情報セキュリティ / サイバーセキュリティ

2021.05.08

NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト)

こんにちは、丸山満彦です。

NIST が遠隔患者監視エコシステムのセキュリティ確保に関するガイドラインとして、SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem を公開し、意見を募集していますね・・・今回は、昨年11月に公表されたドラフトのアップデート版となる第2ドラフトです。。。

 

NIST - ITL - Computer Security Resource Center

・2021.05.06 SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem (2nd Draft)

 

パブコメの対象は、

Publication: 
・[PDF] Second Draft SP 1800-30

20210508-65408

その他情報は、

Supplemental Material:
・[web]  Project homepage

 

Announcement 発表
Increasingly, healthcare delivery organizations (HDOs) incorporate telehealth and remote patient monitoring (RPM) as part of a patient’s care regimen. RPM systems may offer convenience and may be cost effective for patients and HDOs, which promotes increased adoption rates. Without adequate privacy and cybersecurity measures, however, unauthorized individuals may expose sensitive data or disrupt patient monitoring services. 医療機関では、患者治療の一環として、テレヘルスや遠隔患者モニタリング(RPM)を導入するケースが増えています。RPMシステムは、利便性が高く、患者やHDOにとって費用対効果が高いことから、導入率が高まっています。しかし、適切なプライバシー保護とサイバーセキュリティ対策がなければ、権限のない者が機密データを漏洩させたり、患者モニタリングサービスを妨害したりする可能性があります。
The NCCoE developed a reference architecture that demonstrates how HDOs may use standards-based approaches and commercially available cybersecurity technologies to implement privacy and cybersecurity controls, thereby enhancing the resiliency of the telehealth RPM ecosystem. NCCoEは、HDOが標準ベースのアプローチと市販のサイバーセキュリティ技術を用いてプライバシーとサイバーセキュリティ対策を実施する方法を示すリファレンスアーキテクチャを開発し、それによって遠隔医療RPMエコシステムの回復力を高めました。
After adjudicating all the comments from the first draft, notable adjustments were made to the RPM Practice Guide, including: 第一次ドラフトに寄せられたすべてのコメントを精査した結果、「RPM実践ガイド」には以下のような注目すべき調整が加えられました。
・Adjusted the security and privacy control mapping in accordance with NIST SP 800-53 Revision 5. ・NIST SP 800-53 Revision 5 に準拠した、セキュリティおよびプライバシー管理のマッピングの調整。
・Enhanced cybersecurity capabilities in the Identity Management and Data Security sections. ・アイデンティティ管理」と「データセキュリティ」のセクションでの、サイバーセキュリティ機能の強化。
・Updated the final architecture to include secure broadband communication between the patient's home and the telehealth platform provider. ・患者の自宅と遠隔医療プラットフォーム提供者との間の安全なブロードバンド通信を含むように最終的アーキテクチャの更新。
・Included guidance from NIST’s Cybersecurity for the Internet of Things program on device cybersecurity capabilities and nontechnical supporting capabilities that telehealth platform providers should be aware of in their biometric device acquisition processes. ・NISTの「Cybersecurity for the Internet of Things」プログラムによる、生体認証機器の取得プロセスにおいて遠隔医療プラットフォーム提供者が留意すべき機器のサイバーセキュリティ機能および非技術的なサポート機能に関するガイダンスを掲載。
Abstract 概要
Increasingly, healthcare delivery organizations (HDOs) are relying on telehealth and remote patient monitoring (RPM) capabilities to treat patients at home. RPM is convenient and cost-effective, and its adoption rate has increased. However, without adequate privacy and cybersecurity measures, unauthorized individuals may expose sensitive data or disrupt patient monitoring services. 医療機関では、在宅で患者を治療するために、テレヘルスや遠隔患者監視(RPM)機能を利用するケースが増えています。RPMは利便性と費用対効果に優れており、その導入率は高まっています。しかし、適切なプライバシーおよびサイバーセキュリティ対策を講じなければ、権限のない者によって機密データが漏洩したり、患者モニタリングサービスが妨害されたりする可能性があります。
RPM solutions engage multiple actors as participants in patients’ clinical care. These actors include HDOs, telehealth platform providers, and the patients themselves. Each participant uses, manages, and maintains different technology components within an interconnected ecosystem, and each is responsible for safeguarding their piece against unique threats and risks associated with RPM technologies. RPMソリューションには、患者の臨床ケアに参加する複数のアクターが関わっています。これらの関係者には、HDO、遠隔医療プラットフォームプロバイダー、そして患者自身が含まれます。それぞれの関係者は、相互に接続されたエコシステムの中で、異なるテクノロジーコンポーネントを使用、管理、維持しており、RPMテクノロジーに関連する固有の脅威やリスクから作品を保護する責任を負っています。
This practice guide assumes that the HDO engages with a telehealth platform provider that is a separate entity from the HDO and patient. The telehealth platform provider manages a distinct infrastructure, applications, and set of services. The telehealth platform provider coordinates with the HDO to provision, configure, and deploy the RPM components to the patient home and assures secure communication between the patient and clinician. この実践ガイドでは、HDOが、HDO及び患者とは別の事業体である遠隔医療プラットフォームプロバイダーと契約することを想定しています。遠隔医療プラットフォーム提供者は、別個のインフラストラクチャ、アプリケーション、および一連のサービスを管理する。遠隔医療プラットフォーム提供者は、HDO と連携して RPM コンポーネントのプロビジョニング、設定、および患者宅への配備を行い、患者と臨床医の間の安全な通信を保証します。
The NCCoE analyzed risk factors regarding an RPM ecosystem by using risk assessment based on the NIST Risk Management Framework. The NCCoE also leveraged the NIST Cybersecurity Framework, NIST Privacy Framework, and other relevant standards to identify measures to safeguard the ecosystem. In collaboration with healthcare, technology, and telehealth partners, the NCCoE built an RPM ecosystem in a laboratory environment to explore methods to improve the cybersecurity of an RPM. NCCoEは、NISTリスクマネジメントフレームワークに基づくリスクアセスメントを用いて、RPMエコシステムに関するリスク要因を分析しました。また、NIST Cybersecurity Framework、NIST Privacy Framework、およびその他の関連規格を活用して、エコシステムを保護するための手段を特定しました。NCCoE は,医療,技術,遠隔医療のパートナーと協力して,実験室環境で RPM のエコシステムを構築し,RPM のサイバーセキュリティを向上させる方法を検討しました.
Technology solutions alone may not be sufficient to maintain privacy and security controls on external environments. This practice guide notes the application of people, process, and technology as necessary to implement a holistic risk mitigation strategy. 外部環境におけるプライバシーとセキュリティの管理を維持するためには、技術的な解決策だけでは十分でない場合があります。この実践ガイドでは、全体的なリスク軽減戦略を実施するために必要な、人、プロセス、技術の適用について言及しています。
This practice guide’s capabilities include helping organizations assure the confidentiality, integrity, and availability of an RPM solution, enhancing patient privacy, and limiting HDO risk when implementing an RPM solution. この実践ガイドは、組織がRPMソリューションを導入する際に、RPMソリューションの機密性、完全性、および可用性を保証し、患者のプライバシーを強化し、HDOリスクを制限することを支援します。

 

目次はこちら

 


 

■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2020.11.17 NIST パブコメ SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem 遠隔患者監視エコシステムのセキュリティ確保

 

 

Continue reading "NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト)"

| | Comments (0)

5月6日は「世界パスワードの日」でした。。。FBI「強力なパスフレーズとアカウント保護」

こんにちは、丸山満彦です。

5月の第一木曜日は「世界パスワードの日 (World Password Day) 」として、色々な行事が...

この世界パスワードの日は2013年から始まっていて米国ではFBIも祝っていますね。。。

● FBI 

・2021.05.04 (news) FBI Tech Tuesday: Strong Passphrases and Account Protection

NISTのガイドを引用して、使う文字数の複雑さよりも、長さが重要と強調していますね。。。

なので、意味がない単なる特殊文字を含む文字の8桁の羅列よりも、意味があっても長いパスフレーズを使うことを推奨していますね。。。

Recent guidance from the National Institute of Standards and Technology (NIST) advises that password length is much more important than password complexity. Instead of using short complex passwords, use passphrases that combine multiple words and are longer than 15 characters. For example TechTuesday2021Strengthen! 米国国立標準技術研究所(NIST)の最近のガイダンスでは、パスワードの長さはパスワードの複雑さよりもはるかに重要であると勧告されています。短い複雑なパスワードを使用する代わりに、複数の単語を組み合わせた15文字以上のパスフレーズを使用してください。例えば、TechTuesday2021Strengthen!

 

以下は、FBIのアドバイスです...

Make sure, at the very least, that your email, financial, and health accounts all have different unique passwords and/or passphrases. 少なくとも、電子メール、金融機関、医療機関のアカウントには、それぞれ固有のパスワードやパスフレーズが設定されていることを確認してください。
Make sure your password is as long as the system will allow. パスワードは、システムが許容する範囲内の長さで設定してください。
Set up multi-factor authentication for your accounts. 自分のアカウントに多要素認証を設定してください。
Don’t allow password “hints” パスワードの "ヒント "を許可しない

 

Fbi_20210425171201


■  参考

● NIST - ITL

・ Digital Identity Guidelines

・ [PDF] SP 800-63-3 Digital Identity Guidelines

OpenID Fondation Japanの翻訳

● JIPDEC

OIDF-J・JIPDEC共催OpenID BizDay#11「NIST SP 800-63-3を読む」

・[PDF] SP 800-63-3「Digital Authentication Guideline」(Final翻訳)

 


盛り上がり感を...

■ NEWS

● US Security Magazine

・2021.05.06 Best practices during World Password Day

● Ca IT world Canada

・2021.05.06 Will this be the last World Password Day?

● It Network Digital 360

・2021.05.06 World Password Day, la maledizione della banalità: perché credenziali deboli sono un rischio per le aziende

● US Tech Republic

・2021.05.06 (Vedeo) The need for cybersecurity "never goes away," expert says: World Password Day

● US Facility Exective

・2021.05.05 Just In Time For World Password Day: Worst Password Awards!

May 6 is World Password Day. What better time to hand out awards for the worst passwords?

 US KTEM News

・2021.05.06 It’s World Password Day – How Strong Is Your Password?

● US Mac World

・2021.05.06 Celebrate World Password Day by locking down your Apple devices

● UK VERDICT

・2021.05.06 It’s World Password Day – time for a reset!

● US CBS

・2021.05.06 'World Password Day' prompts safety tips from Florida AG

● US Analytics Insight

・2021.05.06 THIS WORLD PASSWORD DAY, GODADDY OFFERS SECURITY PROTECTIONS FOR SMALL BUSINESS WEBSITES

Security Boulevard

・2021.05.06 Password Reuse: Rampant and Risky

・2021.05.05 On World Password Day eat your greens, exercise more, and ditch the password!

● US Government Technology

・2021.05.02 (blog) Email Security, Working from Home and World Password Day

What is the future of passwords? More urgently, how are you doing with using (or reusing) passwords now? Here are some helpful tips ahead of World Password Day on May 6.

● US Information Security Buzz News

・2021.04.28 Experts Advise on World Password Day

● Ir Tech Central

・2021.05.06 Thou shalt not pass… word

Strong passwords? Forget about them, says Billy MacInnes

● US Syracuse University

・2021.05.01 (blog) World P@$$w0rd Day: Tips To Protect Your Digital Identity

● US CX Todays.com

・2021.05.06 Comment on World Password Day from Kartik Shahani, Country Manager, Tenable

● UAE Khaleej Times

・2021.05.06 These are the most common passwords; is yours on the list?

● SG Tech Wire Asia

・2021.05.06 SEA businesses exposed to highest rate of data breaches globally

● US The Daily Swig - Cybersecurity news and views

・2021.05.06 Troy Hunt at Black Hat Asia: ‘We’re making it very difficult for people to make good security decisions’

Have I Been Pwned founder’s keynote offered a sobering counterpoint to the well-meaning ‘World Password Day’

● Br Olhar digital

・2021.05.06 World Password Day: saiba como criar e manter uma senha segura

● Ca Global News

・2021.05.06 Consumer Matters: Why your current password might not be enough to protect you from cyber criminals

May 6 marks World Password Day. Security experts warn given the number of passwords required on various accounts and website, consumers need to do more than just make passwords strong and unique. Consumer Matters reporter Anne Drewa has the details.


 

| | Comments (0)

2021.05.07

ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」という白書を公表していますね。。。

欧米人は、自然環境の違い(温帯から寒帯にかけた比較的シンプルな自然環境)で文化を作ってきたからでしょうか、養老孟司のいうところの「ああすれば、こうなる」がわからないと気持ちが悪いのかもしれませんね。。。だから宗教や科学が発達してきたのでしょう...一方、熱帯から温帯にかけた環境で生まれ育った文化は、複雑な自然をそのまま受けれいれるしかなく、全体で丸ごと感じるようになったのかもしれません。。。

機械学習というある意味、綺麗な実験環境から、複雑な環境、例えば自然環境での実験と言えるかもしれません。自然環境で育てたパラメータがたくさんある(よってその組み合わせがたくさんある)システムは「ああすればこうなる」と100%説明することはできないと思います。

皆さんには一卵性の双子の知り合いがいるかもしれませんが、彼ら、彼女らは全く同じ遺伝子です。でも全く同じ顔、身長、体重、性格でしょうか?

彼ら、彼女らは、最初のアルゴリズム(遺伝子)は同じです。その後の学習(母親の体内にいる時からの育つ環境)の違いで全く同じ全く同じ顔、身長、体重、性格にはなりませんね、特に、複雑な脳の神経のつながり方は同じ遺伝子でも、その後の育ってきた環境によって大きく変わるでしょう。

機械学習もそう考えると、同じアルゴリズム(遺伝子)であっても、与えるデータ等のインプットを変えると違うシステムになりますよね。。。しかもそのパターンは膨大すぎて全てを理解しようとすれば、さらにそれ以上に複雑な機械学習マシーンが必要となり、終わりがありませんね。。。

ということで、私的には、Auditable AI Systemというのは、どのような学習をさせたかを説明することにより、複雑なケースであれば70%くらい予想がつけば良いのではないかと思っています。(人間だってそんなもんでしょう。。。)

一つ一つのステップで99.99%予想がつけば、直列的な思考で1000ステップ踏んでも90%は予測がつくことにはなりますね。。。

と前置きが長くなりましたが、、、

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2021.05.06 BSI veröffentlicht Whitepaper zum aktuellen Stand der Prüfbarkeit von KI-Systemen

BSI veröffentlicht Whitepaper zum aktuellen Stand der Prüfbarkeit von KI-Systemen BSI、AIシステムの監査可能性の現状に関する白書を発行
Künstlich Intelligente (KI) Systeme spielen eine immer größer werdende Rolle als automatisierte Entscheidungs- und Kontrollsysteme in verschiedenen, zum Teil sicherheitskritischen Anwendungsbereichen. Hierzu gehören u. a. autonome Fahrzeuge und biometrische Zugangskontrollsysteme. Neben den immensen Chancen, die sich durch den Einsatz von KI-Technologie eröffnen, ergeben sich gleichzeitig zahlreiche, qualitativ neue Probleme hinsichtlich u. a. der Sicherheit, der Robustheit und der Vertrauenswürdigkeit. Um diesen Problemen angemessen zu begegnen, wird eine Rahmenstruktur für die Prüfung von KI-Systemen benötigt, die neben Prüfstrategien und -werkzeugen auch entsprechende Standards umfasst. Diese Strategien, Werkzeuge und Standards sind aktuell noch nicht hinreichend für den praktischen Einsatz verfügbar. 人工知能(AI)システムは、様々なアプリケーション分野において、自動化された意思決定や制御システムとしての役割がますます高まっており、その中には安全性が求められるものもあります。これらには、自律走行車や生体認証アクセス制御システムなどが含まれます。AI技術の活用によってもたらされる大きな可能性がある一方、セキュリティ、堅牢性、信頼性などについて、質的に新しい問題が同時に数多く発生します。これらの問題に適切に対処するためには、テスト戦略、ツール、標準を含む、AIシステムのテストのフレームワークが必要です。これらの戦略、ツール、基準は、現状ではまだ十分に実用化されていません。
Basierend auf einem gemeinsam vom BSI, vom Verband der TÜVs (VdTÜV) und vom Fraunhofer HHI ausgetragenen internationalen Expertenworkshop im Oktober 2020 wurde nun, zusammen mit zahlreichen nationalen und internationalen Experten, ein Whitepaper zum aktuellen Stand, offenen Fragen und zukünftig wichtigen Aktivitäten bezüglich der Prüfbarkeit von KI-Systemen verfasst. Das Whitepaper beleuchtet verschiedene Aspekte der Sicherheit von KI-Systemen, u.a. deren Lebenszyklus, Online-Lernverfahren, qualitativ neue Angriffe, mögliche Verteidigungsmaßnahmen, Verifikation, Prüfung, Interpretation und Standardisierung. Bei all diesen Betrachtungen wird deutlich, dass es zahlreiche Zielkonflikte zwischen den gewünschten Eigenschaften eines operativen KI-Systems einerseits und den Eigenschaften des KI-Modells, der ML-Algorithmen, der Daten und weiteren Randbedingungen gibt, die letztlich die Skalierbarkeit und Generalisierbarkeit von sicher prüfbaren KI-Systemen beschränken. Basierend auf zwei grundlegenden Strategien zur Verbesserung der Prüfbarkeit, Sicherheit und Robustheit von KI-Systemen, d.h. einerseits der Schaffung verbesserter Rahmenbedingungen und andererseits der erhöhten Investition in Forschung und Entwicklung, werden Lösungsvorschläge und -ideen zur Mitigation der bekannten Probleme benannt, bewertet und Folgeschritte vorgeschlagen. このたび、2020年10月にBSI、ドイツ技術検査機関協会(VdTÜV)、フラウンホーファーHHIが共同で開催した国際専門家ワークショップをもとに、国内外の多数の専門家とともに、AIシステムのテスト可能性に関する現状、未解決の問題、今後の重要な活動についてホワイトペーパーを作成しました。この白書では、AIシステムのライフサイクル、オンライン学習方法、質的に新しい攻撃、考えられる防御策、検証、テスト、解釈、標準化など、AIシステムのセキュリティに関するさまざまな側面を紹介しています。これらの考察から、運用可能なAIシステムに求められる特性と、AIモデルの特性、MLアルゴリズム、データ、その他の制約との間には、数多くのトレードオフがあり、最終的には安全にテスト可能なAIシステムのスケーラビリティとジェネラビリティを制限していることが明らかになりました。AIシステムのテスト可能性、セキュリティ、堅牢性を向上させるための2つの基本的な戦略、すなわち、一方では改善されたフレームワーク条件の作成、他方では研究開発への投資の増加に基づいて、既知の問題を軽減するための提案されたソリューションとアイデアが挙げられ、評価され、フォローアップのステップが提案されています。

 

白書は英語です(^^)

・[PDF] Towards Auditable AI Systems - Current status and future directions

20210507-64522

目次です。。。

1 AI systems: opportunities and challenges 1 AIシステム:機会と課題
2 Auditability of AI systems: state of the art 2 AIシステムの監査可能性:技術の現状
2.1 Life Cycle 2.1 ライフサイクル
2.2 Online learning and model maintenance in the presence of non-stationary environments. 2.2 非定常環境下でのオンライン学習とモデルメンテナンス
2.3 Attack & Defense 2.3 攻撃と防御
2.3.1 Adversarial Machine Learning 2.3.1 敵対的機械学習(Adversarial Machine Learning
2.3.2 Backdoor Attacks on DNNs 2.3.2 DNNに対するバックドア攻撃
2.3.3 Detection of and Defenses against attacks on DNNs 2.3.3 DNNへの攻撃の検知と防御方法
2.4 Verification of AI systems 2.4 AIシステムの検証
2.5 Auditing safety-critical AI systems 2.5 安全性が求められるAIシステムの監査
2.6 Explaining Black Box AI Models 2.6 ブラックボックスAIモデルの説明
2.7 Overview of AI standardization activities worldwide 2.7 世界のAI標準化活動の概要
3 Open Issues and Promising Approaches 3 未解決の課題と有望なアプローチ
4 Setting Priorities for Work Towards Auditable AI Systems 4 監査可能なAIシステムに向けた作業の優先順位設定
5 References 5 参考文献

 

仮訳です。。[DOCX]

 


■ 参考

養老さんの本は読みやすいです...

● 書籍 - Kindle版

AIの壁 人間の知性を問いなおす 養老 孟司  (PHP新書) 

 

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.02.16 IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

 

 

| | Comments (0)

2021.05.06

ENISA コネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法

こんにちは、丸山満彦です。

ENISAがコネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法についての報告書を公開していますね。。。CAMが直面するサイバーセキュリティ上の課題の分析と、課題を軽減するための実行可能な提言が書かれています。。。

自動車産業は急速にEVシフト、自動運転シフトが進んでいくと思いますので、技術動向に合わせて規制がどうあるべきかも含めて検討を進めていくことが重要ですよね。。。人類共通の人命に関わる問題なので、仲良く決められると良いですね。。。

● ENISA

・2021.05.05 (news) How to Secure the Connected & Automated Mobility (CAM) Ecosystem

The European Union Agency for Cybersecurity discloses an in-depth analysis of the cybersecurity challenges faced by the CAM sector and provides actionable recommendations to mitigate them.

報告書の概要は...

Which challenges does the report identify? 報告書ではどのような課題が指摘されていますか?
The report published today provides recommendations for each challenge identified, such as: 本日発表された報告書では、特定された課題ごとに以下の提言を示しています。
Governance and cybersecurity integration into corporate activity 企業活動におけるガバナンスとサイバーセキュリティの統合
Cybersecurity governance in the CAM ecosystem represents an organisational and technical challenge for all stakeholders concerned. Recommendations given include: CAMエコシステムにおけるサイバーセキュリティのガバナンスは、すべての関係者にとって組織的・技術的な課題です。提言は以下の通りです。
・promote the integration of cybersecurity along with digital transformation at the board level in the organisation; ・組織内の役員レベルで、デジタルトランスフォーメーションとともに、サイバーセキュリティの統合を推進する。
・promote procurement processes to integrate cybersecurity risk-oriented requirements. ・サイバーセキュリティのリスク指向の要件を統合するための調達プロセスを促進する。
Technical complexity in the CAM ecosystem CAMエコシステムにおける技術的な複雑さ
Dependencies, interactions and supply chain management in this sector are a well-known challenge acknowledged by the majority of the actors involved. Recommendations given include: この分野における依存関係、相互作用、サプライチェーンマネジメントは、関係者の大半が認める周知の課題です。提言は以下の通りです。
・promote the use of suitable certification schemes; ・適切な認証スキームの使用を促進する。
・promote security assessment for both on-board and off-board solutions and standardise the discovery and remediation of vulnerabilities during the lifetime of the product. ・オンボードおよびオフボードソリューションのセキュリティ評価を促進し、製品のライフタイムにおける脆弱性の発見と修正を標準化する。
Lack of expertise and skilled resources for CAM cybersecurity CAMのサイバーセキュリティに関する専門知識と熟練した人材の不足
The lack of human resources with expertise in cybersecurity on the market is a major obstacle that hinders the adoption of security measures specific to CAM products and solutions. サイバーセキュリティの専門知識を持つ人材が市場に不足していることが、CAM製品やソリューションに特化したセキュリティ対策の採用を妨げる大きな障害となっています。
・encourage cross-functional security and safety knowledge exchange between IT/OT and mobility experts respectively; ・IT/OTとモビリティの専門家の間で、機能横断的なセキュリティと安全の知識交換を促進する。
・introduce programmes at schools and universities to address the lack of security and safety knowledge across the industry. ・業界全体におけるセキュリティと安全に関する知識の不足を解消するため、学校や大学でプログラムを導入する。
Such challenges are only an example of the important challenges addressed in the ENISA Report – Recommendations for the Security of Connected and Automated Mobility (CAM). このような課題は、ENISAレポート「Connected and Automated Mobility (CAM)のセキュリティに関する提言」で取り上げられている重要な課題の一例に過ぎません。

報告書は...

・2021.05.05 (publish) Recommendations for the security of CAM

・[PDF] Recommendations for the security of CAM

20210506-50611

1. INTRODUCTION 1. 序論
1.1 STUDY OBJECTIVES AND SCOPE 1.1 調査の目的と範囲
1.2 TARGET AUDIENCE 1.2 対象者
1.3 DOCUMENT STRUCTURE 1.3 ドキュメントの構成
2. CYBERSECURITY CHALLENGES AND RECOMMENDATIONS IN THE CAM AREA 2. CAM領域におけるサイバーセキュリティの課題と提言
2.1 GOVERNANCE AND CYBERSECURITY INTEGRATION INTO CORPORAT ACTIVITIES 2.1 企業活動におけるガバナンスとサイバーセキュリティの統合
2.2 LACK OF TOP MANAGEMENT SUPPORT AND CYBERSECURITY PRIORITISATION 2.2 トップマネジメントの支援とサイバーセキュリティの優先順位付けの欠如
2.3 TECHNICAL COMPLEXITY IN THE CAM ECOSYSTEM 2.3 CAMエコシステムにおける技術的複雑さ
2.4 TECHNICAL CONSTRAINTS FOR IMPLEMENTATION OF SECURITY INTO CAM 2.4 CAMにセキュリティを実装する際の技術的制約
2.5 FRAGMENTED REGULATORY ENVIRONMENT 2.5 断片化された規制環境
2.6 LACK OF EXPERTISE AND SKILLED RESOURCES FOR CAM CYBERSECURITY 2.6 CAMのサイバーセキュリティに関する専門知識と熟練したリソースの不足
2.7 LACK OF INFORMATION SHARING AND COORDINATION ON SECURITY ISSUES AMONG THE CAM ACTORS  2.7 CAM関係者の間でのセキュリティ問題に関する情報共有と調整の欠如 

 


参考

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.20 気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101)

・2021.04.10 欧州自動車工業会 事務局長の声明:自動車業界は車両データを積極的に共有し、消費者の選択と安全・安心を第一に考える

・2021.03.15 欧州データ保護委員会 (EDPB) コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表

・2021.02.12 ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

・2020.06.26 国土交通省 自動運行装置(レベル3)に係る国際基準が初めて成立しました

・2020.04.30 NISTIR 8294 Symposium on Federally Funded Research on Cybersecurity of Electric Vehicle Supply Equipment (EVSE)

・2020.03.31 トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性

少し古くなりますが・・・

・2016.10.26 U.S. DOT issues Federal guidance to the automotive industry for improving motor vehicle cybersecurity

・2012.06.21 IPA 「2011年度 自動車の情報セキュリティ動向に関する調査」報告書の公開 ~ネットワーク化・オープン化の進む自動車にセキュリティを~

・2012.04.25 自動車のオープンソース化は危険ではないか、という意見

 

 

| | Comments (0)

2021.05.05

Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。

こんにちは、丸山満彦です。

Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。

運用における標準約款契約を含む国際的多層委託モデルが複数存在し、かつオンプレ環境もある状況が当たり前になってくる中で、インシデント対応はより複雑になってきますよね。。。これ、日本語化してくれるといいかもですね。。。

● Cloud Security Alliance

・2021.05.04 (press) Cloud Security Alliance’s New Cloud Incident Response Framework Serves as Transparent, Common Blueprint Through Which to Share Best Practices

・2021.05.04 (published) Cloud Incident Response Framewor

Key Takeaways: Key Takeaways
How to effectively manage cloud incidents through the entire lifecycle of a disruptive event, including: 破壊的イベントのライフサイクル全体を通して、クラウド・インシデントをいかに効果的に管理するかについての
・Preparation ・準備
・Detection and analysis ・検知と分析
・Containment, eradication, and recovery ・封じ込め、根絶、回復
・Post-mortem ・事後処理
How to coordinate and share information with stakeholders and other organizations ステークホルダーや他の組織といかに調整や情報共有をするか
Who It’s For: 想定読者
All cloud customers すべてのクラウド利用者
Cloud service providers who need a clear framework for sharing incident response practices with customers インシデント対応方法を利用者と共有するための明確なフレームワークを必要とするクラウドサービスプロバイダー

 

20210505-53437

Table of Contents 目次
1. Introduction  1. 序文
Purpose  目的
Target Audience 想定読者
2. Normative References 2. 規範となる文献
3. Definitions 3. 定義
4. CIR Overview 4. CIRの概要
5. CIR Framework 5. CIRの枠組み
5.1 Phase 1: Preparation and Follow-on Review 5.1 フェーズ1:準備とフォローオンレビュー
5.1.1 Documentation 5.1.1 文書化
5.2 Phase 2: Detection and Analysis 5.2 フェーズ2:検知と分析
5.2.1 Inducement 5.2.1 誘引
5.2.1.1 Cause of Cloud Incident 5.2.1.1 クラウドインシデントの原因
5.2.1.2 Signs of an Incident 5.2.1.2 インシデントの兆候
5.2.1.3 Common Sources of Precursors and Indicators 5.2.1.3 前兆と指標の一般的な情報源
5.2.2 Incident Analysis to Determine Impacts 5.2.2 影響を決めるためのインシデント分析
5.2.2.1 Incident Analysis 5.2.2.1 インシデントの分析
5.2.2.2 Incident Notification 5.2.2.2 インシデントの通知
5.2.2.2.1 Incident Notification Timing 5.2.2.2.1 インシデントの通知タイミング
5.2.2.3 Incident Impacts 5.2.2.3 インシデントの影響
5.2.3 Evidence Gathering and Handling 5.2.3 証拠の収集と処理
5.3 Phase 3: Containment, Eradication, and Recovery 5.3 フェーズ3:封じ込め、根絶、回復
5.3.1 Choosing a Containment Strategy 5.3.1 封じ込め戦略の選択
5.3.2 Eradication and Recovery 5.3.2 封じ込めと回復
5.4 Phase 4: Post-Mortem 5.4 フェーズ4:事後処理
5.4.1 Incident Evaluation 5.4.1 インシデントの評価
5.4.1.1 Incident Evaluation Metrics 5.4.1.1 インシデントの評価指標
5.4.1.2 Incident Classification 5.4.1.2 インシデントの分類
5.4.2 Incident Closing Report 5.4.2 インシデントの終結報告
5.4.2.1 Lessons Learned 5.4.2.1 学んだ教訓
5.4.3 Incident Evidence Retention 5.4.3 インシデントの証拠の保持
6. Coordination and Information Sharing 6. 連携と情報共有
6.1 Coordination 6.1 コーディネーション
6.1.1 Coordination Relationships 6.1.1 協調関係
6.1.2 Sharing Agreements and Reporting Requirements 6.1.2 共有契約及び報告要件
6.2 Information-Sharing Techniques 6.2 情報共有の手法
6.3 Granular Information Sharing 6.3 概要レベルの情報共有
6.3.1 Business Impact Information 6.3.1 ビジネスインパクト情報
6.3.2 Technical Information 6.3.2 技術情報
6.4 Table-Top Exercises and Incident Simulations 6.4 テーブルトップ演習とインシデントシミュレーション
7. Summary 7. まとめ

 

 

| | Comments (0)

カナダ サイバーセキュリティセンター がBluetoothと暗号に関する2つのガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンター (Canadian Centre for Cyber Security) がBluetoothと暗号に関する2つのガイダンスを公表していますね。。。

多少の専門的な知識があることが前提となるとは思いますが、比較的平易に説明されていると思います。が、Bluetoothのガイダンスで記載されている内容は、利用者にとっては厳し目に感じるかもしれませんが、個人使用ではなく、組織の重要な情報を扱う端末での利用を考えると思いますので、、、

 

● Canadian Centre for Cyber Security

・2021.05.03 Using Encryption to Keep Your Sensitive Data Secure (ITSAP.40.016)

The cccs recommends CCCSの推奨事項
Evaluate the sensitivity of your information (e.g. personal and proprietary data) to determine where it may be at risk and implement encryption accordingly. 情報の機密性(個人情報や非公開専有情報など)を評価し、どこにリスクがあるかを判断し、それに応じて暗号化を導入する。
Choose a vendor that uses standardized encryption algorithms (e.g. CC and CMVP supported modules). 標準化された暗号化アルゴリズムを使用しているベンダーを選択する(例:CCおよびCMVP対応モジュール)。
Review your IT lifecycle management plan and budget to include software and hardware updates for your encryption products. ITライフサイクル管理計画と予算を見直し、暗号化製品のソフトウェアおよびハードウェアの更新を含める。
Update and patch your systems frequently. システムを適時に更新し、パッチを当てる。

20210505-51102

 

・2021.05.03 Using Bluetooth Technology (ITSAP.00.011)

Summary of security tips セキュリティに関する注意事項のまとめ
Keep all Bluetooth devices up to date (e.g. phones, headphones, keyboards, gaming equipment) すべてのBluetooth機器を最新の状態に保つ(例:携帯電話、ヘッドホン、キーボード、ゲーム機など)
Turn off Bluetooth when you’re not using itFootnote* Bluetoothを使用しないときは、Bluetoothをオフにする。
Turn off discovery mode when you’re not connecting devices デバイスを接続していないときはディスカバリーモードをオフにする
Avoid pairing devices in public spaces 公共の場でのデバイスのペアリングを避ける
Pair only with devices that you know and trust 知っていて信頼できるデバイスとのみペアリングする
Never transfer sensitive information over Bluetooth 機密情報をBluetoothで転送しない
Avoid using Bluetooth-enabled keyboards to enter sensitive information or passwords Bluetooth対応のキーボードを使って機密情報やパスワードを入力しない
Remove lost or stolen devices from your list of paired devices 紛失または盗難にあったデバイスをペアリング済みデバイスのリストから削除する
Delete all stored data and devices from Bluetooth enabled cars Bluetooth対応車から保存されたデータやデバイスをすべて削除する
Avoid pairing devices with rental cars レンタカーとデバイスのペアリングを避ける

 

20210505-51225

| | Comments (0)

2021.05.04

ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。

こんにちは、丸山満彦です。

ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。

● ISACA

・2021.04.29 (white paper) Blockchain Risk - Considerations for Professionals

・[PDF] [downloaded

20210504-91154

 

RD # Risk Domain リスクドメイン RSD # Risk Subdomain リスクサブドメイン
R-1 Governance ガバナンス R-1.01 Design デザイン
      R-1.02 Policies and Procedures 方針と手続き
R-2 Infrastructure インフラ R-2.01 Software Vulnerabilities ソフトウェアの脆弱性
      R-2.02 Protocol Management プロトコルの管理
      R-2.03 Consensus Mechanism 合意形成メカニズム
      R-2.04 Data Management データ管理
      R-2.05 Interoperability 相互運用性
      R-2.06 Integration 統合
R-3 Data データ R-3.01 Data Integrity データインテグリティ
      R-3.02 Access Rights アクセス権
      R-3.03 Blockchain Bloat ブロックチェーンの肥大化
      R-3.04 Nonstandard Transactions 標準外の取引
      R-3.05 Data Output データ出力
      R-3.06 Out-of-Range Data 範囲外のデータ
      R-3.07 Orphan Address 孤立したアドレス
R-4 Key Management 鍵管理 R-4.01 Insufficient Entropy 不完全なエントロピー
      R-4.02 Key Creation Methodology Validation 鍵の作成方法の検証
      R-4.03 Key Ceremony 鍵の儀式
      R-4.04 Third-party Created Keys 第三者が作成した鍵
      R-4.05 In-use Key Security 使用中の鍵のセキュリティ
      R-4.06 Key Encryption When Not In Use 未使用時の鍵の暗号化
      R-4.07 Key Backup Existence 鍵のバックアップの有無
      R-4.08 Geographic Key Backups 地理的な鍵のバックアップ
      R-4.09 Key Backup Access Controls 鍵のバックアップ アクセス制御
      R-4.10 Key Backup Environmental Protection 鍵のバックアップの環境保護
      R-4.11 Key Compromise Protocol キーコンプロマイズプロトコル
      R-4.12 Keyholder Grant/Revoke Policies 鍵の所有者への許可/取り消しポリシー
      R-4.13 Usage of Known Identifiers 既知の識別子の使用
      R-4.14 SMS Used as 2FA 2FAとしてSMSの使用
      R-4.15 Multisig Implementation マルチシグの実装
      R-4.16 Strong Encryption 強力な暗号化
      R-4.17 HSM Settings HSMの設定
      R-4.18 Recovery Process 回復プロセス
      R-4.19 Hardware Wallet Used for Cold Storage ハードウェアウォレットを使ったコールドストレージ
R-5  Smart Contracts スマート契約 R-5.01 Governance Risk ガバナンスリスク
      R-5.02 Design Risk 設計リスク
      R-5.03 External Interaction Risk 外部とのやりとりのリスク
      R-5.04 Manipulation/Denial of Service Risk 操作/サービス拒否リスク

 

エクセルにしたものです・・・

[xlsx]

| | Comments (0)

2021.05.03

U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画

こんにちは、丸山満彦です。

米国の「サイバーセキュリティ・インフラセキュリティ庁」 (Cybersecurity & Infrastracture Security Agency: CISA) が偽情報・誤情報の脅威とその対応方法についての漫画を2つ公開しています。

漫画はいかにもアメリカンな感じですが、参考になると思います。。。

CISA - RESILIENCE SERIES GRAPHIC NOVELS

2020年10月に公表された1作目です。

GRAPHIC NOVEL: REAL FAKE 

Real Fake, the first graphic novel in CISA’s Resilience Series, communicates the dangers and risks associated with dis- and misinformation through fictional stories that are inspired by real-world events. CISAのResilienceシリーズの最初のグラフィックノベル「Real Fake」は、現実の出来事から着想を得た架空の話を通して、偽情報や誤情報にまつわる危険性やリスクを伝えています。
Readers follow protagonists Rachel and Andre as they discover that a command center in Russia is using a network of troll farms to spread false narratives about elections to American voters. With the elections coming up, Rachel and Andre follow the trail of synthetic media and stop the cyber assailants from causing chaos, confusion, and division. 主人公のレイチェルとアンドレは、ロシアの司令部がトロールファーム [wikipedia] のネットワークを使って、アメリカの有権者に選挙に関する誤った情報を流していることを見つけます。選挙を間近に控えたレイチェルとアンドレは、合成メディア [wikipedia] の痕跡を追い、カオス、混乱、分裂を引き起こすサイバー攻撃者たちを阻止します。

・[PDF] Graphic Novel: 11.6 MB

20210503-64005

・[PDF] Script


2021.04.28に公表された2作目です。

GRAPHIC NOVEL: BUG BYTES

Bug Bytes, the second graphic novel in CISA’s Resilience Series, communicates the dangers and risks associated with threat actors using social media and other communication platforms to spread mis-, dis-, and malinformation (MDM) for the sole purpose of planting doubt in the minds of targeted audiences to steer their opinion. CISAの「Resilience Series」の2作目となるグラフィックノベル「Bug Bytes」は、ソーシャルメディアやその他のコミュニケーションプラットフォームを利用して、標的となる人々の心に疑念を植え付け、意見を誘導することを唯一の目的として、誤情報、偽情報、悪意のある情報(MDM)を広める脅威にまつわる危険性とリスクを伝える作品です。
Readers follow protagonist Ava who uses her wits and journalism skills to uncover a disinformation campaign set to damage 5G critical communications infrastructure in the United States. 主人公のエヴァは、知恵とジャーナリズムスキルを駆使して、米国の5G重要通信インフラにダメージを与えるための偽情報キャンペーンを明らかにしていきます。

・[PDF] Graphic Novel: 15.2 MB

20210503-64219

・[PDF] Script

 

| | Comments (0)

中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準を発表し、意見募集していますね。。。

こんにちは、丸山満彦です。

中国の情報セキュリティ標準化技術委員会(全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) )、いわゆるTC260が、顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準を発表し、意見募集していますね。。。

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) 情報セキュリティ標準化技術委員会

2021.04.28 国家标准《信息安全技术 声纹识别数据安全要求》 国家標準「情報セキュリティ技術 音声認識データのセキュリティ要件 DOCX
2021.04.28 国家标准《信息安全技术 步态识别数据安全要求》 国家標準「情報セキュリティ技術 歩行認識データセキュリティ要件 PDF
2021.04.23 国家标准《信息安全技术 人脸识别数据安全要求》 国家標準「情報セキュリティ技術 顔認識データセキュリティ要件 DOCX

 

国家标准《信息安全技术 声纹识别数据安全要求》 国家標準「情報セキュリティ技術 音声認識データのセキュリティ要件
前言  序文
1 范围  1 範囲
2 规范性引用文件  2 規範となる引用文書
3 术语和定义  3 用語と定義 
4 概述  4 概要 
4.1 声纹识别数据活动典型场景  4.1 音声認識データ活動の典型的なシナリオ 
4.2 声纹识别应用场景  4.2 声紋認証の利用シーン 
4.3 科学实验场景  4.3 科学実験のシナリオ 
4.4 非声纹识别的语音应用场景  4.4 非音声認識音声アプリケーションのシナリオ 
5 基本安全要求  5 基本的なセキュリティ要件 
6 安全处理要求  6 安全な処理の要件 
6.1 通用安全处理要求  6.1 一般的なセキュリティ処理の要件 
6.2 声纹识别应用场景安全处理要求  6.2 音声認識アプリケーションシナリオのセキュリティ処理要件 
6.3 科学实验场景安全处理要求  6.3 科学実験シナリオにおけるセキュリティ処理の要件 
6.4 非声纹识别的语音应用场景安全处理要求  6.4 音声認識以外の音声アプリケーションシナリオのセキュリティ処理要件 
7 安全管理要求 7 セキュリティ管理の要件
附录A (资料性) 声纹识别数据活动的典型场景 附属書A(参考)音声認識データ活動の典型的なシナリオ
A.1 声纹识别应用场景 A.1 音声認識アプリケーションのシナリオ
A.2 科学实验场景 A.2 科学実験のシナリオ
A.3 非声纹识别的语音应用场景 A.3 非音声認識音声アプリケーションのシナリオ
附录B (资料性) 声纹识别数据安全风险分析  附属書B (参考) 音声認識データのセキュリティリスク分析 
B.1 共性风险  B.1 一般的なリスク 
B.2 特性风险  B.2 特徴的なリスク 
附录C (资料性) 科学实验场景知情同意书示例  附属書C(参考) 科学実験シナリオのためのインフォームド・コンセント・フォームの例 
参考文献  参考文献 
   
国家标准《信息安全技术 步态识别数据安全要求》 国家標準「情報セキュリティ技術 歩行認識データセキュリティ要件
前言  序文
1 范围 1 範囲
2 规范性引用文件 2 規範となる引用文書
3 术语和定义 3 用語と定義
4 概述 4 概要
4.1 步态识别数据活动典型场景 4.1 歩行認識データ活動の典型的なシナリオ
4.2 场景分类  4.2 シナリオ分類 
4.3 数据控制者  4.3 データコントローラ 
5 基本安全要求  5 基本的なセキュリティ要件 
6 步态识别数据安全处理要求  6 歩行認識データの安全な処理条件 
6.1 通用安全处理要求  6.1 一般的なセキュリティ処理の要件 
6.2 身份识别应用场景  6.2 識別アプリケーションのシナリオ 
6.3 非身份识别场景  6.3 非識別化シナリオ 
6.4 科研场景  6.4 科学研究のシナリオ 
7 步态识别数据安全管理要求  7 歩行認識データのセキュリティ管理要件 
附录 A (资料性) 步态识别数据活动的典型场景  附属書A(参考) 歩行認識データの活動に関する典型的なシナリオ 
A.1 身份识别应用场景  A.1 識別アプリケーションのシナリオ 
A.2 非身份识别应用场景  A.2 非識別アプリケーションのシナリオ 
A.3 科研场景  A.3 科学研究のシナリオ 
附录 B (资料性) 步态识别数据常见安全风险  附属書B(参考) 歩行認識データに共通するセキュリティリスク 
B.1 常见安全风险  B.1 一般的なセキュリティリスク 
B.2 常见安全风险与条款对照表  B.2 一般的なセキュリティリスクと用語の比較表 
附录 C (资料性) 科学实验场景知情同意书示例  附属書C(参考) 科学実験シナリオのためのインフォームド・コンセント・フォームの例
参考文献  参考文献
   
国家标准《信息安全技术 人脸识别数据安全要求》 国家標準「情報セキュリティ技術 顔認識データセキュリティ要件
前言 序文
1 范围 1 スコープ
2 规范性引用文件 2 基準となる文献
3 术语和定义 3 用語と定義
4 概述 4 概要
5 基本安全要求 5 基本的な安全要件
6 安全处理要求 6 安全な取り扱いの要件
7 安全管理要求 7 安全管理の要件
参考文献 参考文献

20210502-234126


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

| | Comments (0)

2021.05.02

デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

こんにちは、丸山満彦です。

AIによる画像認識については、欧米を中心に大変関心が高まっていますが、中国の中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)がデジタルチャイナの情報セキュリティ・プライバシーに対する記事(原典:经济日报)を紹介していますね。。。(2021.04.14)

基本はプライバシーをちゃんと確保しましょうということです。。。

中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

・2021.04.14 经济日报:信息安全保护任重道远——建设数字中国系列述评之三

 

興味深いです。。。

1_20210502070401

| | Comments (0)

より以前の記事一覧