情報セキュリティ / サイバーセキュリティ

2024.05.29

韓国 個人情報保護委員会 ㈱カカオに課徴金151億ウォン、罰金780万ウォン(合わせて17.5億円)を課す (2024.05.23)

こんにちは、丸山満彦です。

韓国の個人情報保護委員会が、㈱カカオに課徴金151億4,196万ウォン、罰金780万ウォン(合わせて17.5億円)を課したと公表していますね...

ハッキングを受けた被害者でもあるわけですが、結果的に個人データを漏えいさせてしまったということもありますしね...

どの国も課徴金が増えていく傾向なんですかね...

 

개인정보위

・2024.05.23 개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과

 

개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과 個人情報委員会、㈱カカオに課徴金151億ウォン、罰金780万ウォンを課す
- 지난해 발생한 오픈채팅 이용자 개인정보 유출사고 관련 ・昨年発生したオープンチャット利用者の個人情報流出事故に関連して
- 안전조치 의무위반 및 유출 신고·피해자 통지 소홀 등에 대해 제재, 시정명령과 결과 공표도 함께 처분 ・安全措置義務違反及び流出申告・被害者通知の不履行などに対する制裁,是正命令と結果公表も併せて処分
  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 5월 22일(수) 제9회 전체회의를 열고, 개인정보보호 법규를 위반한 ㈜카카오에 대해 151억 4,196만 원의 과징금과 780만 원의 과태료를 부과하고, 시정명령과 처분결과를 공표하기로 의결하였다.   個人情報保護委員会(委員長コ・ハクス、以下「個人情報委員会」)は5月22日(水)、第9回全体会議を開き、個人情報保護法規に違反した㈱カカオに対して151億4,196万ウォンの課徴金と780万ウォンの罰金を課し、是正命令と処分結果を公表することを議決した。
  개인정보위는 지난해 3월 카카오톡 오픈채팅 이용자의 개인정보가 불법 거래되고 있다는 언론보도에 따라 개인정보 보호법 위반 여부를 조사하였다.    個人情報委員会は昨年3月、カカオトークのオープンチャット利用者の個人情報が違法取引されているというマスコミ報道に基づき、個人情報保護法違反の有無を調査した。
  조사 결과, 해커는 오픈채팅방의 취약점을 이용해 오픈채팅방 참여자 정보를 획득했고, 카카오톡의 친구추가 기능과 불법 프로그램 등을 이용해 이용자 정보를 확보하였으며, 이들 정보를 ‘회원일련번호’를 기준으로 결합해 개인정보 파일을 생성, 판매한 것으로 확인되었다.   調査の結果、ハッカーはオープンチャット室の脆弱性を利用してオープンチャット室の参加者情報を取得し、カカオトークの友達追加機能と違法プログラムなどを利用して利用者情報を確保し、これらの情報を「会員シリアル番号」を基準に結合して個人情報ファイルを生成、販売したことが確認された。
< 개인정보 유출 과정 > < 個人情報流出の過程 >
  개인정보위는 ㈜카카오가 카카오톡 서비스를 제공하는 과정에서 다음과 같은 위반 사실을 확인하였다.   個人情報委員会は、㈱カカオがカカオトークサービスを提供する過程で、次のような違反事実を確認した。
< 안전조치의무 위반 > < 安全措置義務違反 >
  먼저, ㈜카카오는 익명채팅이라고 홍보하며 오픈채팅 서비스를 운영하였는데, 일반채팅과 오픈채팅을 이용하는 이용자를 동일한 회원일련번호로 식별할 수 있게 이용자 식별체계를 구현하였다. 다만, 오픈채팅 참여자는 오픈채팅방 정보(오픈채팅방 ID)와 회원일련번호로 구성한 임시ID를 메시지 송수신시 사용하였다.     まず、(株)カカオは匿名チャットと広報してオープンチャットサービスを運営したが、一般チャットとオープンチャットを利用する利用者を同一の会員シリアル番号で識別できるように利用者識別体系を実装した。ただし、オープンチャット参加者は、オープンチャットルーム情報(オープンチャットルームID)と会員シリアル番号で構成した仮IDをメッセージの送受信時に使用した。 
  ’20. 8월 이전에 생성된 오픈채팅방은 참여자의 임시ID를 암호화하지 않아, 임시ID에서 회원일련번호를 쉽게 확인할 수 있었다.    '20.8月以前に生成されたオープンチャットルームは、参加者の仮IDを暗号化せず、仮IDから会員シリアル番号を簡単に確認することができた。
  또, ’20. 8월 이후에 생성된 오픈채팅방은 임시ID를 암호화하였지만, 오픈채팅방 게시판에 암호화된 임시ID를 입력하면 암호화를 해제하고 평문으로 임시ID를 노출하는 취약점이 있어, 참여자의 암호화된 임시ID도 쉽게 회원일련번호를 확인할 수 있었다.    また、'20年8月以降に生成されたオープンチャットルームは、一時IDを暗号化したが、オープンチャットルーム掲示板に暗号化された一時IDを入力すると、暗号化を解除して平文で一時IDを公開する脆弱性があり、参加者の暗号化された一時IDも簡単に会員シリアル番号を確認することができた。
  이와 같이, ㈜카카오는 카카오톡 서비스 설계‧운영 과정에서 회원일련번호와 임시ID가 연계되어 오픈채팅의 익명성이 훼손 또는 개인정보 노출될 가능성이 있음에도 그에 대한 검토와 개선 조치를 소홀히 한 것이다. 마찬가지로, 오픈채팅방 게시판에 있던 보안 취약점에 대한 점검과 개선조치를 소홀히 하였다.    このように、(株)カカオは、カカオトークサービスの設計・運営過程で会員シリアル番号と仮IDが連携され、オープンチャットの匿名性が損なわれたり、個人情報が公開される可能性があるにもかかわらず、それに対する検討と改善措置を怠ったのである。同様に、オープンチャット掲示板にあったセキュリティの脆弱性に対する点検と改善措置を怠った。
  회원일련번호 연계에 따른 익명성 훼손을 방지하려면 오픈채팅 이용자는 일반채팅과 다른 식별체계로 구성하거나, 임시ID를 암호화해 회원일련번호가 노출되지 않도록 하는 방법 등이 가능하다. ㈜카카오는 지난해 사고 발생 이후 모든 오픈채팅방 참여자의 임시ID를 암호화하였다.    会員シリアル番号連携による匿名性毀損を防止するには、オープンチャット利用者は、一般チャットと異なる識別体系で構成したり、一時IDを暗号化して会員シリアル番号が露出されないようにする方法などが可能である。カカオ(株)は昨年の事故発生後、すべてのオープンチャット参加者の一時IDを暗号化した。
  또, 카카오톡 전송방식을 분석한 공개된 API를 이용하면 이용자 정보 추출 등이 가능하다는 지적이 개발자 커뮤니티 등에 공개되어 왔음에도 불구하고, ㈜카카오는 관련 내용이 카카오톡 서비스에 비치는 영향, 개인정보 유출 등 피해 가능성에 대한 검토와 개선 조치도 미흡하였다.   また、カカオトークの送信方式を分析した公開されたAPIを利用すれば、利用者情報の抽出などが可能だという指摘が開発者コミュニティなどに公開されてきたにもかかわらず、㈱カカオは、関連内容がカカオトークサービスに及ぼす影響、個人情報流出などの被害の可能性に対する検討と改善措置も不十分だった。
  오픈채팅 서비스 설계‧구현 과정에서의 과실과 카카오톡 전송방식을 분석해서 만든 해킹 프로그램을 이용한 악성행위에 대한 대응조치 미흡 등으로 인해서 ㈜카카오가 처리 중인 개인정보가 해커에게 공개‧유출되었고, 따라서 ㈜카카오는 개인정보 보호법의 안전조치 의무를 위반하였다.    オープンチャットサービスの設計・実装過程での過失と、カカオトークの送信方式を分析して作ったハッキングプログラムを利用した悪質行為に対する対応措置の不十分などにより、㈱カカオが処理中の個人情報がハッカーに公開・流出され、したがって、㈱カカオは個人情報保護法の安全措置義務に違反した。
< 유출 신고·통지 의무 위반 > <流出申告・通知義務違反 >
  또한, ㈜카카오는 ’23. 3월 언론보도 및 개인정보위 조사과정에서 카카오톡 오픈채팅방 이용자의 개인정보가 유출되고 있다는 사실을 인지했음에도 유출 신고와 이용자 대상 유출 통지를 하지 않아 개인정보 보호법을 위반하였다.   また、(株)カカオは、'23年3月のマスコミ報道及び個人情報委員会の調査過程で、カカオトークのオープンチャットルーム利用者の個人情報が流出されているという事実を認識したにもかかわらず、流出申告と利用者対象の流出通知を行わず、個人情報保護法に違反した。
  개인정보위는 이용자 개인정보가 유출된 ㈜카카오에 대해 안전조치의무 위반으로 과징금을 부과하고, 유출 신고·통지의무 위반 등에 대해서는 과태료를 부과하기로 결정하였다.   個人情報委員会は、利用者の個人情報が流出した㈱カカオに対し、安全措置義務違反で課徴金を課し、流出申告・通知義務違反などに対しては過料を課すことを決定した。
  또, ㈜카카오에 이용자 대상 유출 통지를 할 것을 시정명령하는 동시에, 개인정보위 홈페이지에 처분 결과를 공표하기로 결정하였다.   また、(株)カカオに利用者対象の流出通知をすることを是正命令すると同時に、個人情報委員会のホームページに処分結果を公表することを決定した。
  이번 처분을 계기로 카카오톡과 같이 대다수 국민이 이용하는 서비스의 경우 보안 취약점을 상시적으로 점검‧개선하는 한편 설계‧개발 과정에서 발생할 수 있는 개인정보 침해 가능성에 대해서도 지속적인 점검과 노력이 필수적이라는 인식이 자리잡기를 기대한다고 개인정보위는 밝혔다.   今回の処分をきっかけに、カカオトークのように大多数の国民が利用するサービスの場合、セキュリティの脆弱性を常時点検・改善する一方、設計・開発過程で発生する可能性のある個人情報侵害の可能性についても、持続的な点検と努力が必須であるという認識が定着することを期待すると個人情報委員会は明らかにした。

 

・2024.05.23 [PDF] 240523 (석간) 개인정보위, ㈜카카오에 과징금 151억 원, 과태료 780만 원 부과(조사2과) FN

20240529-11212

 

 

 

| | Comments (0)

2024.05.28

フランス ドイツ 製品セキュリティ認証の相互承認協定を改定し、延長...

こんにちは、丸山満彦です。

製品セキュリティについて、CCの普及がコスト面も含めて難しい中、フランスはCSPN(Certification de Sécurité de Premier Niveau[wikipedia] を実施し、ドイツは、BSZ (Beschleunigte Sicherheitszertifizierung)を実施し、相互認証を行なっていますが、今回その相互承認協定を延長したとフランス、ドイツ両政府が発表していますね...

二つの国は仲良し(^^)

 

まずは、フランス...

● Agence nationale de la sécurité des systèmes d'information (ANSSI) 

・2024.05.24 Renouvellement de l’accord de reconnaissance mutuelle CSPN-BSZ entre l’ANSSI et le BSI

Renouvellement de l’accord de reconnaissance mutuelle CSPN-BSZ entre l’ANSSI et le BSI ANSSIとBSIのCSPN-BSZ相互認証協定が更新される
Le 15 mai 2024, Vincent Strubel, directeur général de l’ANSSI et son homologue allemande du BSI, Claudia Plattner ont approuvé et signé en personne la nouvelle version de l’accord de reconnaissance mutuelle des certificats de sécurité pour les schémas CSPN et BSZ 2024年5月15日、ANSSIのヴァンサン・シュトルーベル事務局長とBSIのクラウディア・プラットナー・ドイツ代表は、CSPNとBSZスキームのセキュリティ証明書の相互承認協定の新バージョンを承認し、署名した。
Initialement signé en juin 2022, l’accord de reconnaissance mutuelle CSPN-BSZ permet la reconnaissance réciproque des certificats de sécurité de ce type entre la France et l'Allemagne, évitant ainsi la duplication des évaluations. Cet accord prévoit également la coopération technique entre les deux agences afin de favoriser l’harmonisation des pratiques dans le but de permettre de réduire au maximum les exceptions à cet accord. 2022年6月に調印されたCSPN-BSZ相互認証協定は、フランスとドイツの間でこの種のセキュリティ認証の相互認証を可能にし、審査の重複を回避する。また、この協定は、協定に対する例外を最小限に抑えることを目的として、実務の調和を促進するための両機関間の技術協力についても定めている。
En s’appuyant désormais sur la norme européenne FiTCEM (Fixed Time Cybersecurity Evaluation Methodology for ICT products, EN 17640) récemment adoptée, la nouvelle version de l’accord représente une nouvelle étape vers l'harmonisation globale des schémas de certification de ce type. Ce renouvellement s’inscrit dans l’optique de la création à terme d’un schéma de certification européen tel que prévu par le Cybersecurity Act, 最近採択された欧州規格FiTCEM(Fixed Time Cybersecurity Evaluation Methodology for ICT products, EN 17640)に基づく新バージョンの協定は、この種の認証制度の世界的調和に向けたさらなる一歩となる。この更新は、サイバーセキュリティ法で想定されている欧州の認証スキームの最終的な創設に沿ったものである、
Aucun accord semblable n’existe avec un autre partenaire de l’Agence, c’est pourquoi la signature de son renouvellement illustre la solidité de la coopération entre l’ANSSI et le BSI, ainsi que le niveau de confiance élevé entre les deux partenaires en matière de certification. ANSSIの他のパートナーとの間には同様の協定は存在しないため、今回の更新の調印は、ANSSIとBSIの協力関係の強さと、認証に関する2つのパートナー間の高い信頼性を示している。

 

次に、ドイツ...

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.05.24 BSI und ANSSI verlängern Abkommen zur Anerkennung von IT-Sicherheitszertifikaten

BSI und ANSSI verlängern Abkommen zur Anerkennung von IT-Sicherheitszertifikaten BSIとANSSIがITセキュリティ証明書の承認に関する合意を拡大
Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, und der Generaldirektor der Agence nationale de la sécurité des systèmes d'information (ANSSI), Vincent Strubel, haben am 15. Mai 2024 ein überarbeitetes Abkommen zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten für die Programme CSPN (Certification de Sécurité de Premier Niveau) und BSZ (Beschleunigte Sicherheitszertifizierung) unterzeichnet. Das Abkommen basiert auf der europäischen Norm EN 17640 "Zeitlich festgelegte Cybersicherheitsevaluationsmethodologie für IKT-Produkte" (FiT CEM). Diese neue Grundlage des Abkommens eröffnet Möglichkeiten der weiteren europäischen Harmonisierung unter anderem im Rahmen oder als Ergänzung eines europäischen Zertifizierungsschemas unter dem Cyber Security Act (CSA). 連邦情報セキュリティー局(BSI)のクラウディア・プラットナー総裁と国家情報セキュリティー局(ANSSI)のヴァンサン・シュトルーベル局長は、2024年5月15日、CSPN(Certification de Sécurité de Premier Niveau)およびBSZ(Accelerated Security Certification)プログラムにおけるITセキュリティー証明書の相互承認に関する改定協定に署名した。この協定は、欧州規格EN 17640「ICT製品の時間ベースのサイバーセキュリティ評価方法」(FiT CEM)に基づいている。この協定の新たな基盤は、サイバーセキュリティ法(CSA)に基づく欧州認証スキームの一部または追加を含め、さらなる欧州調和の機会を開くものである。
Es gilt weiterhin, dass bereits gültige sowie zukünftig erteilte Zertifikate in beiden Programmen als gleichwertig anerkannt werden. Neu ist ein gemeinsames Logo, das auf die Anerkennung verweist und fortan auf den Zertifikaten und in den Zertifizierungsberichten enthalten ist. So können potentielle Produktnutzerinnen und -nutzer einfacher erkennen, dass eine Zertifizierung unter das Anerkennungsabkommen fällt. すでに有効な証明書も、今後発行される証明書も、両制度において同等と認められ続ける。新たな特徴として、認証を示す共同ロゴがあり、今後、認証書と認証報告書に記載される。これにより、潜在的な製品ユーザーは、認証が認証協定の対象であることを容易に認識できるようになる。
Die Verlängerung des Anerkennungsabkommens ist ein weiterer Beleg für die dauerhaft gute und enge Zusammenarbeit zwischen ANSSI und BSI. Durch das Abkommen und die dort verankerten gemeinsamen technischen "Application Notes" wird die neue Evaluierungsmethodologie der FiT CEM im Sinne der beiden Nationen ausgestaltet und mit Leben gefüllt. Das schafft praxiserprobte Blaupausen für eine zukünftige europäische Harmonisierung. 承認協定の延長は、ANSSIとBSIの良好かつ緊密な協力関係が続いていることのさらなる証明である。この協定とそれに基づく共同テクニカル・アプリケーション・ノートを通じて、FiT CEMの新しい評価方法が開発され、両国の精神が息づいている。これにより、将来の欧州におけるハーモナイゼーションのための、試行錯誤の青写真が描かれる。

 

新しいロゴ...

 

1_20240527161201

 

 

 

| | Comments (0)

2024.05.27

米国 MITERの研究開発ネットワークが外国のサイバー攻撃者に侵入されていた件の調査が一段落したようですね...

こんにちは、丸山満彦です。

2024.04.19にMITREが、研究開発ネットワークが外国のサイバー攻撃者に侵入されていたと公表しましたが、その調査が一段落したと公表していますね...

概要については、3回にわけてブログに掲載されています...

今回のこの事件の侵入方法ですが、、、

Ivanti Connect Secureのゼロデイ脆弱性2つを使い、仮想プライベートネットワーク(VPN)の1つを悪用し、セッションハイジャックを使って多要素認証をすり抜け、侵入しているようです...その後、永続性を確保したようです。

おそらく高度な攻撃だったのでしょうね...だんだんと匠の世界にはいっていきますね...

しかし、ブログを使って攻撃手法等を公開しているところは、内閣官房の対応と違いますよね。。。こういう攻撃手法をしてきているから、みんな気をつけろよ。。。って話ですよね。。。

ぜひブログ3部作を読んでみてくださいませ...

クリアランスとかも含めて、こういう姿勢の違いがあるから、ちょっと気になるんですよね...

 

さて、まずは、プレスから...

MITRE

・2024.05.24 MITRE Concludes Its Internal Cyber-Attack Investigation

MITRE Concludes Its Internal Cyber-Attack Investigation MITRE、サイバー攻撃に関する内部調査を終了
In April, MITRE disclosed that its research collaboration network known as NERVE was hacked by a Chinese nation-state adversary. After collaboration with law enforcement and CrowdStrike, a cyber forensics provider, MITRE has concluded its internal investigation of the incident involving two Ivanti Connect Secure zero-day vulnerabilities that bypassed our multi-factor authentication. The adversary maneuvers within the network and the VMware infrastructure are explained in a three-part series of technical blogs that you can read here. 4月、MITREはNERVEとして知られる研究協力ネットワークが中国の国家的敵対者によってハッキングされたことを公表した。法執行機関およびサイバー・フォレンジック・プロバイダーであるCrowdStrikeとの協力の後、MITREは、当社の多要素認証をバイパスする2つのIvanti Connect Secureのゼロデイ脆弱性に関わる事件の内部調査を終了した。ネットワークおよびVMwareインフラストラクチャ内での敵の作戦については、3部構成の技術ブログで説明されており、こちらで読むことができる。
“We quickly disclosed the incident and what facts we knew at the time to our government sponsors, trustees, and law enforcement, as well as our employees and the cyber community,” said Jason Providakes, MITRE, president and CEO. “As a company that operates in the public interest, this timely and transparent response to the cyber-attack and sharing our learnings will enable organizations in the public and private sectors to help deter future attacks.”  「MITREの社長兼最高経営責任者(CEO)のジェイソン・プロビデイクス(Jason Providakes)氏は、次のように述べている。「私たちは、このインシデントと、その時点でわかっていた事実を、政府のスポンサー、評議員、法執行機関、そして私たちの従業員やサイバー・コミュニティに迅速に開示しました。公共の利益のために活動する企業として、サイバー攻撃に対するこのタイムリーで透明性のある対応と、われわれの学びを共有することで、官民の組織は将来の攻撃を抑止することができるようになる」
While the investigation has concluded, MITRE will continue to share any new relevant information that becomes available and support the ongoing federal law enforcement investigation of the incident.  調査は終了したが、MITREは引き続き、入手可能になった新たな関連情報を共有し、現在進行中の連邦法執行機関による事件の捜査を支援する。
“As adversaries continue to evolve their tactics and techniques, it is imperative for organizations to remain vigilant and adaptive in defending against cyber threats,” said Charles Clancy, MITRE, senior vice president and chief technology officer. “We continue to evolve our cybersecurity frameworks and share with the cyber community. By understanding and countering their new adversary behaviors, we can bolster our defenses and safeguard critical assets against future intrusions.” 「MITREのチャールズ・クランシー上級副社長兼最高技術責任者(CTO)は、「敵が戦術や技術を進化させ続ける中、組織がサイバー脅威から身を守るためには、警戒と適応を怠らないことが不可欠だ。「我々はサイバーセキュリティのフレームワークを進化させ、サイバーコミュニティと共有し続けている。新たな敵の行動を理解し、それに対抗することで、私たちは防御を強化し、将来の侵入から重要な資産を守ることができる。

 

技術がわかる方は、このブログ3部もぜひ...

作時間軸にそって...

・2024.04.20 Advanced Cyber Threats Impact Even the Most Prepared

・2024.05.03 Technical Deep Dive: Understanding the Anatomy of a Cyber Intrusion

・2024.05.24 Infiltrating Defenses: Abusing VMware in MITRE’s Cyber Intrusion

1_20240421063601

 


 

まるちゃんの情報セキュリティ気まぐれ日記

事件発生時のブログ...

・2024.04.21 米国 MITERの研究開発ネットワークが外国のサイバー攻撃者に侵入されていたようですね(私たちだって侵入を許してしまうくらいですから、みなさんも...)

 

内閣官房のメールシステムが侵入を受けてデータが漏えいした件...

・2023.08.18 内閣官房 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について(2023.08.04)

 

 

 

| | Comments (0)

中国 TC260 意見募集 国家標準 「サイバーセキュリティ技術:生成的人工知能サービスのセキュリティに関する基本要件」案 (2024.05.23)

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会 (TC260) が「生成的人工知能サービスのセキュリティに関する基本要件」の草案を公表し、意見募集をしていますね。。。

内容はこんな感じ...

  • 5 トレーニングデータ・セキュリティ要件
    • 5.1 データのセキュリティ
    • 5.2 データコンテンツのセキュリティ
    • 5.3 データラベリングのセキュリティ
  • 6 モデルセキュリティ要件
  • 7 セキュリティ対策の要件

 

● 全国信息安全标准化技术委员会

・2024.05.23 关于国家标准《网络安全技术 生成式人工智能服务安全基本要求》征求意见稿征求意见的通知

・[PDF] 网络安全技术 生成式人工智能服务安全基本要求-标准文本

20240526-230906

・[DOCX][PDF] 仮訳

 

 

説明...

・[PDF] 网络安全技术 生成式人工智能服务安全基本要求-编制说明

20240526-231309

 

対訳... ↓ ↓ ↓



 

 

 

 

 

Continue reading "中国 TC260 意見募集 国家標準 「サイバーセキュリティ技術:生成的人工知能サービスのセキュリティに関する基本要件」案 (2024.05.23)"

| | Comments (0)

2024.05.26

中国 TC260 意見募集 国家標準「ネットワークセキュリティ技術ソフトウェア部品表 (SBOM) データフォーマット」案 (2024.05.16)

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会 (TC260) が「ネットワークセキュリティ技術ソフトウェア部品表データフォーマット」の草案を公表し、意見募集をしていますね。。。

中国もSBOMですね...

 

● 全国信息安全标准化技术委员会

・2024.05.16 关于国家标准《网络安全技术 软件物料清单数据格式》征求意见稿征求意见的通知

意見募集案...

・[DOCX] 网络安全技术 软件物料清单数据格式-标准文本

20240526-25224

・[DOCX] 仮訳

 

・2024.05.16 网络安全技术 软件物料清单数据格式-编制说明

20240526-25309

・[DOCX] 仮訳

 

| | Comments (0)

2024.05.25

米国 NSA アプリケーションとワークロードのピラーを通してゼロトラストの成熟度を進める

こんにちは、丸山満彦です。

米国の国家安全保障局が、アプリケーションとワークロードのピラーを通してゼロトラストの成熟度を高めるためのガイドを公表していますね...

ゼロトラストアーキテクチャには、7つのピラー、

USER ユーザー
DEVICE デバイス
APPLICATION & WORKLOAD アプリケーションとワークロード
DATA データ
NETWORK & ENVIRONMENT ネットワークと環境
AUTOMATION & ORCHESTRATION 自動化とオーケストレーション
VISIBLITY & ANALITICS 可視性と分析

が、ありますが、

今回のテーマは、APPLICATION & WORKLOAD です...

 

National Security Agency/Central Security Service

・2024.05.22 [PDF] CSI: Advancing Zero Trust Maturity Throughout the Application and Workload Pillar

20240525-33514

・[DOCX][PDF] 仮訳

 

エグゼクティブサマリー...

 

Executive summary  エグゼクティブサマリー
In the current digital landscape where malware and emerging online threats continue to evolve and become more sophisticated, it is imperative that organizations prioritize cybersecurity as essential to their operations. Information Technology (IT) professionals are keenly aware of the security challenges facing applications, but workloads are every bit as important to consider in this domain.   マルウェアや新たなオンラインの脅威が進化を続け、より巧妙になっている現在のデジタル環境では、組織がサイバーセキュリティを業務に不可欠なものとして優先させることが不可欠である。情報技術(IT)の専門家は、アプリケーションが直面するセキュリティ上の課題を強く認識しているが、この領域で考慮すべきは、ワークロードも同様に重要である。  
Workloads represent computational tasks, which encompass multiple programs or applications performing those tasks by utilizing computing, data, networking, and storage resources. Workloads evolve over their lifecycle through mission development, test, and production scenarios. “A workload is an expression of an ongoing effort of an application AND what is being requested of it … Applications tend to shape the characteristics of the workload itself by how it processes the data, or the software limits inherent to the solution.” [1] Workloads can be comprised of services across multiple clouds, with application programming interfaces (APIs) connecting to third parties and sensitive databases that require different levels of access. To navigate the complexities of managing workloads across computing environments and workflows, organizations are turning to advanced tools such as backend APIs, workload automation software, artificial intelligence (AI) predictive analytics, and cloud management platforms. [2]   ワークロードは、コンピューティング、データ、ネットワーキング、およびストレージリソースを利用することで、それらのタスクを実行する複数のプログラムやアプリケーションを包含する計算タスクを表す。ワークロードは、ミッションの開発、テスト、および実稼働シナリオを通じて、そのライフサイクルの中で進化する。「ワークロードは、アプリケーションの継続的な努力の表現であり、アプリケーションに要求されるものである...アプリケーションは、データをどのように処理するか、またはソリューションに固有のソフトウェアの制限によって、ワークロード自体の特性を形成する傾向がある。[ワークロードは複数のクラウドにまたがるサービスで構成され、アプリケーション・プログラミング・インターフェース(API)はサードパーティに接続し、機密性の高いデータベースは異なるレベルのアクセスを必要とする。コンピューティング環境とワークフローにまたがるワークロードの複雑な管理をナビゲートするために、組織はバックエンドAPI、ワークロード自動化ソフトウェア、人工知能(AI)予測分析、クラウド管理プラットフォームなどの高度なツールに目を向けている。[2]  
These tools enable organizations to achieve their mission of interconnectedness, scalability, and usability by interacting with and exchanging data. This exchange of data creates opportunities for malicious actors to target business applications and workloads, as well as the methods used to safeguard them, leading to security challenges.  これらのツールは、データとの相互作用やデータ交換によって、相互接続性、拡張性、ユーザビリティという組織の使命を達成することを可能にする。このようなデータ交換は、悪意のある行為者がビジネス・アプリケーションやワークロード、またそれらを保護するために使用される方法を標的にする機会を生み出し、セキュリティ上の課題につながる。 
This cybersecurity information sheet (CSI) provides recommendations for achieving progressive levels of application and workload pillar capabilities and further discusses how these capabilities integrate into a comprehensive Zero Trust (ZT) framework. [3] National Security System (NSS), Department of Defense (DoD), and Defense Industrial Base (DIB) owners should use this and other guidance to develop concrete steps for maturing their application and workload security.  このサイバーセキュリティ情報シート(CSI)は、アプリケーションとワークロードのピラーとなる能力の漸進的なレベルを達成するための推奨事項を提供し、さらにこれらの能力が包括的なゼロトラスト(ZT)フレームワークにどのように統合されるかについて論じている。[国家安全保障システム(NSS)、国防総省(DoD)、防衛産業基盤(DIB)の所有者は、アプリケーションとワークロードのセキュリティを成熟させるための具体的なステップを開発するために、このガイダンスと他のガイダンスを使用すべきである。 

 

 

7つのピラー...

1_20240525034101

 

 

 

| | Comments (0)

アマゾン 「AWSにおける経済安全保障推進法に関する考慮事項(日本語)」(2024.05.18)

こんにちは、丸山満彦です。

アマゾンが「AWSにおける経済安全保障推進法に関する考慮事項(日本語)」を公表していると、ブログで紹介していますね...松本照吾さんの記事ですね...少し、紹介が遅れました...


AWSは本制度の対象となる基幹インフラ自体を担う事業者ではなく、また特定重要設備をサービスとして提供する事業者ではありません。しかし、こうした社会的な機能維持の責任をもつお客様が、その構成設備の一部としてAWSの様々なサービスを利用されることが想定されます。


 

ということで、このホワイトペーパーを作っている様ですね...

なんと言いますか、一歩先をいっている感があります...

 

AWSAmazon Web Services ブログ

・2024.05.18 「AWSにおける経済安全保障推進法に関する考慮事項」ホワイトペーパーが発行されました。 

・[PDF] AWSにおける経済安全保障推進法に関する考慮事項

20240525-21248

 

あっ、紙がレターサイズですね...

 

目次...


1 対象読者
2
経済安全保障推進法の概要
3
クラウドサービスの利用における留意事項
4 Amazon Web Services
のシステムの概要
5 AWS
における経済安全保障推進法への対応
1.
お客様が実施すべき事項
2.
「導入等計画書」「4.構成設備に関する事項」
3.
「導入等計画書」「5.特定重要設備の導入にあたって特定社会基盤事業者が講ずる特定妨害行為を防止するための措置に係る事項」に関する考慮事項(共通項目)
4.
その他規制業種毎の個別要求項目
Document Revisions


 

いろいろと参考になりますね..

 

 

 

 

 

 

| | Comments (0)

2024.05.24

米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書

こんにちは、丸山満彦です。

米国のNISTのサイバー&プライバシー分野の年次報告です...

予算獲得のためかもしれませんが...年度(2022.10.01-202309.30) の出来事を振り返る上で参考になりますね。。。もう少し早くだせばよいのにね...

 

● NIST - ITL

・2024.05.20 SP800-229 Fiscal Year 2023 Cybersecurity and Privacy Annual Report

NIST SP 800-229 Fiscal Year 2023 Cybersecurity and Privacy Annual Report NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書
Abstract 概要
During Fiscal Year 2023 (FY 2023) – from October 1, 2022, through September 30, 2023 –the NIST Information Technology Laboratory (ITL) Cybersecurity and Privacy Program successfully responded to numerous challenges and opportunities in security and privacy. This Annual Report highlights the FY 2023 research activities for the ITL Cybersecurity and Privacy Program, including the ongoing participation and development of international standards; research and practical applications in several key priority areas (e.g., Post Quantum Cryptography, updating the NIST Cybersecurity Framework (CSF 2.0) and some new CSF profiles); accomplishments in the area of improving software and supply chain cybersecurity; IoT cybersecurity guidelines work; National Cybersecurity Center of Excellence (NCCoE) projects, and setting up a new comment site for NIST’s Risk Management Framework work; release of a Phish scale; progress in the Identity and Access Management program; Strategic and Emerging Research Initiatives (SERI) for autonomous vehicles. 2023会計年度(2022年10月1日から2023年9月30日まで)において、NIST情報技術研究所(ITL)のサイバーセキュリティ・プライバシープログラムは、セキュリティとプライバシーに関する多くの課題と機会に成功裏に対応した。本年次報告書では、ITLサイバーセキュリティ・プライバシープログラムの2023年度の研究活動に焦点を当て、国際標準への継続的な参加と開発、いくつかの主要優先分野(例.ポスト量子暗号、NISTサイバーセキュリティ・フレームワーク(CSF 2.0)の更新といくつかの新しいCSFプロファイル)、ソフトウェアとサプライチェーンのサイバーセキュリティの改善分野における成果、IoTサイバーセキュリティ・ガイドラインの作業、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)プロジェクト、NISTのリスクマネジメント・フレームワーク作業に対する新しいコメントサイトの立ち上げ、フィッシュ・スケールのリリース、アイデンティティとアクセス・マネジメント・プログラムの進捗、自律走行車のための戦略的・新興研究イニシアチブ(SERI)などである。

 

 

・[PDF] NIST.SP.800-229

20240524-52844

目次

Cryptography 暗号技術
Education, Training & Workforce Development  教育、トレーニング、人材開発 
Emerging Technologies  新興技術 
Human-Centered Cybersecurity 人間中心のサイバーセキュリティ
Identity & Access Management アイデンティティとアクセス管理
Privacy プライバシー
Risk Management リスクマネジメント
Trustworthy Networks & Platforms 信頼できるネットワークとプラットフォーム
NIST National Cybersecurity Center of Excellence NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス

 

ちなみに過去分も含めて...

2023 2022 2021 2020 2019 2018 2017
SP 800-229 SP 800-225 SP 800-220 SP 800-214 SP 800-211 SP 800-206  SP 800-203
暗号技術 暗号 暗号の標準と検証 サイバーセキュリティの啓発と教育  サイバーセキュリティとプライバシーの標準化の進化 サイバーセキュリティとプライバシー基準の推進 国際ITセキュリティ標準へのITLの関与
教育、トレーニング、人材開発  教育、トレーニング、人材開発 サイバーセキュリティの測定 アイデンティティとアクセス管理 リスク管理の強化 リスクマネジメントの強化 リスク管理
新興技術  アイデンティティとアクセス管理 教育と労働力 測定基準と測定 暗号標準と検証の強化 暗号の標準と検証の強化 バイオメトリクス標準と関連する適合性評価試験ツール
人間中心のサイバーセキュリティ プライバシー アイデンティティとアクセス管理 リスクマネジメント 先端サイバーセキュリティ研究・応用開発 サイバーセキュリティの研究・応用開発の推進 サイバーセキュリティアプリケーション
アイデンティティとアクセス管理 リスクマネジメントと計測 プライバシーエンジニアリング プライバシーエンジニアリング  サイバーセキュリティについての意識向上、トレーニング、教育、人材育成 サイバーセキュリティの意識向上、トレーニング、教育、人材開発 ソフトウェアの保証と品質
プライバシー 信頼できるネットワークとプラットフォーム リスクマネジメント 新規技術 アイデンティティとアクセス管理の強化 アイデンティティとアクセス管理の強化 連邦サイバーセキュリティ調査研究
リスクマネジメント 利用可能なサイバーセキュリティ 信頼できるネットワーク 暗号の標準化と検証 通信・インフラ保護の強化 必インフラストラクチャの保護強化  コンピュータ・フォレンジック
信頼できるネットワークとプラットフォーム   信頼できるプラットフォーム 信頼性の高いネットワーク 新技術の確保 新規技術の保護 サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス     信頼性の高いプラットフォーム セキュリティテストと測定ツールの進化 セキュリティのテストと測定ツールの推進 暗号標準化プログラム
            バリデーションプログラム
            ID ・アクセス管理
            新規技術の研究
            ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
            インターネットインフラ保護
            高度なセキュリティ試験と測定
            技術的な安全性の指標
            利便性とセキュリティ

 

 

本文...

CRYPTOGRAPHY 暗号技術
Cryptography is foundational to our security and data protection needs. The standards, guidelines, recommendations, and tools provided by NIST’s Cryptography priority area enable trustworthy assurance of integrity and confidentiality in all types of information and technology – now and in the future. 暗号は、我々のセキュリティとデータ保護のニーズの基礎となるものである。NISTの暗号技術優先分野によって提供される標準、ガイドライン、勧告、およびツールは、現在および将来のあらゆる種類の情報と技術における完全性と機密性の信頼できる保証を可能にする。
Major Accomplishments in FY 2023: 2023年度の主な成果
• The Post-Quantum Cryptography (PQC) team hosted the Fourth PQC Standardization Conference in November 2022. In response to the Call for Additional Signatures, 40 candidate algorithms were submitted, and the first three draft PQC standards were released for public comment.  ・耐量子暗号(PQC)チームは、2022 年 11 月に第 4 回 PQC 標準化会議を開催した。追加署名の募集に対し、40のアルゴリズム候補が提出され、最初の3つのPQC標準ドラフトがパブリックコメントのために公開された。
• The Lightweight Cryptography team announced the decision to standardize the Ascon family for lightweight cryptography applications and published IR 8454, Status Report on the Final Round of the NIST Lightweight Cryptography Standardization Process, which describes the selection process. The team also hosted the Sixth Lightweight Cryptography Workshop. ・軽量暗号化チームは、軽量暗号アプリケーション向けに Ascon ファミリの標準化を決定したことを発表し、その選定プロセスを説明した IR 8454「NIST 軽量暗号化標準化プロセスの最終ラウンドに関する状況報告」を公表した。また、第6回軽量暗号ワークショップを主催した。
• The Multi-Party Threshold Cryptography (MPTC) and Privacy-Enhancing Cryptography (PEC) projects jointly released the initial public draft of IR 8214C, NIST First Call for Multi-Party Threshold Schemes (MPTS). The document’s scope includes advanced techniques, such as fully homomorphic encryption, zero-knowledge proofs, and the building blocks of secure multi-party computation. As part of an effort to obtain public comments, NIST hosted the MPTS 2023 workshop and three events of the Special Topics on Privacy and Public Auditability (STPPA). ・マルチパーティー閾値暗号(MPTC)プロジェクトと プライバシー強化暗号方式(PEC)プロジェクトは共同で、IR 8214C「NIST マルチパーティ閾値スキームの初募集(MPTS)」の初公開ドラフトを公開した。この文書の範囲には、準同型暗号、ゼロ知識証明、安全なマルチパーティ計算の構成要素などの高度な技術が含まれる。パブリックコメントを得るための取り組みの一環として、NISTはMPTS 2023ワークショップと、プライバシーと公開監査可能性に関する特別刊行物(STPPA)の3つのイベントを開催した。
• NIST’s Crypto Publication Review Board completed seven publication reviews, and five reviews are in progress to update and modernize the portfolio of cryptographic standards. ・NISTの暗号出版審査委員会は7件の出版審査を完了し、5件の審査が暗号標準のポートフォリオの更新と近代化のために進行中である。
EDUCATION, TRAINING & WORKFORCE 教育、訓練、労働力
Energizing, promoting, and coordinating the workforce are key priorities for NIST. The National  労働力の活性化、促進、調整はNISTの重要な優先事項である。サイバーセキュリティ教育のための国家イニシアティブ 
Initiative for Cybersecurity Education (NICE) team supports a robust community that works together to advance an integrated ecosystem of cybersecurity education, training, and workforce development. サイバーセキュリティ教育イニシアティブ(NICE)チームは、サイバーセキュリティ教育、訓練、人材育成の統合されたエコシステムを推進するために協力する強固なコミュニティを支援している。
Major Accomplishments in FY 2023: 2023年度の主な成果
• On December 5, 2022, the NICE Workforce Framework for Cybersecurity (NICE Framework) K12 FAQ was released at the NICE K12 Cybersecurity Education Conference in St. Louis, MO. ・2022年12月5日、ミズーリ州セントルイスで開催されたNICE K12サイバーセキュリティ教育会議において、NICE Workforce Framework for Cybersecurity(NICEフレームワーク)K12 FAQが発表された。
• The NICE Framework continued to be updated throughout FY 2023, including calls for comments on updated materials. IR 8355, NICE Framework Competencies Areas: Preparing a Job-Ready Cybersecurity Workforce, was published on June 1, 2023. ・NICEフレームワークは2023年度を通じて更新され続け、更新された資料に対するコメント募集も行われた。IR 8355、NICE フレームワークのコンピテンシー領域: 職に適したサイバーセキュリティ人材の準備」は 2023 年 6 月 1 日に公表された。
• Diversity, equity, inclusion, and accessibility (DEIA) in the cybersecurity workforce and education were key efforts in 2023. NICE released a DEIA resource page and launched a new Diversity and Inclusion Community of Interest. ・サイバーセキュリティ人材と教育における多様性、公平性、包括性、アクセシビリティ(DEIA)は 2023 年の主要な取り組みであった。NICE は、DEIA リソースページを公開し、新しい Diversity and Inclusion Community of Interest を立ち上げた。
• The Small Business Cybersecurity Corner launched a new Community of Interest with the National Cybersecurity Center of Excellence (NCCoE) and participated in various events throughout the year to showcase and share resources. ・中小企業サイバーセキュリティ・コーナーは、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)と新しい関心コミュニティを立ち上げ、年間を通じてさまざまなイベントに参加し、リソースを紹介・共有した。
• NIST has continued to bring the community together throughout the year with the Federal Information Security Educators (FISSEA) Forums, NICE Webinars Series, and Cybersecurity Career Week and by supporting other events through cooperative agreements, such as the NICE Conference, NICE K12 Conference, and the US Cyber Games. ・NISTは、連邦情報セキュリティ教育者(FISSEA)フォーラム、NICEウェビナー・シリーズ、サイバーセキュリティ・キャリア・ウィーク、また、NICEカンファレンス、NICE K12カンファレンス、USサイバーゲームなどの協力協定を通じたその他のイベントの支援を通じて、年間を通じてコミュニティをまとめ続けてきた。
EMERGING TECHNOLOGIES 新興技術
The rapid evolution of technology brings both extraordinary opportunities and unavoidable challenges. At NIST, our cybersecurity researchers study these emerging technologies to understand their security and privacy capabilities, vulnerabilities, configurations, and overall structures in order to develop standards, guidelines, and references for improving their approaches to cybersecurity before they are deployed. 技術の急速な進化は、並外れた機会と避けられない課題の両方をもたらす。NIST では、サイバーセキュリティの研究者がこれらの新技術を研究し、セキュリティやプライバシーの能力、脆弱性、構成、全体的な構造を理解することで、それらが展開される前にサイバーセキュリティへのアプローチを改善するための標準、ガイドライン、リファレンスを開発している。
Major Accomplishments in FY 2023: 2023 年度の主な成果
Cybersecurity projects in Strategic and Emerging Research Initiatives (SERI) for Autonomous Vehicles (AV) included the following: 自律走行車(AV)の戦略的新興研究イニシアティブ(SERI)におけるサイバーセキュリティ・プロジェクトには、以下のものが含まれる:
• A workshop on Standards and Performance Metrics for On-Road Automated Vehicles was held to solicit stakeholder feedback on the challenges and opportunities in developing standards and performance metrics for this complex interdisciplinary field. ・路上自動運転車の標準と性能評価指標に関するワークショップを開催し、この複雑な学際的分野の標準と性能評価指標を開発する上での課題と機会について関係者の意見を求めた。
• The NIST AV Community of Interest (COI) has over 300 participants and continues to serve as a communications channel for NIST activities in the automotive industry.  ・NIST AVコミュニティ・オブ・インタレスト(COI)には300人以上が参加し、自動車業界におけるNISTの活動のコミュニケーションチャネルとしての役割を果たし続けている。
• The Capabilities of Dioptra — an experimental testbed for machine learning algorithms — continued to expand.  ・機械学習アルゴリズムの実験的テストベッドであるDioptraの機能は引き続き拡大した。
• NIST built a SERI prototype that measures the sensitivity of uncertainty estimation in computer vision models for autonomous driving.  ・NIST は、自律走行用のコンピュータビジョンモデルにおける不確実性推定の感度を測定する SERI プロトタイプを構築した。
• Project researchers collaborated with external partners with appropriate datasets and computational resources.  ・プロジェクトの研究者は、適切なデータセットや計算資源を持つ外部パートナーと協力した。
In March 2023, the Adversarial Artificial Intelligence (AI) team released the initial public draft of  2023年3月、敵対的人工知能(AI)チームは、「AI 100-2 E2023」の初期公開ドラフトを発表した。
AI 100-2 E2023, Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations, for public comment. Leading experts in the industry were invited to assist with adjudicating the public feedback to prepare a final AI 100-2 document, which is slated to be published in early 2024.  AI 100-2 E2023、敵対的機械学習: 攻撃と低減の分類法と用語」を公開し、パブリック・コメントを求めた。最終的なAI 100-2は2024年度初頭に発行される予定である。
HUMAN-CENTERED CYBERSECURITY 人間中心のサイバーセキュリティ
The mission of the Human-Centered Cybersecurity priority area is to “champion the human in cybersecurity.” Through research and other human-centered projects, the program team seeks to better understand and improve people’s cybersecurity interactions, empowering them to be active, informed participants in cybersecurity. 人間中心のサイバーセキュリティ」優先分野の使命は、「サイバーセキュリティにおける人間の支持」である。研究およびその他の人間中心のプロジェクトを通じて、プログラム・チームは人々のサイバーセキュリティへの関わりをよりよく理解し改善することで、人々がサイバーセキュリティに積極的に参加し、情報を得られるようにすることを目指している。
Major Accomplishments in FY 2023: 2023年度の主な成果
• An interview study of parent-child pairs shed light on how parents can best support their children’s online privacy, security, and safety. The research insights are informing NIST’s participation and contribution to the interagency Task Force on Kids Online Health and Safety. ・親子ペアを対象としたインタビュー調査により、親が子どものオンラインプライバシー、セキュリティ、安全をどのようにサポートするのが最善であるかが明らかになった。この研究結果は、NISTの「子供のオンラインにおける健康と安全に関する省庁間タスクフォース」への参加と貢献につながっている。
• The phishing project team was awarded a U.S. Department of Commerce Gold Medal for creating the Phish Scale — a revolutionary tool to rate socially engineered email attacks to strengthen an organization’s security posture. The scale has been adopted by security training coordinators in public- and private-sector organizations, both domestically and internationally. ・フィッシング・プロジェクト・チームは、組織のセキュリティ態勢を強化するために、社会的に操作された電子メール攻撃を評価する画期的なツールである「フィッシング・スケール」を作成し、米国商務省から金メダルを授与された。この尺度は、国内外の公的機関や民間企業のセキュリティ・トレーニング・コーディネーターに採用されている。
• A role-based training study provided insights into the approaches and challenges faced by federal organizations when implementing cybersecurity training activities. The research resulted in the development of recommendations and resources to assist organizations in improving their role-based training activities. ・役割に基づく研修の研究により、連邦組織がサイバーセキュリティ研修活動を実施する際に直面するアプローチと課題についての洞察が得られた。この調査の結果、組織が役割ベースの訓練活動を改善するのを支援するための推奨事項やリソースが作成された。
• A widely distributed article and handout titled, “Users Are Not Stupid: Six Cybersecurity Pitfalls Overturned,” provided cybersecurity practitioners with evidence-based recommendations on how they can consider the human element in their work. ・「ユーザはバカではない: サイバーセキュリティに潜む6つの落とし穴」と題する記事と配布資料を広く配布し、サイバーセキュリティの実務者に、業務において人間の要素を考慮する方法について、エビデンスに基づく推奨事項を提供した。
IDENTITY AND ACCESS MANAGEMENT アイデンティティとアクセス管理
Identity and access management (IAM) is the cornerstone of data protection, privacy, and security. NIST’s IAM priority area provides the research, guidance, and technology transition activities to help ensure that the right humans, devices, data, and processes have the right access to the right resources at the right time. アイデンティティとアクセス管理(IAM)は、データ保護、プライバシー、セキュリティの要である。NISTのIAM優先分野は、適切な人間、デバイス、データ、プロセスが適切なリソースに適切なタイミングでアクセスできるようにするための研究、ガイダンス、技術移行活動を提供する。
Major Accomplishments in FY 2023: 2023 年度の主な成果
• NIST published draft revisions of all four volumes of SP 800-63-4, Digital Identity Guidelines, to advance modern digital identity controls. ・NIST は、最新のデジタル ID 管理を推進するため、SP 800-63-4「デジタル ID ガイドライン」全 4 巻の改訂ドラフトを公表した。
• NIST’s Identity and Access Management (IAM) team published draft SP 800-157-1, Guidelines for Derived Personal Identification Verification (PIV) Credentials, which features expanded authenticators, and draft SP 800-217, Guidelines for PIV Federation, which advances interoperable identity in the federal enterprise. ・NIST の ID およびアクセス管理(IAM)チームは、認証の拡張を特徴とするドラフト SP 800-157-1「派生する個人識別検証 (PIV) クレデンシャルのガイドライン」およびドラフト SP 800-217「PIVフェデレーションガイドライン」を発表した。
• Two Face Analysis Technology Evaluation (FATE) reports were published: NIST IR 8485, Part 11: Face Image Quality Vector Assessment: Specific Image Defect Detection, focused on face image quality and the detection of specific image defects that negatively impact matching accuracy, and NIST IR 8491, Part 10: Performance of Passive, Software-based Presentation Attack Detection (PAD) Algorithms, focused on PAD, which detects fake face images. ・2 つの顔分析技術評価(FATE)レポートが発行された: NIST IR 8485「Part 11:顔画像品質ベクトル・アセスメント:特定の画像欠陥検知)」は、顔画像の品質と、照合精度に悪影響を及ぼす特定の画像欠陥の検知に焦点を当てたものであり、NIST IR 8491「Part 10: 受動的、ソフトウェアベースのプレゼンテーション攻撃検知(PAD)アルゴリズ ムの性能)」は、偽の顔画像を検知する PAD に焦点を当てたものである。
• NIST developed a secure federated data-sharing system (SFDS), which is now in advanced prototype form. ・NISTは、安全なデータ共有システム(SFDS)を開発し、これは現在、高度なプロトタイプの形になっている。
• NIST’s IAM team published SP 800-207A, A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments. ・NISTのIAMチームは、SP 800-207A「多拠点環境におけるクラウドネイティブアプリケーションのアクセス管理のためのゼロトラストアーキテクチャモデル」を発表した。
• A draft IAM Roadmap that highlights programmatic and strategic priorities was released to help prioritize and strategically align identity projects. ・アイデンティティ・プロジェクトの優先順位付けと戦略的な調整を支援するため、プログラム上および戦略上の優先事項を強調した IAM ロードマップのドラフトが発表された。
• NIST’s IAM team contributed to the development of the Mobile Drivers’ License Application standard (ISO/IEC 18013-7) and developed a reference implementation for the standard to facilitate testing and the certification of products. ・NIST の IAM チームは、モバイル運転免許証アプリケーション標準(ISO/IEC 18013-7)の開発に貢献し、テストと製品の認証を容易にするために標準の参照実装を開発した。
PRIVACY プライバシー
Privacy is integral to the trust that supports the growth of the digital economy and improves our quality of life. NIST has prioritized privacy engineering to support measurement science and system engineering principles through frameworks, risk models, and guidance that protect privacy and civil liberties. プライバシーは、デジタル経済の成長を支え、私たちの生活の質を改善する信頼に不可欠である。NISTは、プライバシーと市民的自由を保護するフレームワーク、リスクモデル、ガイダンスを通じて、計測科学とシステム工学の原則をサポートするプライバシー工学を優先してきた。
Major Accomplishments in FY 2023: 2023年度の主な成果
• The NIST Privacy Workforce Public Working Group has nearly completed the first draft of the Privacy Workforce Taxonomy and created more than 700 task, knowledge, and skill statements thus far. ・NIST プライバシー・ワークフォース公開ワーキンググループは、プライバシー人材分類法の最初のドラフトをほぼ完成させ、これまでに700以上のタスク、知識、スキルのステートメントを作成した。
• Co-sponsored by NIST, the U.S. partnered with the U.K.’s Center for Data Ethics and Innovation and completed the Privacy-Enhancing Technologies Prize Challenge to advance privacy-preserving federated learning. ・NISTの共催により、米国は英国のデータ倫理・イノベーションセンターと提携し、プライバシーを保護する連合学習を推進するためのプライバシー強化技術賞チャレンジを完了した。
• NIST’s Privacy Engineering Program (PEP) continues to collaborate with other NIST programs, including the NCCoE, the Cryptography Technology Group, and the Risk Management Framework program. NIST leadership with external organizations is ongoing, including co-chairing the  ・NISTのプライバシー・エンジニアリング・プログラム(PEP)は、NCCoE、暗号技術グループ、リスクマネジメント・フレームワーク・プログラムなど、NISTの他のプログラムとの協力を続けている。の共同議長を務めるなど、外部組織との NIST のリーダーシップは継続中である。
Networking and Information Technology Research & Development (NITRD) Privacy Research & Development Interagency Working Group and Coalition for Health AI Privacy and Security Working Group. ネットワークと情報技術の研究開発 (NITRD) プライバシー研究開発省庁間ワーキンググループ や 健康AIプライバシー・セキュリティ作業部会 の共同議長を務めるなど、外部組織とのリーダーシップも継続している。
RISK MANAGEMENT リスクマネジメント
Organizations must balance an evolving cybersecurity and privacy threat landscape with the need to fulfill mission and business requirements — an effort that increasingly calls for a  組織は、進化するサイバーセキュリティとプライバシーの脅威の状況と、ミッションとビジネス要件を満たす必要性とのバランスを取らなければならない。
collaborative approach to managing risks. Risk management is integrated into NIST standards and guidelines to help organizations understand, measure, manage, and reduce cybersecurity and privacy risks in a larger context. リスクマネジメントに対する協調的アプローチがますます求められるようになっている。リスクマネジメントは、組織がサイバーセキュリティとプライバシーのリスクをより大きな文脈で理解、測定、管理、低減できるよう、NIST の標準とガイドラインに統合されている。
Major Accomplishments in FY 2023: 2023年度の主な成果
• NIST continued the Journey to Cybersecurity Framework (CSF) 2.0 by releasing a CSF 2.0 Concept Paper, publishing a discussion draft of the CSF 2.0 Core, and issuing a draft CSF 2.0 with Core Implementation examples. Additionally, NIST published an analysis of comments received on each draft and hosted two hybrid workshops (1st workshop & 2nd workshop).  ・NIST は、CSF 2.0 コンセプト・ペーパーの公表、CSF 2.0 コアのディスカッション・ドラフトの公表、コアの実装例を含む CSF 2.0 ドラフトの公表により、サイバーセキュリティ・フレームワーク(CSF)2.0 への旅を継続した。さらに、NIST は、各ドラフトに寄せられたコメントの分析を公表し、2 回のハイブリッド・ ワークショップ(第 1 回ワークショップと第 2 回ワークショップ)を開催した。
• NIST continued to lead and support community engagement on cybersecurity supply chain risk management through the Software and Supply Chain Assurance (SSCA) Forum, support the Federal Acquisition Security Council, and refine supply-chain guidance in SP 800-161 Revision 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations. ・NIST は引き続き、ソフトウェア・サプライチェーン保証(SSCA)フォーラム を通じて、サイバーセキュリティ・サプライチェーン・リスクマネジメントに関するコミュニティ参画を主導・支援し、連邦調達安全委員会l を支援し、SP 800-161 改訂 1「システムと組織のためのサイバーセキュリティ サプライチェーンリスクマネジメントの実務」におけるサプライチェーンガイダンスを改良した。
• NIST issued a working draft of the SP 800-55 Rev. 2, Performance Measurement Guide for Information Security for community discussion and feedback and hosted a cybersecurity measurement workshop on the current state of cybersecurity performance measurement, needs, and path forward.  ・NIST は、コミュニティの議論とフィードバックのために、SP 800-55 改訂 2 版「情報セキュリティのためのパフォーマンス測定ガイド」の作業ドラフトを発行し、サイバーセキュリティのパフォーマンス測定の現状、ニーズ、今後の進め方に関するサイバーセキュリティ測定ワークショップを開催した。
• NIST initiated updates to the Protecting Controlled Unclassified Information (CUI) Series, issued a pre-call for comment, released an initial public draft of SP 800-171r3, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations, and hosted a webinar to provide an overview of the draft. ・NIST は「管理対象非機密情報(CUI)の防御」シリーズの更新を開始し、コメントの事前募集を行い、SP 800-171r3「非連邦システムおよび組織における管理対象非機密情報の保護」の初期公開ドラフトを公表し、ドラフトの概要を説明するウェビナーを開催した。
• NIST launched the Cybersecurity & Privacy Reference Tool (CPRT) — an online application that provides NIST guidance and frameworks in a consistent format for reference data and allows users to understand the relationships between NIST resources. ・NISTは、サイバーセキュリティ&プライバシー・リファレンス・ツール(CPRT)を立ち上げた。このオンライン・アプリケーションは、NISTのガイダンスとフレームワークを一貫したフォーマットでリファレンス・データとしてプロバイダするもので、ユーザはNISTのリソース間の関係を理解することができる。
• NIST continued the development of the Open Security Controls Assessment Language (OSCAL) — a set of eXtensible Markup Language (XML), JavaScript Object Notation (JSON), and Ain’t Mark-up Language (YAML) formats that provide machine-readable representations of security and privacy information relative to the implementation, assessment, and continuous monitoring of systems. NIST SP 800-53, SP 800-53A, and SP 800-53B are available in OSCAL format, and programs such as FedRAMP are leveraging OSCAL. ・NIST は、システムの実装、アセスメント、継続的なモニタリングに関連するセキュリティとプライバシーの情報を機械可読で表現する、XML(eXtensible Markup Language)、JSON(JavaScript Object Notation)、YAML(Ain't Mark-up Language)形式のセットである、OSCAL(オープン・セキュリティ・コントロール・アセスメント言語)の開発を継続した。NIST SP 800-53、SP 800-53A、SP 800-53BはOSCALフォーマットで利用可能であり、FedRAMPなどのプログラムはOSCALを活用している。
TRUSTWORTHY NETWORKS AND PLATFORMS 信頼できるネットワークとプラットフォーム
Each of us relies on the hardware, software, and networks that form the fabric of our digital  私たち一人ひとりが、デジタル・エコシステムの基盤となるハードウェア、ソフトウェア、ネットワークに依存している。
ecosystems. NIST’s trustworthy networks and trustworthy platforms priority areas support research and practical implementation guidance to ensure secure, reliable, and resilient technology across industry sectors. に依存している。NISTの信頼できるネットワークと信頼できるプラットフォームの優先分野は、産業部門全体で安全で信頼でき、レジリエンスに優れた技術を確保するための研究と実践的な実装ガイダンスを支援している。
Major Accomplishments in FY 2023: 2023年度の主な成果
• NIST published a practice guide for SP 1800-34, Validating the Integrity of Computing Devices, to mitigate cyber supply chain risks, such as counterfeiting, tampering, and the insertion of unexpected firmware. The practice guide demonstrates how organizations can verify that the internal components of the computing devices they acquire (e.g., laptops, servers) are genuine and have not been tampered with. ・NIST は、偽造、改ざん、予期せぬファームウェアの挿入などのサイバー・サプライチェーン・リスクを軽減するため、SP 1800-34「コンピューティング・デバイスの完全性の検証のプラクティス・ガイドを発行した。このプラクティス・ガイドは、組織が入手したコンピューティング・デバイス(例えば、ラップトップ、サーバー)の内部コンポーネントが本物であり、改ざんされていないことを検証する方法を示している。
• Trust in endpoint devices can be achieved by following SP 800-124r2, Guidelines for Managing the Security of Mobile Devices in the Enterprise, and SP 800-219r1, Automated Secure  ・エンドポイントデバイスの信頼は、SP 800-124r2「エンタープライズにおけるモバイルデバイスのセキュリティ管理のためのガイドライン」およびSP 800-219r1「自動化されたセキュアな構成ガイダンス」に従うことで達成できる。
Configuration Guidance from the macOS Security Compliance Project (mSCP), to secure devices and operating systems throughout their life cycles and support zero trust policy, as demonstrated in the NIST NCCoE Zero Trust Architecture (ZTA) project. macOSセキュリティ・コンプライアンス・プロジェクト (mSCP)の自動化された安全な設定ガイダンスに従うことで、デバイスとオペレーティング・システムのライフサイクル全体を保護し、NIST NCCoE Zero Trust Architecture (ZTA)プロジェクトで実証されているように、ゼロトラスト・ポリシーをサポートすることができる。
• As part of an ongoing study of forensic science, NIST published IR 8354, Digital Investigation Techniques: A NIST Scientific Foundation Review. ・フォレンジック科学に関する継続的な研究の一環として、NISTはIR 8354「デジタル調査技術」を発表した: A NIST Scientific Foundation Review)を発表した。
NIST NATIONAL CYBERSECURITY CENTER OF EXCELLENCE (NCCOE) NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCOE)
Mission Statement:  ミッション・ステートメント 
"The NCCoE brings together experts from industry, government, and academia to address the real-world needs of securing complex IT systems and protecting the Nation’s critical infrastructure.“ 「NCCoE は産官学の専門家を結集し、複雑な IT システムの安全確保と国家の重要インフラの保護という現実のニーズに取り組む。
Major Accomplishments in FY 2023: 2023年度の主な成果
• Produced actionable, standards-based guidance. In FY 2023, the NCCoE released 42 publications. These consisted of draft and final versions of NIST 1800 Series Special Publications, NIST Interagency Reports, and short-form guides on a wide range of topics, such as hybrid satellite networks, mobile device security, Internet of Things (IoT), zero trust architecture, genomic data, and more. View our publications here. ・標準に基づく実用的なガイダンスを作成した。2023 年度、NCCoE は 42 の出版物を発表した。これらは、ハイブリッド衛星ネットワーク、モバイルデバイスセキュリティ、モノのインターネット(IoT)、ゼロトラストアーキテクチャ、ゲノムデータなど、幅広いトピックに関するNIST 1800シリーズ特別刊行物、NIST省庁間報告書、短編ガイドのドラフト版および最終版で構成されている。出版物はこちらから。
• Renewed partnership with federal, state, and county governments. In March 2023, NIST, the Maryland Department of Commerce, and Montgomery County signed a five-year agreement to extend their partnership in support of the NCCoE. According to a press release issued by NIST, “One goal of the renewed partnership agreement is to better address the needs of companies and institutions in the state and county, with a particular focus on small business.” ・連邦政府、州政府、郡政府とのパートナーシップを刷新。2023年3月、NIST、メリーランド州商務省、モンゴメリー郡は、NCCoEを支援するパートナーシップを延長する5年契約を締結した。NISTが発表したプレスリリースによると、"パートナーシップ協定の更新の1つの目標は、州および郡の企業や機構のニーズによりよく対応することであり、特に中小企業に重点を置いている"。
• Launched Cybersecurity Connections. NCCoE introduced the Cybersecurity Connections Initiative in March 2023. This initiative offers the regional small business community opportunities to engage with experts at the NCCoE to learn about our work and areas of collaboration. In June 2023, NCCoE hosted its first Cybersecurity Connections event, which focused on mitigating and managing cyber risks in the water and wastewater sector. ・サイバーセキュリティ・コネクションズを立ち上げた。NCCoEは2023年3月にサイバーセキュリティ・コネクション・イニシアチブを導入した。このイニシアチブは、地域の中小企業コミュニティにNCCoEの専門家と交流する機会を提供し、NCCoEの業務や協力分野について学ぶものである。2023年6月、NCCoEは初のサイバーセキュリティ・コネクション・イベントを開催し、上下水道セクターにおけるサイバーリスクの低減とマネジメントに焦点を当てた。
• Appointed a new director. On July 31, 2023, Cherilyn Pascoe began her tenure as the new director of the NCCoE. ・新局長を任命 2023年7月31日、シェリリン・パスコがNCCoEの新ディレクターとして就任した。
1_20240524061501 2023年度NCCoEデジタルフットプリント-数字で見る。この図は、2023年度中のNCCoEユーザーウェブサイトのトラフィックとサブスクリプションの増加を強調したものである。NCCoEは、出版物の総ダウンロード数、プロジェクトや研究トピックへの登録数、ウェブサイトのセッション数とページビュー数において、大幅な増加を記録した。
This graphic highlights the increases in NCCoE user website traffic and subscriptions during FY 2023. NCCoE recorded significant increases in total publication downloads, subscriptions to projects and research topics, and website sessions and pageviews. この図は、2023年度のNCCoEユーザーウェブサイトのトラフィックと購読数の増加を示している。NCCoEは、出版物の総ダウンロード数、プロジェクトおよび研究トピックへの購読数、ウェブサイトのセッションおよびページビューの大幅な増加を記録した。
In FY 2023, the NCCoE also focused on: 2023 年度、NCCoE は以下にも重点を置いた:
• Expanding collaborative relationships. The NCCoE forms long-term collaborative relationships with key stakeholders, primarily through signing Cooperative Research and Development Agreements (CRADAs) with various organizations and Interagency Agreements (IAAs) with government agencies. The NCCoE signed 37 CRADAs this year with 28 tech companies, two government organizations, and two non-profits. The NCCoE also held IIAAs with the Departments of Energy, State, Transportation, and the U.S. Space Force. NCCoE also engages frequently with subject-matter experts and business professionals through our free and publicly available Communities of Interest (COIs). This year, we hosted 29 COIs across sectors and technologies, including a newly launched Small Business COI, to share insights, expertise, and perspectives to guide and increase awareness of our work. ・協力関係の拡大。NCCoEは、主に様々な組織との研究開発協力協定(CRADA)や政府機関との省庁間協定(IAA)の締結を通じて、主要なステークホルダーと長期的な協力関係を形成している。NCCoEは今年、28のハイテク企業、2つの政府機関、2つの非営利団体と37のCRADAを締結した。NCCoEはまた、エネルギー省、国務省、運輸省、米宇宙軍ともIIAAを締結した。NCCoEはまた、無料で一般公開されているCOI(Communities of Interest)を通じて、専門家やビジネス・プロフェッショナルとも頻繁に交流している。本年度は、新たに発足した中小企業COIを含め、セクターや技術を超えて29のCOIを主催し、洞察、専門知識、視点を共有することで、NCCoEの活動の指針を示し、認知度を高めた。
• Increasing public awareness and understanding. The NCCoE held 22 events and webinars in FY 2023. We also expanded our video series to provide an inside look at the NCCoE, as well as our healthcare, mobile device, and supply chain assurance labs. ・一般の人々の認識と理解を高める。NCCoEは、2023年度に22のイベントとウェビナーを開催した。また、NCCoEやヘルスケア、モバイル機器、サプライチェーン保証ラボの内部を紹介するビデオシリーズを拡充した。
• Enhancing academic outreach and engagement. The NCCoE continued its summer internship program for the thirteenth straight year by hosting twelve undergraduate and two graduate students who worked on a variety of projects. This was also the first year that the NCCoE participated in NIST’s Summer Institute, which helps provide middle school teachers with cybersecurity resources and tools to shape their curricula. ・アカデミックなアウトリーチとエンゲージメントを強化する。NCCoEは13年連続でサマー・インターンシップ・プログラムを実施し、12名の大学生と2名の大学院生を受け入れて様々なプロジェクトに取り組んだ。また、NCCoE は今年初めて NIST のサマー・インスティテュートに参加した。このサマー・インスティテュートは、 中学校の教員にサイバーセキュリティに関するリソースやツールを提供し、カリキュラムの策定を支援するものである。
• Progressing the Cryptographic Module Validation Program (CMVP) project. This year, the NCCoE organized an effective governing structure for the community of collaborators to the automation of the CMVP project. NCCoE also published draft SP 1800-40A, Automation of the NIST Cryptographic Module Validation Program, which aims to shorten the validation cycle of cryptographic modules for compliance with security standards, while maintaining and improving assurance levels. The team also successfully demonstrated the Phase I prototype at the International Crypto Module Conference (ICMC) 2023. ・暗号モジュール検証プログラム(CMVP)プロジェクトの進行。今年、NCCoE は CMVP プロジェクトの自動化に向けた協力者コミュニティのための効果的なガバナンス構造を組織した。NCCoE はまた、SP 1800-40A 「Automation of the NIST Cryptographic Module Validation Program」(NIST 暗号モジュール検証プログラムの自動化)のドラフトを公表した。これは、セキュリティ標準に準拠する暗号モジュールの検証サイクルを短縮し、保証レベルを維持・改善することを目的としている。同チームはまた、国際暗号モジュール会議(ICMC)2023でフェーズIプロトタイプのデモを成功させた。
OPPORTUNITIES TO ENGAGE WITH NIST ON CYBERSECURITY AND PRIVACY サイバーセキュリティとプライバシーに関してNISTと関わる機会
Collaborators and researchers are the driving force behind NIST’s programs. NIST depends on developers, providers, and everyday users of cybersecurity and privacy technologies and information to guide our priorities. 共同研究者と研究者はNISTのプログラムを支える原動力である。NISTは、サイバーセキュリティとプライバシーの技術や情報の開発者、プロバイダ、そして日常的な利用者に依存して、優先順位を決定している。
• Details on engaging with NIST on cybersecurity and privacy are available here. ・サイバーセキュリティとプライバシーに関するNISTとの関わりについての詳細は、こちらをご覧いただきたい。
• Many NIST projects are supported by guest researchers, both foreign and domestic. ・NISTのプロジェクトの多くは、国内外のゲスト研究者によって支えられている。
• The Pathways Program supports federal internships for students and recent graduates. ・Pathwaysプログラムは、学生や新卒者を対象とした連邦政府のインターンシップを支援している。
• NIST funds industrial and academic research in several ways: ・NISTはいくつかの方法で産業界や学術界の研究に資金を提供している:
• The Small Business Innovation Research Program (SBIR) funds research and development proposals. ・中小企業技術革新研究プログラム(SBIR)は、研究開発提案に資金を提供する。
• NIST offers grants to encourage work in the fields of precision measurement, fire research, and materials science. For general information on NIST’s grant programs, please contact Mr. Christopher Hunton via grants@nist.gov. ・NISTは、精密測定、火災研究、材料科学の分野での研究を奨励する助成金を提供している。NISTの助成金プログラムに関する一般的な情報については、クリストファー・ハントン氏(grants@nist.gov)までお問い合わせいただきたい。
• The Information Technology Laboratory (ITL) Speakers Bureau enables engagement with universities and colleges to raise student and faculty awareness about the exciting work going on at NIST and motivate them to consider pursuing opportunities to work with ITL. ・情報技術研究所(ITL)のスピーカー・ビューローは、大学やカレッジとの連携を可能にし、NISTで行われているエキサイティングな仕事について学生や教員の認識を高め、ITLで働く機会を求める動機付けを行う。
• More information about our research, projects, publications, and events can be found on the NIST Computer Security Resource Center (CSRC) website. ・NISTの研究、プロジェクト、出版物、イベントに関する詳細は、NISTコンピュータ・セキュリティ・リソース・センター(CSRC)のウェブサイトを参照のこと。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.09 NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)

・2022.10.02 NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)

・2021.10.01 NIST SP 800-214 2020年度サイバーセキュリティ・プライバシー年次報告書

・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019

・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

 

| | Comments (0)

2024.05.22

EU 欧州理事会がサイバーの安全性と抗堪性を強化するための結論書を承認

こんにちは、丸山満彦です。

欧州理事会がサイバーの安全性と抗堪性を強化するための結論書を承認していますね...

サイバーの安全で(Secure)と抗堪性がある(Resillient)EUを構築するための「指針を示し」、「原則を定める」ことを目的とし、サイバーセキュリティの将来に関する結論書ということのようです...

サイバーセキュリティ認証スキーム(EUCC)については、サイバーセキュリティ法の下で最初に採択されたスキームとして歓迎する一方、欧州のサイバーセキュリティ認証スキームの発展が遅々として進まず、困難であることに懸念をもっているようですね...

将来に関しては、AI、量子技術、6Gに備えろ...って感じですかね...

 

European Counsil

・ 2024.05.21 Cybersecurity: Council approves conclusions for a more cyber secure and resilient Union

Cybersecurity: Council approves conclusions for a more cyber secure and resilient Union サイバーセキュリティ 欧州理事会、サイバーの安全性と抗堪性を強化するための結論書を承認
The Council has approved conclusions on the future of cybersecurity aiming to provide guidance and setting the principles towards building a more cybersecure and more resilient Union. 欧州理事会は、よりサイバーセキュアでレジリエンスに優れたEUを構築するための指針を示し、原則を定めることを目的とした、サイバーセキュリティの将来に関する結論書を承認した。
The importance of cybersecurity can hardly be underestimated. In the last years, cyber security threats have significantly increased in level, complexity, and scale. This has gone along with a significant increase in global geopolitical tensions. サイバーセキュリティの重要性を過小評価することはできない。ここ数年、サイバーセキュリティの脅威は、そのレベル、複雑さ、規模において著しく増大している。これは、世界的な地政学的緊張の大幅な高まりと相まっている。
"Cybersecurity operates on multiple levels, ensuring the safety of our businesses, governments, and our citizens. Everyone deserves a secure internet and the peace of mind that comes with it. Everyone deserves to feel safe, both online and offline. We must build a robust and resilient digital world through proactive measures and international cooperation." 「サイバーセキュリティは、企業、政府、市民の安全を確保するために、複数のレベルで機能している。誰もが安全なインターネットとそれに伴う安心感を得る権利がある。オンラインでもオフラインでも、誰もが安全だと感じる権利がある。我々は、積極的な対策と国際協力を通じて、堅牢でレジリエンスの高いデジタル世界を構築しなければならない。」
Petra de Sutter, Belgian deputy prime and minister of public administration, public enterprises, telecommunication, and postal services ペトラ・デ・スッター、ベルギー副首相兼行政・エンタープライズ・電気通信・郵便大臣
”Today we set out the principles for the next steps in building a more cyber secure and resilient Union. Focusing on implementation, adoption of harmonised standards, certification, supply chain security, cooperation with the private sector, support for SMEs and adequate funding should be among our main priorities for the future.” 「本日、我々は、よりサイバーセキュアでレジリエンスの高いEUを構築するための次のステップの原則を定めた。実施、統一標準の採用、認証、サプライチェーンセキュリティ、民間セクターとの協力、中小企業への支援、適切な資金調達に重点を置くことが、今後の主要な優先事項のひとつである。」
Mathieu Michel, Belgian Secretary of State for digitisation, administrative simplification, privacy protection, and the building regulation マチュー・ミシェル、ベルギー国務長官(デジタル化、行政簡素化、プライバシー保護、建築規制担当
The Council conclusions recall the importance to focus on implementation, strengthen coordination and collaboration, and avoid fragmentation of cybersecurity rules in sectorial legislation. They also call to further clarify roles and responsibilities in the cyber domain, to strengthen the cooperation in the fight against cybercrime, and to work on a revised blueprint of the cyber crisis management framework. The support to micro, small and medium size enterprises, and the need to respond to the challenges presented by the new technologies are also highlighted. 理事会結論は、実施に焦点を当て、調整と協力を強化し、セクター別法制におけるサイバーセキュリティ規則の断片化を避けることの重要性を想起している。また、サイバー領域における役割と責任をさらに明確にし、サイバー犯罪との闘いにおける協力を強化し、サイバー危機管理枠組みの青写真の改訂に取り組むよう求めている。また、零細・中小企業への支援や、新技術がもたらす課題への対応の必要性も強調されている。
A multistakeholder approach, including cooperation with the private sector and academia is encouraged to close the skills gap. Stressing the importance to attract private capital, the Council conclusions emphasise the need for adequate funding. The external dimension is also highlighted, recalling that an active international policy would be needed to strengthen cooperation with third countries, particularly in the transatlantic context, as a contribution to a strong international ecosystem. In light of the changed and rising threat level, the Council finally invites the European Commission and the High Representative to present a revised cybersecurity strategy. スキルギャップを埋めるため、民間企業や学界との協力を含むマルチステークホルダー・アプローチが奨励される。民間資本を呼び込むことの重要性を強調し、理事会結論は適切な資金調達の必要性を強調している。また、対外的な側面も強調され、強力な国際的エコシステムへの貢献として、特に大西洋横断的な文脈における第三国との協力を強化するために、積極的な国際政策が必要であることが想起される。脅威のレベルの変化と高まりを踏まえ、理事会は最終的に欧州委員会と上級代表者に対し、サイバーセキュリティ戦略の改訂版を提示するよう要請した。
Council conclusions on the future of cybersecurity: implement and protect together サイバーセキュリティの将来に関する理事会結論:共に実施し、共に保護する

 

・[PDF] Council Conclusions on the Future of Cybersecurity: implement and protect together

20240522-55632

 

 

附属書...

ANNEX  附属書 
Council Conclusions on the future of cybersecurity - Implement and protect together -  サイバーセキュリティの将来に関する理事会結論 - 共に実施し、共に保護する - 2024 年 5 月 21 日に開催された理事会会合で承認された。
THE COUNCIL OF THE EUROPEAN UNION,  欧州連合理事会 
RECALLING its conclusions and actions on:  以下に関する結論と行動を想起する: 
– The Joint Communication of 25 June 2013 to the European Parliament and the Council on the Cybersecurity Strategy for the European Union: “An Open, Safe and Secure Cyberspace”[1],  - 欧州連合(EU)のサイバーセキュリティ戦略に関する2013年6月25日の欧州議会および理事会への共同コミュニケーション: 「オープンで安全かつセキュアなサイバー空間」[1]、 
– EU Cyber Defence Policy Framework[2],  - EUサイバー防衛政策枠組み[2]、 
– Internet Governance[3],  - インターネット・ガバナンス[3]、 
– Cyber Diplomacy[4],  - サイバー外交[4]、 
– Strengthening Europe’s Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry[5],  - 欧州のサイバーレジリエンスシステムの強化、競争力のある革新的なサイバーセキュリティ産業の育成[5]などがある、 
– The Joint Communication of 20 November 2017 to the European Parliament and the Council: “Resilience, Deterrence and Defence: Building strong cybersecurity for the EU”[6],  - 2017年11月20日の欧州議会と理事会への共同コミュニケーション: レジリエンス、抑止力、防衛」: EUのための強力なサイバーセキュリティの構築」[6]、 
– A Framework for a Joint EU Diplomatic Response to Malicious Cyber Activities (“Cyber Diplomacy Toolbox”)[7],  - 悪質なサイバー活動に対するEUの共同外交対応の枠組み(「サイバー外交ツールボックス」)[7]、 
– The EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises[8]?,  - 大規模サイバーセキュリティインシデントと危機に対するEUの協調対応[8]? 
– EU External Cyber Capacity Building Guidelines[9],  - EU対外サイバー能力構築ガイドライン[9]、 
– Council Implementing Decision (EU) 2018/1993 of 11 December 2018 on the EU Integrated Political Crisis Response Arrangements[10],  - EU統合政治危機対応取決めに関する2018年12月11日の理事会実施決定(EU)2018/1993[10]、 
– Cybersecurity capacity and capabilities building in the EU[11],  - EUにおけるサイバーセキュリティの能力と能力構築[11]、 
– The significance of 5G to the European Economy and the need to mitigate security risks linked to 5G[12],,  - 欧州経済にとっての5Gの意義と5Gに関連するセキュリティリスクを軽減する必要性[12]、、 
– The future of a highly digitised Europe beyond 2020: “Boosting digital and economic competitiveness across the Union and digital cohesion”[13],  - 2020年以降の高度にデジタル化された欧州の未来: 「欧州連合全体のデジタル競争力と経済競争力を高め、デジタル結束を強化する」[13]、 
– Complementary efforts to Enhance Resilience and Counter Hybrid Threats[14],  - レジリエンスを強化し、ハイブリッドな脅威に対抗するための補完的な取り組み[14]、 
– Shaping Europe’s Digital Future[15],  - 欧州のデジタルの未来を形作る[15]、 
– The Cybersecurity of connected devices[16],  - コネクテッドデバイスのサイバーセキュリティ[16]、 
– The EU’s Cybersecurity Strategy for the Digital Decade[17],  - デジタル10年に向けたEUのサイバーセキュリティ戦略[17]、 
– Security and Defence[18],  - 安全保障と防衛[18]、 
– Exploring the potential of the Joint Cyber Unit initiative – complementing the EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises[19],  - 大規模サイバーセキュリティインシデントと危機へのEU協調対応[19]を補完する「共同サイバーユニット」構想の可能性を探る、 
– A Strategic Compass for Security and Defence[20],  - 安全保障と防衛のための戦略的羅針盤[20]、 
– the development of the European Union's cyber posture[21],  - EUのサイバー態勢の整備[21]、 
– ICT Supply Chain Security[22],  - ICTサプライチェーンのセキュリティ[22]、 
– EU Policy on Cyber Defence[23],  - サイバー防衛に関するEU政策[23]、 
– The EU Space Strategy for Security and Defence[24],  - 安全保障と防衛のためのEU宇宙戦略[24]、 
– Cyber Crisis Management Roadmap[25],  - サイバー危機管理ロードマップ[25]、 
– The Communication from the Commission “Implementation of the 5G cybersecurity Toolbox”[26],  - 欧州委員会からのコミュニケーション「5Gサイバーセキュリティ・ツールボックスの実施」[26]、 
– The future of EU digital policy. - EUのデジタル政策の将来
1. NOTES the ever-increasing interconnectivity and importance of the digital domain for the functioning of our society and economy. UNDERLINES the crucial role of cybersecurity as a cornerstone of a successful digital society by maintaining public trust of the systems on which it relies. HIGHLIGHTS the significantly increasing level, complexity and scale of cybersecurity threats, in particular in the wake of the COVID pandemic, Russia’s war of aggression against Ukraine, growing global geopolitical tensions, as well as technological developments such as Artificial Intelligence and quantum technology. RECOGNISES the European Union (EU) ’s commitment to uphold the international rules-based order to further shape and safeguard the benefits of a free, global, open, and secure cyberspace for future generations.  1. 私たちの社会と経済の機能にとって、デジタル領域の相互接続性と輸入事業者の重要性がますます高まっていることに留意する。デジタル社会が依存するシステムに対する社会の信頼を維持することにより、成功するデジタル社会の礎石としてのサイバーセキュリティの重要な役割を強調する。特に、COVIDパンデミック、ロシアによるウクライナ侵略戦争、世界的な地政学的緊張の高まり、さらには人工知能や量子技術などの技術的発展を受け、サイバーセキュリティの脅威のレベル、複雑さ、規模が著しく増大していることを強調する。欧州連合(EU)が、将来の世代のために、自由で、グローバルで、開かれた、安全なサイバー空間の恩恵をさらに形成し、保護するために、国際的なルールに基づく秩序を維持するというコミットメントを表明する。
2. While NOTING that the infrastructure of the internet is mostly privately owned, and digital services are often offered by private providers, ACKNOWLEDGES the public impact, crossborder nature and spill-over risk of cybersecurity threats, as well as the sole responsibility of each Member State on national security and their responsibility for the response to large-scale cyber security incidents and crises affecting them. Therefore EMPHASISES the key role and shared responsibility of Member States, and the EU to set and implement a clear and agile regulatory and policy framework laying down our collective ability to protect, detect, deter and defend against, cyberattacks and recover from them. The implementation of the framework should build on the multi-stakeholder approach of the cybersecurity ecosystem and cooperation with international organisations and partners.  2. インターネットのインフラはほとんどが民間所有であり、デジタルサービスは多くの場合、民間プロバイダによって提供されていることに留意しつつ、サイバーセキュリティ脅威の公共的影響、国境を越えた性質、波及リスク、ならびに、国家安全保障に関する各加盟国の唯一の責任、自国に影響を及ぼす大規模サイバーセキュリティインデントおよび危機への対応に対する各加盟国の責任を認める。したがって、サイバー攻撃を保護、検知、抑止、防御し、それらから回復するための総合的な能力を定めた明確かつ機動的な規制と政策の枠組みを設定し、実施することは、加盟国およびEUの重要な役割であり、共通の責任であることを防御する。この枠組みは、サイバーセキュリティ・エコシステムのマルチステークホルダー・アプローチと、国際機関やパートナーとの協力に基づいて実施されるべきである。
FOCUS AREAS FOR POLICY-MAKING  政策立案の重点分野 
3. WELCOMES the significant legislative and non-legislative progress achieved within the EU’s cybersecurity policy framework during the last five years, which contributes to strengthening the resilience and competitiveness of the EU economy and society, while also contributing to international rule setting and implementing the UN Framework of Responsible State Behaviour in Cyberspace. Increasing the cyber resilience of entities and the cybersecurity of products with digital elements should be a continued focus for policy makers, including steps such as vulnerability management, supply chain security, the development of the necessary skills throughout the workforce and increased international dialogues on standards and cooperation. Yet, ACKNOWLEDGES the significant human, financial and operational resources required from society, businesses and governments for their implementation.  3. 過去5年間にEUのサイバーセキュリティ政策の枠組みの中で達成された、立法的・非法律的な大きな進展を歓迎する。これは、EUの経済・社会のレジリエンスと競争力の強化に貢献するとともに、国際的なルール設定や国連の「サイバー空間における国家の責任ある行動に関する枠組み」の実施にも寄与している。事業体のサイバーレジリエンスを高め、デジタル要素を含む製品のサイバーセキュリティを強化することは、脆弱性管理、サプライチェーンセキュリティ、労働者全体の必要なスキルの開発、標準と協力に関する国際的な対話の強化などのステップを含め、政策立案者にとって引き続き焦点となるべきである。しかし、その実施には、社会、企業、政府から多大な人的、財政的、経営的資源が必要であることを認める。
4. CALLS on the Member States, Commission and involved European entities to focus on facilitating a structured, efficient, comprehensive and timely implementation of these newly set rules, including with practical guidance. In this regard, CALLS on the Commission, the European Union Agency for Cybersecurity (ENISA), the European Cybersecurity Competence Centre (ECCC), as well as the EU’s Computer Emergency Response Team (CERT-EU), the European Cybercrime Centre Europol (EC3), the NIS Cooperation Group (NIS CG), the CSIRTs Network, EU-CyCLONe (European Union- Cyber Crises Liaison Organisation Network) and national CSIRTs, competent authorities and National Coordination Centres (NCC) to support all stakeholders with this implementation, in line with their respective roles and responsibilities.  4. 加盟国、欧州委員会および欧州の関係事業体に対し、実践的なガイダンスを含め、新たに設定された規則の体系的、効率的、包括的かつタイムリーな実施を促進することに注力するよう求める。この点に関して、欧州委員会、欧州連合サイバーセキュリティ機関(ENISA)、欧州サイバーセキュリティ能力センター(ECCC)、およびEUのコンピュータ緊急対応チーム(CERT-EU)、欧州刑事警察機構(EC3)、NIS協力グループ(NIS CG)に対して要請する、 CSIRTsネットワーク、EU-CyCLONe(欧州連合-サイバー危機連絡組織ネットワーク)、各国のCSIRT、認可当局、国内調整センター(NCC)、がそれぞれの役割と責任に基づき、全ての利害関係者を支援する。
5. CALLS for actions facilitating and supporting compliance and reducing administrative burden, especially for micro, small and medium enterprises (SMEs).  5. コンプライアンスを促進・支援し、特に零細・中小企業(SMEs)の管理負担を軽減する行動を呼びかける。
6. As streamlining incident notification obligations across relevant legislative acts is a particular challenge, ACKNOWLEDGES the potential of the concept of a single entry point for incident notification and ENCOURAGES Member States to reflect on the possibilities to implement it at the national level. INVITES the Commission to prepare, with the support of ENISA and other relevant EU entities, a mapping of relevant reporting obligations set out in the respective EU legislative acts in cyber and digital matters in order to identify opportunities to reduce the administrative burden.  6. インシデント通知の義務を関連する法律行為にまたがって合理化することが特に課題であるため、インシデント通知のための単一エントリーポイントという概念の可能性を認め、加盟国に対し、これを国レベルで実施する可能性について検討するよう促す。欧州委員会に対し、行政負担を軽減する機会を特定するため、ENISAおよびその他の関連するEU事業体の支援を受けて、サイバーおよびデジタルに関するEUの各法令に定められた関連報告義務のマッピングを作成するよう要請する。
7. CALLS on the Commission to swiftly move forward with the adoption of delegated and implementing acts, especially those that are mandatory for the implementation of the NIS2 Directive and the Cyber Resilience Act. CALLS as well to continue the work on harmonised standards in cooperation with Member States, in order to support the implementation of EU cybersecurity legislation building on relevant work of European and International Standardisation bodies. INVITES the Commission, in cooperation with ENISA and the Member States, to closely collaborate with international partners on this subject, in order to safeguard the human-centric approach within such standards.  7. 欧州委員会に対し、委任法および実施法、特にNIS2指令およびサイバー・レジリエンス法の実施に必須となる法律の採択を速やかに進めるよう求める。また、欧州および国際標準化団体の関連作業を土台として、EUサイバーセキュリティ法の実施を支援するため、加盟国と協力して標準の調和に関する作業を継続するよう求める。欧州委員会は、ENISAおよび加盟国と協力し、このような標準の中で人間中心のアプローチを守るため、このテーマに関して国際的なパートナーと緊密に協力することを要請する。
8. STRONGLY CAUTIONS against fragmentation, duplication or overlap of cybersecurity regulation across the Union by sector specific initiatives or lex specialis. Cybersecurity is not only a sector but also a horizontal domain. UNDERLINES the inherent coherence between digital and cybersecurity policy. Therefore, URGES the Commission to ensure a coherent approach in future initiatives, which should strengthen or complement existing structures, avoiding unnecessary complexity and duplication. STRESSES in this regard the importance of thorough impact assessments for all new legislative initiatives which is a key part of the Better Regulation Agenda. CALLS on the Commission to develop a clear overview of the relevant horizontal and sectoral legislative frameworks and their interplay. UNDERLINES the importance of horizontal coordination within the EU on cyber issues across sectors and domains and LOOKS FORWARD to continue to strengthen this coordination.  8. サイバーセキュリティ規制の断片化、重複、重複を防止するため、欧州委員会は、分野別イニシアティブやレックス・スペシャリス(lex specialis)により、欧州連合全体でサイバーセキュリティ規制の断片化、重複、重複を防止するよう強く警告する。サイバーセキュリティは、セクターだけでなく、水平的な領域でもある。デジタル政策とサイバーセキュリティ政策の間に固有の一貫性があることを強調する。従って、欧州委員会に対し、不必要な複雑さや重複を避け、既存の構造を強化または補完するような今後の取り組みにおいて、首尾一貫したアプローチを確保するよう要請する。この点に関して、「より良い規制アジェンダ」の重要な部分である、すべての新規立法構想に対する徹底的な影響評価の重要性を強調する。欧州委員会に対し、関連する水平的および分野別の法的枠組みと、それらの相互関係についての明確な概要を作成するよう求める。分野や領域を超えたサイバー問題に関するEU域内の水平的な協調の重要性を強調し、この協調の継続的な強化を期待する。
9. INVITES the Commission to collaborate with relevant national experts and policy makers, including at strategic level, as well as with all relevant EU entities and networks before launching new initiatives. Similarly INVITES Member States to exchange lessons learned on new national proposals through existing structures.  9. 欧州委員会に対し、新たな取り組みを開始する前に、戦略レベルを含め、各国の関連する専門家および政策立案者、ならびに、すべての関連するEU事業体およびネットワークと協力するよう求める。同様に、加盟国に対し、新たな国別提案に関する教訓を、既存の仕組みを通じて交換することを要請する。
10. WELCOMES the European Common Criteria-based cybersecurity certification scheme (EUCC) as the first adopted scheme under the Cybersecurity Act, yet EXPRESSES concern on the slow and challenging development of the European cybersecurity certification schemes, and calls for the smooth adoption of high quality schemes. EMPHASISES the need for a thorough, comprehensive and transparent review of the European cybersecurity certification framework, to enable a faster and more transparent adoption of certification schemes with full involvement of Member States. In this regard, CALLS on the Commission to take into account the key role of the European Cybersecurity Certification Group.  10. 欧州共通基準に基づくサイバーセキュリティ認証スキーム(EUCC)を、サイバーセキュリティ法の下 で最初に採択されたスキームとして歓迎する一方、欧州のサイバーセキュリティ認証スキームの発展が遅々として進まず、困難であることに懸念を表明し、質の高いスキームの円滑な採用を求める。加盟国の全面的な関与のもと、より迅速かつ透明性の高い認証制度の採用を可能にするため、欧州のサイバーセキュリティ認証の枠組みを徹底的、包括的かつ透明性をもって見直す必要性を強調する。この観点から、欧州委員会に対し、欧州サイバーセキュリティ認証グループの重要な役割を考慮するよう求める。
11. REITERATES that the European cybersecurity certification schemes may decrease fragmentation and ensure harmonisation in the Union, while strengthening resilience and trust in an enhanced digital and cybersecurity ecosystem. NOTES that in certain cases additional requirements going beyond certification may be necessary to ensure trust. WELCOMES the political agreement on the amendment to the Cyber Security Act that introduce the certification of managed security services. ACKNOWLEDGES the opportunity for certification to stimulate higher levels of cybersecurity, including by seeking to make cybersecurity measures standard practice for organisations. RECOGNISES the potential for EU certification to support the implementation of existing legislation and support the actions of competent national authorities within the context of NIS2, the Cyber Resilience Act and other cybersecurity regulations.  11. 欧州のサイバーセキュリティ認証制度は、強化されたデジタルとサイバーセキュリティのエコシステムにおけるレジリエンスと信頼を強化する一方で、欧州連合における断片化を減少させ、調和を確保する可能性があることを指摘する。場合によっては、信頼を確保するために、認証以上の追加要件が必要となる可能性があることに留意する。マネージド・セキュリティ・サービスの認証を導入するサイバーセキュリティ法の改正に関する政治的合意を歓迎する。サイバーセキュリティ対策を組織の標準的な慣行とすることを目指すなど、認証がより高いレベルのサイバーセキュリティを刺激する機会があることを認める。NIS2、サイバーレジリエンス法、その他のサイバーセキュリティ規制の文脈において、EU認証が既存の法律の実施を支援し、所轄の国家当局の行動を支援する可能性を認める。
12. EMPHASISES the need for sufficient skilled experts for all the relevant national and EU entities in the cybersecurity domain. ENCOURAGES cooperation among all stakeholders, including the private sector, academia and public sector to close this skills gap and STRESSES the importance of paying particular attention to closing the digital gender gap as well, taking into account the innovative potential and expansion of the talent pool that a diverse workforce offers. CALLS for the further development of the Cybersecurity Skills Academy and implementation of its actions to strengthen the EU cybersecurity workforce. INVITES ENISA and the ECCC together with the NCCs to continue their involvement and clarify roles, and CALLS to consider exploring the synergies with any future EDIC (European Digital Infrastructure Consortium) on this topic as well as potentially with the European Security and Defence College and the European Union Agency for Law Enforcement Training (CEPOL) Cybercrime Academy. Recognising that workforce skills are highly mobile in a global marketplace, CALLS for international cooperation in particular on the potential for mutual recognition of skills frameworks.  12. サイバーセキュリティ領域において、すべての関連する国やEUの事業体にとって、十分な熟練した専門家が必要であることを強調する。このスキルギャップを解消するために、民間部門、学界、公共部門を含むすべての利害関係者間の協力を奨励し、多様な労働力がもたらす革新的な可能性と人材プールの拡大を考慮し、デジタル男女格差の解消にも特に注意を払うことの重要性を強調する。サイバーセキュリティ技能アカデミーをさらに発展させ、EUのサイバーセキュリティ人材を強化するための行動を実施することを求める。ENISAおよびECCCがNCCとともに関与を継続し、役割を明確化するよう要請するとともに、このテーマに関する将来のEDIC(欧州デジタル・インフラ・コンソーシアム)や、欧州安全保障防衛大学(European Security and Defence College)および欧州連合法執行訓練機関(CEPOL)サイバー犯罪アカデミー(Cybercrime Academy)との相乗効果を検討するよう呼びかける。労働力スキルはグローバル市場において非常に流動的であることを認識し、特にスキルフレームワークの相互承認の可能性について国際協力を呼びかける。
13. Without pre-empting the negotiations of the Multiannual Financial Framework, EMPHASISES the need for adequate funding for EU entities active in the cybersecurity domain in light of the significantly increasing cybersecurity threats across the EU; and. CALLS on the Commission to prioritise between actions when preparing the draft general budget of the Union. ACKNOWLEDGES the need for financial and other incentives to foster innovation in cybersecurity across the EU and secure the digital single market. To this end, CALLS on the Commission, the ECCC and relevant national authorities to stimulate and support use by, in particular, European businesses, research institutions and academia of EU cyber security funding. In light of the scale and complexity of the cybersecurity threats, ACKNOWLEDGES that European funding alone is not sufficient and therefore STRESSES the importance of attracting and investing private capital.  13. 多年次財政枠組みの交渉を先取りすることなく、EU全域でサイバーセキュリティの脅威が著しく増大していることを踏まえ、サイバーセキュリティ分野で活動するEU事業体に十分な資金を提供する必要性を強調する。欧州委員会に対し、欧州連合(EU)の一般予算案を作成する際に、これらの活動の間に優先順位をつけるよう要請する。EU全体でサイバーセキュリティの革新を促進し、デジタル単一市場を確保するためには、財政的およびその他のインセンティブが必要であることを認める。このため、欧州委員会、ECCCおよび関連する各国当局に対し、特に欧州の企業、研究機構および学術機関がEUのサイバーセキュリティ資金を利用することを刺激し、支援するよう要請する。サイバーセキュリティの脅威の規模と複雑さに鑑み、欧州の資金提供だけでは十分でないことを認め、したがって、民間資本の誘致と投資の重要性を強調する。
14. NOTES how during the last five years, notable attention has been directed towards imposing obligations upon potential targets of cyber-attacks, to strengthen their cyber resilience. POINTS out that Member States’ CSIRTs, in line with their respective roles, possess the capacity to undertake proactive measures aimed at safeguarding individual users and organisations on a much larger scale, including the possibility of pre-emptive incident prevention or the provision of centralised assistance for self-protection. WELCOMES the integration of Active Cyber Protection (ACP) as a concept within the NIS2 Directive, as well as Coordinated Vulnerability Disclosures, and SUPPORTS their active promotion. CALLS ON Union entities and Member States to place greater emphasis on concrete and scalable preventive and protective measures and, where appropriate, to collaborate in a cross-border manner and with private entities. CALLS ON ENISA and the ECCC to stimulate such collaborative projects at national and EU level. Such centralised provision of support and protection not only helps achieve cost-effectiveness, but also holds the potential to address the substantial deficit of cybersecurity experts, which might otherwise necessitate individual recruitment by each organisation.  14. 過去5年間、サイバー攻撃を受ける可能性のある標的に対し、そのレジリエンスを強化する義務を課すことに、注目すべき関心が向けられてきたことに留意する。加盟国の CSIRT は、それぞれの役割に応じて、先制的なインシデント防止や自己防衛のための集中的な支援 の提供の可能性を含め、個人ユーザーや組織を保護することを目的としたプロアクティブな対策を、より大規 模に実施する能力を有していることを防御する。NIS2 指令の中に、脆弱性開示の協調と同様に、積極的サイバー保護(ACP)の概念が統合されたことを歓迎し、その積極的な推進を防御する。EU事業体および加盟国に対し、具体的かつスケーラブルな予防・保護措置をより重視し、適切な場合には、国境を越えた態様で、また民間団体と協力するよう求める。ENISAおよびECCCに対し、国内およびEUレベルでこのような共同プロジェクトを刺激するよう求める。このような支援と保護の集中的な提供は、費用対効果の達成に役立つだけでなく、サイバーセキュリティの専門家の大幅な不足に対処する可能性も秘めている。
15. REITERATES the potential of digital identity to bolster online security and trust in a proactive and inclusive manner. With the Regulation for a European Digital Identity Framework, the EU holds a unique prospect to use digital identity in the ongoing battle against phishing or social engineering, which remain persistent and pervasive vectors of cyberattacks. Against the backdrop of increased misuse of emerging and disruptive technologies (such as AI, for example for the creation of deepfakes), the role of authenticated digital identity assumes augmented importance in strengthening digital trust and confidence. UNDERLINES at the same time the importance of preserving the option of anonymity within the digital world and support of the principle of data minimisation, including the use of pseudonyms, asking users to share only the minimum data necessary for the specific purpose. CALLS on the Union to swiftly implement solutions within the European Digital Identity Framework, to allow businesses, organisations, and individuals to voluntarily identify themselves online in a trusted manner, and STRESSES the crucial importance of the cybersecurity of these solutions. ENCOURAGES the timely development of European cybersecurity certification schemes adopted pursuant to Regulation (EU) 2019/881 for the certification of the European Digital Identity Wallets.  15. 積極的かつ包括的な方法で、オンライン・セキュリティと信頼を強化するデジタル ID の可能性を強調する。欧州デジタル ID フレームワークに関する規則により、EU は、サイバー攻撃の持続的かつ広範な 媒介であり続けるフィッシングやソーシャル・エンジニアリングとの継続的な闘いにおいて、デジタル ID を利用するユニークな展望を有している。新興の破壊的技術(例えば、ディープフェイクを作成する AI など)の悪用が増加していることを背景に、 認証されたデジタル ID の役割は、デジタルの信頼と信用を強化する上で重要性を増している。同時に、デジタル世界における匿名性の選択肢を維持することの重要性を強調し、仮名の使用を含むデータ最小化の原則を支持し、特定の目的に必要な最小限のデータのみを共有するようユーザーに求める。欧州連合に対し、欧州デジタルIDフレームワークの中で、企業、組織、個人が信頼できる方法でオンライン上で自発的に身元を確認できるソリューションを速やかに実施するよう求めるとともに、これらのソリューションのサイバーセキュリティが極めて重要であることを強調する。欧州デジタルIDウォレットの認証のために規則(EU)2019/881に従って採用される欧州のサイバーセキュリティ認証スキームのタイムリーな開発を奨励する。
16. WELCOMES the risk assessment on the cybersecurity and resilience of Europe’s communications infrastructures and networks carried out by the NIS Cooperation Group, and CALLS UPON Member States, Commission and ENISA to work on the implementation of the strategic and technical recommendations to mitigate the threats and risks that may have been identified. CALLS on the Commission, the High Representative and ENISA, together with NIS Cooperation Group, within their respective mandates, to swiftly develop a coherent and comprehensive approach across sectors to risk assessment and scenario building, based on a common methodology. This should include prioritisation, minimising duplication, ensuring the quality of these assessments and building synergies, that pursue an all-hazards approach and that the Commission, the High Representative and relevant working parties and networks within the Council take into account the ongoing efforts to counter hybrid threats, such as physical sabotage and foreign information manipulation and interference.  16. NIS協力グループが実施した欧州の通信インフラおよびネットワークのサイバーセキュリティとレジリエンシーに関するリスクアセスメントを歓迎し、加盟国、欧州委員会およびENISAに対し、特定された脅威とリスクを軽減するための戦略的・技術的勧告の実施に取り組むよう求める。欧州委員会、上級代表者およびENISAに対し、NIS協力グループとともに、それぞれの権限の範囲内で、共通の手法に基づき、リスクアセスメントおよびシナリオ構築のための部門を超えた首尾一貫した包括的アプローチを速やかに開発するよう求める。これには、優先順位付け、重複の最小化、アセスメントの質の確保、相乗効果の構築、オール・ハザード・アプローチの追求、欧州委員会、上級代表、理事会内の関連作業部会およびネットワークが、物理的破壊工作や外国による情報操作・妨害などのハイブリッドな脅威に対抗するための現在進行中の取り組みを考慮に入れることなどが含まれるべきである。
17. REITERATES its commitment towards ensuring the security of the ICT supply chains as indicated in the Council Conclusions on ICT supply chain security, while noting the relevance of non-technical risk factors in this context, such as undue influence by a third State on suppliers and service provider. CALLS on the NIS Cooperation Group to continue working on the ICT Supply Chain toolbox and the risk assessments and evaluations with the focus on the ICT supply chain security, in particular in relation to technologies necessary for the green and digital transition.  17. ICTサプライチェーンの安全保障に関する理事会結論に示されたとおり、ICTサプライチェーンの安全保障の確保に向けたコミットメントを表明するとともに、供給業者やプロバイダに対する第三国による不当な影響力など、この文脈における非技術的リスク要因の重要性に留意する。NIS協力グループに対し、ICTサプライチェーンツールボックスと、特にグリーン及びデジタル移行に必要な技術に関連するICTサプライチェーンのセキュリティに焦点を当てたリスクアセスメント及び評価に引き続き取り組むことを要請する。
STRENGTHENING THE INSTITUTIONAL FRAMEWORK  機構枠組みの強化 
18. WELCOMES, over the course of the last five years, the necessary further enhancement of already existing cybersecurity cooperation structures and entities (notably the CSIRTs Network, NIS Cooperation Group, CERT-EU, ENISA) and the creation of new structures (ECCG, EU-CyCLONe, ECCC and network of NCCs and Military CERT operational Network -MICNET-). CALLS upon these structures and entities to fully implement their mandate and, in the context of an increasing complexity of the European cybersecurity ecosystem, to strengthen cooperation and avoid possible duplication of efforts. INVITES Member States driven cooperation networks such as the NIS Cooperation Group, and, supported by ENISA, the CSIRTs Network and EU-CyCLONe to establish a multi-annual strategic perspective, in full respect of their legal mandate. CALLS on the Commission and the High Representative, working closely with relevant EU entities, to develop across policy domains a clear overview of the roles and responsibilities of all relevant EU entities, stakeholders and networks, both civilian and military, active in the cybersecurity domain, including in their interaction.  18. 過去 5 年間にわたり、既に存在するサイバーセキュリティ協力体制や事業体(特に、CSIRTs ネットワーク、NIS 協力グループ、CERT-EU、ENISA)の必要なさらなる強化や、新たな体制(ECCG、EU-CyCLONe、ECCC、NCCs のネットワーク、軍事 CERT 運用ネットワーク -MICNET-)の創設が行われてきたことを歓迎する。欧州のサイバーセキュリティ・エコシステムがますます複雑化する中、これらの機構や事業体に対し、その任務を完全に実施し、協力を強化し、努力の重複を避けるよう求める。加盟国に対し、NIS協力グループや、ENISAの支援を受けたCSIRTsネットワーク、EU-CyCLONeなどの協力ネットワークが、その法的権限を完全に尊重し、複数年にわたる戦略的展望を確立するよう要請する。欧州委員会および上級代表に対し、関連するEU事業体と緊密に協力し、サイバーセキュリティの領域で活動するすべての関連するEUの事業体、利害関係者、ネットワーク(文民、軍を問わず)の役割と責任について、その相互作用も含め、政策領域全体にわたる明確な概要を策定するよう求める。
19. RECOGNISES ENISA's key supportive role to improve the level of cybersecurity in the Union and the Member States. ENCOURAGES ENISA to continue its efforts to support the implementation of relevant Union law and policy, to contribute to common situational awareness through close cooperation with Member States, EU entities, and the private sector, to assess the cyber threat landscape, and to support operational cooperation and the building of capacity. CALLS on the Commission to take duly into account the development of ENISA’s role reviewing the Cybersecurity Act. CALLS upon ENISA to establish clear priorities, including focusing on supporting the Member States through existing structures.  19. EU及び加盟国におけるサイバーセキュリティのレベルを改善するためのENISAの重要な支援的役割を認識する。ENISAに対し、加盟国、EU事業体および民間部門との緊密な協力を通じて、関連するEU法および政策の実施を支援し、共通の状況認識に貢献し、サイバー脅威の状況を評価し、業務協力および能力構築を支援する努力を継続するよう求める。欧州委員会に対し、サイバーセキュリティ法の見直しに伴うENISAの役割の発展を十分に考慮するよう求める。ENISAに対し、既存の体制を通じて加盟国を支援することに重点を置くなど、明確な優先事項を定めるよう求める。
20. UNDERLINES the importance of fortifying the cybersecurity of EU entities to protect information and safeguard a strong EU cyber posture. ENCOURAGES the swift implementation of the Act on a high level of cybersecurity of EU institutions, bodies and agencies, accompanied by a decisive Interinstitutional Cybersecurity Board, enhancement of the security culture within EU entities and an allocation of adequate resources for ICT security. ENCOURAGES CERT-EU to develop its role further in line with this Regulation, and in this regard pay particular attention to the close cooperation with relevant networks such as the CSIRTs Network.  20. 情報を保護し、強力なEUのサイバー態勢を守るため、EU事業体のサイバーセキュリティを強化することの重要性を強調する。断固とした機関間サイバーセキュリティ委員会、EU事業体内のセキュリティ文化の強化、ICTセキュリティのための適切な資源の配分を伴う、EU機構、団体、機関の高水準のサイバーセキュリティに関する法律の速やかな実施を奨励する。CERT-EU に対し、本規則に沿ってその役割をさらに発展させ、この点において、CSIRTs Network のような関連ネットワークとの緊密な協力に特に注意を払うことを奨励する。
21. ACKNOWLEDGES the increasingly important role of the ECCC within the developing cyber framework of the EU. CALLS on the ECCC and the Commission to swiftly complete the actions needed for the ECCC to gain financial autonomy and finalise its institutional set up. ENCOURAGES the National Coordination Centres and the ECCC to swiftly activate the Cybersecurity Competence Community in a streamlined manner, as a bottom-up, inclusive and key forum for collaboration with industry, academic and research organisations, other relevant civil society associations, public entities and other entities dealing with cybersecurity. CALLS on all Union entities and Member States to support this effort and to preserve the central role of the ECCC in coordinating the EU cybersecurity investment strategy, boosting the EU cybersecurity industry and fostering skilled experts to enhance the EU’s cybersecurity resilience, as well as to increase consistency and synergies with the ECCC’s agenda. INVITES policy makers at European and national level to contemplate a more efficient use of investment as an enabler or a complement to legislation in increasing cybersecurity.  21. EU の発展途上のサイバーフレームワークの中で、ECCC の役割がますます重要になっていることを認 める。ECCCと欧州委員会に対し、ECCCが財政的に自立し、機構を最終的に立ち上げるために必要な措置を速やかに完了するよう求める。各国調整センターおよびECCCに対し、産業界、学術研究機関、その他の関連する市民社会団体、公共事業体およびサイバーセキュリティに取り組むその他の事業体との協力のためのボトムアップで包括的かつ重要なフォーラムとして、サイバーセキュリティ能力共同体を合理的な方法で速やかに活性化させるよう求める。EUのすべての事業体および加盟国に対し、この取り組みを支援し、EUのサイバーセキュリティ投資戦略の調整、EUのサイバーセキュリティ産業の活性化、EUのサイバーセキュリティレジリエンスを強化するための熟練した専門家の育成において、ECCCの中心的役割を維持するとともに、ECCCのアジェンダとの一貫性と相乗効果を高めるよう呼びかける。欧州および各国レベルの政策立案者に対し、サイバーセキュリティの強化において、法制化を可能にする、あるいは補完するものとして、投資をより効率的に活用することを検討するよう要請する。
22. Given the crucial role and expertise of the private sector in the security of our digital infrastructure and the protection of entities and citizens that depend on it, CALLS on Member States, the Commission, the High Representative, ENISA, ECCC, the CSIRTs Network and Europol to thoroughly, openly and in a coordinated manner engage with all relevant private sector stakeholders to fortify cybersecurity measures, foster collaborative initiatives, and formulate robust strategies to mitigate the risks posed by cyber threats, including regarding business continuity. Such engagement could include communities of information sharing, support to SMEs, or cooperation agreements on operational projects.  22. 加盟国、欧州委員会、上級代表、ENISA、ECCC、CSIRTs Network、欧州刑事警察機構に対し、サイバーセキュリティ対策を強化し、協力的なイニシアチブを育成し、事業継続に関するものも含め、サイバー脅威がもたらすリスクを軽減するための強固な戦略を策定するために、関連するすべての民間セクターの利害関係者と徹底的、率直かつ協調的に関与するよう求める。このような関与には、情報共有のコミュニティ、中小企業への支援、あるいは業務プロジェク トに関する協力協定などが考えられる。
23. CALLS on Member States and the Commission, in cooperation with all relevant networks and entities on the Union level to increase voluntary information sharing in view of a common situational awareness, including, for Member States, through the EU Intelligence Analysis Centre (EU INTCEN). STRESSES the need to prevent any duplication of efforts in this regard and UNDERLINES the importance of cooperation with the private sector, at national and Union level and according to the appropriate procedures. WELCOMES in this regard the political agreement on the Cyber Solidarity Act including its future contribution to the common detection and situational awareness of cyber threats and incidents.  23. 加盟国および欧州委員会に対し、EUレベルのすべての関連するネットワークおよび事業体と協力し、加盟国に対してはEU情報分析センター(EU INTCEN)を通じたものも含め、共通の状況認識の観点から自発的な情報共有を拡大するよう求める。この点に関し、努力の重複を防ぐ必要性を強調するとともに、国および欧州連合レベルにおいて、適切な手続きに従い、民間部門との協力の重要性を強調する。この観点から、サイバー脅威およびインシデントの共通検知と状況認識への将来的な貢献を含む、サイバー連帯法に関する政治的合意を歓迎する。
24. CALLS on the Commission, relevant Union entities, in particular Europol and Eurojust, and Member States, making best use of the European Multidisciplinary Platform Against Criminal Threats (EMPACT), to strengthen their collaboration on the significant threat posed by cybercrime, including the pressing issue of ransomware, and to enhance processes to investigate cybercrime. Given how law enforcement actions to disrupt cybercriminal activities also contribute to the prevention of further cybersecurity incidents, a structured and mutually beneficial collaboration between the cybersecurity and law enforcement communities is necessary to further enhance the state of cybersecurity in Europe. STRESSES that in the crucial fight against cybercrime, it is equally important to protect data and ensure privacy, including through secure communications. REITERATES that competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the relevant data protection laws, while upholding cybersecurity. REAFFIRMS its support to the development, implementation and use of strong encryption as a necessary means of protecting fundamental rights and the digital security of individuals, governments, industry and society. Therefore, INVITES Member States and the relevant EU entities to stimulate a structured and appropriate information exchange between national CSIRTs and law enforcement, as well as at EU level between Europol, the CSIRTs Network and CERT-EU, including for victim notification purposes.  24. 欧州委員会、欧州連合(EU)の関連事業体、特に欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)および加盟国に対し、犯罪の脅威に対する欧州学際的プラットフォーム(EMPACT)を最大限に活用し、喫緊の課題であるランサムウェアを含むサイバー犯罪がもたらす重大な脅威に関する協力を強化し、サイバー犯罪の捜査プロセスを強化するよう求める。サイバー犯罪者の活動を妨害する法執行機関の行動が、さらなるサイバーセキュリティインシデントの防止にも貢献することを考えると、欧州のサイバーセキュリティの状態をさらに強化するためには、サイバーセキュリティ・コミュニティと法執行機関の間の体系的で相互に有益な協力が必要である。サイバー犯罪との極めて重要な闘いにおいて、安全なコミュニケーションを含め、データを保護しプライバシーを確保することも同様に重要であることを防御する。権限のある認可当局は、サイバーセキュリティを維持しつつ、基本的権利および関連するデータ保護法を完全に尊重し、合法的かつ的を絞った方法でデータにアクセスできなければならないことを強調する。基本的権利および個人、政府、産業、社会のデジタル・セキュリティを保護するために必要な手段として、強力な暗号化の開発、実装、利用を支持することを宣言する。よって、加盟国及び関連する EU 事業体に対し、被害者通知の目的も含め、欧州刑事警察機構、 CSIRTs Network 及び CERT-EU と同様に、各国の CSIRTs と法執行機関の間、及び EU レベルでの構造的かつ適切な情報交換を促進するよう要請する。
25. Given the cyber threat landscape and the fast pace of technological development, HIGHLIGHTS the importance of comprehensive cooperation between civilian and military domains, including between EU cooperation networks. WELCOMES the progress made by Member States and relevant Union entities in implementing the EU Cyber Defence Policy.  25. サイバー脅威の状況及び技術開発の速いペースを考慮し、EUの協力ネットワーク間を含む、文民及び軍事領域間の包括的協力の重要性を強調する。EUサイバー防衛政策の実施における加盟国および関連事業体の進展を歓迎する。
26. Building on the Commission Recommendation on coordinated response to large-scale cybersecurity incidents and crises, and on the provisions of Directive (EU) 2022/2555, guided by the Cyber Crisis Management Roadmap developed in the Council under the Czech Presidency, and without prejudice to the Member States’ sole responsibility for safeguarding national security. STRESSES the need to evaluate and further develop the EU cybersecurity crisis management framework integrating new developments and avoiding fragmented Union procedures.  26. 大規模サイバーセキュリティインシデントおよび危機への協調的対応に関する欧州委員会勧告、および指令(EU)2022/2555の規定に基づき、チェコ議長国の下、理事会で策定されたサイバー危機管理ロードマップを指針とし、加盟国の国家安全保障を守る唯一の責任を損なうことなく、EUサイバー防衛政策を実施する。EUのサイバーセキュリティ危機管理の枠組みを評価し、さらに発展させる必要性を強調する。
27. Therefore ENCOURAGES Member States to regularly take stock of progress achieved in the implementation of the Roadmap, CALLS upon the Commission to swiftly evaluate the current cybersecurity Blueprint and, on this basis, propose a revised Cybersecurity Blueprint in the form of a Council recommendation that will address the current challenges and complex cyber threat landscape, strengthen existing networks, enhance cooperation, and break silos between organisations, utilising to this end first and foremost existing structures. Furthermore, the revised Blueprint should rely on time-tested guiding principles of cooperation (proportionality, subsidiarity, complementarity and confidentiality of information) and expand them to the full crisis management lifecycle and should contribute to aligning and enhancing secure communication in the cybersecurity field. The revised Blueprint should ensure its compatibility with existing frameworks such as the IPCR, the EU Cyber Diplomacy Toolbox, the EU Hybrid Toolbox, the Law Enforcement Emergency Response Protocol (LERP), emerging frameworks such as the Critical Infrastructure Blueprint, sectoral procedures, and overall crisis management structures within Union entities, involving also the High Representative and Europol. In this revised Blueprint, the role of the Commission, the High Representative and ENISA, in line with their competences, should focus in particular on supporting horizontal coordination.  27. したがって、加盟国に対し、ロードマップの実施において達成された進捗状況を定期的に把握するよう求めるとともに、欧州委員会に対し、現行のサイバーセキュリティの青写真を速やかに評価し、そのうえで、現在の課題と複雑なサイバー脅威の状況に対処し、既存のネットワークを強化し、協力を強化し、組織間の縦割りを解消し、そのために何よりもまず既存の構造を活用するような、改訂版サイバーセキュリティの青写真を理事会勧告の形で提案するよう求める。さらに、改訂された青写真は、従来から定評のある協力の指導原則(比例性、補完性、相補性、情報の機密性)に依拠し、それを危機管理のライフサイクル全体に拡大し、サイバーセキュリティ分野における安全なコミュニケーションの調整と強化に貢献するものでなければならない。改訂された青写真は、IPCR、EUサイバー外交ツールボックス、EUハイブリッド・ツールボックス、法執行緊急対応プロトコル(LERP)などの既存の枠組み、重要インフラ青写真などの新たな枠組み、セクター別の手順、上級代表や欧州刑事警察機構も関与するEU事業体内の全体的な危機管理構造との互換性を確保すべきである。このブループリントの改訂において、欧州委員会、上級代表およびENISAの役割は、それぞれの権限に基づき、特に水平的な協調を支援することに重点を置くべきである。
28. UNDERLINES that frequent cybersecurity exercises and training, including, possibly, involving the private sector, strengthen resilience and can effectively decrease the costs, duration and severity of cyber security incidents in organisations. EMPHASIZES that upon its adoption, the new revised Blueprint should be tested as early and to the fullest extent possible, at a technical, operational and political level.  28. サイバーセキュリティの頻繁な演習と訓練は、場合によっては民間セクターの参加も含め、レジリエンスを強化し、組織におけるサイバーセキュリティインシデントのコスト、期間、重大性を効果的に減少させることができることを強調する。改訂された新しい青写真は、その採択後、可能な限り早期に、技術的、運用的、政治的レベルでテストされるべきであることを強調する。
THE INTERNAL/EXTERNAL NEXUS FOR CYBERSECURITY POLICY  サイバーセキュリティ政策の内部と外部の関連性 
29. UNDERSCORES that cybersecurity in the European Union cannot be tackled in a vacuum. and that an active international cyber policy, including in the UN, NATO, OSCE, ITU, Council of Europe and other multilateral and multistakeholder organisations, is an essential contribution to European cybersecurity. A strong European cybersecurity is also key for the European diplomatic posture. Synergies between the EU’s internal and external cyber initiatives should be captured where possible. STRESSES that a secure cyberspace is not only defined at the nexus between internal and external European policy, but also between the digital and the security domains, as well as between the civilian and the defence domain. In this context, the European efforts regarding cyber capacity building, cyber diplomacy and cyber defence via various Council conclusions and instruments contribute significantly to European cybersecurity. STRESSES the importance of pragmatic cooperation while safeguarding the distinction between civilian and military, as well as national and European roles and responsibilities. In full respect of the agreed guiding principles on EU-NATO cooperation, in particular reciprocity, inclusiveness, decision-making autonomy and full transparency towards all Member States, EMPHASISES the importance of close EU-NATO cooperation on emerging and disruptive technologies in view of creating synergies and avoiding unnecessary duplication.  29. また、国連、NATO、OSCE、ITU、欧州評議会、その他の多国間およびマルチステークホルダー組織を含む、積極的な国際サイバー政策が欧州のサイバーセキュリティに不可欠な貢献であることを支持する。強力な欧州のサイバーセキュリティは、欧州の外交姿勢にとっても重要である。EUの内外のサイバー・イニシアチブ間の相乗効果を可能な限り取り込むべきである。安全なサイバー空間は、欧州の内政と外政の接点で定義されるだけでなく、デジタル領域と安全保障領域、さらには文民領域と防衛領域の間でも定義されることを強調する。この観点から、欧州理事会の様々な結論や文書を通じたサイバー能力構築、サイバー外交、サイバー防衛に関する欧州の取り組みは、欧州のサイバーセキュリティに大きく貢献している。文民と軍事の区別、国内と欧州の役割と責任を守りつつ、現実的な協力を行うことの重要性を強調する。EU-NATO協力に関する合意された指導原則、特に相互主義、包括性、意思決定の自主性、全加盟国に対する完全な透明性を十分に尊重し、相乗効果を生み出し、不必要な重複を避けるという観点から、新興技術および破壊的技術に関するEU-NATOの緊密な協力の重要性を強調する。
30. INVITES the Member States and relevant EU entities to engage with countries and actors outside of the Union in order to increase international cooperation against cybercrime. In this regard, WELCOMES the work of the Counter Ransomware Initiative (CRI) and the commitment of the EU, its Member States and entities to the CRI’s Joint Statement on Ransomware Payments as well as the work carried out in cooperation with third states including through EMPACT.  30. サイバー犯罪に対する国際協力を強化するため、加盟国および関連するEU事業体に対し、EU域外の国および関係者と関与するよう求める。この観点から、ランサムウェア対策イニシアティブ(CRI)の活動、ランサムウェアの支払いに関するCRIの共同声明に対するEU、加盟国および事業体のコミットメント、ならびに、EMPACTを含む第三国との協力による活動を歓迎する。
31. UNDERLINES the importance of fostering the European market for trusted digital products. HIGHLIGHTS in this context the adoption of the Cyber Resilience Act that will enhance the overall level of security for all products with digital elements and also UNDERLINES the importance of EU cybersecurity certification schemes. WELCOMES in this context the ongoing transatlantic cooperation, including through the agreement of an EU-US Joint Cyber Safe Product Action Plan to prepare the ground to explore mutual recognition on cybersecurity requirements for IoT hardware and software. WELCOMES the contribution of these efforts to a strong international ecosystem.  31. 信頼できるデジタル製品のための欧州市場を育成することの重要性を強調する。この観点から、デジタル要素を含むすべての製品の全体的なセキュリティレベルを強化するサイバーレジリエンス法の採択を強調するとともに、EUのサイバーセキュリティ認証制度の重要性を強調する。この観点から、IoTハードウェアおよびソフトウェアのサイバーセキュリティ要件に関する相互承認を模索するための基盤を整えるためのEU・米国共同サイバーセーフ製品行動計画の合意を含む、現在進行中の大西洋を越えた協力を歓迎する。強力な国際的エコシステムへのこうした努力の貢献を歓迎する。
32. RECALLS that secure, resilient, accessible, available and affordable digital infrastructure and connectivity solutions are a decisive factor for economic and social progress and development opportunities in third countries; ensuring rights and freedoms of citizens and enabling trusted transactions between citizens, businesses and governments. STRESSES that cyber capacity building and its contribution to the cybersecurity of digital infrastructure is a condition for the transition into a safe, secure and responsible digital society, which contributes also to improving the EU’s collective cybersecurity. EMPHASISES the importance of the Teams Europe approach and calls on the Member States, Commission and High Representative and to strengthen this in cyber capacity building. STRESSES the need to create awareness on the importance of secure connectivity and trusted suppliers in third countries, including by offering technical assistance and by sustaining investment in secure and trusted connectivity, which incentivises increased alignment with the EU Toolbox on 5G cybersecurity.  32. 安全で、レジリエンスがあり、アクセス可能で、利用可能で、安価なデジタル・インフラと接続ソ リューションは、第三国における経済的・社会的進歩と開発の機会にとって決定的な要素であり、市民の権利 と自由を確保し、市民、企業、政府間の信頼できる取引を可能にするものであることを想起する。サイバー・キャパシティ・ビルディングとデジタル・インフラのサイバーセキュリティへの貢献は、安全、安心かつ責任あるデジタル社会への移行の条件であり、EU全体のサイバーセキュリティの改善にも寄与することを強調する。チーム・ヨーロッパのアプローチの重要性を強調し、加盟国、欧州委員会および上級代表者に対し、サイバー能力構築においてこれを強化するよう求める。技術支援を提供し、安全で信頼できる接続への投資を持続させることにより、5Gサイバーセキュリティに関するEUツールボックスとの整合性を高める動機付けを与えることを含め、第三国における安全な接続と信頼できる輸入事業者の重要性に関する認識を高める必要性を強調する。
33. UNDERLINES that the integration of geopolitical considerations into technical endeavours, such as the EU Toolbox on 5G cybersecurity, coordinated risk assessments or specific certification schemes, can present a challenge. This must be approached with due regard for European market principles, while effectively addressing threats and risks. WELCOMES the progress made by Member States in implementing the measures of the EU Toolbox on 5G cybersecurity. However STRESSES the need to complete its implementation in view of minimising exposure to high-risk suppliers and of avoiding dependency on these suppliers at national and EU level. ACKNOWLEDGES the commitments made by the Commission in its Communication from June 2023 to avoid exposure of its corporate communications to mobile networks using high-risk suppliers as well as to make its assessment available for the design of all relevant EU funding programmes and instruments. 33. 5Gサイバーセキュリティに関するEUツールボックス、協調リスクアセスメント、特定の認証スキームなどの技術的な取り組みに地政学的な配慮を統合することは、課題となり得ることを強調する。これは、脅威とリスクに効果的に対処する一方で、欧州市場の原則に十分配慮して取り組まれなければならない。加盟国による5Gサイバーセキュリティに関するEUツールボックスの措置の実施の進展を歓迎する。しかしながら、リスクの高い供給業者へのエクスポージャーを最小化し、国内およびEUレベルでこれらの供給業者への依存を回避する観点から、その実施を完了する必要性を強調する。欧州委員会が、2023年6月のコミュニケーションにおいて、リスクの高い供給業者を利用したモバイルネットワークへの企業通信のエクスポージャーを回避するとともに、その評価をすべての関連するEUの資金調達プログラムや手段の設計に利用できるようにすることを約束したことをアセスメントする。
THE CYBERSECURITY DIMENSION OF EMERGING AND DISRUPTIVE TECHNOLOGIES  新興技術および破壊的技術のサイバーセキュリティの側面 
34. STRESSES the attention needed from an EU cybersecurity policy perspective to the challenges and opportunities presented by emerging and disruptive technologies that are critical to our future development such as AI, quantum and 6G technology. RECOGNISES their potential to introduce game-changing threats to cybersecurity and UNDERSCORES the necessity of addressing these developments with sufficient care and attention. ACKNOWLEDGES at the same time the potential opportunities in the cybersecurity field these technologies offer, including technologies aiming to protect the confidentiality of digital communications such as end-to-end encryption, enhance protection measures and scale-up CSIRT services. Therefore, INVITES Member States, the Commission, ENISA and the NIS Cooperation Group to consider concrete non-legislative risk-based initiatives such as roadmaps and action plans to further guide EU action in this area, incentivising innovation and addressing risks efficiently by leveraging a broad range of existing tools and mechanisms. RECALLING that the use and development of technologies should respect human rights, be privacy-focused and that their use is lawful, safe and ethical. 34. EUのサイバーセキュリティ政策の観点から、AI、量子技術、6G技術など、我々の将来の発展に不可欠な新興技術や破壊的技術がもたらす課題と機会に注意を払う必要があることを強調する。サイバーセキュリティを大きく変える脅威をもたらす可能性を認識し、十分な注意と配慮をもってこれらの開発に取り組む必要性を支持する。同時に、エンドツーエンドの暗号化などデジタルコミュニケーションの機密性を保護する技術、保護対策の強化、CSIRTサービスの拡大など、これらの技術がサイバーセキュリティ分野にもたらす潜在的な機会についても言及する。よって、加盟国、欧州委員会、ENISAおよびNIS協力グループに対し、この分野におけるEUの行動をさらに導き、技術革新にインセンティブを与え、広範な既存のツールやメカニズムを活用することによりリスクに効率的に対処するための、ロードマップや行動計画といった、法律に基づかない具体的な取り組みを検討するよう要請する。技術の使用と開発は、人権を尊重し、プライバシーを重視し、その使用が合法的、安全かつ倫理的であるべきであることを想起する。
35. UNDERLINES that the transition to Post-Quantum Cryptography (PQC) has clear priority to protect classified and sensitive information in anticipation of the threats posed by future cryptographically relevant quantum computers. In this regard, ACKNOWLEDGES the Commission Recommendation on a Coordinated Implementation Roadmap for the transition to PQC addressing the current and future cybersecurity needs in Union entities, national public administrations and other critical infrastructure, taking into consideration the rapidly evolving computing power and novel trends in technologies. ENCOURAGES Member States to further engage and exchange views on activities and strategic decisions for the transition to PQC. RECOGNIZES that the transition to PQC may require hybrid schemes that combine this technology with existing cryptographic approaches. In the future, further improvements could allow quantum key distribution to also contribute to secure communications.  35. ポスト量子暗号(PQC)への移行は、暗号に関連する将来の量子コンピュータがもたらす脅威を予期し、機密情報および機微情報を保護するために明確な優先順位があることを強調する。この点に関し、欧州委員会は、急速に進化する計算能力と斬新な技術動向を考慮し、欧州連合の事業体、各国公共行政機関、その他の重要インフラにおける現在および将来のサイバーセキュリティのニーズに対応する、PQCへの移行のための調整された実施ロードマップに関する欧州委員会勧告を承認する。加盟国に対し、PQCへの移行のための活動や戦略的決定について、さらなる関与と意見交換を行うことを奨励する。PQC への移行には、この技術と既存の暗号アプローチを組み合わせたハイブリッド方式が必要になる可能性があることを認識する。将来的には、更なる改善により、量子鍵配布が安全なコミュニケーションにも貢献する可能性がある。
36. RECOGNISES the role of free and open-source software as a major public good of the digital age as well as the special nature of many open-source development models. NOTES that, given its prevalence in supply chains, free and open-source software also remains a major cybersecurity challenge in the EU and globally. However, the inherent and unique advantage is that its entirely transparent nature allows for security vulnerabilities to be comprehensively addressed. Therefore, UNDERLINES the need to promote a consistent, coherent and transparent policy approach to free and open-source software including concrete measures aimed at supporting the security of free and open-source software projects that are of public interest or widely used across the European economy.  36. デジタル時代の主要な公共財としてのフリー・オープンソースソフトウェアの役割と、 多くのオープンソース開発モデルの特殊性を認識する。サプライチェーンにおける普及を考慮すると、フリーでオープンソースのソフトウェアもまた、EU および世界的なサイバーセキュリティの主要な課題であることに留意する。しかし、その固有のユニークな利点は、完全に透明な性質により、セキュリティの脆弱性に包括的に対処できることである。そのため、公共的な関心や欧州経済全体で広く利用されているフリー・オープンソースソフトウェア・プロジェクトのセキュリティを支援することを目的とした具体的な対策を含め、フリー・オープンソースソフトウェアに対する一貫性、一貫性、透明性のある政策アプローチを推進する必要性を強調する。
CONCLUSION  結論 
37. CONCLUDES that in light of the changed and rising threat level, the EU Cybersecurity Strategy from December 2020 should be reviewed, updating its objectives and approach, setting a clear framework with roles and responsibilities for all entities involved, straightforward and efficient coordination mechanisms and an enhanced cooperation with the private sector and academia. Therefore INVITES the Commission and the High Representative to assess the results and gaps of the current Strategy and its impact, and to present on this basis a revised strategy without undue delay, which will reflect these Conclusions.  37. 脅威のレベルの変化と高まりを踏まえ、2020年12月からのEUサイバーセキュリティ戦略を見直し、その目的とアプローチを更新し、関係するすべての事業体の役割と責任を明確にした枠組みを設定し、わかりやすく効率的な調整メカニズムを構築し、民間部門や学界との協力を強化すべきである。よって、欧州委員会および上級代表に、現行戦略の成果とギャップ、その影響を評価し、これに基づき、本結論を反映した改訂戦略を過度な遅延なく提示するよう求める。

 

[1] 12109/13
[2] 15585/14
[3] 16200/14
[4] 6122/15+COR 1
[5] 14540/16
[6] 14435/17 + COR 1
[7] 10474/17
[8] 10086/18
[9] 10496/18
[10] OJ L 320, 17.12.2018, p.28-34
[11] 7737/19
[12] 14517/19
[13] 9596/19
[14] 14972/19
[15] 8711/20
[16] 13629/20
[17] 7290/21
[18] 8396/21
[19] 13048/21
[20] 7371/22
[21] 9364/22
[22] 13664/22
[23] 15721/22 and 9618/23
[24] 14512/23
[25] 15423/22
[26] C(2023) 4049 Final

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

EUCC...

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2021.05.26 ENISA (IoT製品)サイバーセキュリティ認証 (Certification) EUCCスキーム候補

 

サイバーレジリエンス法

・2024.04.05 欧州 ENISA サイバーレジリエンス法要件標準マッピング - 共同研究センター&ENISA共同分析

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

サイバーセキュリティ法改正案の件...

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.04.21 欧州委員会 EUサイバー連帯法の提案 (2023.04.18)

 

 

・2024.01.09 欧州理事会 欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置 (2023.12.13)

| | Comments (0)

2024.05.21

英国 科学技術革新省 先進AIの安全性に関する国際科学報告書

こんにちは、丸山満彦です。

英国の科学技術革新省とAI研究所が「先進AIの安全性に関する国際科学報告書」の中間報告を公表していますね...

「汎用AI(多種多様なタスクをこなすAI)の科学的理解の現状を、そのリスクの理解と管理に焦点をあててまとめたもの」ということのようです...

日本人としては、SONYのCTOの北野宏明さん[wikipedia]の名前がありますね...

参考文献の数がすごい...

 

・2024.05.17 [PDF] International Scientific Report on the Safety of Advanced AI

20240521-44605

・[DOCX][PDF] 仮訳

 

目次...

Forewords まえがき
Executive Summary エグゼクティブサマリー
1 Introduction 1 序文
2 Capabilities 2 能力
2.1 How does General-Purpose AI gain its capabilities? 2.1 汎用AIはどのようにして能力を獲得するのか?
2.2 What current general-purpose AI systems are capable of 2.2 現在の汎用AIシステムは何ができるのか?
2.2.1 Capabilities by modality . 2.2.1 モダリティ別の能力 .
2.2.2 Capabilities and limitations by skill . 2.2.2 スキル別の能力と限界 .
2.3 Recent trends in capabilities and their drivers  2.3 能力の最近の傾向とその促進要因 
2.3.1 Recent trends in compute, data, and algorithms 2.3.1 計算、データ、アルゴリズムに関する最近の傾向
2.3.2 Recent trends in capabilities 2.3.2 能力の最近の傾向
2.4 Capability progress in coming years  2.4 今後数年間における能力の進歩 
2.4.1 If resources continue to be scaled rapidly, would this lead to rapid advancements?  2.4.1 リソースが急速に拡張され続ければ、急速な進歩につながるか?
2.4.2 Will resources be scaled rapidly? . 2.4.2 リソースは急速に拡大するだろうか?
2.4.3 Will algorithmic progress lead to rapid advancements? . 2.4.3 アルゴリズムの進歩は急速な進歩をもたらすか?.
3 Methodology to assess and understand general-purpose AI systems . 3 汎用AIシステムのアセスメントと理解のための方法論 .
3.1 General-purpose AI assessments serve to evaluate model capabilities and impacts.  3.1 汎用AIのアセスメントは、モデルの能力と影響を評価するのに役立つ。
3.2 Approaches for model performance analysis  3.2 モデル性能分析のためのアプローチ 
3.2.1 Case studies  3.2.1 ケーススタディ 
3.2.2 Benchmarks  3.2.2 ベンチマーク 
3.2.3 Red-teaming and adversarial attacks 3.2.3 レッドチームと敵対的攻撃
3.2.4 Auditing  3.2.4 監査 
3.3 Model transparency, explanations, and interpretations  3.3 モデルの透明性、説明、解釈 
3.4 Challenges with studying general-purpose AI systems  3.4 汎用AIシステム研究の課題 
4 Risks  4 リスク 
4.1 Malicious use risks  4.1 悪意のある使用のリスク 
4.1.1 Harm to individuals through fake content  4.1.1 偽コンテンツによる個人への被害 
4.1.2 Disinformation and manipulation of public opinion  4.1.2 偽情報と世論操作 
4.1.3 Cyber offence . 4.1.3 サイバー犯罪
4.1.4 Dual use science risks 4.1.4 科学のデュアルユースリスク
4.2 Risks from malfunctions  4.2 誤作動によるリスク
4.2.1 Risks from product functionality issues  4.2.1 製品の機能問題によるリスク
4.2.2 Risks from bias and underrepresentation 4.2.2 バイアスと過少代表によるリスク
4.2.3 Loss of control 4.2.3 制御不能
4.3 Systemic risks  4.3 システミック・リスク 
4.3.1 Labour market risks  4.3.1 労働市場のリスク
4.3.2 Global AI divide 4.3.2 グローバルAI格差
4.3.3 Market concentration risks and single points of failure  4.3.3 市場集中リスクと単一障害点
4.3.4 Risks to the environment  4.3.4 環境に対するリスク
4.3.5 Risks to privacy  4.3.5 プライバシーに対するリスク 
4.3.6 Copyright infringement  4.3.6 著作権侵害 
4.4 Cross-cutting risk factors  4.4 分野横断的リスク要因 
4.4.1 Cross-cutting technical risk factors 4.4.1 分野横断的な技術的リスク要因
4.4.2 Cross-cutting societal risk factors  4.4.2 分野横断的な社会的リスク要因.
5 Technical approaches to mitigate risks  5 リスク低減のための技術的アプローチ 
5.1 Risk management and safety engineering  5.1 リスクマネジメントと安全工学 
5.1.1 Risk assessment 5.1.1 リスクアセスメント
5.1.2 Risk management 5.1.2 リスクマネジメント
5.2 Training more trustworthy models  5.2 より信頼できるモデルの育成 
5.2.1 Aligning general-purpose AI systems with developer intentions  5.2.1 汎用AIシステムと開発者の意図を一致させる 
5.2.2 Reducing the hallucination of falsehoods  5.2.2 虚偽の幻覚を減らす 
5.2.3 Improving robustness to failures  5.2.3 失敗に対する頑健性を改善する 
5.2.4 Removing hazardous capabilities  5.2.4 危険な能力を取り除く 
5.2.5 Analysing and editing the inner workings of models 5.2.5 モデルの内部構造を分析・編集する
5.3 Monitoring and intervention  5.3 監視と介入 
5.3.1 Detecting general-purpose AI-generated content . 5.3.1 生成的AIコンテンツの検知.
5.3.2 Detecting anomalies and attacks  5.3.2 異常や攻撃を検知する 
5.3.3 Explaining model actions . 5.3.3 モデルの行動を説明する .
5.3.4 Building safeguards into AI systems  5.3.4 AIシステムにセーフガードを組み込む 
5.4 Technical approaches to fairness and representation in general-purpose AI systems 5.4 汎用AIシステムにおける公平性と表現に対する技術的アプローチ
5.4.1 Mitigation of bias and discrimination works throughout the stages of general-purpose AI development and deployment 5.4.1 バイアスと識別の低減は、汎用AIの開発と展開のステージを通して機能する
5.4.2 Is fairness in general-purpose AI systems achievable? 5.4.2 汎用AIシステムにおける公平性は達成可能か?
5.4.3 Challenges in achieving fair general-purpose AI systems 5.4.3 公正な汎用AIシステムを実現する上での課題
5.5 Privacy methods for general-purpose AI systems 5.5 汎用AIシステムのプライバシー手法
6 Conclusion 6 まとめ
Chair’s note on the interim report 中間報告に対する座長のコメント
Differing views 見解の相違
Glossary 用語解説
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
About this report  この報告書について 
• This is the interim publication of the first ‘International Scientific Report on the Safety of Advanced AI’. A diverse group of 75 artificial intelligence (AI) experts contributed to this report, including an international Expert Advisory Panel nominated by 30 countries, the European Union (EU), and the United Nations (UN).  • 本書は、初の「先進的AIの安全性に関する国際科学報告書」の中間発表である。この報告書には、30カ国、欧州連合(EU)、国連(UN)から推薦された国際専門家諮問委員会を含む、75人の人工知能(AI)の専門家からなる多様なグループが貢献した。 
• Led by the Chair of this report, the independent experts writing this report collectively had full discretion over its content.  • 本報告書の議長を筆頭に、本報告書を執筆した独立専門家たちは、その内容に関して全面的な裁量権を有していた。 
• At a time of unprecedented progress in AI development, this first publication restricts its focus to a type of AI that has advanced particularly rapidly in recent years: General-purpose AI, or AI that can perform a wide variety of tasks. Amid rapid advancements, research on general-purpose AI is currently in a time of scientific discovery and is not yet settled science.  • AIの開発がかつてないほど進展している現在、この最初の出版物は、近年特に急速に進歩しているAIのタイプに焦点を絞っている:汎用AI、すなわちさまざまなタスクを実行できるAIである。急速な進歩の中で、汎用AIの研究は現在、科学的発見の時期にあり、まだ定まった科学ではない。 
• People around the world will only be able to enjoy general-purpose AI’s many potential benefits safely if its risks are appropriately managed. This report focuses on identifying these risks and evaluating technical methods for assessing and mitigating them. It does not aim to comprehensively assess all possible societal impacts of general-purpose AI, including its many potential benefits.  • そのリスクが適切に管理されて初めて、世界中の人々が汎用AIの多くの潜在的利益を安全に享受できるようになる。本報告書は、こうしたリスクを特定し、それを評価・軽減するための技術的手法を評価することに焦点を当てている。汎用AIがもたらす多くの潜在的便益を含め、考えられるすべての社会的影響を包括的に評価することを目的としたものではない。 
• For the first time in history, this interim report brought together experts nominated by 30 countries, the EU, and the UN, and other world-leading experts, to provide a shared scientific, evidence-based foundation for discussions and decisions about general-purpose AI safety. We continue to disagree on several questions, minor and major, around general-purpose AI capabilities, risks, and risk mitigations. But we consider this project essential for improving our collective understanding of this technology and its potential risks, and for moving closer towards consensus and effective risk mitigation to ensure people can experience the potential benefits of general-purpose AI safely. The stakes are high. We look forward to continuing this effort.  • 史上初めて、この中間報告書は、30カ国、EU、国連から推薦された専門家と、その他の世界をリードする専門家が一堂に会し、汎用AIの安全性に関する議論と意思決定のための、科学的根拠に基づく共通の基盤を提供した。我々は、汎用AIの能力、リスク、リスク軽減策をめぐるいくつかの疑問について、些細なものから大きなものまで、意見の相違が続いている。しかし、我々はこのプロジェクトが、このテクノロジーとその潜在的リスクに関する我々の集合的理解を向上させ、人々が安全に汎用AIの潜在的利益を体験できるようにするためのコンセンサスと効果的なリスク軽減に近づくために不可欠であると考えている。賭け金は大きい。我々は、この取り組みを継続することを楽しみにしている。
Highlights of the executive summary  エグゼクティブ・サマリーのハイライト 
• If properly governed, general-purpose AI can be applied to advance the public interest, potentially leading to enhanced wellbeing, more prosperity, and new scientific discoveries. However, malfunctioning or maliciously used general-purpose AI can also cause harm, for instance through biased decisions in high-stakes settings or through scams, fake media, or privacy violations.  • 適切に管理されれば、汎用AIは公共の利益を増進するために応用され、幸福の増進、さらなる繁栄、新たな科学的発見につながる可能性がある。しかし、誤作動や悪意を持って使用された汎用AIは、例えば、利害関係の強い場面での偏った判断や、詐欺、フェイクメディア、プライバシー侵害などを通じて、危害をもたらす可能性もある。 
• As general-purpose AI capabilities continue to advance, risks such as large-scale labour market impacts, AI-enabled hacking or biological attacks, and society losing control over general-purpose AI could emerge, although the likelihood of these scenarios is debated among researchers. Different views on these risks often stem from differing expectations about the steps society will take to limit them, the effectiveness of those steps, and how rapidly general-purpose AI capabilities will be advanced.  • 汎用AIの能力が進歩し続けるにつれて、大規模な労働市場への影響、AIを利用したハッキングや生物学的攻撃、社会が汎用AIを制御できなくなるといったリスクが出現する可能性があるが、こうしたシナリオの可能性については研究者の間で議論が分かれている。これらのリスクに関する見解の違いは、社会がリスクを制限するために取る措置、その措置の有効性、汎用AIの能力がどの程度急速に進歩するかについての期待の違いから生じることが多い。 
• There is considerable uncertainty about the rate of future progress in general-purpose AI capabilities. Some experts think a slowdown of progress is by far most likely, while other experts think that extremely rapid progress is possible or likely.  • 汎用AI能力の将来的な進歩速度にはかなりの不確実性がある。進歩が鈍化する可能性が圧倒的に高いと考える専門家もいれば、極めて急速な進歩が可能またはあり得ると考える専門家もいる。 
• There are various technical methods to assess and reduce risks from general-purpose AI that developers can employ and regulators can require, but they all have limitations. For example, current techniques for explaining why general-purpose AI models produce any given output are severely limited.  • 汎用AIによるリスクを評価し、低減するために、開発者が採用でき、規制当局が要求できるさまざまな技術的手法があるが、いずれも限界がある。例えば、汎用AIモデルがどのようなアウトプットを出すのかを説明するための現在の技術は、非常に限られている。 
• The future of general-purpose AI technology is uncertain, with a wide range of trajectories appearing possible even in the near future, including both very positive and very negative outcomes. But nothing about the future of AI is inevitable. It will be the decisions of societies and governments that will determine the future of AI. This interim report aims to facilitate constructive discussion about these decisions.  • 汎用AI技術の未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来でさえ幅広い軌跡があり得ると思われる。しかし、AIの未来に必然性はない。AIの未来を決定するのは、社会と政府の決断である。本中間報告書は、こうした決定に関する建設的な議論を促進することを目的としている。 
This report synthesises the state of scientific understanding of general-purpose AI – AI that can perform a wide variety of tasks – with a focus on understanding and managing its risks  本報告書は、汎用AI(多種多様なタスクをこなすAI)の科学的理解の現状を、そのリスクの理解と管理に焦点をあててまとめたものである。 
The capabilities of systems using AI have been advancing rapidly. This has highlighted the many opportunities that AI creates for business, research, government, and private life. It has also led to an increased awareness of current harms and potential future risks associated with advanced AI.  AIを使ったシステムの能力は急速に進歩している。このことは、AIがビジネス、研究、政府、私生活にもたらす多くの機会を浮き彫りにしている。また、高度なAIに関連する現在の危害や将来の潜在的なリスクに対する認識も高まっている。 
The purpose of the International Scientific Report on the Safety of Advanced AI is to take a step towards a shared international understanding of AI risks and how they can be mitigated. This first interim publication of the report restricts its focus to a type of AI whose capabilities have advanced particularly rapidly: general-purpose AI, or AI that can perform a wide variety of tasks.  先進AIの安全性に関する国際科学報告書」の目的は、AIのリスクとその軽減方法について、国際的な共通理解を得るための一歩を踏み出すことである。この報告書の最初の中間発表では、特に急速に能力が進歩したAIの種類、すなわち汎用AI、すなわち多種多様なタスクを実行できるAIに焦点を絞っている。 
Amid rapid advancements, research on general-purpose AI is currently in a time of scientific discovery and is not yet settled science. The report provides a snapshot of the current scientific understanding of general-purpose AI and its risks. This includes identifying areas of scientific consensus and areas where there are different views or open research questions.  急速な進歩の中で、汎用AIの研究は現在、科学的発見の時期にあり、まだ科学として確立していない。本報告書は、汎用AIとそのリスクに関する現在の科学的理解のスナップショットを提供する。これには、科学的コンセンサスが得られている分野と、異なる見解や未解決の研究課題がある分野の特定が含まれる。 
People around the world will only be able to enjoy the potential benefits of general-purpose AI safely if its risks are appropriately managed. This report focuses on identifying risks from general-purpose AI and evaluating technical methods for assessing and mitigating them, including the beneficial use of general-purpose AI to mitigate risks. It does not aim to comprehensively assess all possible societal impacts of general-purpose AI, including what benefits it may offer.  汎用AIのリスクが適切に管理されて初めて、世界中の人々が汎用AIの潜在的な恩恵を安全に享受できるようになる。本報告書は、汎用AIがもたらすリスクを特定し、リスクを軽減するための汎用AIの有益な利用を含め、リスクを評価・軽減するための技術的手法を評価することに焦点を当てている。汎用AIがどのような便益をもたらすかも含め、汎用AIの社会的影響の可能性をすべて包括的に評価することは目的としていない。 
General-purpose AI capabilities have grown rapidly in recent years according to many metrics, and there is no consensus on how to predict future progress, making a wide range of scenarios appear possible  多くの指標によれば、汎用AIの能力は近年急速に成長しており、将来の進歩を予測する方法についてコンセンサスは得られていない。 
According to many metrics, general-purpose AI capabilities are progressing rapidly. Five years ago, the leading general-purpose AI language models could rarely produce a coherent paragraph of text. Today, some general-purpose AI models can engage in multi-turn conversations on a wide range of topics, write short computer programs, or generate videos from a description. However, the capabilities of general-purpose AI are difficult to estimate reliably and define precisely.  多くの指標によれば、汎用AIの能力は急速に進歩している。5年前、主要な汎用AI言語モデルは、まとまった段落の文章をほとんど作成できなかった。今日、いくつかの汎用AIモデルは、幅広いトピックについて何ターンも会話をしたり、短いコンピューター・プログラムを書いたり、説明から動画を生成したりできる。しかし、汎用AIの能力を確実に見積もり、正確に定義することは難しい。 
The pace of general-purpose AI advancement depends on both the rate of technological advancements and the regulatory environment. This report focuses on the technological aspects and does not provide a discussion of how regulatory efforts might affect the speed of development and deployment of general-purpose AI.  汎用AIの進歩のペースは、技術進歩の速度と規制環境の両方に左右される。本報告書では、技術的な側面に焦点を当て、規制の取り組みが汎用AIの開発・展開のスピードにどのような影響を与えるかについては触れていない。 
AI developers have rapidly advanced general-purpose AI capabilities in recent years mostly by continuously increasing resources used for training new models (a trend called ‘scaling’) and refining existing algorithms. For example, state-of-the-art AI models have seen annual increases of approximately 4x in computational resources (‘compute’) used for training, 2.5x in training dataset size, and 1.5-3x in algorithmic efficiency (performance relative to compute). Whether ‘scaling’ has resulted in progress on fundamental challenges such as causal reasoning is debated among researchers.  AI開発者は近年、新しいモデルの学習に使用するリソースを継続的に増やし(「スケーリング」と呼ばれる傾向)、既存のアルゴリズムを改良することで、汎用AIの能力を急速に高めてきた。例えば、最先端のAIモデルでは、学習に使用される計算リソース(「コンピュート」)が毎年約4倍、学習データセットサイズが2.5倍、アルゴリズム効率(コンピュートに対するパフォーマンス)が1.5~3倍に増加している。スケーリング」が因果推論のような基本的な課題の進展をもたらしたかどうかは、研究者の間で議論されている。 
The pace of future progress in general-purpose AI capabilities has substantial implications for managing emerging risks, but experts disagree on what to expect even in the near future. Experts variously support the possibility of general-purpose AI capabilities advancing slowly, rapidly, or extremely rapidly. This disagreement involves a key question: will continued ‘scaling’ of resources and refining existing techniques be sufficient to yield rapid progress and solve issues such as reliability and factual accuracy, or are new research breakthroughs required to substantially advance generalpurpose AI abilities?  汎用AI能力の今後の進歩ペースは、新たなリスクを管理する上で大きな意味を持つが、専門家の間でも、近い将来に何が起こるかについては意見が分かれている。専門家の間では、汎用AIの能力がゆっくりと、あるいは急速に、あるいは極めて急速に進歩する可能性をさまざまに支持している。この意見の相違は、リソースの「スケーリング」を継続し、既存の技術を洗練させるだけで、急速な進歩をもたらし、信頼性や事実の正確さといった問題を解決するのに十分なのか、それとも、汎用AIの能力を大幅に向上させるためには、新たな研究のブレークスルーが必要なのか、という重要な問題を含んでいる。 
Several leading companies that develop general-purpose AI are betting on ‘scaling’ to continue leading to performance improvements. If recent trends continue, by the end of 2026 some general-purpose AI models will be trained using 40x to 100x more compute than the most compute-intensive models published in 2023, combined with training methods that use this compute 3x to 20x more efficiently. However, there are potential bottlenecks to further increasing both data and compute, including the availability of data, AI chips, capital expenditure, and local energy capacity. Companies developing general-purpose AI are working to navigate these potential bottlenecks.  汎用AIを開発するいくつかの大手企業は、性能向上につながり続ける「スケーリング」に賭けている。最近のトレンドが続けば、2026年末までに、汎用AIモデルのいくつかは、2023年に発表された最も計算負荷の高いモデルよりも40倍から100倍多い計算量を使用して学習され、この計算量を3倍から20倍効率的に使用する学習方法と組み合わされることになる。しかし、データ、AIチップ、資本支出、地域のエネルギー容量などの利用可能性を含め、データと計算の両方をさらに増やすには潜在的なボトルネックがある。汎用AIを開発している企業は、これらの潜在的なボトルネックを回避するために取り組んでいる。 
Several research efforts aim to understand and evaluate generalpurpose AI more reliably, but our overall understanding of how general-purpose AI models and systems work is limited  汎用AIをより確実に理解し、評価することを目的とした研究はいくつかあるが、汎用AIのモデルやシステムがどのように機能するかについての全体的な理解は限られている。 
Approaches to managing risks from general-purpose AI often rest on the assumption that AI developers and policymakers can assess the capabilities and potential impacts of general-purpose AI models and systems. But while technical methods can help with assessment, all existing methods have limitations and cannot provide strong assurances against most harms related to general-purpose AI. Overall, the scientific understanding of the inner workings, capabilities, and societal impacts of general-purpose AI is very limited, and there is broad expert agreement that it should be a priority to improve our understanding of general-purpose AI. Some of the key challenges include:  汎用AIによるリスクを管理するアプローチは、AIの開発者や政策立案者が汎用AIのモデルやシステムの能力と潜在的な影響を評価できるという前提に立っていることが多い。しかし、技術的な手法は評価に役立つとはいえ、既存の手法にはすべて限界があり、汎用AIに関連するほとんどの危害に対して強力な保証を提供することはできない。全体として、汎用AIの内部構造、能力、社会的影響に関する科学的理解は非常に限られており、汎用AIの理解を深めることを優先すべきであるとする専門家の幅広い合意がある。主な課題には以下のようなものがある: 
• Developers still understand little about how their general-purpose AI models operate. This is because general-purpose AI models are not programmed in the traditional sense. Instead, they are trained: AI developers set up a training process that involves a lot of data, and the outcome of that training process is the general-purpose AI model. These models can consist of trillions of components, called parameters, and most of their inner workings are inscrutable, including to the model developers. Model explanation and interpretability techniques can improve researchers’ and developers’ understanding of how general-purpose AI models operate, but this research is nascent.  • 開発者は、汎用AIモデルがどのように動作するかについて、まだほとんど理解していない。というのも、汎用AIモデルは伝統的な意味でプログラミングされるわけではないからだ。その代わりに訓練される:AI開発者は、多くのデータを含む学習プロセスを設定し、その学習プロセスの結果が汎用AIモデルである。これらのモデルは、パラメータと呼ばれる何兆ものコンポーネントで構成されることがあり、その内部の仕組みのほとんどは、モデル開発者を含めて不可解である。モデルの説明と解釈可能性の技術は、汎用AIモデルがどのように動作するかについての研究者や開発者の理解を向上させることができるが、この研究はまだ始まったばかりである。 
• General-purpose AI is mainly assessed through testing the model or system on various inputs. These spot checks are helpful for assessing strengths and weaknesses, including vulnerabilities and potentially harmful capabilities, but do not provide quantitative safety guarantees. The tests often miss hazards and overestimate or underestimate capabilities because general-purpose AI systems may behave differently in different circumstances, with different users, or with additional adjustments to their components.  • 汎用AIは主に、モデルやシステムを様々な入力でテストすることで評価される。これらの抜き取り検査は、脆弱性や潜在的に有害な能力を含む長所と短所を評価するのに役立つが、定量的な安全性を保証するものではない。汎用AIシステムは、異なる状況、異なるユーザー、あるいはコンポーネントの追加調整によって異なる挙動を示す可能性があるため、テストはしばしば危険性を見逃し、能力を過大評価または過小評価する。 
• Independent actors can, in principle, audit general-purpose AI models or systems developed by a company. However, companies often do not provide independent auditors with the necessary level of direct access to models or the information about data and methods used that are needed for rigorous assessment. Several governments are beginning to build capacity for conducting technical evaluations and audits.  • 独立監査人は、原則として、企業が開発した汎用AIモデルやシステムを監査することができる。しかし、企業は独立監査人に対し、モデルへの必要なレベルの直接アクセスや、厳密な評価に必要なデータや使用方法に関する情報を提供しないことが多い。いくつかの政府は、技術的な評価や監査を実施するための能力を構築し始めている。 
• It is difficult to assess the downstream societal impact of a general-purpose AI system because research into risk assessment has not been sufficient to produce rigorous and comprehensive assessment methodologies. In addition, general-purpose AI has a wide range of use cases, which are often not predefined and only lightly restricted, complicating risk assessment further. Understanding the potential downstream societal impacts of general-purpose AI models and systems requires nuanced and multidisciplinary analysis. Increasing the representation of diverse perspectives in general-purpose AI development and evaluation processes is an ongoing technical and institutional challenge.  • リスク評価に関する研究が十分でなく、厳密かつ包括的な評価手法が生み出されていないため、汎用AIシステムの下流社会への影響を評価することは困難である。加えて、汎用AIには幅広いユースケースがあり、それらは多くの場合、事前に定義されておらず、軽く制限されているに過ぎないため、リスク評価をさらに複雑にしている。汎用AIのモデルやシステムが下流社会に与える潜在的な影響を理解するには、微妙で学際的な分析が必要である。汎用AIの開発・評価プロセスにおいて、多様な視点の代表を増やすことは、技術的・制度的な継続課題である。 
General-purpose AI can pose severe risks to individual and public safety and wellbeing  汎用AIは、個人や公共の安全と福利に深刻なリスクをもたらす可能性がある。 
This report classifies general-purpose AI risks into three categories: malicious use risks, risks from malfunctions, and systemic risks. It also discusses several cross-cutting factors that contribute to many risks.  本報告書では、汎用AIのリスクを「悪意のある使用によるリスク」「誤作動によるリスク」「システム的リスク」の3つに分類している。また、多くのリスクに寄与するいくつかの横断的要因についても論じている。 
Malicious use. Like all powerful technologies, general-purpose AI systems can be used maliciously to cause harm. Possible types of malicious use range from relatively well-evidenced ones, such as scams enabled by general-purpose AI, to ones that some experts believe might occur in the coming years, such as malicious use of scientific capabilities of general-purpose AI.  意のある使用。あらゆる強力なテクノロジーと同様、汎用AIシステムも悪意を持って利用され、被害をもたらす可能性がある。悪意のある利用には、汎用AIが可能にする詐欺のような比較的実証済みのものから、汎用AIの科学的能力を悪意を持って利用するような、今後数年のうちに起こりうると考える専門家もいる。 
• Harm to individuals through fake content generated by general-purpose AI is a relatively welldocumented class of general-purpose AI malicious use. General-purpose AI can be used to increase the scale and sophistication of scams and fraud, for example through ‘phishing’ attacks enhanced by general-purpose AI. General-purpose AI can also be used to generate fake compromising content featuring individuals without their consent, such as non-consensual deepfake pornography.  • 汎用AIによって生成された偽コンテンツによる個人への被害は、汎用AIの悪意のある使用の中でも比較的文書化されている分類である。汎用AIは、例えば、汎用AIによって強化された「フィッシング」攻撃によって、詐欺や不正行為の規模を拡大し、巧妙化するために使用することができる。汎用AIはまた、非同意のディープフェイクポルノなど、個人を主人公とする偽の危ういコンテンツを本人の同意なしに生成するために使用されることもある。 
• Another area of concern is the malicious use of general-purpose AI for disinformation and manipulation of public opinion. General-purpose AI and other modern technologies make it easier to generate and disseminate disinformation, including in an effort to affect political processes. Technical countermeasures like watermarking content, although useful, can usually be circumvented by moderately sophisticated actors.  • もうひとつ懸念されるのは、偽情報や世論操作のために汎用AIが悪意を持って利用されることだ。汎用AIやその他の最新テクノロジーは、政治的プロセスに影響を与える試みも含め、偽情報の生成と拡散を容易にする。コンテンツの電子透かしのような技術的な対策は、有用ではあるが、中程度に洗練された行為者であれば、通常は回避することができる。 
• General-purpose AI might also be maliciously used for cyber offence, uplifting the cyber expertise of individuals and making it easier for malicious users to conduct effective cyber-attacks. General-purpose AI systems can be used to scale and partially automate some types of cyber operations, such as social engineering attacks. However, general-purpose AI could also be used in cyber defence. Overall, there is not yet any substantial evidence suggesting that general-purpose AI can automate sophisticated cybersecurity tasks.  • 汎用AIは悪意を持ってサイバー犯罪に利用される可能性もあり、個人のサイバー専門知識を高め、悪意のあるユーザーが効果的なサイバー攻撃を行うことを容易にする。汎用AIシステムは、ソーシャル・エンジニアリング攻撃など、ある種のサイバー操作の規模を拡大し、部分的に自動化するために使用することができる。しかし、汎用AIはサイバー防衛にも利用できる。全体として、汎用AIが高度なサイバーセキュリティタスクを自動化できることを示唆する実質的な証拠はまだない。 
• Some experts have also expressed concern that general-purpose AI could be used to support the development and malicious use of weapons, such as biological weapons. There is no strong evidence that current general-purpose AI systems pose this risk. For example, although current general-purpose AI systems demonstrate growing capabilities related to biology, the limited studies available do not provide clear evidence that current systems can ‘uplift’ malicious actors to obtain biological pathogens more easily than could be done using the internet. However, future large-scale threats have scarcely been assessed and are hard to rule out.  • また、一部の専門家は、汎用AIが生物兵器のような兵器の開発や悪意のある使用を支援するために使用される可能性があると懸念を表明している。現在の汎用AIシステムがこのようなリスクをもたらすという強い証拠はない。例えば、現在の汎用AIシステムは、生物学に関連する能力が高まっていることを示してはいるが、利用可能な限られた研究では、現在のシステムが悪意のある行為者を「高揚」させ、インターネットを利用するよりも簡単に生物学的病原体を入手できるという明確な証拠は得られていない。しかし、将来の大規模な脅威はほとんど評価されておらず、排除することは難しい。 
Risks from malfunctions. Even when users have no intention to cause harm, serious risks can arise due to the malfunctioning of general-purpose AI. Such malfunctions can have several possible causes and consequences:  誤作動によるリスク。利用者に危害を加える意図がない場合でも、汎用AIの誤作動によって深刻なリスクが生じる可能性がある。このような誤作動には、いくつかの原因と結果が考えられる: 
• The functionality of products based on general-purpose AI models and systems might be poorly understood by their users, for example due to miscommunication or misleading advertising. This can cause harm if users then deploy the systems in unsuitable ways or for unsuitable purposes.  • 汎用のAIモデルやシステムに基づく製品の機能は、例えば誤ったコミュニケーションや誤解を招くような宣伝のために、利用者に十分に理解されない可能性がある。そのため、ユーザーが不適切な方法や不適切な目的でシステムを導入すると、弊害が生じる可能性がある。 
• Bias in AI systems generally is a well-evidenced problem and remains unsolved for generalpurpose AI, too. General-purpose AI outputs can be biased with respect to protected characteristics like race, gender, culture, age, and disability. This can create risks, including in highstakes domains such as healthcare, job recruitment, and financial lending. In addition, many widely-used general-purpose AI models are primarily trained on data that disproportionately represents Western cultures, which can increase the potential for harm to individuals not represented well by this data.  • AIシステムにおける一般的なバイアスは、十分に証明された問題であり、汎用AIにおいても未解決のままである。汎用AIの出力は、人種、性別、文化、年齢、障害などの保護特性に関して偏る可能性がある。このことは、医療、求人、金融融資など、利害関係の大きい領域を含め、リスクを生じさせる可能性がある。さらに、広く使用されている汎用AIモデルの多くは、主に西洋文化を不当に代表するデータで訓練されているため、このデータではうまく表現されない個人に危害が及ぶ可能性が高まる。 
• 'Loss of control’ scenarios are potential future scenarios in which society can no longer meaningfully constrain general-purpose AI systems, even if it becomes clear that they are causing harm. There is broad consensus that current general-purpose AI lacks the capabilities to pose this risk. Some experts believe that current efforts to develop general-purpose autonomous AI – systems that can act, plan, and pursue goals – could lead to a loss of control if successful. Experts disagree about how plausible loss-of-control scenarios are, when they might occur, and how difficult it would be to mitigate them.  • 「制御不能」シナリオとは、汎用AIシステムが害を及ぼしていることが明らかになったとしても、社会がもはや意味のある制約を与えることができないような、将来の潜在的シナリオである。現在の汎用AIには、このようなリスクを引き起こす能力が欠けているという点については、幅広いコンセンサスが得られている。一部の専門家は、汎用の自律型AI(行動し、計画を立て、目標を追求できるシステム)を開発する現在の取り組みが成功すれば、制御不能に陥る可能性があると考えている。制御不能のシナリオがどの程度確からしいか、いつ起こりうるか、それを緩和するのがどの程度難しいかについては、専門家の間でも意見が分かれている。 
Systemic risks. The widespread development and adoption of general-purpose AI technology poses several systemic risks, ranging from potential labour market impacts to privacy risks and environmental effects:  システミックリスク。汎用AI技術の広範な開発と採用は、潜在的な労働市場への影響からプライバシーリスクや環境への影響に至るまで、いくつかのシステミック・リスクをもたらす: 
• General-purpose AI, especially if it further advances rapidly, has the potential to automate a very wide range of tasks, which could have a significant effect on the labour market. This could mean many people could lose their current jobs. However, many economists expect that potential job losses could be offset, possibly completely, by the creation of new jobs and by increased demand in non-automated sectors.  • 特に汎用AIが急速に進歩すれば、非常に幅広い作業を自動化できる可能性があり、労働市場に大きな影響を与える可能性がある。これは、多くの人々が現在の仕事を失う可能性があることを意味する。しかし、多くのエコノミストは、潜在的な雇用損失は、新たな雇用の創出や非自動化分野での需要増加によって、場合によっては完全に相殺されると予想している。 
• General-purpose AI research and development is currently concentrated in a few Western countries and China. This 'AI Divide' is multicausal, but in part stems from differing levels of access to the compute needed to develop general-purpose AI. Since low-income countries and academic institutions have less access to compute than high-income countries and technology companies do, they are placed at a disadvantage.  • 汎用AIの研究開発は現在、一部の欧米諸国と中国に集中している。この「AI格差」は多因子にわたっているが、汎用AIの開発に必要な計算機へのアクセスレベルの差に起因する部分もある。低所得国や学術機関は、高所得国やテクノロジー企業に比べて計算機へのアクセスが少ないため、不利な立場に置かれている。 
• The resulting market concentration in general-purpose AI development makes societies more vulnerable to several systemic risks. For instance, the widespread use of a small number of general-purpose AI systems in critical sectors like finance or healthcare could cause simultaneous failures and disruptions on a broad scale across these interdependent sectors, for instance because of bugs or vulnerabilities.  • その結果、汎用AI開発における市場の集中は、社会をいくつかのシステミックリスクに対してより脆弱にする。例えば、金融や医療などの重要な分野で少数の汎用AIシステムが広く使用されることで、バグや脆弱性などが原因で、相互依存関係にあるこれらの分野全体で同時に大規模な障害や混乱が発生する可能性がある。 
• Growing compute use in general-purpose AI development and deployment has rapidly increased energy usage associated with general-purpose AI. This trend shows no indications of moderating, potentially leading to further increased CO2 emissions and water consumption.  • 汎用AIの開発・導入におけるコンピュート利用の拡大により、汎用AIに関連するエネルギー使用量が急速に増加している。この傾向は弱まる気配がなく、CO2 排出量と水消費量のさらなる増加につながる可能性がある。 
• General-purpose AI models or systems can pose risks to privacy. For instance, research has shown that by using adversarial inputs, users can extract training data containing information about individuals from a model. For future models trained on sensitive personal data like health or financial data, this may lead to particularly serious privacy leaks.  • 汎用のAIモデルやシステムは、プライバシーにリスクをもたらす可能性がある。例えば、敵対的な入力を使用することで、ユーザーはモデルから個人に関する情報を含むトレーニングデータを抽出できることが研究で示されている。将来、健康や金融データのようなセンシティブな個人データをトレーニングしたモデルの場合、これは特に深刻なプライバシー漏洩につながる可能性がある。 
• Potential copyright infringements in general-purpose AI development pose a challenge to traditional intellectual property laws, as well as to systems of consent, compensation, and control over data. An unclear copyright regime disincentivises general-purpose AI developers from declaring what data they use and makes it unclear what protections are afforded to creators whose work is used without their consent to train general-purpose AI models.  • 汎用AI開発における潜在的な著作権侵害は、従来の知的財産法だけでなく、同意、補償、データに対する管理体制にも課題を突きつけている。不明確な著作権制度は、汎用AI開発者がどのようなデータを使用しているかを申告する意欲を失わせ、汎用AIモデルを訓練するために同意なしに作品が使用されるクリエイターに対してどのような保護が与えられるかを不明確にしている。 
Cross-cutting risk factors. Underpinning the risks associated with general-purpose AI are several cross-cutting risk factors – characteristics of general-purpose AI that increase the probability or severity of not one but several risks:  横断的リスク要因。汎用AIに関連するリスクの根底には、いくつかの横断的なリスク要因がある。つまり、汎用AIの特性は、1つのリスクだけでなく、複数のリスクの確率や深刻度を高める: 
• Technical cross-cutting risk factors include the difficulty of ensuring that general-purpose AI systems reliably behave as intended, our lack of understanding of their inner workings, and the ongoing development of general-purpose AI ‘agents’ which can act autonomously with reduced oversight.  • 技術的な横断的リスク要因としては、汎用AIシステムが意図したとおりに確実に動作することを保証することの難しさ、AIシステムの内部構造に関する我々の理解不足、監視を減らして自律的に行動できる汎用AI「エージェント」の開発進行中などが挙げられる。 
• Societal cross-cutting risk factors include the potential disparity between the pace of technological progress and the pace of a regulatory response, as well as competitive incentives for AI developers to release products quickly, potentially at the cost of thorough risk management.  • 社会的な横断的リスク要因としては、技術進歩のペースと規制対応のペースの間に潜在的な乖離があることや、AI開発者にとって、徹底したリスク管理を犠牲にしてでも製品を迅速にリリースしようとする競争上のインセンティブがあることなどが挙げられる。 
Several technical approaches can help mitigate risks, but no currently known method provides strong assurances or guarantees against harm associated with general-purpose AI  いくつかの技術的アプローチはリスクを軽減するのに役立つが、現在知られている方法で、汎用AIに関連する危害に対する強力な保証や保証を提供できるものはない。 
While this report does not discuss policy interventions for mitigating risks from general-purpose AI, it does discuss technical risk mitigation methods on which researchers are making progress. Despite this progress, current methods have not reliably prevented even overtly harmful general-purpose AI outputs in real-world contexts. Several technical approaches are used to assess and mitigate risks:  本報告書では、汎用AIによるリスクを軽減するための政策的介入については論じないが、研究者が進歩を遂げている技術的なリスク軽減方法については論じる。このような進展にもかかわらず、現在の手法では、実世界の文脈においてあからさまに有害な汎用AIの出力さえも確実に防ぐことはできていない。リスクの評価と軽減には、いくつかの技術的アプローチが用いられている: 
• There is some progress in training general-purpose AI models to function more safely. Developers also train models to be more robust to inputs that are designed to make them fail (‘adversarial training’). Despite this, adversaries can typically find alternative inputs that reduce the effectiveness of safeguards with low to moderate effort. Limiting a general-purpose AI system’s capabilities to a specific use case can help to reduce risks from unforeseen failures or malicious use.  • 汎用のAIモデルをより安全に機能させるためのトレーニングはある程度進んでいる。開発者はまた、モデルが失敗するように設計された入力に対してより頑健になるように訓練している(「敵対的訓練」)。にもかかわらず、敵は通常、安全装置の有効性を低下させる代替入力を低~中程度の労力で見つけることができる。汎用AIシステムの能力を特定のユースケースに限定することで、予期せぬ失敗や悪意のある使用によるリスクを低減することができる。 
• There are several techniques for identifying risks, inspecting system actions, and evaluating performance once a general-purpose AI system has been deployed. These practices are often referred to as ‘monitoring’.  • 汎用AIシステムが配備された後、リスクを特定し、システムの動作を検査し、パフォーマンスを評価するための手法がいくつかある。これらの手法はしばしば「モニタリング」と呼ばれる。 
• Mitigation of bias in general-purpose AI systems can be addressed throughout the lifecycle of the system, including design, training, deployment, and usage. However, entirely preventing bias in general-purpose AI systems is challenging because it requires systematic training data collection, ongoing evaluation, and effective identification of bias. It may also require trading off fairness with other objectives such as accuracy and privacy, and deciding what is useful knowledge and what is an undesirable bias that should not be reflected in the outputs.  • 汎用AIシステムにおけるバイアスの軽減は、設計、トレーニング、配備、使用など、システムのライフサイクル全体を通じて取り組むことができる。しかし、体系的なトレーニングデータの収集、継続的な評価、バイアスの効果的な特定が必要となるため、汎用AIシステムにおけるバイアスを完全に防止することは困難である。また、精度やプライバシーなど他の目的と公平性をトレードオフし、何が有用な知識で、何が出力に反映されるべきではない望ましくないバイアスなのかを決定する必要がある場合もある。 
• Privacy protection is an active area of research and development. Simply minimising the use of sensitive personal data in training is one approach that can substantially reduce privacy risks. However, when sensitive data is either intentionally or unintentionally used, existing technical tools for reducing privacy risks struggle to scale to large general-purpose AI models, and can fail to provide users with meaningful control.  • プライバシー保護は、研究開発の活発な分野である。訓練におけるセンシティブな個人データの使用を最小限に抑えることは、プライバシーリスクを大幅に低減できるアプローチの1つである。しかし、センシティブなデータが意図的または非意図的に使用される場合、プライバシーリスクを低減するための既存の技術ツールは、大規模な汎用AIモデルへの拡張に苦戦し、ユーザーに意味のある制御を提供できない可能性がある。 
Conclusion: A wide range of general-purpose AI trajectories are possible, and much will depend on how societies and governments act  結論幅広い汎用AIの軌跡が可能であり、その多くは社会や政府がどのように行動するかにかかっている。 
The future of general-purpose AI is uncertain, with a wide range of trajectories appearing possible even in the near future, including both very positive and very negative outcomes. But nothing about the future of general-purpose AI is inevitable. How general-purpose AI gets developed and by whom, which problems it gets designed to solve, whether societies will be able to reap general-purpose AI’s full economic potential, who benefits from it, the types of risks we expose ourselves to, and how much we invest into research to mitigate risks — these and many other questions depend on the choices that societies and governments make today and in the future to shape the development of generalpurpose AI.  汎用AIの未来は不確実であり、非常にポジティブな結果も非常にネガティブな結果も含め、近い将来にも幅広い軌跡があり得ると思われる。しかし、汎用AIの未来に必然性はない。汎用AIが誰によってどのように開発されるのか、どのような問題を解決するために設計されるのか、社会は汎用AIの経済的可能性をフルに享受できるのか、誰がその恩恵を受けるのか、私たちはどのようなリスクにさらされるのか、リスクを軽減するための研究にどれだけ投資するのか--こうした疑問や他の多くの疑問は、汎用AIの開発を形成するために社会や政府が今日および将来行う選択にかかっている。 
To help facilitate constructive discussion about these decisions, this report provides an overview of the current state of scientific research and discussion on managing the risks of general-purpose AI. The stakes are high. We look forward to continuing this effort.  こうした決定に関する建設的な議論を促進するため、本報告書では、汎用AIのリスク管理に関する科学的研究と議論の現状を概観する。リスクは大きい。我々は、この取り組みを継続することを楽しみにしている。 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.23 外務省 岸田総理大臣のAIソウル・サミット首脳セッションへの参加(ビデオメッセージ)+ AIソウル・サミット首脳セッション出席国による安全、革新的で包摂的なAIのためのソウル宣言 

・2024.05.23 米国 商務省 NIST AI安全性に関する戦略的ビジョン:AI安全性研究機関の世界的協力計画を発表

・2024.05.21 英国 科学技術革新省 先進AIの安全性に関する国際科学報告書

 

 

| | Comments (0)

より以前の記事一覧