パブコメ

2022.01.17

中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。

こんにちは、丸山満彦です。

中国の中国 電気通信端末産業協会 (TAF) が「スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」等、9つの文書を公表していますね。。。

电信终端产业协会 (TAF)(電気通信端末産業協会)

2022.01.14 《智能终端侧业务风险防控安全指南》等9项团体标准报批公示 スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」など9つのグループ標準が承認申請されました。

 

1、《智能终端侧业务风险防控安全指南 1. スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド
2、《智能可穿戴设备安全  医疗健康可穿戴设备安全技术要求与测试方法 2. スマート・ウェアラブル・デバイスの安全性 ヘルスケア・ウェアラブル・デバイスの安全性に関する技術的要求事項と試験方法
3、《移动终端应用软件列表权限实施指南 3. 携帯端末アプリケーションソフトウェア一覧の許可に関する実装ガイド
4、《移动应用分发平台:APP开发者信用评价体系 4. 携帯アプリケーション配信プラットフォーム:APP開発者のための信用評価システム
5、《移动应用分发平台信用评价细则 5. 携帯アプリケーション配信プラットフォームの信用評価細則
6、《移动智能终端应用软件调用行为记录能力要求  第3部分:API接口 6. スマート携帯端末アプリケーション・ソフトウェアの呼び出し動作記録機能に関する要求事項 Part3: API インターフェース
7、《APP收集使用个人信息最小必要评估规范  第3部分:图片信息 7. APPが収集・利用する個人情報の必要最小限の評価に関する仕様書 Part3:画像情報
8、《APP收集使用个人信息最小必要评估规范  第9部分:短信信息 8. APPによる個人情報の収集と使用に関する必要最小限の評価仕様 Part9:SMS情報
9、《物联网终端可信上链技术要求 9. IoT端末の信頼できるアップリンクのための技術要件

 

代表して(^^) 《智能终端侧业务风险防控安全指南》スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイドの目次。。。
 
20220117-61225

 

前言 前文
1 范围 1 適用範囲
2 规范性引用文件 2 引用文献
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 业务风险防控安全框架 5 オペレーショナル・リスクの予防・管理 セキュリティ・フレームワーク
6 业务风险防控模型输入和策略 6 オペレーショナル・リスクの予防・管理モデルの入力と戦略
6.1 概述 6.1 概要
6.2 系统风控模型输入 6.2 システムリスクコントロールモデルの入力
6.3 应用风控模型输入 6.3 アプリケーションリスクコントロールモデルの入力
6.4 身份风控模型输入 6.4 IDリスクコントロールモデルの入力
6.5 业务风险防控策略 6.5 ビジネスリスクの予防・管理戦略
7 业务风险定级 7 オペレーショナル・リスクの分類
7.1 业务风险定级原则和方法 7.1 ビジネスリスク分類の原則と方法
7.2 通用风险评估方法示例 7.2 一般的なリスク評価手法の例
8 业务风险防控安全要求 8 ビジネスリスクの予防と管理 セキュリティ要件
附录 A(资料性)业务风险防控接口 附属書A (情報) オペレーショナルリスクの予防・管理のインターフェース

| | Comments (0)

2022.01.15

総務省 意見募集 電気通信事業ガバナンス検討会 報告書(案)

こんにちは、丸山満彦です。

総務省が電気通信事業ガバナンス検討会報告書(案)について意見募集をしていますね。。。

総務省

・2022.01.14 電気通信事業ガバナンス検討会 報告書(案)に対する意見募集


1 概要


 総務省では、「電気通信事業ガバナンス検討会」を開催し、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、令和3年5月から検討を行ってきました。
 今般、本検討会において、報告書(案)が取りまとめられましたので、令和4年1月15日(土)から同年2月4日(金)までの間、本案に対する意見募集を行います。

・[PDF] 別紙1「電気通信事業ガバナンス検討会 報告書(案)」

20220114-233059

 

目次

はじめに

第1章 電気通信事業を取り巻く環境の変化
1.1
電気通信サービスの現状
 1.1.1
電気通信サービス市場の概要
 1.1.2 電気通信サービスの重要度の向上

1.2
電気通信サービスを提供する電気通信事業者の多様化
1.3
電気通信サービスを提供するネットワークの多様化

第2章 電気通信事業におけるガバナンスの現状と課題
2.1
電気通信サービスに対するリスクの高まり
 2.1.1
サイバー攻撃の複雑化・巧妙化によるリスク
 2.1.2 サプライチェーンや外国の法的環境による影響等のリスク
 2.1.3 電気通信サービスに係る情報の漏えい等のリスク
 2.1.4 電気通信サービスの停止等のリスク
 2.1.5 情報の外部送信や収集に関連したリスク
 2.1.6 利用者による不安
 2.1.7 今後の方向性

2.2
電気通信事業におけるガバナンスの現状
 2.2.1
国内の電気通信事業におけるガバナンスの現状
  2.2.1.1 電気通信事業の公共性及び電気通信事業法における規律の対象
  2.2.1.3 通信の秘密の漏えいに関する制度の現状
  2.2.1.4 電気通信事業者における自主的な取組の現状
  2.2.1.5 総合的なサイバーセキュリティ対策
  2.2.1.6 政府情報システムのためのセキュリティ評価制度
 2.2.2 ガバナンスに関する国際標準・諸外国の制度等
  2.2.2.1 情報セキュリティに関する国際標準・規格等
  2.2.2.2 ガバナンスに関する諸外国の制度

2.3
利用者が安心できる電気通信サービスの円滑な提供に向けた課題
 2.3.1
情報の漏えい・不適正な取扱い等や電気通信サービスの停止のリスクへの対応
 2.3.2 電気通信事業におけるリスク対策の必要性
 2.3.3 課題と検討の方向性

第3章 電気通信事業ガバナンスの在り方と実施すべき措置
3.1
電気通信事業におけるガバナンス強化に係る基本的な考え方
 3.1.1
電気通信事業における多様な保護法益の確保
 3.1.2 電気通信事業の円滑・適切な運営の確保
 3.1.3 電気通信事業ガバナンスの在り方の検討

3.2
実施すべき措置
 3.2.1
電気通信事業に係る情報の漏えい・不適正な取扱い等に対するリスク対策
  3.2.1.1
適正な取扱いを行うべき情報
  3.2.1.2 利用者情報の適正な取扱いの促進
  3.2.1.3 利用者に関する情報の外部送信の際に講じるべき措置

 3.2.2
通信ネットワークの多様化等を踏まえた電気通信サービスの停止に対するリスク対策
  3.2.2.1
設備の多様化に対応した規律の見直し
  3.2.2.2 事業者間連携によるサイバー攻撃対策
  3.2.2.3 重大事故等のおそれのある事態の報告制度
  3.2.2.4 災害時における考慮事項

 3.2.3
利用者への情報提供
  3.2.3.1
利用者への情報提供の現状
  3.2.3.2 情報の適正な取扱い等に係る利用者への情報提供の強化に向けて

第4章 今後の検討課題

おわりに


 

 

参考

電気通信ガバナンス検討会

 ・2021.04.27 「電気通信事業ガバナンス検討会」の開催


総務省は、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保に向けて、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について検討するため、「電気通信事業ガバナンス検討会」を開催します。
1 目的


 「デジタル社会」の実現のためには、その中枢基盤として、サイバー空間とフィジカル空間を繋ぐ神経網である通信サービス・ネットワークが安心・安全で信頼され、継続的・安定的かつ確実・円滑に提供されることが不可欠です。
 しかし、最近、通信サービス・ネットワークを司る電気通信事業者において、利用者の個人情報や通信の秘密の漏えい事案が発生するとともに、海外の委託先等を通じ、これらのデータにアクセス可能な状態にあることに関するリスク等が顕在化しています。さらに、電気通信事業者に対するサイバー攻撃により、通信サービスの提供の停止に至る事案や通信設備に関するデータが外部に漏えいしたおそれのある事案が発生するなど、サイバー攻撃のリスク等も深刻化しています。
 以上を踏まえ、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、検討を行います。
2 検討事項

(1)電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方
(2)上記を踏まえた、政策的な対応の在り方
(3)その他

| | Comments (0)

2022.01.04

NISTIR 8389(ドラフト)オープンバンキング技術と先端標準に関するサイバーセキュリティ上の考慮事項

こんにちは、丸山満彦です。

NISTが NISTIR 8389(ドラフト)オープンバンキング技術と先端標準に関するサイバーセキュリティ上の考慮事項を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.01.03 NISTIR 8389 (Draft) Cybersecurity Considerations for Open Banking Technology and Emerging Standards

 

NISTIR 8389 (Draft) Cybersecurity Considerations for Open Banking Technology and Emerging Standards NISTIR 8389(ドラフト)オープンバンキング技術と先端標準に関するサイバーセキュリティ上の考慮事項
Announcement 発表内容
“Open banking” (OB) refers to a new financial ecosystem that provides more choices to individuals and small and mid-size businesses concerning the movement of their money, as well as information between financial institutions. Open banking is already being used in several countries around the world, however, it is yet to be adopted in the United States. Anytime a system becomes more transparent, a potential for abuse occurs, and for open banking, that would be at the API level. 「オープンバンキング(OB)」とは、個人や中小企業が金融機関間での資金や情報の移動について、より多くの選択肢を提供する新しい金融エコシステムのことです。オープンバンキングは、すでに世界のいくつかの国で採用されていますが、米国ではまだ採用されていません。システムの透明性が高まると、悪用される可能性が出てきますが、オープンバンキングの場合は、APIレベルでの悪用が考えられます。
This report contains a definition and description of open banking, its activities, enablers, and cybersecurity, and privacy challenges. This report is not intended to be a promotion of OB within the U.S but rather a factual description of the technology and how various countries have implemented it. Any proposal of a specific API that would be compatible across heterogeneous systems was purposely avoided in this report. 本報告書では、オープンバンキングの定義と説明、その活動、実現要因、サイバーセキュリティとプライバシーの課題について述べています。本報告書は、米国内でのOBの推進を目的としたものではなく、技術の事実関係や各国での導入状況を説明するものです。異種システム間で互換性のある特定のAPIを提案することは、本報告書では意図的に避けている。
Abstract 概要
“Open banking” refers to a new financial ecosystem that is governed by specific security profiles, application interfaces, and guidelines with the objective of improving customer choices and experiences. Open banking ecosystems aim to provide more choices to individuals and small and mid-size businesses concerning the movement of their money, as well as information between financial institutions. Open baking also aims to make it easier for new financial service providers to enter the financial business sector. This report contains a definition and description of open banking, its activities, enablers, and cybersecurity and privacy challenges. Open banking use cases are also presented. 「オープンバンキング」とは、顧客の選択肢と体験を向上させることを目的とした、特定のセキュリティプロファイル、アプリケーションインターフェース、ガイドラインによって管理される新しい金融エコシステムのことです。オープンバンキングのエコシステムは、個人や中小企業が金融機関間でのお金や情報の移動に関して、より多くの選択肢を提供することを目的としています。また、オープンバンキングは、新しい金融サービスプロバイダーが金融ビジネス分野に参入しやすくすることも目的としています。本報告書では、オープンバンキングの定義と説明、その活動内容、実現要因、サイバーセキュリティとプライバシーに関する課題などを紹介しています。また、オープンバンキングのユースケースも紹介しています。

・[PDF] NISTIR 8389 (Draft)

20220104-80931

1 Introduction 1 はじめに
1.1 Fundamental Banking Functions Provided by Financial Institutions 1.1 金融機関が提供する基本的な銀行機能
1.2 Multiple Financial Institutions 1.2 複数の金融機関
1.3 Open Banking Defined 1.3 オープンバンキングの定義
2 Use Cases 2 ユースケース
3 Differences from Conventional e-Banking and Peer-To-Peer Financial Platforms 3 従来のe-バンキングやPeer-To-Peer金融プラットフォームとの違い
4 Survey of Open Banking Approaches Around the World 4 世界各国のオープンバンキングの取り組みに関する調査
4.1 European Union and United Kingdom 4.1 欧州連合と英国
4.1.1 Development of open-banking standards and API specifications 4.1.1 オープンバンキングの標準とAPI仕様の策定
4.1.2 From Open Banking to “Open Finance” 4.1.2 オープンバンキングから "オープンファイナンス "へ
4.1.3 The Impact of Privacy and Cybersecurity Considerations 4.1.3 プライバシーとサイバーセキュリティへの配慮の影響
4.2 Australia 4.2 オーストラリア
4.3 India 4.3 インド
4.4 United States 4.4 米国
4.5 Other Countries 4.5 その他の国々
5 Positive Outcomes and Risks 5 肯定的な結果とリスク
6 Software and Security Practices in Banking-Related Areas 6 銀行関連分野におけるソフトウェアとセキュリティの実務
7 API Security: Widely Deployed Approaches and Challenges 7 APIセキュリティ:広く普及しているアプローチと課題
7.1 Intrabank APIs 7.1 銀行内API
7.2 Interbank APIs 7.2 銀行間API
7.3 API Security 7.3 APIセキュリティ
8 Privacy Relations to NIST and Other Standard Frameworks 8 NISTや他の標準フレームワークとプライバシーの関係
9 Conclusion 9 結論
References 参考文献
List of Appendices 附属書リスト
Appendix A— Acronyms 附属書A - 頭字語
Appendix B— Glossary 附属書B - 用語集

 

・[DOCX] 仮訳

 

| | Comments (0)

2021.12.25

内閣官房 NISC 意見募集 「サイバーセキュリティ戦略」に基づき、2022年度に実施すべき施策

こんにちは、丸山満彦です。

NISCが「サイバーセキュリティ戦略」に基づき、2022年度に実施すべき施策に関する意見募集をしていますね。。。

 

● NISC

・2021.12.24 「サイバーセキュリティ戦略」に基づき、2022年度に実施すべき施策に関する意見の募集について

意見募集対象

「サイバーセキュリティ戦略」に基づき、2022年度に実施すべき施策(サイバーセキュリティ2022)

参考資料(意見募集対象外)

・[PDF] サイバーセキュリティ戦略(令和3年9月28日閣議決定)

・[PDF] サイバーセキュリティ2021

・[PDF] 次期年次報告・年次計画の策定に向けた進め方等について(サイバーセキュリティ戦略本部第32回会合(令和3年12月14日)資料3) 

↑ 意見募集対象のリンクがない???

で、e-Govではどうなっているかというと...

e-Gov

・2021.12.24 「サイバーセキュリティ戦略」に基づき、2022年度に実施すべき施策に関する意見の募集について

命令などの案  

・[PDF] 次期年次報告・年次計画の策定に向けた進め方等について

関連資料、その他

・[PDF] サイバーセキュリティ戦略(令和3年9月28日閣議決定)

・[PDF] サイバーセキュリティ2021

意見募集対象でないと言っているものが、対象???

 

Nisc_20211018004601


■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリテ2021

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


 

まるちゃんの情報セキュリティ気まぐれ日記

日本のサイバーセキュリティ戦略関係

・2021.09.30 日本のサイバーセキュリティ戦略についての質問に対する中国政府スポークスマンの回答

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

 

世界のサイバーセキュリティ戦略関係

・2021.12.17 英国 国家サイバー戦略

・2021.10.11 シンガポール サイバーセキュリティ戦略2021

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

| | Comments (0)

個人情報保護委員会 意見募集 各分野別個人情報保護ガイドラインの改正案

こんにちは、丸山満彦です。

個人情報保護委員会が各分野別個人情報保護ガイドラインの改正案について意見募集をしていますね。。。

1. 医療・介護関係事業者

2. 健康保険組合等

3-1. 国民健康保険組合

3-2. 国民健康保険団体連合会等

4. 債権管理回収業分野

5. 金融分野+(安全管理措置)

6. 信用分野

 

個人情報保護委員会

・2021.12.23

# ガイドライン e-Gov ガイドライン案 新旧対比
1 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスの一部改正案」に関する意見募集について 概要
2 「健康保険組合等における個人情報の適切な取扱いのためのガイダンスの一部改正案」に関する意見募集について  
3 「国民健康保険組合における個人情報の適切な取扱いのためのガイダンスの一部改正案」及び「国民健康保険団体連合会等における個人情報の適切な取扱いのためのガイダンスの一部改正案」に関する意見募集について  
4 債権管理回収業分野における個人情報保護に関するガイドライン(案)に関する意見募集について
5 「金融分野における個人情報保護に関するガイドライン」及び「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の一部改正(案)に対する意見募集について  
6 信用分野における個人情報保護に関するガイドラインの一部改正案に対する意見募集について

 

・2021.12.22 第195回 個人情報保護委員会

 

Ppc_logo_20210325120001_20210520035201

 


● まるちゃんの情報セキュリティきまぐれ日記

・2021.11.02 個人情報保護委員会 令和3年改正個人情報保護法について、政令・規則・民間部門ガイドライン案の意見募集の結果を公示+公的部門ガイドライン案の意見募集を開始

・2021.08.06 個人情報保護委員会 意見募集 令和3年改正個人情報保護法 政令・規則・民間部門ガイドライン案について他

・2021.08.04 個人情報保護委員会 「個人情報の保護に関する法律についてのガイドライン」の更新他

・2021.05.20 個人情報保護委員会の今後の取り組みと個人情報保護法ガイドラインの改正(パブコメ)

| | Comments (0)

中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

こんにちは、丸山満彦です。

中国のデータセキュリティ法に基づくデータセキュリティリスク情報の報告・共有に関するガイドライン案が公開され、意見募集されていますね。。。

工业和信息化部(工業情報化部)

2022.12.22 公开征求对《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》的意见 「産業情報通信分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)」の公開協議について(意見募集稿)

 

公开征求对《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》的意见 「産業情報通信分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)」の公開協議について(意見募集稿)
为贯彻落实《中华人民共和国数据安全法》等法律法规,加强工业和信息化领域数据安全风险信息获取、分析、研判和预警工作,及时掌握工业和信息化领域数据安全整体态势,提高数据安全风险处置能力,工业和信息化部研究起草了《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》(见附件),拟以规范性文件形式印发,现面向社会公开征求意见。如有意见或建议,请于2022年1月22日前反馈。 中華人民共和国データセキュリティ法およびその他の法令を実施し、産業情報技術分野におけるデータセキュリティリスク情報の取得、分析、判断および早期警告を強化し、産業・情報技術分野におけるデータセキュリティの全体的な状況をタイムリーに把握し、データセキュリティリスクへの対応能力を向上させるため、産業情報技術省は、「産業情報技術分野におけるデータセキュリティリスク情報の報告および共有に関するガイドライン」(以下、「ガイドライン」)を研究・作成しました。 産業・情報通信省は、規範文書として発行する「産業・情報通信分野におけるデータセキュリティリスクの報告・共有に関するガイドライン(試行実施用)(別紙)」を作成し、現在、コメントを募集しています。 ご意見・ご要望がございましたら、2022年1月22日までにご記入ください。

 

・[PDF]

20211224-152644

・[DOCX] 仮訳

 


情報セキュリティきまぐれ日記

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

 

| | Comments (0)

2021.12.21

NIST 意見募集 NISTIR 8403(ドラフト)アクセス制御システムのためのブロックチェーン

こんにちは、丸山満彦です。

NISTが NISTIR 8403(ドラフト)アクセス制御システムのためのブロックチェーンを公表し、意見募集をしていますね。。。

NIST - ITL

・2021.12.20 NISTIR 8403 (Draft) Blockchain for Access Control Systems

NISTIR 8403 (Draft) Blockchain for Access Control Systems NISTIR 8403(ドラフト)アクセス制御システムのためのブロックチェーン
Announcement 発表内容
Protecting system resources against unauthorized access is the primary objective of an access control system. As information systems rapidly evolve, the need for advanced access control mechanisms that support decentralization, scalability, and trust–all major challenges for traditional mechanisms–has grown. 不正なアクセスからシステムリソースを保護することは、アクセス制御システムの主要な目的です。情報システムが急速に進化する中で、分散性、拡張性、信頼性をサポートする高度なアクセス制御メカニズムの必要性が高まっていますが、これは従来のメカニズムにとって大きな課題でした。
Blockchain technology offers high confidence and tamper resistance implemented in a distributed fashion without a central authority, which means that it can be a trustable alternative for enforcing access control policies. This document presents analyses of blockchain access control systems from the perspectives of properties, components, architectures, and model supports, as well as discussions on considerations for implementation. ブロックチェーン技術は、中央機関を介さずに分散して実装され、高い信頼性と耐タンパ性を備えているため、アクセス制御ポリシーを実施するための信頼できる代替手段となり得ます。本報告書では、ブロックチェーンのアクセス制御システムについて、特性、コンポーネント、アーキテクチャ、モデルサポートの観点から分析を行い、実装上の考慮点についても考察しています。
Abstract 概要
The rapid development and wide application of distributed network systems have made network security – especially access control and data privacy – ever more important. Blockchain technology offers features such as decentralization, high confidence, and tamper-resistance, which are advantages to solving auditability, resource consumption, scalability, central authority, and trust issues – all of which are challenges for network access control by traditional mechanisms. This document presents general information for blockchain access control systems from the views of blockchain system properties, components, functions, and supports for access control policy models. Considerations for implementing blockchain AC systems are also included. 分散型ネットワークシステムの急速な発展と幅広い応用により、ネットワークセキュリティ、特にアクセス制御とデータプライバシーの重要性が高まっています。ブロックチェーン技術は、分散性、高い信頼性、耐タンパ性などの特徴を持ち、従来のメカニズムによるネットワークアクセス制御の課題である、監査可能性、リソース消費、拡張性、中央機関、信頼性の問題を解決する上で有利な技術です。本資料では、ブロックチェーンシステムの特性、コンポーネント、機能、アクセス制御ポリシーモデルのサポートなどの観点から、ブロックチェーンアクセス制御システムの一般的な情報を紹介しています。また、ブロックチェーンアクセス制御システムを実装する際の考慮点も記載しています。
 
20211221-50402
Executive Summary エグゼクティブ・サマリー
1. Introduction 1. 序文
2. Blockchain System Components and Advantages for Access Control Systems 2. ブロックチェーンシステムの構成要素とアクセス制御システムの利点
3. Access Control Functions of Blockchain AC Systems 3. ブロックチェーンアクセス制御システムのアクセス制御機能
4. Access Control Model Support 4. アクセス制御モデルのサポート
5. Considerations 5. 考察
6. Conclusion 6. 結論
References 参考文献
List of Figures 図の一覧
Figure 1 – XACML Architecture 図1 - XACMLアーキテクチャ
Figure 2 – Examples of access control function points implemented in blockchain systems 図2 - ブロックチェーンシステムに実装されているアクセス制御ファンクションポイントの例
Figure 3 – Examples of Figure 2d with attribute source options 図3 - 図2dの属性ソースオプションの例
List of Tables 表の一覧
Table 1 Comparison of IoT AC system capabilities for general access control requirements by blockchain and traditional mechanisms enforcing RBAC, ABAC, and CBAC policy models 表1 RBAC、ABAC、CBACのポリシーモデルを実施するブロックチェーンと従来のメカニズムによる一般的なアクセス制御要件に対するIoT アクセス制御システムの機能の比較
Executive Summary  エグゼクティブ・サマリー
Access control is concerned with determining the allowed activities of legitimate users and mediating every attempt by a user to access a resource in the system. The objectives of an access control system are often described in terms of protecting system resources against inappropriate or undesired user access. From a business perspective, this objective could just as well be described in terms of the optimal sharing of information. As current information systems evolve to be more lightweight, pervasive, and interactive network architectures such as Cloud and Internet of Things (IoT), there is need for an access control mechanism to support the requirements of decentralization, scalability, and trust for accessing objects, which is challenging for traditional mechanisms.    アクセス制御とは,正当なユーザの許可された活動を決定し,ユーザがシステム内のリソースにアクセスしようとするすべての試みを仲介することである.アクセス制御システムの目的は、不適切または望ましくないユーザーのアクセスからシステムリソースを保護するという観点から説明されることが多い。ビジネスの観点からは、この目的は、情報の最適な共有という観点からも説明できます。現在の情報システムが、クラウドやIoT(Internet of Things)のように、より軽量で、広汎で、インタラクティブなネットワーク・アーキテクチャに進化するにつれ、従来のメカニズムでは困難な、オブジェクトへのアクセスに対する分散化、拡張性、および信頼性の要件をサポートするアクセス制御メカニズムが必要とされています。  
Blockchains are tamper evident and tamper resistant blocks (digital ledgers) implemented in a distributed fashion (i.e., without a central repository) and usually without a central authority (i.e., a bank, company, or government). It uses replicated, shared, and synchronized digital blocks between the users of a private or public distributed computer network located in different sites or organizations. Blockchain can be utilized for access control systems as a trustable alternative for a single entity/organization or a member of a large-scale system to enforce access control policies. The robust, distributed nature of blockchain technology can address issues in overcoming the limitations of traditional access control systems in a more decentralized and efficient way. It is supported by the following infrastructural properties that are not included in traditional access control mechanisms unless specifically implemented:  ブロックチェーンは、(中央のリポジトリを持たない)分散型で実装され、通常は中央機関(銀行、企業、政府など)を持たない、改ざん防止されたブロック(デジタル台帳)です。ブロックチェーンは、異なるサイトや組織にあるプライベートまたはパブリックの分散型コンピューターネットワークのユーザー間で、複製、共有、同期されたデジタルブロックを使用します。ブロックチェーンは、単一のエンティティ/組織または大規模システムのメンバーがアクセス制御ポリシーを実施するための信頼できる代替手段として、アクセス制御システムに活用することができます。ブロックチェーン技術の堅牢で分散された性質は、従来のアクセス制御システムの限界を克服する上での問題に、より分散された効率的な方法で対処することができます。これは、特別に実装されていない限り、従来のアクセス制御メカニズムには含まれていない以下のインフラ特性によって支えられています。
• Tamper evident and tamper resistant design prevents access control data (i.e., attributes, policy rules, environment conditions, and access request) and access control logs (i.e., request permissions, and previous access control data) from alternation and reduces the probability of frauds.  ・不正開封の跡が明らかになる(Tamper evident)および不正開封に対抗しえる(Tamper resistant)設計により、アクセス制御データ(属性、ポリシールール、環境条件、アクセス要求など)とアクセス制御ログ(要求許可、過去のアクセス制御データなど)の改竄を防ぎ、不正の可能性を低減することができる。
• Decentralized control of authorization processing and the storage of access control data/logs has no single point of failure, thus providing more system tolerance and availability.  ・認証処理とアクセス制御データ/ログの保存を分散制御することで単一障害点がないため、システムの耐性と可用性が向上する。
• The traceability of blocks allows access control data/logs and system states to be seen and tracked.   ・ブロックのトレーサビリティーによりアクセスコントロールデータ/ログやシステムの状態を見て追跡することができる。
• The execution of arbitrary programs in smart contracts allows for controls on distributed access control data and authorization processes.   ・スマートコントラクトで任意のプログラムを実行することにより、分散したアクセス制御データや認可プロセスの制御が可能になる。 
• Consensus mechanisms and protocols regulate the participating access control entities/organizations jointly in determining policy rules through blocks or smart contracts.   ・コンセンサス機構やコンセンサス・プロトコルはブロックやスマートコントラクトを通じてポリシー・ルールを決定する際に参加するアクセス・コントロール・エンティティ/組織を共同で規制する。

| | Comments (0)

2021.12.18

ロシア 連邦中央銀行 意見募集 2022-2024年の金融市場のデジタル化に関するガイドライン草案 at 2021.12.10

こんにちは、丸山満彦です。

ロシア中央銀行が2022-2024年の金融市場のデジタル化に関するガイドライン草案を公開していますね。。。

Банк России(ロシア連邦中央銀行)

・2021.12.10 Опубликован проект Основных направлений цифровизации финансового рынка на период 2022–2024 годов

 

В целях дальнейшей цифровизации финансового рынка и повышения доступности продуктов и сервисов для граждан и бизнеса Банк России определил стратегические направления развития финансовых технологий на ближайшие три года. 金融市場のデジタル化を進め、市民や企業が商品やサービスをより利用しやすくするために、ロシア銀行は今後3年間の金融技術開発の戦略的方向性を定めました。
Ключевыми задачами до 2024 года станут регулирование оборота данных, экосистем и небанковских поставщиков платежных услуг, а также совершенствование электронного взаимодействия между участниками рынка, государством, гражданами и бизнесом. Продолжится развитие таких инфраструктурных проектов, как Единая биометрическая система, Цифровой профиль, «Маркетплейс» и Система быстрых платежей. Кроме того, планируется внедрение открытых API и создание платформы коммерческих согласий. Особое внимание будет уделено разработке платформ цифрового рубля и «Знай своего клиента». 2024年までの主な目標は、データの回転、エコシステム、ノンバンクの決済サービスプロバイダーを規制すること、そして市場参加者、国家、市民、企業間の電子的なやり取りを改善することです。統一生体認証システム、デジタルプロファイル、マーケットプレイス、高速決済システムなどのインフラプロジェクトは引き続き開発されます。さらに、オープンなAPIを導入し、商業的な同意を得るためのプラットフォームを構築する計画があります。特に、「Digital Rouble」と「Know Your Customer」のプラットフォームの開発に注目しています。
Развитие технологий информационной безопасности и обеспечение киберустойчивости также является одним из приоритетов Банка России. また、情報セキュリティ技術とサイバーレジリエンスの開発は、ロシア銀行の優先課題の一つです。
Разработанный комплекс мероприятий по реализации основных направлений позволит обеспечить граждан и бизнес более дешевыми и удобными цифровыми финансовыми услугами, снизить издержки участников финансового рынка и будет способствовать повышению уровня конкуренции. 主要な方向性を実現するために策定された一連の施策は、市民や企業に、より安価で便利なデジタル金融サービスを提供し、金融市場参加者のコストを削減し、競争の激化に貢献します。
Предложения к проекту Банк России предлагает направлять до 24 декабря 2021 года включительно по адресу fintech@cbr.ru. ロシア銀行は、草案に対する提案を2021年12月24日までに、fintech@cbr.ruに送って下さい。

 

・[PDF]

20211218-64420

目次

Введение はじめに
Итоги реализации Основных направлений развитияфинансовых технологий на период 2018 – 2020 годов 金融技術ロードマップ2018-2020の成果
Международные тренды 国際的な動向
Трансформация потребностей и поведения клиентов 顧客ニーズと行動の変革
Формирование экосистем финансовых и нефинансовых сервисов 金融・非金融サービスのエコシステムの構築
Применение открытых API в финансовых и нефинансовых секторах экономики 金融・非金融分野でのオープンAPIの活用
Повсеместное применение технологий 技術のユビキタス化
Ужесточение регулирования криптовалют и развитие цифровых валют центральных банков 暗号通貨の規制強化と中央銀行デジタル通貨の開発
Усиление операционных рисков и рисков в области информационной безопасности 業務上および情報セキュリティ上のリスクの増大
Уровень цифровизации финансового рынка в России ロシアにおける金融市場のデジタル化のレベル
Приоритеты развития рынка финансовых технологийдля участников рынка 金融技術市場の発展のための優先事項
Цели и основные направления цифровизации финансового рынкана 2022 – 2024 годы  2022年~2024年に向けた金融市場のデジタル化の目標と主な方向性 
1. Развитие регулирования  1. レギュラー開発 
1.1. Развитие правового обеспечения Цифрового профиля 1.1. デジタル・プロファイルの法的枠組みの構築
1.2. Развитие правового обеспечения национальной платежной системы 1.2. 国内決済システムの法的枠組みの構築
1.3. Развитие регулирования системы «Маркетплейс» 1.3. マーケットプレイス・システムの規制整備
1.4. Регулирование открытых API 1.4. オープンAPIの規制
1.5. Развитие регулирования в области оборота данных 1.5. データ交換規則の策定
1.6. Правовое обеспечение создания Единой информационной системы проверкисведений об абоненте 1.6. 統一された加入者情報検証システムの構築を法的に保証すること
1.7. Развитие правового обеспечения экспериментальных правовых режимов 1.7. 実験的法体系への法的支援の展開
1.8. Создание правовых условий для электронного хранения документов 1.8. 文書の電子保存のための法的条件の整備
1.9. Регулирование экосистем 1.9. エコシステムの規制
1.10. Развитие регулирования цифровых финансовых активов и краудфандинга 1.10. デジタル金融資産とクラウドファンディングの規制の整備
1.11. Правовое обеспечение цифрового руб ля 1.11. デジタルルーブルの法的提供
1.12. Правовое обеспечение создания сервиса «Знай своего клиента» 1.12. "Know Your Client" サービスの作成に関する法的規制
1.13. Совершенствование законодательства в целях цифровизации исполнительногопроизводства 1.13. 執行プロセスのデジタル化に向けた法整備
1.14. Совершенствование законодательства в целях цифровизации страховой медицины 1.14. 保険医療のデジタル化のための法整備
2. Реализация инфраструктурных проектов 2. インフラプロジェクトの実施
2.1. Развитие Единой биометрической системы 2.1. 統一された生体認証システムの開発
2.2. Развитие инфраструктуры Цифрового профиля 2.2. デジタル・プロファイル・インフラストラクチャの開発
2.3. Развитие Системы быстрых платежей 2.3. 高速決済システムの開発
2.4. Развитие Национальной системы платежных карт 2.4. National Payment Card Systemの開発
2.5. Развитие системы «Маркетплейс» 2.5. マーケットプレイスシステムの開発
2.6. Развитие открытых API 2.6. オープンAPIの開発
2.7. Создание платформы коммерческих согласий 2.7. 商業的合意に基づくプラットフォーム開発 2.8.
2.8. Цифровизация ипотеки 2.8. 住宅ローン融資のデジタル化 2.9.
2.9. Разработка и пилотирование платформы цифрового руб ля 2.9. デジタル・ルーブル・プラットフォームの開発と試験運用
2.10. Создание сервиса «Знай своего клиента» 2.10. "Know Your Customer" サービスの構築
2.11. Цифровизация платежей и начислений ЖКХ 2.11. 決済や公共料金のデジタル化
2.12. Цифровизация исполнительного производства 2.12. 執行手続きのデジタル化
2.13. Цифровизация страховой медицины 2.13. 保険医療のデジタル化
3. RegTech, SupTech 3. RegTech、SupTech
4. Экспериментальные правовые режимы  4. 実験的な法体系 
5. Информационная безопасность 5. 情報セキュリティ
5.1. Обеспечение возможности использования сервиса облачной УКЭП участникамифинансового рынка 5.1. クラウドベースの UKEP サービスを金融市場参加者が利用できるようにする。
5.2. Обеспечение всех поднадзорных организаций УКЭП 5.2. 監督下の全組織に対する UKEP の提供
5.3. Формирование среды доверия при удаленном предоставлении финансовых услуги сервисов 5.3. 金融サービスの遠隔提供の信頼性を高めるための環境整備
5.4. Снижение уровня потерь по операциям, совершаемым с использованиемдистанционных каналов обслуживания, включая социальную инженерию 5.4. ソーシャルエンジニアリングを含む、リモートサービスチャネルを利用したオペレーションの損失の低減
5.5. Внедрение института киберучений как основного механизма стресс-тестирования при осуществлении надзора в части оценки киберрисков 5.5. サイバーリスク管理監督の過程におけるストレステストの主要なメカニズムとしてのサイバー演習の実施
5.6. Развитие информационного обмена ФинЦЕРТ с участниками кредитно-финансовойсферы в части противодействия компьютерным атакам 5.6. サイバー攻撃に対抗するための、FinCERTと信用・金融分野の参加者との間の情報交換の進展

 

・[PDF]

20211218-64625

 

 

 

 

| | Comments (0)

ロシア 連邦中央銀行 意見募集 金融セクターにおけるビッグデータのシステミックリスク at 2021.12.10

こんにちは、丸山満彦です。

ロシア中央銀行が金融セクターにおけるビッグデータのシステミックリスクに関する報告書を出していて、公開競技として意見募集をしています。。。(個人情報保護に関する議論は含んでいません。。。)

Банк России(ロシア連邦中央銀行)

・2021.12.10 Системные риски использования больших данных в финансовом секторе: доклад для общественных консультаций

Банк России предлагает обсудить системные риски использования больших данных в финансовом секторе и возможные шаги по их регулированию для повышения финансовой стабильности. ロシア銀行は、金融部門におけるビッグデータの利用によるシステミックリスクと、金融安定性を向上させるための規制の可能なステップについて議論することを提案しています。
В докладе для общественных консультаций регулятора проанализированы актуальные тренды, преимущества и риски использования больших данных на финансовом рынке в мире и России. Авторы документа представили возможные подходы к регулированию таких рисков для российских финансовых организаций, в том числе на основе зарубежной практики. 規制当局の公開協議のための報告書では、世界およびロシアの金融市場におけるビッグデータ利用の現在の傾向、メリット、リスクを分析しています。この文書の著者は、外国の慣行に基づくものも含めて、ロシアの金融機関がこのようなリスクを規制するための可能なアプローチを提示しました。
Кроме того, в докладе опубликованы результаты проведенного Банком России опроса крупных банков и иных финансовых организаций об использовании ими больших данных в своей деятельности. また、ロシア銀行が大手銀行などの金融機関を対象に実施した、業務におけるビッグデータの活用に関する調査結果も掲載されています。
Замечания и предложения по докладу, а также ответы на вопросы для консультаций Банк России предлагает направлять до 15 февраля 2022 года включительно. ロシア銀行は、報告書に対するコメントや提案、協議のための質問への回答を、2022年2月15日までに提出するよう求めています。

 

・[PDF]

20211218-54839

 

Введение はじめに
1. Термины и определения 1.用語と定義
2. Тренды в использовании больших данных финансовыми организациями ведущих стран 2 主要国における金融機関のビッグデータ活用の動向
2.1. Основные тренды в использовании больших данных 2.1 ビッグデータ活用の大きな流れ
2.2. Области использования больших данных 2.2 ビッグデータの利用領域について
3. Преимущества и риски использования больших данных 3. ビッグデータ活用のメリットとリスク
3.1. Преимущества использования больших данных 3.1 ビッグデータ活用のメリット
3.2. Риски использования больших данных 3.2 ビッグデータ活用のリスク
4. Использование больших данных в российских финансовых институтах 4. ロシアの金融機関におけるビッグデータの活用
4.1. Направления использования больших данных в российских финансовых институтах 4.1 ロシアの金融機関におけるビッグデータ活用の動向
4.2. Организация процесса обработки и использования больших данных в российских финансовых организациях 4.2 ロシアの金融機関におけるビッグデータ処理・活用の組織化
4.3. Положительные эффекты от использования больших данных (по данным опроса) 4.3 ビッグデータ活用によるプラス効果(調査データに基づく)
4.4. Риски использования больших данных российскими финансовыми институтами (по данным опроса) 4.4 ロシアの金融機関によるビッグデータ活用のリスク(調査データに基づく)
5. Подходы к регулированию рисков использования технологий больших данных за рубежом и возможные меры в России 5. 海外でのビッグデータリスク規制の考え方とロシアでの可能な対応について
5.1. Подходы к регулированию, применяемые за рубежом 5.1 海外での規制への取り組み
5.2. Возможные шаги в области регулирования использования технологий больших данных в России в целях снижения рисков финансовой стабильности 5.2 金融安定化リスクを軽減するために、ロシアにおけるビッグデータ技術の使用を規制するための可能なステップ
Вопросы для консультаций 公開協議事項

 

2. 先進国の金融機関のビッグデータ活用の動向

2.1 ビッグデータ活用の大きな流れ

  1. 金融分野では、ビッグデータや人工知能技術を使った処理が進んでいます。
  2. COVID-19のパンデミックにより、ビッグデータ技術や、それを処理する機械学習や人工知能の導入が加速したと思われます。
  3. 一般的に、ビッグデータを扱う場合、中小規模の金融機関はサードパーティの開発製品を利用する傾向にありますが、大規模な金融機関は自社でソリューションを開発する十分なリソースを持っています。
  4. 金融機関は、従来の情報源に加えて、ソーシャルメディアや衛星データなどの代替情報源を活用しています。

2.2 ビッグデータの活用分野

  1. 顧客の信用度の評価
  2. マーケティングとカスタマーリレーション
  3. アセットマネジメント
  4. 保険
  5. サイバーリスクやAML/CFTリスクを含むオペレーショナルリスクの防止
  6. 報告書作成などのプロセスの合理化

 

3. 使用の利点とリスク

3.1 ビッグデータを活用することのメリット

  1. 大量の情報を高速に処理できる
  2. リスク管理の強化
  3. 金融包摂の改善(より多くの人が金融を利用できるようになる)
  4. より多くの顧客に個別のサービスを提供する可能性がある

3.2 ビッグデータ活用のリスク

  1. データの質に関するリスクを含む方法論的リスク(データをどのように選択し、処理し、集計するのがベストなのかはまだ不明。ビッグデータの分析結果を従来のソースから得た情報と統合するために必要な分析ツールについても疑問がある)
  2. モデルリスク(誤った入力データや仮定の使用、モデルの開発時に意図した目的以外での使用、モデル自体の開発におけるエラー)
  3. 個人情報保護に関するリスク
  4. 価格差別
  5. 人種、国民、宗教、性別などの理由による(価格以外の)差別の可能性
  6. ビッグデータを持ちにくい中小金融機関に不利
  7. 第三者のビッグデータ提供者や処理サービスがもたらすリスクと、それに伴う新たなシステミックリスクが新たな金融リスク
  8. グレーゾーンの規制に伴うリスク
  9. ビッグデータ技術の導入が遅れている金融機関のリスク(例えばサイバーリスク、AMLリスク等)が増加

ロシアについては、

ほとんど全ての金融機関が

  • ビッグデータの活用を事業戦略に組み込んでいる
  • ビッグデータを既にかなり広範囲にわたって業務に活用しており、さらにその利用を拡大する予定である

主な用途としては、

  • 信用格付
  • 不正行為の発見
  • 顧客からの問い合わせ対応の自動化
  • CRMやクロスセリングモデルの開発
  • 資産ポートフォリオの最適化

 

公開協議事項

ВОПРОСЫ ДЛЯ КОНСУЛЬТАЦИЙ 相談事項
1.   Видите ли вы необходимость в разработке стратегии работы с большими данными на уровне организации? Какие вопросы такая стратегия должна включать? 1.   ビッグデータに対応するための組織全体の戦略の必要性を感じますか?そのためには、どのような課題があるのでしょうか。
2.   Какие подходы используются (планируются к использованию) в вашей организации с целью управления модельными рисками и рисками качества данных в отношении больших данных? 2.   ビッグデータに関するモデルやデータ品質のリスクを管理するために、あなたの組織ではどのようなアプローチが使われていますか(使われる予定ですか)?
3.   Какие подходы используются (планируются к использованию) в вашей организации с целью управления рисками дискриминации (в том числе неценовой) при принятии решений с использованием больших данных? 3.   あなたの組織では、ビッグデータを用いて意思決定を行う際に、差別(非価格差別を含む)のリスクを管理するために、どのようなアプローチが用いられていますか(用いられる予定ですか)?
4.   Каким образом в вашей организации осуществляется управление риском зависимости от сторонних поставщиков услуг в части больших данных и моделей, разрабатываемых на их основе? Видит ли ваша организация повышенный уровень концентрации на каких‑либо поставщиках? Какова максимальная доля отдельного поставщика больших данных и услуг на их основе в ключевых направлениях деятельности вашей организации? 4.   ビッグデータとそこから開発されたモデルを第三者のサービスプロバイダーに依存するリスクをどのように管理していますか?あなたの組織では、どのベンダーへの集中度が高まっていますか?あなたの組織のコアビジネスラインにおいて、個々のビッグデータおよびビッグデータを利用したサービスプロバイダーの最大シェアはどのくらいですか?
5.   Поддерживаете ли вы создание упомянутого свода принципов надлежащего использования больших данных финансовыми организациями? Какие ключевые пункты и принципы ваша организация считает целесообразным включить в указанный свод? 5.   金融機関がビッグデータを適切に利用するための一連の原則を制定することに賛成ですか?あなたの組織は、どのようなキーポイントや原則をこの一連の原則に含めることが適切だと考えますか?
6.   Какие иные меры регулирования в области использования больших данных ваша организация считает наиболее актуальными и целесообразными для разработки и имплементации? 6.   ビッグデータの利用に関するその他の規制措置として、貴組織はどのようなものを開発し、実施することが最も適切であると考えますか?
7.   Какую информацию ваша организация хотела бы получать в обезличенной форме для совершенствования использования больших данных? 7.   あなたの組織は、ビッグデータの活用を改善するために、どのような情報を匿名化して受け取りたいですか?
8.   Возможно ли, по мнению вашей организации, закрепление принципов работы с большими данными, в том числе этических принципов, на уровне стандартов СРО и профессиональных ассоциаций участников финансового рынка? 8.   あなたの組織の意見では、倫理原則を含むビッグデータを扱うための原則を、SROや金融市場参加者の専門家団体の基準に盛り込むことは可能ですか?

 

| | Comments (0)

2021.12.16

NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work (2nd Draft)

こんにちは、丸山満彦です。

NISTが、NISTIR 8355 NICE Framework Competencies: Assessing Learners for Cybersecurity Workについて第二ドラフトを公開し、コメントを募集していますね。。。

● NIST - ITL

・2021.12.15 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work (2nd Draft)

Announcement 発表
The National Initiative for Cybersecurity Education (NICE) has released a second draft of NISTIR 8355, NICE Framework Competencies: Assessing Learners for Cybersecurity Work. This supplemental content to the Workforce Framework for Cybersecurity (NICE Framework) elaborates on Competencies, which were re-introduced to the NICE Framework in 2020. National Initiative for Cybersecurity Education (NICE)は、NISTIR 8355「NICEフレームワークコンピテンシー:サイバーセキュリティ業務のための学習者の評価」の第2ドラフトを発表しました。サイバーセキュリティのためのコンピテンシーフレームワーク(NICEフレームワーク)のこの補足コンテンツは、2020年にNICEフレームワークに再導入されたコンピテンシーを詳しく説明しています。
The first draft was released in March 2021 along with an initial list of proposed Competency Areas. Feedback received on that first draft, conversations with NICE community members, and insights from workshops that brought together subject matter experts have matured our understanding of NICE Framework Competencies. The adjustments to this document are the result. In addition, we will be working with community stakeholders to further refine the proposed list of Competency Areas for release in 2022. Any subsequent draft(s) may be further adjusted, including the Competency Areas, their descriptions, and associated Task, Knowledge, and Skill (TKS) statements. 最初のドラフトは、提案されたコンピテンシー領域の初期リストとともに、2021年3月に発表されました。その最初のドラフトに寄せられたフィードバック、NICEコミュニティのメンバーとの会話、および特定分野の専門家を集めたワークショップからの洞察により、NICEフレームワークコンピテンシーに対する理解は成熟しました。この文書への調整はその結果です。さらに、2022年の公開に向けて、コミュニティ関係者と協力してコンピテンシー分野の提案リストをさらに洗練させる予定です。その後のドラフトでは、コンピテンシー領域、その説明、関連するタスク、知識、スキル(TKS)ステートメントを含め、さらに調整される可能性があります。
The public comment period for the second draft of NISTIR 8355 is open through January 31, 2022. Feedback will be used to inform the next stage of work on the NICE Competencies. We value and welcome your input and look forward to your comments.  NISTIR 8355の第2ドラフトに対するパブリックコメント期間は、2022年1月31日までです。ご意見は、NICEコンピテンシーに関する次の作業段階に反映されます。皆様からのご意見を大切にし、お待ちしております。 
Abstract 概要
This publication from the National Initiative for Cybersecurity Education (NICE) describes Competencies as included in the Workforce Framework for Cybersecurity (NICE Framework), NIST Special Publication 800-181, Revision 1, a fundamental reference for describing and sharing information about cybersecurity work. The NICE Framework defines Task, Knowledge, and Skill (TKS) statement building blocks that provide a foundation for learners, including students, job seekers, and employees. Competencies are provided as a means of applying those core building blocks by grouping related TKS statements to form a higher-level statement of competency. This document shares more detail about what Competencies are, including their evolution and development. Additionally, the publication provides example uses from various stakeholder perspectives. Finally, the publication identifies where the NICE Framework list of Competency Areas is published separate from this publication and provides the rationale for why they will be maintained as a more flexible and contemporary reference resource. サイバーセキュリティ教育のための国家イニシアティブ(NICE)が発行した本書は、サイバーセキュリティ業務に関する情報を記述・共有するための基本的な参考資料である「サイバーセキュリティのためのコンピテンシーフレームワーク(NICEフレームワーク)」(NIST Special Publication 800-181, Revision 1)に含まれるコンピテンシーについて解説しています。NICEフレームワークでは、学生、求職者、従業員などの学習者に基礎を提供するTKS(Task, Knowledge, Skill)ステートメントのビルディングブロックを定義しています。コンピテンシーは、関連するTKSステートメントをグループ化し、より高いレベルのコンピテンシーのステートメントを形成することで、これらのコアビルディングブロックを適用するための手段として提供されています。本書では、コンピテンシーの進化と発展を含め、コンピテンシーとは何かについて詳しく説明しています。また、様々なステークホルダーの視点から、コンピテンシーの使用例を紹介しています。最後に、NICEフレームワークのコンピテンシーリストが本書とは別に発行されていることを示し、より柔軟で現代的な参照リソースとして維持される理由を説明しています。

 

・[PDF]  NISTIR 8355 (Draft)

20211216-62818

 

Supplemental Material:

・[xls]  List of Competencies (draft)

・[web]  NICE Framework site

Related NIST Publications:

SP 800-181 Rev. 1

 


 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

内容については、こちらの方に少し詳しく載せています。。。

・2021.03.19 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work

2020.11.17 NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

2020.07.17 NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)

 

 

| | Comments (0)

より以前の記事一覧