クラウド

2023.11.19

APEC デジタルアジェンダ関係

こんにちは、丸山満彦です。

APEC2023が開催されていましたね。。。First Roundの議題の中にデジタル経済のアジェンダがあったようで、米国国務省のページに記載がありましたので、紹介です。。。

Apec_2023_tag_horizontal

 

DFFTにも少し関係しますかね。。。

 

U.S. Department of State

Asia-Pacific Economic Cooperation

 

・2023.11.17 U.S. 2023 APEC Outcomes

デジタルアジェンダの部分だけ...

DIGITAL PACIFIC AGENDA デジタル・パシフィック・アジェンダ
Through the Digital Pacific Agenda, the United States committed to working with APEC economies to shape the rules, norms, and standards that govern the digital economy, expand secure digital access for consumers and businesses, and support the responsible design, development, and deployment of emerging digital technologies. デジタル・パシフィック・アジェンダを通じて、米国はAPECエコノミーと協力し、デジタル経済を管理するルール、規範、標準を形成し、消費者と企業のための安全なデジタルアクセスを拡大し、新興デジタル技術の責任ある設計、開発、展開を支援することを約束した。
Digital Economy and Digitalization デジタル経済とデジタル化
The United States along with fellow Global Cross-Border Privacy Rules Forum Members established the Global Cooperation Arrangement for Privacy Enforcement (CAPE), bringing APEC’s cooperation in privacy enforcement through the APEC Cross-Border Privacy Enforcement Arrangement (CPEA) to the global stages. 米国は、グローバル・クロスボーダー・プライバシー・ルール・フォーラムの加盟国とともに、プライバシー執行のためのグローバル協力取り決め(CAPE)を設立し、APECクロスボーダー・プライバシー執行取り決め(CPEA)を通じたプライバシー執行におけるAPECの協力を世界的な段階に引き上げた。
The United States hosted the inaugural APEC Digital Month in August in Seattle, which convened hundreds of public and private sector experts in more than 40 technical workshops, roundtables, and public-private dialogues on a range of digital topics. 米国は8月にシアトルで第1回APECデジタル月間を主催し、40以上の技術ワークショップ、円卓会議、官民対話に数百人の官民専門家を集め、デジタルに関する様々なトピックを議論した。
APEC has endorsed the Recommendations for Cloud Transformation in APEC which will promote the accelerated adoption of cloud computing technologies in the region.
APECは「APECにおけるクラウド・トランスフォーメーションのための提言」を承認し、域内におけるクラウド・コンピューティング技術の導入加速を促進する。
The United States initiated a dialogue about new and emerging low-earth orbit satellite communication systems that can advance the objective of extending connectivity to everyone in the APEC region. 米国は、APEC地域のすべての人々に接続性を拡大するという目的を推進することができる、新しい低軌道衛星通信システムに関する対話を開始した。
The United States furthered APEC’s work on digital assets to help economies commit to maintaining high regulatory standards, closing regulatory gaps, and promoting financial stability. 米国は、エコノミーが高い規制標準を維持し、規制格差を是正し、金融の安定を促進することを約束できるよう、デジタル資産に関するAPECの作業をさらに進めた。
The APEC Closing the Digital Skills Gap Forum sought to provide economies with tools to invest in the digital upskilling and reskilling of the workforce and address the skills gap exacerbated by the COVID-19 pandemic. APEC Closing the Digital Skills Gap Forumは、エコノミーが労働力のデジタル・アップスキリングとリスキリングに投資し、COVID-19パンデミックによって悪化したスキル・ギャップに対処するためのツールを提供することを目指した。
APEC members worked to increase capacity to integrate digital health and telehealth solutions and further develop health ecosystems, including through exploring the possible development of digital health-focused toolbox for APEC economies. APECメンバーは、APECエコノミーのためのデジタルヘルスに焦点を当てたツールボックスの開発の可能性を探ることを含め、デジタルヘルスと遠隔医療ソリューションを統合し、ヘルスエコシステムをさらに発展させる能力を高めるために努力した。
Promoting Digital Trade デジタル貿易の促進
The U.S. held trade policy dialogues on Digital Trade, focused on building regulatory environments conducive to maximizing the flow of data and on building a worker-centric digital trade agenda across the APEC region. 米国はデジタル貿易に関する貿易政策対話を開催し、データの流れを最大化するのに資する規制環境の構築と、APEC地域全体で労働者中心のデジタル貿易アジェンダを構築することに焦点を当てた。
In May, APEC Trade Ministers endorsed Principles for the Interoperability of E-Invoicing Systems, which will promote interoperable approaches and the use of digital technologies to facilitate trade and investment . この原則は、貿易と投資を促進するための相互運用可能なアプローチとデジタル技術の利用を促進するものである。
In May, APEC Trade Ministers endorsed Principles for the Interoperability of E-Invoicing Systems, which will promote interoperable approaches and the use of digital technologies to facilitate trade and investment. APECエコノミーは、オープンな政府データへのアクセスを促進するための原則を承認した。この原則は、公共部門データへの相互運用性とアクセスの基本原則を促進するために、異なる管轄区域間の協力を強化することを目指すものである。

 

 

関連リンク

商務省のプライバシー関連...

U.S. Department of Commerce

Global Cross-Border Privacy Rules Declaration

 

Global Cross-Border Privacy Rules (CBPR) Forum

・[PDF] GLOBAL COOPERATION ARRANGEMENT FOR PRIVACY ENFORCEMENT

デジタル月間

U.S. Department of State

・203.08 APEC DIGITAL MONTH

 

クラウド関係

● APEC

・2023.08 [PDF] Recommendations for Cloud Transformation in APEC (Endorsed) 

Annex 1: Principles for the Interoperability of Electronic Invoicing Systems in the APEC Region

・[PDF] NON-BINDING PRINCIPLES FOR FACILITATING ACCESS TO OPEN GOVERNMENT DATA IN THE APEC REGION

 

| | Comments (0)

2023.11.18

ENISA EUにおけるサイバーセキュリティ投資 2023

こんにちは、丸山満彦です。

ENISAがセキュリティ投資に関する報告書2023年版を公表していますね。。。

なかなか興味深いです。。。


EU及びその諸国が政策を立案する際の参考にするために、行なっているようです。今年で4年目?。今年度は輸送セクターに焦点を当てていますね。。。

EUもグローバルの比較データが欲しいと思うので(一部は組み込まれていますが、、、)、日本も政策立案の際には必要となるのでしょうから、調整をして同じ調査をしても良いように思うんですけどね。。。どうかしら。。。

日本って政策立案についての定量的な分析を十分にせずに、一部の、政府職員、政治家、一部有識者?、それらの取り巻き?の思い、思いつきできまってしまうことが多くないでしょうかね。。。もう少し定量データ等を取り入れたらどうでしょうかね。。。

 

ENISA

・2023.11.16 Cybersecurity Investment: Spotlight on Vulnerability Management

Cybersecurity Investment: Spotlight on Vulnerability Management サイバーセキュリティ投資: 脆弱性管理にスポットライトを当てる
The new report of the European Union Agency for Cybersecurity (ENISA) confirms investment continues to grow but stresses the importance of vulnerability management. 欧州連合サイバーセキュリティ機関(ENISA)の新しい報告書は、投資が引き続き増加していることを確認する一方で、脆弱性管理の重要性を強調している。
Despite a 25% increase of the cost of major cyber incidents in 2022 compared to 2021, the new report on cybersecurity investment reveals a slight increase of 0,4% of IT budget dedicated to cybersecurity by EU operators in scope of the NIS Directive. 2022年の主要なサイバーインシデントのコストは2021年と比較して25%増加したにもかかわらず、サイバーセキュリティ投資に関する新しい報告書では、NIS指令の適用範囲にあるEUの事業者によるサイバーセキュリティに充てられるIT予算の0.4%のわずかな増加が明らかになった。
However, if organisations are inclined to allocate more budget to cybersecurity, 47% of the total of organisations surveyed do not plan to hire information security Full Time Equivalents (FTEs) in the next two years. Besides, 83% of these organisations claim recruitment difficulties in at least one information security domain. Such hiring issues surfacing in the report could be one of the factors when it comes to managing vulnerabilities. しかし、組織がサイバーセキュリティにより多くの予算を割り当てる傾向があるとしても、調査対象となった組織全体の47%は、今後2年間に情報セキュリティ専任者(FTE)を雇用する予定がない。また、これらの組織の83%は、少なくとも1つの情報セキュリティ分野で採用難に陥っていると主張している。報告書で表面化したこのような雇用の問題は、脆弱性の管理に関して言えば、その要因の一つである可能性がある。
Indeed, an analysis on patching of critical IT and OT assets in the transport sector shows that 51% of the organisations in the transport sector need one month to patch critical vulnerabilities and 21% need a time between 1 month and six months. Only 28% of the surveyed organisations fix critical vulnerabilities on critical assets in one week. 実際、運輸部門における重要なITおよびOT資産のパッチ適用に関する分析によると、運輸部門の組織の51%が重要な脆弱性のパッチ適用に1カ月、21%が1カ月から6カ月の期間を必要としている。調査対象となった組織のうち、重要な資産の脆弱性を1週間で修正しているのは28%に過ぎない。
EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar, said: “Allocating sufficient budgetary and human resources to cybersecurity is key to our success. Managing vulnerabilities is essential and must go hand-in-hand with "secure by design" initiatives. In the meantime, we do need to continually invest in areas such as identifying, managing and reporting vulnerabilities that can have an impact on the security of the whole Digital Single Market.” EUサイバーセキュリティ機関のジュハン・レパサール事務局長は、次のように述べている: 「サイバーセキュリティに十分な予算と人的資源を割くことが成功の鍵である。脆弱性の管理は不可欠であり、"セキュア・バイ・デザイン "の取り組みと密接に連携しなければならない。その一方で、デジタル単一市場全体のセキュリティに影響を与えうる脆弱性の識別、管理、報告といった分野に継続的に投資する必要がある」と述べた。
Objective of the report on cybersecurity investment サイバーセキュリティ投資に関する報告書の目的
The new report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. Collected from a total of 1,080 Operators of Essential Services (OES) and Digital Services Providers (DSP) from all 27 EU Member States, the data apply to reference year 2022. 新しい報告書は、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査している。EU全27加盟国の1,080の基幹サービス事業者(OES)およびデジタルサービスプロバイダー(DSP)から収集したもので、2022年を基準年としている。
Scope of the report レポートの範囲
For the purpose of the analysis published today, the survey performed looked at OES and DSP as identified in the European Union's Directive on Network and Information Security Systems (NIS Directive). The objective of the report was to identify how organisation invest in cybersecurity in relation to the objective of meeting the requirements set by the initial NIS Directive. 本日発表された分析では、欧州連合(EU)のネットワークと情報セキュリティシステムに関する指令(NIS指令)で特定されたOESとDSPを対象とした。この報告書の目的は、NIS指令で定められた要件を満たすという目的に関連して、組織がどのようにサイバーセキュリティに投資しているかを明らかにすることである。
However, the concept of investment also extends to the human element. 2023 is the European Year of Skills. This is why particular emphasis was placed on the topic of cybersecurity skills among OES and DSPs and to cybersecurity workforce hiring and gender balance. しかし、投資の概念は人的要素にも及ぶ。2023年は欧州技能年である。このため、OESとDSPのサイバーセキュリティ・スキル、サイバーセキュリティ人材の雇用とジェンダー・バランスに特に重点が置かれている。
The report therefore delves into IT security staffing and organisation of information security by OES and DSP with a special focus on the transport sector. そこで本報告書では、運輸部門に特に焦点を当て、OESとDSPによるITセキュリティの人員配置と情報セキュリティの組織について掘り下げている。
Key findings 主な調査結果
・The part of IT budget OES/DSPs dedicated to cybersecurity reached 7,1% in 2022, representing an increase of 0,4% compared to 2021; ・OES/DSPがサイバーセキュリティに充てるIT予算の割合は、2022年には7.1%に達し、2021年と比較して0.4%増加した;
・42% of OES/DSPs subscribed to a dedicated cyber insurance solution in 2022, representing a 30% increase from 2021. Still only 13% of SMEs subscribe to cyber insurance; ・OES/DSPの42%が2022年にサイバー保険に加入し、2021年から30%増加した。サイバー保険に加入している中小企業はまだ13%に過ぎない;
・OES/DSPs allocate 11,9% of their IT FTEs for information security (IS) a decrease of 0,1% ・OES/DSPは、IT部門の従業員数の11.9%を情報セキュリティ(IS)に割り当てているが、これは0.1%の減少である。
・OES/DSPs employ an average of 11% of women in IS FTEs. With median being at zero percent most of surveyed organisations do not employ any women as part of their IS FTEs; ・OES/DSPは、ISのFTEに平均11%の女性を雇用している。中央値は0%で、調査対象組織のほとんどがIS FTEに女性を雇用していない;
・47% of OES or DSPs do not plan to hire IS FTEs in the next two years, ・OESまたはDSPの47%は、今後2年間にIS FTEを雇用する予定はない、
・The organisations planning to hire information security FTEs in the next two years aim to hire 2 FTEs, with an average of 4 FTEs but 83% of the surveyed organisations claim recruitment difficulties in at least one information security domain. ・今後2年間に情報セキュリティのFTEを採用する予定の組織は、2FTE、平均4FTEを採用することを目標としているが、調査対象組織の83%は、少なくとも1つの情報セキュリティ分野で採用難を訴えている。
T・he NIS Directive is the main driver for cybersecurity investments for 55% of OES in the transport sector; ・NIS指令は、運輸部門のOESの55%にとってサイバーセキュリティ投資の主な推進力となっている;
・51% of the transport organisations manage OT security with the same unit or people as IT cybersecurity. ・運輸組織の51%は、ITサイバーセキュリティと同じ部署や人員でOTセキュリティを管理している。
Vulnerability Management 脆弱性管理
Vulnerability management describes the process to identify and assess the associated risk of security vulnerabilities in order to resolve the cause before these can be exploited or intelligently reduce the risk of it by implementing adequate mitigation measures. 脆弱性マネジメントとは、セキュリティ脆弱性が悪用される前にその原因を解決するため、または適切な軽減策を実施することでリスクを識別し、関連するリスクを評価するプロセスを指す。
Managing vulnerabilities and ensuring patches are available protects the end-users and helps to ensure security is applied across the whole lifecycle of any product. The 2022 edition of the NIS Investments report found that for 46 % of organisations surveyed it takes more than 1 month to patch critical vulnerabilities.   Improving interoperability, automation and streamlined processes in order to exchange information can go a long way towards ensuring vulnerability disclosure. At the same time, vendors need to have the appropriate tools, processes and people in place to implement secure-by-design practices in order to reduce the risk for users, whereas organisations are responsible to reduce the time between the disclosure of vulnerabilities and their remediation by enabling tooling for automated vulnerability information sharing. 脆弱性を管理し、パッチを確実に適用することは、エンドユーザーを保護し、あらゆる製品のライフサイクル全体にわたってセキュリティが確実に適用されることにつながる。NISインベストメンツ・レポートの2022年版によると、調査対象となった組織の46%で、重要な脆弱性のパッチ適用に1カ月以上かかっている。  情報交換のための相互運用性の改善、自動化、合理化されたプロセスは、脆弱性の情報開示を確実にするために大いに役立つ。同時に、ベンダーは、ユーザーのリスクを低減するために、セキュアバイデザインの実践のための適切なツール、プロセス、人材を用意する必要がある。一方、組織は、自動化された脆弱性情報共有のためのツールを有効にすることで、脆弱性の開示からその修復までの時間を短縮する責任がある。
EU Vulnerability Coordination and Vulnerability Database EU脆弱性調整と脆弱性データベース
The NIS2 establishes a basic framework with responsible key actors on coordinated vulnerability disclosure for newly discovered vulnerabilities across the EU and creates an EU vulnerability database for publicly known vulnerabilities in ICT products and ICT services, to be operated and maintained by the EU agency for cybersecurity (ENISA). The combination of national and EU efforts will form the basis for a mature vulnerability disclosure ecosystem within the EU. Importantly, these initiatives will contribute to an enhanced vulnerability management landscape. NIS2は、EU全域で新たに発見された脆弱性について、責任ある主要な関係者が協調して脆弱性を開示する基本的な枠組みを確立し、ICT製品およびICTサービスにおける公知の脆弱性に関するEU脆弱性データベースを構築し、EUのサイバーセキュリティ機関(ENISA)が運営・管理する。国内とEUの取り組みが組み合わさることで、EU域内で成熟した脆弱性情報公開のエコシステムが形成されることになる。重要なことは、これらの取り組みが脆弱性管理の強化に貢献することである。
The EU cybersecurity policy framework includes a number of proposed policy files. These include the Cyber Resilience Act (CRA) and the Cyber Solidarity Act (CSoA) which include provisions that propose to further improve vulnerability management in the EU, such as additional measures ensuring the quality of products and services that will contribute to the application of security aspects throughout the entire product lifecycle. EUのサイバーセキュリティ政策の枠組みには、数多くの政策ファイルが提案されている。これらには、サイバーレジリエンス法(CRA)やサイバー連帯法(CSoA)が含まれ、製品のライフサイクル全体を通じてセキュリティの側面を適用することに貢献する製品やサービスの品質を保証する追加措置など、EUにおける脆弱性管理のさらなる改善を提案する条項が含まれている。
Background 背景
The objective of the Directive on Security of Network and Information Systems (NIS Directive) is to achieve a high common level of cybersecurity across all Member States. The revised directive known as NIS2 came into force on 16 January 2023 extended the scope to new economic sectors. ネットワークと情報システムのセキュリティに関する指令(NIS指令)の目的は、全加盟国に共通するサイバーセキュリティの高いレベルを達成することである。NIS2として知られる改正指令は2023年1月16日に発効し、新たな経済分野にも適用範囲が拡大された。
One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for OES and DSP. NIS指令の3つの柱の1つは、OESとDSPに対するリスクマネジメントと報告義務の実施である。
OES provide essential services in strategic sectors of energy (electricity, oil and gas), transport (air, rail, water and road), banking, financial market infrastructures, health, drinking water supply and distribution, and digital infrastructure (Internet exchange points, domain name system service providers, top-level domain name registries). OESは、エネルギー(電力、石油、ガス)、運輸(航空、鉄道、水運、道路)、銀行、金融市場インフラ、健康、飲料水の供給と配給、デジタルインフラ(インターネットエクスチェンジポイント、ドメインネームシステムサービスプロバイダー、トップレベルドメイン名レジストリ)の戦略的セクターで必要不可欠なサービスを提供している。
DSP operate in an online environment, namely online marketplaces, online search engines and cloud computing services. DSPは、オンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティング・サービスといったオンライン環境で事業を展開している。
The report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. It also gives an overview of the situation in relation to such aspects as IT security staffing, cyber insurance and organisation of information security in OES and DSP. 本報告書では、事業者がサイバーセキュリティにどのように投資し、NIS指令の目的をどのように遵守しているかを調査している。また、OESとDSPにおけるITセキュリティスタッフの配置、サイバー保険、情報セキュリティの組織化といった側面に関する状況についても概観している。
Further Information 詳細情報
NIS Investments – ENISA report 2023 NIS投資 - ENISAレポート2023
NIS Investments – ENISA report 2022 NIS投資 - ENISAレポート2022
ENISA Topic - NIS Directive ENISAトピック - NIS指令
Directive on measures for a high common level of cybersecurity across the Union (NIS2) 欧州連合全体におけるサイバーセキュリティの高度な共通レベルの対策に関する指令(NIS2)

 

 

・2023.11.16 NIS Investments Report 2023

・[PDF]

20231118-74126

・[DOCX] 仮訳

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

| | Comments (0)

EDPB 意見募集 Privacy指令の対象となるトラッキング技術を明確にするためのガイドライン(案)(2023.11.16)

こんにちは、丸山満彦です。

EDPB、ePrivacy指令の対象となるトラッキング技術を明確にするガイドライン案を公表し、意見募集をしていますね。。。

ガイドライ名は、Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive (ePrivacy指令第5条(3)の技術的範囲に関するガイドライン 2/2023)

 

European Data Protection Board; EDPB

・2023.11.16 EDPB provides clarity on tracking techniques covered by the ePrivacy Directive 15 November 2023 EDPB

・2023.11.16 Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

・[PDF

20231118-14503

 

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive  ePrivacy指令第5条(3)の技術的範囲に関するガイドライン 2/2023
Adopted on 14 November 2023 2023年11月14日採択
Executive summary 要旨
In these Guidelines, the EDPB addresses the applicability of Article 5(3) of the ePrivacy Directive to different technical solutions. These Guidelines expand upon the Opinion 9/2014 of the Article 29 Working Party on the application of ePrivacy Directive to device fingerprinting and aim to provide a clear understanding of the technical operations covered by Article 5(3) of the ePrivacy Directive. 本ガイドラインにおいて、EDPB は ePrivacy 指令第 5 条(3)の様々な技術的ソリューションへの適用可能性を取り上げる。本ガイドラインは、デバイスのフィンガープリンティングへの ePrivacy 指令の適用に関する Article 29 Working Party の意見 9/2014 を発展させ、ePrivacy 指令の Article 5(3)の対象となる技術的操作の明確な理解を提供することを目的とする。
The emergence of new tracking methods to both replace existing tracking tools (for example, cookies, due to discontinued support for third-party cookies) and create new business models has become a critical data protection concern. While the applicability of Article 5(3) of the ePrivacy Directive is well established and implemented for some tracking technologies such as cookies, there is a need to remove ambiguities related to the application of the said provision to emerging tracking tools. 既存の追跡ツール(例えば、サードパーティ製クッキーのサポートが打ち切られたことによるクッキー)に取って代わり、また新たなビジネスモデルを生み出す新たな追跡方法の出現は、データ保護の重大な関心事となっている。eプライバシー指令の第5条3項の適用可能性は、クッキーのようないくつかのトラッキング技術については十分に確立され、実施されているが、新たなトラッキングツールへの同規定の適用に関する曖昧さを取り除く必要がある。
The Guidelines identify four key elements for the applicability of Article 5(3) of the ePrivacy Directive (section 2.1), namely ‘information’, ‘terminal equipment of a subscriber or user’, ‘gaining access and ‘stored information and storage’. The Guidelines further provide a detailed analysis of each element (section 2.2-2.6).  本ガイドラインは、eプライバシー指令第5条3項(2.1項)の適用可能性に関する4つの重要な要素、すなわち「情報」、「加入者またはユーザーの端末機器」、「アクセスの獲得」、「保存された情報および保存」を特定している。ガイドラインはさらに、各要素の詳細な分析を提供している(2.2-2.6項)。
In section 3, that analysis is applied to a non-exhaustive list of use cases representing common techniques, namely: セクション3では、その分析が、一般的な技術を代表するユースケースの非網羅的なリストに適用されている:
- URL and pixel tracking ・URLとピクセルのトラッキング
- Local processing ・ローカル処理
- Tracking based on IP only ・IPのみに基づくトラッキング
- Intermittent and mediated Internet of Things (IoT) reporting ・断続的かつ媒介されたモノのインターネット(IoT)報告
- Unique Identifier                                                                ・一意識別子
TABLE OF CONTENTS 目次
1  Introduction  1 序文 
2  Analysis  2 分析 
2.1  Key elements for the applicability of Article 5(3) ePD  2.1 ePD第5条3項が適用されるための主な要素 
2.2  Notion of ‘information’  2.2 「情報」の概念 
2.3  Notion of ‘Terminal Equipment of a Subscriber or User’  2.3 「加入者または利用者の端末機器」の概念 
2.4  Notion of ‘electronic communications network’  2.4 「電子コミュニケーション・ネットワーク」の概念 
2.5  Notion of ‘gaining access’  2.5 「アクセスを得る」という概念 
2.6  Notions of ‘Stored Information’ and ‘Storage’  2.6 「蓄積情報」および「保管」の概念 
3  Use cases 3 ユースケース
3.1  URL and pixel tracking  3.1 URLとピクセルのトラッキング 
3.2  Local processing 3.2 ローカル処理
3.3  Tracking based on IP only  3.3 IPのみに基づくトラッキング 
3.4  Intermittent and mediated IoT reporting 3.4 断続的かつ媒介的なIoT報告
3.5  Unique Identifier 3.5 一意識別子
The European Data Protection Board 欧州データ保護委員会
Having regard to Article 70 (1)(e) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, (hereinafter, ‘GDPR’), 個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会規則2016/679/EUの第70条(1)(e)を考慮し、指令95/46/ECを廃止する、
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018 , EEA協定、特に2018年7月6日付EEA合同委員会決定第154/2018号により改正された附属書XIおよびその第37議定書を考慮する、
Having regard to Article 15(3) of the Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector, as amended by Directive 2009/136/EC (hereinafter, ‘ePrivacy Directive’ or ‘ePD’), 指令2009/136/EC(以下、「eプライバシー指令」又は「ePD」)により改正された、電子コミュニケーション分野における個人データの処理及びプライバシーの保護に関する2002年7月12日の欧州議会及び理事会指令2002/58/ECの第15条3項を考慮する、
Having regard to Article 12 and Article 22 of its Rules of Procedure, その手続規則の第12条および第22条を考慮し、以下のガイドラインを採択した、
Has Adopted The Following Guidelines: 以下のガイドラインを採択した:
----- -----
1 INTRODUCTION  1 序文 
1. According to Article 5(3) ePD, ‘the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user’ is only allowed on the basis of consent or necessity for specific purposes set out in that Article. As reminded in Recital 24 of the ePD, the goal of that provision is to protect the users’ terminal equipment, as they are part of the private sphere of the users. It results from the wording of the Article and has been made clear (for example, in the Article 29 Working Party (hereinafter, ‘WP29’) Opinion 4/2012 on Cookie Consent Exemption ), that Article 5(3) ePD does not exclusively apply to cookies, but also to ‘similar technologies’. However, there is currently no comprehensive list of the technical operations covered by Article 5(3) ePD.  1. ePD第5条3項によると、「加入者または利用者の端末機器に情報を保存すること、またはすでに保存された情報にアクセスすること」は、同条に規定された特定の目的のための同意または必要性に基づいてのみ許可される。ePDのRecital 24にあるように、この規定の目的は、利用者の端末機器を保護することである。ePD第5条(3)がクッキーにのみ適用されるのではなく、「類似の技術」にも適用されることは、同条の文言から明らかであり、(例えば、クッキーに関する同意の免除に関する第29条作業部会(以下、「WP29」)の意見4/2012において)明らかにされている。しかし、現在のところ、第5条3項ePDの対象となる技術的操作の包括的なリストはない。
2. WP29 Opinion 9/2014 on the application of ePrivacy Directive to device fingerprinting (hereinafter, ‘WP29 Opinion 9/2014’) has already clarified that fingerprinting falls within the technical scope of Article 5(3) ePD, but due to the new advances in technologies further guidance is needed with respect to the tracking techniques currently observed. The technical landscape has been evolving during the last decade, with the increasing use of identifiers embedded in operating systems, as well as the creation of new tools allowing the storage of information in terminals. 2. デバイスのフィンガープリンティングへの ePrivacy 指令の適用に関する WP29 の意見 9/2014(以下、「WP29 の意見 9/2014」)は、フィンガープリンティングが第 5 条(3)ePD の技術的範囲に含まれることを既に明確にしているが、技術の新たな進歩により、現在観察されている追跡技術に関して更なるガイダンスが必要である。オペレーティングシステムに埋め込まれた識別子の使用が増加しているほか、端末に情報を保存できる新しいツールが開発されるなど、技術的な状況は過去10年間に進化している。
3. The ambiguities regarding the scope of application of Article 5(3) ePD have created incentives to implement alternative solutions for tracking internet users and lead to a tendency to circumvent the legal obligations provided by Article 5(3) ePD. All such situations raise concerns and require a supplementary analysis in order to complement the previous guidance from the EDPB. 3. ePD第5条3項の適用範囲に関する曖昧さは、インターネットユーザーを追跡するための代替ソリューションを導入する誘因を生み出し、ePD第5条3項が提供する法的義務を回避する傾向につながっている。このような状況はすべて懸念を生じさせるものであり、EDPBによるこれまでのガイダンスを補完するために補足的な分析が必要である。
4. The aim of these Guidelines is to conduct a technical analysis on the scope of application of Article 5(3) ePD, namely to clarify what is covered by the phrase ‘to store information or to gain access to information stored in the terminal equipment of a subscriber or user’. These Guidelines do not intend to address the circumstances under which a processing operation may fall within the exemptions from the consent requirement provided for by the ePD.  4. 本ガイドラインの目的は、第5条(3)ePDの適用範囲に関する技術的分析を行うこと、すなわち、「情報を保存するため、または加入者もしくはユーザーの端末機器に保存された情報にアクセスするため」という表現によって何がカバーされるのかを明確にすることである。本ガイドラインは、処理操作がePDが規定する同意要件の適用除外に該当する可能性がある状況を取り上げる意図はない。
5. A non-exhaustive list of specific use-cases will be analysed in the final part of these Guidelines.  5. 具体的なユースケースの非網羅的なリストは、本ガイドラインの最終部分で分析される。
2 ANALYSIS 2 分析
2.1 Key elements for the applicability of Article 5(3) ePD 2.1 ePD第5条(3)の適用可能性に関する重要な要素
6.  Article 5(3) ePD applies if:  6.  第5条(3)ePDは以下の場合に適用される: 
a. CRITERION A:  the operations carried out relate to ‘information’. It should be noted that the term used is not ’personal data’, but ‘information’. a. 判断基準 A:実施される業務が「情報」に関するものである。ここで使用されている用語は「個人データ」ではなく「情報」であることに留意すべきである。
b. CRITERION B: the operations carried out involve a ‘terminal equipment’ of a subscriber or user.  b. 判断基準 B:実施される業務が、加入者または利用者の「端末機器」に関係する。
c. CRITERION C: the operations carried out are made in the context of the ‘provision of publicly available electronic communications services in public communications networks’.  c. 判断基準 C:実施される業務が、「公衆通信網における公に利用可能な電子通信サービスの提供」という文脈で行われる。
d. CRITERION D: the operations carried out indeed constitute a ‘gaining of access’ or ‘storage’.  Those two notions can be studied independently, as reminded in WP29 Opinion 9/2014: ‘Use of the words “stored or accessed” indicates that the storage and access do not need to occur within the same communication and do not need to be performed by the same party. d. 判断基準 D:実施された操作は、確かに「アクセスの獲得」または「保存」を構成する。 これら二つの概念は、WP29 意見書 9/2014 で想起されたように、独立して検討することができる: 保管又はアクセスされる」という文言の使用は、保管とアクセスが同一のコミュニケーション 内で行われる必要はなく、同一の当事者によって行われる必要もないことを示している。
For the sake of readability, the entity gaining access to information stored in the user’s terminal equipment will be hereafter referred to as an ‘accessing entity’. 読みやすくするため、ユーザの端末機器に保存された情報にアクセスする事業体を、以後「アクセスする事業体」と呼ぶ。
2.2 Notion of ‘information’ 2.2 「情報」の概念
7. As expressed in CRITERION A, this section details what is covered by the notion of ‘information’. The choice of the term, much broader than the notion of personal data, is related to the scope of the ePrivacy Directive.  7. 基準Aで示したように、本節では「情報」の概念でカバーされる内容を詳述する。個人データの概念よりはるかに広いこの用語の選択は、ePrivacy 指令の範囲に関連している。
8. The goal of Article 5(3) ePD is to protect the private sphere of the users, as stated in its Recital 24: ‘Terminal equipment of users of electronic communications networks and any information stored on such equipment are part of the private sphere of the users requiring protection under the European Convention for the Protection of Human Rights and Fundamental Freedoms’. Consequently, it is also protected by Article 7 of the EU Charter of Fundamental Rights. 8. ePD第5条3項の目的は、そのリサイタル24に記載されているように、利用者の私的領域を保護することである。「電子コミュニケーションネットワークの利用者の端末機器および当該機器に保存された情報は、人権および基本的自由の保護に関する欧州条約に基づく保護を必要とする利用者の私的領域の一部である」。その結果、EU基本権憲章第7条によっても保護される。
9. In fact, scenarios that do intrude into this private sphere even without involving any personal data are explicitly covered by the wording of the Article 5(3) ePD and by Recital 24, for example the storage of viruses on the user’s terminal. This shows that the definition of the term ‘information’ should not be limited the property of being related to an identified or identifiable natural person. 9. 実際、個人データに関係なくとも、この私的領域に侵入するシナリオは、ePD第5条3項の文言と前文24によって明確にカバーされている。このことは、「情報」という用語の定義が、個人を特定できる自然人に関連するという性質に限定されるべきではないことを示している。
10. This has been confirmed by the Court of Justice of the EU: ‘That protection applies to any information stored in such terminal equipment, regardless of whether or not it is personal data, and is intended, in particular, as is clear from that recital, to protect users from the risk that hidden identifiers and other similar devices enter those users’ terminal equipment without their knowledge’ . 10. この保護は、個人データであるか否かにかかわらず、そのような端末機器に保存されているあらゆる情報に適用され、特に、同議定書から明らかなように、隠れた識別子やその他類似のデバイスがユーザーの知らないうちにユーザーの端末機器に入り込むリスクからユーザーを保護することを意図している」。
11. Whether the origin of this information and the reasons why it is stored in the terminal equipment should be considered when assessing the applicability of Article 5(3) ePD have been previously clarified, for example in the WP29 Opinion 9/2014: ‘It is not correct to interpret this as meaning that the third-party does not require consent to access this information simply because he did not store it. The consent requirement also applies when a read-only value is accessed (e.g. requesting the MAC address of a network interface via the OS API)’. 11. ePD 第 5 条(3)の適用可能性を評価する際に、この情報の出所と端末機器に保存される理由を考慮すべきかどうか は、例えば WP29 の意見書 9/2014 で以前に明確にされている: サードパーティがこの情報を保存していないという理由だけで、サードパーティがこの情報にアクセスするための同意を必要としないという意味に解釈するのは正しくない。同意の要件は、読み取り専用の値にアクセスする場合にも適用される(例えば、OS API 経由でネッ トワークインターフェースの MAC アドレスを要求する)。
12. In conclusion, the notion of information includes both non-personal data and personal data, regardless of how this data was stored and by whom, i.e. whether by an external entity (also including other entities than the one having access), by the user, by a manufacturer, or any other scenario. 12. 結論として、情報の概念には、非個人データと個人データの両方が含まれ、このデー タがどのように保存され、誰によって保存されたかに関係なく、すなわち、外部事業体 (アクセス権を有する事業体以外の事業体も含む)、ユーザー、製造者、またはその他の シナリオによるものであるかどうかに関係なく、非個人データと個人データの両方が 含まれる。
2.3 Notion of ‘Terminal Equipment of a Subscriber or User’ 2.3 「加入者またはユーザーの端末機器」の概念
13. This section builds on the definition used in Directive 2008/63/EC, where ‘terminal equipment’ is defined as: ‘equipment directly or indirectly connected to the interface of a public telecommunications network to send, process or receive information; in either case (direct or indirect), the connection may be made by wire, optical fibre or electromagnetically; a connection is indirect if equipment is placed between the terminal equipment and the interface of the network’ .  13. このセクションは、指令2008/63/ECで使用されている定義に基づいており、「端末機器」は以下のように定義されている: 直接的または間接的に公衆電気通信網のインターフェースに接続され、情報の送信、処理、受信を行う機器。いずれの場合(直接的または間接的)でも、接続は有線、光ファイバー、または電磁気的に行われる。
14. Recital 24 ePD provides a clear understanding of the role of the terminal equipment for the protection offered by Article 5(3) ePD. The ePD protects users’ privacy not only in relation to the confidentiality of their information but also by safeguarding the integrity of the user’s terminal equipment. This understanding will guide the interpretation of the notion of the terminal equipment throughout these Guidelines. 14. ePDの説明24は、ePD第5条3項が提供する保護における端末機器の役割について明確な理解を示している。ePDは、利用者のプライバシーを、利用者の情報の機密性だけでなく、利用者の端末機器の完全性を保護することによっても保護している。この理解は、本ガイドライン全体を通して、端末機器の概念の解釈の指針となる。
15. Whenever a device is not an endpoint of a communication and only conveys information without performing any modifications to that information, it would not be considered as the terminal equipment in that context. Hence, if a device solely acts as a communication relay, it should not be considered a terminal equipment under Article 5(3) ePD. 15. デバイスがコミュニケーションのエンドポイントでなく、情報に変更を加えることなく情報を伝達す るだけである場合、そのデバイスは端末機器とはみなされない。従って、デバイスが通信の中継としてのみ機能する場合、それは第 5 条(3)ePD に基づく端末機器とみなされるべきではない。
16. A terminal equipment may be comprised of any number of individual pieces of hardware, which together form the terminal equipment. This may or may not take the form of a physically enclosed device hosting all the display, processing, storage and peripheral hardware (for example, smartphones, laptops, connected cars or connected TVs, smart glasses).  16. 端末機器は、端末機器を形成する任意の数の個々のハードウェアから構成される場合がある。これは、すべての表示、処理、記憶、および周辺ハードウェア(例えば、スマートフォン、ラップトップ、コネクティッドカーまたはコネクティッドテレビ、スマートグラス)をホストする物理的に密閉されたデバイスの形態をとる場合もとらない場合もある。
17. The ePD acknowledges that the protection of the confidentiality of the information stored on a user’s terminal equipment and integrity of the user’s terminal equipment is not limited to the protection of the private sphere of natural persons but also concerns the right to respect for their correspondence or the legitimate interests of legal persons. As such, a terminal equipment that allows for this correspondence and the legitimate interests of the legal persons to be carried out is protected under Article 5(3) ePD.   17. ePDは、ユーザーの端末機器に保存された情報の機密性とユーザーの端末機器の完全性の保護は、自然人の私的領域の保護に限定されるものではなく、その通信または法人の正当な利益を尊重する権利にも関係することを認めている。そのため、このような通信や法人の正当な利益の遂行を可能にする端末機器は、ePD第5条第3項により保護される。 
18. The user or subscriber may own or rent or otherwise be provided with the terminal equipment. Multiple users or subscribers may share the same terminal equipment in the context of multiple communications (for example, in the case of a connected car) and a single communication may involve more than one terminal equipment.  18. ユーザーまたは加入者は、端末機器を所有するか、レンタルするか、またはその他の方法で提供されることができる。複数のユーザーまたは加入者は、複数のコミュニケーション(例えば、コネクティッドカーの場合)において同じ端末機器を共有することができ、1 つのコミュニケーションに複数の端末機器が関与することがある。
19. The protection is guaranteed by the ePD to the terminal equipment associated to the user or subscriber involved in the communication, and it is not dependant on whether the electronic communication was initiated by the user or even on whether the user is aware of the said communication.  19. 保護は、通信に関与するユーザーまたは加入者に関連する端末機器に対して ePD によって保証され、電子通信がユーザーによって開始されたかどうか、またはユーザーが当該通信を認識しているかどうかにさえ依存しない。
2.4 Notion of ‘electronic communications network’ 2.4 「電子通信ネットワーク」の概念
20. Another element to consider in order to assess the applicability of Article 5(3) ePD is the notion of ‘electronic communications network’. In fact, the situation regulated by the ePD is the one related to ‘the provision of publicly available electronic communications services in public communications networks in the Community’. It is therefore crucial to delimit the electronic communications network context in which Article 5(3) ePD applies. 20. ePD 第 5 条(3)の適用可能性を評価するために考慮すべきもう一つの要素は、「電子コミュニケーション・ ネットワーク」の概念である。実際、ePDが規制する状況は、「共同体内の公衆通信網における公に利用可能な電子通信サービスの提供」に関するものである。したがって、ePD第5条3項が適用される電子通信ネットワークの文脈を限定することは極めて重要である。
21. The notion of electronic communications network is not defined within the ePD itself. That concept was referred to originally in Directive 2002/21/EC (the Framework Directive) on a common regulatory framework for electronic communications networks and services , subsequently replaced by Directive 2018/1972 (the European Electronic Communications Code). It now reads: 21. 電子通信ネットワークの概念は、ePD自体では定義されていない。この概念はもともと、電子通信ネットワークおよびサービスの共通規制枠組みに関する指令2002/21/EC(枠組み指令)で言及され、その後、指令2018/1972(欧州電子通信規約)で置き換えられた。現在はこうなっている:
‘”electronic communications network” means transmission systems, whether or not based on a permanent infrastructure or centralised administration capacity, and, where applicable, switching or routing equipment and other resources, including network elements which are not active, which permit the conveyance of signals by wire, radio, optical or other electromagnetic means, including satellite networks, fixed (circuit- and packet-switched, including internet) and mobile networks, electricity cable systems, to the extent that they are used for the purpose of transmitting signals, networks used for radio and television broadcasting, and cable television networks, irrespective of the type of information conveyed’.   電子通信ネットワーク」とは、恒久的なインフラまたは集中管理能力に基づくか否かを問わず、伝送システム、および該当する場合、有線、無線、光またはその他の電磁的手段による信号の伝達を可能にする、能動的でないネットワーク要素を含む交換またはルーティング装置およびその他のリソースを意味する、 伝達される情報の種類に関係なく、衛星ネットワーク、固定(回線交換およびパケット交換、インターネットを含む)およびモバイルネットワーク、電力ケーブルシステム、ラジオおよびテレビ放送に使用されるネットワーク、ケーブルテレビネットワークを含む。 
22. This definition is neutral with respect to the transmission technologies. An electronic communications network, according to this definition, is any network system that allows transmission of electronic signals between its nodes, regardless of the equipment and protocols used. 22. この定義は、伝送技術に関しては中立である。この定義によれば、電子コミュニケーション・ネットワークとは、使用される機器やプロトコルに関係なく、ノード間で電子信号の伝送を可能にするあらゆるネットワーク・システムを指す。
23. The notion of electronic communications network under Directive 2018/1972 does not depend on the public or private nature of the infrastructure, nor on the way the network is deployed or managed (‘whether or not based on a permanent infrastructure or centralised administration capacity’ .) As a result, the definition of electronic communications network, under Article 2 of Directive 2018/1972, is broad enough to cover any type of infrastructure. It includes networks managed or not by an operator, networks co-managed by a group of operators, or even ad-hoc networks in which a terminal equipment may dynamically join or leave a mesh of other terminal equipment using short range transmission protocols. 23. 指令 2018/1972 に基づく電子通信網の概念は、インフラの公衆・私有の性質、ネットワークの配備・ 管理方法(「恒久的なインフラまたは集中管理能力に基づくか否か」)には依存しない。その結果、指令2018/1972の第2条に基づく電子コミュニケーションネットワークの定義は、あらゆるタイプのインフラをカバーするのに十分な広さとなっている。これには、事業者によって管理されるか否かにかかわらず、事業者グループによって共同管理されるネットワーク、あるいは、端末機器が短距離伝送プロトコルを使用して他の端末機器のメッシュに動的に参加または離脱するアドホックネットワークも含まれる。
24. This definition of network does not give any limitation with regards to the number of terminal equipment present in the network at any time. Some networking schemes rely on asynchronous information propagation to present peers in the network and can at some point in time have as little as two peers communicating. Article 5(3) ePD would still apply in such cases, as long as the network protocol allows for further inclusion of peers.  24. このネットワークの定義は、ネットワークに存在する端末機器の数に関して、いかなる制限も与えない。一部のネットワーキング方式は、ネットワーク内のピアを提示するための非同期情報伝播に依存しており、ある時点で通信しているピアがわずか2台になることがある。このような場合でも、ネットワーク・プロトコルがピアの追加を許容する限り、ePD第5条3項が適用される。
25. The public availability of the communication service over the communication network is necessary for the applicability of Article 5(3) ePD . It should be noted that the fact that the network is made available to a limited subset of the public (for example, subscribers, whether paying or not, subject to eligibility conditions) does not make such a network private.  25. 通信ネットワーク上でコミュニケーション・サービスが公に利用可能であることは、第5条3項ePDが適用されるために必要である。ネットワークが公衆の限定されたサブセット(例えば、有料か有料でないかを問わず、加入資格条件に従う加入者)に利用可能であるという事実は、そのようなネットワークを私的なものとするものではないことに留意すべきである。
2.5 Notion of ‘gaining access’ 2.5 「アクセスを得る」という概念
26. To correctly frame the notion of ‘gaining access’, it is important to consider the scope of the ePD, stated in its Article 1: ‘to ensure an equivalent level of protection of fundamental rights and freedoms, and in particular the right to privacy, with respect to the processing of personal data in the electronic communication sector and to ensure the free movement of such data and of electronic communication equipment and services in the Community’. 26. すなわち、「電子通信分野における個人データの処理に関し、基本的権利及び自由、特にプライバシ ーに対する権利の同等レベルの保護を確保し、かつ、共同体内における当該データ並びに電子通信機器及 びサービスの自由な移動を確保すること」である。
27. In a nutshell, the ePD is a privacy preserving legal instrument aiming to protect the confidentiality of communications and the integrity of devices. In Recital 24 ePD, it is clarified that, in the case of natural persons, the user’s terminal equipment is part of their private sphere and that accessing information stored on it without their knowledge may seriously intrude upon their privacy.  27. 一言で言えば、ePDは、コミュニケーションの機密性と機器の完全性を保護することを目的としたプライバシー保護の法的文書である。ePDのリサイタル24では、自然人の場合、ユーザーの端末機器はプライベートな領域の一部であり、本人が知らないうちに端末機器に保存された情報にアクセスすることは、プライバシーを著しく侵害する可能性があることが明確にされている。
28. Legal persons are also safeguarded by the ePD . In consequence, the notion of ‘gaining access’ under Article 5(3) ePD, has to be interpreted in a way that safeguards those rights against violation by third parties.  28. 法人もePDによって保護されている。その結果、ePD第5条3項の「アクセスを得る」という概念は、第三者による侵害からこれらの権利を保護するように解釈されなければならない。
29. Storage and access do not need to be cumulatively present for Article 5(3) ePD to apply. The notion of ’gaining access’ is independent from the notion of ‘storing information’. Moreover, the two operations do not need to be carried out by the same entity.  29. ePD 第 5 条(3)項が適用されるためには、保管とアクセスが累積的に存在する必要はない。アクセスを得る」という概念は、「情報を保管する」という概念から独立している。さらに、この2つの操作は同一の事業体によって行われる必要はない。
30. As noted in the WP29 Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting: ‘Use of the words “stored or accessed” indicates that the storage and access do not need to occur within the same communication and do not need to be performed by the same party. Information that is stored by one party (including information stored by the user or device manufacturer) which is later accessed by another party is therefore within the scope of Art. 5(3)’. Consequently, there are no restrictions placed on the origin of information on the terminal equipment for the notion of access to apply. 30. デバイスのフィンガープリンティングへの指令 2002/58/EC の適用に関する WP29 意見書 9/2014 で指摘されているように、「保存またはアクセスされる」という言葉の使用は、保存とアクセスが同一のコミュニケー ション内で行われる必要はなく、同一の当事者によって実行される必要もないことを示している。従って、ある当事者によって保存された情報(ユーザーまたはデバイス製造者によって保存された情報を含む)であって、後に別の当事者によってアクセスされるものは、第 5 条(3)の範囲内である。5(3)'. したがって、アクセスという概念が適用されるためには、端末機器上の情報の出所に制限はない。
31. Whenever the accessing entity wishes to gain access to information stored in the terminal equipment and actively takes steps towards that end, Article 5(3) ePD would apply. Usually this entails the accessing entity to proactively send specific instructions to the terminal equipment in order to receive back the targeted information. For example, this is the case for cookies, where the accessing entity instructs the terminal equipment to proactively send information on each subsequent HTTP (Hypertext Transfer Protocol) call.  31. アクセスする事業体が端末機器に保存された情報へのアクセスを希望し、積極的にそのための措置を講じる場合は常に、ePD第5条第3項が適用される。通常、これには、アクセス事業体が、対象となる情報を受信するために、端末機器に特定の指示を積極的に送信することが必要となる。例えば、これはクッキーの場合であり、アクセス事業体は、後続の各 HTTP(ハイパーテキスト転送プロトコル)呼 び出しで情報を積極的に送信するよう端末機器に指示する。
32. That is equally the case when the accessing entity distributes software on the terminal of the user that will then proactively call an API (application programming interface) endpoint over the network. Additional examples would include JavaScript code, where the accessing entity instructs the browser of the user to send asynchronous requests with the targeted content.  Such access clearly falls within the scope of Article 5(3) ePD, as the accessing entity explicitly instructs the terminal equipment to send the information.  32. アクセスする事業体がユーザーの端末にソフトウェアを配布し、そのソフトウェアがネットワークを介し てAPI(アプリケーション・プログラミング・インターフェース)エンドポイントを主体的に呼び出す場合も、 同様である。その他の例としては、アクセス事業体がユーザーのブラウザーに対して、対象となるコンテンツを含む非同期リクエストの送信を指示するJavaScriptコードがある。 このようなアクセスは、アクセス主体が端末機器に情報を送信するよう明示的に指示するため、明らかに ePD 第 5 条(3)項の適用範囲に入る。
33. In some cases, the entity instructing the terminal to send back the targeted data and the entity receiving information might not be the same. This may result from the provision and/or use of a common mechanism between the two entities. For example, one entity may have used protocols that imply the proactive sending of information by the terminal equipment which may be processed by the receiving entity. In these circumstances, Article 5(3) ePD may still apply.  33. 場合によっては、端末に対象データの送り返しを指示する事業体と、情報を受信する事業 体が同一でないことがある。これは、2つの事業体間で共通のメカニズムが提供および/または使用されていることに起因する可能性がある。例えば、一方の事業体が、受信側事業体によって処理される可能性のある端末機器による積極的な情報送信を意味するプロトコルを使用している可能性がある。このような状況でも、ePD 第 5 条(3)が適用される可能性がある。
2.6 Notions of ‘Stored Information’ and ‘Storage’  2.6 「保存情報」と「保管」の概念 
34. Storage of information in the sense of Article 5(3) ePD refers to placing information on a physical electronic storage medium that is part of a user or subscriber’s terminal equipment.  34. 第 5 条(3)ePD の意味での情報の保管とは、ユーザーまたは加入者の端末機器の一部である 物理的な電子記憶媒体に情報を置くことを指す。
35. Typically, information is not stored in the terminal equipment of a user or subscriber through direct access by another party, but rather by instructing software on the terminal equipment to generate specific information. Storage taking place through such instructions is considered to be initiated directly by the other party. This includes making use of established protocols such as browser cookie storage as well as customized software, regardless of who created or installed the protocols or software on the terminal equipment. 35. 通常、情報は、他者による直接アクセスによってユーザーまたは加入者の端末機器に保存されるのではなく、端末機器上のソフトウェアに特定の情報を生成するよう指示することによって保存される。このような指示によって行われる保存は、相手によって直接開始されたものとみなされる。これには、ブラウザクッキーストレージのような確立されたプロトコルの利用や、カスタマイズされたソフトウェアが含まれ、誰がそのプロトコルやソフトウェアを端末機器に作成またはインストールしたかは問わない。
36. The ePD does not place any upper or lower limit on the length of time that information must persist on a storage medium to be counted as stored, nor is there an upper or lower limit on the amount of information to be stored. 36. ePD は、保存されたものとしてカウントされるために情報が記憶媒体上に存続しなければならな い時間の長さに上限または下限を設けず、保存される情報量に上限または下限を設けない。
37. Similarly, the notion of storage does not depend on the type of medium on which the information is stored. Typical examples would include hard disc drives (HDD), solid state drives (SSD), flash drives and random-access memory (RAM), but less typical scenarios involving a medium such as magnetic tape or central processing unit (CPU) cache are not excluded from the scope of application. The storage medium may be connected internally (e.g. through a SATA connection), externally (e.g. through a USB connection) or through a network protocol (e.g. a network-attached-storage device).  37. 同様に、保存という概念は、情報が保存される媒体の種類に依存しない。典型的な例としては、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)、フラッシュドライブ、ランダムアクセスメモリ(RAM)などが挙げられるが、磁気テープや中央処理装置(CPU)キャッシュなどの媒体を含む、あまり典型的でないシナリオも適用範囲から除外されない。記憶媒体は、内部(SATA接続など)、外部(USB接続など)、またはネットワークプロトコル(ネットワーク接続記憶装置など)を介して接続することができる。
38. As long as the networked storage medium constitutes a functional equivalent of a local storage medium (including the fact that its only purpose is for the user of the terminal equipment to store information that will be processed on the terminal equipment itself), that storage medium will be considered part of the terminal equipment. 38. ネットワーク接続された記憶媒体がローカル記憶媒体と機能的に同等である限り(その唯一の目的が、端末機器のユーザーが端末機器自体で処理される情報を記憶することであることを含む)、その記憶媒体は端末機器の一部とみなされる。
39. Finally, ‘stored information’ may not just result from information storage in the sense of Article 5(3) ePD as described above (either by the same party that would later gain access or by another third party). It may also be stored by the user or subscriber, or by a hardware manufacturer, or any other entity; be the result of sensors integrated into the terminal; or be produced through processes and programs executed on the terminal equipment, which may or may not produce information that is dependent on or derived from stored information. 39. 最後に、「保存された情報」は、上述の第 5 条(3)ePD の意味での情報保存(後にアクセスする同じパーテ ィ又は別のサードパーティによる)により生じるだけではない。また、利用者または加入者、ハードウェア製造者、またはその他の事業体によって保存される場合、端末に統合されたセンサーの結果である場合、端末装置上で実行されるプロセスおよびプログラムを通じて生成される場合もあり、これらのプロセスおよびプログラムは、保存された情報に依存または派生する情報を生成する場合も、生成しない場合もある。
3 USE CASES 3 利用事例
40. Without prejudice of the specific context in which those technical categories can be used which are necessary to qualify whether Article 5(3) ePD is applicable, it is possible to identify, in a non-exhaustive manner, broad categories of identifiers and information that are widely used and can be subject to the applicability of Article 5(3) ePD.  40. 第 5 条(3)ePD が適用されるかどうかを判断するために必要な技術仕様のカテゴリーが使用され得る 具体的な状況を害することなく、広く使用され、第 5 条(3)ePD の適用可能性の対象となり得る識別 子および情報の大まかなカテゴリーを、非網羅的な方法で特定することが可能である。
41. Network communication usually relies on a layered model that necessitates the use of identifiers to allow for a proper establishment and carrying out of the communication. The communication of those identifiers to remote actors is instructed through software following agreed upon communication protocols. As outlined above, the fact that the receiving entity might not be the entity instructing the sending of information does not preclude the application of Article 5(3) ePD. This might concern routing identifiers such as the MAC or IP address of the terminal equipment, but also session identifiers (SSRC, Websocket identifier), or authentication tokens.  41. ネットワーク・コミュニケーションは、通常、通信の適切な確立と実行を可能にする識別子の使用を必 要とするレイヤ・モデルに依存している。これらの識別子を遠隔地にいる行為者に伝達することは、合意された通信プロトコルに従ったソフトウェアを通じて指示される。上述したように、受信事業体が情報の送信を指示する事業体でない可能性があるという事実は、ePD第5条3項の適用を妨げるものではない。これは、端末機器の MAC アドレスや IP アドレスのようなルーティング識別子だけでなく、セッション識別子(SSRC、Websocket 識別子)、または認証トークンに関する場合もある。
42. In the same manner, the application protocol can include several mechanisms to provide context data (such as HTTP header including ‘accept’ field or user agent), caching mechanism (such as ETag or HSTS) or other functionalities (cookies being one of them). Once again, the abuse of those mechanisms (for example in the context of fingerprinting or the tracking of resource identifiers) can lead to the application of Article 5(3) ePD. 42. 同じように、アプリケーションプロトコルは、コンテキストデータ(「accept」フィールドやユーザエージェントを含むHTTPヘッダなど)、キャッシュメカニズム(ETagやHSTSなど)、または他の機能(クッキーはその一つ)を提供するためのいくつかのメカニズムを含むことができる。繰り返しになるが、(例えばフィンガープリンティングやリソース識別子の追跡の文脈で)これらのメカニズムを悪用すると、ePD 第 5 条(3)項が適用される可能性がある。
43. On the other hand, there are some contexts in which local applications installed in the terminal uses some information strictly inside the terminal, as it might be the case for smartphone system APIs (access to camera, microphone, GPS sensor, accelerator chip, radio chip, local file access, contact list, identifiers access, etc.). This might also be the case for web browsers that process information stored or generated information inside the device (such as cookies, local storage, WebSQL, or even information provided by the users themselves). The use of such information by an application would not be subject to Article 5(3) ePD as long as the information does not leave the device, but when this information or any derivation of this information is accessed through the communication network, Article 5(3) ePD may apply. 43. 一方、スマートフォンのシステム API(カメラ、マイク、GPS センサ、アクセラレータチッ プ、無線チップ、ローカルファイルアクセス、コンタクトリスト、識別子のアクセスなど)のように、端末にインストー ルされたローカルアプリケーションが端末内部で厳密に情報を使用するコンテキストもある。また、デバイス内部に保存された情報や生成された情報(クッキー、ローカルストレージ、WebSQL、あるいはユーザー自身によって提供された情報など)を処理するウェブブラウザの場合もそうかもしれない。アプリケーションによるこのような情報の使用は、情報がデバイスから出ない限り、第5条3項ePDの対象とはならないが、この情報またはこの情報の派生物がコミュニケーション・ネットワークを通じてアクセスされる場合、第5条3項ePDが適用される可能性がある。
44. Finally, in some cases malicious software elements are distributed over a network by actors, for example crypto mining software or more generally malware, exploiting the processing abilities of the terminal for the benefit of the distributing actor. While that software may only establish a network connection that would trigger the application of Article 5(3) ePD at a later stage (for example to retrieve a computed result), the sole fact that the software instructing the nefarious processing has been distributed over a network would imply the application of Article 5(3) ePD.   44. 最後に、悪意のあるソフトウェア要素が、例えば暗号マイニングソフトウェアやより一般的なマルウェアのように、配布行為者の利益のために端末の処理能力を悪用する行為者によってネットワーク上で配布される場合がある。そのソフトウェアは、後の段階(例えば、計算された結果を取得するため)で第 5 条(3)項 ePD の適用を引き起こすネットワーク接続を確立するだけかもしれないが、不正な処理を指示するソフトウェアがネットワーク上で配布されたという事実だけで、第 5 条(3)項 ePD の適用を意味する。 
45. For a subset of these categories that present a specific interest, either because of their widespread usage or because a specific study is warranted with regards to the circumstances of their use, a specific analysis is provided below.  45. これらのカテゴリのうち、広く使用されているため、またはその使用状況に関して特定の調査が正当化されるため、特定の関心を示すサブセットについては、以下に具体的な分析を示す。
3.1 URL and pixel tracking 3.1 URLとピクセルのトラッキング
46. A tracking pixel is a hyperlink to a resource, usually an image file, embedded into a piece of content like a website or an email. This pixel usually fulfils no purpose related to the content itself; its sole purpose is to establish a communication by the client to the host of the pixel, which would otherwise not have occurred. Establishment of a communication transmits various information to the host of the pixel, depending on the specific use case.  46. トラッキングピクセルとは、ウェブサイトや電子メールなどのコンテンツに埋め込まれたリソース(通常は画像ファイル)へのハイパーリンクのことである。このピクセルは通常、コンテンツ自体とは無関係の目的を果たす。その唯一の目的は、クライアントがピクセルのホストとコミュニケーションを確立することであり、それ以外の方法では発生しない。コミュニケーションの確立により、特定のユースケースに応じて、様々な情報がピクセルのホストに送信される。
47. In the case of an email, the sender may include a tracking pixel to detect when the receiver reads the email. Tracking pixels on websites may link to an entity aggregating many such requests and thus being able to track users’ behaviour. Such tracking pixels may also contain additional identifiers as part of the link. These identifiers may be added by the owner of the website, possibly related to the user’s activity on that website. They may also be dynamically generated through client-side applicative logic. In some cases, links to legitimate images may also be used for the same purpose by adding additional information to the link. 47. 電子メールの場合、送信者は、受信者がいつ電子メールを読んだかを検知するために、トラッキングピクセルを含めることができる。ウェブサイト上のトラッキングピクセルは、そのような多数のリクエストを集約する事業体にリンクし、ユーザーの行動を追跡できる場合がある。このようなトラッキングピクセルは、リンクの一部として追加の識別子を含むこともある。これらの識別子は、ウェブサイトの所有者によって追加される場合があり、そのウェブサイトでのユーザーの行動に関連する場合がある。また、クライアント側のアプリケーションロジックによって動的に生成される場合もある。場合によっては、正当な画像へのリンクも、リンクに追加情報を追加することで、同じ目的で使用されることがある。
48. Tracking links are functioning in the same way, but the identifier is appended to the website address. When the URL (Uniform Resource Locator) is visited by the user, the targeted website loads the requested resource but also collects an identifier which is not relevant in terms of resource identification. They are very commonly used by websites to identify the origin of their inbound source of traffic. For example, e-commerce websites can provide tracked links to partners to use on their domain so that the e-commerce website knows which of their partners is responsible for a sale and pay a commission, a practice known as affiliate marketing. 48. トラッキングリンクも同様に機能するが、識別子はウェブサイトのアドレスに付加される。URL(Uniform Resource Locator)がユーザーによって訪問されると、対象となるウェブサイトは要求されたリソースをロードするが、リソースの識別という点では関係のない識別子も収集する。これらは、ウェブサイトがインバウンドのトラフィック・ソースの発信元を特定するために、非常に一般的に使用されている。例えば、電子商取引ウェブサイトは、そのドメインで使用するために、追跡リンクをパートナーに提供することができ、電子商取引ウェブサイトは、どのパートナーが販売に責任があり、手数料を支払うかを知ることができる。
49. Both tracking links and tracking pixels can be distributed through a wide variety of channels, for example through emails, websites, or even, in the case of tracking links, through any kind of text messaging systems. 49. トラッキングリンクとトラッキングピクセルは、電子メール、ウェブサイト、あるいはトラッキングリンクの場合、あらゆる種類のテキストメッセージングシステムなど、多種多様なチャネルを通じて配布することができる。
50. Under the condition that said pixel or tracked URL have been distributed over a public communication network, it is clear that it constitutes storage on the communication network user’s terminal equipment, at the very least through the caching mechanism of the client-side software. As such, Article 5(3) ePD is applicable. 50. 当該ピクセルやトラッキングURLが公衆通信網を通じて配布されたという条件下では、少なくともクライアント側ソフトウェアのキャッシュメカニズムを通じて、通信網利用者の端末機器に保存されることは明らかである。そのため、ePD第5条3項が適用される。
51. The inclusion of such tracking pixels or tracked links in the content sent to the user constitutes an instruction to the terminal equipment to send back the targeted information (the specified identifier). In the case of dynamically constructed tracking pixels, it is the distribution of the applicative logic (usually a JavaScript code) that constitutes the instruction. As a consequence, it can be considered that the collection of the identifiers provided by tracking pixels and tracked URL do constitute a ‘gaining of access’ in the meaning of Article 5(3) ePD and thus the latter is applicable to that step as well. 51. ユーザーに送信されるコンテンツにこのようなトラッキングピクセルまたはトラッキングリンクが含まれることは、端末機器に対し、対象となる情報(識別)を返送するよう指示することになる。動的に構築されたトラッキングピクセルの場合、指示を構成するのはアプリケーションロジック(通常はJavaScriptコード)の配布である。結果として、トラッキングピクセル及びトラッキングされたURLによって提供される識別子の収集は、ePD第5条(3)の意味における「アクセスの獲得」を構成し、従って後者はそのステップにも適用されると考えることができる。
3.2 Local processing 3.2 ローカル処理
52. Some technologies rely on local processing instructed by software distributed on users’ terminal, where the information produced by the local processing is then made available to selected actors through client-side API. This may for example be the case for an API provided by the web browser, where locally generated results may be accessed remotely. 52. 一部の技術は、利用者の端末に分散されたソフトウェアによって指示されるローカル処理に依存し、ローカル処理によって生成された情報は、クライアント側のAPIを通じて選択された関係者が利用できるようになる。これは例えば、ウェブブラウザによって提供されるAPIの場合であり、ローカルで生成された結果にリモートでアクセスすることができる。
53. If at any point and for example in the client-side code, the processed information made available is being sent back over the network, for example to a server, such an operation (instructed by the entity producing the client-side code distributed on the user terminal) would constitute a ‘gaining of access to information already stored’. The fact that this information is being produced locally does not preclude the application of Article 5(3) ePD. 53. どの時点でも、例えばクライアント側のコードにおいて、利用可能にされた処理された情報がネットワークを介して、例えばサーバーに送り返される場合、そのような操作(ユーザー端末に配布されるクライアント側のコードを生成する事業体によって指示される)は、「既に保存された情報へのアクセスの獲得」を構成する。この情報がローカルで作成されているという事実は、ePD第5条3項の適用を妨げるものではない。
3.3 Tracking based on IP only  3.3 IPのみに基づく追跡 
54. Some providers are developing advertising solutions that only rely on the collection of one component, namely the IP address, in order to track the navigation of the user, in some case across multiple domains. In that context Article 5(3) ePD could apply even though the instruction to make the IP available has been made by a different entity than the receiving one. 54. プロバイダの中には、ユーザーのナビゲーションを追跡するために、1つの要素、すなわちIPアドレスの収集にのみ依存する広告ソリューションを、場合によっては複数のドメインにわたって開発しているところもある。このような場合、IP を利用可能にする指示が、受信側とは異なる事業体によって行われたとしても、 ePD 第 5 条(3)項が適用される可能性がある。
55. However, gaining access to IP addresses would only trigger the application of Article 5(3) ePD in cases where this information originates from the terminal equipment of a subscriber or user. While it is not systematically the case (for example when CGNAT  is activated), the static outbound IPv4 originating from a user’s router would fall within that case, as well as IPV6 addresses since they are partly defined by the host. Unless the entity can ensure that the IP address does not originate from the terminal equipment of a user or subscriber, it has to take all the steps pursuant to the Article 5(3) ePD. 55. しかしながら、IPアドレスにアクセスできるようになるのは、この情報が加入者またはユー ザーの端末機器から発信された場合に限り、第5条3項ePDの適用を引き起こす。システム的にそうなっているわけではないが(例えば、CGNAT が有効化されている場合)、ユ ーザのルータから発信される静的なアウトバウンド IPv4 は、IPV6 アドレスと同様に、ホストに よって部分的に定義されるため、このケースに該当するであろう。事業体は、IP アドレスがユーザまたは加入者の端末機器から発信されたものでないことを確 認できない限り、ePD 第 5 条(3)に従ったすべての措置を講じなければならない。
3.4 Intermittent and mediated IoT reporting 3.4 断続的かつ媒介的な IoT 報告
56. IoT (Internet of Things) devices produce information continuously over time, for example through sensors embedded in the device, which may or may not be locally pre-processed. In many cases, information is made available to a remote server, but the modalities for that collection varies.  56. IoT(Internet of Things)機器は、例えば機器に組み込まれたセンサーなどを通じて、時 間にわたって継続的に情報を生成する。多くの場合、情報はリモートサーバーに提供されるが、その収集方法は様々である。
57. Some IoT devices have a direct connection to a public communication network, for example through the use of WIFI or a cellular SIM card. IoT devices might be instructed by the manufacturer to always stream the collected information, yet still locally cache the information first, for example until a connection is available.  57. IoTデバイスの中には、例えばWIFIや携帯電話SIMカードの使用を通じて、公衆通信網に直接接続するものもある。IoTデバイスは、収集された情報を常にストリーミングするよう製造業者によって指示されるかもしれないが、それでもなお、例えば接続が利用可能になるまで、情報をまずローカルにキャッシュする。
58. Other IoT devices do not have a direct connection to a public communication network and might be instructed to relay the information to another device through a point-to-point connection (for example, through Bluetooth). The other device is generally a smartphone which may or may not preprocess the information before sending it to the server.  58. 他のIoTデバイスは、公衆通信網への直接接続を持たず、ポイント・ツー・ポイント接続を通じて(例えばブルートゥースを通じて)他のデバイスに情報を中継するよう指示される場合がある。他のデバイスは一般的にスマートフォンであり、サーバーに送信する前に情報を前処理してもしなくてもよい。
59. In the first case the IoT device, where it is connected to a public communications network, would itself be considered a terminal. The fact that the information is streamed or cached for intermittent reporting does not change the nature of that information. In both situations Article 5(3) ePD would apply as it is, through the instruction of the IoT device to send the dynamically stored data to the remote server, there is ‘gaining of access’. 59. 最初のケースでは、IoTデバイスは公衆通信網に接続されており、それ自体が端末とみなされる。情報が断続的な報告のためにストリーミングまたはキャッシュされるという事実は、その情報の性質を変えるものではない。いずれの状況においても、動的に保存されたデータをリモートサーバーに送信するよう IoT デバイスが指示することで、「アクセスの獲得」が行われるため、ePD 第 5 条 3 項がそのまま適用される。
60. In the case of IoT devices connected to the network via a relay device (a smartphone, a dedicated hub, etc.) with a purely point to point connection between the IoT device and the relay device, the transmission of data to the relay could fall outside of the Article 5(3) ePD as the communication does not take place on a public communication network.  However, the information received by the relay device would be considered stored by a terminal and Article 5(3) ePD would apply as soon as this relay is instructed to send that information to a remote server.  60. 中継機器(スマートフォン、専用ハブ等)を介してネットワークに接続され、IoT 機器と中継 機器が純粋に point to point で接続されている IoT 機器の場合、中継機器へのデータ送信は公衆通信網上 で行われないため、第5条第3項ePDの適用外となる可能性がある。 しかし、中継装置によって受信された情報は端末によって保存されたものとみなされ、この中継装置がその情報をリモートサーバーに送信するよう指示された時点で、第5条3項ePDが適用されることになる。
3.5 Unique Identifier  3.5 一意識別子 
61. A common tool used by advertising companies is the notion of ’unique identifiers‘ or ’persistent identifiers‘. Such identifiers are usually derived from persistent personal data (name and surname, email, phone number, etc.), that is hashed on the user’s device, collected and shared amongst several controllers to uniquely identify a person over different datasets (usage data collected through the use of website or application, customer relation management (CRM) data related to online or offline purchase or subscription, etc.). On websites, the persistent personal data is generally obtained in the context of authentication or the subscription to newsletters.  61. 広告会社が使用する一般的な手段は、「一意識別子」または「永続識別子」という概念である。このような識別子は通常、永続的な個人データ(氏名、姓、電子メール、電話番号など)から導出され、異なるデータセット(ウェブサイトやアプリケーションの使用を通じて収集される使用データ、オンラインまたはオフラインの購入や購読に関連する顧客関係管理(CRM)データなど)上で個人を一意に識別するために、ユーザーのデバイス上でハッシュ化され、収集され、複数のデータ管理者の間で共有される。ウェブサイト上では、永続的個人データは一般的に本人認証やニュースレターの購読に関連して取得される。
62. As outlined before, the fact that the information is being inputted by the user would not preclude the application of Article 5(3) ePD with regards to storage, as this information is stored temporarily on the terminal before being collected.  62. 前述のとおり、この情報は収集される前に端末に一時的に保存されるため、情報がユーザーによって入力されるという事実は、保存に関して ePD 第 5 条(3)項の適用を妨げるものではない。
63. In the context of ‘unique identifier’ collection on websites or mobile applications, the entity collecting is instructing the browser (through the distribution of client-side code) to send that information. As such a ’gaining of access’ is taking place and Article 5(3) ePD applies.  63. ウェブサイトやモバイルアプリケーションでの「一意識別子」収集の文脈では、収集する事業 体は、(クライアント側コードの配布を通じて)ブラウザにその情報を送信するよう指示する。そのため、「アクセス権の獲得」が行われ、ePD第5条3項が適用される。

 

[1] References to ‘Member States’ made throughout this document should be understood as references to ‘EEA Member States’.  [1] 本文書全体を通じて「加盟国」とあるのは、「EEA 加盟国」を指すものと理解すること。
[2] WP29 Opinion 4/2012 on Cookie Consent Exemption, WP 194, p. 2.  [2] クッキーによる同意の例外に関する意見書4/2012 WP 194, p. 2. 
[3] WP29 Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting.  [3] デバイスのフィンガープリンティングへの指令 2002/58/EC の適用に関する WP29 意見 9/2014. 
[4] Judgement of the Court of Justice of 1 October 2019, Planet 49, Case C‑673/17, ECLI:EU:C:2019:801, paragraph 70.   [4] 2019年10月1日の司法裁判所の判決、プラネット49、ケースC-673/17、ECLI:EU:C:2019:801、パラグラフ70。 
[5] Commission Directive 2008/63/EC of 20 June 2008 on competition in the markets in telecommunications terminal equipment (Codified version), Article 1(1).   [5] 電気通信端末機器市場における競争に関する2008年6月20日の欧州委員会指令2008/63/EC(成文化版)、第1条(1)。 
[6] Directive 2002/21/EC of the European Parliament and of the Council of 7 March 2002 on a common regulatory framework for electronic communications networks and services (Framework Directive)   [6] 電子通信ネットワークおよびサービスの共通規制枠組みに関する2002年3月7日の欧州議会および理事会指令2002/21/EC(枠組み指令)。 
[7] Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), Text with EEA relevance, Article 2(1).  [7] 2018年12月11日の欧州議会及び理事会指令(EU)2018/1972は、欧州電子コミュニケーションコード(Recast)を制定し、EEAに関連するテキスト、第2条(1)。
[8] Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), Text with EEA relevance, Article 2(1).  [8] 2018年12月11日付欧州議会及び理事会指令(EU)2018/1972は、欧州電子コミュニケーションコード(Recast)、EEA関連テキスト、第2条1項を制定した。
[9] Article 2 ePD defines the user as ‘any natural person using a publicly available electronic communications service, for private or business purposes, without necessarily having subscribed to this service’. In addition, Article 3 ePD states that it should apply in the context of ‘the provision of publicly available electronic communications services in public communications networks’. Finally, the terminal equipment itself as defined in the Directive 2008/63/EC is described as ‘equipment directly or indirectly connected to the interface of a public telecommunications network’.  [9] ePD第2条は、ユーザーを「必ずしもこのサービスに加入していなくても、私的または事業目的で、公に利用可能な電子通信サービスを利用する自然人」と定義している。さらに、ePD第3条は、「公衆通信網における公衆利用可能な電子通信サービスの提供」という文脈で適用されるべきであると述べている。最後に、指令2008/63/ECで定義されている端末機器自体は、「公衆通信網のインターフェースに直接または間接的に接続されている機器」と説明されている。
[10] Recital 26 ePD, see paragraph 17 above.  [10] ePDのリサイタル26、上記パラグラフ17を参照のこと。
[11] As defined in section 2.3 of these Guidelines.  [11] 本ガイドラインのセクション2.3で定義されている。
[12] Carrier-grade NAT or CGNAT is used by Internet service providers to maximise the use of limited IP address space. It groups a number of subscribers under the same public IP address.   [12] キャリアグレードNATまたはCGNATは、限られたIPアドレス空間を最大限に利用するためにインターネットサービスプロバイダによって使用される。これは、多数の加入者を同一のパブリックIPアドレスの下にグループ化する。 

| | Comments (0)

2023.11.05

NATO CCDCOE 国際サイバー法の実践;インタラクティブ・ツールキットの新規募集 (2023.10.23)

こんにちは、丸山満彦です。

NATO CCDCOEでは、国際サイバー法の実践;インタラクティブ・ツールキットとして、28の仮想シナリオを公開していますが、新規のシナリオの募集をしていますね。。。

 

ツールキットのウェブページ

NATO CCECOE - International Cyber Law in Practice: Interactive Toolkit

28のシナリオ

S01 Election interference 選挙妨害
S02 Political espionage 政治スパイ
S03 Power grid 送電網
S04 International organization 国際機関
S05 Criminal investigation 犯罪捜査
S06 Enabling State 国家を動かす
S07 Hacking tools ハッキング・ツール
S08 Certificate authority 認可機関
S09 Economic espionage 経済スパイ
S10 Cyber weapons サイバー兵器
S11 Surveillance tools 監視ツール
S12 Computer data コンピューター・データ
S13 Armed conflict 武力紛争
S14 Ransomware campaign ランサムウェアキャンペーン
S15 Cyber deception サイバー詐欺
S16 High seas 公海
S17 Collective responses 集団的対応
S18 Cyber operators サイバー工作員
S19 Hate speech ヘイトスピーチ
S20 Medical facilities 医療施設
S21 Misattribution  誤爆 
S22 Methods of warfare 戦争の方法
S23 Vaccine research ワクチン研究
S24 Internet blockage インターネット遮断
S25 Humanitarian assistance 人道支援
S26 Export licensing 輸出許可
S27 Redirecting attacks リダイレクト攻撃
S28 Incidental harm 偶発的被害

1_20231105202601

 

 

新しいシナリオの募集...

・2023.10.23 Cyber Law Toolkit 2024

募集文

・[PDF] Cyber Law Toolkit: Call for Submissions for the 2024 Annual Update

| | Comments (0)

2023.10.31

これもいまさらですが。。。CASIO ICT教育アプリのAWS上の開発環境「ClassPad.net」システムへの不正アクセスによる顧客個人データの漏えい (2023.10.18)

こんにちは、丸山満彦です。

CASIOが、ICT教育アプリのAWS上の開発環境「ClassPad.net」システムへの不正アクセスによる顧客個人情報の漏えいをし、国内外の個人データの漏えいをしたと公表していますね。。。

2023.10.12に個人データの外部漏えいの可能性に気づき、4日後の2023.10.16に個人情報保護委員会への報告、6日後の2023.10.18の発表ということのようです。。。

国内は、1,108の教育機関の計91,921件

国外は、148の国と地域の顧客の計35,049件

の個人データが漏えいした可能性があるということのようです。。。

国外148カ国あるということで、EU諸国、英国、カルフォルニア州、中国といった国の個人データも含まれているかもですね。。。

 

CASIO - ClassPad.net

・2023.10.23 不正アクセスによる個人情報漏えいに関するご質問とご回答

・[PDF] プレスをPDF化したもの...

 

・2023.10.18 不正アクセスによる個人情報漏えいのお詫びとご報告

・[PDF] プレスをPDF化したもの...

 

1_20231031044301

 

詳細は、いつものこちら...

 

● piyolog

・2023.10.23 カシオ計算機のICT教育アプリ開発環境に対する不正アクセスについてまとめてみた

 

 

 

 

| | Comments (0)

2023.10.29

米国 FedRAMPの近代化に関する意見募集 SaaS関連の強化

こんにちは、丸山満彦です。

米国連邦政府が利用するクラウドサービスのセキュリティ認証制度として、FedRAMP [wikipedia] があります。今回その方針についての改訂を考えているようで、意見募集をしていっますね。。。IaaSを意識していたところを、SaaSにももっと意識を向けるという感じですかね。。。

FedRAMPを参考にして日本でもISMAPの制度を始めましたが、クラウドベンダーの負担が大きく、取得できるのが、体力がある米国の大手クラウドベンダーが中心となってしまっていて、すでに取得しているクラウドベンダーからも負担軽減の話が来ていますね。。。

制度設計を感法人の都合に合わせすぎたのが問題なのではないかと思っています。

このドラフトの内容を吟味するのもよいのではないですかね。。。

 

ISMAPを改訂するのであれば、

認証の規準(評価項目)を公開し、新規に認証を取得したいベンダーの認証取得のための準備がしやすくする。

・認証の規準は、政府統一基準との対比表は当然として、できればすでに広く普及している標準、ガイドライン等(政府統一基準、ISO/IEC 27002、SP800-171、NIST Cyber Security Framework)との対比表もあればよい。

他の認証、認可を取得している場合の、監査(評価)手続きの簡素化

・評価手続きの自動化を進める

ということを明確にすればよいのではないかと思います。

監査法人側も制度負担を感じているので、上記を踏まえて改訂すれば、間違いなく負担は減ると思いますけどね。。。どうでしょうかね。。。

 

U.S. Information Officers Council; CIO.Gov

・2023.10.27 Policies & Priorities: The Federal Risk and Authorization Management Program (FedRAMP)

Policies & Priorities 方針と優先事項
The Federal Risk and Authorization Management Program (FedRAMP) 連邦リスク・権限マネジメント・プログラム(FedRAMP)
Policy Overview ポリシーの概要
The Federal Risk and Authorization Management Program (FedRAMP) is a government-wide program, as of December 2018, that provides a standardized approach to security assessment, authorization, and continuous monitoring for cloud products and services. FedRAMP created and manages a core set of processes to ensure effective, repeatable cloud security for the government. It also established a mature marketplace to increase utilization and familiarity with cloud services while facilitating collaboration across government through open exchanges of lessons learned, use cases, and tactical solutions. FedRAMP(Federal Risk and Authorization Management Program)は、2018年12月現在、政府全体のプログラムであり、クラウド製品とサービスのセキュリティアセスメント、認可、継続的なモニタリングに対する標準的なアプローチを提供している。FedRAMPは、政府向けに効果的で反復可能なクラウドセキュリティを確保するための中核的な一連のプロセスを構築し、管理している。FedRAMPはまた、クラウドサービスの利用を拡大し、クラウドサービスに慣れ親しむための成熟した市場を確立するとともに、教訓、使用事例、戦術的ソリューションのオープンな交換を通じて政府全体のコラボレーションを促進した。
Draft Guidance for Public Comment パブリックコメントのためのドラフトガイダンス
On October 27, OMB released draft updated guidance for public comment through November 27th. 10月27日、OMBは11月27日までのパブリックコメント募集のため、更新ガイダンスのドラフトを発表した。
The draft guidance defines the scope of cloud products subject to FedRAMP, sets agency requirements for granting authorization and reuse, and promotes a transparent and consistent process for performing security assessment and authorizations of cloud services by Federal agencies. Key areas of the draft guidance include how the FedRAMP Program will: ドラフト・ガイダンスは、FedRAMPの対象となるクラウド製品の範囲を定義し、認可と再利用を許可するための政府機関の要件を定め、連邦政府機関によるクラウド・サービスのセキュリティ評価と認可を実施するための透明で一貫したプロセスを促進する。ドラフト・ガイダンスの主要部分には、FedRAMPプログラムのあり方が含まれている:
1. Be an information security program grounded in technical expertise and risk management. 1. 技術的専門知識リスクマネジメントに基づいた情報セキュリティ・プログラムである。
2. Offer multiple cloud authorization structures that incentivize agency partnership and reuse. 2. 機関のパートナーシップと再利用を促進する複数のクラウド認可構造を提供する。
3. Streamline manual authorization processes through increased automation. 3. 自動化を進め、手作業による認可プロセスを合理化する。
4. Leverage shared infrastructure between the Federal Government and private sector. 4. 連邦政府と民間企業の共有インフラを活用する。
Read the Draft Guidance ドラフトガイダンスを読む
Why This Matters to the CIO Council CIO会議にとって重要な理由
By adopting innovative cloud services to meet their critical mission needs, agencies have the opportunity to save both time and money. FedRAMP enables agencies to rapidly adapt from old, insecure legacy IT to mission-enabling, secure, and cost effective cloud-based IT.   重要なミッションのニーズを満たすために革新的なクラウドサービスを採用することで、政府機関には時間と費用の両方を節約する機会がある。FedRAMPによって、各省庁は、古くて安全でないレガシーITから、ミッションを可能にし、安全で、費用対効果の高いクラウドベースのITへの迅速な適応が可能になる。 

 

ドラフト...

・[PDF]

20231029-04128

仮対訳...

EXECUTIVE OFFICE OF THE PRESIDENT 大統領行政府
OFFICE OF MANAGEMENT AND BUDGET 行政管理予算局
WASHINGTON, D.C. 20503 ワシントン D.C. 20503
THE DIRECTOR ディレクター
27-Oct-23 10月27日-23日
DRAFT FOR PUBLIC COMMENT パブリックコメント用ドラフト
MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES 行政省庁の長に対する覚書
FROM: SHALANDA D. YOUNG From: シャランダ・D・ヤング
SUBJECT: Modernizing the Federal Risk Authorization Management Program (FedRAMP) 件名:連邦リスク認可マネジメント・プログラム(FedRAMP)の近代化
The Federal Risk Authorization Management Program, known as FedRAMP, was established by the Office of Management and Budget (OMB) through a December 8, 2011 memorandum from the Federal Chief Information Officer, “Security Authorizations of Information Systems in Cloud Computing Environments,”1 to safely accelerate the adoption of cloud products and services by Federal agencies, and to help those agencies avoid duplicating effort by offering a consistent and reusable authorization process. FedRAMP として知られる連邦リスク認可管理プログラムは、2011 年 12 月 8 日付の連邦最高情報責任者(Federal Chief Information Officer)の覚書「クラウド・コンピューティング環境における情報システムのセキュリティ認可(Security Authorizations of Information Systems in Cloud Computing Environments)」1 を通じて、連邦政府機関によるクラウド製品やサービスの採用を安全に促進し、一貫性があり再利用可能な認可プロセスを提供することで、これらの機関が重複した労力を回避できるようにするために、OMB(Office of Management and Budget)によって設立された。
In 2022, recognizing the value that FedRAMP has provided to Federal agencies and to industry, Congress passed the FedRAMP Authorization Act (“Act”). The Act established FedRAMP within the General Services Administration (GSA) and created a FedRAMP Board to provide input and recommendations to the Administrator of GSA.2 The Act also requires OMB to issue guidance defining the scope of FedRAMP, establishing requirements for the use of the program by Federal agencies, establishing further responsibilities of the FedRAMP Board andthe program management office (PMO) at GSA, and generally  promoting consistency in the assessment, authorization, and use of secure cloud services by Federal agencies. 2022 年、FedRAMP が連邦政府機関と業界にプロバイダとして提供した価値を認識し、連邦議会は FedRAMP 認可法(以下「同法」)を可決した。同法は、GSA(総務省)内にFedRAMPを設立し、GSA長官に意見と提言を提供するFedRAMP Boardを設置した2。同法はまたOMBに対し、FedRAMPの範囲を定義し、連邦政府機関によるプログラム利用の要件を定め、FedRAMP委員会とGSAのプログラム管理室(PMO)のさらなる責任を定め、一般的に連邦政府機関による安全なクラウドサービスの評価、認可、利用の一貫性を促進するガイダンスを発行するよう求めている。
As a result, this memorandum rescinds the Federal Chief Information Officer’s December 8, 2011 memorandum, and replaces it with an updated vision, scope, and governance structure for the FedRAMP program that is responsive to developments in Federal cybersecurity and substantial changes to the commercial cloud marketplace that have occurred since the program was established. その結果、この覚書は2011年12月8日の連邦最高情報責任者の覚書を取り消し、それに代わって、連邦政府のサイバーセキュリティの進展と、プログラム設立後に生じた商用クラウド市場の大幅な変化に対応した、FedRAMPプログラムの最新のビジョン、スコープ、ガバナンス構造を示すものである。
I. Background I. 背景
Since its establishment in 2011, FedRAMP has operated by partnering with agencies and third-party assessors to identify appropriate cloud products and services, evaluate those cloud products and services against a common baseline of security controls, and create authorization packages that agency authorizing officials can use to make informed, risk-based, and efficient decisions concerning the use of those cloud products and services. 2011年の設立以来、FedRAMPは各省庁およびサードパーティ評価機関と提携し、適切なクラウド製品・サービスを特定し、それらのクラウド製品・サービスを共通のセキュリティ管理基準に照らして評価し、各省庁の権限付与担当者がそれらのクラウド製品・サービスの使用に関して情報に基づいたリスクベースの効率的な決定を行うために使用できる権限パッケージを作成することで運営されてきた。
At the beginning of the FedRAMP program, the Federal Government was focused on securely facilitating agencies’ use of commercially available infrastructure as a service (IaaS)— virtualized computing resources that are natively designed to be more scalable and automatable than traditional data center environments. In the years since, the commercial cloud marketplace has grown, especially in the area of software as a service (SaaS)—cloud-based applications made available over the internet. The COVID-19 pandemic only further accelerated the growth of the SaaS market, as shifts in the workplace landscape led more organizations to rely on remote collaboration tools for their workforce and to expand the online services they provide to their customers. FedRAMPプログラムの開始当初、連邦政府は政府機関が市販のIaaS(Infrastructure as a Service)-従来のデータセンター環境よりもスケーラブルで自動化できるように設計された仮想化コンピューティング・リソース-を安全に利用できるようにすることに重点を置いていた。それ以来、商用クラウド市場は成長し、特にSaaS(Software as a Service:インターネット上で利用可能なクラウドベースのアプリケーション)の分野で成長してきた。COVID-19の大流行は、SaaS市場の成長をさらに加速させた。職場環境のシフトによって、より多くの組織が労働力のためにリモート・コラボレーション・ツールに依存し、顧客に提供するオンライン・サービスを拡大するようになったからだ。
Because Federal agencies require the ability to use more commercial SaaS products and services to meet their enterprise and public-facing needs, the FedRAMP program must continue to change and evolve. While an IaaS provider might offer virtualized computing infrastructure appropriate for general-purpose enterprise uses, SaaS providers typically offer more focused applications. A large agency might rely on only a few IaaS providers to accommodate its custom applications, but could easily benefit from hundreds of different SaaS tools for various collaboration and mission-specific needs. SaaS providers may also target highly tailored use cases that are only relevant to specific sectors and may not be useful to every agency, but which can significantly enhance the effectiveness of the agencies with missions in that sector. 連邦政府機関は、エンタープライズや公共向けのニーズを満たすために、より多くの商用SaaS製品やサービスを利用する能力を必要としているため、FedRAMPプログラムは変化と進化を続けなければならない。IaaSプロバイダが汎用のエンタープライズ用途に適した仮想化コンピューティング・インフラを提供するのに対し、SaaSプロバイダは通常、より焦点を絞ったアプリケーションを提供する。大規模な機関では、カスタム・アプリケーションに対応するために数社のIaaSプロバイダしか利用しないかもしれないが、さまざまなコラボレーションやミッション固有のニーズに対しては、数百種類のSaaSツールから容易に利益を得ることができる。また、SaaSプロバイダは、特定の部門にのみ関連する、高度にカスタマイズされたユースケースをターゲットにしている場合があり、すべての機関に役立つとは限らないが、その部門のミッションを持つ機関の有効性を大幅に高めることができる。
Beyond the changing cloud marketplace, the Federal Government has learned important cybersecurity lessons over the last decade that should be reflected in its approach to cloud security. Keeping a step ahead of adversaries requires the Federal Government to be an early adopter of innovative new approaches to cloud security offered and used by private sector platforms. Federal agencies all have finite resources to dedicate to cybersecurity, and must focus those resources where they matter the most. The use of commercial cloud services by Federal agencies is itself a major cybersecurity benefit, freeing up resources that would otherwise have to be dedicated to operating and maintaining in-house infrastructure. クラウド市場の変化だけでなく、連邦政府は過去10年間にわたり、クラウドセキュリティへのアプローチに反映させるべき重要なサイバーセキュリティの教訓を学んできた。敵の一歩先を行くには、連邦政府が、民間プラットフォームが提供・利用するクラウドセキュリティの革新的な新アプローチをいち早く採用する必要がある。連邦政府機関がサイバーセキュリティに割けるリソースは限られており、そのリソースを最も重要なところに集中させなければならない。連邦機関が商用のクラウド・サービスを利用することは、それ自体がサイバーセキュリティ上の大きなメリットであり、そうでなければ社内のインフラの運用と維持に専念しなければならないリソースを解放することになる。
Similarly, the FedRAMP program must also focus its attention and engagement with industry on the security controls that lead to the greatest reduction of risk to Federal information and agency missions, grounding them in security expertise and real-world threat assessment. Prescribed compliance procedures can help maintain consistency and basic rigor, but it is important to emphasize that FedRAMP must first and foremost be a security program. To that end, FedRAMP must be an expert program that can analyze and validate the security claims of cloud service providers, while making risk management decisions that will determine the adequacy of a FedRAMP authorization for re-use within the Federal Government. 同様に、FedRAMP プログラムは、セキュリティの専門知識と現実の脅威アセスメントに立脚して、連邦情報および省庁のミッションに対するリスクの最大限の低減につながるセキュリティ管理策に注目し、産業界との関与に重点を置かなければならない。規定のコンプライアンス手順は、一貫性と基本的な厳格さを維持するのに役立つが、FedRAMP は何よりもまずセキュリティ・プログラムでなければならないことを強調することが重要である。そのためには、FedRAMP はクラウド・サービス・プロバイダのセキュリティの主張を分析・検証できる専門家プログラムでなければならず、同時に連邦政府内で再利用するための FedRAMP 認可の十分性を判断するリスクマネジメントの判断も行わなければならない。
Strategic changes to the FedRAMP program will ensure that it can enable the Federal Government to safely use the best of the commercial cloud marketplace for years to come. FedRAMPプログラムに戦略的な変更を加えることで、連邦政府が今後何年にもわたって商業クラウド市場の最良のものを安全に利用できるようになる。
II. Vision II. ビジョン
The purpose of the FedRAMP program is to increase Federal agencies’ adoption of and secure use of the commercial cloud, while focusing cloud service providers and agencies on the highest value work and eliminating redundant effort. FedRAMPプログラムの目的は、連邦政府機関による商用クラウドの採用と安全な利用を増加させるとともに、クラウド・サービス・プロバイダと連邦政府機関を最も価値の高い業務に集中させ、冗長な作業を排除することである。
To do this, FedRAMP provides a standardized, reusable approach to security assessment and authorization for cloud computing products and services. The FedRAMP program supports broader efforts to reduce the nation’s cybersecurity risks, contributing to a more stable technology ecosystem by incentivizing CSPs to make security improvements that protect all of their Federal customers. そのためにFedRAMPは、クラウドコンピューティング製品とサービスのセキュリティ評価と認可に標準化された再利用可能なアプローチを提供する。FedRAMP プログラムは、国のサイバーセキュリティ・リスクを軽減するための広範な取り組みを支援するものであり、連邦政府の顧客すべてを保護するセキュリティ改善を行うよう CSP にインセンティブを与えることで、より安定した技術エコシステムに貢献するものである。
The goal of this guidance is to strengthen and enhance the FedRAMP program. FedRAMP has provided significant value to date, but the program must change to meet the needs of Federal agencies and address the scope of the cloud marketplace. The FedRAMP marketplace must scale dramatically to enable Federal agencies to work with many thousands of different cloud-based services that can accelerate key agency operations while allowing agencies to directly manage a smaller IT footprint. このガイダンスの目標は、FedRAMP プログラムを強化・充実させることである。FedRAMPはこれまで大きな価値をプロバイダとして提供してきたが、連邦機関のニーズを満たし、クラウド市場の規模に対応するためには、プログラムを変更しなければならない。FedRAMP市場は、連邦機関がより小さなITフットプリントを直接管理できるようにする一方で、連邦機関の主要な業務を加速させることができる何千もの異なるクラウドベースのサービスと連携できるように、劇的に拡大しなければならない。
To achieve this, the FedRAMP program has several strategic goals and responsibilities: これを達成するために、FedRAMPプログラムにはいくつかの戦略的目標と責任がある:
Lead an information security program grounded in technical expertise and risk management. FedRAMP is a security program that should focus Federal agencies and cloud providers on the most impactful security features that protect Federal agencies from the most salient threats, in consultation with industry and security experts across the Federal Government. To do this, FedRAMP must be capable of conducting rigorous reviews and identifying weaknesses in the security architecture of cloud providers. At the same time, FedRAMP is a bridge between industry and the Federal Government, and is expected to thoughtfully navigate situations where unthinking adherence to standard agency practices in a commercial environment could lead to unexpected or undesirable security outcomes. 技術的専門知識とリスクマネジメントに根ざした情報セキュリティー・プログラムを主導する。FedRAMPはセキュリティ・プログラムであり、連邦政府全体の業界およびセキュリティ専門家と協議しながら、連邦政府機関とクラウド・プロバイダに、最も重大な脅威から連邦政府機関を保護する最も影響力のあるセキュリティ機能に焦点を当てるべきである。そのためには、FedRAMPは厳格なレビューを実施し、クラウド・プロバイダのセキュリティ・アーキテクチャの弱点を特定できなければならない。同時に、FedRAMP は産業界と連邦政府との橋渡し役であり、営利目的の環境において機関の標準的な慣行に無思慮に従えば、予期せぬ、あるいは望ましくないセキュリティ結果につながりかねない状況を思慮深く切り抜けることが期待されている。
Rapidly increase the size of the FedRAMP marketplace by offering multiple authorization structures. The FedRAMP program has the challenging task of balancing a variety of risk postures across Federal agencies while creating a baseline for the reliability of FedRAMP authorizations that will support the statutory presumption of their adequacy and lead to their reuse at the appropriate FISMA impact level. FedRAMP is expected to create and evolve multiple authorization structures, beyond those described in this document, that provide different incentives and flexibilities to agencies to achieve these goals. 複数の認証構造を提供することで、FedRAMP 市場の規模を急速に拡大する。FedRAMP プログラムは、FedRAMP 認可の信頼性のベースラインを作成することで、その適切性が法的に推定され、適切な FISMA の影響レベルで再利用されるようにする一方で、連邦機関全体で様々なリスク態勢のバランスをとるという困難な課題を抱えている。FedRAMP は、これらの目標を達成するために、各省庁に異なるインセンティブと柔軟性を提供する、この文書に記載されているもの以外の複数の認可構造を作成し、進化させることが期待されている。
Streamlining processes through automation. It is essential that FedRAMP establish an automated process for the intake and use of industry standard security assessments and reviews. Automating the intake and processing of machine-readable security documentation and other relevant artifacts will reduce the burden on program participants and increase the speed of implementing cloud solutions in a timely manner. 自動動化によるプロセスの合理化。FedRAMPは、業界標準のセキュリティ評価とレビューの取り込みと利用のための自動化されたプロセスを確立することが不可欠である。機械読み取り可能なセキュリティ文書やその他の関連成果物の取り込みと処理を自動化することで、プログラム参加者の負担が軽減され、クラウド・ソリューションのタイムリーな導入スピードが向上する。
Leverage shared infrastructure between the Federal Government and private sector. FedRAMP should not incentivize or require commercial cloud providers to create separate, dedicated infrastructure for Federal use, whether through its application of Federal security frameworks or other program operations. The Federal Government benefits most from the investment, security maintenance, and rapid feature development that commercial cloud providers must give to their core products to succeed in the marketplace. Commercial providers should similarly be incentivized to integrate into their core services any improved security practices that emerge from their engagement with FedRAMP, to the benefit of all customers. 連邦政府と民間セクターの共有インフラを活用する。FedRAMPは,連邦セキュリティ・フレームワークの適用やその他のプログラム運用を通じてであれ,営利目的のクラウド・プロバイダに,連邦政府利用のための別個の専用インフラを構築するよう奨励したり要求したりすべきではない。連邦政府は,商用クラウド・プロバイダが市場で成功するために自社の主力製品に行わなければならない投資,セキュリティ保守,迅速な機能開発から最も恩恵を受ける。商業プロバイダも同様に,FedRAMP への関与から生まれた改善されたセキュリティ慣行を,すべての顧客の利益となるよう,自社のコアサービスに統合するインセンティブを与えられるべきである。
Structurally, FedRAMP consists of two parts: a program management office (PMO) and the FedRAMP Board. The PMO, located within GSA and led by a Director, is responsible for providing a security authorization process that meets the needs of Federal agencies, is reasonably navigable for CSPs, and complies with applicable laws and policies, including this memorandum. The FedRAMP Board, composed of Federal technology leaders appointed by OMB, provides input to GSA, establishes guidelines and requirements for security authorizations, and supports and promotes the program within the Federal community. 構造的には、FedRAMP はプログラム管理室(PMO)と FedRAMP 理事会の2つの部分から構成されている。PMO は GSA 内に設置され、ディレクターが率い、連邦機関のニーズを満たし、CSP にとって合理的に利用可能で、本覚書を含む適用法およびポリシーに準拠したセキュリティ認可プロセスを提供する責任を負う。OMB によって任命された連邦技術リーダーで構成される FedRAMP Board は、GSA に意見を提供し、セキュリ ティ認可のガイドラインと要件を定め、連邦コミュニティ内でプログラムを支援し推進する。
III. Scope of FedRAMP III. FedRAMP の範囲
The Act charges OMB with establishing the range of cloud computing products and services that may receive authorizations through FedRAMP.3 Agencies must obtain a FedRAMP authorization when operating an information system within this scope. 同法は、FedRAMPを通じて認可を受けることができるクラウド・コンピューティング製品とサービスの範囲を定めることをOMBに課している3。この範囲内で情報システムを運用する場合、各省庁はFedRAMPの認可を受けなければならない。
Those products and services are: (1) commercially offered cloud products and services (such as Infrastructure-as-a-Service, Platform-as-a-Service, and Software-as-a-Service) that host information systems that are operated by an agency, or on behalf of an agency by a contractor or other organization; and (2) cross-Government shared services4 that host any information system operated by an agency, or by a contractor of an agency or another organization on behalf of an agency. This scope applies only to information systems that process unclassified information and are not national security systems as defined in 44 U.S.C. § 3552. これらの製品およびサービスは、以下のとおりである: (1)政府機関、または政府機関の請負業者もしくは他の組織によって政府機関に代わって運用される情報システムをホストする、商業的に提供されるクラウド製品およびサービス(Infrastructure-as-a-Service、Platform-as-a-Service、Software-as-a-Serviceなど)、および(2)政府機関、または政府機関の請負業者もしくは他の組織によって政府機関に代わって運用される情報システムをホストする、政府間の共有サービス4。この範囲は、未分類の情報を処理する情報システムのみに適用され、44 U.S.C. § 3552 で定義される国家安全保障システムではない。
Some cloud services are outside the scope of FedRAMP: (1) cloud-based services that do not host information systems operated by an agency or contractor of an agency or another organization on behalf of an agency; (2) services that are offered by a Federal agency but are not a cross-Government shared service. (1)政府機関、政府機関の請負業者、または政府機関に代わって他の組織が運用する情報システムをホストしないクラウドベースのサービス、(2)連邦政府機関によって提供されるが、政府間共有サービスではないサービス。
Examples of excluded cloud-based services that do not host an information system operated by an agency or contractor of an agency or another organization on behalf of an agency include: 連邦政府機関によって提供されるが、政府横断的な共有サービスではないサービス 連邦政府機関、連邦政府機関の請負業者、または連邦政府機関を代行する他の組織によって運営される情報システ ムをホストしない、除外されるクラウドベースのサービスの例には、以下が含まれる:
1. Ancillary services whose compromise would pose a negligible risk to Federal information or information systems, such as systems that make external measurements or read information from other publicly available services. 1. 外部測定を行うシステムや、他の一般に利用可能なサービスから情報を読み取るシステムなど、侵害が連邦情報または情報システムに与えるリスクがごくわずかな付属サービス。
2. Publicly available social media or communications platforms governed under Federal agency social media policies, in which Federal employees or support contractors may or may not enter Federal information. 2. 一般に利用可能なソーシャル・メディアまたはコミュニケーション・プラットフォームは、連邦政府機関のソ ーシャル・メディア・ポリシーに基づいて管理される。
3. Publicly available services that provide commercially available information. 3. 商業的に利用可能な情報を提供する一般に利用可能なサービス。
IV. The FedRAMP Authorization Process IV. FedRAMP 認可プロセス
The FedRAMP program makes it easier and more efficient for agencies to securely use cloud products and services by issuing FedRAMP “authorizations.” A FedRAMP authorization is not an endorsement of a commercial product. However, by certifying that a cloud product or service has completed a FedRAMP authorization process or issuing a provisional authorization to operate, FedRAMP establishes that the security posture of the product or service has been reviewed and is presumptively adequate for use by Federal agencies. FedRAMP was founded on the principle of reducing duplicative work for agencies and companies alike, and bringing a measure of consistency and coherence to what the Federal Government requires from cloud providers. To that end, if a given cloud product or service has a FedRAMP authorization of any kind, the Act requires that agencies must presume the security assessment documented in the authorization package is adequate for their use in issuing an authorization to operate,5 and that neither additional security controls nor additional assessments of those controls are required. FedRAMPプログラムは、FedRAMPの「認可」を発行することにより、各省庁がクラウド製品やサービスを安全に利用することをより容易かつ効率的にする。FedRAMP認証は、商用製品を推奨するものではない。しかし、クラウド製品やサービスがFedRAMPの認可プロセスを完了したことを証明したり、暫定的な運用認可を発行したりすることで、FedRAMPはその製品やサービスのセキュリティ態勢が審査され、連邦政府機関による利用にとって適切であると推定されることを証明する。FedRAMPは、政府機関にとっても企業にとっても重複作業を減らし、連邦政府がクラウドプロバイダに要求することに一貫性と一貫性を持たせるという原則に基づいて設立された。そのため、あるクラウド製品やサービスがFedRAMPの認可を受けている場合、同法は、認可パッケージに文書化されたセキュリティ評価が、運用認可を発行する際に使用するのに十分なものであると各省庁が推定することを義務付けている5。
This presumption of the adequacy of FedRAMP authorizations does not supersede or conflict with the authorities and responsibilities of agency heads under FISMA to make determinations about their security needs. An agency may overcome this presumption if the agency determines that it has a “demonstrable need” for security requirements beyond those reflected in the FedRAMP authorization package,6 or that the information in the existing package is “wholly or substantially deficient for the purposes of performing an authorization” of a given product or service.7 The FedRAMP Director remains responsible for deciding whether an agency’s additional security needs merit devoting additional FedRAMP resources and conducting additional FedRAMP authorization work to support a revised package. If additional authorization work is conducted and a new authorization is issued, the sponsoring agency must also document in the resulting authorization package the reasons that it found the existing FedRAMP package deficient. However, these instances should be uncommon, in keeping with this policy of presuming the adequacy of FedRAMP authorizations. FedRAMP認可の適切性に関するこの推定は、FISMAの下で、セキュリティ・ニーズについて決定を下す機関長の権限と責任に取って代わるものでも、対立するものでもない。機関が、FedRAMP 認可パッケージに反映されている以上のセキュリティ要件に対する「実証可能な必要性」があると判断した場合、機関はこの推定を覆すことができる6 、または、既存のパッケージの情報が、特定の製品またはサービスの「認可を行う目的にとって、全体的または実質的に不十分」であると判断した場合、この推定を覆すことができる7。FedRAMPディレクターは、省庁の追加的なセキュリティニーズが、FedRAMPのリソースを追加的に投入し、改訂されたパッケージをサポートするために追加のFedRAMP認可作業を実施する価値があるかどうかを決定する責任を引き続き負う。追加の認可作業が実施され、新たな認可が発行される場合、スポンサー機関は、既存の FedRAMP パッケージに欠陥があると判断した理由も、結果として発行される認可パッケージに文書化しなければならない。しかし、このようなケースは、FedRAMP の適切性を推定するというこの方針に沿って、まれであるべきである。
For this presumption to be useful, FedRAMP must ensure that its authorizations can be reasonably relied on by multiple agencies, and that they can be tailored to suit the nature of different cloud services and Federal customer needs. この推定が有用であるためには、FedRAMPは、その認可が複数の機関によって合理的に信頼され、さまざまなクラウドサービスの性質や連邦政府の顧客のニーズに合わせて調整できることを保証しなければならない。
FedRAMP is responsible for defining the processes and criteria that must be met in order for a cloud product or service to receive a FedRAMP authorization.8 FedRAMP will establish a set of criteria for expediting the authorization of packages submitted by interested agencies with demonstrated mature authorization processes. FedRAMPは、クラウド製品やサービスがFedRAMPの認可を受けるために満たさなければならないプロセスと基準を定義する責任を負う8。FedRAMPは、認可プロセスが成熟していることが実証された関係機関から提出されたパッケージの認可を迅速に行うための一連の基準を定める。
FedRAMP is designed to enable use of innovative cloud technologies by Federal agencies in a way that appropriately manages risks. Accordingly, the FedRAMP authorization process should not only require CSPs to demonstrate security capabilities that meet the expectations of Federal agencies but should also recognize the value of newer industry practices that offer improved security and/or compensate for controls that would ordinarily be required. Acting as a bridge between the Federal community and the commercial sector, FedRAMP is responsible for balancing risk and innovation when applying policies governing Federal agency operations, and helping agencies benefit from newer approaches to information security and technology. FedRAMPは、リスクを適切にマネジメントする方法で、連邦政府機関による革新的なクラウド技術の利用を可能にするように設計されている。従って、FedRAMP の認可プロセスは、CSP に対し連邦機関の期待に応えるセキュリティ能力の実証を求めるだけでなく、セキュリティの向上や通常必要とされる管理策の代償を提供する新しい業界慣行の価値も認めるべきである。連邦政府コミュニティと商業セクターの橋渡し役として、FedRAMP は、連邦政府機関の運営を管理するポリシーを適用する際のリスクとイノベーションのバランスを取り、情報セキュリティとテクノロジーに対する新しいアプローチから連邦政府機関が利益を得られるよう支援する責任を担っている。
To promote reusability while accommodating different use cases within the Federal Government, FedRAMP will support multiple types of FedRAMP authorizations: 連邦政府内のさまざまなユースケースに対応しながら再利用性を促進するため、FedRAMP は複数のタイプの FedRAMP 認可をサポートする:
1. A single-agency authorization, signed by a Federal agency’s authorizing official, that indicates that the agency assessed a cloud service’s security posture and found it acceptable. 1. 連邦政府機関の担当官が署名する単一機関の認可で、同機関がクラウド・サービスのセキュリティ体制を評価し、許容できると判断したことを示す。
These authorizations will be designed to enable an agency to safely use a cloud product or service in a manner consistent with that agency’s risk tolerances. The FedRAMP Director is responsible for ensuring that the authorization can reasonably support reuse by agencies with similar needs. これらの認可は、当該機関がクラウド製品やサービスを当該機関のリスク許容度に合致した方法で安全に利用できるように設計される。FedRAMPディレクターは、認可が同様のニーズを持つ機関による再利用を合理的にサポートできることを保証する責任を負う。
2. A joint-agency authorization, signed by two or more Federal agencies’ authorizing officials, that indicates that the agencies assessed a cloud service’s security posture and found it acceptable.9 2. クラウド・サービスのセキュリティ態勢を評価し、許容可能であると判断したことを示す、2つ以上の連邦機関の権限付与担当官によって署名された合同機関承認9。
These authorizations will be designed to enable a cohort of agencies with similar needs to pool resources and achieve consensus on an acceptable risk posture for use of the cloud product or service. The FedRAMP Board and FedRAMP Program are encouraged to proactively identify, organize, and support agency cohorts to reduce their effort and expense in conducting joint-agency authorizations. The FedRAMP Director is responsible for ensuring that the authorization can reasonably support reuse by other agencies that would benefit from using the product or service. これらの認可は、同じようなニーズを持つ複数の機関がリソースを出し合い、クラウド製品やサービスを利用するための許容可能なリスク・ポスチャーについてコンセンサスを得ることを可能にするように設計される。FedRAMP BoardとFedRAMP Programは、省庁共同認可を実施する際の労力と費用を削減するために、省庁のコホートを積極的に特定し、組織化し、支援することが奨励される。FedRAMP ディレクターは、製品またはサービスを使用することで利益を得る他の機関による再利用を、認可が合理的にサポートできることを保証する責任を負う。
3. A program authorization, signed by the FedRAMP Director, that indicates that the Program assessed a cloud service’s security posture and found it met FedRAMP requirements and is acceptable for re-use by agency authorizing officials. 3. FedRAMP ディレクターが署名したプログラム認可は、プログラムがクラウド・サービスのセキュリ ティ体制を評価し、FedRAMP 要件を満たしており、省庁の認可担当者による再利用が認められることを示すものである。
These authorizations are intended to allow the FedRAMP program to enable agencies to use a cloud product or service for which an agency sponsor has not been identified, but for which substantial Federal use could reasonably be expected were it to be authorized. これらの認可は、FedRAMPプログラムが、省庁のスポンサーが特定されていないが、認可されれば実質的な連邦利用が合理的に期待できるクラウド製品やサービスを、省庁が利用できるようにすることを意図している。
4. Any other type of authorization, designed by the FedRAMP PMO and approved by the FedRAMP Board, to further promote the goals of the FedRAMP program. 4. FedRAMP PMO が策定し、FedRAMP Board が承認した、FedRAMP プログラムの目標を促進するためのその他の種類の認可
The FedRAMP PMO is responsible for ensuring that the types of authorizations described above successfully achieve their goals, and for generally enabling Federal agencies to safely meet their mission needs. The FedRAMP PMO oversees the process for all FedRAMP authorizations, and works with agency program staff and authorizing officials to make necessary risk management decisions. Agency authorizing officials determine acceptable risk for their agency, and the FedRAMP Director determines acceptable risk for what can be called a FedRAMP authorization. FedRAMP PMO は、上述した種類の認可がその目標を成功裏に達成し、一般的に連邦機関がミッション・ニーズを安全に満たせるようにすることに責任を負う。FedRAMP PMO は、すべての FedRAMP 認可のプロセスを監督し、必要なリスクマネジメントの決定を行うために、省庁のプログラムスタッフおよび認可担当者と協働する。省庁の認可担当者はその省庁の許容リスクを決定し、FedRAMP ディレクターは FedRAMP 認可と呼べるものの許容リスクを決定する。
Regardless of the type of authorization, the FedRAMP review process should consistently assess and validate the core security claims made by a cloud provider. FedRAMP reviews are not limited to reviewing documentation, and may direct that intensive, expert-led “red team” assessments be conducted on any cloud provider at any point during or following the authorization process. 認可の種類にかかわらず、FedRAMPのレビュー・プロセスは、クラウド・プロバイダが主張する中核的なセキュリティの主張を一貫して評価し、検証しなければならない。FedRAMPの審査は、文書の審査に限定されるものではなく、認可プロセス中またはその後のどの時点においても、クラウド・プロバイダに対して、専門家主導の「レッドチーム」による集中的な評価を実施するよう指示することができる。
Cloud providers are increasingly using complex architectures and encryption schemes to guarantee confidentiality and integrity, and FedRAMP must be able to validate that relevant implementations are reasonable and appear to work as intended. The FedRAMP Director should draw on technical expertise across government and industry as necessary to ensure that appropriate teams can conduct these assessments. クラウド・プロバイダは、機密性と完全性を保証するために複雑なアーキテクチャと暗号化スキームをますます使用するようになっており、FedRAMP は関連する実装が合理的であり、意図したとおりに機能するように見えることを検証できなければならない。FedRAMP ディレクターは、適切なチームがこれらの評価を実施できるよう、必要に応じて政府と産業界の技術的専門知識を活用すべきである。
The FedRAMP Board represents the needs of the Federal community and the interests of the FedRAMP program as a whole, and should be responsive to the evolving needs of the Federal community and the changing nature of the cloud ecosystem. The FedRAMP Board is responsible under the Act for establishing and regularly updating requirements and guidelines for security authorizations used in the FedRAMP process.10 As such, the FedRAMP Board engages with the FedRAMP PMO and its processes as a whole and is not expected to participate in the approval of individual authorization packages. FedRAMP理事会は、連邦コミュニティのニーズとFedRAMPプログラム全体の利益を代表するものであり、連邦コミュニティの進化するニーズとクラウドエコシステムの性質の変化に対応すべきである。FedRAMP理事会は、FedRAMPプロセスで使用されるセキュリティ認証の要件とガイドラインを定め、定期的に更新する責任を負う。10 そのため、FedRAMP Boardは、FedRAMP PMOとそのプロセス全体に関与し、個別の認可パッケージの承認に関与することは期待されていない。
The authorization process must integrate agile principles and recognize that security is a risk-management process. To achieve this, the FedRAMP program will leverage the use of threat information to prioritize control selection and implementation. The use of threat intelligence, threat analysis, and threat modeling will help agencies better identify the security capabilities necessary to reduce agency susceptibility to a variety of threats, including hostile cyber-attacks, natural disasters, equipment failures, and errors of omission and commission. This process will also apply to other review procedures, including when a provider seeks to modify an existing FedRAMP-authorized service. Summary findings of this analysis will be available to agencies engaged in the FedRAMP authorization process. The FedRAMP Program will update its security baselines to align with a threat-based analysis, produced in collaboration with the Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA), that focuses on the application of those controls that address the most salient threats. 認可プロセスは、アジャイル原則を統合し、セキュリティがリスクマネジメントプロセスであることを認識しなければならない。これを達成するために、FedRAMP プログラムは、脅威情報を活用してコントロールの選択と実施の優先順位付けを行う。脅威インテリジェンス、脅威分析、脅威モデリングを活用することで、敵対的サイバー脅威、自然災害、機器の故障、不作為と過失を含むさまざまな脅威に対する機関の感受性を低減するために必要なセキュリティ能力を、機関がよりよく特定できるようになる。このプロセスは、プロバイダが既存のFedRAMP認可サービスを変更しようとする場合など、他の審査手続きにも適用される。この分析結果の要約は、FedRAMP 認可プロセスに関与する機関が利用できるようになる。FedRAMP プログラムは、国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)と協力して作成された、最も顕著な脅威に対処する管理策の適用に焦点を当てた脅威ベースの分析に合わせて、セキュリティ・ベースラインを更新する。
Critical to achieving these strategies are the FedRAMP Marketplace and FedRAMP Ready programs. FedRAMP Marketplace shows cloud products and services that are in progress or have completed a FedRAMP authorization. FedRAMP Ready is a status that cloud offerings can obtain that indicates that a readiness assessment has been reviewed and deemed acceptable by the FedRAMP PMO, in accordance with requirements established by the FedRAMP Board. It shows to agencies that an offering is ready to move forward with a full security assessment for a FedRAMP authorization. Products and services that have been through the FedRAMP Ready process are expected to have a faster authorization process. これらの戦略を達成するために不可欠なのが、FedRAMP MarketplaceとFedRAMP Readyプログラムである。FedRAMP Marketplaceは、FedRAMP認可を申請中または完了したクラウド製品やサービスを表示する。FedRAMP Readyは、FedRAMP理事会が定めた要件に従って、FedRAMP PMOが準備状況の評価を行い、合格と判断したことを示す、クラウド製品が取得できるステータスである。このステータスは、FedRAMP認可のための完全なセキュリティ・アセスメントを進める準備ができていることを各省庁に示すものである。FedRAMP Readyプロセスを経た製品とサービスは、より迅速な認可プロセスが期待される。
The FedRAMP Marketplace also includes those products and services that have been granted a FedRAMP authorization, as well as products and services that may not have an existing agency customer but have completed the FedRAMP Ready process or other qualifying procedures as determined by FedRAMP. FedRAMP is encouraged to further explore FedRAMP Ready to help on-ramp additional small or disadvantaged businesses who may provide novel and important capabilities, but could face challenges in accessing the Federal marketplace. FedRAMP Marketplace には、FedRAMP の認可を受けた製品・サービスや、既存の機関顧客はいないが FedRAMP Ready プロセスやFedRAMP が定めるその他の適格手続きを完了した製品・サービスも含まれる。FedRAMPは、斬新で重要な機能を提供する可能性がありながら、連邦市場へアクセスする上で困難に直面する可能性のある中小企業や不利な立場にある企業のオンランプを支援するために、FedRAMP Readyをさらに検討することが奨励される。
Similarly, to support a robust marketplace, agencies may in some circumstances require a FedRAMP authorization as condition of contract award, but only if there are an adequate number of vendors to allow for effective competition, or an exception to legal competition requirements applies.11 同様に、強固な市場を支援するために、各省庁は状況によっては契約締結の条件として FedRAMP の認可を要求することがあるが、それは効果的な競争を可能にする十分な数のベンダーが存在する場合、あるいは法的な競争要件の例外が適用される場合に限られる11。
GSA, in consultation with the FedRAMP Board and the Chief Information Officers Council, develops criteria for prioritizing products and services expected to receive a FedRAMP authorization.12 GSA will ensure that these criteria prioritize products and services based on agency demand, and critical technologies that might otherwise remain unavailable to agencies, while facilitating the goals of this policy, such as automation, shared commercial platforms, and reuse. GSA は、FedRAMP 理事会および最高情報責任者会議と協議の上、FedRAMP 認可を受けると予想される製品やサービスに優先順位をつけるための基準を策定する12 。GSA は、自動化、共有商用プラットフォーム、再利用といった本政策の目標を促進しつつ、これらの基準が、省庁の需要、および他の方法では省庁が利用できない可能性のある重要な技術に基づいて、製品やサービスに優先順位をつけるようにする。
To identify more cloud services that could become FedRAMP authorized, and to accelerate their eventual path to being authorized, FedRAMP will provide additional procedures for the issuance of a type of preliminary authorization that would allowFederal agencies to pilot the use of new cloud services that do not yet have a full FedRAMP authorization. Consistent with FedRAMP’s policies and procedures, such a preliminary authorization would provide for use of the covered product or service on a trial basis for a limited period of time, not to exceed twelve months, with the goal of more easily supporting a potential FedRAMP authorization.13 FedRAMPの認可を受ける可能性のあるクラウド・サービスをより多く特定し、最終的に認可を受けるまでの道のりを早めるために、FedRAMPは、連邦機関がまだFedRAMPの完全な認可を受けていない新しいクラウド・サービスを試験的に利用できるようにする、一種の予備認可の発行のための追加手続きを提供する。FedRAMPの方針と手続きに沿って、このような予備認可は、潜在的なFedRAMP認可をより容易にサポートすることを目的として、12ヶ月を超えない限られた期間、対象となる製品またはサービスを試験的に使用することを提供する13。
V. Automation and Efficiency V. 自動化と効率化
As part of a technology-forward program optimized for efficiency and consistency, FedRAMP processes should be automated wherever possible.14 GSA must establish a means of automating FedRAMP security assessments and reviews by December 23, 2023.15 To ensure that it meets that requirement, FedRAMP should, to the extent feasible, receive all artifacts in the assessments be conducted on any cloud provider at any point during or following the authorization process and continuous monitoring process as machine-readable data, 16 through application programming interfaces that support predictable and self-service integration between services operated by FedRAMP and by CSPs. GSAは、2023年12月23日までにFedRAMPのセキュリティ評価とレビューを自動化する手段を確立しなければならない15 。この要件を確実に満たすために、FedRAMPは、実行可能な範囲で、FedRAMPとCSPが運営するサービス間の予測可能でセルフサービス的な統合をサポートするアプリケーション・プログラミング・インターフェースを通じて、認可プロセス中または認可後のどの時点でも、どのクラウドプロバイダに対しても、評価のすべての成果物を機械読み取り可能なデータとして受け取るべきである。
Automation relies on interoperable standards. The FedRAMP PMO will work with OMB, the National Institute of Standards and Technology (NIST), and CISA, as well as private-sector providers of risk and compliance tools, to provide for the submission of security assessment artifacts and continuous monitoring information using machine-readable, standardized data that facilitates interoperability, and to develop and publish relevant standards for that transition. The FedRAMP PMO will also identify additional FedRAMP processes in need of automation to promote efficiency and effectiveness within the program, and facilitate broader access to FedRAMP artifacts for agency partners with a mission need.17 自動化は相互運用可能な標準に依存する。FedRAMP PMOは、OMB、国立標準技術研究所(NIST)及びCISA、並びにリスク及びコンプライアンス・ツールの民間プロバイダと協力して、相互運用性を促進する機械可読の標準データを使用したセキュリティ・アセスメント成果物及び継続的なモニタリング情報の提出を提供し、その移行のための関連標準を開発し公表する。FedRAMP PMO はまた、プログラム内の効率性と有効性を促進するために自動化が必要な追加の FedRAMP プロセスを特定し、ミッションの必要性がある省庁パートナーのために FedRAMP 成果物への広範なアクセスを促進する。
Automating the FedRAMP process goes beyond technical implementation to procedural efficiencies as well. To accelerate the adoption of secure cloud computing products and services,FedRAMP must maintain an analysis of what controls can be shared between cloud products and services that rely on an underlying platform or infrastructure offering. FedRAMP will use that analysis to create guidance that streamlines authorizations for cloud services that use FedRAMP- authorized infrastructure or platforms. FedRAMP プロセスの自動化は、技術的な実装にとどまらず、手続き上の効率化にも及ぶ。セキュアなクラウド・コンピューティング製品とサービスの採用を加速させるために、FedRAMP は、基盤となるプラットフォームやインフラストラクチャ・オファリングに依存するクラウド製品とサービスの間で、どのような管理を共有できるかの分析を維持しなければならない。FedRAMPはその分析をもとに、FedRAMPが認可したインフラやプラットフォームを利用するクラウドサービスの認可を合理化するガイダンスを作成する。
Additionally, many existing cloud offerings have implemented or received certifications for external security frameworks. Performing an assessment of such a framework each time a product that uses it goes through the FedRAMP process unnecessarily slows the adoption of such cloud products and services by the Federal Government. Therefore, FedRAMP will establish standards for accepting external cloud security frameworks and certifications, based on its assessment of relevant risks and the needs of Federal agencies. This will include leveraging external security control assessments and evaluations in lieu of newly performed assessments, as well as designating certifications that can serve as a full FedRAMP authorization, especially for lower-risk products and services. FedRAMP may make risk management decisions regarding acceptable controls for certain situations or types of cloud offerings where there are gaps or misalignments between Federal and external security frameworks, weighing whether broader interoperability with industry security processes, reduced burden on providers, or further streamlining of FedRAMP authorizations and processes may justify acceptance of a given level of security risk any. FedRAMP’s determinations in this area must align with the guidance and requirements established by the FedRAMP Board. さらに、既存のクラウド・サービスの多くは、外部のセキュリティ・フレームワークを実装したり、認証を受けたりしている。そのようなフレームワークを使用する製品がFedRAMPプロセスを通過するたびに、そのようなフレームワークの評価を行うことは、連邦政府によるそのようなクラウド製品やサービスの採用を不必要に遅らせることになる。そこでFedRAMPは、関連リスクと連邦機関のニーズの評価に基づき、外部のクラウド・セキュリティ・フレームワークと認証を受け入れるための標準を確立する。これには、新たに実施する評価の代わりに外部のセキュリティ管理評価や査定を活用することや、特にリスクの低い製品やサービスについては、FedRAMPの完全な認可として機能する認定を指定することも含まれる。FedRAMPは、連邦政府のセキュリティ・フレームワークと外部のセキュリティ・フレームワークとの間にギャップや不整合がある特定の状況や種類のクラウド・オファリングについて、業界のセキュリティ・プロセスとのより広範な相互運用性、プロバイダの負担軽減、FedRAMPの承認とプロセスのさらなる合理化が、あるレベルのセキュリティ・リスクの受け入れを正当化できるかどうかを考慮して、許容されるコントロールに関するリスク・マネジメントの決定を下すことがある。この分野におけるFedRAMPの決定は、FedRAMP理事会が定めたガイダンスと要件に沿ったものでなければならない。
VI. Continuous Monitoring VI. 継続的モニタリング
FedRAMP’s continuous monitoring processes should incentivize security through agility, and should enable Federal agencies to use the most current and innovative cloud products and services possible. FedRAMP should seek input from CSPs and develop processes that enable CSPs to maintain an agile deployment lifecycle that does not require advance government approval, while giving the government the visibility and information it needs to maintain ongoing confidence in the FedRAMP-authorized system and to respond timely and appropriately to incidents. FedRAMPの継続的なモニタリング・プロセスは、俊敏性によってセキュリティのインセンティブを高め、連邦機関が可能な限り最新かつ革新的なクラウド製品・サービスを利用できるようにすべきである。FedRAMPは、CSPから意見を求め、CSPが政府の事前承認を必要としない俊敏な導入ライフサイクルを維持できるようにする一方で、FedRAMPが承認したシステムに対する継続的な信頼を維持し、インシデントにタイムリーかつ適切に対応するために必要な可視性と情報を政府に提供できるようなプロセスを開発すべきである。
The FedRAMP PMO, in coordination with the Board and CISA, is responsible for establishing a framework for continuous monitoring of cloud services and products, subject to the approval of OMB and DHS. FedRAMP is encouraged to develop a framework that: FedRAMP PMOは、理事会およびCISAと協調して、OMBおよびDHSの承認を条件として、クラウド・サービスおよび製品を継続的に監視する枠組みを確立する責任を負う。FedRAMPは、以下のような枠組みを開発することが奨励される:
● Prioritizes agility of development and deployment by CSPs, to support automation and DevSecOps practices within the cloud ecosystem; ● クラウド・エコシステムにおける自動化と DevSecOps の実践を支援するため、CSP による開発と展開の機敏性を優先する;
● Calls for advance notice from CSPs of upcoming security-relevant changes to the FedRAMP-authorized cloud product or service without requiring advance approval from the Government; ● 政府からの事前承認を必要とせずに、FedRAMP 認可のクラウド製品またはサービスに対するセキュリ ティ関連の今後の変更について CSP からの事前通知を求める;
● Provides CISA technical data to understand risks and to detect threats to agency information and information systems. ● リスクを把握し、省庁の情報および情報システムに対する脅威を検知するために、CISAの技術データを提供する。
● Avoids incentivizing the bifurcation of cloud services into commercially-focused and Government-focused instances. In general, to promote both security and agility, Federal agencies should be using the same infrastructure relied on by the rest of CSPs’ customer base. ● クラウド・サービスを商業に特化したインスタンスと政府に特化したインスタンスに二分するようなインセンティブを与えないようにする。一般に、セキュリ ティと俊敏性の両方を促進するために、連邦機関は、CSP の他の顧客ベースが利用するのと同じイ ンフラストラクチャを利用すべきである。
● Establishes expectations of authorized CSPs regarding incident response procedures, communication and reporting timelines, and other process that help ensure the Government is protected from potential attacks on cloud-based infrastructure. ● インシデント対応手順、コミュニケーション、報告スケジュール、およびクラウドベースのインフラに対する潜在的な攻撃から政府を確実に保護するためのその他のプロセスに関して、認定 CSP に期待されることを定める。
For all FedRAMP authorized products and services, the FedRAMP PMO will provide a certain standard level of continuous monitoring support to authorizing agencies. The FedRAMP PMO will set this standard level of monitoring support by analyzing and identifying the highest-impact controls for ensuring security of FedRAMP products and services. It will provide recommendations for the supported monitoring levels to the FedRAMP Board for review, feedback, and concurrence. When finalized, FedRAMP PMO will provide the supported monitoring to all agency customers of authorized FedRAMP products and services. すべての FedRAMP 認可製品およびサービスについて、FedRAMP PMO は認可機関に一定標準レベルの継続監視サポートを提供する。FedRAMP PMO は、FedRAMP 製品とサービスのセキュリティを確保するために、最も影響の大きいコントロールを分析・特定することで、この標準レベルの監視サポートを設定する。FedRAMP PMOは、FedRAMP理事会に対し、サポートする監視レベルの推奨事項を提供し、レビュー、フィードバック、同意を求める。最終決定後、FedRAMP PMOは、認可されたFedRAMP製品及びサービスの全機関の顧客に、サポートされる監視を提供する。
The FedRAMP PMO may conduct a special review of existing FedRAMP authorizations (regardless of authorization type). The FedRAMP Board must approve the special review and establish an expedited deadline for its completion. Once approved, the FedRAMP Director will work with the FedRAMP Board to jointly convene a technical working group consisting of members from across the Federal Government with relevant expertise. This working group will develop processes and goals tailored to the nature and technical architecture of the cloud provider, and will oversee the review of the cloud provider’s authorizations. Within the deadline established by the Board for the review, the working group will conclude its work and produce a report, submitted to the FedRAMP Director and FedRAMP Board, with any recommended changes that should be required of the cloud provider to maintain a FedRAMP authorization. FedRAMP PMO は、既存の FedRAMP 認可(認可の種類を問わない)の特別レビューを実施することができる。FedRAMP 理事会は、特別レビューを承認し、その完了のための迅速な期限を設定しなければならない。一旦承認されると、FedRAMP ディレクターは FedRAMP 理事会と協力して、関連する専門知識を有する連邦政府全体のメンバーで構成される技術ワーキング・グループを共同で招集する。この作業部会は、クラウド・プロバイダの性質と技術的アーキテクチャーに合わせたプロセスと目標を策定し、クラウド・プロバイダの認可のレビューを監督する。理事会が定めた審査期限内に、作業部会は作業を終了し、FedRAMP認可を維持するためにクラウド・プロバイダに要求すべき推奨される変更を記載した報告書を作成し、FedRAMP理事会およびFedRAMPディレクターに提出する。
When the FedRAMP PMO becomes aware of vulnerabilities in a CSP with a FedRAMP authorization, it will provide that information to the CSP and impacted agencies for remediation and establish escalation pathways for vulnerabilities not sufficiently addressed in a timely manner. Escalation pathways may include public notification of unaddressed concerns for potential agency customers. The FedRAMP PMO will develop and maintain procedures for responding to CISA Binding Operational and Emergency Directives, 18 in collaboration with CISA, OMB, and the FedRAMP Board. FedRAMP PMO は、FedRAMP 認可を受けた CSP の脆弱性に気付いた場合、その情報を CSP および影響を受ける機関に提供し、是正を求めるとともに、適時に十分な対処がなされない脆弱性についてはエスカレーション経路を確立する。エスカレーション経路には、潜在的な機関顧客に対する未対処の懸念事項の公表を含めることができる。FedRAMP PMOは、CISA、OMB、FedRAMP理事会と協力して、CISAの拘束的運用指令及び緊急指令に対応するための手順を策定し、維持する。
To increase integrity and further trust in the FedRAMP program, FedRAMP should leverage government-wide tools and best-practices to enhance its monitoring efforts. Specifically, FedRAMP must ensure that it uses, to the greatest extent possible, CISA’s capabilities and shares relevant data and tools for monitoring FedRAMP’s products and services. FedRAMPプログラムの整合性を高め、信頼をさらに高めるために、FedRAMPは政府全体のツールとベスト・プラクティスを活用し、監視の取り組みを強化すべきである。具体的には、FedRAMP は可能な限り CISA の能力を利用し、FedRAMP の製品とサービスを監視するための関連データとツールを共有するようにしなければならない。
VII. Roles and Responsibilities VII. 役割と責任
This section details the responsibilities and interactions of the key government stakeholders that make up or interact with FedRAMP. These stakeholders include GSA, the FedRAMP Board, the FedRAMP Technical Advisory Group, NIST, DHS, and Federal agencies. このセクションでは、FedRAMP を構成する、または FedRAMP と相互作用する主要な政府関係者の責任と相互作用について詳述する。これらの利害関係者には、GSA、FedRAMP Board、FedRAMP Technical Advisory Group、NIST、DHS、連邦機関が含まれる。
The roles and responsibilities below are intended to identify many of the critical directives of this policy and applicable statutes. 以下の役割と責任は、本方針の重要な指示の多くと、適用される法令を特定することを意図している。
a. The General Services Administration  a. 一般調達局 
GSA resources, administers, and operates the FedRAMP program office, and is responsible for the successful implementation of FedRAMP.19 GSA は、FedRAMP プログラム・オフィスの資源、管理、運営を行い、FedRAMP の成功裏の実施に責 任を負う19 。
In operating FedRAMP, GSA will fulfill a variety of responsibilities, including: FedRAMP の運用において、GSA は以下を含む様々な責任を果たす:
1) Develop and implement the process for FedRAMP authorizations, in consultation with DHS; 1) DHS と協議の上、FedRAMP 認可プロセスを策定し実施する;
2) Grant FedRAMP authorizations consistent with the guidance and direction of the Board, including program authorizations for cloud products and services that meet FedRAMP requirements and threat-based risk analysis; 2) FedRAMP 要件と脅威に基づくリスク分析に適合するクラウド製品・サービスに対するプログラム認可を含む、理事会のガイダンスと指示に沿った FedRAMP 認可を付与する;
3) Provide a certain standard level of continuous monitoring support for the highest-impact controls of FedRAMP products and services; 3) FedRAMP 製品とサービスの最も影響の大きい管理について、一定標準レベルの継続的監視サ ポートをプロバイダとして提供する;
4) Develop partnerships with Federal agencies to promote authorizations and reuse, and establish a secure, transparent, and automated process for enabling agency officials’ access to artifacts in the FedRAMP repository; 4) 権限付与と再利用を促進するために連邦機関とのパートナーシップを構築し、連邦機関職員が FedRAMP リポジトリ内の成果物にアクセスできるようにするための、安全で透明性のある自動化されたプロセスを確立する;
5) Consult with the Federal Secure Cloud Advisory Committee (FSCAC)20 as appropriate; 5) 必要に応じて連邦セキュア・クラウド諮問委員会(FSCAC)20 と協議する;
6) Proactively engage with the commercial cloud sector, to represent the priorities of the Federal agency community and maintain awareness of contemporary technology and security practices; 6) 連邦政府機関のコミュニティの優先事項を代表し、最新の技術とセキュリティ慣行の認識を維持するため、商業クラウド部門と積極的に関わる;
7) Establish systems that support automated, machine-readable processing of authorization materials, and drive adoption of relevant standards throughout the cloudecosystem; 7) 認可資料の自動化された機械読み取り可能な処理を支援するシステムを確立し、クラウ ドシステム全体で関連標準の採用を推進する;
8) Develop guidance, as necessary, for best practices in the procurement of cloud products and services, in coordination with OMB, the CIO Council, and the Chief Acquisition Officers Council; 8) OMB、CIO 評議会、および最高調達責任者会議(Chief Acquisition Officers Council)と連携して、クラウド製品とサービスの調達におけるベストプラクティスに関するガイダンスを必要に応じて策定する;
9) Establish, and submit to the FedRAMP Board for concurrence, metrics that measure agency participation in FedRAMP, the time and quality of each step of the initial FedRAMP authorization process and ongoing interactions with the FedRAMP program, and any other metrics requested by the FedRAMP Board or OMB to measure program health and follow up with agencies as needed; and 9) FedRAMP への各省庁の参加、最初の FedRAMP 認可プロセスの各段階の時間と質、FedRAMP プログラムとの継続的なやり取り、およびプログラムの健全性を測定し、必要に応じて各省庁をフォローアップするために FedRAMP 理事会または OMB が要求するその他の指標を測定する指標を確立し、FedRAMP 理事会に提出し、同意を得る。
10) Position FedRAMP as a central point of contact to the commercial cloud sector for government-wide communications or requests for information concerning commercial cloud providers used by Federal agencies. 10) 連邦政府機関が利用する商用クラウド・プロバイダに関する政府全体のコミュニケーションや情報要求のための、商用クラウド部門に対する中心的な窓口としてFedRAMPを位置づける。
b. The FedRAMP Board b. FedRAMP 理事会
The FedRAMP Board consists of up to seven senior officials or experts from agencies that are appointed by OMB in consultation with GSA.21 The Board must include at least one representative from each of GSA, DHS, and the Department of Defense, and will include representation from other agencies as determined by OMB. The FedRAMP Board members must possess technical expertise in cloud, cyber, privacy, risk management, and other competencies identified by OMB, in consultation with GSA.22 OMB may elect to adjust the board membership over time, and the membership will be documented in the FedRAMP Charter maintained by GSA. OMB, through the Federal Chief Information Officer, will participate in FedRAMP Board meetings to provide oversight and and guidance, and the Office of the National Cyber Director may attend Board meetings as appropriate to assist in the coordination of FedRAMP activities with national cyber policy and strategy. As a body intended to represent the entire participating Federal community, the FedRAMP Board should, in general, endeavor to maintain consensus among its members when making decisions. To ensure FedRAMP’s effectiveness and efficiency, however, the Board must be able to reach final resolutions even when consensus is unattainable. Accordingly, it is the Board’s responsibility to adopt internal operating procedures under which final decisions will be made even in the absence of unanimous support from its members. FedRAMP 理事会は、GSA と協議の上 OMB が任命する各省庁の高官または専門家最大 7 名で構成される21 。理事会には、GSA、国土安全保障省、国防総省からそれぞれ少なくとも 1 名の代表者が含まれなければならず、OMB が決定するその他の省庁からの代表者も含まれる。FedRAMP 理事会のメンバーは、クラウド、サイバー、プライバシー、リスクマネジメント、および OMB が GSA と協議して特定したその他の能力に関する技術的専門知識を有していなければならない22。OMB は、時間の経過とともに理事会のメンバーを調整することを選択することができ、メンバーは GSA が維持する FedRAMP 憲章に文書化される。OMB は連邦最高情報責任者(Federal Chief Information Officer)を通じて FedRAMP 理事会の会合に参加し、監督と指針を提供する。FedRAMP理事会は、参加する連邦コミュニティ全体を代表することを目的とする団体であるため、一般的に、意思決定を行う際にはメンバー間のコンセンサスを維持するよう努めるべきである。しかし、FedRAMPの有効性と効率性を確保するためには、理事会は、コンセンサスが得られない場合でも最終的な決議に達することができなければならない。従って、理事会のメンバーから全会一致の支持が得られなくても、最終的な決定を下すことができるような内部運営手順を採用することは、理事会の責任である。
As provided in the Act, the Board will: 同法に規定されている通り、理事会は以下を行う:
1) Provide input and recommendations to GSA regarding the requirements and guidelines for, and the prioritization of, security assessments of cloud computing products and services; 1) クラウドコンピューティング製品およびサービスのセキュリティ評価の要件とガイドライン、および優先順位付けに関して、GSA に意見と勧告を提供する;
2) In consultation with GSA, serve as a resource for best practices to accelerate the process for obtaining a FedRAMP authorization; 2) GSA と協議の上、FedRAMP 認可取得プロセスを加速するためのベストプラクティスのリソースとなる;
3) Establish requirements and guidelines for security assessments of cloud computing services, consistent with standards defined by the National Institute of Standards and Technology, to be used in the determination of a FedRAMP authorization; 3) FedRAMP 認可の判断に使用される、国立標準技術研究所によって定義された標準に合致する、クラウドコンピューティング・サービスのセキュリティ評価のための要件とガイドラインを確立する;
4) Establish and regularly update requirements and guidance for security authorizations of cloud computing products and services, including government-wide shared services, consistent with OMB policy and NIST standards and guidelines, to be used in the determination of FedRAMP authorizations; 4)クラウドコンピューティング製品とサービスのセキュリティ認可に関する要件とガイダンスを確立し、定期的に更新する、 政府全体の共有サービスを含め、OMB の方針と NIST の標準とガイドラインに合致し、FedRAMP 認可の決定に使用される;
5) Monitor and oversee, to the greatest extent practicable, the processes and procedures by which agencies determine and validate requirements for a FedRAMP authorization, including periodic review of agency determinations that existing assessments in the FedRAMP repository were not sufficient for the purpose of performing an authorization; 5) FedRAMP リポジトリにある既存の評価が、認可を行う目的には十分でないという機関の判 断を定期的に見直すことを含め、FedRAMP 認可のための要件を機関が決定し、検証するプロセ スと手順を、実行可能な最大限の範囲で監視し、監督する;
6) Ensure consistency and transparency between agencies and CSPs in a manner that minimizes confusion and engenders trust; and 6) 混乱を最小限に抑え、信頼を醸成する方法で、機関と CSP 間の一貫性と透明性を確保する。
7) Perform other roles and responsibilities as assigned by OMB, acting through the Federal Chief Information Officer, with the concurrence of the FedRAMP PMO at GSA. 7) GSA の FedRAMP PMO の同意を得て、連邦最高情報責任者(Federal Chief Information Officer)を通じて OMB が指定するその他の役割と責任を果たす。
As agreed by OMB and GSA, the Board will also provide input to GSA regarding the establishment of metrics reflecting the time and quality of the assessments necessary for completion of a FedRAMP authorization. OMB と GSA が合意したように、理事会はまた、FedRAMP 認可の完了に必要な評価の時間と質を反映する指標の設定に関して、GSA に意見を提供する。
c. Technical Advisory Group c. 技術諮問グループ
OMB will establish a Technical Advisory Group (TAG) to provide additional subject matter expertise to FedRAMP and advise on the technical, strategic, and operational direction of the program. The goal of the TAG is to provide additional avenues for input across the Federal community into the functioning of FedRAMP and serve as an independent source for technical and programmatic best practices and insight. OMB は技術諮問グループ(TAG)を設立し、FedRAMP に専門分野の追加的なプロバイダを提供し、プロ グラムの技術的、戦略的、運営上の方向性について助言する。TAG の目標は、FedRAMP の機能に対して連邦コミュニティ全体からインプットする手段を追加し、技術的・プログラム的なベストプラクティスと見識の独立した情報源としての役割を果たすことである。
The TAG will comprise up to six technical experts in cloud technologies, cybersecurity, privacy, risk management, digital service delivery, and other competencies as identified by GSA, with OMB concurrence. TAG members will be Federal employees. The FedRAMP PMO will provide operational support for the functions of the TAG. TAG は、クラウド技術、サイバーセキュリティ、プライバシー、リスクマネジメント、デジタルサービスデリバリ、および OMB の同意を得て GSA が特定したその他のコンピテンシーの技術専門家最大 6 名で構成される。TAG メンバーは連邦職員とする。FedRAMP PMO は TAG の機能を運用面でサポートする。
The TAG will: TAG は以下を行う:
1) Provide recommendations on best practices in continuous monitoring of cloud services and establishing control criteria. 1) クラウド・サービスの継続的監視と管理基準の設定におけるベスト・プラクティスに関する提言を行う。
2) Provide advice on issues that arise during the process of performing risk assessments and technical reviews of authorization packages. 2) リスクアセスメントと認可パッケージの技術的レビューの実施過程で発生する問題につい て助言を提供する。
3) Advise on other issues as requested by the FedRAMP Director or FedRAMP Board. 3) FedRAMP ディレクターまたは FedRAMP 理事会の要請に応じて、その他の問題についても助言を行う。
d. Agencies d. 政府機関
To further strengthen the FedRAMP program, each agency must: FedRAMP プログラムをさらに強化するために、各機関は以下を行わなければならない:
1) Upon issuance of an agency authorization to operate based on a FedRAMP authorization, provide a copy of the authorization-to-operate letter and any relevant supplementary information to the FedRAMP PMO, including configuration information as applicable; 1) FedRAMP 認可に基づく運用認可が発行された場合、運用認可書及び関連する補足情報のコピーを、該当する場合、設定情報を含め、FedRAMP PMO に提供する;
2) Ensure authorization package materials are provided to the FedRAMP PMO using machine-readable and interoperable formats, in accordance with any applicable guidance from the FedRAMP program; 2) FedRAMP プログラムからの適用可能なガイダンスに従い、認証パッケージの資料が、 機械可読かつ相互運用可能な形式を用いて FedRAMP PMO に提供されることを確実にする;
3) Ensure that agency system-inventory tools can ingest machine readable authorization artifacts; 3) 省庁のシステムインベントリツールが、機械可読の認証成果物を取り込めるようにする;
4) Provide data and information concerning how they are meeting relevant security metrics, in accordance with OMB guidance; and 4) OMBのガイダンスに従って、関連するセキュリティ指標をどのように満たしているか に関するデータと情報を提供する。
5) Ensure that relevant contracts include the FedRAMP security authorization requirements with which the contractor must comply. 5) 関連する契約に、請負業者が遵守しなければならない FedRAMP セキュリティ認可要件が含まれていることを確認する。
e. Department of Commerce e. 商務省
NIST, within the Department of Commerce, is responsible for developing and maintaining standards and guidelines to support implementation of risk management programs to meet the requirements of FISMA. In doing so, NIST has an essential role in the FedRAMP process. 商務省内の NIST は、FISMA の要件を満たすリスクマネジメントプログラムの実施を支援する標準と ガイドラインを策定し、維持する責任を負う。その際、NIST は FedRAMP プロセスにおいて不可欠な役割を担っている。
NIST will: NIST は以下を行う:
1) In coordination with OMB and CISA, review the underlying NIST standards and guidelines used by FedRAMP to identify and assess the provenance of the software in cloud services and products; 1) OMBおよびCISAと連携して、クラウドサービスおよび製品に含まれるソフトウェアの出所を識別・評価するためにFedRAMPが使用する基礎となるNIST標準およびガイドラインを見直す;
2) Assess and update standards and guidelines, as determined necessary, to keep pace with the evolving technology landscape and support the continued evolution of FedRAMP; 2) 技術状況の進展に対応し、FedRAMP の継続的な進化を支援するため、必要と判断される標準と指針を評価し、更新する;
3) Monitor and review private sector information security practices to understand potential application; and 3) 民間部門の情報セキュリティ慣行を監視・検討し、適用可能性を理解する。
4) Develop and maintain a machine-readable data standard to support automation of security assessments and continuous monitoring, as well as the automation of other artifacts or processes required by the Risk Management Framework for Information Systems and Organizations.23 4) セキュリティのアセスメント及び継続的なモニタリングの自動化、並びに「情報システム及び組織のためのリスクマネジメントフレームワーク」が要求するその他の成果物又はプロセスの自動化を支援するための機械可読データ標準を開発し、維持する23。
VIII. Industry Engagement VIII. 産業界の関与
FedRAMP is a bridge between the Federal community and the commercial cloud marketplace. The FedRAMP program makes it easier for agencies to obtain what they need from the commercial ecosystem and accelerate mission operations. At the same time, FedRAMP makes it more feasible for commercial providers to satisfy similar needs across the Federal Government in a consistent and streamlined way. FedRAMP は、連邦政府コミュニティと商用クラウド市場の架け橋である。FedRAMP プログラムは、連邦機関が営利エコシステムから必要なものを容易に入手できるようにし、ミッション・オペレーションを加速させる。同時にFedRAMPは、営利プロバイダが一貫した合理的な方法で連邦政府全体の同様のニーズを満たすことをより現実的なものにする。
To further the program’s goals, GSA and the FedRAMP Board should engage with industry, through the FSCAC and other mechanisms as appropriate, to maintain a current understanding of industry technologies and practices, to understand where the FedRAMP program could improve its policies or operations, and to otherwise build a strong working relationship between the commercial cloud sector and the Federal community. プログラムの目標を推進するため、GSA と FedRAMP 理事会は、FSCAC やその他の適切なメカニズムを通じて業界と関わりを持ち、業界の技術や慣行に関する最新の理解を維持し、FedRAMP プログラムがそのポリシーや運用を改善できる点を理解し、その他、商用クラウド・セクターと連邦コミュニティの間に強固な協力関係を構築する必要がある。
The FedRAMP PMO and Board should continue to seek feedback from industry on how to increase agency reuse of FedRAMP authorizations, drive more authorizations of small or disadvantaged businesses, and reduce the burden and cost of the FedRAMP authorization process for both CSPs and Federal agencies. FedRAMP PMO と理事会は、FedRAMP 認可の再利用を増加させ、中小企業や不利な立場にある企業の認可を促進し、CSP と連邦政府機関の両方にとって FedRAMP 認可プロセスの負担とコストを削減する方法について、引き続き業界からのフィードバックを求めるべきである。
Additionally, the FedRAMP PMO and Board should proactively work to conveneindustry to convey the emerging cybersecurity priorities and needs of the Federal Government as an enterprise, and discuss potential solutions. さらに、FedRAMP PMO と理事会は、エンタープライズとしての連邦政府のサイバーセキュリティに関する新たな優先事項とニーズを伝え、潜在的な解決策を議論するために、業界を積極的に招集するよう努めるべきである。
It is inefficient for CSPs to report the same information repeatedly to each Federal agency customer they serve. The FedRAMP PMO is positioned to act as a central point of contact when the Federal Government needs to gather information about cloud products and services used by agencies. Such needs may flow from OMB policies, CISA Binding Operational or Emergency Directives, or other government-wide directives or initiatives that require the collection of cloud security information. CSP がサービスを提供する各連邦機関の顧客に同じ情報を繰り返し報告するのは非効率である。FedRAMP PMO は、連邦政府が各省庁が使用するクラウド製品・サービスに関する情報を収集する必要がある場合に、中心的な窓口として機能するように位置付けられている。このようなニーズは、OMBの方針、CISAの拘束的運用指令または緊急指令、あるいはクラウドセキュリティ情報の収集を必要とするその他の政府全体の指令やイニシアチブに起因する可能性がある。
IX. Implementation IX. 実施
Within 90 days of issuance of this memorandum, OMB will appoint an initial slate of members of the FedRAMP Board. The Board must, once constituted, approve a charter.  本覚書の発行から90日以内に、OMBはFedRAMP理事会の初期メンバーを任命する。FedRAMP理事会は設立後、憲章を承認しなければならない。
Within 90 days of issuance of this memorandum and annually upon request, GSA will submit a plan, approved by the GSA Administrator, to OMB, detailing program activities, including staffing plans and budget information, for implementing the requirements in this memorandum. The plan will include a timeline and strategy to bring any pending authorizations or existing FedRAMP initiatives into conformance with the Authorization Act and this memorandum. GSA は、本覚書の発行から 90 日以内に、また要請があれば毎年、GSA 長官の承認を受けた計画を OMB に提出し、本覚書の要件を実施するための人員計画および予算情報を含むプログラム活動を詳述する。この計画には、保留中の認可または既存の FedRAMP イニシアチブを認可法および本覚書に適合させるためのスケジュールと戦略が含まれる。
Within 180 days of issuance of this memorandum, each agency must issue or update agency-wide policy that aligns with the requirements of this memorandum. This agency policy must promote the use of cloud computing products and services that meet FedRAMP security requirements and other risk-based performance requirements as determined by OMB, in consultation with GSA and CISA. 本覚書の発行から180日以内に、各機関は本覚書の要件に沿った機関全体のポリシーを発行または更新しなければならない。この省庁方針は、GSA及びCISAと協議の上、FedRAMPセキュリティ要件及びOMBが決定したその他のリスク・ベースの性能要件を満たすクラウド・コンピューティング製品及びサービスの利用を促進しなければならない。
Within 180 days of issuance of this memorandum, GSA will update FedRAMP’s continuous monitoring processes and associated documentation to reflect the principles in this memorandum. 本覚書の発行から180日以内に、GSAはFedRAMPの継続的監視プロセスと関連文書を更新し、本覚書の原則を反映させる。
Within one year of the issuance of this memorandum, GSA will produce a plan, approved by the FedRAMP Board and developed in consultation with industry and potentially impacted cloud providers, to structure FedRAMP to encourage the transition of Federal agencies away from the use of government-specific cloud infrastructure. 本覚書の発行から1年以内に、GSAは、FedRAMP理事会が承認し、産業界および影響を受ける可能性のあるクラウド・プロバイダと協議して策定した、政府固有のクラウド・インフラストラクチャの使用から連邦政府機関の移行を促進するためのFedRAMPを構成する計画を作成する。
The FedRAMP Authorization Act requires GSA to establish a means for the automation of security assessments and reviews. Within 18 months of the issuance of this memorandum, GSA will build on this work so as to receive FedRAMP authorization and continuous monitoring artifacts exclusively through automated, machine-readable means. FedRAMP認可法は、セキュリティ評価とレビューの自動化のための手段を確立するようGSAに求めている。この覚書の発行から18ヶ月以内に、GSAは、FedRAMPの認可と継続的監視の成果物を、自動化された機械読み取り可能な手段によってのみ受け取ることができるように、この作業を構築する。
X. Rescissions X. 取消
This memorandum rescinds “Security Authorization of Information Systems in Cloud Computing,” issued by the Federal Chief Information Officer on December 8, 2011. 本覚書は、2011 年 12 月 8 日に連邦最高情報責任者(Federal Chief Information Officer)により発行された「クラウド・コンピューティングにおける情報システムのセキュリティ認可(Security Authorization of Information Systems in Cloud Computing)」を取り消すものである。
XI. Policy and Program Implementation Assistance XI. 政策およびプログラムの実施支援
Questions about this memorandum should be addressed to the OMB Office of the Federal Chief Information Officer via email: ofcio@omb.eop.gov. 本覚書に関する質問は、OMB連邦最高情報責任者事務局(Office of the Federal Chief Information Officer)まで電子メール(ofcio@omb.eop.gov)で送付されたい。
1 https://www.whitehouse.gov/wp-content/uploads/legacy_drupal_files/omb/assets/egov_docs/fedrampmemo.pdf
2 Pub. L. No. 117-263, § 5921 (2022), codified in part at 44 U.S.C. §§ 3607-16. 2 Pub. L. No. 117-263、第 5921 条(2022 年)、44 U.S.C. §3607-16 で一部成文化されている。
3 Id. § 3614(1)(A). 3 同様である。§ 3614(1)(A).
4 Whether a particular Federally operated service qualifies as a “cross-Government shared service” for these purposes will be determined by the FedRAMP PMO, consistent with any relevant policies or criteria established by the FedRAMP Board. 4 連邦政府が運営する特定のサービスが、これらの目的における「政府横断的共有サービス」に該当するかどうかは、FedRAMP 理事会が定めた関連する方針または基準に沿って、FedRAMP PMO が決定する。
5 Id. § 44 U.S.C. § 3613(e)(1). 5 同§ 44 U.S.C. § 3613(e)(1)を参照のこと。
6 Id. § 3613(e)(2)(B). 6 同§ 3613条(e)(2)(B)による。
7 Id. § 3613(b). 7 同§ 3613 条(b)。§ 3613(b).
8 44 U.S.C. § 3609(a)(2). 8 同 44 U.S.C. §3609(a)(2)。
9 The joint-agency FedRAMP authorization is similar to that of the FedRAMP Joint Authorization Board “provisional ATO” (JAB P-ATO) used under the prior FedRAMP policy structure. However, unlike a JAB P-ATO, multi-agency authorizations can be issued by any group of agencies that works with the FedRAMP Program. Existing JAB P-ATOs at the time of the issuance of this memorandum will be automatically designated as joint- agency FedRAMP authorizations. 9 省庁合同によるFedRAMP認可は、以前のFedRAMP政策体系の下で使用されていたFedRAMP合同認可委員会の「暫定ATO」(JAB P-ATO)と類似している。ただし、JAB P-ATOとは異なり、複数機関の認可は、FedRAMPプログラムに協力する機関のどのグループからも発行できる。この覚書の発行時点で既存のJAB P-ATOは、自動的に共同機関のFedRAMP認証に指定される。
10 44 U.S.C. § 3610(d). 10 44 U.S.C. § 3610(d).
11 Inclusion of FedRAMP Authorization as a condition of contract award or use as an evaluation factor should be discussed with the agency acquisition integrated project team (IPT), including appropriate legal representation. Refer to FedRAMP.gov for Frequently Asked Questions regarding acquisition. 11 契約締結の条件として FedRAMP 認可を含めるか、または評価要素として使用するかについては、適切な 法的代理人を含め、省庁の取得統合プロジェクト・チーム(IPT)と協議する必要がある。取得に関するよくある質問については、FedRAMP.gov を参照のこと。
12 44 U.S.C. § 3609(b)(2). 12 44 U.S.C. § 3609(b)(2)。
13 FedRAMP will provide additional procedures related to this trial process, and agencies are encouraged to coordinate with FedRAMP to ensure that there is no potential gap in service when the trial period concludes. 13 FedRAMP は、この試行プロセスに関連する追加手続きを提供する予定であり、プロバイダは、試行期間が終了したときにサービスにギャップが生じる可能性がないように、FedRAMP と調整することが推奨される。
14 44 U.S.C. § 3609(c). 14 44 U.S.C. § 3609(c)。
15 Id. § 3609(c)(2). 15 同上。§ 3609(c)(2).
16 Artifacts in PDF, Word, or similar formats optimized for human readability should not be considered machine- readable data in this context because they will not as effective for reliably automating program processes as data formats optimized for machine-based consumption (such as JSON, XML, and related formats). 16 人間の可読性に最適化された PDF、Word、または同様の形式の成果物は、機械ベースの消費に最適化されたデータ形式(JSON、XML、および関連する形式など)ほどには、プログラムプロセスを確実に自動化するために有効ではないため、この文脈では機械可読データと考えるべきではない。
17 Access processes should be streamlined to expand the number individuals who can approve access, as well as streamline and broaden access for those with a need-to-know. This will also be accompanied by expanding the nature and scope of artifacts provided in a machine-readable format, including control inheritance artifacts. 17 アクセスプロセスを合理化し、アクセスを承認できる個人の数を拡大するとともに、知る必要のある人々 のアクセスを合理化し、拡大すべきである。これには、管理継承の成果物を含め、機械可読形式で提供される成果物の性質と範囲を拡大することも伴う。
18 CISA’s Binding Operational and Emergency Directives may be viewed at: [Web] 18 CISAの拘束的運用指令および緊急指令は、 [Web] で閲覧できる。
19 44 U.S.C. § 3608. 19 44 U.S.C. § 3608.
20 The Federal Secure Cloud Advisory Committee is established in accordance with the James M. Inhofe National Defense Authorization Act for Fiscal Year 2023, as codified at 44 U.S.C. § 3616. 20 連邦セキュア・クラウド諮問委員会は、連邦法典第 44 編第 3616 条に法典化されている 2023 会計年度ジェームズ・M・インホフ国防授権法に従って設立される。
21 44 U.S.C. § 3610(b). 21 米国法律集第 44 編第 3610 条(b)。
22 Id. § 3610(c). 22 同様である。§ 3610(c).
23 National Institute of Standards and Technology Special Publication 800-37, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach. 23 National Institute of Standards and Technology Special Publication 800-37, Guide for Applying the Risk Management Framework to Federal Information Systems: セキュリティ・ライフサイクル・アプローチ

 

 

| | Comments (0)

2023.10.21

NIST IR 8473 電気自動車の超高速充電インフラ向けサイバーセキュリティフレームワークプロファイル

こんにちは、丸山満彦です。

NISTが電気自動車の超高速充電インフラに対してサイバーセキュリティフレームワークを適用する場合のガイダンスを公表していますね。。 。7月にパブコメに出してからわりと早めの公開ですね。。。。

設計思想が違うITとOTが連携しなければならない世界で、シームレスにセキュリティ・レジリエンスを担保するための考え方ということですかね。。。

 

NIST - ITL

・2023.10.16 NIST IR 8473 Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure

NIST IR 8473 Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure NIST IR 8473 電気自動車の急速充電インフラ向けサイバーセキュリティフレームワークプロファイル
Abstract 概要
This document is the Cybersecurity Framework Profile (Profile) developed for the Electric Vehicle Extreme Fast Charging (EV/XFC) ecosystem and the subsidiary functions that support each of the four domains: (i) Electric Vehicles (EV); (ii) Extreme Fast Charging (XFC); (iii) XFC Cloud or Third-Party Operations; (iv) and Utility and Building Networks. This Profile provides a foundational profile that relevant parties may use to develop profiles specific to their organization to assess their cybersecurity posture as a part of their risk management process. The profile is intended to supplement, not replace, an existing risk management program or the current cybersecurity standards, regulations, and industry guidelines that are in current use by the EV/XFC industry. 本書は、電気自動車(EV/XFC)エコシステムと、(i)電気自動車(EV)、(ii)超高速充電(XFC)、(iii)XFC クラウドまたはサードパーティの運用、(iv)ユーティリティと建物のネットワークという 4 つのドメインのそれぞれをサポートする補助的な機能のために開発されたサイバーセキュリティ・フレームワーク・プロファイル(プロファイル)である。このプロファイルは、リスク管理プロセスの一環としてサイバーセキュリティ態勢を評価するために、関係者が各組織固有のプロファイルを作成するために使用できる基礎的なプロファイルを提供するものである。本プロファイルは、既存のリスク管理プログラムや、EV/XFC 業界で現在使用されているサイバーセキュリティ基準、規制、業界ガイドラインを補完するものであり、置き換えるものではない。

 

・[PDF] NIST.IR.8473

20231024-132226

 

 

 

目次...

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience 1.3. 想定読者
2. Intended Use 2. 使用目的
3. EV/XFC Cybersecurity Mission Objectives 3. EV/XFC サイバーセキュリティのミッション目標
3.1. Mission Objective 1: Deliver Reliable Performance through Secure Communications 3.1. ミッション目標1:セキュアなコミュニケーションを通じて信頼できるパフォーマンスを提供する。
3.2. Mission Objective 2: Maintain Resilience of the XFC Infrastructure 3.2. ミッション目標2:XFCインフラのレジリエンスを維持する
3.3. Mission Objective 3: Build and Maintain Trustworthy Relationships with Partners and Customers 3.3. ミッション目標3:パートナーおよび顧客との信頼関係の構築と維持
3.4. Mission Objective 4: Maintain Continuity of Operations 3.4. ミッション目標4:業務の継続性を維持する
4. Overview of the Cybersecurity Framework 4. サイバーセキュリティフレームワークの概要
4.1. The Framework Core 4.1. フレームワークの中核
4.2. Sector-Level Profiles 4.2. セクター・レベルのプロファイル
5. XFC Baseline Profile 5. XFCベースラインプロファイル
5.1. Identify Function 5.1. 機能の識別
5.1.1. Asset Management Category 5.1.1. 資産管理カテゴリー
5.1.2. Business Environment Category 5.1.2. ビジネス環境カテゴリー
5.1.3. Governance Category 5.1.3. ガバナンス・カテゴリー
5.1.4. Risk Assessment Category 5.1.4. リスクアセスメント カテゴリー
5.1.5. Risk Management Category 5.1.5. リスクマネジメントカテゴリー
5.1.6. Supply Chain Risk Management Category 5.1.6. サプライチェーンリスクマネジメントカテゴリー
5.2. Protect Function Considerations Across the EV/XFC Domains 5.2. EV/XFC領域にわたる防御機能の考慮事項
5.2.1. Identity Management, Authentication and Access Control Category 5.2.1. アイデンティティ管理、認証/アクセス制御カテゴリー
5.2.2. Awareness and Training Category 5.2.2. 意識向上およびトレーニングカテゴリー
5.2.3. Data Security Category 5.2.3. データセキュリティカテゴリー
5.2.4. Information Protection and Processes Category 5.2.4. 情報防御とプロセスカテゴリー
5.2.5. Maintenance Category 5.2.5. 保守カテゴリー
5.2.6. Protective Technology Category 5.2.6. 保護技術カテゴリー
5.3. Detect Function Considerations Across the EV/XFC Domains 5.3. EV/XFC領域にわたる検知機能の検討
5.3.1. Anomalies and Events 5.3.1. 異常とイベント
5.3.2. Security Continuous Monitoring 5.3.2. セキュリティの継続的なモニタリング
5.3.3. Detection Processes 5.3.3. 検知プロセス
5.4. Respond Function Considerations Across the EV/XFC Domains 5.4. EV/XFCドメイン間での対応機能の考慮事項
5.4.1. Analysis 5.4.1. 分析
5.4.2. Communications 5.4.2. コミュニケーション
5.4.3. Improvements Category 5.4.3. 改善カテゴリー
5.4.4. Mitigation 5.4.4. 低減
5.4.5. Response Planning 5.4.5. 対応計画
5.5. Recover Function Considerations Across the EV/XFC Domains 5.5. EV/XFCドメイン間での機能回復に関する考慮事項
5.5.1. Communications 5.5.1. コミュニケーション
5.5.2. Improvements 5.5.2. 改善
5.5.3. Recovery Planning 5.5.3. 復旧計画
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A. 記号、略語、頭字語のリスト

 


 

 

・2023.10.16 Final NIST Internal Report (NIST IR) 8473, Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure

Final NIST Internal Report (NIST IR) 8473, Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure 最終NIST内部報告書(NIST IR)8473「電気自動車超高速充電インフラ向けサイバーセキュリティ・フレームワーク・プロファイル
Overview 概要
This Profile is designed to be part of an enterprise risk management program to aid organizations in managing threats to systems, networks, and assets within the Electric Vehicle Extreme Fast Charging Infrastructure (EV/XFC) ecosystem (it is not intended to serve as a solution or compliance checklist). このプロファイルは、電気自動車(EV/XFC)エコシステム内のシステム、ネットワーク、資産に対する脅威を管理する組織を支援するための企業リスク管理プログラムの一部として設計されている(ソリューションやコンプライアンスチェックリストとして機能することを意図していない)。
The Profile is an application of the Framework Categories and Subcategories in the context of the EV/XFC cybersecurity ecosystem, as provided by the Department of Energy and Electric Power Research Institute. It is a non-regulatory, voluntary profile intended to supplement—not replace—an existing risk management program or the current cybersecurity standards, regulations, and industry guidelines that are in current use by the EV/XFC industry. このプロファイルは、エネルギー省と電力研究所(Electric Power Research Institute)が提供するフレームワークのカテゴリーとサブカテゴリーをEV/XFCのサイバーセキュリティエコシステムに適用したものである。このプロファイルは、既存のリスク管理プログラムや、EV/XFC 業界で現在使用されているサイバーセキュリティ基準、規制、業界ガイドラインを代替するのではなく、補完することを目的とした、規制のない自主的なプロファイルである。
The Profile also provides ecosystem-relevant parties with a means to assess and communicate their cybersecurity posture in a manner consistent with the Framework. It also offers users with an industry level risk-based approach for managing cybersecurity activities and facilitates cross-collaboration between industry parties, vendors, and end users. また、このプロファイルは、エコシステムに関連する当事者に対して、フレームワークと整合的な方法でサイバーセキュリティ態勢を評価し、伝達する手段を提供する。また、サイバーセキュリティ活動を管理するための業界レベルのリスクベースのアプローチをユーザーに提供し、業界関係者、ベンダー、エンドユーザー間の相互協力を促進する。
Use of the Profile will help organizations: このプロファイルを利用することで、組織は以下のようなことが可能になる:
・Identify key assets and interfaces in each of the ecosystem domains.< ・エコシステムの各ドメインにおける主要な資産とインタフェースを特定する。
・Address cybersecurity risk in the management and use of EV/XFC services.< ・EV/XFCサービスの管理と利用におけるサイバーセキュリティリスクに対処する。
・Identify the threats, vulnerabilities, and associated risks to EV/XFC services, equipment, and data. ・EV/XFCサービス、機器、データに対する脅威、脆弱性、関連リスクを特定する。
・Apply protection mechanisms to reduce risk to manageable levels. ・管理可能なレベルまでリスクを低減するための保護メカニズムを適用する。
・Detect disruptions and manipulation of EV/XFC services. ・EV/XFCサービスの中断や操作を検知する。
・Respond to and recover from EV/XFC service anomalies in a timely, effective, and resilient manner. ・EV/XFCサービスの異常に対して、タイムリーかつ効果的で回復力のある方法で対応し、回復する。
What changed from the draft to final Profile? ドラフトから最終版へ何が変わったのか?
We received over 220 public comments on the draft Profile. Based on the input received, a few major changes from the draft to final Profile include: プロファイル草案に対して220件を超えるパブリックコメントが寄せられた。寄せられた意見に基づき、草案から最終版への主な変更点は以下の通りである:
・Added additional informative references for applicable subcategories, including: NIST Special Publication (SP) 800-207 Zero Trust Architecture, International Organization for Standardization (ISO) ISO/SAE 21434, and International Organization for Standardization (ISO) 24089. ・該当するサブカテゴリの参考文献を追加した: NIST Special Publication (SP) 800-207 Zero Trust Architecture、International Organization for Standardization (ISO) ISO/SAE 21434、International Organization for Standardization (ISO) 24089 を含む。
・Added acknowledgements for individual contributors from the COI and public comment period. ・COIおよびパブリックコメント期間からの個々の貢献者に対する謝辞を追加した。
・Updated content in the subcategories to better articulate relevancy to specific domains within the EV/XFC ecosystem. ・EV/XFCエコシステム内の特定領域との関連性をより明確にするため、サブカテゴリの内容を更新した。
・Updated front matter language to represent the rapid growth of EV vehicles globally. ・世界的なEV車の急成長を表現するために、フロントマターの文言を更新した。

 

 


 

Series Number Title Status Release Date
NISTIR 8473 Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure Final 10/16/2023
Download: NISTIR 8473 (DOI)Local DownloadProject homepage
NISTIR 8467 Cybersecurity Framework Profile for Genomic Data Draft 06/15/2023
DDownload: NISTIR 8467 (Draft) (DOI)Local DownloadComment templateProject homepage
NISTIR 8406 Cybersecurity Framework Profile for Liquefied Natural Gas Final 10/10/2023
Download: NISTIR 8406 (DOI)Local DownloadProject homepage
NISTIR 8441 Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN) Final 09/25/2023
Download: NISTIR 8441 (DOI)Local DownloadProject homepage
NISTIR 8323 Rev. 1 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services Final 1/31/2023
Download: NISTIR 8323 Rev. 1 (DOI); Local Download; Comments received on public draft; PNT homepage
White Paper NIST CSWP 27 Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN): Final Annotated Outline Final 11/03/2022
Download: White Paper (DOI)NIST CSWP 27Project homepage
NISTIR 8323 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services Final 02/11/2021
Download: NISTIR 8323 (DOI)Local DownloadPNT Profile Quick GuideNIST news articlePNT homepage

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.16 NIST NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル(更新)

・2023.09.26 NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティ・フレームワーク・プロファイル

・2023.07.19 NIST NISTIR 8473(ドラフト)電気自動車の超高速充電インフラのためのサイバーセキュリティフレームワークプロファイル

・2023.06.24 NIST NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイル

・2023.06.11 NIST NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.03.05 NISTIR 8432(ドラフト) ゲノムデータのサイバーセキュリティ

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.10.25 NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17)

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(初期ドラフト)

 


 

| | Comments (0)

2023.10.16

NIST SP 800-92 Rev.1(初期公開ドラフト) サイバーセキュリティ・ログ管理計画ガイド

こんにちは、丸山満彦です。

ゼロトラストについても、いろいろと実装が進みつつある中...2006.11.30に制定されたログ管理のNIST SP800-92 Computer Log Maagement Planning Guideの改定草案が交付されましたね。。。実に17年ぶりに改訂案です!!!ついでに、コンピュータセキュリティからサイバーセキュリティに変更しています。。。

附属書BはSP800-53r5CSF1.1EO14028 [NIST-CRSW]とのマッピング表ですね。。。

NIST - ITL

・2023.10.11 NIST SP 800-92 Rev. 1 (Initial Public Draft) Cybersecurity Log Management Planning Guide

NIST SP 800-92 Rev. 1 (Initial Public Draft) Cybersecurity Log Management Planning Guide NIST SP 800-92 Rev.1(初期公開ドラフト) サイバーセキュリティ・ログ管理計画ガイド
Announcement 発表
Log management is the process for generating, transmitting, storing, accessing, and disposing of log data. It facilitates log usage and analysis for many purposes, including identifying and investigating cybersecurity incidents, finding operational issues, and ensuring that records are stored for the required period of time. ログ管理とは、ログデータの生成、送信、保存、アクセス、廃棄のプロセスである。ログ管理は、サイバーセキュリティインシデントの特定と調査、運用上の問題の発見、必要な期間の記録の保存の確保など、多くの目的でログの使用と分析を容易にする。
This document defines a playbook to help any organization plan improvements to its cybersecurity log management practices in support of regulatory requirements and recommended practices. While the playbook is not comprehensive, the listed plays are noteworthy and generally beneficial for cybersecurity log management planning by organizations. この文書では、あらゆる組織が規制上の要件や推奨される慣行をサポートするために、サイバーセキュリティのログ管理慣行の改善を計画するのに役立つプレイブックを定義する。このプレイブックは包括的なものではないが、記載されているプレイは注目に値するものであり、組織によるサイバーセキュリティ・ログ管理の計画にとって一般的に有益なものである。
Abstract 概要
A log is a record of events that occur within an organization’s computing assets, including physical and virtual platforms, networks, services, and cloud environments. Log management is the process for generating, transmitting, storing, accessing, and disposing of log data. It facilitates log usage and analysis for many purposes, including identifying and investigating cybersecurity incidents, finding operational issues, and ensuring that records are stored for the required period of time. This document defines a playbook intended to help any organization plan improvements to its cybersecurity log management. ログとは、物理・仮想プラットフォーム、ネットワーク、サービス、クラウド環境など、組織のコンピューティング資産内で発生したイベントの記録である。ログ管理は、ログデータの生成、送信、保存、アクセス、廃棄のプロセスである。ログ管理は、サイバーセキュリティインシデントの特定と調査、運用上の問題の発見、必要な期間の記録の保存の確保など、多くの目的でのログの使用と分析を容易にする。この文書では、あらゆる組織がサイバーセキュリティのログ管理の改善を計画するのに役立つことを目的としたプレイブックを定義する。

 

・[PDF] NIST.SP.800-92r1.ipd

20231015-212940

 


主に意見を聞きたいところ...

NIST welcomes public comments on any aspect of this publication, including the following questions asked on behalf of the Office of Management and Budget (OMB) and the Cybersecurity and Infrastructure Security Agency (CISA):  NIST は、行政管理予算局(OMB)及びサイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA)に代わって行った以下の質問を含め、本書のあらゆる側面についてパブリックコメントを歓迎する: 
1. This revision is informed by NIST SP 800-207 and the NCCoE’s Zero Trust Architecture project calling out data analytics for zero trust purposes. Should the scope of this publication be expanded to directly support and map to zero trust?  1. 本改訂は、NIST SP 800-207 および NCCoE のゼロトラストアーキテクチャプロジェクトが、ゼロトラスト目的のデータ分析を呼びかけていることに基づいている。ゼロトラストを直接サポートし、ゼロトラストに対応させるために、本書の範囲を拡大すべきか。
2. Should this publication be expanded to include log management implementation guidance?  2. 本書の範囲を拡大し、ログ管理の実装ガイダンスを含めるべきか。
3. Are there additional considerations for different types of log sources that should be included in this publication (e.g., on-premises, cloud, managed services, or hybrid)?  3. 本書に含めるべき、さまざまな種類のログソース(オンプレミス、クラウド、マネージドサービス、 ハイブリッドなど)に関する追加的な考慮事項はあるか。
4. Should the standardization of log management planning to facilitate the sharing of cyber threats or incidents be included?    4. サイバー脅威やインシデントの共有を促進するためのログ管理計画の標準化を含めるべきか。  
5. Should guidance on how to determine the purposefulness of logging categories and types be included?  5. ロギングのカテゴリーや種類の目的性を判断する方法に関するガイダンスを含めるべきか。
6. Should guidance for determining storage retention periods be included?  6. 保存期間を決定するためのガイダンスを含めるべきか。
7. Should this publication address how new technologies may change log management planning (e.g., blockchains, zero trust, generative AI, quantum computing)?  7. この出版物は、新しい技術がログ管理計画をどのように変える可能性があるか(ブロックチェーン、ゼロトラスト、生成的AI、量子コンピューティングなど)を取り上げるべきか。
8. Should this publication address how and which major triggers may necessitate reviewing or changing log management plans?  8. 本書は、ログ管理計画の見直しや変更が必要となる可能性のある重大な誘因について、どのように、 どのように取り上げるべきか。
9. Should this publication address storage costs and offer guidance on prioritizations and trade-offs for cost-effective log management planning? 9. 本書は、保管コストに言及し、費用対効果の高いログ管理計画の優先順位付けとトレードオフに関するガイダンスを提供すべきか。

 

目次...

Executive Summary 要旨
1. Introduction 1. はじめに
1.1. Purpose and Scope 1.1. 目的と範囲
1.2. Requirements for Federal Agencies 1.2. 連邦政府機関に対する要求事項
1.3. Publication Structure 1.3. 本書の構成
2. How to Use This Publication 2. 本書の使用方法
3. INV, Update Logging-Related Inventories 3. INV ロギング関連インベントリの更新
3.1. INV-1, Update the Inventory of Log Source Types 3.1. INV-1 ログソースタイプ・インベントリの更新
3.2. INV-2, Update the Logging Infrastructure Inventory 3.2. INV-2 ロギングインフラストラクチャ・インベントリの更新
3.3. INV-3, Update the Logging Use Case Inventory 3.3. INV-3 ロギングユースケース・インベントリの更新
3.4. INV-4, Update the Requirements Inventory 3.4. INV-4 要求事項インベントリの更新
3.5. INV-5, Update the Work Role Inventory 3.5. INV-5 作業役割インベントリの更新
4. TS, Define Target State 4. TS 目標状態の定義
4.1. TS-1, Forecast Future Changes to Logging Inventories 4.1. TS-1 ロギングインベントリに対する将来の変更を予測する
4.2. TS-2, Define Target State for Log Generation 4.2. TS-2 ログ生成の目標状態を定義する
4.3. TS-3, Define Target State for Log Storage and Transfer 4.3. TS-3 ログの保管と転送の目標状態を定義する
4.4. TS-4, Define Target State for Log Access 4.4. TS-4 ログアクセスの目標状態の定義
4.5. TS-5, Define Target State for Log Disposal 4.5. TS-5 ログ破棄の目標状態の定義
5. GRC, Document Gaps and Their Root Causes 5. GRC ギャップとその根本原因を文書化する
5.1. GRC-1, Scope and Plan the Assessment 5.1. GRC-1 評価の範囲と計画
5.2. GRC-2, Conduct the Assessment and Document Findings 5.2. GRC-2 アセスメントの実施と結果の文書化
6. PMG, Develop a Plan to Mitigate the Gaps 6. PMG ギャップを軽減するための計画の策定
6.1. PMG-1, Draft the Plan 6.1. PMG-1 計画の立案
6.2. PMG-2, Revise Affected Policies 6.2. PMG-2 影響を受ける方針の修正
6.3. PMG-3, Address Feedback on Draft Plan and Policies 6.3. PMG-3 計画案と方針に関するフィードバックへの対応
References 参考文献
Appendix A. Glossary 附属書A. 用語集
Appendix B. Crosswalk to NIST Guidance and Frameworks 附属書B. NISTガイダンス及びフレームワークとのクロスウォーク
Appendix C. Change Log  附属書C. 変更記録 

 

エグゼクティブサマリー...

Executive Summary  要旨 
A log is a record of the events that occur within an organization’s computing assets, including physical and virtual platforms, networks, services, and cloud environments. Log management is the process for generating, transmitting, storing, accessing, and disposing of log data. It facilitates log usage and analysis for many purposes, including identifying and investigating cybersecurity incidents, finding operational issues, and ensuring that records are stored for the required period of time. Logging and log management practices are part of many cybersecurity and privacy-related laws and regulations. They are also an important part of numerous standards, guidance, and other sets of recommendations for every sector.   ログとは、物理・仮想プラットフォーム、ネットワーク、サービス、クラウド環境など、組織のコンピューティング資産内で発生したイベントの記録である。ログ管理は、ログデータの生成、送信、保存、アクセス、廃棄のプロセスである。サイバーセキュリティインシデントの特定と調査、運用上の問題の発見、必要な期間の記録保存の確保など、多くの目的でログの使用と分析を容易にする。ロギングとログ管理の実践は、多くのサイバーセキュリティとプライバシー関連の法律と規制の一部である。また、あらゆる分野の数多くの標準、ガイダンス、その他の推奨事項の重要な一部でもある。 
The purpose of this document is to help all organizations improve their log management so that they have the log data they need. This document’s scope is organization-wide cybersecurity log management planning; all other aspects of logging and log management are out of scope. The document defines a playbook for cybersecurity log management planning with actionable steps that organizations can take for planning improvements to their log management practices. While the plays in the playbook are not comprehensive, they are noteworthy and generally beneficial to organizations. The plays intentionally avoid any recommendations on the details of log management. Log management needs are incredibly variable from one organization to another and frequently change.   この文書の目的は、すべての組織がログ管理を改善し、必要なログデータを取得できるようにすることである。この文書の対象範囲は、組織全体のサイバーセキュリティのログ管理計画であり、ロギングとログ管理の他のすべての側面は対象範囲外である。この文書では、サイバーセキュリティのログ管理計画のためのプレイブックを定義し、組織がログ管理慣行の改善を計画するために実行可能な手順を示している。プレイブックは包括的なものではないが、注目すべきものであり、一般的に組織にとって有益なものである。このプレイブックでは、ログ管理の詳細に関する推奨は意図的に避けている。ログ管理のニーズは、組織によって驚くほど様々であり、頻繁に変化する。 
This playbook can help organizations identify and prioritize their needs and determine how to best meet those needs. There is no “correct” way for an organization to use the playbook. An organization may choose to use it as the start of its own new playbook for log management planning, integrate it with an existing log management playbook, or use its information as reference material when considering its plans, policies, and processes.  このプレイブックは、組織がニーズを特定し、優先順位を付け、そのニーズを満たす最善の方法を決定するのに役立つ。組織がこのプレイブックを使うのに「正しい」方法はない。組織は、ログ管理計画のための独自の新しいプレイブックの始まりとして使用することも、既存のログ管理プレイブックと統合することも、計画、方針、プロセスを検討する際の参考資料としてこの情報を使用することもできる。

 

附属書B. NISTガイダンス及びフレームワークとのクロスウォークを元に。。。

Play   MST SP 800-53, Rev. 5
[SP800-53r5]
CSF 1.1
[CSF1.1]
EO 14028 Security Measures
[NIST-CRSW]
3. INV, Update Logging-Related Inventories 3. INV ロギング関連インベントリの更新      
3.1. INV-1, Update the Inventory of Log Source Types 3.1. INV-1 ログソースタイプ・インベントリの更新 AU-2, AU-12, CM-2, CM-6, CM 8 ID.AM-2, ID.AM-4 SM 1.3, SM 2.1, SM 3.1, SM 3.3
3.2. INV-2, Update the Logging Infrastructure Inventory 3.2. INV-2 ロギングインフラストラクチャ・インベントリの更新 CM-8 ID.AM-I, ID.AM-2, ID.AM-4 SM 2.1, SM 3.1
3.3. INV-3, Update the Logging Use Case Inventory 3.3. INV-3 ロギングユースケース・インベントリの更新 AU-I ID.GV-I SM 1.3
3.4. INV-4, Update the Requirements Inventory 3.4. INV-4 要求事項インベントリの更新 AU-I, AU 2 ID.GV-3 N/A
3.5. INV-5, Update the Work Role Inventory 3.5. INV-5 作業役割インベントリの更新 AU-I ID.AM-6 SM 5.1, SM 5.2
4. TS, Define Target State 4. TS 目標状態の定義      
4.1. TS-1, Forecast Future Changes to Logging Inventories 4.1. TS-1 ロギングインベントリに対する将来の変更を予測する AU-I ID.GV-I, ID.GV-2, ID.GV-3, ID.GV-4 SM 4.1
4.2. TS-2, Define Target State for Log Generation 4.2. TS-2 ログ生成の目標状態を定義する AU-I ID.GV-I, ID.GV-2, ID.GV-3, ID.GV-4 SM 4.1
4.3. TS-3, Define Target State for Log Storage and Transfer 4.3. TS-3 ログの保管と転送の目標状態を定義する AU-I ID.GV-I, ID.GV-2, ID.GV-3, ID.Gv-4 SM 4.1
4.4. TS-4, Define Target State for Log Access 4.4. TS-4 ログアクセスの目標状態の定義 AU-I ID.GV-I, ID.GV-2, ID.GV-3, ID.GV-4 SM 4.1
4.5. TS-5, Define Target State for Log Disposal 4.5. TS-5 ログ破棄の目標状態の定義 AU-I ID.GV-I, ID.GV-2, ID.GV-3, ID.GV-4 SM4.1
5. GRC, Document Gaps and Their Root Causes 5. GRC ギャップとその根本原因を文書化する      
5.1. GRC-1, Scope and Plan the Assessment 5.1. GRC-1 評価の範囲と計画 RA-I ID.RM-I SM 4.1
5.2. GRC-2, Conduct the Assessment and Document Findings 5.2. GRC-2 アセスメントの実施と結果の文書化 RA-3 ID.RA-I, ID.RA-2, ID.RA-3, ID.RA-4, ID.RA-5 SM 4.1
6. PMG, Develop a Plan to Mitigate the Gaps 6. PMG ギャップを軽減するための計画の策定      
6.1. PMG-1, Draft the Plan 6.1. PMG-1 計画の立案 AU-I, RA 7 ID.RA-6 SM 4.1
6.2. PMG-2, Revise Affected Policies 6.2. PMG-2 影響を受ける方針の修正 AU-1 ID.GV-I, ID.GV-4 SM 4.1
6.3. PMG-3, Address Feedback on Draft Plan and Policies 6.3. PMG-3 計画案と方針に関するフィードバックへの対応 AU-I, RA 7 ID.GV-I, ID.GV-4, ID.RA-6 SM 4.1

 

 

| | Comments (0)

2023.10.12

ユーロポール コインの裏側:金融・経済犯罪の分析 (2023.09.27)

こんにちは、丸山満彦です。

ユーロポールが金融・経済犯罪の分析をした報告書を公表していますね。。。いろいろと参考になるかもです。。。

 

EUROPL

・2023.09.27 The Other Side of tThe Coin: An Analysis of Financial and Economic Crime - European Financial and Economic Crime Threat Assessment 2023


The Other Side of the Coin: An Analysis of Financial and Economic Crime コインの裏側:金融・経済犯罪の分析
European Financial and Economic Crime Threat Assessment 2023 欧州の金融・経済犯罪の脅威評価 2023年
The European Financial and Economic Crime Threat Assessment looks closely at current and emerging threats relating to financial and economic crime. Using insights and case examples from Europol’s dedicated crime centre, this report analyses the threats posed by money laundering, criminal finances and corruption, and how they have evolved as a result of technological and geopolitical changes. The report also examines the role of these crimes in the broader picture of international serious and organised crime, where criminal networks use financial and economic crime as a tool to obscure, and ultimately benefit from, profits made by illegal activities. 欧州金融・経済犯罪脅威アセスメント」は、金融・経済犯罪に関連する現在の脅威と新たな脅威を詳細に考察している。本レポートは、ユーロポールの犯罪専門センターからの洞察と事例を用いて、マネーロンダリング、犯罪資金、汚職がもたらす脅威と、それらが技術的・地政学的変化の結果としてどのように進化してきたかを分析している。また、犯罪ネットワークが、違法行為によって得た利益を不明瞭にし、最終的に利益を得るための手段として金融・経済犯罪を利用している、国際的な深刻な組織犯罪の全体像におけるこれらの犯罪の役割についても検証している。

 

・[PDF]

20231011-164939

 

・[DOCX] 仮訳

 

目次...

FOREWORD OF THE EXECUTIVE DIRECTOR  序文
INTRODUCTION  はじめに
THE DRIVERS OF TODAY’S FINANCIAL AND ECONOMIC CRIMES  今日の金融・経済犯罪の原動力
Serious and organised crime as a driver  原動力としての深刻な組織犯罪
The digital acceleration  デジタル加速
Geopolitical developments  地政学的展開
Sanctions evasion and its links to organised crime  制裁金逃れと組織犯罪との関係
MONEY LAUNDERING, CRIMINAL FINANCES AND CORRUPTION; THE ENGINES OF CRIME  マネーロンダリング、犯罪資金、汚職、犯罪の原動力
Money laundering: a global, collaborative crime  マネーロンダリング:グローバルな共同犯罪
Asset recovery  資産回収
Criminal finances and investments  犯罪資金と投資
Corruption  汚職
THE WORLD OF FRAUDS  詐欺の世界
Fraud schemes against individuals, public and  private sectors 個人、公共部門、民間部門に対する詐欺計画
Fraud schemes against the financial interests of the EU and Member States  EUと加盟国の財政的利益に反する詐欺計画
Fraud schemes linked to sporting events  スポーツイベントに関連した詐欺
INTELLECTUAL PROPERTY CRIME AND COUNTERFEITING  知的財産権犯罪と偽造
Commodities and sectors most affected by IPC  IPCの影響を最も受ける商品とセクター
Currency counterfeiting  通貨偽造
EUROPOL RESPONSE  ユーロポールの対応
CONCLUSIONS  結論
METHODOLOGY AND DATA SOURCES  方法論とデータソース
LIST OF ACRONYMS  略語リスト
ENDNOTES  参考文献

 

 

 

| | Comments (0)

2023.10.10

特定社会基盤事業者の指定基準に該当すると見込まれる者 R5.10.4時点

こんにちは、丸山満彦です。

経済安全保障関係で、2023.10.04時点で、特定社会基盤事業者の指定基準に該当すると見込まれる者が、公表されていますね。。

● 金融庁(金融)

・2023.10.04 特定社会基盤事業者の指定基準に該当すると見込まれる者の公表

・[PDF] 特定社会基盤事業者の指定基準に該当すると見込まれる者の公表

20231010-124400

 

● 経済産業省(電気・ガス・石油・クレジット) - 経済安全保障推進法

・2023.10.04 [PDF] 特定社会基盤事業者の指定基準に該当すると見込まれる事業者(令和5年10月4日時点)

20231010-124408

 

 

● 国交省(鉄道・貨物・外航海運・航空・空港)

・2023.10.04 [PDF] 特定社会基盤事業者の指定基準に該当すると見込まれる事業者(令和5年10月4日時点)

20231010-124500

 

● 総務省(電気通信・放送・郵便) - 経済安全保障推進法

・2023.10.04 [PDF] 特定社会基盤事業者の指定基準に該当すると見込まれる者

20231010-124528

 

 

● 厚生労働省(水道) - 水道分野における経済安全保障

・2023.10.04 [PDF] 特定社会基盤事業者の指定基準に該当すると見込まれる事業者(令和5年10月4日時点) 

20231010-124550_20231010124801

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.12 経済安全保障関連の政省令のパブリックコメントの結果...

・2023.05.08 閣議決定 経済安全保障関係2つ(特定社会基盤役務基本指針, 特許出願非公開基本指針)(2023.04.28)

・2022.03.04 内閣府 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律案 (2022.02.25)

 

その他関連(セキュリティクリアランス関係...)

・2023.08.27 参議院常任委員会調査室・特別調査室:セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

・2023.04.11 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 第4回会議 (2023.04.07)

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

 

| | Comments (0)

より以前の記事一覧