案内(講演 / 書籍等)

2021.04.12

宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

こんにちは、丸山満彦です。

スイスのThe Center for Security Studies at ETH Zürichが宇宙経済のサイバー防御に関する論文を掲載しています。ちょうど、宇宙サイバーに関するサブワーキングのメンバーでもあるので、勉強がてら読んでみました。。。

● ETH Zürich

・2021.01.07 Terra Calling: Defending and Securing the Space Economy

This report aims to provide a deeper understanding of the fundamental cybersecurity and -​defense challenges pertaining to the space economy. It outlines the broad contours of what constitutes the space economy and takes a closer look at the problems on the terrestrial surface, space-​​based assets, and the area of up- and downlinks. Furthermore, this report dives into two case studies pertaining to NASA and the European global navigation satellite system Galileo, and disentangles the cyber threat landscape by examining public reporting on the most referenced satellite hacking incidents in terms of its veracity and fact-​​based representation. Finally, it provides several recommendations for the Swiss government and a brief horizon scan highlighting three future trends. 本報告書は、宇宙経済に関わるサイバーセキュリティおよび防衛の基本的な課題について、より深い理解を得ることを目的としています。本レポートは、宇宙経済に関わるサイバーセキュリティおよび防衛の基本的な課題について理解を深めることを目的としており、宇宙経済を構成する大枠を説明した上で、地表の問題、宇宙ベースの資産、アップリンクおよびダウンリンクの領域について詳しく説明しています。さらに、NASAと欧州の全地球測位衛星システム「ガリレオ」に関する2つのケーススタディを紹介するとともに、最もよく知られている衛星ハッキング事件に関する一般の報道を、その真実性と事実に基づく表現の観点から検証することで、サイバー脅威の現状を明らかにしています。最後に、スイス政府へのいくつかの提言と、将来の3つのトレンドに焦点を当てた簡単な地平線スキャンを行っています。

 

・[PDF] CYBERDEFENSE REPORT - Terra Calling: Defending and Securing the Space Economy - From Science to Fiction and Back to Reality

20210412-15824

Executive Summary エグゼクティブ・サマリー
With the growing importance of the space domain and the increasing activities in space by both nation-state actors and private sector entities, the question as to the state of cybersecurity and -defense in the space economy is a pressing one. While many other reports have been written on the topic, this study provides the reader with an elemental baseline that seeks to be both holistic and detailed, and endeavors to rectify many persisting misconceptions and outright false information that has been pervading the discussion on cybersecurity and the space economy. 宇宙領域の重要性が増し、国家や民間企業による宇宙での活動が活発化する中、宇宙経済におけるサイバーセキュリティと防衛のあり方は喫緊の課題となっています。このテーマについては他にも多くのレポートが書かれているが、本研究では、全体的かつ詳細であることを目指した基本的なベースラインを読者に提供し、サイバーセキュリティと宇宙経済に関する議論に蔓延している多くの根強い誤解や全くの虚偽の情報を正すことを目的としています。
Currently, there is no existing consensus on how the space economy ought to be defined. Section 1 tries to rectify that by outlining five parts that span multiple domains, multiple sectors, and multiple assets across the globe that make up the space economy. 現在、宇宙経済をどのように定義すべきか、既存のコンセンサスはありません。第 1 章では、宇宙経済を構成する複数の領域、複数のセクター、そして地球上の複数の資産にまたがる 5 つの部分について説明することで、この問題を解決しようとしています。
Section 1.1 subsequently outlines the still ongoing discussions in both the US and the EU on designating the space sector as its own critical infrastructure sector. In the US, the relatively new Space Information Sharing and Analysis Center (ISAC) has been pushing the issue, while in the EU, the European Commission is currently again in the process of trying to create pan-EU critical infrastructure sector designations – after two previous unsuccessful attempts to do so in 2006 and 2013. 第 1.1 章では、宇宙分野を独自の重要インフラ分野として指定することについて、米国と EU で現在進行中の議論について説明しています。米国では、比較的新しい宇宙情報共有分析センター(ISAC)がこの問題を推進しており、EU では、欧州委員会が、2006 年と 2013 年に失敗した EU 全体の重要インフラ部門の指定を再び試みています。
Section 1.2 focuses on terrestrial assets and geo-dispersion by taking a closer look at OneWeb’s infrastructure as an example for commercial entanglement. The study argues that when it comes to intelligence collection, nation-state adversaries will preferably sit in any of OneWeb’s data centers or hook into national satellite network portals (SNPs) rather than try to infiltrate a satellite operation center. Similarly, if satellite destruction or collision is the aim, then targeting any other company or institution whose assets are not globally entangled with multiple governments would be more desirable. In regard to the military realm, the study highlights the example of Automatic Dependent Surveillance – Broadcast (ADS-B). Concluding that, while the system can be jammed and spoofed, the risk of exploitation can be minimized to such an extent that its vulnerabilities become almost irrelevant. The study thus notes the need for both military and civilian operators to manage and explain varying risks to a public flooded with breaking news stories and heightened cybersecurity concerns. 第 1.2 章では、商業的な絡み合いの例として、OneWeb のインフラを詳しく見ながら、地上の資産と地理的な分散に焦点を当てています。この研究では、情報収集に関しては、国家の敵対者は、衛星運用センターに侵入するよりも、OneWeb のデータセンターに居座ったり、各国の衛星ネットワークポータル(SNP)に接続したりすることを好むだろうとしています。同様に、衛星の破壊や衝突が目的であれば、複数の政府とグローバルに絡み合っていない資産を持つ他の企業や機関をターゲットにする方が望ましいでしょう。また、軍事分野では、ADS-B(Automatic Dependent Surveillance - Broadcast)を例に挙げています。その結果、ADS-B はジャミングやスプーフィングが可能なシステムではあるものの、その脆弱性がほとんど問題にならないほど、悪用されるリスクを最小限に抑えることができると結論づけています。この研究では、軍と民間の両方の事業者が、ニュース速報やサイバーセキュリティへの関心が高まる中、様々なリスクを管理し、国民に説明する必要があることを指摘しています。
On the subject of supply chains, the study notes that supply chain fragmentation is the norm in the space economy, as specialized manufacturers and alternative suppliers are few and far between. However, while there have been examples of APT intrusions into supplier, contractor, and major aeronautic company networks, most – if not all of them – are espionage related. The study also explains that adversarial nation states most likely face the same, if not more extensive supply chain risks – as the Iranians learned first-hand through the deployment of Stuxnet. One can only speculate to what degree adversarial space industry supply chains have been targeted in the past, and are compromised today, to for example enable pinpoint sabotage or facilitate continuous intelligence collection efforts. サプライチェーンに関しては、専門メーカーや代替サプライヤーが少ないため、宇宙経済ではサプライチェーンの断片化が常態化していると指摘しています。しかし、サプライヤー、コントラクター、大手航空会社のネットワークに APT が侵入した例はありますが、すべてではないにせよ、そのほとんどがスパイ活動に関連したものです。また、この研究では、敵対的な国家は、Stuxnet の展開を通じてイランが身をもって学んだように、広範囲ではないにしても、同じサプライチェーンリスクに直面している可能性が高いと説明しています。敵対する宇宙産業のサプライチェーンが過去にどの程度まで標的にされていたのか、そして現在も危険にさらされているのか、推測するしかありません。例えば、ピンポイントでの破壊工作を可能にしたり、継続的な情報収集活動を促進したりするために。
Section 1.3 focuses on space-based assets. It notes that particularly military satellite systems owned by Western nations are not always single-use or single-owned – and can pivot if necessary, to commercial satellite services to bridge short-term redundancy gaps. Adversaries who seek to disrupt or degrade specific satellite services will have a hard time to achieve persistent and tangible effects. A similar logic applies to commercial space assets given that service disruptions might create regional cascading effects that are undesirable, uncontrollable, and too public for an adversary’s risk appetite. 第 1.3 章では、宇宙ベースの資産に焦点を当てています。特に欧米諸国が保有する軍事衛星システムは、必ずしも単一用途・単一所有ではなく、必要に応じて商業衛星サービスに軸足を移し、短期的な冗長性のギャップを埋めることができることを指摘しています。特定の衛星サービスを妨害・劣化させようとする敵は、持続的かつ具体的な効果を得ることは難しいでしょう。同様の理屈が商業宇宙資産にも当てはまり、サービスの途絶は、望ましくない、制御不可能な、敵対者のリスク許容範囲を超えた地域的な連鎖効果を生み出す可能性があります。
On the subject of legacy systems, the study notes that there are different logics at play between commercial satellite operators and the military when it comes to satellite life spans. The latter prefers higher refresh rates, while the former is interested in long-term use. A potential solution to bridge this gap is to build hybrid satellite constellations that connect military and commercial satellites – which would also introduce a whole new cybersecurity dimension in space as satellite-to-satellite communications are rather rare. The study also explains the difference between operating systems on Earth and real-time operating systems used in space. This also includes the problem of patching vulnerabilities in space which is similar to the forever-day vulnerability problem in industrial control systems back on Earth. The study thus notes that the cybersecurity lessons learned in space are not very much different from the best practices on Earth. レガシーシステムに関しては、衛星の寿命に関して、商業衛星オペレーターと軍との間で異なる論理が存在することが指摘されています。後者はより高い更新を好み、一方の軍部は長期的な使用を重視しています。このギャップを埋めるためには、軍用衛星と商業衛星を接続するハイブリッド衛星コンステレーションを構築することが考えられますが、衛星間の通信がほとんど行われていない宇宙では、サイバーセキュリティの面でも全く新しい局面を迎えることになります。この研究では、地球上の OS と宇宙で使われるリアルタイム OS の違いについても説明しています。これには、宇宙における脆弱性のパッチ適用の問題も含まれています。これは、地上の産業用制御システムにおける永遠に続く脆弱性の問題に似ています。このように、宇宙で学ぶサイバーセキュリティの教訓は、地上でのベストプラクティスと大きな違いはないとしています。
In terms of the data colonization of space, i.e., the deployment of data centers in space, the study points out that while there are still major hurdles to their creation, a move toward mirroring Earth-based infrastructure in space is going to create synergies and overlaps that have long shielded space-based infrastructure from non-state adversaries. また、宇宙にデータセンターを設置する「宇宙データコロナイゼーション」については、その実現にはまだ大きなハードルがあるものの、地球上のインフラを宇宙に反映させることで、これまで宇宙のインフラが非国家的な敵から守られてきたこととの相乗効果や重複効果が期待できると指摘しています。
Section 1.4 explains the fundamentals of up- and downlinks and highlights that there is a major difference between intercepting unencrypted communications from an Iridium constellation satellite and conducting real-time packet injections into target communications as carried out at Menwith Hill Station. 第 1.4 章では、アップリンクとダウンリンクの基礎について説明し、イリジウム衛星からの暗号化されていない通信を傍受することと、メンウィズ・ヒル・ステーションで実施されたターゲットの通信にリアルタイムでパケットを注入することには大きな違いがあることを強調しています。
Section 2 discusses two case studies: NASA and Galileo. The NASA case study highlights that there are fundamental hurdles for cybersecurity progress that are not caused by technical problems but are induced by administrative and organizational shortcomings. Meanwhile, the Galileo case is an example of public communication failures and an opaque organizational structure that can exacerbate a severe IT problem. Both cases exemplify the difficulties of tackling cybersecurity in a highly bureaucratic and multi-stakeholder environment within the space economy. 第 2 章では、2 つのケーススタディについて説明します。NASA と Galileo です。NASA のケーススタディは、技術的な問題に起因するのではなく、管理的・組織的な欠点によって誘発されるサイバーセキュリティの進歩に対する根本的なハードルがあることを強調している。一方、ガリレオのケースは、公的なコミュニケーションの失敗と不透明な組織構造が、深刻なIT 問題を悪化させる例です。どちらのケースも、宇宙経済の中で、高度に官僚的で複数の利害関係者が存在する環境でサイバーセキュリティに取り組むことの難しさを例示しています。
Section 3 takes a closer look at five major cybersecurity incidents that have been widely cited and used in numerous research papers and conference talks on the topic of cybersecurity in space. The study calls out several misinterpretations, the spread of false information, and rectifies the narrative to separate reality from fiction and rumors. The section also utilizes the case of Jay Dyson and H4GiS to showcase how cybersecurity issues at work can migrate into a private setting and become deeply personal. As militaries around the globe are increasingly attracted to the idea of running information warfare campaigns to create persistent psychological effects within a population or target workforce, maintaining and caring for the mental health of network defenders will highly likely become a priority for government agencies and the private sector alike. 第 3 章では、宇宙におけるサイバーセキュリティをテーマにした数多くの研究論文や会議で広く引用され、使用されている5 つの主要なサイバーセキュリティインシデントについて詳しく見ていきます。この研究では、いくつかの誤った解釈や誤った情報の拡散を呼び起こし、現実とフィクションや噂を分けるために物語を修正しています。また、ジェイ・ダイソンと H4GiS のケースを利用して、仕事上のサイバーセキュリティの問題がプライベートな場に移行し、深く個人的なものになることを紹介しています。世界中の軍隊が、人口や対象となる労働力に持続的な心理的影響を与えるために情報戦キャンペーンを展開するというアイデアにますます惹かれるようになっている中、ネットワーク防衛者のメンタルヘルスを維持しケアすることは、政府機関と民間企業の両方にとって優先事項となる可能性が高いでしょう。
Section 4 explains the Hack-A-Sat challenge at DEFCON 2020 to highlight the various challenges and different knowledge necessary to both the adversary and the defender to control and command space assets. It also specifically emphasizes the efforts by the hacking community and the US government in advancing outreach and getting people involved into satellite security and securing the space economy at large. 第  4 章では、DEFCON 2020 における「Hack-A-Sat」チャレンジについて説明し、宇宙資産を制御・指揮するために敵対者と防御者の双方が必要とする様々な課題や知識について強調しています。また、ハッキング・コミュニティや米国政府が、衛星のセキュリティや宇宙経済全体の安全性確保に向けたアウトリーチ活動を推進し、人々を巻き込んでいることを特に強調しています。
Section 5 outlines various implication for Switzerland, including: 第  5 章では、スイスにとっての様々な示唆をまとめています。
(1) The Swiss federal government would be well-advised to comprehensively map out current Swiss space dependencies and redundancies across the identified nine critical infrastructure sectors and 27 sub-sectors. (1) スイス連邦政府は、特定された9 つの重要インフラ部門と 27 のサブ部門について、現在のスイスの宇宙への依存性と冗長性を包括的にマッピングすることを推奨します。
(2) It might also be prudent to map out potential cascading effects of what might occur if one or several satellites, ground stations, relevant webservers and/or data outside of Swiss territory becomes unavailable due to a persistent cyber incident. (2) また、スイス国外にある衛星や地上局、関連するウェブサーバやデータが、持続的なサイバーインシデントによって利用できなくなった場合、どのような影響が連鎖的に発生するかを想定しておくべきです。
(3) The federal government ought to proactively engage the European Commission and coordinate with other members of the European Space Agency (ESA) to insert itself into the EU debate on pan-European critical infrastructure. (3) 連邦政府は、欧州委員会に積極的に働きかけ、欧州宇宙機関(ESA)の他のメンバーと調整して、汎欧州的な重要インフラに関する EU の議論に参加すべきです。
(4) The federal government would do well to open up the debate on ESA’s cybersecurity posture, threat environment, and public outreach and communication practices. (4)  連邦政府は、ESA のサイバーセキュリティの態勢、脅威の環境、広報活動やコミュニケーションの実践について議論を深めることが望ましい。
(5) It might be prudent to stand up a joint cyber task force together with various ESA member countries to proactively tackle cyber-related incidents affecting the Agency. (5) ESA に影響を与えるサイバー関連のインシデントに積極的に取り組むために、ESA 加盟各国と共同でサイバータスクフォースを立ち上げるのが賢明でしょう。
(6) The federal government should seek clarification from the European Commission as to whether Swiss companies and government departments can get involved in the Commission’s plan to build up a European satellite communication system. (6) 連邦政府は、欧州委員会が計画している欧州衛星通信システムの構築に、スイスの企業や政府部門が関与できるかどうかについて、欧州委員会に説明を求めるべきです。
(7) The Swiss Defense Department, in cooperation with RUAG and Armasuisse, could partner up with selected European or US counterparts to pick up on the success of Hack-A-Sat and advance a series of hacking challenges pertaining to the space economy across Europe and the US. (7) スイス国防省は、RUAG や Armasuisse と協力して、「Hack-A-Sat」の成功を受けて、ヨーロッパやアメリカで宇宙経済に関する一連のハッキング・チャレンジを実施することができます。
(8) Swiss government departments and/or research institutions might want to serve as neutral arbiters that collect information and investigative reports on past cyber incidents affecting the space economy to paint a realistic picture of what actually occurred (excluding attribution claims). (8) スイスの政府機関や研究機関は、中立的な判断者として、宇宙経済に影響を与えた過去のサイバー事件に関する情報や調査報告書を収集し、実際に起こったことをリアルに描き出すことができるかもしれません(帰属の主張は除く)。
(9) A comprehensive and structured revisiting of past cases by a Swiss government department will most likely spur a reflection on how past incidents have been covered by the media and have been able to proliferate throughout the information security and policy community unchallenged – leading hopefully to better journalistic practices and better research conduct. (9) スイスの政府機関が過去の事件を包括的かつ体系的に再検討することで、過去の事件がどのようにメディアに取り上げられ、情報セキュリティや政策のコミュニティに無関係に広まっていったのかを振り返ることができ、よりよいジャーナリズムの実践やよりよい研究の実施につながることが期待されます。
(10) Switzerland should also keep an eye out on the legal debates that have and will increasingly occur when it comes to the interception of satellite communications by intelligence agencies, and the legal status of data transmitted and hosted in space. (10) また、情報機関による衛星通信の傍受や、宇宙空間で送信・ホストされるデータの法的地位について、これまでも、そして今後も、法的な議論が行われていくことにも注目したい。
Section 5.1 provides a brief horizon scan that highlights three trends: 第  5.1 章では、3 つのトレンドに焦点を当てた簡単なホライズンスキャンを行っています。
(a) Satellite Internet broadband constellations will become an essential extension – if not even a dominating part – of cyberspace as we know it. Opening up new regulatory and legal questions in a domain populated by vendors with little cybersecurity experience. (a) 衛星インターネット・ブロードバンド・コンステレーションは、私たちが知っているようなサイバースペースの重要な延長線上に、あるいは支配的な部分になるでしょう。サイバーセキュリティの経験がほとんどないベンダーが参入している分野で、新たな規制や法的問題が発生しています。
(b) The increased hybridization of space assets will most likely lead to new adversarial targeting dynamics against space-based assets. (b) 宇宙資産のハイブリッド化が進むと、宇宙ベースの資膨大なデータ量と宇宙空間でのデータストリームの再編成により、地球上に新たな標的と攻撃のベクトルが開かれることになります。
(c)  The sheer data volume and realignment of data streams through space will open up new target and attack vectors on Earth. (c)膨大なデータ量と宇宙空間でのデータストリームの再調整により、地球上に新たな標的と攻撃のベクトルが生まれます。

 

・[DOC] 本文部分の仮訳

 

| | Comments (0)

2021.04.06

IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

こんにちは、丸山満彦です。

IPAが「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書を公開していますね。。。

要は、「プラクティス集の利用実態やプラクティスへの要望等の調査」ですね。。。サイバーセキュリティ経営ガイドラインの作成メンバーなので、よく読んでおかないと(^^)。

次も委員になるかどうかはわからないけど...(^^;;

● IPA

・2021.04.05 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・[PDF] 2020 年度 サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査- 調査報告書 -

20210405-224323

 

各企業の事業がどの程度ITに依存しているかという「IT依存度」を4段階に分けて分析をしているのが面白いですね(^^)。

高い カテゴリー1 ITシステム・ITサービスが事業上必要不可欠な要素であり、その停止は事業全体または重要な事業の停止に繋がる
・「金融、保険業」での割合が最も高く25.0%。「卸売業、小売業」「情報通信業」においても比較的高い傾向
カテゴリー2 顧客へのサービス提供や生産活動の一部でITシステム・ITサービスを利用しており、その停止は事業の一部に大きく影響する
・「製造業」の割合が最も高い
カテゴリー3 顧客へのサービス提供や生産活動の一部でITシステム・ITサービスを利用しているが、ITに依存しない代替手段等があるため、一時的な停止であれば事業への影響は小さい
・「製造業」の割合が最も高い
低い カテゴリー4 ITシステム・ITサービスは主に社内業務等に利用するのみで、その停止は事業にあまり影響しない
・「サービス業(他に分類されないもの)」の割合が最も高い

 

 


(1)プラクティス集を利活用する目的(または、今後利活用する目的として想定されるもの)<複数選択>

  • カテゴリー1:「管理体制の構築やPDCAサイクルの実施等の、通常時の体制強化を念頭においたサイバーセキュリティ対策の検討に活用するため」の割合が最も高く44.1%
  • カテゴリー2と3は、「サイバーセキュリティ対策のうち、対策が遅れている(対策の必要性が新たに生じた)テーマに関する「はじめの一歩」として、具体的な対策を確認・検討するため」が最も高い。
  • カテゴリー4では「セキュリティ対策で始めにすべきことの理解」が最も高く40.7%

.....

(2)構成・内容についての要望

  • カテゴリー1、2、3は、「企業の状況や課題に応じた利用方法、参照すべきプラクティスについて、具体的に解説する」のニーズが最も高い。
  • カテゴリー4では、「サイバー攻撃が経営課題である理由を具体的に解説する」のニーズが最も高く26.9%、他のカテゴリーと異なる傾向。

.....

有識者・企業インタビュー調査

 プラクティス利活用の目的とプラクティス集の構成・内容との整合性などについてインタビューし、現在のプラクティス集に対する有用な見解が得られた。
  • 体制構築が一定程度進んだ企業を念頭にした場合、実践的な対策内容を確認したいというニーズが想定されるが、現状の第2章および第3章はそのニーズには十分対応できておらず、第3章を中心とした実践的な対策内容の充実化と、プラクティス集全体を通じた「対策が必要な理由」が伝わるような構成・内容とする工夫が求められる。
  • 企業が現実に直面している課題とその対処方法について、理解しやすいように構成や内容面を工夫して取扱う必要がある。また、テレワーク・クラウド利用・DXなど最近のトレンドとなっているテーマについても、一定程度、対策内容の議論・標準化が進んで段階において、テーマとしての取扱いを検討することが求められる。
  • 可視化ツール(*3)とプラクティス集を連携することで、可視化ツールでの診断結果と、その診断結果に対応するプラクティスを、一連の流れで確認できれば有効である。また、Webコンテンツとして、診断結果の業種比較がオンラインで参照できるとよい。

なるほど...

 

| | Comments (0)

2021.01.26

JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化 (2021.03.12午後)

こんにちは、丸山満彦です。

JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化が2021.03.12午後に開催されますね。。。

講演者の一覧、、、詳細はウェブページで・・・(あっ、岩井さんだ・・・)

題名 講演者 所属 役職等
サイバーグレートゲーム: サイバースペースをめぐる地政学・地経学 土屋 大洋 慶應義塾大学 総合政策学部 学部長・教授
警察におけるサイバー犯罪対策とJC3との連携 佐藤 隆司 警察庁 生活安全局 情報技術犯罪対策課 課長
Ransomware Operators Publishing Victim Data Owen Nearhoof, Erika Totaro National Cyber-Forensics and Training Alliance - Intelligence Analysts
2021年 暗号資産関連犯罪レポート 重川 隼飛 Chainalysis Japan  - Solution Architect
CDA - Combating crime through co-operation in the UK financial sector CEO: Stevie Wilson, Operations Analyst: Barry Steel Cyber Defence Alliance CDA - CEO & Operations
増大するサイバー脅威の裏側とリスク軽減への一考察 岩井 博樹 株式会社サイント 代表取締役
DX時代におけるサイバー脅威最新動向とゼロトラストセキュリティー 小川 真毅 日本アイ・ビー・エム株式会社 セキュリティー事業本部 理事/パートナー
JC3の活動状況紹介及び今後の産学官連携について 島根 悟 日本サイバー犯罪対策センター 業務執行理事

 

JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化

開催日時は、2021年3月12日(金)13 : 30 ~ 17 : 40

となります。。。

申し込みは、上記のサイトから申し込みサイトに入ることによりできます。。。

 

| | Comments (0)

2020.12.10

デジタル時代のニュース消費の測定 - Pew Research Center

こんにちは、丸山満彦です。

偽情報が気になっていまして、偽情報とは直接関係ないかもしれませんが、こう言うことも見ておいた方が良いのかもと思いながら、備忘録です。。。

Pew Research Center

・2020.12.08 Measuring News Consumption in a Digital Era

As news outlets morph and multiply, both surveys and passive data collection tools face challenges

目次です。。。

原文 仮訳
How we did this どのようにして調査を行ったか
Terminology 用語
Measuring News Consumption in a Digital Era デジタル時代のニュース消費の測定
Data sources and methods データソースと方法
1. The American public shows mixed familiarity with new and evolving forms of news 1. 米国の一般市民は、新しい、そして進化するニュースの形に混ざった親しみやすさを示している。
The public is broadly aware of some newer forms of news consumption, but most Americans do not often use them 一般の人々は、いくつかの新しい形のニュース消費を広く認識しているが、ほとんどのアメリカ人は、これらのニュースを使用することはあまりない。
Little public confidence in identifying original reporting – and little success 元の報告書を特定することに対する世間の自信は低い - そして成功はほとんどない
Full scope of financial support for news organizations not captured with simple ‘paying for news’ question 報道機関への財政支援の全容 単純な「報道にお金を払う」質問では捉えられない
Understanding how use of new digital platforms overlaps with use of analog and digital platforms for news consumption 新しいデジタルプラットフォームの利用と、ニュース消費のためのアナログとデジタルプラットフォームの利用がどのように重なっているかを理解する
2. Assessing different survey measurement approaches for news consumption 2. ニュース消費のための異なる調査測定アプローチの評価
Are the terms researchers use to ask about news consumption generally understandable among respondents? 研究者がニュース消費について質問する際に使用する用語は、回答者の間で一般的に理解できるものであるか?
Can examples improve respondents’ understanding of news providers? 回答者のニュース提供者に対する理解を、例えによって向上させることができるか?
Does a specific response scale improve measurement of news consumption? 特定の回答尺度はニュース消費の測定を改善するか?
Does providing a reference period affect news consumption measurement? 基準期間を提供することは、ニュース消費の測定に影響を与えるか?
3. The promise and pitfalls of using passive data to measure online news consumption 3. オンラインのニュース消費を測定するために受動的なデータを使用することの期待と落とし穴
Respondents self-report online activities at far higher rates than what passive data shows, but it is unclear which is more accurate 回答者は受動的なデータよりもはるかに高い割合でオンライン活動を自己報告しているが、どちらがより正確かは不明である。
Accounting for differences between survey and passive data 調査データとパッシブデータの違いを会計処理する
Appendix: Additional guidance on using surveys to measure news consumption 付録 ニュース消費の測定にアンケートを使用する際の追加ガイダンス
Top-of-mind elicitation on news use ニュース利用に関するトップオブマインドの喚起
Defining ‘news’ ニュースの定義
Longer response scales より長い応答スケール
Other tests and refinements その他のテストとリファイン
Detailed tables 詳細表
Acknowledgments 謝辞
Methodology 方法論
Cognitive interviews 認知面接
Recruitment and Participants’ Profile 募集と参加者のプロフィール
Survey experiments 調査実験
Recruitment 採用情報
Weighting 重み付け
The News Consumption survey ニュース消費調査
Passive data パッシブデータ
Recruitment and data collection 採用とデータ収集
Matching events to behaviors asked in survey アンケートで尋ねられた行動とイベントのマッチング
Comparing survey responses to passive data アンケート回答と受動的データの比較
Comparison to traffic data トラフィックデータとの比較

 

| | Comments (0)

2020.11.13

JIPDEC 第98回JIPDECセミナー 「eシールとは? —内外での活用状況からJIPDECの取組みまで」資料公開

こんにちは、丸山満彦です。

2020.05.14にJIPDECが「適格eシール」制度を始めていますね(プレス)。EUでは、「eIDAS規則」の中のトラストサービスの一部として、電子署名、タイムスタンプとともに、eシールが規定されていますね(第35条-第40条)

そんななk、2020.10.16にJIPDECが第98回JIPDECセミナー 「eシールとは? —内外での活用状況からJIPDECの取組みまで」を開催したわけですが、その時の講演資料が公開されていますね。。。

● JIPDEC 

・2020.10.16 第98回JIPDECセミナー 「eシールとは? —内外での活用状況からJIPDECの取組みまで

EUにおけるeシールとeIDAS規則を巡る動向

株式会社コスモス・コーポレイション 取締役 ITセキュリティ部 責任者
(JIPDEC 客員研究員)濱口 総志 氏

  日本でも制度化が検討されているeシールですが、欧州ではeIDAS規則の施行によって既に法的効力の伴うトラストサービスが利用されています。本講演では、eIDAS規則におけるeシールの定義及び法的効力、その特徴とユースケースの紹介から、現在検討されているeIDAS規則改定の方向性まで説明いたします。

・2020.11.11 講演レポート「EUにおけるeシールとeIDAS規則を巡る動向」

EU eシール用適格証明書の発行と利用事例

GMOグローバルサイン株式会社 プロダクトマネジメント部 部長
漆嶌 賢二 氏

  GMOグローバルサインではEUの認定を受け、EU eIDAS規則で規定された適格eシール署名用の法人向けデジタル証明書を201812月より提供しており、日本国内初のEU eシール用適格証明書をJIPDEC様に提供させていただきました。
 本講演では、簡単に適格eシールについて振り返ると共に、弊社が提供するeシール用適格証明書のプロファイル等の内容、他社との比較、発行プロセス、利用事例について紹介します。

・2020.11.11 講演レポート「EU eシール用適格証明書の発行と利用事例」

「日本版eシール」に関する政府検討状況と自社サービスの検討

株式会社帝国データバンク 業務推進部 ネットサービス課 課長補佐
小田嶋 昭浩 氏

 総務省において平成30年に「プラットフォームサービスに関する研究会」のもと「トラストサービス検討ワーキンググループ」が設置、令和22月の同研究会最終報告書の結論に基づき、「組織が発行するデータの信頼性を確保する制度に関する検討会」が開催され、「日本版eシール」の在り方が議論されています。当該内容、および帝国データバンクで想定した場合の内容も併せてご説明いたします。

・2020.11.11 講演レポート「日本版eシール」に関する検討状況とサービス検討

JIPDECにおけるeシール導入の取組みについて

JIPDEC インターネットトラストセンター 主査 高倉 万記子

・2020.11.11 講演レポート「JIPDECにおけるeシール導入の取組みについて」

| | Comments (0)

2020.11.04

情報ネットワーク法学会 第20回研究大会

こんにちは、丸山満彦です。

情報ネットワーク法学会が11月28日、29日に 第20回研究大会を開催します。

今年は、COVID-19の影響でオンライン開催です。

以下、プログラムの要約です。各発表の日時、発表者はプログラムのページで確認してくださいませ。。。

個別報告

  1. プロバイダ責任法4条3項(発信者情報をみだりに用いることの禁止)に関する検討
  2. 本人の知らない個人情報の流通に対する政策の日米欧比較
  3. 閲覧制限情報と非公開情報の交錯
  4. 大学の個人情報保護関連規程の事例比較―日本と韓国の国立・私立大学の当該規程に表れた利活用に係る規定の態様と国家機関との関係を中心に―
  5. 青少年のネット利用対策(コロナ禍下でのSNS相談を通じての考察)
  6. 信認義務に依拠したプライバシーの再構築―専門家責任に基づく義務論として
  7. 構造上の問題」に挑む―デジタルプラットフォーム規制の欧州アプローチ
  8. デジタルプラットフォームにおける外国会社登記義務及び国内代表者・代理人指定義務についての考察
  9. 顔認証技術の適正な利用の促進に向けた法的課題 ―ポートランド市顔認証技術禁止条例の検討を通じて―
  10. SNSを介した世論操作と国際法上の不干渉原則に関する一考察―COVID-19パンデミックにおけるディスインフォメーション戦略の適法性を中心に―
  11. スマートシティのデータガバナンス:Sidewalk Labsによるトロントスマートシティプロジェクトからの一考察
  12. 選挙に関するフェイクニュース・ディスインフォメーションの法的規制
  13. 航空法2020年改正と今後のドローンの利活用に係る法制度設計の課題

研究会報告は、

1 インターネット投票研究会 インターネット投票実現に向けた最新展望
2 ビジネス法務研究会 最近のシステム開発取引の実務の変化(改正債権法施行の影響等)
3 ビジネス法務研究会 ウィズコロナを念頭に医療情報の課題整理
4 ソーシャルメディア研究会  キャンセルカルチャーとソーシャルメディア
5 個人情報保護研究会  組織間の協創・協業によるデータ活用とコミュニケーション~企業の立場から~
6 ネット社会法務研究会  コンピューター・ウイルス罪がはらむ諸問題―コインハイブ事件控訴審判決と最高裁への上告をめぐって―
7 プロバイダ責任制限法研究会 2020年発信者情報開示制度改正の最前線
8   サイバー攻撃被害情報の共有と公表に係る諸課題について(仮)
9 個人情報保護研究会 官民一元化・COVID-19対応を踏まえた2000個問題の再定位
10 ロボット法研究会 対話知能システムの研究開発及び社会実装のための法社会規範の研究

となっています。。。

 

情報ネットワーク法学会は2002年5月に設立されたので、いま18年目です。私も、この学会の発起人の一人として名前を連ねております。

当時、法律面の勉強をするために色々なセミナーを探して参加し、積極的に大学の先生や弁護士の方に質問等をしておりました。当時から弁護士では岡村先生は経験も豊富でしたね。。。高橋郁夫弁護士、小松弁護士(不慮の事故でなくなってしまいました)はプログラムもかける弁護士でした。当初学会に事務所を提供してくれていたのは藤田先生でした。お世話になりました。落合先生は当時ヤフーでしたね。。。丸橋さん、鈴木正朝さん、当時パナソニックの金子さんが同じく実務界では積極的に活動されていたように思います。大学の先生では、夏井先生(元裁判官)、指宿先生、笠原先生、町村先生、水谷先生(京大の情報倫理)、藤本先生、米丸先生の活躍が記憶にあります。プライバシーからロボット法に中心をうつされた新保先生は当時は助手でしたかね。。。役所からは総務省の阪本和男さん(その後内閣官房で一緒に働くことになりました)、法務省の早貸さん(経済産業省に出向し、その後JPCERT/CCで一緒に働くことになりました)、警察庁の坂明さん(今の東京オリンピック委員会のCISOですね)。もちろん、発起人代表でISO/IEC13335, SC27で活躍されていた苗村先生も。。。名簿をみると当時の方の一人一人が思い出されますね。。。確か、私は第一期の監事になったような気がします。違うかも(^^;;

米国から帰って2年ほど立っていた当時の私は、ある企業へのコンサルティングがきっかけでセキュリティの仕事もするようになったのですが、その際に、セキュリティはマネジメント、技術、法律の三位一体で進めないといけないということに気付き、色々と考えていました。

たまたま、日本公認会計士協会のJICPAジャーナル(現在の「会計・監査ジャーナル
」)の編集に関わっていた和田頼知さん(現在は日本触媒の監査役で、長く米国アトランタ事務所に駐在していた方)から「丸山、今どんなことしてんねん!」と言われて、「情報セキュリティをしている」と答えたら、これからは「セキュリティが重要となるから、会計士のみんなにも広く知ってもらわないといけないな。お前記事かけ」と言われて、特集の段取りをして2001年3月号の特集記事として書きました。当時、情報セキュリティマネジメントに関する英国の標準(BS7799)を国際標準にしようとか、経済産業省の「情報処理サービス業情報システム安全対策実施事業所認定制度」 を廃止して民間の認証制度(JIPDECによるISMS適合性評価制度)に変えようとしていた時でした。国際的調和を考えてISO化が見えていたBS7799をベースにした制度を私は推奨し、そうなりました。。。

 

● 日本公認会計士協会

・[PDF] JICPAジャーナル年間総目次 2001年(平成13年1月号-12月号)

3月号の特集でした。。。

●特集:情報セキュリティマネジメント

  • 情報セキュリティマネジメントについての政府の方向性 山本 文土
  • BS7799の概要とISO化 高橋 圭二
  • 先進企業における情報セキュリティマネジメントの実際と公認会計士の役割 丸山 満彦
  • 法律面から見た情報セキュリティマネジメントの重要性 牧野 二郎

20年前から基本のところは変わっていないのだろうと思います。。。まぁ、概ねすべてのことが、マネジメント、技術、法律(制度)から考えることが必要ということなのかもしれませんが。。。

ちなみに山本文土さんは外務省からの出向の方で、頭脳明晰で決断もできる優秀な方でしたね。。。2019.09.09の異動で現在は、アジア大洋州局地域政策参事官となられているようですね。。。

| | Comments (0)

2020.09.06

IPA 情報セキュリティ白書2020 + 10大脅威 ~セキュリティ対策は一丸となって、Let's Try!!~

こんにちは、丸山満彦です。

IPA (独立行政法人情報処理推進機構 ) が情報セキュリティ白書2020を公表していますね。簡単なアンケートに回答するとPDF版が読めます。。。

● IPA

・2020.09.03 情報セキュリティ白書2020

特別投稿の「特別寄稿 セキュリティマネジメントの日米企業比較 ~組織論の観点から~」は興味深いですね。過去の成功の上に現在の失敗があるということでしょうかね。。。

多くの日本企業で言えているのかも、、、とか思っていたけど、そもそも日本政府の政策が・・・・いやいや気のせいか・・・

・2020.08.28情報セキュリティ10大脅威 2020」を公開


情報セキュリティ白書

2019年度版  10大脅威 ~局面ごとにセキュリティ対策の最善手を~ [PDF] [downloaded]

2018年度版  10大脅威 ~引き続き行われるサイバー攻撃、あなたは守りきれますか?~ [PDF] [downloaded]

2017年度版  10大脅威 ~職場に迫る脅威! 家庭に迫る脅威!? 急がば回れの心構えでセキュリティ対策を~

2016年度版  10大脅威 ~個人と組織で異なる脅威、立場ごとに適切な対応を~

2015年度版  10大脅威 ~ 被害に遭わないために実施すべき対策は? ~

2014年度版  10大脅威 複雑化する情報セキュリティ あなたが直面しているのは?

2013年度版  10大脅威 身近に忍び寄る脅威

2012年度版  10大脅威 変化・増大する脅威

2011年度版  10大脅威 進化する攻撃...その対策で十分ですか?

2010年度版  10大脅威 あぶり出される組織の弱点!

2009年度版  10大脅威 攻撃手法の『多様化』が進む

2008年度版  10大脅威 ますます進む『見えない化』

2007年度版  10大脅威 脅威の“見えない化”が加速する![PDF] [downloaded]

2006年度版  10 大脅威 加速する経済事件化 [PDF] [downloaded]

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2009.03.28 IPA 情報セキュリティ白書2009 10大脅威 攻撃手法の『多様化』が進む

・2008.05.28 IPA 情報セキュリティ白書2008 第II部「10大脅威 ますます進む『見えない化』」を公開

・2007.03.12 IPA 情報セキュリティ白書2007 - 10大脅威 「脅威の“見えない化”が加速する!」 -

・2006.03.23 IPA 情報セキュリティ白書2006年版発行

 

Continue reading "IPA 情報セキュリティ白書2020 + 10大脅威 ~セキュリティ対策は一丸となって、Let's Try!!~"

| | Comments (0)

2020.07.27

FBIは中国で付加価値税の支払いのためにインストールが義務付けられているソフトウェアにバックドアがあるとアラートを出したみたいですね

こんにちは、丸山満彦です。

FBIは中国で付加価値税の支払いのためにインストールが義務付けられているソフトウェアにバックドアがあるとアラートを出したみたいですね。

アラート自体は企業に送付されているようです。[PDF]  AC-000129-TT

国が義務付けたファイルにマルウェアが仕掛けられるとかなり辛いですね。。。

 

■ 報道等

Bank Info Security
・2020.07.25 FBI Warns US Firms Over Malware in Chinese Tax Software  by 

Alert Follows Trustwave Reports on Backdoors Hidden in Tax Software

FBI warns US companies about backdoors in Chinese tax software by 

Following the GoldenHelper and GoldenSpy malware reports, the FBI is now warning US companies operating in China.

● REVYUH
 ・2020.07.25 GoldenHelper and GoldenSpy: taxes and backdoors Made in China by Kamal Saini

According to the US agency, the software made mandatory by China for the payment of taxes by US companies contains backdoors.

● Heis online
・2020.07.25 IT-Sicherheit: FBI warnt vor Hintertür in chinesischer Steuersoftware

Ausländische Unternehmen brauchen in China spezielle Programme für die Umsatzsteuererklärung. Diese installieren laut dem FBI Backdoors zu Firmennetzwerken.

Neuvo Periodico
・2020.07.25 El FBI advierte: el software obligatorio de IVA chino incluye una puerta trasera
・2020.07.25 impuestos y puertas traseras Made in China

Punto Information
・2020.07.25 Cina: una backdoor nel software per le tasse?


 

| | Comments (0)

2020.07.23

内閣官房サイバーセキュリティ 2020

こんにちは、丸山満彦です。

内閣官房がサイバーセキュリティ2020を公表していますね。。。

NISC - サイバーセキュリティ戦略本部

・2020.07.21 第25回会合(持ち回り開催)

[PDF] 報道発表資料

[PDF] サイバーセキュリティ2020

[PDF] サイバーセキュリティ関係施策に関する令和3年度予算重点化方針

 

[PDF] 議事次第

[PDF] 資料1 サイバーセキュリティ20202019年度年次報告・2020年度年次計画)(案)

[PDF] 資料2 サイバーセキュリティ関係施策に関する令和3年度予算重点化方針(案)

[PDF] 資料3 政府機関等の情報セキュリティ対策のための統一基準群の見直し(骨子)

[PDF] 資料4 政府情報システムのためのセキュリティ評価制度(ISMAP)の取組状況について

[PDF] 資料5 委託先等で発生した政府機関の要保護情報に係るセキュリティインシデントの情報共有に関する申合せについて

[PDF] 資料6 IT調達に係る国の物品等又は役務の調達方針及び調達手続に関する申合せの改正について

[PDF] 資料7 東京2020大会に向けた取組状況について

[PDF] 資料8 サイバーセキュリティ協議会の取組状況

[PDF] 資料9 2020年サイバーセキュリティ月間 結果報告


はじめに
本編
1 部 サイバーセキュリティを巡る動向

 1
章 サイバーセキュリティを取り巻く環境
 1
新型コロナウイルス感染症への対応
 2 新しいデジタル技術の活用とリスクマネジメント ~DX with Cybersecurity ~
 3 情報共有の推進と共助の取組

 2 章 2019 年度のサイバーセキュリティに関する情勢
 1
主なサイバーセキュリティ事案
 2 政府機関等におけるサイバーセキュリティに関する情勢
 3 重要インフラ分野等におけるサイバーセキュリティに関する情勢
 4 サイバー空間に係る国際的な動向

2 部 我が国のサイバーセキュリティ政策
 1
章 基本的枠組み
 1
サイバーセキュリティ基本法について
 2 サイバーセキュリティ戦略について
 3 サイバーセキュリティ政策の推進体制について

 2 章 戦略に基づく昨年度の取組実績、評価及び今年度の取組
 1
経済社会の活力の向上及び持続的発展
 2 国民が安全で安心して暮らせる社会の実現
 3 国際社会の平和・安定及び我が国の安全保障への寄与
 4 横断的施策
 5 推進体制 

 3 章 現状の認識を踏まえた加速・強化すべき取組
 1
現状から見えてきたこと
 2 今後の検討に当たっての視点
 3 今後加速・強化して取り組むことが重要な事項

別添1 2020年度のサイバーセキュリティ関連施策
別添2 2019年度のサイバーセキュリティ関連施策の実施状況
別添3 各府省庁における情報セキュリティ対策の総合評価・方針
別添4 政府機関等における情報セキュリティ対策に関する統一的な取組
別添5 重要インフラ事業者等における情報セキュリティ対策に関する取組等
別添6 サイバーセキュリティ関連データ集
別添7 担当府省庁一覧(2020年度年次計画)
別添8 用語解説


| | Comments (0)

2020.03.31

AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

こんにちは、丸山満彦です。

「学術雑誌『情報通信政策研究』第3巻第2号」に中川裕志先生の寄稿論文「AI 倫理指針の動向とパーソナル AI エージェント」が掲載されています。全体感を理解する上で参考になると思います。

また、新保史生先生の「AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋」 も掲載されています。

総務省 - 情報通信政策研究所

・2020.03.30 情報通信政策研究 - 第3巻第2号

・[PDF] AI倫理指針の動向とパーソナルAIエージェント 著者:中川裕志(理化学研究所・革新知能統合研究センターPI)

・[PDF] AI原則は機能するか? ―非拘束的原則から普遍的原則への道筋 著者:新保史生(慶應義塾大学総合政策学部教授)

 

同じ号に板倉先生の論文も掲載されていますね。

・[PDF] プライバシーに関する契約についての考察(問答編) 著者:板倉 陽一郎(ひかり総合法律事務所パートナー弁護士)

これはこれで興味深いので別途記載するつもりです。。。

Continue reading "AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生"

| | Comments (0)

より以前の記事一覧