国は発展しそうです。

もちろん、優秀なAIを優秀な人材が活用するということなのですが...

このあたり、日本の政治家がどの程度理解できているか?ということが気になります。

話は少しずれますが、日銀が金利をあげると発表しました。物価上昇が目標値になり、賃金も上昇し、景気も良くなっているという判断?なのでしょうかね。為替レートもいつまでも円安というわけにもいかないし...

金利政策や財政政策をもって景気を刺激することは可能と思います。ただ、金利政策も財政政策も刺激をするだけなんでしょうね...実態として付加価値を産む活動が小さければ、効果は薄いと感じます。

そして、経済力、技術力というのは、ご存知のとおり安全保障の大きな要素です。

そういうことを考えると、日本は技術立国として、技術開発により社会に大きな付加価値を生むような活動を継続的にしていかなければ、立ち行かなくなるように思います。(観光立国ではなく...)

なんか、英国が産業革命で工業国になった後、金融にシフトし、そして知的工場ともいえそうなAIによる発展というのを目指しているというのは、なかなか興味深いなと思いました。

英国にも学ぶことが多いように思います...

政治家や政策担当者は、目を通すべき文書だと思います...

 

● GOV.UK

・2025.01.13 Independent report AI Opportunities Action Plan

AI Opportunities Action Plan AI機会行動計画
Recommendations for the government to capture the opportunities of AI to enhance growth and productivity and create tangible benefits for UK citizens. 成長と生産性を高め、英国市民に具体的な利益を創出するために、政府がAIの機会を捉えるための提言。

 

目次...

 

・[HTML] AI Opportunities Action Plan

Foreword by the Secretary of State for Science, Innovation and Technology  科学・イノベーション・技術担当国務長官によるまえがき
The opportunity 機会
1. Lay the foundations to enable AI 1. AIを実現するための基盤を整備する
1.1 Building sufficient, secure and sustainable AI infrastructure 1.1 十分で安全かつ持続可能なAIインフラを構築する
1.2 Unlocking data assets in the public and private sector  1.2 公共部門および民間部門のデータ資産を解き放つ
1.3 Training, retaining, and attracting the next generation of AI scientists and founders 1.3 次世代のAI科学者や創業者を育成し、維持し、惹きつける
1.4 Enabling safe and trusted AI development and adoption through regulation, safety and assurance 1.4 規制、安全性、保証を通じて、安全で信頼できるAIの開発と採用を可能にする
2. Change lives by embracing AI 2. AIを取り入れることで生活を変える
2.1 AI Adoption is core to delivering the government's missions  2.1 AI導入は政府のミッションを実現する中核となる
2.2 Adopt a “Scan → Pilot → Scale” approach in government  2.2 政府において「スキャン→パイロット→スケール」アプローチを採用する
2.3 Enable public and private sectors to reinforce each other 2.3 官民セクターが相互に強化できるようにする
2.4 Address private-sector-user-adoption barriers  2.4 民間セクター・ユーザー導入の障壁に対処する
3. Secure our future with homegrown AI 3. 国産AIで未来を守る
Conclusion まとめ

 

 

・[PDF]

20250126-63843

 

 

 

 

| | Comments (0)

米国 NIST IR 8374 Rev.1(初期公開ドラフト)ランサムウェアのリスクマネジメント: サイバーセキュリティフレームワーク2.0コミュニティ (2025.01.13)

こんにちは、丸山満彦です。

NISTが、サイバーセキュリティフレームワーク Ver. 2.0 を利用したコミュニティプロファイルを公表し、意見募集をしていますね...

ランサムウェア対策についてのポイントは次のように考えているようです...

  1. ランサムウェアの感染を避けるために従業員を教育する。
  2. ランサムウェアに悪用されるような脆弱性をシステムに持たないようにする。
  3. ランサムウェア攻撃や感染を迅速に検知し、阻止する。
  4. ランサムウェアが広がりにくくする。
  5. 将来ランサムウェアが発生した場合に、保存されている情報の復旧を容易にする。

 

NIST - ITL

・2025.01.13 Ransomware Risk Management: CSF 2.0 Community Profile | Draft NIST IR 8374r1 Available for Comment

Ransomware Risk Management: CSF 2.0 Community Profile | Draft NIST IR 8374r1 Available for Comment ランサムウェアのリスクマネジメント: CSF 2.0 コミュニティプロファイル|ドラフト NIST IR 8374r1 コメント募集中
The National Cybersecurity Center of Excellence (NCCoE) has published an initial public draft of NIST Interagency Report (NIST IR) 8374 Revision 1, Ransomware Risk Management: A Cybersecurity Framework 2.0 Community Profile. Organizations at home and abroad use NIST IR 8374 to guard against ransomware. We are seeking your feedback on the publication’s contents and the future direction of NIST’s ransomware guidance. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST Interagency Report(NIST IR)8374 Revision 1「ランサムウェアのリスクマネジメント」の初期公開ドラフトを公表した:サイバーセキュリティフレームワーク2.0 コミュニティプロファイル」である。国内外の組織がランサムウェア対策にNIST IR 8374を利用している。本書の内容およびNISTのランサムウェア・ガイダンスの今後の方向性について、皆様からのご意見を募集している。
NIST IR 8374 reflects changes made to the Cybersecurity Framework (CSF) from CSF 1.1 to CSF 2.0 which identifies security objectives that support managing, detecting, responding to, and recovering from ransomware events. Ransomware can attack organizations of all sizes from any sector. You can use this publication to gauge your organization’s readiness to counter ransomware threats, mitigate potential consequences of a ransomware event, and to develop a ransomware countermeasure playbook. NIST IR 8374は、CSF 1.1からCSF 2.0へのサイバーセキュリティ枠組み(CSF)の変更を反映しており、ランサムウェアイベントの管理、検知、対応、復旧をサポートするセキュリティ目標を特定している。ランサムウェアは、あらゆる業種のあらゆる規模の組織を攻撃する可能性がある。本書は、ランサムウェアの脅威に対抗するための組織の準備態勢を評価し、ランサムウェアイベントの潜在的な影響を緩和し、ランサムウェア対策プレイブックを作成するために使用できる。

 

・2025.01.13 NIST IR 8374 Rev. 1 (Initial Public Draft) Ransomware Risk Management: A Cybersecurity Framework 2.0 Community

NIST IR 8374 Rev. 1 (Initial Public Draft) Ransomware Risk Management: A Cybersecurity Framework 2.0 Community NIST IR 8374 Rev.1(初期公開ドラフト)ランサムウェアのリスクマネジメント: サイバーセキュリティフレームワーク2.0コミュニティ
Announcement 発表
This draft Ransomware Community Profile reflects changes made to the Cybersecurity Framework (CSF) from CSF 1.1 to CSF 2.0 which identifies security objectives that support managing, detecting, responding to, and recovering from ransomware events. Ransomware can attack organizations of all sizes from any sector. You can use this publication to gauge your organization’s readiness to counter ransomware threats, mitigate potential consequences of a ransomware event, and to develop a ransomware countermeasure playbook. このランサムウェアコミュニティプロファイルのドラフトは、ランサムウェアイベントの管理、検知、対応、回復をサポートするセキュリティ目標を特定するサイバーセキュリティフレームワーク(CSF)1.1からCSF2.0への変更を反映している。ランサムウェアは、あらゆる業種のあらゆる規模の組織を攻撃する可能性がある。本書は、ランサムウェアの脅威に対抗するための組織の準備態勢を評価し、ランサムウェアイベントの潜在的な影響を緩和し、ランサムウェア対策プレイブックを作成するために使用できる。
Per the "Note to Reviewers" starting on line 104 of the draft, NIST is interested in answers to the following questions: ドラフトの104行目から始まる「査読者への注記」によると、NISTは以下の質問に対する回答に関心を示している:
1. What elements of this Community Profile have been helpful? 1. このコミュニティプロファイルのどのような要素が役に立ったか?
2. Where could this Community Profile be improved? 2. このコミュニティプロファイルのどこを改善できるか?
3. Are supplemental documents, such as quick start guides, useful? If so, how? If not, why? 3. クイック・スタート・ガイドなどの補足資料は有用か。役立つとすれば、どのように役立つか?そうでない場合、その理由は?
4. What type of prioritization would be most helpful? Control baselines? high/medium/low criticality? Mapping to specific organizational outcomes? Other? 4. どのような優先順位付けが最も有用か。管理ベースライン、重要度の高・中・低?特定の組織の成果へのマッピング?その他?
5. What other ransomware resources have you or your organization used to improve your ransomware risk mitigation strategy? How have those resources been helpful? 5. ランサムウェアのリスク緩和戦略を改善するために、あなたまたはあなたの組織は他にどのようなランサムウェアのリソースを利用したか?それらのリソースはどのように役立ったか?
General comments on the draft are also welcome. ドラフトに関する一般的なコメントも歓迎する。
Abstract 概要
Ransomware is a type of malicious attack where attackers encrypt an organization’s data and demand payment to restore access. Attackers may also steal an organization’s information and demand an additional payment in return for not disclosing the information to authorities, competitors, or the public. This Cybersecurity Framework (CSF) 2.0 Community Profile identifies the security objectives from the NIST CSF 2.0 that support governing management of, identifying, protecting against, detecting, responding to, and recovering from ransomware events. The Profile can be used as a guide to managing the risk of ransomware events. That includes helping to gauge an organization’s level of readiness to counter ransomware threats and to deal with the potential consequences of events. This Profile can be leveraged in developing a ransomware countermeasure playbook. ランサムウェアは、攻撃者が組織のデータを暗号化し、アクセスを回復するために支払いを要求する悪意のある攻撃の一種である。攻撃者はまた、組織の情報を盗み出し、当局、競合他社、または公衆に情報を開示しない見返りとして、追加の支払いを要求することもある。このサイバーセキュリティフレームワーク(CSF)2.0コミュニティプロファイルは、ランサムウェアイベントの管理、識別、防御、検知、対応、回復をサポートするNIST CSF 2.0のセキュリティ目標を特定するものである。このプロファイルは、ランサムウェアのリスクをマネジメントするためのガイドとして利用できる。これには、ランサムウェアの脅威に対抗し、イベントの潜在的な結果に対処するための組織の準備態勢のレベルを測定するのに役立つことも含まれる。このプロファイルは、ランサムウェア対策プレイブックを作成する際に活用できる。

 

・[PDF] NIST.IR.8374r1.ipd

20250126-53230

 

 

目次...

1. Introduction 1. 序文
1.1 The Ransomware Challenge 1.1 ランサムウェアの課題
1.2 Basic Ransomware Tips 1.2 ランサムウェアの基本的なヒント
2. The Ransomware Community Profile  2. ランサムウェア・コミュニティ・プロファイル
Appendix A. Additional NIST Ransomware Resources  附属書 A. その他の NIST ランサムウェアリソース

 

ランサムウェアに関する基本的なヒント

BASIC RANSOMWARE TIPS ランサムウェアに関する基本的なヒント
Even without undertaking all the measures described in this Ransomware Community Profile, there are some basic preventative steps that an organization can take now to protect against and recover from the ransomware threat. These include:  このランサムウェアコミュニティプロファイルに記載されているすべての対策を実施しなくても、ランサムウェアの脅威から保護し、回復するために組織が今すぐ実施できる基本的な予防策がいくつかある。以下がその例である: 
1. Educate employees on avoiding ransomware infections.  1. ランサムウェアの感染を避けるために従業員を教育する。 
• Don’t open files or click on links from unknown sources unless you first run an antivirus scan or look at links carefully.  - まずウイルス対策スキャンを実行したり、リンクを注意深く見たりしない限り、不明なソースからのファイルを開いたり、リンクをクリックしたりしないこと。 
• Avoid using personal websites and personal apps – like email, chat, and social media – from work computers.  - 個人のウェブサイトや個人用アプリ(電子メール、チャット、ソーシャルメディアなど)を業務用コンピュータから使用しないようにする。
• Don’t connect personally owned devices to work networks without prior authorization.  - 事前の認可なしに、個人所有のデバイスを職場のネットワークに接続しない。 
2. Avoid having vulnerabilities in systems that ransomware could exploit.  2. ランサムウェアに悪用されるような脆弱性をシステムに持たないようにする。 
• Keep relevant systems fully patched. Run scheduled checks to identify available patches and install these as soon as feasible.  - 関連システムのパッチを完全に適用しておく。利用可能なパッチを特定するために定期的なチェックを行い、可能な限り早急にパッチをインストールする。 
• Employ zero trust principles in all networked systems. Manage access to all network functions, and segment internal networks where practical to prevent malware from proliferating among potential target systems.  - すべてのネットワークシステムでゼロトラスト原則を採用する。すべてのネットワーク機能へのアクセスを管理し、潜在的な標的システム間でマルウェアが拡散するのを防ぐため、現実的な場合には内部ネットワークをセグメント化する。 
• Allow installation and execution of authorized apps only. Configure operating systems and/or thirdparty software to run only authorized applications. This can also be supported by adopting a policy for reviewing, then adding or removing authorized applications on an allow list.  - 認可されたアプリケーションのインストールと実行のみを許可する。認可されたアプリケーションのみを実行するように、オペレーティング・システムやサードパーティ製ソフトウェアを設定する。これは、許可リストで許可されたアプリケーションをレビューし、追加または削除するポリシーを採用することでも対応できる。
• Inform your technology vendors of your expectations (e.g., in contract language) that they will apply measures that discourage ransomware attacks.  - テクノロジーベンダーに、ランサムウェア攻撃を阻止する対策を適用することを期待する旨を(契約文言などで)伝える。 
3. Quickly detect and stop ransomware attacks and infections.  3. ランサムウェア攻撃や感染を迅速に検知し、阻止する。 
• Use malware detection software, such as antivirus software at all times. Set it to automatically scan emails and flash drives.  - ウイルス対策ソフトなどのマルウェア検知ソフトを常時使用する。電子メールやフラッシュドライブを自動的にスキャンするように設定する。 
• Continuously monitor directory services (and other primary user stores) for indicators of compromise or active attack.  - ディレクトリ・サービス(およびその他のプライマリ・ユーザー・ストア)を継続的に監視し、侵害や活発な攻撃の兆候がないか確認する。 
• Block access to untrusted web resources. Use products or services that block access to server names, IP addresses, or ports and protocols that are known to be malicious or suspected to be indicators of malicious system activity. This includes using products and services that provide integrity protection for the domain component of addresses (e.g., hacker@poser.com).  - 信頼できないWebリソースへのアクセスをブロックする。悪意のあることが知られている、または悪意のあるシステム活動の指標であると疑われるサーバー名、IPアドレス、ポートおよびプロトコルへのアクセスをブロックする製品やサービスを使用する。これには、アドレスのドメイン・コンポーネントに完全性保護を提供する製品やサービス(例:hacker@poser.com)を使用することも含まれる。
4. Make it harder for ransomware to spread.  4. ランサムウェアが広がりにくくする。 
• Use standard user accounts with multi-factor authentication versus accounts with administrative privileges whenever possible.  - 可能な限り、管理者権限を持つアカウントではなく、多要素認証を持つ標準ユーザーアカウントを使用する。 
• Introduce authentication delays or configure automatic account lockout as a defense against automated attempts to guess passwords.  - パスワードを推測する自動的な試みに対する防御として、認証の遅延を導入するか、自動的なアカウントのロックアウトを設定する。 
• Assign and manage credential authorization for all enterprise assets and software and periodically verify that each account has only the necessary access following the principle of least privilege.  - すべてのエンタープライズ資産とソフトウェアに対してクレデンシャルの認可を割り当てて管理し、最小特権の原則に従って、各アカウントが必要なアクセス権のみを持っていることを定期的に検証する。 
• Store data in an immutable format (so that the database does not automatically overwrite older data when new data is made available).  - データを不変形式で保存する(新しいデータが利用可能になったときに、データベースが古いデータを自動的に上書きしないようにする)。 
• Allow external access to internal network resources via secure virtual private network (VPN) connections only.  - 安全な仮想プライベートネットワーク(VPN)接続経由でのみ、内部ネットワークリソースへの外部アクセスを許可する。 
5. Make it easier to recover stored information from a future ransomware event.  5. 将来ランサムウェアが発生した場合に、保存されている情報の復旧を容易にする。 
• Make an incident recovery plan. Develop, implement, and regularly exercise an incident recovery plan with defined roles and strategies for decision making. This can be part of a continuity of operations plan. The plan should identify mission-critical and other business-essential services to enable recovery prioritization, and business continuity plans for those critical services.  - インシデント復旧計画を立てる。意思決定のための役割と戦略を明確にしたインシデント復旧計画を策定し、実施し、定期的に実施する。これは、事業継続計画の一部とすることができる。この計画では、復旧の優先順位付けを可能にするために、ミッションクリティカルなサービスやその他のビジネスに不可欠なサービスを特定し、それらの重要なサービスの事業継続計画を策定する。 
• Back up data, secure backups, and test restoration. Carefully plan, implement, and test a data backup and restoration strategy—and secure and isolate backups of important data.  - データのバックアップ、バックアップのセキュリティ確保、リストアのテストを行う。データのバックアップとリストア戦略を慎重に計画、実施、テストし、重要なデータのバックアップを安全に隔離する。 
• Keep your contacts. Maintain an up-to-date list of internal and external contacts for ransomware attacks, including law enforcement, legal counsel, and incident response resources.  - 連絡先を保持する。法執行機関、法律顧問、インシデント対応リソースなど、ランサムウェア攻撃に関する社内外の連絡先の最新リストを維持する。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

CSF Ver2.0 コミュニティプロファイル関係

・2024.12.26 米国 NIST IR 8467 (第2次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイル (2024.12.16)

・2024.07.31 米国 NIST SP 800-218A 生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス: SSDFコミュニティプロファイル

・2024.04.05 米国 意見募集 NIST SP 800-61 Rev.3(初期公開ドラフト) サイバーセキュリティリスクマネジメントのためのインシデント対応の推奨と考慮事項: CSF 2.0 コミュニティプロファイル

・2024.03.06 米国 NIST CSWP 32(初期公開ドラフト)サイバーセキュリティフレームワーク 2.0: コミュニティプロファイル作成ガイド (2024.02.26)

 

 

CSF Ver2.0 関係

・2024.04.26 NISTサイバーセキュリティフレームワークバージョン2への移行のポイントと日本語訳

・2024.02.28 米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク(CSF)2.0

 

| | Comments (0)

2025.01.25

外務省 偽情報の拡散を含む情報操作への対応 (2025.01.17)

こんにちは、丸山満彦です。

外務省から偽情報の拡散を含む情報操作への対応についての情報共有...

目的と手段


国家及び非国家主体が、日本の政策に対する信頼を損なわせる、又は民主的プロセスや国際協力を阻害するといった目的のために、偽情報やナラティブを意図的に流布するものであり、対応の重要性が高まっています。


 

外務省 - 外交政策 - 日本の安全保障と国際社会の平和と安定

・2025.01.17 偽情報の拡散を含む情報操作への対応

関連情報がのっていますね。。。

 

 

1_20250125105401

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.25 総務省 つくろう!守ろう!安心できる情報社会 DIGITAL POSITIVE ACTION

 

| | Comments (0)

欧州議会 EUデータ保護政策を理解する (2025.01.21)

こんにちは、丸山満彦です。

欧州議会が、EUデータ保護政策の理解のための短い報告書を公表しています。

いろいろとリンクがあり、欧州のデータ保護法制を理解する上では良いかもしれません。短いですし...

簡単だけれども本質的な過去の経緯、現在の課題、それに向けた将来への方向性など、本当にコンパクトにまとまっていると思います...

 

European Parliament

・2025.01.21 Understanding EU data protection policy

Understanding EU data protection policy EUのデータ保護政策の理解
The 'datafication' of everyday life and data scandals have made the protection of personal information an increasingly important social, legal and political matter for the EU. In recent years, awareness of data rights has grown considerably. The right to privacy and the right to protection of personal data are both enshrined in the Charter of Fundamental Rights of the EU and in the EU Treaties. The entry into force of the Lisbon Treaty in 2009 gave the Charter the same legal value as the Treaties and abolished the pillar structure, providing a stronger basis for a more effective and comprehensive EU data protection regime. In 2012, the European Commission launched an ambitious reform to modernise the EU data protection framework. In 2016, the European Parliament and the Council, as co-legislators, adopted the EU's most prominent data protection legislation yet – the General Data Protection Regulation (GDPR) – and the Law Enforcement Directive. The framework overhaul also included adopting an updated Regulation on Data Protection in the EU institutions and reforming the e-Privacy Directive. The European Parliament played a key role in these reforms, both as co-legislator and author of own initiative reports and resolutions, seeking to guarantee a high level of data protection for EU citizens. The European Court of Justice plays a crucial role in developing the EU data protection framework through case law. In the coming years, challenges in the area of data protection will include rectifying GDPR enforcement deficits, balancing the compliance and data needs of emerging technologies, granting data access for security purposes without excessively compromising privacy and data protection, and mitigating compliance burdens for small and medium-sized enterprises. This is a further updated edition of a briefing originally written in 2020 by Sofija Voronova and updated in 2023. 日常生活における「データ化」やデータ・スキャンダルにより、EUでは個人情報の保護がますます重要な社会的、法的、政治的問題となっている。近年、データに関する権利に対する認識は大幅に高まっている。プライバシーの権利と個人データの防御の権利は、いずれもEU基本権憲章およびEU条約に明記されている。2009年のリスボン条約の発効により、憲章は条約と同じ法的価値を持つようになり、柱構造は廃止され、より効果的で包括的なEUデータ保護体制のより強固な基盤が提供された。2012年には、欧州委員会がEUのデータ保護枠組みを近代化するための野心的な改革に着手した。2016年には、欧州議会と理事会が共同立法者として、EUで最も重要なデータ保護法である一般データ保護規則(GDPR)と法執行指令を採択した。枠組みの全面的な見直しには、EU機構におけるデータ保護に関する規則の更新と、電子プライバシー指令の改革も含まれていた。欧州議会は、共同立法者および独自のイニシアティブによる報告書や決議の作成者として、EU市民に対する高度なデータ保護の保証を求めるという両方の役割を担い、これらの改革において重要な役割を果たした。欧州司法裁判所は、判例法を通じてEUデータ保護の枠組みを発展させる上で重要な役割を果たしている。今後数年間、データ保護の分野における課題には、GDPR施行の欠陥の是正、新興技術のコンプライアンスとデータニーズのバランス、プライバシーとデータ保護を過度に損なうことなくセキュリティ目的でデータにアクセスできるようにすること、および中小企業におけるコンプライアンス負担の緩和などが含まれる。これは、2020年にソフィヤ・ボロノバが執筆し、2023年に更新されたブリーフィングのさらに更新された最新版である。

 

・[PDF

20250125-71207

 

・[DOCX][PDF] 仮訳

 

 

過去のEUの話についての理解を少し助けるかもと思い、社内のプチ勉強会でつかったEUの簡単年表をつけときます...

リスボン条約によって3つの柱が亡くなったという話がでてきますが、3つの柱は、(1)経済、(2)司法・内務、(3)外交・安全保障です...

20250125-71722

 

 

| | Comments (0)

総務省 つくろう!守ろう!安心できる情報社会 DIGITAL POSITIVE ACTION

こんにちは、丸山満彦です、

総務省が、偽情報や誤情報、フェイク動画、詐欺広告、SNS上の誹謗中傷、個人情報の窃取といった社会課題の解決に向けて、官民連携した取り組み、「つくろう!守ろう!安心できる情報社会 DIGITAL POSITIVE ACTION」を開始しましたね。

私が監事をしている「一般財団法人 一般財団法人草の根サイバーセキュリティ推進協議会 (Grafsec) 」もこの活動に賛同しています...

 

Google, Meta, X, Microsoftといった米国企業も参加しています。そして、とても素晴らしいことにTikTokも参加しています。

 

いろいろな環境変化があるかもしれませんが、この取り組みは継続、発展してほしいですね...

 

総務省

・2025.01.22 総合的なICTリテラシー向上に向けた官民連携プロジェクト「DIGITAL POSITIVE ACTION」の開始

目的:インターネットやSNSにおける利用者のリテラシー向上

連携:プラットフォーム事業者、通信事業者、IT関連企業、関連団体

 

取組:今後の予定...

  • 官民の取組を集約したWebサイトの開設
  • 多様な企業・団体によるセミナーやシンポジウム開催、普及啓発教材の作成
  • 各種広告媒体を活用した国民向け広報活動

 

ロゴ・スローガン

1_20250125055501

英語のスローガン:DIGITAL POSITIVE ACTION

国や企業・団体、そして国民一人一人が、「デジタル社会がポジティブな社会になるようなアクションを次々と起こしていく」という強い想いを伝える

日本語のコピー:

その想いに込められた意義を伝える「つくろう!守ろう!安心できる情報社会」

ロゴ:

安心で楽しめる情報社会になり、人が幸せになっていく状態を象徴的に描いたマークの3点を掛け合わせた

 

 


 

ウェブページ...

DIGITAL POSITIVE ACTION

なんか泥臭さを感じない、しゅっとした感じですね...広告代理店が中心になってつくったかなぁ...

 

連携:プラットフォーム事業者、通信事業者、IT関連企業、関連団体

20250125-60217

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.25 外務省 偽情報の拡散を含む情報操作への対応 (2025.01.17)

| | Comments (0)

2025.01.24

ASEAN AIのガバナンスと倫理に関する拡張ASEANガイド - 生成的AI (2025.01.17)

こんにちは、丸山満彦です。

ASEANが2024.02に公表した、AIのガバナンスと倫理のガイドの付属書として、AIのガバナンスと倫理に関する拡張ASEANガイド - 生成的AIを公表していますね。。。

ベトナム、タイの事例もあるのですが、よく考えたら、日本は欧米をみて考えるよりも、ベトナムやタイといった国の政策から学ぶことの方が多いかもしれませんね...

先頭がどうなっているのか、これからどういうことが起こりそうなのか、というのは確かに欧米、中国を見ていないといけないという気がしますが、実際、我が国でどのように対応すべきかというのは、むしろベトナムやタイという国の政策も参考になると思います。もちろん、アジアで言えば、韓国も参考になると思います...

 

ASEAN

・2025.01.17 Expanded ASEAN Guide on AI Governance and Ethics – Generative AI

 

Expanded ASEAN Guide on AI Governance and Ethics – Generative AI AIのガバナンスと倫理に関する拡張ASEANガイド - 生成的AI
Abstract 概要
This Guide supplements the ASEAN Guide on AI Governance and Ethics (2024), which focuses on traditional AI technologies, with policy considerations related to generative AI (Gen AI). It provides a view of the opportunities and risks of Gen AI and recommends a range of policy recommendations for ASEAN to support its responsible adoption 本ガイドは、従来のAI技術に焦点を当てた「AIのガバナンスと倫理に関するASEANガイド」(2024年)を、生成的AI(Gen AI)に関する政策的考察で補完するものである。本ガイドは、生成的AIの機会とリスクについての見解を提供し、ASEANが生成的AIの責任ある導入を支援するための様々な政策提言を行っている。

 

・[PDF]

20250124-55507

・[DOCX][PDF]  仮訳

目次...

Executive Summary  エグゼクティブサマリー
01 Introduction  01 序文
1.1 Context  1.1 コンテクスト
1.2 Objectives and Target Audience of this Expanded Guide  1.2 本拡張ガイドの目的と対象読者
1.3 Guiding Principles for the Gen AI Framework  1.3 Gen AI枠組みの指導原則
02 Gen AI Risks  02 Gen AIリスク 
2.1 New or Enhanced Risks  2.1 新規または強化されたリスク
2.2 Frontier and Systemic Risks for Future Consideration 2.2 今後検討すべきフロンティアリスクとシステミックリスク
03 Policy Recommendations  03 政策提言 
3.1 Accountability  3.1 説明責任
3.2 Data  3.2 データ
3.3 Trusted Development and Deployment  3.3 信頼される開発と展開
3.4 Incident Reporting  3.4 インシデント報告
3.5 Testing and Assurance  3.5 テストと保証
3.6 Security  3.6 セキュリティ
3.7 Content Provenance  3.7 コンテンツの実証性
3.8 Safety and Alignment Research & Development  3.8 安全性と整合性のある研究開発
3.9 AI for Public Good  3.9 公益のためのAI
04 Conclusion  04 結論
Appendix: Use Cases  附属書: ユースケース
Appendix: Methodology  附属書: 方法論
References  参考文献 

 

 

 

エグゼクティブサマリー...

Executive Summary エグゼクティブサマリー
What this Expanded Guide is for この拡張ガイドの目的
This document supplements and supports the ASEAN Guide on AI Governance and Ethics (2024) with policy considerations related to generative AI (Gen AI). It provides a view of the opportunities and risks of Gen AI and recommends a range of policy actions for ASEAN to support its responsible adoption. These recommendations emphasise the importance of promoting the numerous benefits of Gen AI alongside thoughtful, proportional, and regionally interoperable measures that ensure its safety. 本書は、生成的AI(Gen AI)に関連する政策的考察について、「AIのガバナンスと倫理に関するASEANガイド(2024年)」を補足・支援するものである。本書は、生成的AIの機会とリスクに関する見解を提供し、その責任ある導入を支援するためのASEANの政策行動を提言するものである。これらの提言は、安全性を確保するための思慮深く、比例的で、地域的に相互運用可能な対策とともに、生成的AIの数多くの利点を促進することの重要性を強調している。
Potential Risks of Gen AI Gen AIの潜在的リスク
This Guide aims to provide guidance on addressing the six Gen AI risks identified in the ASEAN AI Guide (2024):  本ガイドは、「ASEAN AIガイド(2024年版)」で特定された6つの「AIリスク」に対処するためのガイダンスを提供することを目的としている: 
• Mistakes and anthropomorphism, • 間違いと擬人化
• Factually inaccurate responses and disinformation, • 事実無根の不正確な回答と偽情報
• Deepfakes, impersonation, fraudulent and malicious activities,   • ディープフェイク、なりすまし、詐欺、悪質な行為
• Infringement of intellectual property rights, • 知的財産権の侵害
• Privacy and confidentiality, • プライバシーと守秘義務
•  Propagation of embedded biases. •  埋め込まれたバイアスの伝播
This Guide also explores frontier and systemic risks posed by long-term evolution in the capabilities of highly advanced Gen AI models, but which are not widespread in ASEAN at this time. 本ガイドでは、高度に進化したAIモデルの長期的な進化がもたらすフロンティア・リスクとシステミック・リスクについても検討する。
Policy Recommendations for Addressing Gen AI Risks AI世代のリスクに対処するための政策提言
This Guide defines a range of policy recommendations for ASEAN to consider for promoting the trusted and responsible use of Gen AI in the region while addressing the risks mentioned above. These policy recommendations draw on global leading practices and emphasise the importance of a coordinated, pro-innovation regional response to this new technology.  本ガイドは、上記のリスクに対処しつつ、地域における信頼され責任あるAI活用を促進するために、ASEANが検討すべき様々な政策提言を定義している。これらの政策提言は、世界的な先進事例を参考にしたものであり、この新しいテクノロジーに対する協調的でイノベーションを促進する地域的対応の重要性を強調している
1. Accountability 1. 説明責任
2. Data 2. データ
3. Trusted Development and Deployment 3. 信頼される開発と展開
4. Incident Reporting 4. インシデント報告
5. Testing and Assurance 5. テストと保証
6. Security 6.セキュリティ
7. Content Provenance 7.コンテンツの実証性
8. Safety and Alignment Research & Development 8.安全性と整合性のある研究開発
9. AI for Public Good 9.公益のためのAI
Use Cases ユースケース
This Guide illustrates the implementation of its policy recommendations with four detailed use cases. These feature public and private institutions in ASEAN that have taken steps to implement practices aligned with AI governance and ethics. 本ガイドは、4つの詳細なユースケースを用いて、その政策提言の実施を説明する。これらは、AIのガバナンスと倫理に沿った実践を実施するための措置を講じたASEANの公的機関や民間機関を取り上げている。
PhoGPT, VinAI PhoGPT、VinAI
Project Moonshot, AI Verify Foundation プロジェクト・ムーンショット、 AI検証財団
Responsible AI Internal  Programme, Accenture アクセンチュア、AI内部プログラム担当
ThaiLLM,   BDI, NSTDA, VISTEC and collaborators ThaiLLM   BDI、NSTDA、VISTECおよび協力者

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.07 ASEAN AIのガバナンスと倫理のガイド + 第4回デジタル大臣会合 シンガポール宣言...

 

| | Comments (0)

2025.01.23

個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第311-312回委員会)

こんにちは、丸山満彦です。

前回紹介してから、約一か月で、2回委員会が開催されていますね!

 

今後の検討の進め方(案)が公表されています。

・2025.01.22 [PDF]「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について(案)

20250123-62043

ーーーーー

 

・2025.01.22 [PDF] 個人情報保護法の制度的課題の再整理


20250123-64426

 

4 今後に向けて考慮していくべき点

(1) デジタル化に対応した個人情報取扱事業者のガバナンスの向上(適切なデータ利活用を推進できる体制整備(PIA(個人情報保護評価)実施・DPO(データ保護責任者)設置等を含む)、人材育成等)
(2) 個人・消費者と事業者との信頼(トラスト)の醸成・向上
(3) 官民を通じたデータ利活用の推進、適切な企業・組織間連携
(4) 民間の自主的取組へのインセンティブ、認定個人情報保護団体に関する取組
(5) 本人関与の在り方という観点からの更なる整理(プロファイリング、データポータビリティ等)
(6) 保護法益に応じた個人情報・個人データの範囲や規律の対象となる行為

ーーーーー

(参考1)
中間整理において提示した論点

令和2年改正法附則に基づき、個人データの利活用における現状と課題、デジタル化の進展とそれに伴い高まったリスク、国際的な制度構築の状況、新個人情報保護法の施行やこれまでの執行実績等を踏まえながら、下記のとおりできるだけ具体的な見直しの視点を提示した。

1 個人の権利利益のより実質的な保護の在り方
(1)個人情報等の適正な取扱いに関する規律の在り方
(2)第三者提供規制の在り方(オプトアウト等)
(3)こどもの個人情報等に関する規律の在り方
(4)個人の権利救済手段の在り方

2 実効性のある監視・監督の在り方
(1)課徴金、勧告・命令等の行政上の監視・監督手段の在り方
(2)刑事罰の在り方
(3)漏えい等報告・本人通知の在り方

3 データ利活用に向けた取組に対する支援等の在り方
(1)本人同意を要しないデータ利活用等の在り方
(2)民間における自主的な取組の促進

4 その他

ーーーーー

 

AI関連で気になる点...

「統計作成等であると整理できる AI 開発等、」...AI開発は統計作成等と整理できると...

欧州はAIであっても、例外はないというスタンス...日本も同じということなのかもしれないが...

「社会にとっての有益性や公益性という、現行法の例外規定の基礎となっている」ことを踏まえ、「個人の権利利益への直接の影響の有無という観点をも考慮して」、「統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱い」を行う場合は、個人の権利利益への直接の影響が無いと考えられるため、個人情報の取得についての同意が不要という整理をし、AIの学習のためのデータ収集は個人情報の有無にかかわらず(著作権は別として)、自由に学習できるということにしたいという感じですかね...

要配慮個人情報については、事前に本人から明示的な同意が必要なのですが、要配慮個人情報であっても、「特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱い」なので、個人の権利利益への直接の影響が無いので、まぁ同意は不要でよいのではないの、という感じでしょうかね...

個人情報の取得が問題となってAI開発が進んでいない面がゼロではないとしても、その影響はどの程度なのでしょうかね...

 

 

 

 

ーーーーー

(2) (短期的に)追加的に検討すべき論点について

1) 個人データ等の取扱いにおける本人関与に係る規律の在り方

事務局ヒアリングにおいては、個人情報保護法の規律の基本的な考え方に立ち戻り、その重要な要素として、個人データ等の取扱いに対する「本人の関与」があることを示し、意見を求めた。これに対する事務局ヒアリング結果を踏まえると、「本人の権利利益への直接の影響の有無等」を切り口として、規律の内容を検討していくことが望ましいのではないか。

ア 個人の権利利益への影響という観点も考慮した同意規制の在り方

中間整理においては、本人同意を要しないデータ利活用等については、個人の権利利益の保護とデータ利活用とのバランスを考慮し、社会にとっての有益性や公益性という、現行法の例外規定の基礎となっている観点から考え方を整理した。他方、上述の整理を踏まえると、上記観点に限らず、個人の権利利益への直接の影響の有無という観点をも考慮して、統計作成等であると整理できる AI 開発等、以下に該当する場合について、本人同意を要しないものとして整理できるのではないか。

① 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合
② 取得の状況からみて本人の意思に反しない取扱いを実施する場合
③ 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合であって本人の同意を得ないことに相当の理由があるとき

ーーーーー

 

検討会報告書

課徴金についてもかなり丁寧に触れられていますね...

・2024.12.25 [PDF] 検討会報告書

20250123-60529

 

【目次】

第1 はじめに
1 開催の背景
2 検討に影響を与える事項

第2 課徴金制度
1 検討に係る前提条件
(1)課徴金制度を検討する立法事実
(2)適正なデータ利活用への影響
(3)国内他法令における課徴金制度との関係
(4)外国制度との関係
2 想定される制度
(1)課徴金納付命令の対象となる範囲
(2)算定方法
(3)その他

第3 団体による差止請求制度及び被害回復制度
1 検討に係る前提条件
(1)適格消費者団体の現状、他法令の運用
(2)認定個人情報保護団体等との関係
2 想定される制度
(1)対象行為と運用
(2)その他(体制整備等)

第4 おわりに

参考


 

個人情報保護委員会

・・個人情報保護委員会開催状況

・・個人情報保護法のいわゆる3年ごと見直しに関する検討会

・・個人情報保護法 いわゆる3年ごと見直しについて

 

2025.01.22 第312回 個人情報保護委員会
資料1-1 「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について(案)
資料1-2 個人情報保護法の制度的課題の再整理
  議事概要
  議事録
2024.12.25 第311回 個人情報保護委員会
資料1 個人情報保護法のいわゆる3年ごと見直しに関する検討会 報告書
  議事概要
  議事録
2024.12.18 第7回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 現行制度と検討の方向性について(課徴金制度③)
資料2 検討会報告書(案)
参考資料1 これまでの主な論点及び関連御意見
参考資料2 第2回~第6回検討会における主な御意見
参考資料3 関係参考資料
参考資料4 「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
議事録  
2024.12.17 第310回 個人情報保護委員会
資料1-1 「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」 に関するヒアリングの概要について
資料1-2 事務局ヒアリングにおける主な御意見
参考資料1-1  
参考資料1-2 事務局ヒアリングの各参加者提出資料
  議事概要
  議事録
2024.11.28 第6回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 現行制度と検討の方向性について(課徴金制度②)
資料2 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度③)
資料3 これまでの主な論点及び関連御意見 (PDF : 2006KB)
参考資料1 第2回~第5回検討会における主な御意見
議事録 第6回個人情報保護法のいわゆる3年ごと見直しに関する検討会
2024.11.12 第5回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 国内他法令における課徴金額の算定方法等について
資料2 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度②)
資料3 認定個人情報保護団体制度について
資料4 第4回までの主な論点及び関連意見 
資料5 個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点・今後の検討の進め方
参考資料1 第2回~第4回検討会における主な御意見
参考資料2 関係参考資料 
議事録 第5回個人情報保護法のいわゆる3年ごと見直しに関する検討会
2024.10.16 第304回 個人情報保護委員会
資料1-1 個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点(案) 
資料1-2 今後の検討の進め方
  議事概要
  議事録 
2024.10.11 第4回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第
資料1 全国消費生活相談員協会プレゼン資料 
資料2 中川構成員プレゼン資料 
資料3 第3回事務局資料に対する御質問と考え方
参考資料1 第2回及び第3回検討会における主な御意見 
参考資料2 関係参考資料
前回資料1ー1 総合的な案内所(個人情報保護法相談ダイヤル)における受付状況 
前回資料1ー2 名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
前回資料2 個人情報保護法の違反行為に係る事例等 
前回資料3 現行制度と検討の方向性について(課徴金制度)
前回資料4 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度)
議事録 第4回個人情報保護法のいわゆる3年ごと見直しに関する検討会 
2024.09.26 第3回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
  議事次第 
資料1-1 総合的な案内所(個人情報保護法相談ダイヤル)における受付状況 
資料1-2 名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について 
資料2 個人情報保護法の違反行為に係る事例等 
資料3 現行制度と検討の方向性について(課徴金制度)
資料4 現行制度と検討の方向性について(団体による差止請求制度及び被害回復制度)
参考資料1 第2回検討会における主な御意見 
参考資料2 個人情報の保護に関する基本方針
参考資料3 個人情報の保護に関する法律に基づく行政上の対応について(令和6年9月11日公表資料)
参考資料4 関係参考資料 
議事録 第3回個人情報保護法のいわゆる3年ごと見直しに関する検討会 
2024.09.05 第2回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
資料1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要)
資料3 今後の検討の進め方
資料4 監視・監督活動及び漏えい等報告に関する説明資料
参考資料1 第1回検討会における主な意見
参考資料2 第1回検討会における主な質問及び回答
参考資料3 関係参考資料 
 議事録  
 2024.09.04 第299回 個人情報保護委員会
資料1-1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料1-2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果(概要)
 議事概要  
 議事録  
2024.07.31 第1回 個人情報保護法のいわゆる3年ごと見直しに関する検討会
資料1 開催要綱(案)
資料2 主婦連合会御提出資料
資料3 新経済連盟御提出資料
資料4 全国消費者団体連絡会御提出資料
資料5 全国消費生活相談員協会御提出資料
資料6 日本IT 団体連盟御提出資料
資料7 日本経済団体連合会御提出資料
参考資料1 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」概要
参考資料2 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」本文
議事録  
2024.07.24 第296回 個人情報保護委員会
資料1 個人情報保護法のいわゆる3年ごと見直しに関する検討会の設置について
議事概要  
議事録  
 2024.06.26  第292回 個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(案)
【委員長預かりで会議後に修正した資料】 資料1 個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理
資料2−1 日EU相互認証の枠組みの拡大に向けた対応について
資料2−2 個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長(価値・透明性担当)の会談に関する共同プレス・ステートメント(英語)
資料2−3 個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長(価値・透明性担当)の会談に関する共同プレス・ステートメント(日本語仮訳)
資料3 一般送配電事業者及び関係小売電気事業者等における顧客情報の不適切な取扱事案に対する個人情報の保護に関する法律に基づく行政上の対応について
議事概要  
議事録  
2024.06.13 第290回 個人情報保護委員会
資料1-1 第二次いわゆる3年ごと見直しへのコメント(ひかり総合法律事務所 板倉弁護士)
資料1-2 デジタル社会の個人情報保護法(新潟大学 鈴木教授)
議事概要  
議事録  
2024.06.12 第289回 個人情報保護委員会
資料1-1 個人情報保護委員会「いわゆる3年ごと見直し」ヒアリング(国立情報学研究所 佐藤教授) 
資料1-2 個人情報保護法3年ごと見直し令和6年に対する意見(産業技術総合研究所 高木主任研究員)
議事概要  
議事録  
2024.06.03 第287回 個人情報保護委員会
資料1-1 個人情報保護法見直しに関するコメント(京都大学 曽我部教授)
資料1-2 いわゆる3年ごと見直しに関する意見(慶應義塾大学 山本教授) 
資料1-3 3年ごと見直しヒアリング2024(英知法律事務所 森弁護士) 
資料1-4-1 個人情報保護法のいわゆる3年ごと見直しに関する意見(東京大学 宍戸教授)
資料1-4-2 宍戸常寿氏御提出資料(令和元年5月21日提出)
議事概要  
議事録  
2024.05.29 第286回 個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方③)
議事概要  
議事録  
2024.05.15 第284回 個人情報保護委員会
資料2 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(データ利活用に向けた取組に対する支援等の在り方)
資料3 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方②)
議事概要  
議事録  
2024.05.10 第283回 情報保護委員会
資料1-1 個人情報保護法における課徴金制度導入にかかる諸論点(名古屋大学 林教授)
資料1-2 個人情報保護法における法執行の強化について(神戸大学 中川教授)
議事概要  
議事録  
2024.04.24 第281回 個人情報保護委員会
資料1 個人情報保護法の3年ごと見直しに対する意見
資料2 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方③)
議事概要  
議事録  
2024.04.10 第280回 個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方② )
議事概要  
議事録  
2024.04.03 第279回 個人情報保護委員会
資料1―1 AIと個人情報保護:欧州の状況を中心に(一橋大学 生貝教授) 
資料1―2 AI利用と個人情報の関係の考察(NTT社会情報研究所 高橋チーフセキュリティサイエンティスト)
資料1−3 医療情報の利活用の促進と個人情報保護(東京大学 森田名誉教授)
資料1―4 医療・医学系研究における個人情報の保護と利活用(早稲田大学 横野准教授)
議事概要  
議事録  
2024.03.22 第277回 個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方①)
議事概要  
議事録  
2024.03.06 第275回 個人情報保護委員会
資料1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)
議事概要  
議事録  
2024.02.21 第273回 個人情報保護委員会
資料4 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目
【委員長預かりで会議後に修正した資料】資料4 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討項目
議事概要   
議事録   
2024.02.14 第272回 個人情報保護委員会
資料2-1 地方公共団体における個人情報保護法運用状況のヒアリング(京都府総務部政策法務課)
資料2-2 岡山市における個人情報保護法の運用状況(岡山市総務局行政事務管理課)
資料2-3 個人情報保護法運用状況について(都城市総務部総務課)
資料2-4 個人情報保護法運用状況について(上里町総務課)
議事概要  
議事録  
2024.02.07 第271回 個人情報保護委員会
資料1 インターネット広告における個人に関する情報の取扱いについての取組状況(日本インタラクティブ広告協会)
議事概要   
議事録  
2024.01.31 第270回 個人情報保護委員会
資料2 個人情報保護法の3 年ごと見直しに対する意見(日本経済団体連合会)
議事概要  
議事録   
2024.01.23 第268回 個人情報保護委員会
資料1―1 (特定)適格消費者団体の活動について(消費者支援機構関西)
資料1―2 個人情報保護委員会ヒアリング資料(日本商工会議所)
議事概要  
議事録  
2023.12.21 第266回 個人情報保護委員会
資料1―1 個人情報保護法の3年ごと見直しに関する意見(電子情報技術産業協会)
資料1―2 ヒアリング資料(全国商工会連合会)
議事概要  
議事録  
2023.12.20 第265回 個人情報保護委員会
資料1―1 ACCJ Comments for the Personal Information Protection Commission Public Hearing(在米国商工会議所)
資料1―2 公開ヒアリングに向けたACCJ意見(在米国商工会議所)
議事概要  
議事録  
2023.12.15 第264回 個人情報保護委員会
資料1―1 個人情報保護法の見直しについて(新経済連盟)
資料1―2 個人情報保護法見直しに関する意見(日本IT団体連盟) 
議事概要  
議事録  
2023.12.06 第263回 個人情報保護委員会
資料2 個人情報保護法に関する欧州企業の代表的な課題(欧州ビジネス協会)
議事概要  
議事録   
2023.11.29 第262回 個人情報保護委員会
資料1 ヒアリング資料(一般社団法人日本情報経済社会推進協会)
議事概要  
議事録   
2023.11.15 第261回 個人情報保護委員会
資料2-1 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討 
資料2-2 個人情報保護に係る主要課題に関する海外・国内動向調査 概要資料
議事概要  
議事録  

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.20 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第310回委員会、第6-7回検討会)

・2024.11.26 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第304回委員会、第3-5回検討会)

・2024.09.06 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第299回委員会、第2回検討会)

・2024.08.04 個人情報保護委員会 第1回 個人情報保護法のいわゆる3年ごと見直しに関する検討会

・2024.06.28 個人情報保護委員会 意見募集 いわゆる3年ごと見直しに係る検討の中間整理

・2024.06.04 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中... (2)

・2024.04.25 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中...

・2024.01.06 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング中...

 

| | Comments (0)

フランス CNIL モバイルアプリケーションにおけるパーミッション:ユーザーのプライバシーを尊重するための推奨 (2025.01.14)

こんにちは、丸山満彦です。

フランスのCNILが、モバイルアプリケーションにおけるアクセス許可についての勧告(Recomendation)を公表しているので、参考まで...

これは、2024.09.24に公表した[PDF] Recommandation: relative aux applications mobiles の補足解説的な位置付けですかね...

Permissions dans les applications mobiles : les recommandations de la CNIL pour respecter la vie privée des utilisateurs モバイルアプリケーションにおけるパーミッション:ユーザーのプライバシーを尊重するためのCNILの推奨
14 janvier 2025 2025年1月14日
Le 24 septembre 2024, la CNIL a publié la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle revient dans cet article sur le rôle clé des permissions au sein des applications mobiles. 2024年9月24日、CNILは、専門家がプライバシーを尊重したモバイルアプリケーションを設計するのに役立つ推奨の最終版を発表した。この記事では、モバイルアプリケーションにおけるアクセス許可の重要な役割について考察する。
L’utilisation d’applications mobiles implique très souvent des traitements de données personnelles : ces données sont soit fournies par les utilisateurs, soit collectées directement par l’application lorsqu’elle accède aux ressources présentes au sein de leur smartphone ou tablette. Dans ce dernier cas, l’application demande l’accord de l’utilisateur à travers un système mis à disposition par les systèmes d’exploitation : les permissions. モバイルアプリケーションの使用は、非常に多くの場合、個人データの処理を伴う。このデータは、ユーザーから提供されるか、アプリケーションがスマートフォンやタブレットのリソースにアクセスする際に直接収集される。後者の場合、アプリケーションは、オペレーティングシステムが提供するシステム(パーミッション)を通じて、ユーザーの同意を求める。
Qu’est-ce qu’une permission ? パーミッションとは何か?
Les permissions d’accès (ou « autorisations ») mises en œuvre au sein des OS des terminaux mobiles sont des dispositifs permettant à l’utilisateur de choisir quelles fonctionnalités et quelles données sont accessibles à chacune de leurs applications mobiles. モバイル端末のOSに実装されているアクセス許可(または「オーソライゼーション」)は、ユーザーがモバイルアプリケーションごとにアクセスできる機能やデータを選択できるようにする装置である。
Grâce à ces dispositifs, l’utilisateur choisit ainsi de permettre ou non aux applications d’accéder aux capteurs (accéléromètre, localisation, luminosité, objectif photo, microphone, etc.) ou à la mémoire (stockage de fichiers, photos, vidéos, sons, carnet de contacts, historiques divers, etc.) de son terminal mobile. これらのデバイスのおかげで、ユーザーは、モバイル端末のセンサー(加速度計、位置情報、輝度、カメラレンズ、マイクなど)やメモリ(ファイルストレージ、写真、ビデオ、サウンド、連絡帳、各種履歴など)へのアクセスをアプリケーションに許可するかどうかを選択できる。
1_20250122063501
L’utilisation d’applications mobiles implique très souvent des traitements de données personnelles : ces données sont soit fournies par les utilisateurs, soit collectées directement par l’application lorsqu’elle accède aux ressources présentes au sein de leur smartphone ou tablette. Dans ce dernier cas, l’application demande l’accord de l’utilisateur à travers un système mis à disposition par les systèmes d’exploitation : les permissions. モバイル・アプリケーションの使用は、非常に多くの場合、個人データの処理を伴う。このデータは、ユーザーから提供されるか、アプリケーションがスマートフォンやタブレットのリソースにアクセスする際に直接収集される。後者の場合、アプリケーションは、オペレーティングシステムが提供するシステム(パーミッション)を通じて、ユーザーの同意を求める。
Les permissions sont à distinguer du recueil du consentement パーミッションと同意の取得を区別する
Les permissions techniques sont très utiles pour le respect de la vie privée. Elles permettent aux utilisateurs de bloquer techniquement l’accès à certaines données, garantissant ainsi la confidentialité des informations. Ce mécanisme offre un moyen simple et direct de préserver leur vie privée (voir la recommandation, partie 8.3.1). 技術的パーミッションは、プライバシーを尊重する上で非常に有用である。これにより、ユーザーは特定のデータへのアクセスを技術的にブロックすることができ、情報の機密性が保証される。この仕組みは、プライバシーを保護する簡単で直接的な方法を提供する(推奨、セクション8.3.1を参照)。
Concrètement, en acceptant ou en refusant les permissions, l’utilisateur comprend quelles données il partage avec l’application. Cela lui permet de repérer des demandes excessives, comme une lampe torche qui demande l’accès aux contacts. 実用的な面では、アクセス許可を受け入れるか拒否するかによって、ユーザはアプリケー ションとどのようなデータを共有しているかを理解する。これにより、例えばトーチが連絡先へのアクセスを要求するような、過剰な要求に気付くことができる。
Pour autant, ces permissions « techniques » ne sont pas conçues pour collecter le consentement des utilisateurs, au sens du RGPD et de la loi Informatique et Libertés : しかし、これらの 「技術的な 」パーミッションは、GDPRとデータ保護法の意味において、ユーザーの同意を収集するようには設計されていない:
Elles visent en effet uniquement à donner ou bloquer l’accès aux ressources et informations protégées du terminal mobile indépendamment des finalités poursuivies par l’éditeur de l’application. Le fournisseur d’OS suggère uniquement d’expliquer au sein de la requête pour quelle raison l’accès est demandé. Ces permissions peuvent donc être requises dans des situations où le consentement de l’utilisateur n’est pas imposé par la règlementation. Par exemple, l’accès à la localisation est exempté de consentement pour le fonctionnement même d’une application de navigation puisque cette donnée est nécessaire au service. Cependant, le fournisseur d’OS impose à l’éditeur de demander une permission pour accéder à ces données. その唯一の目的は、アプリケーションの発行者が追求する目的とは無関係に、モバイルデバイス上の保護されたリソースや情報へのアクセスを許可またはブロックすることである。OSプロバイダは、要求がアクセスを要求する理由を説明することのみを提案している。したがって、これらの許可は、ユーザーの同意が法律で要求されていない状況でも要求される可能性がある。例えば、位置情報データへのアクセスは、ナビゲーション・アプリ ケーションの運用そのものについては同意の対象外である。しかし、OSプロバイダーはこのデータへのアクセス許可をパブリッシャーに要求する。
Même lorsque le consentement est requis, une simple demande de permission ne permet pas toujours d’obtenir un consentement libre, spécifique, éclairé et univoque, conformément au RGPD ou à la loi Informatique et Libertés (article 82). Elle n’est suffisante que dans des cas limités, par exemple, si la permission concerne un seul traitement, une seule finalité et un seul destinataire des données (voir la recommandation, partie 8.3.2). Dans la plupart des cas, il est nécessaire d’utiliser une plateforme de gestion du consentement en complément de la demande de permission. 同意が必要な場合であっても、単純に許可を求めるだけでは、GDPRやデータ保護法(第82条)に従った、自由で、具体的で、十分な情報を提供された上で、明確な同意を得ることができるとは限らない。例えば、許可が単一の処理業務、単一の目的、単一のデータ受領者に関 連する場合など、限られたケースでのみ十分である(推奨、8.3.2項参照)。ほとんどの場合、許可申請に加え、同意管理プラットフォームを使用する必要がある。
Que retenir des recommandations de la CNIL concernant les permissions ? 許可に関するCNILの推奨から何を学ぶことができるか?
Les bonnes pratiques pour les fournisseurs d’OS OSプロバイダーのベストプラクティス
La recommandation prévoit un certain nombre de bonnes pratiques à destination des fournisseurs d’OS dans le cadre de la mise en œuvre des permissions, concernant les opérations qui devraient être couvertes, la portée des permissions ou le niveau d’informations qu’elles devraient permettre. この推奨では、OSプロバイダーがパーミッションを導入する際のベストプラクティスを、対象とすべき業務、パーミッションの範囲、許可すべき情報レベルに関して、いくつか定めている。
En particulier, les fournisseurs d’OS sont encouragés à concevoir leur système de permissions de manière à permettre à l’éditeur de choisir la portée des permissions le plus finement possible. Ainsi, un système de permissions idéal permet à l’éditeur de choisir : 特にOSベンダは、公開者がパーミッションの範囲をできるだけ細かく選択できるように、パーミッションシステムを設計することが推奨される。したがって、理想的なパーミッションシステムは、発行者が:
le degré de précision de la donnée fournie en fonction de la finalité poursuivie (ex. : localisation plus ou moins précise) ; 目的に応じて提供されるデータの精度の程度(例えば、より正確な位置情報、より正確でない位置情報);
la portée matérielle de l’autorisation (ex. : accès aux photos sélectionnées plutôt qu’à la galerie média globale) ; 権限の範囲(例えば、メディアギャラリー全体ではなく、選択された写真へのアクセス);
la durée pendant l’autorisation est donnée (ex. : activation ponctuelle de la permission ou pour une durée prédéterminée). 権限の有効期間(例えば、1回限りの許可の有効化、または所定の期間)。
Le but des permissions est de permettre aux personnes d’avoir la main sur leurs données ; elles ne doivent en aucun cas conduire à favoriser les applications conçues par le fournisseur d’OS. パーミッションの目的は、人々が自分のデータをコントロールできるようにすることであり、いかなる状況においても、OSプロバイダーが設計したアプリケーションを優遇するようなことがあってはならない。
► Voir la recommandation, partie 8.3 推奨8.3を参照のこと。
L’éditeur doit choisir les permissions à mettre en œuvre et identifier les situations dans lesquelles un consentement doit être recueilli 発行者は実装するパーミッションを選択し、同意を得なければならない状況を特定しな ければならない。
L’éditeur doit choisir les permissions qu’il souhaite mettre en œuvre pour le fonctionnement de son application. En ce sens, la recommandation guide tout d’abord les choix de l’éditeur d’application en matière d’usage des permissions. 発行者は、そのアプリケーションの運用のために実装したいパーミッションを選択しなけれ ばならない。この目的のために、推奨はまず、パーミッションの使用に関するアプリケーション発行者の選択を導く。
Il doit en particulier identifier : 特に、発行者は:
au cas par cas, parmi les permissions mises à disposition par l’OS, celle permettant de remplir les objectifs poursuivis, dans le respect du principe de minimisation : quand l’OS en donne la possibilité, la CNIL recommande à l’éditeur de choisir, pour chaque permission, la version la moins intrusive qui réponde à son besoin. OSが提供する許可の中から、最小化の原則に従い、追求する目的に合致するものをケースバイケースで選択すること。OSがこれを可能にする場合、CNILは、出版者がそれぞれの許可について、そのニーズを満たす最も侵入の少ないバージョンを選択することを推奨する。
en tant que responsable du traitement, les situations dans lesquelles la règlementation exige un consentement en complément de la permission imposée par le fournisseur d’OS. Pour ce faire, il devra déterminer si les traitements liés aux permissions impliquent des opérations de lecture/écriture qui nécessitent le consentement des utilisateurs (article 82 de la loi Informatique et Libertés). Dans ce cas, la mise en œuvre d’une plateforme de gestion du consentement (« Consent Management Platform » ou CMP) pourra être nécessaire en complément de la demande de permission « technique ». La recommandation guide les développeurs sur la manière de recueillir le consentement dans ce cadre. À cet égard, la CNIL considère comme une bonne pratique de recueillir les consentements de manière contextuelle en fonction des actions entreprises en lieu et place d’un unique écran initial. データ管理者として、OSサプライヤーが課す許可に加え、規則が同意を要求する状況。そのためには、パーミッションに関連する処理が、ユーザーの同意を必要とする読み取り/書き込み操作を含むかどうかを判断する必要がある(フランスデータ保護法第82条)。この場合、「技術的な」許可要求に加えて、同意管理プラットフォーム(CMP)の実装が必要になるかもしれない。この推奨は、このような状況における同意の収集方法について、開発者をガイドするものである。この点に関して、CNILは、単一の初期画面ではなく、行われたアクションに応じてコンテキストに応じた同意を収集することが良い方法であると考えている。
► Voir la recommandation relative aux applications mobiles, partie 5.5 et partie 6.2.3, pp. 52-53 モバイルアプリケーションに関する推奨、第5.5部および第6.2.3部、52-53頁を参照のこと。
Comment articuler la permission et le recueil du consentement ? 許可と同意はどのように表現されるべきか?
Lorsqu’à la fois une CMP et une demande de permission sont présentées à l’utilisateur, leur articulation ne doit pas être génératrice de confusion pour ce dernier. CMPと同意の要求の両方がユーザに提示される場合、それらの表現がユーザを混乱させ てはならない。
Le consentement peut être obtenu indifféremment avant ou après la demande de permission. Toutefois, la CNIL recommande au développeur, en lien avec l’éditeur responsable du traitement, de veiller à ce que cette articulation soit faite de manière à favoriser la compréhension de l’utilisateur. 同意は、許可要求の前でも後でも取得することができる。しかし、CNILは、開発者が処理に責任を持つ公開者と連携して、この関連付けを利用者が理解しやすいように確実に行うことを推奨している。
L’infographie ci-dessous précise comment cette articulation peut se faire afin d’éviter toute confusion pour l’utilisateur : 以下のインフォグラフィックは、利用者の混乱を避けるための方法を示している:
Infographie_permissions_et_cmp
Consulter l'infographie au format PDF インフォグラフィックをPDFで見る
Ce schéma concerne l’articulation entre la fenêtre de sollicitation (CMP) et les permissions techniques, et non les permissions visant à autoriser ou refuser la réalisation de certaines actions en vue d’une finalité précise (permissions « à finalité ») この図は、リクエスト・ウィンドウ(CMP)とテクニカル・パーミッションの関係に関するものであり、特定の目的のために特定のアクションの実行を許可または拒否するように設計されたパーミッション(「目的」パーミッション)には関係しない。
Comme indiqué dans le schéma précédent, le responsable du traitement est libre de choisir l’ordre dans lequel la permission et la CMP sont présentées (A ou B). 前述の図に示すように、管理者は、許可とCMPの提示順序(AまたはB)を自由に選択できる。
Le responsable du traitement, pour mettre en œuvre son traitement de données devra, d’une part, pouvoir accéder techniquement aux données (permission) et, d’autre part, démontrer qu’il a recueilli un consentement conforme aux exigences posées par le RGPD (CMP). Si l’une ou l’autre de ces autorisations n’est pas accordée, la CNIL invite à ne pas afficher la seconde demande pour éviter de solliciter inutilement les utilisateurs. データ処理を実行するために、データ管理者は技術的にデータにアクセスでき(許可)、GDPRの要件に従って同意を得たことを証明する(CMP)必要がある。これらの認可のいずれかが得られない場合、CNILはユーザーを不必要に勧誘することを避けるため、2つ目の要求を表示しないよう呼びかけている。
► Voir la recommandation, partie 6.2.3 推奨6.2.3を参照のこと。
Pour approfondir 詳細情報
Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée モバイルアプリケーション:CNILはプライバシーをより良く保護するための推奨を公表している。
Smartphones et applications : règles et conseils pour les professionnels スマートフォンとアプリケーション:専門家のための規則とアドバイス
La recommandation 推奨
Recommandation relative aux applications mobiles モバイルアプリケーションに関する推奨
[ PDF-3.05 Mo ] [PDF-3.05 Mo]



・2024.09.24 [PDF] Recommandation: relative aux applications mobiles 

20250122-63741

  目次...

Table des matières 目次
1.  Introduction 1. はじめに
2.  Périmètre de la recommandation 2. 推奨の範囲
2.1.  À qui s’adresse cette recommandation ? 2.1. この推奨は誰を対象としているのか?
2.2.  Que désigne-t-on par « application mobile » ? 2.2. モバイルアプリケーション」とは何を指すのか?
2.3.  Quels sont les acteurs du secteur des applications mobiles ? 2.3 モバイル・アプリケーション分野のプレーヤーは誰か?
3. L’application est-elle soumise à la réglementation relative à la protection des données personnelles ? 3. アプリケーションは個人データ保護に関する規制の対象となるか?
3.1.  Application de la directive relative à la vie privée et aux communications électroniques dite « ePrivacy » 3.1. プライバシーと電子通信に関するeプライバシー指令の適用
3.2.  Application du RGPD 3.2. GDPRの適用
3.3.  Traitements relevant de l’exemption domestique 3.3. 国内適用除外の対象となる処理
4.  Quels sont les rôles de chaque acteur dans le cadre de l’utilisation de l’application ? 4. アプリケーションを使用する際の各プレーヤーの役割は何か?
4.1.  Pourquoi est-il important de déterminer le rôle de chacun au sens du RGPD ? 4.1. なぜGDPRの意味における各人の役割を決定することが重要なのか?
4.2.  Déterminer les qualifications de chaque acteur 4.2. 各プレーヤーの資格を決定する
5.  Recommandations spécifiques à l’éditeur 5. パブリッシャーに特化した推奨
5.1.  Concevoir son application 5.1. アプリケーションをデザインする
5.2.  Cartographier ses partenaires 5.2. パートナーをマッピングする
5.3.  Gérer le consentement et les droits des personnes 5.3. 同意と個人の権利を管理する
5.4.  Maintenir la conformité durant le cycle de vie de l’application 5.4. アプリケーションのライフサイクルを通じてコンプライアンスを維持する
5.5.  Permissions et protection des données dès la conception 5.5. 設計による権限とデータ保護
5.6.  Liste de vérifications 5.6. チェックリスト
6.  Recommandations spécifiques au développeur 6. 開発者への具体的な推奨
6.1.  Formaliser sa relation avec l’éditeur 6.1. 出版社との関係を正式にする
6.2.  Assumer son rôle de conseil envers l’éditeur 6.2. 出版社のアドバイザーの役割を引き受ける
6.3.  Faire un bon usage des SDK 6.3. SDKをうまく活用する
6.4.  Assurer la sécurité de l’application 6.4. アプリケーションのセキュリティを確保する
6.5.  Liste de vérifications 6.5. チェックリスト
7.  Recommandations spécifiques au fournisseur de kits de développement logiciel (SDK) 7. ソフトウェア開発キット(SDK)サプライヤーに特有の推奨
7.1.  Concevoir son service 7.1. サービスの設計
7.2.  Documenter les bonnes informations 7.2. 正しい情報を文書化する
7.3.  Gérer le consentement et les droits des personnes 7.3. 人々の同意と権利を管理する
7.4.  Participer au maintien de la conformité de l’application au cours du temps 7.4. アプリケーションのコンプライアンスを長期にわたって維持する
7.5.  Liste de vérifications 7.5. チェックリスト
8.  Recommandations spécifiques au fournisseur de système d’exploitation (OS) 8. オペレーティングシステム(OS)サプライヤーに特有の推奨
8.1.  Assurer la conformité des traitements de données personnelles mis en œuvre 8.1. 実施される個人データ処理のコンプライアンスの確保
8.2.  Assurer la bonne information des partenaires 8.2. パートナーに適切に通知すること
8.3.  Fournir des outils pour permettre le respect des droits et du consentement des utilisateurs 8.3. 利用者の権利と同意が尊重されるようにツールを提供する。
8.4.  Fournir une plateforme sécurisée 8.4. 安全なプラットフォームを提供する
8.5.  Liste de vérifications 8.5. チェックリスト
9.  Recommandations spécifiques au fournisseur de magasin d’applications 9. アプリケーションショッププロバイダー特有の推奨
9.1.  Analyser les applications soumises par les éditeurs 9.1. パブリッシャーから提出されたアプリケーションを分析する
9.2. Mettre en œuvre des processus transparents de revue des applications qui intègrent la vérification des règles élémentaires de protection des données 9.2 基本的なデータ保護ルールの検証を含む、透明性のある申請審査プロセスを導入する。
9.3.  Informer les utilisateurs et leur fournir des outils de signalement et d’exercice des droits 9.3. ユーザーに情報を提供し、インシデントを報告し権利を行使するためのツールを提供する。
9.4.  Liste de vérifications 9.4. チェックリスト
10.  Glossaire 10. 用語集

 

| | Comments (0)

2025.01.22

米国 トランプ大統領の1日目の仕事...就任演説とトランプ=ヴァンス政権の優先事項

こんにちは、丸山満彦です。

トランプ大統領になっての初日のアナウンスは48個...

パリ協定からの脱退、WHOからの脱退、死刑制度の復活、国境警備の強化、石油掘削の推進、「TikTok(ティックトック)」禁止措置の75日間猶予、政府効率化省の設置など、話題になる政策に関連する大統領令などを出していますね。。。

大きく揺れながらも、経済的に成長していくのでしょうかね...

「もしトラ」が「いまトラ」となり、日本は日本としての考え方をしっかりと持っていないと、振り回されるだけになってしまうように思います。

日本としての考え方というのは、国民の議論によって決まっていくのだろうと思います。トランプ大統領に気に入られようという話でも、トランプ大統領にどう対応しようという話でもなく、日本はどういう国になるということをより明確にしていくことが重要なのでしょうね...

 

U.S. White House

20250121-105054

 

太字が大統領令です... 26個ありますね...

48 GUARANTEEING THE STATES PROTECTION AGAINST INVASION 国家を侵略から防御することを保証する
47 Restoring Names That Honor American Greatness 米国の偉大さを称える名称を復活させる
46 Designating Cartels And Other Organizations As Foreign Terrorist Organizations And Specially Designated Global Terrorists カルテルやその他の組織を外国テロ組織および特別指定グローバルテロリストとして指定する
45 Reforming The Federal Hiring Process And Restoring Merit To Government Service 連邦政府の雇用プロセスを改革し、政府サービスにメリットを復活させる
44 Ending Radical And Wasteful Government DEI Programs And Preferencing 急進的かつ浪費的な政府DEIプログラムを廃止し、優先順位をつける
43 Defending Women From Gender Ideology Extremism And Restoring Biological Truth To The Federal Government ジェンダー・イデオロギーの過激主義から女性を防御し、連邦政府に生物学的な真実を回復する
42 Establishing And Implementing The President’s “Department Of Government Efficiency” 大統領の「政府効率化省」を設立し、実施する
41 America First Policy Directive To The Secretary Of State 国務長官に対する「アメリカ第一」政策指令
40 Protecting The United States From Foreign Terrorists And Other National Security And Public Safety Threats 外国のテロリストやその他の国家安全保障および公共安全の脅威から米国を防御する
39 Unleashing Alaska’s Extraordinary Resource Potential アラスカの驚異的な資源ポテンシャルを解き放つ
38 Protecting The American People Against Invasion 米国国民を侵略から防御する
37 The Organization for Economic Co-operation and Development (OECD) Global Tax Deal (Global Tax Deal) 経済協力開発機構(OECD)グローバル・タックス・ディール(グローバル・タックス・ディール)
36 Organization of the National Security Council and Subcommittees 国家安全保障会議および小委員会の組織
35 Reevaluating And Realigning United States Foreign Aid 米国の対外援助の再評価と再編成
34 Temporary Withdrawal of All Areas on the Outer Continental Shelf from Offshore Wind Leasing and Review of the Federal Government’s Leasing and Permitting Practices for Wind Projects 大陸棚外側の全区域の一時的な沖合風力発電リースからの撤退および連邦政府の風力発電プロジェクトのリースおよび許可慣行の見直し
33 Declaring a National Energy Emergency 国家エネルギー緊急事態の宣言
32 Restoring Accountability for Career Senior Executives キャリア上級管理職の説明責任の回復
31 Promoting Beautiful Federal Civic Architecture 美しい連邦政府市民建築の推進
30 Restoring The Death Penalty And Protecting Public Safety 死刑制度の復活と公共安全の保護
29 Putting People Over Fish: Stopping Radical Environmentalism to Provide Water to Southern California 魚よりも人を優先:南カリフォルニアへの水供給を確保するための急進的環境保護主義の阻止
28 Securing Our Borders 国境の安全確保
27 Protecting The Meaning And Value Of American Citizenship アメリカ市民権の意味と価値の保護
26 Realigning the United States Refugee Admissions Program 米国難民受け入れプログラムの再編
25 Unleashing American Energy 米国のエネルギーを解き放つ
24 Clarifying The Military’s Role In Protecting The Territorial Integrity Of The United States 米国の領土保全を守る軍の役割を明確にする
23 America First Trade Policy 米国第一の通商政策
22 Memorandum to Resolve the Backlog of Security Clearances for Executive Office of the President Personnel 大統領府職員のセキュリティクリアランスの未処理案件を解決するための覚書
21 Declaring A National Emergency At The Southern Border Of The United States 米国の南の国境における国家緊急事態を宣言する
20 Holding Former Government Officials Accountable For Election Interference And Improper Disclosure Of Sensitive Governmental Information 選挙妨害および機密政府情報の不適切な開示に対する元政府高官の責任を問う
19 Restoring Accountability To Policy-Influencing Positions Within the Federal Workforce 連邦政府職員の政策に影響を与える役職への説明責任の回復
18 Withdrawing The United States From The World Health Organization 米国のWHO(世界保健機関)からの脱退
17 Application Of Protecting Americans From Foreign Adversary Controlled Applications Act To TikTok 外国の敵対者による支配アプリケーション法のTikTokへの適用
16 Granting Pardons And Commutation Of Sentences For Certain Offenses Relating To The Events At Or Near The United States Capitol On January 6, 2021 2021年1月6日に米国議会議事堂またはその付近で発生した事件に関連する特定の犯罪に対する恩赦および刑の減免
15 Putting America First In International Environmental Agreements 国際環境協定における米国第一主義
14 Delivering Emergency Price Relief for American Families and Defeating the Cost-of-Living Crisis アメリカ人家族のための緊急価格救済策の実施と生活費高騰危機の克服
13 Hiring Freeze 雇用凍結
12 Regulatory Freeze Pending Review 規制凍結 見直し保留
11 Return to In-Person Work 対面業務への復帰
10 Ending The Weaponization Of The Federal Government 連邦政府の武器化の終結
9 Restoring Freedom Of Speech And Ending Federal Censorship 言論の自由の回復と連邦検閲の廃止
8 Initial Rescissions Of Harmful Executive Orders And Actions 有害な大統領令および行動の当初の廃止
7 The Inaugural Address 就任演説
6 Flying The Flag Of The United States At Full-Staff On Inauguration Day 就任式当日に全職員で米国旗を掲揚する
5 President Trump Designates Chairmen and Acting Chairmen トランプ大統領が委員長および代理委員長を指名する
4 President Trump Announces Acting Cabinet and Cabinet-Level Positions トランプ大統領が内閣および閣僚級ポストの代理を指名する
3 President Trump Announces Sub-Cabinet Appointments トランプ大統領が次官級ポストの任命を発表する
2 President Trump Announces Cabinet and Cabinet Level Appointments トランプ大統領が閣僚および閣僚級ポストの任命を発表する
1 President Trump’s America First Priorities トランプ大統領が「アメリカ第一主義」の優先事項を発表する

 

最後に就任演説...

7 The Inaugural Address 就任演説

 

U.S. Capitol 米国議会議事堂
Washington, D.C. ワシントンD.C.
12:10 P.M. EST 東部標準時午後12時10分
THE PRESIDENT:  Thank you.  Thank you very much, everybody.  (Applause.)  Wow.  Thank you very, very much. 大統領:ありがとう。皆さん、本当にありがとう。(拍手)わぉ。本当に本当にありがとう。
Vice President Vance, Speaker Johnson, Senator Thune, Chief Justice Roberts, justices of the Supreme Court of the United States, President Clinton, President Bush, President Obama, President Biden, Vice President Harris, and my fellow citizens, the golden age of America begins right now.  (Applause.)   ヴァンス副大統領、ジョンソン議長、サン上院議員、ロバーツ最高裁長官、米国最高裁判所の裁判官の皆さん、クリントン前大統領、ブッシュ前大統領、オバマ前大統領、バイデン前大統領、ハリス副大統領、そして同胞の皆さん、米国の黄金時代は今、始まるのだ。(拍手)  
From this day forward, our country will flourish and be respected again all over the world.  We will be the envy of every nation, and we will not allow ourselves to be taken advantage of any longer.  During every single day of the Trump administration, I will, very simply, put America first.  (Applause.)  今日から、我が国は再び繁栄し、世界中で尊敬されるようになるだろう。我々はあらゆる国々から羨望の的となるだろう。そして、これ以上、我が国が利用されることは許さない。トランプ政権の一日一日において、私は、非常にシンプルに、アメリカを第一に考える。
Our sovereignty will be reclaimed.  Our safety will be restored.  The scales of justice will be rebalanced.  The vicious, violent, and unfair weaponization of the Justice Department and our government will end.  (Applause.)   我々の主権は回復される。我々の安全は回復される。正義の天秤は再び釣り合う。悪質で暴力的で不公平な司法省と政府の武器化は終わる。(拍手)
And our top priority will be to create a nation that is proud, prosperous, and free.  (Applause.) そして、我々の最優先事項は、誇り高く、繁栄し、自由な国家を創り出すことである。(拍手)
America will soon be greater, stronger, and far more exceptional than ever before.  (Applause.)  アメリカは間もなく、これまで以上に偉大で、強大で、卓越した国となるだろう。(拍手)
I return to the presidency confident and optimistic that we are at the start of a thrilling new era of national success.  A tide of change is sweeping the country, sunlight is pouring over the entire world, and America has the chance to seize this opportunity like never before.   私は自信と楽観に満ちて大統領職に復帰する。なぜなら、私たちは国家的な成功というスリリングな新時代の始まりに立っているからだ。変化の波が国を席巻し、世界全体に陽光が降り注いでいる。そしてアメリカには、かつてないほどこの機会を掴むチャンスがある。 
But first, we must be honest about the challenges we face.  While they are plentiful, they will be annihilated by this great momentum that the world is now witnessing in the United States of America.  しかし、その前に、私たちは直面する課題について正直でなければならない。課題は数多くあるが、世界が今、米国で目の当たりにしているこの大きな勢いによって、それらはすべて消滅するだろう。
As we gather today, our government confronts a crisis of trust.  For many years, a radical and corrupt establishment has extracted power and wealth from our citizens while the pillars of our society lay broken and seemingly in complete disrepair.   本日、私たちがここに集まっているように、私たちの政府は信頼の危機に直面している。長年にわたり、急進的で腐敗した体制が、私たちの社会の柱が折れ、完全に荒廃したように見える中で、私たちの市民から権力と富を抽出してきた。 
We now have a government that cannot manage even a simple crisis at home while, at the same time, stumbling into a continuing catalogue of catastrophic events abroad.  今、私たちは、国内の単純な危機さえ管理できない政府を抱え、同時に、海外では悲惨な出来事が次々と発生している。
It fails to protect our magnificent, law-abiding American citizens but provides sanctuary and protection for dangerous criminals, many from prisons and mental institutions, that have illegally entered our country from all over the world.   この政府は、法を守る善良なアメリカ市民を守ることはできないが、世界中のさまざまな場所から違法にこの国に入国した危険な犯罪者たちに、刑務所や精神病院から逃げ出してくる者も含めて、保護と避難場所を提供している。
We have a government that has given unlimited funding to the defense of foreign borders but refuses to defend American borders or, more importantly, its own people.  この政府は、外国の国境を守るために無制限の資金を提供しているが、アメリカの国境を守ることも、さらに重要なこととして、自国民を守ることも拒否している。
Our country can no longer deliver basic services in times of emergency, as recently shown by the wonderful people of North Carolina — who have been treated so badly — (applause) — and other states who are still suffering from a hurricane that took place many months ago or, more recently, Los Angeles, where we are watching fires still tragically burn from weeks ago without even a token of defense.  They’re raging through the houses and communities, even affecting some of the wealthiest and most powerful individuals in our country — some of whom are sitting here right now.  They don’t have a home any longer.  That’s interesting.  But we can’t let this happen.  Everyone is unable to do anything about it.  That’s going to change.  最近、ノースカロライナ州の素晴らしい人々がひどい扱いを受けていることで示されたように、我が国はもはや緊急時に基本的なサービスを提供することができない。(拍手)また、数ヶ月前に発生したハリケーンの被害に今も苦しむ他の州や、最近ではロサンゼルスで、数週間前から今も防護の手立てもなく悲劇的に燃え続ける火災を私たちは目撃している。 彼らは家々やコミュニティを荒らし、この国の富裕層や有力者たちにも影響を与えている。今この場にも、そうした人々が座っている。彼らにはもはや家がない。それは興味深い。しかし、このような事態を放置することはできない。誰もが何もできない。それは変わらなければならない。
We have a public health system that does not deliver in times of disaster, yet more money is spent on it than any country anywhere in the world.   災害時には機能しない公衆衛生システムがあるが、それでも世界中のどの国よりも多くの予算が投入されている。 
And we have an education system that teaches our children to be ashamed of themselves — in many cases, to hate our country despite the love that we try so desperately to provide to them.  All of this will change starting today, and it will change very quickly.  (Applause.) そして、子供たちに自分自身を恥じるよう教える教育システムがある。多くの場合、子供たちに必死に愛情を注いでいるにもかかわらず、子供たちは自国を憎むようになる。 これらすべては今日から変わり、そして非常に急速に変わるだろう。 (拍手)
My recent election is a mandate to completely and totally reverse a horrible betrayal and all of these many betrayals that have taken place and to give the people back their faith, their wealth, their democracy, and, indeed, their freedom.  From this moment on, America’s decline is over.  (Applause.) 私の最近の選挙での勝利は、これまでに行われた恐ろしい裏切りや数々の裏切りを完全に、完全に覆すという使命であり、人々に信頼、富、民主主義、そして真の自由を取り戻すことである。この瞬間から、アメリカの衰退は終わる。
Our liberties and our nation’s glorious destiny will no longer be denied.  And we will immediately restore the integrity, competency, and loyalty of America’s government.  我々の自由と、この国の輝かしい未来は、もはや否定されることはないだろう。そして、我々は直ちに、アメリカの政府の誠実さ、能力、そして忠誠心を取り戻すだろう。
Over the past eight years, I have been tested and challenged more than any president in our 250-year history, and I’ve learned a lot along the way.  過去8年間、私は250年の歴史の中でどの大統領よりも多く試練と挑戦に直面し、その過程で多くを学んだ。
The journey to reclaim our republic has not been an easy one — that, I can tell you.  Those who wish to stop our cause have tried to take my freedom and, indeed, to take my life.  共和国を取り戻すまでの道のりは、決して容易なものではなかった。 私たちの大義を阻止しようとする者たちは、私の自由を奪い、実際に私の命を奪おうとした。
Just a few months ago, in a beautiful Pennsylvania field, an assassin’s bullet ripped through my ear.  But I felt then and believe even more so now that my life was saved for a reason.  I was saved by God to make America great again.  (Applause.) ほんの数か月前、ペンシルベニア州の美しい野原で、暗殺者の銃弾が私の耳を貫通した。しかし、私はそのとき、そして今、より強くそう感じているが、私の命は理由があって救われたのだ。私はアメリカを再び偉大にするために神に救われたのだ。(拍手)
Thank you.  Thank you.  (Applause.) ありがとう。ありがとう。(拍手)
Thank you very much.  (Applause.) 本当にありがとう。(拍手)
That is why each day under our administration of American patriots, we will be working to meet every crisis with dignity and power and strength.  We will move with purpose and speed to bring back hope, prosperity, safety, and peace for citizens of every race, religion, color, and creed.  だからこそ、愛国者による我々の政権下では、日々、威厳と力と強さをもってあらゆる危機に対処していく。我々は、あらゆる人種、宗教、肌の色、信条を持つ市民に希望、繁栄、安全、平和を取り戻すために、目的意識とスピードを持って行動していく。
For American citizens, January 20th, 2025, is Liberation Day.  (Applause.)  It is my hope that our recent presidential election will be remembered as the greatest and most consequential election in the history of our country.   アメリカ国民にとって、2025年1月20日は解放の日である。(拍手) 私は、最近の私たちの大統領選挙が、我が国の歴史上、最も偉大で最も重要な選挙として記憶されることを願っている。 
As our victory showed, the entire nation is rapidly unifying behind our agenda with dramatic increases in support from virtually every element of our society: young and old, men and women, African Americans, Hispanic Americans, Asian Americans, urban, suburban, rural.  And very importantly, we had a powerful win in all seven swing states — (applause) — and the popular vote, we won by millions of people.  (Applause.)  我々の勝利が示したように、社会のほぼあらゆる層から劇的な支持の増加が見られ、全国民が我々の政策に急速に団結している。若者も高齢者も、男性も女性も、アフリカ系アメリカ人も、ヒスパニック系アメリカ人も、アジア系アメリカ人も、都市部も郊外も、農村部も。そして、非常に重要なことだが、7つの激戦州すべてで我々は圧勝した。(拍手)さらに、一般投票でも、何百万人もの人々から我々は勝利を収めた。(拍手) 
To the Black and Hispanic communities, I want to thank you for the tremendous outpouring of love and trust that you have shown me with your vote.  We set records, and I will not forget it.  I’ve heard your voices in the campaign, and I look forward to working with you in the years to come.  黒人およびヒスパニック系コミュニティの皆さん、皆さんが投票で示してくださった、多大な愛情と信頼に感謝したい。私たちは記録を作った。私はそれを忘れない。キャンペーン中、皆さんの声を聞いた。今後、皆さんと協力できることを楽しみにしている。
Today is Martin Luther King Day.  And his honor — this will be a great honor.  But in his honor, we will strive together to make his dream a reality.  We will make his dream come true.  (Applause.) 今日はキング牧師の誕生日だ。彼の名誉は、私たちにとって大きな名誉となるだろう。しかし、彼の名誉を称え、私たちは共に努力し、彼の夢を現実のものとする。私たちは彼の夢を実現させる。(拍手)
Thank you.  Thank you.  Thank you.  (Applause.) ありがとう。ありがとう。ありがとう。(拍手)
National unity is now returning to America, and confidence and pride is soaring like never before.  In everything we do, my administration will be inspired by a strong pursuit of excellence and unrelenting success.  We will not forget our country, we will not forget our Constitution, and we will not forget our God.  Can’t do that.  (Applause.) 今、アメリカに国家の結束が戻りつつあり、自信と誇りがかつてないほど高まっている。我々の行うことすべてにおいて、私の政権は卓越性の追求と成功への執念に鼓舞されるだろう。我々は自国を忘れない、憲法を忘れない、神を忘れない。忘れることはできない。(拍手)
Today, I will sign a series of historic executive orders.  With these actions, we will begin the complete restoration of America and the revolution of common sense.  It’s all about common sense.  (Applause.) 本日、私は一連の歴史的な大統領令に署名する。これらの行動により、アメリカを完全に復興させ、良識の革命を起こす。すべては良識にかかっている。(拍手)
First, I will declare a national emergency at our southern border.  (Applause.) まず、南部国境における国家緊急事態を宣言する。(拍手)
All illegal entry will immediately be halted, and we will begin the process of returning millions and millions of criminal aliens back to the places from which they came.  We will reinstate my Remain in Mexico policy.  (Applause.) 不法入国は即座に停止し、何百万人もの犯罪外国人を彼らが来た場所へ送り返す手続きを開始する。 メキシコに留まるという私の政策を復活させる。 (拍手)
I will end the practice of catch and release.  (Applause.) キャッチ・アンド・リリースを廃止する。 (拍手)
And I will send troops to the southern border to repel the disastrous invasion of our country.  (Applause.) そして、軍を南部国境に派遣し、わが国への悲惨な侵略を撃退する。 (拍手)
Under the orders I sign today, we will also be designating the cartels as foreign terrorist organizations.  (Applause.) 本日私が署名する命令により、麻薬カルテルを外国のテロ組織に指定する。(拍手)
And by invoking the Alien Enemies Act of 1798, I will direct our government to use the full and immense power of federal and state law enforcement to eliminate the presence of all foreign gangs and criminal networks bringing devastating crime to U.S. soil, including our cities and inner cities.  (Applause.)  さらに、1798年の外国人敵対行為法を発動し、連邦および州の法執行機関の持つ絶大な権限を駆使して、米国の国土、すなわち我々の都市や都心部を含む地域に壊滅的な犯罪をもたらす外国のギャングや犯罪ネットワークの存在を排除するよう、政府に指示する。(拍手) 
As commander in chief, I have no higher responsibility than to defend our country from threats and invasions, and that is exactly what I am going to do.  We will do it at a level that nobody has ever seen before. 最高司令官として、私は我が国を脅威や侵略から守ることに勝る責務はない。そして、まさにそれを実行しようとしている。誰も見たことのないレベルでそれを実行する。
Next, I will direct all members of my cabinet to marshal the vast powers at their disposal to defeat what was record inflation and rapidly bring down costs and prices.  (Applause.)  次に、私は閣僚全員に、記録的なインフレを打ち負かし、コストと価格を急速に引き下げるために、各自の裁量で広範な権限を行使するよう指示する。(拍手) 
The inflation crisis was caused by massive overspending and escalating energy prices, and that is why today I will also declare a national energy emergency.  We will drill, baby, drill.  (Applause.) インフレ危機は、大規模な浪費とエネルギー価格の高騰によって引き起こされた。だからこそ、本日、私は国家的なエネルギー緊急事態を宣言する。我々は掘るのだ、ベイビー、掘るのだ。(拍手)
America will be a manufacturing nation once again, and we have something that no other manufacturing nation will ever have — the largest amount of oil and gas of any country on earth — and we are going to use it.  We’ll use it.  (Applause.) アメリカは再び製造事業国となる。そして、他のどの製造事業国も決して持てないものを我々は持っている。地球上のどの国よりも大量の石油と天然ガスを我々は持っているのだ。そして、我々はそれを使うつもりだ。使うのだ。(拍手)
We will bring prices down, fill our strategic reserves up again right to the top, and export American energy all over the world.  (Applause.)  我々は価格を引き下げ、戦略備蓄を再び上限まで満たし、そしてアメリカのエネルギーを世界中に輸出する。(拍手) 
We will be a rich nation again, and it is that liquid gold under our feet that will help to do it.  私たちは再び豊かな国となるだろう。そして、それを実現する手助けとなるのが、私たちの足元にある流動性のある黄金なのだ。
With my actions today, we will end the Green New Deal, and we will revoke the electric vehicle mandate, saving our auto industry and keeping my sacred pledge to our great American autoworkers.  (Applause.) 本日私がとった行動により、グリーン・ニューディール政策は終了し、電気自動車の義務化は取り消される。これにより、自動車産業は救われ、偉大なるアメリカの自動車労働者たちに対する私の神聖な誓約は守られる。(拍手)
In other words, you’ll be able to buy the car of your choice. つまり、皆さんはお好みの車を購入できるようになるのだ。
We will build automobiles in America again at a rate that nobody could have dreamt possible just a few years ago.  And thank you to the autoworkers of our nation for your inspiring vote of confidence.  We did tremendously with their vote.  (Applause.)   数年前には誰も想像できなかったほどのペースで、再びアメリカで自動車を生産する。そして、我が国の自動車労働者の皆さんに感謝したい。皆さんの力強い信任票のおかげで、私たちは素晴らしい成果を上げることができた。 
I will immediately begin the overhaul of our trade system to protect American workers and families.  Instead of taxing our citizens to enrich other countries, we will tariff and tax foreign countries to enrich our citizens.  (Applause.) 私はただちに、アメリカ人労働者と家族を防御するための貿易システムの全面的な見直しに着手する。他国を潤すために国民に課税するのではなく、我々は国民を潤すために外国に課税する。(拍手)
For this purpose, we are establishing the External Revenue Service to collect all tariffs, duties, and revenues.  It will be massive amounts of money pouring into our Treasury, coming from foreign sources.  この目的のために、我々は関税、義務、収入をすべて徴収する税関を設立する。外国から莫大な金額が我々の財務省に流れ込むことになるだろう。
The American dream will soon be back and thriving like never before.   アメリカン・ドリームはすぐに復活し、かつてないほどに繁栄するだろう。
To restore competence and effectiveness to our federal government, my administration will establish the brand-new Department of Government Efficiency.  (Applause.) 連邦政府の能力と効率性を回復するために、私の政権は「政府効率化省」を新設する。
After years and years of illegal and unconstitutional federal efforts to restrict free expression, I also will sign an executive order to immediately stop all government censorship and bring back free speech to America.  (Applause.) 長年にわたる、表現の自由を制限しようとする違法かつ違憲な連邦政府の取り組みの後、私は、政府による検閲を即座に停止し、アメリカに言論の自由を取り戻す大統領令にも署名する。
Never again will the immense power of the state be weaponized to persecute political opponents — something I know something about.  (Laughter.)  We will not allow that to happen.  It will not happen again. 国家の持つ巨大な力が政治的反対派を弾圧するために利用されることは、今後二度とないだろう。私はそのことについて多少なりとも知っている。(笑い) 私たちはそれを許さない。二度と起こらないだろう。
Under my leadership, we will restore fair, equal, and impartial justice under the constitutional rule of law.  (Applause.) 私のリーダーシップの下、私たちは憲法に基づく法の支配の下で、公正で平等かつ公平な正義を回復する。(拍手)
And we are going to bring law and order back to our cities.  (Applause.)  そして、私たちは法と秩序を都市に戻すつもりだ。(拍手) 
This week, I will also end the government policy of trying to socially engineer race and gender into every aspect of public and private life.  (Applause.)  We will forge a society that is colorblind and merit-based.  (Applause.)   今週、私はまた、公私にわたるあらゆる局面で人種や性別を社会的に操作しようとする政府方針を廃止する。(拍手)私たちは、肌の色に関係なく能力本位の社会を築く。(拍手)  
As of today, it will henceforth be the official policy of the United States government that there are only two genders: male and female.  (Applause.) 本日をもって、米国政府の公式政策として、性別は男性と女性の2つだけであることを宣言する。(拍手)
This week, I will reinstate any service members who were unjustly expelled from our military for objecting to the COVID vaccine mandate with full back pay.  (Applause.) 今週、私は、新型コロナワクチン接種義務に異議を唱えたために不当に軍を追われた兵士たちを、未払い給与をすべて支払って復職させる。(拍手)
And I will sign an order to stop our warriors from being subjected to radical political theories and social experiments while on duty.  It’s going to end immediately.  (Applause.)  Our armed forces will be freed to focus on their sole mission: defeating America’s enemies.  (Applause.) そして、任務中に過激な政治理論や社会実験の対象となることを防ぐ命令に署名する。 それはただちに終わらせる。 (拍手) わが軍は、唯一の使命に集中できるようになる。すなわち、アメリカの敵を打ち負かすことだ。 (拍手)
Like in 2017, we will again build the strongest military the world has ever seen.  We will measure our success not only by the battles we win but also by the wars that we end — and perhaps most importantly, the wars we never get into.  (Applause.)   2017年のように、私たちは再び世界最強の軍隊を築き上げるだろう。私たちは、勝利した戦いだけでなく、終結させた戦争によっても、そして最も重要なのは、戦争に参戦しなかったことによっても、成功を測るだろう。(拍手)
My proudest legacy will be that of a peacemaker and unifier.  That’s what I want to be: a peacemaker and a unifier. 私の最も誇らしい遺産は、平和の使者であり、統一者であることだ。それが私の目指す姿だ。平和の使者であり、統一者だ。
I’m pleased to say that as of yesterday, one day before I assumed office, the hostages in the Middle East are coming back home to their families.  (Applause.) 嬉しいことに、私が就任する前日の昨日、中東の人質が家族のもとに帰還することが決まった。(拍手)
Thank you. ありがとう。
America will reclaim its rightful place as the greatest, most powerful, most respected nation on earth, inspiring the awe and admiration of the entire world.  アメリカは、地球上で最も偉大で、最も強力で、最も尊敬される国家としてふさわしい地位を取り戻し、全世界の畏敬と賞賛を集めることになるだろう。
A short time from now, we are going to be changing the name of the Gulf of Mexico to the Gulf of America — (applause) — and we will restore the name of a great president, William McKinley, to Mount McKinley, where it should be and where it belongs.  (Applause.) 間もなく、メキシコ湾の名称をアメリカ湾に変更するつもりだ。(拍手)そして、偉大な大統領ウィリアム・マッキンリーの名前を、本来あるべき場所であるマッキンリー山に戻すつもりだ。(拍手)
President McKinley made our country very rich through tariffs and through talent — he was a natural businessman — and gave Teddy Roosevelt the money for many of the great things he did, including the Panama Canal, which has foolishly been given to the country of Panama after the United Spates — the United States — I mean, think of this — spent more money than ever spent on a project before and lost 38,000 lives in the building of the Panama Canal.  マッキンリー大統領は関税と才能によって我が国を非常に豊かにした。彼は生まれながらのビジネスマンだった。そして、パナマ運河をはじめとする、セオドア・ルーズベルトが成し遂げた数々の偉業の資金を提供した。パナマ運河は、米国がこれまでにいかなるプロジェクトにも費やしたことのないほどの巨額の資金を投じたにもかかわらず、愚かにもパナマという国に譲渡された。
We have been treated very badly from this foolish gift that should have never been made, and Panama’s promise to us has been broken.  私たちは、決して行われるべきではなかった愚かな贈り物からひどい仕打ちを受け、パナマが私たちに約束したことは破られた。
The purpose of our deal and the spirit of our treaty has been totally violated.  American ships are being severely overcharged and not treated fairly in any way, shape, or form.  And that includes the United States Navy. 私たちの取り引きの目的と条約の精神は完全に踏みにじられた。米国の船は、あらゆる面で過剰な料金を請求され、公正に扱われていない。それは米国海軍も含む。
And above all, China is operating the Panama Canal.  And we didn’t give it to China.  We gave it to Panama, and we’re taking it back.  (Applause.) そして何よりも、パナマ運河は中国が運営している。我々はそれを中国に与えたわけではない。パナマに与えたのだ。そして、それを取り戻すのだ。(拍手)
Above all, my message to Americans today is that it is time for us to once again act with courage, vigor, and the vitality of history’s greatest civilization.  何よりも、今日、私がアメリカ国民に伝えたいことは、今こそ、勇気と活力、そして歴史上最も偉大な文明の活力をもって行動するときだということだ。
So, as we liberate our nation, we will lead it to new heights of victory and success.  We will not be deterred.  Together, we will end the chronic disease epidemic and keep our children safe, healthy, and disease-free.   そう、私たちが国家を解放する時、私たちは国家を新たな勝利と成功の高みに導くのだ。私たちは決して諦めない。共に、私たちは慢性疾患の蔓延を食い止め、子供たちを安全で健康に、そして病気知らずに保つ。
The United States will once again consider itself a growing nation — one that increases our wealth, expands our territory, builds our cities, raises our expectations, and carries our flag into new and beautiful horizons.   米国は再び、成長する国家であると自負するだろう。それは、私たちの富を増やし、領土を拡大し、都市を建設し、期待を高め、そして新たな美しい地平線に米国の旗を掲げる国家である。 
And we will pursue our manifest destiny into the stars, launching American astronauts to plant the Stars and Stripes on the planet Mars.  (Applause.) そして、我々は星々へと向かう明白な運命を追い求め、アメリカ人宇宙飛行士を火星に送り込み、星条旗をその惑星に立てるのだ。(拍手)
Ambition is the lifeblood of a great nation, and, right now, our nation is more ambitious than any other.  There’s no nation like our nation. 大志は偉大な国家の生命線であり、今、我が国は他のどの国よりも大志を抱いている。我が国のような国は他にない。
Americans are explorers, builders, innovators, entrepreneurs, and pioneers.  The spirit of the frontier is written into our hearts.  The call of the next great adventure resounds from within our souls.  アメリカ人は探検家であり、建設者であり、革新者であり、起業家であり、開拓者である。開拓者精神は我々の心に刻み込まれている。次の偉大な冒険への呼びかけが魂の奥底から響いてくる。
Our American ancestors turned a small group of colonies on the edge of a vast continent into a mighty republic of the most extraordinary citizens on Earth.  No one comes close. 我々の祖先であるアメリカ人は、広大な大陸の端にあった小さな入植地を、地球上で最も非凡な市民たちによる強大な共和国へと変えた。これに匹敵するものは他にない。
Americans pushed thousands of miles through a rugged land of untamed wilderness.  They crossed deserts, scaled mountains, braved untold dangers, won the Wild West, ended slavery, rescued millions from tyranny, lifted billions from poverty, harnessed electricity, split the atom, launched mankind into the heavens, and put the universe of human knowledge into the palm of the human hand.  If we work together, there is nothing we cannot do and no dream we cannot achieve.   アメリカ人は、手つかずの荒野が広がる荒々しい大地を数千マイルも突き進んだ。彼らは砂漠を横断し、山を登り、数え切れないほどの危険を乗り越え、開拓時代の西部を制圧し、奴隷制度を廃止し、数百万の人々を圧政から救い、数十億の人々を貧困から救い、電気を利用し、原子を分裂させ、人類を宇宙へと送り出し、人類の知識の宇宙を手のひらに収めた。私たちが力を合わせれば、できないことなど何もないし、実現できない夢もない。 
Many people thought it was impossible for me to stage such a historic political comeback.  But as you see today, here I am.  The American people have spoken.  (Applause.) 多くの人々が、私がこのような歴史的な政界復帰を果たすことは不可能だと考えていた。しかし、今日ここに私がいる。アメリカ国民が語ったのだ。(拍手)
I stand before you now as proof that you should never believe that something is impossible to do.  In America, the impossible is what we do best.  (Applause.) 私は今、皆さんの前に立っている。それは、不可能なことはないと信じるべきだという証拠だ。アメリカでは、不可能なことをするのが最も得意なのだ。(拍手)
From New York to Los Angeles, from Philadelphia to Phoenix, from Chicago to Miami, from Houston to right here in Washington, D.C., our country was forged and built by the generations of patriots who gave everything they had for our rights and for our freedom.   ニューヨークからロサンゼルス、フィラデルフィアからフェニックス、シカゴからマイアミ、ヒューストンからここワシントンD.C.まで、私たちの国は、私たちの権利と自由のためにすべてを捧げた愛国者たちの世代によって鍛えられ、築き上げられてきた。 
They were farmers and soldiers, cowboys and factory workers, steelworkers and coal miners, police officers and pioneers who pushed onward, marched forward, and let no obstacle defeat their spirit or their pride.   彼らは農民であり、兵士であり、カウボーイであり、工場労働者であり、鉄鋼労働者であり、炭鉱労働者であり、警察官であり、開拓者であった。彼らは前進し、前進し続け、障害に屈することなく、その精神と誇りを守り抜いた。 
Together, they laid down the railroads, raised up the skyscrapers, built great highways, won two world wars, defeated fascism and communism, and triumphed over every single challenge that they faced.  彼らは共に鉄道を敷き、摩天楼を建て、高速道路を建設し、2つの世界大戦を戦い抜き、ファシズムと共産主義を打ち負かし、直面するあらゆる課題に打ち勝ってきた。
After all we have been through together, we stand on the verge of the four greatest years in American history.  With your help, we will restore America promise and we will rebuild the nation that we love — and we love it so much.   共に多くのことを乗り越えてきた今、私たちはアメリカ史上最も輝かしい4年間を迎えようとしている。皆さんのご支援があれば、私たちはアメリカの約束を取り戻し、私たちが愛するこの国を再建することができるだろう。そして、私たちはこの国を心から愛している。 
We are one people, one family, and one glorious nation under God.  So, to every parent who dreams for their child and every child who dreams for their future, I am with you, I will fight for you, and I will win for you.  We’re going to win like never before.  (Applause.) 私たちは神の下で一つの国民、一つの家族、そして一つの輝かしい国家である。だから、我が子のために夢見るすべての親たち、そして自らの未来に夢見るすべての子供たちよ、私はあなた方と共にあり、あなた方のために戦い、あなた方の勝利のために戦う。私たちはかつてない勝利を手にするだろう。(拍手)
Thank you.  Thank you.  (Applause.) ありがとう。ありがとう。(拍手)
Thank you.  Thank you.  (Applause.) ありがとう。ありがとう。(拍手)
In recent years, our nation has suffered greatly. But we are going to bring it back and make it great again, greater than ever before.  近年、わが国は大きな苦難を経験した。しかし、私たちはそれを乗り越え、かつてないほど偉大なる国に再び作り変えるのだ。
We will be a nation like no other, full of compassion, courage, and exceptionalism.  Our power will stop all wars and bring a new spirit of unity to a world that has been angry, violent, and totally unpredictable.  私たちは、思いやり、勇気、卓越性に満ちた、他に類を見ない国となる。私たちの力はあらゆる戦争を食い止め、怒りと暴力に満ち、まったく予測不可能な世界に新たな団結の精神をもたらすだろう。
America will be respected again and admired again, including by people of religion, faith, and goodwill.  We will be prosperous, we will be proud, we will be strong, and we will win like never before.  アメリカは再び尊敬され、賞賛されるだろう。宗教、信仰、善意を持つ人々からも。私たちは繁栄し、誇りを持ち、強くなり、かつてないほど勝利するだろう。
We will not be conquered, we will not be intimidated, we will not be broken, and we will not fail.  From this day on, the United States of America will be a free, sovereign, and independent nation.  私たちは征服されず、脅されず、打ち負かされず、失敗しない。今日から、アメリカ合衆国は自由で、主権を持ち、独立した国家となる。
We will stand bravely, we will live proudly, we will dream boldly, and nothing will stand in our way because we are Americans.  The future is ours, and our golden age has just begun.  我々は勇敢に立ち向かい、誇りを持って生き、大胆に夢を見る。そして、我々を阻むものは何もない。なぜなら、我々はアメリカ人だからだ。未来は我々のものだ。そして、我々の黄金時代は始まったばかりだ。
Thank you.  God bless America.  Thank you all.  Thank you.  (Applause.)  Thank you very much.  Thank you very much.  Thank you.  (Applause.)   ありがとう。神のご加護を。皆さん、ありがとう。ありがとう。(拍手)本当にありがとう。ありがとう。ありがとう。(拍手)  
Thank you.  (Applause.) ありがとう。(拍手)
END  12:40 P.M. EST 終了 東部標準時午後12時40分

 

 

・政権の優先事項

The Trump-Vance Administration Priorities

The Trump-Vance Administration Priorities トランプ=ヴァンス政権の優先事項
MAKE AMERICA SAFE AGAIN アメリカを再び安全に
President Trump will take bold action to secure our border and protect American communities. トランプ大統領は、国境の安全を確保し、アメリカのコミュニティを防御するために大胆な行動を取る。
This includes ending Biden’s catch-and-release policies, reinstating Remain in Mexico, building the wall, ending asylum for illegal border crossers, cracking down on criminal sanctuaries, and enhancing vetting and screening of aliens. これには、バイデンのキャッチ・アンド・リリース政策の廃止、メキシコ残留政策の復活、壁の建設、不法入国者に対する亡命の廃止、犯罪者の聖域に対する取り締まり、および外国人の審査と選別の強化が含まれる。
President Trump’s deportation operation will address the record border crossings of criminal aliens under the prior administration. トランプ大統領の強制送還作戦は、前政権下で犯罪歴のある外国人が国境を越えた記録的な件数を対象とする。
The President is suspending refugee resettlement, after communities were forced to house large and unsustainable populations of migrants, straining community safety and resources. 地域社会が移民の大規模かつ持続不可能な人口を収容せざるを得なくなり、地域の安全と資源が圧迫されたことを受け、大統領は難民の再定住を停止する。
The Armed Forces, including the National Guard, will engage in border security, which is national security, and will be deployed to the border to assist existing law enforcement personnel. 州兵を含む軍は、国境警備(すなわち国家安全保障)に従事し、国境に展開して現行の法執行職員を支援する。
President Trump will begin the process of designating cartels, including the dangerous Tren de Aragua, as foreign terrorist organizations and use the Alien Enemies Act to remove them. トランプ大統領は、危険な麻薬カルテル「トレン・デ・アラグア」を含む麻薬カルテルを外国テロ組織に指定し、外国人敵対者法(Alien Enemies Act)を用いて排除する手続きを開始する。
The Department of Justice will seek the death penalty as the appropriate punishment for heinous crimes against humanity, including those who kill law enforcement officers and illegal migrants who maim and murder Americans. 司法省は、法執行官やアメリカ人を傷つけ殺害する不法移民を殺害する者を含む、人道に対する凶悪犯罪に対する適切な処罰として、死刑を求める。
MAKE AMERICA AFFORDABLE AND ENERGY DOMINANT AGAIN アメリカを再び手頃な価格でエネルギーの主導権を握れる国にする
The President will unleash American energy by ending Biden’s policies of climate extremism, streamlining permitting, and reviewing for rescission all regulations that impose undue burdens on energy production and use, including mining and processing of non-fuel minerals. 大統領は、バイデンの気候過激主義政策を廃止し、許可手続きを合理化し、エネルギー生産や利用に過剰な負担を強いる規制(燃料以外の鉱物の採掘や加工を含む)をすべて見直すことで、米国のエネルギーを解放する。
President Trump’s energy actions empower consumer choice in vehicles, showerheads, toilets, washing machines, lightbulbs and dishwashers. トランプ大統領のエネルギー政策は、自動車、シャワーヘッド、トイレ、洗濯機、電球、食器洗浄機における消費者の選択肢を拡大する。
President Trump will declare an energy emergency and use all necessary resources to build critical infrastructure. トランプ大統領はエネルギー緊急事態を宣言し、必要なあらゆるリソースを活用して重要なインフラを構築する。
President Trump’s energy policies will end leasing to massive wind farms that degrade our natural landscapes and fail to serve American energy consumers. トランプ大統領のエネルギー政策により、自然の景観を損ない、アメリカのエネルギー消費者へのサービス提供を怠る大規模な風力発電所へのリースは終了する。
President Trump will withdraw from the Paris Climate Accord. トランプ大統領はパリ気候協定から離脱する。
All agencies will take emergency measures to reduce the cost of living. すべての機関は生活費削減のための緊急対策を講じる。
President Trump will announce the America First Trade Policy. トランプ大統領は「アメリカ第一」の貿易政策を発表する。
America will no longer be beholden to foreign organizations for our national tax policy, which punishes American businesses. アメリカはもはや、アメリカ企業を罰するような国家の税制について、外国の組織に頭を下げることはない。
DRAIN THE SWAMP 腐敗を一掃する(沼を干上がらせる)
The President will usher a Golden Age for America by reforming and improving the government bureaucracy to work for the American people. He will freeze bureaucrat hiring except in essential areas to end the onslaught of useless and overpaid DEI activists buried into the federal workforce. He will pause burdensome and radical regulations not yet in effect that Biden announced. 大統領は、政府官僚機構を改革し、アメリカ国民のために機能するように改善することで、アメリカの黄金時代を築く。連邦政府職員に埋め込まれた、無用で高給取りのDEI活動家の猛攻撃を終わらせるため、必須分野を除いて官僚の採用を凍結する。バイデンが発表した、まだ発効していない負担の大きい急進的な規制を一時停止する。
President Trump is announcing an unprecedented slate of executive orders for rescission. トランプ大統領は、前例のない数の大統領令を撤回すると発表している。
President Trump is planning for improved accountability of government bureaucrats. The American people deserve the highest-quality service from people who love our country. The President will also return federal workers to work, as only 6% of employees currently work in person. トランプ大統領は政府官僚の説明責任の改善を計画している。アメリカ国民は、自国を愛する人々から最高品質のサービスを受けるに値する。また、現在、職員のわずか6%しか実際に勤務していないため、大統領は連邦職員を職場に戻す予定である。
President Trump is taking swift action to end the weaponization of government against political rivals and ordering all document retention as required by law. President Trump is also ending the unconstitutional censorship by the federal government. No longer will government employees pick and require the erasure of entirely true speech. トランプ大統領は、政治的ライバルに対する政府による武器化を終わらせるために迅速な行動を起こし、法律で義務付けられているすべての文書保持を命じている。また、トランプ大統領は連邦政府による違憲の検閲を廃止する。政府職員が完全に真実の言論を削除することを選択し、要求することはもはやなくなる。
On the President’s direction, the State Department will have an America-First foreign policy. 大統領の指示により、国務省はアメリカ第一主義の外交政策をとる。
BRING BACK AMERICAN VALUES アメリカ的価値観の復活
The President will establish male and female as biological reality and protect women from radical gender ideology. 大統領は、男性と女性を生物学的な現実として確立し、急進的なジェンダーイデオロギーから女性を防御する。
American landmarks will be named to appropriately honor our Nation’s history. アメリカのランドマークは、適切にわが国の歴史を称える名称に変更される。

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.21 米国 大統領府に「政府効率化省」を設立をするための大統領令...

・2025.01.21 米国 トランプ大統領が大統領令14110 人工知能の安全、安心、信頼できる開発と利用を含む67の大統領令と11の覚書を撤回する大統領を出しましたね...(2025.01.20)

 

| | Comments (0)

2025.01.21

米国 大統領府に「政府効率化省」を設立をするための大統領令...

こんにちは、丸山満彦です。

イーロンマスクがしたかったデジタルを活用した政府業務の効率化...

噂にはでていましたが、初日からスタートですね...

 

U.S. White House

20250121-105054

・2025.01.20 ESTABLISHING AND IMPLEMENTING THE PRESIDENT’S “DEPARTMENT OF GOVERNMENT EFFICIENCY”

 

ESTABLISHING AND IMPLEMENTING THE PRESIDENT’S “DEPARTMENT OF GOVERNMENT EFFICIENCY” 大統領の「政府効率化省」の設立と実施
By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered: 合衆国憲法および法律により大統領として私に与えられた権限により、ここに命令する。
Section 1.  Purpose.  This Executive Order establishes the Department of Government Efficiency to implement the President’s DOGE Agenda, by modernizing Federal technology and software to maximize governmental efficiency and productivity. 第1条 目的 この大統領令は、連邦政府の技術およびソフトウェアを近代化し、政府の効率性と生産性を最大限に高めることにより、大統領のDOGEアジェンダを実施するための「政府効率化省」を設立するものである。
Sec. 2.  Definitions.  As used in this order: 第2条 定義 この命令で使用される場合、
(a)  “Agency” has the meaning given to it in section 551 of title 5, United States Code, except that such term does not include the Executive Office of the President or any components thereof. (a) 「機関」とは、合衆国法典第5編第551条で与えられた意味を持つが、ただし、大統領府またはその構成要素は含まれない。
(b)  “Agency Head” means the highest-ranking official of an agency, such as the Secretary, Administrator, Chairman, or Director, unless otherwise specified in this order. (b) 「機関の長」とは、本大統領令で別段の指定がない限り、長官、行政官、議長、または局長など、機関の最高位の役職者を意味する。
Sec. 3.  DOGE Structure.  (a)  Reorganization and Renaming of the United States Digital Service.  The United States Digital Service is hereby publicly renamed as the United States DOGE Service (USDS) and shall be established in the Executive Office of the President. 第3条 DOGE構造 (a) 米国デジタルサービスの再編成および名称変更 米国デジタルサービスは、ここに米国DOGEサービス(USDS)と公称し、大統領府に設置する。
(b)  Establishment of a Temporary Organization.  There shall be a USDS Administrator established in the Executive Office of the President who shall report to the White House Chief of Staff. There is further established within USDS, in accordance with section 3161 of title 5, United States Code, a temporary organization known as “the U.S. DOGE Service Temporary Organization”.  The U.S. DOGE Service Temporary Organization shall be headed by the USDS Administrator and shall be dedicated to advancing the President’s 18-month DOGE agenda.  The U.S. DOGE Service Temporary Organization shall terminate on July 4, 2026. The termination of the U.S. DOGE Service Temporary Organization shall not be interpreted to imply the termination, attenuation, or amendment of any other authority or provision of this order. (b) 一時的組織の設立 大統領府にUSDS管理者が設置され、ホワイトハウスのチーフ・オブ・スタッフに報告する。 また、合衆国法典第5編第3161条に従い、USDS内に「米国DOGEサービス一時的組織」と呼ばれる一時的組織が設置される。 米国DOGEサービス臨時組織は、USDS長官が統括し、大統領の18か月DOGEアジェンダの推進に専念する。米国DOGEサービス臨時組織は、2026年7月4日に終了する。米国DOGEサービス臨時組織の終了は、本命令の他のいかなる権限または規定の終了、縮小、修正を意味するものと解釈されてはならない。
(c)  DOGE Teams.  In consultation with USDS, each Agency Head shall establish within their respective Agencies a DOGE Team of at least four employees, which may include Special Government Employees, hired or assigned within thirty days of the date of this Order. Agency Heads shall select the DOGE Team members in consultation with the USDS Administrator.  Each DOGE Team will typically include one DOGE Team Lead, one engineer, one human resources specialist, and one attorney.  Agency Heads shall ensure that DOGE Team Leads coordinate their work with USDS and advise their respective Agency Heads on implementing the President ‘s DOGE Agenda. (c) DOGEチーム。各機関の長は、USDSと協議の上、それぞれの機関内に、少なくとも4人の職員(特別政府職員を含む)から成るDOGEチームを設置するものとする。各DOGEチームは通常、1名のDOGEチームリーダー、1名のエンジニア、1名の人事スペシャリスト、1名の弁護士で構成される。各機関の長は、DOGEチームリーダーがUSDSと業務を調整し、大統領のDOGEアジェンダの実施について各機関の長に助言することを確保するものとする。
Sec. 4.  Modernizing Federal Technology and Software to Maximize Efficiency and Productivity.  (a)  The USDS Administrator shall commence a Software Modernization Initiative to improve the quality and efficiency of government-wide software, network infrastructure, and information technology (IT) systems.  Among other things, the USDS Administrator shall work with Agency Heads to promote inter-operability between agency networks and systems, ensure data integrity, and facilitate responsible data collection and synchronization. 第4条 効率性と生産性を最大化するための連邦政府技術とソフトウェアの近代化 (a) 連邦政府調達・技術サービス局(USDS)長官は、政府全体のソフトウェア、ネットワークインフラ、情報技術(IT)システムの質と効率性を改善するためのソフトウェア近代化イニシアティブを開始するものとする。とりわけ、USDS長官は、各機関の長官と協力し、各機関のネットワークとシステム間の相互運用性を促進し、データの完全性を確保し、責任あるデータ収集と同期化を促進するものとする。
(b)  Agency Heads shall take all necessary steps, in coordination with the USDS Administrator and to the maximum extent consistent with law, to ensure USDS has full and prompt access to all unclassified agency records, software systems, and IT systems.  USDS shall adhere to rigorous data protection standards. (b) 各機関の長官は、USDS管理者と調整し、法律に最大限に合致する範囲で、USDSがすべての非機密の機関記録、ソフトウェアシステム、ITシステムに完全かつ迅速にアクセスできるようにするために、必要なすべての措置を講じなければならない。USDSは厳格なデータ保護標準を順守しなければならない。
(c)  This Executive Order displaces all prior executive orders and regulations, insofar as they are subject to direct presidential amendment, that might serve as a barrier to providing USDS access to agency records and systems as described above. (c) この大統領令は、大統領による直接的な修正の対象となる限りにおいて、上述の通り、政府機関の記録およびシステムへのUSDSのアクセスを妨げる可能性のある、これまでのすべての大統領令および規制に優先する。
Sec. 5.  General Provisions.  (a)  Nothing in this order shall be construed to impair or otherwise affect: 第5条 一般規定 (a) この命令のいかなる内容も、以下を損なう、または影響を与えるものと解釈されてはならない。
(i)   the authority granted by law to an executive department or agency, or the head thereof; or (i) 法律により行政省庁または行政機関、またはその長官に与えられた権限、または
(ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals. (ii) 予算、行政、または立法に関する提案に関する行政管理予算局局長の機能。
(b)  This order shall be implemented consistent with applicable law and subject to the availability of appropriations. (b) 本命令は、適用法に準拠し、かつ、予算の確保を前提として実施されるものとする。
(c)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. (c) 本命令は、いかなる当事者による米国、その省庁、機関、事業体、その役員、職員、代理人、またはその他の人物に対する、法律上または衡平法上の強制力のある実体上または手続上の権利または利益を創設することを意図しておらず、また創設しない。
THE WHITE HOUSE, ホワイトハウス、
January 20, 2025. 2025年1月20日。

 

 

 

| | Comments (0)

米国 トランプ大統領が大統領令14110 人工知能の安全、安心、信頼できる開発と利用を含む67の大統領令と11の覚書を撤回する大統領令を出しましたね...(2025.01.20)

こんにちは、丸山満彦です。

トランプ大統領が大統領になってまず、前政権が出した67の大統領令と11の覚書を撤回する大統領を出しましたね...撤回をした大統領令については、「大統領令14110 人工知能の安全、安心、信頼できる開発と利用」も含まれています...

I&D関係、環境問題関係の大統領令がかなりの数、撤回されていますね...

方向性がどうかはわかりませんが、スピード感と大胆さがすごいですね...

初日からアクセル全開、ぶっ飛ばしている感じですね...最初の3日が重要という話もあるし...

平和な世界になることを望みます...

 

U.S. White House

20250121-105054

・2025.01.20 INITIAL RESCISSIONS OF HARMFUL EXECUTIVE ORDERS AND ACTIONS

INITIAL RESCISSIONS OF HARMFUL EXECUTIVE ORDERS AND ACTIONS 有害な大統領令および行動の当初の取り消し
By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered as follows: 合衆国憲法および法律によって大統領に与えられた権限に基づき、以下を命ずる。
Section 1.  Purpose and Policy.  The previous administration has embedded deeply unpopular, inflationary, illegal, and radical practices within every agency and office of the Federal Government.  The injection of “diversity, equity, and inclusion” (DEI) into our institutions has corrupted them by replacing hard work, merit, and equality with a divisive and dangerous preferential hierarchy.  Orders to open the borders have endangered the American people and dissolved Federal, State, and local resources that should be used to benefit the American people.  Climate extremism has exploded inflation and overburdened businesses with regulation. 第1条 目的および方針 前政権は、連邦政府のあらゆる機関および役所に、非常に不評で、インフレを引き起こし、違法で、急進的な慣行を深く浸透させてしまった。 「多様性、公平性、包摂性」(DEI)を機構に注入したことで、勤勉さ、功績、平等が分裂的で危険な優遇階層に置き換えられ、機構は腐敗した。国境開放命令はアメリカ国民を危険にさらし、アメリカ国民の利益のために使用されるべき連邦、州、地方の資源を浪費した。気候変動に対する過激な政策はインフレを招き、規制により企業に過剰な負担を強いた。
To commence the policies that will make our Nation united, fair, safe, and prosperous again, it is the policy of the United States to restore common sense to the Federal Government and unleash the potential of the American citizen.  The revocations within this order will be the first of many steps the United States Federal Government will take to repair our institutions and our economy. わが国を再び団結させ、公平で安全かつ繁栄した国にする政策を始めるにあたり、連邦政府に良識を取り戻し、米国市民の潜在能力を解き放つことが米国の方針である。本命令における取り消しは、米国連邦政府がわが国の機構と経済を修復するために講じる数々の措置の第一歩となる。
     Sec. 2.  Revocation of Orders and Actions.  The following executive actions are hereby revoked: 第2条 命令および行動の取り消し。以下の行政措置は、ここに取り消される。
Executive Order 13985 of January 20, 2021 (Advancing Racial Equity and Support for Underserved Communities Through the Federal Government). 2021年1月20日付の大統領令13985(連邦政府による人種的公平性の推進およびサービスが行き届いていない地域社会への支援)
Executive Order 13986 of January 20, 2021 (Ensuring a Lawful and Accurate Enumeration and Apportionment Pursuant to the Decennial Census). 2021年1月20日付の大統領令13986(10年ごとの国勢調査に基づく、合法的かつ正確な人口調査と人口配分を確保する)
Executive Order 13987 of January 20, 2021 (Organizing and Mobilizing the United States Government To Provide a Unified and Effective Response To Combat COVID-19 and To Provide United States Leadership on Global Health and Security). 2021年1月20日付の大統領令13987(米国政府を組織化し、動員して、COVID-19対策として統一された効果的な対応を提供し、世界的な保健と安全保障における米国のリーダーシップを発揮する)。
Executive Order 13988 of January 20, 2021 (Preventing and Combating Discrimination on the Basis of Gender Identity or Sexual Orientation). 2021年1月20日付の大統領令13988(性自認または性的指向に基づく差別の防止と対策)。
Executive Order 13989 of January 20, 2021 (Ethics Commitments by Executive Branch Personnel). 2021年1月20日付の大統領令13989(行政部門職員の倫理規定)。
Executive Order 13990 of January 20, 2021 (Protecting Public Health and the Environment and Restoring Science To Tackle the Climate Crisis). 2021年1月20日付の大統領令13990(公衆衛生および環境の防御と、気候危機への取り組みのための科学の復興)。
Executive Order 13992 of January 20, 2021 (Revocation of Certain Executive Orders Concerning Federal Regulation). 2021年1月20日付の大統領令13992(連邦規制に関する特定の大統領令の失効)。
Executive Order 13993 of January 20, 2021 (Revision of Civil Immigration Enforcement Policies and Priorities). 2021年1月20日付の大統領令13993(市民の入国管理執行方針および優先事項の改定)。
Executive Order 13995 of January 21, 2021 (Ensuring an Equitable Pandemic Response and Recovery). 2021年1月21日付の大統領令13995(公平なパンデミック対応および復興の確保)。
Executive Order 13996 of January 21, 2021 (Establishing the COVID-19 Pandemic Testing Board and Ensuring a Sustainable Public Health Workforce for COVID-19 and Other Biological Threats). 2021年1月21日付の大統領令13996(COVID-19パンデミック検査委員会の設立およびCOVID-19およびその他の生物学的脅威に対する持続可能な公衆衛生労働力の確保)。
Executive Order 13997 of January 21, 2021 (Improving and Expanding Access to Care and Treatments for COVID-19). 2021年1月21日付の大統領令13997(COVID-19の治療およびケアへのアクセス改善および拡大)。
Executive Order 13999 of January 21, 2021 (Protecting Worker Health and Safety). 2021年1月21日付の大統領令13999(労働者の健康と安全の防御)。
Executive Order 14000 of January 21, 2021 (Supporting the Reopening and Continuing Operation of Schools and Early Childhood Education Providers). 2021年1月21日付の大統領令14000(学校および幼児教育プロバイダの再開と継続的な運営の支援)。
Executive Order 14002 of January 22, 2021 (Economic Relief Related to the COVID-19 Pandemic). 2021年1月22日付の大統領令14002(新型コロナウイルス感染症パンデミックに関連する経済的救済)。
Executive Order 14003 of January 22, 2021 (Protecting the Federal Workforce). 2021年1月22日付の大統領令14003(連邦政府職員の防御)。
Executive Order 14004 of January 25, 2021 (Enabling All Qualified Americans To Serve Their Country in Uniform). 2021年1月25日付の大統領令14004(適格なすべてのアメリカ人が制服を着用して国に奉仕できるようにする)。
Executive Order 14006 of January 26, 2021 (Reforming Our Incarceration System To Eliminate the Use of Privately Operated Criminal Detention Facilities). 2021年1月26日付の大統領令14006(民間運営の刑事拘置施設の使用を排除するための収監システムの改革)。
Executive Order 14007 of January 27, 2021 (President’s Council of Advisors on Science and Technology). 2021年1月27日付の大統領令14007(大統領科学技術諮問委員会)。
Executive Order 14008 of January 27, 2021 (Tackling the Climate Crisis at Home and Abroad). 2021年1月27日付の大統領令14008(国内外における気候危機への取り組み)。
Executive Order 14009 of January 28, 2021 (Strengthening Medicaid and the Affordable Care Act). 2021年1月28日付の大統領令14009(メディケイドおよび医療保険制度改革法の強化)。
Executive Order 14010 of February 2, 2021 (Creating a Comprehensive Regional Framework To Address the Causes of Migration, To Manage Migration Throughout North and Central America, and To Provide Safe and Orderly Processing of Asylum Seekers at the United States Border). 2021年2月2日付の大統領令14010(移住の原因に対処し、北米および中米全域で移住を管理し、米国の国境で亡命希望者の安全かつ秩序ある処理を行うための包括的な地域枠組みの構築)。
Executive Order 14011 of February 2, 2021 (Establishment of Interagency Task Force on the Reunification of Families). 2021年2月2日付の大統領令14011(家族再統合に関する省庁間タスクフォースの設立)。
Executive Order 14012 of February 2, 2021 (Restoring Faith in Our Legal Immigration Systems and Strengthening Integration and Inclusion Efforts for New Americans). 2021年2月2日付の大統領令14012(合法的移民制度への信頼回復と、新米国人に対する統合と受容の取り組みの強化)。
Executive Order 14013 of February 4, 2021 (Rebuilding and Enhancing Programs To Resettle Refugees and Planning for the Impact of Climate Change on Migration). 2021年2月4日付の大統領令14013(難民再定住プログラムの再構築と強化、および移民に及ぼす気候変動の影響への対策)。
Executive Order 14015 of February 14, 2021 (Establishment of the White House Office of Faith-Based and Neighborhood Partnerships). 2021年2月14日付の大統領令14015(ホワイトハウスにおける信仰に基づく地域社会パートナーシップ事務局の設置)。
Executive Order 14018 of February 24, 2021 (Revocation of Certain Presidential Actions). 2021年2月24日付の大統領令14018(特定の大統領令の失効)。
Executive Order 14019 of March 7, 2021 (Promoting Access to Voting). 2021年3月7日付の大統領令14019(投票へのアクセス促進)。
Executive Order 14020 of March 8, 2021 (Establishment of the White House Gender Policy Council). 2021年3月8日付の大統領令14020(ホワイトハウスジェンダー政策協議会の設置)。
Executive Order 14021 of March 8, 2021 (Guaranteeing an Educational Environment Free From Discrimination on the Basis of Sex, Including Sexual Orientation or Gender Identity). 2021年3月8日付の大統領令14021(性的指向または性自認を含む性別に基づく差別のない教育環境の保証)。
Executive Order 14022 of April 1, 2021 (Termination of Emergency With Respect to the International Criminal Court). 2021年4月1日付の大統領令14022(国際刑事裁判所に関する緊急事態の終了)。
Executive Order 14023 of April 9, 2021 (Establishment of the Presidential Commission on the Supreme Court of the United States). 2021年4月9日付の大統領令14023(米国連邦最高裁判所に関する大統領委員会の設置)。
Executive Order 14027 of May 7, 2021 (Establishment of the Climate Change Support Office). 2021年5月7日付の大統領令14027(気候変動支援室の設置)。
Executive Order 14029 of May 14, 2021 (Revocation of Certain Presidential Actions and Technical Amendment). 2021年5月14日付の大統領令14029(特定の大統領令の廃止および技術的修正)。
Executive Order 14030 of May 20, 2021 (Climate-Related Financial Risk). 2021年5月20日付の大統領令14030(気候関連の金融リスク)。
Executive Order 14031 of May 28, 2021 (Advancing Equity, Justice, and Opportunity for Asian Americans, Native Hawaiians, and Pacific Islanders). 2021年5月28日付の大統領令14031(アジア系米国人、ハワイ先住民、太平洋諸島住民の公平性、正義、機会の促進)。
Executive Order 14035 of June 25, 2021 (Diversity, Equity, Inclusion, and Accessibility in the Federal Workforce). 2021年6月25日付の大統領令14035(連邦政府職員における多様性、公平性、包摂性、およびアクセシビリティ)。
Executive Order 14037 of August 5, 2021 (Strengthening American Leadership in Clean Cars and Trucks). 2021年8月5日付の大統領令14037(クリーンな自動車およびトラックにおける米国のリーダーシップの強化)。
Executive Order 14044 of September 13, 2021 (Amending Executive Order 14007). 2021年9月13日付の大統領令14044(大統領令14007の改正)。
Executive Order 14045 of September 13, 2021 (White House Initiative on Advancing Educational Equity, Excellence, and Economic Opportunity for Hispanics). 2021年9月13日付の大統領令14045(ヒスパニック系住民の教育における公平性、卓越性、経済機会の促進に関するホワイトハウスイニシアティブ)。
Executive Order 14049 of October 11, 2021 (White House Initiative on Advancing Educational Equity, Excellence, and Economic Opportunity for Native Americans and Strengthening Tribal Colleges and Universities). 2021年10月11日付の大統領令14049(ネイティブアメリカン住民の教育における公平性、卓越性、経済機会の促進および部族大学・短大の強化に関するホワイトハウスイニシアティブ)。
Executive Order 14050 of October 19, 2021 (White House Initiative on Advancing Educational Equity, Excellence, and Economic Opportunity for Black Americans). 2021年10月19日付の大統領令14050(黒人アメリカ人の教育における公平性、卓越性、経済機会の促進に関するホワイトハウスのイニシアティブ)。
Executive Order 14052 of November 15, 2021 (Implementation of the Infrastructure Investment and Jobs Act). 2021年11月15日付の大統領令14052(インフラ投資・雇用法の実施)。
Executive Order 14055 of November 18, 2021 (Nondisplacement of Qualified Workers Under Service Contracts). 2021年11月18日付の大統領令14055(サービス契約に基づく適格労働者の解雇禁止)。
Executive Order 14057 of December 8, 2021 (Catalyzing Clean Energy Industries and Jobs Through Federal Sustainability). 2021年12月8日付の大統領令14057(連邦政府の持続可能性を通じたクリーンエネルギー産業と雇用の促進)。
Executive Order 14060 of December 15, 2021 (Establishing the United States Council on Transnational Organized Crime). 2021年12月15日付の大統領令14060(国際組織犯罪に関する米国協議会の設立)。
Executive Order 14069 of March 15, 2022 (Advancing Economy, Efficiency, and Effectiveness in Federal Contracting by Promoting Pay Equity and Transparency). 2022年3月15日付の大統領令14069(賃金平等の推進と透明性の向上による連邦契約における経済性、効率性、実効性の向上)。
Executive Order 14070 of April 5, 2022 (Continuing To Strengthen Americans’ Access to Affordable, Quality Health Coverage). 2022年4月5日付の大統領令14070(米国人の手頃な価格で質の高い医療保険へのアクセスを継続的に強化)。
Executive Order 14074 of May 25, 2022 (Advancing Effective, Accountable Policing and Criminal Justice Practices To Enhance Public Trust and Public Safety). 2022年5月25日付の大統領令14074(効果的で説明責任を果たす警察活動および刑事司法の実践を推進し、国民の信頼と公共の安全を強化する)。
Executive Order 14075 of June 15, 2022 (Advancing Equality for Lesbian, Gay, Bisexual, Transgender, Queer, and Intersex Individuals). 2022年6月15日付の大統領令14075(レズビアン、ゲイ、バイセクシュアル、トランスジェンダー、クィア、インターセックスの人々の平等を推進する)。
Executive Order 14082 of September 12, 2022 (Implementation of the Energy and Infrastructure Provisions of the Inflation Reduction Act of 2022). 2022年9月12日付の大統領令14082(2022年インフレ削減法のエネルギーおよびインフラ条項の実施)。
Executive Order 14084 of September 30, 2022 (Promoting the Arts, the Humanities, and Museum and Library Services). 2022年9月30日付の大統領令14084(芸術、人文科学、博物館および図書館サービスの推進)。
Executive Order 14087 of October 14, 2022 (Lowering Prescription Drug Costs for Americans). 2022年10月14日付の大統領令14087(米国人の処方薬費用の削減)。
Executive Order 14089 of December 13, 2022 (Establishing the President’s Advisory Council on African Diaspora Engagement in the United States). 2022年12月13日付の大統領令14089(米国におけるアフリカ系ディアスポラの関与に関する大統領諮問委員会の設置)。
Executive Order 14091 of February 16, 2023 (Further Advancing Racial Equity and Support for Underserved Communities Through the Federal Government). 2023年2月16日付の大統領令14091(連邦政府による人種的公平性のさらなる推進およびサービスが行き届いていない地域社会への支援)。
The Presidential Memorandum of March 13, 2023 (Withdrawal of Certain Areas off the United States Arctic Coast of the Outer Continental Shelf from Oil or Gas Leasing). 2023年3月13日付の大統領覚書(米国北極圏沿岸の大陸棚外側の特定地域の石油・ガスリースからの撤退)。
Executive Order 14094 of April 6, 2023 (Modernizing Regulatory Review). 2023年4月6日付の大統領令14094(規制審査の近代化)。
Executive Order 14096 of April 21, 2023 (Revitalizing Our Nation’s Commitment to Environmental Justice for All). 2023年4月21日付の大統領令14096(すべての人々に対する環境正義に対するわが国の公約の活性化)。
Executive Order 14099 of May 9, 2023 (Moving Beyond COVID-19 Vaccination Requirements for Federal Workers). 2023年5月9日付の大統領令14099(連邦政府職員に対するCOVID-19ワクチン接種要件の超克)。
Executive Order 14110 of October 30, 2023 (Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence). 2023年10月30日付の大統領令14110(人工知能の安全、確実、信頼性の高い開発および利用)。
Executive Order 14115 of February 1, 2024 (Imposing Certain Sanctions on Persons Undermining Peace, Security, and Stability in the West Bank). 2024年2月1日付の大統領令14115(ヨルダン川西岸地区における平和、安全、安定を損なう個人に対する特定の制裁措置の適用)。
Executive Order 14124 of July 17, 2024 (White House Initiative on Advancing Educational Equity, Excellence, and Economic Opportunity Through Hispanic-Serving Institutions). 2024年7月17日付の大統領令14124(ヒスパニック系学生向け機構を通じた教育機会の平等、卓越性、経済的機会の促進に関するホワイトハウスのイニシアティブ)。
Executive Order 14134 of January 3, 2025 (Providing an Order of Succession Within the Department of Agriculture). 2025年1月3日付の大統領令14134(米国農務省における後継順位の規定)。
Executive Order 14135 of January 3, 2025 (Providing an Order of Succession Within the Department of Homeland Security). 2025年1月3日付の大統領令14135(国土安全保障省における後継順位の規定)。
Executive Order 14136 of January 3, 2025 (Providing an Order of Succession Within the Department of Justice). 2025年1月3日付の大統領令14136(司法省における後継順位の規定)。
Executive Order 14137 of January 3, 2025 (Providing an Order of Succession Within the Department of the Treasury). 2025年1月3日付の大統領令14137(財務省における後継順位の規定)。
Executive Order 14138 of January 3, 2025 (Providing an Order of Succession Within the Office of Management and Budget). 2025年1月3日付の大統領令14138(行政管理予算局における後継順位の規定)。
Executive Order 14139 of January 3, 2025 (Providing an Order of Succession Within the Office of the National Cyber Director). 2025年1月3日付の大統領令14139(国家サイバーディレクター室における後継順位の規定)。
The Presidential Memorandum of January 3, 2025 (Designation of Officials of the Council on Environmental Quality to Act as Chairman). 2025年1月3日付の大統領覚書(環境品質協議会の役職者に対する議長職の指定)。
The Presidential Memorandum of January 3, 2025 (Designation of Officials of the Office of Personnel Management to Act as Director). 2025年1月3日付の大統領覚書(人事管理局の役職者に対する局長の指定)。
The Presidential Memorandum of January 3, 2025 (Designation of Officials of the Office of Science and Technology Policy to Act as Director). 2025年1月3日付の大統領覚書(米国科学技術政策局職員を局長として指定するもの)。
The Presidential Memorandum of January 3, 2025 (Designation of Officials of the United States Agency for Global Media to Act as Chief Executive Officer). 2025年1月3日付の大統領覚書(米国国際広報開発庁職員を最高経営責任者として指定するもの)。
The Presidential Memorandum of January 3, 2025 (Designation of Officials of the United States Agency for International Development to Act as Administrator). 2025年1月3日付の大統領覚書(米国国際開発庁職員を行政官として指定するもの)。
The Presidential Memorandum of January 3, 2025 (Designation of Officials of the United States International Development Finance Corporation to Act as Chief Executive Officer). 2025年1月3日付の大統領覚書(米国国際開発金融公社(USAID)の最高経営責任者としての役職員の指定)。
The Presidential Memorandum of January 6, 2025 (Withdrawal of Certain Areas of the United States Outer Continental Shelf from Oil or Natural Gas Leasing). 2025年1月6日付の大統領覚書(米国大陸棚の外側の一定区域の石油または天然ガスリースからの撤退)。
The Presidential Memorandum of January 6, 2025 (Withdrawal of Certain Areas of the United States Outer Continental Shelf from Oil or Natural Gas Leasing). 2025年1月6日付の大統領覚書(米国大陸棚の外側の一定区域の石油または天然ガスリースからの撤退)。
The Presidential Memorandum of January 14, 2025 (Certification of Rescission of Cuba’s Designation as a State Sponsor of Terrorism). 2025年1月14日付の大統領覚書(キューバのテロ支援国家指定の取り消しの証明)。
The Presidential Memorandum of January 14, 2025 (Revocation of National Security Presidential Memorandum 5). 2025年1月14日付の大統領覚書(国家安全保障大統領覚書5の失効)。
Executive Order 14143 of January 16, 2025 (Providing for the Appointment of Alumni of AmeriCorps to the Competitive Service). 2025年1月16日付の大統領令14143(AmeriCorpsの卒業生の競争的任務への任命に関する規定)。
     Sec. 3.  Implementation.  (a)  To effectuate the revocations described in section 2 of this order, the heads of each agency shall take immediate steps to end Federal implementation of unlawful and radical DEI ideology. 第3条 実施 (a) 本命令の第2項に記載された取り消しを履行するために、各機関の長は、違法かつ急進的なDEIイデオロギーの連邦政府による実施を直ちに終了させるための措置を講じなければならない。
     (b)  The Director of the Domestic Policy Council (DPC) and the Director of the National Economic Council (NEC) shall review all Federal Government actions taken pursuant to the orders, memoranda, and proclamations listed in section 2 of this order and take necessary steps to rescind, replace, or amend such actions as appropriate.  Within 45 days of the date of this order, the Director of the DPC and the Director of the NEC shall submit to the President an additional list of orders, memoranda, and proclamations issued by the prior administration that should be rescinded, as well as a list of replacement orders, memoranda, or proclamations, to increase American prosperity. (b) 国内政策会議(DPC)議長および国家経済会議(NEC)議長は、本命令の第2項に列挙された命令、覚書、布告に従って取られたすべての連邦政府の行動を再検討し、必要に応じて、そのような行動を撤回、差し替え、または修正するための必要な措置を取らなければならない。 本命令の日付から45日以内に、DPC長官およびNEC長官は、前政権が発令した命令、覚書、布告のうち廃止すべきものの追加リスト、および米国の繁栄を増進するための代替となる命令、覚書、布告のリストを大統領に提出しなければならない。
     (c)  The National Security Advisor (NSA) shall immediately begin a complete and thorough review of all National Security Memoranda (NSMs) issued from January 20, 2021, through January 20, 2025, for harm to national security, domestic resilience, and American values.  No later than 45 days from the date of this order, the NSA shall recommend to the President NSMs for rescission. (c) 国家安全保障顧問(NSA)は、2021年1月20日から2025年1月20日までに発布されたすべての国家安全保障覚書(NSM)について、国家安全保障、国内レジリエンス、および米国の価値観に対する害悪の観点から、直ちに完全かつ徹底的な見直しを開始するものとする。本命令の日付から45日以内に、NSAは大統領にNSMの廃止を勧告するものとする。
     Sec. 4.  General Provisions.  (a)  Nothing in this order shall be construed to impair or otherwise affect: 第4条 一般規定 (a) 本命令のいかなる内容も、以下を損なう、あるいは影響を与えるものと解釈されてはならない。
(i)   the authority granted by law to an executive department or agency, or the head thereof; or (i) 行政省庁または行政機関、あるいはその長官に法律によって与えられた権限、または
(ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals. (ii) 予算、行政、立法に関する提案に関する行政管理予算局局長の機能。
     (b)  This order shall be implemented consistent with applicable law and subject to the availability of appropriations. (b) 本命令は、適用法に準拠し、かつ、歳出予算が確保されることを条件として実施されるものとする。
     (c)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. (c) 本命令は、いかなる者に対しても、米国、その省庁、政府機関、または事業体、その役員、従業員、または代理人、あるいはその他の個人に対して、法律上または衡平法上、強制可能な実体上または手続上の権利または利益を創出することを意図するものではなく、また、実際に創出するものでもない。
THE WHITE HOUSE, ホワイトハウス、
    January 20, 2025. 2025年1月20日。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

 

 

| | Comments (0)

英国 NCSC ブログ パスキー:完璧ではないが、改善されつつある (2025.01.15)

こんにちは、丸山満彦です。

英国のNCSCのブログがパスキーについてのブログ記事を載せていますね...

課題はあるけど、パスワードよりパスキーの方が安全性が高くなる場合が多いので、パスキーの改善にNCSCは取り組んでいますよ...ということですかね...

これから使っていこうね...

 

NCSC - Blog

1_20250121060101

 

・2025.01.15 Passkeys: they're not perfect but they're getting better

Passkeys: they're not perfect but they're getting better パスキー:完璧ではないが、改善されている
Passkeys are the future of authentication, offering enhanced security and convenience over passwords, but widespread adoption faces challenges that the NCSC is working to resolve. パスキーは認証の未来であり、パスワードよりもセキュリティと利便性を向上させるが、その普及にはNCSCが解決に取り組んでいる課題がある。
Now we’re in 2025, a lot more services are offering passkeys as a replacement for passwords and the NCSC believes they are the future of modern authentication. However, there are still some significant bumps in the road ahead. Here we set out the case for mass adoption of passkeys and outline the remaining issues which are hindering their widespread implementation. The NCSC will work alongside industry to help resolve these problems and help to get passkeys over the line. 現在、2025年を迎え、多くのサービスがパスワードに代わるものとしてパスキーを提供しており、NCSCはパスキーが現代の認証の未来であると確信している。しかし、前途には依然として大きな障害がいくつか存在する。ここでは、パスキーの大量導入の根拠を提示し、その広範な実装を妨げている残りの問題について概説する。NCSCは、業界と協力してこれらの問題の解決に取り組み、パスキーの普及を支援していく。
What’s wrong with passwords – why do we need passkeys? パスワードの何が問題なのか - なぜパスキーが必要なのか?
Most cyber harms that affect citizens occur through abuse of legitimate credentials. That is, attackers have obtained the victim's password somehow – whether by phishing or exploiting the fact the passwords are weak or have been reused. 一般市民に被害をもたらすサイバー犯罪のほとんどは、正当な認証情報の悪用によって発生している。つまり、攻撃者はフィッシング、あるいはパスワードが脆弱であることや使い回しされていることを突いて、何らかの方法で被害者のパスワードを入手しているのだ。
Passwords are just not a good way to authenticate users on the modern internet (and arguably weren't suitable back in the 1970s when the internet was used by just a few academics). Adding a strong – phishing-resistant – second factor to passwords definitely helps, but not everyone does this and not every type of Multi-Factor Authentication (MFA) is strong. パスワードは、現代のインターネット上でのユーザー認証の方法としては適切ではない(インターネットが一部の学者によって使用されていた1970年代には、おそらく適切ではなかった)。フィッシングに強い強力な第二の要素をパスワードに追加することは確かに役立つが、誰もがそうしているわけではないし、すべての多要素認証(MFA)が強力というわけでもない。
So if not passwords, then what? では、パスワード以外の方法とは何だろうか?
Passkeys have recently come to prominence as the world's best option for going passwordless – finally replacing account passwords with something better. If you haven't come across passkeys, take a look at our other blog on the promise of passkeys. The short story is that passkeys solve the main security problems we have with passwords. パスキーは最近、パスワードレスを実現する世界最高の選択肢として注目を集めている。パスワードを最終的により優れたものに置き換えるものだ。パスキーについてまだご存じない方は、パスキーの将来性に関する弊社の他のブログ記事もご覧いただきたい。簡単に言えば、パスキーはパスワードに伴う主なセキュリティ問題を解決する。
Passkeys: パスキーは
・are generated securely and so can’t be guessed ・安全に生成されるため、推測できない
・can’t be phished ・フィッシングの対象にならない
・are unique for each website you use, so if one website is compromised it doesn’t put your other logins at risk ・使用するウェブサイトごとにユニークなパスキーが生成されるため、ひとつのウェブサイトが侵害されたとしても、他のログインにリスクが生じることはない
Passkeys manage what was previously thought impossible. As well as being far more secure, they’re also quicker, easier and more convenient for users. For example, Microsoft has seen that on average passkey sign-ins to their services take only 8 seconds, compared with 69 seconds to sign in using a traditional password and second factor. パスキーは、これまで不可能と考えられていたことを可能にする。セキュリティが大幅に強化されるだけでなく、ユーザーにとってはより迅速で簡単、便利なものとなる。例えば、Microsoftでは、パスキーを使用した同社サービスへのサインインは平均8秒で完了しているが、従来のパスワードと第二要素認証を使用した場合は69秒かかっている。
As a solution that’s designed to be easier for users and more secure, you might expect passkeys to be the NCSC’s default recommendation for websites authenticating their customers. But if you check out our guidance: MFA for your corporate online services and Authentication methods: Choosing the right type, you’ll see we’re currently still having to recommend options that include a password and something extra to secure it. ユーザーにとってより簡単で、より安全なソリューションとして、パスキーがNCSCによる顧客認証を行うウェブサイトへのデフォルトの推奨事項になることを期待するかもしれない。しかし、当社のガイダンス「企業オンラインサービスにおけるMFA(多要素認証)と認証方法:適切なタイプの選択」を確認すると、現在もパスワードとそれを保護するための追加の要素を含むオプションを推奨せざるを得ないことが分かる。
We welcome the year-on-year improvements in passkey technologies but the remaining problems with them means we aren't ready to recommend them for mass adoption across all services yet. The NCSC wants to see an acceleration in progress and collaboration, so that we can confidently recommend this technology as the most secure and usable form of online authentication. パスキー技術の年々改善されることを歓迎するが、それらにはまだ問題が残っているため、すべてのサービスに広く採用することを推奨できる段階には至っていない。NCSCは、この技術をオンライン認証の最も安全で使いやすい形態として自信を持って推奨できるよう、進展と協力を加速させたいと考えている。
What then are the remaining problems with passkeys? では、パスキーの残された問題とは何だろうか?
There’s plenty of media evidence pointing to the challenges to passkey adoption. This includes: パスキーの導入にまつわる問題を指摘するメディア報道は数多くある。以下はその例である。
Inconsistent support and experiences 一貫性のないサポートと体験
Due to the history of their development, there are currently multiple ‘flavours’ of passkey available that providers and users need to understand how to manage. These range from device-bound and physical token passkeys (that never leave the device) to ‘synced’ passkeys (where a device’s Credential Manager backs up and synchronises passkeys across the user’s other devices). パスキーの開発の歴史により、現在、プロバイダやユーザーが管理方法を理解する必要がある複数の「種類」のパスキーが存在している。これには、デバイスに紐づけられた物理的なトークンパスキー(デバイスから離れることはない)から、「同期」パスキー(デバイスのクレデンシャルマネージャがバックアップし、ユーザーの他のデバイス間でパスキーを同期する)まで、さまざまなものがある。
This complicates things for websites which want to offer effective passkey support but also want to know how the passkey is being handled by the user’s device to keep their accounts safe. This can also lead to confusing or frustrating experiences for passkey users who just want the authentication to work, without having to worry about the nuances of underlying technology. For example, some websites support synced passkeys, while others still only support device-bound passkeys. これは、効果的なパスキーのサポートを提供したい一方で、ユーザーのデバイスでパスキーがどのように処理されているかを知り、アカウントの安全性を確保したいウェブサイトにとっては、状況を複雑にする。また、このことは、認証が機能すればよく、その基盤となるテクノロジーのニュアンスについて心配する必要がないパスキーユーザーにとっては、混乱やフラストレーションにつながる可能性もある。例えば、一部のウェブサイトでは同期パスキーがサポートされているが、他のウェブサイトでは依然としてデバイスに紐づいたパスキーのみがサポートされている。
Industry groups (including the FIDO Alliance and W3C) are working on standards, guides and tools to improve this situation for developers and users, but it will take time for these to be adopted consistently across the range of apps and websites available today. The NCSC strongly encourages providers and developers to engage with these groups and accelerate their adoption of these consistent standards when they’re released. 業界団体(FIDOアライアンスやW3Cなど)は、開発者やユーザーにとってこの状況を改善するための標準、ガイド、ツールの開発に取り組んでいるが、現在利用可能なアプリやウェブサイト全体にわたってこれらの標準が採用されるには時間がかかるだろう。NCSCは、プロバイダや開発者がこれらの団体と連携し、標準が発表された際にはその採用を加速させることを強く推奨する。
Device loss scenarios デバイスの紛失シナリオ
Users are largely unsure about the implications for their passkeys if they lose or break their device, as it seems their device holds the entire capability to authenticate. To trust passkeys as a replacement for the password, users need to be prepared and know what to do in the event of losing one – or all – of their devices. ユーザーは、デバイスを紛失したり破損した場合にパスキーにどのような影響があるのか、ほとんど理解していない。なぜなら、デバイスの認証機能がすべてデバイスに保存されているように見えるからだ。パスワードの代替としてパスキーを信頼するには、ユーザーは、デバイスを1台または複数台紛失した場合にどうすべきか、事前に準備しておく必要がある。
Backing up and synchronising passkeys with a Credential Manager makes it easier to recover access to them compared to other existing second factor options. However, this relies on the user having prepared their Credential Manager account for recovery. Users need help in understanding and implementing the right steps so they can feel ready to go passwordless and use passkeys without extra worry and hassle. パスキーを認証情報マネージャーでバックアップおよび同期化しておけば、他の既存の第二要素オプションと比較して、アクセスを回復しやすくなる。ただし、これはユーザーが認証情報マネージャーのアカウントを回復用に準備していることが前提となる。ユーザーがパスワードなしでパスキーを安心して手間なく使えるように、正しい手順を理解し、実行できるよう支援する必要がある。
Migration issues 移行に関する問題
Passkeys are ‘long life’ because users can’t forget them or create one that is weak, so if they’re done well there should be no need to reset or update them. As a result, there’s an increased likelihood that at some point a user will want to move their passkeys to the Credential Manager of a different vendor or platform. This is currently challenging to do, but FIDO and vendors are actively working to address this issue and we wait to see support for this take hold across the market. パスキーは「長寿命」である。なぜなら、ユーザーがパスキーを忘れたり、脆弱なパスキーを作成したりすることはないため、適切に実行されていれば、パスキーをリセットしたり更新したりする必要はないはずである。その結果、いずれはユーザーがパスキーを別のベンダーやプラットフォームのクレデンシャルマネージャーに移行したいと考える可能性が高くなる。これは現在では難しいが、FIDOと各ベンダーは、この問題の解決に向けて積極的に取り組んでおり、市場全体でこのサポートが定着するのを待っている。
Account recovery processes アカウント復旧プロセス
For passkey-protected accounts, potential attackers are now more likely to focus on finding weaknesses in account recovery and reset requests – whether by email, phone or chat – and pivot to phishing for recovery keys. These processes need to be sufficiently hardened by providers to prevent trivial abuse by these attackers and to maintain the security benefits of using passkeys. Users also need to be educated on how to spot and report abuse of these processes before their accounts are compromised. This problem is not unique to passkeys, but as passkeys begin to successfully frustrate attackers on a large scale, it’s likely that attackers will increasingly shift their focus to these methods. パスキーで防御されたアカウントの場合、潜在的な攻撃者は、電子メール、電話、チャットなどによるアカウント復旧やリセットのリクエストの脆弱性を見つけ、復旧キーを狙ったフィッシングに転換する可能性が高くなる。これらのプロセスは、プロバイダによって十分に強化され、攻撃者による些細な悪用を防ぎ、パスキーを使用することによるセキュリティ上の利点を維持する必要がある。また、ユーザーは、アカウントが侵害される前に、これらのプロセスの悪用を発見し報告する方法について教育を受ける必要がある。この問題はパスキー特有のものではないが、パスキーが攻撃者を大規模に阻止することに成功し始めているため、攻撃者はますますこれらの方法に焦点を移す可能性が高い。
Platform differences プラットフォームの違い
Different platforms use different terms to describe the process of passkey logins, which can confuse users and put them off using passkeys. Vendors will need to work together and with the FIDO Alliance to agree on consistent, accessible language and avoid working in silos. This will help users have confidence in what they are using across their digital lives. 異なるプラットフォームでは、パスキーログインのプロセスを説明する際に異なる用語を使用しているため、ユーザーが混乱し、パスキーの利用をためらう可能性がある。ベンダーは協力し、FIDOアライアンスと連携して、一貫性があり、アクセスしやすい用語に合意し、サイロ化された作業を避ける必要がある。これにより、ユーザーはデジタルライフ全体で使用しているものに自信を持つことができる。
Suitability for all scenarios あらゆるシナリオへの適合性
Using passkeys assumes that the user has exclusive, private access to an account or device for preparing and accessing the Credential Manager holding their passkeys. However, this is not always the case, such as in households where multiple people use the same phone or tablet, for individuals who don’t have their own modern device and primarily access the internet at places like libraries, and for people for whom biometrics don’t work well. Platform providers need to ensure that all users have a personal and private means of accessing their Credential Manager. パスキーを使用するには、パスキーを保管するクレデンシャルマネージャーを準備し、アクセスするために、ユーザーがアカウントやデバイスに排他的に、かつプライベートにアクセスできることが前提となる。しかし、これは必ずしも常に当てはまるわけではない。例えば、同じ電話やタブレットを複数の人が使用する家庭や、最新のデバイスを持たず、主に図書館などの場所でインターネットにアクセスする個人、生体認証がうまく機能しない人々などが該当する。プラットフォームプロバイダは、すべてのユーザーがクレデンシャルマネージャーに個人的かつプライベートにアクセスできる手段を確保する必要がある。
Further problems for apps that want to use passkeys パスキーを使用したいアプリのさらなる問題
There are additional problems for apps and websites that would like to offer passkeys as a way to sign in (known as ‘relying parties’) such as: ログイン方法としてパスキーを提供したいアプリやウェブサイト(「信頼当事者」として知られている)には、次のようなさらなる問題がある。
Implementation complexity 実装の複雑さ
It's challenging to offer passkeys to users for services that currently use multiple domains for authentication (such as account.example.co.uk and account.example.com) and users might need multiple passkeys to sign in to what appears to be the same service. The FIDO Alliance and the industry is working on this problem but it isn’t yet effectively accepted and established. 現在、複数のドメイン(account.example.co.uk や account.example.com など)を使用して認証を行っているサービスでパスキーをユーザーに提供するのは困難であり、ユーザーは同じサービスにログインする際に複数のパスキーが必要になる可能性がある。FIDO アライアンスと業界は、この問題に取り組んでいるが、まだ効果的に受け入れられ、確立されているわけではない。
Inconsistent use 一貫性のない使用
There's no consensus on when passkeys should be used in a sign-in journey or how much assurance each ‘flavour' of passkey provides. As a result, some websites choose to ask for a passkey and an additional factor, while others allow passkey-only sign-ins. パスキーをサインインの過程でいつ使用すべきか、また、パスキーの各「種類」がどの程度の保証を提供するかについては、コンセンサスが得られていない。その結果、一部のウェブサイトではパスキーと追加要素の両方を求めるが、他のサイトではパスキーのみでサインインを許可している。
Uncertainty around multi-factor status マルチファクタ認証としての不確実性
Website owners and regulators haven’t yet reached a consensus on whether all ‘flavours’ of passkey count as ‘multi-factor’ (or equivalent) when the user is verified, typically with local-device biometrics or a PIN. ウェブサイト所有者と規制当局は、ユーザーがローカルデバイスの生体認証やPINなどで認証された場合、すべての「パスキーのフレーバー」が「多要素認証」(または同等)としてカウントされるかどうかについて、まだコンセンサスに達していない。
Uncertainty around syncing and sharing 同期と共有に関する不確実性
For the most critical and sensitive accounts where verifiable user identity is required – for example bank accounts or those connected with power of attorney – there's also uncertainty about whether passkeys which can be synced and shared are secure enough on their own. Work is still ongoing to agree and define methods of resolving this. 検証可能なユーザーIDが求められる最も重要で機密性の高いアカウント(例えば銀行口座や委任状に関連するもの)については、同期や共有が可能なパスキーが単独で十分なセキュリティを確保できるかどうかも不確かである。この問題の解決方法について合意し定義する作業は現在も継続中である。
What is the NCSC doing about passkeys? NCSCはパスキーに関してどのような取り組みを行っているのか?
We’d like passkeys to be our default authentication recommendation and for passkeys to be widely deployed. To enable that, the NCSC is doing the following: パスキーをデフォルトの認証として推奨し、広く展開したいと考えている。これを実現するために、NCSCは以下の取り組みを行っている。
・Working with FIDO and vendors on the above challenges. ・FIDOおよびベンダーと協力し、上記の課題に取り組んでいる。
・Encouraging UK organisations to make passkeys available as an option to users. ・英国の組織に対して、パスキーをユーザーのオプションとして利用できるようにすることを推奨している。
・Exploring where the UK government can lead by example, such as by giving citizens the option to use passkeys to access central government services with GOV.UK One Login. ・英国政府が率先してできることを模索している。例えば、GOV.UK One Loginで中央政府サービスにアクセスする際にパスキーを使用するオプションを市民に提供するなど。
・Reviewing the regulatory environment and updating rules and standards (such as GPG 44) that underpin how UK organisations offer services to customers to ensure that sites are able to offer passkeys. ・規制環境を見直し、英国の組織が顧客にサービスを提供する手法を支えるルールや標準(GPG 44など)を更新し、サイトがパスキーを提供できるようにする。
・Encouraging organisations – once the technology and underpinning standards mature – to offer passkeys as default for their customers and citizen users. ・技術とそれを支える標準が成熟した段階で、組織が顧客や市民ユーザーに対してデフォルトでパスキーを提供することを奨励する。
In summary, the NCSC believes passkeys are the future of online authentication – for a business authenticating its customers, or a government service authenticating its citizens – and we’re working to make this a reality as soon as possible. But achieving this vision needs an intensified effort from all parties and greater collaboration to cohere the vision and prevent it fragmenting to the extent that users disengage. まとめると、NCSCはパスキーがオンライン認証の未来であると信じており、企業が顧客を認証する場合や、政府サービスが市民を認証する場合にパスキーが利用されることを期待している。そして、この実現をできるだけ早く実現するために取り組んでいる。しかし、このビジョンを実現するには、すべての関係者による一層の努力と、ビジョンをまとめるためのより緊密な連携が必要であり、ユーザーが離れてしまうほどにビジョンが分裂しないようにする必要がある。
Should you be using passkeys now? 現在、パスキーを使用すべきだろうか?
If you own a service that needs to authenticate users then – ideally – yes, but you’ll need to consider whether you can mitigate the challenges for your userbase first. ユーザー認証が必要なサービスを所有している場合は、理想的には「はい」だが、まずはユーザーベースの課題を緩和できるかどうかを検討する必要がある。
If you’re a user who has read this far, then almost definitely yes! ここまで読んでくださったユーザーであれば、ほぼ間違いなく「はい」だ。
Passkeys protect you from the most widespread attacks that lead to abuse of legitimate credentials, and modern devices make them as effortless to use as passwords. But as we’ve highlighted, there are still some challenges to getting them fully adopted across all services. The NCSC will be working with vendors, websites that authenticate users and users themselves to resolve these problems. パスキーは、正当な認証情報の悪用につながる最も広範な攻撃からユーザーを防御する。また、最新のデバイスでは、パスワードと同様に簡単に使用できる。しかし、これまで強調してきたように、すべてのサービスでパスキーが完全に採用されるには、まだいくつかの課題がある。NCSCは、ベンダー、ユーザー認証を行うウェブサイト、そしてユーザーと協力し、これらの問題の解決に取り組んでいく。
Please get in touch with us if you’d like to give feedback, comment or ask a question. フィードバックやコメント、質問などがありましたら、ぜひご連絡ください。
Ollie Whitehouse オリー・ホワイトハウス
NCSC Chief Technical Officer NCSC最高技術責任者
David C デビッド・C
Technical Director for Platforms Research プラットフォーム研究技術ディレクター
James L ジェームズ・L
Senior Security Researcher シニアセキュリティ研究者

 

 

| | Comments (0)

中国 CNCERT 米国が企業秘密を盗むために中国の大手テクノロジー企業や機関にサイバー攻撃を行った事案についての報告書 (2025.01.17)

こんにちは、丸山満彦です。

中国のCNCERTが、米国が企業秘密を盗むために中国の大手テクノロジー企業や機関にサイバー攻撃を行った事案を2件公表していますね...

一つは、2024年8月から先端材料設計研究部門が、おそらく米国諜報機関に電子文書セキュリティ管理システムの脆弱性を利用して、ソフトウェア更新管理サーバーに侵入し、更新サービスを通じて270台以上にトロイの木馬を配信し、機密情報、知財を盗んだということのようです。

もう一つは、2023年5月から、スマートウェンルギーとデジタル情報の大手ハイテク企業が、おそらく米国諜報機関により、海外の複数の踏み台を利用してマイクロソフト・エクスチェンジの脆弱性を利用し、メールサーバに侵入し、バックドアを埋め込んで電子メールデータを搾取していたようです。その上、メールサーバを踏み台にして、30台以上の端末から機密情報を盗んだようです。

本当かどうかはわかりませんが、被害をうけたことと同じような攻撃をしていますよね。。。そして、マイクロソフト製品の脆弱性を利用して攻撃。。。

 

国家计算机网络应急技术处理协调中心 (CNCERT/CC)

1_20250121053601

・2024.12.18 CNCERT发现处置两起美对我大型科技企业机构网络攻击事件

CNCERT发现处置两起美对我大型科技企业机构网络攻击事件 CNCERTは、米国による中国大手テクノロジー企業の機関ネットワークに対するサイバー攻撃2件を発見し、対処した
国家互联网应急中心发现处置两起美对我大型科技企业机构进行网络攻击窃取商业秘密事件。 国家インターネット緊急対応センターは、米国の大手テクノロジー企業2社が、当社機関の企業秘密を盗むために攻撃を行っていることを発見し、対応した。
2024年8月起,我国某先进材料设计研究单位遭疑似美国情报机构网络攻击。经分析,攻击者利用我境内某电子文档安全管理系统漏洞,入侵该公司部署的软件升级管理服务器,通过软件升级服务向该公司的270余台主机投递控制木马,窃取该公司大量商业秘密信息和知识产权。 2024年8月より、中国の高度材料設計研究部門が、米国の諜報機関と疑われる組織による攻撃を受けた。分析の結果、攻撃者は中国の電子文書セキュリティ管理システムの脆弱性を悪用し、当社が配備したソフトウェアアップグレード管理サーバーに侵入した。攻撃者はソフトウェアアップグレードサービスを利用して、当社の270以上のホストに制御用トロイの木馬を送り込み、当社の大量の企業秘密情報および知的財産を盗んだ。
2023年5月起,我国某智慧能源和数字信息大型高科技企业遭疑似美国情报机构网络攻击。经分析,攻击者使用多个境外跳板,利用微软Exchange漏洞,入侵控制该公司邮件服务器并植入后门程序,持续窃取邮件数据。同时,攻击者又以该邮件服务器为跳板,攻击控制该公司及其下属企业30余台设备,窃取该公司大量商业秘密信息。 2023年5月より、スマートエネルギーとデジタル情報に特化した中国のある大手ハイテク企業が、米国情報機関によるものと見られるサイバー攻撃の標的となった。分析の結果、攻撃者は複数の海外中継サーバーを使用してMicrosoft Exchangeの脆弱性を悪用し、同社のメールサーバーに侵入し、バックドアプログラムを仕掛けて電子メールデータを継続的に盗み出していたことが判明した。同時に、攻撃者はメールサーバーを足がかりとして、同社および子会社の30以上のデバイスを攻撃・制御し、同社の大量の企業秘密情報を盗み出していた。

 

報告書

・2025.01.17 美网络攻击我国某先进材料设计研究院事件调查报告

美网络攻击我国某先进材料设计研究院事件调查报告 米国による中国先進材料設計・研究機関へのサイバー攻撃事件に関する調査報告
2024年12月18日,国家互联网应急中心 CNCERT发布公告 ([web]
),发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某先进材料设计研究院的网络攻击详情,为全球相关国家,单位有效发现和防范美网络攻击行为提供借鉴。
2024年12月18日、中国国家コンピュータネットワーク緊急対応技術チーム/調整センター(CNCERT)は、発表([web] )によると、中国政府による米国大手テクノロジー企業へのサイバー攻撃2件が処理されたことが判明した。本報告では、中国先進材料設計研究院に対するサイバー攻撃の詳細を公表し、世界各国の関連国および関連部門が米国のサイバー攻撃を効果的に検知・防止するための参考情報を提供する。
一、网络攻击流程 I. サイバー攻撃のプロセス
(一)利用漏洞进行攻击入侵 (1) 脆弱性を利用した攻撃
2024年8月19日,攻击者利用该单位电子文件系统注入漏洞入侵该系统,并窃取了该系统管理员账号/密码信息。2024年8月21日,攻击者利用窃取的管理员账号/密码登录被攻击系统的管理后台。 2024年8月19日、攻撃者は当該機関の電子文書システムの脆弱性を利用してシステムに侵入し、システムの管理者アカウント/パスワード情報を盗んだ。2024年8月21日、攻撃者は盗んだ管理者アカウント/パスワードを利用して、攻撃対象システムの管理バックグラウンドにログインした。
(二)软件升级管理服务器被植入后门和木马程序 (2) ソフトウェアアップグレード管理サーバーにバックドアとトロイの木馬が仕掛けられた
2024年8月21日12时,攻击者在该电子文件系统中部署了后门程序和接收被窃数据的定制化木马程序。为逃避检测,这些恶意程序仅存在于内存中,不在硬盘上存储。木马程序用于接收从涉事单位被控个人计算机上窃取的敏感文件,访问路径为/sxx/xxxx?nag=syn_user_policy。后门程序用于将窃取的敏感文件聚合后传输到镜外,访问路径是/xxx/xxxStats. 2024年8月21日12時、攻撃者は電子文書システムに盗難データを受信するバックドアプログラムとカスタマイズされたトロイの木馬プログラムを展開した。 検知を回避するため、これらの悪意のあるプログラムはメモリ内にのみ存在し、ハードディスクには保存されていない。 トロイの木馬は、関係部門の被疑者のパソコンから盗まれた機密ファイルを受信するために使用され、アクセスパスは/sxx/xxxx?nag=syn_user_policyであった。バックドアは、盗まれた機密ファイルをミラーの外に集約して送信するために使用され、アクセスパスは/xxx/xxxStatsであった。
(三)大范图个人主机电脑被植入木马 (3)トロイの木馬は、大ファンのパソコンに埋め込まれた
2024年11月6日、2024年11月8日和2024年11月16日,攻击者利用电子文档服务器的某软件升级功能将特种木马程序植入到该单位276 台主机中。木马程序的主要功能一是扫描被植入主机的敏感文件进行窃取。二是窃取受攻击者的登录账密等其他个人信息。木马程序即用即删。
2024年11月6日、11月8日、11月16日、攻撃者は電子文書サーバーのソフトウェアアップグレード機能を利用して、単位内の276台のホストコンピューターに特殊なトロイの木馬プログラムを植え付けた。トロイの木馬プログラムの主な機能は、植え付けられたホストコンピューター上の機密ファイルをスキャンして盗むことである。もう一つは、攻撃対象者のログインアカウントやパスワードなどのその他の個人情報を盗むことである。トロイの木馬プログラムは使用後すぐに削除される。
二、窃取大量商业秘密信息 II. 企業秘密を大量に窃取
(一)全盘扫描受害单位主机 (1) 被害者のホストをフルスキャン
攻击者多次用中国境内 IP 跳板登录到软件升级管理服务器,并利用该服务器入侵受害单位内网主机,并对该单位内网主机硬盘反复进行全盘扫描,发现潜在攻击目标,掌握该单位工作内容。 攻撃者は、中国国内のIPジャンプ台を繰り返し利用してソフトウェアアップグレード管理サーバーにログインし、このサーバーを利用して被害者の内部ネットワークホストに侵入し、被害者の内部ネットワークホストのハードディスクを繰り返しフルスキャンし、潜在的な攻撃対象を発見し、当該部門の業務内容を把握した。
(二)日的明确地针对性窃取 (2) 特定の日に明確に窃取
2024年11月6日至11月16日,攻击者利用3个不同的跳板 IP 三次入侵该软件升级管理服务器,向个人主机植入木马,这些木马已内置与受害单位工作内容高度相关的特定关键词,搜索到包含特定关键词的文件后即将相应文件窃取并传输至境外。这三次窃密活动使用的关键词均不相同,显示出攻击者每次攻击前均作了精心准备,具有很强的针对性。三次窃密行为共窃取重要商业信息、知识产权文件共4.98GB。 2024年11月6日から11月16日にかけて、攻撃者は3つの異なるジャンプオフポイントIPを使用してソフトウェアアップグレード管理サーバーを3回攻撃し、個人用ホストにトロイの木馬を埋め込んだ。これらのトロイの木馬には、すでに被害者部門の業務内容と極めて関連性の高い特定のキーワードが組み込まれていた。特定のキーワードを含むファイルを検索した後、対応するファイルが盗まれ、海外に送信された。 これら3回の盗難で使用されたキーワードはすべて異なっており、攻撃者は各攻撃の前に周到な準備を行い、標的を絞っていたことがわかる。3回の機密盗難により、合計4.98GBの重要な商業情報および知的財産文書が盗まれた。
三、攻击行为特点 III.攻撃の特徴
(一)攻击时间 (1)攻撃時間
分析发现,此次攻击时间主要栗中在北京时间 22时至次日8时,相对于美国东部时间为白天时间10时至20时,攻击时间主要分布在美国时间的星期一至星期五,在美国主要节假日未出现攻击行为。 分析によると、攻撃時間は主に北京時間22:00から翌日8:00の間であり、これは米国東部時間では10:00から20:00までの昼間である。攻撃時間は主に米国時間の月曜日から金曜日までであり、米国の大型連休には攻撃は発生していない。
(二)攻毒資源 (2) 攻撃リソース
攻击者使用的5个跳板IP 完全不童复,位于德国和罗马尼亚等地,反映出其高度的反溯源意识和丰富的攻击资源储各。 攻撃者が使用した5つのジャンプオフIPは完全に異なり、ドイツ、ルーマニアなどにあることから、追跡防止に対する高い意識と豊富な攻撃リソースの蓄積がうかがえる。
(三)攻击式器 (3) 攻撃ツール
一是善于利用开源或通用工具伪装避溯源,此次在涉事单位服务器中发现的后门程序为开源通用后门工具。攻击者为了避免被溯源,大量使用开源或通用攻击工具。 第一に、オープンソースや汎用ツールを駆使して、偽装や追跡回避を得意としている。今回事件に関与した部門のサーバーに発見されたバックドアプログラムは、オープンソースの汎用バックドアツールである。攻撃者は、追跡を避けるために、大量のオープンソースや汎用攻撃ツールを使用している。
二是重要后门和木马程序仅在内存中运行,不在硬盘中存储,大大提升了其攻击行为被我分析发现的难度。 第二に、重要なバックドアやトロイの木馬プログラムはメモリ上でしか実行されず、ハードディスクには保存されないため、攻撃の分析や発見の難易度が大幅に高まる。
(四)攻击手法 (4) 攻撃方法
攻击者攻击该单位电子文件系统服务器后,篡改了该系统的客户端分发程序,通过软件客户端升级功能,向276台个人主机投递木马程序,快速、精准攻击重要用户,大肆进行信息搜集和窃取。以上攻击手法充分显示出该攻击组织的强大攻击能力。 攻撃者は、当該単位の電子ファイルシステムサーバーを攻撃した後、当該システムのクライアント配布プログラムを改ざんし、ソフトウェアクライアントのアップグレード機能を利用して、276台の個人用ホストにトロイの木馬を送り込み、重要なユーザーを迅速かつ正確に攻撃し、大規模な情報収集と窃取を行った。以上の攻撃方法は、攻撃組織の強力な攻撃能力を十分に示している。
四、部分跳板IP列表 IV. 踏み台IPアドレス(一部)一覧

20250121-54033

 

 

・2025.01.17 美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告

美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告 米国サイバー攻撃 中国のスマートエネルギーおよびデジタル情報分野における大手ハイテク企業への攻撃に関する調査報告書
2024年12月18日,国家互联网应急中心 CNCERT发布公告 ([web] ),发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某智慧能源和数字信息大型高科技企业的网络攻击详情,为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。 2024年12月18日、中国国家コンピュータネットワーク緊急対応技術チーム/調整センター(CNCERT)は、発表([web] )によると、中国による米国大手テクノロジー企業へのサイバー攻撃2件が処理されたことが判明した。この報告書では、スマートエネルギーおよびデジタル情報分野における中国大手ハイテク企業へのサイバー攻撃の詳細を公表し、世界各国の関連国および関連部門が米国のサイバー攻撃を効果的に検知・防止するための参考情報を提供する。
一、网络攻击流程 I. サイバー攻撃のプロセス
(一)利用邮件服务器漏洞进行入侵 (1) メールサーバーの脆弱性を利用し、侵入した
公司郎件服券使用微Exchange 件統。攻市者利用2个微软 Exchange 洞选行攻击,首先利用某任意用户伪造漏洞针对特定账户进行攻击,然后利用某反序列化漏洞再次进行攻击,达到执行任意代码的目标。 当該企業の文書管理システムはMicrosoft Exchangeを使用している。攻撃者は2つのMicrosoft Exchangeの脆弱性を利用して攻撃を行った。まず、ある任意のユーザー偽装の脆弱性を利用して特定のアカウントを攻撃し、その後、あるアンチシリアライゼーションの脆弱性を利用して再度攻撃を行い、任意のコードを実行するという目的を達成した。
(二)在邮件服务器植入高度隐蔽的内存木马 (2) 高度に隠蔽されたメモリ型トロイの木馬がメールサーバーに埋め込まれた
为避免被发现,攻击者在邮件服务器中植入了2个攻击武器,仅在内存中运行,不在硬盘存储。其利用了虚拟化技术,虛拟的访问路径为fowa/auth/xxx/xx.aspx 和 lowalauth/xxx/yy.aspx,攻武器主要功能包括敏感宿息窃取、命令执行以及内网穿透等。内网穿透程序通过混淆来逃避安全软件检测,将攻击者流量转发给其他目标设备,达到攻击内网其他设备的目的。

検知を回避するために、攻撃者はメールサーバーに2つの攻撃用武器を仕込んだ。これらはメモリ上でのみ実行され、ハードディスクには保存されない。 仮想化技術を使用しており、仮想アクセスパスはfowa/auth/xxx/xx.aspxおよびlowalauth/xxx/yy.aspxである。攻撃用武器の主な機能には、機密データ盗難、コマンド実行、イントラネット侵入などがある。イントラネット侵入プログラムは、難読化によりセキュリティソフトウェアによる検出を回避し、攻撃者のトラフィックを他の標的デバイスに転送し、イントラネット上の他のデバイスを攻撃する。
(三)对内网30余台重要设备发起攻击 (3) 内部ネットワーク上の30以上の重要デバイスに対する攻撃
攻击者以邮件服务器为跳板,利用内网扫描和渗透手段,在内网中建立隐蔽的加密传输隧道,通过 SSH.SMB等方式登录控制该公司的30余台重要设备并窃取数据。包括个人计算机、服务器和网络设备等;被控服务器包括,邮件服务器、办公系统服务器、代码管理服务器、测试服务器、开发管理服务器和文件管理服务器等。为实现持久控制,攻击者在相关服务器以及网络管理员计算机中植入了能够建立 websocket+SSH 隧適的攻击窃密武器,实现了对攻击者指的隠蔽義友和数取。避免被岌現,咳攻法 密程序装成微信相程序 WeChatxxxxxxxx.exe. 攻法者坯在受害服多器中植入了2个利用PIPE 管道迸行程同通信的模決化恶意程序,实现了通信管道的搭建。 攻撃者はメールサーバーを足がかりとし、内部ネットワークのスキャンと侵入方法を使用して内部ネットワーク上に隠された暗号化通信トンネルを確立し、SSH.SMBなどの方法で30以上の重要デバイスにログインしてデータを窃取した。 これには、パソコン、サーバー、ネットワーク機器などが含まれる。攻撃を受けた疑いのあるサーバーには、メールサーバー、オフィスシステムサーバー、コード管理サーバー、テストサーバー、開発管理サーバー、ファイル管理サーバーなどが含まれる。持続的な制御を実現するために、攻撃者は、関連サーバーおよびネットワーク管理者のコンピュータにウェブソケット+SSHトンネルを確立できる攻撃およびスパイ用の武器を仕込み、攻撃者の意図する隠蔽とデータ収集を実現した。 発見を回避するために、攻撃者は悪意のあるプログラムを「WeChatxxxxxxxx.exe」というWeChatアプレットに偽装した。その後、攻撃者は、PIPEプロトコルを使用して被害者のサーバーで同時通信用のパイプを確立する2つのモジュール型悪意のあるプログラムを仕込み、通信チャネルを確立した。
二、窃取大量商业秘密信息 II. 企業秘密情報の大量窃取
(一)窃取大量敏感邮件数据 (1) 機密性の高い大量のメールデータの窃取
攻击者利用邮件服务器管理员账号执行了邮件导出操作,窃密目标主要是该公司高层管理人员以及童要部门人员。攻击者执行导出命令时设置了导出邮件的时间区间,有些账号邮件全部导出,邮件很多的账号按指定时间区间导出,以减少窃密数据传输量,降低被发现风险。 攻撃者は、メールサーバの管理者アカウントを利用して、同社の経営層や主要部門の担当者を対象に、メールのエクスポート操作を行った。エクスポートコマンドを実行する際、攻撃者はメールのエクスポート時間間隔を設定した。一部のアカウントはすべてエクスポートされ、メール件数の多いアカウントは、送信データ量と発覚リスクを低減するために、時間間隔に従ってエクスポートされた。
(二)窃取核心网络设备账号及配置信息 (2) 基幹ネットワーク機器のアカウントおよび設定情報の窃取
攻击者通过攻击控制该公司3名网络管理员计算机,频繁窃取该公司核心网络设备账号及配暨信息。例如,2023年5月2日、攻法者以手徳国的代理服器(95.179.XX.XX)为跳板,入了该公司邮件服务累后,以邮件服务器为跳板,攻击了该公司网络管理员计算机,并窃取了“网络核心设备配置表”、“核心网络设备配置备份及巡检”、“网络拓扑”、“机房交换机(核心+汇聚〕”、“运营商IP 地址统计”、“关于采购互联网控制网关的请示”等敏悠文件。 攻撃者は、同社のネットワーク管理者の3台のコンピュータを攻撃することで、同社のコアネットワーク機器のアカウントと設定情報を頻繁に盗んでいた。例えば、2023年5月2日、攻撃者はドイツのプロキシサーバー(95.179.XX.XX)を踏み台にして同社のメールサービスに侵入し、その後、メールサーバーを踏み台にして同社のネットワーク管理者のコンピュータを攻撃し コンピュータに侵入し、「ネットワークコア機器構成表」、「コアネットワーク機器構成バックアップ・点検」、「ネットワークトポロジー」、「コンピュータ室スイッチ(コア+アグリゲーション)」、「キャリアIPアドレス統計」、「インターネットコントロールゲートウェイ購入依頼書」などの機密ファイルを盗んだ。
(三)窃取项目管理文件 (3) プロジェクト管理文書の窃取
攻击者通过对该公司的代码服务累、开发服务器等进行攻法,頻繁窃取公司相袋項目数担。例如。2023年7月26日、攻市者以的代理服器(65.21.XX.XX)为跳板,攻击控制该公司的邮件服务器后,又以此为跳板,频繁访问在该公司代码服务累中已植入的后门攻击武器,窃取数据达1.03GiB。为避免被发现,该后门程序伪装成开源项目“禅道”中的文件 “lip4XXXXXXXX.php”。 攻撃者は、頻繁に会社のコードサービスプラットフォームと開発サーバーを攻撃して、会社のプロジェクトデータを窃取していた。例えば、2023年7月26日、攻撃者はプロキシサーバー(65.21.XX.XX)を踏み台として、会社のメールサーバーを攻撃し、その後、踏み台として頻繁にアクセスしていた 会社のコードサービスに仕込まれたバックドア攻撃兵器に頻繁にアクセスし、1.03 GiBに達するデータを盗んだ。 バックドアプログラムは、検知を回避するために、オープンソースプロジェクト「ZenTao」の「lip4XXXXXXXX.php」というファイルを装っていた。
(四)清除攻击痕迹并进行反取证分析 (4) 攻撃の痕跡を消去し、フォレンジック対抗分析を行う
为避免被发现,攻击者每次攻击后,都会清除计算机日志中攻击痕班,并删除攻击窗密过程中产生的临时打包文件。攻击者还会查看系统审计日志、历史命令记录,SSH相关配置等,意图分析机器祓取证情况,对抗网络安全检测。 検知を回避するために、攻撃者は攻撃のたびに、コンピュータログから攻撃の痕跡を消去し、攻撃ウィンドウ中に生成された一時的なパッケージングファイルを削除していた。 また、攻撃者はシステム監査ログ、過去の命令記録、SSH関連の設定などを確認し、マシンを分析して証拠を捜し、ネットワークセキュリティの検出を回避しようとした。
三、攻击行为特点 III. 攻撃の特徴
(一)攻击时间 (1) 攻撃時間
分析发现,此次攻击活动主要条中在北京时间22时至次日8时,相对于美国东部时间为白天10时至20时,攻击时间主要分布在美国时间的星期一至星期五,在美国主要节假日未出现攻击行为。 分析によると、攻撃活動は主に北京時間22:00から翌日8:00までの間に集中しており、これは東部時間では10:00から20:00までの日中である。攻撃時間は主に米国時間の月曜日から金曜日にかけて分布しており、米国の主要な祝日には攻撃は検出されていない。
(二)攻击资源 (2) 攻撃リソース
2023年5月至2023年10月,攻击者发起了30余次网络攻击,攻击者使用的境外跳板 IP 基本不重复,反映出其高度的反溯源意识和丰富的攻击资源储备。 2023年5月から10月にかけて、攻撃者は30回以上のサイバー攻撃を仕掛けた。攻撃者の海外ジャンププラットフォームのIPは基本的に繰り返し使用されておらず、追跡防止に対する高い意識と豊富な攻撃リソースの蓄えを反映している。
(三)攻击武器 (3) 攻撃武器
攻击者植入的2个用于PIPE 管道进程通信的模化恶意程序位于 “c:liwindowslisystem32W” 下,使用了.net 框架,编译时间均被抹除,大小为数十KB,以TLS 加密为主。邮件服务器内存中植入的攻击武器主耍功能包括敏感信总窃取、命令执行以及内网穿透等。在相关服务器以及网络管理员计算机中植入的攻击窃密武器,使用https 协议,可以建立websocket+SSH 隧道,会回连攻击者控制的某域名。 攻撃者がPIPEパイプラインプロセス通信に埋め込んだ2つのモジュール型悪意あるプログラムは、「c:liwindowslisystem32W」に位置し、.netフレームワークを使用し、コンパイル時間は消去されている。サイズは数十KBで、主にTLS暗号化を使用している。 メールサーバーのメモリに埋め込まれた攻撃用武器の主な機能には、機密文書窃取、コマンド実行、イントラネット侵入などがある。関連サーバーおよびネットワーク管理者のコンピュータに埋め込まれた攻撃・スパイ用武器は、httpsプロトコルを使用し、websocket+SSHトンネルを確立し、攻撃者が管理するドメイン名に接続する。
四、部分跳板 IP列表 IV. 踏み台IPアドレス(一部)一覧

20250121-53926

 

ちなみに国。。。

荷兰 オランダ
罗马尼亚 ルーマニア
德国 ドイツ
芬兰 フィンランド
墨西哥 メキシコ

 

ドイツが多いですね...

 

 


こちらも参考に...

 

WeChat(テンセント)

微信公众平台(WeChat公式アカウント)

・2025.01.18 CNCERT:美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告

(中国のインテリジェント・エネルギーおよびデジタル情報の大規模ハイテク企業に対する米国のサイバー攻撃に関する調査報告)

 

・2025.01.18 CNCERT:美网络攻击我国某先进材料设计研究院事件调查报告

(中国の先端材料設計研究所に対する米国のサイバー攻撃に関する調査報告)

 

・2025.01.18 AI大模型对CNCERT有关美国对我机构实施网络攻击两份调查报告的分析与评价

(米国のサイバー攻撃に関するCNCERTの2つの調査報告書に対するAIビッグモデルの分析と評価)

 

 

| | Comments (0)

2025.01.20

米国 国家レジリエンス戦略 (2025.01.18)

こんにちは、丸山満彦です。

バイデン政権もおわり今日はトランプ氏の大統領就任式ですが、最後の最後に国家レジリエンス戦略を公表していますね...

「ガバナンス」、「社会・コミュニティー」、「経済」、「インフラ」の4つの柱となるシステムを挙げていますが、それぞれのビジョン・ステートメントは次のとおりです...

 

ガバナンス・システム

Resilient governance systems unite our nation in a collaborative effort to ensure the continuous functioning of a government that provides leadership and services to its people.  National resilience is built upon a foundation of prepared individuals and communities, including the private sector, nonprofit organizations, and critical infrastructure sectors that both support and are enabled by all levels of government. レジリエンス・ガバナンス・システムは、国民にリーダーシップとサービスを提供する政府の継続的な機能を確保するための協力的な取り組みにおいて、我が国を結束させる。  国家のレジリエンスは、民間部門、非営利組織、重要インフラ部門を含む、準備の整った個人とコミュニティの基盤の上に築かれる。
社会・コミュニティーシステム As a resilient nation, we have strong social systems that sustain a community’s ability to navigate adversity while maintaining its core identity.  At the individual level, people have meaningful opportunities for community participation and access to resources that support well-being and optimal health.  At a societal level, communities are equitable and have a sense of belonging, strong bonds, and a high degree of trust that contributes to greater social capital and common civic values that support collective action across the nation. レジリエンス国家として、私たちは、コミュニティの中核的アイデンティティを維持しつつ、逆境を切り抜ける能力を支える強力な社会システムを有している。  個人レベルでは、人々はコミュニティーに参加する有意義な機会を持ち、幸福と最適な健康を支える資源を利用できる。  社会レベルでは、コミュニティは公平であり、帰属意識、強い絆、高い信頼があり、ソーシャル・キャピタルの拡大や、全国的な集団行動を支える共通の市民的価値観に寄与している。
経済システム A resilient economic system has the capacity to address underlying economic stressors, enable innovation, improve the quality of life and prosperity of communities and the nation to anticipate, prepare for, withstand, and recover from acute shocks and disruptions it may experience.  Furthermore, resilient economic systems have the capacity to leverage opportunities for transformational recovery from occasional economic disruptions.  A resilient U.S. economy is foundational to ensuring that our nation has the capacity to anticipate, prevent, and mitigate negative impacts resulting from national and global economic shocks レジリエンスのある経済システムは、経済の根底にあるストレス要因に対処し、イノベーションを可能にし、コミュニティと国家の生活の質と繁栄を改善し、経験するかもしれない急激なショックやディスラプションを予測し、準備し、耐え、回復する能力を持つ。  さらに、レジリエンスのある経済システムは、時折発生する経済的混乱からの変革的回復の機会を活用する能力を備えている。  レジリエンシーな米国経済は、国内および世界的な経済ショックから生じる悪影響を予測し、予防し、緩和する能力を国家が確保するための基盤である。
インフラ・システム As a resilient nation, the physical and cyber infrastructure that we rely on for the safety and security of our citizens and residents, a thriving economy, and provision of effective government and social services, is designed, built, operated, maintained, and protected such that services and resources provided by infrastructure can withstand and rapidly recover from the threats or hazards that pose the greatest risk, and disruptions can be managed without long-term impact.  Further, as infrastructure (inclusive of buildings) is newly constructed, repaired, or replaced, and environmental systems are preserved, current and future threats and hazards are taken into account, fostering a culture of continuous adaptation and improvement to the resilience of local communities, regions, and the nation. レジリエンス国家として、国民・住民の安全・安心、経済の繁栄、効果的な政府・社会サービスの提供のために依存している物理的・サイバー的インフラは、インフラが提供するサービスや資源が最大のリスクとなる脅威やハザードに耐え、そこから迅速に回復し、混乱が長期的な影響を受けることなくマネジメントできるように、設計、建設、運用、維持、保護されている。  さらに、インフラ(建物を含む)の新設、補修、更新、環境システムの保全が行われる際には、現在および将来の脅威やハザードが考慮され、地域社会、地域、国家のレジリエンスに対する継続的な適応と改善の文化が醸成される。 

 

U.S. White House

・2025.01.18 National Resilience Strategy

・[PDF] National Resilience Strategy

20250120-40910

・[DOCX][PDF] 仮訳

 

 


 

 

● まるちゃんの情報セキュリティ気まぐれ日記

国家安全保障戦略

・2022.10.14 米国 国家安全保障戦略

 

国防総省 国家防衛戦略他

・2022.10.29 米国 国家防衛戦略

その下の計画

・2023.09.19 米国 国防総省サイバー戦略 2023(要約)(2023.09.12)

・2023.08.09 米国 国防総省 サイバー従事能力戦略実施計画

 

国家情報(インテリジェンス)戦略

・2023.08.11 米国 国家情報戦略 2023

 

国家サイバーセキュリティ戦略

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

人材に関して。。。

・2023.08.02 米国 国家サイバー人材・教育戦略

予算優先事項、実行計画。。。

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

 

 

 

 

| | Comments (0)

2025.01.19

欧州 EDPB 意見募集 仮名化に関するガイドライン 01/2025

こんにちは、丸山満彦です。

EDPBが、仮名化に関するガイドライン案を公表しています。。。

例示もあって、いろいろと理解の助けになるかもですね。。。

 

European data Protection Board;EDPB

・2025.01.17 Guidelines 01/2025 on Pseudonymisation

Guidelines 01/2025 on Pseudonymisation 仮名化に関するガイドライン 01/2025
The European Data Protection Board welcomes comments on the Guidelines 01/2025 on Pseudonymisation. 欧州データ保護委員会は、仮名化に関するガイドライン01/2025に対するコメントを歓迎する。
Such comments should be sent 28th February 2025 at the latest using the provided form. コメントは遅くとも2025年2月28日までにプロバイダのフォームを利用して送付されたい。
Please note that, by submitting your comments, you acknowledge that your comments might be published on the EDPB website. なお、ご意見を提出された場合、EDPBのウェブサイトに掲載される可能性があることを了承したものとみなされる。
The EDPB Secretariat staff screens all replies provided before publication (only for the purpose of blocking unauthorised submissions, such as spam), after which the replies are made available to the public directly on the EDPB public consultations’ page. Unauthorised submissions are immediately deleted. The attached files are not altered in any way by the EDPB. EDPB事務局スタッフは、公開前に提出されたすべての返答を審査し(スパムなどの不正な提出をブロックする目的のみ)、その後、返答はEDPB公開協議のページで直接一般に公開される。不正な投稿は直ちに削除される。添付されたファイルは、EDPBによって変更されることはない。
Please, note that regardless the option chosen, your contribution may be subject to a request for access to documents under Regulation 1049/2001 on public access to European Parliament, Council and Commission documents. In this case the request will be assessed against the conditions set out in the Regulation and in accordance with applicable data protection rules. なお、いずれのオプションを選択した場合でも、欧州議会、理事会および欧州委員会の文書に対する一般公開に関する規則1049/2001に基づき、文書へのアクセス要求の対象となる場合がある。この場合、要請は同規則に定められた条件に照らし合わせ、適用されるデータ保護規則に従って評価される。

 

 ・[PDF] Guidelines 01/2025 on Pseudonymisation

20250119-50632

・[DOCX][PDF] 仮訳

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
1 INTRODUCTION 1 序文
2 DEFINITIONS AND LEGAL ANALYSIS 2 定義と法的分析
2.1 Legal definition of pseudonymisation 2.1 仮名化の法的定義
2.2 Objectives and advantages of pseudonymisation 2.2 仮名化の目的と利点
2.2.1 Risk reduction 2.2.1 リスク低減
2.2.2 Analysis of pseudonymised data and planned attribution 2.2.2 仮名化されたデータの分析と計画された属性
2.3 Pseudonymisation domain and available means for attribution 2.3 仮名化の領域と帰属のための利用可能な手段
2.4 Meeting data-protection requirements using pseudonymisation 2.4 仮名化を使用してデータ保護要件を満たす
2.4.1 Pseudonymisation as an effective measure for data protection by design and by default 2.4.1 設計およびデフォルトによるデータ保護の効果的な手段としての保護
2.4.2 Ensuring a level of security appropriate to the risk 2.4.2 リスクに見合ったセキュリティレベルの確保
2.4.3 Pseudonymisation as a supplementary measure for third country data transfers 2.4.3 第三国データ移転の補足措置としての仮名化
2.5 Transmission of pseudonymised data to third parties 2.5 仮名化されたデータの第三者への送信
2.6 Implications for the rights of the data subjects 2.6 データ対象者の権利への影響
2.7 Unauthorised reversal of pseudonymisation 2.7 仮名化の不正な取り消し
3 TECHNICAL MEASURES AND SAFEGUARDS FOR PSEUDONYMISATION 3 仮名化のための技術的措置と保護措置
3.1 Pseudonymising transformation 3.1 仮名変換
3.1.1 Structure of the pseudonymising transformation 3.1.1 仮名変換の構造
3.1.2 Types of pseudonymising transformations 3.1.2 仮名変換の種類
3.1.3 Modification of original data necessary for the objectives of pseudonymisation 3.1.3 仮名化の目的に必要な元データの修正
3.1.4 Pseudonymisation in the course of data collection 3.1.4 データ収集過程における仮名化
3.2 Technical and organisational measures preventing unauthorised attribution of pseudonymised data to individuals 3.2 仮名化されたデータの個人への無断帰属を防止する技術的・組織的対策
3.2.1 Preventing reversal of the pseudonymising transformation 3.2.1 仮名変換の逆転を防ぐ
3.2.2 Securing the pseudonymisation domain 3.2.2 仮名化領域の確保
3.3 Linking pseudonymised data 3.3 仮名化されたデータのリンク
3.3.1 Controlling the scope for the linkage of pseudonymised data 3.3.1 仮名化されたデータのリンク範囲の管理
3.3.2 Linking data pseudonymised by different controllers 3.3.2 異なる管理者によって仮名化されたデータのリンク
3.4 Summary of procedures for pseudonymisation 3.4 仮名化の手順のまとめ
ANNEX – EXAMPLES OF THE APPLICATION OF PSEUDONYMISATION 附属書-仮名化の適用例
Example 1: Data minimisation and confidentiality in internal analysis 例 1:内部分析におけるデータの最小化と機密性
Example 2: Separation of functions allowing for data minimisation, purpose limitation, and confidentiality 例2:データの最小化、目的の限定、機密保持を可能にする機能の分離
Example 3: Data minimisation and purpose limitation in the course of external analysis 例3:外部分析の過程におけるデータの最小化と目的制限
Example 4: Safeguarding identity – confidentiality and accuracy 例4:身元を保護する - 機密性と正確性
Example 5: Secondary use for research 例5:研究のための二次利用
Example 6: Reduction of confidentiality risks 例6:機密保持リスクの軽減
Example 7: Risk reduction as a factor in the balancing of interests, and ascertainment of compatibility of purposes 例7:利害のバランスにおける要因としてのリスク軽減と、目的の両立性の確認
Example 8: Risk reduction justifying further processing 例8:さらなる処理を正当化するリスクの低減
Example 9: Supplementary measure 例9:補足措置
Example 10: Granting access rights to pseudonymised data 例 10:仮名化されたデータへのアクセス権の付与
GLOSSARY 用語集

 

 

 

 

| | Comments (0)

2025.01.18

米国 商務省産業安全保障局 人工知能普及のための枠組み(特定のAIの輸出規制...)

こんにちは、丸山満彦です。

米国の商務省産業安全保障局が人工知能普及のための枠組みの最終規則が公表されていますね。。。

これは、米国がAI技術の革新とリーダーシップを維持するため。高性能なAI技術とそのデュアルユースが、国家安全保障にとって重大なリスクをもたらす可能性があるため、先進的なコンピューティング集積回路(ICs)に対する輸出管理規則(EAR)の改訂を行うもの、、、という感じですかね...

 

Bureau of Industry and Security

● Fedral Register

・2025.01.13 Framework for Artificial Intelligence Diffusion

 

Framework for Artificial Intelligence Diffusion 人工知能普及のための枠組み
SUMMARY: 概要:
With this interim final rule, the Commerce Department's Bureau of Industry and Security (BIS) revises the Export Administration Regulations' (EAR) controls on advanced computing integrated circuits (ICs) and adds a new control on artificial intelligence (AI) model weights for certain advanced closed-weight dual-use AI models. In conjunction with the expansion of these controls, which BIS has determined are necessary to protect U.S. national security and foreign policy interests, BIS is adding new license exceptions and updating the Data Center Validated End User authorization to facilitate the export, reexport, and transfer (in-country) of advanced computing (ICs) to end users in destinations that do not raise national security or foreign policy concerns. Together, these changes will cultivate secure ecosystems for the responsible diffusion and use of AI and advanced computing ICs. この暫定最終規則により、商務省産業安全保障局(BIS)は、高度なコンピューティング集積回路(IC)に関する輸出管理規則(EAR)の規制を改正し、特定の高度な閉鎖ウェイトデュアルユースAIモデルの人工知能(AI)モデルウェイトに関する新たな規制を追加する。米国の国家安全保障および外交政策上の利益を防御するために必要であるとBISが判断したこれらの規制の拡大に伴い、BISは新たなライセンス例外を追加し、高度なコンピューティング(IC)の輸出、再輸出、移転(国内)を促進するために、データセンターの妥当性確認済みエンドユーザー認可を更新する。これらの変更を併せて実施することで、AIおよび先進コンピューティングICの責任ある普及と利用のための安全なエコシステムが育成されることになる。

 

1_20250118080201

 

 

Continue reading "米国 商務省産業安全保障局 人工知能普及のための枠組み(特定のAIの輸出規制...)"

| | Comments (0)

米国 国家サイバー長官室 サイバー犯罪から米国民を保護しなければならない (2025.01.13)

こんにちは、丸山満彦です。

ホワイトハウスの国家サイバー長官のハリー・コーカー・Jr.が、サイバー犯罪から米国民を保護しなければならないと、ブログに書いていますね...

米国もサイバー犯罪に苦労していますね...

 

U.S. White House - Office of the National Cyber Director; ONCD

・2025.01.13 We Must Protect Americans Against Cyber-Enabled Fraud

 

We Must Protect Americans Against Cyber-Enabled Fraud サイバー犯罪から米国民を保護しなければならない
By National Cyber Director Harry Coker, Jr. 国家サイバー長官 ハリー・コーカー・ジュニア
A frantic phone call that sounds like a grandchild; a text message offering a young professional a fantastic investment; an email to an attorney with instructions to wire settlement funds that they were expecting – cyber-enabled fraud can start in many different ways. On Friday, we here at ONCD convened a group of Federal cybersecurity and fraud experts at the White House to discuss cyber-enabled fraud – a persistent and growing problem that impacts the American people every day. 孫からの電話のように聞こえる必死の電話、若い専門家に魅力的な投資を勧めるテキストメッセージ、期待していた和解資金の送金指示が書かれた弁護士宛の電子メールなど、サイバー犯罪はさまざまな方法で始まる可能性がある。金曜日、私たちはホワイトハウスで連邦政府のサイバーセキュリティおよび詐欺の専門家グループを招集し、サイバー詐欺について話し合った。サイバー詐欺は、日々アメリカ国民に影響を与えている根強く、拡大する問題である。
The Federal Trade Commission estimated consumer fraud losses of roughly $158 billion in 2023, and the Government Accountability Office estimates that fraud costs the Federal government $223 billion to $521 billion per year. Much of this fraud is cyber-enabled, and it is increasing – the Federal Bureau of Investigation received a record number of complaints through its Internet Crime Complaint Center (IC3) in 2023, over 880,000. And these numbers are just the tip of the iceberg since most of the fraud goes unreported. 連邦取引委員会は、2023年の消費者詐欺による損失額を約1580億ドルと推定しており、政府アカウンタビリティ室は、詐欺による連邦政府の損失額を年間2230億ドルから5210億ドルと推定している。こうした詐欺の多くはサイバー犯罪であり、その数は増加している。2023年には、連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)に寄せられた苦情の件数は88万件を超え、過去最多を記録した。そして、詐欺のほとんどが報告されないため、これらの数字は氷山の一角に過ぎない。
Unfortunately, anyone can be targeted. Americans of all ages report losses from frauds ranging from tech support scams to investment fraud. Businesses of all sizes become victims when their email is compromised. 残念ながら、誰もが標的となり得る。あらゆる年齢のアメリカ人が、テクニカルサポート詐欺から投資詐欺に至るまで、詐欺による損失を報告している。あらゆる規模の企業が、電子メールが侵害された際に被害者となる。
The perpetrators, often foreign organized crime syndicates, leverage and exploit weaknesses across almost all industries to commit their crimes. No single company, industry, government agency, or even country, can solve this problem alone. 犯罪者は、多くの場合、外国の組織犯罪シンジケートであり、ほぼすべての業界に存在する弱点を悪用して犯罪を犯している。 企業、業界、政府機関、あるいは国であっても、単独でこの問題を解決することはできない。
Protecting Americans from cyber-enabled fraud requires a whole-of-Nation effort. We must continue to scale up best practices, shore up our cyber defenses, and get ahead of the criminals’ rapidly increasing use of artificial intelligence to better protect the American public. サイバー犯罪から米国国民を防御するには、国家を挙げての取り組みが必要である。 ベストプラクティスを拡大し続け、サイバー防御を強化し、犯罪者による人工知能の急速な利用拡大に先んじて、米国国民をより良く保護しなければならない。
We are having some successes. In 2023, the Secret Service recovered over $1 billion in cyber financial crime losses, and the FBI found ways to stop $538 million in losses in suspected fraud cases, working with partners to paralyze criminals in their tracks. I had the opportunity to hear from these agencies and many other federal partners and White House components on Friday. 私たちはいくつかの成功を収めている。2023年には、シークレットサービスがサイバー金融犯罪による損失額10億ドル以上を回復し、FBIはパートナーと協力して犯罪者を足止めし、詐欺事件の疑いのある5億3800万ドルの損失を食い止める方法を見出した。私は金曜日に、これらの機関やその他多くの連邦政府パートナー、ホワイトハウスの構成機関から話を聞く機会があった。
We shared ideas on how we can do more to protect Americans, and make it easier for people and businesses to protect themselves. There was strong agreement on the importance of tackling this issue on behalf of the millions of citizens who are defrauded every year. アメリカ国民をより効果的に防御し、個人や企業が自らを防御しやすくする方法について意見を交換した。毎年何百万人もの国民が詐欺の被害に遭っているという事実を踏まえ、この問題に取り組むことの重要性について、強い同意が得られた。
I’ve discussed this issue with other domestic and international partners as well, including the United Kingdom – which is widely recognized as a leader in this field. In all these discussions, our partners’ commitment to action has been crystal clear. 私はこの問題について、この分野におけるリーダーとして広く認知されている英国をはじめとする、他の国内および国際的なパートナーとも話し合ってきた。これらの話し合いにおいて、パートナーの行動へのコミットメントは明確であった。
The Federal government needs to lead, because the people we serve deserve solutions. We have to do everything we can to ensure that Americans’ hard-earned money stays where it belongs, with them. There’s a lot more work to do. 連邦政府が主導する必要がある。なぜなら、私たちが奉仕する国民は解決策を必要としているからだ。私たちは、アメリカ人が苦労して稼いだお金が、本来あるべき場所である彼らの手元に残るよう、全力を尽くさなければならない。やるべきことはまだたくさんある。

 

1_20250118054901

 

| | Comments (0)

2025.01.17

世界経済フォーラム (WEF) The Global Risks Report 2025 20th Edition グローバルリスク報告書2025

こんにちは、丸山満彦です。

今年もグローバルリスク報告書が、ダボス会議にあわせて公表されていますね。。。

ちなみに、この調査は2024年9月2日から10月18日に実施されているので、その後の大きな事案についての影響は反映されていないかもしれませんね。。。

 

今年と過去3年と短期のリスク(今後2年間に重要となるであろうリスク)で比較すると経済的なリスクがなくなっていますね...

ただし、附属書Cの経営者調査(EOS)によると、ざっと見た感じ、経済的なリスクは高いように感じますね。。。

ちなみに日本は1(人材不足)、3(景気後退)、5(エネルギー不足)が経済リスク。。。

 

20250117-54123

 

20240111-170304

 

Fig1_20230112162401

 

ちなみに現在のリスクでいうと...

20250117-54518

 

長期的なリスクと比較すると...

20250117-54914

20250117-55254

 

 

 

影響を考えてどの分野のリスクの解決を優先すべきかを考える際に参考になりますかね...

20250117-55109

 

 

 

 

● World Economic Forum

・2025.01.15 Global Risks Report 2025

・[PDF] Global Risks Report 2025 20th Edition

20250117-45623

Global Risks Report 2025

 

目次...

Preface 序文
Overview of methodology 方法論の概要
Global Risks 2025: A world of growing divisions グローバルリスク2025:深まる分断の世界
Global Risks 2035: The point of no return グローバルリスク2035:後戻りできない地点
Appendix: A 附属書:A
Appendix: B 附属書:B
Appendix: C 附属書:C
Appendix: D 附属書:D

 

 

 

過去分...

 

20 2025 2025.01.15 Web PDF Home
19 2024 2024.01.11 Web PDF Home
18 2023 2023.01.11 Web PDF Home
17 2022 2022.01.11 Web PDF Press
16 2021 2021.01.19 Web PDF Press
15 2020 2020.01.15 Web PDF Press
14 2019 2019.01.15 Web PDF Press
13 2018 2018.01.17 Web PDF Press
12 2017 2017.01.11 Web PDF Press
11 2016 2016.01.14 Web PDF Press
10 2015 2015.01.09 Web PDF Press
9 2014 2014.01.12 Web PDF Press
8 2013 2012.10.30 Web PDF Press
7 2012 2012.01.05 Web PDF Press
6 2011 2011.09.27 Web PDF Press
5 2010 2010.01.04 Web PDF Press
4 2009     PDF  
3 2008     PDF  
2 2007     PDF  
1 2006     PDF  

 

 

 


 

 まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.12 世界経済フォーラム (WEF) The Global Risks Report 2024 19th Edition グローバルリスク報告書2024

・2023.01.12 世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

 

 

 

 

 

 

| | Comments (0)

2025.01.16

Five Eyes + ドイツ、オランダ、EU セキュア・バイ・デマンド: OT所有者・運用者がデジタル製品を選択する際の優先事項(2025.01.13)

こんにちは、丸山満彦です。

Five Eyes、ドイツ、オランダ、EUが共同で、OT所有者・運用者がデジタル製品を選択する際の優先事項についての文書を公表していますね...

文書がレターサイズで作成されていることから、米国が中心となって作成したのでしょうかね...

でウェブにはIC3から公表されているから、FBIが中心? 要約では、CISA and partnersなのでCISAか、、、

U.S. National Security Agency (NSA) 米国国家安全保障局(NSA)
U.S. Federal Bureau of Investigation (FBI)  米国連邦捜査局(FBI)
U.S. Environmental Protection Agency (EPA)  米国環境保護庁(EPA)
U.S. Transportation Security Administration (TSA)  米国運輸保安局(TSA)
Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC)  オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASD-ACSC)
Canadian Centre for Cyber Security (CCCS)  カナダサイバーセキュリティセンター(CCCS) 
Directorate General for Communications Networks, Content and Technology (DG CONNECT), European Commission 欧州委員会 コミュニケーションネットワーク、コンテンツおよび技術総局(DG CONNECT)
Germany’s Federal Office for Information Security (BSI)  ドイツ連邦情報セキュリティ局(BSI)
Netherlands’ National Cyber Security Centre (NCSC-NL)  オランダ国家サイバーセキュリティセンター(NCSC-NL)
New Zealand’s National Cyber Security Centre (NCSC-NZ)  ニュージーランド国立サイバーセキュリティセンター(NCSC-NZ) 
United Kingdom’s National Cyber Security Centre (NCSC-UK)
英国国家サイバーセキュリティセンター(NCSC-UK)

 

 

U.S. IC3

・2025.01.13 [PDF

 

20250116-64605

 

目次...

Summary 要約
Table of Contents 目次
Introduction 序文
Considerations for OT Product Selection OT 製品選択の考慮事項
Configuration Management 構成管理
Logging in the Baseline Product 基本製品へのログ記録
Open Standards オープン標準
Ownership 所有権
Protection of Data データ保護
Secure by Default セキュア・バイ・デフォルト
Secure Communications セキュア通信
Secure Controls セキュア制御
Strong Authentication 強力な認証
Threat Modeling 脅威モデリング
Vulnerability Management 脆弱性管理
Upgrade and Patch Tooling アップグレードとパッチのツール
Resources リソース
Contact Information 連絡先情報
Disclaimer 免責事項
Acknowledgements 謝辞

 

 

 

| | Comments (0)

2025.01.15

書籍 NISC編 サイバーセキュリティ関係法令Q&Aハンドブック

こんにちは、丸山満彦です。

商事法務から、「サイバーセキュリティ関係法令Q&Aハンドブック」内閣官房内閣サイバーセキュリティセンター(NISC)編が発刊されましたね。。。

Img_7843

 

これは、NISCの委員会で取りまとめたものを書籍化したものです。

https://security-portal.nisc.go.jp/guidance/law_handbook.html

 

私も作成に関わっていますが、 岡村委員長をはじめ、ワーキンググループの方、事務局がかなりご苦労をされてできたものです。。。

裁判例を含めて関連情報が厚いのが良いところですかね。。。そして、内閣官房謹製。。。

手元に1冊あると参考になることも多いし、PDFと違った良さもあるので、ぜひ1冊。。。

 

●2025.01.10「サイバーセキュリティ関係法令Q&Aハンドブック」内閣官房内閣サイバーセキュリティセンター(NISC)編

商事法務

全国官報販売協同組合

Amazon

e-hon

楽天book

 


まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.26 内閣官房 NISC 関係法令Q&Aハンドブック Ver 2.0

・2020.03.03 NISC 「サイバーセキュリティ関係法令Q&Aハンドブック 」について

 

| | Comments (0)

世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2025

こんにちは、丸山満彦です。

 

世界経済フォーラム (WEF)が世界のサイバーセキュリティ概況 2025を公表していましたね。。。調査は毎年アクセンチュアがおこなっていますね。。。

2022年はレジリエンスを、

2023年は地政学リスク・サプライチェーンを、

2024年は格差 (inequity) と新興技術 (Emerging technologie)を中心に置いていましたが、

2025年は、複雑性がテーマとなっていますね...

ただ、この複雑性は、地政学、スキルギャップ、サプライチェーン、AI・新興技術、規制、サイバー犯罪の高度化にその原因があるとしていますね。。。

 

World Economic Forum - Whitepaper

 

プレスリリース

・2025.01.13 Global Cybersecurity Outlook 2025 – Navigating Through Rising Cyber Complexities

 日本語...

・2025.01.13 <報告書発表>2025年のグローバルなサイバーセキュリティの展望を左右するサイバー空間の複雑化

  • 大規模な組織の54%が、サイバーレジリエンスの達成を阻む最大の障壁としてサプライチェーンの相互依存性を挙げています。
  • 地政学的な混乱はリスクに対する認識に影響を与え、CEOの3人に1人がサイバー諜報活動と機密情報の漏洩/知的財産の盗難を最大の懸念事項として挙げています。
  • 複雑性の増大は、サイバー空間に関する不平等をさらに悪化させ、先進国と新興国の格差を深め、セクター間の不均衡を拡大し、大規模な組織と小規模な組織の差を広げることになります。

 

 

・2025.01.13 Global Cybersecurity Outlook 2025

・[PDF] Global Cybersecurity Outlook 2025

20250114-104458

目次...

Foreword まえがき
Executive summary エグゼクティブサマリー
1 Understanding complexity in cyberspace 1 サイバー空間の複雑性を理解する
1.1 Major disparities and disruptions 1.1 大きな格差と混乱
1.2 The challenge for the year ahead 1.2 今年の課題
2 Decoding complexity 2 複雑性を解読する
2.1 The cyberthreat landscape 2.1 サイバー脅威の現状
2.2 Security in the Intelligent Age 2.2 インテリジェント時代のセキュリティ
2.3 Growing ecosystem interdependencies and risks 2.3 拡大するエコシステムの相互依存性とリスク
2.4 The state of cyber resilience 2.4 サイバーレジリエンシーの現状
3 Navigating complexity in cyberspace 3 サイバー空間の複雑性をナビゲートする
3.1 Introducing the economics of cybersecurity 3.1 サイバーセキュリティの経済学の紹介
Conclusion 結論
Appendix: Methodology 附属書:方法論
Contributors 協力者
Acknowledgements 謝辞
Endnotes 脚注

 

 

Key insights

Key insights 主な洞察
In a complex cyberspace characterized by geopolitical uncertainties, widening cyber inequity and sophisticated cyberthreats, leaders must adopt a security-first mindset. 地政学的な不確実性、拡大するサイバー格差、巧妙化するサイバー脅威といった特徴を持つ複雑なサイバー空間においては、リーダーはセキュリティを最優先する考え方を採用しなければならない。
While the 2024 edition of the Global Cybersecurity Outlook highlighted the growing inequity in cyberspace, this year’s report shines a light on the increasing complexity of the cyber landscape, which has profound and far-reaching implications for organizations and nations. 2024年版グローバル・サイバーセキュリティ・アウトルックでは、サイバー空間における格差の拡大が強調されていたが、今年のレポートでは、企業や国家に重大かつ広範な影響を及ぼすサイバー環境の複雑化に焦点が当てられている。
This complexity is driven by a series of compounding factors: この複雑性は、次のような複合的要因によってもたらされている。
・Escalating geopolitical tensions are contributing to a more uncertain environment. ・高まる地政学的な緊張は、より不確実な環境を生み出している。
・Increased integration of and dependence on more complex supply chains is leading to a more opaque and unpredictable risk landscape. ・より複雑なサプライチェーンの統合と依存の増加は、より不透明で予測不可能なリスクの状況につながっている。
・The rapid adoption of emerging technologies is contributing to new vulnerabilities as cybercriminals harness them effectively to achieve greater sophistication and scale. ・新興技術の急速な採用は、サイバー犯罪者がそれらを効果的に利用してより高度で大規模な攻撃を行うことで、新たな脆弱性を生み出す要因となっている。
・Simultaneously, the proliferation of regulatory requirements around the world is adding a significant compliance burden for organizations. ・同時に、世界中で規制要件が増加していることで、企業にとってコンプライアンスの負担が大幅に増大している。
All of these challenges are exacerbated by a widening skills gap, making it extremely challenging to manage cyber risks effectively. これらの課題はすべて、拡大するスキルギャップによってさらに悪化しており、サイバーリスクを効果的に管理することは極めて困難である。
Figure A: Factors compounding the complex nature of cybersecurity 図A:サイバーセキュリティの複雑性を高める要因
A_20250114152201
The growing complexity of cyberspace is exacerbating cyber inequity, widening the gap between large and small organizations, deepening the divide between developed and emerging economies, and expanding sectoral disparities.1 Some 35% of small organizations believe their cyber resilience is inadequate, a proportion that has increased sevenfold since 2022. By contrast, the share of large organizations reporting insufficient cyber resilience has nearly halved. サイバー空間の複雑化は、サイバーにおける不公平性を悪化させ、大企業と中小企業の格差を広げ、先進国と新興国の経済格差を深め、セクター間の格差を拡大させている。1 35%の中小企業が、自社のサイバーレジリエンスが不十分であると考えているが、この割合は2022年から7倍に増加している。一方、大企業でサイバーレジリエンスが不十分であると報告している割合はほぼ半減している。
Figure B: Organizations reporting insufficient cyber resilience 図B:サイバーレジリエンスが不十分であると報告した組織
B_20250114152201
This disparity in cyber resilience is further highlighted by regional differences in preparedness: while only 15% of respondents in Europe and North America lack confidence in their country’s ability to respond to major cyber incidents targeting critical infrastructure, this proportion rises to 36% in Africa and 42% in Latin America. このサイバーレジリエンスの格差は、地域ごとの対応能力の違いによってさらに浮き彫りになっている。欧州と北米では、重要なインフラストラクチャを標的とした重大なサイバーインシデントへの対応能力に自信がないと回答した割合は15%にとどまっているが、アフリカでは36%、中南米では42%に上っている。
The public sector is disproportionately affected, with 38% of respondents reporting insufficient resilience, compared to just 10% of medium-to-large private-sector organizations. This inequity extends to the cyber workforce, with 49% of public-sector organizations indicating they lack the necessary talent to meet their cybersecurity goals – an increase of 33% from 2024. 公共部門は不均衡な影響を受けており、回答者の38%がレジリエンシーの不足を報告しているのに対し、中規模から大規模の民間部門組織ではわずか10%にとどまっている。この不公平性はサイバー人材にも及び、公共部門組織の49%が、サイバーセキュリティ目標を達成するために必要な人材が不足していると回答しており、2024年から33%増加している。
The Global Cybersecurity Outlook 2025 report includes a deeper analysis of the most important drivers of complexity and provides valuable insights into the most pressing cyber challenges in the year ahead and their potential implications for executives. 「グローバル・サイバーセキュリティ・アウトルック2025」レポートでは、複雑性の最も重要な要因についてより深い分析を行い、今後1年間に最も差し迫ったサイバーセキュリティの課題と、経営陣にとっての潜在的な影響に関する貴重な洞察を提供している。
Figure C: Regional differences in cyber resilience 図C:サイバーレジリエンスにおける地域差
C
These are the key findings from this year’s report and the main trends that executives will need to navigate in 2025: 以下は、今年のレポートの主な調査結果と、2025年に経営陣が対応する必要がある主な傾向である。
Supply chain vulnerabilities are emerging as the top ecosystem cyber risk サプライチェーンの脆弱性が、生態系におけるサイバーリスクのトップとして浮上している
Of large organizations, 54% identified supply chain challenges as the biggest barrier to achieving cyber resilience. The increasing complexity of supply chains, coupled with a lack of visibility and oversight into the security levels of suppliers, has emerged as the leading cybersecurity risk for organizations. Key concerns include software vulnerabilities introduced by third parties and propagation of cyberattacks throughout the ecosystem. 大規模な組織の54%が、サイバーレジリエンスの達成を阻む最大の障壁としてサプライチェーンの課題を識別している。サプライチェーンの複雑化と、サプライヤーのセキュリティレベルに対する可視性と監督の不足が相まって、組織にとっての主要なサイバーセキュリティリスクとして浮上している。主な懸念事項には、サードパーティがもたらすソフトウェアの脆弱性や、生態系全体に広がるサイバー攻撃の伝播が含まれる。
Geopolitical tensions shape cybersecurity strategy 地政学的な緊張がサイバーセキュリティ戦略を形作る
Nearly 60% of organizations state that geopolitical tensions have affected their cybersecurity strategy. Geopolitical turmoil has also affected the perception of risks, with one in three CEOs citing cyber espionage and loss of sensitive information/intellectual property (IP) theft as their top concern, while 45% of cyber leaders are concerned about disruption of operations and business processes. ほぼ60%の企業が、地政学的な緊張がサイバーセキュリティ戦略に影響を与えたと述べている。地政学的な混乱はリスクの認識にも影響を与えており、3人に1人のCEOがサイバースパイ行為と機密情報/知的財産(IP)の盗難を最大の懸念事項として挙げている一方で、サイバーセキュリティのリーダーの45%は業務とビジネスプロセスの混乱を懸念している。
Figure D: The effects of geopolitical tensions on organizations' cybersecurity strategies 図D:地政学的な緊張が企業のサイバーセキュリティ戦略に与える影響
D_20250114152201
Rapid adoption of AI introduces new vulnerabilities AIの急速な導入が新たな脆弱性を生み出す
While 66% of organizations expect AI to have the most significant impact on cybersecurity in the year to come, only 37% report having processes in place to assess the security of AI tools before deployment. This reveals the paradox of the gap between the recognition of AI-driven cybersecurity risks and the rapid implementation of AI without the necessary security safeguards to ensure cyber resilience. 今後1年間にAIがサイバーセキュリティに最も大きな影響を与えると予測する企業は66%に上るが、AIツールの展開前にそのセキュリティをアセスメントするプロセスを導入していると回答した企業は37%にとどまった。これは、AIがもたらすサイバーセキュリティリスクに対する認識と、サイバーレジリエンシーを確保するための必要なセキュリティ対策を講じることなくAIを急速に導入していることのギャップという逆説を明らかにしている。
Figure E: Cybersecurity vulnerabilities anticipated in 2025 図 E: 2025年に予想されるサイバーセキュリティの脆弱性
E
Generative AI is augmenting cybercriminal capabilities, contributing to an uptick in social engineering attacks 生成的AIがサイバー犯罪者の能力を増強し、ソーシャルエンジニアリング攻撃の増加に寄与している
Some 72% of respondents report an increase in organizational cyber risks, with ransomware remaining a top concern. Nearly 47% of organizations cite adversarial advances powered by generative AI (GenAI) as their primary concern, enabling more sophisticated and scalable attacks. In 2024 there was a sharp increase in phishing and social engineering attacks, with 42% of organizations reporting such incidents. 回答者の約72%が組織のサイバーリスクの増加を報告しており、ランサムウェアは依然として最大の懸念事項となっている。 約47%の組織が、より洗練された拡張可能な攻撃を可能にする生成的AI(GenAI)による敵対的な進歩を最大の懸念事項として挙げている。 2024年には、フィッシングやソーシャルエンジニアリング攻撃が急増し、42%の組織がそのようなインシデントを報告している。
Regulations bolster cyber resilience, yet their fragmentation introduces significant compliance challenges 規制はサイバーレジリエンシーを強化するが、その断片化はコンプライアンスに大きな課題をもたらす
Regulations are increasingly seen as an important factor for improving baseline cybersecurity posture and building trust. However, their proliferation and disharmony are creating significant challenges for organizations, with more than 76% of chief information security officers (CISOs) at the World Economic Forum’s Annual Meeting on Cybersecurity in 2024 reporting that fragmentation of regulations across jurisdictions greatly affects their organizations’ ability to maintain compliance. 規制は、サイバーセキュリティのベースラインを改善し、信頼を構築するための重要な要素としてますます認識されるようになってきている。しかし、その増殖と不調和は、組織にとって大きな課題を生み出しており、2024年の世界経済フォーラムのサイバーセキュリティに関する年次総会では、76%以上の最高情報セキュリティ責任者(CISO)が、管轄区域間の規制の断片化がコンプライアンスを維持する組織の能力に大きな影響を与えていると報告している。
Organizations are grappling with a shortage of critical cyber talent 企業は、重要なサイバー人材の不足に苦慮している
Since 2024, the cyber skills gap has increased by 8%, with two out of three organizations reporting moderate-to-critical skills gaps, including a lack of essential talent and skills to meet their security requirements. Furthermore, only 14% of organizations are confident that they have the people and skills they need today. 2024年以降、サイバー人材の不足は8%増加し、3社中2社が、セキュリティ要件を満たすために必要な人材やスキルが不足しているなど、中程度から深刻な人材不足を報告している。さらに、現在必要な人材とスキルを確保できていると自信を持っている企業は、わずか14%にとどまっている。

 

序文とエグゼクティブサマリー

 

Preface 序文
| Jeremy Jurgens Managing Director, World Economic Forum | ジェレミー・ユージンズ 世界経済フォーラム マネージング・ディレクター
| Paolo Dal Cin Global Security Lead, Accenture | パオロ・ダル・チン アクセンチュア グローバル・セキュリティ・リード
Following decades of relative stability, the world today is marked by increased geopolitical conflicts. The fallout of this turbulence in the digital realm – the growing prowess of cybercriminals, rapid advances in emerging technologies and widening cyber capabilities – have led to a cyberspace that is more complex than ever before. Against this backdrop, the Global Cybersecurity Outlook serves as an indispensable tool to help leaders navigate such complexity and identify essential actions to build resilient ecosystems. 相対的な安定を保っていた数十年を経て、今日の世界は地政学的な対立の激化が顕著である。 サイバー犯罪者の巧妙化、新興技術の急速な進歩、サイバー能力の拡大といったデジタル領域におけるこの混乱の余波により、かつてないほど複雑なサイバー空間が生み出されている。 このような背景から、グローバル・サイバーセキュリティ・アウトルックは、リーダーがこの複雑性を乗り越え、レジリエントなエコシステムを構築するために不可欠な行動を識別する上で欠かせないツールとなっている。
Last year’s report brought to the fore the prevailing inequity between the cyber haves and have-nots. Despite increased executive awareness of cybersecurity risks, the complexity in cyberspace is further exacerbating cyber inequity as resilient organizations pull ahead, while others struggle with limited resources. Amid increasingly interdependent supply chains, this cyber inequity is resulting in systemic points of failure with significant consequences for the overall resilience of the ecosystem. 昨年のレポートでは、サイバーセキュリティの恩恵を受けている者と受けていない者との間に存在する不公平性が浮き彫りになった。経営陣のサイバーセキュリティリスクに対する認識が高まっているにもかかわらず、サイバー空間における複雑性は、レジリエンスの高い組織が先行する一方で、リソースが限られている他の組織が苦戦を強いられるという形で、サイバー上の不公平性をさらに悪化させている。相互依存がますます高まっているサプライチェーンの中で、このサイバー上の不公平性は、エコシステムの全体的なレジリエンスに重大な影響を及ぼすシステム上の障害につながっている。
The transformative potential of AI technologies presents both unprecedented risks and unmatched opportunities for cybersecurity. As organizations race to adopt AI, cybercriminals are moving at breakneck speed to exploit vulnerabilities while enhancing the efficacy of their methods. Cyber defenders, too, are leaving no stone unturned in harnessing the potential of these technologies to shift the balance in this growing AI arms race. AIテクノロジーの変革の可能性は、サイバーセキュリティに前例のないリスクと比類のない機会の両方をもたらす。企業がAIの導入を急ぐ中、サイバー犯罪者たちはその手法の有効性を高めながら、脆弱性を悪用するために猛スピードで動いている。サイバー防衛側も、このテクノロジーの潜在能力を活用して、この拡大するAI軍拡競争のバランスを変えるために、あらゆる手段を講じている。
Looking to the future, the level of complexity shows no signs of abating. In a borderless cyberspace, greater collaboration between actors in the public and private sectors is crucial for safeguarding the benefits of digitalization for all. This is a call to action, and the time to act is now. 将来を見据えると、複雑性のレベルは弱まる兆しを見せていない。国境のないサイバー空間において、デジタル化の恩恵をすべての人々が享受できるようにするためには、官民の関係者間のより緊密な連携が不可欠である。これは行動を促す呼びかけであり、行動を起こすべき時が今である。
Executive Summary エグゼクティブサマリー
In a complex cyberspace characterized by geopolitical uncertainties, widening cyber inequity and sophisticated cyber threats, leaders must adopt a security-first mindset.< 地政学上の不実性、サイバー格差の拡大、巧妙化するサイバー脅威といった特徴を持つ複雑なサイバー空間においては、リーダーはセキュリティを最優先する考え方を採用しなければならない。
While the 2024 edition of the Global Cybersecurity Outlook highlighted the growing inequity in cyberspace, this year’s report shines a light on the increasing complexity of the cyber landscape, which has profound and far-reaching implications for organizations and nations. This complexity is driven by a series of compounding factors: 2024年版グローバル・サイバーセキュリティ・アウトルックでは、サイバー空間における不平等性の拡大が強調されていたが、今年のレポートでは、企業や国家に重大かつ広範な影響を及ぼすサイバー環境の複雑化に焦点を当てている。この複雑性は、次のような複合的要因によってもたらされている。
– Escalating geopolitical tensions are contributing to a more uncertain environment. – 地政学的な緊張の高まりが、より不確実性の高い環境を生み出している。
– Increased integration of and dependence on more complex supply chains is leading to a more opaque and unpredictable risk landscape.
より複雑なサプライチェーンの統合と依存の増加は、より不透明で予測不可能なリスク環境につながっている。
– The rapid adoption of emerging technologies is contributing to new vulnerabilities as cybercriminals harness them effectively to achieve greater sophistication and scale.
新興技術の急速な採用は、サイバー犯罪者がそれらを効果的に利用して巧妙さと規模を拡大しているため、新たな脆弱性を生み出す要因となっている。
– Simultaneously, the proliferation of regulatory requirements around the world is adding a significant compliance burden for organizations.
同時に、世界中で規制要件が拡大しているため、企業にとってコンプライアンスの負担が大幅に増大している。
All of these challenges are exacerbated by a widening skills gap, making it extremely challenging to manage cyber risks effectively. これらの課題はすべて、スキルギャップの拡大によってさらに深刻化しており、サイバーリスクを効果的に管理することは非常に困難になっている。

 

インフォグラフ...

Infographics and shareables

 

ビデオ...

3 things to know about cybersecurity in 2025

 

ラジオ...

Radio Davos Global Cybersecurity Outlook: the risks we all face and how to fight back

 

 

 ・

Geopolitical tensions, AI and more are complicating the cyberspace. Here's what to know 地政学的な緊張、AIなどにより、サイバー空間は複雑化している。知っておくべきこと
・The cyberspace is becoming more complex, according to the World Economic Forum’s Global Cybersecurity Outlook 2025. ・世界経済フォーラムの「グローバル・サイバーセキュリティ・アウトルック2025」によると、サイバー空間はより複雑化している。
・Geopolitical tensions, the rapid adoption of emerging technologies and increased reliance on interdependent supply chains are key factors contributing to growing complexity. ・地政学的な緊張、新興技術の急速な普及、相互依存のサプライチェーンへの依存度の増加が、複雑化の主な要因となっている。
・Cyberspace complexity is exacerbating cyber inequity, widening the gap between large and small organizations. ・サイバー空間の複雑化は、サイバー上の不公平を悪化させ、大企業と中小企業の格差を広げている。
The global economy is operating in an increasingly complex cyberspace, according to the World Economic Forum’s Global Cybersecurity Outlook 2025, with rapidly advancing technologies and evolving regulations creating new challenges and opportunities. 世界経済フォーラムの「グローバル・サイバーセキュリティ・アウトルック2025」によると、世界経済は、急速に進化するテクノロジーと進化する規制により、新たな課題と機会が生み出される、ますます複雑化するサイバー空間で機能している。
"Cybersecurity is entering an era of unprecedented complexity," the report states, adding that the "stakes have never been higher." 「サイバーセキュリティは、かつてないほど複雑な時代を迎えている」と報告書åは述べ、「リスクはかつてないほど高まっている」と付け加えている。
The report—released ahead of the Forum's Annual Meeting in Davos, Switzerland—draws on a survey of industry experts and identifies the various trends complicating the cyberspace. スイスのダボスで開催される世界経済フォーラムの年次総会に先立って発表されたこの報告書は、業界専門家の調査を基に、サイバー空間を複雑化するさまざまな傾向を識別している。
Here are six of the key issue areas: 以下に、主な問題領域の6つを挙げる。
1. Geopolitical tensions 1. 地政学上の緊張
The Global Cybersecurity Outlook 2025 found that a third of CEOs are concerned about cyber espionage and loss of sensitive information as a result of ongoing global conflicts. Global Cybersecurity Outlook 2025(グローバル・サイバーセキュリティ・アウトルック2025)』では、世界的な紛争の継続により、3分の1のCEOがサイバースパイ行為や機密情報の損失を懸念していることが分かった。
Moreover, geopolitical tensions have affected the cybersecurity strategy for nearly 60% of organizations. While some have modified their insurance policies, a significant portion have changed vendors, trading policies, or ceased business altogether in certain countries. さらに、地政学上の緊張は、ほぼ60%の組織のサイバーセキュリティ戦略に影響を与えている。一部の企業は保険契約を変更したが、かなりの割合の企業はベンダーを変更したり、取引方針を変更したり、特定の国での事業を完全に停止したりしている。
"Escalating geopolitical tensions and increasingly sophisticated cyberthreats pose significant risks to critical infrastructure, which depends on networks of interconnected devices and legacy systems," the report notes. 「高まる地政学上の緊張とますます巧妙化するサイバー脅威は、相互接続されたデバイスやレガシーシステムからなるネットワークに依存する重要なインフラに重大なリスクをもたらす」と、この報告書は指摘している。
1_20250114160901
2. Rapid adoption of AI 2. AIの急速な導入
The report finds a mismatch between organizations’ recognition of cybersecurity risks related to AI and how rapidly AI tools are being adopted without the necessary safeguards. このレポートでは、AIに関連するサイバーセキュリティリスクに対する組織の認識と、必要な安全対策が講じられないまま急速にAIツールが導入されている現状との間にミスマッチが生じていることが指摘されている。
Two-thirds of companies anticipate AI impacting cybersecurity in 2025, but only a third (37%) say they have the requisite tools to assess related security risks. This issue is even more pronounced in smaller organizations, where 69% lack adequate safeguards for the secure deployment of AI technologies. 2025年にはAIがサイバーセキュリティに影響を与えると予測している企業は3分の2に上るが、関連するセキュリティリスクのアセスメントに必要なツールを保有していると回答した企業は3分の1(37%)にとどまった。この問題は小規模な組織でさらに顕著であり、69%がAI技術の安全な展開に必要な安全対策を十分に講じられていない。
"The security of AI systems (or lack thereof) can have far-reaching implications given the increasing adoption of AI," said David Koh, Commissioner of Cybersecurity and Chief Executive, Cyber Security Agency of Singapore. "We must cooperate and work together to secure AI, even in the face of ongoing geopolitical tensions and strategic competition in critical and emerging technologies." 「AIシステムのセキュリティ(またはセキュリティの欠如)は、AIの採用が増加していることを踏まえると、広範囲にわたる影響を及ぼす可能性がある」と、サイバーセキュリティ担当委員であり、シンガポールサイバーセキュリティ庁の最高経営責任者(CEO)であるデビッド・コー氏は述べた。「地政学的な緊張や、重要技術や新興技術における戦略的競争が続いている状況であっても、AIのセキュリティを確保するために協力し、共に取り組む必要がある」
3. Cyber skills gap 3. サイバースキルギャップ
The sector is currently lacking up to 4.8 million cybersecurity professionals. Only 14% of organizations say they have the skilled people they need in the current cyber landscape, while the report finds the cyber skills gap increased by 8% during 2024, predominantly in the public sector. 現在、この分野では最大480万人ものサイバーセキュリティの専門家が不足している。現在のサイバー環境において必要なスキルを持つ人材を確保できていると回答した組織はわずか14%にとどまり、この報告書では、2024年には主に公共部門でサイバースキルギャップが8%増加したことが明らかになっている。
Furthermore, nearly half (49%) of public-sector respondents indicated they do not have the necessary workforce to meet their cybersecurity objectives. さらに、公共部門の回答者のほぼ半数(49%)が、サイバーセキュリティの目標を達成するために必要な人材が確保できていないと回答している。
"It’s critical we help close the growing cyber skills gap with a focus on training, reskilling, recruiting and retaining cybersecurity talent," said Chuck Robbins, Chair and Chief Executive Officer of Cisco. 「サイバーセキュリティ人材の育成、再教育、採用、定着に重点的に取り組むことで、拡大するサイバースキルギャップを埋めることが重要です」と、シスコの会長兼最高経営責任者(CEO)であるチャック・ロビンス氏は述べている。
2_20250114160901
4. Supply chain interdependencies 4. サプライチェーンの相互依存
Over half (54%) of large organization cited complex supply chains as the biggest barrier to achieving cyber resilience. 大規模な組織の半数以上(54%)が、サイバーレジリエンスの達成を阻む最大の障壁として複雑なサプライチェーンを挙げている。
Moreover, concerns about software vulnerabilities, supply chain cyberattacks and limited visibility into third-party security are increasing, with 48% of Chief Information Security Officers (CISOs) reporting difficulties in enforcing security standards and managing the risks associated with reliance on critical providers. さらに、ソフトウェアの脆弱性、サプライチェーンへのサイバー攻撃、サードパーティのセキュリティに対する可視性の限界に対する懸念が高まっており、最高情報セキュリティ責任者(CISO)の48%が、セキュリティ標準の実施や、重要なプロバイダへの依存に伴うリスクの管理に困難を感じていると報告している。
"Smart adversaries exploit third-party vulnerabilities, making collaboration essential," said George Kurtz, Founder and CEO of CrowdStrike. 「賢い敵はサードパーティの脆弱性を悪用するため、コラボレーションが不可欠です」と、CrowdStrikeの創設者兼CEOであるジョージ・カーツ氏は述べている。
5. Cybercrime sophistication 5. サイバー犯罪の巧妙化
While ransomware remains a top concern for organizations, generative AI tools are reshaping the cybercrime landscape by enabling criminals to refine their methods as well as automate and personalize their techniques. Successful phishing, vishing, deepfake and other social engineering attacks were experienced by 42% of organizations during 2024, the report finds. ランサムウェアが組織にとって依然として最大の懸念事項である一方で、生成的AIツールは、犯罪者がその手法を洗練させ、技術を自動化およびパーソナライズすることを可能にすることで、サイバー犯罪の状況を再形成している。2024年中に、42%の組織がフィッシング、ヴィッシング、ディープフェイク、その他のソーシャルエンジニアリング攻撃に成功したことが、このレポートで明らかになった。
"As our digital footprints widen, so does the potential attack surface for nefarious actors," said Ivan John E Uy, Secretary of the Department of Information and Communications Technology in the Philippines. 「デジタル上の足跡が広がるにつれ、悪意ある行為者にとっての攻撃対象領域も拡大する」と、フィリピンの情報通信技術省のイヴァン・ジョン・ユー長官は述べた。
6. Regulatory requirements 6. 規制要件
While everyone agrees guardrails are essential in cyberspace, there is no agreement on which guardrails should be used. The proliferation of regulations – and the disharmony between them – is creating further challenges for companies. サイバー空間におけるガードレールは不可欠であるという点では誰もが同意するが、どのガードレールを使用すべきかについては合意が得られていない。規制の増加と、規制間の不調和が、企業にとってさらなる課題を生み出している。
Almost 70% of survey respondents admitted to finding regulations too complex or convoluted, while over three-quarters of CISOs at the Annual Meeting on Cybersecurity stated that regulatory confusion was greatly impacting their organizations’ ability to maintain compliance. 調査回答者のほぼ70%が、規制が複雑すぎたり、わかりにくすぎたりすると認めている一方で、サイバーセキュリティに関する年次総会に出席したCISOの4分の3以上が、規制の混乱がコンプライアンスの維持能力に大きな影響を与えていると述べている。
20250114-155552
How to navigate cybersecurity complexity in 2025? 2025年のサイバーセキュリティの複雑性をどう乗り切るか?
The compounding factors noted above contribute to the growing complexity and unpredictability of the cyber landscape, impacting organizations in several ways. 上述の複合的要因は、サイバー環境の複雑性と予測不可能性の増大に寄与し、さまざまな形で組織に影響を与えている。
Firstly, they exacerbate cyber inequity, weakening ecosystem resilience by deepening the divide between organizations with the resources and means to adapt and those that struggle to keep up. This imbalance affects the broader ecosystem's resilience, as larger organizations often rely on smaller, less mature suppliers, meaning any disruptions in their operations can ripple throughout the entire supply chain. まず、サイバーセキュリティにおける不公平性が悪化し、適応するためのリソースや手段を持つ組織と、対応に苦慮する組織との格差が深まることで、エコシステムのレジリエンスが弱体化する。この不均衡は、より大規模な組織が、小規模で成熟度の低いサプライヤーに依存していることが多いため、より広範なエコシステムのレジリエンスに影響を及ぼす。つまり、それらの組織の業務に混乱が生じると、サプライチェーン全体に波及する可能性がある。
Secondly, the rising complexity heightens the demand for specialized cybersecurity skills, further widening the skills gap. Staying abreast of technological advances necessitates expertise that is increasingly sought after in cybersecurity, while at the same time, the pressure on already overstretched security teams continues to mount. 第二に、複雑性の増大により、サイバーセキュリティの専門スキルに対する需要が高まり、スキルギャップがさらに拡大する。技術の進歩に遅れずについていくためには、サイバーセキュリティにおいてますます求められる専門知識が必要となるが、一方で、すでに過剰な負担を強いられているセキュリティチームへのプレッシャーは増大し続けている。
These challenges demand a reassessment of cybersecurity strategies at both organizational and ecosystem levels. Leaders must view cybersecurity as a strategic investment, ensuring resilience against new threats and recognizing it as a collective responsibility across all organizations. これらの課題に対処するには、組織レベルおよびエコシステムレベルの両方でサイバーセキュリティ戦略を再評価する必要がある。リーダーは、サイバーセキュリティを戦略的投資と捉え、新たな脅威に対するレジリエンスを確保し、すべての組織に共通する責任として認識しなければならない。
Strong leadership is essential, focusing not just on technical aspects but also on the economic implications of cyber risks. A unified approach between business and cyber leaders is critical to managing the growing complexity of cybersecurity. 強力なリーダーシップは不可欠であり、技術的な側面だけでなく、サイバーリスクの経済的な影響にも焦点を当てる必要がある。ビジネスリーダーとサイバーセキュリティリーダーが一体となったアプローチは、複雑化するサイバーセキュリティの管理に不可欠である。

 

 

 

過去分...

20 2025 2025.01.13 Web PDF Home
19 2024 2024.01.11 Web PDF Home
18 2023 2023.01.11 Web PDF Home
17 2022 2022.01.11 Web PDF Press
16 2021 2021.01.19 Web PDF Press
15 2020 2020.01.15 Web PDF Press
14 2019 2019.01.15 Web PDF Press
13 2018 2018.01.17 Web PDF Press
12 2017 2017.01.11 Web PDF Press
11 2016 2016.01.14 Web PDF Press
10 2015 2015.01.09 Web PDF Press
9 2014 2014.01.12 Web PDF Press
8 2013 2012.10.30 Web PDF Press
7 2012 2012.01.05 Web PDF Press
6 2011 2011.09.27 Web PDF Press
5 2010 2010.01.04 Web PDF Press
4 2009     PDF  
3 2008     PDF  
2 2007     PDF  
1 2006     PDF  

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.12 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2024

・2023.03.09 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2023 (2023.01.18)

・2022.01.20 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2022

 

Global Risks Report

・2024.01.12 世界経済フォーラム (WEF) The Global Risks Report 2024 19th Edition グローバルリスク報告書2024

・2023.01.12 世界経済フォーラム (WEF) The Glo bal Risks Report 2023 18th Edition グローバルリスク報告書2023

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

| | Comments (0)

2025.01.14

ドイツ BSI 量子コンピュータ開発の現状 (Ver2.1) (2025.01.02)

こんにちは、丸山満彦です。

ドイツBSIの量子コンピュータ開発の現状についての報告書の紹介です...

現在のバージョンは2.1です...

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2025.01.02 Studie: Entwicklungsstand Quantencomputer Version 2.1

Studie: Entwicklungsstand Quantencomputer Version 2.1 研究:量子コンピュータ開発の現状 バージョン2.1
This study discusses the current state of affairs in the theoretical aspects and physical implementation of quantum computing, with a focus on applications in cryptanalysis. It is designed to be an orientation for scientists with a connection to one of the fields involved—such as mathematicians, computer scientists. These will find the treatment of their own field slightly superficial but benefit from the discussion in the other sections. The executive summary and the conclusions to each chapter provide actionable information to decision makers. 本研究では、暗号解読への応用に焦点を当て、量子コンピューティングの理論的側面と物理的実装における現状について論じている。本書は、数学者やコンピューター科学者など、関連分野に携わる科学者向けの入門書として作成されている。これらの科学者にとっては、自身の専門分野の取り扱いはやや表面的に感じられるかもしれないが、他のセクションの議論から有益な情報を得られるだろう。各章のエグゼクティブサマリーと結論は、意思決定者にとって実行可能な情報を提供している。

・[PDF] Status of quantum computer development - Entwicklungsstand Quantencomputer Ver.2.1

20250114-40938

 

 

The status of quantum computer development

The status of quantum computer development 量子コンピュータ開発の現状
The aim of this study is to assess the state of development of current technologies for the realisation of a cryptographically relevant quantum computer and cryptographically relevant quantum algorithms. 本研究の目的は、暗号に関連する量子コンピュータおよび暗号に関連する量子アルゴリズムを実現するための現在のテクノロジーの開発状況をアセスメントすることである。
Today, the security of digital infrastructures is largely based on public-key cryptography (also known as "asymmetric cryptography"). This in turn is essentially based on the assumed difficulty of certain mathematical problems, for example the factorisation problem or the discrete logarithm problem (on elliptic curves). According to the current state of knowledge, the common public-key cryptography used today cannot be broken with classical computers. However, the situation will change fundamentally when universal quantum computers of sufficient performance are available. Already in 1994, the mathematician Peter Shor published quantum algorithms, which can efficiently solve the mathematical problems mentioned above. Other quantum algorithms such as Grover's search algorithm and Simon's algorithm will have implications for symmetric cryptography, in particular for key lengths and operating modes. In recent years, a number of additional algorithms for the cryptanalysis of (asymmetric) protocols have been presented which can also be implemented on so-called NISQ (Noisy Intermediate-Scale Quantum) computers. 今日、デジタルインフラのセキュリティは、主に公開鍵暗号(非対称暗号とも呼ばれる)に基づいている。公開鍵暗号は、因数分解問題や離散対数問題(楕円曲線上の)などの特定の数学的問題の難しさを前提としている。現在の知識水準では、現在一般的に使用されている公開鍵暗号は、従来のコンピュータでは解読できない。しかし、十分な性能を備えた汎用量子コンピュータが利用可能になれば、状況は根本的に変化する。1994年には、数学者のピーター・ショアが、上述の数学的問題を効率的に解決できる量子アルゴリズムを発表している。 グーバーの探索アルゴリズムやサイモンのアルゴリズムなどの他の量子アルゴリズムは、対称暗号、特に鍵の長さや動作モードに影響を与えることになる。近年では、(非対称)プロトコルの暗号解読のためのアルゴリズムがいくつか発表されており、これらはいわゆるNISQ(ノイジー・インターミディエイト・スケール・クアンタム)コンピューターにも実装可能である。
The central challenge in the development of quantum computers is their susceptibility to errors. Quantum systems are very sensitive to disturbances and therefore require an elaborate error correction, which is called quantum error correction (QEC). Currently realized quantum computers, where errors are not corrected (and only mitigated by hardware-related methods if necessary) are called Noisy Intermediate Scale Quantum (NISQ) computers. These are considered an intermediate stage on the way to fault-tolerant and universally programmable quantum computers. Here, due to the error probability, only limited algorithmic depth is available. Creative possibilities stemming from the inherent degrees of freedom of the hardware and alternative programming paradigms arise when developing algorithms for NISQ computers. The resulting solutions are generally heuristic in nature and lack a mathematical proof of convergence or a resource analysis. This is in particular the case for algorithms in the context of cryptoanalysis of (asymmetric) schemes. 量子コンピュータの開発における最大の課題は、エラーに対する脆弱性である。量子システムは外乱に対して非常に敏感であるため、精巧なエラー訂正が必要であり、これは量子エラー訂正(QEC)と呼ばれる。現在実現されている量子コンピュータは、エラーが訂正されず(必要に応じてハードウェア関連の方法で緩和されるのみ)、ノイズ中規模量子(NISQ)コンピュータと呼ばれる。これらは、フォールトトレランスで汎用的なプログラミングが可能な量子コンピュータへの中間段階とみなされている。エラー確率があるため、利用可能なアルゴリズムの深さは限られている。NISQコンピュータ用のアルゴリズムを開発する際には、ハードウェアに固有の自由度と代替プログラミングパラダイムから生じる創造的な可能性が生まれる。その結果得られるソリューションは、一般的に発見的な性質のものであり、収束の数学的証明やリソース分析を欠いている。これは特に、(非対称)スキームの暗号解読に関するアルゴリズムの場合に当てはまる。
Evaluation schemes in the study 研究における評価スキーム
In the first version of the study, an evauation model was developed to categorise quantum computing technologies. It is shown in the following figure. 研究の最初のバージョンでは、量子コンピューティング技術を分類するための評価モデルが開発された。次の図に示されている。
20250114-42858
Figure 1: Levels of development towards a fault-tolerant quantum computerSource: Federal Office for Information Security 図1:フォールトトレラント量子コンピューターの開発レベル出典:連邦情報セキュリティ局
In version 2.0 of the study, a separate evaluation scheme is introduced which allows further consideration of the field of NISQ algorithms. We find that these algorithms often belong to the leftmost branch of Figure 2 while, in contrast, the algorithms by Shor mentioned above fit into the rightmost branch. この研究のバージョン2.0では、NISQアルゴリズムの分野をさらに検討するための、別の評価スキームが導入されている。これらのアルゴリズムは、図2の最も左側の枝に属することが多いことが分かった。一方、前述のショアによるアルゴリズムは、最も右側の枝に属する。
20250114-42819  
Figure 2: Layered evaluation scheme for quantum algorithms based on fault-tolerant quantum computing (right) and NISQ (left)Source: Federal Office for Information Security 図2:フォールトトレラント量子コンピューティングに基づく量子アルゴリズムの階層評価スキーム(右)とNISQ(左)出典:連邦情報セキュリティ局
To analyse the state of development of cyptographically relevant quantum computing requires the joint consideration of hardware and algorithms, as illustrated in the following figure. 暗号に関連する量子コンピューティングの開発状況を分析するには、次の図に示されているように、ハードウェアとアルゴリズムの両方を考慮する必要がある。
3_20250114042701
Figure 3: Quantum computing dependency graph between algorithms and hardwareSource: Federal Office for Information Security 図3:アルゴリズムとハードウェア間の量子コンピューティング依存グラフ出典:連邦情報セキュリティ局
Current state (Version 2.1) 現状(バージョン2.1
The current technologies identified in the study are categorised as follows according to the above evaluation scheme. 研究で識別された現在の技術は、上記の評価スキームに従って以下のように分類される。
4_20250114042701
Figure 4: Evaluation of the main platforms following the developed schemeSource: Federal Office for Information Security 図4:開発されたスキームに基づく主要プラットフォームの評価出典:連邦情報セキュリティ局
Looking ahead, the conclusion of the study is that quantum computing is making steady progress towards cryptanalytic relevance according to the reliable mainstream (fault-tolerant (improved) Shor algorithm, executed either on a superconducting system with the surface code or an ion-based system with the color code). Major roadblocks in this scenario were resolved in 2024, bringing us a lot closer to this goal even without large disruptions. Our conservative estimate is that cryptographically relevant quantum computers are likely to be available within 16 years. 今後の見通しとして、この研究の結論は、量子コンピューティングは、信頼性の高い主流(フォールトトレラント(改善された)ショア・アルゴリズム、表面コードを使用した超伝導システムまたはカラーコードを使用したイオンベースのシステム)に従って、暗号解読に関連するものとして着実に進歩しているということである。このシナリオにおける主な障害は2024年に解決され、大きな混乱がなくてもこの目標にかなり近づくことになる。 保守的な予測では、暗号解読に関連する量子コンピュータは16年以内に利用可能になる可能性が高い。
Moreover, there are now a plethora of new developments in error correction and mitigation as well as hardware with the large progress in neutral atoms. A lot more can move and surprise, and most of possible disruptive results in this context could accelerate the development to below a decade.  さらに、中性原子の分野では大きな進歩を遂げたハードウェアだけでなく、エラー修正や緩和に関する新たな開発も数多く行われている。今後、さらに多くのことが可能になり、驚くようなことが起こる可能性もある。この文脈における破壊的な結果のほとんどは、開発を10年未満に加速させる可能性がある。
Regarding NISQ algorithms, the study currently concludes that the limited evidence available does not yet permit a conclusive assessment. However, it makes a cautious assumption of low relevance for cryptanalysis. NISQアルゴリズムに関しては、現在、入手可能な限られた証拠では、まだ決定的なアセスメントを行うことはできないという結論に達している。しかし、暗号解読との関連性は低いという慎重な想定は行っている。
Download the latest version 最新バージョンのダウンロード
Study: Status of quantum computer development V2.1 研究:量子コンピュータ開発の現状 V2.1
Study: Status of quantum computer development (executive summary in German) V2.1 研究:量子コンピュータ開発の現状(エグゼクティブサマリー(ドイツ語))V2.1
Download of older versions 旧バージョンのダウンロード
Study: Status of quantum computer development V2.0 研究:量子コンピュータ開発の現状 V2.0
Study: Status of quantum computer development (executive summary in German) V2.0 研究:量子コンピュータ開発の現状(エグゼクティブサマリー(ドイツ語))V2.0
Study: Status of quantum computer development V1.2 研究:量子コンピュータ開発の現状 V1.2
Study: Status of quantum computer development (executive summary in German) V1.2 研究:量子コンピュータ開発の現状(エグゼクティブサマリー(ドイツ語))V1.2
Study: Status of quantum computer development V1.1 研究:量子コンピュータ開発の現状 V1.1
Study: Status of quantum computer development (executive summary in German) V1.1 研究:量子コンピュータ開発の現状(エグゼクティブサマリー(ドイツ語))V1.1
Study: Status of quantum computer development V1.0 研究:量子コンピュータ開発の現状 V1.0
Study: Status of quantum computer development (executive summary in German) V1.0 研究:量子コンピュータ開発の現状(エグゼクティブサマリー(ドイツ語))V1.0

 

 

 目次...

Introduction 序文
Index of Figures 図表一覧
Index of Tables 表一覧
PART I: Synopsis and introduction 第1部:概要と序文
1 Deutsche Zusammenfassung 1 ドイツ語要約
1.1 Was ist ein Quantencomputer? 1.1 量子コンピュータとは何か?
1.2 Relevanz von Quantencomputern für die Kryptoanalyse 1.2 暗号解読における量子コンピュータの重要性
1.3 Hardware und Algorithmen für Quantencomputer 1.3 量子コンピュータのハードウェアとアルゴリズム
1.4 Jüngste Entwicklungen 1.4 最新の進展
1.5 Fazit 1.5 結論
2 Synopsis 2 概要
2.1 Basic idea 2.1 基本概念
2.2 Hardware platforms 2.2 ハードウェアプラットフォーム
2.2.1 Global categories 2.2.1 グローバルカテゴリー
2.3 Algorithmic goals 2.3 アルゴリズムの目標
2.4 Computational models 2.4 計算モデル
2.5 Evaluation along computational models 2.5 計算モデルに沿った評価
2.6 Evaluation of platforms 2.6 プラットフォームの評価
2.6.1 Trapped ions 2.6.1 トラップイオン
2.6.2 Superconducting circuits 2.6.2 超伝導回路
2.6.3 Neural atoms 2.6.3 ニューラルアトム
2.6.4 Semiconductors 2.6.4 半導体