情報セキュリティ / サイバーセキュリティ

2022.12.04

NIST SP 1800-22 (ドラフト) モバイルデバイスセキュリティ:私物端末の持ち込み(BYOD)(2次ドラフト)

こんにちは、丸山満彦です。

NISTが、去年の3月(なので、1年9ヶ月前)にBYOD(私物端末の持ち込み)の実践ガイダンスのドラフトを公表し、意見募集をしていましたが、それを踏まえて第2ドラフトを公表し、意見募集をしています。。。

BYODは、従業員にとっては、携帯二台もちが避けられるのでメリットがありますが、

・情報技術(IT)部門の責任と複雑さの増加、

・保護されていない個人用デバイスから生じる企業のセキュリティ脅威、

・個人データのプライバシーの保護

に関する課題がありますね。。。

エグゼクティブサマリーの次の指摘はなかなか興味深いですね。。。

Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist. 企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。

 

NIST - ITL

・2022.11.29 SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft)

 

SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft) SP 1800-22 (ドラフト) モバイルデバイスセキュリティ:私物端末の持ち込み(BYOD)(2次ドラフト)
Announcement 発表
Many organizations now support their employees' use of personal mobile devices to remotely perform work-related activities. This increasingly common practice, known as Bring Your Own Device or BYOD, provides employees with increased flexibility to telework and access organizational information resources. Helping ensure that an organization's data is protected when it is accessed from personal devices, while ensuring employee privacy poses unique challenges and threats. 多くの組織では、従業員が個人所有のモバイルデバイスを使用して、業務に関連する活動をリモートで実行できるようになった。BYOD(Bring Your Own Device)と呼ばれるこの一般的な慣行は、テレワークや組織の情報リソースへのアクセスをより柔軟に行えるようにするもので、ますます普及している。しかし、個人所有のデバイスから組織のデータにアクセスする際、従業員のプライバシーを守りながらデータを保護することは、非常に困難な課題であり、脅威でもある。
The goal of the Mobile Device Security: Bring Your Own Device practice guide is to provide an example solution that helps organizations use both a standards-based approach and commercially available technologies to help meet their security and privacy needs when permitting personally-owned mobile devices to access enterprise resources.  モバイルデバイスセキュリティの目標は、「Bring Your Own Device(私物端末の持ち込み)」である。Bring Your Own Deviceの実践ガイドの目的は、標準ベースのアプローチと市販のテクノロジーの両方を使用して、個人所有のモバイルデバイスによるエンタープライズリソースへのアクセスを許可する場合に、セキュリティとプライバシーのニーズを満たすのに役立つソリューションの例を提供することである。 
This second draft includes major updates to the iOS BYOD implementation.  この第 2 ドラフトには、iOS BYOD の実装に関する大幅な更新が含まれている。 
We look forward to receiving your comments and any feedback on the following questions will be very helpful: また、以下の質問に対するご意見もお待ちしている。
Does the guide meet your needs? このガイドはあなたのニーズを満たしているか?
Can you put this solution to practice?  このソリューションを実践できるか? 
Are specific sections more/less helpful? 特定のセクションはより有用であるか/そうではありませんか?
Abstract 概要
Bring Your Own Device (BYOD) refers to the practice of performing work-related activities on personally owned devices. This practice guide provides an example solution demonstrating how to enhance security and privacy in Android and iOS smartphone BYOD deployments. BYOD(Bring Your Own Device)とは、個人所有のデバイスで業務に関連する活動を行うことを指す。この実践ガイドでは、Android および iOS スマートフォンの BYOD 導入におけるセキュリティとプライバシーを強化する方法を示すソリューションの例を示する。
Incorporating BYOD capabilities into an organization can provide greater flexibility in how employees work and increase the opportunities and methods available to access organizational resources. For some organizations, the combination of traditional in-office processes with mobile device technologies enables portable communication approaches and adaptive workflows. For others, it fosters a mobile-first approach in which their employees communicate and collaborate primarily using their mobile devices. BYOD 機能を組織に組み込むことで、従業員の働き方に柔軟性が生まれ、組織のリソースにアクセスする機会や方法が増えます。組織によっては、従来のオフィス内のプロセスとモバイル・デバイス・テクノロジーを組み合わせることで、携帯可能なコミュニケーション・アプローチと適応性のあるワークフローを実現できる。また、従業員が主にモバイルデバイスを使用してコミュニケーションやコラボレーションを行う、モバイルファーストのアプローチを促進する組織もある。
However, some of the features that make BYOD mobile devices increasingly flexible and functional also present unique security and privacy challenges to both work organizations and device owners. The unique nature of these challenges is driven by the diverse range of devices available that vary in type, age, operating system (OS), and the level of risk posed. しかし、BYODモバイル・デバイスの柔軟性と機能性を高めるいくつかの機能は、職場組織とデバイスの所有者の両方に対して、セキュリティとプライバシーに関する独自の課題を提起している。これらの課題は、種類、年齢、オペレーティング・システム(OS)、およびリスクのレベルが異なるさまざまなデバイスが利用可能であることに起因している。
Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist. 企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。
To help organizations benefit from BYOD’s flexibility while protecting themselves from many of its critical security and privacy challenges, this Practice Guide provides an example solution using standards-based, commercially available products and step-by-step implementation guidance. この実践ガイドでは、BYOD の柔軟性を活用しながら、セキュリティとプライバシーに関する多くの重要な課題から組織を保護するために、標準ベースの市販製品を使用したソリューションの例と段階的な実装ガイダンスを提供する。

 

・[PDF]  NIST SP 1800-22 2pd

20221203-103740

 

・エグゼクティブサマリー...

 

Executive Summary  要旨 
Many organizations provide employees the flexibility to use their personal mobile devices to perform work-related activities. An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise. Ensuring that an organization’s data is protected when it is accessed from personal devices poses unique challenges and threats.  多くの組織では、従業員が個人所有のモバイルデバイスを使用して業務に関連する活動を行うことができるように柔軟性を提供している。個人所有のモバイルデバイスのセキュリティが不十分な場合、組織や従業員はデータの損失やプライバシーの侵害にさらされる可能性がある。個人所有のモバイルデバイスからアクセスする際に、組織のデータを確実に保護することは、独自の課題と脅威をもたらする。
Allowing employees to use their personal mobile devices for work-related activities is commonly known as a bring your own device (BYOD) deployment. A BYOD deployment offers a convenient way to remotely access organizational resources, while avoiding the alternative of carrying both a work phone and personal phone. This NIST Cybersecurity Practice Guide demonstrates how organizations can use standards-based, commercially available products to help meet their BYOD security and privacy needs.  従業員が個人所有のモバイルデバイスを業務に使用することは、一般的にBYOD(Bring Your Own Device)と呼ばれている。BYOD を導入すると、組織のリソースにリモートでアクセスできるようになる一方で、仕事用の携帯電話と個人用の携帯電話の両方を持ち歩くという選択肢を避けることができる。この NIST サイバーセキュリティ実践ガイドは、組織が標準ベースの市販製品を使用して、BYOD のセキュリティとプライバシーのニーズを満たす方法を示している。
CHALLENGE  課題 
BYOD devices can be used interchangeably for work and personal purposes throughout the day. While flexible and convenient, BYOD can introduce challenges to an enterprise. These challenges can include additional responsibilities and complexity for information technology (IT) departments caused by supporting many types of personal mobile devices used by the employees, enterprise security threats arising from unprotected personal devices, as well as challenges protecting the privacy of employees and their personal data stored on their mobile devices.  BYOD デバイスは、1 日を通して仕事とプライベートの両方の目的で交換可能に使用されます。BYOD は柔軟で便利な反面、エンタープライズに課題をもたらす可能性がある。これらの課題には、従業員が使用する多くの種類の個人用モバイルデバイスをサポートすることによる情報技術(IT)部門の責任と複雑さの増加、保護されていない個人用デバイスから生じる企業のセキュリティ脅威、および従業員とそのモバイルデバイスに保存されている個人データのプライバシーを保護する課題などがある。
An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise. 個人用モバイルデバイスのセキュリティが不十分な場合、組織や従業員がデータ損失やプライバシー侵害にさらされる可能性がある。
SOLUTION  解決策 
The National Cybersecurity Center of Excellence (NCCoE) collaborated with the mobile community and cybersecurity technology providers to build a simulated BYOD environment. Using commercially available products, the example solution’s technologies and methodologies can enhance the security  posture of the adopting organization and help protect employee privacy and organizational information assets. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、モバイルコミュニティおよびサイバーセキュリティ技術プロバイダーと協力し、BYOD環境のシミュレーションを構築した。市販の製品を使用することで、このソリューションのテクノロジーと方法論は、採用する組織のセキュリティ姿勢を強化し、従業員のプライバシーと組織の情報資産を保護するのに役立つ。
This practice guide can help your organization:  この実践ガイドでは、以下のことを実現する。
§  protect data from being accessed by unauthorized persons when a device is stolen or misplaced § デバイスの盗難や置き忘れの際に、不正アクセスからデータを保護する。
§  reduce risk to employees through enhanced privacy protections § プライバシー保護の強化により、従業員のリスクを軽減する。
§  improve the security of mobile devices and applications by deploying mobile device technologies   § モバイルデバイス技術の導入によるモバイルデバイスとアプリケーションのセキュリティの向上  
§  reduce risks to organizational data by separating personal and work-related information from each other § 個人情報と業務関連情報を分離することによる組織データへのリスクの低減
§  enhance visibility into mobile device health to facilitate identification of device and data compromise, and permit efficient user notification  § モバイルデバイスの健全性を可視化し、デバイスとデータの侵害を特定し、ユーザーへの通知を効率的に行う。
§  leverage industry best practices to enhance mobile device security and privacy  § モバイルデバイスのセキュリティとプライバシーを強化するために、業界のベストプラクティスを活用する。
§  engage stakeholders to develop an enterprise-wide policy to inform management and employees of acceptable practices § 管理職と従業員に許容されるポリシーを伝えるため、利害関係者を巻き込んでエンタープライズ全体のポリシーを策定する。
The example solution uses technologies and security capabilities (shown below) from our project collaborators. The technologies used in the solution support security and privacy standards and guidelines including the NIST Cybersecurity Framework and NIST Privacy Framework, among others. Both iOS and Android devices are supported by this guide’s example solution.  このソリューションの例では、プロジェクトの協力者が提供するテクノロジーとセキュリティ機能(以下に示す)を使用している。このソリューションで使用されているテクノロジーは、NIST Cybersecurity FrameworkやNIST Privacy Frameworkなどのセキュリティとプライバシーの標準およびガイドラインをサポートしている。このガイドのサンプルソリューションでは、iOSとAndroidの両方のデバイスがサポートされている。
While the NCCoE used a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution. NCCoEはこの課題に対処するために一連の商用製品を使用したが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではありません。組織の情報セキュリティ専門家は、既存のツールや IT システムのインフラと最もよく統合できる製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズし、実装することもできる。
HOW TO USE THIS GUIDE  このガイドの使用方法 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割に応じて、このガイドをさまざまな方法で使用することができる。
Business decision makers, including chief information security and technology officers can use this part of the guide, NIST SP 1800-22a: Executive Summary, to understand the impetus for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  情報セキュリティおよび技術の最高責任者を含むビジネス意思決定者は、本ガイドのこの部分であるNIST SP 1800-22Aを使用できる。エグゼクティブ・サマリーは、本ガイドのきっかけ、当社が取り組むサイバーセキュリティの課題、この課題を解決するための当社のアプローチ、およびこのソリューションが組織にどのような利益をもたらすかを理解するために使用する。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use the following:  リスクを特定、理解、評価、および軽減する方法に関心のある技術、セキュリティ、およびプライバシープログラムマネージャーは、以下を利用することができる。
§  NIST SP 1800-22b: Approach, Architecture, and Security Characteristics, which describes what we built and why, the risk analysis performed, and the security/privacy control mappings.  § NIST SP 1800-22b: NIST SP 1800-22b: アプローチ、アーキテクチャ、およびセキュリティ特性。何をなぜ作ったか、実施したリスク分析、セキュリティ/プライバシー制御のマッピング。 
§  NIST SP 1800-22 Supplement: Example Scenario: Putting Guidance into Practice, which provides an example of a fictional company using this practice guide and other NIST guidance to implement a BYOD deployment with their security and privacy requirements.  § NIST SP 1800-22 Supplement。シナリオの例。この実践ガイドおよび他の NIST ガイダンスを使用して、セキュリティおよびプライバシーの要件を満たす BYOD 展開を行う架空の会社の例を示している。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-22c: How To Guides, which provides specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project.   このようなアプローチを実施したいIT専門家は、NIST SP 1800-22C: How To Guidesを利用できる。このガイドでは、実装例を構築するための具体的な製品のインストール、構成、および統合の手順が提供されており、このプロジェクトのすべてまたは一部を再現することができる。 

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.2.1 Standards and Guidance 1.2.1 標準とガイダンス
1.3 Benefits 1.3 利点
2  How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 タイポグラフィ規則
3 Approach 3 アプローチ
3.1  Audience 3.1 想定読者
3.2  Scope 3.2 対象範囲
3.3 Assumptions 3.3 前提条件
3.4 Risk Assessment 3.4 リスクアセスメント
4 Architecture 4 アーキテクチャ
4.1  Common BYOD Risks and Potential Goals to Remediate Those Risks 4.1 一般的なBYODリスクと、そのリスクを修正するための潜在的な目標
4.1.1  Threat Events 4.1.1 脅威となる事象
4.1.2  Privacy Risks 4.1.2 プライバシー・リスク
4.1.3  Security and Privacy Goals 4.1.3 セキュリティとプライバシーの目標
4.2  Example Scenario: Putting Guidance into Practice 4.2 シナリオの例:ガイダンスの実践
4.3  Technologies that Support the Security and Privacy Goals of the Example Solution 4.3 ソリューション例のセキュリティとプライバシーの目標をサポートする技術
4.3.1  Trusted Execution Environment 4.3.1 信頼された実行環境
4.3.2  Enterprise Mobility Management 4.3.2 エンタープライズモビリティ管理
4.3.3  Virtual Private Network 4.3.3 仮想プライベートネットワーク
4.3.4  Mobile Application Vetting Service 4.3.4 モバイルアプリケーション審査サービス
4.3.5  Mobile Threat Defense 4.3.5 モバイル脅威防御
4.3.6  Mobile Operating System Capabilities 4.3.6 モバイルオペレーティングシステム機能
4.4  Architecture Description 4.4 アーキテクチャの説明
4.5  Enterprise Integration of the Employees’ Personally Owned Mobile Devices 4.5 従業員の個人所有のモバイルデバイスのエンタープライズ統合
4.5.1  Microsoft Active Directory Integration 4.5.1 Microsoft Active Directoryの統合
4.5.2  Mobile Device Enrollment 4.5.2 モバイルデバイスのエンロールメント
4.6  Mobile Components Integration 4.6 モバイルコンポーネントの統合
4.6.1  Zimperium–MaaS360 4.6.1 Zimperium-MaaS360
4.6.2  Kryptowire–MaaS360 4.6.2 Kryptowire-MaaS360
4.6.3  Palo Alto Networks–MaaS360 4.6.3 パロアルトネットワークス-MaaS360
4.6.4  iOS and Android MDM Integration 4.6.4 iOSおよびAndroid MDMの統合
4.7  Privacy Settings: Mobile Device Data Processing 4.7 プライバシー設定。モバイルデバイスのデータ処理
4.7.1  EMM: MaaS360 4.7.1 EMM: MaaS360
4.7.2  MTD: Zimperium 4.7.2 MTD: Zimperium(ジンペリウム
4.7.3  Application Vetting: Kryptowire 4.7.3 アプリケーションベッティング Kryptowire
4.7.4  VPN: Palo Alto Networks 4.7.4 VPN:Palo Alto Networks(パロアルトネットワークス
5  Security and Privacy Analysis 5 セキュリティとプライバシーの分析
5.1  Analysis Assumptions and Limitations 5.1 分析の前提条件と限界
5.2  Build Testing 5.2 ビルドテスト
5.3  Scenarios and Findings 5.3 シナリオと調査結果
5.3.1  Cybersecurity Framework, Privacy Framework, and NICE Framework Work Roles Mappings 5.3.1 サイバーセキュリティフレームワーク、プライバシーフレームワーク、および NICE フレームワークの作業役割マッピング
5.3.2  Threat Events and Findings 5.3.2 脅威イベントと調査結果
5.3.3  Privacy Risk Findings 5.3.3 プライバシーリスクの調査結果
5.4  Security and Privacy Control Mappings 5.4 セキュリティとプライバシーコントロールの対応付け
6  Example Scenario: Putting Guidance into Practice 6 シナリオの例。ガイダンスの実践
7  Conclusion 7 結論
8  Future Build Considerations 8 今後の構築に関する考察
Appendix A List of Acronyms 附属書A 頭字語リスト
Appendix B Glossary 附属書B 用語集
Appendix C References 附属書C 参考文献
Appendix D Standards and Guidance 附属書D 標準とガイダンス
Appendix E Example Security Subcategory and Control Map 附属書E セキュリティサブカテゴリーとコントロールマップの例
Appendix F Example Privacy Subcategory and Control Map 附属書F プライバシーサブカテゴリーとコントロールマップの例

 

 


 

1st ドラフトの時...

まるちゃんの情報セキュリティきまぐれ日記

・2021.03.19 NIST SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) BYODのセキュリティ

 

| | Comments (0)

2022.12.03

Interpol サイバー化された金融犯罪:インターポールの世界的な警察活動で1億3,000万米ドル(175億円)を阻止 (2022.11.24)

こんにちは、丸山満彦です。

インターポールの世界的な活動である、HAECHI III作戦で1億3,000万米ドル(175億円)の仮想資産を押収し、約1000名を逮捕したと公表していますね。。。

ちなみに、HAECHI III作戦(2022.06.28-11.23)には30カ国が参加していて、日本も参加していますね。。。

確かに銀行強盗をしようとする人はかなり減っていて、金融犯罪というのは、基本的にサイバーですよね。。。

 

Interpol

・2022.11.24 Cyber-enabled financial crime: USD 130 million intercepted in global INTERPOL police operation

 

Cyber-enabled financial crime: USD 130 million intercepted in global INTERPOL police operation サイバー化された金融犯罪:インターポールの世界的な警察活動で1億3,000万米ドルを阻止
Operation HAECHI III cracks down on voice phishing, romance scams, sextortion, investment fraud, business email compromise and money laundering associated with illegal online gambling  「HAECHI III作戦」は、違法なオンライン・ギャンブルに関連する音声フィッシング、ロマンス詐欺、セクストーション、投資詐欺、ビジネス・メール侵害、マネーロンダリングを取り締まるものである。
LYON, France – An INTERPOL police operation to tackle online fraud has seen almost 1000 suspects arrested and the seizure of USD 129,975,440 worth of virtual assets. フランス、リヨン - インターポール(国際刑事警察機構)のオンライン詐欺撲滅作戦により、約1000人の容疑者が逮捕され、1億2997万5440ドル相当の仮想資産が押収された。
Fraud investigators around the world worked together over five months (28 June – 23 November) to intercept money and virtual assets linked to a wide range of cyber-enabled financial crimes and money laundering, assisting countries to recover and return illicitly obtained funds to victims. 世界中の詐欺捜査官が5ヶ月間(6月28日~11月23日)協力し、幅広いサイバー金融犯罪やマネーロンダリングに関連する資金や仮想資産を押収し、各国が不正に入手した資金を回収して被害者に返還できるよう支援した。
Specifically targeting voice phishing, romance scams, sextortion, investment fraud and money laundering associated with illegal online gambling, Operation HAECHI III was coordinated by INTERPOL’s Financial Crime and Anti-Corruption Centre (IFCACC) which supported 30 countries via their respective INTERPOL National Central Bureaus (NCBs). 特に音声フィッシング、ロマンス詐欺、セクストーション、投資詐欺、違法オンラインギャンブルに関連するマネーロンダリングをターゲットとした「オペレーション HAECHI III」は、インターポールの金融犯罪・腐敗防止センター(IFCACC)が調整し、それぞれのインターポール国内中央局(NCB)を通じて30カ国を支援した。
In total, the operation resulted in the arrest of 975 individuals and allowed investigators to resolve more than 1,600 cases. In addition almost 2,800 bank and virtual-asset accounts linked to the illicit proceeds of online financial crime were blocked. この活動により、合計で975人が逮捕され、捜査官は1,600件以上の事件を解決することができた。さらに、オンライン金融犯罪の不正収益に関連する約2,800の銀行口座と仮想資産口座が封鎖された。
Operation HAECHI III investigations generated the publication of 95 INTERPOL Notices and diffusions, and the detection of 16 new crime trends. HAECHI III作戦の捜査により、95件のインターポール・ノーティスが発行され、拡散され、16件の新しい犯罪動向が検出された。
Taking the profit out of financial crime 金融犯罪から利益を得る
Operation HAECHI III brought together law enforcement agencies, Financial Intelligence Units, asset recovery offices, prosecutors and private sector financial experts to identify illicit funds and money mules, detect money laundering activities and deactivate associated bank accounts. HAECHI III作戦は、法執行機関、金融情報部門、資産回収事務所、検察、民間の金融専門家を集め、不正資金やマネー・ミュールの特定、マネー・ローンダリング活動の検出、関連銀行口座の無効化などを行いた。
“The success of this operation is based on two key elements for law enforcement, follow the money and cooperation via INTERPOL. We have highlighted the need for greater efforts to deprive criminals of their illegal gains and this operation has seen member countries doing just that.” Jürgen Stock, INTERPOL Secretary General 「この作戦の成功は、法執行機関にとって2つの重要な要素、資金の追跡とインターポールを通じた協力に基づくものである。私たちは、犯罪者から違法な利益を奪うためにさらなる努力が必要であることを強調してきたが、この作戦によって、加盟国はまさにそれを実践している」ユルゲン・ストックINTERPOL事務局長
International police cooperation during Operation HAECHI III unveiled several emerging online financial crime trends, particularly variations on impersonation scams, romance frauds, sextortion and investment frauds. HAECHI III」作戦における国際警察の協力により、オンライン金融犯罪の新たなトレンド、特になりすまし詐欺、ロマンス詐欺、セクストーション、投資詐欺のバリエーションが明らかにされた。
Investigators also reported a surge in fraudulent investment schemes committed through the use of instant messaging apps where encrypted information is exchanged promoting the use of cryptocurrency wallets for payment. また、暗号化された情報をやり取りするインスタントメッセージングアプリを利用した詐欺的な投資スキームが急増しており、暗号通貨ウォレットを使った支払いを促進していると報告されている。
In one investigation, two Red Notice fugitives wanted by Korea for suspected involvement in a global Ponzi scheme were arrested in Greece and Italy after embezzling EUR 28 million from 2,000 Korean victims. ある捜査では、世界的なねずみ講への関与が疑われ、韓国から指名手配されていた2人のレッドノーティスの逃亡者が、韓国の被害者2000人から2800万ユーロを横領した後、ギリシャとイタリアで逮捕された。
In another case, the Austrian and Indian NCBs identified a group of online criminals who had been impersonating INTERPOL officers, persuading victims to transfer some USD 159,000 through financial institutions, cryptocurrency exchanges and online gift cards. Indian authorities raided the call centre, seizing four cryptocurrency wallets and other crucial crime evidence. 別の事例では、オーストリアとインドのNCBが、INTERPOLの職員になりすまし、金融機関、暗号通貨取引所、オンラインギフトカードを通じて約15万9000米ドルを送金するよう被害者を説得していたネット犯罪者のグループを特定した。インド当局はコールセンターを急襲し、4つの暗号通貨ウォレットとその他の重要な犯罪証拠を押収した。
"As we look to the future, we recognize the importance for decisive and concerted law enforcement action across borders.  This year’s leg of Operation HAECHI III speaks volumes of IFCACC’s dedicated coordination and the strong commitment of participating countries, all of which foretell of new law enforcement victories ahead," said Hyung Se Lee, Head of NCB Seoul. 「私たちは将来を見据え、国境を越えた断固とした協調的な法執行活動の重要性を認識している。  今年の「オペレーション HAECHI III」は、IFCACCの献身的な調整と参加国の強いコミットメントを物語っており、これらはすべて今後の新たな法執行の勝利を予見させるものである」とNCB SeoulのHyung Se Lee代表は述べている。
From test pilot to live policing tool: ARRP テストパイロットから実際の取り締まりツールへ:ARRP
After several months of pilot testing, Operation HAECHI III saw investigators launch INTERPOL’s new global stop-payment mechanism, known as the Anti-Money Laundering Rapid Response Protocol (ARRP), which  enables countries to work together to submit and handle requests to restrain criminal proceeds. 数カ月にわたるパイロットテストの後、HAECHI III作戦では、捜査官がインターポールの新しいグローバルな支払停止メカニズムであるアンチ・マネー・ローンダリング迅速対応プロトコル(ARRP)を立ち上げた。
Among many ARRP successes during the operation, NCBs Manchester and Dublin worked together to trace and seize some EUR 1.2 million lost to business email scams perpetrated in Ireland.  The funds were returned in full to the victim’s Irish bank account, and investigations continue. この活動では、ARRPの多くの成功例の中で、マンチェスターとダブリンのNCBが協力して、アイルランドで行われたビジネスメール詐欺で失われた約120万ユーロを追跡・押収した。  資金は被害者のアイルランドの銀行口座に全額返還され、捜査が続けられている。
Since January 2022, in total the ARRP has helped member countries recover more than USD 120 million in criminal proceeds from cyber-enabled fraud. 2022年1月以降、ARRPは合計で1億2千万米ドル以上のサイバー対応詐欺の犯罪収益回収を加盟国に支援してきた。
HAECHI III participating countries : Australia, Austria, Brunei, Cambodia, Cote d’Ivoire, France, Ghana, Hong Kong (China), India, Indonesia, Ireland, Japan, Korea, Kyrgyzstan, Laos, Malaysia, Maldives, Nigeria, Philippines, Poland, Romania, Singapore, Slovenia, South Africa, Spain, Sweden, Thailand, United Arab Emirates, United Kingdom, United States. HAECHI III参加国: オーストラリア、オーストリア、ブルネイ、カンボジア、コートジボワール、フランス、ガーナ、香港(中国)、インド、インドネシア、アイルランド、日本、韓国、キルギスタン、ラオス、マレーシア、モルジブ、ナイジェリア、フィリピン、ポーランド、ルーマニア、シンガポール、スロベニア、南アフリカ、スペイン、スウェーデン、タイ、アラブ首長国連邦、英国、米国。
The HAECHI III Operation is global in scope, conducted under the aegis of a three-year project to tackle cyber-enabled financial crime supported by the Republic of Korea, with the participation of INTERPOL member countries on every continent. HAECHI III作戦は、韓国が支援するサイバー金融犯罪に対処するための3年間のプロジェクトの庇護のもと、全大陸のインターポール加盟国の参加を得て実施されるグローバルな作戦である。

Interpol

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.10.15 警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.01.31 警察法改正案 情報通信局からサイバー警察局へ他

・2021.12.19 警察庁 サイバーセキュリティ政策会議 【令和3年度】サイバー局等新組織において取り組む政策パッケージ

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.25 警察庁 サイバー事案への対処能力の強化のために警察庁にサイバー局を設置?

・2021.05.17 Interpol 英国の資金でアフリカのサイバー犯罪と戦うためのイニシアティブを始めた

・2021.04.23 警察庁から「犯罪インフラ化するSMS認証代行への対策について」が公表されていますね

・2020.12.13 Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を2万人以上を逮捕し、約160億円を押収したようですね。

 

 

一気に10年前に飛びます(^^)

・2012.07.22 警察庁 警察庁長官官房審議官(サイバーセキュリティ戦略担当)の設置

・2012.06.12 警察庁 CSIRT設置

・2010.07.27 警察庁 マネー・ローンダリング対策のための事業者による顧客管理の在り方に関する懇談会報告書

・2010.03.23 警察庁 情報技術解析平成21年報

・2010.02.08 警察庁 確定 国家公安委員会が所管する事業分野における個人情報保護に関する指針

・2008.04.09 警察庁 Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について(平成19年度総合セキュリティ対策会議 報告書)

・2007.03.08 警察庁 暗号化ソフト開発

・2007.02.22 警察庁 DNA型記録検索システム

・2005.10.22 警察庁 有害ネットの自動監視システム構築へ?

・2005.08.19 警察庁 平成17年上半期の犯罪情勢

・2005.07.22 警察庁 サイバー犯罪防止広報パンフレット

・2005.06.29 警察庁とマイクロソフトが技術協力

・2005.06.17 警察庁 インターネット安全・安心相談システムを開始

・2005.06.21 政府の情報セキュリティ機関

・2005.06.11 奥菜恵さんをインターネット安全大使に任命

・2005.04.07 警察庁 情報セキュリティ対策の実態調査

・2005.04.01 警察庁セキュリティビデオ 「サイバー犯罪事件簿~姿なき侵入者~」

・2005.03.01 サイバー犯罪といえば詐欺

・2005.02.24 サイバー犯罪といえば児童ポルノ

・2004.12.24 @policeの世界のセキュリティ情報

・2004.12.17 警察庁発表 振り込め詐欺対策

・2004.12.02 フィッシングって・・・と、その対策

・2004.11.25 政府のセキュリティサイトを訪ねてみよう

 

コンピュータ犯罪に関する白浜シンポジウム関係

・2022.05.27 第26回サイバー犯罪に関する白浜シンポジウム 顕在化する国境なきサイバー犯罪に立ち向かうために~ ランサムウェアの脅威を考える ~

・2021.05.22 第25回サイバー犯罪に関する白浜シンポジウムが終了しました。。。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

あのJIPDECの昭和57年発行の本をベースに発表した資料があります↓

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2012.05.27 白浜シンポおわりました! 今年で16回目

・2011.05.14 まもなく白浜シンポ! 今年で15回目

・2011.04.16 第15回サイバー犯罪に関する白浜シンポジウム

・2010.06.04 第14回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2010.04.11 第14回サイバー犯罪に関する白浜シンポジウム

・2009.06.05 第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2008.10.01 白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

・2008.06.07 白浜シンポ無事終了。来年もできるように。

・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。

・2008.04.15 第12回サイバー犯罪に関する白浜シンポジウム

・2007.06.09 白浜シンポ 無事終了・・・

・2007.06.09 白浜シンポ 無事、二日目終了・・・

・2007.06.08 白浜シンポ 無事、初日終了・・・

・2007.06.07 本日より・・・第11回サイバー犯罪に関する白浜シンポジウム

・2007.03.29 第11回サイバー犯罪に関する白浜シンポジウム

・2006.05.25 本日より・・・第10回コンピュータ犯罪に関する白浜シンポジウム

・2006.04.03 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム

・2005.05.21 第9回コンピュータ犯罪に関する白浜シンポジウム無事終了!

・2005.04.03 コンピュータ犯罪に関する白浜シンポジウム 2005

 

 

 

| | Comments (0)

ENISA サイバーセキュリティ市場分析をするためのディスカッション

こんにちは、丸山満彦です。

規制というのは、(寡占、公害といった外部不経済、情報の偏りなどの理由で)完全競争市場ではない市場において生じている社会全体の利潤の減少を補正し、完全競争市場であれば得られたであろう利潤に持っていくための手段なのだろうと思っています。なので、今ある市場がどのような状態であるのかということを理解することは、どのような補正をすれば、社会的に利潤が最大化するかを理解する上で重要なことだとおもっています。。。

また、企業にとっても市場を正しく理解することは、今後の製品、サービス開発にとっても重要なインプットとなりますね。。。

ということで、ENISAはサイバーセキュリティ市場をどのようにすれば適切に理解できるのかという市場分析の手法について、さまざまな立場の有識者を交えたディスカッションを通じて理解しようとしていますね。。。(今年の4月には暫定版の報告書も公開し、配電網分野のIoTセキュリティ市場での調査結果も公表しています。。。)

日本の政策決定課程との大きな違いかもですね。。。(政策を入れた時の社会への影響分析も欧米ではしますよね。。。日本ではあまり見たことないですが。。。)。日本の場合は、大きな声(利権に関わるので自然と声が大きくなる)の人の意見がより大きく政策に影響され、かえって市場が歪められていたりして。。。で、その結果、国際的な競争力を失っていたりして。。。 知らんけど。。。

さて、ENISAが11月23日ー24日にクラウドサービスを中心に行ったディスカッションのメモ...

結論...

  1. サイバーセキュリティの市場分析には、セクターの特異性を捉えるように設計された方法論を採用すべきである。
  2. サイバーセキュリティ・レジリエンス法は、サイバーセキュリティ市場の透明性を高める画期的な法律案である。同時に、域内市場、サイバーセキュリティ、レジリエンス政策を含む領域をシームレスにカバーするために、他の法律との整合性を確保することが重要である。
  3. EUのサイバーセキュリティ市場を改善し、できればその潜在能力を最大限に発揮させるためには、スキルギャップを解消することが必要である。
  4. 欧州のサイバーセキュリティ市場におけるクラウドセキュリティインフラへの投資レベルは、他の地域(例:米国)の取り組みに比べると遅れている。
  5. 政府は、(国家による攻撃など)必要なときにサイバーセキュリティサービスを利用できるEU市場で活動するサービスプロバイダの目録を保持する必要がある。
  6. サイバーセキュリティの認証制度は、中小企業の投資の可能性に見合ったものである必要がある。

Enisa_20221203060901

 

ENISA

・2022.12.01 Going to the market for Cybersecurity Market Analysis

Going to the market for Cybersecurity Market Analysis サイバーセキュリティ市場分析のために市場へ出向く
The European Union Agency for Cybersecurity (ENISA) organised its first conference on cybersecurity market analysis last week for EU cybersecurity market stakeholders to share experiences and initiate the debate on how to best perform EU cybersecurity market analysis. 欧州連合サイバーセキュリティ機関(ENISA)は先週、EUサイバーセキュリティ市場の関係者を対象に、サイバーセキュリティ市場分析に関する初の会議を開催し、EUサイバーセキュリティ市場分析の最善の実行方法について経験を共有し、議論を開始した。
The objective of the market conference held in Brussels on 23-24 November during the Certification week organised by ENISA, was to promote a policy debate in the area of cybersecurity market analysis. It allowed stakeholders to share their experiences and views on aspects of cybersecurity and what they perceive to be the EU market thereof. ENISAが主催する認証週間中の11月23日から24日にかけてブリュッセルで開催された市場会議の目的は、サイバーセキュリティ市場分析の分野における政策論争を促進することでした。この会議では、関係者がサイバーセキュリティの側面とそのEU市場に関する認識について、それぞれの経験や見解を共有することができた。
Focusing primarily on cloud services, suppliers and users of cybersecurity services, national and European regulators, and research organisations shared the main cybersecurity market trends. They also addressed the questions raised by the evolution of the European cybersecurity regulatory framework and the impact it is likely to have on their affairs and businesses. Such feedback is essential to identify current gaps in the market, seize business opportunities and assess the impact of the cybersecurity requirements. 主にクラウドサービスに焦点を当て、サイバーセキュリティサービスのサプライヤーとユーザー、国内および欧州の規制当局、研究機関が、サイバーセキュリティ市場の主要な動向を共有した。また、欧州のサイバーセキュリティ規制の枠組みの進化によって生じる疑問や、それが自分たちの業務やビジネスに与えるであろう影響についても取り上げた。このようなフィードバックは、市場における現在のギャップを特定し、ビジネスチャンスを掴み、サイバーセキュリティ要件がもたらす影響を評価するために不可欠なものである。
Lorena Boix Alonso is Director for Digital Society, Trust and Cybersecurity inat the European Commission’s Directorate General for Communications Networks Content and Technology (DG CONNECT), stated: "The EU Cybersecurity sector grows fast to match increased digitisation and cyber threats. The European Cyber Competence Center and the EU Agency for Cybersecurity-ENISA are instrumental to increase the EU cyber posture, respectively contributing to strategic investments on cyber capabilities and operational guidance on cyber resilience. We already have a strong research basis on cyber in the EU, but lag behind on turn that research into market impact. We also suffer from a shortage of skilled cyber workers, which is why the Commission will work with others to build a European Cybersecurity Skills Academy." 欧州委員会の通信ネットワーク・コンテンツ・技術総局(DG CONNECT)のデジタル社会・信頼・サイバーセキュリティ担当ディレクターであるロリーナ・ボワ・アロンソは、次のように述べている。「EUのサイバーセキュリティ部門は、デジタル化の進展とサイバー脅威の増大に合わせて急速に成長している。欧州サイバーコンピテンスセンターと欧州サイバーセキュリティ機関(ENISA)は、それぞれサイバー能力に関する戦略的投資とサイバーレジリエンスに関する運用指針に貢献し、EUのサイバー態勢の強化に寄与している。EUには、サイバーに関する強力な研究基盤がすでにあるが、その研究を市場にインパクトのあるものにすることについては遅れをとっている。また、熟練したサイバー従事者の不足にも悩まされている。だからこそ、欧州委員会は他の機関と協力して、欧州サイバーセキュリティ技能アカデミーを設立するのである」。
ENISA Executive Director, Juhan Lepassaar said: "We need to make sure our cybersecurity market is fit for our purpose to make the EU cyber resilient. The market analysis framework developed by ENISA will help identify potential loopholes and map synergies at work. With the right tools and insights from the experience of all our stakeholders across the EU Member States, cybersecurity market analysis will allow us to better understand where to apply our efforts to improve our efficiency." ENISAのJuhan Lepassaar事務局長は、次のように述べた。 「我々は、EUのサイバーレジリエンスを高めるために、サイバーセキュリティ市場が我々の目的に適合していることを確認する必要がある。ENISAが開発した市場分析フレームワークは、潜在的な抜け穴を特定し、作業中の相乗効果をマッピングするのに役立つ。適切なツールとEU加盟国中のすべての関係者の経験からの洞察により、サイバーセキュリティ市場分析では、どこに我々の努力を適用して効率を向上させるべきかをよりよく理解できるようになる。」
Outcomes 成果
During the event, speakers and participants engaged in a lively discussion concerning a host of cybersecurity market aspects. Key conclusions include the following: イベント期間中、講演者と参加者は、サイバーセキュリティ市場の多くの側面について、活発な議論を行った。主な結論は以下の通りである。
・Cybersecurity market analysis should adopt methodologies, that are designed to capture sectoral specificities. ・サイバーセキュリティの市場分析には、セクターの特異性を捉えるように設計された方法論を採用すべきである。
・The Cybersecurity Resilience Act is a ground-breaking piece of draft legislation, which enhances transparency in the cybersecurity market. At the same time, it is important to ensure alignment with other pieces of legislation to seamlessly cover the spectrum that includes, internal market, cybersecurity and resilience policies. ・サイバーセキュリティ・レジリエンス法は、サイバーセキュリティ市場の透明性を高める画期的な法律案である。同時に、域内市場、サイバーセキュリティ、レジリエンス政策を含む領域をシームレスにカバーするために、他の法律との整合性を確保することが重要である。
・It is necessary to close the skills gap in order to improve and hopefully unleash the full potential of the EU cybersecurity market. ・EUのサイバーセキュリティ市場を改善し、できればその潜在能力を最大限に発揮させるためには、スキルギャップを解消することが必要である。
・The level of investment in cloud security infrastructure in the European cybersecurity market lags the efforts across other regions (e.g. US). ・欧州のサイバーセキュリティ市場におけるクラウドセキュリティインフラへの投資レベルは、他の地域(例:米国)の取り組みに比べると遅れている。
・Governments should hold an inventory of the service providers operating in the EU market that make available cybersecurity services when needed (e.g. state-sponsored attacks). ・政府は、(国家による攻撃など)必要なときにサイバーセキュリティサービスを利用できるEU市場で活動するサービスプロバイダの目録を保持する必要がある。
・Cybersecurity certification schemes need to remain proportionate to the investment potential of SMEs. ・サイバーセキュリティの認証制度は、中小企業の投資の可能性に見合ったものである必要がある。
Background 開催背景
The conference that mobilised about 35 speakers, was organised across a range of discussion panels covering the following 6 key topics: 本コンファレンスでは、約35名の講演者が参加し、以下の6つの主要なトピックについて、様々なディスカッションパネルが構成されました。
1. Overview of the EU regulatory approach on cybersecurity; 1. サイバーセキュリティに関するEUの規制アプローチの概要
2. EU digital single market: cybersecurity requirements; 2. EUのデジタル単一市場:サイバーセキュリティの要件
3. Current Practices in Market Analysis and interplay with cybersecurity; 3. 市場分析における現在の実践とサイバーセキュリティとの相互作用。
4. Cybersecurity market: cooperation, innovation and investment strategies; 4. サイバーセキュリティ市場:協力、イノベーション、投資戦略。
5. Strengths, weaknesses, opportunities and threats for the EU cloud cybersecurity market; 5. EUクラウドサイバーセキュリティ市場の強み、弱み、機会、脅威。
6. Cybersecurity certification – driver for the EU cybersecurity market. 6. サイバーセキュリティ認証 - EUのサイバーセキュリティ市場のドライバー。
A sound market analysis can help market players and regulators make informed decisions on cybersecurity devices or services to use, policy initiatives and research and innovation funding. 健全な市場分析は、市場関係者や規制当局が、使用するサイバーセキュリティ機器やサービス、政策的取り組み、研究・イノベーションへの資金提供について、十分な情報に基づいた決定を下すのに役立つ。
For this purpose, ENISA developed a framework to carry out cybersecurity market analysis and it applied it already to the market of the Internet of Things (IoT) distribution grid. The focus shifted to cloud services in 2022. この目的のために、ENISAはサイバーセキュリティ市場分析を行うためのフレームワークを開発し、すでにモノのインターネット(IoT)配電網の市場に適用している。2022年にはクラウドサービスに焦点が移った。
A dedicated Ad Hoc Working Group (AHWG) on the EU Cybersecurity Market has been of assistance to ENISA. EUサイバーセキュリティ市場に関する専門のアドホック・ワーキング・グループ(AHWG)は、ENISAを支援している。
Target audience 対象者
・EU institutions, bodies and Agencies; ・EUの機関、団体、機関
・Member States/public authorities; ・加盟国/公的機関
・ENISA stakeholder groups; ・ENISAのステークホルダー・グループ
・Service providers; ・サービスプロバイダー
・Independent experts; ・独立した専門家
・Industry and industry associations; ・産業界および業界団体
・Research institutions and research related entities; ・研究機関及び研究関連団体
・Consumer organisations/associations. ・消費者組織・団体
Further information その他の情報
Cybersecurity Market Analysis Framework – ENISA report 2022 サイバーセキュリティ市場分析フレームワーク - ENISAレポート2022年版
EU Cybersecurity Market Analysis – IoT in Distribution Grids – ENISA report 2022 EUサイバーセキュリティ市場分析-配電網のIoT-ENISAレポート2022年版

 

サイバーセキュリティ市場分析フレームワークのページ...

● ENISA - Topics - MarketCybersecurity Market Analysis Framework

・Detail

The ENISA Cybersecurity Market Analysis Framework is a “cookbook” on how EU cybersecurity market analyses can be performed. is the cornerstone of ENISA activities in analysing the EU cybersecurity market, as it is used within ENISA to scope, customise and perform market analyses ENISAサイバーセキュリティ市場分析フレームワークは、EUサイバーセキュリティ市場分析をどのように行うことができるかについての「料理本」である。 は、ENISA内で市場分析の範囲、カスタマイズ、実行に使用されており、EUサイバーセキュリティ市場の分析におけるENISA活動の基礎となるものである。
Cybersecurity Market Analysis Framework サイバーセキュリティ市場分析フレームワーク
It is based on existing market analysis good practices and proposes improvements towards covering cybersecurity products, services and processes. In this context, in 2021 ENISA has developed an initial version of a cybersecurity analysis method. This work resulted in the initial version of the ENISA Cybersecurity Market Analysis Framework (ECSMAF)[1]. 既存の市場分析のグッドプラクティスに基づき、サイバーセキュリティ製品、サービス、プロセスをカバーする方向で改善を提案している。この文脈で、2021年、ENISAはサイバーセキュリティ分析手法の初期版を開発した。この作業の結果、初期バージョンのENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)が誕生した[1]。
Essentially, this framework is aimed at those who need a market analysis for a cybersecurity market product, service and processe. It explains what the market analyst should do to describe the cybersecurity market segment (for example, a specific technology) and have an informed view of the demand and supply sides of the cybersecurity market in that segment. 基本的に、このフレームワークは、サイバーセキュリティ市場の製品、サービス、プロセスについて市場分析を必要とする人を対象としている。サイバーセキュリティ市場のセグメント(例えば、特定の技術)を説明し、そのセグメントにおけるサイバーセキュリティ市場の需要側と供給側の情報に基づいた見解を持つために、市場分析が何をすべきかを説明している。
More specifically, ECSMAF has several aims such as to 具体的には、ECSMAFには以下のような狙いがある。
・help identify gaps and opportunities in the European cybersecurity market; ・欧州のサイバーセキュリティ市場におけるギャップと機会の特定を支援する。
・serve as a template or model or guide for putting together a cybersecurity market analysis that can be used for assessing the prospects for any new cybersecurity product, service or process; ・新しいサイバーセキュリティ製品、サービス、プロセスの見通しを評価するために使用できるサイバーセキュリティ市場分析をまとめるためのテンプレートまたはモデル、ガイドとして機能する。
・support the European cybersecurity market by applying more rigour and a more comprehensive, structured approach to the analysis of the market prospects for new products, services and/or processes; ・新しい製品、サービス、プロセスの市場見込みの分析に、より厳密で、より包括的、構造化されたアプローチを適用することによって、欧州のサイバーセキュリティ市場を支援する。
・complement other related work in ENISA (e.g., in risk assessment, research and innovation, cybersecurity index, policy development, cybersecurity certification) and outside ENISA (e.g., national market observatories and statistics organisations); ・ENISA の他の関連業務(例:リスク評価、研究・イノベーション、サイバーセキュリティ指標、政策立案、サイバーセキュリティ認証)および ENISA の外部(例:各国の市場観測機関、統計機関)を補完する。
・help the cybersecurity market analyst prepare a credible market analysis for new cybersecurity products, services and/or processes; ・サイバーセキュリティ市場分析が、新しいサイバーセキュリティ製品、サービス、および/またはプロセスのための信頼できる市場分析を準備するのを支援する。
・establish comparability and quality compliance among the results achieved within a single organisation (inter-organisation consistency); ・単一の組織内で達成された結果間の比較可能性と品質コンプライアンスを確立する(組織間の整合性)。
・establish comparability and quality compliance among results achieved by various analysts of various organisations (intra-organisation consistency); ・様々な組織の様々な分析が達成した結果間の比較可能性と品質コンプライアンスを確立する(組織内一貫性)。
・increase re-usability of material developed within various analysis surveys. ・様々な分析調査において開発された資料の再利用性を高める。
Currently, ECSMAF is used by ENISA within performed cybersecurity market analyses, while it is subject of continuous improvements to enhance its applicability and usefulness for a variety of stakeholders who might be interested in performing their own cybersecurity market analyses. Examples of these stakeholders are: 現在、ECSMAFは、ENISAが実施したサイバーセキュリティ市場分析で使用されているが、独自のサイバーセキュリティ市場分析を実施することに関心を持つ様々な利害関係者にとって、その適用性と有用性を高めるために、継続的な改善が行われている。これらの利害関係者の例としては
・EU institutions, bodies and agencies (e.g., DG-CNECT, DG-GROW, DG-JRC, DG-RTD, DG-TRADE, European Cybersecurity Competence Centre - ECCC, Eurostat, etc.). EU regulation and impact assessments often take into account market issues. Market analyses are important to help policymakers understand trends as well as related demand and supply issues. Market analyses can also help shape future calls in Horizon Europe and other EU programmes where there are market gaps. ・EUの機関、団体、機関(例:DG-CNECT, DG-GROW, DG-JRC, DG-RTD, DG-TRADE, European Cybersecurity Competence Centre - ECCC, Eurostat, etc.):EUの規制や影響評価は、しばしば市場の問題を考慮に入れている。市場分析は、政策立案者がトレンドや関連する需要や供給の問題を理解するために重要である。また、市場分析は、市場にギャップがある場合、ホライゾンヨーロッパや他のEUプログラムにおける将来の募集を形成するのに役立つことがある。
・Public authorities, especially cybersecurity authorities. Cybersecurity market surveillance is subject to regulation (e.g., CSA). The framework and its application may help in comparative market analyses and identifying shared efforts between the Member States. ・公的機関、特にサイバーセキュリティ当局。サイバーセキュリティの市場サーベイランスは規制の対象である(例:CSA):このフレームワークとその適用は、市場比較分析や加盟国間の共有努力の特定に役立つ可能性がある。
・ENISA stakeholder groups (e.g., European Cybersecurity Certification Group (ECCG) composed of Member States, Stakeholder Cybersecurity Certification Group, ENISA Advisory Group). The framework may support decision-making for prioritising certification efforts and spotting market gaps. ・ENISA の関係者グループ(例:加盟国で構成される欧州サイバーセキュリティ認証グループ(ECCG)、関係者サイバーセキュリティ認証グループ、ENISA アドバイザリーグループ):フレームワークは、認証の取り組みの優先順位付けや市場のギャップを見出すための意思決定を支援することができる。
・Industry associations [e.g., Ecosystem of Certification, EU TIC Council, the European Cyber Security Organisation (ECSO), the Information Security Forum (ISF)]: Industry and professional associations can use the framework to identify market opportunities, trends, challenges and vulnerabilities and the creation of competitive advantages to EU industry players. ・業界団体[例:認証のエコシステム、EU TIC 協議会、欧州サイバーセキュリティ組織(ECSO)、情報セキュリティフォーラム(ISF)]:業界団体や専門家団体は、市場の機会、傾向、課題、脆弱性を特定し、EUの業界関係者に競争上の優位性を創出するために、このフレームワークを利用することができる。
・Consumer organisations/associations. By using the framework, such organisations may assess the needs and requirements of consumers for cybersecurity products and services and their prospects in the European cybersecurity market. ・消費者団体/協会:このような組織は、フレームワークを使用することで、サイバーセキュリティ製品とサービスに対する消費者のニーズと要件、および欧州のサイバーセキュリティ市場における消費者の見通しを評価することができる。
・Research institutions may use the proposed methodology to assess the maturity of existing products and markets and guide the development of new technologies and services. ・研究機関:研究機関は、既存の製品や市場の成熟度を評価し、新しい技術やサービスの開発を指導するために、提案された方法論を使用することができる。
・Companies providing cybersecurity products, services and/or processes (supply side). The European Council has estimated that there are 60,000 such companies in Europe. Some are major companies who already conduct sophisticated market analyses, but by far the majority could benefit from some market analysis advice. For some companies, cybersecurity is their principal business; for others, it is just one line of business among others. ・サイバーセキュリティ製品、サービス、および/またはプロセスを提供する企業(供給側):欧州理事会は、欧州にそのような企業が6万社あると推定している。中には、すでに高度な市場分析を行っている大手企業もあるが、圧倒的に多くの企業が何らかの市場分析アドバイスを受けることができるだろう。サイバーセキュリティが主要な事業である企業もあれば、他の事業の中の1つに過ぎない企業もある。
・Companies who need cybersecurity products, services and/or processes (demand side). Such companies may have information security professionals and/or procurement officials who need to improve their companies’ cybersecurity. Hence, they need to find out what is available in the market to meet their needs and requirements. ・サイバーセキュリティの製品、サービス、および/またはプロセスを必要とする企業(需要側):このような企業には、自社のサイバーセキュリティを改善する必要がある情報セキュリティ専門家や調達担当者がいるかもしれない。したがって、彼らは、自分たちのニーズと要件を満たすために、市場で何が利用可能であるかを見つける必要がある。
In its current version, ECSMAF can be found HERE[2]. ECSMAFの現在のバージョンはこちら[2]。
[1] url [1]
[2] url [2]
LATEST PUBLICATIONS 最新出版物
ENISA Cybersecurity Market Analysis Framework (ECSMAF) ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)
This document is the cornerstone of ENISA activities in analysing the EU cybersecurity market: it presents a cybersecurity market analysis framework as a “cookbook” on how EU cybersecurity market analyses can be performed. この文書は、EUサイバーセキュリティ市場の分析におけるENISA活動の基礎となるもので、EUサイバーセキュリティ市場の分析をどのように行うことができるかについての「料理本」としてサイバーセキュリティ市場分析フレームワークを提示している。
[PDF] [PDF]
EU Cybersecurity Market Analysis - IoT in Distribution Grid EUサイバーセキュリティ市場分析-配電網のIoT化
This report analyses demand and supply of IoT cybersecurity in distribution grids. It provides detailed indications on how this market might further develop in the future. The conclusions provided in the report are related to the envisaged scope, being thus non-exhaustive with regard to the entire smart-grid infrastructure. 本報告書では、配電網におけるIoTサイバーセキュリティの需要と供給について分析している。この市場が今後どのように発展していくかについて、詳細な示唆を与えている。本レポートで提供される結論は、想定される範囲に関連しており、したがってスマートグリッドインフラ全体に関して網羅的ではない。
[PDF] [PDF]

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.11 ENISA サイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワーク

 

 

 

| | Comments (0)

2022.12.02

データ保護のEDPSとサイバーセキュリティのENISAが協力関係強化に関する覚書に署名

こんにちは、丸山満彦です。

データ保護のEDPSとサイバーセキュリティのENISAが協力関係強化に関する覚書に署名しましたね。。。

今まで、協力していなかったわけではないとは思いますが、より協力するということなのでしょうかね。。。

 

Edps-enisa

 

European Data Protection Supervisor: EDPS

・2022.11.30 Pairing up Cybersecurity and Data Protection efforts: EDPS and ENISA sign Memorandum of Understanding

Pairing up Cybersecurity and Data Protection efforts: EDPSand ENISA sign Memorandum of Understanding サイバーセキュリティとデータ保護の取り組みを対にする。EDPSとENISAが覚書に調印
The European Data Protection Supervisor (EDPS) and the European   Union Agency for Cybersecurity (ENISA) sign a Memorandum of Understanding (MoU) which establishes a strategic cooperation framework between them.
欧州データ保護監督機関(EDPS)と欧州連合サイバーセキュリティ機関(ENISA)は、両機関の戦略的協力体制を確立する覚書に調印した。
Both organisations agree to consider designing, developing and delivering capacity building, awareness-raising activities, as well as cooperating on policy related matters on topics of common interest, and contributing to similar activities organised by other EU institutions, bodies, offices and agencies (EUIBAs). 両組織は、能力開発、意識向上活動の設計、開発、実施を検討し、また、共通の関心事に関する政策関連事項で協力し、他のEU機関、団体、事務所、機関(EUIBAs)が組織する同様の活動に貢献することに同意する。
Wojciech Wiewiórowski, EDPS, said: “Today's MoU formalises the EDPS and ENISA's cooperation, which has been ongoing for several years. The document establishes strategic cooperation to address issues of common concern, such as cybersecurity as a way of protecting individuals’ personal data. Cybersecurity and data protection go hand in hand and are two essential allies for the protection of individuals and their rights. Privacy-enhancing technologies are a good example of this.” EDPSのWojciech Wiewiórowski氏は、次のように述べている。 「本日のMoUは、数年来続いているEDPSとENISAの協力関係を正式なものとするものです。 この文書は、個人の個人情報を保護する方法としてのサイバーセキュリティなど、共通の関心事に取り組むための戦略的な協力関係を確立するものです。サイバーセキュリティとデータ保護は手を取り合って、個人とその権利を保護するために不可欠な2つの同盟国です。プライバシーを向上させる技術は、その好例と言えるでしょう。"
Juhan Lepassaar, ENISA Executive Director, said: “The Memorandum of Understanding between EDPS and ENISA will allow us to address cybersecurity and privacy challenges in a holistic manner and assist EUIBAs in improving their preparedness." ENISA事務局長のJuhan Lepassaarは、次のように述べている。 "EDPSとENISAの覚書により、サイバーセキュリティとプライバシーの課題に総合的に取り組み、EUIBAの準備態勢を向上させることができるようになります。"
The MoU includes a strategic plan to promote the awareness of cyber hygiene, privacy and data protection amongst EUIBAs. The plan also aims to promote a joint approach to cybersecurity aspects of data protection, to adopt privacy-enhancing technologies, and to strengthen the capacities and skills of EUIBAs. MoUには、EUIBAsの間でサイバー衛生、プライバシー、データ保護に関する認識を促進するための戦略的計画が含まれている。この計画では、データ保護のサイバーセキュリティの側面に対する共同アプローチを促進し、プライバシーを強化する技術を採用し、EUIBAsの能力とスキルを強化することも目指している。

 

 

ENISA

・2022.11.30 Pairing up Cybersecurity and Data Protection Efforts: EDPS and ENISA sign Memorandum of Understanding

 

・[PDF] Memorandum of Understanding

20221202-24033

 

Memorandum of Understanding on increasing cooperation between  the European Data Protection Supervisor and the European Union Agency for Cybersecurity 欧州データ保護監督機関と欧州連合サイバーセキュリティ機関との間の協力関係強化に関する覚書
I. Preamble I. 前文
1. This document is a Memorandum of Understanding setting out the principles for increased cooperation between:  1. 本書は、両者の協力関係を強化するための原則を定めた覚書である。
• The European Data Protection Supervisor (EDPS), established by Regulation (EU) 2018/1725  of the European Parliament and of the Council , represented for the purposes of signature of this Memorandum of Understanding by the European Data Protection Supervisor, Mr Wojciech Wiewiórowski; and  - 欧州データ保護監督者(EDPS)は、欧州議会と理事会の規則(EU)2018/1725によって設立され、欧州データ保護監督者であるWojciech Wiewiórowski氏がこの覚書の署名のために代表を務めている。
• The European Union Agency for Cybersecurity (ENISA), established by Regulation (EU) 2019/881 , of the European Parliament and of the Council , represented for the purposes of signature of this Memorandum of Understanding by its Executive Director, Mr Juhan Lepassaar;  - 欧州議会及び理事会の規則(EU)2019/881により設立された欧州連合サイバーセキュリティ機関(ENISA)、その事務局長であるJuhan Lepassaar氏が本覚書の署名のために代表を務めている。
2. Under Article 52 of Regulation (EU) 2018/1725, the EDPS is the independent supervisory authority responsible, with respect to the processing of personal data, for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to data protection are respected by the Union institutions, bodies, offices and agencies.  2. 規則(EU)2018/1725の第52条に基づき、EDPSは、個人データの処理に関して、自然人の基本的権利と自由、特にデータ保護に対する権利が連合の機関、団体、事務所、機関によって尊重されることを保証する責任を負う独立監督機関である。
3. Under Title II of Regulation (EU) 2019/881, ENISA is the Union’s agency dedicated to achieving a high common level of cybersecurity across Europe. The Agency acts as a reference point for advice and expertise on cybersecurity for Union institutions, bodies, offices and agencies as well as for other relevant Union stakeholders. 3. 規則(EU)2019/881のタイトルIIに基づき、ENISAは欧州全体で高い共通レベルのサイバーセキュリティを達成することを目的とするEUの機関です。同機関は、欧州連合の機関、団体、オフィス、機関、およびその他の関連する欧州連合のステークホルダーのためのサイバーセキュリティに関する助言と専門知識の参照先として機能する。
II. Purpose II. 目的
4. This Memorandum of Understanding has been agreed in recognition of the common interest of EDPS and ENISA to cooperate more in areas of mutual interest. Building on earlier exchanges, it aims to establish, define and promote a structured cooperation in accordance with and subject to their respective statutory tasks and powers under Union law.  4. 本覚書は、EDPS と ENISA が、相互の関心領域においてより協力することに共通の関心を持っていることを認識し、合意されたものである。これまでの交流に基づき、本覚書は、EU 法に基づくそれぞれの法定任務及び権限に基づき、体系的な協力を確立し、定義し、促進することを目的とする。
5. This Memorandum of Understanding does not affect in any way the tasks and powers of the EDPS as a supervisor of the processing of personal data by ENISA as an EU Agency, nor does it affect in any way the duties of ENISA as a data controller or data processor under Regulation (EU) 2018/1725 and as an independent Agency under Regulation (EU) No 2019/881. This Memorandum of Understanding does not impact activities and duties that either party carries out under Union law. 5. 本覚書は、EU機関としてのENISAによる個人データの処理に対する監督者としてのEDPSの任務及び権限、規則(EU)2018/1725に基づくデータ管理者又はデータ処理者としてのENISAの任務、規則(EU) No 2019/881に基づく独立機関としての任務に何ら影響を与えない。本覚書は、いずれかの当事者がEU法の下で実施する活動や義務に影響を与えるものではない。
III. Strategic Cooperation III. 戦略的な協力関係
6. EDPS and ENISA agree to establish a strategic cooperation in areas of common interest with a view to addressing issues of common concern such as cybersecurity aspects of personal data protection.  6. EDPSとENISAは、個人データ保護のサイバーセキュリティの側面など、共通の関心事に対処することを目的として、共通の関心分野における戦略的協力を確立することに同意する。
7. EDPS and ENISA agree to put forward a strategic plan on promoting awareness, capacity, cyber-hygiene and privacy and data protection stand of institutions, bodies, offices and agencies of the Union. This strategic plan will aim to promote a joint approach to cybersecurity aspects of data protection as well as to the adoption of privacy enhancing technologies, and strengthen the capacities and skills of the aforementioned institutions, bodies, offices and agencies of the Union. Further element useful to establish the strategic plan are defined in Annex A. 7. EDPS及びENISAは、EUの機関、団体、事務所及び機関の意識、能力、サイバー衛生及びプライバシーとデータ保護の立場の促進に関する戦略的計画を打ち出すことに合意する。この戦略計画は、データ保護のサイバーセキュリティの側面及びプライバシー強化技術の採用に対する共同アプローチを促進し、前述の連合の機関、団体、オフィス及び機関の能力及び技能を強化することを目的とする。戦略的計画の策定に有用な更なる要素は、附属書 A に定義されている。
8. As part of the strategic plan, EDPS and ENISA agree to consider designing, developing and delivering capacity building and awareness raising activities in areas of common interest and contributing jointly to similar activities organised by other bodies. Within the scope of each activity, EDPS and ENISA will address aspects within their area of expertise.  8. 戦略計画の一環として、EDPS及びENISAは、共通の関心分野での能力向上及び意識向上 のための活動を設計、開発、実施し、他の機関が主催する同様の活動に共同で貢献することを 検討することに合意する。各活動の範囲内において、EDPS 及び ENISA は、それぞれの専門分野の側面を取り扱う。
9. EDPS and ENISA aim to meet at least once a year to review matters related to the strategic plan, to identify further areas of cooperation, and in order to exchange views on main current and forthcoming challenges for cybersecurity and privacy and data protection, including security of personal data processing and management of personal data breaches, data protection by design and by default and privacy by design, privacy enhancing technologies and privacy engineering and as well as analyses of emerging technologies, foresight methods and topic-specific assessments on the expected societal, legal, economic and regulatory impact of technological innovations. 9. EDPS及びENISAは、戦略的計画に関連する事項をレビューし、更なる協力分野を特定し、また、個人データ処理のセキュリティ及び個人データ侵害の管理、デザイン及びデフォルトによるデータ保護、デザインによるプライバシー、プライバシー強化技術及びプライバシーエンジニアリング、並びに新技術の分析、予見手法及び技術革新が予想される社会、法律、経済及び規制に与える影響のテーマ別評価等サイバーセキュリティ及びプライバシーとデータ保護に関する現在及び将来の主要課題に関して意見交換するために少なくとも年1回の会合を行うことを目標とする。
10. EDPS and ENISA agree to appoint a single contact point responsible for coordinating their cooperation and for consulting each other on a regular basis, particularly with regard to the terms of this Memorandum of Understanding.  10. EDPS及びENISAは、両者の協力の調整及び特に本覚書の条件に関する定期的な協議を担当する単一のコンタクトポイントを任命することに合意する。
11. EDPS and ENISA agree to exchange the contact details of the contact points and to inform each other without undue delay in writing of any change concerning the contact points. 11. EDPS及びENISAは、コンタクトポイントの連絡先を交換し、コンタクトポイントに関する変更 があった場合には、不当な遅延なく書面により相互に通知することに合意する。
IV. On current specific areas of cooperation IV. 現在の具体的な協力分野について
12. ENISA will in particular continue its involvement in the EDPS activities relating to supporting privacy and data protection engineering and privacy enhancing technologies such as the EDPS IPEN network, supporting the organisation of the IPEN workshops back-to-back to ENISA’s Annual Privacy Form (APF) and providing relevant contributions where appropriate. EDPS will in particular continue to support the ENISA’s APF at an appropriate level of participation and throughout a consolidated partnership for the organisation of the IPEN workshops back-to-back to ENISA’s APF. 12. ENISAは、特にEDPS IPENネットワーク等のプライバシー及びデータ保護工学及びプライバシー強化技術の支援に関連するEDPS活動への関与を継続し、ENISAの年次プライバシーフォーム(APF)に連動したIPENワークショップの開催を支援し、適切な場合には関連貢献を提供する。特にEDPSは、ENISAのAPFに適切なレベルで参加し、ENISAのAPFと連動したIPENワークショップの開催に向けた統合的なパートナーシップを通じて、ENISAのAPFを引き続き支援する。
13. EDPS and ENISA agree to inform and to exchange views with each other while preparing strategic documents such as work programmes and action plans insofar as they are relevant to the areas of cooperation identified in this Memorandum of Understanding.  13. EDPS と ENISA は、本覚書で特定された協力分野に関連する限り、作業計画や行動計画のような戦略的 文書を作成する際に、相互に情報を提供し意見交換を行うことに合意する。
14. EDPS and ENISA agree to exchange information on upcoming activities on emerging technologies of mutual concern and exchange views on forthcoming opinions and guidance of common strategic interest, as deemed relevant by the parties.  14. EDPS 及び ENISA は、両当事者が関連すると考える限り、相互に関心のある新技術に関する今後の活動に関する情報を交換し、共通の戦略的関心を有する今後の意見及び指針について意 見交換を行うことに合意する。
15. EDPS and ENISA agree to invite each other to relevant expert meetings and where appropriate collaborate in research activities.  15. EDPS 及び ENISA は、相互に関連する専門家会合に招待し、また、適切な場合には研究活動において協力することに合意する。
V. Expenses V. 費用負担
16. 16. EDPS and ENISA each bear any of their own expenses that may arise in the course of implementing this Memorandum of Understanding, unless agreed otherwise on a case-by-case basis.  16. EDPS及びENISAは、本基本合意書の実施過程で発生し得るあらゆる経費を、個別に合意された場合を除き、それぞれ負担するものとする。
VI. Confidentiality VI. 秘密保持
17. EDPS and ENISA each undertake to keep any information, document or other material communicated to them as confidential, and not to disclose such confidential material to third parties without the prior written consent of the originating Party. This is without prejudice to the obligations of ENISA and EDPS to comply with Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents.  17. EDPS及びENISAは、それぞれ、伝達された情報、文書その他の資料を機密として保持し、発信者 の書面による事前の同意なくして第三者に当該機密資料を開示しないことを約束する。これは、ENISA及びEDPSが、欧州議会、理事会及び委員会文書の一般公開に関する2001年5月30日の欧州議会及び理事会規則(EC)第1049/2001号を遵守する義務を害するもので はない。
18. EDPS and ENISA agree to respect all security measures related to the protection of EU classified information.  18. EDPS及びENISAは、EUの機密情報の保護に関する全てのセキュリティ対策を尊重することに合意する。
VII. Entry into force, duration and revision VII. 発効、継続及び改訂
19. This Memorandum of Understanding shall enter into force on the day following its signature by EDPS and ENISA.  19. 本覚書は、EDPS及びENISAによる署名の翌日に発効するものとする。
20. This Memorandum of Understanding is signed for an initial period of [five] years and may be renewed by mutual agreement between EDPS and ENISA. 20. 本覚書は、当初[5年間]締結され、EDPSとENISAの相互の合意により更新されることができる。
EDPS and ENISA may by mutual agreement at any time amend or supplement this Memorandum of Understanding. Any such amendments or supplements or terminations will be in writing.  EDPS及びENISAは、相互の合意により、いつでも本基本合意書を修正し、又は補足することができる。そのような修正若しくは補足又は終了は、書面により行われる。
 Done in Brussels on 30 November 2022  2022 年 11 月 30 日にブリュッセルで締結された。
 (signed)  (signed)  (署名) (署名)
 For ENISA   For EDPS   ENISA  EDPS 
 The Executive Director  The European Data Protection Supervisor  事務局長 The European Data Protection Supervisor
ANNEX A – Establishing the strategic plan ANNEX A - 戦略計画の策定
A.1. The strategic plan provided for in Article 7 of this MoU will aim to set and prescribe the objectives to be achieved by joint activities and synergies for the next three years in areas of common interest.  A.1. 本 MoU の第 7 条に規定される戦略的計画は、共通の関心分野における今後 3 年間の共同活動とシナ ジーによって達成されるべき目標を設定し規定することを目的とするものである。
A.2. EDPS and ENISA will meet on an annual basis in order to identify and agree on the specific activities and synergies to be undertaken. Each Party may propose a number of activities and also indicate the scope, objectives, timeframe of implementation as well as the anticipated resources that may be required by each Party for delivery of each activity.  A.2. EDPS 及び ENISA は、実施すべき具体的な活動及びシナジーを特定し合意するために、年 1 回の会合を行う。各当事者は、いくつかの活動を提案することができ、また、範囲、目的、実施時期、及び各活 動の実施のために各当事者が必要とし得る予想される資源を示すことができる。
A.3. The final activities and synergies will be agreed in writing and both Parties will mutually agree on the scope, objectives, timeframe and resources required.  A.3. 最終的な活動及びシナジーは文書で合意され,両当事者はその範囲,目的,時間枠及び必要な資源について相互に合意する。
A.4. During the planning and the execution of each activity, regular meetings may be set up in order to monitor the progress, identify risks and relevant mitigation measures.  A.4. 各活動の計画及び実行の間、進捗状況を監視し、リスク及び関連する緩和策を特定するために、定期的な会議を設定することができる。

 

 

| | Comments (0)

2022.12.01

欧州議会 一般製品安全規則 (GPSR) 案が合意に達したようですね。。。

こんにちは、丸山満彦です。

2021.06.30に欧州委員会から公表された一般製品安全規則 (General Product Safety Regulation: GPSR) 案が政治的合意に達したと、欧州議会が発表していますね。。。2023年3月の欧州議会と欧州委員会の決議で決定という感じですかね。。。

現在は2002年に施行された一般製品安全指令 (General Product Safety Directive: GPSD) が適用されていますね。。。GPSDは、製造事業者などに安全な製品のみを市場に供給する義務を課す消費者保護規制ですね。。。別に規制されている食品や医療機器以外のすべての消費者が利用しうる製品が対象となるので、製造事業者にとってその影響は大きいでしょうね。。。

この改正の背景は、COVID-19の影響もおそらくあるのでしょうね。。。サイバーセキュリティーなどのリスクやオンライン販売などにも対応し、統合的な規制となっているようです。。。

 

欧州議会の発表

European Parliament

・2022.11.30 Deal on EU rules to better protect online shoppers and vulnerable consumers

Deal on EU rules to better protect online shoppers and vulnerable consumers オンラインショッピングの利用者と弱い立場の消費者をより良く保護するためのEU規則に関する合意
・More effective procedures for product recalls and removal of dangerous goods online ・製品リコールや危険物品の撤去のための、より効果的なオンライン手続き
・Risks for the most vulnerable consumers, like children, to be taken into account ・子供のような最も弱い立場にある消費者のリスクも考慮される。
・Costs of preventable accidents from unsafe products estimated at 11.5 billion euro per year ・安全でない製品による事故を防ぐためのコストは、年間115億ユーロと推定される。
The agreed rules aim to ensure that all kinds of products in the EU, whether sold online or in traditional shops, comply with the highest safety requirements. 合意された規則は、EU域内のあらゆる種類の製品が、オンライン販売であれ、従来の店舗での販売であれ、最高の安全要件に適合することを目指すものである。
On Monday night, negotiators from Parliament and Council reached a provisional political agreement to update the EU’s rules on product safety of non-food consumer products. The new regulation on General Product Safety (GPSR) aims to address product safety challenges in online shopping (in 2021, 73% consumers bought products online). 月曜日の夜、欧州議会と理事会の交渉担当者は、非食品消費財の製品安全に関するEUの規則を更新するための暫定的な政治合意に達した。一般製品安全(GPSR)に関する新規則は、オンラインショッピングにおける製品安全の課題に対処することを目的としている(2021年、73%の消費者がオンラインで製品を購入した)。
Obligations of economic operators and safety assessment 経済事業者の義務および安全性評価
Under the agreed rules, a product can be sold only if there is an economic operator (such as the manufacturer, importer, distributоr) established in the EU, who is responsible for its safety. When assessing product safety, Parliament included measures to guarantee that risks to the most vulnerable consumers (e.g. children), gender aspects and cybersecurity risks are taken into account. 合意された規則では、EU域内に設立された経済事業者(製造者、輸入者、流通業者など)がその安全性に責任を持つ場合にのみ、製品を販売することができる。製品の安全性を評価する際、議会は、最も脆弱な消費者(子供など)に対するリスク、ジェンダーの側面、サイバーセキュリティーのリスクなどが考慮されることを保証する措置を盛り込んだ
Removal of dangerous goods online オンラインでの危険物品の撤去
The GPSR introduces obligations for online marketplaces, as those under the Digital Services Act, including designating a single point of contact for national surveillance authorities and consumers. National surveillance authorities will be able to order online marketplaces to remove or disable access to offers of dangerous products without undue delay and in any event within two working days. Providers of online marketplaces will have to make reasonable efforts to check randomly for dangerous products. GPSRは、デジタルサービス法に基づく義務と同様に、オンラインマーケットプレイスに対しても、各国の監視当局と消費者のための単一の連絡窓口を指定するなどの義務を導入している。各国の監視当局は、オンラインマーケットプレイスに対し、不当な遅延なく、いかなる場合でも2営業日以内に危険物の提供の削除またはアクセス不能にするよう命令することができるようになる。オンラインマーケットプレイスのプロバイダーは、危険な製品を無作為にチェックするための合理的な努力をしなければならない。
Recall, replacement and refunds リコール、交換、払い戻し
The agreed legislation improves the products recall procedure, as return rates remain low, with an estimated third of EU consumers continuing to use recalled products. EUの消費者の3分の1はリコールされた製品を使い続けていると推定され、返品率が低いことから、合意された法律では製品のリコール手続きが改善される。
In case of a safety recall or warning, economic operators and online marketplaces will now be required to inform all affected consumers they can identify and widely disseminate the information. Recall notices should avoid expressions that can decrease consumers’ perception of risk (e.g. “voluntary”, “precautionary”, “in rare/specific situations”). 安全性に関するリコールや警告があった場合、経済事業者やオンラインマーケットプレイスは、特定できる影響を受けるすべての消費者に通知し、その情報を広く普及させることが義務付けられるようになった。リコール通知は、消費者のリスク認識を低下させるような表現(例:「自主的」、「予防的」、「稀な/特殊な状況において」)を避けるべきである。
Consumers will be clearly informed of their right to repair, a replacement or an adequate refund (at least equal to the initial price). They will also have a right to file complaints or launch collective actions. The rapid alert system for dangerous products (“Safety Gate” portal) will be modernised to allow unsafe products to be detected more effectively and will be more accessible for persons with disabilities. 消費者は、修理、交換、適切な返金(少なくとも初期価格と同額)を受ける権利について明確に知らされる。また、苦情や集団訴訟を提起する権利も与えられる。危険な製品の迅速な警告システム(「セーフティゲート」ポータル)は、安全でない製品をより効果的に検出できるよう近代化され、障害者がより利用しやすくなる。
Quote 引用
The rapporteur Dita Charanzová (Renew, CZ) said: “Today's agreement is a big victory for European consumers - it gives them a reason to feel safe buying any product within the EU. Products will be safer in general, but more importantly dangerous products will be removed more quickly, including from online marketplaces. And you will no longer learn about recalls by chance, but instead you will be informed directly whenever possible and given options to repair, replace, or get your money back. These are practical benefits for our citizens”. 報告者のDita Charanzová (Renew, CZ)は次のように述べた。「本日の合意は、欧州の消費者にとって大きな勝利であり、EU域内のあらゆる製品を安心して購入できる根拠となる。一般的に製品はより安全になるが、より重要なのは、危険な製品がオンライン市場を含め、より迅速に撤去されることである。また、リコールについては偶然知るのではなく、可能な限り直接知らされ、修理、交換、返金などのオプションが与えられるようになる。これらは、国民にとって現実的なメリットである」。
Next steps 次のステップ
Parliament (in March 2023) and Council need to endorse the agreement, before its publication in the EU Official Journal and entry into force. The GPSR would apply 18 months after its entry into force. EU官報に掲載され、発効する前に、議会(2023年3月)および理事会がこの協定を承認する必要がある。GPSRは発効から18ヶ月後に適用される。
Background 背景
In June 2021, the Commission presented its proposal to update the 2001 General Product Safety Directive to address challenges linked to new technologies and online sales. 2021年6月、欧州委員会は、新技術やオンライン販売に関連した課題に対処するため、2001年の一般製品安全指令の更新案を提示した。
The new rules are projected to save EU consumers around 1 billion euro in the first year and approximately 5.5 billion over the next decade. By reducing the number of unsafe products on the market, the new measures should reduce the harm caused to EU consumers due to preventable, product-related accidents (estimated today at 11.5 billion euro per year) and cost of healthcare (estimated at 6.7 billion euro per year). この新しい規則により、EUの消費者は初年度に約10億ユーロ、今後10年間で約55億ユーロを節約できると予測されている。市場に出回る安全でない製品の数を減らすことにより、新しい措置は、予防可能な製品関連事故(現在の推定年間115億ユーロ)および医療費(推定年間67億ユーロ)によるEU消費者の損害を減らすはずである。

 

GDPR案...

European Commission(欧州委員会

・2021.06.30 [PDF] COM(2021) 346 final 2021/0170 (COD) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council, and repealing Council Directive 87/357/EEC and Directive 2001/95/EC of the European Parliament and of the Council

20221201-61000

 

HTML、DOCでも見れます...

EUR-LEX

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on general product safety, amending Regulation (EU) No 1025/2012 of the European Parliament and of the Council, and repealing Council Directive 87/357/EEC and Directive 2001/95/EC of the European Parliament and of the Council

・EN [HTML] [DOC] [PDF]

 

・[DOCX] 一部仮対訳

 

 

改訂の背景等...

European Commission(欧州委員会

The General Product Safety Directive

 

 

| | Comments (0)

2022.11.30

米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)

こんにちは、丸山満彦です。

米国国防総省がゼロトラスト戦略とロードマップを公表していますね。。。

2027年に向けて。。。と言う感じですね。。。

しかし、CIOの図書館の情報はたくさんありますね。。。

 

U.S. Department of Defense - Chief Information Officer Library

・2022.11.17 [PDF] DoD Zero Trust Strategy

20221130-23312

目次...

Executive Summary エグゼクティブサマリー
Introduction 序文
Vision ビジョン
DoD Zero Trust Approach 国防総省のゼロ・トラスト・アプローチ
Strategic Assumptions 戦略的前提
Strategic Goals and Objectives 戦略的な目標と目的
Execution Approach 実行アプローチ
Summary 概要
APPENDIX A: DoD Zero Trust Capabilities (Target & Advanced Levels) 附属書 A:国防総省のゼロ・トラスト能力(目標レベル、上級レベル)
APPENDIX B: DoD Zero Trust Activities (Target & Advanced Levels) 附属書 B:国防総省のゼロ・トラスト活動(目標レベル、上級レベル)
APPENDIX C: DoD Zero Trust Capability Roadmap (by Fiscal Year) 附属書 C:国防総省のゼロ・トラスト・ケイパビリティ・ロードマップ(年度別)
APPENDIX D: DoD Zero Trust Strategic and Execution Milestones (FY2023 – FY2024) 附属書 D.国防総省のゼロ・トラスト戦略及び実行マイルストーン(2023年度~2024年度)
APPENDIX E: References 附属書 E:参考文献
APPENDIX F: Acronyms / Definitions 附属書 F:略語/定義


エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
"Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life."  「漸進的な改善では、私たちが必要とする安全保障を得ることはできない。連邦政府は、米国の生活様式を支える重要な制度を守るために、大胆な変更と大規模な投資を行う必要がある。」
— Executive Order on Improving the Nation’s Cybersecurity 12 May 2021  ・国家のサイバーセキュリティの改善に関する大統領令 2021年5月12日 
Five Years into the Future  5年後の未来へ 
The Department of Defense's (DoD) risk-based Zero Trust Framework employed across the Joint Force and the defense ecosystem protects our information systems[1] from increasingly sophisticated attacks as our adversaries seek to affect our warfighters and DoD mission success. Zero Trust principles are now integrated into each of the five cybersecurity functions that represent key elements of a successful and holistic cybersecurity program – Identify, Protect, Detect, Respond, and Recover.[2] As a result, DoD will successfully mitigate attempts to deny, degrade, disrupt, deceive, or destroy our information systems. Operators at all levels are confident that the data accessed, the assets deployed, the applications used, and the services provided are secured and resilient.  統合軍と防衛エコシステムに採用されている国防総省(DoD)のリスクベースのゼロ・トラスト・フレームワークは、敵が戦闘員と国防総省のミッションの成功に影響を与えようとする中、ますます巧妙になる攻撃から我々の情報システム[1]を保護する。ゼロ・トラストの原則は、現在、成功した全体的なサイバーセキュリティ・プログラムの重要な要素である、識別、保護、検出、対応、回復の5つのサイバーセキュリティ機能のそれぞれに統合されている。 その結果、国防省は、情報システムを拒否、劣化、混乱、欺瞞、破壊しようとする試みをうまく軽減することができるようになった。あらゆるレベルのオペレーターは、アクセスするデータ、配備された資産、使用するアプリケーション、提供するサービスが安全でレジリエンスに優れていると確信している。
Today  今日 
The Department's Information Enterprise is under wide scale and persistent attack from known and unknown malicious actors. The Department’s most consequential strategic competitor and the pacing challenge for the Department, the People’s Republic of China,[3] as well as other state-sponsored adversaries and individual malicious actors often breach the Department’s defensive perimeter and roam freely within our information systems. The Department must act now.  米国防総省の情報エンタープライズは、既知および未知の悪質な行為者から大規模かつ持続的な攻撃を受けている。米国防省にとって最も重要な戦略的競合相手であり、ペースメーカーでもある中華人民共和国[3]をはじめ、国家が支援する敵対勢力や個人の悪質な行為者が国防総省の防衛境界を突破し、情報システムの中を自由に動き回ることがよくある。国防総省は今すぐ行動を起こさなければならない。
Vulnerabilities exposed by data breaches inside and outside the Department of Defense demonstrate the need for a new, more robust cybersecurity framework that facilitates well-informed risk-based decisions.[4] Zero Trust security eliminates the traditional idea of perimeters, trusted networks, devices, personas, or processes and shifts to multi-attribute-based levels of confidence that enable authentication and authorization policies founded on the concept of least privileged access. Implementing the Zero Trust Framework requires designing a more efficient architecture that enhances security, the user experience, and overall mission performance.   国防総省内外のデータ侵害によって露呈した脆弱性は、十分な情報に基づくリスクベースの意思決定を促進する、より堅牢な新しいサイバーセキュリティの枠組みの必要性を示している[4]。ゼロトラストセキュリティは、従来の境界、信頼できるネットワーク、デバイス、人物、プロセスという考え方を排除し、最小特権アクセスの概念に基づいた認証および承認ポリシーを可能にする複数属性ベースの信頼レベルへとシフトする。Zero Trustフレームワークを導入するには、セキュリティ、ユーザーエクスペリエンス、ミッションパフォーマンス全体を向上させる、より効率的なアーキテクチャを設計する必要がある。 
Zero Trust uses continuous multi-factor authentication, micro-segmentation, advanced encryption, endpoint security, analytics, and robust auditing, among other capabilities, to fortify data,  ゼロ・トラストは、継続的な多要素認証、マイクロセグメンテーション、高度な暗号化、エンドポイントセキュリティ、分析、堅牢な監査などの機能を使って、データを強化する。
applications, assets, and services to deliver cyber resiliency. The Department is evolving to become a more agile, more mobile, cloud-supported workforce, collaborating with the entirety of DoD enterprise, including federal and non-federal organizations and mission partners working on a variety of missions. The Zero Trust Framework will reduce the attack surface, reduce risk, offer opportunities to manage the full range of risks (e.g., policy, programming, budgeting, execution, cybersecurity-specific, and others) and enable more effective data-sharing in partnership environments. It will also ensure that any adversary damage is quickly contained and remediated if a device, network, user, or credential is compromised.   データ、アプリケーション、資産、サービスを強化し、サイバーレジリエンスを実現する。国防総省は、より機敏に、よりモバイルに、クラウドをサポートする労働力となるべく進化しており、さまざまなミッションに取り組む連邦政府と非連邦政府組織、ミッションパートナーを含む国防総省エンタープライズ全体と協働している。ゼロ・トラスト・フレームワークは、攻撃対象領域を減らし、リスクを低減し、あらゆるリスク(政策、計画、予算、実行、サイバーセキュリティ特有のもの、その他)を管理する機会を提供し、パートナーシップ環境においてより効果的なデータ共有を可能にするものである。また、デバイス、ネットワーク、ユーザー、クレデンシャルが侵害された場合、敵の被害を迅速に食い止め、修復できるようにする。 
This strategy lays out the Department's vision for Zero Trust and sets a path to achieve it. It includes the strategic assumptions and principles that will inform and guide the adoption of ZT and the strategic goals and objectives. The four strategic goals outlined in this strategy are: 1. Zero Trust Culture Adoption, 2. DoD Information Systems Secured and Defended, 3. Technology Acceleration, and 4. Zero Trust Enablement. The strategy also refers to the seven DoD Zero Trust Pillars, which is the basis for the strategy's Zero Trust Capability Roadmap, a capabilities-based execution plan, and the DoD Zero Trust and Cybersecurity Reference Architectures. Finally, this strategy provides highlevel guidance on resourcing and acquisition, measurement and metrics, and governance. The appendices include strategic and execution milestones, as well as references and definitions.   この戦略では、ゼロ・トラストに対する省庁のビジョンを示し、それを達成するための道筋を定めている。この戦略には、ZT の導入に情報を提供し導く戦略的前提および原則と、戦略的目標および目的が含まれている。この戦略で概説されている4つの戦略目標は以下の通りである。1. ゼロ・トラスト文化の採用、2. DoD情報システムの安全確保と防衛、3. テクノロジーの加速、4. ゼロ・トラストの実現である。Zero Trust Enablement(ゼロ・トラストの実現)である。また、この戦略では、7つのDoD Zero Trust Pillarsに言及しており、これは、この戦略のZero Trust Capability Roadmap、能力ベースの実行計画、DoD Zero Trust and Cybersecurity Reference Architecturesの基礎になっている。最後に、この戦略は、人材調達と買収、測定とメトリック、およびガバナンスに関するハイレベルなガイダンスを提供する。附属書には、戦略および実行のマイルストーン、参考文献、定義が記載されている。 
To accelerate Zero Trust implementation within the DoD Information Enterprise, the Department must continue to examine how to streamline and enforce resource priorities to meet the requirements envisioned by this strategy. In January 2022, the DoD CIO established a Zero Trust Portfolio Management Office (PfMO) to orchestrate DoD-wide Zero Trust execution, simplify and streamline existing policies and coordinate the prioritization of resources to accelerate Zero Trust adoption within the DODIN enterprise.  国防総省の情報エンタープライズにおけるゼロ・トラストの実施を加速するために、同省は、この戦略で想定される要件を満たすために、リソースの優先順位を合理化して実施する方法を引き続き検討する必要がある。2022年1月、国防総省CIOは、国防総省全体のゼロ・トラスト実行を指揮し、既存のポリシーを簡素化して合理化し、リソースの優先順位を調整して、DODINエンタープライズ内のゼロ・トラスト導入を加速するために、ゼロ・トラスト・ポートフォリオ管理オフィス(PfMO)を設立した。
Figure 1 below depicts a concise view of the vision, goals, and objectives the Department will achieve by implementing the strategy.[5]   以下の図1は、戦略を実施することによって国防総省が達成するビジョン、目標、目的を簡潔に表したものである[5]。 
Figure 1. DoD Zero Trust Strategy-at-a-Glance  図1. DoDゼロトラスト戦略-一覧 
20221130-24246
[1] Information system includes “a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information”. See DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p. 17.   [1] 情報システムには、「情報の収集、処理、維持、使用、共有、普及、または処分のために組織された情報資源の個別の集合」が含まれる。DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p.17 を参照のこと。 
[2] See US National Institute of Standards and Technology (NIST), Special Publication 1271, Getting Started with the NIST Cybersecurity Framework: A Quick Start Guide, 6 August 2021, for descriptions of cybersecurity core functions and a set of guidelines for mitigating organizational cybersecurity risks.   [2] 米国国立標準技術研究所(NIST)、特別刊行物 1271、Getting Started with the NIST Cybersecurity Framework を参照すること。A Quick Start Guide, 6 August 2021, サイバーセキュリティの中核機能の説明と、組織のサイバーセキュリティリスクを軽減するためのガイドライン一式を参照。 
[3] Fact Sheet: 2022 National Defense Strategy, 28 March 2022.  [3] ファクトシート。2022年国家防衛戦略、2022年3月28日。
[4] Risk” refers to probability of an undesired event or condition and 2) the consequences, impact, or severity of the undesired event, were it to occur. See DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p. 3  [4] リスクとは、望ましくない事象や状態の発生確率と、2)望ましくない事象が発生した場合の結果、影響、または重大性のことである。DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p.3 を参照。
21-Oct-22 21-Oct-22
[5] See Figure 4 in this document for an outcome description of each goal and objective.  [5] 各目標と目的の成果の説明については、本書の図 4 を参照のこと。
21-Oct-22 10月21日-22日

 

プレス...

・2022.11.22 Department of Defense Releases Zero Trust Strategy and Roadmap

Department of Defense Releases Zero Trust Strategy and Roadmap 国防総省がゼロ・トラスト戦略とロードマップを発表
Today, the Department of Defense released the Department of Defense Zero Trust Strategy and Roadmap. 本日、国防総省は「国防総省のゼロ・トラスト戦略とロードマップ」を発表した。
Current and future cyber threats and attacks drive the need for a Zero Trust approach that goes beyond the traditional perimeter defense approach. The Department intends to implement distinct Zero Trust capabilities and activities as outlined in the strategy and associated Roadmap by FY27. 現在および将来のサイバー脅威と攻撃は、従来の境界防御のアプローチを超えたゼロ・トラスト・アプローチの必要性を促している。国防総省は、この戦略および関連するロードマップで説明されているように、明確なゼロ・トラスト能力と活動を27年度までに実施する意向である。
The strategy envisions a DoD Information Enterprise secured by a fully implemented, Department-wide Zero Trust cybersecurity framework that will reduce the attack surface, enable risk management and effective data-sharing in partnership environments, and quickly contain and remediate adversary activities. この戦略は、完全に実装された省全体のゼロ・トラスト・サイバーセキュリティの枠組みによって保護された国防総省の情報エンタープライズを想定しており、攻撃対象を減らし、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を迅速に抑制・是正するものである。
The strategy outlines four high-level and integrated strategic goals that define what the Department will do to achieve its vision for ZT: この戦略では、ZT のビジョンを達成するために省が何を行うかを定義する、4 つのハイレベルで統合的な戦略目標が概説されている。
•    Zero Trust Cultural Adoption – All DoD personnel are aware, understand, are trained, and committed to a Zero Trust mindset and culture and support integration of ZT. ・ゼロ・トラスト文化の採用:国防総省の全職員がゼロ・トラストの考え方と文化について認識,理解,訓練され,ZTの統合を支援する。
•    DoD information Systems Secured and Defended – Cybersecurity practices incorporate and operationalize Zero Trust in new and legacy systems.  ・国防総省の情報システムの保護と防御:サイバーセキュリティの実践により、新規およびレガシーシステムにゼロ・トラストが組み込まれ、運用される。 
•    Technology Acceleration – Technologies deploy at a pace equal to or exceeding industry advancements. ・技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。
•    Zero Trust Enablement – Department- and Component-level processes, policies, and funding are synchronized with Zero Trust principles and approaches. ・ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、および資金がゼロ・トラストの原則とアプローチに同期している。
Implementing Zero Trust will be a continuous process in the face of evolving adversary threats and new technologies. Additional Zero Trust enhancements will be incorporated in subsequent years as technology changes and our Nation's adversaries evolve.   ゼロ・トラストの導入は、進化する敵の脅威や新しい技術に直面する継続的なプロセスである。ゼロ・トラストの追加的な強化は、技術の変化や我が国の敵の進化に合わせて、次年度以降に取り入れられる予定である。 
The Department of Defense Zero Trust Strategy and Roadmap can be found at the DoD CIO library. 国防総省のゼロ・トラスト戦略とロードマップは、国防総省CIOライブラリで見ることができる。

 

・ブログ

・2022.11.28 DOD Releases Path to Cyber Security Through Zero Trust Architecture

DOD Releases Path to Cyber Security Through Zero Trust Architecture DOD、ゼロ・トラスト・アーキテクチャーによるサイバーセキュリティへの道筋を発表
The Defense Department on Tuesday released its Zero Trust Strategy and Roadmap, which spells out how it plans to move beyond traditional network security methods to achieve reduced network attack surfaces, enable risk management and effective data-sharing in partnership environments, and contain and remediate adversary activities over the next five years. 国防総省は火曜日、「ゼロ・トラスト戦略およびロードマップ」を発表した。これは、今後5年間で、従来のネットワークセキュリティ手法を越えて、ネットワーク攻撃面の削減を実現し、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を封じ込めて修復する計画について明記しているものである。
"Zero trust is a framework for moving beyond relying on perimeter-based cybersecurity defense tools alone and basically assuming that breach has occurred within our boundary and responding accordingly," David McKeown, the department's acting chief information officer, said.  「ゼロトラストは、境界ベースのサイバーセキュリティ防御ツールだけに頼るのではなく、基本的に我々の境界内で侵害が発生したと仮定し、それに応じて対応するための枠組みである」と、同省の最高情報責任者代理であるデデヴィット・マッキューン氏は述べた。
McKeown said the department has spent a year now developing the plans to get the department to a zero trust architecture by fiscal year 2027. Included in that effort was development of a Zero Trust Portfolio Management Office, which stood up earlier this year.  マッキューンは、同省が2027会計年度までにゼロ・トラスト・アーキテクチャーを実現するための計画を策定するのに1年を費やしたことを明らかにした。その努力に含まれるのが、今年初めに立ち上がったゼロトラスト・ポートフォリオ管理オフィスの開発だ。 
"With the publication of this strategy we have articulated the 'how' that can address clear outcomes of how to get to zero trust — and not only accelerated technology adoption, as discussed, but also a culture of zero trust at DOD and an integrated approach at the department and the component levels."  この戦略の発表により、我々はゼロトラストに到達するための明確な成果、つまり議論されているような技術導入の加速だけでなく、DODにおけるゼロトラストの文化や、部門およびコンポーネントレベルでの統合的アプローチに対応できる「方法」を明確にした。" 
Getting the Defense Department to reach the goals laid out in the Zero Trust Strategy and Roadmap will be an "ambitious undertaking," McKeown said.   国防総省がゼロトラスト戦略とロードマップで示された目標に到達することは、「野心的な事業」になるとマッキューン氏は述べている。 
Ensuring that work will largely be the responsibility of Randy Resnick, who serves as the director of the Zero Trust Portfolio Management Office.  その作業を確実にするのは、ゼロトラスト・ポートフォリオ管理室のディレクターを務めるランディー・レスニック氏の責任が大きい。 
"With zero trust, we are assuming that a network is already compromised," Resnick said. "And through recurring user authentication and authorization, we will thwart and frustrate an adversary from moving through a network and also quickly identify them and mitigate damage and the vulnerability they may have exploited." 「ゼロトラストでは、ネットワークがすでに侵害されていることを想定している。「そして、ユーザー認証と認可を繰り返し行うことで、敵対者がネットワークを通過するのを阻止し、挫折させるとともに、敵対者を迅速に特定し、被害や彼らが悪用した可能性のある脆弱性を軽減するのである」。
Spotlight: Engineering in the DOD スポットライト 国防総省におけるエンジニアリング
Resnick explained the difference between a zero trust architecture and security on the network today, which assumes a level of trust for anybody already inside the network.  レスニック氏は、ゼロ・トラスト・アーキテクチャーと、すでにネットワーク内にいる人をある程度信頼することを前提とした現在のネットワーク・セキュリティの違いを説明した。 
"If we compare this to our home security, we could say that we traditionally lock our windows and doors and that only those with the key can gain access," he said. "With zero trust, we have identified the items of value within the house and we place guards and locks within each one of those items inside the house. This is the level of security that we need to counter sophisticated cyber adversaries."  「これを家庭のセキュリティに例えると、従来は窓やドアに鍵をかけて、鍵を持っている人だけがアクセスできるようにしていたと言えるでしょう」と、同氏は述べた。「ゼロトラストでは、家の中にある価値あるものを特定し、その一つひとつにガードやロックを設置する。これが、高度なサイバー敵に対抗するために必要なセキュリティレベルである。」 
The Zero Trust Strategy and Roadmap outlines four high-level and integrated strategic goals that define what the department will do to achieve that level of security. These include:  ゼロトラスト戦略とロードマップは、そのレベルのセキュリティを達成するために同省が何をするかを定義する、4つのハイレベルで統合的な戦略目標の概要を示している。その内容は以下の通りである。 
Zero Trust Cultural Adoption — All DOD personnel understand and are aware, trained, and committed to a zero trust mindset and culture to support integration of zero trust.  ゼロ・トラスト文化の採用:すべてのDOD職員はゼロ・トラストの統合をサポートするために、ゼロ・トラストの考え方と文化を理解し、認識し、訓練され、コミットされる。 
DOD information Systems Secured and Defended — Cybersecurity practices incorporate and operationalize zero trust in new and legacy systems.  DOD情報システムの保護と防衛:サイバーセキュリティの実践は、新規およびレガシーシステムにゼロトラストを組み込み、運用する。 
Technology Acceleration — Technologies deploy at a pace equal to or exceeding industry advancements.  技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。 
Zero Trust Enablement — Department- and component-level processes, policies, and funding are synchronized with zero trust principles and approaches.  ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、資金が、ゼロ・トラストの原則とアプローチに同期している。 
Resnick said development of the Zero Trust Strategy and Roadmap was done in collaboration with the National Security Agency, the Defense Information Systems Agency, the Defense Manpower Data Center, U.S. Cyber Command and the military services.  レズニック氏によると、ゼロトラスト戦略とロードマップの開発は、国家安全保障局、国防情報システム局、国防人材データセンター、米サイバー司令部、軍サービスとの協力で行われたとのこと。 
The department and its partners worked together to develop a total of 45 capabilities and more than 100 activities derived from those capabilities, many of which the department and components will be expected to be involved in as part of successfully achieving baseline, or "target level" compliance with zero trust architecture within the five-year timeline, Resnick said. レスニック氏によると、同省とそのパートナーは、合計45の能力と、それらの能力から派生する100以上の活動を開発した。これらの多くは、5年間のスケジュール内でゼロトラストアーキテクチャのベースライン、つまり「目標レベル」のコンプライアンスを成功させる一環として、同省とコンポーネントが関与することが期待されるものである。
"Each capability, the 45 capabilities, resides either within what we're calling 'target,' or 'advanced' levels of zero trust," he said. "DOD zero trust target level is deemed to be the required minimum set of zero trust capability outcomes and activities necessary to secure and protect the department's data, applications, assets and services, to manage risks from all cyber threats to the Department of Defense."  各能力(45の能力)は、ゼロ・トラストの「目標」または「高度」レベルと呼ばれる範囲に存在する」と彼は言う。「DODゼロトラスト・ターゲット・レベルは、国防総省に対するあらゆるサイバー脅威のリスクを管理し、同省のデータ、アプリケーション、資産、サービスを安全に保護するために必要なゼロトラスト能力の成果および活動の必要最小限のセットと見なされる。
Across the department, every agency will be expected to comply with the target level implementation outlined in the Zero Trust Strategy and Roadmap. Only a few might be expected to achieve the more advanced level.  国防総省全体では、すべての機関がゼロ・トラスト戦略とロードマップで示された目標レベルの実施に準拠することが期待される。より高度なレベルを達成することが期待されるのは、ほんの一握りかもしれない。 
"If you're a national security system, we may require the advanced level for those systems," McKeown said. "But advanced really isn't necessary for literally every system out there. We have an aggressive goal getting to 'targeted' by 2027. And we want to encourage those who have a greater need to secure their data to adopt this advanced level."  「国家安全保障のシステムであれば、上級レベルを要求することもある」とマッキューン氏は言う。「しかし、アドバンストレベルは、文字通りすべてのシステムに対して必要なものではない。私たちは、2027年までに "Targeted "に到達するという積極的な目標を持っている。そして、データを安全に保護する必要性が高い人たちには、このアドバンスドレベルを採用するよう促したいと考えている」。 
Resnick said achieving the target level of zero trust isn't equivalent to a lower standard for network security.  レズニックは、ゼロトラストの目標レベルを達成することは、ネットワークセキュリティの基準を下げることと等価ではないと述べている。 
"We defined target as that level of ability where we're actually containing, slowing down or stopping the adversary from exploiting our networks," he said. "Compared to today, where an adversary could do an attack and then go laterally through the network, frequently under the noise floor of detection, with zero trust that's not going to be possible."  「私たちは、敵対者が私たちのネットワークを悪用するのを実際に封じ込め、減速させ、阻止する能力のレベルを目標と定義した。「敵対者が攻撃を行い、ネットワーク内を横方向に移動し、頻繁に検出のノイズフロアの下を通過することができる今日と比較すると、信頼ゼロでは、それは不可能になります。 
By 2027, Resnick said, the department will be better poised to prevent adversaries from attacking the DOD network and minimize damage if it does occur.  2027年までには、敵対者がDODネットワークを攻撃するのを防ぎ、万が一攻撃が発生しても被害を最小限に抑える態勢が整うだろうと、レズニックは述べている。 
"The target level of zero trust is going to be that ability to contain the adversary, prevent their freedom of movement, from not only going laterally but being able to even see the network, to enumerate the network, and to even try to exploit the network," he said.  「ゼロ・トラストの目標レベルは、敵対者を封じ込め、敵対者が横方向に移動するだけでなく、ネットワークを見ることも、ネットワークを列挙することも、ネットワークを悪用しようとすることもできないようにすることだ」と彼は言う。 
If later on more is needed, he said, the requirements for meeting the target level of compliance can be adjusted.  もし、後でもっと必要なものが出てくれば、目標レベルのコンプライアンスを満たすための要件を調整することができるという。 
"Target will always remain that level to which we're seeing and stopping the adversary," he said. "And for the majority of the DOD, that's really our goal." 「目標は常に、敵対者を確認し、阻止するレベルであることに変わりはありません。そして、国防総省の大部分にとって、それが我々の本当の目標なのである。」

 


 

・2022.11.15 [PDF] Zero Trust Capability Execution Roadmap

20221130-144954

 

Zero Trust Strategy Placemats

20221130-145326

 

 

・2022.07 [PDF] Department of Defense (DoD) Zero Trust Reference Architecture Version 2.0

20221130-64647

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

 

 

| | Comments (0)

2022.11.29

尼崎市 個人情報を含むUSBメモリーの紛失事案について

こんにちは、丸山満彦です。

尼崎市が契約している事業者の無断再々委託先従業員が、個人情報が入ったUSBメモリーを一時的に紛失した事案についての、尼崎市 USB メモリー紛失事案調査委員会の報告書が公表されていますね。。。

櫻庭先生が委員会のメンバーですね。。。

 

尼崎市

・2022.11.28 個人情報を含むUSBメモリーの紛失事案について

・[PDF] 尼崎市 USB メモリ―紛失事案に関する調査報告書  [downloaded]

20221129-63824

 

・尼崎市 USB メモリー紛失事案調査委員会

 ・小林 孝史(当委員会委員長) 関西大学総合情報学部准教授
 ・櫻庭 信之(当委員会委員・同委員長職務代理) 弁護士
 ・大高 利夫(当委員会委員) 藤沢市総務部情報システム課

結構、読み応えあります。。。

 

| | Comments (0)

英国 国防省 サイバー入門(第3版) (2022.10.04)

こんにちは、丸山満彦です。

英国国防省とサイバースペースとの関わり方、国防省職員にとってのサイバーセキュリティの重要性について、より包括的に認識することを目的として、主に国防の観点から、また職場や家庭における日常生活の観点から、「サイバー」というテーマを紹介する入門書ということで、階級に関わらず、すべての職員に読んでもらいたいということのようです。。。

U.K. Government - Ministry of Defence

Guidance Cyber Primer

・2022.10.04 [PDF] Cyber Primer (Third Edition)

20221129-12446

 

序文...

Preface 序文
We will adopt a comprehensive cyber strategy to maintain the UK’s competitive edge in this rapidly evolving domain. We will build a resilient and prosperous digital UK, and make much more integrated, creative and routine use of the UK’s full spectrum of levers – including the National Cyber Force’s offensive cyber tools – to detect, disrupt and deter our adversaries. 我々は、この急速に発展する領域において英国の競争力を維持するために、包括的なサイバー戦略を採用する。我々は、レジリエンスと繁栄のデジタル英国を構築し、敵対者を検知し、混乱させ、抑止するために、国家サイバー軍の攻撃的サイバーツールを含む英国のあらゆる手段をより統合的、創造的、かつ日常的に活用することになる。
Global Britain in a competitive age: The Integrated Review of Security, Defence, Development and Foreign Policy, 2021 競争時代におけるグローバルな英国:2021年 安全保障、防衛、開発、外交政策の統合的見直し
Purpose 目的
1. The purpose of the Cyber Primer is to introduce the subject of ‘cyber’, primarily within the Defence context, but also encompassing everyday aspects of life both at work and home. It is the foundation to reading UK Defence’s cyber and electromagnetic concepts and doctrine.   1. サイバー入門の目的は、「サイバー」というテーマを、主に国防の文脈で、しかし職場や家庭での日常生活 の側面も含めて紹介することである。これは、英国国防省のサイバーおよび電磁波の概念とドクトリンを読むための基礎となるものである。 
Context コンテキスト
2. Cyber capability is vital to our national security and prosperity, playing an integral role in protecting the UK and our interests against external and internal threats. Cyber activity cannot be the responsibility of one government department or agency alone, each will have their own experiences and expertise; Defence is just one partner in a whole of society effort.  2. サイバー能力は国家の安全と繁栄にとって不可欠であり、外部と内部の脅威から英国とその利益を守るために不可欠な役割を担っている。サイバー活動は、政府の一部門や機関だけが担当することはできず、それぞれが独自の経験や専門知識を持っている。
3. Cybersecurity and resilience are vital within Defence as our Armed Forces depend on digital technology, platforms, data, information and communication systems, both in the UK and on operations around the world. Our adversaries’ activities present a real and rapidly developing threat to these systems and to our operations.  3. 国防軍は、英国内および世界各地での活動において、デジタル技術、プラットフォーム、データ、情報、通信システムに依存しているため、サイバーセキュリティとレジリエンスは国防において極めて重要である。敵対者の活動は、これらのシステムと我々の活動に対して、現実的かつ急速に発展する脅威となっている。
4. Cyberspace, and the associated technologies, are full of opportunities for improving the way we work and live; they contribute substantially to our economy and prosperity, but they also introduce new hazards of which we need to be aware. The impact of cyber activities, positive and negative, on military activity requires Defence personnel, and those associated with Defence, to understand the depth of our dependence on ‘cyber’. 4. サイバースペースとその関連技術は、私たちの仕事や生活を改善する機会に満ちており、私たちの経済と繁栄に大きく貢献しているが、同時に私たちが注意しなければならない新たな危険性ももたらしている。サイバー活動が軍事活動に与える影響は、肯定的であれ否定的であれ、国防関係者とその関係者が「サイバー」への依存の深さを理解することが必要である。
5. The primer has a deliberate cyber focus. Although mention is made of the wider electromagnetic environment, this is to provide contextual reference as necessary.  5. この入門書は意図的にサイバーに焦点を合わせている。より広い電磁環境についても言及しているが、これは必要に応じて文脈を参照できるようにするためである。
Audience 想定読者
6. The Cyber Primer seeks to inform a wide audience. As an introduction to cyber it will be of use to all Defence personnel. 6. このサイバー入門書は、幅広い読者に情報を提供することを目的としている。サイバー入門書として、すべての国防関係者に役立つであろう。
Structure 構成
7. The publication is divided into four chapters and is supported by a lexicon and resources section. A breakdown of the chapter contents is below.  7. 本書は4つの章に分かれており、辞書と資料のセクションでサポートされている。各章の内容の内訳は以下の通りである。
a. Chapter 1 – Cyber fundamentals. Chapter 1 introduces the essential terminology and covers cyber from a national policy and strategy perspective. The chapter explains the nature and characteristics of cyberspace and the cyber and electromagnetic domain. The chapter also highlights applicable laws and concludes by looking at the importance of international engagement. a. 第1章 - サイバーの基礎:第1章では、必要不可欠な用語を紹介し、国家政策と戦略の観点からサイバーを取り上げている。この章では、サイバースペースの性質と特徴、サイバー領域と電磁波領域について説明する。また、本章では適用される法律を強調し、国際的な関与の重要性を見て結論を出している。
b. Chapter 2 – Cyber threats. Chapter 2 outlines: the threats from cyberspace; the range of threat actors; the characteristics of a cyberattack and the different tools and techniques used; and cyber threat mitigation. The chapter concludes with Annex 2A detailing seven case studies.1 b. 第2章 - サイバー脅威:第2章では、サイバースペースからの脅威、脅威の主体の範囲、サイバー攻撃の特徴、使用される様々なツールやテクニック、そしてサイバー脅威の緩和について概説している。この章は、7つのケーススタディを詳述した附属書2Aで締めくくられている1。
c. Chapter 3 – Cyber functions. Chapter 3 looks at the four military cyber operations roles – influence, defend, enable and inform – which are delivered by cyber capabilities through offensive and defensive cyber operations, cybersecurity and cyber threat intelligence.  It also examines information management and finally looks at the relationship between cyber and other closely linked military functions. c. 第3章 - サイバー機能:第3章では、攻撃的・防御的サイバー作戦、サイバーセキュリティ、サイバー脅威インテリジェンスを通じたサイバー能力によって実現される、軍の4つのサイバー作戦の役割(影響、防御、実現、情報提供)を見ている。 また、情報管理についても検討し、最後にサイバーと他の密接に関連する軍事機能との関係についても見ている。
d. Chapter 4 – Cyber operations. Chapter 4 looks at how cyber capability is currently organised and integrated with military operations and provides some detail concerning cyber command and control.  d. 第4章 - サイバーオペレーション:第4章は、サイバー能力が現在どのように組織化され、軍事作戦と統合されているかを調べ、サイバー指揮統制に関するいくつかの詳細について述べている。
Linkages 関連性
8. The Cyber Primer is underpinned by a number of policy, strategy and doctrinal publications. In addition, there are number of other publications that provide further context and greater detail on aspects introduced. Links to these data sources can be found within the resource section at the end of this publication.  8. サイバー・プライマーは、多くの政策、戦略、教義に関する出版物によって支えられている。さらに、紹介された側面についてのより詳細な文脈を提供する他の出版物も多数ある。これらのデータソースへのリンクは、本書末尾のリソースセクションに記載されている。
   
1 The examples and case studies included in this primer contain reports selected from various external sources by the Strategic Command Cyber Reserve, a cadre of cyber-industry experts who are also Tri-Service Reservists. All of this information is publicly available online and provided for understanding only; sources quoted and opinions expressed do not necessarily reflect those of the Ministry of Defence (MOD). Similarly, where alleged perpetrators are identified they have been done so through public sources and not through any investigations or conclusions conducted by the MOD. The names of the operations associated with the examples have been assigned by the international cyber security community. 1 この入門書に含まれる事例とケーススタディは、三軍の予備役でもあるサイバー業界の専門家集団である戦略司令部サイバーリザーブが外部の様々な情報源から選んだレポートを含んでいる。これらの情報はすべてオンラインで一般に公開されており、理解のためにのみ提供されている。引用された情報源や表明された意見は、必ずしも国防省(MOD)のものを反映したものではありません。同様に、加害者とされる人物が特定された場合、それは公的な情報源を通じて行われたものであり、国防省が行った調査や結論によるものではありません。例題に関連する作戦名は、国際的なサイバーセキュリティ・コミュニティによって命名されたものである。
2 Full details of these roles and the activities that are conducted within them are detailed within Joint Doctrine Publication 0-50, UK Defence Cyber and Electromagnetic Doctrine, 2nd Edition, which is due to publish in 2023. 2 これらの役割とその中で行われる活動の詳細は、2023年に発行予定の統合ドクトリンパブリケーション0-50「英国国防サイバー及び電磁波ドクトリン第2版」に詳述されている。

 

20221129-15952

 

10 top tips for staying secure online オンラインを安全に利用するための10のアドバイス
01 Protect your personal email by using a strong and unique password 01 強力でユニークなパスワードを使用して、個人的な電子メールを保護する
02 Report if things go wrong or do not look right, such as a suspicious email or link 02 不審なメールやリンクなど、おかしいと感じたら報告する
03 Create a long and strong password by combining three random words 03 3つのランダムな単語を組み合わせて、長くて強力なパスワードを作成する
04 Ensure defences such as antivirus software and firewalls are installed 04 アンチウイルスソフトやファイアウォールなどの防御策を確実に導入する
05 Activate two-step verification to protect your online accounts 05 オンラインアカウントを保護するために、2段階認証機能を有効にする
06 Backup your data to safeguard your most important documents 06 データをバックアップし、重要なドキュメントを保護する
07 Use a password manager to help create and recall passwords 07 パスワードを作成し、思い出すのにパスワードマネージャーを使用する
08 Check your internet footprint - searches, online history and social media accounts 08 検索、オンライン履歴、ソーシャルメディアアカウントなど、インターネットの足跡をチェックする
09 Set up automatic security updates to make sure all your devices are patched 09 自動セキュリティ更新を設定し、すべてのデバイスにパッチが適用されていることを確認する
10 Install the latest software and application updates 10 最新のソフトウェアとアプリケーションのアップデートをインストールする

 

・関連

 

 

| | Comments (0)

EU連合理事会 NIS2成立

こんにちは、丸山満彦です。

NIS2がEU連合理事会で可決されたようですね。。。

 

● European Council/Council of the European Union

・2022.11.28 EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation

EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation EU、サイバーセキュリティとレジリエンスをEU全域で強化することを決定。理事会、新たな法案を採択
The Council adopted legislation for a high common level of cybersecurity across the Union, to further improve the resilience and incident response capacities of both the public and private sector and the EU as a whole. 欧州連合(EU)理事会は、官民およびEU全体のレジリエンスとインシデント対応能力をさらに向上させるため、EU全体で高い共通レベルのサイバーセキュリティを実現するための法案を採択した。
The new directive, called ‘NIS2’, will replace the current directive on security of network and information systems (the NIS directive). 「NIS2」と呼ばれるこの新しい指令は、ネットワークと情報システムのセキュリティに関する現行の指令(NIS指令)に取って代わるものである。
There is no doubt that cybersecurity will remain a key challenge for the years to come. The stakes for our economies and our citizens are enormous. Today, we took another step to improve our capacity to counter this threat. サイバーセキュリティが今後数年間、重要な課題であり続けることに疑いの余地はない。私たちの経済と市民にとって、そのリスクは計り知れない。今日、私たちはこの脅威に対抗する能力を向上させるための新たな一歩を踏み出した。
Ivan Bartoš, Czech Deputy Prime Minister for Digitalization and Minister of Regional Development チェコ共和国デジタル化担当副首相兼地域開発大臣 イワン・バルトシュ氏
Stronger risk and incident management and cooperation リスクマネジメント、インシデントマネジメント、協力体制の強化
NIS2 will set the baseline for cybersecurity risk management measures and reporting obligations across all sectors that are covered by the directive, such as energy, transport, health and digital infrastructure. NIS2は、エネルギー、運輸、健康、デジタルインフラなど、指令の対象となるすべてのセクターにおけるサイバーセキュリティのリスクマネジメント対策と報告義務のベースラインを設定することになる。
The revised directive aims to harmonise cybersecurity requirements and implementation of cybersecurity measures in different member states. To achieve this, it sets out minimum rules for a regulatory framework and lays down mechanisms for effective cooperation among relevant authorities in each member state. It updates the list of sectors and activities subject to cybersecurity obligations and provides for remedies and sanctions to ensure enforcement. 改正指令は、異なる加盟国でのサイバーセキュリティ要件とサイバーセキュリティ対策の実施を調和させることを目的としている。これを実現するために、規制の枠組みに関する最低限のルールを定め、各加盟国の関係当局間の効果的な協力のためのメカニズムを定めている。また、サイバーセキュリティの義務の対象となる部門と活動のリストを更新し、強制力を確保するための救済措置と制裁措置を規定している。
The directive will formally establish the European Cyber Crises Liaison Organisation Network, EU-CyCLONe, which will support the coordinated management of large-scale cybersecurity incidents and crises. この指令は、大規模なサイバーセキュリティ事件や危機の協調的管理を支援する欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)を正式に設立する予定である。
Widening of the scope of the rules 規則の適用範囲の拡大
While under the old NIS directive member states were responsible for determining which entities would meet the criteria to qualify as operators of essential services, the new NIS2 directive introduces a size-cap rule as a general rule for identification of regulated entities. This means that all medium-sized and large entities operating within the sectors or providing services covered by the directive will fall within its scope. 旧NIS指令では、加盟国はどの事業者が必須サービスの事業者として認定される基準を満たすかを決定する責任を負っていたが、新NIS2指令では、規制対象事業者の特定に関する一般規則として、規模制限規則を導入している。これは、この指令の対象となる分野で活動する、あるいはサービスを提供するすべての中堅・大企業がその範囲に含まれることを意味する。
While the revised directive maintains this general rule, its text includes additional provisions to ensure proportionality, a higher level of risk management and clear-cut criticality criteria for allowing national authorities to determine further entities covered. 改正指令はこの一般規則を維持する一方で、その条文には、国家当局がさらに対象企業を決定できるように、比例性、より高いレベルのリスクマネジメント、明確な重要性の基準を確保するための追加条項が含まれている。
The text also clarifies that the directive will not apply to entities carrying out activities in areas such as defence or national security, public security, and law enforcement. Judiciary, parliaments, and central banks are also excluded from the scope. また、防衛や国家安全保障、公安、法執行といった分野での活動には、この指令は適用されないことも明確化されている。司法、議会、中央銀行も対象から外されている。
NIS2 will also apply to public administrations at central and regional level. In addition, member states may decide that it applies to such entities at local level too. NIS2は、中央および地域レベルの行政機関にも適用される。さらに、加盟国は、地方レベルの行政機関にも適用することを決定することができる。
Other changes introduced by the new law 新法が導入するその他の変更点
Moreover, the new directive has been aligned with sector-specific legislation, in particular the regulation on digital operational resilience for the financial sector (DORA) and the directive on the resilience of critical entities (CER), to provide legal clarity and ensure coherence between NIS2 and these acts. さらに、この新しい指令は、特に金融セクターのデジタル運用のレジリエンスに関する規則(DORA)や重要な事業体のレジリエンスに関する指令(CER)といったセクター固有の法律と整合され、法的明確性を提供し、NIS2とこれらの法律間の一貫性を確保するようになっている。
A voluntary peer-learning mechanism will increase mutual trust and learning from good practices and experiences in the Union, thereby contributing to achieving a high common level of cybersecurity. 自主的なピアラーニングの仕組みは、相互信頼を高め、EUにおける優れた実践や経験から学ぶことで、高い共通レベルのサイバーセキュリティの達成に貢献する。
The new legislation also streamlines the reporting obligations in order to avoid causing over-reporting and creating an excessive burden on the entities covered. また、新法は、過剰な報告や対象事業者の過度な負担を避けるために、報告義務を合理化している。
Next steps 次のステップ
The directive will be published in the Official Journal of the European Union in the coming days and will enter into force on the twentieth day following this publication. この指令は、近日中に欧州連合官報に掲載され、掲載後20日目に発効する予定である。
Member states will have 21 months from the entry into force of the directive in which to incorporate the provisions into their national law. 加盟国は、指令の発効から21カ月以内に、この規定を自国の国内法に組み込む必要がある。
Directive on measures for a high common level of cybersecurity across the Union (PE-CONS 32/22) 欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(PE-CONS 32/22)
20221129-03247
[DOCX]

仮訳

 

Draft directive on measures for a high common level of cybersecurity across the Union – Council general approach EU全域で共通レベルの高いサイバーセキュリティのための措置に関する指令案 - 理事会一般的アプローチ
Cybersecurity: how the EU tackles cyber threats (background information) サイバーセキュリティ:EUはどのようにサイバー脅威に対処しているか(背景情報)
A digital future for Europe (background information) 欧州のデジタルな未来(背景情報)
How the EU responds to crises and builds resilience EUはどのように危機に対処し、レジリエンスを構築しているか?
Visit the meeting page 会議のページ

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16


| | Comments (0)

2022.11.28

NIST サイバーセキュリティ50周年 - NISTサイバーセキュリティプログラムの歴史と年表

こんにちは、丸山満彦です。

NIST(1988年までは旧NBS)は1972年から50年にわたり、サイバーセキュリティの研究を行い、産官学のためのサイバーセキュリティ・ガイダンスを開発してきていますが、主要な研究プロジェクト、プログラム、そして最終的にはNISTのサイバーセキュリティの歴史をざっと見るための年表を公表していますね。。。

興味深いです。。。

 

NIST - NIST Cybersecurity Program History and Timeline

米国標準局 (NBS) のコンピュータ科学技術研究所が、コンピュータ セキュリティ プログラムを確立したところから始まります...

1973年11月に発行された、

・[PDF] NBS Technical Note 809 Government Looks at Privacy and Security in Computer Systems

20221127-45130

 

・[PDF] NBS Special Publication 404 Approaches to Privacy and Security in Computer Systems

20221127-45947

 

1974年には、Privacy Act of 1974

そして、1976年は、

・1976.02.15 [PDF] FIPIS PUB 39 Glossary for Computer Sysytems Security

20221127-50714

用語ですが、あまり大きな違いはないのかもしれません。。。

 

・・・と続いていきます。。。

 


古い話であれば、私のブログにも。。。最近、サイバーセキュリティ業界に入ってきたかたは過去の歴史を知ることが意外と重要かもしれないので、、、

まるちゃんの情報セキュリティ気まぐれ日記

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2006.04.25 米国 30年前のIT適用業務処理統制の項目

・2006.04.24 米国 30年前のIT全般統制の項目

 

| | Comments (0)

より以前の記事一覧