パブコメ

2023.03.24

米国 FTC クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集

こんにちは、丸山満彦です。

米国のFTC(連邦取引委員会)が、クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集をおこなっていますね。。。

競争」に関する事項10問、「セキュリティ」に関する事項10問の合わせて、20問の質問事項があります。。。

こういう意見募集の仕方もありですね。。。これならウェブホームでもできそうですね。。。

 

U.S. Federal Trade Commission

・2023.03.22 FTC Seeks Comment on Business Practices of Cloud Computing Providers that Could Impact Competition and Data Security

FTC Seeks Comment on Business Practices of Cloud Computing Providers that Could Impact Competition and Data Security FTC、競争とデータセキュリティに影響を与える可能性のあるクラウドコンピューティング・プロバイダーのビジネス慣行に関するコメントを募集中
Agency staff seek comment on cloud computing impact on specific industries including healthcare, finance, transportation, e-commerce and defense クラウドコンピューティングが医療、金融、運輸、電子商取引、防衛など特定の産業に与える影響について意見を求める。
The Federal Trade Commission staff are seeking information on the business practices of cloud computing providers including issues related to the market power of these companies, impact on competition, and potential security risks. 連邦取引委員会のスタッフは、クラウドコンピューティングプロバイダーの市場力、競争への影響、潜在的なセキュリティリスクに関する問題を含め、クラウドコンピューティングプロバイダーのビジネス慣行に関する情報を求めている。
In a Request for Information, FTC staff are seeking information about the competitive dynamics of cloud computing, the extent to which certain segments of the economy are reliant on cloud service providers, and the security risks associated with the industry’s business practices. In addition to the potential impact on competition and data security, FTC staff are also interested in the impact of cloud computing on specific industries including healthcare, finance, transportation, e-commerce, and defense. FTCのスタッフは、Request for Informationの中で、クラウドコンピューティングの競争力学、経済の特定の分野がクラウドサービスプロバイダーに依存している程度、業界の商習慣に関連するセキュリティリスクに関する情報を求めている。FTCのスタッフは、競争やデータセキュリティへの潜在的な影響に加え、ヘルスケア、金融、輸送、電子商取引、防衛などの特定の業界におけるクラウドコンピューティングの影響にも関心を持っている。
“Large parts of the economy now rely on cloud computing services for a range of services,” said Stephanie T. Nguyen, the FTC’s Chief Technology Officer. “The RFI is aimed at better understanding the impact of this reliance, the broader competitive dynamics in cloud computing, and potential security risks in the use of cloud.” FTCの最高技術責任者であるStephanie T. Nguyenは、以下のようにのべている。「現在、経済の大部分は、さまざまなサービスにおいてクラウドコンピューティングサービスに依存している。今回のRFIは、この依存の影響、クラウドコンピューティングにおける広範な競争力学、クラウド利用における潜在的なセキュリティリスクをよりよく理解することを目的としている。」
Cloud computing, which is used by a wide range of industries for on-demand access to data storage, servers, networks, and more, is increasingly central to many areas of the economy. The agency has brought several cases against companies that failed to implement basic security safeguards to protect data they stored on third-party cloud computing services including recent cases involving the alcohol delivery platform Drizly and education technology provider Chegg. The FTC has also issued guidance to businesses on steps they can take to secure and protect data stored in the cloud. The RFI will allow the agency to gather more information and insights on cloud computing as a whole. データストレージ、サーバー、ネットワークなどへのオンデマンドアクセスのために幅広い産業で利用されているクラウドコンピューティングは、経済の多くの分野でますます中心的な存在になっている。FTCは、アルコール配送プラットフォームDrizlyや教育技術プロバイダーCheggに関する最近の事例を含め、第三者のクラウドコンピューティングサービスに保存するデータを保護するための基本的なセキュリティ保護措置を実施しなかった企業に対して、いくつかの訴訟を起こしている。また、FTCは、クラウドに保存されたデータを安全に保護するために企業が講じるべき措置に関するガイダンスを発表している。今回のRFIにより、同機関はクラウドコンピューティング全体に関するより多くの情報と洞察を収集することができる。
Among the topics the FTC is seeking comment on include: FTCがコメントを求めているテーマには、以下のようなものがある:
・the extent to which particular segments of the economy are reliant on a small handful of cloud service providers; ・経済界の特定の分野が、少数のクラウドサービスプロバイダーにどの程度依存しているか;
・the ability of cloud customers to negotiate their contracts with cloud providers or are experiencing take-it-or-leave it standard contracts; ・クラウド利用者がクラウドプロバイダーと契約交渉する能力、または標準的な契約を締結していること;
・incentives providers offer customers to obtain more of their cloud services from a single provider; ・プロバイダーが顧客に提供する、より多くのクラウドサービスを単一のプロバイダーから取得するためのインセンティブ;
・the extent to which cloud providers compete on their ability to provide secure storage for customer data; ・クラウドプロバイダーが顧客データの安全な保存を提供する能力でどの程度競争するか;
・the types of products or services cloud providers offer based on, dependent on, or related to artificial intelligence; and the extent to which those products or services are proprietary or provider agnostic; and ・クラウドプロバイダーが提供する、人工知能に基づく、依存する、または関連する製品またはサービスの種類、およびそれらの製品またはサービスが独自またはプロバイダーに依存しない程度、および
・the extent to which cloud providers identify and notify their customers of security risks related to security design, implementation, or configuration. ・クラウドプロバイダーが、セキュリティ設計、実装、構成に関連するセキュリティリスクをどの程度特定し、顧客に通知しているか。
The public will have until May 22, 2023 to submit a comment. Comments will be posted to Regulations.gov after they are submitted. 一般市民は、2023年5月22日までにコメントを提出することができる。コメントは提出後、Regulations.govに掲載される予定である。
Staff from across the FTC’s Office of Technology, Bureau of Competition, and Bureau of Consumer Protection are collaborating on this effort. この取り組みには、FTCの技術局、競争局、消費者保護局を横断するスタッフが協力している。
The Federal Trade Commission works to promote competition, and protect and educate consumers. You can learn more about consumer topics and report scams, fraud, and bad business practices online at ReportFraud.ftc.gov. Follow the FTC on social media, read our blogs and subscribe to press releases for the latest FTC news and resources. 連邦取引委員会は、競争を促進し、消費者を保護・教育するために活動している。ReportFraud.ftc.govでは、消費者トピックについて詳しく学び、詐欺、詐欺、悪質な商習慣をオンラインで報告することができる。FTCの最新ニュースやリソースを入手するには、ソーシャルメディアでFTCをフォローし、ブログを読み、プレスリリースを購読すること。
Press Release Reference 参照
FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People ・FTC、250万人分の個人情報を流出させたセキュリティ障害でオンラインアルコール市場に対する命令を確定
FTC Finalizes Order with Ed Tech Provider Chegg for Lax Security that Exposed Student Data ・FTC、セキュリティが甘く学生データが流出したEd TechプロバイダーCheggに最終命令を下す

 

Reaulations.gov

・2023.03.22 Solicitation for Public Comments on the Business Practices of Cloud Computing Providers

・[PDF]

20230324-80455


質問部分...

Solicitation for Public Comments on the Business Practices of Cloud Computing Providers  クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集について 
The staff of the Federal Trade Commission is inviting public comments about the practices of Cloud Computing Providers and their impact on end users, customers, companies, and other businesses across the economy. FTC staff is studying a wide array of issues related to market power, business practices affecting competition, and potential security risks. Staff is also interested in cloud computing with respect to specific industries, including but not limited to healthcare, finance, transportation, eCommerce, and defense. For these specific sectors or more broadly, are there particular market dynamics shaping business practices that affect competition and consumer protection in cloud computing services? If so, what influences are shaping these market dynamics?  連邦取引委員会のスタッフは、クラウド・コンピューティング・プロバイダーの慣行と、それがエンドユーザー、顧客、企業、および経済界全体のその他のビジネスに与える影響についてパブリックコメントを募集している。FTCスタッフは、市場支配力、競争に影響を与えるビジネス慣行、潜在的なセキュリティ・リスクに関する幅広い問題を研究している。また、ヘルスケア、金融、運輸、電子商取引、防衛など、特定の産業に関するクラウドコンピューティングにも関心を寄せている。これらの特定分野、またはより広範な分野において、クラウドコンピューティングサービスの競争と消費者保護に影響を与えるビジネス慣行を形成する特定の市場力学が存在するか?もしそうなら、どのような影響がこれらの市場力学を形成しているのか?
Questions  質問 
Market Power and Business Practices Affecting Competition  市場パワーと競争に影響を与えるビジネス慣行 
1.     What are the different layers of cloud computing (e.g., infrastructure, platform, software)? To what extent do cloud providers specialize within a layer or operate at multiple layers?    1.     クラウドコンピューティングの様々なレイヤー(例:インフラ、プラットフォーム、ソフトウェア)とは何か?クラウドプロバイダーは、どのレイヤーに特化しているか、あるいは複数のレイヤーで事業を展開しているか?  
2.     Do cloud providers continue to invest sufficient resources in research and development?  In which areas are cloud providers investing in most heavily, and why?  Are there areas in which cloud providers have not invested sufficient resources, and if so, why?   2.     クラウドプロバイダーは、研究開発に十分な資源を投入し続けているか? クラウドプロバイダーはどの分野に最も多く投資しているか、またその理由は何か? クラウドプロバイダーが十分なリソースを投資していない分野はあるか、またその場合はなぜか? 
3.     What are the competitive dynamics within and across the different layers of cloud computing? How does service quality vary between providers operating at one layer vs. providers operating at multiple layers?  3.     クラウドコンピューティングの異なるレイヤー間における競争力学はどのようなものか?1つのレイヤーで運営するプロバイダーと複数のレイヤーで運営するプロバイダーでは、サービス品質にどのような違いがあるのか?
4.     What practices do cloud providers use to enhance or secure their position in any layer of cloud computing? What practices are used by cloud providers that operate at multiple layers to entrench or enhance their position? What are the effects of those practices on competition, including on cloud providers who do not operate at multiple layers?  4.     クラウドプロバイダーは、クラウドコンピューティングのどのレイヤーにおいても、自らの地位を向上させたり、確保したりするためにどのような慣行を用いているのか?複数のレイヤーで事業を展開するクラウドプロバイダーは、自らの地位を確立したり強化したりするために、どのような慣行を用いているのか?そのような慣行は、複数のレイヤーで運用されていないクラウドプロバイダーを含め、競争にどのような影響を与えるか?
5.     To what extent are cloud customers able to negotiate their contracts with cloud providers? To what extent are customers experiencing take-it-or-leave-it standard contracts? How does the ability to negotiate depend on the size of the customer, the sensitivity of the data, the purpose for which the data will be used, or other factors?  5.     クラウド利用者はクラウドプロバイダーとの契約についてどの程度交渉することができるのか?顧客はどの程度、「取るか取らないか」の標準的な契約を経験しているのか?交渉の可否は、顧客の規模、データの機密性、データの使用目的、その他の要因にどのように依存するか?
6.     What incentives are cloud providers offering to customers to obtain more of the cloud services they need from a single provider? Are cloud providers linking, tying, or bundling their cloud services with other services?  6.     クラウドプロバイダーは、顧客が必要とするクラウドサービスの多くを単一のプロバイダーから取得するために、顧客に対してどのようなインセンティブを提供しているか?クラウドプロバイダーは、自社のクラウドサービスを他のサービスと連携させたり、抱き合わせたり、バンドルしたりしているか?
7.     What are the trends in pricing practices used by cloud providers? How have pricing practices made it easier or more difficult for customers of cloud services to understand and control the amount of money they spend on cloud services?  7.     クラウドプロバイダーが採用している価格設定の傾向はどのようなものか?クラウドサービスの顧客がクラウドサービスに費やす金額を理解し、コントロールすることを、価格設定によってどのように容易に、あるいは難しくしているか?
8.     To what extent do cloud providers offer products based on open-source software?    8.     クラウド事業者は、どの程度、オープンソースソフトウェアに基づく製品を提供しているか?  
a)     What is the impact of such offerings on competition?   a) そのような製品の提供は、競争にどのような影響を与えるか? 
b)     How have recent changes to the terms of open-source licenses affected cloud providers’ ability to offer products based on open-source software?  b) オープンソースライセンスの条件に対する最近の変更は、オープンソースソフトウェアに基づく製品を提供するクラウドプロバイダーの能力にどのような影響を与えたか?
9.     What types of products or services do cloud providers offer based on, dependent on, or related to artificial intelligence (AI)? To what extent are AI products or services dependent on the cloud provider they are built on, or are they cloud-agnostic? How does the use of AI affect competition among cloud providers today and into the future?  9.     クラウドプロバイダーは、人工知能(AI)に基づく、依存する、または関連するどのような種類の製品またはサービスを提供しているか?AI製品やサービスは、どの程度、それらが構築されるクラウドプロバイダーに依存しているか、あるいはクラウドに依存しないか?AIの利用は、現在および将来のクラウドプロバイダー間の競争にどのような影響を与えるか?
10.  What barriers (e.g., contractual, technological, or other), if any, exist to offering services that compete with individual services offered by cloud infrastructure providers (e.g., hosted databases, Content Delivery Networks, etc.)? What costs do cloud customers face in:  10.  クラウドインフラプロバイダーが提供する個々のサービス(例:ホスト型データベース、コンテンツデリバリーネットワークなど)と競合するサービスを提供する上で、契約上、技術上、その他の障壁があるとすれば、それはどのようなものであるか?クラウドの顧客は、以下のようなコストに直面する: 
a)     switching software services?   a) ソフトウェア・サービスを切り替えること? 
b)     using multiple cloud providers?  b) 複数のクラウドプロバイダーを利用する場合?
c)     porting their data from one cloud provider to another? How important is data portability to competition and to entry?  c) データをあるクラウドプロバイダーから別のクラウドプロバイダーに移行する場合、どのようなコストがかかるか?データのポータビリティは、競争や参入にとってどの程度重要か?
Security Risks  セキュリティリスク 
11.  To what extent are particular segments of the economy reliant on a small handful of cloud service providers and what are the data security impacts of this reliance?  11.  経済の特定の分野が、どの程度、一握りのクラウドサービスプロバイダーに依存しているか、また、この依存がデータセキュリティに与える影響は何か。
12.  Do cloud providers compete on their ability to provide secure storage for customer data?  Do cloud providers compete on the understandability of the user interface or APIs used to configure security and access features to avoid inadvertent exposure of customer data?  12.  クラウドプロバイダーは、顧客データの安全な保存を提供する能力で競争しているか? クラウドプロバイダーは、顧客データの不用意なエクスポージャーを避けるために、セキュリティやアクセス機能を設定するために使用するユーザーインターフェースやAPIの分かりやすさで競争しているか?
13.  What diligence regarding data security do potential customers conduct when selecting a cloud provider?  13.  潜在的な顧客は、クラウドプロバイダーを選択する際に、データセキュリティに関してどのような注意を払うか?
14.  What representations do cloud providers make to their customers about data security or interoperability? What information do cloud providers provide to potential customers such that potential customers can evaluate the providers’ security measures and interoperability capabilities?  14.  クラウドプロバイダーは、データセキュリティや相互運用性に関して、顧客に対してどのような表明をしているか?クラウド事業者は、潜在的な顧客が事業者のセキュリティ対策や相互運用性を評価できるように、潜在的な顧客にどのような情報を提供しているか?
15.  Do cloud vendors provide types of customers with different information during diligence than they provide to other types of customers? If so, does this vary by contracts or contractual provisions, or by their ability to monitor their performance and security?  15.  クラウドベンダーは、ディリジェンスの際に、ある種の顧客に対して、他のタイプの顧客に提供するのとは異なる情報を提供するか?もしそうなら、それは契約や契約条項によって、あるいは性能やセキュリティを監視する能力によって異なるか?
16.  Under what circumstances do cloud vendors identify security risks related to their customers’ security design or implementation/configuration (e.g., a publicly accessible data store containing personal information) and notify customers of that risk?   16.  クラウドベンダーは、どのような状況下で、顧客のセキュリティ設計又は実装・構成(例えば、個人情報を含む一般にアクセス可能なデータストア)に関連するセキュリティリスクを特定し、そのリスクについて顧客に通知するか。 
a)     How frequently does this occur?  a) これはどれくらいの頻度で発生するのか?
b)     In this scenario, when and how does the vendor notify the customer?  b) このシナリオでは、ベンダーはいつ、どのように顧客に通知するか。
17.  What effect does security-related regulation (e.g., GLBA Safeguards Rule, HIPAA Security Rule, etc.) have on market dynamics?  17.  セキュリティ関連の規制(GLBA Safeguards Rule、HIPAA Security Ruleなど)は、市場力学にどのような影響を与えるか。
18.  Can companies comply with contractual obligations to do due diligence on the security of third party cloud providers to whom they entrust information to ensure that those third party cloud providers implement appropriate security measures, and to monitor third party cloud providers’ security on an ongoing basis? If so, how do companies do this due diligence?   18.  企業は、情報を預ける第三者のクラウドプロバイダーのセキュリティについてデューデリジェンスを行い、その第三者のクラウドプロバイダーが適切なセキュリティ対策を実施していることを確認し、第三者のクラウドプロバイダーのセキュリティを継続的に監視するという契約上の義務を遵守できるか。その場合、企業はどのようにこのデューデリジェンスを行うのか。 
19.  How is responsibility for the security of consumers’ personal information allocated between cloud vendors and cloud customers (e.g., allocated by standardized vendor-provided contract or by custom contract)?    19.  消費者の個人情報のセキュリティに関する責任は、クラウドベンダーとクラウド顧客の間でどのように配分されるか(例えば、ベンダーが提供する標準的な契約によって配分されるか、カスタム契約によって配分されるか)。  
a)     How is this allocation conveyed in specific contractual provisions?  a) 具体的な契約条項の中で、この配分はどのように伝えられているか。
b)     Is this allocation of responsibility clear? If not, why?  b) この責任分担は明確か。そうでない場合、その理由は?
c)     Is this allocation of responsibility effective at protecting the information? Why?  c) この責任分担は、情報の保護に有効か?なぜか?
20.  How is responsibility for responding to a breach of data stored in the cloud or other security incident allocated between cloud vendors and customers (e.g., allocated by standardized vendorprovided contract or by custom contract)?    20.  クラウド上に保存されたデータの漏洩やその他のセキュリティインシデントに対応する責任は、クラウドベンダーと顧客の間でどのように配分されているか(例えば、ベンダーが提供する標準的な契約やカスタム契約によって配分される)。  
a)     How is this allocation conveyed in specific contractual provisions?   a) 具体的な契約条項の中で、この割り当てはどのように伝えられているか。 
b)     Is this allocation of responsibility clear? If not, why?  b) この責任分担は明確か。そうでない場合、その理由は?
c)     Is this allocation of responsibility effective at facilitating prompt and legally-compliant data breach response? Why?  c) この責任分担は、迅速かつ法令に準拠したデータ侵害への対応を促進する上で有効か。なぜか?

| | Comments (0)

2023.03.22

ENISA 輸送セクターのサイバー脅威状況

こんにちは、丸山満彦です。

ENISAが輸送に関するサイバー脅威の状況についてまとめた報告書を公表していますね。。。

この報告書は、2021年1月から2022年10月までのサイバーインシデントから航空、海上、鉄道、道路交通を標的としたサイバー攻撃を分析し、運輸セクターのサイバー脅威の実態に新たな洞察(主要な脅威、アクター、トレンド)をもたらすことを目的としているものとのことです。。。

ENISA

・2023.03.21 ENISA Transport Threat Landscape

ENISA Transport Threat Landscape ENISA 輸送の脅威状況
his report is the first analysis conducted by the European Union Agency for Cybersecurity (ENISA) of the cyber threat landscape of the transport sector in the EU. The report aims to bring new insights into the reality of the transport sector by mapping and studying cyber incidents from January 2021 to October 2022. It identifies prime threats, actors and trends based on the analysis of cyberattacks targeting aviation, maritime, railway and road transport over a period of almost 2 years. 本報告書は、欧州連合サイバーセキュリティ機関(ENISA)が、EUにおける運輸部門のサイバー脅威の状況について初めて実施した分析である。本報告書は、2021年1月から2022年10月までのサイバーインシデントをマッピングして研究することにより、運輸部門の実態に新たな洞察をもたらすことを目的としている。約2年間にわたる航空、海上、鉄道、道路交通を標的としたサイバー攻撃の分析に基づき、主要な脅威、アクター、トレンドを特定している。

 

・[PDF] ENISA Transport Threat Landscape

 

20230322-63446

目次...

CONTENTS  目次 
1. INTRODUCTION 1. 序文
2. CYBER THREATS TO THE TRANSPORT SECTOR 2. 運輸部門におけるサイバー脅威
2.1 OBSERVED ACTIVITY 2.1 観測された活動
2.2 PRIME THREATS 2.2 主要な脅威
2.3 THREAT ACTORS & MOTIVATION 2.3 脅威アクターと動機
2.4 IMPACT 2.4 影響
3. SECTOR ANALYSIS 3. セクター分析
3.1 AVIATION SECTOR 3.1 航空セクター
3.2 MARITIME SECTOR 3.2 海事セクター
3.3 RAILWAY SECTOR 3.3 鉄道セクター
3.4 ROAD SECTOR 3.4 道路セクター
3.5 CROSS SECTOR ATTACKS 3.5 クロスセクターアタック
4. CONCLUSIONS 4. 結論
ANNEX: MAJOR INCIDENTS 附属書:重大インシデント



エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This is the first analysis conducted by the European Union Agency for Cybersecurity (ENISA) of the cyber threat landscape of the transport sector in the EU. The report aims to bring new insights into the reality of the transport sector by mapping and studying cyber incidents from January 2021 to October 2022. It identifies prime threats, actors and trends based on the analysis of cyberattacks targeting aviation, maritime, railway and road transport over a period of almost 2 years.  本報告書は、欧州連合サイバーセキュリティ機関(ENISA)が、EUにおける運輸部門のサイバー脅威の状況について実施した初の分析である。本報告書は、2021年1月から2022年10月までのサイバーインシデントをマッピングして研究することにより、運輸部門の実態に新たな洞察をもたらすことを目的としている。約2年間にわたる航空、海運、鉄道、道路交通を標的としたサイバー攻撃の分析に基づき、主要な脅威、アクター、トレンドを特定している。
During this period, the prime threats identified include:  この期間、特定された主要な脅威は以下の通りである。
ransomware attacks (38%),  ・ランサムウェア攻撃(38%)。
data related threats (30%),  ・データ関連の脅威(30%)。
malware (17%),  ・マルウェア(17%)。
• denial-of-service (DoS), distributed denial-of-service (DDoS) and ransom denial-of-service (RDoS) attacks (16%),  ・サービス拒否(DoS)攻撃、分散型サービス拒否(DDoS)攻撃、身代金要求型サービス拒否(RDoS)攻撃 (16%), 
phishing / spear phishing (10%),  ・フィッシング/スピアフィッシング(10%)。
supply-chain attacks (10%).  ・サプライチェーン攻撃(10%)。
During the reporting period, the threat actors with the biggest impact on the sector were state-sponsored actors, cybercriminals and hacktivists. We observed the following trends:  報告期間中、このセクターに最も大きな影響を与えた脅威の主体は、国家的な支援を受けたアクター、サイバー犯罪者、ハクティビストでした。以下のような傾向が見られた。
• Ransomware attacks became the prominent threat against the sector in 2022. Ransomware has been steadily increasing[1] and the transport sector has been affected similarly to the other sectors.  ・ランサムウェア攻撃は、2022年に同セクターに対する顕著な脅威となった。ランサムウェアは着実に増加しており[1]、輸送セクターも他のセクターと同様の影響を受けている。
• Cybercriminals are responsible for the majority of attacks on the transport sector (54%), and they target all subsectors.   ・サイバー犯罪者は輸送セクターへの攻撃の大部分(54%)を担っており、すべてのサブセクターを標的にしている。 
• Threat actors will increasingly conduct ransomware attacks with not only monetary motivations1.   ・脅威の主体は,金銭的な動機だけでなく,ランサムウェア攻撃を行うことがますます増えていくでしょう1。
• The increased hacktivist activity targeting the transport sector is likely to continue.  ・運輸部門を標的としたハクティビスト活動の活発化は今後も続くと思われる。
• The increasing rate of DDoS attacks targeting the transport sector is likely to continue.  ・運輸部門を標的としたDDoS攻撃の割合が増加していることは,今後も続くと考えられる。
• The main targets of DDoS attacks by hacktivists are European airports, railways and transport authorities.  ・ハクティビストによるDDoS攻撃の主な標的は,ヨーロッパの空港,鉄道,交通機関である。
• During this reporting period, we did not receive reliable information on a cyberattack affecting the safety of transport.  ・この報告期間中,輸送の安全に影響を与えるサイバー攻撃に関する信頼できる情報は得られなかった。
• The majority of attacks on the transport sector target information technology (IT) systems. Operational disruptions can occur as a consequence of these attacks, but the operational technology (OT) systems are rarely being targeted.   ・運輸部門に対する攻撃の大半は、情報技術(IT)システムを標的としている。これらの攻撃の結果、業務上の混乱が生じることがあるが、運用技術(OT)システムが狙われることはほとんどありません。 
• Ransomware groups will likely target and disrupt OT operations in the foreseeable future1.   ・ランサムウェアグループは,当面の間,OTオペレーションを標的とし,混乱させる可能性が高いでしょう1。
The aviation sector is facing multiple threats, with data-related threats being the most prominent, coupled by ransomware and malware. Customer data of airlines and proprietary information of original equipment manufacturers (OEM) are the prime targeted assets of the sector. In 2022, there has been a rise in the number of ransomware attacks affecting airports. Fraudulent websites impersonating airlines have become a significant threat in 2022.   航空分野は複数の脅威に直面しており、中でもデータ関連の脅威は、ランサムウェアやマルウェアと相まって最も顕著である。航空会社の顧客データやOEM(相手先ブランド製造)の専有情報は、この分野の主要な標的資産となっている。2022年には、空港に影響を及ぼすランサムウェア攻撃の数が増加している。2022年には、航空会社を装った詐欺的なウェブサイトが重要な脅威となっている。 
The maritime sector experiences ransomware, malware, and phishing attacks targeted towards port authorities, port operators, and manufacturers. State-sponsored attackers often carry out politically motivated attacks leading to operational disruptions at ports and vessels.   海事分野では、港湾局、港湾事業者、メーカーを標的としたランサムウェア、マルウェア、フィッシング攻撃が発生している。国家が支援する攻撃者は、政治的な動機で攻撃を行うことが多く、港湾や船舶の運用に支障をきたしている。 
The railway sector also experiences ransomware and data-related threats primarily targeting IT systems like passenger services, ticketing systems, and mobile applications, causing service disruptions. Hacktivist groups have been conducting DDoS attacks against railway companies with an increasing rate, primarily due to Russia's invasion of Ukraine.   鉄道分野でも、主に旅客サービス、発券システム、モバイルアプリケーションなどのITシステムを標的としたランサムウェアやデータ関連の脅威が発生しており、サービスの中断を引き起こしている。ハクティビスト集団は、主にロシアのウクライナ侵攻の影響で、鉄道会社に対してDDoS攻撃を行う割合が増加している。 
The road transport sector faces predominantly ransomware attacks, followed by data-related threats and malware. Automotive industry, especially OEM and tier-X suppliers, has been targeted by ransomware leading to production disruptions. Data-related threats primarily target IT systems to acquire customer and employee data as well as proprietary information.  道路交通セクターは、主にランサムウェア攻撃に直面しており、次いでデータ関連の脅威やマルウェアに直面している。自動車産業、特にOEMやTier-Xサプライヤーは、生産中断につながるランサムウェアの標的になっている。データ関連の脅威は、主にITシステムを標的として、顧客や従業員のデータ、専有情報を取得するものである。
There is a limited number of cyber incidents that cannot be placed in one specific subsector. These include general campaigns targeting the whole transportation sector in particular countries. These campaigns are often attributed to hacktivists and state-sponsored actors and are linked to geopolitical tensions.   特定のサブセクターに分類できないサイバーインシデントの数は限られている。これには、特定の国の運輸部門全体を標的とした一般的なキャンペーンが含まれる。このようなキャンペーンは、ハクティビストや国家に支援された行為者に起因することが多く、地政学的な緊張と関連している。 
The report also highlights issues with the reporting of cyber incidents and the fact that we still have limited knowledge and information regarding such incidents. The analysis in this report indicates that publicly disclosed incidents are just the tip of the iceberg.  また、本報告書では、サイバーインシデントの報告に関する問題や、そうしたインシデントに関する知識や情報がまだ限られているという事実も強調している。本報告書の分析は、公に開示されたインシデントは氷山の一角に過ぎないことを示している。
[1] ENISA Threat Landscape 2022  [1】ENISA 脅威状況 2022

 

結論...

4. CONCLUSIONS  4. 結論
In this report, we have performed a deep dive into the threat landscape of a particular sector, namely the transport sector. While the annual ENISA threat landscapes include sectorial analysis, the documents do not analyse the context of each sector in depth. In this report, we have tried to shed more light in the types of incidents, the actor motivations, the affected assets, the victims and the potential impacts to the transport sector. This information is often sector specific and can provide more valuable information for risk management to the cybersecurity professionals in the transport sector.  本報告書では、特定のセクター、すなわち運輸セクターの脅威ランドスケープについて深堀りを行いました。ENISAが毎年発表している脅威ランドスケープには、セクター別の分析が含まれているが、各セクターの背景を深く分析したものではありません。本報告書では、インシデントの種類、行為者の動機、影響を受ける資産、被害者、輸送部門への潜在的な影響について、より多くの光を当てることを試みました。このような情報は、多くの場合、セクター特有のものであり、運輸セクターのサイバーセキュリティ専門家にリスクマネジメントのためのより価値のある情報を提供することができます。
Ransomware attacks became the most significant threat against the sector during 2022, surpassing datarelated threats, which were the most significant threat in 2021  ランサムウェア攻撃は、2022年中に同セクターに対する最も重大な脅威となり、2021年に最も重大な脅威であったデータ関連脅威を上回った 
. However, it is still assessed that ransomware groups remain opportunistic and relatively indiscriminate in their targeting. Recent months do not indicate that there has been any particular focus on the transport sector relative to other sectors. Ransomware has been steadily increasing[1] and the transport sector has been affected similarly to the other sectors.  . しかし、ランサムウェアグループは依然として日和見的であり、比較的無差別に標的を定めていると評価されている。ここ数カ月は、他のセクターと比較して、運輸セクターに特別な焦点が当てられていることを示すものではありません。ランサムウェアは着実に増加しており[1]、運輸部門も他の部門と同様に影響を受けている。
Our assessment is that threat actors will increasingly conduct ransomware attacks with not only monetary motivations66. An example is the ransomware attack by Belarusian hacktivists against the Belarusian state railway in January 2022[2]. Hacktivists will likely be attracted by the effectiveness and the impact that ransomware attacks can have and the media attention they attract. The scale and sophistication of hacktivists’ ransomware operations are not expected to be as high as the ones conducted by cybercriminals. Finally, governmental organisations are very likely the primary targets of hacktivists’ ransomware operations.  私たちの評価では、脅威の主体が金銭的な動機だけでなく、ランサムウェア攻撃を行うことがますます増えていくだろうと考えている66。その例として、2022年1月にベラルーシのハクティビストがベラルーシ国鉄に対して行ったランサムウェア攻撃がある[2]。ハクティビストは、ランサムウェア攻撃がもたらす効果や影響、メディアの注目を集めることに魅力を感じているのだろう。ハクティビストのランサムウェア作戦の規模や洗練度は、サイバー犯罪者が行うものほど高くはないと予想される。最後に、ハクティビストのランサムウェア作戦の主な標的は、政府組織である可能性が非常に高い。
The significant increase in hacktivist activity, which followed Russia’s unprovoked invasion of Ukraine, and the increasing rate of DDoS attacks are highly likely to continue. Hacktivist elements with pro-Russian/antiNATO sentiments have been conducting DDoS attacks. These attacks targeted several European nations, perceived by the groups to be assisting Ukraine in its war effort. This increasing volume of DDoS attacks against the European transport sector was primarily observed in Q2 and Q3 2022. The main targets were European airports, railways and transport authorities. Several examples are listed below (see Annex for further information).  ロシアのウクライナへの無謀な侵攻に伴うハクティビストの活動の大幅な増加や、DDoS攻撃の増加傾向は、今後も続く可能性が高いと思われる。親ロシア・反NATOの感情を持つハクティビスト集団がDDoS攻撃を実施している。これらの攻撃は、ウクライナを支援していると思われる欧州諸国を標的としている。ヨーロッパの輸送部門に対するこのDDoS攻撃の増加量は、主に2022年第2四半期と第3四半期に観測された。主な標的は、欧州の空港、鉄道、交通当局であった。いくつかの例を以下に示します(詳細については附属書を参照)。
• In April 2022 pro-Russia hacker group Killnet claimed to be behind attacks on Romanian government websites, including railway transport operator CFR Calatori68 ・2022年4月、親ロシア派のハッカーグループKillnetが、鉄道輸送事業者CFR Calatori68を含むルーマニア政府のウェブサイトへの攻撃の背後にいると主張した。
• In May 2022 Czechia’s Directorate of Roads and Highways was targeted with DDoS attacks by Killnet, resulting in disruption to web-based services[3].  ・2022年5月、チェコの道路・高速道路総局がKillnetによるDDoS攻撃の標的となり、ウェブベースのサービスに支障をきたす結果となった[3]。
• In May 2022 Several Italian transport organisations were targeted with DDoS attacks by Legion - Cyber Spetsnaz RF[4].  ・2022年5月、イタリアのいくつかの輸送機関がLegion ・Cyber Spetsnaz RFによるDDoS攻撃の標的にされた[4]。
• In June 2022 Killnet claimed to have disrupted the website of Lithuanian Railways, preventing passengers from purchasing train tickets online[5].  ・2022年6月、Killnetはリトアニア鉄道のウェブサイトを破壊し、乗客がオンラインで列車のチケットを購入できないようにしたと主張している[5]。
• In June 2022 Latvian passenger train company SJSC was targeted with DDoS attacks, likely by pro-Russian hacktivists[6].  ・2022年6月、ラトビアの旅客鉄道会社SJSCは、親ロシア派のハクティビストによるものと思われるDDoS攻撃で標的にされた[6]。
• In July 2022 NoName057 targeted two Lithuanian airports with DDoS attacks[7].  ・2022年7月、NoName057はリトアニアの2つの空港をDDoS攻撃の標的にした[7]。
• In August 2022 Killnet claimed responsibility for attacks to more than 200 state and private Estonian institutions, including Estonia Railways[8].  ・2022年8月、Killnetは、エストニア鉄道を含む200以上のエストニアの国営および民間機関への攻撃の責任を主張した[8]。
• In August 2022 a pro-Russia hacker group known as the Cyber Army of Russia targeted the Ukrainian government’s Department of Transport Safety.  ・2022年8月、Cyber Army of Russiaとして知られる親ロシア派のハッカー集団が、ウクライナ政府の交通安全局を標的とした。
Even though pro-Russian hacktivists continue to target transport organisations in Ukraine and neighbouring countries, the capabilities of most pro-Russian hacktivists remain low and are largely limited to DDoS and defacement attacks. On the other hand, hacktivists supporting Ukraine have been conducting DDoS and ‘hack and leak’ operations. Some examples include the following.  親ロシア派のハッカー集団がウクライナや近隣諸国の交通機関を標的にし続けているとはいえ、ほとんどの親ロシア派のハッカー集団の能力は依然として低く、DDoS攻撃や改ざん攻撃にほぼ限定されている。一方、ウクライナを支援するハクティビストは、DDoSや「ハック&リーク」作戦を展開している。その例として、以下のようなものがある。
• In March 2022 hacktivist collective Anonymous (presumably) carried out an attack on the Russian Federal Air Transport Agency, deleting approximately 65 terabytes of data[9].  ・2022年3月、ハクティビスト集団アノニマス(推定)は、ロシア連邦航空輸送庁に対して攻撃を行い、約65テラバイトのデータを削除した[9]。
• In April 2022 Anonymous-linked group GhostSec claimed to have accessed an IT system of Metrospetstekhnika[10].  ・2022年4月、アノニマスに連なるグループGhostSecが、MetrospetstekhnikaのITシステムにアクセスしたと主張[10]。
• In August 2022 Anonymous claimed to have hacked Yandex Taxi, causing a massive traffic jam in Moscow[11].  ・2022年8月、AnonymousはYandex Taxiをハッキングしたと主張し、モスクワで大規模な交通渋滞を引き起こした[11]。
• In September 2022 transport in Novosibirsk was affected as hacker security group Team Onefist disrupted traffic[12].  ・2022年9月には、ハッカーセキュリティグループTeam Onefistが交通を妨害したため、ノボシビルスクの輸送に影響が出た[12]。
The majority of attacks to the transport sector target IT systems and can result in operational disruptions. However, we have not received reliable information on a cyber-attack affecting the safety of transport.   運輸部門への攻撃の大半はITシステムを標的としており、業務に支障をきたす可能性がある。しかし、輸送の安全に影響を与えるサイバー攻撃に関する信頼できる情報は得られていない。 
Ransomware groups will likely target and disrupt OT operations in the foreseeable future66. The factors contributing to this assessment are:   ランサムウェアグループは、予見可能な将来において、OTオペレーションを標的とし、混乱させる可能性が高い66。この評価の要因は以下の通りである。 
• the ongoing digital transformation in the transport sector and the increased connectivity between IT and OT networks;  ・輸送部門におけるデジタル変革の進行と,ITとOTのネットワーク間の接続性の向上。
• the increased urgency to pay ransom to avoid any critical business and social impact;  ・ビジネスや社会への重大な影響を回避するために身代金を支払う緊急性が高まっていること。
• the ongoing rebranding of ransomware groups, which increases the chances of malware blending and the development of capabilities to target and disrupt OT networks;  ・ランサムウェアグループのブランド再構築が進んでいるため,マルウェアが混在し,OTネットワークを標的として破壊する能力が開発される可能性が高まっていること。
• Russia’s military aggression against Ukraine, as ransomware groups are taking sides and are likely to conduct retaliatory attacks against critical western infrastructure;  ・ロシアのウクライナに対する軍事侵攻。ランサムウェアグループが味方となり,西側の重要なインフラに対して報復攻撃を行う可能性が高いためである。
• the increase in the number of newly identified vulnerabilities in OT environments.  ・OT環境において新たに特定された脆弱性の数の増加。
The analysis of the ransomware threat landscape from May 2021 to June 2022 resulted in some conclusions that can be regarded as lessons for the community.  2021年5月から2022年6月までのランサムウェアの脅威状況を分析した結果、コミュニティにとっての教訓とみなせる結論がいくつか得られた。
While we have not observed notable attacks on global positioning systems, the potential effect of this type of threat to the transport sector remains a concern. Jamming and spoofing of geolocation data could affect their availability and integrity, affecting transport sector operations. This type of attack requires further analysis in the future.  全地球測位システムに対する目立った攻撃は観測されていませんが、この種の脅威が輸送部門に及ぼす潜在的な影響については、依然として懸念がある。地理位置情報データの妨害やなりすましは、その可用性と完全性に影響を与え、運輸部門の業務に影響を与える可能性がある。この種の攻撃は、今後さらに分析が必要である。
When it comes to mitigating threats which target the transport sector, readers may consult the recommendations and security measures included in Annex D of the ENISA Threat Landscape 2022[13]. For each threat type, specific recommendations are provided and mapped to security measures that are part of international standards used by entities under the NIS Directive, including transport organizations[14].   運輸部門を標的とする脅威の軽減に関しては、読者はENISA Threat Landscape 2022[13]の附属書Dに含まれる推奨事項とセキュリティ対策を参考にすることができます。脅威の種類ごとに、具体的な推奨事項が提示され、輸送機関を含むNIS指令に基づく事業者が使用する国際標準の一部であるセキュリティ対策にマッピングされている[14]。 
In general, cyberattacks are rarely reported, especially those with non-significant impact or near misses. Most organisations prefer to deal with the problem internally and avoid bad publicity. Some countries have laws regulating the mandatory reporting of incidents, but in most cases a security attack is first disclosed by the attacker. In the EU, the arrival of the revised NIS2 directive[15] and the enhanced notification provisions for security incidents is expected to support a better understanding of relevant incidents.  一般に、サイバー攻撃はほとんど報告されず、特に重大でない影響やニアミスが報告されることが多い。ほとんどの組織は、問題を内部で処理し、悪い評判を避けることを好む。インシデントの報告義務化を規制する法律がある国もあるが、ほとんどの場合、セキュリティ攻撃は攻撃者が最初に公表するものである。EUでは、改正NIS2指令[15]の登場とセキュリティインシデントの通知規定の強化により、関連するインシデントの理解を深める支援が期待されている。
The lack of reliable data from targeted organisations makes it very hard to fully understand the problem or even know how many cyberattacks on the transport sector actually occur. Even using the data from the web pages of threat actors (an undeniably unreliable source), it is very hard to keep track of the actual number of attacks. The most important information that is missing is the technical explanation as to how the attackers obtained access to the targets. This is usually private data that describes the security posture of the target, so it is never shared with the public. As a consequence, our learning as a community of the problems to be solved remains fragmented and isolated.  標的となる組織からの信頼できるデータがないため、問題を完全に理解することは非常に困難であり、運輸部門に対するサイバー攻撃が実際にどれだけ発生しているのかさえ知ることができない。脅威行為者のウェブページからのデータ(紛れもなく信頼できないソース)を使用しても、実際の攻撃回数を把握することは非常に困難である。欠落している最も重要な情報は、攻撃者がターゲットへのアクセスをどのように獲得したかに関する技術的な説明である。これは通常、ターゲットのセキュリティ態勢を説明するプライベートなデータであるため、一般に共有されることはない。その結果、解決すべき問題についてのコミュニティとしての学習は、断片的で孤立したままになっている。
Moreover, the effects of cross sector dependencies could be of particular interest to the transport sector. We would require a more detailed analysis of how cyberattacks targeting the energy and telecommunications sectors could affect transport or how an attack on one means of transport could cause a disruption to another means of transport.  さらに、セクターを超えた依存関係の影響は、運輸セクターにとって特に興味深いものである可能性がある。エネルギーや通信部門を標的としたサイバー攻撃がどのように輸送に影響を与えるか、あるいはある輸送手段への攻撃がどのように別の輸送手段に混乱をもたらすかについて、より詳細な分析が必要だろう。

 

[1] ENISA Threat Landscape 2022. https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[2] https://www.infosecurity-magazine.com/news/belarus-activists-fire-ransomware/; https://www.wired.com/story/belarus-railways-ransomware-hack-cyber-partisans/; https://www.railway-technology.com/news/belarusian-railway-cyber-breach/

68 https://www.romania-insider.com/romania-state-websites-cyberattack-2022

[3] https://english.radio.cz/cyber-agency-says-attack-czech-states-road-and-motorway-directorate-encoded-data-8751033

[4] https://www.wired.it/article/attacco-cyber-russia-italia-legion-ministero-polizia/

[5] https://www.lrt.lt/en/news-in-english/19/1728365/major-incidents-contained-after-lithuania-gets-hit-with-massive-cyber-attacks

[6] https://www.apollo.lv/7535816/ddos-uzbrukumu-del-trauceta-pasazieru-vilciena-bilesu-tirdznieciba-uznemuma-majaslapa 

[7] https://www.lrt.lt/en/news-in-english/19/1728365/major-incidents-contained-after-lithuania-gets-hit-with-massive-cyber-attacks  

[8] https://www.ohtuleht.ee/1068880/kuberrunnakus-sai-pihta-ka-eesti-raudtee

[9] https://www.aviacionline.com/2022/03/cyber-attack-on-russias-aviation-authority-this-is-what-we-know/

[10] https://securityaffairs.co/wordpress/130409/hacktivism/anonymous-hacked-other-russian-organizations.html

[11] https://securityaffairs.co/wordpress/135280/hacktivism/anonyomus-hacked-yandex-taxi.html

[12] https://www.ibtimes.com/russians-novosibirsk-forced-pound-pavements-team-onefist-paralyzes-traffic-exclusive-3611628

[13] ENISA Threat Landscape 2022 https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[14] Minimum Security Measures for Operators of Essentials Services https://www.enisa.europa.eu/topics/nis-directive/minimum-security-measures-foroperators-of-essentials-services

[15] https://digital-strategy.ec.europa.eu/en/news/commission-welcomes-political-agreement-new-rules-cybersecurity-network-and-information-systems

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.08 ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

| | Comments (0)

2023.03.19

NIST SP 800-219r1(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

こんにちは、丸山満彦です。

NISTがSP 800-219 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンスの改訂版についてのドラフトを公表し、意見募集(2023.04.27まで) をしています。OSのバージョンアップに合わせて変更していかないといけないので、大変ですね。。。

NIST - ITL

・2023.03.13 macOS Configuration Guidance from the mSCP: Draft NIST SP 800-219r1 Available for Comment

macOS Configuration Guidance from the mSCP: Draft NIST SP 800-219r1 Available for Comment mSCPによるmacOS設定ガイダンス:NIST SP 800-219r1ドラフトがコメント受付中である。
NIST requests comments on the initial public draft of Special Publication (SP) 800-219r1, Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP). It provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. NISTは、特別出版物 (SP) 800-219r1「macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス」の初期公開草案に対するコメントを求めている。 本書は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ責任者、監査人が、macOSであるクトップおよびラップトップシステムのセキュリティを自動化した方法で確保し評価するために活用できるリソースを提供する。
This publication introduces the mSCP, describes use cases for leveraging the mSCP content, and introduces a new feature of the mSCP that allows organizations to customize security rules more easily. The draft also gives an overview of the resources available on the project’s GitHub site, which provides practical, actionable recommendations in the form of secure baselines and associated rules and is continuously updated to support each new release of macOS. 本書では、mSCPを紹介し、mSCPのコンテンツを活用するためのユースケースを説明し、組織がより簡単にセキュリティルールをカスタマイズできるmSCPの新機能を紹介する。また、ドラフトでは、プロジェクトのGitHubサイトで利用できるリソースの概要を説明している。このリソースは、セキュアベースラインと関連ルールの形で実用的で実行可能な推奨事項を提供し、macOSの新しいリリースごとにサポートするために継続的に更新される。

 

・2023.03.13 SP 800-219 Rev. 1 (Draft) Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP)

SP 800-219 Rev. 1 (Draft) Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP) SP 800-219 Rev.1(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス
Announcement 発表
This draft revision of NIST SP 800-219 provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. NIST SP 800-219のこのドラフト改訂版は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ担当者、監査人が、macOSであるクトップおよびラップトップシステムのセキュリティを自動で確保し評価するために活用できるリソースを提供する。
This publication introduces the mSCP, describes use cases for leveraging the mSCP content, and introduces a new feature of the mSCP that allows organizations to customize security rules more easily. The draft also gives an overview of the resources available on the project’s GitHub site, which provides practical, actionable recommendations in the form of secure baselines and associated rules and is continuously updated to support each new release of macOS. 本書では、mSCPを紹介し、mSCPのコンテンツを活用するためのユースケースを説明し、組織がセキュリティルールをより簡単にカスタマイズできるmSCPの新機能を紹介している。また、このドラフトでは、プロジェクトのGitHubサイトで利用できるリソースの概要を説明している。このリソースは、セキュアベースラインと関連ルールの形で実用的で実行可能な推奨事項を提供し、macOSの新しいリリースごとにサポートするために継続的に更新される。
Abstract 概要

The macOS Security Compliance Project (mSCP) provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. This publication introduces the mSCP and gives an overview of the resources available from the project’s GitHub site, which is continuously curated and updated to support each new release of macOS. The GitHub site provides practical, actionable recommendations in the form of secure baselines and associated rules. This publication also describes use cases for leveraging the mSCP content. Updates from the previous version of this publication mainly involve the new mSCP capability to create a custom benchmark by tailoring a baseline.

macOS セキュリティ・コンプライアンス・プロジェクト(mSCP)は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ担当者、監査人が、macOSのであるクトップおよびラップトップシステムのセキュリティを自動で確保し評価するために活用できるリソースを提供する。本書では、mSCPを紹介し、プロジェクトのGitHubサイトで利用できるリソースの概要を説明する。このサイトは、macOSの新しいリリースをサポートするために継続的にキュレーションと更新が行われている。GitHubサイトでは、セキュアベースラインと関連ルールの形で、実用的で実行可能な推奨事項を提供している。また、本書では、mSCPのコンテンツを活用するためのユースケースについても説明している。本書の前バージョンからの更新点は、ベースラインをカスタマイズしてカスタムベンチマークを作成する新しいmSCP機能に関するものである。

 

・[PDF] SP 800-219 Rev. 1 (Draft)

20230318-225247

 

目次...

1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的および範囲
1.2. Audience 1.2. 想定読者
1.3. Relevance to NIST SP 800-70 and the National Checklist Program 1.3. NIST SP 800-70及びナショナルチェックリストプログラムとの関連性
1.4. Document Structure 1.4. 文書構造
2. Project Description 2. プロジェクト概要
2.1. Project Goals 2.1. プロジェクトの目標
2.2. mSCP Content Use 2.2. mSCPコンテンツ利用
3. mSCP Components 3.mSCPの構成要素
3.1. Baselines and Benchmarks 3.1. ベースラインとベンチマーク
3.2. Security Baseline Files 3.2. セキュリティベースラインファイル
 3.2.1. Rule File Composition  3.2.1. ルールファイルの構成
 3.2.2. Rule File Categories  3.2.2. ルールファイルのカテゴリ
3.3. Configuration Profiles and Scripts 3.3. コンフィギュレーション・プロファイルとスクリプト
3.4. Content Generation Scripts 3.4. コンテンツ生成スクリプト
 3.4.1. Generate Baseline Script  3.4.1. ベースライン・スクリプトを生成する
 3.4.2. Generate Guidance Script  3.4.2. ガイダンススクリプトを生成する
 3.4.3. macOS Security Compliance Tool  3.4.3. macOSセキュリティコンプライアンスツール
 3.4.4. SCAP Generation Script  3.4.4. SCAP生成スクリプト
 3.4.5. Generate Mapping Script  3.4.5. マッピングスクリプトを生成する
3.5. Customization 3.5. カスタマイズ
3.6. Directories 3.6. ディレクトリー
References 参考文献
Appendix A. mSCP User Roles 附属書A mSCPのユーザーロール
Appendix B. Example of mSCP Usage by a Security Professional 附属書B.セキュリティ専門家によるmSCPの活用例
Appendix C. Example of Creating a Benchmark Using ODVs 附属書C.ODVを用いたベンチマーク作成例
Appendix D. Example of mSCP Usage by an Assessment Tool Vendor 附属書D.評価ツールベンダーによるmSCPの使用例
Appendix E. List of Symbols, Abbreviations, and Acronyms 附属書E.記号・略語・頭字語リスト
Appendix F. Change Log 附属書F.変更履歴

 

1. Introduction  1. 序文 
The National Institute of Standards and Technology (NIST) has traditionally published secure configuration guides for Apple desktop/laptop operating system versions as prose-based Special Publications (SPs), such as NIST SP 800-179, Revision 1, Guide to Securing Apple macOS 10.12 Systems for IT Professionals: A NIST Security Configuration Checklist. In order to provide security configuration guidance to organizations more quickly and in a machine-consumable format, NIST established the open-source macOS Security Compliance Project (mSCP). NIST no longer produces SP guidance documents for each macOS release; instead, the mSCP continuously curates and updates machine-consumable macOS guidance. The latest macOS security baseline content is maintained and updated on the mSCP GitHub page [1].  米国国立標準技術研究所(NIST)は、従来からAppleのであるクトップ/ラップトップOSのバージョンに対応した安全な設定ガイドを、NIST SP 800-179、改訂1、IT専門家のためのApple macOS 10.12 Systemsの安全確保のためのガイドなどの散文ベースの特別出版物(SP)として発行している。A NIST Security Configuration Checklist」など、散文ベースの特別刊行物(SP)として提供されている。NISTは、セキュリティ構成ガイダンスをより迅速に、かつ機械消費型のフォーマットで組織に提供するため、オープンソースのmacOS Security Compliance Project (mSCP)を設立しました。NISTは、macOSのリリースごとにSPガイダンス文書を作成しなくなりました。その代わりに、mSCPは、機械消費型のmacOSガイダンスを継続的にキュレーションして更新する。最新のmacOSセキュリティベースラインの内容は、mSCPのGitHubページで管理・更新されている[1]。
Security baselines are groups of settings used to configure a system to meet a target level or set of requirements or to verify that a system complies with requirements. The mSCP seeks to simplify the macOS security development cycle by reducing the amount of effort required to implement security baselines. This collaboration between federal agencies minimizes duplicate effort that would otherwise be needed for these agencies to administer individual security baselines. Additionally, the secure baseline content provided is easily extensible by other parties to implement their own security requirements.  セキュリティベースラインは、目標レベルや一連の要件を満たすようにシステムを構成するため、またはシステムが要件に準拠していることを検証するために使用する設定グループである。mSCPは、セキュリティベースラインの実装に必要な労力を削減することで、macOSのセキュリティ開発サイクルを簡素化することを目指している。この連邦政府機関間の協力により、これらの機関が個別のセキュリティベースラインを管理するために必要な重複した労力を最小限に抑えることがである。さらに、提供されるセキュアベースラインのコンテンツは、他の関係者が独自のセキュリティ要件を実装するために容易に拡張可能である。
Organizations using mSCP content, particularly security baseline examples, should take a riskbased approach for selecting the appropriate settings and defining values that consider the context under which the baseline will be utilized.  mSCPのコンテンツ、特にセキュリティベースラインの例を使用する組織は、リスクベースのアプローチで適切な設定を選択し、ベースラインが使用されるコンテキストを考慮した値を定義する必要がある。
1.1. Purpose and Scope  1.1. 目的及び範囲 
The purpose of this document is to introduce the mSCP to broader audiences. This document provides a high-level overview of the mSCP, its components, and some common use cases. It refers readers to the online project documentation for in-depth technical information and use instructions. This document is intended to be independent of macOS version releases; updates will be released as needed when there are substantial changes to the mSCP. Updates from the previous release of this document mainly involve the new mSCP capability to create a custom benchmark by tailoring a baseline.  本書は、mSCP をより多くの人に紹介することを目的とする。本書では、mSCP の概要、構成要素、および一般的な使用例について説明する。詳細な技術情報や使用方法については、オンライン・プロジェクト・ドキュメントを参照すること。本書は、macOSのバージョンに依存しないことを意図している。mSCPに大きな変更があった場合は、必要に応じてアップデートを行いる。このドキュメントの以前のリリースからの更新は、主にベースラインを調整することによってカスタムベンチマークを作成する新しいmSCP機能に関するものである。
The information in this document regarding the details of the mSCP GitHub site is accurate as of the time of publication. Readers seeking the latest detailed information on mSCP content or the content itself should visit the mSCP GitHub page and wiki.  本書に記載されているmSCPのGitHubサイトの詳細情報は、公開時点の情報である。mSCPコンテンツやコンテンツ自体の最新の詳細情報を知りたい読者は、mSCP GitHubページおよびwikiを参照すること。
Organizations that need to reference a NIST SP to demonstrate how they are complying with United States Government mandates for adopting secure configurations for their macOS devices may reference this SP instead of its deprecated predecessors, such as SP 800-179 or SP 800-179, Revision 1.  macOSデバイスに安全な設定を採用するための米国政府の義務に準拠していることを示すためにNIST SPを参照する必要がある組織は、SP 800-179やSP 800-179、 Revision 1などの非推奨の前身ではなく、本SPを参照である。
1.2. Audience  1.2. 想定読者
This document and the mSCP GitHub site are intended for system administrators, security professionals, policy authors, privacy officers, and auditors who have responsibilities involving macOS security. Additionally, vendors of device management, security, configuration assessment, and compliance tools that support macOS may find this document and the GitHub site to be helpful.  この文書と mSCP GitHub サイトは、macOS のセキュリティに関わる責任を持つシステム管理者、セキュリティ専門家、ポリシー作成者、プライバシー担当者、監査人を対象としている。さらに、macOS をサポートするデバイス管理、セキュリティ、構成評価、およびコンプライアンスツールのベンダーは、この文書と GitHub サイトを参考にすることができる。
1.3. Relevance to NIST SP 800-70 and the National Checklist Program  1.3. NIST SP 800-70およびNational Checklist Programとの関連性 
The security baselines from the mSCP GitHub page are included in the National Checklist Program. NIST SP 800-70, Revision 4 [2], explains that federal agencies are required to use appropriate security configuration checklists from the National Checklist Program when available. Part 39 of the Federal Acquisition Regulations, Section 39.101 paragraph (c) states,  mSCP GitHub ページのセキュリティベースラインは、National Checklist Program に含まれている。NIST SP 800-70、Revision 4 [2]では、連邦政府機関は、National Checklist Programの適切なセキュリティ構成チェックリストが利用できる場合は、それを使用することが求められると説明している。連邦調達規則のパート39、セクション39.101パラグラフ(c)には次のように書かれている。
In acquiring information technology, agencies shall include the appropriate information technology security policies and requirements, including use of common security configurations available from the National Institute of Standards and Technology’s website at https://checklists.nist.gov. Agency contracting officers should consult with the requiring official to ensure the appropriate standards are incorporated.  情報技術を取得する際、各省庁は、米国国立標準技術研究所のウェブサイト(https://checklists.nist.gov)から入手できる共通セキュリティ構成の使用を含む、適切な情報技術セキュリティ方針および要件を含めるものとする。省庁の契約担当者は、適切な規格が組み込まれていることを確認するために、必要な職員と相談する必要がある。
1.4. Document Structure  1.4. 文書の構造 
The remaining sections and appendices of this document are as follows:  本書の残りのセクションと附属書は、以下の通りである。
• Section 2 provides an overview of the project, including what its goals are and how its content can be used.  ・セクション 2 では、プロジェクトの目標やコンテンツの利用方法など、プロジェクトの概要について説明する。
• Section 3 explains the major components of the mSCP and provides pointers to additional information on component usage.  ・セクション 3 では、mSCP の主要なコンポーネントを説明し、コンポーネントの使用方法に関する追加情報へのポインタを提供する。
• The References section lists the references for the document.  ・参考文献では、この文書の参考文献をリストアップしている。
• Appendix A briefly discusses how mSCP can help meet the needs of people in several roles.  ・附属書Aは、mSCP がいくつかの役割の人々のニーズを満たすのにどのように役立つかを簡単に説明している。
• Appendix B provides examples of how a security professional might use mSCP content.  ・附属書Bは、セキュリティ専門家がmSCPのコンテンツをどのように使用するかの例を示している。
• Appendix C contains an example of how an assessment tool vendor could leverage mSCP content.  ・附属書Cは、評価ツールベンダーがmSCPのコンテンツをどのように活用するかの例を示している。
• Appendix D lists selected acronyms and abbreviations used in this document.  ・附属書Dは、本書で使用する頭字語および略語の一覧である。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.19 NIST SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

 

| | Comments (0)

2023.03.17

米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案

こんにちは、丸山満彦です。

証券市場も重要インフラの一部に指定されているため、市場関係者(ブローカー・ディーラー、主要証券スワップ参加者、全国証券協会、全国証券取引所等)に対する新しいサイバーセキュリティに関する規制案をだしましたね。。。パブリックコメントにかけられるようです。。。

 

SEC

・2023.03.15 SEC Proposes New Requirements to Address Cybersecurity Risks to the U.S. Securities Markets

SEC Proposes New Requirements to Address Cybersecurity Risks to the U.S. Securities Markets SEC、米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を提案
The Securities and Exchange Commission today proposed requirements for broker-dealers, clearing agencies, major security-based swap participants, the Municipal Securities Rulemaking Board, national securities associations, national securities exchanges, security-based swap data repositories, security-based swap dealers, and transfer agents (collectively, “Market Entities”) to address their cybersecurity risks. 証券取引委員会は本日、ブローカー・ディーラー、清算機関、主要証券スワップ参加者、地方証券規則制定委員会、全国証券協会、全国証券取引所、証券スワップデータレポジトリ、証券スワップディーラー、振替機関(総称して「市場関係者」)に対し、サイバーセキュリティリスクへの対応を求める提案を行った。
“I am pleased to support this proposal because, if adopted, it would set standards for Market Entities’ cybersecurity practices,” said SEC Chair Gary Gensler. “The nature, scale, and impact of cybersecurity risks have grown significantly in recent decades. Investors, issuers, and market participants alike would benefit from knowing that these entities have in place protections fit for a digital age. This proposal would help promote every part of our mission, particularly regarding investor protection and orderly markets.” SECのGary Gensler委員長は、以下のように述べている。「本提案が採択されれば、市場参加者のサイバーセキュリティ対策に基準を設けることができるため、本提案を支持できることを嬉しく思う。サイバーセキュリティリスクの性質、規模、影響は、ここ数十年で著しく拡大していまう。投資家、発行体、市場参加者は、これらの事業体がデジタル時代にふさわしい保護措置を講じていることを知ることで、同様に利益を得ることができる。この提案は、特に投資家保護と秩序ある市場に関する、我々の使命のあらゆる部分を促進するのに役立つだろう。」
Market Entities increasingly rely on information systems to perform their functions and provide their services and thus are targets for threat actors who may seek to disrupt their functions or gain access to the data stored on the information systems for financial gain. Cybersecurity risk also can be caused by the errors of employees, service providers, or business partners. The interconnectedness of Market Entities increases the risk that a significant cybersecurity incident can simultaneously impact multiple Market Entities causing systemic harm to the U.S. securities markets. 市場参加者は、その機能を果たし、サービスを提供するために、ますます情報システムに依存しているため、その機能を妨害したり、金銭的利益を得るために情報システムに保存されているデータにアクセスしようとする脅威者のターゲットとなっている。また、サイバーセキュリティリスクは、従業員、サービスプロバイダー、ビジネスパートナーのミスによっても引き起こされる可能性がある。市場参加者が相互に関連しているため、重大なサイバーセキュリティ事件が同時に複数の市場参加者に影響を与え、米国証券市場にシステミックな損害を与えるリスクが高まっている。
The proposal would require all Market Entities to implement policies and procedures that are reasonably designed to address their cybersecurity risks and, at least annually, review and assess the design and effectiveness of their cybersecurity policies and procedures, including whether they reflect changes in cybersecurity risk over the time period covered by the review. The proposal — through new notification requirements applicable to all Market Entities and additional reporting requirements applicable to Market Entities other than certain types of small broker-dealers (collectively, “Covered Entities”) — would improve the Commission’s ability to obtain information about significant cybersecurity incidents affecting these entities. Further, new public disclosure requirements for Covered Entities would improve transparency about the cybersecurity risks that can cause adverse impacts to the U.S. securities markets. 本提案は、すべての市場関係者に対して、サイバーセキュリティリスクに対処するために合理的に設計された方針と手続きを導入し、少なくとも年1回、サイバーセキュリティ方針と手続きの設計と有効性を見直し、評価すること(見直し対象期間中のサイバーセキュリティリスクの変化を反映しているかどうかを含む)を求めるものである。この提案は、すべての市場関係者に適用される新たな通知要件と、特定の種類の小規模ブローカー・ディーラー以外の市場関係者(以下、総称して「対象事業者」)に適用される追加報告要件を通じて、これらの事業者に影響を及ぼす重大なサイバーセキュリティ事件に関する情報を得るための欧州委員会の能力を向上させる。さらに、対象事業者に対する新たな公開要件は、米国証券市場に悪影響を及ぼす可能性のあるサイバーセキュリティリスクに関する透明性を向上させるだろう。
The proposing release will be published in the Federal Register. The public comment period will remain open until 60 days after the date of publication of the proposing release in the Federal Register. 提案リリースは、連邦官報に掲載される予定である。パブリックコメント期間は、提案リリースが連邦官報に掲載された日から60日後までとなります。

 

・[PDF] Fact Sheet

20230317-70444

 

Addressing Cybersecurity Risks to the U.S. Securities Markets 米国証券市場に対するサイバーセキュリティリスクへの対応
The Securities and Exchange Commission proposed a new rule, form, and related amendments to require entities that perform critical services to support the fair, orderly, and efficient operations of the U.S. securities markets to address their cybersecurity risks. The new requirements would apply to broker-dealers, the Municipal Securities Rulemaking Board, clearing agencies, major security-based swap participants, national securities associations, national securities exchanges, security-based swap data repositories, security-based swap dealers, and transfer agents (collectively, “Market Entities”). 証券取引委員会は、米国証券市場の公正、秩序、効率的な運営を支える重要なサービスを行う事業者に対して、サイバーセキュリティリスクへの対応を求める新規則、様式、および関連する改正案を提案しました。この新しい要件は、ブローカー・ディーラー、地方証券規則制定委員会、清算機関、主要な証券ベーススワップ参加者、全国証券協会、全国証券取引所、証券ベーススワップのデータ保管機関、証券ベーススワップのディーラー、振替機関(総称して「市場関係者」)に対して適用される予定である。
Why This Matters  なぜこれが重要なのか 
The U.S. securities markets are part of the Financial Services Sector, one of the sixteen critical infrastructure sectors “whose assets, systems, and networks, whether physical or virtual, are considered so vital to the United States that their incapacitation or destruction would have a debilitating effect on security, national economic security, national public health or safety, or any combination thereof,” according to the Cybersecurity and Infrastructure Security Agency. The Financial Services Sector increasingly is being attacked by cyber threat actors who use constantly evolving and sophisticated tactics, techniques, and procedures to cause harmful cybersecurity incidents. This poses a serious risk to the U.S. securities markets. The proposal is designed to address and mitigate this risk by requiring Market Entities to take measures to protect themselves and investors from the harmful impacts of cybersecurity incidents.  米国の証券市場は金融サービス部門の一部であり、サイバーセキュリティおよびインフラセキュリティ庁によれば、「その資産、システム、およびネットワークは、物理的か仮想的かを問わず、米国にとって非常に重要であると考えられ、その無能力化または破壊は、安全、国家経済安全、国家公衆衛生もしくは安全、またはそれらの任意の組み合わせに衰弱効果を与える」重要インフラ部門の16の1つである。金融サービス部門は、常に進化し、洗練された戦術、技術、手順を用いて有害なサイバーセキュリティ事件を引き起こすサイバー脅威行為者からますます攻撃されている。これは、米国の証券市場に深刻なリスクをもたらしている。本提案は、市場関係者がサイバーセキュリティ事件の有害な影響から自身と投資家を保護するための措置を講じることを義務付けることで、このリスクに対処し、軽減することを目的としている。
How This New Rule and Form Would Apply  この新しいルールとフォームの適用方法 
Proposed new Rule 10 would require all Market Entities to establish, maintain, and enforce written policies and procedures that are reasonably designed to address their cybersecurity risks. All Market Entities also, at least annually, would be required to review and assess the design and effectiveness of their cybersecurity policies and procedures, including whether they reflect changes in cybersecurity risk over the time period covered by the review. All Market Entities also would need to give the Commission immediate written electronic notice of a significant cybersecurity incident upon having a reasonable basis to conclude that the significant cybersecurity incident had occurred or is occurring.  提案された新規則10は、すべての市場参加者に対し、サイバーセキュリティリスクに対処するために合理的に設計された書面による方針および手続きを確立し、維持し、実施することを求める。また、すべての市場参加者は、少なくとも年1回、サイバーセキュリティの方針と手続きの設計と有効性をレビューし、レビューの対象となる期間中のサイバーセキュリティリスクの変化を反映しているかどうかを含め、評価することが求められる。また、すべての市場参加者は、重大なサイバーセキュリティ・インシデントが発生した、または発生していると結論づける合理的な根拠がある場合、直ちに電子文書で委員会に通知する必要がある。
Market Entities—other than certain types of small broker-dealers—would be subject to additional requirements under proposed new Rule 10 as “Covered Entities.”  特定の種類の小規模ブローカー・ディーラー以外の市場関係者は、「対象事業者」として、提案された新しい規則10の下で追加の要件を受けることになる。
First, the proposed rule would require Covered Entities to adopt policies and procedures to address cybersecurity risks would need to specifically include the following:  まず、本規則案では、サイバーセキュリティリスクに対処するための方針および手続を採用することを対象事業者に求めており、具体的には以下の事項を含む必要がある。
•       Periodic assessments of cybersecurity risks associated with the Covered Entity’s information systems and written documentation of the risk assessments;  ・対象事業者の情報システムに関連するサイバーセキュリティリスクの定期的な評価と,リスク評価の文書化。
•       Controls designed to minimize user-related risks and prevent unauthorized access to the Covered Entity’s information systems;  ・ユーザー関連のリスクを最小化し,対象事業者の情報システムへの不正アクセスを防止するために設計された統制。
•       Measures designed to monitor the Covered Entity’s information systems and protect the Covered Entity’s information from unauthorized access or use, and oversee service providers that receive, maintain, or process information or are otherwise permitted to access the Covered Entity’s information systems;  ・対象事業者の情報システムを監視し,対象事業者の情報を不正なアクセスまたは使用から保護し,情報を受領,維持,処理するサービスプロバイダを監督し,その他対象事業者の情報システムへのアクセスを許可されるように設計された対策。
•       Measures to detect, mitigate, and remediate any cybersecurity threats and vulnerabilities with respect to the Covered Entity’s information systems; and  ・対象事業者の情報システムに関するサイバーセキュリティの脅威および脆弱性を検出,軽減および是正するための措置。
•       Measures to detect, respond to, and recover from a cybersecurity incident and procedures to create written documentation of any cybersecurity incident and the response to and recovery from the incident.  ・サイバーセキュリティインシデントの検出,対応,回復のための措置,およびサイバーセキュリティインシデント,インシデントへの対応,回復のための書面を作成する手続き。
Second, after providing immediate written electronic notice of a significant cybersecurity incident, Covered Entities would need to report to the Commission and update information about the significant cybersecurity incident by filing Part I of proposed Form SCIR. The form would elicit information about the significant cybersecurity incident and the Covered Entity’s efforts to respond to and recover from the incident.  第二に、重大なサイバーセキュリティ・インシデントを電子的に書面で即時通知した後、対象事業者は、提案されているフォームSCIRのパートIを提出することにより、重大なサイバーセキュリティ・インシデントに関する情報を委員会に報告し更新する必要がある。このフォームでは、重大なサイバーセキュリティインシデントと、そのインシデントに対応し回復するための対象事業者の取り組みに関する情報を引き出すことになる。
Third, the proposal would require Covered Entities to publicly disclose summary descriptions of their cybersecurity risks and the significant cybersecurity incidents they experienced during the current or previous calendar year on Part II of proposed Form SCIR. A Covered Entity would need to file the form with the Commission and post it on its website. Covered Entities that are carrying or introducing broker-dealers would also need to provide the form to customers at account opening, when information on the form is updated, and annually.  第三に、本提案は、対象事業者に対し、Form SCIRのパートIIにおいて、サイバーセキュリティリスクの概要説明と、現在または前暦年に経験した重要なサイバーセキュリティインシデントを公に開示することを要求するものである。対象事業者は、このフォームを欧州委員会に提出し、そのウェブサイトに掲載する必要がある。また、証券会社や紹介会社である対象事業者は、口座開設時、フォームの情報が更新されたとき、および毎年、顧客にフォームを提供する必要がある。
Additional Information:  追加情報 
The public comment period will remain open until 60 days after the date of publication of the proposing release in the Federal Register.  パブリックコメント期間は、連邦官報に提案リリースが掲載された日から60日後までである。

 

 

| | Comments (0)

2023.03.15

経済産業省 総務省 デジタル庁「電子政府における調達のために参照すべき暗号のリスト」(CRYPTREC暗号リスト)の改定案に対する意見募集 (2023.03.08)

こんにちは、丸山満彦です。

「電子政府における調達のために参照すべき暗号のリスト」(CRYPTREC暗号リスト)の改定案に対する意見募集が行われていますね。。。

 

● 経済産業省

・2023.03.08 「電子政府における調達のために参照すべき暗号のリスト」(CRYPTREC暗号リスト)の改定案に対する意見募集

・[PDF

20230315-63956

 

● 総務省

・2023.03.08 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」の改定案に対する意見募集

・[PDF]

 

● デジタル庁

・2023.03.08 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」の改定に対する意見募集を行います

・[PDF]

e-Gov

・2023.03.08 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」の改定に対する意見募集

・[PDF]

 

CRYPTREC

・2023.03.08 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」(案)に係る意見募集について

 

暗号技術検討会資料

・2023.03.08 2022年度第1回 

・・[PDF]  議事概要

・・[PDF] 資料

20230315-64523

 

 

| | Comments (0)

2023.03.11

NIST ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と防御の分類と用語集

こんにちは、丸山満彦です。

NISTがAIに対する攻撃と防御の分類と用語についての報告書のドラフトを公開し、意見募集をしていますね。。。

AIとセキュリティ・プライバシーの接点という感じですかね。。。

2020年のサイバー犯罪に関する白浜シンポジウムで私が発表した内容の一部を精緻にしたような感じかもです。。。

 

NIST - ITL

・2023.03.08 Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations | NIST Draft Available for Comment

 

Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations | NIST Draft Available for Comment 敵対的な機械学習:攻撃と防御の分類と用語|NIST 意見募集中
The initial public draft of NIST AI 100-2 (2003 edition), Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations, is now available for public comment. NIST AI 100-2(2003年版)「敵対的機械学習」の初期パブリックドラフト:攻撃と防御の分類と用語の解説」のパブリックコメントを募集している。
This NIST report on artificial intelligence (AI) develops a taxonomy of attacks and mitigations and defines terminology in the field of adversarial machine learning (AML). Taken together, the taxonomy and terminology are meant to inform other standards and future practice guides for assessing and managing the security of AI systems by establishing a common language for understanding the rapidly developing AML landscape. Future updates to the report will likely be released as attacks, mitigations, and terminology evolve. 人工知能(AI)に関するこのNISTの報告書は、敵対的機械学習(AML)の分野における攻撃と緩和の分類法を開発し、用語を定義している。この分類法と用語は、急速に発展しているAMLの状況を理解するための共通言語を確立することで、AIシステムのセキュリティを評価・管理するための他の標準や将来の実践ガイドを提供することを目的としている。攻撃、緩和策、用語の進化に伴い、将来的に報告書の更新が発表される可能性がある。
NIST is specifically interested in comments on and recommendations for the following topics: NISTは、特に以下のトピックに関するコメントや提言に関心を寄せている。
・What are the latest attacks that threaten the existing landscape of AI models? ・AIモデルの既存の状況を脅かす最新の攻撃は何か?
・What are the latest mitigations that are likely to withstand the test of time? ・時の試練に耐える可能性の高い最新の緩和策とは何か?
・What are the latest trends in AI technologies that promise to transform the industry/society? What potential vulnerabilities do they come with? What promising mitigations may be developed for them? ・業界/社会の変革を約束するAI技術の最新トレンドは何か?それらにはどのような潜在的な脆弱性があるのか?それらに対して、どのような有望な緩和策が開発される可能性があるのか?
・Is there new terminology that needs standardization? ・標準化が必要な新しい用語はあるか?

 

・2023.03.08 White Paper NIST AI 100-2e2023 (Draft) Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations

White Paper NIST AI 100-2e2023 (Draft) Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と防御の分類と用語集
Announcement 発表
This NIST report on artificial intelligence (AI) develops a taxonomy of attacks and mitigations and defines terminology in the field of adversarial machine learning (AML). Taken together, the taxonomy and terminology are meant to inform other standards and future practice guides for assessing and managing the security of AI systems by establishing a common language for understanding the rapidly developing AML landscape. Future updates to the report will likely be released as attacks, mitigations, and terminology evolve. 人工知能(AI)に関するこのNISTの報告書は、敵対的機械学習(AML)分野における攻撃と緩和策の分類法を開発し、用語を定義している。この分類法と用語は、急速に発展しているAMLの状況を理解するための共通言語を確立することにより、AIシステムのセキュリティを評価・管理するための他の標準や将来の実践ガイドを提供することを目的としている。攻撃、緩和策、用語の進化に伴い、将来的に報告書の更新が発表される可能性がある。
NIST is specifically interested in comments on and recommendations for the following topics: NISTは、特に以下のトピックに関するコメントや提言に関心を寄せている。
・What are the latest attacks that threaten the existing landscape of AI models? ・AIモデルの既存の状況を脅かす最新の攻撃は何か?
・What are the latest mitigations that are likely to withstand the test of time? ・時の試練に耐える可能性の高い最新の緩和策とは何か?
・What are the latest trends in AI technologies that promise to transform the industry/society? What potential vulnerabilities do they come with? What promising mitigations may be developed for them? ・業界/社会の変革を約束するAI技術の最新トレンドは何か?それらにはどのような潜在的な脆弱性があるのか?それらに対して、どのような有望な緩和策が開発される可能性があるのか?
・Is there new terminology that needs standardization? ・標準化が必要な新しい用語はあるか?
NIST intends to keep the document open for comments for an extended period of time to engage with stakeholders and invite contributions to an up-to-date taxonomy that serves the needs of the public.  NISTは、この文書を長期間コメント募集し、ステークホルダーと関わり、人々のニーズに応える最新の分類法への貢献を呼びかけたいと考えている。 
Abstract 概要
This NIST AI report develops a taxonomy of concepts and defines terminology in the field of adversarial machine learning (AML). The taxonomy is built on survey of the AML literature and is arranged in a conceptual hierarchy that includes key types of ML methods and lifecycle stage of attack, attacker goals and objectives, and attacker capabilities and knowledge of the learning process. The report also provides corresponding methods for mitigating and managing the consequences of attacks and points out relevant open challenges to take into account in the lifecycle of AI systems. The terminology used in the report is consistent with the literature on AML and is complemented by a glossary that defines key terms associated with the security of AI systems and is intended to assist non-expert readers. Taken together, the taxonomy and terminology are meant to inform other standards and future practice guides for assessing and managing the security of AI systems, by establishing a common language and understanding of the rapidly developing AML landscape. この NIST AI 報告書は、敵対的機械学習(AML)の分野における概念の分類法を開発し、用語を定義している。この分類法は、AMLの文献の調査に基づいて構築されており、主要なML手法の種類と攻撃のライフサイクル段階、攻撃者の目標と目的、攻撃者の能力と学習プロセスに関する知識を含む概念階層に整理されている。また、攻撃の結果を緩和・管理するための対応方法を示し、AIシステムのライフサイクルで考慮すべき関連するオープンな課題を指摘している。本報告書で使用されている用語は、AMLに関する文献と一致しており、AIシステムのセキュリティに関連する主要な用語を定義し、専門家でない読者を支援することを目的とした用語集によって補完されている。この分類法と用語集は、急速に発展しているAMLの状況について共通の言語と理解を確立することにより、AIシステムのセキュリティを評価・管理するための他の標準や将来の実践ガイドに情報を提供することを目的としている。

 

・[PDF]

20230310-180445

 

目次...

Audience 想定読者
Background 背景
Trademark Information 商標情報
How to read this document 本書の読み方
Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
2. Attack Classification 2. 攻撃の分類
2.1. Stages of Learning 2.1. 学習のステージ
2.2. Attacker Goals and Objectives 2.2. 攻撃者の目標・目的
2.3. Attacker Capabilities 2.3. 攻撃者の能力
2.4. Attacker Knowledge 2.4. 攻撃者の知識
2.5. Data Modality 2.5. データのモダリティ
3. Evasion Attacks and Mitigations 3. 回避攻撃と緩和策
3.1. White-Box Evasion Attacks 3.1. ホワイトボックス回避攻撃
3.2. Black-Box Evasion Attacks 3.2. ブラックボックス回避攻撃
3.3. Transferability of Attacks 3.3. 攻撃の転送性
3.4. Mitigations 3.4. ミティゲーション
4. Poisoning Attacks and Mitigations 4. ポイズニング攻撃とその対策
4.1. Availability Poisoning 4.1. 可用性ポイズニング
4.2. Targeted Poisoning 4.2. 標的型ポイズニング
4.3. Backdoor Poisoning 4.3. バックドアポイズニング
4.4. Model Poisoning 4.4. モデルポイズニング
5. Privacy Attacks 5. プライバシー攻撃
5.1. Data Reconstruction 5.1. データの再構築
5.2. Memorization 5.2. 記憶する
5.3. Membership Inference 5.3. メンバーシップ推論
5.4. Model Extraction 5.4. モデル抽出
5.5. Property Inference 5.5. プロパティの推論
5.6. Mitigations 5.6. ミティゲーション
6. Discussion and Remaining Challenges 6. ディスカッションと残された課題
6.1. Trade-O↵s Between the Attributes of Trustworthy AI 6.1. 信頼できるAIの属性の間のトレードオフ↵。
6.2. Multimodal Models: Are They More Robust? 6.2. マルチモーダルモデル。よりロバストか?
6.3. Beyond Models and Data 6.3. モデルやデータを超えて
A. Appendix: Glossary A. 附属書:用語集

 

Fig. 1. Taxonomy of attacks on AI systems.

Fig01_20230311055101

順番は逆ですが、どのようなコントロールがどのような脅威に対応しているか?というのを上の図から整理すると、次のようになります。。。

Controls Availability Integrity Privacy
Label Limit Clean-Label Poisoning Clean-Label Backdoor  
Model Control Model Poisoning Model Poisoning  
Query Access Energy-Latency Black-Box Evasion Model Extractiion
      Reconstruction
      Memorization
      Membership Inference
      Property Inference
Train Data Control Data Poisoning Targetd Poisoning  
    Backdoor Poisoning  
Source Code Control   Backdoor Poisoning  
Test Dat Control   Backdoor Poisoning  
    Evasion  

 

Executive Summary  エグゼクティブサマリー 
This NIST AI report is intended to be a step toward developing a taxonomy and terminology of adversarial machine learning (AML), which in turn may aid in securing applications of artificial intelligence (AI) against adversarial manipulations of AI systems. The components of an AI system include – at a minimum – the data, model, and processes for training, testing, and deploying the machine learning (ML) models and the infrastructure required for using them. The data-driven approach of ML introduces additional security and privacy challenges in different phases of ML operations besides the classical security and privacy threats faced by most operational systems. These security and privacy challenges include the potential for adversarial manipulation of training data, adversarial exploitation of model vulnerabilities to adversely affect the performance of ML classification and regression, and even malicious manipulations, modifications or mere interaction with models to exfiltrate sensitive information about people represented in the data or about the model itself. Such attacks have been demonstrated under real-world conditions, and their sophistication and potential impact have been increasing steadily. AML is concerned with studying the capabilities of attackers and their goals, as well as the design of attack methods that exploit the vulnerabilities of ML during the development, training, and deployment phase of the ML life cycle. AML is also concerned with the design of ML algorithms that can withstand these security and privacy challenges. When attacks are launched with malevolent intent, the robustness of ML refers to mitigations intended to manage the consequences of such attacks.  この NIST AI レポートは、敵対的機械学習(AML)の分類法と用語の開発に向けた一歩となることを意図しており、ひいては人工知能(AI)のアプリケーションを、AI システムの敵対的操作から保護するのに役立つと考えられる。AIシステムの構成要素には、最低限、データ、モデル、機械学習(ML)モデルの訓練、テスト、実装のためのプロセス、およびそれらを使用するために必要なインフラストラクチャが含まれる。MLのデータ駆動型アプローチは、ほとんどの運用システムが直面する古典的なセキュリティとプライバシーの脅威に加えて、ML運用のさまざまな段階で追加のセキュリティとプライバシーの課題を導入する。これらのセキュリティとプライバシーの課題には、敵対的な学習データの操作、MLの分類と回帰の性能に悪影響を与えるモデルの脆弱性の悪用、さらには悪意のある操作、修正、モデルとの単なる相互作用によってデータに表された人々やモデル自身に関する機密情報が流出する可能性がある。このような攻撃は、実世界の条件下で実証されており、その巧妙さと潜在的な影響力は着実に増している。AMLは、MLのライフサイクルの開発、訓練、展開の段階において、攻撃者の能力とその目標を研究するとともに、MLの脆弱性を利用した攻撃手法の設計に関心をもっている。また、AMLは、こうしたセキュリティやプライバシーの課題に耐えられるMLアルゴリズムの設計にも取り組んでいる。悪意ある攻撃が行われた場合、MLの堅牢性は、そのような攻撃の結果を管理することを目的とした緩和策を指す。
This report adopts the notions of security, resilience, and robustness of ML systems from the NIST AI Risk Management Framework [169]. Security, resilience, and robustness are gauged by risk, which is a measure of the extent to which an entity (e.g., a system) is threatened by a potential circumstance or event (e.g., an attack) and the severity of the outcome should such an event occur. However, this report does not make recommendations on risk tolerance (the level of risk that is acceptable to organizations or society) because it is highly contextual and application/use-case specific. This general notion of risk offers a useful approach for assessing and managing the security, resilience, and robustness of AI system components. Quantifying these likelihoods is beyond the scope of this document. Correspondingly, the taxonomy of AML is defined with respect to the following four dimensions of AML risk assessment: (i) learning method and stage of the ML life cycle process when the attack is mounted, (ii) attacker goals and objectives, (iii) attacker capabilities, (iv) and attacker knowledge of the learning process and beyond.  本報告書では、NIST AIリスクマネジメントフレームワーク[169]から、MLシステムのセキュリティ、レジリエンス、ロバスト性の概念を採用した。セキュリティ、レジリエンス、ロバスト性は、リスクによって測られる。リスクとは、あるエンティティ(例えば、システム)が潜在的な状況や事象(例えば、攻撃)によって脅かされる程度と、そうした事象が発生した場合の結果の深刻さを示す尺度である。しかし、リスク許容度(組織や社会が許容できるリスクのレベル)については、文脈やアプリケーション/ユースケースに大きく依存するため、本報告書では提言していない。この一般的なリスク概念は、AIシステムコンポーネントのセキュリティ、レジリエンス、ロバスト性を評価・マネジメントする上で有用なアプローチを提供する。これらの可能性を定量化することは、この文書の範囲外である。これに対応して、AML の分類法は、AML リスク評価の次の 4 つの次元に関して定義される:(i) 学習方法と攻撃が行われる際の ML ライフサイクルプロセスの段階、(ii) 攻撃者の目標と目的、(iii) 攻撃者の能力、(iv) および学習プロセス以降に関する攻撃者の知識、。
The spectrum of effective attacks against ML is wide, rapidly evolving, and covers all phases of the ML life cycle – from design and implementation to training, testing, and finally, to deployment in the real world. The nature and power of these attacks are different and can exploit not just vulnerabilities of the ML models but also weaknesses of the infrastructure in which the AI systems are deployed. Although AI system components may also be adversely affected by various unintentional factors, such as design and implementation flaws and data or algorithm biases, these factors are not intentional attacks. Even though these factors might be exploited by an adversary, they are not within the scope of the literature on AML or this report.  MLに対する効果的な攻撃のスペクトルは幅広く、急速に進化しており、MLのライフサイクルのすべての段階(設計、実装から訓練、テスト、そして最後に実世界への展開まで)をカバーしている。これらの攻撃の性質や威力は様々で、MLモデルの脆弱性だけでなく、AIシステムが配備されたインフラの弱点も突くことができる。AIシステムの構成要素も、設計や実装の欠陥、データやアルゴリズムのバイアスなど、様々な非意図的要因によって悪影響を受ける可能性があるが、これらの要因は意図的な攻撃ではありません。これらの要因が敵に悪用される可能性があるとしても、AMLに関する文献や本レポートの範囲には含まれない。
This document defines a taxonomy of attacks and introduces terminology in the field of AML. The taxonomy is built on a survey of the AML literature and is arranged in a conceptual hierarchy that includes key types of ML methods and life cycle stages of attack, attacker goals and objectives, and attacker capabilities and knowledge of the learning process. The report also provides corresponding methods for mitigating and managing the consequences of attacks and points out relevant open challenges to take into account in the life cycle of AI systems. The terminology used in the report is consistent with the literature on AML and is complemented by a glossary that defines key terms associated with the security of AI systems in order to assist non-expert readers. Taken together, the taxonomy and terminology are meant to inform other standards and future practice guides for assessing and managing the security of AI systems by establishing a common language and understanding for the rapidly developing AML landscape. Like the taxonomy, the terminology and definitions are not intended to be exhaustive but rather to aid in understanding key concepts that have emerged in AML literature. 本書は、攻撃の分類法を定義し、AML 分野の用語を紹介する。この分類法は、AMLに関する文献の調査に基づいて構築されており、ML手法の主要な種類と攻撃のライフサイクル段階、攻撃者の目標と目的、攻撃者の能力と学習過程の知識を含む概念的な階層に整理されている。また、攻撃の結果を緩和・管理するための対応方法を示し、AIシステムのライフサイクルで考慮すべき関連するオープンな課題を指摘している。本報告書で使用されている用語は、AMLに関する文献と一致しており、専門家でない読者を支援するために、AIシステムのセキュリティに関連する主要な用語を定義した用語集によって補完されている。この分類法と用語集は、急速に発展しているAMLの状況について共通の言語と理解を確立することにより、AIシステムのセキュリティを評価・管理するための他の基準や将来の実践ガイドを提供することを目的としている。分類法と同様に、用語と定義は網羅的なものではなく、むしろAMLの文献で出てきた重要な概念の理解を助けるものである。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.25『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

 


スマートサイバー AI活用時代のサイバーリスク管理 丸山 満彦 氏(PwCコンサルティング合同会社)

機械学習、深層学習をはじめとするいわゆる人工知能技術(AI)の社会での実装が進んできています。サイバーリスクの防御の面でも機械学習、深層学習を活用したサイバー防御製品やサービスが広がってきています。サイバーリスク管理にAIがどのように活用できるのか、人間とのかかわりはどうすべきか、そしてAIを活用したサイバー攻撃、AIに対するサイバー攻撃といったことにも触れていきながら、これからの課題を考えていきたいと思います。

・[PDF] スマートサイバー AI活用時代のサイバーリスク管理(配布用)

Title


 

| | Comments (0)

2023.03.05

NISTIR 8432(ドラフト) ゲノムデータのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTが、ゲノムデータのサイバーセキュリティについてのIRを公表していますね。。。ゲノムデータの機微性はわかるのですが、IRをつくるほどのことか???とも思ったりもしますが、まぁ、利用の局面を踏まえた実務的なガイドという意味合いのようです。。。

NIST - ITL

・2023.03.03 NISTIR 8432 (Draft) Cybersecurity of Genomic Data

Announcement 発表
Genomic data has enabled the rapid growth of the U.S. bioeconomy and is valuable to the individual, industry, and government due to intrinsic properties that, in combination, make it different from other types of high-value data which possess only a subset of these properties. The characteristics of genomic data compared to other high value datasets raises some correspondingly unique cybersecurity and privacy challenges that are inadequately addressed with current policies, guidance, and technical controls. ゲノムデータは、米国のバイオエコノミーの急成長を可能にし、個人、産業界、政府にとって価値あるものであるが、その本質的な特性は、これらの特性のサブセットのみを有する他の種類の高価値データとは異なるものである。他の高価値データセットと比較したゲノムデータの特性は、サイバーセキュリティ及びプライバシ ーに関する特有の課題を提起しており、現行のポリシー、ガイダンス及び技術管理者では十分に対処できない。
This report describes current practices in risk management, cybersecurity, and privacy management for protecting genomic data, as well as the associated challenges and concerns. It identifies gaps in protection practices across the genomic data lifecycle and proposes solutions to address real-life use cases occurring at various stages of the genomic data lifecycle. This report also is intended to provide areas for regulatory/policy enactment or further research. 本報告書では、ゲノムデータを保護するためのリスクマネジメント、サイバーセキュリティ、プライバシーマネジメントにおける現在の実践を、関連する課題や懸念とともに説明する。また、ゲノムデータのライフサイクル全体における保護対策のギャップを明らかにし、ゲノムデータのライフサイクルの様々な段階で発生する実際のユースケースに対処するための解決策を提案する。また、本報告書は、規制・政策の制定やさらなる研究のための領域を提供することを目的としている。
Abstract 要旨
Genomic data has enabled the rapid growth of the U.S. bioeconomy and is valuable to the individual, industry, and government because it has multiple intrinsic properties that in combination make it different from other types of high value data which possess only a subset of these properties. The characteristics of genomic data compared to other high value datasets raises some correspondingly unique cybersecurity and privacy challenges that are inadequately addressed with current policies, guidance documents, and technical controls. ゲノムデータは、米国のバイオエコノミーの急成長を可能にし、個人、産業界、政府にとって貴重なものである。他の高価値データセットと比較したゲノムデータの特性は、サイバーセキュリティ及びプライバシ ーに関して、現行のポリシー、ガイダンス文書、及び技術管理者では十分に対処できない独自の課題を提起 している。
This report describes current practices in risk management, cybersecurity, and privacy management for protecting genomic data along with relevant challenges and concerns. Gaps in protection practices across the lifecycle were identified concerning genomic data generation, safe and responsible sharing of the genomic data, monitoring the systems processing genomic data, lack of specific guidance documents addressing the unique needs of genomic data processors, and regulatory/policy gaps with respect to national security and privacy threats in the collection, storage, sharing, and aggregation of human genomic data. 本報告書では、ゲノムデータを保護するためのリスクマネジメント、サイバーセキュリティ、プライバシーマネジメントにおける現在の実践を、関連する課題や懸念とともに説明する。ゲノムデータの生成、ゲノムデータの安全かつ責任ある共有、ゲノムデータを処理するシステムの監視、ゲノムデータ処理者特有のニーズに対応する具体的なガイダンス文書の欠如、ヒトゲノムデータの収集、保存、共有、集計における国家安全保障とプライバシーへの脅威に関する規制・政策のギャップなど、ライフサイクルにわたる保護実務のギャップが明らかになった。
The report proposes a set of solution ideas that address real-life use cases occurring at various stages of the genomic data lifecycle along with candidate mitigation strategies and the expected benefits of the solutions. Additionally, areas needing regulatory/policy enactment or further research are highlighted. 本報告書では、ゲノムデータのライフサイクルの様々な段階で発生する実際のユースケースに対応する一連のソリューションアイデアを、緩和策の候補とソリューションの期待効果とともに提案する。さらに、規制・政策の制定やさらなる研究が必要な分野も強調されている。

 

・[PDF] NISTIR 8432 (Draft)

20230305-11018

 

目次...

1. Introduction 1. 序文
1.1. Cybersecurity and Privacy Concerns 1.1. サイバーセキュリティとプライバシーに関する懸念
1.2. Document Scope and Goals 1.2. ドキュメントのスコープとゴール
2. Background 2. 背景
2.1.Genomic Information Lifecycle 2.1.ゲノム情報ライフサイクル
2.2. Next Generation Sequencing 2.2. 次世代シーケンサー
2.3. Variant Calling 2.3. バリアントコーリング
2.4. Genome Editing 2.4. ゲノム編集
2.5. Direct-to-Consumer Testing 2.5. ダイレクト・トゥ・コンシューマー・テスト
2.6. The Characteristics of Genomic Data 2.6. ゲノムデータの特徴
2.7. Balance Between Benefits and Risks for Uses of Genomic Information 2.7. ゲノム情報の利用における利益とリスクのバランス
3. Challenges and Concerns Associated with Handling Genomic Information 3. ゲノム情報の取り扱いに関する課題と懸念事項
3.1. Potential National Security Concerns 3.1. 国家安全保障上の潜在的な懸念
3.2. Privacy Challenges 3.2. プライバシーの課題
3.3. Discrimination and Reputational Concerns 3.3. 差別と風評の懸念
3.4. Economic Concerns 3.4. 経済的な懸念
3.5. Health Outcome Concerns 3.5. 健康アウトカムに関する懸念
3.6. Other Potential Future Concerns 3.6. その他の潜在的な将来の懸念事項
3.7. Summary of Challenges and Concerns with Genomic Data 3.7. ゲノムデータに関する課題・懸念のまとめ
4. Current State of Practices 4. プラクティスの現状
4.1. Risk Management Practices 4.1. リスクマネジメントの実践
4.1.1. U.S. Government Resources 4.1.1. 米国政府のリソース
4.1.2. U.S. Government Initiatives 4.1.2. 米国政府の取り組み
4.1.3. International Resources and Regulations 4.1.3. 国際的な資源と規制
4.2. Cybersecurity Best Practices 4.2. サイバーセキュリティのベストプラクティス
4.2.1. U.S. Government Resources 4.2.1. 米国政府のリソース
4.2.2. International Resources 4.2.2. 国際的なリソース
4.2.3. Industry Resources 4.2.3. 産業用リソース
4.3. Privacy Best Practices 4.3. プライバシーベストプラクティス
4.3.1. U.S. Government Resources 4.3.1. 米国政府のリソース
4.3.2. Industry Resources 4.3.2. 産業用リソース
4.3.3. International Resources 4.3.3. 国際資源
4.4. Summary of Gaps in the Protection of Genomic Data 4.4. ゲノムデータ保護におけるギャップのまとめ
4.4.1. Guidance Gaps 4.4.1. ガイダンスのギャップ
4.4.2. Technical Solution Gaps 4.4.2. 技術的ソリューションのギャップ
4.4.3. Policy/Regulatory Landscape 4.4.3. 政策・規制の状況
5. Available Solutions to Address Current Needs 5. 現在のニーズに対応するために利用可能なソリューション
5.1. NIST Cybersecurity Framework Profile for Processing of Genomic Data 5.1. ゲノムデータの処理に関するNISTサイバーセキュリティフレームワークのプロファイル
5.1.1. Use Case Description 5.1.1. ユースケースの説明
5.1.2. Solution Idea 5.1.2. ソリューションアイデア
5.1.3. Expected Benefits 5.1.3. 期待される効果
5.2. NIST Privacy Framework Profile for Processing Genomic Data 5.2. ゲノムデータ処理のためのNISTプライバシーフレームワークプロファイル
5.2.1. Use Case Description 5.2.1. ユースケースの説明
5.2.2. Solution Idea 5.2.2. ソリューションアイデア
5.2.3. Expected Benefits 5.2.3. 期待される効果
5.3. Automatic Network Micro-Segmentation of Sequencers with MUD 5.3. MUDによるシーケンサの自動ネットワークマイクロセグメンテーション
5.3.1. Use Case Description 5.3.1. ユースケースの説明
5.3.2. Solution Idea 5.3.2. ソリューションアイデア
5.3.3. Expected Benefits 5.3.3. 期待される効果
5.4. Security Guidelines for Data Analysis Pipelines 5.4. データ解析パイプラインのセキュリティガイドライン
5.4.1. Use Case Description 5.4.1. ユースケースの説明
5.4.2. Solution Idea 5.4.2. ソリューションアイデア
5.4.3. Expected Benefits 5.4.3. 期待される効果
5.5. Demonstration Project for Genomic Data Risk Management 5.5. ゲノムデータリスクマネジメントの実証プロジェクト
5.5.1. Use Case Description 5.5.1. ユースケースの説明
5.5.2. Solution Idea 5.5.2. ソリューションアイデア
5.5.3. Expected Benefits 5.5.3. 期待される効果
5.6. Demonstration Project for Analysis of Genomic Data Using Privacy Preserving and Enhancing Technologies 5.6. プライバシーの保護・向上技術を活用したゲノムデータ解析の実証プロジェクト
5.6.1. Use Case Description 5.6.1. ユースケースの説明
5.6.2. Solution Idea 5.6.2. ソリューションアイデア
5.6.3. Expected Benefits 5.6.3. 期待される効果
6. Areas for Further Research 6. 今後の研究課題
7. Conclusion 7. まとめ
8.References 8.References
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A.記号・略語・頭字語リスト

 

ゲノム情報の特徴...

2.6. The Characteristics of Genomic Data   2.6. ゲノムデータの特徴  
Genomic data share attributes with other sensitive types of information, and as such, mirrors their need for secure storage and transfer. Beyond these aspects there are several intrinsic characteristics of genomic data. These concepts were discussed during the first NCCoE public workshop held on May 18 and 19, 2021, and have been posited by some in the research community [3]. Figure 2 identifies seven features of genomic information that distinguish it from other types of data. It is not any single characteristic, but instead the combination of these intrinsic properties that highlight its value and sensitivity.  ゲノムデータは、他の機密性の高い種類の情報と共通する属性を持っているため、安全な保管と転送が必要であることを反映している。これらの側面を超えて、ゲノムデータにはいくつかの本質的な特徴がある。これらの概念は、2021年5月18日と19日に開催された第1回NCCoEパブリックワークショップで議論され、研究コミュニティの一部によって提唱されてきた[3]。図2は、ゲノム情報を他の種類のデータと区別する7つの特徴を特定したものである。単一の特徴ではなく、これらの本質的な特性の組み合わせが、その価値と機微性を際立たせている。
Phenotype. Phenotype refers to the observable characteristics imparted by the genome, such as size, appearance, blood type, and color. DNA can reveal a great deal of information about an individual or their relatives, including phenotype or health information.  表現型:表現型とは、サイズ、外見、血液型、色など、ゲノムによって付与された観察可能な特徴を指す。DNAは、表現型や健康情報など、個人またはその親族に関する多くの情報を明らかにすることができる。
Health. Health means that DNA contains information about an organism’s disease presence, disease risk, vigor, and longevity. Clinical genetic testing can identify variants within one’s genome that may contribute to certain health outcomes.   健康:健康とは、DNAが生物の病気の有無、病気のリスク、活力、長寿に関する情報を含んでいることを意味する。臨床遺伝学的検査は、特定の健康上の結果に寄与すると思われるゲノム内のバリアントを特定することができる。
Immutable. Immutable means that an organism’s DNA does not change significantly during the organism’s life. An individual’s genome is practically immutable, with a negligible lifetime mutation rate for most applications, which increases the long-term consequences of a data breach.   不変:不変とは、生物のDNAがその生物の一生の間に大きく変化しないことを意味する。個人のゲノムは実質的に不変であり、ほとんどのアプリケーションで生涯変異率は無視できるほど低いため、データ漏洩の長期的な影響を高めることができる。
Unique. Unique means that individuals of species with sexual reproduction can be identified. Except in the case of identical siblings, a person’s genome is unique to them.   ユニーク:ユニークとは、有性生殖を行う種の個体が識別できることを意する。一卵性双生児の場合を除き、その人のゲノムはその人に固有のものである。
Mystique. Mystique refers to the public perception about the mystery of DNA and its possibly future uses.   神秘性:神秘性とは、DNAの謎や将来的に利用される可能性があることについての一般的な認識を指す。 
Value. Value refers to the importance of the information content of DNA that does not decline with time, but typically increases with time. Genomic information has value to certain entities and that value is predicted to grow as we learn more about the genomes of humans and other organisms.   価値:価値とは、DNAの情報内容の重要性を意味し、それは時間とともに減少するものではなく、一般的には時間とともに増加するものである。ゲノム情報は、ある特定の主体にとって価値があり、その価値は、ヒトや他の生物のゲノムについてより多くを学ぶにつれて増大すると予測されている。
• Kinship. Kinship means that common ancestors and descendants of the organism can be identified from DNA samples. Consumer genetic testing services provide information about one’s ancestral lineage, including the potential to identify relatives. 親族関係:親族関係とは、DNAサンプルから生物の共通の祖先と子孫を特定できることを意味します。消費者向け遺伝子検査サービスでは、親族を特定できる可能性を含め、自分の先祖の血統に関する情報を提供する。

 

 

表1. ゲノムデータに対するNISTリスクマネジメントフレームワークの考察

RMFステップ  概要  ゲノムデータの関連性 
準備 組織は、リスクマネジメントの準備のために必要不可欠な活動を実施している。これには、リスクマネジメントの重要な役割の特定、組織全体のリスクマネジメント戦略及びリスク許容度の確立、組織全体のセキュリティ及びプライバシーリスクの評価、組織全体の継続的監視戦略の策定が含まれる。 システムレベルでは、システム内の情報の種類を理解し、システムレベルのリスクアセスメントを実施し、関連する要件(該当する連邦及び州の規制要件を含む)を特定する必要がある。 データ主体者の国籍、データ収集場所、データ処理場所に応じて、関連するすべての規制要件が州または国レベルで考慮されることが重要である。
組織が準備しなければならないヒトゲノム・健康データの重要な特徴は、インフォームド・コンセントにデータの使用方法に関する特定の制限がある場合があり、データが収集された時期や状況によってインフォームド・コンセントが異なることが多いということである。
分類 準備」ステップの出力を使用して、システム及び処理、保存、伝送される情報を分類し、情報、システム、及びプロセスについて、機密性、完全性、可用性の三要素(CIA)が失われる可能性を評価する。 データの分類は、リスクを受容可能なレベルまで適切に軽減するために、組織が適切な管理者を特定するのに役立つ。
ヒト健康データ及びゲノムデータは、さらに、データ主体から得たインフォームド・コンセントの許容される用途によって分類され、その処理方法が制限される可能性がある。 
選択 リスクマネジメント戦略に従い、リスク許容度の範囲内で、リスクを管理するためのコントロールが選択される。  ゲノムデータに関連する特定の管理者はまだ特定されていないが、関連するリスクをマネジメントする組織のガイダンスとして使用することができる。
実装、評価、認可  システムセキュリティ計画は、コントロールの実施状況を反映するために更新される。 
コントロールが適切に配置され、意図したとおりに動作し、望ましい結果を達成していることを確認するために、コントロールを評価する(検証及び確認を含む)。 
認可のステップでは、システムを運用する(または運用を継続する)前に、上級職員が残存リスクを理解し、それが組織にとって許容できるものであることに合意することが求められる。
これらのステップにより、組織はゲノムデータに対して現在実施されている(又は実施されていな い)保護に関連するリスクを定量化し、特徴付けることができる。 
その後、組織は、残留リスクに対処するために必要なリソースとスケジュールを特定する行動計 画とマイルストーン(POA&M)を通じて、内在リスク又は残留リスクを管理することになる。
連続的なモニタリング システムの運用開始後、組織は、システムが意図したとおりに、かつ、組織の許容できるリスク許容範囲内で運用されていることを確認する必要がある。この段階では、適切な専門知識を有するサブジェクト・マター・エキスパートが必要である。新たな脅威、規制の変更、技術の変化など、発生する変化に対応するために、定期的な評価が必要である。組織は、システムとデータの終息手順も考慮しなければならない。 組織は、関連する脅威と未解決の脆弱性の両方を監視して、組織にもたらされるリスクを判断しなければならない。 
エクスポージャーを最小化し、ゲノムデータを保護し、ユーザーに侵害を知らせ、インシデ ントから回復するために、イベントやインシデントの発生時に適切に対処するための対応及び回復 計画を策定しなければならない。

 

 

ニュース

・2023.03.03 Cybersecurity of Genomic Data: Draft NIST IR 8432 Available for Public Comment

Cybersecurity of Genomic Data: Draft NIST IR 8432 Available for Public Comment ゲノムデータのサイバーセキュリティ。NIST IR 8432のドラフトがパブリックコメントとして公開された。
The National Cybersecurity Center of Excellence (NCCoE) has published the initial public draft of NIST Internal Report (NIST IR) 8432, Cybersecurity of Genomic Data. The public comment period is now open through April 3, 2023. ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST Internal Report(NIST IR)8432「ゲノムデータのサイバーセキュリティ」の初期パブリックドラフトを公開した。パブリックコメント期間は、2023年4月3日までとなっている。
About this Report 本報告書について
Genomic data has enabled the rapid growth of the U.S. bioeconomy and is valuable to the individual, industry, and government due to intrinsic properties that, in combination, make it different from other types of high-value data which possess only a subset of these properties. The characteristics of genomic data compared to other high value datasets raises some correspondingly unique cybersecurity and privacy challenges that are inadequately addressed with current policies, guidance, and technical controls. ゲノムデータは、米国のバイオエコノミーの急速な成長を可能にし、個人、産業界、政府にとって価値があるものであるが、その理由は、内在する特性により、これらの特性のサブセットのみを有する他の種類の高価値データとは異なるものである。他の高価値データセットと比較したゲノムデータの特性は、サイバーセキュリティ及びプライバシ ーに関する特有の課題を提起しており、現行のポリシー、ガイダンス及び技術管理者では十分に対処できない。
This report describes current practices in risk management, cybersecurity, and privacy management for protecting genomic data, as well as the associated challenges and concerns. It identifies gaps in protection practices across the genomic data lifecycle and proposes solutions to address real-life use cases occurring at various stages of the genomic data lifecycle. This report also is intended to provide areas for regulatory/policy enactment or further research. 本報告書では、ゲノムデータを保護するためのリスクマネジメント、サイバーセキュリティ、プライバシーマネジメントの現状と、関連する課題・懸念について記述している。また、ゲノムデータのライフサイクル全体における保護対策のギャップを明らかにし、ゲノムデータのライフサイクルの様々な段階で発生する実際のユースケースに対処するための解決策を提案する。また、本報告書は、規制・政策の制定やさらなる研究のための領域を提供することを目的としている。

| | Comments (0)

2023.02.24

NIST NISTIR 8320D(ドラフト)ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング

こんにちは、丸山満彦です。

NISTがハードウェア対応セキュリティに関する内部報告 (IR) のドラフトを公表し、意見募集をしていますね。。。 DX時代...とかで、ネットワークに接続する機器等が増えるとマシンIDが増えていきますので、その管理が重要となってきますね。。。

 

NIST - ITL

・2023.02.23 Hardware Enabled Security: Draft NIST IR 8320D Available for Comment

 

Hardware Enabled Security: Draft NIST IR 8320D Available for Comment ハードウェアで実現するセキュリティ。NIST IR 8320D ドラフト版 コメント受付中
The National Cybersecurity Center of Excellence (NCCoE) has released a draft report, NIST Interagency Report (NISTIR) 8320D, Hardware Enabled Security: Hardware-Based Confidential Computing, for public comment. NISTIR 8320D is the latest in a series of reports on hardware-enabled security techniques and technologies. 国家サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) は、ドラフト報告書「NIST内部報告 (NISTIR) 8320D ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング」を公開し、パブリックコメントを募集している。NISTIR 8320Dは、ハードウェアを利用したセキュリティ技術に関する一連の報告書の最新版である。
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万に及ぶこともある。暗号鍵などのマシンIDは、各マシンに適用する必要のあるポリシーを特定するために使用することができる。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。
This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクル全体を通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図している。

 

・2023.02.23 NISTIR 8320D (Draft) Hardware-Enabled Security: Hardware-Based Confidential Computing

NISTIR 8320D (Draft) Hardware-Enabled Security: Hardware-Based Confidential Computing NISTIR 8320D(ドラフト)ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング
Announcement 発表
NISTIR 8320D is the latest in a series of reports on hardware-enabled security techniques and technologies. NISTIR 8320Dは、ハードウェア対応のセキュリティ技術およびテクノロジーに関する一連の報告書の最新版である。
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. 組織で使用されるマシンIDの数は増え続けており、1つの組織で数千から数百万に及ぶこともある。マシンIDは、秘密の暗号鍵など、各マシンに適用する必要のあるポリシーを特定するために使用されることがある。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。
This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクル全体を通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般のセキュリティコミュニティが、この実装を検証し利用するための青写真またはテンプレートとなることを意図している。
Abstract 概要
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万にのぼることもある。暗号鍵のようなマシンIDは、各マシンに適用されるべきポリシーを特定するために使用される。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクルを通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図している。

 

・[PDF]  NISTIR 8320D (Draft)

20230224-154526

 

目次...

1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的及び範囲
1.2. Terminology 1.2. 用語の説明
1.3. Document Structure 1.3. 文書の構成
2. Challenges with Creating, Managing, and Protecting Machine Identities 2. マシンアイデンティティの作成、管理、保護に関する問題点
3. Stage 0: Enterprise Machine Identity Management 3. ステージ0:エンタープライズ・マシンアイデンティティ管理
4. Stage 1: Secret Key In-Use Protection with Hardware-Based ConfidentialComputing 4. ステージ1:ハードウェアベースのコンフィデンシャル・コンピューティングによる秘密鍵のインユース・プロテクション
5. Stage 2: Machine Identity Management and End-to-End Protection 5. ステージ 2: マシンアイデンティティ管理とエンド・ツー・エンド保護
References 参考文献
Appendix A. Hardware Architecture 附属書A. ハードウェア・アーキテクチャ
Appendix B. AMI TruE Machine Identity Management Implementation 附属書B. AMI TruEマシンアイデンティティ・マネジメントの実装
B.1. Hardware and Software Requirements B.1. ハードウェアおよびソフトウェアの要件
B.2. AMI TruE Deployment B.2. AMI TruEのデプロイメント
B.3. Platform Security Services Configuration B.3. プラットフォーム・セキュリティ・サービスの構成
B.4. Uninstallation B.4. アンインストール
Appendix C. Intel In-Use Secret Key Protection Implementation 附属書C. インテル® In-Use Secret Key Protection の実装
Appendix D. Machine Identity Runtime Protection and Confidential Computing Integration 附属書D. マシンアイデンティティ・ランタイム・プロテクションとコンフィデンシャル・コンピューティングの統合
D.1. Solution Overview D.1. ソリューションの概要
D.2. Solution Architecture D.2. ソリューションのアーキテクチャ
D.3. Installation and Configuration D.3. インストールと構成
Appendix E. Acronyms and Other Abbreviations 附属書E. 頭字語およびその他の略語

 

 

 

「2. Challenges with Creating, Managing, and Protecting Machine Identities」から...

The ultimate goal is to be able to use “trust” as a boundary for hardware-based confidential computing to protect in-use machine identities. This goal is dependent on smaller prerequisite goals described as stages, which can be thought of as requirements that the solution must meet.   最終的な目標は、ハードウェアベースのコンフィデンシャル・コンピューティングの境界として「信頼」を使用し、使用中のマシンIDを保護できるようにすることである。このゴールは、ステージとして記述されたより小さな前提条件のゴールに依存しており、これはソリューションが満たすべき要件と考えることができる。 
• Stage 0: Enterprise Machine Identity Management. Security and automation for all machine identities in the organization should be a priority. A proper, enterprise-wide machine identity management strategy enables security teams to keep up with the rapid growth of machine identities, while also allowing the organization to keep scaling securely. The key components of a typical enterprise-grade machine identity management solution are described in Sec. 3.   ・ステージ 0: エンタープライズ・マシンアイデンティティ管理。組織内のすべてのマシンIDのセキュリティと自動化は、優先事項であるべきである。適切なエンタープライズ規模のマシンID管理戦略は、セキュリティチームがマシンIDの急速な増加に対応し、同時に組織が安全に拡張し続けることを可能にする。一般的なエンタープライズグレードのマシンID管理ソリューションの主要コンポーネントは、セクション3に記載されている。 
• Stage 1: Secret Key In-Use Protection with Hardware-Based Confidential Computing. The confidential computing paradigm can be used to protect secret keys inuse in dynamic environments. Section 4 describes the primary components of a hardware-based confidential computing environment and illustrates a reference architecture demonstrating how its components interact.  ・ステージ1:ハードウェアベースのコンフィデンシャル・コンピューティングによる秘密鍵のインユースプロテクション。機密コンピューティングのパラダイムは、動的環境における使用中の秘密鍵の保護に使用できる。セクション4では、ハードウェアベースの機密コンピューティング環境の主要コンポーネントについて説明し、そのコンポーネントがどのように相互作用するかを示す参照アーキテクチャを図解している。
• Stage 2: Machine Identity Management and End-to-End Protection. Stage 0 discusses how a machine identity can be managed and Stage 1 describes how sensitive information is protected in use in conjunction with hardware-based confidential computing. Stage 2 is about the integration of the two so that machine identity management enables the prerequisites for confidential computing to be leveraged when the secret key is used at runtime. Section 5 describes how these components can be composed together to provide end-to-end protection for machine identities.  ・ステージ2:マシンIDの管理とエンドツーエンドの保護。ステージ0では、マシンIDの管理方法について説明し、ステージ1では、ハードウェアベースの機密コンピューティングと連携して使用する際に機密情報を保護する方法について説明する。ステージ2は、マシンID管理によって、秘密鍵がランタイムに使用される際に機密コンピューティングの前提条件を活用できるように、この2つを統合することを目的としている。セクション5では、これらのコンポーネントを組み合わせて、マシンIDのエンドツーエンドの保護を実現する方法について説明する。
Utilizing hardware-enabled security features, the prototype in this document strives to provide the following capabilities:  ハードウェアで実現されるセキュリティ機能を活用し、この報告書のプロトタイプは以下の機能を提供するよう努める。
• Centralized control and visibility of all machine identities   ・すべてのマシンIDの一元的な制御と可視性
• Machine identities as secure as possible in all major states: at rest, in transit, and in use in random access memory (RAM)  ・マシン ID は、静止状態、転送中、ランダムアクセスメモリー(RAM)上で使用中のすべての主要な状態において、可能な限り安全であること。
• Strong access control for different types of machine identities in the software development lifecycle and DevOps pipeline  ・ソフトウェア開発ライフサイクルおよびDevOpsパイプラインにおける、さまざまなタイプのマシンIDに対する強力なアクセス制御
• Machine identity deployment and use in DevOps processes, striving to be as secure as possible  ・DevOpsプロセスにおけるマシンIDの展開と使用は、可能な限り安全であるように努力する。

 

関係文書

ハードウェア対応セキュリティ:

NISTIR 8320  クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

NISTIR 8320A コンテナ・プラットフォーム・セキュリティ・プロトタイプ  

NISTIR 8320B 信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

NISTIR 8320C (Draft) マシン・アイデンティティの管理と保護

NISTIR 8320D (Draft) ハードウェアベース・コンフィデンシャル・コンピューティング

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.07 NISTIR 8320 ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

 

| | Comments (0)

2023.02.23

厚生労働省 意見募集 医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) (2023.02.16)

こんにちは、丸山満彦です。

厚生労働省が「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案)」について意見募集をしていますね。。。

このガイドラインは、「健康・医療・介護情報利活用検討会
」の「医療等情報利活用ワーキンググループ」で議論されてきていますので、合わせて関係しそうな資料も・・・

 

まずは、e-Govのパブコメ...

e-Gov

・2023.02.16 「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案)に関する御意見の募集について

・[PDF] 「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) [downloaded]

20230223-11023

 


2.第 6.0 版の骨子(案)

ガイドライン第 5.2 版の本編と別冊について、内容面の必要な見直しを行った上で、対象とする読者類型ごとに分冊化を行い、①各編に共通する前提内容を整理した概説編(Overview)、②医療機関等において組織の経営方針を策定し意思決定を担う経営層を対象とした経営管理編(Governance)、③医療情報システムの安全管理(企画管理、システム運営)の実務を担う担当者を対象とした企画管理編(Management)、④医療情報システムの実装・運用の実務を担う担当者を対象としたシステム運用編(Control)の4編構成とする。

4編については、それぞれ以下の内容を記載するものとする。

① 概説編(Overview)
各編を理解する上で前提となる考え方や各編の概要等を示すものとする。主な内容は以下のとおり。
・ ガイドラインの目的
・ ガイドラインの対象
(医療機関等の範囲、医療情報・文書の範囲、医療情報システムの範囲)
・ ガイドラインの構成、読み方
・ ガイドラインの各編を読むに当たって前提となる考え方
(医療情報システムの安全管理の目的、安全管理に必要な要素、関連する法令等)

② 経営管理編(Governance)
主に以下の内容について、経営層として遵守・判断すべき事項、企画管理やシステム運営の担当部署及び担当者に対して指示、管理すべき事項とその考え方を示すものとする。
・ 医療情報システムの安全管理に関する責任・責務
・ リスク評価を踏まえた管理
(情報セキュリティマネジメントシステム(ISMS)の実践等)
・ 医療情報システムの安全管理全般
(経営層による内部統制、情報セキュリティ対策の設計及び管理、事業継続計画(BCP)の整備を含む情報セキュリティインシデントへの対策等)
・ 医療情報システム・サービス事業者との協働
(当該事業者の選定、管理、当該事業者との責任分界等)

③ 企画管理編(Management)
主に以下の内容について、医療機関等において組織体制や情報セキュリティ対策に係る規程の整備等の統制等の安全管理の実務を担う担当者として遵守すべき事項、医療情報システムの実装・運用に関してシステム運用担当者に対する指示・管理を行うに当たって遵守すべき事項とその考え方を示すものとする。
・ 医療情報システムの安全管理全般
(関連する法制度、安全管理方針の策定、責任分界、管理・監査体制、必要な規程・文書類の整備、職員及び委託先の医療情報システム・サービス事業者の人的管理等)
・ リスクアセスメント(リスク分析・評価)とリスクマネジメント(リスク管理)
・ 情報管理(情報の持ち出し、破棄等)
・ 医療情報システムに用いる情報機器等の管理
・ 非常時(災害、サイバー攻撃、システム障害)の対応と非常時に備えた通常時からの対策
・ サイバーセキュリティ対策
(通常時、サイバー攻撃に起因する非常時及び復旧対応時における対応を整理した計画の整備等)
・ 医療情報システムの利用者に関する認証等及び権限管理
・ 法令で定められた記名・押印のための電子署名

④ システム運用編(Control)
主に以下の内容について、医療機関等の経営層や企画管理者の指示に基づき、医療情報システムを構成する情報機器、ソフトウェア、インフラ等の各種資源の設計、実装、運用等の実務を担う担当者として適切に対応すべき事項とその考え方を示すものとする。
・ 医療情報システムの安全管理における技術的対策
(端末等の情報機器、ソフトウェア、ネットワークに対する安全管理措置等)
・ システム設計・運用に必要な規程類と文書体系
・ 技術的な対応における責任分界
・ リスクアセスメントを踏まえた安全管理対策
・ 非常時(災害、サイバー攻撃、システム障害)の対応と非常時に備えた通常時からの対策
・ サイバーセキュリティ対策
(情報機器等の脆弱性対策、バックアップの実施・管理等)
・ 医療情報システムの利用者や連携するアプリケーションの認証等及び権限管理
・ 電子署名に関する技術的対応

○ 各医療機関等が、それぞれの特性に応じたかたちでガイドラインを遵守し、必要な安全管理を確保できるよう、医療機関等の組織体制(専任のシステム運用担当者の有無)や稼働している医療情報システムの構成(オンプレミス型/クラウドサービス型)、採用しているサービス形態(医療情報システム・サービス事業者による提供サービスの範囲)等に応じたガイドラインの参照パターンを例示するとともに、当該パターンに応じた参照項目を示すこととする。

○ 4編に加え、Q&Aや用語集、小規模医療機関(病院、診療所、薬局等)向けの特集、サイバーセキュリティ対策に関する特集等により、4編の内容面の補足を行うものとする。


 

この骨子に至る議論に一端...

健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ

・2023.02.13 第14回

「医療情報システムの安全管理に関するガイドライン」について

資料

 

・2022.12.15 第13回

  1. (1)救急医療時における「全国で医療情報を確認できる仕組み (ACTION1) 」について
  2. (2)「医療情報システムの安全管理に関するガイドライン」について
  3. (3)医療機関におけるサイバーセキュリティ対策について(報告)
  4. (4)インシデント発生時初動対応支援事例及び課題報告(一般社団法人ソフトウェア協会講演)
  5. (5)その他

議事録

森田座長はもちろんですが、高倉先生、山本先生、喜多先生、萩原さん等、知った方が活躍されていますね。。。

資料

20230223-15542

20230223-15640

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.04 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)

・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)

・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について

・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集

10年以上遡ると...

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム パブコメ



| | Comments (0)

2023.02.19

経済産業省 「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案)」及び「付属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン(案)」に対する意見募集

こんにちは、丸山満彦です。

経済産業省が、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案)」及び「付属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン(案)」の意見募集をしていますね。。。

次のようなことのようです...


ビルシステムにおけるサイバー・フィジカル・セキュリティ対策 ガイドライン第 2 版の策定にあたって

  • ビルのサイバーセキュリティについては、2019 6 17 日に「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(以下、共通編)第 1 版」 が公開、ビルシステムに対する全般的なサイバーセキュリティ対策のガイドを示すものとして活用され、ビルのサイバーセキュリティ対策も徐々に進んできている。さらに、2022 10 24 日には「ビルシステムにおけるサイバー・フィジカル・セキリティ対策ガイドライン(個別編:空調システム)第 1 版」が公開され、ビルに係る 個別のサブシステムとして空調システムを対象としたサイバーセキュリティ対策向上のために活用されるに至っている。

  • 上記の共通編第 1 版は、ビルに導入される様々なシステムに対するサイバーセキュリティ対策のうち、主に事前に検討し、準備しておくべき対策について示したものであ る。しかし、導入済みのシステムの制約やコストの問題など、さまざまな問題から十分に対策ができていないといった問題、想定を超える高度なサイバー攻撃の可能性、 さらにスマートビル化の進展により、ビルシステムが被害を受ける可能性がより高まっている。

  • このような状況に対して、ビルシステムへのサイバー攻撃(インシデント)の発生時に、その損害を最小限に抑え、復旧にかかる時間とコストを削減するための取組(イ ンシデントレスポンス)が重要となる。このため、ビルシステムに対するサイバーセキュリティ対策強化の一環として、インシデントレスポンスについて検討を行い、取 りまとめを行った。

  • この検討の成果を新たに追加する形で、本ガイドラインの改定を行い、新たに第2版 として公開することとした。また、インシデントレスポンスに係る詳細の対応を「付 属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策 インシデントレスポンス・ガイドライン(案)(以下、付属書)」としてまとめることとした。

  • 今後、本ガイドライン及びその付属書が活用されることで、ビルシステムにおける事 前対策からインシデント発生時の対応まで、一貫した対策が進むことを望まれる。

 

● e-Gov

・2023.02.15 「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案)」及び「付属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン(案)」に対する意見募集について

 

・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案) 

20230220-52240

目次...

1. はじめに
1.1.
ガイドラインを策定する目的
 1.1.1.
ガイドラインの目的
 1.1.2. サイバー・フィジカル・セキュリティ対策フレームワークとの関係

1.2.
ガイドラインの適用範囲と位置づけ
 1.2.1.
ガイドラインの対象者
 1.2.2. 対象とするビル
 1.2.3. 対象とするビルシステム(ビルシステムの定義)
 1.2.4. ガイドラインの位置づけ

1.3.
本ガイドラインの構成

2. ビルシステムを巡る状況の変化
2.1.
ビルシステムを含む制御システム全般の特徴と脅威の増大
2.2.
ビルシステムにおける攻撃事例
 2.2.1. MIT
(Massachusetts Institute of Technology、マサチューセッツ工科大学)の学内ビルの照明ハッキング
 2.2.2. ターナー・ギルフォード・ナイト収容所の警備システムハッキング
 2.2.3. ラッペーンランタでの DDos 攻撃による暖房停止
 2.2.4. ホテルでの宿泊客の閉じ込め・閉め出し
 2.2.5. インターネットカメラへの大量ハッキング
 2.2.6. テストによるハッキング事例
 2.2.7. ドイツにおける BAS 機器のロック事例

2.3.
ビルシステムにおけるサイバー攻撃の影響

3. ビルシステムにおけるサイバーセキュリティ対策の考え方
3.1.
一般的なサイバーセキュリティ対策のスキーム
3.2.
ビルシステムの構成の整理
3.3.
ビルシステムの特徴
 3.3.1.
超長期の運用
 3.3.2. 複数のフェーズに分かれた長いライフサイクルを持つこと
 3.3.3. マルチステークホルダであること
 3.3.4. 多種多様なビルの存在

3.4.
ビルシステムにおけるサイバーセキュリティ対策の整理方針
 3.4.1.
場所から紐解くリスクの整理とライフサイクルを考慮した対策
 3.4.2. インシデント発生時の対応

3.5.
ガイドラインの想定する使い方例
 3.5.1.
例1: 新築の大規模オーナービルにおける使い方
 3.5.2. 例2: 既存の中規模テナントビルをクラウド移行する際の使い方
 3.5.3. 例3: 既存ビルへのリスクアセスメントと対策立案での使い方
 3.5.4. 例4: 機器等の障害対応の延長線上でインシデント対応する使い方

4. ビルシステムにおけるリスクと対応ポリシー
4.1.
全体管理
4.2.
機器ごとの管理策

5. ライフサイクルを考慮したセキュリティ対応策

6. インシデント発生時の対応策
6.1.
インシデントレスポンスの概要

付録 A 用語集
付録 B JDCC の建物設備システムリファレンスガイドとの関係
付録 C 建物設備システム リファレンスガイド インシデント対応・セキュリティソリューション編との関係
付録 D サイバー・フィジカル・セキュリティ対策フレームワークの考え方と、サイバー・フィジカル・セキュリティ対策フレームワークの考え方を踏まえたビルシステムにおけるユースケース
付録 E 参考文献

・[PDF] 付属書(案)

20230220-52352

目次...

1. はじめに
1.1.
付属書の目的
 1.1.1.
本付属書の目的
 1.1.2. ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインとの関係

1.2.
ガイドラインの適用範囲と位置づけ
 1.2.1.
想定する読者
 1.2.2. 対象とするビル
 1.2.3. 対象とするビルシステム
  1.2.3.1. ビルシステムの定義
  1.2.3.2. ビルシステムの構成

1.3.
本ガイドラインの構成

2. サイバーインシデントへの対応
2.1.
サイバーインシデントへの対応の流れ
 2.1.1.
準備段階
 2.1.2. 識別段階
 2.1.3. 封じ込め段階
 2.1.4. クリーンアップと回復段階
 2.1.5. フォローアップ段階

3. ビルシステムに係るセキュリティ関連サービス
3.1.
ネットワーク設計サービス
3.2.
既存システムのセキュリティ診断サービス
3.3.
運用・監視サービス
3.4.
教育・研修サービス
3.5.
各種コンサルティングサービス

付録 A 用語集
付録 B 参考文献


 

● 経済産業省 - 産業サイバーセキュリティ研究会

ワーキンググループ1(制度・技術・標準化) - ワーキンググループ1(ビルサブワーキンググループ)

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.21 経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」

・2022.10.31 経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版 (2022.10.24)

・2022.05.01 経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(案)」に対する意見募集

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

 

| | Comments (0)

より以前の記事一覧