パブコメ

2022.06.19

NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

こんにちは、丸山満彦です。

NISTが、NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル(ドラフト)を公表し、意見募集をしていますね。。。

NIST -ITL

・2022.06.17 NISTIR 8425 (Draft) Profile of the IoT Core Baseline for Consumer IoT Products

 

消費者プロファイルは次のような項目で考えているようです。。。

IoT Product Capabilities IoT製品の性能
Asset Identification  アセットアイデンティフィケーション 
Product Configuration 製品構成
Data Protection  データ保護 
Interface Access Control  インターフェースアクセス制御 
Software Update ソフトウェアアップデート
Cybersecurity State Awareness サイバーセキュリティの状態認識
IoT Product Non-Technical Supporting Capabilities   IoT製品の非技術的なサポート能力  
Documentation 文書化
Information and Query Reception 情報および問い合わせの受付
Information Dissemination 情報発信
Product and Education Awareness 製品・教育啓発

Fig1_20220619060201

 

NISTIR 8425 (Draft) Profile of the IoT Core Baseline for Consumer IoT Products NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
Abstract 概要
This publication documents the consumer profile of NIST’s IoT core baseline and identifies cybersecurity capabilities commonly needed for the consumer IoT sector (i.e., IoT products for home or personal use). It can also be a starting point for small businesses to consider in the purchase of IoT products. The consumer profile was developed as part of NIST’s response to Executive Order 14028 and was initially published in Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products. The consumer profile capabilities are phrased as cybersecurity outcomes that are intended to apply to the entire IoT product. This document also discusses the foundations to developing the recommended consumer profile and related considerations. NIST reviewed a landscape of relevant source documents to inform the consumer profile and engaged with stakeholders across a year-long effort to develop the recommendations. 本書は、NISTのIoTコアベースラインの消費者プロファイルを文書化し、消費者向けIoT分野(家庭用または個人用のIoT製品)に共通して必要なサイバーセキュリティ能力を特定するものである。また、中小企業がIoT製品を購入する際の検討材料とすることもできる。消費者向けプロファイルは、大統領令14028号へのNISTの対応の一環として開発され、当初は「消費者向けIoT(Internet of Things)製品のサイバーセキュリティラベリングに関する推奨基準」で発表された。消費者プロファイルの能力は、IoT製品全体に適用されることを意図したサイバーセキュリティの成果として表現されています。また、この文書では、推奨される消費者プロファイルを開発するための基礎と、関連する考慮事項についても述べている。NIST は、消費者プロファイルに情報を提供するために関連するソース文書をレビューし、推奨事項を策定するために1 年間の取り組みを通じて利害関係者と協力した。

 

・[PDF] NISTIR 8425 (Draft)

20220619-60444

 

1 Introduction 1 はじめに
2 Consumer Profile of IoT Core Baseline 2 IoT コアベースラインの消費者向けプロファイル
2.1 IoT Product Scope Statement 2.1 IoT製品スコープステートメント
2.2 Consumer Profile 2.2 消費者プロファイル
2.2.1 IoT Product Capabilities 2.2.1 IoT製品の能力
2.2.2 IoT Product Non-Technical Supporting Capabilities . 2.2.2 IoT製品の非技術的なサポート能力.
3 Consumer Sector Considerations Used to Create Profile  3 プロファイル作成に使用した消費者セクターの考慮事項 
3.1 Gathering Source Information about Consumer IoT Product Cybersecurity . 3.1 消費者向けIoT製品のサイバーセキュリティに関する情報源の収集.
3.2 Assessing Consumer IoT Product Cybersecurity Sources  3.2 消費者向けIoT製品のサイバーセキュリティの情報源の評価 
References 参考文献
List of Appendices 附属書一覧
Appendix A— Acronyms 附属書 A- 略語集
Appendix B— Glossary 附属書 B- 用語集
List of Figures 図一覧
Figure 1 – Capabilities Identified for the Consumer Profile. 図1-消費者プロファイルのために特定された能力
List of Tables 表一覧
Table 1 – Example Consumer IoT Vulnerabilities and the Relevant Capabilities from the Consumer Profile. 表1 - 消費者向けIoT脆弱性の例と、消費者プロファイルの関連機能。
Table 2 – Highlighted Insights and Key Takeaways From the Consumer Profiling Process 表2 - 消費者プロファイリングプロセスから得られた注目すべき洞察と主要な要点

 

Introduction  はじめに 
On May 12, 2021, the President issued Executive Order (EO) 14028 which, among other directives, called for NIST to recommend requirements for a consumer IoT product cybersecurity labeling program. As part of NIST’s response to this directive[1], a profile of the IoT core baseline[2] for consumer IoT products was created. This profile served as part of the recommendations that NIST published in response to the EO in February 2022 titled Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products [EO Criteria].  2021年5月12日、大統領は大統領令(EO)14028を発し、他の指令の中で、NISTに消費者向けIoT製品のサイバーセキュリティラベリングプログラムの要件を推奨するよう求めた。この指令[1]に対するNISTの対応の一環として、消費者向けIoT製品のIoTコアベースライン[2]のプロファイルが作成された。このプロファイルは、NISTが2022年2月にEOに対応して発表した「消費者向けIoT(Internet of Things)製品のサイバーセキュリティラベリングに関する推奨基準 [EO Criteria] 」という勧告の一部となったものである。
The profile builds on the NISTIR 8259 series by extending the IoT Core Baseline for consumer  このプロファイルは、NISTIR 8259シリーズをベースに、IoT Core Baselineを消費者向け製品向けに拡張したものである。
IoT products. NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers [IR8259], provides foundational guidance for IoT device manufacturers pertaining to developing IoT devices that can be used securely by customers. NISTIR 8259 does not target any specific IoT sector but discusses how manufacturers can approach cybersecurity for IoT devices in general. NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline [IR8259A], and NISTIR 8295B, IoT Non-Technical Supporting Capability Core Baseline [IR8259B] define the IoT device cybersecurity capability core baseline (also referred to as the core baseline), a starting point for manufacturers to use in identifying the cybersecurity capabilities their customers may expect from the IoT devices they create. NISTIR 8259A discusses device cybersecurity capabilities, which are functions or features implemented by the device through its own hardware and software. For example, NISTIR 8259A discusses concepts such as data protection, access control, and software update, among others. NISTIR 8259B discusses non-technical supporting capabilities, which are actions taken by organizations to support the cybersecurity of the device. For example, NISTIR 8259B discusses concepts such as education and awareness, and information and query reception (by manufacturers).  IoT製品に拡張することで、NISTIR 8259シリーズを構築している。NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers [IR8259]は、顧客が安全に使用できるIoTデバイスの開発に関わるIoTデバイスメーカー向けの基礎的なガイダンスを提供する。NISTIR 8259は、特定のIoT分野を対象としておらず、製造業者がIoTデバイス全般のサイバーセキュリティにどのようにアプローチできるかを論じている。NISTIR 8259A、IoTデバイスサイバーセキュリティ能力コアベースライン [IR8259A]、およびNISTIR 8295B、IoT非技術的支援能力コアベースライン [IR259B] は、IoTデバイスサイバーセキュリティ能力コアベースライン(コアベースラインとも呼ばれる)、製造者がその顧客が作成するIoTデバイスに期待されるサイバーセキュリティ能力を識別するにあたって用いる出発点、を定義している。NISTIR 8259Aは、デバイスが自身のハードウェアとソフトウェアを通じて実装する機能または特徴であるデバイスのサイバーセキュリティ能力について論じている。例えば、NISTIR 8259Aは、データ保護、アクセス制御、ソフトウェア更新などの概念について論じている。NISTIR 8259Bは、非技術的な支援能力について述べており、デバイスのサイバーセキュリティを支援するために組織が取る行動である。例えば、NISTIR 8259Bは、教育や意識向上、(製造業者による)情報や問い合わせの受付といった概念について論じている。
Like NISTIR 8259, these baseline documents do not consider any sector or use case specific considerations, and instead present a starting point for any IoT device. Tailoring the baseline capabilities for a specific sector and/or use case requires a form of profiling. The profiling process using NISTIR 8259/A/B directs a profiler to gather sector-/use case-specific information and interpret the relevant impacts of this information to select the baseline capabilities most applicable to and responsive of the needs and goal of customers for the sector/use case.   NISTIR 8259と同様に、これらのベースライン文書では、セクターやユースケースに特有の考慮事項はなく、代わりにあらゆるIoTデバイスの出発点を提示している。特定のセクターやユースケース向けにベースライン能力を調整するには、一種のプロファイリングが必要である。NISTIR 8259/A/Bを用いたプロファイリングプロセスは、プロファイラーにセクター/ユースケース固有の情報を収集し、この情報の関連する影響を解釈して、セクター/ユースケースの顧客のニーズと目標に最も適用でき、対応するベースライン能力を選択するように指示する。 
The rest of this document describes the results of this profiling process for the consumer sector and is organized as follows:  本書の残りの部分では、消費者セクターに関するこのプロファイリングプロセスの結果について説明し、以下のように構成されている。
•       Section 2 explains the intended applicability of the consumer profile to consumer IoT products and defines the consumer profile.  ・ セクション 2 では、消費者プロファイルの消費者向け IoT 製品への意図された適用性を説明し、消費者向けプロファイルを定義している。
•       Section 3 describes the process used to develop the consumer profile in more depth.  ・ セクション 3 では、消費者プロファイルの開発に使用したプロセスをより深く説明する。
•       Section 4 explores some additional considerations readers should consider when using the consumer profile.  ・ セクション 4 では、読者が消費者プロファイルを使用する際に考慮すべき追加事項を探る。
[1] For more information about NIST’s response to EO 14028’s call for recommendations for a consumer IoT product cybersecurity label, visit [web]. [1] EO 14028 の消費者向け IoT 製品のサイバーセキュリティラベルに関する勧告の募集に対する NIST の回答の詳細については、[web] を参照。 
[2] The terms core baseline, IoT core baseline, and IoT device core capability baseline all refer to the set of capabilities presented in NISTIRs 8259A and 8259B.  [2] コアベースライン、IoT コアベースライン、および IoT デバイスコア能力ベースラインという用語はすべて、NISTIRs 8259A および 8259B に示される一連の能力を指す。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

NIST IoT関連の歴史...

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

 

White Paper

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

 

NISTIR 8259関連

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

その他NIST。。。

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨基準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

 

| | Comments (0)

2022.06.16

内閣官房 デジタル庁 総務省 経済産業省 意見募集「ISMAP-LIUクラウドサービス登録規則(案)」等

こんにちは、丸山満彦です。

内閣官房、デジタル庁、総務省、経済産業省が「ISMAP-LIUクラウドサービス登録規則(案)」等についての意見募集をしていますね。。。

今回検討している、ISMAP-LIUは、機密性 2 情報を扱う SaaS のうち、セキュリティ上のリスクの小さな業務・情報の処理に用いるものに対する仕組みですね。。。

LIUは、「エルアイユー」と呼び、Low-Impact Useの省略形のようです。。。

影響度が小さいかどうかは、関連資料(意見募集対象外)のISMAP for Low-Impact Useにおける業務・情報の影響度評価ガイダンス(案)にガイドがあります。。。「政府機関等の対策基準策定のためのガイドライン(令和3年度版)」 第 6 部 情報システムのセキュリティ要件の遵守事項 6.1.1(1)(b)に記載の、「オンライン手続において想定されるリスク」を参考としたとのことですね。。。


SaaS の利用において想定されるリスク
①国民に不便、苦痛を与える、又は機関等が信頼を失う
②利用者に金銭的被害や賠償責任が生じるなど、財務上の影響を与える
③機関等の活動計画や公共の利益に対して影響を与える
④個人情報等の機微な情報が漏えいする
⑤利用者の身の安全に影響を与える
⑥法律に違反する


 

各省庁からの発表...

 

内閣官房 サイバーセキュリティセンター

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見公募手続(パブリックコメント)を開始しました。

デジタル庁

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集を行います

● 総務省

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集

● 経済産業省

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見公募手続(パブリックコメント)を開始しました

 

J

 

さて、、、e-Govの意見募集のページ

● e-Gov

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集について

 

意見募集対象

  1. [PDF] ISMAP-LIUクラウドサービス登録規則(案)
  2. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_様式1-2
  3. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_別紙2
  4. [PDF] 政府情報システムのためのセキュリティ評価制度(ISMAP)基本規程
  5. [PDF] ISMAPクラウドサービス登録規則
  6. [PDF] ISMAP管理基準
  7. [PDF] ISMAP標準監査手続
  8. [PDF] ISMAP情報セキュリティ監査ガイドライン 

関連資料

  1. [PDF] ISMAP-LIUについて(案)
  2. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_様式2-3 
  3. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_様式2-3別紙
  4. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_別紙1 
  5. [PDF] ISMAP for Low-Impact Useにおける業務・情報の影響度評価ガイダンス(案)

 

 

| | Comments (0)

2022.06.15

英国 デジタルIDと属性の信頼性フレームワーク - ベータ版

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省が、デジタルIDと属性の信頼性フレームワーク - ベータ版を公表していますね。。。興味深い内容です。。。これから、ちょっと読んでみようと思います。。。


● Gov U.K. - Government - Cyber security

・2022.06.13 UK digital identity and attributes trust framework - beta version

 

目次です...

1.Ministerial foreword 1.大臣序文
2.Feedback received and updates 2.フィードバックと最新情報
3.Introduction 3.はじめに
4.What are digital identities 4.デジタルIDとは
5.What are attributes 5.属性とは
6.What the UK digital identity and attributes trust framework does 6.英国のデジタル・アイデンティティと属性の信頼性フレームワークが行うこと
7.What you get from adopting trust-marked digital identities and attributes 7.信頼マークを付けたデジタルIDと属性を採用することで得られるもの
8.Benefits for users 8.ユーザーにとってのメリット
9.Who runs the trust framework 9.誰がトラスト・フレームワークを運営しているか
10.How organisations participate in the trust framework 10.組織が信頼フレームワークに参加する方法
11.Rules for identity service providers 11.IDサービスプロバイダのためのルール
12.Rules for attribute service providers 12.属性サービスプロバイダのための規則
13.Rules for all identity and attribute service providers 13.全てのID・属性サービス提供者のためのルール
14.Rules for orchestration service providers 14.オーケストレーションサービスプロバイダのためのルール
15.Rules for all identity, attribute and orchestration service providers 15.ID、属性、オーケストレーションサービスプロバイダ共通のルール
16.Table of standards, guidance and legislation 16.標準、ガイダンス、および法規制の表
Glossary of terms and definitions 用語集と定義

 

参考

アルファバージョン

● Gov U.K. - Government - Cyber security

・2021.08 Policy paper UK digital identity and attributes trust framework - alpha version 2

 

Fig1_20211219053501


 

まるちゃんの情報セキュリ気まぐれ日記

・2022.01.19 英国 デジタル・文化・メディア・スポーツ省 ガイダンス:就労権、賃借権、犯罪歴確認のためのデジタルID認証

・2021.02.17 英国 デジタルID・属性のフレームワーク案の意見募集

 

 

| | Comments (0)

2022.06.14

NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

こんにちは、丸山満彦です。

サイバーセキュリティとERMとの連携である、NISTIR 8286シリーズが充実してきていますね。。。

サイバーセキュリティ対策を考える場合に、よくリスク分析によって、、、と言われますが、その方法論(COSO ERMを敷衍しているような部分もありますが)についての文書がNISTIR 8286シリーズという感じですかね。。。

8286Dは、リスクの優先順位付けと対応にビジネス影響分析を利用する方法についての文書のようですね。。。ビジネス影響度分析が可用性に特に利用されていたという前提がありますね。。。もちろん、可用性にとっての重要な要因はビジネス影響(発生可能性はあまり考慮しない・・・)なので、それはわからないわけではないのですが、必ずしもそうでもないと思います。。。

 

● NIST -ITL

・2022.06.09 NISTIR 8286D (Draft) Using Business Impact Analysis to Inform Risk Prioritization and Response

 

NISTIR 8286D (Draft) Using Business Impact Analysis to Inform Risk Prioritization and Response NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネス影響分析を使用する方法
Announcement 発表内容
Traditional business impact analyses (BIAs) have been successfully used for business continuity and disaster recovery (BC/DR) by triaging damaged infrastructure recovery actions that are primarily based on the duration and cost of system outages (i.e., availability compromise). However, BIA analyses can be easily expanded to consider other cyber-risk compromises and remedies. 従来のビジネス影響分析(BIA)は、主にシステム停止の期間とコスト(すなわち可用性の低下)に基づいて、損傷したインフラの復旧アクションをトリアージすることにより、事業継続と災害復旧(BC/DR)にうまく利用されてきました。しかし、BIA分析は、他のサイバーリスクの侵害と救済を考慮するように簡単に拡張することができます。
This initial public draft of NIST IR 8286D provides comprehensive asset confidentiality and integrity impact analyses to accurately identify and manage asset risk propagation from system to organization and from organization to enterprise, which in turn better informs Enterprise Risk Management deliberations. This document adds expanded BIA protocols to inform risk prioritization and response by quantifying the organizational impact and enterprise consequences of compromised IT Assets. NIST IR 8286Dの最初の公開草案は、資産の機密性と完全性の影響に関する包括的な分析を提供し、システムから組織、組織から企業への資産リスクの伝播を正確に特定、管理し、企業リスク管理の審議により良い情報を提供するものである。本文書では、BIAプロトコルを拡張し、IT資産の侵害による組織への影響と企業への影響を定量化することで、リスクの優先順位付けと対応策を通知します。
Abstract 概要
While business impact analysis (BIA) has historically been used to determine availability requirements for business continuity, the process can be extended to provide broad understanding of the potential impacts to the enterprise mission from any type of loss. The management of enterprise risk requires a comprehensive understanding of the mission-essential functions (i.e., what must go right) and the potential risk scenarios that jeopardize those functions (i.e., what might go wrong). ビジネス影響分析(BIA)は、歴史的に事業継続のための可用性要件を決定するために使用されてきましたが、このプロセスは、あらゆる種類の損失が企業のミッションに与える潜在的な影響を幅広く理解するために拡張することが可能です。企業リスクの管理には、ミッションに不可欠な機能(すなわち、何がうまくいかなければならないか)と、それらの機能を危険にさらす潜在的なリスクシナリオ(すなわち、何がうまくいかない可能性があるか)を包括的に理解することが必要です。
The process described in this publication helps leaders determine which assets enable the achievement of mission objectives and to evaluate the factors that render assets as critical and sensitive. Based on those factors, enterprise leaders provide risk directives (i.e., risk appetite and tolerance) as input to the BIA. System owners then apply the BIA to developing asset categorization, impact values, and requirements for the protection of critical or sensitive assets. The output of the BIA is the foundation for ERM/CSRM process, as described in the NISTIR 8286 series, and enables consistent prioritization, response, and communication regarding information security risk. 本文書で説明するプロセスは、リーダーが、どの資産がミッション目標の達成を可能にするかを判断し、資産を重要かつ機密であると判断する要因を評価するのに役立地ます。これらの要因に基づき、企業のリーダーはリスク指令(すなわち、リスク選好度と許容度)をBIAへの入力として提供します。次にシステム所有者は、BIAを適用して、資産の分類、影響度、および重要資産や機密資産の保護要件を作成します。BIAの出力は、NISTIR8286シリーズに記載されているように、ERM/CSRMプロセスの基礎となり、情報セキュリティリスクに関する一貫した優先順位付け、対応、およびコミュニケーションを可能にします。

 

・[PDF] NISTIR 8286D (Draft) 

20220614-15242

エグゼクティブサマリー・・・

Executive Summary  エグゼクティブサマリー 
Risk is measured in terms of impact on enterprise mission, so it is vital to understand the various information and technology (IT) assets whose functions enable that mission. Each asset has a value to the enterprise. For government enterprises, many of those IT assets are key components for supporting critical services provided to citizens. For corporations, IT assets have a direct influence on enterprise capital and valuation, and IT risks can have a direct impact on the balance sheet or budget. For each type of enterprise, it is both vital and challenging to determine the conditions that will truly impact a mission. Today’s government agencies continue to provide critical services, yet they must also adhere to priority directives from senior leaders. In the commercial world, mission priority is often driven by long-term goals as well as factors that might impact the next quarter’s earnings call. Therefore, it is highly important to continually analyze and understand the enterprise resources that enable enterprise objectives and that can be jeopardized by cybersecurity risks. リスクは、企業のミッションに与える影響という観点から測定されるため、そのミッションを実現する機能を持つさまざまな情報および技術(IT)資産を理解することが不可欠です。各資産は、企業にとって価値があります。政府系企業の場合、IT資産の多くは市民に提供される重要なサービスを支える重要なコンポーネントである。企業の場合、IT資産は企業の資本や評価に直接影響を与え、ITリスクは貸借対照表や予算に直接影響を与える可能性がある。それぞれの企業にとって、ミッションに真に影響を与える状況を見極めることは、重要であると同時に難しいことでもあります。今日の政府機関は、重要なサービスを提供し続ける一方で、上級指導者からの優先的な指示を遵守しなければなりません。商業の世界では、ミッションの優先順位は、長期的な目標や次の四半期の収支に影響を与えるような要因によって左右されることがよくあります。したがって、企業の目標を実現し、サイバーセキュリティのリスクによって危険にさらされる可能性のある企業リソースを継続的に分析し、理解することが非常に重要です。
The NIST Interagency or Internal Report (NISTIR) 8286 series has coalesced around the risk register as a construct for storing and a process for communicating risk data [NISTIR8286]. Another critical artifact of risk management that serves as both a construct and a means of communication with the risk register is the Business Impact Analysis (BIA) Register.  The BIA examines the potential impact associated with the loss or degradation of an enterprise’s technology-related assets based on a qualitative or quantitative assessment of the criticality and sensitivity of those assets and stores the results in the BIA Register. An asset criticality or resource dependency assessment identifies and prioritizes the information assets that support the enterprise’s critical missions. Similarly, assessments of asset sensitivity identify and prioritize information assets that store, process, or transmit information that must not be modified or disclosed to unauthorized parties. In the cybersecurity realm, the use of the BIA has historically been limited to calculations of quality-based and time-based objectives for incident handling (including continuity of operations and disaster recovery).  NIST Interagency or Internal Report (NISTIR) 8286 シリーズは、リスクデータを保存し、伝達するためのプロセスとして、リスクレジスタを中心にまとまりました [NISTIR8286]。リスク登録の構成とコミュニケーション手段の両方として機能するリスクマネジメントのもう一つの重要な成果物は、事業影響分析(BIA)登録です。 BIAは、企業の技術関連資産の損失または劣化に関連する潜在的な影響を、それらの資産の重要性と感受性の定性的または定量的評価に基づいて調査し、その結果をBIA登録に保存するものである。資産の重要性またはリソース依存の評価では、企業の重要なミッションを支える情報資産を特定し、優先順位をつける。同様に、資産の機密性の評価では、不正な者に変更または開示されてはならない情報を保存、処理、または伝送する情報資産を特定し、優先順位を付けます。サイバーセキュリティの分野では、BIAの使用は歴史的に、インシデント処理(業務継続や災害復旧を含む)のための品質ベースおよび時間ベースの目標の計算に限られています。
Because the BIA serves as a nexus for understanding risk (which is the measurement of uncertainty on the mission), it provides a basis for risk appetite and tolerance values as part of the enterprise risk strategy[1].  That guidance supports performance and risk metrics based on the relative value of enterprise assets to communicate and monitor CSRM activities, including measures determined to be key performance indicators (KPIs) and key risk indicators (KRIs). BIA supports asset classification that drives requirements, risk communications, and monitoring. BIAはリスク(ミッションに関する不確実性の測定)を理解するための結節点として機能するため、企業リスク戦略の一環としてリスク選好度と許容値の根拠となります[1]。 そのガイダンスは、CSRM活動の伝達と監視のために、企業資産の相対的価値に基づくパフォーマンスとリスクの指標をサポートし、重要業績評価指標(KPI)や重要リスク指標(KRI)と判断される指標も含まれます。BIAは、要件、リスクコミュニケーション、およびモニタリングを推進するための資産分類をサポートします。

Expanding use of the BIA to include confidentiality and integrity considerations supports comprehensive risk analysis. The basis of asset valuation on enterprise impact helps to better align risk decisions to enterprise risk strategy. CSRM/ERM integration helps to complete the risk cycle by informing future iterations of impact analysis based on previous information gained through cybersecurity risk register (CSRR) aggregation, as detailed in NISTIR 8286C. As organizational and enterprise leaders gain an understanding of aggregate risk exposure and composite impact, that information helps adjust risk expectations (including business impact guidance to ensure ongoing balance among asset value, resource optimization, and risk considerations). BIAの利用を拡大し、機密性と完全性への配慮を含めることで、包括的なリスク分析が可能になる。企業への影響に基づく資産評価により、リスクに関する意思決定と企業のリスク戦略との整合性を高めることができます。CSRM/ERMの統合は、NISTIR8286Cに詳述されているように、サイバーセキュリティリスク登録(CSRR)集計を通じて得られた過去の情報に基づいて影響度分析の将来の反復に情報を提供することによって、リスクサイクルを完成させるのに役立ちます。組織と企業のリーダーは、集約されたリスクエクスポージャーと複合的な影響について理解することで、その情報はリスク予想を調整するのに役立ちます(資産価値、リソース最適化、リスク考慮の間で継続的にバランスを保つためのビジネス影響ガイダンスを含む)。
The BIA process enables system owners to record the benefits provided by an asset by considering the contribution to the enterprise, particularly in terms of mission, finance, and reputational aspects. Informed about how each asset supports enterprise value, system owners can then work with risk managers to determine the implications of uncertainty on those assets. BIAプロセスにより、システム所有者は、特にミッション、財務、評判の側面から企業への貢献を考慮し、資産によってもたらされる利益を記録することができます。各資産がどのように企業価値を支えているかを把握した上で、システムオーナーはリスクマネージャーと協力し、不確実性がこれらの資産に及ぼす影響を判断することができるのです。
It is more critical than ever to have centralized and reliable asset information recorded in the BIA Register since enterprises increasingly rely on various types of information and communications technology (ICT) resources, which are increasingly targeted by adversaries. The BIA process provides information that can be consistently recorded in a centralized registry of important asset management information, such as system ownership, contact information for key stakeholders, and characteristics of the physical devices (or services). Since asset management is an important element of cybersecurity risk management, this information is quite valuable for protecting the asset, detecting cyber events, responding quickly to potential issues, and recovering services when necessary. 企業はますます様々なタイプの情報通信技術(ICT)リソースに依存するようになっており、敵対勢力に狙われる可能性が高まっているため、BIA登録に記録される一元的で信頼できる資産情報がこれまで以上に重要となっています。BIAプロセスは、システムの所有権、主要な関係者の連絡先、物理的な装置(またはサービス)の特性など、重要な資産管理情報を一元的に登録し、一貫して記録できる情報を提供するものです。資産管理はサイバーセキュリティのリスク管理の重要な要素であるため、この情報は資産の保護、サイバーイベントの検出、潜在的な問題への迅速な対応、必要時のサービスの回復にとって非常に貴重なものです。
Public- and private-sector enterprises must maintain a continual understanding of potential business impacts, the risk conditions that might lead to those impacts, and the steps being taken (as recorded in various risk registers and, ultimately, in the Enterprise Risk Profile). In many cases, when a company or agency is asked about risks, they are being asked to describe potential impacts. Companies must describe the risk factors that could have a material adverse effect on the enterprise’s financial position, its ability to operate, or its corporate cash flow. Agencies must report to legislative and regulatory stakeholders about adverse impacts that could impair agency funding and mission. Use of the BIA methodology to categorize the criticality and sensitivity of enterprise assets enables effective risk management and the subsequent integration of reporting and monitoring at the enterprise level to ensure that risk and resource utilization are optimized in light of the value of those assets. 公共部門および民間部門の組織体は、潜在的なビジネスへの影響、その影響をもたらす可能性のあるリスク状況、および講じている措置(各種リスク登録、最終的にはエンタープライズ・リスク・プロファイルに記録されている)を継続的に理解しておく必要があります。多くの場合、企業や機関がリスクについて問われるとき、それは潜在的な影響について説明するよう求められています。企業は、企業の財政状態、経営能力、または企業のキャッシュフローに重大な悪影響を及ぼす可能性のあるリスク要因を記述しなければなりません。省庁は、省庁の資金や使命を損なう可能性のある悪影響について、立法・規制関係者に報告しなければなりません。BIAの手法を使用して組織体の資産の重要度と機密性を分類することにより、効果的なリスク管理が可能になり、その後の組織体レベルでの報告とモニタリングの統合により、リスクとリソースの利用がこれらの資産の価値に照らして最適化されることを保証します。
[1] OMB Circular A-123 defines risk appetite as “the broad-based amount of risk an organization is willing to accept in pursuit of its mission/vision. It is established by the organization’s most senior level leadership and serves as the guidepost to set strategy and select objectives.” The same document defines risk tolerance as “the acceptable level of variance in performance relative to the achievement of objectives.”
[1] OMB Circular A-123では、リスク選好度を「組織がその使命/ビジョンを追求するために受け入れようとする広範なリスク量。組織の最上位レベルのリーダーシップによって確立され、戦略を設定し、目標を選択するための道標として機能する」と定義しています。同文書では、リスク許容度を 「目標達成に対する業績の分散の許容度」と定義しています。

 

目次...

 

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Benefits of Extending the BIA for All Risk Types 1.1 すべてのリスクタイプにBIAを拡張するメリット
1.2 Foundational Practices for Business Impact Analysis 1.2 ビジネス影響解析の基礎的な実施事項
1.3 Document Structure 1.3 ドキュメント構造
2 Cataloging and Categorizing Assets Based on Enterprise Value 2 組織体の価値に基づく資産のカタログ化および分類
2.1 Identification of Enterprise Business Asset Types 2.1 エンタープライズビジネスアセットタイプの特定
2.2 The Business Impact Analysis Process 2.2 ビジネス影響分析プロセス
2.3 Determining Asset Value to Support CSRM Activities 2.3 CSRM活動を支援するための資産価値の決定
2.4 Determining Loss Scenarios and Their Consequences 2.4 損失シナリオとその結果の決定
2.5 Business Impact Analysis in Terms of Criticality and Sensitivity 2.5 重要度と感受性の観点からのビジネス影響分析
2.6 Using a BIA to Record Interdependencies 2.6 相互依存性を記録するためのBIAの使用
2.7 Consistent Business Impact Analysis Through an Enterprise Approach 2.7 エンタープライズ・アプローチによる一貫したビジネス影響分析
2.8 Using a BIA to Support an Enterprise Registry of System Assets 2.8 システム資産のエンタープライズ登録をサポートするためのBIAの使用
3 Conclusion 3 まとめ
References 参考文献
List of Appendices 附属書一覧
Appendix A— Acronyms 附属書A - 頭字語
List of Figures 図表一覧
Figure 1: Integration of BIA Process with Cybersecurity Risk Management 図1:BIAプロセスとサイバーセキュリティリスクマネジメントの統合
Figure 2: Level 3 BIA Activities 図2:レベル3のBIA活動
Figure 3: Impacts of Enterprise Assets for a Business or Agency 図3:企業資産の企業や機関への影響
Figure 4: Elements of Information Risk Identification (from NISTIR 8286A) 図4:情報リスク識別の要素(NISTIR8286Aより)

 

図1:BIAプロセスとサイバーセキュリティリスクマネジメントの統合

Fig1_20220614023601

Step A – Based on the enterprise mission, executives identify the systems and services that represent “mission/business-critical functions” that are essential to the successful operation of the enterprise. Based on that list, the executives and senior leaders identify the enterprise-level assets[4] that enable those functions. Those assets inherit the criticality/priority of the functions they support.  ステップ A - 企業のミッションに基づき、エグゼクティブは、組織体の正常な運営に不可欠な「ミッション/ビジネスクリティカルな機能」を表すシステムとサービスを特定する。そのリストに基づいて、エグゼクティブとシニアリーダーは、それらの機能を実現する組織体レベルの資産[4]を特定する。これらの資産は、サポートする機能の重要度/優先度を引き継ぐ。
Step B – Leaders establish and communicate the risk appetite associated with those enterprise assets, and organizational managers determine the resulting risk tolerance.  ステップ B - リーダーは、それらの企業資産に関連するリスク許容度を設定し、伝達し、組織管理者は、その結果としてのリスク許容度を決定する。
Step C – As part of the CSRM process, the system owner will determine the extent to which every system or activity enables a mission/business-critical function (as illustrated in Figure 2). The criticality/priority direction from leaders, expressed through risk appetite/risk tolerance statements (Step B), is used to help determine what the impact of losses would be on confidentiality, integrity, or availability. That impact understanding and the basis for those determinations are recorded in the system BIA Register.  ステップ C - CSRMプロセスの一環として、システム所有者は、すべてのシステムまたはアクティビティが、ミッション/ビジネスクリティカルな機能(図2に図示)をどの程度可能にするかを決定する。リスク選好度/リスク許容度ステートメント(ステップB)を通じて表現されたリーダーからの重要度/優先度の指示は、損失が機密性、完全性、または可用性に及ぼす影響を判断するために使用される。その影響の把握とその判断の根拠は、システムのBIA登録に記録される。
Fig2_20220614030001
  • 機密性による損失の影響の文書化
  • 完全性による損失の影響の文書化
  • 可用性による損失の影響の文書化
  • 資産の重要度・機微性の分類
  • BIA登録への追加・更新
Figure 2: Level 3 BIA Activities
図2:レベル3のBIA活動
Step D – The analysis and results provide the input into the CSRM process illustrated in the diagram and described in NISTIRs 8286A, 8286B, and 8286C.   ステップ D - 分析と結果は、図に示され、NISTIRs 8286A、8286B、8286Cで説明されているCSRMプロセスへのインプットを提供する。 
Step E – Residual risks, particularly those that impact critical and sensitive resources, are highlighted in the Level 2 risk registers as those CSRRs are normalized and aggregated.  Of important note is that cybersecurity is one component of technology risk that feeds operational risks (OpRisk).  ステップ E - 残留リスク、特に重要で機密性の高いリソースに影響を与えるリスクは、CSRR が正規化され、集約されることで、レベル 2 リスク登録でハイライトされる。 重要なことは、サイバーセキュリティは、オペレーショナルリスク(OpRisk)を養うテクノロジーリスクの1つの要素であるということである。
Step F – Enterprise leaders consider the results of ongoing risk activities reported through Level 2 CSRRs as integrated into an Enterprise Cybersecurity Risk Register (E-CSRR) and assess the aggregate impact of the Level 3 and Level 2 risks. This understanding of the composite impact on “mission/business-critical functions” (including OpRisk) is used to prioritize risk response based on enterprise finance, mission, and reputation consequences[5].  Composite understanding also helps to confirm that risks are within the stated risk appetite or to identify necessary adjustments. If adjustments are necessary, an action plan is created that will result in the appropriate increase or decrease of risk appetite to achieve the appropriate impact levels. ステップ F - 組織体のリーダーは、組織体のサイバーセキュリティリスク登録(E-CSRR)に統合されたレベル 2 CSRR を通じて報告された進行中のリスク活動の結果を考慮し、レベル 3 とレベル 2 リスクの複合的な影響を評価する。この「ミッション/ビジネスクリティカルな機能」(OpRisk を含む)に対する複合的な影響の理解は、企業財務、ミッション、レピュテーションへの影響に基づいてリスク対応の優先順位を決めるために使用される[5]。 複合的な理解はまた、リスクが定められたリスクアペタイトの範囲内にあることを確認したり、必要な調整を特定したりするのにも役立つ。調整が必要な場合は、適切な影響レベルを達成するために、リスクアペタイトを適切に増減させるアクションプランが作成される。
[4] The term ‘asset’ or ‘assets’ is used in multiple frameworks and documents. For the purposes of this publication, ‘assets’ are defined as technologies that may comprise an information system.  Examples include laptop computers, desktop computers, servers, sensors, data, mobile phones, tablets, routers, and switches.  In instances where the authors mean ‘assets’ as they appear on a balance sheet, the word ‘asset’ will be proceeded by words such as ‘high-level’ or ‘balance sheet’ or ‘Level 1’ to differentiate context.  [4] 「資産」または「資産」という用語は、複数のフレームワークや文書で使用されています。本書では、「資産」を情報システムを構成する可能性のある技術として定義しています。 例えば、ノートパソコン、デスクトップパソコン、サーバー、センサー、データ、携帯電話、タブレット端末、ルーター、スイッチなどである。 著者が貸借対照表上の「資産」を意味する場合、文脈を区別するために、「資産」という語の後に「ハイレベル」、「貸借対照表」、「レベル1」などの語を付すことにしている。
[5] Operational risk is discussed more fully in NISTIR 8286C Section 3.1.  [5] オペレーショナルリスクについては、NISTIR8286Cの3.1節でより詳細に議論されている。

 

 

NISTIR 8286 関連

Date St. Web PDF  
2020.10.13  Final NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)  サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
2021.11.12  Final NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
2022.02.10  Final NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management  エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
2022.01 26  draft NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
2022.06.09 draft NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response リスクの優先順位付けと対応にビジネス影響分析を使用する方法

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

関連する情報

・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

COSO 関連

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

少し(^^)遡ります。。。

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)

次の3つは歴史を知る上でも重要↓

・2006.08.28 SAS No.55の内部統制の要素

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

この4つは歴史的にも重要かもですね。。。↓

・2006.05.10 CoCoにおける取締役会の統制上の責任

・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」

・2006.04.24 米国 30年前のIT全般統制の項目

・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

・2005.01.30 NHK COSOを導入

| | Comments (0)

2022.06.11

NIST NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定

こんにちは、丸山満彦です。

NISTが、NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定を公表し、意見募集をしていますね。。。

なかなか興味深い報告書です。。。

 

● NIST - ITL

・2022.06.08 NISTIR 8409 (Draft) Measuring the Common Vulnerability Scoring System Base Score Equation

NISTIR 8409 (Draft) Measuring the Common Vulnerability Scoring System Base Score Equation NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定
Announcement 発表
Calculating the severity of information technology vulnerabilities is important for prioritizing vulnerability remediation and helping to understand the risk of a vulnerability. The Common Vulnerability Scoring System (CVSS) is a widely used approach to evaluating properties that lead to a successful attack and the effects of a successful exploitation. CVSS is managed under the auspices of the Forum of Incident Response and Security Teams (FIRST) and is maintained by the CVSS Special Interest Group (SIG). Unfortunately, ground truth upon which to base the CVSS measurements has not been available. Thus, CVSS SIG incident response experts maintain the equations by leveraging CVSS SIG human expert opinion. 情報技術の脆弱性の深刻度を計算することは、脆弱性修正の優先順位付けや、脆弱性のリスクの把握に役立つため、重要です。共通脆弱性評点システム(CVSS)は、攻撃の成功につながる特性や悪用が成功した場合の影響を評価するためのアプローチとして広く利用されています。CVSSは、FIRSTの後援を受け、CVSS Special Interest Group (SIG)によって維持管理されています。残念ながら、CVSS測定の基礎となるグランド・トゥルースは利用可能ではありません。そのため、CVSS SIGのインシデントレスポンスの専門家が、CVSS SIGの人間の専門家の意見を活用し、数式を維持しています。
This work evaluates the accuracy of the CVSS “base score” equations and shows that they represent the CVSS maintainers' expert opinion to the extent described by these measurements. NIST requests feedback on the approach, the significance of the results, and any CVSS measurements that should have been conducted but were not included within the initial scope of this work. Finally, NIST requests comments on sources of data that could provide ground truth for these types of measurements. この研究では、CVSSの「基礎評点」式の精度を評価し、この測定値がCVSSメンテナンス担当者の専門的な意見を表現していることを示しました。NISTは、このアプローチ、結果の重要性、およびこの作業の最初の範囲に含まれなかったが実施されるべきであったCVSS測定に関するフィードバックを求めます。最後に、NISTは、この種の測定にグランドトゥルースを提供できるデータソースについてのコメントを求めています。
Abstract 概要
This work evaluates the validity of the Common Vulnerability Scoring System (CVSS) Version 3 ``base score'' equation in capturing the expert opinion of its maintainers. CVSS is a widely used industry standard for rating the severity of information technology vulnerabilities; it is based on human expert opinion. This study is important because the equation design has been questioned since it has features that are both non-intuitive and unjustified by the CVSS specification. If one can show that the equation reflects CVSS expert opinion, then that study justifies the equation and the security community can treat the equation as an opaque box that functions as described. この研究は、共通脆弱性評点システム(CVSS) 第3版 の「基礎評点」式の有効性を、その保守者の専門的な意見を反映させることで評価するものです。CVSSは、情報技術の脆弱性の深刻度を評価するために広く利用されている業界標準であり、人間の専門家の意見に基づいています。この研究は、CVSSの仕様から直感的でなく、正当化できない特徴を持つ方程式の設計が疑問視されているため、重要です。もし、数式がCVSS専門家の意見を反映していることを示すことができれば、その研究は数式を正当化し、セキュリティコミュニティは数式を説明どおりに機能する不透明な箱として扱うことができます。
This work shows that the CVSS base score equation closely though not perfectly represents the CVSS maintainers' expert opinion. The CVSS specification itself provides a measurement of error called ``acceptable deviation'' (with a value of 0.5 points). In this work, the distance between the CVSS base scores and the closest consistent scoring systems (ones that completely conform to the recorded expert opinion) is measured. The authors calculate that the mean scoring distance is 0.13 points and the maximum scoring distance is 0.40 points. The acceptable deviation was also measured to be 0.20 points (lower than claimed by the specification). These findings validate that the CVSS base score equation represents the CVSS maintainers' domain knowledge to the extent described by these measurements. この研究は、CVSS基礎評点の式が、完全ではないものの、CVSS保守者の専門家の意見を忠実に反映していることを示しました。CVSS仕様自体は、「許容距離」(0.5点の値)と呼ばれる誤差の測定法を提供しています。この研究では、CVSSの基礎評点と、最も整合性の高い評点システム(記録された専門家の意見に完全に適合するもの)との間の距離を測定しています。著者らは、平均得点距離は0.13点、最大得点距離は0.40点であると計算しています。また、許容距離は0.20点と測定されました(仕様で主張されている値より低い)。これらの結果は、CVSSの基礎評点式がCVSS保守者のドメイン知識をこれらの測定で説明される程度に表していることを検証するものです。

 

・[PDF] NISTIR 8409 (Draft)

20220610-151106

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
2 Common Vulnerability Scoring System 2 共通脆弱性評点システム
2.1 CVSS Base Score Metrics 2.1 CVSS基礎評点の指標
2.2 CVSS Base Score Equations 2.2 CVSS 基礎評点の計算式
3 Rationale for the CVSS Base Score Equations 3 CVSS 基礎評点評点式の根拠
3.1 Development of the CVSS Base Score Equation 3.1 CVSS基礎評点評点式の開発
3.2 Acceptable Deviation 3.2 許容距離
4 Metrology Tools, Metrics, and Algorithms 4 計測ツール、計測指標、アルゴリズム
4.1 Knowledge Encoder Tool 4.1 知識エンコーダツール
4.2 Knowledge Constraint Graphs 4.2 知識制約グラフ
4.2.1 Equivalency Sets 4.2.1 等価性セット
4.2.2 Magnitude Measurements 4.2.2 マグニチュード測定
4.2.3 Simplifed Graphs 4.2.3 簡略化されたグラフ
4.3 Inconsistency Metrics for Knowledge Constraint Graphs 4.3 知識制約グラフの非整合性指標
4.4 Voting Unifcation Algorithm 4.4 投票統一アルゴリズム
4.4.1 Analysis of Votes 4.4.1 投票の分析
4.4.2 Priority Ordering 4.4.2 優先順位付け
4.4.3 Unifed Graph Construction 4.4.3 統一されたグラフの構築
4.4.4 Description of Constructed Graph 4.4.4 構築されたグラフの説明
5 Data Collection and Processing 5 データ収集と処理
5.1 Data Set of Analyzed Vectors 5.1 解析対象ベクターのデータセット
5.2 Volunteer Participants 5.2 ボランティア参加者
5.3 Produced Knowledge Constraint Graphs 5.3 作成された知識制約グラフ
5.4 Knowledge Constraint Graph Inconsistency Measurements 5.4 知識制約グラフの非整合性の測定
5.4.1 Graph f00 5.4.1 グラフf00
5.4.2 Graph 977 5.4.2 グラフ977
5.5 Unifed Knowledge Constraint Graph 5.5 統一された知識制約グラフ
5.6 Optimal Number of Equivalency Sets 5.6 最適な等価集合の数
6 Measurement Approach 6 測定方法
6.1 Consistent Scoring Systems 6.1 無矛盾な採点システム
6.1.1 Scoring System Defnition 6.1.1 評点リング・システムの定義
6.1.2 Consistent Scoring System Defnition 6.1.2 無矛盾な評点システムの定義
6.2 Generation of a Closest Consistent Scoring System 6.2 最も近い無矛盾性評点システムの生成
6.3 Measurement Methodology 6.3 測定方法
7 Measurement Results 7 測定結果
7.1 Mean Scoring Distance 7.1 平均得点距離
7.2 Maximum Scoring Distance 7.2 最大採点距離
7.3Acceptable Deviation 7.3 許容距離
7.4 Increasing Accuracy with More Data 7.4 より多くのデータによる精度の向上
8 Interpretation of Results and Related Work 8 結果の解釈と関連研究
9 Conclusion 9 まとめ
References 参考文献
List of Appendices 附属書一覧
Appendix A—Acronyms 附属書A - 頭字語
Appendix B- Set of Evaluated CVSS vectors 附属書B - 評価済みCVSSベクトル集合
Appendix C- Encoded Knowledge Constraint Graphs 附属書C - 符号化された知識制約グラフ

 

エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
The Common Vulnerability Scoring System (CVSS) Version 3 maintained by the CVSS Special Interest Group (SIG) is a widely used industry standard for characterizing the properties of information technology vulnerabilities and measuring their severity. It is based on human expert opinion. Vulnerability properties are characterized through a multidimensional vector. The severity is defned primarily through a multi-part “base score” equation, with 8 input metrics, that is not readily amenable to human comprehension.  CVSS Special Interest Group (SIG) によって維持されている 共通脆弱性評点システム、 (CVSS) 第3版 は、情報技術の脆弱性の特性を特徴付け、その深刻度を測定するために広く使用されている業界標準です。CVSSは、人間の専門家の意見に基づいています。脆弱性の特性は、多次元ベクトルによって特徴づけられます。深刻度は、主に8つの入力指標を持つ多部構成の「基礎評点」式によって定義されますが、これは人間の理解には容易ではありません。
To develop the equation, CVSS SIG members frst described a set of real vulnerabilities using CVSS vectors and assigned them one of fve severity levels. This created a partial lookup table mapping vectors to severity levels. They then defned a target score range for each severity level and created an equation to attempt to map each vector to a score within the specifed score range. Finally, they reviewed the equation’s scoring of vectors not included in the partial lookup table to evaluate the effectiveness of the equation on the full set of possible vectors. Since the equation could not perfectly map vectors to score ranges, the CVSS Version 3.1 specifcation provides a measurement of error (an ‘acceptable deviation’ of 0.5 points). However, suffcient information is not provided to reproduce the experiment.  この方程式を開発するために、CVSS SIGのメンバーはまず、CVSSベクトルを使用して一連の実際の脆弱性を記述し、5つの深刻度レベルのうちの1つを割り当てました。これにより、ベクターと重要度レベルを対応させた部分的なルックアップテーブルが作成されました。次に、各重要度レベルの目標評点範囲を定義し、各ベクトルを指定された評点範囲内の評点に対応付けることを試みる方程式を作成しました。最後に,部分ルックアップテーブルに含まれていないベクトルに対する方程式の評点を確認し,可能性のあるすべてのベクトルに対する方程式の有効性を評価した.この方程式はベクターを評点範囲に完全に対応付けることができないため、CVSSバージョン3.1の仕様では、誤差の測定値(0.5点の「許容距離」)を提供しています。しかし、実験を再現するのに十分な情報は提供されていない。
This work measures the degree to which the CVSS base score equation refects the CVSS SIG expert domain knowledge while providing a reproducible justifcation for the measurements. It starts not from a set of real vulnerabilities, as the CVSS SIG did, but from a set of 66 vulnerability types (i.e., CVSS vectors) that represent 90 % of the vulnerabilities published by the U.S. National Vulnerability Database. CVSS SIG experts then evaluate these vulnerability types and encode their knowledge as constraint graphs; sets of graphs are then unifed using a voting algorithm. These unifed graphs represent sets of consistent scoring systems (mappings of vectors to scores).  この研究では、CVSS基礎評点の式がCVSS SIG専門家のドメイン知識をどの程度反映しているかを測定し、測定値に対して再現可能な正当性を提供します。CVSS SIGのように実際の脆弱性の集合からではなく、米国の国家脆弱性データベースによって公開された脆弱性の90%を占める66種類の脆弱性(すなわちCVSSベクトル)の集合から開始します。次に、CVSS SIGの専門家がこれらの脆弱性の種類を評価し、その知識を制約グラフとして表現します。そして、グラフの集合は投票アルゴリズムを用いて単一化されます。これらの統一されたグラフは、一貫した採点システム(ベクトルと評点のマッピング)の集合を表します。
The consistent scoring system closest to the CVSS Version 3.1 scores was found, and the distance between the scores and the closest consistent scoring system scores was measured. These measurements represent the degree to which the CVSS v3.1 base score equation represents the CVSS SIG expert domain knowledge.  CVSS 第3.1版の評点に最も近い一貫した採点システムを見つけ、その評点と最も近い一貫した採点システムの評点との間の距離を測定した。これらの測定値は、CVSS v3.1の基礎評点式がCVSS SIG専門家のドメイン知識をどの程度表しているかを表しています。
Using this approach, the mean and maximum distance of the CVSS v3.1 scores compared to the closest consistent scoring system scores was measured and the acceptable deviation was recalculated. Unlike acceptable deviation, the new distance metrics measure the score values themselves separate from the severity levels. Using all 12 CVSS SIG inputs, the mean scoring distance is 0.13 points, the maximum scoring distance is 0.40 points, and the acceptable deviation is 0.20 points. Sets of 11 out of 12 of the inputs were used to calculate precision measurements (i.e., standard deviation).  この方法を用いて、最も近い一貫性のある採点システムの評点と比較したCVSS 第3.1版の評点の平均距離と最大距離が測定され、許容距離が再計算されました。許容距離とは異なり、新しい距離メトリックは、深刻度レベルとは別に評点値そのものを測定します。12のCVSS SIGインプットすべてを使用した場合、平均評点リング距離は0.13点、最大評点リング距離は0.40点、許容距離は0.20点となりました。12個の入力のうち11個の入力は、精度の測定(すなわち標準距離)を計算するために使用されました。
These fndings validate that the CVSS base score equation functions as described (to the extent described by these measurements); it represents the encoded CVSS SIG domain knowledge. The measurements support the equation as defned. The security community may use it as an opaque box without understanding the internal functionality.  これらの結果は、CVSS基礎評点の式が(これらの測定値によって記述される範囲において)記述されたとおりに機能することを検証するもので、それは符号化されたCVSS SIGドメイン知識を表しています。測定結果は、定義された方程式をサポートしています。セキュリティコミュニティは、内部機能を理解することなく、不透明な箱としてそれを使用することができます。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

CVSSが脆弱性についての数値をアウトプットとして出すのに対して、SSVCはとるべき対応をアウトプットして出すということで、具体的な対策に結びつける方法・・・

・2021.04.30 カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。

 

昔に遡り。。。

・2010.10.25 IPA 共通脆弱性評価システムCVSS概説

・2007.04.26 JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました

 

 

| | Comments (0)

2022.06.10

NIST SP 800-160 Vol.1 Rev.1(ドラフト)信頼性の高いセキュアなシステムのエンジニアリング

こんにちは、丸山満彦です。

NISTが、SP 800-160 Vol.1 Rev.1(ドラフト)信頼性の高いセキュアなシステムのエンジニアリングを公表し、意見を募集していますね。。。

● NIST -ITL

・2022.06.07 SP 800-160 Vol. 1 Rev. 1 (Draft) Engineering Trustworthy Secure Systems

SP 800-160 Vol. 1 Rev. 1 (Draft) Engineering Trustworthy Secure Systems SP 800-160 Vol.1 Rev.1(ドラフト)信頼性の高いセキュアなシステムのエンジニアリング
Announcement 発表内容
This final public draft offers significant content and design changes that include a renewed emphasis on the importance of systems engineering and viewing systems security engineering as a critical subdiscipline necessary to achieving trustworthy secure systems. This perspective treats security as an emergent property of a system. It requires a disciplined, rigorous engineering process to deliver the security capabilities necessary to protect stakeholders’ assets from loss while achieving mission and business success. この最終公開草案では、システム工学の重要性を改めて強調し、システムセキュリティ工学を信頼できる安全なシステムを実現するために必要な重要な下位分野と見なすなど、内容および設計に大きな変更を加えています。この観点では、セキュリティをシステムの創発的な特性として扱います。ミッションとビジネスを成功させながら、利害関係者の資産を損失から守るために必要なセキュリティ機能を提供するためには、規律正しく厳格なエンジニアリングプロセスが必要です。
Bringing security out of its traditional stovepipe and viewing it as an emergent system property helps to ensure that only authorized system behaviors and outcomes occur, much like the engineering processes that address safety, reliability, availability, and maintainability in building spacecraft, airplanes, and bridges. Treating security as a subdiscipline of systems engineering also facilitates making comprehensive trade space decisions as stakeholders continually address cost, schedule, and performance issues, as well as the uncertainties associated with system development efforts. セキュリティを従来の縦割り行政から脱却し、システムの創発的な特性として捉えることで、宇宙船、航空機、橋梁の建設において安全性、信頼性、可用性、保守性に取り組むエンジニアリングプロセスのように、許可されたシステムの動作と結果のみが発生することを保証することができます。また、セキュリティをシステム工学の一分野として扱うことで、利害関係者がコスト、スケジュール、性能の問題や、システム開発努力に伴う不確実性に絶えず対処する中で、包括的な貿易空間の決定を行うことが容易になります。
In particular, this final public draft: 特に、この最終公開草案では
Provides a renewed focus on the design principles and concepts for engineering trustworthy secure systems, distributing the content across several redesigned initial chapters 信頼性の高い安全なシステムを設計するための設計原理と概念に新たに焦点を当て、再設計されたいくつかの章に内容を分散させました。
Relocates the detailed system life cycle processes and security considerations to separate appendices for ease of use 詳細なシステムライフサイクルプロセスとセキュリティに関する考察を、使いやすいように別の附属書に移動しました。
Streamlines the design principles for trustworthy secure systems by eliminating two previous design principle categories 信頼できるセキュアなシステムのための設計原則を、従来の2つの設計原則を削除して簡素化しました。
Includes a new introduction to the system life cycle processes and describes key relationships among those processes システムライフサイクルプロセスを新たに導入し、これらのプロセス間の重要な関係を説明します
Clarifies key systems engineering and systems security engineering terminology 主要なシステム工学及びシステムセキュリティ工学の用語を明確化しました
Simplifies the structure of the system life cycle processes, activities, tasks, and references システムライフサイクルプロセス、アクティビティ、タスク、およびリファレンスの構造を簡素化しました
Provides additional references to international standards and technical guidance to better support the security aspects of the systems engineering process システムエンジニアリングプロセスのセキュリティ面をより良くサポートするために、国際規格や技術ガイダンスを追加参照できるようにしました。
NIST is interested in your feedback on the specific changes made to the publication during this update, including the organization and structure of the publication, the presentation of the material, its ease of use, and the applicability of the technical content to current or planned systems engineering initiatives. NISTは、本書の構成や構造、資料の表示、使いやすさ、現在または計画中のシステムエンジニアリングの取り組みへの技術的内容の適用性など、今回の更新で本書に加えられた特定の変更について、皆様のご意見をお待ちしています。
Abstract 概要
This publication provides a basis for establishing a discipline for systems security engineering (SSE) as part of systems engineering and does so in terms of its principles, concepts, activities, and tasks. The publication also demonstrates how those SSE principles, concepts, activities, and tasks can be effectively applied to systems engineering efforts to foster a common mindset to deliver security for any system, regardless of its purpose, type, scope, size, complexity, or stage of its system life cycle. Ultimately, the intent of the material is to advance the field of SSE as a discipline that can be applied and studied and to serve as a basis for the development of educational and training programs, including the development of professional certifications and other assessment criteria. 本書は、システムズエンジニアリングの一部として、システムセキュリティ工学(SSE)の分野を確立するための基礎を提供し、その原則、概念、活動、およびタスクの観点からそれを行うものです。また、SSEの原則、概念、活動、タスクをシステムズエンジニアリングの取り組みに効果的に適用することで、目的、種類、範囲、規模、複雑さ、システムライフサイクルの段階にかかわらず、あらゆるシステムのセキュリティを実現するための共通の考え方を醸成できることも示していました。最終的に、この資料の意図は、応用と研究が可能な学問としてのSSEの分野を発展させ、専門家認定やその他の評価基準の開発を含む教育・訓練プログラムの開発の基礎となることです。

 

・[PDF] SP 800-160 Vol. 1 Rev. 1 (Draft)

20220610-31721

 

目次...

CHAPTER ONE INTRODUCTION 第1章 はじめに
1.1 PURPOSE AND APPLICABILITY 1.1 目的と適用性
1.2 TARGET AUDIENCE 1.2 対象読者
1.3 HOW TO USE THIS PUBLICATION 1.3 この出版物の使用方法
1.4 ORGANIZATION OF THIS PUBLICATION 1.4 本書の構成
CHAPTER TWO SYSTEMS ENGINEERING OVERVIEW 第2章 システムズエンジニアリングの概要
2.1 SYSTEM CONCEPTS 2.1 システムの概念
2.2 SYSTEMS ENGINEERING FOUNDATIONS 2.2 システムズエンジニアリングの基礎
2.3 TRUST AND TRUSTWORTHINESS 2.3 信頼と信頼性
CHAPTER THREE SYSTEM SECURITY CONCEPTS 第3章 システムセキュリティの概念
3.1 THE CONCEPT OF SECURITY 3.1 セキュリティの概念
3.2 THE CONCEPT OF AN ADEQUATELY SECURE SYSTEM 3.2 十分に安全なシステムの概念
3.3 THE NATURE AND CHARACTER OF SYSTEMS 3.3 システムの性質と特徴
3.4 THE CONCEPT OF ASSETS 3.4 資産の概念
3.5 THE CONCEPTS OF LOSS AND LOSS CONTROL 3.5 損失と損失管理の概念
3.6 REASONING ABOUT ASSET LOSS 3.6 資産損失に関する推論
3.7 PROTECTION NEEDS 3.7 保護の必要性
3.8 SYSTEM SECURITY VIEWPOINTS 3.8 システムセキュリティの視点
3.9 DEMONSTRATING SYSTEM SECURITY 3.9 システムセキュリティの実証
3.10 SYSTEMS SECURITY ENGINEERING 3.10 システムセキュリティエンジニアリング
CHAPTER FOUR SYSTEM SECURITY ENGINEERING FRAMEWORK 第4章 システムセキュリティ工学の枠組み
4.1 THE PROBLEM CONTEXT 4.1 問題のコンテキスト
4.2 THE SOLUTION CONTEXT 4.2 解決策のコンテキスト
4.3 THE TRUSTWORTHINESS CONTEXT 4.3 信頼性のコンテキスト
REFERENCES 参考文献
APPENDIX A GLOSSARY 附属書A 用語集
APPENDIX B ACRONYMS 附属書B 頭字語
APPENDIX C SECURITY POLICY AND REQUIREMENTS 附属書C セキュリティポリシーと要件
C.1 SECURITY POLICY C.1 セキュリティポリシー
C.2 SECURITY REQUIREMENTS C.2 セキュリティ要件
C.3 DISTINGUISHING REQUIREMENTS, POLICY, AND MECHANISMS C.3 要求事項、ポリシー、及びメカニズムの区別
APPENDIX D TRUSTWORTHY SECURE DESIGN 附属書D 信頼できる安全な設計
D.1 DESIGN APPROACH FOR TRUSTWORTHY SYSTEMS D.1 信頼できるシステムのための設計アプローチ
D.2 DESIGN FOR BEHAVIORS AND OUTCOMES D.2 行動と結果のための設計
D.3 SECURITY DESIGN ORDER OF PRECEDENCE D.3 セキュリティ設計の優先順位
D.4 FUNCTIONAL DESIGN CONSIDERATIONS D.4 機能的設計の考慮事項
APPENDIX E PRINCIPLES FOR TRUSTWORTHY SECURE DESIGN 附属書E 信頼できる安全な設計のための原則
E.1 CLEAR ABSTRACTIONS E.1 明確な抽象化
E.2 COMMENSURATE RIGOR E.2 相応の厳密さ
E.3 COMMENSURATE TRUSTWORTHINESS E.3 相応の信頼性
E.4 COMPOSITIONAL TRUSTWORTHINESS E.4 構成的な信頼性
E.5 HIERARCHICAL PROTECTION E.5 階層的な保護
E.6 MINIMAL TRUSTED ELEMENTS E.6 最小限の信頼される要素
E.7 REDUCED COMPLEXITY E.7 複雑性の低減
E.8 SELF-RELIANT TRUSTWORTHINESS E.8 自立した信頼性
E.9 STRUCTURED DECOMPOSITION AND COMPOSITION E.9 構造化された分解と合成
E.10 SUBSTANTIATED TRUSTWORTHINESS E.10 実証された信頼性
E.11 TRUSTWORTHY SYSTEM CONTROL E.11 信頼されるシステム制御
E.12 ANOMALY DETECTION E.12 異常検知
E.13 COMMENSURATE PROTECTION E.13 相応の保護
E.14 COMMENSURATE RESPONSE E.14 相応の応答
E.15 CONTINUOUS PROTECTION E.15 継続的な保護
E.16 DEFENSE IN DEPTH E.16 深層部における防御
E.17 DISTRIBUTED PRIVILEGE E.17 分散型特権
E.18 DIVERSITY (DYNAMICITY) E.18 多様性(動的性)
E.19 DOMAIN SEPARATION E.19 ドメインの分離
E.20 LEAST FUNCTIONALITY E.20 最小限の機能性
E.21 LEAST PERSISTENCE E.21 最小の永続性
E.22 LEAST PRIVILEGE E.22 最小の特権
E.23 LEAST SHARING E.23 最小の共有
E.24 LOSS MARGINS E.24 損失マージン
E.25 MEDIATED ACCESS E.25 仲介されたアクセス
E.26 MINIMIZE DETECTABILITY E.26 検出可能性の最小化
E.27 PROTECTIVE DEFAULTS E.27 保護的デフォルト
E.28 PROTECTIVE FAILURE E.28 保護失敗
E.29 PROTECTIVE RECOVERY E.29 保護回復
E.30 REDUNDANCY E.30 冗長性
APPENDIX F TRUSTWORTHINESS AND ASSURANCE 附属書F 信頼性と保証
F.1 TRUST AND TRUSTWORTHINESS F.1 信頼及び信頼性
F.2 ASSURANCE F.2 保証
APPENDIX G SYSTEM LIFE CYCLE PROCESSES OVERVIEW 附属書G システムライフサイクルプロセスの概要
G.1 PROCESS OVERVIEW G.1 プロセスの概要
G.2 PROCESS RELATIONSHIPS G.2 プロセスの関係
APPENDIX H TECHNICAL PROCESSES 附属書H 技術的プロセス
H.1 BUSINESS OR MISSION ANALYSIS H.1 ビジネス又はミッションの分析
H.2 STAKEHOLDER NEEDS AND REQUIREMENTS DEFINITION H.2 ステークホルダーのニーズと要件の定義
H.3 SYSTEM REQUIREMENTS DEFINITION H.3 システム要件定義
H.4 SYSTEM ARCHITECTURE DEFINITION H.4 システムアーキテクチャの定義
H.5 DESIGN DEFINITION H.5 設計定義
H.6 SYSTEM ANALYSIS H.6システム分析
H.7 IMPLEMENTATION H.7.実装
H.8 INTEGRATION H.8 統合
H.9 VERIFICATION H.9 検証
H.10 TRANSITION H.10 移行
H.11 VALIDATION H.11 バリデーション
H.12 OPERATION H.12 運用
H.13 MAINTENANCE H.13 メンテナンス
H.14 DISPOSAL H.14 廃棄
APPENDIX I TECHNICAL MANAGEMENT PROCESSES 附属書 I 技術的管理プロセス
I.1 PROJECT PLANNING I.1 プロジェクトの計画
I.2 PROJECT ASSESSMENT AND CONTROL I.2 プロジェクトの評価と管理
I.3 DECISION MANAGEMENT I.3 意思決定管理
I.4 RISK MANAGEMENT I.4 リスクマネジメント
I.5 CONFIGURATION MANAGEMENT I.5 コンフィギュレーションマネジメント
I.6 INFORMATION MANAGEMENT I.6 情報管理
I.7 MEASUREMENT i.7 測定
I.8 QUALITY ASSURANCE I.8 品質保証
APPENDIX J ORGANIZATIONAL PROJECT-ENABLING PROCESSES 附属書J 組織的なプロジェクト実現プロセス
J.1 LIFE CYCLE MODEL MANAGEMENT J.1 ライフサイクルモデルの管理
J.2 INFRASTRUCTURE MANAGEMENT J.2 インフラストラクチャーマネジメント
J.3 PORTFOLIO MANAGEMENT J.3 ポートフォリオマネジメント
J.4 HUMAN RESOURCE MANAGEMENT J.4 ヒューマンリソースマネジメント
J.5 QUALITY MANAGEMENT J.5 品質マネジメント
J.6 KNOWLEDGE MANAGEMENT J.6 ナレッジマネジメント
APPENDIX K AGREEMENT PROCESSES 附属書K 契約プロセス
K.1 ACQUISITION K.1 購買
K.2 SUPPLY K.2 供給

 

FOREWORD  序文 
On May 12, 2021, the President signed an Executive Order (EO) on Improving the Nation’s  2021 年 5 月 12 日、大統領は国家のサイバーセキュリティの改善に関する大統領令(EO)[EO 14028]に署名しました。
Cybersecurity [EO 14028]. The Executive Order stated—  サイバーセキュリティ[EO 14028]に署名しました。大統領令は次のように述べていました。
“The United States faces persistent and increasingly sophisticated malicious cyber campaigns that threaten the public sector, the private sector, and ultimately the American people's security and privacy. The Federal Government must improve its efforts to identify, deter, protect against, detect, and respond to these actions and actors.”  「米国は、公共部門、民間部門、そして最終的には米国民の安全とプライバシーを脅かす、執拗でますます巧妙になる悪意のあるサイバーキャンペーンに直面していました。連邦政府は、こうした行動や行為者を特定し、抑止し、防御し、検知し、対応するための取り組みを改善しなければならない」 と述べていました。
The Executive Order further described the holistic nature of the cybersecurity challenges confronting the Nation with computing technology embedded in every type of system from general-purpose computing systems supporting businesses to cyber-physical systems controlling the operations in power plants that provide electricity to the American people. The Federal Government must bring to bear the full scope of its authorities and resources to protect and secure its computer systems, whether the systems are cloud-based, on-premises, or hybrid. The scope of protection and security must include systems that process data (information technology [IT]) and those that run the vital machinery that ensures our safety (operational technology [OT]).  大統領令はさらに、ビジネスを支える汎用コンピューティングシステムから、米国民に電力を供給する発電所の運転を制御するサイバーフィジカルシステムまで、あらゆる種類のシステムにコンピューティング技術が組み込まれており、国家が直面しているサイバーセキュリティの課題が全体的なものであることを説明しています。連邦政府は、システムがクラウドベース、オンプレミス、ハイブリッドのいずれであっても、コンピュータシステムの保護とセキュリティのために、その権限と資源をフルに活用しなければなりません。保護とセキュリティの範囲には、データを処理するシステム(情報技術[IT])と、私たちの安全を確保する重要な機械を動かすシステム(運用技術[OT])が含まれなければなりません。
In response to the EO, there is a need to:  大統領令に対応して、以下のことが必要です。
•       Identify stakeholder assets and protection needs   ・ステークホルダーの資産と保護ニーズの特定
•       Provide protection commensurate with the criticality of stakeholder assets, needs, and the consequences of asset loss, and correlated with the modern threat and adversary capability  ・利害関係者の資産と保護ニーズの重要性,ニーズ,資産喪失の結果に見合った保護を提供し,現代の脅威と敵対者の能力に相関させること
•       Develop scenarios and model the complexity of systems to provide a rigorous basis to reason about, manage, and address the uncertainty associated with that complexity  ・シナリオを作成し,システムの複雑性をモデル化することで,複雑性に伴う不確実性を推論し,管理し,対処するための厳密な基礎を提供すること
•       Adopt an engineering-based approach that addresses the principles of trustworthy secure design and apply those principles throughout the system life cycle  ・信頼できる安全な設計の原則に対応した工学ベースのアプローチを採用し,システムのライフサイクルを通じてその原則を適用すること。
Building trustworthy, secure systems cannot occur in a vacuum with stovepipes for cyberspace, software, hardware, and information technology. Rather, it requires a transdisciplinary approach to protection, a determination across all assets where loss could occur, and an understanding of adversity, including how adversaries attack and compromise systems. As such, this publication addresses considerations for the engineering-driven actions necessary to develop defensible and survivable systems, including the components that compose and the services that depend on those systems. The overall objective is to address security issues from a stakeholder requirements and protection needs perspective and to use established engineering processes to ensure that such requirements and needs are addressed with appropriate fidelity and rigor across the entire life cycle of the system.  信頼できる安全なシステムの構築は、サイバースペース、ソフトウェア、ハードウェア、情報技術の縦割り行政では実現できない。むしろ、保護に対する学際的なアプローチ、損失が発生する可能性のあるすべての資産に対する判断、敵対者がどのようにシステムを攻撃し侵害するかを含む敵対性に対する理解が必要です。そのため、本書では、システムを構成するコンポーネントやシステムに依存するサービスを含め、防御可能かつ生存可能なシステムを開発するために必要な工学的な措置に関する考察を取り上げる。全体的な目的は、利害関係者の要求と保護ニーズの観点からセキュリティ問題を取り上げ、確立された工学プロセスを用いて、システムのライフサイクル全体にわたって、そのような要求とニーズが適切な忠実度と厳密さで対処されることを確実にすることです。
Engineering trustworthy, secure systems is a significant undertaking that requires a substantial investment in the requirements, architecture, and design of systems, components, applications, and networks. A trustworthy system is a system that provides compelling evidence to support claims that it meets its requirements to deliver the protection and performance needed by stakeholders. Introducing a disciplined, structured, and standards-based set of systems security engineering activities and tasks provides an important starting point and forcing function to initiate needed change.  信頼できる安全なシステムを設計することは、システム、コンポーネント、アプリケーション、およびネットワークの要件、アーキテクチャ、および設計に相当な投資を必要とする重要な事業です。信頼できるシステムとは、利害関係者が必要とする保護と性能を提供するために、その要件を満たしているという主張を裏付ける説得力のある証拠を提供するシステムです。規律正しく、構造化され、標準に基づいたシステムセキュリティ工学の活動やタスクを導入することは、必要な変化を起こすための重要な出発点と強制力を提供するものです。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.21 NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

 

 

| | Comments (0)

2022.06.07

NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)

こんにちは、丸山満彦です。

NISTがSP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)を公表し、意見募集をしていますね。。。

初期ドラフトなので、本質的な内容というよりも課題と方向性の確認というところが基本的なポイントですかね。。。

充実していくのが楽しみなSPですね。。。

 

NIST - ITL

・2022.06.03 SP 1800-35 (Draft) Implementing a Zero Trust Architecture (Preliminary Draft)

 

SP 1800-35 (Draft) Implementing a Zero Trust Architecture (Preliminary Draft) SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(予備草稿)
Announcement アナウンス
The Zero Trust Architecture (ZTA) team at NIST's National Cybersecurity Center of Excellence (NCCoE) has published volume A of a preliminary draft practice guide titled "Implementing a Zero Trust Architecture" and is seeking the public's comments on its contents. This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. As the project progresses, the preliminary draft will be updated, and additional volumes will also be released for comment.  NISTのナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のゼロトラスト・アーキテクチャ(ZTA)チームは、「ゼロトラストアーキテクチャの実装」と題した実践ガイドの初期ドラフトA巻を公開し、その内容に関する一般からのコメントを求めています。このガイドは、NCCoEとその協力者が、NIST Special Publication (SP) 800-207, ゼロトラスト・アーキテクチャの概念と原則に沿った、相互運用可能でオープンスタンダードに基づくZTA実装を、市販の技術を使用して構築する方法を要約したものです。プロジェクトの進捗に伴い、この暫定版は更新され、コメントのために追加版がリリースされる予定です。 
Abstract 概要
As an enterprise’s data and resources have become distributed across the on-premises environment and multiple clouds, protecting them has become increasingly challenging. Many users need access from anywhere, at any time, from any device to support the organization’s mission. Data is programmatically stored, transmitted, and processed across different organizations’ environments, which are distributed across on-premises and the cloud to meet ever-evolving business use cases. It is no longer feasible to simply protect data and resources at the perimeter of the enterprise environment and assume that all users, devices, applications, and services within it can be trusted. 企業のデータとリソースがオンプレミス環境や複数のクラウドに分散するようになり、それらを保護することがますます困難になってきています。多くのユーザーは、組織のミッションをサポートするために、いつでも、どこからでも、どんなデバイスからでもアクセスする必要があります。データは、日々進化するビジネスユースケースに対応するため、オンプレミスやクラウドに分散するさまざまな組織の環境において、プログラムによって保存、転送、処理されています。もはや、企業環境の境界でデータやリソースを保護し、その中にいるすべてのユーザー、デバイス、アプリケーション、サービスを信頼できると仮定することは不可能になっています。
A zero-trust architecture (ZTA) enables secure authorized access to each individual resource, whether located on-premises or in the cloud, for a hybrid workforce and partners based on an organization’s defined access policy. For each access request, ZTA explicitly verifies the context available at access time—this includes the requester’s identity and role, the requesting device’s health and credentials, and the sensitivity of the resource. If the defined policy is met, a secure session is created to protect all information transferred to and from the resource. A real-time and continuous policy-driven, risk-based assessment is performed to establish and maintain the access. ゼロトラストアーキテクチャ(ZTA)は、オンプレミス、クラウドを問わず、ハイブリッドワーカーやパートナーに対して、組織が定義したアクセスポリシーに基づき、個々のリソースへの安全なアクセスを許可するものです。各アクセス要求に対して、ZTAはアクセス時に利用可能なコンテキストを明示的に検証します。これには、要求者のアイデンティティと役割、要求デバイスの状態と認証情報、リソースの機密性などが含まれます。定義されたポリシーに合致する場合、安全なセッションが作成され、リソースとの間で転送されるすべての情報が保護されます。リアルタイムかつ継続的にポリシーに基づいたリスクベースの評価が行われ、アクセスの確立と維持が行われます。
This guide summarizes how the National Cybersecurity Center of Excellence (NCCoE) and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. As the project progresses, this preliminary draft will be updated, and additional volumes will also be released for comment. このガイドは、ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)とその協力者が、NIST Special Publication (SP) 800-207, ゼロトラスト・アーキテクチャの概念と原則に沿った、相互運用可能でオープンスタンダードベースのZTA実装を構築するために、市販の技術をどのように利用しているかを要約しています。プロジェクトの進捗に伴い、この暫定版は更新され、コメントのために追加版がリリースされる予定です。

 

・[PDF] NIST SP 1800-35A

20220607-45226

 

課題...

CHALLENGE  課題 
Organizations would like to adopt a ZTA, but they have been facing some challenges which may include:  組織はZTAを採用したいと考えているが、以下のような課題に直面しています。
§  Leveraging existing investments and balancing priorities while making progress toward a ZTA § 既存の投資を活用し、優先順位とバランスを取りながら、ZTAの導入を進めること
§  ZTA deployment requiring leveraging integration of many deployed existing technologies of varying maturities and identifying technology gaps to build a complete ZTA § ZTAの展開には、様々な成熟度の既存技術を統合し、完全なZTAを構築するための技術ギャップを特定する必要があること
§  Concern that ZTA might negatively impact the operation of the environment or end-user experience § ZTAが環境の運用やエンドユーザー・エクスペリエンスに悪影響を及ぼすのではないかという不安
§  Lack of common understanding of ZTA across the organization, gauging the organization’s ZTA maturity, determining which ZTA approach is most suitable for the business, and developing an implementation plan § 組織のZTA成熟度を測定し、どのZTAアプローチがビジネスに最も適しているかを判断し、導入計画を策定すること

 

このSPの狙い...

This preliminary practice guide can help your organization:  この初期実践ガイドは、次のようにあなたの組織を支援することができます。
§  Identify milestones for gradually integrating ZTA into your environment, based on the demonstrated examples and using a risk-based approach, to: § 実証された例に基づき、リスクベースのアプローチを用いて、ZTA を環境に徐々に統合するためのマイルストーンを特定する。
§  Support teleworkers with access to resources regardless of user location or user device (managed or unmanaged) § ユーザーの場所やユーザーデバイス(管理下または非管理下)に関係なく、テレワーカーによるリソースへのアクセスをサポートする。
§  Protect resources regardless of their location (on-premises or cloud-based) § 場所(オンプレミスまたはクラウドベース)に関係なく、リソースを保護する。
§  Limit the insider threat (insiders are not automatically trusted) § インサイダーの脅威を制限する(インサイダーは自動的に信頼されるわけではない)
§  Limit breaches (reduce attackers’ ability to move laterally in the environment)   § 侵害を制限する(攻撃者が環境内で横方向に移動する能力を低下させる)。 
§  Protect sensitive corporate information with data security solutions   § データセキュリティソリューションによる企業の機密情報の保護  
§  Improve visibility into the inventory of resources, what configurations and controls are implemented, and how resources are accessed and protected  § リソースのインベントリ、どのような構成と制御が実装されているか、どのようにリソースがアクセスされ保護されているかについての可視性を向上させる。
§  Real-time and continuous policy-driven, risk-based assessment of resource access   § リソースアクセスのリアルタイムかつ継続的なポリシー主導のリスクベース評価  

 

ソリューション

SOLUTION  ソリューション 
NCCoE is collaborating with ZTA technology providers to build several example ZTA solutions and demonstrate their ability to meet the tenets of ZTA. The solutions will enforce corporate security policy dynamically and in near-real-time to restrict access to authenticated, authorized users and devices while flexibly supporting a complex set of diverse business use cases involving a remote workforce, use of the cloud, partner collaboration, and support for contractors. The example solutions are designed to demonstrate the ability to protect against and detect attacks and malicious insiders. They showcase the ability of ZTA products to interoperate with existing enterprise and cloud technologies with only minimal impact on end-user experience.   NCCoEは、ZTAテクノロジープロバイダーと協力し、いくつかのZTAソリューションの例を構築し、ZTAの原則を満たす能力を実証しています。このソリューションは、企業のセキュリティポリシーをほぼリアルタイムで動的に適用し、認証・許可されたユーザーとデバイスにアクセスを制限します。同時に、リモートワーカー、クラウドの利用、パートナーとのコラボレーション、請負業者のサポートなど、多様で複雑なビジネスユースケースを柔軟にサポートすることができます。このソリューションの例は、攻撃や悪意のあるインサイダーから保護し、検出する能力を実証するために設計されています。また、ZTA製品が既存のエンタープライズおよびクラウドテクノロジーと相互運用でき、エンドユーザーエクスペリエンスに最小限の影響しか与えないことを紹介しています。 
The project can help organizations plan how to evolve their existing enterprise environments to ZTA, starting with an assessment of their current resources and setting milestones along a path of continuous improvement, gradually bringing them closer to achieving the ZTA goals they have prioritized based on risk, cost, and resources. We are using a phased approach to develop example ZTA solutions that is designed to represent how we believe most enterprises will evolve their enterprise architecture toward ZTA, i.e., by starting with their already-existing enterprise environment and gradually adding or adapting capabilities. Our first implementations are crawl versions of the enhanced identity governance (EIG) deployment because EIG is seen as the foundational component of the other deployment approaches utilized in today’s hybrid environments. Our initial EIG implementations use the identity of subjects and device health as the main determinants of access policy decisions.    このプロジェクトは、組織が既存のエンタープライズ環境をZTAに進化させる方法を計画するのに役立ちます。現在のリソースの評価から始まり、継続的な改善の道筋に沿ってマイルストーンを設定し、リスク、コスト、リソースに基づいて優先的に設定したZTA目標の達成に徐々に近づけていくことが可能です。これは、多くの企業がZTAに向けてエンタープライズアーキテクチャを進化させる際に、既存のエンタープライズ環境から始めて徐々に機能を追加・適応させていくという、段階的なアプローチで開発することを想定しています。EIGは、今日のハイブリッド環境で利用されている他の展開アプローチの基礎となるコンポーネントと見なされているため、私たちの最初の実装は、拡張IDガバナンス(EIG)展開のクローラルバージョンです。最初のEIGの実装では、アクセス・ポリシーを決定する主な決定要因として、被験者のアイデンティティとデバイスの健全性を使用しています。  
Depending on the current state of identity management in the enterprise, deploying EIG solutions is an initial key step that will be leveraged to support micro-segmentation and software-defined perimeter (SDP) deployment approaches, which will be covered in the later phases of the project. Our strategy is to follow an agile implementation methodology to build everything iteratively and incrementally while adapting or adding more capabilities to evolve to a complete ZTA. We are starting with the minimum viable EIG solution that allows us to achieve some level of ZTA, and then we will gradually deploy additional functional components and features to address an increasing number of ZTA requirements, progressing the project toward demonstration of more robust micro-segmentation and SDP deployment options.  企業におけるアイデンティティ管理の現状にもよりますが、EIG ソリューションの導入は、マイクロセグメンテーションや SDP (Software-Defined Perimeter) の導入アプローチをサポートするために活用される最初の重要なステップであり、プロジェクトの後のフェーズで取り上げられる予定です。私たちの戦略は、アジャイルな実装方法論に従って、完全なZTAに進化させるために機能を適応させたり追加しながら、反復的かつ段階的にすべてを構築していくことです。まず、ある程度のZTAを実現できる最小限のEIGソリューションから着手し、その後、機能コンポーネントや機能を徐々に追加してZTA要件の増加に対応し、より堅牢なマイクロセグメンテーションとSDP展開オプションの実証に向けてプロジェクトを進展させる予定です。

 

協力企業は24社ありますね。。。こうしてみると、全てが米国の企業ではないのかも知れませんが、米国は企業の層が厚いですよね。。。

  1. Appgate
  2. AWS
  3. Broadcom Software
  4. Cisco
  5. DigiCert
  6. f5
  7. Forescout
  8. Google Cloud
  9. IBM
  10. Ivanti
  11. Lookout
  12. Mandiant
  13. Microsoft
  14. Okta
  15. Palo Alto Networks
  16. PC Matic
  17. Ping Identity
  18. Radiant Logic
  19. SailPoint
  20. Tenable
  21. Trellix
  22. VMware
  23. Zimperium
  24. Zscaler

 

NCCoE

・2022.06.03 The Zero Trust Architecture (ZTA) Team Releases Preliminary Draft Practice Guide (Vol A)

 

 

| | Comments (0)

2022.05.31

中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項

こんにちは、丸山満彦です。

「情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項」の標準案が情報セキュリティ標準化技術委員会(全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) )、いわゆるTC260から公開され、意見募集されていますね。。。

プライバシーポリシーを表示するために4回以上のクリックを要求したらあきまへんで。。。

 

全国信息安全标准化技术委员会 

・2022.05.26 关于征求国家标准《信息安全技术 互联网平台及产品服务隐私协议要求》(征求意见稿)意见的通知

 

・2022.05.26 关于国家标准《信息安全技术 互联网平台及产品服务隐私协议要求》征求意见稿征求意见的通知

意見募集の標準案...

[DOC] 信息安全技术 互联网平台及产品服务隐私协议要求 Information security technology — Requirements of privacy policy of Internet platforms, products and services 情報セキュリティ技術 - インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項

 

20220531-52818

PDFに変換したもの

 

 

目次的なもの...

1 范围 1 適用範囲
2 规范性引用文件 2 引用標準
3 术语和定义 3 用語及び定義
4 缩略语 4 略語の説明
5 概述 5 概要
6 隐私协议的编制程序 6 プライバシーポリシーの作成手順
7 隐私协议的内容 7 プライバシーポリシーの内容
7.1 概述 7.1 概要
7.2 隐私协议的发布主体和适用范围 7.2 プライバシーポリシーの公表対象および適用範囲
7.3 隐私协议的摘要 7.3 プライバシーポリシーの概要
7.4 收集使用个人信息的规则 7.4 個人情報の収集と利用に関する規定
7.5 保障个人信息安全的规则 7.5 個人情報の安全保護に関する規定
7.6 保障个人信息主体权利的规则 7.6 個人情報主体の権利保護に関する規定
7.7 个人信息跨境流动的规则 7.7 個人情報の国境を越えた移動に関する規定
7.8 隐私协议更新的规则 7.8 プライバシーポリシーの更新に関する規定
7.9 提供联系方式 7.9 連絡先情報の提供
8 隐私协议的发布和可视化 8 プライバシーポリシーの公開と可視化
9 隐私协议的修订 9 プライバシーポリシーの改定
10 隐私协议的争议纠纷解决 10 プライバシーポリシーの紛争処理

 

 

Continue reading "中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項"

| | Comments (0)

2022.05.26

意見募集 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に対する意見募集について (2022.04.26)

こんにちは、丸山満彦です。

欧米、中国でもデジタル市場の競争についての規制のあり方が検討されていますが、日本でも内閣にデジタル市場競争本部にデジタル市場競争会議が設置されていて、議論されていますね。。。

すっかり忘れていましたが、

  1. 「モバイル・エコシステムに関する競争評価 中間報告(案)」
  2. 「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告(案)」

についての意見募集がされていました。。。

(だって、デジタル市場競争会議が年に1回しか開催されていなくて、突然、パブコメが出てくるんですから...)

 

で、セキュリティ面で気になるのが、アプリの配信の部分ですかね。。。

競争的な視点では、

・アプリの配信をAppStore等に限定するのは懸念があるのでしょうが、

セキュリティやプライバシーの面で考えると、、、

アプリの配信手段をPCのように市場に解放するというのは危ないように思うのですが、皆さんはどう思いますかね。。。一旦解放してしまうと引き返せないので、しかも、影響はグローバルに及ぶし。。。

相当頭を使わないといけない部分なのだろうと思います。。。いますぐ解放という議論にならなければ良いのですが。。。。

海外の法制度の状況もまとまっていますから、目を通したら良いですね。。。

 

● e-Gov

・2022.04.26 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に対する意見募集について

 

意見募集対象

20220526-142758

20220526-142936

 

デジタル市場競争会議

・2022.04.26 第6回 デジタル市場競争会議 配布資料

議題は、

  1. 「モバイル・エコシステムに関する競争評価 中間報告(案)」について
  2. 「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告(案)」について

です。。。

配布資料は、

資料1: モバイル・エコシステム及び新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価中間報告(案) 説明資料 最終版
資料2: モバイル・エコシステムに関する競争評価 中間報告(案) 概要 最終版
資料3: 新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告(案) 概要 最終版
資料4: モバイル・エコシステムに関する競争評価 中間報告(案) 本体 最終版
資料5: 新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告(案) 本体 最終版

となっています。。。

 

| | Comments (0)

2022.05.20

欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

こんにちは、丸山満彦です。

EDPBが「法執行分野における顔認識技術の使用に関するガイドライン」の案を公表し、意見募集をしていますね。。。

すごく便利なツールというのは、悪用されるとすごく影響が大きいということですので、

その利用について、良いこと悪いことは明確にしておくことが良いでしょうね。。。

 

European Data Protection Board: EDPB

プレス

・2022.05.16 EDPB adopts Guidelines on calculation of fines & Guidelines on the use of facial recognition technology in the area of law enforcement

EDPB adopts Guidelines on calculation of fines & Guidelines on the use of facial recognition technology in the area of law enforcement EDPB、罰金計算に関するガイドラインと法執行分野における顔認識技術の使用に関するガイドラインを採択
..... .....
The EDPB also adopted Guidelines on the use of facial recognition technology in the area of law enforcement. The guidelines provide guidance to EU and national law makers, as well as to law enforcement authorities, on implementing and using facial recognition technology systems. EDPBはまた、法執行の分野における顔認識技術の利用に関するガイドラインを採択しました。同ガイドラインは、EUおよび各国の法律制定者や法執行機関に対し、顔認識技術システムの導入と使用に関するガイダンスを提供します。
EDPB Chair Andrea Jelinek said: “While modern technologies offer benefits to law enforcement, such as the swift identification of suspects of serious crimes, they have to satisfy the requirements of necessity and proportionality. Facial recognition technology is intrinsically linked to processing personal data, including biometric data, and poses serious risks to individual rights and freedoms.” EDPB議長のAndrea Jelinekは次のように述べています。「最新の技術は、重大犯罪の容疑者を迅速に特定できるなど、法執行機関に利益をもたらす一方で、必要性と比例性の要件を満たさなければなりません。顔認識技術は、生体情報を含む個人情報の処理と本質的に結びついており、個人の権利と自由に対して深刻なリスクをもたらすものです。」
The EDPB stresses that facial recognition tools should only be used in strict compliance with the Law Enforcement Directive (LED). Moreover, such tools should only be used if necessary and proportionate, as laid down in the Charter of Fundamental Rights. 顔認識ツールは法執行指令(LED)を厳密に遵守してのみ使用されるべきであると、EDPBは強調しています。さらに、このようなツールは、基本的権利憲章に規定されているように、必要かつ適切な場合にのみ使用されるべきであると述べています。
In the guidelines, the EDPB repeats its call for a ban on the use of facial recognition technology in certain cases, as it had requested in the EDPB-EDPS joint opinion on the proposal for an Artificial Intelligence Act. More specifically, the EDPB considers there should be a ban on: このガイドラインにおいて、EDPBは、人工知能 (AI) 法に関するEDPB-EDPS共同意見で要求したように、特定のケースにおける顔認識技術の使用禁止を繰り返し要求しています。具体的には、以下を禁止する必要があると考えています。
・remote biometric identification of individuals in publicly accessible spaces; ・公共の場で個人の遠隔生体認証を行うこと。
・facial recognition systems categorising individuals based on their biometrics into clusters according to ethnicity, gender, as well as political or sexual orientation or other grounds for discrimination; ・顔認識システムが、民族、性別、政治的・性的指向、その他の差別的理由に基づき、個人を分類すること。
・facial recognition or similar technologies to infer emotions of a natural person; ・自然人の感情を推論するための顔認識または類似の技術。
・processing of personal data in a law enforcement context that would rely on a database populated by collection of personal data on a mass-scale and in an indiscriminate way, e.g. by "scraping" photographs and facial pictures accessible online. ・法執行の文脈における個人データの処理で、大規模かつ無差別な個人データの収集(例:オンラインでアクセス可能な写真や顔写真の「スクレイピング」)によって構築されたデータベースに依存するような場合。
The guidelines will be subject to public consultation for a period of 6 weeks. 本ガイドラインは、6週間のパブリックコンサルテーションの対象となります。

 

・[PDF] Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement Version 1.0

20220519-164905

目次

Executive summary エグゼクティブサマリー
1  Introduction 1 はじめに
2  Technology 2 技術
2.1  One biometric technology, two distinct functions 2.1 1つの生体認証技術、2つの異なる機能
2.2  A wide variety of purposes and applications 2.2 多彩な目的とアプリケーション
2.3  Reliability, accuracy and risks for data subjects 2.3 信頼性、正確性、データ対象者のリスク
3  Applicable legal framework 3 適用される法的枠組み
3.1  General legal framework – The EU Charter of Fundamental Rights (hereinafter “the Charter”) and the European Convention on Human Rights (ECHR) 3.1 一般的な法的枠組み - EU基本権憲章(以下、「憲章」)および欧州人権条約(ECHR)。
3.1.1  Applicability of the Charter 3.1.1 憲章の適用性
3.1.2  Interference with the rights laid down in the Charter 3.1.2 憲章に規定された権利の侵害
3.1.3  Justification for the interference 3.1.3 妨害の正当性
3.2  Specific legal framework – the Law Enforcement Directive 3.2 具体的な法的枠組み - 法執行指令
3.2.1  Processing of special categories of data for law enforcement purposes 3.2.1 法執行を目的とした特殊なデータの処理
3.2.2  Automated individual decision-making, including profiling 3.2.2 プロファイリングを含む、自動化された個人の意思決定
3.2.3  Categories of the data subjects 3.2.3 データ対象者のカテゴリー
3.2.4  Rights of the data subject 3.2.4 データ対象者の権利
3.2.5  Other legal requirements and safeguards 3.2.5 その他の法的要件および保護措置
4  CONCLUSION 4 結論
5  Annexes 5 附属書
Annex I - Template for description of scenarios 附属書 I - シナリオの記述のためのテンプレート
Annex II- Practical guidance for managing FRT projects in LEAs 附属書Ⅱ- LEAにおけるFRTプロジェクト管理のための実践的ガイダンス
Annex III - Practical examples 附属書III - 実践的な例

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  要旨 
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person’s movements in the public space.  顔認識技術(FRT)を適用する、あるいは適用しようとする法執行機関(LEA)がますます増えています。顔認識技術は、人物の認証や識別に使用され、ビデオ(例:CCTV)や写真に適用することができます。顔認識技術は、警察の監視リストにある人物の捜索や、公共の場での人物の動きの監視など、様々な目的で使用される可能性があります。
FRT is built on the processing of biometric data, therefore, it encompasses the processing of special categories of personal data. Often, FRT uses components of artificial intelligence (AI) or machine learning (ML). While this enables large scale data processing, it also induces the risk of discrimination and false results. FRT may be used in controlled 1:1 situations, but also on huge crowds and important transport hubs.   顔認識技術 は、バイオメトリクス・データの処理に基づいて構築されているため、特別なカテゴリの個人情報を処理することを含んでいます。多くの場合、顔認識技術は人工知能(AI)または機械学習(ML)のコンポーネントを使用しています。これは、大規模なデータ処理を可能にする一方で、差別や誤った結果を招く危険性があります。顔認識技術は、1対1の管理された状況で使用されるだけでなく、大規模な群衆や重要な交通の要所でも使用されることがあります。 
FRT is a sensitive tool for LEAs. LEAs are executive authorities and have sovereign powers. FRT is prone to interfere with fundamental rights – also beyond the right to protection of personal data – and is able to affect our social and democratic political stability.   顔認識技術は法執行機関にとって繊細なツールです。法執行機関は行政当局であり、主権的な権限を持っています。顔認識技術は基本的権利に干渉しやすく、個人データ保護の権利以外でも、社会的、民主的な政治の安定に影響を与える可能性があります。 
For personal data protection in the law enforcement context, the requirements of the LED have to be met. A certain framework regarding the use of FRT is provided for in the LED, in particular Article 3(13) LED (term “biometric data”), Article 4 (principles relating to processing of personal data), Article 8 (lawfulness of processing), Article 10 (processing of special categories of personal data) and Article 11 LED (automated individual decision-making).   法執行における個人情報保護のためには、法執行指令の要件を満たさなければなりません。顔認識技術の使用に関する一定の枠組みが法執行指令、特に法執行指令第3条第13項(「バイオメトリック・データ」という用語)、第4条(個人データの処理に関する原則)、第8条(処理の合法性)、第10条(特別カテゴリーの個人データの処理)、第11条(自動的な個人の意思決定)で規定されています。 
Several other fundamental rights may be affected by the application of FRT, as well. Hence, the EU Charter of Fundamental Rights (“the Charter”) is essential for the interpretation of the LED, in particular the right to protection of personal data of Article 8 of the Charter, but also the right to privacy laid down by Article 7 of the Charter.  他のいくつかの基本的な権利も、顔認識技術の適用によって影響を受ける可能性があります。したがって、EU基本権憲章(以下、「憲章」)は、法執行指令の解釈、特に憲章第8条の個人情報保護の権利、さらに憲章第7条のプライバシーの権利に不可欠です。
Legislative measures that serve as a legal basis for the processing of personal data directly interfere with the rights guaranteed by Articles 7 and 8 of the Charter. The processing of biometric data under all circumstances constitutes a serious interference in itself. This does not depend on the outcome, e.g. a positive matching. Any limitation to the exercise of fundamental rights and freedoms must be provided for by law and respect the essence of those rights and freedoms.  個人データの処理の法的根拠となる立法措置は、憲章の第7条と第8条が保証する権利を直接的に妨害するものです。あらゆる状況下でのバイオメトリクス・データの処理は、それ自体重大な干渉を構成する。これは、例えば、照合が肯定的であったというような結果には依存しません。基本的な権利と自由の行使に対するいかなる制限も、法律によって規定され、それらの権利と自由の本質を尊重するものでなければなりません。
The legal basis must be sufficiently clear in its terms to give citizens an adequate indication of conditions and circumstances in which authorities are empowered to resort to any measures of collection of data and secret surveillance. A mere transposition into domestic law of the general clause in Article 10 LED would lack precision and foreseeability.  法的根拠は、当局がデータ収集や秘密監視のあらゆる手段に訴える権限を与えられている条件や状況を市民に適切に示すために、その条件が十分に明確でなければなりません。第10条LEDの一般条項の単なる国内法への置き換えは、正確さと予見可能性を欠くことになります。
Before the national legislator creates a new legal basis for any form of processing of biometric data using facial recognition, the competent data protection supervisory authority should be consulted.  国内法制者が顔認識を使った生体データのあらゆる形態の処理について新しい法的根拠を設ける前に、管轄のデータ保護監督当局に相談すべきです。
Legislative measures have to be appropriate for attaining the legitimate objectives pursued by the legislation at issue. An objective of general interest – however fundamental it may be – does not, in itself, justify a limitation to a fundamental right. Legislative measures should differentiate and target those persons covered by it in the light of the objective, e.g. fighting specific serious crime. If the measure covers all persons in a general manner without such differentiation, limitation or exception, it intensifies the interference. It also intensifies the interference if the data processing covers a significant part of the population.  立法措置は、問題となる法律が追求する正当な目的を達成するために適切でなければなりません。一般的な利益という目的は、それがどんなに基本的なものであっても、それ自体で基本的な権利の制限を正当化することはできない。立法措置は、例えば、特定の重大犯罪との戦いといった目的に照らして、その対象となる者を区別し、対象とすべきです。もしそのような差別化、制限、例外なしに一般的な方法ですべての人を対象とするのであれば、それは干渉を強めることになります。また、データ処理が人口のかなりの部分を対象としている場合にも、干渉が強まります。
The data has to be processed in a way that ensures the applicability and effectiveness of the EU data protection rules and principles. Based on each situation, the assessment of necessity and proportionality has to also identify and consider all possible implications for other fundamental rights. If the data is systematically processed without the knowledge of the data subjects, it is likely to generate a general conception of constant surveillance. This may lead to chilling effects in regard of some or all of the fundamental rights concerned such as human dignity under Article 1 of the Charter, freedom of thought, conscience and religion under Article 10 of the Charter, freedom of expression under Article 11 of the Charter as well as freedom of assembly and association under Article 12 of the Charter.  データは、EUデータ保護規則および原則の適用性と有効性を保証する方法で処理されなければなりません。それぞれの状況に基づいて、必要性と比例性を評価し、他の基本的権利に及ぼす可能性のあるすべての影響を特定し、考慮しなければなりません。データ対象者が知らないうちにデータが体系的に処理されている場合、常に監視されているという一般的な観念が生じる可能性があります。このような事態が発生した場合、憲章の第1条に基づく人間の尊厳、第10条に基づく思想、良心および宗教の自由、第11条に基づく表現の自由、第12条に基づく集会および結社の自由などの基本権の一部または全部が阻害される可能性があります。
Processing of special categories of data, such as biometric data can only be regarded as "strictly necessary" (Art. 10 LED) if the interference to the protection of personal data and its restrictions is limited to what is absolutely necessary, i.e. indispensable, and excluding any processing of a general or systematic nature.  バイオメトリックデータなどの特別なカテゴリのデータの処理は、個人データの保護とその制限に対する干渉が、絶対に必要なもの、すなわち不可欠なものに限られ、一般的または体系的な性質の処理を除く場合にのみ「厳密に必要」(法執行指令第10条)と見なすことができます。
The fact that a photograph has been manifestly made public (Art. 10 LED) by the data subject does not entail that the related biometric data, which can be retrieved from the photograph by specific technical means, is considered as having been manifestly made public. Default settings of a service, e.g. making templates publicly available, or absence of choice, e.g. templates are made public without the user to be able to change this setting, should not in any way be construed as data manifestly made public.  データ対象者が写真を公表した場合(法執行指令第10条)、その写真から特定の技術的手段により取得できる生体情報は、公表されたとはみなされません。サービスのデフォルト設定(例:テンプレートを一般に公開する)、または選択肢の欠如(例:ユーザーがこの設定を変更することができないままテンプレートが公開される)は、いかなる意味においても、データが明白に公開されたと解釈されるべきではないでしょう。
Article 11 LED establishes a framework for automated individual decision-making. The use of FRT entails the use of special categories of data and may lead to profiling, depending on the way and purpose FRT is applied for. In any case, in accordance with Union law and Article 11(3) LED, profiling that results in discrimination against natural persons on the basis of special categories of personal data shall be prohibited.  LED第11条は、自動化された個人の意思決定のための枠組みを確立しています。顔認識技術の使用は、特別な種類のデータの使用を伴い、顔認識技術が適用される方法と目的によっては、プロファイリングにつながる可能性があります。いかなる場合においても、EU法および法執行指令第11条3項に従い、特殊な個人情報に基づく自然人に対する差別をもたらすプロファイリングは禁止されています。
Article 6 LED regards the necessity to distinguish between different categories of data subjects. With regard to data subjects for whom there is no evidence capable of suggesting that their conduct might have a link, even an indirect or remote one, with the legitimate aim according to the LED, there is most likely no justification of an interference.   法執行指令第6条は、データ対象者の異なるカテゴリーを区別する必要性について述べています。データ対象者の行為が法執行指令に基づく正当な目的に間接的または遠隔的にでも関連する可能性を示唆する証拠がない場合、干渉を正当化することはできない可能性が高くなります。 
The data minimisation principle (Article 4(1)(e) LED) also requires that any video material not relevant to the purpose of the processing should always be removed or anonymised (e.g. by blurring with no retroactive ability to recover the data) before deployment.  データ最小化の原則(法執行指令第4条第1項(e))により、処理の目的に関連しないビデオ素材は、配備前に必ず削除するか、匿名化(例えば、データを復元する遡及能力のないぼかし処理)することが要求されます。
The controller must carefully consider how to (or if it can) meet the requirements for data subject’s rights before any FRT processing is launched since FRT often involves processing of special categories of personal data without any apparent interaction with the data subject.  顔認識技術 はしばしばデータ対象者との明白な相互作用なしに特殊な個人データの処理を伴うため、管理者は 顔認識技術 処理を開始する前にデータ対象者の権利に関する要件を満たす方法(または満たすことができるか)を慎重に検討しなければなりません。
The effective exercise of data subject’s rights is dependent on the controller fulfilling its information obligations (Article 13 LED). When assessing whether a “specific case” according to Article 13(2) LED exists, several factors need to be taken into consideration, including if personal data is collected without the knowledge of the data subject as this would be the only way to enable data subjects to effectively exercise their rights. Should decision-making be done solely based on FRT, then the data subjects need to be informed about the features of the automated decision making.  データ主体の権利の効果的な行使は、管理者がその情報提供義務を果たすかどうかにかかっています(法執行指令第13条)。法執行指令第13条2項に従った「特定のケース」が存在するかどうかを評価する際には、データ対象者がその権利を効果的に行使できる唯一の方法であるとして、データ対象者が知らないうちに個人データが収集されている場合を含め、いくつかの要因を考慮する必要があります。意思決定が 顔認識技術 にのみ基づいて行われる場合、データ対象者は自動化された意思決定の特徴について知らされる必要があります。
As regards access requests, when biometric data is stored and connected to an identity also by alphanumerical data, in line with the principle of data minimization, this should allow for the competent authority to give confirmation to an access request based on a search by those alpha-numerical data and without launching any further processing of biometric data of others (i.e. by searching with FRT in a database).  アクセス要求に関して、バイオメトリクス・データが英数字データによっても保存され、 ID に接続されている場合、データ最小化の原則に従って、管轄機関は、それらの英数字データによる 検索に基づいてアクセス要求に確認を与えることができ、他の人のバイオメトリクス・データの 追加処理を開始しない(つまり、データベース内の 顔認識技術 による検索)ようにしなければなりません。
The risks for the data subjects are particularly serious if inaccurate data is stored in a police database and/or shared with other entities. The controller must correct stored data and FRT systems accordingly, see recital 47 LED.  不正確なデータが警察のデータベースに保存され、および/または他の組織と共有される場合、データ対象者のリスクは特に深刻です。管理者は、それに応じて保存されたデータと 顔認識技術システムを修正しなければなりません(説明 47 法執行指令を参照)。
The right to restriction becomes especially important when it comes to facial recognition technology (based on algorithm(s) and thereby never showing a definitive result) in situations where large quantities of data are gathered and the accuracy and quality of the identification may vary.  顔認識技術(アルゴリズムに基づくため、決定的な結果を示すことはない)に関しては、大量のデータが収集され、識別の正確さと質が異なる可能性がある状況で、制限する権利が特に重要になります。
A data protection impact assessment (DPIA) before the use of FRT is a mandatory requirement, cf. Article 27 LED. The EDPB recommends making public the results of such assessments, or at least the main findings and conclusions of the DPIA, as a trust and transparency enhancing measure.  顔認識技術の使用前のデータ保護影響評価(DPIA)は、法執行指令第27条を参照し、必須要件です。EDPB は、信頼性と透明性を高める方策として、そのような評価の結果、あるいは少なく とも データ保護影響評価の主な所見と結論を公表することを推奨しています。
Most cases of deployment and use of FRT contain intrinsic high risk to the rights and freedoms of data subjects. Therefore, the authority deploying the FRT should consult the competent supervisory authority prior to the deployment of the system.  顔認識技術 の導入と使用のほとんどのケースは、データ主体の権利と自由に対する本質的な高リ スクを含んでいます。したがって、顔認識技術 を配備する当局は、システムの配備に先立って管轄の監督当局に相談する必要がある。
Given the unique nature of biometric data, the authority, implementing and/or using FRT should pay special attention to the security of processing, in line with Article 29 LED. In particular, the law enforcement authority should ensure the system complies with the relevant standards and implement biometric template protection measures. Data protection principles and safeguards must be embedded in the technology before the start of the processing of personal data. Therefore, even when a LEA intends to apply and use FRT from external providers, it has to ensure, e.g. through the procurement procedure, that only FRT built upon the principles of data protection by design and by default are deployed.  バイオメトリック・データのユニークな性質を考えると、顔認識技術 を導入・使用する当局は、法執行指令第29 条 に沿って処理のセキュリティに特別な注意を払うべきです。特に、法執行機関は、システムが関連基準に準拠していることを確認し、バイオメトリクスのテンプレート保護対策を実施しなければなりません。データ保護の原則と保護措置は、個人データの処理を開始する前に技術に組み込まれなければなりません。したがって、法執行機関が外部のプロバイダーからの顔認識技術を適用し使用することを意図している場合でも、例えば調達手続きを通じて、設計およびデフォルトによるデータ保護の原則に基づいた顔認識技術 のみが配備されていることを確認しなければなりません。
Logging (cf. Article 25 LED) is an important safeguard for verification of the lawfulness of the processing, both internally (i.e. self-monitoring by the concerned controller/processor) and by external supervisory authorities. In the context of facial recognition systems, logging is recommended also for changes of the reference database and for identification or verification attempts including user, outcome and confidence score.   ログ記録(法執行指令第25条参照)は、内部(関係する管理者/処理者による自己監視)および外部の監督当局による処理の合法性の検証のための重要な保護手段です。顔認識システムにおいては、参照データベースの変更、ユーザー、結果、信頼性スコアを含む識別または検証の試行についてもログを取ることが推奨されます。 
The EDPB recalls its and the EDPS’ joint call for a ban of certain kinds of processing in relation to (1) remote biometric identification of individuals in publicly accessible spaces, (2) AI-supported facial recognition systems categorising individuals based on their biometrics into clusters according to ethnicity, gender, as well as political or sexual orientation or other grounds for discrimination (3) use of facial recognition or similar technologies, to infer emotions of a natural person and (4) processing of personal data in a law enforcement context that would rely on a database populated by collection of personal data on a mass-scale and in an indiscriminate way, e.g. by "scraping" photographs and facial pictures accessible online.  EDPBは、EDPSと共同で、以下のような処理を禁止するように求めている。(1) 公共の場で個人の遠隔生体認証を行うこと、(2) AIによる顔認証システムで、生体情報に基づき個人を民族、性別、政治的・性的指向、または個人を分類することに関する特定の種類の処理をすること、(3) 自然人の感情を推測するための顔認識または類似の技術を使用すること、 (4) 法執行の文脈における個人データの処理で、大量かつ無差別な方法での個人データを収集すること(例えばオンラインでアクセス可能な写真や顔写真を「スクレイピング」することによって構築されたデータベースに依存するような処理)
These guidelines address law makers at EU and national level, as well as LEAs and their officers at implementing and using FRT-systems. Individuals are addressed as far as they are interested generally or as data subjects, in particular as regards data subjects’ rights.   このガイドラインは、EU 及び国家レベルの法律制定者、顔認識技術 システムを導入し使用する法執行機関及びその担当者を対象としています。個人については、一般的に関心がある限り、またはデータ対象者として、特にデータ対象者の権利に関して言及されています。 
The guidelines intend to inform about certain properties of FRT and the applicable legal framework in the context of law enforcement (in particular the LED).  本ガイドラインは、顔認識技術の特定の特性および法執行(特に 法執行指令)の文脈で適用される法的枠組みについて通知することを意図しています。
・ In addition, they provide a tool to support a first classification of the sensitivity of a given use case (Annex I).   ・ さらに、与えられたユースケースの機密性の最初の分類を支援するツールも提供します(附属書 I)。 
・ They also contain practical guidance for LEAs that wish to procure and run a FRT-system (Annex II). ・ また、顔認識技術システムの調達と運用を希望する法執行機関のための実用的なガイダンスも含んでいます(附属書 II)。
・ The guidelines also depict several typical use cases and list numerous considerations relevant, especially with regard to the necessity and proportionality test (Annex III).  ・ また、ガイドラインはいくつかの典型的なユースケースを描き、特に必要性と比例性のテストに関する多くの検討事項を列挙しています(附属書 III)。

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

日本での検討

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

より以前の記事一覧