個人情報保護 / プライバシー

2022.12.04

NIST SP 1800-22 (ドラフト) モバイルデバイスセキュリティ:私物端末の持ち込み(BYOD)(2次ドラフト)

こんにちは、丸山満彦です。

NISTが、去年の3月(なので、1年9ヶ月前)にBYOD(私物端末の持ち込み)の実践ガイダンスのドラフトを公表し、意見募集をしていましたが、それを踏まえて第2ドラフトを公表し、意見募集をしています。。。

BYODは、従業員にとっては、携帯二台もちが避けられるのでメリットがありますが、

・情報技術(IT)部門の責任と複雑さの増加、

・保護されていない個人用デバイスから生じる企業のセキュリティ脅威、

・個人データのプライバシーの保護

に関する課題がありますね。。。

エグゼクティブサマリーの次の指摘はなかなか興味深いですね。。。

Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist. 企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。

 

NIST - ITL

・2022.11.29 SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft)

 

SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft) SP 1800-22 (ドラフト) モバイルデバイスセキュリティ:私物端末の持ち込み(BYOD)(2次ドラフト)
Announcement 発表
Many organizations now support their employees' use of personal mobile devices to remotely perform work-related activities. This increasingly common practice, known as Bring Your Own Device or BYOD, provides employees with increased flexibility to telework and access organizational information resources. Helping ensure that an organization's data is protected when it is accessed from personal devices, while ensuring employee privacy poses unique challenges and threats. 多くの組織では、従業員が個人所有のモバイルデバイスを使用して、業務に関連する活動をリモートで実行できるようになった。BYOD(Bring Your Own Device)と呼ばれるこの一般的な慣行は、テレワークや組織の情報リソースへのアクセスをより柔軟に行えるようにするもので、ますます普及している。しかし、個人所有のデバイスから組織のデータにアクセスする際、従業員のプライバシーを守りながらデータを保護することは、非常に困難な課題であり、脅威でもある。
The goal of the Mobile Device Security: Bring Your Own Device practice guide is to provide an example solution that helps organizations use both a standards-based approach and commercially available technologies to help meet their security and privacy needs when permitting personally-owned mobile devices to access enterprise resources.  モバイルデバイスセキュリティの目標は、「Bring Your Own Device(私物端末の持ち込み)」である。Bring Your Own Deviceの実践ガイドの目的は、標準ベースのアプローチと市販のテクノロジーの両方を使用して、個人所有のモバイルデバイスによるエンタープライズリソースへのアクセスを許可する場合に、セキュリティとプライバシーのニーズを満たすのに役立つソリューションの例を提供することである。 
This second draft includes major updates to the iOS BYOD implementation.  この第 2 ドラフトには、iOS BYOD の実装に関する大幅な更新が含まれている。 
We look forward to receiving your comments and any feedback on the following questions will be very helpful: また、以下の質問に対するご意見もお待ちしている。
Does the guide meet your needs? このガイドはあなたのニーズを満たしているか?
Can you put this solution to practice?  このソリューションを実践できるか? 
Are specific sections more/less helpful? 特定のセクションはより有用であるか/そうではありませんか?
Abstract 概要
Bring Your Own Device (BYOD) refers to the practice of performing work-related activities on personally owned devices. This practice guide provides an example solution demonstrating how to enhance security and privacy in Android and iOS smartphone BYOD deployments. BYOD(Bring Your Own Device)とは、個人所有のデバイスで業務に関連する活動を行うことを指す。この実践ガイドでは、Android および iOS スマートフォンの BYOD 導入におけるセキュリティとプライバシーを強化する方法を示すソリューションの例を示する。
Incorporating BYOD capabilities into an organization can provide greater flexibility in how employees work and increase the opportunities and methods available to access organizational resources. For some organizations, the combination of traditional in-office processes with mobile device technologies enables portable communication approaches and adaptive workflows. For others, it fosters a mobile-first approach in which their employees communicate and collaborate primarily using their mobile devices. BYOD 機能を組織に組み込むことで、従業員の働き方に柔軟性が生まれ、組織のリソースにアクセスする機会や方法が増えます。組織によっては、従来のオフィス内のプロセスとモバイル・デバイス・テクノロジーを組み合わせることで、携帯可能なコミュニケーション・アプローチと適応性のあるワークフローを実現できる。また、従業員が主にモバイルデバイスを使用してコミュニケーションやコラボレーションを行う、モバイルファーストのアプローチを促進する組織もある。
However, some of the features that make BYOD mobile devices increasingly flexible and functional also present unique security and privacy challenges to both work organizations and device owners. The unique nature of these challenges is driven by the diverse range of devices available that vary in type, age, operating system (OS), and the level of risk posed. しかし、BYODモバイル・デバイスの柔軟性と機能性を高めるいくつかの機能は、職場組織とデバイスの所有者の両方に対して、セキュリティとプライバシーに関する独自の課題を提起している。これらの課題は、種類、年齢、オペレーティング・システム(OS)、およびリスクのレベルが異なるさまざまなデバイスが利用可能であることに起因している。
Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist. 企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。
To help organizations benefit from BYOD’s flexibility while protecting themselves from many of its critical security and privacy challenges, this Practice Guide provides an example solution using standards-based, commercially available products and step-by-step implementation guidance. この実践ガイドでは、BYOD の柔軟性を活用しながら、セキュリティとプライバシーに関する多くの重要な課題から組織を保護するために、標準ベースの市販製品を使用したソリューションの例と段階的な実装ガイダンスを提供する。

 

・[PDF]  NIST SP 1800-22 2pd

20221203-103740

 

・エグゼクティブサマリー...

 

Executive Summary  要旨 
Many organizations provide employees the flexibility to use their personal mobile devices to perform work-related activities. An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise. Ensuring that an organization’s data is protected when it is accessed from personal devices poses unique challenges and threats.  多くの組織では、従業員が個人所有のモバイルデバイスを使用して業務に関連する活動を行うことができるように柔軟性を提供している。個人所有のモバイルデバイスのセキュリティが不十分な場合、組織や従業員はデータの損失やプライバシーの侵害にさらされる可能性がある。個人所有のモバイルデバイスからアクセスする際に、組織のデータを確実に保護することは、独自の課題と脅威をもたらする。
Allowing employees to use their personal mobile devices for work-related activities is commonly known as a bring your own device (BYOD) deployment. A BYOD deployment offers a convenient way to remotely access organizational resources, while avoiding the alternative of carrying both a work phone and personal phone. This NIST Cybersecurity Practice Guide demonstrates how organizations can use standards-based, commercially available products to help meet their BYOD security and privacy needs.  従業員が個人所有のモバイルデバイスを業務に使用することは、一般的にBYOD(Bring Your Own Device)と呼ばれている。BYOD を導入すると、組織のリソースにリモートでアクセスできるようになる一方で、仕事用の携帯電話と個人用の携帯電話の両方を持ち歩くという選択肢を避けることができる。この NIST サイバーセキュリティ実践ガイドは、組織が標準ベースの市販製品を使用して、BYOD のセキュリティとプライバシーのニーズを満たす方法を示している。
CHALLENGE  課題 
BYOD devices can be used interchangeably for work and personal purposes throughout the day. While flexible and convenient, BYOD can introduce challenges to an enterprise. These challenges can include additional responsibilities and complexity for information technology (IT) departments caused by supporting many types of personal mobile devices used by the employees, enterprise security threats arising from unprotected personal devices, as well as challenges protecting the privacy of employees and their personal data stored on their mobile devices.  BYOD デバイスは、1 日を通して仕事とプライベートの両方の目的で交換可能に使用されます。BYOD は柔軟で便利な反面、エンタープライズに課題をもたらす可能性がある。これらの課題には、従業員が使用する多くの種類の個人用モバイルデバイスをサポートすることによる情報技術(IT)部門の責任と複雑さの増加、保護されていない個人用デバイスから生じる企業のセキュリティ脅威、および従業員とそのモバイルデバイスに保存されている個人データのプライバシーを保護する課題などがある。
An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise. 個人用モバイルデバイスのセキュリティが不十分な場合、組織や従業員がデータ損失やプライバシー侵害にさらされる可能性がある。
SOLUTION  解決策 
The National Cybersecurity Center of Excellence (NCCoE) collaborated with the mobile community and cybersecurity technology providers to build a simulated BYOD environment. Using commercially available products, the example solution’s technologies and methodologies can enhance the security  posture of the adopting organization and help protect employee privacy and organizational information assets. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、モバイルコミュニティおよびサイバーセキュリティ技術プロバイダーと協力し、BYOD環境のシミュレーションを構築した。市販の製品を使用することで、このソリューションのテクノロジーと方法論は、採用する組織のセキュリティ姿勢を強化し、従業員のプライバシーと組織の情報資産を保護するのに役立つ。
This practice guide can help your organization:  この実践ガイドでは、以下のことを実現する。
§  protect data from being accessed by unauthorized persons when a device is stolen or misplaced § デバイスの盗難や置き忘れの際に、不正アクセスからデータを保護する。
§  reduce risk to employees through enhanced privacy protections § プライバシー保護の強化により、従業員のリスクを軽減する。
§  improve the security of mobile devices and applications by deploying mobile device technologies   § モバイルデバイス技術の導入によるモバイルデバイスとアプリケーションのセキュリティの向上  
§  reduce risks to organizational data by separating personal and work-related information from each other § 個人情報と業務関連情報を分離することによる組織データへのリスクの低減
§  enhance visibility into mobile device health to facilitate identification of device and data compromise, and permit efficient user notification  § モバイルデバイスの健全性を可視化し、デバイスとデータの侵害を特定し、ユーザーへの通知を効率的に行う。
§  leverage industry best practices to enhance mobile device security and privacy  § モバイルデバイスのセキュリティとプライバシーを強化するために、業界のベストプラクティスを活用する。
§  engage stakeholders to develop an enterprise-wide policy to inform management and employees of acceptable practices § 管理職と従業員に許容されるポリシーを伝えるため、利害関係者を巻き込んでエンタープライズ全体のポリシーを策定する。
The example solution uses technologies and security capabilities (shown below) from our project collaborators. The technologies used in the solution support security and privacy standards and guidelines including the NIST Cybersecurity Framework and NIST Privacy Framework, among others. Both iOS and Android devices are supported by this guide’s example solution.  このソリューションの例では、プロジェクトの協力者が提供するテクノロジーとセキュリティ機能(以下に示す)を使用している。このソリューションで使用されているテクノロジーは、NIST Cybersecurity FrameworkやNIST Privacy Frameworkなどのセキュリティとプライバシーの標準およびガイドラインをサポートしている。このガイドのサンプルソリューションでは、iOSとAndroidの両方のデバイスがサポートされている。
While the NCCoE used a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution. NCCoEはこの課題に対処するために一連の商用製品を使用したが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではありません。組織の情報セキュリティ専門家は、既存のツールや IT システムのインフラと最もよく統合できる製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズし、実装することもできる。
HOW TO USE THIS GUIDE  このガイドの使用方法 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割に応じて、このガイドをさまざまな方法で使用することができる。
Business decision makers, including chief information security and technology officers can use this part of the guide, NIST SP 1800-22a: Executive Summary, to understand the impetus for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  情報セキュリティおよび技術の最高責任者を含むビジネス意思決定者は、本ガイドのこの部分であるNIST SP 1800-22Aを使用できる。エグゼクティブ・サマリーは、本ガイドのきっかけ、当社が取り組むサイバーセキュリティの課題、この課題を解決するための当社のアプローチ、およびこのソリューションが組織にどのような利益をもたらすかを理解するために使用する。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use the following:  リスクを特定、理解、評価、および軽減する方法に関心のある技術、セキュリティ、およびプライバシープログラムマネージャーは、以下を利用することができる。
§  NIST SP 1800-22b: Approach, Architecture, and Security Characteristics, which describes what we built and why, the risk analysis performed, and the security/privacy control mappings.  § NIST SP 1800-22b: NIST SP 1800-22b: アプローチ、アーキテクチャ、およびセキュリティ特性。何をなぜ作ったか、実施したリスク分析、セキュリティ/プライバシー制御のマッピング。 
§  NIST SP 1800-22 Supplement: Example Scenario: Putting Guidance into Practice, which provides an example of a fictional company using this practice guide and other NIST guidance to implement a BYOD deployment with their security and privacy requirements.  § NIST SP 1800-22 Supplement。シナリオの例。この実践ガイドおよび他の NIST ガイダンスを使用して、セキュリティおよびプライバシーの要件を満たす BYOD 展開を行う架空の会社の例を示している。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-22c: How To Guides, which provides specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project.   このようなアプローチを実施したいIT専門家は、NIST SP 1800-22C: How To Guidesを利用できる。このガイドでは、実装例を構築するための具体的な製品のインストール、構成、および統合の手順が提供されており、このプロジェクトのすべてまたは一部を再現することができる。 

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.2.1 Standards and Guidance 1.2.1 標準とガイダンス
1.3 Benefits 1.3 利点
2  How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 タイポグラフィ規則
3 Approach 3 アプローチ
3.1  Audience 3.1 想定読者
3.2  Scope 3.2 対象範囲
3.3 Assumptions 3.3 前提条件
3.4 Risk Assessment 3.4 リスクアセスメント
4 Architecture 4 アーキテクチャ
4.1  Common BYOD Risks and Potential Goals to Remediate Those Risks 4.1 一般的なBYODリスクと、そのリスクを修正するための潜在的な目標
4.1.1  Threat Events 4.1.1 脅威となる事象
4.1.2  Privacy Risks 4.1.2 プライバシー・リスク
4.1.3  Security and Privacy Goals 4.1.3 セキュリティとプライバシーの目標
4.2  Example Scenario: Putting Guidance into Practice 4.2 シナリオの例:ガイダンスの実践
4.3  Technologies that Support the Security and Privacy Goals of the Example Solution 4.3 ソリューション例のセキュリティとプライバシーの目標をサポートする技術
4.3.1  Trusted Execution Environment 4.3.1 信頼された実行環境
4.3.2  Enterprise Mobility Management 4.3.2 エンタープライズモビリティ管理
4.3.3  Virtual Private Network 4.3.3 仮想プライベートネットワーク
4.3.4  Mobile Application Vetting Service 4.3.4 モバイルアプリケーション審査サービス
4.3.5  Mobile Threat Defense 4.3.5 モバイル脅威防御
4.3.6  Mobile Operating System Capabilities 4.3.6 モバイルオペレーティングシステム機能
4.4  Architecture Description 4.4 アーキテクチャの説明
4.5  Enterprise Integration of the Employees’ Personally Owned Mobile Devices 4.5 従業員の個人所有のモバイルデバイスのエンタープライズ統合
4.5.1  Microsoft Active Directory Integration 4.5.1 Microsoft Active Directoryの統合
4.5.2  Mobile Device Enrollment 4.5.2 モバイルデバイスのエンロールメント
4.6  Mobile Components Integration 4.6 モバイルコンポーネントの統合
4.6.1  Zimperium–MaaS360 4.6.1 Zimperium-MaaS360
4.6.2  Kryptowire–MaaS360 4.6.2 Kryptowire-MaaS360
4.6.3  Palo Alto Networks–MaaS360 4.6.3 パロアルトネットワークス-MaaS360
4.6.4  iOS and Android MDM Integration 4.6.4 iOSおよびAndroid MDMの統合
4.7  Privacy Settings: Mobile Device Data Processing 4.7 プライバシー設定。モバイルデバイスのデータ処理
4.7.1  EMM: MaaS360 4.7.1 EMM: MaaS360
4.7.2  MTD: Zimperium 4.7.2 MTD: Zimperium(ジンペリウム
4.7.3  Application Vetting: Kryptowire 4.7.3 アプリケーションベッティング Kryptowire
4.7.4  VPN: Palo Alto Networks 4.7.4 VPN:Palo Alto Networks(パロアルトネットワークス
5  Security and Privacy Analysis 5 セキュリティとプライバシーの分析
5.1  Analysis Assumptions and Limitations 5.1 分析の前提条件と限界
5.2  Build Testing 5.2 ビルドテスト
5.3  Scenarios and Findings 5.3 シナリオと調査結果
5.3.1  Cybersecurity Framework, Privacy Framework, and NICE Framework Work Roles Mappings 5.3.1 サイバーセキュリティフレームワーク、プライバシーフレームワーク、および NICE フレームワークの作業役割マッピング
5.3.2  Threat Events and Findings 5.3.2 脅威イベントと調査結果
5.3.3  Privacy Risk Findings 5.3.3 プライバシーリスクの調査結果
5.4  Security and Privacy Control Mappings 5.4 セキュリティとプライバシーコントロールの対応付け
6  Example Scenario: Putting Guidance into Practice 6 シナリオの例。ガイダンスの実践
7  Conclusion 7 結論
8  Future Build Considerations 8 今後の構築に関する考察
Appendix A List of Acronyms 附属書A 頭字語リスト
Appendix B Glossary 附属書B 用語集
Appendix C References 附属書C 参考文献
Appendix D Standards and Guidance 附属書D 標準とガイダンス
Appendix E Example Security Subcategory and Control Map 附属書E セキュリティサブカテゴリーとコントロールマップの例
Appendix F Example Privacy Subcategory and Control Map 附属書F プライバシーサブカテゴリーとコントロールマップの例

 

 


 

1st ドラフトの時...

まるちゃんの情報セキュリティきまぐれ日記

・2021.03.19 NIST SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) BYODのセキュリティ

 

| | Comments (0)

2022.12.03

第3期戦略的イノベーション創造プログラム(SIP:エスアイピー)についての経団連の意見...

こんにちは、丸山満彦です。

経団連が、第3期戦略的イノベーション創造プログラム (SIP) についての意見を掲載しています。。。SIPは国の将来を見据えた政策的な研究プログラムで、税金を使った(5年間で1500億円程度...)プログラムで、研究成果が社会に活きるようになるためには官民連携が重要となるわけですが、うまくいっているんでしょうか。。。

日本経済団体連合会

・2022.12.01 次期SIPに対する意見


次期SIPについては産業界からの期待も高く、研究開発への参画について関心を持つ企業も多い。ただし、実際にリソースを提供するにあたっては下記のとおりに具体的にクリアすべき課題がある。

また、社会実装を進めるにあたっては、研究開発の進展のみならず、先端技術の利活用の観点から規制緩和等の制度整備が併せて必要となることにも留意すべきである。


次のようなことで書かれています。。。

  1. 課題設定
  2. 社会実装のレベル
  3. アジャイルな運用による予算・人材の手当
  4. 民間からの人的支援
  5. 企業の利益確保
  6. スタートアップ
  7. ルール形成及び国際標準化
  8. 享受者のリテラシー向上
  9. 研究推進法人
  10. 他の政策等(PRISMなど)との整理
  11. 情報共有のあり方

 


11. 情報共有のあり方

SIPの概要と研究過程の各ステップがまとめられて明示されていると企業側の理解が深まると考えられる。具体的には、全体を把握できる概念図およびスケジュール上の各マイルストンで何を行うかが簡潔にまとめられた資料を求める。特に、RFI、PD候補の公募、研究開発責任者・実施者の公募、マッチングファンド(企業に求められる資金や工数)について説明があると、企業としてどのようなアクション・負担が求められるのかが理解しやすい。

現状ではFSの内容については概要のみ公開されている状態であり、企業としては社内で参入について検討していない段階でFSの具体的な検討内容や状況について問い合わせることは敷居が高いため、途中経過の公表を求める。併せて過去のSIPでの成果についても引き続き周知を図ることで、事業化までのイメージを持ちやすくなる。

第1期、第2期の企業出身PDがSIPを通して得た知識やスキル等の共有もお願いしたい。また、参入を前提としない企業との情報交換の場を設けるなど、既存の役割以外の関わり方の検討をお願いしたい。


 

さて、SIPのウェブページ

内閣府

戦略的イノベーション創造プログラム(SIP:エスアイピー)

第3期SIPの候補

  1. 豊かな食が提供される持続可能なフードチェーンの構築
  2. 統合型ヘルスケアシステムの構築
  3. 包摂的コミュニティプラットフォームの構築
  4. ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築
  5. 海洋安全保障プラットフォームの構築
  6. スマートエネルギーマネジメントシステムの構築
  7. サーキュラーエコノミーシステムの構築
  8. スマート防災ネットワークの構築
  9. スマートインフラマネジメントシステムの構築
  10. スマートモビリティプラットフォームの構築
  11. 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備
  12. バーチャルエコノミー拡大に向けた基盤技術・ルールの整備
  13. 先進的量子技術基盤の社会課題への応用促進
  14. AI・データの安全・安心な利活用のための基盤技術・ルールの整備
  15. マテリアルプロセスイノベーション基盤技術の整備

 

20221203-101732

課題候補 FS実施方針 検討タスクフォース 研究推進法人 コンセプト  PD候補  所属・役職 
1 豊かな食が提供される持続可能なフードチェーンの構築 PDF 豊かな食が提供される持続可能なフードチェーンの構築に係る検討タスクフォース 国立研究開発法人農業・食品産業技術総合研究機構
生物系特定産業技術研究支援センター
食料安全保障やカーボンニュートラル、高齢化社会への対応に向けて、食料の調達、生産、加工・流通、消費の各段階を通じて、豊かさを確保しつつ、生産性向上と環境負荷低減を同時に実現するフードチェーンを構築する。  松本 英三  株式会社 J-オイルミルズ 取締役常務執行役員 
2 統合型ヘルスケアシステムの構築 PDF 統合型ヘルスケアシステムの構築に係る検討タスクフォース 国立研究開発法人 医薬基盤・健康・栄養研究所 患者や消費者のニーズに対し、医療・ヘルスケア等の限られたリソースを、デジタル化や自動化技術で最大限有効かつ迅速にマッチングするシステムを構築する。  永井 良三  自治医科大学 学長 
3 包摂的コミュニティプラットフォームの構築 PDF 包摂的コミュニティプラットフォームの構築に係る検討タスクフォース 国立研究開発法人 医薬基盤・健康・栄養研究所 性別、年齢、障がいなどに関わらず、多様な人々が社会的にも精神的にも豊かで暮らしやすいコミュニティを実現するため、プライバシーを完全に保護しつつ、社会活動への主体的参加を促し、必要なサポートが得られる仕組みを構築する。  久野 譜也  筑波大学大学院人間総合科学学術院 教授 
4 ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築 PDF ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築に係る検討タスクフォース 国立研究開発法人科学技術振興機構 ポストコロナ社会に向けて、オンラインでも対面と変わらない円滑なコミュニケーションができ、地方に住んでいても大都市と変わらない教育や仕事の機会が提供され、さらに、多様な学び方、働き方が可能な社会を実現するためのプラットフォームを構築する。  西村 訓弘  三重大学大学院地域イノベーション学研究科 教授・特命副学長 
5 海洋安全保障プラットフォームの構築 PDF 海洋安全保障プラットフォームの構築に係る検討タスクフォース 国立研究開発法人海洋研究開発機構 世界有数の海洋国家である我が国にとって安全保障上重要な海洋の保全や利活用を進めるため、海洋の各種データを収集し、資源・エネルギーの確保、気候変動への対応などを推進するプラットフォームを構築する。  石井 正一  日本 CCS 調査株式会社 顧問 
6 スマートエネルギーマネジメントシステムの構築


PDF スマートエネルギーマネジメントシステムの構築に係る検討タスクフォース 国立研究開発法人科学技術振興機構 地域におけるエネルギーの生産及び利用に係る技術の更なる高度化に加え、電力利用だけでなく熱利用についても考慮する需給調整に向けたエネルギーマネジメントシステムの構築、エネルギーマネジメントシステムを支える分散型電源関連、エネルギーキャリア関連技術の確立を目指す。  浅野 浩志  東海国立大学機構岐阜大学高等研究院地方創生エネルギーシステム研究センター特任教授
一般財団法人電力中央研究所研究アドバイザー
東京工業大学科学技術創成研究院特任教授
7 サーキュラーエコノミーシステムの構築 PDF サーキュラーエコノミーシステムの構築に係る検討タスクフォース 独立行政法人環境再生保全機構 大量に使用・廃棄されるプラスチック等素材の資源循環を加速するため、原料の調達から、設計・製造段階、販売・消費、分別・回収、リサイクルの段階までのデータを統合し、サプライチェーン全体として産業競争力の向上や環境負荷を最小化するサーキュラーエコノミーシステムの構築を目指し技術開発を行うとともに、消費者の行動変容を促す環境整備も検討する。その際、脱炭素社会の実現や環境配慮が付加価値になる情報開示に関する国際的なルール形成(TCFD、TNFD等)への対応についても併せて検討を行う。  伊藤 耕三  東京大学大学院 新領域創成科学研究科 教授 
8 スマート防災ネットワークの構築 PDF スマート防災ネットワークの構築に係る検討タスクフォース 国立研究開発法人防災科学技術研究所 気候変動等に伴い災害が頻発・激甚化する中で、平時から災害に備える総合的防災対策を強化するとともに、災害時対応として、災害・被災情報をきめ細かく予測・収集・共有し、個人に応じた防災・避難支援、自治体による迅速な救助・物資提供、民間企業と連携した応急対応などを行うネットワークを構築する。  楠 浩一  東北大学大学院 工学研究科教授
9 スマートインフラマネジメントシステムの構築 PDF スマートインフラマネジメントシステムの構築に係る検討タスクフォース 国立研究開発法人土木研究所 インフラ・建築物の老朽化が進む中で、デジタルデータにより設計から施工、点検、補修まで一体的な管理を行い、持続可能で魅力ある国土・都市・地域づくりを推進するシステムを構築する。 久田 真  筑波大学 名誉教授 
10 スマートモビリティプラットフォームの構築 PDF スマートモビリティプラットフォームの構築に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 移動する人・モノの視点から、移動手段(小型モビリティ、自動運転、MaaS、ドローン等)、交通環境のハード、ソフトをダイナミックに一体化し、安全で環境に優しくシームレスな移動を実現するプラットフォームを構築する。  石田 東生  筑波大学 システム情報系 教授
筑波大学 サイバニクス研究センター 研究統括
筑波大学 未来社会工学開発研究センター センター長
11 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備 PDF 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 人の生活空間でのロボティクスの利用拡大が見込まれる中で、ドアを開ける、モノを運ぶ、階段を登るなどのタスクに応じて、マニピュレータなどの必要な機能を提供するためのハード・ソフトのプラットフォームを構築するとともに、人へのリスク評価手法などについて検討を行う。  山海 嘉之  筑波大学 システム情報系 教授
筑波大学 サイバニクス研究センター 研究統括
筑波大学 未来社会工学開発研究センター センター長
CYBERDYNE 株式会社 代表取締役社長/CEO
12 バーチャルエコノミー拡大に向けた基盤技術・ルールの整備 PDF バーチャルエコノミー拡大に向けた基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 バーチャルエコノミーが拡大する中で、バーチャル空間での個人認証・プライバシー等のルール、バーチャル空間とつなぐ技術として5感、BMI( Brain Machine Interface)の標準化、バーチャル社会の心身への影響、社会システム設計等が求められている。 GAFAMやITベンチャー等の取組が急速な中、社会制度の設計、技術標準化、セキュリティ等に官民連携で取り組む。  持丸 正明  国立研究開発法人産業技術総合研究所
人間拡張研究センター 研究センター長 
13 先進的量子技術基盤の社会課題への応用促進 - 先進的量子技術基盤の社会課題への応用促進に係る検討タスクフォース 国立研究開発法人量子科学技術研究開発機構 量子コンピュータ、量子センシング、量子セキュリティ・ネットワークと古典コンピュータ等の従来技術システムが連携・一体化したサービス実現は、我が国の産業競争力の強化・社会課題解決等に貢献することが期待されている。また、量子コンピュータの進展による現代暗号技術の危殆化に対応するため、量子暗号技術の社会実装や、量子コンピュータ・センサを接続可能とする量子ネットワークの実現が期待されている。令和4年4月目途に策定される新たな戦略を踏まえ、取り組むべき課題を具体化する。  寒川 哲臣  日本電信電話株式会社先端技術総合研究所 所長 
14 AI・データの安全・安心な利活用のための基盤技術・ルールの整備 PDF AI・データの安全・安心な利活用のための基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 AIの利活用の拡大に当たっては、データの品質と計算能力を向上させるとともに、プライバシー、セキュリティ、倫理などが課題として挙げられる。 データの安全・安心な流通を確保しつつ、様々なステークホルダーのニーズに柔軟に対応できるデータ連携基盤を構築することが期待されている。 AI戦略の見直しを踏まえ、取り組むべき課題を具体化する。  宮本 恭幸  東京工業大学工学院電気電子系 教授 
15 マテリアルプロセスイノベーション基盤技術の整備 PDF マテリアルプロセスイノベーション基盤技術の整備に係る検討タスクフォース 国立研究開発法人物質・材料研究機構 マテリアル設計、プロセス設計上のデータ、マテリアルズ・インテグレーション技術やプロセスインフォマティクス技術を適用することで、ニーズに応じた材料を迅速に開発できるイノベーション基盤技術を整備する。  木場 祥介  ユニバーサル マテリアルズ インキュベーター株式会社 代表取締役パートナー 

 

 

 

| | Comments (0)

2022.12.02

データ保護のEDPSとサイバーセキュリティのENISAが協力関係強化に関する覚書に署名

こんにちは、丸山満彦です。

データ保護のEDPSとサイバーセキュリティのENISAが協力関係強化に関する覚書に署名しましたね。。。

今まで、協力していなかったわけではないとは思いますが、より協力するということなのでしょうかね。。。

 

Edps-enisa

 

European Data Protection Supervisor: EDPS

・2022.11.30 Pairing up Cybersecurity and Data Protection efforts: EDPS and ENISA sign Memorandum of Understanding

Pairing up Cybersecurity and Data Protection efforts: EDPSand ENISA sign Memorandum of Understanding サイバーセキュリティとデータ保護の取り組みを対にする。EDPSとENISAが覚書に調印
The European Data Protection Supervisor (EDPS) and the European   Union Agency for Cybersecurity (ENISA) sign a Memorandum of Understanding (MoU) which establishes a strategic cooperation framework between them.
欧州データ保護監督機関(EDPS)と欧州連合サイバーセキュリティ機関(ENISA)は、両機関の戦略的協力体制を確立する覚書に調印した。
Both organisations agree to consider designing, developing and delivering capacity building, awareness-raising activities, as well as cooperating on policy related matters on topics of common interest, and contributing to similar activities organised by other EU institutions, bodies, offices and agencies (EUIBAs). 両組織は、能力開発、意識向上活動の設計、開発、実施を検討し、また、共通の関心事に関する政策関連事項で協力し、他のEU機関、団体、事務所、機関(EUIBAs)が組織する同様の活動に貢献することに同意する。
Wojciech Wiewiórowski, EDPS, said: “Today's MoU formalises the EDPS and ENISA's cooperation, which has been ongoing for several years. The document establishes strategic cooperation to address issues of common concern, such as cybersecurity as a way of protecting individuals’ personal data. Cybersecurity and data protection go hand in hand and are two essential allies for the protection of individuals and their rights. Privacy-enhancing technologies are a good example of this.” EDPSのWojciech Wiewiórowski氏は、次のように述べている。 「本日のMoUは、数年来続いているEDPSとENISAの協力関係を正式なものとするものです。 この文書は、個人の個人情報を保護する方法としてのサイバーセキュリティなど、共通の関心事に取り組むための戦略的な協力関係を確立するものです。サイバーセキュリティとデータ保護は手を取り合って、個人とその権利を保護するために不可欠な2つの同盟国です。プライバシーを向上させる技術は、その好例と言えるでしょう。"
Juhan Lepassaar, ENISA Executive Director, said: “The Memorandum of Understanding between EDPS and ENISA will allow us to address cybersecurity and privacy challenges in a holistic manner and assist EUIBAs in improving their preparedness." ENISA事務局長のJuhan Lepassaarは、次のように述べている。 "EDPSとENISAの覚書により、サイバーセキュリティとプライバシーの課題に総合的に取り組み、EUIBAの準備態勢を向上させることができるようになります。"
The MoU includes a strategic plan to promote the awareness of cyber hygiene, privacy and data protection amongst EUIBAs. The plan also aims to promote a joint approach to cybersecurity aspects of data protection, to adopt privacy-enhancing technologies, and to strengthen the capacities and skills of EUIBAs. MoUには、EUIBAsの間でサイバー衛生、プライバシー、データ保護に関する認識を促進するための戦略的計画が含まれている。この計画では、データ保護のサイバーセキュリティの側面に対する共同アプローチを促進し、プライバシーを強化する技術を採用し、EUIBAsの能力とスキルを強化することも目指している。

 

 

ENISA

・2022.11.30 Pairing up Cybersecurity and Data Protection Efforts: EDPS and ENISA sign Memorandum of Understanding

 

・[PDF] Memorandum of Understanding

20221202-24033

 

Memorandum of Understanding on increasing cooperation between  the European Data Protection Supervisor and the European Union Agency for Cybersecurity 欧州データ保護監督機関と欧州連合サイバーセキュリティ機関との間の協力関係強化に関する覚書
I. Preamble I. 前文
1. This document is a Memorandum of Understanding setting out the principles for increased cooperation between:  1. 本書は、両者の協力関係を強化するための原則を定めた覚書である。
• The European Data Protection Supervisor (EDPS), established by Regulation (EU) 2018/1725  of the European Parliament and of the Council , represented for the purposes of signature of this Memorandum of Understanding by the European Data Protection Supervisor, Mr Wojciech Wiewiórowski; and  - 欧州データ保護監督者(EDPS)は、欧州議会と理事会の規則(EU)2018/1725によって設立され、欧州データ保護監督者であるWojciech Wiewiórowski氏がこの覚書の署名のために代表を務めている。
• The European Union Agency for Cybersecurity (ENISA), established by Regulation (EU) 2019/881 , of the European Parliament and of the Council , represented for the purposes of signature of this Memorandum of Understanding by its Executive Director, Mr Juhan Lepassaar;  - 欧州議会及び理事会の規則(EU)2019/881により設立された欧州連合サイバーセキュリティ機関(ENISA)、その事務局長であるJuhan Lepassaar氏が本覚書の署名のために代表を務めている。
2. Under Article 52 of Regulation (EU) 2018/1725, the EDPS is the independent supervisory authority responsible, with respect to the processing of personal data, for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to data protection are respected by the Union institutions, bodies, offices and agencies.  2. 規則(EU)2018/1725の第52条に基づき、EDPSは、個人データの処理に関して、自然人の基本的権利と自由、特にデータ保護に対する権利が連合の機関、団体、事務所、機関によって尊重されることを保証する責任を負う独立監督機関である。
3. Under Title II of Regulation (EU) 2019/881, ENISA is the Union’s agency dedicated to achieving a high common level of cybersecurity across Europe. The Agency acts as a reference point for advice and expertise on cybersecurity for Union institutions, bodies, offices and agencies as well as for other relevant Union stakeholders. 3. 規則(EU)2019/881のタイトルIIに基づき、ENISAは欧州全体で高い共通レベルのサイバーセキュリティを達成することを目的とするEUの機関です。同機関は、欧州連合の機関、団体、オフィス、機関、およびその他の関連する欧州連合のステークホルダーのためのサイバーセキュリティに関する助言と専門知識の参照先として機能する。
II. Purpose II. 目的
4. This Memorandum of Understanding has been agreed in recognition of the common interest of EDPS and ENISA to cooperate more in areas of mutual interest. Building on earlier exchanges, it aims to establish, define and promote a structured cooperation in accordance with and subject to their respective statutory tasks and powers under Union law.  4. 本覚書は、EDPS と ENISA が、相互の関心領域においてより協力することに共通の関心を持っていることを認識し、合意されたものである。これまでの交流に基づき、本覚書は、EU 法に基づくそれぞれの法定任務及び権限に基づき、体系的な協力を確立し、定義し、促進することを目的とする。
5. This Memorandum of Understanding does not affect in any way the tasks and powers of the EDPS as a supervisor of the processing of personal data by ENISA as an EU Agency, nor does it affect in any way the duties of ENISA as a data controller or data processor under Regulation (EU) 2018/1725 and as an independent Agency under Regulation (EU) No 2019/881. This Memorandum of Understanding does not impact activities and duties that either party carries out under Union law. 5. 本覚書は、EU機関としてのENISAによる個人データの処理に対する監督者としてのEDPSの任務及び権限、規則(EU)2018/1725に基づくデータ管理者又はデータ処理者としてのENISAの任務、規則(EU) No 2019/881に基づく独立機関としての任務に何ら影響を与えない。本覚書は、いずれかの当事者がEU法の下で実施する活動や義務に影響を与えるものではない。
III. Strategic Cooperation III. 戦略的な協力関係
6. EDPS and ENISA agree to establish a strategic cooperation in areas of common interest with a view to addressing issues of common concern such as cybersecurity aspects of personal data protection.  6. EDPSとENISAは、個人データ保護のサイバーセキュリティの側面など、共通の関心事に対処することを目的として、共通の関心分野における戦略的協力を確立することに同意する。
7. EDPS and ENISA agree to put forward a strategic plan on promoting awareness, capacity, cyber-hygiene and privacy and data protection stand of institutions, bodies, offices and agencies of the Union. This strategic plan will aim to promote a joint approach to cybersecurity aspects of data protection as well as to the adoption of privacy enhancing technologies, and strengthen the capacities and skills of the aforementioned institutions, bodies, offices and agencies of the Union. Further element useful to establish the strategic plan are defined in Annex A. 7. EDPS及びENISAは、EUの機関、団体、事務所及び機関の意識、能力、サイバー衛生及びプライバシーとデータ保護の立場の促進に関する戦略的計画を打ち出すことに合意する。この戦略計画は、データ保護のサイバーセキュリティの側面及びプライバシー強化技術の採用に対する共同アプローチを促進し、前述の連合の機関、団体、オフィス及び機関の能力及び技能を強化することを目的とする。戦略的計画の策定に有用な更なる要素は、附属書 A に定義されている。
8. As part of the strategic plan, EDPS and ENISA agree to consider designing, developing and delivering capacity building and awareness raising activities in areas of common interest and contributing jointly to similar activities organised by other bodies. Within the scope of each activity, EDPS and ENISA will address aspects within their area of expertise.  8. 戦略計画の一環として、EDPS及びENISAは、共通の関心分野での能力向上及び意識向上 のための活動を設計、開発、実施し、他の機関が主催する同様の活動に共同で貢献することを 検討することに合意する。各活動の範囲内において、EDPS 及び ENISA は、それぞれの専門分野の側面を取り扱う。
9. EDPS and ENISA aim to meet at least once a year to review matters related to the strategic plan, to identify further areas of cooperation, and in order to exchange views on main current and forthcoming challenges for cybersecurity and privacy and data protection, including security of personal data processing and management of personal data breaches, data protection by design and by default and privacy by design, privacy enhancing technologies and privacy engineering and as well as analyses of emerging technologies, foresight methods and topic-specific assessments on the expected societal, legal, economic and regulatory impact of technological innovations. 9. EDPS及びENISAは、戦略的計画に関連する事項をレビューし、更なる協力分野を特定し、また、個人データ処理のセキュリティ及び個人データ侵害の管理、デザイン及びデフォルトによるデータ保護、デザインによるプライバシー、プライバシー強化技術及びプライバシーエンジニアリング、並びに新技術の分析、予見手法及び技術革新が予想される社会、法律、経済及び規制に与える影響のテーマ別評価等サイバーセキュリティ及びプライバシーとデータ保護に関する現在及び将来の主要課題に関して意見交換するために少なくとも年1回の会合を行うことを目標とする。
10. EDPS and ENISA agree to appoint a single contact point responsible for coordinating their cooperation and for consulting each other on a regular basis, particularly with regard to the terms of this Memorandum of Understanding.  10. EDPS及びENISAは、両者の協力の調整及び特に本覚書の条件に関する定期的な協議を担当する単一のコンタクトポイントを任命することに合意する。
11. EDPS and ENISA agree to exchange the contact details of the contact points and to inform each other without undue delay in writing of any change concerning the contact points. 11. EDPS及びENISAは、コンタクトポイントの連絡先を交換し、コンタクトポイントに関する変更 があった場合には、不当な遅延なく書面により相互に通知することに合意する。
IV. On current specific areas of cooperation IV. 現在の具体的な協力分野について
12. ENISA will in particular continue its involvement in the EDPS activities relating to supporting privacy and data protection engineering and privacy enhancing technologies such as the EDPS IPEN network, supporting the organisation of the IPEN workshops back-to-back to ENISA’s Annual Privacy Form (APF) and providing relevant contributions where appropriate. EDPS will in particular continue to support the ENISA’s APF at an appropriate level of participation and throughout a consolidated partnership for the organisation of the IPEN workshops back-to-back to ENISA’s APF. 12. ENISAは、特にEDPS IPENネットワーク等のプライバシー及びデータ保護工学及びプライバシー強化技術の支援に関連するEDPS活動への関与を継続し、ENISAの年次プライバシーフォーム(APF)に連動したIPENワークショップの開催を支援し、適切な場合には関連貢献を提供する。特にEDPSは、ENISAのAPFに適切なレベルで参加し、ENISAのAPFと連動したIPENワークショップの開催に向けた統合的なパートナーシップを通じて、ENISAのAPFを引き続き支援する。
13. EDPS and ENISA agree to inform and to exchange views with each other while preparing strategic documents such as work programmes and action plans insofar as they are relevant to the areas of cooperation identified in this Memorandum of Understanding.  13. EDPS と ENISA は、本覚書で特定された協力分野に関連する限り、作業計画や行動計画のような戦略的 文書を作成する際に、相互に情報を提供し意見交換を行うことに合意する。
14. EDPS and ENISA agree to exchange information on upcoming activities on emerging technologies of mutual concern and exchange views on forthcoming opinions and guidance of common strategic interest, as deemed relevant by the parties.  14. EDPS 及び ENISA は、両当事者が関連すると考える限り、相互に関心のある新技術に関する今後の活動に関する情報を交換し、共通の戦略的関心を有する今後の意見及び指針について意 見交換を行うことに合意する。
15. EDPS and ENISA agree to invite each other to relevant expert meetings and where appropriate collaborate in research activities.  15. EDPS 及び ENISA は、相互に関連する専門家会合に招待し、また、適切な場合には研究活動において協力することに合意する。
V. Expenses V. 費用負担
16. 16. EDPS and ENISA each bear any of their own expenses that may arise in the course of implementing this Memorandum of Understanding, unless agreed otherwise on a case-by-case basis.  16. EDPS及びENISAは、本基本合意書の実施過程で発生し得るあらゆる経費を、個別に合意された場合を除き、それぞれ負担するものとする。
VI. Confidentiality VI. 秘密保持
17. EDPS and ENISA each undertake to keep any information, document or other material communicated to them as confidential, and not to disclose such confidential material to third parties without the prior written consent of the originating Party. This is without prejudice to the obligations of ENISA and EDPS to comply with Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents.  17. EDPS及びENISAは、それぞれ、伝達された情報、文書その他の資料を機密として保持し、発信者 の書面による事前の同意なくして第三者に当該機密資料を開示しないことを約束する。これは、ENISA及びEDPSが、欧州議会、理事会及び委員会文書の一般公開に関する2001年5月30日の欧州議会及び理事会規則(EC)第1049/2001号を遵守する義務を害するもので はない。
18. EDPS and ENISA agree to respect all security measures related to the protection of EU classified information.  18. EDPS及びENISAは、EUの機密情報の保護に関する全てのセキュリティ対策を尊重することに合意する。
VII. Entry into force, duration and revision VII. 発効、継続及び改訂
19. This Memorandum of Understanding shall enter into force on the day following its signature by EDPS and ENISA.  19. 本覚書は、EDPS及びENISAによる署名の翌日に発効するものとする。
20. This Memorandum of Understanding is signed for an initial period of [five] years and may be renewed by mutual agreement between EDPS and ENISA. 20. 本覚書は、当初[5年間]締結され、EDPSとENISAの相互の合意により更新されることができる。
EDPS and ENISA may by mutual agreement at any time amend or supplement this Memorandum of Understanding. Any such amendments or supplements or terminations will be in writing.  EDPS及びENISAは、相互の合意により、いつでも本基本合意書を修正し、又は補足することができる。そのような修正若しくは補足又は終了は、書面により行われる。
 Done in Brussels on 30 November 2022  2022 年 11 月 30 日にブリュッセルで締結された。
 (signed)  (signed)  (署名) (署名)
 For ENISA   For EDPS   ENISA  EDPS 
 The Executive Director  The European Data Protection Supervisor  事務局長 The European Data Protection Supervisor
ANNEX A – Establishing the strategic plan ANNEX A - 戦略計画の策定
A.1. The strategic plan provided for in Article 7 of this MoU will aim to set and prescribe the objectives to be achieved by joint activities and synergies for the next three years in areas of common interest.  A.1. 本 MoU の第 7 条に規定される戦略的計画は、共通の関心分野における今後 3 年間の共同活動とシナ ジーによって達成されるべき目標を設定し規定することを目的とするものである。
A.2. EDPS and ENISA will meet on an annual basis in order to identify and agree on the specific activities and synergies to be undertaken. Each Party may propose a number of activities and also indicate the scope, objectives, timeframe of implementation as well as the anticipated resources that may be required by each Party for delivery of each activity.  A.2. EDPS 及び ENISA は、実施すべき具体的な活動及びシナジーを特定し合意するために、年 1 回の会合を行う。各当事者は、いくつかの活動を提案することができ、また、範囲、目的、実施時期、及び各活 動の実施のために各当事者が必要とし得る予想される資源を示すことができる。
A.3. The final activities and synergies will be agreed in writing and both Parties will mutually agree on the scope, objectives, timeframe and resources required.  A.3. 最終的な活動及びシナジーは文書で合意され,両当事者はその範囲,目的,時間枠及び必要な資源について相互に合意する。
A.4. During the planning and the execution of each activity, regular meetings may be set up in order to monitor the progress, identify risks and relevant mitigation measures.  A.4. 各活動の計画及び実行の間、進捗状況を監視し、リスク及び関連する緩和策を特定するために、定期的な会議を設定することができる。

 

 

| | Comments (0)

2022.11.30

米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)

こんにちは、丸山満彦です。

米国国防総省がゼロトラスト戦略とロードマップを公表していますね。。。

2027年に向けて。。。と言う感じですね。。。

しかし、CIOの図書館の情報はたくさんありますね。。。

 

U.S. Department of Defense - Chief Information Officer Library

・2022.11.17 [PDF] DoD Zero Trust Strategy

20221130-23312

目次...

Executive Summary エグゼクティブサマリー
Introduction 序文
Vision ビジョン
DoD Zero Trust Approach 国防総省のゼロ・トラスト・アプローチ
Strategic Assumptions 戦略的前提
Strategic Goals and Objectives 戦略的な目標と目的
Execution Approach 実行アプローチ
Summary 概要
APPENDIX A: DoD Zero Trust Capabilities (Target & Advanced Levels) 附属書 A:国防総省のゼロ・トラスト能力(目標レベル、上級レベル)
APPENDIX B: DoD Zero Trust Activities (Target & Advanced Levels) 附属書 B:国防総省のゼロ・トラスト活動(目標レベル、上級レベル)
APPENDIX C: DoD Zero Trust Capability Roadmap (by Fiscal Year) 附属書 C:国防総省のゼロ・トラスト・ケイパビリティ・ロードマップ(年度別)
APPENDIX D: DoD Zero Trust Strategic and Execution Milestones (FY2023 – FY2024) 附属書 D.国防総省のゼロ・トラスト戦略及び実行マイルストーン(2023年度~2024年度)
APPENDIX E: References 附属書 E:参考文献
APPENDIX F: Acronyms / Definitions 附属書 F:略語/定義


エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
"Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life."  「漸進的な改善では、私たちが必要とする安全保障を得ることはできない。連邦政府は、米国の生活様式を支える重要な制度を守るために、大胆な変更と大規模な投資を行う必要がある。」
— Executive Order on Improving the Nation’s Cybersecurity 12 May 2021  ・国家のサイバーセキュリティの改善に関する大統領令 2021年5月12日 
Five Years into the Future  5年後の未来へ 
The Department of Defense's (DoD) risk-based Zero Trust Framework employed across the Joint Force and the defense ecosystem protects our information systems[1] from increasingly sophisticated attacks as our adversaries seek to affect our warfighters and DoD mission success. Zero Trust principles are now integrated into each of the five cybersecurity functions that represent key elements of a successful and holistic cybersecurity program – Identify, Protect, Detect, Respond, and Recover.[2] As a result, DoD will successfully mitigate attempts to deny, degrade, disrupt, deceive, or destroy our information systems. Operators at all levels are confident that the data accessed, the assets deployed, the applications used, and the services provided are secured and resilient.  統合軍と防衛エコシステムに採用されている国防総省(DoD)のリスクベースのゼロ・トラスト・フレームワークは、敵が戦闘員と国防総省のミッションの成功に影響を与えようとする中、ますます巧妙になる攻撃から我々の情報システム[1]を保護する。ゼロ・トラストの原則は、現在、成功した全体的なサイバーセキュリティ・プログラムの重要な要素である、識別、保護、検出、対応、回復の5つのサイバーセキュリティ機能のそれぞれに統合されている。 その結果、国防省は、情報システムを拒否、劣化、混乱、欺瞞、破壊しようとする試みをうまく軽減することができるようになった。あらゆるレベルのオペレーターは、アクセスするデータ、配備された資産、使用するアプリケーション、提供するサービスが安全でレジリエンスに優れていると確信している。
Today  今日 
The Department's Information Enterprise is under wide scale and persistent attack from known and unknown malicious actors. The Department’s most consequential strategic competitor and the pacing challenge for the Department, the People’s Republic of China,[3] as well as other state-sponsored adversaries and individual malicious actors often breach the Department’s defensive perimeter and roam freely within our information systems. The Department must act now.  米国防総省の情報エンタープライズは、既知および未知の悪質な行為者から大規模かつ持続的な攻撃を受けている。米国防省にとって最も重要な戦略的競合相手であり、ペースメーカーでもある中華人民共和国[3]をはじめ、国家が支援する敵対勢力や個人の悪質な行為者が国防総省の防衛境界を突破し、情報システムの中を自由に動き回ることがよくある。国防総省は今すぐ行動を起こさなければならない。
Vulnerabilities exposed by data breaches inside and outside the Department of Defense demonstrate the need for a new, more robust cybersecurity framework that facilitates well-informed risk-based decisions.[4] Zero Trust security eliminates the traditional idea of perimeters, trusted networks, devices, personas, or processes and shifts to multi-attribute-based levels of confidence that enable authentication and authorization policies founded on the concept of least privileged access. Implementing the Zero Trust Framework requires designing a more efficient architecture that enhances security, the user experience, and overall mission performance.   国防総省内外のデータ侵害によって露呈した脆弱性は、十分な情報に基づくリスクベースの意思決定を促進する、より堅牢な新しいサイバーセキュリティの枠組みの必要性を示している[4]。ゼロトラストセキュリティは、従来の境界、信頼できるネットワーク、デバイス、人物、プロセスという考え方を排除し、最小特権アクセスの概念に基づいた認証および承認ポリシーを可能にする複数属性ベースの信頼レベルへとシフトする。Zero Trustフレームワークを導入するには、セキュリティ、ユーザーエクスペリエンス、ミッションパフォーマンス全体を向上させる、より効率的なアーキテクチャを設計する必要がある。 
Zero Trust uses continuous multi-factor authentication, micro-segmentation, advanced encryption, endpoint security, analytics, and robust auditing, among other capabilities, to fortify data,  ゼロ・トラストは、継続的な多要素認証、マイクロセグメンテーション、高度な暗号化、エンドポイントセキュリティ、分析、堅牢な監査などの機能を使って、データを強化する。
applications, assets, and services to deliver cyber resiliency. The Department is evolving to become a more agile, more mobile, cloud-supported workforce, collaborating with the entirety of DoD enterprise, including federal and non-federal organizations and mission partners working on a variety of missions. The Zero Trust Framework will reduce the attack surface, reduce risk, offer opportunities to manage the full range of risks (e.g., policy, programming, budgeting, execution, cybersecurity-specific, and others) and enable more effective data-sharing in partnership environments. It will also ensure that any adversary damage is quickly contained and remediated if a device, network, user, or credential is compromised.   データ、アプリケーション、資産、サービスを強化し、サイバーレジリエンスを実現する。国防総省は、より機敏に、よりモバイルに、クラウドをサポートする労働力となるべく進化しており、さまざまなミッションに取り組む連邦政府と非連邦政府組織、ミッションパートナーを含む国防総省エンタープライズ全体と協働している。ゼロ・トラスト・フレームワークは、攻撃対象領域を減らし、リスクを低減し、あらゆるリスク(政策、計画、予算、実行、サイバーセキュリティ特有のもの、その他)を管理する機会を提供し、パートナーシップ環境においてより効果的なデータ共有を可能にするものである。また、デバイス、ネットワーク、ユーザー、クレデンシャルが侵害された場合、敵の被害を迅速に食い止め、修復できるようにする。 
This strategy lays out the Department's vision for Zero Trust and sets a path to achieve it. It includes the strategic assumptions and principles that will inform and guide the adoption of ZT and the strategic goals and objectives. The four strategic goals outlined in this strategy are: 1. Zero Trust Culture Adoption, 2. DoD Information Systems Secured and Defended, 3. Technology Acceleration, and 4. Zero Trust Enablement. The strategy also refers to the seven DoD Zero Trust Pillars, which is the basis for the strategy's Zero Trust Capability Roadmap, a capabilities-based execution plan, and the DoD Zero Trust and Cybersecurity Reference Architectures. Finally, this strategy provides highlevel guidance on resourcing and acquisition, measurement and metrics, and governance. The appendices include strategic and execution milestones, as well as references and definitions.   この戦略では、ゼロ・トラストに対する省庁のビジョンを示し、それを達成するための道筋を定めている。この戦略には、ZT の導入に情報を提供し導く戦略的前提および原則と、戦略的目標および目的が含まれている。この戦略で概説されている4つの戦略目標は以下の通りである。1. ゼロ・トラスト文化の採用、2. DoD情報システムの安全確保と防衛、3. テクノロジーの加速、4. ゼロ・トラストの実現である。Zero Trust Enablement(ゼロ・トラストの実現)である。また、この戦略では、7つのDoD Zero Trust Pillarsに言及しており、これは、この戦略のZero Trust Capability Roadmap、能力ベースの実行計画、DoD Zero Trust and Cybersecurity Reference Architecturesの基礎になっている。最後に、この戦略は、人材調達と買収、測定とメトリック、およびガバナンスに関するハイレベルなガイダンスを提供する。附属書には、戦略および実行のマイルストーン、参考文献、定義が記載されている。 
To accelerate Zero Trust implementation within the DoD Information Enterprise, the Department must continue to examine how to streamline and enforce resource priorities to meet the requirements envisioned by this strategy. In January 2022, the DoD CIO established a Zero Trust Portfolio Management Office (PfMO) to orchestrate DoD-wide Zero Trust execution, simplify and streamline existing policies and coordinate the prioritization of resources to accelerate Zero Trust adoption within the DODIN enterprise.  国防総省の情報エンタープライズにおけるゼロ・トラストの実施を加速するために、同省は、この戦略で想定される要件を満たすために、リソースの優先順位を合理化して実施する方法を引き続き検討する必要がある。2022年1月、国防総省CIOは、国防総省全体のゼロ・トラスト実行を指揮し、既存のポリシーを簡素化して合理化し、リソースの優先順位を調整して、DODINエンタープライズ内のゼロ・トラスト導入を加速するために、ゼロ・トラスト・ポートフォリオ管理オフィス(PfMO)を設立した。
Figure 1 below depicts a concise view of the vision, goals, and objectives the Department will achieve by implementing the strategy.[5]   以下の図1は、戦略を実施することによって国防総省が達成するビジョン、目標、目的を簡潔に表したものである[5]。 
Figure 1. DoD Zero Trust Strategy-at-a-Glance  図1. DoDゼロトラスト戦略-一覧 
20221130-24246
[1] Information system includes “a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information”. See DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p. 17.   [1] 情報システムには、「情報の収集、処理、維持、使用、共有、普及、または処分のために組織された情報資源の個別の集合」が含まれる。DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p.17 を参照のこと。 
[2] See US National Institute of Standards and Technology (NIST), Special Publication 1271, Getting Started with the NIST Cybersecurity Framework: A Quick Start Guide, 6 August 2021, for descriptions of cybersecurity core functions and a set of guidelines for mitigating organizational cybersecurity risks.   [2] 米国国立標準技術研究所(NIST)、特別刊行物 1271、Getting Started with the NIST Cybersecurity Framework を参照すること。A Quick Start Guide, 6 August 2021, サイバーセキュリティの中核機能の説明と、組織のサイバーセキュリティリスクを軽減するためのガイドライン一式を参照。 
[3] Fact Sheet: 2022 National Defense Strategy, 28 March 2022.  [3] ファクトシート。2022年国家防衛戦略、2022年3月28日。
[4] Risk” refers to probability of an undesired event or condition and 2) the consequences, impact, or severity of the undesired event, were it to occur. See DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p. 3  [4] リスクとは、望ましくない事象や状態の発生確率と、2)望ましくない事象が発生した場合の結果、影響、または重大性のことである。DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p.3 を参照。
21-Oct-22 21-Oct-22
[5] See Figure 4 in this document for an outcome description of each goal and objective.  [5] 各目標と目的の成果の説明については、本書の図 4 を参照のこと。
21-Oct-22 10月21日-22日

 

プレス...

・2022.11.22 Department of Defense Releases Zero Trust Strategy and Roadmap

Department of Defense Releases Zero Trust Strategy and Roadmap 国防総省がゼロ・トラスト戦略とロードマップを発表
Today, the Department of Defense released the Department of Defense Zero Trust Strategy and Roadmap. 本日、国防総省は「国防総省のゼロ・トラスト戦略とロードマップ」を発表した。
Current and future cyber threats and attacks drive the need for a Zero Trust approach that goes beyond the traditional perimeter defense approach. The Department intends to implement distinct Zero Trust capabilities and activities as outlined in the strategy and associated Roadmap by FY27. 現在および将来のサイバー脅威と攻撃は、従来の境界防御のアプローチを超えたゼロ・トラスト・アプローチの必要性を促している。国防総省は、この戦略および関連するロードマップで説明されているように、明確なゼロ・トラスト能力と活動を27年度までに実施する意向である。
The strategy envisions a DoD Information Enterprise secured by a fully implemented, Department-wide Zero Trust cybersecurity framework that will reduce the attack surface, enable risk management and effective data-sharing in partnership environments, and quickly contain and remediate adversary activities. この戦略は、完全に実装された省全体のゼロ・トラスト・サイバーセキュリティの枠組みによって保護された国防総省の情報エンタープライズを想定しており、攻撃対象を減らし、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を迅速に抑制・是正するものである。
The strategy outlines four high-level and integrated strategic goals that define what the Department will do to achieve its vision for ZT: この戦略では、ZT のビジョンを達成するために省が何を行うかを定義する、4 つのハイレベルで統合的な戦略目標が概説されている。
•    Zero Trust Cultural Adoption – All DoD personnel are aware, understand, are trained, and committed to a Zero Trust mindset and culture and support integration of ZT. ・ゼロ・トラスト文化の採用:国防総省の全職員がゼロ・トラストの考え方と文化について認識,理解,訓練され,ZTの統合を支援する。
•    DoD information Systems Secured and Defended – Cybersecurity practices incorporate and operationalize Zero Trust in new and legacy systems.  ・国防総省の情報システムの保護と防御:サイバーセキュリティの実践により、新規およびレガシーシステムにゼロ・トラストが組み込まれ、運用される。 
•    Technology Acceleration – Technologies deploy at a pace equal to or exceeding industry advancements. ・技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。
•    Zero Trust Enablement – Department- and Component-level processes, policies, and funding are synchronized with Zero Trust principles and approaches. ・ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、および資金がゼロ・トラストの原則とアプローチに同期している。
Implementing Zero Trust will be a continuous process in the face of evolving adversary threats and new technologies. Additional Zero Trust enhancements will be incorporated in subsequent years as technology changes and our Nation's adversaries evolve.   ゼロ・トラストの導入は、進化する敵の脅威や新しい技術に直面する継続的なプロセスである。ゼロ・トラストの追加的な強化は、技術の変化や我が国の敵の進化に合わせて、次年度以降に取り入れられる予定である。 
The Department of Defense Zero Trust Strategy and Roadmap can be found at the DoD CIO library. 国防総省のゼロ・トラスト戦略とロードマップは、国防総省CIOライブラリで見ることができる。

 

・ブログ

・2022.11.28 DOD Releases Path to Cyber Security Through Zero Trust Architecture

DOD Releases Path to Cyber Security Through Zero Trust Architecture DOD、ゼロ・トラスト・アーキテクチャーによるサイバーセキュリティへの道筋を発表
The Defense Department on Tuesday released its Zero Trust Strategy and Roadmap, which spells out how it plans to move beyond traditional network security methods to achieve reduced network attack surfaces, enable risk management and effective data-sharing in partnership environments, and contain and remediate adversary activities over the next five years. 国防総省は火曜日、「ゼロ・トラスト戦略およびロードマップ」を発表した。これは、今後5年間で、従来のネットワークセキュリティ手法を越えて、ネットワーク攻撃面の削減を実現し、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を封じ込めて修復する計画について明記しているものである。
"Zero trust is a framework for moving beyond relying on perimeter-based cybersecurity defense tools alone and basically assuming that breach has occurred within our boundary and responding accordingly," David McKeown, the department's acting chief information officer, said.  「ゼロトラストは、境界ベースのサイバーセキュリティ防御ツールだけに頼るのではなく、基本的に我々の境界内で侵害が発生したと仮定し、それに応じて対応するための枠組みである」と、同省の最高情報責任者代理であるデデヴィット・マッキューン氏は述べた。
McKeown said the department has spent a year now developing the plans to get the department to a zero trust architecture by fiscal year 2027. Included in that effort was development of a Zero Trust Portfolio Management Office, which stood up earlier this year.  マッキューンは、同省が2027会計年度までにゼロ・トラスト・アーキテクチャーを実現するための計画を策定するのに1年を費やしたことを明らかにした。その努力に含まれるのが、今年初めに立ち上がったゼロトラスト・ポートフォリオ管理オフィスの開発だ。 
"With the publication of this strategy we have articulated the 'how' that can address clear outcomes of how to get to zero trust — and not only accelerated technology adoption, as discussed, but also a culture of zero trust at DOD and an integrated approach at the department and the component levels."  この戦略の発表により、我々はゼロトラストに到達するための明確な成果、つまり議論されているような技術導入の加速だけでなく、DODにおけるゼロトラストの文化や、部門およびコンポーネントレベルでの統合的アプローチに対応できる「方法」を明確にした。" 
Getting the Defense Department to reach the goals laid out in the Zero Trust Strategy and Roadmap will be an "ambitious undertaking," McKeown said.   国防総省がゼロトラスト戦略とロードマップで示された目標に到達することは、「野心的な事業」になるとマッキューン氏は述べている。 
Ensuring that work will largely be the responsibility of Randy Resnick, who serves as the director of the Zero Trust Portfolio Management Office.  その作業を確実にするのは、ゼロトラスト・ポートフォリオ管理室のディレクターを務めるランディー・レスニック氏の責任が大きい。 
"With zero trust, we are assuming that a network is already compromised," Resnick said. "And through recurring user authentication and authorization, we will thwart and frustrate an adversary from moving through a network and also quickly identify them and mitigate damage and the vulnerability they may have exploited." 「ゼロトラストでは、ネットワークがすでに侵害されていることを想定している。「そして、ユーザー認証と認可を繰り返し行うことで、敵対者がネットワークを通過するのを阻止し、挫折させるとともに、敵対者を迅速に特定し、被害や彼らが悪用した可能性のある脆弱性を軽減するのである」。
Spotlight: Engineering in the DOD スポットライト 国防総省におけるエンジニアリング
Resnick explained the difference between a zero trust architecture and security on the network today, which assumes a level of trust for anybody already inside the network.  レスニック氏は、ゼロ・トラスト・アーキテクチャーと、すでにネットワーク内にいる人をある程度信頼することを前提とした現在のネットワーク・セキュリティの違いを説明した。 
"If we compare this to our home security, we could say that we traditionally lock our windows and doors and that only those with the key can gain access," he said. "With zero trust, we have identified the items of value within the house and we place guards and locks within each one of those items inside the house. This is the level of security that we need to counter sophisticated cyber adversaries."  「これを家庭のセキュリティに例えると、従来は窓やドアに鍵をかけて、鍵を持っている人だけがアクセスできるようにしていたと言えるでしょう」と、同氏は述べた。「ゼロトラストでは、家の中にある価値あるものを特定し、その一つひとつにガードやロックを設置する。これが、高度なサイバー敵に対抗するために必要なセキュリティレベルである。」 
The Zero Trust Strategy and Roadmap outlines four high-level and integrated strategic goals that define what the department will do to achieve that level of security. These include:  ゼロトラスト戦略とロードマップは、そのレベルのセキュリティを達成するために同省が何をするかを定義する、4つのハイレベルで統合的な戦略目標の概要を示している。その内容は以下の通りである。 
Zero Trust Cultural Adoption — All DOD personnel understand and are aware, trained, and committed to a zero trust mindset and culture to support integration of zero trust.  ゼロ・トラスト文化の採用:すべてのDOD職員はゼロ・トラストの統合をサポートするために、ゼロ・トラストの考え方と文化を理解し、認識し、訓練され、コミットされる。 
DOD information Systems Secured and Defended — Cybersecurity practices incorporate and operationalize zero trust in new and legacy systems.  DOD情報システムの保護と防衛:サイバーセキュリティの実践は、新規およびレガシーシステムにゼロトラストを組み込み、運用する。 
Technology Acceleration — Technologies deploy at a pace equal to or exceeding industry advancements.  技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。 
Zero Trust Enablement — Department- and component-level processes, policies, and funding are synchronized with zero trust principles and approaches.  ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、資金が、ゼロ・トラストの原則とアプローチに同期している。 
Resnick said development of the Zero Trust Strategy and Roadmap was done in collaboration with the National Security Agency, the Defense Information Systems Agency, the Defense Manpower Data Center, U.S. Cyber Command and the military services.  レズニック氏によると、ゼロトラスト戦略とロードマップの開発は、国家安全保障局、国防情報システム局、国防人材データセンター、米サイバー司令部、軍サービスとの協力で行われたとのこと。 
The department and its partners worked together to develop a total of 45 capabilities and more than 100 activities derived from those capabilities, many of which the department and components will be expected to be involved in as part of successfully achieving baseline, or "target level" compliance with zero trust architecture within the five-year timeline, Resnick said. レスニック氏によると、同省とそのパートナーは、合計45の能力と、それらの能力から派生する100以上の活動を開発した。これらの多くは、5年間のスケジュール内でゼロトラストアーキテクチャのベースライン、つまり「目標レベル」のコンプライアンスを成功させる一環として、同省とコンポーネントが関与することが期待されるものである。
"Each capability, the 45 capabilities, resides either within what we're calling 'target,' or 'advanced' levels of zero trust," he said. "DOD zero trust target level is deemed to be the required minimum set of zero trust capability outcomes and activities necessary to secure and protect the department's data, applications, assets and services, to manage risks from all cyber threats to the Department of Defense."  各能力(45の能力)は、ゼロ・トラストの「目標」または「高度」レベルと呼ばれる範囲に存在する」と彼は言う。「DODゼロトラスト・ターゲット・レベルは、国防総省に対するあらゆるサイバー脅威のリスクを管理し、同省のデータ、アプリケーション、資産、サービスを安全に保護するために必要なゼロトラスト能力の成果および活動の必要最小限のセットと見なされる。
Across the department, every agency will be expected to comply with the target level implementation outlined in the Zero Trust Strategy and Roadmap. Only a few might be expected to achieve the more advanced level.  国防総省全体では、すべての機関がゼロ・トラスト戦略とロードマップで示された目標レベルの実施に準拠することが期待される。より高度なレベルを達成することが期待されるのは、ほんの一握りかもしれない。 
"If you're a national security system, we may require the advanced level for those systems," McKeown said. "But advanced really isn't necessary for literally every system out there. We have an aggressive goal getting to 'targeted' by 2027. And we want to encourage those who have a greater need to secure their data to adopt this advanced level."  「国家安全保障のシステムであれば、上級レベルを要求することもある」とマッキューン氏は言う。「しかし、アドバンストレベルは、文字通りすべてのシステムに対して必要なものではない。私たちは、2027年までに "Targeted "に到達するという積極的な目標を持っている。そして、データを安全に保護する必要性が高い人たちには、このアドバンスドレベルを採用するよう促したいと考えている」。 
Resnick said achieving the target level of zero trust isn't equivalent to a lower standard for network security.  レズニックは、ゼロトラストの目標レベルを達成することは、ネットワークセキュリティの基準を下げることと等価ではないと述べている。 
"We defined target as that level of ability where we're actually containing, slowing down or stopping the adversary from exploiting our networks," he said. "Compared to today, where an adversary could do an attack and then go laterally through the network, frequently under the noise floor of detection, with zero trust that's not going to be possible."  「私たちは、敵対者が私たちのネットワークを悪用するのを実際に封じ込め、減速させ、阻止する能力のレベルを目標と定義した。「敵対者が攻撃を行い、ネットワーク内を横方向に移動し、頻繁に検出のノイズフロアの下を通過することができる今日と比較すると、信頼ゼロでは、それは不可能になります。 
By 2027, Resnick said, the department will be better poised to prevent adversaries from attacking the DOD network and minimize damage if it does occur.  2027年までには、敵対者がDODネットワークを攻撃するのを防ぎ、万が一攻撃が発生しても被害を最小限に抑える態勢が整うだろうと、レズニックは述べている。 
"The target level of zero trust is going to be that ability to contain the adversary, prevent their freedom of movement, from not only going laterally but being able to even see the network, to enumerate the network, and to even try to exploit the network," he said.  「ゼロ・トラストの目標レベルは、敵対者を封じ込め、敵対者が横方向に移動するだけでなく、ネットワークを見ることも、ネットワークを列挙することも、ネットワークを悪用しようとすることもできないようにすることだ」と彼は言う。 
If later on more is needed, he said, the requirements for meeting the target level of compliance can be adjusted.  もし、後でもっと必要なものが出てくれば、目標レベルのコンプライアンスを満たすための要件を調整することができるという。 
"Target will always remain that level to which we're seeing and stopping the adversary," he said. "And for the majority of the DOD, that's really our goal." 「目標は常に、敵対者を確認し、阻止するレベルであることに変わりはありません。そして、国防総省の大部分にとって、それが我々の本当の目標なのである。」

 


 

・2022.11.15 [PDF] Zero Trust Capability Execution Roadmap

20221130-144954

 

Zero Trust Strategy Placemats

20221130-145326

 

 

・2022.07 [PDF] Department of Defense (DoD) Zero Trust Reference Architecture Version 2.0

20221130-64647

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

 

 

| | Comments (0)

2022.11.29

尼崎市 個人情報を含むUSBメモリーの紛失事案について

こんにちは、丸山満彦です。

尼崎市が契約している事業者の無断再々委託先従業員が、個人情報が入ったUSBメモリーを一時的に紛失した事案についての、尼崎市 USB メモリー紛失事案調査委員会の報告書が公表されていますね。。。

櫻庭先生が委員会のメンバーですね。。。

 

尼崎市

・2022.11.28 個人情報を含むUSBメモリーの紛失事案について

・[PDF] 尼崎市 USB メモリ―紛失事案に関する調査報告書  [downloaded]

20221129-63824

 

・尼崎市 USB メモリー紛失事案調査委員会

 ・小林 孝史(当委員会委員長) 関西大学総合情報学部准教授
 ・櫻庭 信之(当委員会委員・同委員長職務代理) 弁護士
 ・大高 利夫(当委員会委員) 藤沢市総務部情報システム課

結構、読み応えあります。。。

 

| | Comments (0)

2022.11.28

NIST サイバーセキュリティ50周年 - NISTサイバーセキュリティプログラムの歴史と年表

こんにちは、丸山満彦です。

NIST(1988年までは旧NBS)は1972年から50年にわたり、サイバーセキュリティの研究を行い、産官学のためのサイバーセキュリティ・ガイダンスを開発してきていますが、主要な研究プロジェクト、プログラム、そして最終的にはNISTのサイバーセキュリティの歴史をざっと見るための年表を公表していますね。。。

興味深いです。。。

 

NIST - NIST Cybersecurity Program History and Timeline

米国標準局 (NBS) のコンピュータ科学技術研究所が、コンピュータ セキュリティ プログラムを確立したところから始まります...

1973年11月に発行された、

・[PDF] NBS Technical Note 809 Government Looks at Privacy and Security in Computer Systems

20221127-45130

 

・[PDF] NBS Special Publication 404 Approaches to Privacy and Security in Computer Systems

20221127-45947

 

1974年には、Privacy Act of 1974

そして、1976年は、

・1976.02.15 [PDF] FIPIS PUB 39 Glossary for Computer Sysytems Security

20221127-50714

用語ですが、あまり大きな違いはないのかもしれません。。。

 

・・・と続いていきます。。。

 


古い話であれば、私のブログにも。。。最近、サイバーセキュリティ業界に入ってきたかたは過去の歴史を知ることが意外と重要かもしれないので、、、

まるちゃんの情報セキュリティ気まぐれ日記

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2006.04.25 米国 30年前のIT適用業務処理統制の項目

・2006.04.24 米国 30年前のIT全般統制の項目

 

| | Comments (0)

2022.11.27

個人情報保護委員会 第44回世界プライバシー会議(GPA)結果報告について「顔認識技術における個人情報の適切な利用に関する原則及び期待」

こんにちは、丸山満彦です。

第224回 個人情報保護委員会で、第44回世界プライバシー会議(GPA)結果報告が行われていて、「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議とその委員会による仮訳が公表されていますね。。。

個人情報保護委員会

・2022.11.16 第224回

(1) 第44回世界プライバシー会議(GPA)結果報告について

・[PDF] 資料1―1 第44回世界プライバシー会議(GPA)結果報告

・[PDF] 資料1-2 第44回世界プライバシー会議(GPA)における決議案一覧

・[PDF] 資料1-3 「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議(英語)

20221127-41354

・[PDF] 資料1-4 「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議(当委員会仮訳)

20221127-41546

 

the principles and expectations for the appropriate use of personal information in facial recognition technology
顔認識技術における個人情報の適切な利用に関する原則及び期待
1. LAWFUL BASIS 1.法的根拠
Organizations using facial recognition should have a clear lawful basis for the collection and use of biometrics.  顔認識を利用する組織は、バイオメトリクスの収集及び利用のための明確な法的根拠を持つべきである。 
2. REASONABLENESS, NECESSITY AND PROPORTIONALITY 2.合理性、必要性及び比例性
Organizations should establish, and be able to demonstrate, the reasonableness, necessity, and proportionality of their use of facial recognition technology.  組織は、顔認識技術の利用に関する合理性、必要性及び比例性を確立し、証明できるようにするべきである。
3. PROTECTION OF HUMAN RIGHTS 3.人権の保護
Organizations should in particular assess and protect against unlawful or arbitrary interference with privacy and other human rights.  組織は、特に、プライバシー及びその他の人権に対する不法な又は恣意的な干渉を評価し、保護するべきである。 
4. TRANSPARENCY 4.透明性
The use of facial recognition should be transparent to affected individuals and groups.  顔認識の利用は、影響を受ける個人及びグループに対して透明性のあるものにするべきである。 
5. ACCOUNTABILITY 5.責任
The use of facial recognition should include clear and effective accountability mechanisms.  顔認識の利用には、明確で効果的な責任メカニズムを含めるべきである。 
6. DATA PROTECTION PRINCIPLES 6.データ保護原則
The use of facial recognition should respect all data protection principles, including those referenced a 顔認識の利用は、上記で言及した原則を含む、すべてのデータ保護原則を尊重するべきである。 

 

2つ目の議題は、、、

(2) 電気通信事業法に基づく協議について

・[PDF] 資料2―1 電気通信事業法に基づく協議について

・[PDF] 資料2-2 電気通信事業法に基づく協議に対する回答(案) 

・[PDF] 参考 電気通信事業法に基づく協議に対する回答(令和4年11月16日付け個情第1972号)

・[PDF] 資料2-3 電気通信事業法施行規則改正案 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

 

 

顔認識についての記事...

・2022.11.04 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版)

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.10.03 米国 2022年顔認識法案

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.11.26

中国 パブコメ 重要情報インフラ サイバーセキュリティ対応システムフレームワーク (2022.11.17)

こんにちは、丸山満彦です。

中国の全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)、いわゆるTC260が重要情報インフラ事業者のサイバーセキュリティ対応システムフレームワークについての標準案を公表し、意見募集をしていますね。。。

データセンタ事業者や通信事業者に適用されるものだろうと思うのですが、日本の事業者にとっても参考になる部分はあるのだろうと思います。もちろん、伝統的な対策がほとんどなので、対策済みの項目がほとんどだろうとは思いますが...

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2022.11.17 关于国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》征求意见稿征求意见的通知

 

・[DOC] 信息安全技术 关键信息基础设施网络安全应急体系框架-标准文本.doc

・[PDF]

20221126-62418

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
本文件给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。 本書は、重要情報インフラに対するサイバーセキュリティ緊急対応体制について、組織の設立、分析・識別、緊急対応計画、監視・早期警戒、緊急対応、事後復旧・総括、事故報告・情報共有、緊急防護、演習・訓練などの枠組みを示したものである。
本文件适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,也可供关键信息基础设施安全保护的其他相关方参考。 本書は、重要情報インフラの運用者が、健全なサイバーセキュリティ緊急対応体制を構築し、サイバーセキュリティ緊急対応活動を行う際に適用できるとともに、重要情報インフラのセキュリティ保護に関わるその他の関係者にとっても参考となるものである。
2 规范性引用文件 2 規範となる引用文献
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 以下の文書の内容は、本文中の規範的な参照を通じて、この文書の本質的な規定を構成している。 このうち、日付のある文献については、その日付に対応するバージョンのみが本書に適用され、日付のない文献については、最新バージョン(すべての改訂シートを含む)が本書に適用される。
GB/Z 20986 信息安全技术 信息安全事件分类分级指南 GB/Z 20986 情報セキュリティ技術 情報セキュリティインシデントの分類および等級付けガイド
GB/T 25069—2022 信息安全技术 术语 GB/T 25069-2022 情報セキュリティ技術用語集
GB/T 39204—2022  信息安全技术  关键信息基础设施安全保护要求 GB/T 39204-2022 情報セキュリティ技術 重要情報インフラのセキュリティ保護に関する要求事項
GB/T AAAAA—XXXX 信息安全技术 网络安全信息共享指南 GB/T AAAAA-XXXX 情報セキュリティ技術 サイバーセキュリティに関する情報共有のためのガイドライン

 

 

目次的なもの。。。

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
2 规范性引用文件 2 規範となる引用文献
3 术语和定义 3 用語の説明と定義
3.1 关键信息基础设施  critical information infrastructure 3.1 重要情報インフラ
3.2 网络安全事件  cybersecurity incident 3.2 サイバーセキュリティインシデント
3.3 应急响应  emergency response 3.3 緊急対応
3.4 应急预案  emergency plan 3.4 緊急対応計画 
3.5 网络安全应急相关方  cybersecurity emergency relevant party 3.5 サイバーセキュリティ緊急事態関連当事者
3.6 供应链  supply chain 3.6 サプライチェーン
3.7 关键业务链  critical business chain 3.7 主要事業チェーン
4 缩略语 4 略語
5 总体架构 5 一般的なアーキテクチャ
6 机构设立 6 機関の設立
7 分析识别 7 分析・識別
8 应急预案 8 緊急対応計画
9 监测预警 9 監視と早期警告
9.1 风险发现 9.1 リスクの検出
9.2 风险分析 9.2 リスク分析
9.3 风险预警 9.3 リスク早期警告
10 应急处置 10 緊急対応
10.1 概述 10.1 概要
10.2 应急处置机制 10.2 緊急対応メカニズム
10.3 业务应急处置 10.3 業務上の緊急対応
10.4 数据应急处置 10.4 データ緊急対応
10.5 供应链应急处置 10.5 サプライチェーンでの緊急対応
11 事后恢复与总结 11 事故後の復旧と棚卸し
12 事件报告与信息共享 12 インシデント報告および情報共有
12.1 事件报告 12.1 インシデント報告
12.2 信息共享 12.2 情報共有
12.2.1 信息共享机制 12.2.1 情報共有の仕組み
12.2.2 信息共享内容 12.2.2 情報共有の内容
13 应急保障 13 緊急時のセキュリティ
13.1 基础保障 13.1 基本的なセキュリティ
13.2 协同保障 13.2 協働セキュリティ
13.3 业务保障 13.3 オペレーショナルセキュリティ
13.4 数据保障 13.4 データセキュリティ
13.5 供应链保障 13.5 サプライチェーンセキュリティ
14 演练与培训 14 演習と訓練
14.1 演练 14.1 演習
14.2 培训 14.2 訓練

 

1_20221126064301

 

図1:CIIのサイバーセキュリティ緊急対応システムフレームワークの全体アーキテクチャ

・[DOCX] 仮対訳

 


 

意見募集の一覧

全国信息安全标准化技术委员会

标准征求意见(100件単位)

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2022.05.31 中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

 

 

| | Comments (0)

2022.11.25

ENISA EUにおけるサイバーセキュリティ投資 2022

こんにちは、丸山満彦です。

ENISAがセキュリティ投資に関する報告書2022年版を公表していますね。。。

なかなか興味深いです。。。

健康セクター、エネルギーセクターについては詳細な分析をしていますね。。。そして、大企業と中小企業の比較とかも。。。

昨年に比べて、セキュリティに対する投資が減少しているようです。。。

 

ENISA

・2022.11.23 Cybersecurity Investments in the EU: Is the Money Enough to Meet the New Cybersecurity Standards?

 

Cybersecurity Investments in the EU: Is the Money Enough to Meet the New Cybersecurity Standards? EUにおけるサイバーセキュリティへの投資。新しいサイバーセキュリティ基準を満たすための資金は十分か?
The European Union Agency for Cybersecurity publishes the latest report on Network and Information Security Investments in the EU providing an insight on how the NIS Directive has impacted the cybersecurity budget of operators over the past year with deep-dives into the Energy and Health sectors. 欧州連合サイバーセキュリティ機関は、EUにおけるネットワークと情報セキュリティへの投資に関する最新報告書を発表し、NIS指令が過去1年間に事業者のサイバーセキュリティ予算に与えた影響について、エネルギーと健康分野を深く掘り下げて考察している。
The report analyses data collected from Operators of Essential Services (OES) and from Digital Service Providers (DSP) identified in the European Union's Directive on Network and Information Security Systems (NIS Directive). The analysis seeks to understand whether those operators have invested their budgets differently over the past year in order to meet the new requirements set by the legislative text. この報告書では、EUの「ネットワークおよび情報セキュリティシステムに関する指令(NIS指令)」で特定された「必須サービス事業者(OES)」と「デジタルサービス事業者(DSP)」から収集したデータを分析している。この分析では、これらの事業者が、法文で定められた新たな要件を満たすために、過去1年間に異なる形で予算を投じたかどうかを理解することを目的としている。
EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar, declared: “The resilience of our EU critical infrastructures and technologies will highly depend on our ability to make strategic investments. I am confident that we have the competence and skills driving us to achieve our goal, which is to ensure we will have the adequate resources at hand to further develop our cybersecurity capacities across all economic sectors of the EU." EUサイバーセキュリティ機関、エグゼクティブディレクターのJuhan Lepassaarは、次のように宣言している。「EUの重要なインフラと技術のレジリエンスは、戦略的な投資を行う能力に大きく依存する。私は、EUのすべての経済部門にわたってサイバーセキュリティ能力をさらに発展させるための適切なリソースを手元に確保するという目標を達成するための能力とスキルを、私たちが持っていると確信している。」
Contextual parameters framing the analysis 分析を構成する文脈的パラメータ
The report includes an analysis reaching more than 1000 operators across the 27 EU Member States. Related results show that the proportion of Information Technology (IT) budget dedicated to Information Security (IS) appears to be lower, compared to last year's findings, dropping from 7.7% to 6.7%. 本報告書には、27のEU加盟国にわたる1000以上の事業者を対象とした分析が含まれている。その結果、情報技術(IT)予算のうち情報セキュリティ(IS)に充てられる割合は、昨年の調査結果と比較して低くなっており、7.7%から6.7%に減少していることが判明した。
These numbers should be conceived as a general overview of information security spending across a varied typology of strategic sectors. Accordingly, specific macroeconomic contingencies such as COVID19 may have influenced the average results.   これらの数値は、戦略部門の様々な類型における情報セキュリティ支出の一般的な概観として理解されるべきである。したがって、COVID19のような特定のマクロ経済的偶発事象が平均結果に影響を及ぼしている可能性がある。 
What are the key findings? 重要な発見
The NIS Directive, other regulatory obligations and the threat landscape are the main factors impacting information security budgets; NIS指令、その他の規制義務、脅威の状況が、情報セキュリティ予算に影響を与える主な要因である。
Large operators invest EUR 120 000 on Cyber Threat Intelligence (CTI) compared to EUR 5 500 for SMEs, while operators with fully internal or insourced SOCs spend around EUR 350 000 on CTI, which is 72% more than the spending of operators with a hybrid SOC; 大規模事業者はサイバー脅威インテリジェンス(CTI)に12万ユーロを投資しているのに対し、中小企業は5500ユーロ、完全内部またはインソースSOCを持つ事業者はCTIに約35万ユーロを費やしており、ハイブリッドSOCを持つ事業者の支出より72%多い。
The health and banking sectors bear the heaviest cost among the critical sectors in case of major cybersecurity incidents with the median direct cost of an incident in these sectors amounting to EUR 300 000; 大規模なサイバーセキュリティインシデントが発生した場合、重要なセクターの中で最も重いコストを負担するのは医療と銀行セクターであり、これらのセクターにおけるインシデントの直接コストの中央値は30万ユーロにのぼる。
37% of Operators of Essential Services and Digital Service Providers do not operate a SOC;  重要サービス事業者とデジタルサービス事業者の37%は、SOCを運用していない。 
For 69% the majority of their information security incidents are caused by vulnerabilities in software or hardware products with the health sector declaring the higher number of such incidents; 69%の事業者が、情報セキュリティ事故の大半をソフトウェアまたはハードウェア製品の脆弱性に起因させるとしており、その件数は医療セクターが突出して多いとしている。
Cyber insurance has dropped to 13% in 2021 reaching a low 30% compared to 2020; サイバー保険は、2021年には13%に低下し、2020年と比較して30%という低い水準に達している。
Only 5% of SMEs subscribe to cyber insurance; 中小企業でサイバー保険に加入しているのはわずか5%。
86% have implemented third-party risks management policies. 86%が第三者リスクマネジメントを導入している。
Key findings of Health and Energy sectors 健康分野とエネルギー分野の主な調査結果
・Health ・健康分野
From a global perspective, investments in ICT for the health sector seem to be greatly impacted by COVID-19 with many hospitals looking for technologies to expand healthcare services to be delivered beyond the geographical boundaries of hospitals. Still, cybersecurity controls remain a top priority for spending with 55% of health operators seeking increased funding for cybersecurity tools. グローバルな視点から見ると、健康分野へのICT投資はCOVID-19の影響を大きく受けているようで、多くの病院が病院の地理的な境界を越えて提供される医療サービスを拡大するための技術を求めているようである。それでも、サイバーセキュリティ対策は依然として支出の最優先事項であり、医療事業者の55%がサイバーセキュリティ・ツールのための資金増額を求めている。
64% of health operators already resort to connected medical devices and 62% already deployed a security solution specifically for medical devices. Only 27% of surveyed OES in the sector have a dedicated ransomware defence programme and 40% of them have no security awareness programme for non-IT staff. 医療事業者の64%は、すでに接続された医療機器に頼り、62%は医療機器専用のセキュリティソリューションをすでに導入している。 この分野の調査対象OESのうち、ランサムウェア専用の防御プログラムを実施しているのは27%のみで、40%は非ITスタッフ向けのセキュリティ啓発プログラムを持っていない。
・Energy ・エネルギー
Oil and gas operators seem to prioritise cybersecurity with investments increasing at a rate of 74%.  Energy sector shows a trend in investments shifting from legacy infrastructure and data centres to cloud services. 石油・ガス事業者は、サイバーセキュリティを優先しているようで、投資額は74%の割合で増加している。 エネルギー分野では、レガシーインフラやデータセンターからクラウドサービスへと投資がシフトしている傾向が見られる。
However, 32% of operators in this sector do not have a single critical Operation Technology (OT) process monitored by a SOC. OT and IT are covered by a single SOC for 52% of OES in the energy sector. しかし、この分野の事業者の32%は、SOCによって監視されている重要なオペレーションテクノロジー(OT)プロセスを1つも持っていない。 エネルギー分野のOESの52%では、OTとITが1つのSOCでカバーされている。
Background 背景
The objective of the Directive on Security of Network and Information Systems (NIS Directive) is to achieve a high common level of cybersecurity across all Member States. ネットワークと情報システムのセキュリティに関する指令(NIS指令)の目的は、全加盟国に共通する高いレベルのサイバーセキュリティを実現することである。
One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for OES and DSP. NIS指令の3つの柱の1つは、OESとDSPに対するリスクマネジメントと報告義務の実施である。
OES provide essential services in strategic sectors of energy (electricity, oil and gas), transport (air, rail, water and road), banking, financial market infrastructures, health, drinking water supply and distribution, and digital infrastructure (Internet exchange points, domain name system service providers, top-level domain name registries). OESは、エネルギー(電力、石油、ガス)、輸送(航空、鉄道、水、道路)、銀行、金融市場インフラ、健康、飲料水の供給と配給、デジタルインフラ(インターネット交換ポイント、ドメインネームシステムサービスプロバイダ、トップレベルドメイン名レジストリ)の戦略的分野で必須サービスを提供している。
DSP operate in an online environment, namely online marketplaces, online search engines and cloud computing services. DSPはオンライン環境、すなわちオンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービスにおいて事業を展開している。
The report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. It also gives an overview of the situation in relation to such aspects as IT security staffing, cyber insurance and organisation of information security in OES and DSP. この報告書では、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査している。また、OESとDSPにおけるITセキュリティの人材配置、サイバー保険、情報セキュリティの組織といった側面に関する状況についても概要を示している。
Further information 詳細はこちら
NIS Investments – ENISA report 2022 NIS投資 - ENISA報告書2022
NIS Investments – ENISA Report 2021 NIS投資 - ENISA報告書2021
NIS Investments – ENISA Report 2020 NIS投資 - ENISA報告書2020
ENISA Topic - NIS Directive ENISA トピック - NIS 指令

 

・2022.11.23 NIS Investments 2022

NIS Investments 2022 NIS投資 2022年
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors. Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets. 本報告書は、ENISAのNIS Investments報告書の第3版であり、欧州連合のネットワークと情報システムのセキュリティに関する指令(NIS指令)で特定されたOperators of Essential Services(OES)とDigital Service Providers(DSP)が、サイバーセキュリティ予算をどのように投資し、この投資がNIS指令にどのように影響されてきたかというデータを収集したものである。さらに、グローバルなサイバーセキュリティ市場の動向を、ガートナーのセキュリティデータと世界およびEUで観測された知見を通じて紹介し、関連するダイナミクスをより深く理解できるようにしている。今年の報告書では、EU加盟全27カ国の1080のOES/DSPから収集したデータを紹介しており、前年比やトレンドの特定を可能にする履歴データセットを提供できるようになった。さらに、エネルギーと健康の分野では、分野別の深堀りが行われた。全体として、ITおよび情報セキュリティ(IS)予算や、IT予算のうちISに費やされた割合など、多くの絶対値が昨年に比べて大幅に減少しているようである。これは、調査サンプルの構成や、エネルギー・健康分野の深堀りによりOESの比率が高くなったことに加え、COVID-19が各予算に与える影響など、マクロ経済環境にも起因していると思われる。

 

・[PDF] NIS Investments 2022

20221125-35334

・[DOCX] 仮訳

 

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive)[1] invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics.  本報告書は、ENISAのNIS投資報告書の第3弾となる。本報告書では、ネットワークと情報システムのセキュリティに関する欧州連合の指令(NIS指令)[1] で特定された事業者(OES)とデジタルサービスプロバイダー(DSP)が、サイバーセキュリティ予算をどう投資し、この投資がNIS指令にどう影響されてきたかというデータを集めている。さらに、グローバルなサイバーセキュリティ市場の動向を、ガートナーのセキュリティデータとグローバルおよびEUで観測されたインサイトを通じて提示し、関連する力学の理解を深めている。 
This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors.  今年の報告書は、EU全27加盟国の1080のOES/DSPから収集したデータを掲載しており、前年比や傾向の特定が可能な履歴データセットを提供できるようになった。さらに、エネルギーと健康の分野では、セクター別のディープダイブを実施した。 
Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets.  全体として、ITや情報セキュリティ(IS)予算、IT予算のうちISに費やされた割合など、多くの絶対値が昨年と比べて著しく低くなっているようである。これは、調査サンプルの構成や、セクター別の深堀りによりエネルギー部門と健康部門のOESの割合が高くなったことに加え、COVID-19が各予算に与える影響などマクロ経済環境にも起因していると思われる。 
Other key findings of the report include:  その他の主な調査結果は以下のとおりである。 
•        The median percentage of IT budgets spent on IS is 6.7 %, 1 percentage point lower compared to last year's findings.  •       IT予算のうちISに費やす割合の中央値は6.7%で、昨年の調査結果と比べて1ポイント低くなっている。 
•        The NIS Directive and other regulatory obligations, as well as the threat landscape are the main factors influencing IS budgets.  •       NIS指令やその他の規制義務、そして脅威の状況は、IS予算に影響を与える主な要因となっている。 
•        Large operators invest significantly more on CTI compared to smaller ones with the median spend on CTI across OES/DSPs being EUR 50 000. Internal SOC capabilities seem to be very closely correlated with CTI spending, even though CTI is useful outside the context of SOC operations likely indicating the need to facilitate access to CTI for smaller operators.  •       大規模な事業者は、小規模な事業者に比べて CTI への投資が著しく多く、OES/DSP 全体の CTI への支出の中央値は 50,000 ユーロであった。内部 SOC 能力は、CTI が SOC 操作のコンテキスト以外でも有用であるにもかかわらず、CTI 支出と非常に密接な相関関係があるようで、小規模事業者が CTI にアクセスしやすくする必要があることを示しているようである。 
•        The estimated direct cost of a major security incident is EUR 200 000 on median, twice as large as last year, indicating an increase in the cost of incidents. Health and Banking remain the top two sectors in terms of incident cost.  •       大規模なセキュリティインシデントの推定直接コストは中央値で20万ユーロと、昨年の2倍となっており、インシデントのコストが増加していることがわかる。インシデントコストの上位2部門は、引き続き「医療」と「銀行」である。 
•        37% of the OESs and DSPs in the EU do not operate a dedicated SOC.  •       EUのOESとDSPの37%は、専用のSOCを運用していない。 
•        30% of OES/DSPs possessed cyber insurance in 2021, a decrease of 13% compared to 2020, with only 5% of SMEs subscribing to cyber insurance.  •       2021年にサイバー保険を保有するOES/DSPは30%で、2020年と比較して13%減少し、中小企業のサイバー保険への加入は5%にとどまった。 
•        86% of OES/DSPs have implemented third-party risks management though only 47% have a dedicated TRM budget and only 24% have a dedicated TRM role.  •       OES/DSPの86%がサードパーティリスクマネジメントを導入しているが、TRM専用の予算があるのは47%、TRM専門の役割があるのは24%に過ぎない。 
•        32% of the OESs within the Energy sector indicate that none of their critical OT processes are monitored by a SOC.  •       エネルギーセクターのOESの32%は、重要なOTプロセスのどれもがSOCによって監視されていないと回答している。 
•        Only 27% of surveyed OES in the Health sector have a dedicated ransomware defence programme and 40% of surveyed OES have no security awareness programme for non-IT staff.   •       保健医療分野の調査対象企業のうち、ランサムウェア専用の防御プログラムを実施しているのはわずか27%で、調査対象企業の40%は、IT部門以外のスタッフに対するセキュリティ啓発プログラムを実施していない。  

 

 

目次...

1. INTRODUCTION 1.はじめに
2. INFORMATION SECURITY DYNAMICS AND OUTLOOK 2.情報セキュリティーの動態と展望
2.1 TRENDS IN INFORMATION SECURITY AND SPENDING ON THREAT INTELLIGENCE 2.1 情報セキュリティの動向と脅威インテリジェンスへの支出
2.1.1 Forecast spending on Information security 2.1.1 情報セキュリティへの支出予測
2.1.2 Spending forecast on cyber threat intelligence 2.1.2 サイバー脅威インテリジェンスへの支出予測
2.2 SECTOR SPECIFIC TRENDS IN SPENDING ON TECHNOLOGY 2.2 技術への支出におけるセクター別の傾向
2.2.1 Technology investments in the Health sector 2.2.1 健康分野への技術投資
2.2.2 Technology investments in the Energy sector 2.2.2 エネルギー分野への技術投資
2.3 TOP STRATEGIC TRENDS IN CYBERSECURITY 2.3 サイバーセキュリティのトップ戦略トレンド
2.3.1 Reframing the security practice 2.3.1 セキュリティの実践をリフレーミングする
2.3.2 Rethinking technology 2.3.2 技術を再考する
2.4 THE CHANGING CYBER THREAT LANDSCAPE 2.4 変化するサイバー脅威の状況
2.4.1 Attack surface expansion 2.4.1 攻撃面の拡大
2.4.2 Identity threat detection and response (ITDR) 2.4.2 アイデンティティ脅威の検知と対応
2.4.3 Digital supply chain risks 2.4.3 デジタルサプライチェーンリスク
2.5 THE ONGOING CYBERSECURITY TALENT CRUNCH 2.5 サイバーセキュリティの人材不足が進行中
2.5.1 Leverage non-traditional labour pools and profiles 2.5.1 非伝統的な労働力とプロファイルを活用する
2.5.2 Prioritise and implement relevant technology 2.5.2 関連技術の優先順位付けと導入
2.5.3 Strengthen employee value propositions 2.5.3 従業員への価値提案の強化
2.5.4 Redesign work 2.5.4 リデザイン作業
2.6 ENISA FORESIGHT 2.6 ENISA FORESIGHT
3. INFORMATION SECURITY INVESTMENTS FOR OESs AND DSPs 3.OESおよびDSPの情報セキュリティ投資について
3.1 METHODOLOGY 3.1 方法論
3.2 SPENDING ON INFORMATION SECURITY 3.2 情報セキュリティーのための支出
3.2.1 IT spending 3.2.1 IT投資
3.2.2 IS spending 3.2.2 IS支出
3.2.3 IS spending as a share of IT spending 3.2.3 IT支出に占めるIS支出の割合
3.2.4 Cyber threat intelligence (CTI) spending 3.2.4 サイバー脅威情報(CTI)支出
3.2.5 External factors impacting cybersecurity investment strategies 3.2.5 サイバーセキュリティの投資戦略に影響を与える外部要因
3.3 INFORMATION SECURITY AND NIS STAFFING 3.3 情報セキュリティとNISの人員配置
3.3.1 IT FTEs 3.3.1 IT FTEs
3.3.2 IS FTEs 3.3.2 IS FTEs
3.3.3 IS FTE as a share of IT FTEs 3.3.3 IS FTE が IT FTE に占める割合
4. SECURITY INCIDENTS AND CYBERSECURITY CAPABILITIES 4.セキュリティインシデントとサイバーセキュリティ能力
4.1 CYBERSECURITY INCIDENTS 4.1 サイバーセキュリティのインシデント
4.2 NATURE AND COSTS OF MAJOR SECURITY INCIDENTS 4.2 重大なセキュリティインシデントの性質とコスト
4.3 SECURITY OPERATIONS CENTRES (SOC) 4.3 セキュリティオペレーションセンター(Soc)
4.4 PATCHING 4.4 パッチング
4.5 CYBER INSURANCE 4.5 サイバー保険
4.6 VULNERABILITY MANAGEMENT 4.6 脆弱性の管理
4.7 CYBERSECURITY SKILLS 4.7 サイバーセキュリティのスキル
5. SUPPLY-CHAIN SECURITY 5.サプライチェーンセキュリティ
5.1 THIRD-PARTY RISK MANAGEMENT (TRM) POLICIES 5.1 第三者リスク管理(TRM)方針
5.2 TRM BUDGET 5.2 TRM 予算
5.3 TRM ROLES AND RESPONSIBILITIES 5.3 TRM の役割と責任
5.4 RISK MITIGATING TECHNIQUES 5.4 リスク軽減のための技術
5.5 EUROPEAN CYBERSECURITY REQUIREMENTS 5.5 欧州のサイバーセキュリティ要件
6. SECTORAL ANALYSIS: ENERGY 6.セクター別分析:エネルギー
6.1 DEMOGRAPHICS OF A SECTORIAL DEEP DIVE 6.1 セクター別ディープダイブのデモグラフィック
6.2 INVESTMENT AND STAFFING INFORMATION 6.2 投資と人材に関する情報
6.3 CERTIFICATION SCHEMES 6.3 認証スキーム
6.4 OPERATIONAL TECHNOLOGY (OT) SECURITY 6.4 オペレーショナルテクノロジー(OT)セキュリティ
6.5 CYBERSECURITY CERTIFICATION 6.5 サイバーセキュリティ認証
7. SECTORAL ANALYSIS: HEALTH 7.セクター別分析:健康
7.1 DEMOGRAPHICS OF A SECTORIAL DEEP DIVE 7.1 セクター別ディープダイブのデモグラフィック
7.2 INVESTMENT AND STAFFING INFORMATION 7.2 投資と人材に関する情報
7.3 CONNECTED MEDICAL DEVICES AND CLOUD PLATFORMS IN HEALTH 7.3 健康におけるコネクテッド・メディカル・デバイスとクラウド・プラットフォーム
7.4 MEDICAL DEVICES SECURITY 7.4 医療機器のセキュリティ
7.5 RANSOMWARE DEFENCE AND AWARENESS TRAINING 7.5 ランサムウェアの防御と意識向上トレーニング
7.6 CYBERSECURITY CERTIFICATION 7.6 サイバーセキュリティ認証
8. SME VS LARGE ENTERPRISES 8.SMEと大企業の比較
8.1 SME AND LE DISTRIBUTION BY MEMBER STATE AND SECTOR 8.1 加盟国・セクター別のSMEとLEの分布
8.2 IS SPEND AS A SHARE OF IT SPEND FOR SMEs AND LEs 8.2 中小企業および大企業の IT 投資に占める IS 支出の割合
8.3 CTI SPENDING FOR SMEs AND LEs 8.3 中小企業および大企業に対する CTI 支出
8.4 IS FTEs AS A SHARE OF IT FTEs FOR SMEs AND LEs 8.4 中小企業および大企業のITスタッフに占めるIS FTEsの割合
8.5 SOC CAPABILITIES FOR SMEs AND LEs 8.5 中小企業および LE の社会的能力
8.6 SHARE OF ASSETS VISIBILITY FOR PATCHING FOR SMEs AND LEs 8.6 中小企業および大企業のパッチ適用における資産可視化の割合
8.7 AVERAGE TIME TO PATCH CRITICAL VULNERABILITIES IN IT ASSETS FOR SMEs AND LEs 8.7 中小企業および大企業の IT 資産における重大な脆弱性の修正に要する平均時間
8.8 CYBER INSURANCE FOR SMEs AND LEs 8.8 中小企業および LE のためのサイバー保険
8.9 VULNERABILITY MANAGEMENT FOR SMEs AND LEs 8.9 中小企業および大企業の脆弱性管理
8.10 THIRD PARTY RISK MANAGEMENT (TRM) POLICIES FOR SMEs AND LEs 8.10 中小企業及び大企業の第三者リスク管理(TRM)方針
8.11 CYBERSECURITY SKILLS FOR SMEs AND LEs 8.11 中小企業および LE のためのサイバーセキュリティ・スキル
8.12 EUROPEAN CYBERSECURITY REQUIREMENTS FOR SMEs AND LEs 8.12 中小企業及び大企業に対する欧州のサイバーセキュリティ要求事項
9. CONCLUSIONS 9.結論
A ANNEX: NIS DIRECTIVE SURVEY DEMOGRAPHICS A 附属書:NIS ディレクティブ調査人口統計データ
B ANNEX: DEFINITIONS B 附属書:定義
B.1 MEDIAN AND AVERAGE DEFINITIONS B.1 中央値および平均値の定義
B.2 CAGR DEFINITION B.2 CAGRの定義
B.3 SME DEFINITION B.3 SME の定義
C ANNEX: ACRONYMS C 附属書:頭字語

 

参考...

 

OESとDSP

Operators of Essential Services (OES)  基幹サービス事業者 (OES)
•        Energy (electricity, oil and gas)  ・エネルギー(電気,石油,ガス)
•        Transport (air, rail, water and road)  ・輸送(航空, 鉄道, 海上, 道路)
•        Banking  ・銀行
•        Financial market infrastructures  ・金融市場インフラストラクチャー
•        Health  ・医療機関
•        Drinking water supply and distribution  ・飲料水の供給と配給
•        Digital infrastructure  ・デジタルインフラ
Digital Service Providers (DSP) デジタルサービスプロバイダ (DSP)
•        Online marketplace  ・オンライン・マーケットプレイス
•        Online search engine  ・オンライン検索エンジン
•        Cloud computing service  ・クラウドコンピューティングサービス

 

 

 


昨年の...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

 

 

 

| | Comments (0)

欧州データ保護委員会 パブコメ コントローラ用 拘束的企業準則 (BCR-C) (2022.11.15)

こんにちは、丸山満彦です。

欧州データ保護委員会がコントローラ用拘束的企業準則 (BCR-C) を公開し、意見募集をしていますね。。。既存のガイダンスをCJEUのSchrems II判決の要件に一致させるための改訂という感じですね。。。

日本では、IIJがBCRを活用していますね。。。

 

European Data Protection Board: EDPB

・2022.11.15 EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules

EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules EDPB、承認申請とコントローラ用 拘束的企業準則の要素および原則に関する勧告を採択
During its November plenary, the EDPB adopted Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules (BCR-C). These recommendations form an update of the existing BCR-C referential, which contain criteria for BCR-C approval, and merge it with the standard application form for BCR-C. The new recommendations build upon the agreements reached by data protection authorities in the course of approval procedures on concrete BCR applications since the entering into application of the GDPR. The recommendations provide additional guidance and aim to ensure a level playing field for all BCR applicants. The recommendations also bring the existing guidance in line with the requirements in the CJEU’s Schrems II ruling. EDPBは、11月の総会において、コントローラ用 拘束的企業準則 (BCR-C)の承認申請および要素・原則に関する勧告を採択した。この勧告は、BCR-C承認のための基準を含む既存のBCR-Cリファレンスを更新し、BCR-Cの標準申請書と統合するものである。この新しい勧告は、GDPRの適用開始以来、具体的なBCR申請に関する承認手続きの過程でデータ保護当局が達成した合意に基づいている。この勧告は、追加のガイダンスを提供し、すべてのBCR申請者に公平な競争の場を保証することを目的としている。また、この勧告は、既存のガイダンスをCJEUのSchrems II判決の要件に一致させるものである。
BCR-Cs are a transfer tool that can be used by a group of undertakings or enterprises, engaged in a joint economic activity, to transfer personal data outside the European Economic Area to controllers or processors within the same group. BCRs create enforceable rights and set out commitments to establish a level of data protection essentially equivalent to the one provided by the GDPR. BCR-Cは、共同経済活動を行う企業グループが、欧州経済領域外の個人データを同じグループ内の管理者または処理者に移転するために使用できる移転手段である。BCRは、強制力のある権利を創出し、GDPRが提供するものと本質的に同等のデータ保護レベルを確立するためのコミットメントを定めている。
The aim of these recommendations is to: 本勧告の目的は、以下のとおりである。
・provide an updated standard application form for the approval of BCR-Cs; ・BCR-Cの承認のための標準的な申請書の更新を提供する。
・clarify the necessary content of BCR-Cs and provide further explanation; ・BCR-Cの必要な内容を明確にし、さらなる説明を提供する。
・make a distinction between what must be included in a BCR-C and what must be presented to the BCR lead data protection authority in the BCR application; ・BCR-Cに含まれなければならないものと、BCR申請においてBCRリードデータ保護当局に提示しなければならないものを区別する。
A second set of recommendations for BCR-processors is currently being developed. プロセッサー用BCRに対する第2の勧告は、現在策定中である。
The recommendations will be subject to public consultation until 10 January 2023 勧告は、2023年1月10日まで公開協議の対象となる予定である。

 

・2022.11.17 Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) 承認申請に関する勧告1/2022、及びコントローラー用拘束的企業準則(GDPR第47条)に見出されるべき要素及び原則に関する勧告
The European Data Protection Board welcomes comments on the Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR). 欧州データ保護委員会は、承認申請に関する勧告1/2022およびコントローラー拘束力のある企業規則(GDPR第47条)に見出される要素および原則に関するコメントを歓迎する。
Such comments should be sent 10th January 2023 at the latest using the provided form. このようなコメントは、遅くとも2023年1月10日までに、所定のフォームを使用して送信すること。
Please note that, by submitting your comments, you acknowledge that your comments might be published on the EDPB website. なお、コメントを送信することにより、あなたのコメントがEDPBのウェブサイトに掲載される可能性があることを了承したものとみなされる。
The EDPB Secretariat staff screens all replies provided before publication (only for the purpose of blocking unauthorised submissions, such as spam), after which the replies are made available to the public directly on the EDPB public consultations’ page. Unauthorised submissions are immediately deleted. The attached files are not altered in any way by the EDPB. EDPB事務局では公開前に全ての返信を審査し(スパムなど不正な投稿をブロックする目的のみ)、その後EDPB公開協議のページで直接公開される。無許可の投稿は直ちに削除されます。添付されたファイルは、EDPBによって一切変更されない。
Please, note that regardless the option chosen, your contribution may be subject to a request for access to documents under Regulation 1049/2001 on public access to European Parliament, Council and Commission documents. In this case the request will be assessed against the conditions set out in the Regulation and in accordance with applicable data protection rules. なお、どのオプションを選択したかにかかわらず、あなたの投稿は、欧州議会、理事会、欧州委員会の文書への一般アクセスに関する規則1049/2001に基づく文書アクセス要求の対象となる可能性があることを了承すること。この場合、要求は同規則に規定された条件と、適用されるデータ保護規則に従って評価される。
All legal details can be found in our Specific Privacy Statement (SPS). すべての法的な詳細は、当社の特定個人情報保護方針(SPS)に記載されている。

 

・2022.11.17 [PDF] Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

20221125-10958

・[DOCX] 仮訳

 

 

| | Comments (0)

より以前の記事一覧