クラウド

2022.06.29

メタバースのシステム構成論(佐藤一郎教授の資料 at 総務省 情報通信法学研究会AI分科会(令和4年度第1回会合))

こんにちは、丸山満彦です。

昨日は、欧州議会のThink Tankによるメタバース:機会、リスク、政策への影響について載せましたが、今日は総務省情報通信法学研究会AI分科会(令和4年度第1回会合)の佐藤一郎教授(構成員)のメタバースのシステム構成論です。。。

技術進歩とともに、できることが増えることにより、その結果は良い面にも悪い面にも影響を及ぼす、だからどのような政策が必要かというのが昨日の話ですが、そもそも技術の限界はどのようなものかというのが、今回の佐藤先生の資料から見えてくる部分もあるように思います。

これは読む価値があると思います。。。

個人的には、技術進歩により変わってきている一つの要素に没入感があると思います。演算速度、通信速度が高まり、現実に近い画像解像度、音質を3D的に表現しつつ他人とインタラクティブにコミュニケーションができるようになったきたということですね。。。(と言っても、視覚と聴覚だけですが。。。)

それ以外は既に歴史を振り返って検証すればわかることが多いのではないかと思っています。。。(それも佐藤先生の資料にありますが、、、)

そういう意味では、健康や心理的な側面の検討をより進める必要があるのかもしれません。。。

そして当面は、仮想社会ができても、現実社会との紐付けからは逃れられないようにする必要があるようのではないかと思います。つまり、KYC的なものは必要ということになると思います。。。(人類が仮想空間で過ごす時間が現実空間で過ごす時間より増えても、KYC的なものが必要なのは変わらないのであれば、常に必要ということかもしれない。)

ということで、当面の利用は、少人数による管理された環境下(例えば企業内でのコミュニケーション、会員間でのゲームやシミュレーション等)で使われるのが現実的なのかもしれません。。。

とはいえ、プラットフォーマの手数料も含めたシステム開発費、運用費の負担に比した利用のメリットがどれだけあるのか???ということを現実的に突き詰めていく頃には、どのようなものが残っているのかというのは興味があります。。。(もちろん、技術進歩により、同じ性能における開発費や運用費も下がっていくでしょうし。。。)

 

総務省  - 情報通信法学研究会 Fig1_20220629050001

・2022.06.29 情報通信法学研究会AI分科会(令和4年度第1回会合) 

[PDF] 資料1         佐藤構成員発表資料

20220629-45813


[PDF] 資料2         成原構成員解説資料
[PDF] 参考資料1 情報通信法学研究会開催要綱
[PDF] 参考資料2 情報通信法学研究会分科会構成
[PDF] 参考資料3 学術雑誌『情報通信政策研究』第6巻第1号の特集について


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2022.06.09 新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針2022

 

 

| | Comments (0)

2022.06.28

JIPDEC 将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~

こんにちは、丸山満彦です。

一般財団法人 日本情報経済社会推進協会 (JIPDEC) が、情報セキュリティ対策を行うためのエッセンスを紹介したガイドブック「将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~」を新たにまとめ、発行していますね。。。

12ページでコンパクトにまとめられているということですかね。。。

主なポイントは以下のとおりとのことです。。。



■ テレワークによる職場環境やクラウドサービス活用を含むシステム変更等によって変化するリスクにどう対応するかを解説
■ 情報セキュリティにおけるガバナンスの重要性を解説
■ デジタルトランスフォーメーション(DX)推進に即したセキュリティ対策の考え方を紹介


 

● JIPDEC

・2022.06.27 JIPDEC クラウドサービス提供&利用のリスク対応を解説したガイドブックを発行 - 今、そして将来の脅威にどう対応する?ISO規格をもとにISMS構築のエッセンスを解説!

・[PDF] 将来の脅威に対応できるISMS 構築のエッセンス ~クラウドセキュリティに役立つISO 規格~ 

20220628-51355

 

目次...

1 はじめに
2
目的に沿った運用にするには
 2.1
ガバナンス
 2.2
リスクマネジメント
 2.3
運用時の注意事項
3
効果的な仕組みづくりのために ~ISMS 適合性評価制度の活用~
4
おわりに


 

 

| | Comments (0)

2022.06.27

ドイツ BSI TR-03161 ヘルスケア分野でのアプリケーション等に対するセキュリティ要求事項

こんにちは、丸山満彦です。

ドイツが、ヘルスケア分野のアプリケーションについてのセキュリティ要求事項を「モバイルアプリケーション (TR-03161-1)」 、「ウェブアプリケーション (TR-03161-2)」 、「バックグラウンドシステム (TR-03161-3)」に分けて公表していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

プレス...

・2022.06.23 Bundesamt für Sicherheit in der Informationstechnik BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen

BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen BSI、デジタルヘルス・アプリケーションのセキュリティに関する技術指針を発表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsanforderungen an Anwendungen im Gesundheitswesen veröffentlicht. Im Rahmen unterschiedlicher explorativer Projekte konnte das BSI in den letzten Jahren Erkenntnisse über den aktuellen Stand der IT-Sicherheit im Gesundheitswesen gewinnen. Um Herstellern und Betreibern mit präventiven Maßnahmen weitere Hilfestellungen geben zu können, wurden Sicherheitsanforderungen für unterschiedliche Teilbereiche von Anwendungen im Gesundheitswesen verfasst. Die Technische Richtlinie (TR) umfasst in mehreren Teilen Anforderungen an mobile Anwendungen (TR-03161-1), Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3). ドイツ連邦情報セキュリティ局 (BSI) は、ヘルスケア分野のアプリケーションに対するセキュリティ要件を発表しました。BSIは、さまざまな探索的プロジェクトの枠組みの中で、近年のヘルスケア分野におけるITセキュリティの現状について知見を得ることができました。メーカーやオペレーターに予防策を提供できるよう、ヘルスケア分野のさまざまなアプリケーションのサブエリアについて、セキュリティ要件が作成されています。本技術指針は、モバイルアプリケーション (TR-03161-1) 、ウェブアプリケーション (TR-03161-2) 、バックグラウンドシステム (TR-03161-3) の要件をいくつかのパートに分けて構成しています。
Die Anforderungen basieren auf dem aktuellen Stand der Technik im Gesundheitswesen und den Erkenntnissen aus unterschiedlichen Projekten des BSI. Darüber hinaus repräsentieren sie aus Sicht des BSI das Ergebnis eines regelmäßigen Austauschs mit der Industrie sowie der Beteiligung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Unter Berücksichtigung der stark fortschreitenden Digitalisierung im Gesundheitswesen und des sich wandelnden Standes der Technik, pflegt das BSI weiterhin einen regelmäßigen Austausch mit Vertretern der Industrie und den zuständigen Behörden. Die sich hieraus ergebenden Erkenntnisse werden im Rahmen einer jährlichen Evaluierung der TR berücksichtigt und in Form von Anpassungen und Erweiterungen mit aufgenommen. 要件は、ヘルスケアにおける現状と、BSIのさまざまなプロジェクトで得られた知見に基づいています。さらに、BSIの観点からは、産業界との定期的な交流や、連邦医薬品・医療機器研究所 (BfArM) 、連邦データ保護・情報自由委員会 (BfDI) の関与の結果であると言えるでしょう。BSIは、急速に進むヘルスケア分野のデジタル化とその状況の変化を考慮し、産業界や所轄官庁の代表者と定期的な交流を続けています。その結果得られた知見は、毎年行われるTRの評価で考慮され、適応や拡張の形で盛り込まれます。
Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an. 記載されたセキュリティ要件に適合していることを証明するために、BSI は TR に従った認証手続きを提供します。
Digitale Gesundheitsanwendungen (DiGA) nach § 33 a SGB V und digitale Pflegeanwendungen (DiPA) nach § 40 a SGB XI können grundsätzlich als Anwendungen im Gesundheitswesen gewertet werden. Eine Anerkennung der Zertifizierung nach TR für DiGA in Bezug auf § 139 e Absatz 10 SGB V und DiPA in Bezug auf § 78 a SGB XI Absatz 7 als Nachweis der einzuhaltenden Sicherheitsanforderungen obliegt dem BfArM. 33 a SGB Vによるデジタルヘルスアプリケーション (DiGA) と40 a SGB XIによるデジタルケアアプリケーション (DiPA) は、基本的にヘルスケア分野におけるアプリケーションとして評価することができる。満たすべき安全要件の証明として、SGB V §139 e 10 項に関する DiGA および SGB XI §78 a 7 項に関する DiPA の TR による認証の承認は、BfArM の責任です。

 

 

・2022.06.23 BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen BSI TR-03161 ヘルスケア分野でのアプリケーションに対する要求事項
Gegenstand der Technischen Richtlinie 技術指針の対象
Nach Einschätzung des Bundesministeriums für Gesundheit stehen die Gesundheitssysteme der westlichen Welt vor großen Herausforderungen. Es gilt immer mehr ältere und chronisch kranke Menschen zu behandeln, teure medizinische Innovationen zu bezahlen und strukturschwache ländliche Gebiete medizinisch zu versorgen [BMG-EHI]. Anwendungen im Gesundheitswesen können helfen, solche und andere Herausforderungen besser zu lösen. Sie haben das allgemeine Ziel bei „der Behandlung und Betreuung von Patientinnen und Patienten“ zu unterstützen und ,,die Möglichkeiten [zu] nutzen, die moderne Informations- und Kommunikationstechnologien (IKT) bieten“ [BMG-EH]. 連邦保健省によると、欧米の医療制度は大きな課題に直面しています。高齢者や慢性疾患患者が増え、高価な医療技術革新に費用がかかり、構造的に弱い地方に医療を提供しなければならないのです[BMG-EHI]。ヘルスケア・アプリケーションは、このような課題をよりよく解決するために役立ちます。これらは、「患者の治療とケア」を支援し、「現代の情報通信技術 (ICT) が提供する可能性を利用する」ことを一般的な目的としています[BMG-EH]。
Die Familie von Technische Richtlinien (TR) richtet sich an Hersteller von Anwendungen im Gesundheitswesen. Zusätzlich kann sie als Richtlinie für Anwendungen betrachtet werden, welche sensible Daten verarbeiten oder speichern. 技術ガイドライン (TR) ファミリーは、ヘルスケア分野のアプリケーションメーカーを対象としています。また、機密性の高いデータを処理・保管するアプリケーションのガイドラインとしても考慮できる。
Zielsetzung der Technischen Richtlinie 技術指針の目的
Die Digitalisierung aller Lebensbereiche, sei es im Beruf, in Heimumgebungen, im Individual- oder im öffentlichen Personenverkehr, schreitet stetig voran. Bereits im Jahr 2018 überschritt die Anzahl der Internetnutzer die Grenze von vier Milliarden Menschen. Zwei Drittel der zurzeit 7,6 Milliarden Menschen zählenden Weltbevölkerung nutzen ein Mobiltelefon. Mehr als drei Milliarden Menschen nutzen soziale Netzwerke und tun dies in neun von zehn Fällen über ihr Smartphone (vgl. [GDR18]). Diese Entwicklung setzt sich im Gesundheitswesen mit dem Trend zum „Self-Tracking“, aber auch mit der zunehmenden Forderung nach der effizienten Nutzung einmal erhobener medizinischer Daten fort. Insbesondere im Gesundheitswesen ist es dabei komfortabel, dass orts- und zeitunabhängig auf die eigenen medizinischen Daten zugegriffen werden kann. Anwendungen speichern in diesem Fall sensible und persönliche Daten - von der Pulsfrequenz, über Aufzeichnungen des Schlafrhythmus bis hin zu Medikationsplänen sowie ärztlichen Verordnungen und Bescheinigungen. Sie verbinden den Nutzer mit entsprechenden Services und fungieren als Kommunikations-Knotenpunkte. Ein kompromittiertes Endgerät kann somit das gesamte digitale Leben des Nutzers ungewollt offenlegen und zu hohem finanziellen Schaden führen. Das Einhalten von geeigneten Sicherheitsstandards kann dies wesentlich erschweren und möglicherweise sogar verhindern. Schon während der Entwicklungsphase sollten Hersteller sehr verantwortungsvoll planen, wie eine Anwendung personenbezogene und andere sensible Daten verarbeitet, speichert und schützt. 職場、家庭環境、個人、公共交通機関など、生活のあらゆる場面でデジタル化が着実に進行しています。すでに2018年には、インターネット利用者が40億人を突破しています。現在、世界の人口76億人のうち、3分の2が携帯電話を使用しています。30億人以上の人々がソーシャルネットワークを利用し、10件中9件はスマートフォンから利用しています ([GDR18]を参照) 。このような動きは、ヘルスケア分野でも続いており、「セルフトラッキング」の流れに加え、一度収集した医療データの効率的な活用が求められています。特に医療分野では、場所や時間に関係なく自分の医療データにアクセスできるのは便利なことです。この場合、アプリケーションには、脈拍や睡眠リズムの記録、投薬計画、医療処方箋や証明書など、機密性の高い個人情報が保存されます。ユーザーを対応するサービスに接続し、通信ノードとして機能する。エンドデバイスが危険にさらされると、意図せずユーザーのデジタルライフ全体が明らかになり、高額な金銭的損害につながる可能性があるのです。適切なセキュリティ基準を遵守することで、このような事態をより困難なものとし、場合によっては防ぐことができます。開発段階であっても、メーカーはアプリケーションが個人情報やその他の機密情報をどのように処理し、保存し、保護するかについて、非常に責任ある計画を立てる必要があります。
Die IT-Sicherheit verfolgt im Wesentlichen drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. ITセキュリティは、基本的に3つの保護目標を追求しています。機密性、完全性、可用性。
Gerade bei Anwendungen im Gesundheitswesen ist die Einhaltung dieser Anforderungen von besonderer Wichtigkeit. Insbesondere im Gesundheitswesen ist die Vertraulichkeit von Gesundheitsdaten, die unwillentlich offenbart werden, für immer verloren. Der Patient könnte hierfür zwar Schadensersatz erhalten, die unwillentliche Offenbarung kann allerdings nicht ungeschehen gemacht werden. Darüber hinaus können durch das ungewollte Bekanntwerden von Gesundheitsdaten unerwünschte Folgen mit erheblichen Auswirkungen im sozialen wie auch im beruflichen Umfeld entstehen. Sollte ein Angreifer in der Lage sein, sensible Daten eines Dritten zu manipulieren und damit deren Integrität zu verletzen, könnte er wesentlichen Einfluss auf Therapieentscheidungen und letztlich die Gesundheit des Betroffenen haben. 特に、ヘルスケア分野のアプリケーションでは、これらの要件への適合が重要です。特に医療分野では、意図せず公開された健康データの機密性は永遠に失われます。この場合、患者は補償を受けることができるが、強制的な開示は元に戻すことができません。また、意図せずして健康データが開示されると、社会的・職業的に大きな影響を及ぼし、好ましくない結果になることもあります。万が一、攻撃者が第三者の機密データを操作し、その完全性を侵害した場合、治療の意思決定、ひいては本人の健康に大きな影響を与える可能性があります。
Diese Familie von Technische Richtlinien soll als Leitfaden dienen, um Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen. この技術ガイドラインファミリーは、アプリケーション開発者が安全なソリューションを作成するためのガイドとして機能することを目的としています。
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート1:モバイルアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート2:ウェブアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme BSI TR-03161 ヘルスケアアプリケーションの要件 - Part 3: バックグラウンドシステム
Biometrie bei mobilen Gesundheitsanwendungen モバイルヘルスアプリケーションにおけるバイオメトリクス
Neue mobile Gesundheitsanwendungen sehen unter anderem auch eine biometrische Benutzerauthentisierung vor. Allerdings weist der Markt eine hohe Zahl an biometrischen Komponenten für mobile Endgeräte auf, welche sich in Performanz und Fälschungssicherheit deutlich unterscheiden. Um sicherzustellen, dass die biometrischen Authentifizierungsverfahren auf Smartphones für mobile Gesundheitsanwendungen ein ausreichendes Vertrauensniveau erreichen, will das BSI biometrische Authentifikationssysteme auf Smartphones prüfen und im Frühjahr 2022 eine initiale Whitelist geeigneter Geräte veröffentlichen, welche danach in regelmäßigen Abständen aktualisiert werden wird. Eine Verwendung biometrischer Authentisierungsmethoden wird nur für Geräte in dieser Whitelist zulässig sein, alle anderen werden sich auf die klassischen PIN/Passwort-Verfahren beschränken müssen. モバイルヘルスの新しいアプリケーションには、バイオメトリクスによるユーザー認証が含まれます。しかし、市場にはモバイル機器用の生体認証部品が数多く存在し、その性能や偽造防止性能は大きく異なっているのが現状です。BSIは、モバイルヘルスアプリケーション用のスマートフォンにおける生体認証手順が十分な信頼性を達成できるよう、スマートフォンにおける生体認証システムのテストを行い、2022年春に適切なデバイスの初期ホワイトリストを公開し、その後定期的に更新する予定です。生体認証の使用は、このホワイトリストに登録された機器にのみ許可され、それ以外の機器では従来のPIN/パスワードによる認証に限定されます。
Die Anforderungen für diese Prüfung ergeben sich aus der - derzeit im Finalisierungs- und Veröffentlichungsprozess befindlichen - Technischen Richtlinie TR-03161-1 (Anhang C). Hersteller von Endgeräten, die an einer Listung ihrer Endgeräte in dieser Whitelist interessiert sind, werden gebeten, sich mit dem BSI in Verbindung zu setzen. In diesem Zuge werden die konkreten Prüfanforderungen sowie nähere Informationen zum Prüfprozess bereitgestellt. Die Prüfung besteht dabei im Wesentlichen aus zwei Komponenten. Zunächst benötigt das BSI eine Herstellererklärung, die dokumentiert, dass das jeweilige Endgerät die näher bezeichneten Anforderungen erfüllt und wie diese Prüfung seitens des Hersteller erfolgt ist. Diese Herstellererklärung wird dann im BSI auf Plausibilität geprüft. Darüber hinaus behält sich das BSI eine stichprobenartige praktische Kontrolle der Endgeräte vor. 本テストの要求事項は、現在最終版として発行されている技術指針 TR-03161-1  (Annex C) から導き出されたものです。このホワイトリストへの掲載を希望するエンドデバイスの製造者は、BSI に連絡することが望まれる。本講座では、具体的なテスト要件に加え、テストプロセスに関するより詳細な情報を提供します。このテストは、基本的に2つの要素で構成されています。まず、BSIは、それぞれのエンドデバイスが指定された要件を満たしていること、そしてこのテストが製造者によってどのように実施されたかを文書化した製造者の宣言を要求しています。この製造者の宣言は、BSIでもっともらしいかどうかチェックされる。さらに、BSI は、エンドデバイスのランダムな実地チェックを行う権利を留保します。
Endgeräte werden in die Whitelist aufgenommen, soweit die Angaben in der Herstellererklärung plausibel sind und - sofern einschlägig - eine etwaige stichprobenartige Prüfung des jeweiligen Endgeräts keine Zweifel an der Herstellererklärung aufgeworfen hat. Erfolgt die stichprobenartige Kontrolle nach der initialen Listung des Endgerätes in der Whitelist, kann ein negatives Prüfergebnis zur Entfernung dieses Gerätes von der Whitelist führen. Jeder Eintrag in der Whitelist beinhaltet die Hersteller- und Modellbezeichnung, die zugelassene biometrische Modalität und die ggf. notwendige Konfiguration für ein als geeignet eingestuftes Gerät. Weitere Informationen werden nicht veröffentlicht. Insbesondere ist nicht geplant, eine Art „Blacklist“ mit solchen Geräten, die die Anforderungen nicht erfüllen, zu veröffentlichen. 端末機器は、製造者の宣言に記載されている情報が妥当であり、かつ (該当する場合) 各端末機器のランダムチェックで製造者の宣言に疑義が生じない場合に、ホワイトリストに掲載されます。ホワイトリストにエンドデバイスを最初に登録した後にランダムチェックを実施した場合、テスト結果がよくなければ、このデバイスをホワイトリストから削除することができます。ホワイトリストの各項目には、メーカー名とモデル名、承認された生体認証モダリティ、適切と判断されたデバイスに必要な設定 (ある場合) が含まれています。それ以外の情報は公開されません。特に、要件を満たさないそのような機器の「ブラックリスト」のようなものを公表する予定はない。
Der gesamte Prüf- und Veröffentlichungsprozess erfolgt seitens des BSI unter Wahrung der Vertraulichkeit. Den Herstellern wird zudem - sowohl im Falle einer Aufnahme ihrer Endgeräte in die Whitelist als auch im Falle einer Ablehnung - unter angemessener Fristsetzung Gelegenheit zur Stellungnahme gegeben werden. テストと公表の全プロセスは、BSIが機密を保持しながら実施します。さらに、製造者は、合理的な期間内に、ホワイトリストにエンドデバイスを含める場合と拒否する場合の両方について、意見を述べる機会を与えられます。
Aufgrund des dargestellten Prüfprozesses erhebt die Whitelist keinen Anspruch auf Vollständigkeit. Aus der fehlenden Listung eines Endgerätes in der Whitelist kann somit nicht zwingend der Schluss gezogen werden, dass dieses Gerät die Prüfanforderungen nicht erfüllt. 上記のような審査のため、ホワイトリストが完全であるとは言えません。ホワイトリストに含まれていないからといって、必ずしもテスト要件を満たしていないとは限りません。

 

モバイル版 T1

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen

20220627-141320

ウェブアプリケーション版 T2

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen

20220627-141339

バックグラウンドシステム版 T3

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme

20220627-141353

 

目次は共通項目が多いので、、、

     -1 -2  -3
1 Einleitung 1 はじめに
1.1 Gegenstand der Technischen Richtlinie 1.1 技術指針の主題
1.2 Zielsetzung der Technischen Richtlinie 1.2 技術指針の目的
1.3 Übersicht der Technischen Richtlinie 1.3 技術指針の概要
1.3.1 Methodik 1.3.1 方法論
1.3.2 Begriffe 1.3.2 用語の説明
2 Überblick der Sicherheitsanforderungen an Anwendungen im Gesundheitswesen 2 ヘルスケアアプリケーションに求められるセキュリティ要件の概要
2.1 Anwendungskonzepte auf mobilen Endgeräten 2.1 モバイル端末におけるアプリケーションの概念
2.1.1 Native-Anwendungen 2.1.1 ネイティブアプリケーション
2.1.2 Hybride Ansätze 2.1.2 ハイブリッド・アプローチ
2.2 Web-Anwendungen 2.2 ウェブアプリケーション
2.3 Hintergrundsysteme 2.3 バックグラウンド・システム
2.3.1 Selbst gehostete Systeme 2.3.1 セルフホストシステム
2.3.2 Extern gehostete Systeme 2.3.2 外部からホストされるシステム
2.3.3 Cloud Computing 2.3.3 クラウドコンピューティング
2.4 Security Problem Definition 2.4 セキュリティ問題の定義
2.4.1 Annahmen 2.4.1 前提条件
2.4.2 Bedrohungen 2.4.2 脅威
2.4.3 Organisatorische Sicherheitspolitiken 2.4.3 組織的なセキュリティポリシー
2.4.4 Restrisiken 2.4.4 残留リスク
3 Prüfaspekte für Anwendungen im Gesundheitswesen 3 ヘルスケアアプリケーションのためのテストの側面
3.1 Prüfaspekte 3.1 テスト面
3.1.1 Prüfaspekt (1): Anwendungszweck 3.1.1 テスト側面  (1) :適用目的
3.1.2 Prüfaspekt (2): Architektur 3.1.2 テスト側面  (2) :アーキテクチャ
3.1.3 Prüfaspekt (3): Quellcode 3.1.3 テスト側面  (3) :ソースコード
3.1.4 Prüfaspekt (4): Drittanbieter-Software 3.1.4 テスト側面  (4) :サードパーティソフトウェア
3.1.5 Prüfaspekt (5): Kryptographische Umsetzung 3.1.5 テスト側面  (5) :暗号化実装
3.1.6 Prüfaspekt (6): Authentifizierung 3.1.6 テスト側面  (6) :認証
3.1.7 Prüfaspekt (7): Datensicherheit 3.1.7 テスト側面  (7) :データセキュリティ
3.1.8 Prüfaspekt (8): Kostenpflichtige Ressourcen 3.1.8 テスト側面  (8) :有償リソース
3.1.9 Prüfaspekt (9): Netzwerkkommunikation 3.1.9 テスト側面  (9)  :ネットワーク通信  
3.1.10 Prüfaspekt (10): Plattformspezifische Interaktionen 3.1.10 テスト側面  (10)  :プラットフォーム固有のインタラクション  
3.1.9 Prüfaspekt (9): Netzwerksicherheit 3.1.9 テスト側面 (9) :ネットワークセキュリティ    
3.1.10 Prüfaspekt (10): Organisatorische Sicherheit
3.1.10 テスト側面 (10) :組織的なセキュリティ    
3.1.11 Prüfaspekt (11): Resilienz 3.1.11 テスト側面  (11)  :回復力  
4 Prüfschritte einer Anwendung im Gesundheitswesen 4. ヘルスケアアプリケーションのテストステップ
4.1 Anforderungen an die Prüfung 4.1 テスト要件
4.2 Protokollierung der Ergebnisse 4.2 結果の記録
4.3 Testcharakteristika 4.3 テスト特性
4.3.1 Testcharakteristik zu Prüfaspekt (1): Anwendungszweck 4.3.1 テスト側面  (1)  に対するテスト特性:適用目的
4.3.2 Testcharakteristik zu Prüfaspekt (2): Architektur 4.3.2 テスト側面  (2)  のテスト特性:アーキテクチャ
4.3.3 Testcharakteristik zu Prüfaspekt (3): Quellcode 4.3.3 テスト側面  (3)  のテスト特性:ソースコード
4.3.4 Testcharakteristik zu Prüfaspekt (4): Drittanbieter-Software 4.3.4 テスト側面  (4)  :サードパーティソフトウェアに関するテスト特性
4.3.5 Testcharakteristik zu Prüfaspekt (5): Kryptographische Umsetzung 4.3.5 テスト側面  (5)  のテスト特性:暗号化実装
4.3.6 Testcharakteristik zu Prüfaspekt (6): Authentifizierung 4.3.6 テスト側面  (6)  のテスト特性:認証
4.3.7 Testcharakteristik zu Prüfaspekt (7): Datensicherheit 4.3.7 テスト側面  (7)  に対するテスト特性:データセキュリティ
4.3.8 Testcharakteristik zu Prüfaspekt (8): Kostenpflichtige Ressourcen 4.3.8 テスト側面  (8)  のテスト特性:有償リソース
4.3.9 Testcharakteristik zu Prüfaspekt (9): Netzwerkkommunikation 4.3.9 テスト側面 (9) のテスト特性:ネットワーク通信
4.3.10 Testcharakteristik zu Prüfaspekt (10): Plattformspezifische Interaktionen 4.3.10 テスト側面 (10) :プラットフォーム固有のインタラクションに関するテスト特性
4.3.11 Testcharakteristik zu Prüfaspekt (11): Resilienz 4.3.11 テスト側面 (11) のテスト特性:弾力性 (Resilience  
5 Sicherheitsstufen und Risikoanalyse 5 セキュリティレベルとリスク分析
Anhang A: Schutzbedarf sensibler Datenelemente 附属書A:機密データ要素の保護要件
Anhang B: Begutachtungsperspektive 附属書B:評価の視点
B.1. Primäres Designziel B.1. 設計の主目的
B.2. Schutzmechanismen B.2. 保護機構
B.3. Sichere Entwicklung B.3. 安全な開発
B.4. Authentifizierung B.4. 認証
B.5. Sicherheit der Kommunikation B.5. 通信セキュリティ
B.6. Weitere Prüfthemen B.6. その他のテストトピック
Anhang C: Anforderungen an biometrische Authentifizierungs- und Verifizierungsverfahren für Anwendungen im Gesundheitswesen 附属書C:ヘルスケアアプリケーションのためのバイオメトリクス認証および検証方法に関する要求事項    
C.1.  Anforderungen an die Leistung und an die Erkennung von Präsentationsangriffen biometrischer Systeme auf mobilen Endgeräten C.1. モバイル機器上の生体認証システムの性能とプレゼンテーション攻撃検知の要件    
C.1.1. Begriffe C.1.1. 用語    
C.1.2. [GEN] Allgemeine Anforderungen C.1.2 [GEN] 一般要求事項    
Abkürzungsverzeichnis 略語一覧
Literaturverzeichnis 参照情報

 

参考になるBSIのページ...

eHealth – Cyber-Sicherheit im Gesundheitswesen

eHealth – Cyber-Sicherheit im Gesundheitswesen eHealth - ヘルスケア分野でのサイバーセキュリティ
Der Bereich eHealth befasst sich mit der Digitalisierung im Gesundheitswesen. Er wird thematisch in verschiedene Abschnitte aufgeteilt. Zum einen geht es um die elektronische Gesundheitskarte (eGK) und die dazugehörige Telematikinfrastruktur (TI) und zum anderen um die Cyber-Sicherheit von in Deutschland eingesetzter Medizintechnik. eHealthの分野では、ヘルスケア分野のデジタル化を扱っています。テーマ別に分かれています。一方では、電子健康保険証 (eGK) と関連するテレマティクスインフラ (TI) を扱い、他方では、ドイツで使用されている医療技術のサイバーセキュリティを扱っています。
Moderne Gesundheitsversorgung: digital und sicher 現代の医療:デジタルとセキュア
Medizinische Versorgung in Deutschland wird allen zu Teil. Sie ist ein Gradmesser für den Wohlstand, die Stärke und Solidarität in einer Gesellschaft. Das Gesundheitswesen in unserem Land gilt weltweit als eines der besten – auch, weil es in vielen Bereichen digitalisiert ist. Die elektronische Patientenakte, die Messung, Speicherung und Auswertung von Gesundheitsdaten per App oder die Video-Sprechstunde sind Beispiele für digitale Technologien, die derzeit die deutsche Gesundheitswirtschaft verändern. Von der Digitalisierung profitieren alle Akteure im Gesundheitswesen – von den Patientinnen und Patienten über die Kliniken und Arztpraxen bis hin zu den Krankenkassen. Digitale Gesundheitsfürsorge kann das Leben der Menschen erleichtern, lange Wege und Wartezeiten minimieren und im Krankheits- oder Notfall schnell helfen. ドイツの医療は誰でも受けられます。社会の繁栄、力強さ、連帯感を測る尺度である。我が国の医療制度は世界でもトップクラスと言われていますが、それは多くの分野でデジタル化されているからです。電子患者ファイル、アプリによる健康データの測定・保存・評価、ビデオ診察などは、現在ドイツの医療業界を変えつつあるデジタル技術の一例です。患者から診療所、医師会、医療保険会社まで、医療システムのすべてのプレーヤーがデジタル化の恩恵を受けています。デジタルヘルスケアは、人々の生活をより快適にし、長時間の移動や待ち時間を最小限に抑え、病気や緊急事態の際には迅速に対応することができます。
Doch alle Vorteile von eHealth sind ohne Informationssicherheit nicht denkbar. Denn die Digitalisierung erhöht auch im Gesundheitswesen das Risiko von IT-Sicherheitsvorfällen und Cyber-Angriffen. Wozu das führen kann, belegen zahlreiche Vorfälle der letzten Monate und Jahre: Krankenhäuser mussten in den Notbetrieb gehen, Millionen sensibler Patientendaten wurden gestohlen oder waren über längere Zeiträume öffentlich ohne Passwortschutz im Internet zugänglich. Hinzu kommen immer wieder Berichte über Schwachstellen in vernetzten Medizingeräten wie Insulinpumpen, Patientenmonitoren oder Beatmungsgeräten. Deren Ausfall oder Manipulation durch unbefugte Dritte kann im Ernstfall unmittelbare Folgen für Gesundheit, Leib und Leben eines Patienten haben. しかし、eヘルスがもたらすすべてのメリットは、情報セキュリティなしには考えられません。また、デジタル化により、医療分野におけるITセキュリティ事故やサイバー攻撃のリスクも高まっています。ここ数カ月、数年にわたる数々の事件は、このことが何をもたらすかを示しています。病院が緊急操業に入らなければならなくなったり、何百万という患者の機密データが盗まれたり、パスワード保護なしで長期間にわたってインターネット上で一般公開されたりしています。また、インスリンポンプ、患者用モニター、人工呼吸器など、ネットワーク接続された医療機器の脆弱性が繰り返し報告されています。その故障や権限のない第三者による操作は、緊急時に患者の健康、生命、身体に対して直ちに影響を与える可能性があります。
Sichere Digitalisierung gestalten 安全なデジタル化の設計
All diese Vorfälle kann sich eine moderne Gesellschaft nicht leisten. Auch deshalb gehören Einrichtungen des Gesundheitswesens zu den Kritischen Infrastrukturen in Deutschland. Als zentrales Kompetenzzentrum für Informationssicherheit in Deutschland übernimmt das BSI Verantwortung als Gestalter einer sicheren Digitalisierung in diesem für die Gesellschaft so wichtigen Bereich. 現代社会は、このような事件ばかりではいられない。ドイツで医療施設が重要インフラとされる理由のひとつがこれです。BSIは、ドイツにおける情報セキュリティの中央コンピテンスセンターとして、社会にとって重要なこの分野の安全なデジタル化の形成者としての責任を担っています。
Mit dem IT-Sicherheitsgesetz von 2015 hat das BSI die Zuständigkeit als Aufsichtsbehörde für Betreiber Kritischer Infrastrukturen (KRITIS) auch im Sektor Gesundheitswesen erhalten. Kritische Infrastrukturen im Gesundheitswesen sind beispielsweise Krankenhäuser und Kliniken mit mehr als 30.000 stationären Behandlungsfällen pro Jahr oder Pharmahersteller mit mehr als 4,65 Millionen in Verkehr gebrachte Packungen pro Jahr. 2015年のITセキュリティ法により、BSIは医療分野でも重要インフラ (CRITIS) の運用者の監督官庁としての責任を担うことになりました。ヘルスケア分野の重要インフラとは、例えば、年間3万件以上の入院患者を抱える病院や診療所、年間465万個以上の医薬品を上市している製薬会社などを指します。
Als Cyber-Sicherheitsbehörde des Bundes leistet das BSI einen wesentlichen Beitrag bei der Gestaltung der großen Digitalisierungsprojekte im Gesundheitswesen. Das BSI befasst sich mit der Weiterentwicklung der elektronischen Gesundheitskarte, mit dem Notfalldatenmanagement und dem elektronischen Medikationsplan im Zusammenhang mit der Arzneimitteltherapiesicherheit, mit der elektronischen Patientenakte, mit der Telematikinfrastruktur sowie der IT-Sicherheit von Medizinprodukten, beispielweise mit dem Projekt ManiMed - Manipulation von Medizinprodukten. Das BSI hat auch dafür gesorgt, dass die Corona-Warn-App des Bundes ein hohes Maß an Informationssicherheit bietet – nicht zuletzt ein wesentlicher Faktor für die hohe Akzeptanz der App in der Bevölkerung. 連邦政府のサイバーセキュリティ当局として、BSIはヘルスケア分野における主要なデジタル化プロジェクトの形成に大きく貢献しています。BSIは、電子健康カード、緊急時データ管理、薬物療法セキュリティに関連した電子投薬計画、電子患者ファイル、テレマティクス・インフラ、医療機器のITセキュリティのさらなる開発に取り組んでおり、例えば、ManiMedプロジェクト (医療機器の操作性) などがあります。BSIは、連邦政府のコロナ警報アプリが高いレベルの情報セキュリティを提供することを保証しており、このことが、同アプリが国民に高いレベルで受け入れられている重要な要因であることは言うまでもありません。
Das BSI leistet einen wesentlichen Beitrag zur sicheren Digitalisierung im Gesundheitswesen. Davon profitieren Kliniken, Ärztinnen und Ärzte ebenso wie die Patientinnen und Patienten. BSIは、ヘルスケア分野における安全なデジタル化に大きく貢献しています。これは、クリニック、医師、患者さんのいずれにもメリットがあります。
ARNE SCHÖNBOHM, PRÄSIDENT DES BSI アルネ・シェーンボーム (BSI会長)
Das BSI unterstützt in den IT-Anwendungsfeldern im Gesundheitsbereich mit Vorgaben, Sicherheitsstandards in Form von Technischen Richtlinien oder IT-Grundschutz-Bausteinen sowie konkreter Hilfestellung und Beratung für Behörden und Unternehmen, um schnell praktikable und zugleich sichere Anwendungen zu realisieren. Wichtig ist dabei die enge Zusammenarbeit des BSI mit Partnern wie der gematik, dem Bundesministerium für Gesundheit (BMG), dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), der Kassenärztlichen Bundesvereinigung (KBV) sowie der Kassenzahnärztlichen Bundesvereinigung (KZBV). BSIは、医療分野のITアプリケーション分野において、実用的であると同時に安全なアプリケーションを迅速に実装するために、仕様、技術ガイドラインやIT-Grundschutzビルディングブロックの形式によるセキュリティ標準、当局や企業に対する具体的な支援やアドバイスなどのサポートを提供しています。ここでは、BSIとgematik、連邦保健省 (BMG) 、連邦データ保護・情報自由委員会 (BfDI) 、連邦医薬品・医療機器研究所 (BfArM) 、全国法定保険医協会 (KBV) 、全国法定保険歯科医協会 (KZBV) といったパートナーとの密接な連携が重要な意味をもっています。

 

 

| | Comments (0)

2022.06.23

一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)

こんにちは、丸山満彦です。

一般社団法人セキュアドローン協議会が「ドローンセキュリティガイド 第3版」を 2022.06.16に公開していましたね。。。

2018.03.18に第1版、2021.04.01に第2版を出していますが、その後2022.03.31に経済産業省が、「無人航空機を対象としたサイバーセキュリティガイドライン」を策定していまし、機体登録制度も始まっていますし、、、それも踏まえての改訂なんでしょうね。。。

一般社団法人セキュアドローン協議会はBig4ではデロイトが会員ですね。私が関わっていた頃には入会していなかったので、最近なんですかね。。。

 

一般社団法人セキュアドローン協議会

・2022.06.16 セキュアドローン協議会、『ドローンセキュリティガイド 第3版』公開


【本セキュリティガイドの概要】

本セキュリティガイドの策定を通して、信頼できるドローンの安心安全な操作環境とデータ送信環境を確立していくための指標を提言しています。
産業用ドローンが普及していくためには、情報処理においてこれまで配慮されてきた情報セキュリティ対策や、最新のIoT関連のセキュリティ技術との連携が重要になり、ドローンにおけるセキュリティリスク、機体制御、機体管理、ドローン機器、通信、アプリケーションやクラウドなどドローンソリューション全体におけるセキュリティ、ドローン機体メーカー、ドローンサービス提供事業者、ドローン活用ユーザそれぞれのとるべきセキュリティ対策要件など産業利用における指標を記述しています。

【本セキュリティガイドの主な改定内容】

  • クラウドを使用したドローンの認証例
  • リモートIDについて
  • ドローン関連サービス、プロトタイプ開発事例

ドローンセキュリティガイド

ドローンセキュリティガイド第3版 ダウンロードフォーム

20220622-160437

 

変更箇所は、


以下の章の追記ならびに修正。

5.3. クラウドを使用したドローンの認証例
7. リモート ID について
8. ドローン関連サービス、プロトタイプ開発事例
9.業務運用に関する注意点


 


関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.08 NATO CCDCOE 武力紛争時のプライバシーとデータ保護の権利

・2022.05.11 インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.26 米国 White House ドローン対策国家計画

・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

・2022.04.07 経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.09.04 英国 ブレグジット後のグローバルデータ計画 at 2021.08.26

・2021.06.26 欧州委員会 合同サイバーユニットを提案

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.13 米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。


 

 

Continue reading "一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)"

| | Comments (0)

2022.06.21

内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)

こんにちは、丸山満彦です。

サイバーセキュリティ戦略本部第34回会合が開催され、サイバーセキュリティ2022(2021年度年次報告・2022年度年次計画)、重要インフラのサイバーセキュリティに係る行動計画が承認されましたね。。。

NISC

サイバーセキュリティ2022

 ・[PDF] 概要

20220621-02726

 

 ・[PDF] 全体

20220621-03935

目次...

はじめに

本編

1部 サイバーセキュリティ2022のポイント(「エグゼクティブ・サマリー」)
1
章 サイバー空間を巡る主な情勢の変化と昨今の状況
2
章 情勢の変化に伴い顕在化している政策課題
 1
サイバー空間上における脅威の高まりに対応するためのインシデントの未然防止
 2 「公共空間化」によるリスクの広がりに対応するための地域・中小企業等のセキュリティ強化・支援、サイバー犯罪への対応強化による安全・安心の確保
 3 厳しさを増す安全保障環境の中での国際協力・連携の強化

3
章 「自由、公正かつ安全なサイバー空間」の実現のために特に強力に取り組む施策
 1
官民連携のオールジャパンの推進体制強化〔ナショナルサート機能の強化〕
 2 重要インフラ事業者を始めとする民間部門のサイバーセキュリティの強化
 3 サイバー空間とフィジカル空間の融合に対応したサイバーセキュリティ対策
 4 地域・中小企業のサイバーセキュリティ対策
 5 サイバー警察局・サイバー特別捜査隊の新設による官民連携・国際連携の推進
 6 インド太平洋地域における能力構築支援の推進

2部 サイバーセキュリティに関する情勢
1
章 経済社会の活力の向上及び持続的発展
2
章 国民が安全で安心して暮らせるデジタル社会の実現
 1
国民・社会を守るためのセキュリティ基盤の構築
 2 経済社会基盤を支える各主体における情勢①(政府機関等)
 3 経済社会基盤を支える各主体における情勢②(重要インフラ)
 4 経済社会基盤を支える各主体における情勢③(大学・教育研究機関等)
 5 東京オリンピック・パラリンピック競技大会に向けた取組から得られた知見等の活用

3
章 国際社会の平和・安定及び我が国の安全保障への寄与
4
章 横断的施策
 1
サイバーセキュリティ分野の研究開発に関する動向
 2 IT・サイバーセキュリティ人材
 3 国民の意識・行動に関する動向

3部 戦略に基づく昨年度の取組実績、評価及び今年度の取組
1
章 経済社会の活力の向上及び持続的発展
 1
経営層の意識改革
 2 地域・中小企業におけるDX with Cybersecurityの推進
 3 新たな価値創出を支えるサプライチェーン等の信頼性確保に向けた基盤づくり
 4 誰も取り残さないデジタル/セキュリティ・リテラシーの向上と定着

2
章 国民が安全で安心して暮らせるデジタル社会の実現
 1
国民・社会を守るためのサイバーセキュリティ環境の提供
 2 デジタル庁を司令塔とするデジタル改革と一体となったサイバーセキュリティの確保
 3 経済社会基盤を支える各主体における取組①(政府機関等)
 4 経済社会基盤を支える各主体における取組②(重要インフラ)
 5 経済社会基盤を支える各主体における取組③(大学・教育研究機関等)
 6 多様な主体によるシームレスな情報共有・連携と東京オリンピック競技大会・東京パラリンピック競技大会に向けた取組から得られた知見等の活用
 7 大規模サイバー攻撃事態等への対処態勢の強化

3
章 国際社会の平和・安定及び我が国の安全保障への寄与
 1
「自由・公正かつ安全なサイバー空間」の確保
 2 我が国の防御力・抑止力・状況把握力の強化
 3 国際協力・連携
4章 横断的施策

 1
研究開発の推進
 2 人材の確保、育成、活躍促進
 3 全員参加による協働、普及啓発

5
章 推進体制

別添1 2022年度のサイバーセキュリティ関連施策
別添2 2021年度のサイバーセキュリティ関連施策の実施状況
別添3 各府省庁における情報セキュリティ対策の総合評価・方針
別添4 政府機関等における情報セキュリティ対策に関する統一的な取組
別添5 重要インフラ事業者等における情報セキュリティ対策に関する取組等
別添6 サイバーセキュリティ関連データ集
別添7 担当府省庁一覧(2022年度年次計画)
別添8 用語解説

 

・2022.06.17 [PDF] 重要インフラのサイバーセキュリティに係る行動計画

20220621-04141

目次

I. 総論
1.
重要インフラ防護の目的
2.
理想とする将来像
3.
サイバーセキュリティ基本法との整合性について
 3.1
サイバーセキュリティ基本法における行動計画の位置付け
 3.2 サイバーセキュリティ基本法におけるサイバーセキュリティの定義
 3.3 サイバーセキュリティ基本法における関係主体の責務

4.
本行動計画における施策群と補強・改善の方向性等

II. 本行動計画の要点(エグゼクティブサマリー)

III. 重要インフラを取り巻く環境変化と行動計画に関する基本的な考え方
1.
重要インフラを取り巻くサイバーセキュリティの環境変化
2.
重要インフラ防護の範囲
3.
組織統治の一部としてのサイバーセキュリティ
4.
自組織に適した防護対策の実現

IV. 計画期間内の取組
1.
障害対応体制の強化
 1.1
組織統治の一部としての障害対応体制 
 1.2 障害対応体制の強化に向けた取組
 1.3 官民一体となった障害対応体制の強化
 1.4 重要インフラに係る防護範囲の見直し

2.
安全基準等の整備及び浸透
 2.1
安全基準等策定指針の継続的改善
 2.2 安全基準等の継続的改善
 2.3 安全基準等の浸透
 2.4 安全基準等の文書の明確化

3.
情報共有体制の強化
 3.1
本行動計画期間における情報共有体制
 3.2 情報共有の更なる促進
 3.3 重要インフラ事業者等の活動の更なる活性化
 3.4 セプター訓練

4.
リスクマネジメントの活用
 4.1
リスクマネジメントの推進
 4.2 環境変化におけるリスク把握

5.
防護基盤の強化
 5.1
障害対応体制の有効性検証
 5.2 人材育成等の推進
 5.3 「セキュリティ・バイ・デザイン」の推進
 5.4 国際連携の推進
 5.5 サイバー犯罪対策等の強化
 5.6 デジタル庁と連携したセキュリティ確保
 5.7 広報広聴活動の推進

V. 関係主体において取り組むべき事項
1.
内閣官房
2.
重要インフラ所管省庁
3.
サイバーセキュリティ関係省庁
4.
事案対処省庁及び防災関係府省庁
5.
重要インフラ事業者等
6.
セプター及びセプター事務局
7.
セプターカウンシル
8.
サイバーセキュリティ関係機関
9.
サイバー空間関連事業者

VI. 評価・検証
1.
本行動計画の評価
 1.1
評価運営
 1.2
補完調査
2.
本行動計画の検証
 2.1
検証運営
 2.2
「重要インフラ事業者等による対策」の検証
 2.3
「政府機関等による施策」の検証

VII. 本行動計画の見直し

別添:情報連絡・情報提供について
1.
システムの不具合等に関する情報
2.
重要インフラ事業者等からの情報連絡
 2.1
情報連絡を行う場合
 2.2
情報連絡の仕組み
 2.3
情報連絡された情報の取扱い
3.
重要インフラ事業者等への情報提供
 3.1
情報提供を行う場合
 3.2
情報提供の仕組み
 3.3
情報提供のための連携体制

別紙1 対象となる重要インフラ事業者等と重要システム例
別紙2 重要インフラサービスとサービス維持レベル
別紙3 情報連絡における事象と原因の類型
別紙4-1 情報共有体制(通常時)
別紙4-2 情報共有体制(大規模重要インフラサービス障害対応時)
別紙4-3 情報共有体制における各関係主体の役割
別紙5 定義・用語集

 

決定文書

提出資料

関連資料

 

過去の資料については、こちら...

● 内閣官房サイバーセキュリティセンター - 政策 - 主要公表資料

歴史が全て詰まっている感じです。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2020.07.23 内閣官房サイバーセキュリティ 2020

...

・2012.07.22 内閣官房(NISC) 情報セキュリティ2012

・2011.06.11 内閣官房 パブコメ 「情報セキュリティ2011」(案)

・2010.07.23 内閣官房 確定 「セキュア・ジャパン2010」改め、「情報セキュリティ2010」を公表

 

 


 

■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリティ2021

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

2022.06.20

米国 CISA Trusted Internet Connections 3.0 クラウドユースケース(ドラフト)

こんにちは、丸山満彦です。

CISAがTrusted Internet Connections 3.0 クラウドユースケースのドラフトを公表し、意見募集をしていますね。。。

参考になりそうですね。。。

 

● CISA

・2022.06.16 SERVING UP “AS-A-SERVICE”: TIC RELEASES DRAFT USE CASES COVERING CLOUD SERVICES 

 

SERVING UP “AS-A-SERVICE”: TIC RELEASES DRAFT USE CASES COVERING CLOUD SERVICES  「as-a-service 」を提供する:TICクラウドサービスを対象としたユースケースのドラフトを公開 
A new item has been added to the menu of Trusted Internet Connections (TIC) guidance: draft use case covering cloud services. Building upon the Cloud Security Technical Reference Architecture (TRA) required by President Biden’s Cybersecurity Executive Order, this use case provides architectural guidance on different aspects of cloud services. With the appetite for cloud guidance growing, this new CISA resource will help federal agencies effectively leverage applicable aspects of the Cloud Security TRA and work to achieve a mandate in the EO for secure cloud services.  信頼できるインターネット接続 (TIC) ガイダンスのメニューに、クラウドサービスを対象としたユースケースのドラフトが追加されました。バイデン大統領のサイバーセキュリティ大統領令で要求されたクラウドセキュリティ技術参照アーキテクチャ(TRA)をベースにしたこのユースケースは、クラウドサービスのさまざまな側面に関するアーキテクチャのガイダンスを提供するものです。クラウドガイダンスに対する要望が高まる中、この新しいCISAリソースは、連邦政府がクラウドセキュリティTRAの該当する側面を効果的に活用し、安全なクラウドサービスに対する大統領令の義務付けを達成するために役立ちます。 
USE CASES BACKGROUND  ユースケースの背景 
Under the Office of Management and Budget’s (OMB) Memorandum M-19-26, the modernized TIC 3.0 initiative is required to produce use cases to support agencies as they design and implement secure, flexible network architectures. Having already produced the Traditional TIC Use Case, Branch Office Use Case, and Remote User Use Case, the Cloud Use Case serves as the final product in this series.  管理予算局(OMB)の覚書M-19-26に基づき、近代化TIC 3.0イニシアティブは、安全で柔軟なネットワークアーキテクチャの設計と実装を支援するユースケースを作成するよう求められています。従来のTICユースケース、ブランチオフィスユースケース、リモートユーザーユースケースはすでに作成されており、クラウドユースケースはこのシリーズの最後の文書として提供されます。 
CLOUD USE CASE: EXPLAINED  クラウド使用例:説明 
The Cloud Use Case provides network and multi-boundary security for agencies that operate in cloud environments. While this use case provides common security guidance for cloud operations, it also highlights unique considerations for Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), and Email-as-a-Service (EaaS) deployments. Like previous use cases, the Cloud Use Case outlines security patterns, applicable security capabilities, and telemetry requirements specific to this particular use case. However, this guidance also incorporates cloud-specific considerations, such as the shared services model and cloud security posture management principles outlined in the Cloud Security TRA. Another unique aspect of this use case is that it was written from the vantage point of cloud-hosted services, as opposed to from the vantage point of the client accessing these services.  クラウドユースケースは、クラウド環境で運用する省庁のためのネットワークおよびマルチバウンダリセキュリティを提供します。このユースケースは、クラウド運用のための一般的なセキュリティガイダンスを提供する一方で、IaaS、PaaS、SaaS、EaaSなどの展開における独自の検討事項についても取り上げています。これまでのユースケースと同様に、クラウドのユースケースは、この特定のユースケースに特有のセキュリティパターン、適用可能なセキュリティ機能、テレメトリー要件を概説しています。しかし、このガイダンスには、クラウドセキュリティTRAで概説されている共有サービスモデルやクラウドセキュリティポスチャ管理の原則など、クラウド特有の考慮事項も盛り込まれています。このユースケースのもう一つのユニークな点は、これらのサービスにアクセスするクライアントの視点とは対照的に、クラウドホスティングサービスの視点から書かれている点です。 

 

・2022.06.16[PDF] Trusted Internet Connections 3.0 Cloud Use Case

20220620-63438

 

目次...

1. Introduction  1. はじめに 
1.1 Key Terms  1.1 主要な用語 
2. Overview of TIC Use Cases 2. TICユースケースの概要
3. Purpose of the Cloud Use Case 3. クラウドのユースケースの目的
4. IaaS, PaaS, and SaaS Use Case 4. IaaS、PaaS、SaaSのユースケース
4.1  Assumptions and Constraints 4.1 前提条件と制約条件
4.2  Conceptual Architecture 4.2 概念的なアーキテクチャ
4.3  Security Patterns 4.3 セキュリティパターン
4.4 Applicable Security Capabilities 4.4 適用可能なセキュリティ機能
4.5 Telemetry Requirements 4.5 テレメトリー要件
5. EaaS Use Case 5. EaaSのユースケース
5.1  Assumptions and Constraints 5.1 前提条件と制約条件
5.2  Conceptual Architecture 5.2 概念的なアーキテクチャ
5.3  Security Patterns 5.3 セキュリティパターン
5.4 Applicable Security Capabilities 5.4 適用可能なセキュリティ機能
5.5 Telemetry Requirements 5.5 テレメトリー要件
6. Conclusion 6. 結論
Appendix A – Glossary and Definitions 附属書 A - 用語集と定義
Appendix B – Related Federal Guidelines and Requirements 附属書 B - 関連する連邦政府のガイドラインと要件
Appendix C – Glossary for Cloud Use Case 附属書 C - クラウドのユースケースのための用語集

 

 

TICについては、、、

TRUSTED INTERNET CONNECTIONS GUIDANCE REPOSITORY

に様々な情報があります。。。

 

・CISA - CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE

・2021.08 [PDF] Cloud Security Technical Reference Architecture Ver1.0

20220620-64424

 

 

関連...

● OMB

・2019. 09.12 M-19-26 MEMORANDUM FOR HEADS OF EXECUTIVE DEPARTMENTS AND AGENCI

20220620-64754



 

| | Comments (0)

2022.06.16

内閣官房 デジタル庁 総務省 経済産業省 意見募集「ISMAP-LIUクラウドサービス登録規則(案)」等

こんにちは、丸山満彦です。

内閣官房、デジタル庁、総務省、経済産業省が「ISMAP-LIUクラウドサービス登録規則(案)」等についての意見募集をしていますね。。。

今回検討している、ISMAP-LIUは、機密性 2 情報を扱う SaaS のうち、セキュリティ上のリスクの小さな業務・情報の処理に用いるものに対する仕組みですね。。。

LIUは、「エルアイユー」と呼び、Low-Impact Useの省略形のようです。。。

影響度が小さいかどうかは、関連資料(意見募集対象外)のISMAP for Low-Impact Useにおける業務・情報の影響度評価ガイダンス(案)にガイドがあります。。。「政府機関等の対策基準策定のためのガイドライン(令和3年度版)」 第 6 部 情報システムのセキュリティ要件の遵守事項 6.1.1(1)(b)に記載の、「オンライン手続において想定されるリスク」を参考としたとのことですね。。。


SaaS の利用において想定されるリスク
①国民に不便、苦痛を与える、又は機関等が信頼を失う
②利用者に金銭的被害や賠償責任が生じるなど、財務上の影響を与える
③機関等の活動計画や公共の利益に対して影響を与える
④個人情報等の機微な情報が漏えいする
⑤利用者の身の安全に影響を与える
⑥法律に違反する


 

各省庁からの発表...

 

内閣官房 サイバーセキュリティセンター

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見公募手続(パブリックコメント)を開始しました。

デジタル庁

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集を行います

● 総務省

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集

● 経済産業省

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見公募手続(パブリックコメント)を開始しました

 

J

 

さて、、、e-Govの意見募集のページ

● e-Gov

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集について

 

意見募集対象

  1. [PDF] ISMAP-LIUクラウドサービス登録規則(案)
  2. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_様式1-2
  3. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_別紙2
  4. [PDF] 政府情報システムのためのセキュリティ評価制度(ISMAP)基本規程
  5. [PDF] ISMAPクラウドサービス登録規則
  6. [PDF] ISMAP管理基準
  7. [PDF] ISMAP標準監査手続
  8. [PDF] ISMAP情報セキュリティ監査ガイドライン 

関連資料

  1. [PDF] ISMAP-LIUについて(案)
  2. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_様式2-3 
  3. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_様式2-3別紙
  4. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_別紙1 
  5. [PDF] ISMAP for Low-Impact Useにおける業務・情報の影響度評価ガイダンス(案)

 

 

| | Comments (0)

2022.06.09

新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針2022

こんにちは、丸山満彦です。

政府の新しい資本主義のグランドデザイン及び実行計画、経済財政運営と改革の基本方針2022が閣議決定 (2022.06.07) しましたね。。。

理系で会計士なので、経済、法律、会計、ファイナンス、管理、科学分野について浅く学んできたので、こういうものを読むときは助かります。。。が、やはり知識が浅いということはわかるので、、、全体の深い理解は難しいですね。。。

 

内閣府 -内閣府の政策 - 経済財政政策 - 経済財政諮問会議 - 令和4年 会議情報一覧

・2022.06.07 第8回会議資料

 

20220609-54411

本質ではないですが、この色使いのセンス(バリアフリーと美しさ両面で)...

 

・[PDF] 新しい資本主義のグランドデザイン及び実行計画

20220609-54835

 

で気になった部分

議論に出発点が、

P1「新自由主義」と呼ばれる考え方が台頭し、グローバル化が進展することで経済は活力を取り戻し、世界経済が大きく成長した。

なんですが、日本って、これに乗り遅れた国じゃないですか、、、

でも、

P1 経済的格差の拡大、気候変動問題の深刻化、過度な海外依存による経済安全保障リスクの増大、人口集中による都市問題の顕在化、市場の失敗等による多くの弊害も生んだ。

というのはある程度、そうかなと思います。(「気候変動問題」は、どのくらい科学的に確かめられているのかちょっと分からない面がありますし、「過度な海外依存」という場合、普遍的に適正な海外依存というのはあり得るのかというところも分かりません)

P1 実際、権威主義的国家資本主義とも呼べる体制を採用する国は、自由経済のルールを無視した、不公正な経済活動等を進めることで、急速な経済成長をなしとげ、国際政治における影響力を拡大してきた。自由と民主主義は、権威主義的国家資本主義からの挑戦にさらされている。

という現状を説明しているわけですが、経済成長に成功した「権威主義的国家資本主義」対ちょっと最近停滞気味?の「自由、民主主義の資本主義」という構造なんですかね。。。

民主主義の国は、独裁?主義の国に経済競争で勝っていかないといけないということなのでしょうかね。。。

で、論理上の本質的な話は、

P1 、新しい資本主義においては、市場だけでは解決できない、いわゆる外部性の大きい社会的課題について、「市場も国家も」、すなわち新たな官民連携によって、その解決を目指していく。

ということで、「外部性の大きい社会的課題」を「官民連携」して解決していくというが目的ということなのでしょうね。。。その先の世界は

P2 一人ひとりの国民の持続的な幸福を実現

ということなのでしょうね。。。

サイバーセキュリティも外部性の大きな社会的課題の一つと思いますので、サイバーセキュリティも新たな官民連携で解決ですかね。。。

 

目次...

はじめに

Ⅰ.資本主義のバージョンアップに向けて
1.市場の失敗の是正と普遍的価値の擁護
2.「市場も国家も」による課題解決と新たな市場・成長、国民の持続的な幸福実現
3.経済安全保障の徹底

Ⅱ.新しい資本主義を実現する上での考え方
1.分配の目詰まりを解消し、更なる成長を実現
2.技術革新に併せた官民連携で成長力を確保
3.民間も公的役割を担う社会を実現

Ⅲ.新しい資本主義に向けた計画的な重点投資
1.人への投資と分配
(1)賃金引上げの推進
(2)スキルアップを通じた労働移動の円滑化
(3)貯蓄から投資のための「資産所得倍増プラン」の策定
(4)子供・現役世代・高齢者まで幅広い世代の活躍を応援
(5)多様性の尊重と選択の柔軟性
(6)人的資本等の非財務情報の株式市場への開示強化と指針整備

2.科学技術・イノベーションへの重点的投資
(1)量子技術
(2)AI実装
(3)バイオものづくり
(4)再生・細胞医療・遺伝子治療等
(5)大学教育改革
(6)2025年大阪・関西万博

3.スタートアップの起業加速及びオープンイノベーションの推進
(1)スタートアップ育成5か年計画の策定
(2)付加価値創造とオープンイノベーション

4.GX(グリーン・トランスフォーメーション)及びDX(デジタル・トランスフォーメーション)への投資
(1)GXへの投資
(2)DXへの投資

Ⅳ.社会的課題を解決する経済社会システムの構築
1.民間で公的役割を担う新たな法人形態・既存の法人形態の改革の検討
2.競争当局のアドボカシー(唱導)機能の強化
3.寄付文化やベンチャー・フィランソロフィーの促進など社会的起業家への支援強化
4.インパクト投資の推進
5.孤独・孤立など社会的課題を解決するNPO等への支援
6.コンセッション(PPP/PFIを含む)の強化

Ⅴ.経済社会の多極集中化
1.デジタル田園都市国家構想の推進
(1)デジタル田園都市国家の実現に向けた基盤整備
(2)デジタル田園都市国家を支える農林水産業、観光産業、教育の推進
(3)デジタル田園都市国家構想の前提となる安心の確保

2.一極集中管理の仮想空間から多極化された仮想空間へ
(1)インターネットにおける新たな信頼の枠組みの構築
(2)ブロックチェーン技術を基盤とするNFT(非代替性トークン)の利用等のWeb3.0の推進に向けた環境整備
(3)メタバースも含めたコンテンツの利用拡大
(4)Fintechの推進

3.企業の海外ビジネス投資の促進

Ⅵ.個別分野の取組
1.国際環境の変化への対応
(1)経済安全保障の強化
(2)対外経済連携の促進

2.宇宙
3.海洋
4.金融市場の整備
(1)四半期決算短信
(2)国際金融センターの実現とアセットマネージャーの育成
(3)銀行の業務範囲及び銀証ファイアウォール規制の見直し
(4)金融機関の取組を通じた貯蓄から投資の促進
(5)事業性融資への本格的かつ大胆な転換

5.グローバルヘルス(国際保健)
6.文化芸術・スポーツの振興
7.福島をはじめ東北における新たな産業の創出

Ⅶ.新しい資本主義実現に向けた枠組み
1.工程表の策定とフォローアップ
2.官と民の連携
3.経済財政運営の枠組み


 

テクノロジー関連の言葉が並んでいますが、進めてから見直しもあり得るという感じが良いでしょうね。。。状況は変わるでしょうし。。。

デジタル人材も育成する話がありますが、毎度毎度ですね。。。

 

最後に工程表の話もあり、PDCAで見直すと書いていますので、適正な運用が行われることが期待されますね。。。(できれば、会計検査院もきっちりと監査をし、できたことにした、とかうやむやにしたとかにならないようにしてほしいですね。。。内容を時代に合わせて若干変えるのはアリでしょうし。。。)

ぼちぼち、読んでおきます。。。

 

・[PDF] 経済財政運営と改革の基本方針2022

20220609-93507

第1章 我が国を取り巻く環境変化と日本経済
1. 国際情勢の変化と社会課題の解決に向けて
2. 短期と中長期の経済財政運営
(1)コロナ禍からの回復とウクライナ情勢の下でのマクロ経済運営
(2)中長期の経済財政運営

第2章 新しい資本主義に向けた改革
1.新しい資本主義に向けた重点投資分野
(1)人への投資と分配
(2)科学技術・イノベーションへの投資
(3)スタートアップ(新規創業)への投資
(4)グリーントランスフォーメーション(GX)への投資
(5)デジタルトランスフォーメーション(DX)への投資

2.社会課題の解決に向けた取組
(1)民間による社会的価値の創造
(2)包摂社会の実現
(3)多極化・地域活性化の推進
(4)経済安全保障の徹底

第3章 内外の環境変化への対応
1. 国際環境の変化への対応
(1)外交・安全保障の強化
(2)経済安全保障の強化
(3)エネルギー安全保障の強化
(4)食料安全保障の強化と農林水産業の持続可能な成長の推進
(5)対外経済連携の促進

2. 防災・減災、国土強靱化の推進、東日本大震災等からの復興
3. 国民生活の安全・安心

第4章 中長期の経済財政運営
1. 中長期の視点に立った持続可能な経済財政運営
2. 持続可能な社会保障制度の構築
3. 生産性を高め経済社会を支える社会資本整備
4. 国と地方の新たな役割分担
5. 経済社会の活力を支える教育・研究活動の推進

第5章 当面の経済財政運営と令和5年度予算編成に向けた考え方
1. 当面の経済財政運営について
2. 令和5年度予算編成に向けた考え方

 




経団連

・2022.06.07 会長コメント/スピーチ 会長コメント「新しい資本主義のグランドデザイン及び実行計画」・「骨太方針2022」に関する十倉会長コメント

 同日のコメントなので、事前に原稿は作っていたのでしょうね。。。まぁ、当然でしょうが。。。(という意味では官民連携ですかね。。。)

 


 

 

 

 

 

| | Comments (0)

2022.06.07

NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)

こんにちは、丸山満彦です。

NISTがSP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)を公表し、意見募集をしていますね。。。

初期ドラフトなので、本質的な内容というよりも課題と方向性の確認というところが基本的なポイントですかね。。。

充実していくのが楽しみなSPですね。。。

 

NIST - ITL

・2022.06.03 SP 1800-35 (Draft) Implementing a Zero Trust Architecture (Preliminary Draft)

 

SP 1800-35 (Draft) Implementing a Zero Trust Architecture (Preliminary Draft) SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(予備草稿)
Announcement アナウンス
The Zero Trust Architecture (ZTA) team at NIST's National Cybersecurity Center of Excellence (NCCoE) has published volume A of a preliminary draft practice guide titled "Implementing a Zero Trust Architecture" and is seeking the public's comments on its contents. This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. As the project progresses, the preliminary draft will be updated, and additional volumes will also be released for comment.  NISTのナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のゼロトラスト・アーキテクチャ(ZTA)チームは、「ゼロトラストアーキテクチャの実装」と題した実践ガイドの初期ドラフトA巻を公開し、その内容に関する一般からのコメントを求めています。このガイドは、NCCoEとその協力者が、NIST Special Publication (SP) 800-207, ゼロトラスト・アーキテクチャの概念と原則に沿った、相互運用可能でオープンスタンダードに基づくZTA実装を、市販の技術を使用して構築する方法を要約したものです。プロジェクトの進捗に伴い、この暫定版は更新され、コメントのために追加版がリリースされる予定です。 
Abstract 概要
As an enterprise’s data and resources have become distributed across the on-premises environment and multiple clouds, protecting them has become increasingly challenging. Many users need access from anywhere, at any time, from any device to support the organization’s mission. Data is programmatically stored, transmitted, and processed across different organizations’ environments, which are distributed across on-premises and the cloud to meet ever-evolving business use cases. It is no longer feasible to simply protect data and resources at the perimeter of the enterprise environment and assume that all users, devices, applications, and services within it can be trusted. 企業のデータとリソースがオンプレミス環境や複数のクラウドに分散するようになり、それらを保護することがますます困難になってきています。多くのユーザーは、組織のミッションをサポートするために、いつでも、どこからでも、どんなデバイスからでもアクセスする必要があります。データは、日々進化するビジネスユースケースに対応するため、オンプレミスやクラウドに分散するさまざまな組織の環境において、プログラムによって保存、転送、処理されています。もはや、企業環境の境界でデータやリソースを保護し、その中にいるすべてのユーザー、デバイス、アプリケーション、サービスを信頼できると仮定することは不可能になっています。
A zero-trust architecture (ZTA) enables secure authorized access to each individual resource, whether located on-premises or in the cloud, for a hybrid workforce and partners based on an organization’s defined access policy. For each access request, ZTA explicitly verifies the context available at access time—this includes the requester’s identity and role, the requesting device’s health and credentials, and the sensitivity of the resource. If the defined policy is met, a secure session is created to protect all information transferred to and from the resource. A real-time and continuous policy-driven, risk-based assessment is performed to establish and maintain the access. ゼロトラストアーキテクチャ(ZTA)は、オンプレミス、クラウドを問わず、ハイブリッドワーカーやパートナーに対して、組織が定義したアクセスポリシーに基づき、個々のリソースへの安全なアクセスを許可するものです。各アクセス要求に対して、ZTAはアクセス時に利用可能なコンテキストを明示的に検証します。これには、要求者のアイデンティティと役割、要求デバイスの状態と認証情報、リソースの機密性などが含まれます。定義されたポリシーに合致する場合、安全なセッションが作成され、リソースとの間で転送されるすべての情報が保護されます。リアルタイムかつ継続的にポリシーに基づいたリスクベースの評価が行われ、アクセスの確立と維持が行われます。
This guide summarizes how the National Cybersecurity Center of Excellence (NCCoE) and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. As the project progresses, this preliminary draft will be updated, and additional volumes will also be released for comment. このガイドは、ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)とその協力者が、NIST Special Publication (SP) 800-207, ゼロトラスト・アーキテクチャの概念と原則に沿った、相互運用可能でオープンスタンダードベースのZTA実装を構築するために、市販の技術をどのように利用しているかを要約しています。プロジェクトの進捗に伴い、この暫定版は更新され、コメントのために追加版がリリースされる予定です。

 

・[PDF] NIST SP 1800-35A

20220607-45226

 

課題...

CHALLENGE  課題 
Organizations would like to adopt a ZTA, but they have been facing some challenges which may include:  組織はZTAを採用したいと考えているが、以下のような課題に直面しています。
§  Leveraging existing investments and balancing priorities while making progress toward a ZTA § 既存の投資を活用し、優先順位とバランスを取りながら、ZTAの導入を進めること
§  ZTA deployment requiring leveraging integration of many deployed existing technologies of varying maturities and identifying technology gaps to build a complete ZTA § ZTAの展開には、様々な成熟度の既存技術を統合し、完全なZTAを構築するための技術ギャップを特定する必要があること
§  Concern that ZTA might negatively impact the operation of the environment or end-user experience § ZTAが環境の運用やエンドユーザー・エクスペリエンスに悪影響を及ぼすのではないかという不安
§  Lack of common understanding of ZTA across the organization, gauging the organization’s ZTA maturity, determining which ZTA approach is most suitable for the business, and developing an implementation plan § 組織のZTA成熟度を測定し、どのZTAアプローチがビジネスに最も適しているかを判断し、導入計画を策定すること

 

このSPの狙い...

This preliminary practice guide can help your organization:  この初期実践ガイドは、次のようにあなたの組織を支援することができます。
§  Identify milestones for gradually integrating ZTA into your environment, based on the demonstrated examples and using a risk-based approach, to: § 実証された例に基づき、リスクベースのアプローチを用いて、ZTA を環境に徐々に統合するためのマイルストーンを特定する。
§  Support teleworkers with access to resources regardless of user location or user device (managed or unmanaged) § ユーザーの場所やユーザーデバイス(管理下または非管理下)に関係なく、テレワーカーによるリソースへのアクセスをサポートする。
§  Protect resources regardless of their location (on-premises or cloud-based) § 場所(オンプレミスまたはクラウドベース)に関係なく、リソースを保護する。
§  Limit the insider threat (insiders are not automatically trusted) § インサイダーの脅威を制限する(インサイダーは自動的に信頼されるわけではない)
§  Limit breaches (reduce attackers’ ability to move laterally in the environment)   § 侵害を制限する(攻撃者が環境内で横方向に移動する能力を低下させる)。 
§  Protect sensitive corporate information with data security solutions   § データセキュリティソリューションによる企業の機密情報の保護  
§  Improve visibility into the inventory of resources, what configurations and controls are implemented, and how resources are accessed and protected  § リソースのインベントリ、どのような構成と制御が実装されているか、どのようにリソースがアクセスされ保護されているかについての可視性を向上させる。
§  Real-time and continuous policy-driven, risk-based assessment of resource access   § リソースアクセスのリアルタイムかつ継続的なポリシー主導のリスクベース評価  

 

ソリューション

SOLUTION  ソリューション 
NCCoE is collaborating with ZTA technology providers to build several example ZTA solutions and demonstrate their ability to meet the tenets of ZTA. The solutions will enforce corporate security policy dynamically and in near-real-time to restrict access to authenticated, authorized users and devices while flexibly supporting a complex set of diverse business use cases involving a remote workforce, use of the cloud, partner collaboration, and support for contractors. The example solutions are designed to demonstrate the ability to protect against and detect attacks and malicious insiders. They showcase the ability of ZTA products to interoperate with existing enterprise and cloud technologies with only minimal impact on end-user experience.   NCCoEは、ZTAテクノロジープロバイダーと協力し、いくつかのZTAソリューションの例を構築し、ZTAの原則を満たす能力を実証しています。このソリューションは、企業のセキュリティポリシーをほぼリアルタイムで動的に適用し、認証・許可されたユーザーとデバイスにアクセスを制限します。同時に、リモートワーカー、クラウドの利用、パートナーとのコラボレーション、請負業者のサポートなど、多様で複雑なビジネスユースケースを柔軟にサポートすることができます。このソリューションの例は、攻撃や悪意のあるインサイダーから保護し、検出する能力を実証するために設計されています。また、ZTA製品が既存のエンタープライズおよびクラウドテクノロジーと相互運用でき、エンドユーザーエクスペリエンスに最小限の影響しか与えないことを紹介しています。 
The project can help organizations plan how to evolve their existing enterprise environments to ZTA, starting with an assessment of their current resources and setting milestones along a path of continuous improvement, gradually bringing them closer to achieving the ZTA goals they have prioritized based on risk, cost, and resources. We are using a phased approach to develop example ZTA solutions that is designed to represent how we believe most enterprises will evolve their enterprise architecture toward ZTA, i.e., by starting with their already-existing enterprise environment and gradually adding or adapting capabilities. Our first implementations are crawl versions of the enhanced identity governance (EIG) deployment because EIG is seen as the foundational component of the other deployment approaches utilized in today’s hybrid environments. Our initial EIG implementations use the identity of subjects and device health as the main determinants of access policy decisions.    このプロジェクトは、組織が既存のエンタープライズ環境をZTAに進化させる方法を計画するのに役立ちます。現在のリソースの評価から始まり、継続的な改善の道筋に沿ってマイルストーンを設定し、リスク、コスト、リソースに基づいて優先的に設定したZTA目標の達成に徐々に近づけていくことが可能です。これは、多くの企業がZTAに向けてエンタープライズアーキテクチャを進化させる際に、既存のエンタープライズ環境から始めて徐々に機能を追加・適応させていくという、段階的なアプローチで開発することを想定しています。EIGは、今日のハイブリッド環境で利用されている他の展開アプローチの基礎となるコンポーネントと見なされているため、私たちの最初の実装は、拡張IDガバナンス(EIG)展開のクローラルバージョンです。最初のEIGの実装では、アクセス・ポリシーを決定する主な決定要因として、被験者のアイデンティティとデバイスの健全性を使用しています。  
Depending on the current state of identity management in the enterprise, deploying EIG solutions is an initial key step that will be leveraged to support micro-segmentation and software-defined perimeter (SDP) deployment approaches, which will be covered in the later phases of the project. Our strategy is to follow an agile implementation methodology to build everything iteratively and incrementally while adapting or adding more capabilities to evolve to a complete ZTA. We are starting with the minimum viable EIG solution that allows us to achieve some level of ZTA, and then we will gradually deploy additional functional components and features to address an increasing number of ZTA requirements, progressing the project toward demonstration of more robust micro-segmentation and SDP deployment options.  企業におけるアイデンティティ管理の現状にもよりますが、EIG ソリューションの導入は、マイクロセグメンテーションや SDP (Software-Defined Perimeter) の導入アプローチをサポートするために活用される最初の重要なステップであり、プロジェクトの後のフェーズで取り上げられる予定です。私たちの戦略は、アジャイルな実装方法論に従って、完全なZTAに進化させるために機能を適応させたり追加しながら、反復的かつ段階的にすべてを構築していくことです。まず、ある程度のZTAを実現できる最小限のEIGソリューションから着手し、その後、機能コンポーネントや機能を徐々に追加してZTA要件の増加に対応し、より堅牢なマイクロセグメンテーションとSDP展開オプションの実証に向けてプロジェクトを進展させる予定です。

 

協力企業は24社ありますね。。。こうしてみると、全てが米国の企業ではないのかも知れませんが、米国は企業の層が厚いですよね。。。

  1. Appgate
  2. AWS
  3. Broadcom Software
  4. Cisco
  5. DigiCert
  6. f5
  7. Forescout
  8. Google Cloud
  9. IBM
  10. Ivanti
  11. Lookout
  12. Mandiant
  13. Microsoft
  14. Okta
  15. Palo Alto Networks
  16. PC Matic
  17. Ping Identity
  18. Radiant Logic
  19. SailPoint
  20. Tenable
  21. Trellix
  22. VMware
  23. Zimperium
  24. Zscaler

 

NCCoE

・2022.06.03 The Zero Trust Architecture (ZTA) Team Releases Preliminary Draft Practice Guide (Vol A)

 

 

| | Comments (0)

2022.05.26

意見募集 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に対する意見募集について (2022.04.26)

こんにちは、丸山満彦です。

欧米、中国でもデジタル市場の競争についての規制のあり方が検討されていますが、日本でも内閣にデジタル市場競争本部にデジタル市場競争会議が設置されていて、議論されていますね。。。

すっかり忘れていましたが、

  1. 「モバイル・エコシステムに関する競争評価 中間報告(案)」
  2. 「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告(案)」

についての意見募集がされていました。。。

(だって、デジタル市場競争会議が年に1回しか開催されていなくて、突然、パブコメが出てくるんですから...)

 

で、セキュリティ面で気になるのが、アプリの配信の部分ですかね。。。

競争的な視点では、

・アプリの配信をAppStore等に限定するのは懸念があるのでしょうが、

セキュリティやプライバシーの面で考えると、、、

アプリの配信手段をPCのように市場に解放するというのは危ないように思うのですが、皆さんはどう思いますかね。。。一旦解放してしまうと引き返せないので、しかも、影響はグローバルに及ぶし。。。

相当頭を使わないといけない部分なのだろうと思います。。。いますぐ解放という議論にならなければ良いのですが。。。。

海外の法制度の状況もまとまっていますから、目を通したら良いですね。。。

 

● e-Gov

・2022.04.26 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に対する意見募集について

 

意見募集対象

20220526-142758

20220526-142936

 

デジタル市場競争会議

・2022.04.26 第6回 デジタル市場競争会議 配布資料

議題は、

  1. 「モバイル・エコシステムに関する競争評価 中間報告(案)」について
  2. 「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告(案)」について

です。。。

配布資料は、

資料1: モバイル・エコシステム及び新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価中間報告(案) 説明資料 最終版
資料2: モバイル・エコシステムに関する競争評価 中間報告(案) 概要 最終版
資料3: 新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告(案) 概要 最終版
資料4: モバイル・エコシステムに関する競争評価 中間報告(案) 本体 最終版
資料5: 新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告(案) 本体 最終版

となっています。。。

 

| | Comments (0)

より以前の記事一覧