パブコメ

2022.12.04

NIST SP 1800-22 (ドラフト) モバイルデバイスセキュリティ:私物端末の持ち込み(BYOD)(2次ドラフト)

こんにちは、丸山満彦です。

NISTが、去年の3月(なので、1年9ヶ月前)にBYOD(私物端末の持ち込み)の実践ガイダンスのドラフトを公表し、意見募集をしていましたが、それを踏まえて第2ドラフトを公表し、意見募集をしています。。。

BYODは、従業員にとっては、携帯二台もちが避けられるのでメリットがありますが、

・情報技術(IT)部門の責任と複雑さの増加、

・保護されていない個人用デバイスから生じる企業のセキュリティ脅威、

・個人データのプライバシーの保護

に関する課題がありますね。。。

エグゼクティブサマリーの次の指摘はなかなか興味深いですね。。。

Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist. 企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。

 

NIST - ITL

・2022.11.29 SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft)

 

SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft) SP 1800-22 (ドラフト) モバイルデバイスセキュリティ:私物端末の持ち込み(BYOD)(2次ドラフト)
Announcement 発表
Many organizations now support their employees' use of personal mobile devices to remotely perform work-related activities. This increasingly common practice, known as Bring Your Own Device or BYOD, provides employees with increased flexibility to telework and access organizational information resources. Helping ensure that an organization's data is protected when it is accessed from personal devices, while ensuring employee privacy poses unique challenges and threats. 多くの組織では、従業員が個人所有のモバイルデバイスを使用して、業務に関連する活動をリモートで実行できるようになった。BYOD(Bring Your Own Device)と呼ばれるこの一般的な慣行は、テレワークや組織の情報リソースへのアクセスをより柔軟に行えるようにするもので、ますます普及している。しかし、個人所有のデバイスから組織のデータにアクセスする際、従業員のプライバシーを守りながらデータを保護することは、非常に困難な課題であり、脅威でもある。
The goal of the Mobile Device Security: Bring Your Own Device practice guide is to provide an example solution that helps organizations use both a standards-based approach and commercially available technologies to help meet their security and privacy needs when permitting personally-owned mobile devices to access enterprise resources.  モバイルデバイスセキュリティの目標は、「Bring Your Own Device(私物端末の持ち込み)」である。Bring Your Own Deviceの実践ガイドの目的は、標準ベースのアプローチと市販のテクノロジーの両方を使用して、個人所有のモバイルデバイスによるエンタープライズリソースへのアクセスを許可する場合に、セキュリティとプライバシーのニーズを満たすのに役立つソリューションの例を提供することである。 
This second draft includes major updates to the iOS BYOD implementation.  この第 2 ドラフトには、iOS BYOD の実装に関する大幅な更新が含まれている。 
We look forward to receiving your comments and any feedback on the following questions will be very helpful: また、以下の質問に対するご意見もお待ちしている。
Does the guide meet your needs? このガイドはあなたのニーズを満たしているか?
Can you put this solution to practice?  このソリューションを実践できるか? 
Are specific sections more/less helpful? 特定のセクションはより有用であるか/そうではありませんか?
Abstract 概要
Bring Your Own Device (BYOD) refers to the practice of performing work-related activities on personally owned devices. This practice guide provides an example solution demonstrating how to enhance security and privacy in Android and iOS smartphone BYOD deployments. BYOD(Bring Your Own Device)とは、個人所有のデバイスで業務に関連する活動を行うことを指す。この実践ガイドでは、Android および iOS スマートフォンの BYOD 導入におけるセキュリティとプライバシーを強化する方法を示すソリューションの例を示する。
Incorporating BYOD capabilities into an organization can provide greater flexibility in how employees work and increase the opportunities and methods available to access organizational resources. For some organizations, the combination of traditional in-office processes with mobile device technologies enables portable communication approaches and adaptive workflows. For others, it fosters a mobile-first approach in which their employees communicate and collaborate primarily using their mobile devices. BYOD 機能を組織に組み込むことで、従業員の働き方に柔軟性が生まれ、組織のリソースにアクセスする機会や方法が増えます。組織によっては、従来のオフィス内のプロセスとモバイル・デバイス・テクノロジーを組み合わせることで、携帯可能なコミュニケーション・アプローチと適応性のあるワークフローを実現できる。また、従業員が主にモバイルデバイスを使用してコミュニケーションやコラボレーションを行う、モバイルファーストのアプローチを促進する組織もある。
However, some of the features that make BYOD mobile devices increasingly flexible and functional also present unique security and privacy challenges to both work organizations and device owners. The unique nature of these challenges is driven by the diverse range of devices available that vary in type, age, operating system (OS), and the level of risk posed. しかし、BYODモバイル・デバイスの柔軟性と機能性を高めるいくつかの機能は、職場組織とデバイスの所有者の両方に対して、セキュリティとプライバシーに関する独自の課題を提起している。これらの課題は、種類、年齢、オペレーティング・システム(OS)、およびリスクのレベルが異なるさまざまなデバイスが利用可能であることに起因している。
Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist. 企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。
To help organizations benefit from BYOD’s flexibility while protecting themselves from many of its critical security and privacy challenges, this Practice Guide provides an example solution using standards-based, commercially available products and step-by-step implementation guidance. この実践ガイドでは、BYOD の柔軟性を活用しながら、セキュリティとプライバシーに関する多くの重要な課題から組織を保護するために、標準ベースの市販製品を使用したソリューションの例と段階的な実装ガイダンスを提供する。

 

・[PDF]  NIST SP 1800-22 2pd

20221203-103740

 

・エグゼクティブサマリー...

 

Executive Summary  要旨 
Many organizations provide employees the flexibility to use their personal mobile devices to perform work-related activities. An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise. Ensuring that an organization’s data is protected when it is accessed from personal devices poses unique challenges and threats.  多くの組織では、従業員が個人所有のモバイルデバイスを使用して業務に関連する活動を行うことができるように柔軟性を提供している。個人所有のモバイルデバイスのセキュリティが不十分な場合、組織や従業員はデータの損失やプライバシーの侵害にさらされる可能性がある。個人所有のモバイルデバイスからアクセスする際に、組織のデータを確実に保護することは、独自の課題と脅威をもたらする。
Allowing employees to use their personal mobile devices for work-related activities is commonly known as a bring your own device (BYOD) deployment. A BYOD deployment offers a convenient way to remotely access organizational resources, while avoiding the alternative of carrying both a work phone and personal phone. This NIST Cybersecurity Practice Guide demonstrates how organizations can use standards-based, commercially available products to help meet their BYOD security and privacy needs.  従業員が個人所有のモバイルデバイスを業務に使用することは、一般的にBYOD(Bring Your Own Device)と呼ばれている。BYOD を導入すると、組織のリソースにリモートでアクセスできるようになる一方で、仕事用の携帯電話と個人用の携帯電話の両方を持ち歩くという選択肢を避けることができる。この NIST サイバーセキュリティ実践ガイドは、組織が標準ベースの市販製品を使用して、BYOD のセキュリティとプライバシーのニーズを満たす方法を示している。
CHALLENGE  課題 
BYOD devices can be used interchangeably for work and personal purposes throughout the day. While flexible and convenient, BYOD can introduce challenges to an enterprise. These challenges can include additional responsibilities and complexity for information technology (IT) departments caused by supporting many types of personal mobile devices used by the employees, enterprise security threats arising from unprotected personal devices, as well as challenges protecting the privacy of employees and their personal data stored on their mobile devices.  BYOD デバイスは、1 日を通して仕事とプライベートの両方の目的で交換可能に使用されます。BYOD は柔軟で便利な反面、エンタープライズに課題をもたらす可能性がある。これらの課題には、従業員が使用する多くの種類の個人用モバイルデバイスをサポートすることによる情報技術(IT)部門の責任と複雑さの増加、保護されていない個人用デバイスから生じる企業のセキュリティ脅威、および従業員とそのモバイルデバイスに保存されている個人データのプライバシーを保護する課題などがある。
An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise. 個人用モバイルデバイスのセキュリティが不十分な場合、組織や従業員がデータ損失やプライバシー侵害にさらされる可能性がある。
SOLUTION  解決策 
The National Cybersecurity Center of Excellence (NCCoE) collaborated with the mobile community and cybersecurity technology providers to build a simulated BYOD environment. Using commercially available products, the example solution’s technologies and methodologies can enhance the security  posture of the adopting organization and help protect employee privacy and organizational information assets. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、モバイルコミュニティおよびサイバーセキュリティ技術プロバイダーと協力し、BYOD環境のシミュレーションを構築した。市販の製品を使用することで、このソリューションのテクノロジーと方法論は、採用する組織のセキュリティ姿勢を強化し、従業員のプライバシーと組織の情報資産を保護するのに役立つ。
This practice guide can help your organization:  この実践ガイドでは、以下のことを実現する。
§  protect data from being accessed by unauthorized persons when a device is stolen or misplaced § デバイスの盗難や置き忘れの際に、不正アクセスからデータを保護する。
§  reduce risk to employees through enhanced privacy protections § プライバシー保護の強化により、従業員のリスクを軽減する。
§  improve the security of mobile devices and applications by deploying mobile device technologies   § モバイルデバイス技術の導入によるモバイルデバイスとアプリケーションのセキュリティの向上  
§  reduce risks to organizational data by separating personal and work-related information from each other § 個人情報と業務関連情報を分離することによる組織データへのリスクの低減
§  enhance visibility into mobile device health to facilitate identification of device and data compromise, and permit efficient user notification  § モバイルデバイスの健全性を可視化し、デバイスとデータの侵害を特定し、ユーザーへの通知を効率的に行う。
§  leverage industry best practices to enhance mobile device security and privacy  § モバイルデバイスのセキュリティとプライバシーを強化するために、業界のベストプラクティスを活用する。
§  engage stakeholders to develop an enterprise-wide policy to inform management and employees of acceptable practices § 管理職と従業員に許容されるポリシーを伝えるため、利害関係者を巻き込んでエンタープライズ全体のポリシーを策定する。
The example solution uses technologies and security capabilities (shown below) from our project collaborators. The technologies used in the solution support security and privacy standards and guidelines including the NIST Cybersecurity Framework and NIST Privacy Framework, among others. Both iOS and Android devices are supported by this guide’s example solution.  このソリューションの例では、プロジェクトの協力者が提供するテクノロジーとセキュリティ機能(以下に示す)を使用している。このソリューションで使用されているテクノロジーは、NIST Cybersecurity FrameworkやNIST Privacy Frameworkなどのセキュリティとプライバシーの標準およびガイドラインをサポートしている。このガイドのサンプルソリューションでは、iOSとAndroidの両方のデバイスがサポートされている。
While the NCCoE used a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution. NCCoEはこの課題に対処するために一連の商用製品を使用したが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではありません。組織の情報セキュリティ専門家は、既存のツールや IT システムのインフラと最もよく統合できる製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズし、実装することもできる。
HOW TO USE THIS GUIDE  このガイドの使用方法 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割に応じて、このガイドをさまざまな方法で使用することができる。
Business decision makers, including chief information security and technology officers can use this part of the guide, NIST SP 1800-22a: Executive Summary, to understand the impetus for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  情報セキュリティおよび技術の最高責任者を含むビジネス意思決定者は、本ガイドのこの部分であるNIST SP 1800-22Aを使用できる。エグゼクティブ・サマリーは、本ガイドのきっかけ、当社が取り組むサイバーセキュリティの課題、この課題を解決するための当社のアプローチ、およびこのソリューションが組織にどのような利益をもたらすかを理解するために使用する。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use the following:  リスクを特定、理解、評価、および軽減する方法に関心のある技術、セキュリティ、およびプライバシープログラムマネージャーは、以下を利用することができる。
§  NIST SP 1800-22b: Approach, Architecture, and Security Characteristics, which describes what we built and why, the risk analysis performed, and the security/privacy control mappings.  § NIST SP 1800-22b: NIST SP 1800-22b: アプローチ、アーキテクチャ、およびセキュリティ特性。何をなぜ作ったか、実施したリスク分析、セキュリティ/プライバシー制御のマッピング。 
§  NIST SP 1800-22 Supplement: Example Scenario: Putting Guidance into Practice, which provides an example of a fictional company using this practice guide and other NIST guidance to implement a BYOD deployment with their security and privacy requirements.  § NIST SP 1800-22 Supplement。シナリオの例。この実践ガイドおよび他の NIST ガイダンスを使用して、セキュリティおよびプライバシーの要件を満たす BYOD 展開を行う架空の会社の例を示している。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-22c: How To Guides, which provides specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project.   このようなアプローチを実施したいIT専門家は、NIST SP 1800-22C: How To Guidesを利用できる。このガイドでは、実装例を構築するための具体的な製品のインストール、構成、および統合の手順が提供されており、このプロジェクトのすべてまたは一部を再現することができる。 

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.2.1 Standards and Guidance 1.2.1 標準とガイダンス
1.3 Benefits 1.3 利点
2  How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 タイポグラフィ規則
3 Approach 3 アプローチ
3.1  Audience 3.1 想定読者
3.2  Scope 3.2 対象範囲
3.3 Assumptions 3.3 前提条件
3.4 Risk Assessment 3.4 リスクアセスメント
4 Architecture 4 アーキテクチャ
4.1  Common BYOD Risks and Potential Goals to Remediate Those Risks 4.1 一般的なBYODリスクと、そのリスクを修正するための潜在的な目標
4.1.1  Threat Events 4.1.1 脅威となる事象
4.1.2  Privacy Risks 4.1.2 プライバシー・リスク
4.1.3  Security and Privacy Goals 4.1.3 セキュリティとプライバシーの目標
4.2  Example Scenario: Putting Guidance into Practice 4.2 シナリオの例:ガイダンスの実践
4.3  Technologies that Support the Security and Privacy Goals of the Example Solution 4.3 ソリューション例のセキュリティとプライバシーの目標をサポートする技術
4.3.1  Trusted Execution Environment 4.3.1 信頼された実行環境
4.3.2  Enterprise Mobility Management 4.3.2 エンタープライズモビリティ管理
4.3.3  Virtual Private Network 4.3.3 仮想プライベートネットワーク
4.3.4  Mobile Application Vetting Service 4.3.4 モバイルアプリケーション審査サービス
4.3.5  Mobile Threat Defense 4.3.5 モバイル脅威防御
4.3.6  Mobile Operating System Capabilities 4.3.6 モバイルオペレーティングシステム機能
4.4  Architecture Description 4.4 アーキテクチャの説明
4.5  Enterprise Integration of the Employees’ Personally Owned Mobile Devices 4.5 従業員の個人所有のモバイルデバイスのエンタープライズ統合
4.5.1  Microsoft Active Directory Integration 4.5.1 Microsoft Active Directoryの統合
4.5.2  Mobile Device Enrollment 4.5.2 モバイルデバイスのエンロールメント
4.6  Mobile Components Integration 4.6 モバイルコンポーネントの統合
4.6.1  Zimperium–MaaS360 4.6.1 Zimperium-MaaS360
4.6.2  Kryptowire–MaaS360 4.6.2 Kryptowire-MaaS360
4.6.3  Palo Alto Networks–MaaS360 4.6.3 パロアルトネットワークス-MaaS360
4.6.4  iOS and Android MDM Integration 4.6.4 iOSおよびAndroid MDMの統合
4.7  Privacy Settings: Mobile Device Data Processing 4.7 プライバシー設定。モバイルデバイスのデータ処理
4.7.1  EMM: MaaS360 4.7.1 EMM: MaaS360
4.7.2  MTD: Zimperium 4.7.2 MTD: Zimperium(ジンペリウム
4.7.3  Application Vetting: Kryptowire 4.7.3 アプリケーションベッティング Kryptowire
4.7.4  VPN: Palo Alto Networks 4.7.4 VPN:Palo Alto Networks(パロアルトネットワークス
5  Security and Privacy Analysis 5 セキュリティとプライバシーの分析
5.1  Analysis Assumptions and Limitations 5.1 分析の前提条件と限界
5.2  Build Testing 5.2 ビルドテスト
5.3  Scenarios and Findings 5.3 シナリオと調査結果
5.3.1  Cybersecurity Framework, Privacy Framework, and NICE Framework Work Roles Mappings 5.3.1 サイバーセキュリティフレームワーク、プライバシーフレームワーク、および NICE フレームワークの作業役割マッピング
5.3.2  Threat Events and Findings 5.3.2 脅威イベントと調査結果
5.3.3  Privacy Risk Findings 5.3.3 プライバシーリスクの調査結果
5.4  Security and Privacy Control Mappings 5.4 セキュリティとプライバシーコントロールの対応付け
6  Example Scenario: Putting Guidance into Practice 6 シナリオの例。ガイダンスの実践
7  Conclusion 7 結論
8  Future Build Considerations 8 今後の構築に関する考察
Appendix A List of Acronyms 附属書A 頭字語リスト
Appendix B Glossary 附属書B 用語集
Appendix C References 附属書C 参考文献
Appendix D Standards and Guidance 附属書D 標準とガイダンス
Appendix E Example Security Subcategory and Control Map 附属書E セキュリティサブカテゴリーとコントロールマップの例
Appendix F Example Privacy Subcategory and Control Map 附属書F プライバシーサブカテゴリーとコントロールマップの例

 

 


 

1st ドラフトの時...

まるちゃんの情報セキュリティきまぐれ日記

・2021.03.19 NIST SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) BYODのセキュリティ

 

| | Comments (0)

2022.11.26

中国 パブコメ 重要情報インフラ サイバーセキュリティ対応システムフレームワーク (2022.11.17)

こんにちは、丸山満彦です。

中国の全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)、いわゆるTC260が重要情報インフラ事業者のサイバーセキュリティ対応システムフレームワークについての標準案を公表し、意見募集をしていますね。。。

データセンタ事業者や通信事業者に適用されるものだろうと思うのですが、日本の事業者にとっても参考になる部分はあるのだろうと思います。もちろん、伝統的な対策がほとんどなので、対策済みの項目がほとんどだろうとは思いますが...

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2022.11.17 关于国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》征求意见稿征求意见的通知

 

・[DOC] 信息安全技术 关键信息基础设施网络安全应急体系框架-标准文本.doc

・[PDF]

20221126-62418

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
本文件给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。 本書は、重要情報インフラに対するサイバーセキュリティ緊急対応体制について、組織の設立、分析・識別、緊急対応計画、監視・早期警戒、緊急対応、事後復旧・総括、事故報告・情報共有、緊急防護、演習・訓練などの枠組みを示したものである。
本文件适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,也可供关键信息基础设施安全保护的其他相关方参考。 本書は、重要情報インフラの運用者が、健全なサイバーセキュリティ緊急対応体制を構築し、サイバーセキュリティ緊急対応活動を行う際に適用できるとともに、重要情報インフラのセキュリティ保護に関わるその他の関係者にとっても参考となるものである。
2 规范性引用文件 2 規範となる引用文献
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 以下の文書の内容は、本文中の規範的な参照を通じて、この文書の本質的な規定を構成している。 このうち、日付のある文献については、その日付に対応するバージョンのみが本書に適用され、日付のない文献については、最新バージョン(すべての改訂シートを含む)が本書に適用される。
GB/Z 20986 信息安全技术 信息安全事件分类分级指南 GB/Z 20986 情報セキュリティ技術 情報セキュリティインシデントの分類および等級付けガイド
GB/T 25069—2022 信息安全技术 术语 GB/T 25069-2022 情報セキュリティ技術用語集
GB/T 39204—2022  信息安全技术  关键信息基础设施安全保护要求 GB/T 39204-2022 情報セキュリティ技術 重要情報インフラのセキュリティ保護に関する要求事項
GB/T AAAAA—XXXX 信息安全技术 网络安全信息共享指南 GB/T AAAAA-XXXX 情報セキュリティ技術 サイバーセキュリティに関する情報共有のためのガイドライン

 

 

目次的なもの。。。

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
2 规范性引用文件 2 規範となる引用文献
3 术语和定义 3 用語の説明と定義
3.1 关键信息基础设施  critical information infrastructure 3.1 重要情報インフラ
3.2 网络安全事件  cybersecurity incident 3.2 サイバーセキュリティインシデント
3.3 应急响应  emergency response 3.3 緊急対応
3.4 应急预案  emergency plan 3.4 緊急対応計画 
3.5 网络安全应急相关方  cybersecurity emergency relevant party 3.5 サイバーセキュリティ緊急事態関連当事者
3.6 供应链  supply chain 3.6 サプライチェーン
3.7 关键业务链  critical business chain 3.7 主要事業チェーン
4 缩略语 4 略語
5 总体架构 5 一般的なアーキテクチャ
6 机构设立 6 機関の設立
7 分析识别 7 分析・識別
8 应急预案 8 緊急対応計画
9 监测预警 9 監視と早期警告
9.1 风险发现 9.1 リスクの検出
9.2 风险分析 9.2 リスク分析
9.3 风险预警 9.3 リスク早期警告
10 应急处置 10 緊急対応
10.1 概述 10.1 概要
10.2 应急处置机制 10.2 緊急対応メカニズム
10.3 业务应急处置 10.3 業務上の緊急対応
10.4 数据应急处置 10.4 データ緊急対応
10.5 供应链应急处置 10.5 サプライチェーンでの緊急対応
11 事后恢复与总结 11 事故後の復旧と棚卸し
12 事件报告与信息共享 12 インシデント報告および情報共有
12.1 事件报告 12.1 インシデント報告
12.2 信息共享 12.2 情報共有
12.2.1 信息共享机制 12.2.1 情報共有の仕組み
12.2.2 信息共享内容 12.2.2 情報共有の内容
13 应急保障 13 緊急時のセキュリティ
13.1 基础保障 13.1 基本的なセキュリティ
13.2 协同保障 13.2 協働セキュリティ
13.3 业务保障 13.3 オペレーショナルセキュリティ
13.4 数据保障 13.4 データセキュリティ
13.5 供应链保障 13.5 サプライチェーンセキュリティ
14 演练与培训 14 演習と訓練
14.1 演练 14.1 演習
14.2 培训 14.2 訓練

 

1_20221126064301

 

図1:CIIのサイバーセキュリティ緊急対応システムフレームワークの全体アーキテクチャ

・[DOCX] 仮対訳

 


 

意見募集の一覧

全国信息安全标准化技术委员会

标准征求意见(100件単位)

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2022.05.31 中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

 

 

| | Comments (0)

2022.11.25

欧州データ保護委員会 パブコメ コントローラ用 拘束的企業準則 (BCR-C) (2022.11.15)

こんにちは、丸山満彦です。

欧州データ保護委員会がコントローラ用拘束的企業準則 (BCR-C) を公開し、意見募集をしていますね。。。既存のガイダンスをCJEUのSchrems II判決の要件に一致させるための改訂という感じですね。。。

日本では、IIJがBCRを活用していますね。。。

 

European Data Protection Board: EDPB

・2022.11.15 EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules

EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules EDPB、承認申請とコントローラ用 拘束的企業準則の要素および原則に関する勧告を採択
During its November plenary, the EDPB adopted Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules (BCR-C). These recommendations form an update of the existing BCR-C referential, which contain criteria for BCR-C approval, and merge it with the standard application form for BCR-C. The new recommendations build upon the agreements reached by data protection authorities in the course of approval procedures on concrete BCR applications since the entering into application of the GDPR. The recommendations provide additional guidance and aim to ensure a level playing field for all BCR applicants. The recommendations also bring the existing guidance in line with the requirements in the CJEU’s Schrems II ruling. EDPBは、11月の総会において、コントローラ用 拘束的企業準則 (BCR-C)の承認申請および要素・原則に関する勧告を採択した。この勧告は、BCR-C承認のための基準を含む既存のBCR-Cリファレンスを更新し、BCR-Cの標準申請書と統合するものである。この新しい勧告は、GDPRの適用開始以来、具体的なBCR申請に関する承認手続きの過程でデータ保護当局が達成した合意に基づいている。この勧告は、追加のガイダンスを提供し、すべてのBCR申請者に公平な競争の場を保証することを目的としている。また、この勧告は、既存のガイダンスをCJEUのSchrems II判決の要件に一致させるものである。
BCR-Cs are a transfer tool that can be used by a group of undertakings or enterprises, engaged in a joint economic activity, to transfer personal data outside the European Economic Area to controllers or processors within the same group. BCRs create enforceable rights and set out commitments to establish a level of data protection essentially equivalent to the one provided by the GDPR. BCR-Cは、共同経済活動を行う企業グループが、欧州経済領域外の個人データを同じグループ内の管理者または処理者に移転するために使用できる移転手段である。BCRは、強制力のある権利を創出し、GDPRが提供するものと本質的に同等のデータ保護レベルを確立するためのコミットメントを定めている。
The aim of these recommendations is to: 本勧告の目的は、以下のとおりである。
・provide an updated standard application form for the approval of BCR-Cs; ・BCR-Cの承認のための標準的な申請書の更新を提供する。
・clarify the necessary content of BCR-Cs and provide further explanation; ・BCR-Cの必要な内容を明確にし、さらなる説明を提供する。
・make a distinction between what must be included in a BCR-C and what must be presented to the BCR lead data protection authority in the BCR application; ・BCR-Cに含まれなければならないものと、BCR申請においてBCRリードデータ保護当局に提示しなければならないものを区別する。
A second set of recommendations for BCR-processors is currently being developed. プロセッサー用BCRに対する第2の勧告は、現在策定中である。
The recommendations will be subject to public consultation until 10 January 2023 勧告は、2023年1月10日まで公開協議の対象となる予定である。

 

・2022.11.17 Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) 承認申請に関する勧告1/2022、及びコントローラー用拘束的企業準則(GDPR第47条)に見出されるべき要素及び原則に関する勧告
The European Data Protection Board welcomes comments on the Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR). 欧州データ保護委員会は、承認申請に関する勧告1/2022およびコントローラー拘束力のある企業規則(GDPR第47条)に見出される要素および原則に関するコメントを歓迎する。
Such comments should be sent 10th January 2023 at the latest using the provided form. このようなコメントは、遅くとも2023年1月10日までに、所定のフォームを使用して送信すること。
Please note that, by submitting your comments, you acknowledge that your comments might be published on the EDPB website. なお、コメントを送信することにより、あなたのコメントがEDPBのウェブサイトに掲載される可能性があることを了承したものとみなされる。
The EDPB Secretariat staff screens all replies provided before publication (only for the purpose of blocking unauthorised submissions, such as spam), after which the replies are made available to the public directly on the EDPB public consultations’ page. Unauthorised submissions are immediately deleted. The attached files are not altered in any way by the EDPB. EDPB事務局では公開前に全ての返信を審査し(スパムなど不正な投稿をブロックする目的のみ)、その後EDPB公開協議のページで直接公開される。無許可の投稿は直ちに削除されます。添付されたファイルは、EDPBによって一切変更されない。
Please, note that regardless the option chosen, your contribution may be subject to a request for access to documents under Regulation 1049/2001 on public access to European Parliament, Council and Commission documents. In this case the request will be assessed against the conditions set out in the Regulation and in accordance with applicable data protection rules. なお、どのオプションを選択したかにかかわらず、あなたの投稿は、欧州議会、理事会、欧州委員会の文書への一般アクセスに関する規則1049/2001に基づく文書アクセス要求の対象となる可能性があることを了承すること。この場合、要求は同規則に規定された条件と、適用されるデータ保護規則に従って評価される。
All legal details can be found in our Specific Privacy Statement (SPS). すべての法的な詳細は、当社の特定個人情報保護方針(SPS)に記載されている。

 

・2022.11.17 [PDF] Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

20221125-10958

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.11.20

NIST SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)(2022.11.15)

こんにちは、丸山満彦です。

NISTが、SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)を公表していますね。ドラフト第2版から、6年の時を経ての更新です。。。

差分プライバシーは今後ということで、非識別の話が中心のようです。。。

 

NIST - ITL

・2022.11.15 SP 800-188 (Draft) De-Identifying Government Data Sets (3rd Draft)

 

SP 800-188 (Draft) De-Identifying Government Data Sets (3rd Draft) SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)
Announcement 発表
De-identification removes identifying information from a data set so that the remaining data cannot be linked to specific individuals. Government agencies can use de-identification to reduce the privacy risks associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST published NIST Internal Report (IR) 8053, De-Identification of Personal Information, which provided a survey of de-identification and re-identification techniques. This document provides specific guidance to government agencies that wish to use de-identification. 非識別化とは、データセットから識別情報を削除し、残りのデータを特定の個人にリンクできないようにすることである。政府機関は、識別情報の削除を利用して、政府データの収集、処理、保管、配布、または公開に関連するプライバシーリスクを軽減することができる。以前、NIST は NIST Internal Report (IR) 8053「個人情報の非識別化」を発行し、非識別化および再識別化技術の調査結果を提供した。本書は、非識別化を使用することを希望する政府機関に対する具体的なガイダンスを提供するものである。
Six years have passed since NIST released the second draft of SP 800-188. During this time, there have been significant developments in privacy technology, specifically in the theory and practice of differential privacy. While this draft reflects some of those advances, it remains focused on de-identification, as differential privacy is still not sufficiently mature to be used by many government agencies. Where appropriate, this document cautions users about the inherent limitations of de-identification when compared to formal privacy methods, such as differential privacy. NIST が SP 800-188 の第 2 ドラフトを発表してから 6 年が経過した。この間、プライバシー技術、特に差分プライバシーの理論と実践に大きな進展があった。このドラフトは、それらの進歩の一部を反映しているが、差分プライバシーが多くの政府機関によって使用されるにはまだ十分に成熟していないため、依然として非識別に焦点を合わせている。適切な場合、本書は、差分プライバシーなどの正式なプライバシー手法と比較した場合、非識別化の固有の限界についてユーザーに注意を促している。
Abstract 概要
De-identification is a process that is applied to a dataset with the goal of preventing or limiting informational risks to individuals, protected groups, and establishments while still allowing for meaningful statistical analysis. Government agencies can use de-identification to reduce the privacy risk associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NISTIR 8053, De-Identification of Personal Information, provided a survey of de-identification and re-identification techniques. This document provides specific guidance to government agencies that wish to use de-identification. Before using de-identification, agencies should evaluate their goals for using de-identification and the potential risks that de-identification might create. Agencies should decide upon a de-identification release model, such as publishing de-identified data, publishing synthetic data based on identified data, or providing a query interface that incorporates de-identification. Agencies can create a Disclosure Review Board to oversee the process of de-identification. They can also adopt a de-identification standard with measurable performance levels and perform re-identification studies to gauge the risk associated with de-identification. Several specific techniques for de-identification are available, including de-identification by removing identifiers and transforming quasi-identifiers and the use of formal privacy models. People performing de-identification generally use special-purpose software tools to perform the data manipulation and calculate the likely risk of re-identification. However, not all tools that merely mask personal information provide sufficient functionality for performing de-identification. This document also includes an extensive list of references, a glossary, and a list of specific de-identification tools, which is only included to convey the range of tools currently available and is not intended to imply a recommendation or endorsement by NIST. 非識別化とは、個人、保護されたグループ、および事業体に対する情報リスクを防止または制限する一方で、意味のある統計分析を可能にすることを目的としてデータセットに適用されるプロセスである。政府機関は、政府データの収集、処理、アーカイブ、配布、または公開に関連するプライバシーリスクを低減するために、非識別化を使用することができる。以前、NISTIR 8053「個人情報の非識別化」では、非識別化および再識別化技術の調査結果を提供した。本書では、非識別化を使用することを希望する政府機関に対する具体的なガイダンスを提供する。非識別化を使用する前に、政府機関は非識別化の使用目的と非識別化によって生じる可能性のあるリスクを評価する必要がある。機関は、非識別化データの公開、識別されたデータに基づく合成データの公開、または非識別化を組み込んだクエリーインターフェースの提供など、非識別化公開モデルを決定する必要がある。機関は、非識別化プロセスを監督するための開示審査委員会(Disclosure Review Board)を設立することができる。また、測定可能なパフォーマンス・レベルを持つ非識別化標準を採用し、非識別化に関連するリスクを評価するために再識別化調査を実施することもできる。識別子の除去、準識別子の変換による識別解除、正式なプライバシーモデルの使用など、識別解除のためのいくつかの特定の技術が利用可能である。一般に、非識別化を行う人々は、データ操作を行い、再識別化の可能性が高いリスクを計算するために、特別な目的のソフトウェア・ツールを使用する。しかし、個人情報を単にマスクするだけのツールのすべてが、非識別化の実行に十分な機能を備えているわけではない。本書には、広範な参考文献のリスト、用語集、および特定の非識別化ツールのリストも含まれているが、これは現在利用可能なツールの範囲を伝えるためにのみ含まれており、NISTによる推奨または推奨を意味するものではない。

 

・[PDF] SP 800-188 (Draft)

20221120-51903_20221120052001

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1. Document Purpose and Scope 1.1. 文書の目的および範囲
1.2. Intended Audience 1.2. 対象読者
1.3. Organization 1.3. 組織
2. Introducing De-Identifcation 2. 非識別化技術の導入
2.1. Historical Context 2.1. 歴史的背景
2.2. Terminology 2.2. 用語解説
3. Governance and Management of Data De-Identifcation 3. データ非識別化のガバナンスと管理
3.1. Identifying Goals and Intended Uses of De-Identifcation 3.1. 識別解除の目的と用途の特定
3.2. Evaluating Risks that Arise from De-Identifed Data Releases 3.2. 非識別加工されたデータの公開によって生じるリスクの評価
3.2.1. Probability of Re-Identifcation 3.2.1. 再識別の確率
3.2.2. Adverse Impacts of Re-Identifcation 3.2.2. 再識別による悪影響
3.2.3. Impacts Other Than Re-Identifcation 3.2.3. 再識別以外の影響
3.2.4. Remediation 3.2.4. 修復
3.3. Data Life Cycle 3.3. データのライフサイクル
3.4. Data-Sharing Models 3.4. データ共有モデル
3.5. The Five Safes 3.5. 5つの安全
3.6. Disclosure Review Boards 3.6. 開示審査委員会
3.7. De-Identifcation Standards 3.7. 非識別化基準
3.7.1. Benefts of Standards 3.7.1. 標準のメリット
3.7.2. Prescriptive De-Identifcation Standards 3.7.2. 規範的非識別化標準
3.7.3. Performance-Based De-Identifcation Standards 3.7.3. パフォーマンスベースの非識別化標準
3.8. Education, Training, and Research 3.8. 教育、トレーニング、及び研究
3.9. Defense in Depth 3.9. 多重防御
3.9.1. Encryption and Access Control 3.9.1. 暗号化とアクセス制御
3.9.2. Secure Computation 3.9.2. 安全な計算
3.9.3. Trusted Execution Environments 3.9.3. 信頼された実行環境
3.9.4. Physical Enclaves 3.9.4. 物理的領域
4. Technical Steps for Data De-Identifcation 4. データ非識別化のための技術的ステップ
4.1. Determine the Privacy, Data Usability, and Access Objectives 4.1. プライバシー、データの使いやすさ、アクセスの目的の決定
4.2. Conducting a Data Survey 4.2. データ調査の実施
4.3. De-Identifcation by Removing Identifers and Transforming Quasi-Identifers 4.3. 識別子の削除と擬似識別子の変換による脱識別子化
4.3.1. Removing or Transforming of Direct Identifers 4.3.1. 直接識別子の除去または変換
4.3.2. Special Security Note Regarding the Encryption or Hashing of Direct Identifers 4.3.2. 直接識別子の暗号化またはハッシュ化に関する特別なセキュリティ上の注意点
4.3.3. De-Identifying Numeric Quasi-Identifers 4.3.3. 数的擬似識別子の非識別化
4.3.4. De-Identifying Dates 4.3.4. 日付の非識別化
4.3.5. De-Identifying Geographical Locations and Geolocation Data 4.3.5. 地理的位置と地理的位置データの非識別化
4.3.6. De-Identifying Genomic Information 4.3.6. ゲノム情報の非識別化
4.3.7. De-Identifying Text Narratives and Qualitative Information 4.3.7. テキストの語りと質的情報の非識別化
4.3.8. Challenges Posed by Aggregation Techniques 4.3.8. 集計技術がもたらす課題
4.3.9. Challenges Posed by High-Dimensional Data 4.3.9. 高次元データがもたらす課題
4.3.10. Challenges Posed by Linked Data 4.3.10. リンクデータの課題
4.3.11. Challenges Posed by Composition 4.3.11. 合成による課題
4.3.12. Potential Failures of De-Identifcation 4.3.12. 非識別化の潜在的な失敗
4.3.13. Post-Release Monitoring 4.3.13. リリース後のモニタリング
4.4. Synthetic Data 4.4. 合成データ
4.4.1. Partially Synthetic Data 4.4.1. 部分合成データ
4.4.2. Test Data 4.4.2. テストデータ
4.4.3. Fully Synthetic Data 4.4.3. 完全合成データ
4.4.4. Synthetic Data with Validation 4.4.4. 検証付き合成データ
4.4.5. Synthetic Data and Open Data Policy 4.4.5. 合成データとオープンデータポリシー
4.4.6. Creating a Synthetic Dataset with Diferential Privacy 4.4.6. 差分プライバシーを持つ合成データセットの作成
4.5. De-Identifying with an Interactive Query Interface 4.5. インタラクティブなクエリ・インターフェイスによる識別の解除
4.6. Validating a De-Identifed Dataset 4.6. 非識別化データセットの検証
4.6.1. Validating Data Usefulness 4.6.1. データの有用性の検証
4.6.2. Validating Privacy Protection 4.6.2. プライバシー保護の検証
4.6.3. Re-Identifcation Studies 4.6.3. 再認識のための調査
5. Software Requirements, Evaluation, and Validation 5. ソフトウェア要件、評価、検証
5.1. Evaluating Privacy-Preserving Techniques 5.1. プライバシー保護技術の評価
5.2. De-Identifcation Tools 5.2. 個人認証解除ツール
5.2.1. De-Identifcation Tool Features 5.2.1. 身元確認ツールの特徴
5.2.2. Data Provenance and File Formats 5.2.2. データプロベナンスとファイルフォーマット
5.2.3. Data Masking Tools 5.2.3. データマスキングツール
5.3. Evaluating De-Identifcation Software 5.3. 非識別化ソフトウェアの評価
5.4. Evaluating Data Accuracy 5.4. データ精度の評価
6. Conclusion 6. まとめ
References 参考文献
Appendix A. Standards 附属書A. 標準
A.1. NIST Publications A.1. NISTの出版物
A.2. Other U.S. Government Publications A.2. その他の米国政府出版物
Selected Publications by Other Governments その他の政府出版物(抜粋
Reports and Books レポートと書籍
How-To Articles ハウツー記事
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書B. 記号、略語、頭字語のリスト
Appendix C. Glossary 附属書C. 用語集

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
Every federal agency creates and maintains internal datasets that are vital for fulflling its mission. The Foundation for Evidence-based Policymaking Act of 2018 [2] mandates that agencies also collect and publish their government data in open, machine-readable formats, when it is appropriate to do so. Agencies can use de-identifcation to make government datasets available while protecting the privacy of the individuals whose data are contained within those datasets.  すべての連邦政府機関は、その使命を果たすために不可欠な内部データセットを作成し、維持している。2018年のFoundation for Evidence-based Policymaking Act [2]は、政府機関も、そうすることが適切な場合、政府データをオープンな機械可読形式で収集し、公開することを義務付けている。政府機関は、データセットに含まれる個人のプライバシーを保護しながら、政府データセットを利用できるようにするために、個人識別情報の削除を使用することができる。
Many Government documents use the phrase personally identifable information (PII) to describe private information that can be linked to an individual [62, 79], although there are a variety of defnitions for PII. As a result, it is possible to have information that singles out individuals but that does not meet a specifc defnition of PII. This document therefore presents ways of removing or altering information that can identify individuals that go beyond merely removing PII.  多くの政府文書では、個人にリンクできる個人情報を記述するために個人識別情報(PII) という語句が使用されているが[62, 79]、PIIにはさまざまな定義がある。その結果、個人を特定できる情報であっても、PIIの明確な定義に当てはまらない場合もあり得る。そこで、本書では、単なるPIIの削除にとどまらず、個人を特定できる情報を削除・変更する方法を提示する。
For decades, de-identifcation based on simply removing of identifying information was thought to be suffcient to prevent the re-identifcation of individuals in large datasets. Since the mid 1990s, a growing body of research has demonstrated the reverse, resulting in new privacy attacks capable of re-identifying individuals in “de-identifed” data releases. For several years the goals of such attacks appeared to be the embarrassment of the publishing agency and achieving academic distinction for the privacy researcher [50]. More recently, as high-resolution de-identifed geolocation data has become commercially available, reidentifcation techniques have been used by journalists and activists [100, 140, 70] with the goal of learning confdential information.  何十年もの間、大規模なデータセットにおける個人の再識別を防ぐには、単に識別情報を除去することに基づく識別排除で十分であると考えられてきた。しかし、1990年代半ばから、その逆で、「非識別化」されたデータから個人を再識別することが可能な新たなプライバシー攻撃が出現していることが、多くの研究によって明らかにされている。数年間、このような攻撃の目的は、出版社を困らせることと、プライバシー研究者の学術的な栄誉を獲得することであったように思われる[50]。より最近では、高解像度の非識別化されたジオロケーションデータが商業的に利用可能になったため、再識別化技術がジャーナリストや活動家によって、機密情報を知る目的で使用されている[100, 140, 70]。
These attacks have become more sophisticated in recent years with the availability of geolocation data, highlighting the defciencies in traditional Formal models of privacy, like k-anonymity [122] and differential privacy, [39] use mathematically rigorous approaches that are designed to allow for the controlled use of confdential data while minimizing the privacy loss suffered by the data subjects. Because there is an inherent trade-off between the accuracy of published data and the amount of privacy protection afforded to data subjects, most formal methods have some kind of parameter that can be adjusted to control the “privacy cost” of a particular data release. Informally, a data release with a low privacy cost causes little additional privacy risk to the participants, while a higher privacy cost results in more privacy risk. When they are available, formal privacy methods shoudl be preferred over informal, ad hoc methods.  これらの攻撃は近年ジオロケーションデータが利用可能になるにつれてより巧妙になり、k-匿名性[122]や差分プライバシー[39]などの従来の形式のプライバシーモデルの欠点を浮き彫りにしている。このモデルは、データ対象が被るプライバシー損失を最小限に抑えながら機密データの利用を制御できるように設計された数学的に厳密なアプローチである。公表されるデータの正確さとデータ対象者に与えられるプライバシー保護の量との間には本質的なトレードオフがあるため、ほとんどの形式的手法は、特定のデータ公表の「プライバシーコスト」を制御するために調整できるある種のパラメータを備えている。非公式には、プライバシーコストが低いデータ公開は参加者に追加のプライバシーリスクをほとんど与えず、逆にプライバシーコストが高い場合はプライバシーリスクが高くなる。利用可能な場合は、非公式のその場しのぎの方法よりも正式なプライバシー保護方法が好まれるはずである。
Decisions and practices regarding the de-identifcation and release of government data can be integral to the mission and proper functioning of a government agency. As such, an agency’s leadership should manage these activities in a way that assures performance and results in a manner that is consistent with the agency’s mission and legal authority. One way that agencies can manage this risk is by creating a formal Disclosure Review Board (DRB) that consists of legal and technical privacy experts, stakeholders within the organization, and representatives of the organization’s leadership. The DRB evaluated applications for data release that describe the confdential data, the techniques that will be used to minimize the risk of disclosure, the resulting protected data, and how the effectiveness of those techniques will be evaluated.  政府データの非識別化および公開に関する意思決定および慣行は、政府機関の使命および適切な機能にとって不可欠なものである場合がある。そのため、機関の指導者は、機関の使命および法的権限と一致する方法で、パフォーマンスと結果を保証する方法でこれらの活動を管理する必要がある。政府機関がこのリスクを管理する方法の一つは、法律および技術的なプライバシーの専門家、組織内の利害関係者、および組織の指導者の代表からなる正式な開示審査委員会(DRB)を設置することである。DRBは、機密データ、開示のリスクを最小化するために使用される技術、結果として得られる保護データ、およびこれらの技術の有効性を評価する方法について記述したデータ開示申請書を評価する。
Establishing a DRB may seem like an expensive and complicated administrative undertaking for some agencies. However, a properly constituted DRB and the development of consistent procedures regarding data release should enable agencies to lower the risks associated with each data release, which is likely to save agency resources in the long term.  DRBを設立することは、機関によっては高価で複雑な管理業務に思えるかもしれません。しかし、適切に構成されたDRBとデータ公開に関する一貫した手順の開発により、各データ公開に関連するリスクを低減することができ、長期的には機関のリソースを節約できる可能性が高くなるはずである。
Agencies can create or adopt standards to guide those performing de-identifcation, and regarding regarding the accuracy of de-identifed data. If accuracy goals exist, then techniques such as differential privacy can be used to make the data suffciently accurate for the intended purpose but not unnecessarily more accurate, which can limit the amount of privacy loss. However, agencies must carefully choose and implement accuracy requirements.  機関は、非識別化を行う人、および非識別化データの精度に関するガイドとなる基準を作成または採用することができる。正確さの目標がある場合、差分プライバシーなどの技術を使用して、意図された目的に対して十分な正確さを持ちながら、不必要に正確さを上げないようにデータを作成し、プライバシー損失の量を制限することができる。しかし、機関は精度要件を慎重に選択し、実施しなければならない。
If data accuracy and privacy goals cannot be well-maintained, then releases of data that are not suffciently accurate can result in incorrect scientifc conclusions and policy decisions.  データの正確さとプライバシーの目標が十分に維持できない場合、十分に正確でないデータを公開すると、科学的な結論や政策決定が不正確になる可能性がある。
Agencies should consider performing de-identifcation with trained individuals using software specifcally designed for the purpose. While it is possible to perform de-identifcation with off-the-shelf software like a commercial spreadsheet or fnancial planning program, such programs typically lack the key functions required for proper de-identifcation. As a result, they may encourage the use of simplistic de-identifcation methods, such as deleting sensitive columns and manually searching and removing data that appears sensitive. This may result in a dataset that appears de-identifed but that still contain signifcant disclosure risks.  機関は、訓練を受けた個人が、この目的のために特別に設計されたソフトウェアを使用して、識別情報の除去を行うことを検討すべきである。市販のスプレッドシートや財務計画プログラムのような市販のソフトウェアで個人識別情報の除去を行うことは可能ですが、そのようなプログラムには一般的に適切な個人識別情報の除去に必要な主要機能が欠けている。その結果、機密性の高い列を削除したり、機密性が高いと思われるデータを手作業で検索して削除するなど、単純化された個人識別情報の除去方法の使用が推奨される場合がある。その結果、一見個人を特定できないように見えるデータセットであっても、重大な開示リスクを含んでいる可能性がある。
Finally, different countries have different standards and policies regarding the defnition and use of de-identifed data. Information that is regarded as de-identifed in one jurisdiction may be regarded as being identifable in another.   最後に、国によって、非識別化データの定義と使用に関する基準や方針は異なる。ある法域で非識別化されたとみなされる情報が、別の法域では識別可能であるとみなされることがある。 

 

 

| | Comments (0)

NIST SP 800-55 Rev. 2 (ドラフト)情報セキュリティ パフォーマンス測定ガイド(初期ワーキング・ドラフト)(2022.11.14)

こんにちは、丸山満彦です。

NISTが、SP 800-55 Rev. 2 (ドラフト)情報セキュリティのパフォーマンス測定ガイド(初期ワーキング・ドラフト)を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.11.14 SP 800-55 Rev. 2 (Draft) Performance Measurement Guide for Information Security (initial working draft)

 

SP 800-55 Rev. 2 (Draft)Performance Measurement Guide for Information Security (initial working draft)  SP 800-55 Rev. 2 (ドラフト)情報セキュリティのパフォーマンス測定ガイド(初期ワーキング・ドラフト)
Announcement 発表
This working draft of SP 800-55 Revision 2 is an annotated outline that will enable further community discussions and feedback. Comments received by the deadline will be incorporated to the extent practicable. NIST will then post a complete public draft of SP 800-55 Rev. 2 for an additional comment period. SP 800-55 Rev.2のこのワーキングドラフトは、コミュニティでの議論やフィードバックを可能にするための注釈付きアウトラインである。期限までに寄せられたコメントは、可能な限り反映される予定である。その後、NISTはSP 800-55 Rev.2の完全な公開ドラフトを投稿し、追加のコメント期間を設ける予定である。
Note to Reviewers レビュアーへの注意事項
We seek input on the changes being proposed to SP 800-55. New sections are noted as new additions to SP 800-55. Many are also marked by a “Note to Reviewer” with a request for feedback. These questions are meant to facilitate discussion and should not discourage input on any other topics within this annotated outline. There are three additional questions for reviewer consideration. These questions are: SP 800-55 に提案されている変更点についての意見を求める。新しいセクションは、SP 800-55 に新たに追加されたものとして記されている。また、その多くには、フィードバックを求める「レビュアーへの注意事項」が記されている。これらの質問は、議論を促進するためのものであり、この注釈付きアウトライン内の他のトピックに関する意見を妨げてはならない。レビュアーが検討するための追加の質問が3つある。これらの質問は以下の通りである。
・CIOs and CISOs: What measurement and metrics guidance would benefit your program? ・CIOとCISO:どのような測定と測定基準のガイダンスがあなたのプログラムに役立つか
・How to best communicate information security measurement needs up and down the organizational structure? ・情報セキュリティ測定のニーズを組織構造の上下に伝えるのに最も適した方法は何か?
・Examples: What kinds of measures and metrics examples or templates could this publication provide that would be helpful in your work? ・例 この出版物は、どのような種類の対策や測定基準の例やテンプレートを提供することができ、あなたの仕事に役立つか?
This working draft also has sections with only minor planned changes marked as “intentionally left out of this review cycle” to allow for readers to focus on the more substantial proposed changes. The Initial Public Draft will include the full proposed text for all sections of the document. Feedback is still welcome on the sections not highlighted in this Initial Working Draft.   このワーキング・ドラフトでは、読者がより実質的な変更案に集中できるように、「このレビューサイクルでは意図的に除外した」と記された、わずかな変更しか予定されていないセクションも含まれている。初回公開ドラフトでは、文書のすべてのセクションについて提案された全文が含まれる予定である。この初回ワーキング・ドラフトで強調されていない部分については、引き続きフィードバックを歓迎する。 
virtual public forum will be held on December 13, 2022, to introduce the working draft of SP 800-55 and highlight the various questions for reviewers within the document through a panel of practitioners across different sectors. 2022年12月13日に仮想パブリックフォーラムを開催し、SP 800-55のワーキングドラフトを紹介し、異なるセクターの実務者のパネルを通じて、文書内のレビュー担当者への様々な質問を強調する予定である。
Abstract 概要
This document provides guidance on how an organization can use metrics to identifies the adequacy of an in-place security controls, policies, and procedures. It provides an approach to help management decide where to invest in additional security protection resources or identify and evaluate nonproductive controls. It explains the metric development and implementation process and how it can also be used to adequately justify security control investments. The results of an effective metric program can provide useful data for directing the allocation of information security resources and should simplify the preparation of performance-related reports. 本書は、組織がどのように評価指標を使用して、実施中のセキュリティ管理、方針、及び手続きの妥当性を識別できるかについての指針を提供する。経営陣がセキュリティ保護リソースの追加投資先を決定したり、非生産的な管理策を特定・評価したりするのに役立つアプローチを提供する。測定基準の開発と実施プロセス、およびセキュリティ管理への投資を適切に正当化するために測定基準をどのように利用できるかを説明する。効果的な評価指標プログラムの結果は、情報セキュリティ資源の配分を指示するための有用なデータを提供し、パフォーマンス関連の報告書の作成を簡素化することができるはずである。

 

・[PDF] SP 800-55 Rev. 2 (Draft)

20221120-44734

 

目次...

1.  Introduction 1.  はじめに
1.1.  Purpose and Scope 1.1.  目的及び範囲
1.2.  Audience 1.2.  対象読者
1.3.  Relation to Other NIST Publications 1.3.  他のNIST出版物との関係
1.4.  Document Organization 1.4.  文書の構成
2.  Information Security Measures Fundamentals 2.  情報セキュリティ対策の基礎
2.1.  Document Conventions 2.1.  文書規則
2.1.1. Terminology 2.1.1. 用語の説明
2.1.2. Definition 2.1.2. 定義
2.2.  Benefits of Using Measures 2.2.  測定値を使用するメリット
2.3.  Critical Success Factors 2.3.  重要成功要因
2.4.  Types of Measures 2.4.  施策の種類
2.4.1. Implementation Measures 2.4.1. 実施施策
2.4.2. Effectiveness/Efficiency Measures 2.4.2. 有効性/効率性対策
2.4.3. Impact Measures 2.4.3. 影響度評価
2.5.  Measurement Considerations 2.5.  測定に関する考慮事項
2.5.1. Organizational Considerations 2.5.1. 組織的な検討
2.5.2. Manageability 2.5.2. 管理性
2.5.3. Data Management Concerns 2.5.3. データ管理に関する懸念
2.5.4. Measurement Quality 2.5.4. 測定品質
2.5.5. Trends and Historical Information 2.5.5. トレンドと履歴情報
2.5.6. Automation of Data Collection 2.5.6. データ収集の自動化
2.6.  Information Security Measurement Program Scope 2.6.  情報セキュリティ測定プログラムの範囲
2.6.1. Individual Information Systems 2.6.1. 個々の情報システム
2.6.2. Enterprise-wide Program 2.6.2. 全社的なプログラム
3.  Information Security Measures Fundamentals 3.  情報セキュリティ対策の基礎
3.1.  Information Security Measurement Program Scope 3.1.  情報セキュリティ対策プログラムの範囲
3.2.  Goals and Objective Definition 3.2.  目標及び目的の定義
3.2.1. Governance and Compliance 3.2.1. ガバナンスとコンプライアンス
3.3.  Information Security Policies, Guidelines, and Procedures Review 3.3.  情報セキュリティ方針、ガイドライン、手順の見直し
3.4.  Information Security Measurement Program Implementation Review 3.4.  情報セキュリティ測定プログラム実施状況の確認
3.5.  Measures Development and Schedules 3.5.  対策の策定及びスケジュール
3.5.1. Measures Development Approach 3.5.1. 測定法開発のアプローチ
3.5.2. Measures Prioritization and Selection 3.5.2. 対策の優先順位付けと選択
3.5.3. Establishing Performance Targets 3.5.3. パフォーマンス目標の設定
3.6.  Defining Evaluation Methods 3.6.  評価方法の定義
3.7.  Measures Development and Schedules 3.7.  施策の策定とスケジュール
3.8.  Feedback Within the Development Process 3.8.  開発プロセスにおけるフィードバック
4.  Information Security Measures Program Implementation 4.  情報セキュリティ対策プログラムの実施
4.1.  Prepare for Data Collection 4.1.  データ収集の準備
4.2.  Collect Data and Analyze Results 4.2.  データ収集と結果の分析
4.2.1. Data Collection and Reporting 4.2.1. データ収集と報告
4.3.  Identify Corrective Actions 4.3.  是正処置の特定
4.4.  Develop a Business Case and Obtain Resources 4.4.  ビジネスケースの作成とリソースの確保
4.5.  Apply Corrective Actions 4.5.  是正措置の適用
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、頭字語のリスト
Appendix B. Glossary 附属書B. 用語集
Appendix C. Change Log 附属書C. 変更履歴

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

2008年に発行の現在のバージョン (Rev 1.0) については、IPAで翻訳を公表していますね・・・

IPA - 情報セキュリティ - ... - セキュリティ関連NIST文書

 ・[PDF] SP 800-55 rev.1 情報セキュリティパフォーマンス測定ガイド

| | Comments (0)

2022.11.17

内閣官房 意見募集 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案) 締め切り間近!!!

こんにちは、丸山満彦です。

2022.11.11に「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案)についての意見募集(窓口は内閣官房副長官補室
)が出ていました。。。締め切りが11.20で10日間!!!!!。短くないですかね。。。

全体で57ページの報告書ですが、最初はサイバーから始まります...

9年前の2013年12月の「「世界一安全な日本」創造戦略」の改訂版ですかね。。。

 

● e-Gov

・2022.11.11 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案)に関する意見募集について

・[PDF] 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案)  [downloaded]

20221117-195527

目次的なもの...

1 デジタル社会に対応した世界最高水準の安全なサイバー空間の確保
(1)サイバー空間の脅威等への対処
(2)国際連携の推進
(3)インターネット上の違法・有害情報等の収集及び分析の高度化
(4)民間事業者、関係機関等と連携したサイバーセキュリティ強化

2 国内外の情勢に応じたテロ対策、カウンターインテリジェンス機能の強化等の推進
(1)G7サミット等の大規模行事を見据えたテロに強い社会の構築
(2)テロ等の脅威に対する警戒警備等の強化
(3)水際対策の強化
(4)テロの手段を封じ込める対策の強化
(5)国際連携を通じたテロの脅威等への対処
(6)テロの未然防止のための情報収集・分析体制の充実強化
(7)経済安全保障の強化に向けた取組の推進
(8)テロ資金供与等対策の強化
(9)大量破壊兵器等の国境を越える脅威に対する対策の強化
(10)北朝鮮による日本人拉致容疑事案等への対応
(11)カウンターインテリジェンス機能の強化
(12)外交一元化の下での「司法外交」の推進
(13)緊急事態への対処能力の強化

3 犯罪の繰り返しを食い止める再犯防止対策の推進
(1)「再犯防止推進計画」に基づく再犯防止対策の推進
(2)就労支援及び住居の確保の推進等
(3)対象者の特性に応じた指導及び支援の強化
(4)社会的な孤立を防ぐための地域社会での相談・支援連携の拠点確保
(5)保護司等民間協力者の活動を充実させるための支援強化
(6)更生保護施設の処遇機能の充実
(7)地方公共団体等による再犯の防止の推進に向けた取組の支援
(8)再犯防止対策に対する国民の理解と協力の推進

4 組織的・常習的に行われる悪質な犯罪への対処
(1)対立抗争への対応をはじめとする暴力団対策等の推進
(2)特殊詐欺対策の強化
(3)マネー・ローンダリング等対策の強化
(4)覚醒剤や大麻等の違法薬物等への対策の推進
(5)模倣品・海賊版対策の強化
(6)国際的な犯罪対策の推進
(7)社会の安全安心を脅かす各種事犯への対策の推進

5 子供・女性・高齢者等全ての人が安心して暮らすことのできる社会環境の実現
(1)子供・女性の安全安心の確保
(2)高齢者の安全安心の確保
(3)犯罪に強いまちづくり等の身近な犯罪への対策の推進
(4)犯罪被害者等への支援

6 外国人との共生社会の実現に向けた取組の推進
(1) 外国人の受入れ環境の整備
(2)不法入国等の事前阻止
(3)不法滞在者の縮減に向けた対策強化
(4)関係機関の連携強化
(5)外国人の安全安心の確保

7 「世界一安全な日本」創造のための治安基盤の強化
(1)第一線の職務執行を支える取組の強化
(2)先端技術・デジタル技術の活用の推進
(3)時代に即した捜査力の強化

 


 

9年前のもの...

・2013.12.10 [PDF] 「世界一安全な日本」創造戦略について 

20221117-202433

 

 

 

Continue reading "内閣官房 意見募集 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案) 締め切り間近!!!"

| | Comments (0)

米国 ニューヨーク州 金融サービス局 意見募集:サイバーセキュリティ規則更新案:取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任を強化等 (2022.11.09)

こんにちは、丸山満彦です。

米国ニューヨーク州金融サービス局が、「金融サービス局がサイバーセキュリティ規則の更新案」を公表し、意見募集をしていますね。。。

主な変更点

・規制の多くの部分が免除される中小企業の規模基準の引き上げ

・取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任の強化

・技術システムへの最初の不正アクセスを防止し、攻撃の拡大を防止または軽減するための管理を追加

・リスクと脆弱性の定期的評価を実施し、インシデント対応、事業継続、災害復旧計画等をより強固にすることの義務付け

他...

 

New York State - Department of Financial Services

・2022.11.09 DFS SUPERINTENDENT ADRIENNE A. HARRIS ANNOUNCES UPDATED CYBERSECURITY REGULATION  

DFS SUPERINTENDENT ADRIENNE A. HARRIS ANNOUNCES UPDATED CYBERSECURITY REGULATION   DFS管理者Adrienne A. Harris、サイバーセキュリティ規制の更新を発表  
Amends First-In-The-Nation Cybersecurity Regulation Created in 2017 in Response to Increasingly Sophisticated Technologies and Threats   高度化する技術や脅威に対応するため、2017年に策定された国内初のサイバーセキュリティ規制を改正  
The Department Seeks Comments on the Proposed Regulation During the Next 60 Days   同局は今後60日間、規制案に関するコメントを募集中  
Superintendent of Financial Services Adrienne A. Harris announced today that the New York State Department of Financial Services (DFS) proposed an updated cybersecurity regulation. DFS’s original regulation, which DFS promulgated in 2017, established a regulatory model that is now used by both federal and state financial regulators. DFS has taken a data-driven approach to amending the regulation to ensure that regulated entities address new and increasing cybersecurity threats with the most effective controls and best practices to protect consumers and businesses.    金融サービス監督官Adrienne A. Harrisは、ニューヨーク州金融サービス局(DFS)がサイバーセキュリティ規制の更新を提案したことを発表した。DFSが2017年に公布したオリジナルの規制は、現在、連邦および州の金融規制当局で使用されている規制モデルを確立した。DFSは、規制対象事業者が消費者と企業を保護するために最も効果的なコントロールとベストプラクティスで、新たに増加するサイバーセキュリティの脅威に対処できるよう、データ駆動型のアプローチで規制の改正に取り組んだ。  
With cyber-attacks on the rise, it is critical that our regulation keeps pace with new threats and technology purpose-built to steal data or inflict harm,” said Superintendent Harris. “Cyber criminals go after all types of companies, big and small, across industries, which is why all of our regulated entities must comply with these standards – whether a bank, virtual currency company, or a health insurance company.”   ハリス監督官は以下のように述べている。「サイバー攻撃は増加傾向にあり、我々の規制が、データを盗んだり損害を与えたりする目的で作られた新しい脅威や技術に対応していくことは非常に重要である。サイバー犯罪者は、業界の大小を問わず、あらゆる企業を狙っている。だからこそ、銀行、仮想通貨会社、健康保険会社など、規制対象となるすべての企業がこれらの基準を遵守しなければならないのである」。 
The proposed amended regulation strengthens the DFS risk-based approach to ensure cybersecurity risk is integrated into business planning, decision-making, and ongoing risk management. The changes include:   提案された改正規則は、サイバーセキュリティのリスクが事業計画、意思決定、継続的なリスク管理に統合されるよう、DFSのリスクベースのアプローチを強化するものである。変更点は以下の通りである。  
・The creation of three tiers of companies, further tailoring the regulation to a diverse set of businesses with different defensive needs. Furthermore, based on feedback from the industry and in recognition of the realities of operating a small business, the proposed amendment increases the size threshold of smaller companies that are exempt from many parts of the regulation;     ・3つの階層を設け、防御のニーズが異なる多様な企業に合わせて規制をさらに調整する。さらに、業界からのフィードバックに基づき、また、中小企業経営の現実を認識し、修正案では、規制の多くの部分が免除される中小企業の規模基準を引き上げる。    
・Enhanced governance requirements, thereby increasing accountability for cybersecurity at the Board and C-Suite levels;    ・ガバナンス要件の強化により、取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任を強化する。   
・Additional controls to prevent initial unauthorized access to technology systems and to prevent or mitigate the spread of an attack;    ・技術システムへの最初の不正アクセスを防止し、攻撃の拡大を防止または軽減するための管理を追加する。   
・Requiring more regular risk and vulnerability assessments, as well as more robust incident response, business continuity and disaster recovery planning; and    ・リスクと脆弱性の評価をより定期的に行い、インシデント対応、事業継続、災害復旧計画をより強固にすることを義務付ける。   
・Directing companies to invest in regular training and cybersecurity awareness programs that are relevant to their business model and personnel.    ・企業に対して、自社のビジネスモデルや人材に適した定期的なトレーニングやサイバーセキュリティの意識向上プログラムに投資するよう指示する。   
Over the course of the past few months, DFS has solicited feedback on proposed amendments from other regulators, industry groups, and regulated entities through the recent Cybersecurity Symposium, industry conferences, and meetings.      過去数ヶ月間、DFSは、最近のサイバーセキュリティ・シンポジウム、業界会議、会合を通じて、他の規制当局、業界団体、規制対象事業者から改正案に関する意見を募集してきた。     
The proposed amended regulation is subject to a 60-day comment period beginning today upon publication in the State Register. DFS looks forward to and appreciates receiving feedback on the proposed amended regulation during the comment period. As the comment period ends, DFS will then review all received comments and either repropose a revised version or adopt the final regulation.       本改正案は、本日、州政府官報に掲載された後、60日間の意見公募期間が設けられる。DFSは、意見募集期間中に提案された改正規則に対する意見を待っている。コメント期間終了後、DFSは受領した全てのコメントを検討し、修正版を再提出するか、最終規則を採択する予定である。      
A copy of the proposed amended regulation is available on the DFS website.    本規制案は、DFS のウェブサイトにて公開されている。   

 

・[PDF] NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES PROPOSED SECOND AMENDMENT TO 23 NYCRR 500 - CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES

20221117-31111

 

現在のレギュレーション...

Part 500 Cybersecurity Requirements for Financial Services Companies

 

 

| | Comments (0)

2022.11.15

経済産業省 意見募集 特定デジタルプラットフォームの透明性及び公正性についての評価(案)

こんにちは、丸山満彦です。

経済産業省が、「特定デジタルプラットフォームの透明性及び公正性についての評価」(案)についての意見募集が行われていますね・・・

 

● 経済産業省

・2022.11.11 特定デジタルプラットフォームの透明性及び公正性についての評価(案)への御意見を募集します

● e-Gov

・2022.11.11 特定デジタルプラットフォームの透明性及び公正性の向上に関する法律に基づく特定デジタルプラットフォームに対する経済産業省大臣による評価(案)に対する意見公募について

 

意見募集...

20221115-155544

 

関連資料...

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.17 G7 デジタル分野における独占禁止法執行について議論 (2022.10.12)

 

日本関係...

・2022.09.25 経済産業省 デジタルプラットフォームの透明性・公正性に関するモニタリング会合

・2022.09.04 総務省 ICT を取り巻く市場環境の動向に関する調査研究の請負報告書

・2022.08.07 デジタル市場競争会議 ワーキンググループ 第38回 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関する意見募集に寄せられた御意見等

・2022.05.04 日本銀行 経済的視点からみた個人情報の利活用 ―デジタルプラットフォーマーと決済サービスー

 

欧州 デジタルサービス法、デジタル市場法関係

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

 

| | Comments (0)

2022.11.06

NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版

こんにちは、丸山満彦です。

NISTが、ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版を公表していますね。。。

想定しているシステム概要...

Fig1_20221106070001

出典:NIST Cybersecurity White Paper: NIST CSWP 27 Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN), Fig. 1. Example HSN Architecture

 

 ● NIST - ITL

・2022.11.03 White Paper NIST CSWP 27: Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN): Final Annotated Outline

White Paper NIST CSWP 27: Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN): Final Annotated Outline  ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版
Abstract 概要
The objective of this Cybersecurity Profile is to identify an approach to assess the cybersecurity posture of Hybrid Satellite Networks (HSN) systems that provide services such as satellite-based systems for communications, position, navigation, and timing (PNT), remote sensing, weather monitoring, and imaging. The HSN systems may interact with other government systems and the Critical Infrastructure as defined by the Department of Homeland Security to provide increased resiliency. This Profile will consider the cybersecurity of all the interacting systems that form the HSN rather than the traditional approach of the government acquiring the entire satellite system that includes the satellite bus, payloads, and ground system. このサイバーセキュリティ・プロファイルの目的は、通信、位置・航法・タイミング(PNT)、リモートセンシング、気象モニタリング、画像処理のための衛星ベースのシステムなどのサービスを提供するハイブリッド衛星ネットワーク(HSN)システムのサイバーセキュリティ姿勢を評価するアプローチを特定することである。ハイブリッド衛星ネットワークシステムは、他の政府システムおよび国土安全保障省が定義する重要インフラと相互作用し、耐障害性を高めることができる。このプロファイルでは、政府が衛星バス、ペイロード、地上システムを含む衛星システム全体を取得するという従来のアプローチではなく、ハイブリッド衛星ネットワークを形成するすべての相互作用するシステムのサイバーセキュリティを考慮することになる。
NIST is developing a consistent approach to better understand the attack surface, incorporate security, and achieve greater resilience for space systems that may be leveraged by critical infrastructure owners and operators, the DoD, or other government missions. NISTは、重要インフラの所有者や運用者、国防総省、その他の政府ミッションによって活用される可能性のある宇宙システムに対して、攻撃対象領域をよりよく理解し、セキュリティを組み込み、より高い耐障害性を実現する一貫したアプローチを開発中である。

 

・[PDF] NIST CSWP 27

20221106-72037

 

目次...

1. HSN Cybersecurity Framework Profile – Introduction 1. ハイブリッド衛星ネットワーク・サイバーセキュリティ・フレームワークの概要 - はじめに 
1.1. Background 1.1 背景
1.2. Purpose and Objectives 1.2. 目的及び目標
1.3. Scope 1.3. 適用範囲
1.4. Audience 1.4. 想定読者
2. How to Use the HSN Cybersecurity Framework Profile 2. HSNサイバーセキュリティ・フレームワークプロファイルの使用方法
3. HSN Cybersecurity Profile – Overview 3. HSN サイバーセキュリティ・プロファイル - 概要
3.1. Risk Management Overview 3.1. リスクマネジメントの概要
3.2. Capabilities Overview 3.2. ケイパビリティの概要
3.2.1. Policies and Procedures 3.2.1. ポリシーと手順
3.2.2. Security Technical Capabilities Overview 3.2.2. セキュリティ技術能力の概要
3.3. The HSN Cybersecurity Profile 3.3. ハイブリッド衛星ネットワーク・サイバーセキュリティ・プロファイル
Appendix A. Acronyms 附属書A. 頭字語
Appendix B. Selected Bibliography 附属書B. 主な参考文献

 

はじめに...の部分

1. Hybrid Satellite Networks Cybersecurity Framework Profile – Introduction  1. ハイブリッド衛星ネットワーク・サイバーセキュリティ・フレームワークの概要 - はじめに 
A significant level of sensing, communications, and PNT capabilities is being provided by the space sector, and there is a growing trend toward multi-national/ multi-organizational consortia providing these services. Hybrid Satellite Networks (HSN) present opportunities for organizations to leverage existing space-based capabilities through means such as hosted payloads; however, there is a need to ensure that these systems are secure, and that the integration of the components is done in a manner that is acceptable to the participating organizations.  宇宙分野では、重要なレベルのセンシング、通信、PNT 機能が提供されており、これらのサービスを 提供する多国籍/複数組織のコンソーシアムへの傾向が強まってきている。ハイブリッド衛星ネットワーク(HSN)は、ホストされたペイロードなどの手段により、組織が既存の宇宙ベースの能力を活用する機会を提供する。しかし、これらのシステムが安全であること、および参加組織が許容する方法でコンポーネントの統合が行われることを保証する必要がある。
The HSN cybersecurity profile (hereafter, the Profile) is intended to provide a means to assess and communicate an organization’s cybersecurity posture in a consistent and standardized manner. The Profile applies to organizations that:  ハイブリッド衛生ネットワーク・サイバーセキュリティ・プロファイル(以下、プロファイル)は、一貫した標準的な方法で組織のサイバーセキュリティ態勢を評価し、伝達する手段を提供することを意図している。このプロファイルは、以下のような組織に適用される。
• have already adopted the NIST Cybersecurity Framework (CSF) to help identify, assess, and manage cybersecurity risks [NIST CSF];  ・サイバーセキュリティのリスクを特定、評価、管理するために、NISTサイバーセキュリティ・フレームワーク(CSF)をすでに採用している組織。
• are familiar with the CSF and want to improve their cybersecurity postures; and  ・CSFをよく理解しており、サイバーセキュリティの姿勢を改善したいと考えている組織。
• are unfamiliar with the CSF but need to implement HSN services in a risk informed manner through the use of a cybersecurity risk management frameworks.  ・CSF をよく知らないが、サイバーセキュリティ・リスク管理フレームワークを使用して、リスク情報に基づいた方法で ハイブリッド衛生ネットワークサービスを実装する必要があると考えている組織。
1.1. Background  1.1. 背景 
The space sector is transitioning towards an aggregation of independently owned and operated segments that create a space system, rather than the traditional approach where a single entity acquires, operates and controls the space, ground and user segments.  To provide guidance to space stakeholders, NIST, in a partnership with industry, is developing this profile. Throughout the Profile development process, NIST will engage the public and private sectors on multiple occasions to include a request for information, participation in workshops, and comment and review of the draft Profile. The Profile development process is iterative and, in the end state, promotes the risk informed use of Hybrid Satellite Networks.   宇宙部門は、単一の事業体が宇宙、地上、ユーザの各セグメントを取得、運用、管理する従来 のアプローチではなく、独立して所有、運用されるセグメントの集合体として宇宙システムを構築する方向に移行している。 宇宙関係者にガイダンスを提供するために、NISTは産業界との協力のもと、このプロファイルを開発している。NISTは、このプロファイルの開発プロセスを通じて、情報提供の要請、ワークショップへの参加、プロファイルのドラフトに対するコメントやレビューなど、複数の機会を通じて官民を巻き込んでいく予定です。プロファイルの開発プロセスは反復的であり、最終的にはハイブリッド衛星ネットワークのリスク情報を得た上での利用を促進するものである。 
1.2. Purpose and Objectives  1.2. 目的及び目標 
The purpose of the Profile is to provide practical guidance for organizations and stakeholders engaged in the design, acquisition, and operation of satellite buses or payloads that involve HSN.   このプロファイルの目的は、ハイブリッド衛生ネットワークを含む衛星バスやペイロードの設計、取得、運用に携わる組織や関係者に実用的なガイダンスを提供することである。 
A completed Profile for commercial satellite companies operating in a hybrid environment that includes government and commercial entities will provide for future cybersecurity resilience. The Profile is suitable for applications that involve multiple stakeholders contributing to communications architecture and for other use cases such as hosted payloads.  政府及び商業機関を含むハイブリッド環境で活動する商業衛星会社のために完成したプロファイルは、将来のサイバーセキュリティの強靭性を提供することになる。このプロファイルは、通信アーキテクチャに貢献する複数の関係者が関与するアプリケーションや、ホスト型ペイロードのような他のユースケースに適している。ハイブリッド衛生ネットワーク・プロファイルの使用 
Use of the HSN Profile will help organizations; ハイブリッド衛生ネットワーク・プロファイルを使用することで、組織は以下のことが可能になる。
• Identify systems, assets, data and threats that pertain to HSN;  ・ハイブリッド衛生ネットワークに関連するシステム、資産、データ、脅威の特定。
• Protect HSN services by adhering to basic principles of resiliency;   ・レジリエンスの基本原則の遵守とハイブリッド衛生ネットワーク・サービスの保護。
• Detect cybersecurity-related disturbances or corruption of HSN services and data;  ・ハイブリッド衛生ネットワーク・サービスとデータのサイバーセキュリティ関連の妨害または破損の検出。
• Respond to HSN service or data anomalies in a timely, effective, and resilient manner; and  ・ハイブリッド衛生ネットワーク・のサービスまたはデータの異常に対して適時に、効果的に、かつ回復力のある方法での対応。
• Recover the HSN to proper working order at the conclusion of a cybersecurity incident.  ・サイバーセキュリティ事故の終了時に、ハイブリッド衛生ネットワーク・を正常な動作状態に回復させること。
1.3. Scope  1.3. 適用範囲 
The Profile will document an example architecture for data transport through hybrid satellite networks. The architecture will describe the salient cybersecurity functions that are part of the HSN to highlight cybersecurity dependencies.  本プロファイルは、ハイブリッド衛星ネットワークによるデータ伝送のためのアーキテクチャ例を文書化する。このアーキテクチャは、サイバーセキュリティの依存関係を明らかにするために、HSN の一部である主要なサイ バーセキュリティ機能を記述する。
The Profile will focus on the complex variety of interfaces, data flows, and space stakeholders involved in modern satellite communications networks. The CSF profile is intended to:  このプロファイルは、現代の衛星通信ネットワークに関わる複雑で多様なインタフェース、データの流れ、および宇宙関係者に焦点を当てることになる。CSFプロファイルは、以下を意図している。
• Facilitate integration of HSN components thorough consideration of cybersecurity functions, categories, and subcategories.   ・サイバーセキュリティ機能、カテゴリー、サブカテゴリーを徹底的に考慮したハイブリッド衛生ネットワーク・コンポーネントの統合を促進する。
• Assess cybersecurity posture in a consistent manner.  ・一貫した方法でサイバーセキュリティの姿勢を評価する。
• Provide a comprehensive framework to facilitate risk management decisions.  ・リスク管理の決定を促進するための包括的なフレームワークを提供する。
• Facilitate consistent assessment of cyber-risk.  ・サイバーリスクの一貫した評価を促進する。
• Communicate cybersecurity posture and priorities in a consistent manner.  ・サイバーセキュリティの態勢と優先順位を一貫した方法で伝達する。
The Profile provides a subset of CSF subcategories that is directly applicable to the HSN and mitigation strategies that could be implemented.  The Profile allows each organization the flexibility to implement selected mitigation strategies based on their risk posture or accepted risk management strategy.  プロファイルは、ハイブリッド衛生ネットワークに直接適用可能な CSF のサブカテゴリと、実施可能な緩和策を提供する。 このプロファイルにより、各組織は、そのリスク姿勢または受け入れられたリスク管理戦略に基づいて、選択した緩和戦略を柔軟に実施することができる。
1.4. Audience  1.4. 想定読者 
This document is intended to be used by those involved in overseeing, developing, implementing, and managing the HSN cybersecurity of systems such as:  この文書は、以下のようなシステムの ハイブリッド衛生ネットワーク・サイバーセキュリティの監督、開発、実施、管理に携わる 人々の利用を意図している。
• Public and private organizations that provide HSN services;  ・ハイブリッド衛生ネットワーク・サービスを提供する公共及び民間組織。
• Managers responsible for the use of HSN services;  ・ハイブリッド衛生ネットワーク・サービスの利用に責任を持つ管理者。
• Risk managers, cybersecurity professionals, and others with a role in cybersecurity risk management for systems that use HSN services;  ・リスク管理者,サイバーセキュリティ専門家,およびハイブリッド衛生ネットワークサービスを使用するシステムのサイバーセキュリティリスク管理の役割を持つその他の人々。
• Procurement officials responsible for the acquisition of HSN services;  ・ハイブリッド衛生ネットワークサービスの取得に責任を有する調達担当者。
• Mission and business process owners responsible for achieving operational outcomes dependent on HSN services;  ・ハイブリッド衛生ネットワークサービスに依存する運用成果の達成に責任を負うミッションおよびビジネス・プロセス・オーナー。
• Researchers and analysts who study the unique cybersecurity needs of HSN services; and  ・ハイブリッド衛生ネットワークサービスに特有のサイバーセキュリティのニーズを研究する研究者とアナリスト。
• Cybersecurity Architects who integrate Cybersecurity into the Product Designs for Space Vehicle Segments and Ground Segments. ・宇宙船セグメントと地上セグメントの製品設計にサイバーセキュリティを統合するサイバーセキュリティ・アーキテクト。

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

 

 

| | Comments (0)

NIST ホワイトペーパー(ドラフト) 【プロジェクト概要】上下水道事業の安全確保:上下水道システムセクターのためのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTが、【プロジェクト概要】上下水道事業の安全確保:上下水道システムセクターのためのサイバーセキュリティについての白書のドラフトを公開し、意見募集をしていますね。。。

想定している、システム概要

Fig1_20221106064201

出典:White Paper (Draft) [Project Description] Securing Water and Wastewater Utilities: Cybersecurity for the Water and Wastewater Systems Sector, Figure 1 Example WWS Infrastructure

NIST -ITL

・2022.11.02 White Paper (Draft) [Project Description] Securing Water and Wastewater Utilities: Cybersecurity for the Water and Wastewater Systems Sector

 

White Paper (Draft) [Project Description] Securing Water and Wastewater Utilities: Cybersecurity for the Water and Wastewater Systems Sector ホワイトペーパー(ドラフト) 【プロジェクト概要】上下水道事業の安全確保:上下水道システムセクターのためのサイバーセキュリティ
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) is seeking feedback from all stakeholders in the water and wastewater utilities sector. In our efforts to ensure our guidance can benefit the broadest audience, the NCCOE is especially interested in hearing from water utilities of all sizes: small, medium and large. National Cybersecurity Center of Excellence (NCCoE)は、上下水道事業分野のすべての関係者からのフィードバックを求めている。NCCoE は、我々のガイダンスが最も多くの人々に利益をもたらすことを確実にするため、特に、小、中、大のあらゆる規模の水道事業体からの意見を聞きたいと思っている。
Many U.S. Water and Wastewater Systems (WWS) sector stakeholders are utilizing data-enabled capabilities to improve utility management, operations, and service delivery.   The increasing adoption of network-enabled technologies by the sector merits the development of best-practices, guidance, and solutions to ensure that the cybersecurity posture of facilities is safeguarded. 米国の上下水道システム(WWS)セクターの多くの関係者は、公益事業の管理、運営、サービス提供を改善するためにデータ化された機能を利用している。   このセクターではネットワーク対応技術の採用が進んでいるため、施設のサイバーセキュリティを確保するためのベストプラクティス、ガイダンス、ソリューションを開発することが求められている。
The NCCoE project will demonstrate solutions to protect the cybersecurity of infrastructure within the operating environments of WWS sector utilities that address common cybersecurity risks among water and wastewater systems utilities.  This project will address areas that have been identified by WWS stakeholders, including: asset management, data integrity, remote access, and network segmentation.  NCCoEプロジェクトは、上下水道事業者に共通するサイバーセキュリティリスクに対処するため、上下水道システムセクターの事業環境におけるインフラのサイバーセキュリティを保護するソリューションを実証するものである。  このプロジェクトは、資産管理、データの完全性、リモートアクセス、ネットワークのセグメンテーションなど、上下水道システム関係者が特定した分野に取り組むことになる。 
The NCCoE will demonstrate use of existing commercially available products to mitigate and manage these risks.  The findings can be used as a starting point by utilities in mitigating cybersecurity risks for their specific production environment. This project will result in a freely available NIST Cybersecurity Practice Guide. NCCoEは、これらのリスクを軽減・管理するために、既存の市販製品の利用を実証する予定である。  この調査結果は、電力会社がそれぞれの生産環境におけるサイバーセキュリティのリスクを軽減するための出発点として利用することができる。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。
Get Engaged 参加について
You can continue to help shape and contribute to this and future projects by joining the NCCoE’s Water Sector Community of Interest. Visit our project page to join. NCCoE の Water Sector Community of Interest に参加することで、このプロジェクトや将来のプロジェクトの形成に貢献することができる。 参加するには、プロジェクトのページを参照すること。
Abstract 概要
The U.S. Water and Wastewater Systems (WWS) sector has been undergoing a digital transformation. Many sector stakeholders are utilizing data-enabled capabilities to improve utility management, operations, and service delivery. The ongoing adoption of automation, sensors, data collection, network devices, and analytic software may also increase cybersecurity-related vulnerabilities and associated risks. 米国の上下水道システム(WWS)セクターは、デジタル変革の時期を迎えている。多くの関係者がデータ機能を活用し、ユーティリティの管理、運営、サービス提供の改善に取り組んでいる。自動化、センサー、データ収集、ネットワーク機器、分析ソフトウェアの継続的な採用は、サイバーセキュリティ関連の脆弱性と関連リスクを増加させる可能性もある。
The NCCoE has undertaken a program to determine common scenarios for cybersecurity risks among WWS utilities. This project will profile several areas, including asset management, data integrity, remote access, and network segmentation. The NCCoE will also explore the utilization of existing commercially available products to mitigate and manage these risks. The findings can be used as a starting point by WWS utilities in mitigating cybersecurity risks for their specific production environment. This project will result in a freely available NIST Cybersecurity Practice Guide. NCCoEは、上下水道システム公益事業者に共通するサイバーセキュリティリスクのシナリオを決定するプログラムに着手している。このプロジェクトでは、資産管理、データの完全性、リモートアクセス、ネットワークのセグメンテーションなど、いくつかの分野についてプロファイリングする予定である。NCCoEはまた、これらのリスクを軽減し管理するために、既存の市販製品の活用を検討する。調査結果は、上下水道システム・ユーティリティ企業がそれぞれの生産環境におけるサイバーセキュリティリスクを軽減するための出発点として利用することができる。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。

 

・[PDF] Draft Project Description

20221106-05616

目次...

1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 対象範囲
Assumptions 前提条件
Challenges 課題
Background 背景
2 Scenarios 2 シナリオ
Scenario 1: Asset Management シナリオ1: アセットマネジメント
Scenario 2: Data Integrity シナリオ2: データの完全性
Scenario 3: Remote Access シナリオ3:リモートアクセス
Scenario 4: Network Segmentation シナリオ4:ネットワークセグメンテーション
3 High-Level Architecture 3 ハイレベル・アーキテクチャ
Requirements 要求事項
4 Relevant Standards and Guidance 4 関連する標準とガイダンス
5 Security Control Map 5 セキュリティコントロールマップ
Appendix A References 附属書A 参考文献
Appendix B Acronyms and Abbreviations 附属書B 頭字語および略語

 

エグゼクティブサマリー...

1 EXECUTIVE SUMMARY  1 エグゼクティブサマリー 
Purpose  目的 
This document outlines a National Cybersecurity Center of Excellence (NCCoE) project that will develop example cybersecurity solutions to protect the infrastructure in the operating environments of WWS sector utilities. The increasing adoption of network-enabled technologies by the sector merits the development of best practices, guidance, and solutions to ensure that the cybersecurity posture of facilities is safeguarded.  この文書は、上下水道システムセクターの公益事業運営環境におけるインフラを保護するためのサイバーセキュリティ・ソリューションの例を開発する、国家サイバーセキュリティセンターオブエクセレンス(NCCoE)プロジェクトの概要を説明するものである。このセクターではネットワーク対応技術の採用が進んでいるため、施設のサイバーセキュリティ態勢を確実に保護するためのベストプラクティス、ガイダンス、ソリューションを開発することが求められている。
This project explores four areas of concern identified by WWS stakeholders, namely: asset management, data integrity, remote access, and network segmentation. These areas have been under review to determine the common features among sector stakeholders and to identify issues being faced by broad segments of the sector. For this project, the focus is on municipalscale utilities.   このプロジェクトでは、上下水道システム関係者が指摘した4つの懸念事項、すなわち資産管理、データの完全性、リモートアクセス、ネットワークのセグメンテーションを調査している。これらの分野は、セクター関係者間の共通点を見極め、セクターの幅広い層が直面している問題を特定するために検討されてきました。このプロジェクトでは、自治体規模の公共施設に焦点を当てます。 
Critical infrastructure issues in the WWS sector present several unique challenges. Utilities in the sector typically cover a wide geographic area regarding piped distribution networks and infrastructure together with centralized treatment operations. The supporting operational technologies (OT) underpinning this infrastructure are likely reliant on supervisory control and data acquisition (SCADA) systems which provide data transmission across the enterprise, sending sensor readings and signals in real time. These systems also control the automated processes in the production environment which is linked to the distribution network. Additionally, many OT devices are now converging upon information technology (IT) capability with the advent of Industrial Internet-of-Things (IIoT) devices and platforms, such as cloudbased SCADA and smart monitoring.  上下水道システムセクターの重要なインフラ問題は、いくつかのユニークな課題を提起している。この分野の公益事業者は通常、集中処理事業とともに配管された配水ネットワークとインフラに関して広い地域をカバーしている。このインフラを支える運用技術(OT)は、おそらく監視制御およびデータ収集(SCADA)システムに依存しており、企業全体にデータ伝送を行い、センサーの測定値や信号をリアルタイムで送信している。これらのシステムは、物流ネットワークに接続された生産環境の自動化プロセスも制御する。さらに、クラウドベースのSCADAやスマートモニタリングなど、産業用モノのインターネット(IIoT)デバイスやプラットフォームの出現により、多くのOTデバイスが情報技術(IT)機能に収斂されつつある。
This project will identify challenges and develop a reference architecture that demonstrates solutions using commercially available products and services. The project described herein also serves to initiate a broad discussion with WWS sector stakeholders, both from the public and private sectors, to identify stakeholders and commercial solutions providers. The commercial solutions will be integrated into a pilot-lab environment to develop a reference architecture and case study.    このプロジェクトでは、課題を特定し、市販の製品やサービスを利用したソリューションを実証する参照アーキテクチャを開発する。ここで説明するプロジェクトは、上下水道システムセクターのステークホルダー(官民双方)との幅広い議論を開始し、ステークホルダーと商用ソリューションプロバイダを特定する役割も果たす。商用ソリューションは、参照アーキテクチャとケーススタディを開発するために、パイロットラボ環境に統合される予定である。  
This project will result in a publicly available NIST Cybersecurity Practice Guide which will include a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses these challenges.  このプロジェクトは、これらの課題に対処するサイバーセキュリティのリファレンスデザインを実装するために必要な実践的ステップの詳細な実装ガイドを含む、一般に利用可能なNISTサイバーセキュリティ実践ガイドに帰結する予定である。
Scope  範囲 
This project description profiles several areas to strengthen the cybersecurity posture within the operational environment of WWS facilities. The following areas will be explored:  このプロジェクトの説明は、上下水道システム施設の運用環境におけるサイバーセキュリティの態勢を強化するためのいくつかの領域について紹介している。以下の領域を検討する。
• Asset Management – inventory, visibility, criticality  ・資産管理 - インベントリ、可視性、重要性
• Data Integrity  ・データの完全性
• Remote Access  ・リモートアクセス
• Network Segmentation  ・ネットワーク・セグメンテーション
Assumptions  前提条件 
The project will demonstrate solutions to improve the cybersecurity posture of WWS stakeholders and is guided by the following assumptions:  このプロジェクトは、上下水道システム関係者のサイバーセキュリティ態勢を改善するためのソリューションを実証するものであり、以下の前提条件によって導かれている。
• WWS infrastructure that adequately reflects operational capabilities is available for solution testing  ・運用能力を適切に反映した上下水道システムのインフラが、ソリューションのテストに利用可能であること。
• A range of commercially available solutions exist and are readily available to sector stakeholders to demonstrate solutions to the identified challenges  ・商業的に利用可能な様々なソリューションが存在し,特定された課題に対するソリューションを実証するために、セクターの利害関係者が容易に利用可能であること。
Challenges  課題 
There are a wide range of capabilities among WWS utilities regarding cyber-enabled operations. Identifying challenges that can be representative in addressing a broad range of issues may be difficult. Also, lab-constructed test solutions may not address the complexities of real-world operational scenarios. The NCCoE does not provide prescriptive solutions, but rather demonstrates illustrative cases that may be voluntarily adopted by a large segment of the sector.  サイバー化されたオペレーションに関して、上下水道システム公益事業者の能力には幅がある。広範な課題に対処する上で、代表的な課題を特定することは難しいかもしれません。また、実験室で構築されたテストソリューションは、実世界の運用シナリオの複雑さに対応できないかもしれません。NCCoEは規範的な解決策を提供するのではなく、業界の大部分に自発的に採用される可能性のある例示的な事例を示すものである。
Background  背景 
There is apparent general consensus from WWS stakeholders that additional cybersecurity implementation references are needed to assist in the protection of its critical infrastructure. The advancement of network-based approaches, together with an ongoing increase in cyber threats, merit the need for sector-wide improvements in cybersecurity protections. The NCCoE, together with its stakeholders, is undertaking this project to identify and demonstrate cybersecurity solutions for the sector.  The project will build on existing sector guidance to provide information for the direct implementation of readily available commercial solutions towards the most pressing cybersecurity challenges faced by sector utilities.  上下水道システムの関係者間では、重要インフラの保護を支援するために、サイバーセキュリティの実装に関する追加的な参考資料が必要であるとの一般的な意見があるようである。ネットワークベースのアプローチの進歩は、サイバー脅威の継続的な増加とともに、サイバーセキュリティ保護におけるセクター全体の改善の必要性にメリットをもたらする。NCCoEは、その利害関係者とともに、このセクターのためのサイバーセキュリティ・ソリューションを特定し、実証するために、このプロジェクトを実施している。 このプロジェクトは、既存のセクター・ガイダンスに基づいて、セクターのユーティリティ企業が直面する最も差し迫ったサイバーセキュリティの課題に対して、すぐに利用できる商用ソリューションを直接実施するための情報を提供するものである。
This project references efforts undertaken by Federal agencies to ensure the protection of water and wastewater providers. The Environmental Protection Agency (EPA) [1] in its role as the Sector Risk Management Specific Agency (SRMA) provides coordination in responding to cyber incidents and support in the form of tools, exercises, and technical assistance. The Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) [2] leads the efforts to protect assets, mitigate vulnerabilities, and reduce impacts from potential cyber incidents.  このプロジェクトは、上下水道事業者の保護を確保するために連邦機関が行っている取り組みを参照している。環境保護庁(EPA)[1]は、セクターリスク管理特定機関(SRMA)としての役割において、サイバー事件への対応における調整と、ツール、演習、および技術支援の形でのサポートを提供している。国土安全保障省(DHS)のサイバーセキュリティ及びインフラセキュリティ局(CISA)[2]は、資産の保護、脆弱性の緩和、潜在的なサイバー事件からの影響の軽減のための取り組みを主導している。
WWS organizations have also contributed to sector awareness and capacity building. The American Water Works Association (AWWA) provides resources and guidance for aiding water systems in evaluating cybersecurity risks. The AWWA Cybersecurity Assessment Tool and Guidance, referenced herewith, assists utilities in identifying exposure to cyber risks, setting priorities, and executing appropriate and proactive cybersecurity strategies in support of Section  上下水道システムの組織もまた、セクターの認識と能力開発に貢献している。米国水道協会(AWWA)は、水道システムのサイバーセキュリティリスクの評価を支援するためのリソースとガイダンスを提供している。米国水道協会サイバーセキュリティ評価ツールおよびガイダンスは、公益事業者がサイバーリスクにさらされていることを特定し、優先順位を設定し、適切かつプロアクティブなサイバーセキュリティ戦略を実行することを支援するもので、本書で参照されている。
2013 of America’s Water Infrastructure Act of 2018 (AWIA) [3]. Additionally, the Water Environment Federation (WEF) leads the effort among wastewater utilities and is providing guidance and information in the identification of sector needs and priorities [4]. The Water Information Sharing and Analysis Center (WaterISAC) is an all-threats security information source for the water and wastewater sector, providing invaluable information and resources to the WSS sector including the “15 Cybersecurity Fundamentals for Water and Wastewater Utilities.” [5]   2013 of America's Water Infrastructure Act of 2018 (AWIA)[3]をサポートしている。さらに、水環境連盟(WEF)は、下水道事業者間の取り組みを主導し、セクターのニーズと優先事項の特定におけるガイダンスと情報を提供している[4]。Water Information Sharing and Analysis Center(WaterISAC)は、上下水道セクターのための全脅威のセキュリティ情報源であり、「上下水道事業のためのサイバーセキュリティの基礎」を含む上下水道システムセクターへの貴重な情報とリソースを提供している。

 

APPENDIX A   REFERENCES

  1. United States Environmental Protection Agency (EPA), The Sources and Solutions: Wastewater. Available: https://www.epa.gov/nutrientpollution/sources-and-solutionswastewater.
  2. Cybersecurity and Infrastructure Security Agency (CISA), National Critical Functions— Supply Water and Manage Wastewater. Available: https://www.cisa.gov/ncf-water.
  3. Summary 3021, America's Water Infrastructure Act of 2018, Available: https://www.congress.gov/115/bills/s3021/BILLS-115s3021enr.pdf. 

  4. Arceneaux and L. McFadden, The State of Cybersecurity in the Water Sector. Water Environment Technology, January, 2022. Available: https://www.waterenvironmenttechnology-digital.com/waterenvironmenttechnology/january_2022/MobilePagedArticle.action?art icleId=1753528#articleId1753528. 

  5. Water Information Sharing and Analysis Center (ISAC), 15 Cybersecurity Fundamentals for Water and Wastewater Utilities. 2019. Available: https://www.waterisac.org/system/files/articles/15%20Cybersecurity%20Fundamentals %20%28WaterISAC%29.pdf. 

 

 

| | Comments (0)

より以前の記事一覧