案内(講演 / 書籍等)

2022.03.16

個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で、「第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」での資料等が公開されていますね。。。

 

個人情報法保護委員会

・2022.03.10 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・[PDF] 議事次第

[PDF] 資料1 顔識別機能付きカメラの特性に関する国内外の評価

[PDF] 資料2 本日ご議論いただきたい事項 

[PDF] 資料3 森構成員発表資料

[PDF] 資料4 遠藤構成員発表資料

[PDF] 参考資料 第1回検討会議事概要

 

本日ご議論いただきたい事項 」は、


第1回及び今次会合における個人情報保護法上の規律、民事裁判例の状況、顔識別機能付きカメラシステムの技術的特徴や評価に関する説明を踏まえ、以下の観点からご議論いただきたい。

1. 顔識別機能付きカメラシステムを利用することが有効かつ必要であると考えられる場面
 目的(テロ・重大犯罪防止、万引防止、行方不明者・徘徊者捜索、その他)
 設置場所
 撮影態様 等

2. 事業者に対応が求められる事項(上記目的の別にも着目して)
 個人情報保護法の規律と不法行為法上の留意点の異同も踏まえ、事業者にはどのような対応が求められるか。
 個人情報保護法上の規律が存在する事項について、より高い水準で行うべきもの
 個人情報保護法上の規律は存在しないが、不法行為法上の観点から行うべきもの 等


ということだったようです。。。

委員会で用意した「資料1顔識別機能付きカメラの特性に関する国内外の評価」も参考になりますし、

森先生の「肖像権・プライバシーに関する裁判例」も参考になりますし、

遠藤先生の、「防犯カメラの利用による民事法上の肖像権・プライバシー侵害」も参考になりますね。。。

 

違法性の判断基準

(森先生の資料を参考に・・・)

・2001.02.06 Nシステム事件(東京地判平成13年2月6日)

① [情報の性質] 取得、保有、利用される情報が個人の思想、信条、品行等に関わるかなどの情報の性質、
② [目的] 情報を取得、保有、利用する目的が正当なものであるか、
③ [方法] 情報の取得、保有、利用の方法が正当なものであるか
などを総合して判断すべき

・著名人コンビニ万引き事件 (東京地判平成22年9月27日(判タ1343号153頁))

① [目的] 撮影の目的、
② [必要性] 撮影の必要性
③ [方法] 撮影の方法、
④ [管理方法] 撮影された画像の管理方法
等諸般の事情を総合考慮して、撮影されない利益と撮影する利益を比較衡量して、受忍限度を超えるものかどうかを判断すべき

(遠藤先生の資料を参考に・・・)



① [社会的地位] 被撮影者の社会的地位*
② [活動内容] 撮影された被撮影者の活動内容、
③ [場所] 撮影の場所**
④ [目的] 撮影の目的、
⑤ [態様] 撮影の態様、
⑥ [必要性] 撮影の必要性
等を
総合考慮して、被撮影者の人格的利益の侵害が社会生活上受忍の限度を超えるといえるかどうかを判断基準としている

*: 有名人かどうかといった基準
**: 公開の場所、道路上、私的な場所か公的な場所かという基準

 

Fig_20220201061401


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

 

Faicial Recognition

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.03.07

科学技術振興機構 俯瞰ワークショップ報告書 「俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~」

こんにちは、丸山満彦です。

国立科学技術法人科学技術振興機構が、俯瞰ワークショップ報告書 「俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~」を公表していますね。。。

「トラスト (Trust) 」を俯瞰する意味で興味深いです。

 

● 国立科学技術法人科学技術振興機構

・2022.03.04 俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~

・[PDF] 報告書

20220307-52717

 

目次を見るだけで興味がわきますね。。。

 


1  問題意識および俯瞰の進め方

2  俯瞰セミナーシリーズ
2. 1
小山 虎 「人文・社会系のトラスト研究の系譜」
2. 2
上出 寛子 「社会心理学におけるトラスト」
2. 3
犬飼 佳吾「行動経済学・実験経済学とトラスト」
2. 4
大屋 雄裕 「法制度とトラスト」
2. 5
神里 達博「科学技術へのトラスト」
2. 6
村山 優子 「情報科学におけるトラスト」
2. 7
中島 震 「ソフトウェア品質保証におけるトラスト」
2. 8
松本 泰 「ゼロトラストから考えるトラストアーキテクチャ 〜トラストのメカニズムのパラダイムシフト〜」
2. 9
佐古 和恵 「暗号プロトコルとトラスト」
2.10
山田 誠二 「ヒューマンエージェントインタラクションと信頼工学」
2.11
中川 裕志 「AI のトラスト」
2.12
工藤 郁子「公共政策とトラスト」
2.13
山口 真一 「ソーシャルメディアにおけるトラスト問題」
2.14
尾藤 誠司 「医療におけるトラスト(1)」
2.15
山本 ベバリーアン 「医療におけるトラスト(2)」

3  俯瞰ワークショップ
3. 1
俯瞰的整理
3. 2
総合討議
参考文献リスト


この報告書を読んでいて改めて思ったのは、Trustあるいは、トラストが対象する領域の広さです(不動産信託もトラストとして含まれていますから。。。)。で、なので、今後は今回、広げた俯瞰したトラストについて、何らかの方法(例えば、山岸先生の考え方でもよいし、あらたな分類法でもよいし、分類法も一つである必要はなく、議論するテーマによって使い分けてもよい)で、信頼を分類し、議論する必要があるように思いました。

分類をすることにより、より深い議論ができるのではないかというのが、その意図です。例えば、個人情報の議論をしようと言って、匿名情報、仮名情報、死んだ人の情報、IDの話、システムで読むことを前提とした一意の情報等、いろいろな意味で個人情報を議論していると議論を深めにくいように、それぞれの特徴に応じて分類(あるいは定義)をし、その中で議論をすることにより、より議論が深まるように感じました。

本書で紹介されている、大屋雄裕(慶應義塾大学教授)のトラストについての異なる3つの側面についての指摘


① 対象真正性:本人・本物であるか?
② 内容真実性:内容が事実・真実であるか?
③ 予想・対応可能性:対象の振る舞いに対して想定・対応できるか?


は興味深いです。

 

ちなみに、山岸俊男先生の分類を自分なりに整理したのが次の図です。。。

・[PPT]

20220307-53226

 

これから重要な分野なので、定義の整理もしながら各個別テーマの議論も深まっていけばよいかと思いました。

あと、監査もトラストには重要なテーマの一つになるので、議論に加わるとよいと思いました。

 

 

| | Comments (0)

2021.12.25

書籍紹介 シン・経済安保

こんにちは、丸山満彦です。

弁護士3名(高橋郁夫先生、近藤剛先生、丸山修平先生)による経済安全保障の入門書です。経済安全保障の説明も、安全保障の話から進めていて(と言っても詳細すぎない)、入門書としてわかりやすいです。

● 日経BP

シン・経済安保

米国、欧州、英国、中国、日本等を法律を踏まえて比較している部分もあり、参考になります。弁護士が法律を踏まえて説明をしているので、浮いた話ではなく地に着いた話となっていて、安心して読める内容となっていますね。。。

目次は、


第1部 LINE事件と経済安全保障
 第1章 LINE事件は何が問題だったのか?
 第2章 経済安全保障とは何か?

第2部 新しい経済安全保障の実態
 第3章 重要技術

第3部 新しい経済安全保障のリスクとその対応
 第4章 リスク管理体制と評価方法 
 第5章 リスク1「重要技術の輸出」
 第6章 リスク2「サイバーセキュリティー」
 第7章 リスク3「営業秘密不正取得」
 第8章 リスク4「データの保存場所」
 第9章 リスク5「重要インフラ産業の業務阻害」
 第10章 リスク6「サプライチェーン」

Appendix 対内投資リスク
 第11章 リスク7「対内直接投資による企業支配」
 第12章 リスク8「土地・建物への対内直接投資による安全保障」


 

Kindleでは2022.01.01から読めるようになっているようですので、正月休みにでも読まれたらどうかと思います。

Amazon

シン・経済安保 (kindle)

 

Fig1_20211225145201

 

| | Comments (0)

2021.12.07

日本企業のセキュリティの状況の調査 PwC 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換

こんにちは、丸山満彦です。

PwCジャパンが日本企業のセキュリティの状況の調査をしています。。。

 

● PwC Japan

・2021.12.07 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換


日本のセキュリティリーダーを対象に実施した2021年のCyber IQ調査では、セキュリティ戦略・計画、体制、投資、サプライチェーン、脅威インテリジェンス、プライバシーなどの分野に関して、現在と3年後について実態を探りました。


という話です。。。

NTTのCISOの横浜執行役員、MS&ADの松田部長、経済産業省サイバーセキュリティ課の奥田課長等のコメントも興味深いです。。。

 


「機先を制する」ためには、テクニカル、ノンテクニカルの両方の情報をベースにし、いずれ求められることを先読みし「ready」にしておくということが求められるのではないでしょうか。レベルを一段あげるわけですから、当然投資やリソースが必要になります。経営の意思がないとできません。リーダーがどれだけ引っ張っていけるかが鍵を握るでしょう。

横浜 信一 氏NTT執行役員 Chief Information Security Officer セキュリティ・アンド・トラスト室長
...

経営層は攻撃者の狙いを把握し、「自社にとっての脅威は何か」を見極め、予算の配分や対策の最終的な判断を実施しなければなりません。セキュリティ担当者は、経営層が攻撃ターゲットの違いや脅威トレンドの変化を理解し、「どこにどれだけの予算を配分するか、どのような対策を講じるか」を判断できる情報を提供する必要があると考えます。

松澤 寿典 氏MS&ADインシュアランスグループホールディングス データマネジメント部長/三井住友海上 データマネジメント部長
...

技術的な観点からサイバー脅威を解説し、どのような対策を講じるべきか注意喚起を促す情報は多く存在します。しかし、経営者が知りたいのは、サイバー攻撃の手法や技術的な詳細ではありません。経営者にとって重要なのは、サイバー脅威が自社のビジネス継続性や信用、知的財産に対してどの程度のダメージを与え、どう対応するかなのです。

奥田 修司 氏経済産業省 商務情報政策局 サイバーセキュリティ課長

 

参考になるところがあると思います。。。

・[PDF]  

20211207-173738

 

目次はこんな感じ...

はじめに

1. 日本企業のサイバーセキュリティを取り巻く変化の潮流
 デジタル化されたビジネスとITのサプライチェーンのつながり
 コロナをきっかけに加速したゼロトラスト
 「多重恐喝型のランサムウェア」の台頭
 成熟化するサイバー攻撃ビジネス
 レジリエンス志向が進むも道半ば

2. 機先を制するセキュリティへの転換
 機先を制するセキュリティの実現に向けた具体的なアクション
 先進企業インタビュー

3. 2021年 日本企業セキュリティ実態

おわりに

 


| | Comments (0)

2021.10.06

愛知県警 大学生による小学生むけサイバー防犯教室

こんにちは、丸山満彦です。

愛知県警のサイバー犯罪対策課が、金城学院大学と名古屋学院大学の学生のよる、小学生向けのインターネット上の犯罪に巻き込まれるのを防ぐためのオンライン防犯教室を開催したようですね。。。

日刊警察

・2021.10.06 愛知県警で大学生サイバーボランティアによる防犯教室を開催

 

なお、私のおすすめは、

愛知県警サイバーポリスゲームのウェブページです。

サイバーポリスゲームは、小学校5・6年生を対象としたインターネット犯罪への対処方法を学ぶためのゲーム形式の教材です。

社会生活にインターネットが不可欠になりつつあり、子供がインターネットに接すること当たり前となっています。

インターネットに関わる危険は

  1. 親が子供のころに学んだ経験がないことから、知識が不十分で、親が適切な教育ができない

  2. 物理的に直接的に危険が及ぶのではなく、間接的に(時間が経過したのち)物理的な被害がでたり、精神的な被害であったりするので、親も本人も過去事例に照らした適切な対処ができない。

といった課題があるのだろうと思っています。

そういう穴をうめるために、

  1. 専門家が関与して、

  2. ゲーム形式を通じた身近な問題として捉えることのできる

愛知県警の取り組みについては、大変意義があることなのだろうと思います。

日本の多くの方に是非活用していただきたいと感じました。また、英語や中国語などの言語に翻訳をして、世界に発信していければさらによいのだろうと感じました。

 

● 愛知県警

・2019.02.08 サイバーポリスゲーム

20211006-151105

作成:愛知県警察本部サイバー犯罪対策課

協力:岡崎女子大学花田講師、愛知県教育委員会

とのことです。。。

 

 

| | Comments (0)

2021.10.05

米国・EU 10月はサイバーセキュリティ(意識向上)月間

こんにちは、丸山満彦です。

10月は、米国ではサイバーセキュリティ意識向上月間、EUではEUサイバーセキュリティ月間になっていますね。。。

米国は大統領が宣言 (proclamation) していますね。。。

米国のテーマは、"Do Your Part.  Be Cyber Smart "

Fig1_20211005061801

米国

Fig1_20210802074601

The White House

・2021.09.30 A Proclamation on Cybersecurity Awareness Month, 2021

A Proclamation on Cybersecurity Awareness Month, 2021 2021年「サイバーセキュリティ意識向上月間」に関する宣言
Our Nation is under a constant and ever-increasing threat from malicious cyber actors.  Ransomware attacks have disrupted hospitals, schools, police departments, fuel pipelines, food suppliers, and small businesses — delaying essential services and putting the lives and livelihoods of Americans at risk.  Any disruption, corruption, or dysfunction of our vital infrastructure can have a debilitating effect on national and economic security, public health, and our everyday safety.  わが国は、悪意のあるサイバー攻撃者からの絶え間ない、そして増え続ける脅威にさらされています。  ランサムウェアの攻撃により、病院、学校、警察、燃料パイプライン、食料供給業者、中小企業などが混乱し、必要なサービスが滞り、アメリカ人の命と生活が危険にさらされています。  重要なインフラが破壊されたり、破損したり、機能不全に陥ったりすると、国家や経済の安全保障、公衆衛生、そして私たちの日常の安全に衰弱をもたらします。 
Since its inception, Cybersecurity Awareness Month has elevated the central role that cybersecurity plays in our national security and economy.  This Cybersecurity Awareness Month, we recommit to doing our part to secure and protect our internet-connected devices, technology, and networks from cyber threats at work, home, school, and anywhere else we connect online.  I encourage all Americans to responsibly protect their sensitive data and improve their cybersecurity awareness by embracing this year’s theme:  “Do Your Part.  Be Cyber Smart.” サイバーセキュリティ意識向上月間は、その開始以来、サイバーセキュリティが国家の安全保障と経済において果たす中心的な役割を高めてきました。  今年のサイバーセキュリティ意識向上月間では、職場、家庭、学校、その他オンラインに接続するあらゆる場所で、インターネットに接続された機器、テクノロジー、ネットワークをサイバー脅威から守り、保護するために、自らの役割を果たすことを決意します。  私は、すべての米国人に、今年のテーマに沿って、責任を持って機密データを保護し、サイバーセキュリティに対する意識を高めることをお勧めします。  今年のテーマである "Do Your Part.  Be Cyber Smart "です。
My Administration has worked to bolster the defense of our systems and protect the Federal Government’s information and communications infrastructure.  Earlier this year, I signed an Executive Order to modernize and improve the security of our technology, including areas like software security, information sharing, and Federal network modernization.  The Executive Order also directs the Federal Government to only acquire products that meet strong cybersecurity standards — which, by spurring technology companies to raise the bar, will ultimately improve the security of those products for all Americans.   私の政権は、システムの防衛力を強化し、連邦政府の情報通信インフラを保護するために取り組んできました。  今年初め、私は、ソフトウェアセキュリティ、情報共有、連邦ネットワークの近代化などの分野を含む、テクノロジーのセキュリティを近代化し、改善するための大統領令に署名しました。  この大統領令は、連邦政府に対し、強力なサイバーセキュリティ基準を満たした製品のみを購入するよう指示しています。これにより、テクノロジー企業のレベルアップに拍車がかかり、最終的にはすべてのアメリカ人のために製品のセキュリティを向上させることができるのです。 
The reality is that most of our Nation’s critical infrastructure — from transportation lines to energy suppliers to other vital fields — is owned and operated by the private sector.  Therefore, the security of our critical infrastructure depends on Federal, State, local, Tribal, and territorial coordination with infrastructure owners and operators to achieve greater strength and security.  My Administration is working in close coordination with the private sector.  Earlier this year, we began to establish strong cybersecurity goals that outline our expectations for owners and operators of America’s critical infrastructure.  We also launched a 100‑day initiative to improve cybersecurity across the electric sector.  That initiative has already resulted in more than 150 utilities that serve 90 million Americans deploying or committing to deploy cybersecurity technology — and we are now in the process of extending that initiative to gas pipelines.  My Administration is also working with the international community to elevate the profile of cybersecurity as a matter of global security interest.  現実には、交通機関からエネルギー供給会社、その他の重要な分野に至るまで、わが国の重要インフラのほとんどは民間企業が所有・運営しています。  したがって、重要インフラの安全性は、インフラの所有者や運営者と連邦、州、地方、部族、地域が連携して、より高い強度と安全性を実現することにかかっています。  私の政権は、民間企業との緊密な連携を図っています。  今年初めには、米国の重要インフラの所有者や運営者に期待することをまとめた強力なサイバーセキュリティ目標の策定に着手しました。  また、電気事業者全体のサイバーセキュリティを向上させるために、100日間の取り組みを開始しました。  この取り組みにより、9,000万人の国民にサービスを提供している150社以上の電力会社がサイバーセキュリティ技術を導入、または導入を約束しており、現在、この取り組みをガスパイプラインにも拡大しているところです。  私の政権は、国際社会と協力して、サイバーセキュリティを世界的な安全保障上の関心事として注目しています。 
We recently convened a meeting with corporate, nonprofit, and educational leaders on how to protect their industries and our infrastructure.  We are working closely with the private sector to share information, strengthen cybersecurity practices, and deploy technologies that increase resilience against cyberattacks.  My Administration has also launched StopRansomware.gov to provide a one-stop resource for Americans to learn how to avoid ransomware and the steps to take if their computer becomes compromised.  先日、企業、非営利団体、教育機関のリーダーを集めて、それぞれの業界とインフラを守る方法についての会議を開催しました。  私たちは民間企業と緊密に連携し、情報を共有し、サイバーセキュリティ対策を強化し、サイバー攻撃への耐性を高める技術を導入しています。  また、私の政権は、ランサムウェアの回避方法やコンピュータが危険にさらされた場合の対処法などをワンストップで提供するウェブを立ち上げました。 
During Cybersecurity Awareness Month, I ask everyone to “Do Your Part.  Be Cyber Smart.”  All Americans can help increase awareness on cybersecurity best practices to reduce cyber risks.  Whether you are at home, school, or the office — a few simple steps can help keep you and your online data safe and secure.  By limiting the amount of personal information shared online, regularly updating devices and software, and using complex passwords and multifactor authentication methods, our entire Nation will be more resilient against the constant threat of malicious cyber actors.  サイバーセキュリティ意識向上月間において、私は皆様に「Do Your Part, Be Cyber Smart」をお願いします。 すべてのアメリカ人は、サイバーリスクを軽減するために、サイバーセキュリティのベストプラクティスに対する認識を高めることができます。家でも学校でもオフィスでも、いくつかの簡単なステップを踏むだけで、あなたとあなたのオンラインデータを安全かつセキュアに保つことができます。オンラインで共有する個人情報の量を制限し、機器やソフトウェアを定期的にアップデートし、複雑なパスワードや多要素認証方法を使用することで、悪意あるサイバーアクターの絶え間ない脅威から国民全体がより強く守られるようになります。 
NOW, THEREFORE, I, JOSEPH R. BIDEN JR., President of the United States of America, by virtue of the authority vested in me by the Constitution and the laws of the United States, do hereby proclaim October 2021 as Cybersecurity Awareness Month.  Through events, training, and education, I call upon the people, businesses, and institutions of the United States to recognize the importance of cybersecurity, to take action to better protect yourselves against cyber threats, and to observe Cybersecurity Awareness Month in support of our national security and resilience. さて、アメリカ合衆国大統領である私、ジョセフ・R・バイデン・JRは、憲法およびアメリカ合衆国の法律によって私に与えられた権限により、ここに2021年10月を「サイバーセキュリティ意識向上月間」と宣言します。  私は、イベント、トレーニング、教育を通じて、米国の国民、企業、機関に対し、サイバーセキュリティの重要性を認識し、サイバー脅威から自らをよりよく守るために行動し、国家の安全と回復力を支えるためにサイバーセキュリティ意識向上月間を遵守することを呼びかける。
IN WITNESS WHEREOF, I have hereunto set my hand this thirtieth day of September, in the year of our Lord two thousand twenty-one, and of the Independence of the United States of America the two hundred and forty-sixth. その証拠に、私は、我々の主の年2021年、アメリカ合衆国の独立の年から246年目の9月30日にここに手を置いた。
JOSEPH R. BIDEN JR. ジョセフ・R・バイデン・Jr.

 

・2021.10.01 Statement by President Joe Biden on Cybersecurity Awareness Month

Statement by President Joe Biden on Cybersecurity Awareness Month サイバーセキュリティ意識向上月間におけるジョー・バイデン大統領の声明
1-Oct-21 1-Oct-21
STATEMENTS AND RELEASES 声明および発表
Cyber threats can affect every American, every business regardless of size, and every community. That’s why my administration is marshalling a whole-of-nation effort to confront cyber threats. サイバー脅威は、すべてのアメリカ人、規模にかかわらずすべての企業、そしてすべてのコミュニティに影響を与える可能性があります。そのため、私の政権は、サイバー脅威に立ち向かうために、国を挙げての取り組みを行っています。
I am committed to strengthening our cybersecurity by hardening our critical infrastructure against cyberattacks, disrupting ransomware networks, working to establish and promote clear rules of the road for all nations in cyberspace, and making clear we will hold accountable those that threaten our security. In May, I issued an executive order to modernize our defenses and position the Federal government to lead, rather than lag, in its own cybersecurity. By using the power of Federal technology spending, we are improving the software available for use to all Americans. Our 100-day action plan to improve cybersecurity across the electricity sector has already resulted in more than 150 utilities serving 90 million Americans committing to deploy cybersecurity technologies, and we are working to deploy action plans for additional critical infrastructure sectors. Both the public and private sectors have a role to play in strengthening cybersecurity, which is why we also issued a National Security Memorandum outlining the cybersecurity practices that responsible owners and operators of critical infrastructure should put in place and brought together leading American executives to expand public-private cooperation on cybersecurity. 私は、重要インフラをサイバー攻撃から守り、ランサムウェアのネットワークを破壊し、サイバー空間におけるすべての国のために明確なルールを確立して推進し、私たちの安全保障を脅かす者に責任を取らせることを明確にすることで、サイバーセキュリティの強化に取り組んでいます。5月、私は、連邦政府が自らのサイバーセキュリティにおいて遅れをとるのではなく、主導権を握れるよう、防衛力を近代化するための大統領令を出しました。私たちは、連邦政府の技術支出を活用して、すべてのアメリカ人が利用できるソフトウェアを改善しています。電力セクター全体のサイバーセキュリティを向上させるための100日行動計画では、すでに9,000万人のアメリカ人にサービスを提供している150以上の電力会社がサイバーセキュリティ技術の導入を約束しており、さらに重要なインフラ部門への行動計画の展開を進めています。サイバーセキュリティの強化には、官民ともに役割があります。そのため、重要インフラの責任ある所有者や運営者が実施すべきサイバーセキュリティ対策をまとめた「国家安全保障メモランダム」を発行し、サイバーセキュリティに関する官民協力を拡大するために、米国の主要な経営者を集めました。
We are also partnering closely with nations around the world on these shared threats, including our NATO allies and G7 partners. This month, the United States will bring together 30 countries to accelerate our cooperation in combatting cybercrime, improving law enforcement collaboration, stemming the illicit use of cryptocurrency, and engaging on these issues diplomatically. We are building a coalition of nations to advocate for and invest in trusted 5G technology and to better secure our supply chains. And, we are bringing the full strength of our capabilities to disrupt malicious cyber activity, including managing both the risks and opportunities of emerging technologies like quantum computing and artificial intelligence. The Federal government needs the partnership of every American and every American company in these efforts. We must lock our digital doors — by encrypting our data and using multifactor authentication, for example—and we must build technology securely by design, enabling consumers to understand the risks in the technologies they buy. Because people – from those who build technology to those to deploy technology – are at the heart of our success. また、NATOの同盟国やG7のパートナーなど、世界各国と緊密に連携して、これらの共通の脅威に対処しています。今月、米国は30カ国を集め、サイバー犯罪との戦い、法執行機関の協力体制の改善、暗号通貨の不正使用の阻止、そしてこれらの問題への外交的関与における協力を加速させます。私たちは、信頼できる5G技術を提唱し、投資を行い、サプライチェーンの安全性を高めるために、各国の連合体を構築しています。また、悪意のあるサイバー活動を阻止するために、量子コンピューティングや人工知能などの新技術のリスクとチャンスの両方を管理するなど、我々の能力を最大限に発揮しています。連邦政府は、これらの取り組みにおいて、すべてのアメリカ人とすべてのアメリカ企業の協力を必要としています。私たちは、データを暗号化し、多要素認証を使用するなどして、デジタルドアに鍵をかけなければなりません。また、消費者が購入する技術のリスクを理解できるように、設計によって技術を安全に構築しなければなりません。そして、テクノロジーを安全に構築し、消費者がテクノロジーのリスクを理解できるようにしなければなりません。
This October, even as we recognize how much work remains to be done and that maintaining strong cybersecurity practices is ongoing work, I am confident that the advancements we have put in place during the first months of my Administration will enable us to build back better – modernizing our defenses and securing the technology on which our enduring prosperity and our security rely. 今年の10月、やるべきことがたくさんあり、強固なサイバーセキュリティを維持することは継続的な作業であることを認識しながらも、私は、政権発足後の数ヶ月間に実施した進歩により、私たちはより良いものを作り直すことができ、私たちの永続的な繁栄と安全保障が依存する防御の近代化と技術の確保ができると確信しています。

 

Cybersecurity and Infrastructure Security Agency

CYBERSECURITY AWARENESS MONTH

・2021.10.01 (press) CISA KICKS OFF CYBERSECURITY AWARENESS MONTH

National Cyber Security Alliance

Cybersecurity Awareness Month

・2021.10.01 (press) National Cyber Security Alliance Kicks Off 18th Annual Cybersecurity Awareness Month

・2021.09.22 CYBERSECURITY AWARENESS MONTH 2021: AN EXPERT’S ADVOCACY GUIDE

・Twitter #BeCyberSmart

 

欧州

● European Cybersecurity Month

 

ENISA

・2021.09.30 Uniting to raise awareness on Cyber Threats: European Cybersecurity Month 2021

 

Twitter のハッシュタグ

#CyberSecMonth



| | Comments (0)

2021.06.14

U.S. Rand研究所 対米を意識した中国の国際戦略と防衛戦略の分析

こんにちは、丸山満彦です。

U.S. Rand研究所が対米を意識した中国の国際戦略と防衛戦略の分析に関するレポートを公表していますね。。。新興国に対するサポートの話もありますね。。。

RAND Corporation

・2021.06 China's Quest for Global Primacy by Timothy R. Heath, Derek Grossman, Asha Clark

An Analysis of Chinese International and Defense Strategies to Outcompete the United States

 

China's Quest for Global Primacy 中国のグローバル・プライオリティーの探求
An Analysis of Chinese International and Defense Strategies to Outcompete the United States 米国を凌駕する中国の国際・防衛戦略の分析
Focusing on the international and defense dimensions of U.S.-China competition, the authors of this report make three contributions. First, they intend this report to serve as a planning tool by positing international and defense strategies that could allow China to outcompete the United States. Second, they mean to educate readers on Chinese strategy and policy processes. Third, the authors seek to encourage greater public debate about the nature and stakes of the competition. 本報告書の著者は、米中競争の国際的・防衛的側面に焦点を当て、3つの貢献をしています。第1に、中国が米国を凌駕するための国際・防衛戦略を提示することで、本報告書が計画ツールとしての役割を果たすことを意図しています。第2に、中国の戦略と政策プロセスについて読者を啓発することです。第3に、この競争の性質と利害関係について、国民の議論を深めることを目指しています。
As presented by the authors, China's international strategy aims to establish the country's primacy in the Asia-Pacific region and leadership of the international order. The international strategy presented seeks to achieve this end state through peaceful methods, although it does not rule out the possibilities of militarized crises or even conflicts of a limited scope, such as proxy wars. The core of the proposed international strategy is a reliance on China's economic prowess and diplomatic maneuver to put Beijing into a position of advantage from which it cannot be dislodged by the United States. A complementary defense strategy would aim to constrain Washington's ability to forestall or prevent its own eclipse by building a superior Chinese military that renders the risks of military conflict intolerably high. A major Chinese military responsibility would be to support diplomatic efforts to shape a favorable international environment by building strong security ties with client states and discrediting or weakening the appeal of the United States as an alternative. 中国の国際戦略は、アジア太平洋地域における中国の優位性を確立し、国際秩序の主導権を握ることを目的としています。提示された国際戦略は、平和的な方法でこの最終状態を達成しようとするものであるが、軍事化された危機や、代理戦争のような限定された範囲の紛争の可能性も排除していません。提案されている国際戦略の核心は、中国の経済力と外交力に依存して、米国に排除されない有利な立場に中国を置くことです。補足的な防衛戦略は、軍事衝突のリスクが耐えられないほど高くなるような優れた中国の軍事力を構築することで、ワシントンが自らの衰退を回避または防止する能力を制限することを目的としています。中国の主要な軍事的責任は、クライアント国との強固な安全保障関係を構築し、代替手段としての米国の信用を失墜させたり、その魅力を弱めたりすることで、良好な国際環境を形成するための外交的努力を支援することでしょう。
Key Findings 主な見解
Chinese authorities acknowledge the inevitability of competition but reject the notion that conflict is inevitable. 中国当局は、競争が避けられないことは認めていますが、紛争が避けられないという考えは持っていません。
China's international strategy aims to establish the country's primacy in the Asia-Pacific region and to establish Chinese leadership of the international order. 中国の国際戦略は、アジア太平洋地域における自国の優位性を確立し、国際秩序における中国のリーダーシップを確立することを目的としています。
China's international leadership would bear little resemblance to the forms exercised by previous global leaders; exercising a partial global hegemony centered principally on Eurasia, the Middle East, and Africa, Chinese international leadership would be characterized by a reliance on finance, diplomatic engagement, and security assistance to exercise influence while maintaining a modest overseas military presence. 中国の国際的なリーダーシップは、これまでのグローバルリーダーが行使してきた形態とはほとんど似ておらず、主にユーラシア、中東、アフリカを中心とした部分的な世界的覇権を行使し、海外での軍事的プレゼンスを適度に維持しながら、影響力を行使するために金融、外交的関与、安全保障支援に依存することを特徴としています。
China's standard for successful competition with the United States entails the following conditions by midcentury: (1) War with the United States is avoided, although this does not exclude the possibility of militarized crises or conflicts of a limited scope; (2) the United States respects China's authority as the global leader; (3) the United States largely refrains from harming Chinese interests; (4) China has established primacy across much of Eurasia, the Middle East, and Africa; (5) U.S. primacy has been reduced to the Americas; (6) the United States and China manage their differences according to norms upheld by China; and (7) the two cooperate on shared concerns on terms defined largely by the Chinese. 中国が米国との競争に成功するための基準は、今世紀半ばまでに以下の条件を満たすことです。(1)軍国主義的な危機や限定的な範囲の紛争の可能性は排除されないものの米国との戦争は回避する、(2) 米国が世界のリーダーとしての中国の権威を尊重する、(3) 米国が中国の利益を害することをほぼ避ける、(4) 中国はユーラシア大陸、中東、アフリカの大部分で優位性を確立する、 (5) 米国の優位性は南北アメリカに縮小する、(6) 米国と中国は、中国が支持する規範に従って互いの違いを管理している、(7) 共通の関心事について、主に中国側が定めた条件で協力する。

The consequences of Chinese success in strategic competition could be severe for the United States. Poorly positioned to unseat China or easily reverse its own flagging fortunes, the United States could face dwindling economic prospects, international marginalization, and a diminishing ability to shape global affairs. 中国が戦略的競争に成功した場合、米国にとって厳しい結果となる可能性があります。中国を打ち負かすことも、低迷する米国の運命を容易に逆転することもできないまま、米国は経済的展望の低下、国際的な疎外感、世界情勢を形成する能力の低下に直面することになるかもしれません。
Recommendations 提言
More attention may need to be paid to the many creative ways in which Beijing could direct military action to gain positional advantages in a long-term competition. 北京が長期的な競争の中で地位的優位性を得るために軍事行動を指示する多くの創造的な方法に、もっと注意を払う必要があるでしょう。
U.S. policy should aim to weaken the force of Chinese criticisms by demonstrating responsive, effective U.S. leadership, thereby reducing the incentive for other countries to back Beijing's efforts to renovate international organizations in ways that harm U.S. interests. 米国の政策は、迅速かつ効果的な米国のリーダーシップを示すことにより、中国の批判の力を弱めることを目指すべきであり、それにより、米国の利益を損なう形で国際組織を改革しようとする北京の努力を他国が支持する動機を減少させることができます。
The U.S. Department of Defense may need to maintain a significant presence in the Middle East as a means of bolstering the U.S. position in the Indo-Pacific. 米国防総省は、インド太平洋地域における米国の地位を強化する手段として、中東で重要なプレゼンスを維持する必要があるでしょう。
Closer coordination between competitive strategies, both within and outside the Indo-Pacific, will become even more essential. また、インド太平洋の内外を問わず、競争力のある戦略間の緊密な連携がより重要になってくるでしょう。
Strengthening U.S. conventional capabilities and investing in a technologically advanced future force remain critical tasks, but military diplomacy may grow in importance. 米国の通常戦力を強化し、技術的に優れた将来の戦力に投資することは依然として重要な課題であるが、軍事外交の重要性が増す可能性もあります。
As the competition intensifies, U.S. military planners may need to expand the portfolio of possible contingencies involving China beyond such traditional hotspots as Taiwan. 競争が激化するにつれ、米国の軍事計画担当者は、中国が関与する可能性のある事態のポートフォリオを、台湾などの伝統的なホットスポット以外にも拡大する必要があるでしょう。
The appeal and feasibility of Chinese military efforts to resolve longstanding issues, such as Taiwan, may need to be reexamined through the lens of the broader competition. 台湾のような長年の問題を解決するための中国の軍事的努力の魅力と実現可能性は、より広範な競争のレンズを通して再検討される必要があるでしょう。
The development of a strategy that includes some degree of reassurance and cooperation could help stabilize the competition and reduce risks of miscalculation and dangerous incidents. ある程度の安心感と協力を含む戦略を策定することは、競争を安定させ、誤算や危険な事件のリスクを減らすのに役立つでしょう。
To maximize deterrence and the protection of U.S. interests, the defense and foreign policy dimensions of any U.S. competitive strategy may need to be even more closely coordinated. 抑止力と米国の利益の保護を最大化するためには、米国の競争戦略における国防と外交の側面をより緊密に連携させる必要があるかもしれません。

 

・[PDF]

20210614-132800

 

Preface 序文
Figure and Tables 図と表
Summary まとめ
Acknowledgments 謝辞
Abbreviations 略語
CHAPTER ONE 第1章
Introduction はじめに
Sources and Research Approach 情報源とリサーチアプローチ
CHAPTER TWO 第2章
Context: Strategy, Frameworks, and Processes for Achieving the China Dream コンテクスト:「中国の夢」を実現するための戦略、フレームワーク、プロセス
Policy Processes 政策プロセス
Trend Analysis and Theoretical Interpretation: Pursuing the China Dream トレンド分析と理論的解釈 「中国の夢」の実現に向けて
Framework for Development Strategy 開発戦略のフレームワーク
The End State: China Dream 最終形:「中国の夢」
CHAPTER THREE 第3章
Context: International Framework, End State, and Directives コンテクスト:国際的な枠組み、最終目的、および指示
General Framework for Foreign Relations 外交関係の一般的な枠組み
International End State: China as Preeminent Power 国際的な最終状態 卓越したパワーとしての中国
Directives: International Strategy Through 2035 指針:2035年までの国際戦略
CHAPTER FOUR 第4章
Context: Defense Framework, End State, and Directives コンテキスト:国防の枠組み、最終目的地、指示書
Defining China’s “Defense Strategy” 中国の「防衛戦略」の定義
Threat Assessment 脅威の評価
Framework for Defense Strategy 国防戦略の枠組み
China’s Defense Strategy End State 中国の国防戦略の最終状態
Directives: Strategy Through 2035 . 69 指示書: 2035年までの戦略
CHAPTER FIVE 第5章
Chinese Perspectives on Competition with the United States 中国の対米競争の視点
Chinese Perspective: Structural Drivers of U.S. Competition 中国の視点:米国の競争の構造的要因
Regional and Global Competition 地域およびグローバルな競争
CHAPTER SIX 第6章
China’s Desired End States for U.S. Competition 中国が望む米国との競争の最終状態
Bilateral End State: China as the Superior Power 二国間の最終状態:優れたパワーとしての中国
Chinese Foreign Policy End State for Successful U.S. Competition 中国の外交政策における米国との競争の成功の最終状態
China’s U.S. Competition Strategy: Defense End States 中国の米国の競争戦略 防衛の最終状態
CHAPTER SEVEN 第7章
China’s International Strategy for U.S. Competition 中国の米国との競争における国際戦略
Major Powers 大国
China’s Periphery 中国の周縁部
Developing World 発展途上国
Multilateral Organizations 多国間組織
Domains of Global Governance グローバル・ガバナンスの領域
CHAPTER EIGHT 第8章
China’s Defense Strategy for U.S. Competition 米国との競争における中国の防衛戦略
PLA Missions in the U.S. Competition 米国との競争における中国人民軍の任務
Chinese Directives Regarding Force Development and Employment in the U.S. Competition 米国との競争における中国の部隊開発および雇用に関する指令
CHAPTER NINE 第9章
Vulnerabilities in China’s Approach to U.S. Strategic Competition 米国の戦略的競争に対する中国のアプローチの脆弱性
Domestic Vulnerabilities 国内の脆弱性
Vulnerabilities in International Strategy 国際戦略における脆弱性
Defense Strategy Vulnerabilities 防衛戦略の脆弱性
CHAPTER TEN 第10章
Conclusions and Implications 結論と示唆
Implications インプリケーション
APPENDIX 附属書
Sample Subobjectives for the International Dimension of China’s Strategy for U.S. Competition 中国の対米競争戦略の国際的側面に関するサブオブジェクティブの例
References 参考文献

 

・Summaryだけ
[DOCX] 仮訳

 

 

| | Comments (0)

2021.04.12

宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

こんにちは、丸山満彦です。

スイスのThe Center for Security Studies at ETH Zürichが宇宙経済のサイバー防御に関する論文を掲載しています。ちょうど、宇宙サイバーに関するサブワーキングのメンバーでもあるので、勉強がてら読んでみました。。。

● ETH Zürich

・2021.01.07 Terra Calling: Defending and Securing the Space Economy

This report aims to provide a deeper understanding of the fundamental cybersecurity and -​defense challenges pertaining to the space economy. It outlines the broad contours of what constitutes the space economy and takes a closer look at the problems on the terrestrial surface, space-​​based assets, and the area of up- and downlinks. Furthermore, this report dives into two case studies pertaining to NASA and the European global navigation satellite system Galileo, and disentangles the cyber threat landscape by examining public reporting on the most referenced satellite hacking incidents in terms of its veracity and fact-​​based representation. Finally, it provides several recommendations for the Swiss government and a brief horizon scan highlighting three future trends. 本報告書は、宇宙経済に関わるサイバーセキュリティおよび防衛の基本的な課題について、より深い理解を得ることを目的としています。本レポートは、宇宙経済に関わるサイバーセキュリティおよび防衛の基本的な課題について理解を深めることを目的としており、宇宙経済を構成する大枠を説明した上で、地表の問題、宇宙ベースの資産、アップリンクおよびダウンリンクの領域について詳しく説明しています。さらに、NASAと欧州の全地球測位衛星システム「ガリレオ」に関する2つのケーススタディを紹介するとともに、最もよく知られている衛星ハッキング事件に関する一般の報道を、その真実性と事実に基づく表現の観点から検証することで、サイバー脅威の現状を明らかにしています。最後に、スイス政府へのいくつかの提言と、将来の3つのトレンドに焦点を当てた簡単な地平線スキャンを行っています。

 

・[PDF] CYBERDEFENSE REPORT - Terra Calling: Defending and Securing the Space Economy - From Science to Fiction and Back to Reality

20210412-15824

Executive Summary エグゼクティブ・サマリー
With the growing importance of the space domain and the increasing activities in space by both nation-state actors and private sector entities, the question as to the state of cybersecurity and -defense in the space economy is a pressing one. While many other reports have been written on the topic, this study provides the reader with an elemental baseline that seeks to be both holistic and detailed, and endeavors to rectify many persisting misconceptions and outright false information that has been pervading the discussion on cybersecurity and the space economy. 宇宙領域の重要性が増し、国家や民間企業による宇宙での活動が活発化する中、宇宙経済におけるサイバーセキュリティと防衛のあり方は喫緊の課題となっています。このテーマについては他にも多くのレポートが書かれているが、本研究では、全体的かつ詳細であることを目指した基本的なベースラインを読者に提供し、サイバーセキュリティと宇宙経済に関する議論に蔓延している多くの根強い誤解や全くの虚偽の情報を正すことを目的としています。
Currently, there is no existing consensus on how the space economy ought to be defined. Section 1 tries to rectify that by outlining five parts that span multiple domains, multiple sectors, and multiple assets across the globe that make up the space economy. 現在、宇宙経済をどのように定義すべきか、既存のコンセンサスはありません。第 1 章では、宇宙経済を構成する複数の領域、複数のセクター、そして地球上の複数の資産にまたがる 5 つの部分について説明することで、この問題を解決しようとしています。
Section 1.1 subsequently outlines the still ongoing discussions in both the US and the EU on designating the space sector as its own critical infrastructure sector. In the US, the relatively new Space Information Sharing and Analysis Center (ISAC) has been pushing the issue, while in the EU, the European Commission is currently again in the process of trying to create pan-EU critical infrastructure sector designations – after two previous unsuccessful attempts to do so in 2006 and 2013. 第 1.1 章では、宇宙分野を独自の重要インフラ分野として指定することについて、米国と EU で現在進行中の議論について説明しています。米国では、比較的新しい宇宙情報共有分析センター(ISAC)がこの問題を推進しており、EU では、欧州委員会が、2006 年と 2013 年に失敗した EU 全体の重要インフラ部門の指定を再び試みています。
Section 1.2 focuses on terrestrial assets and geo-dispersion by taking a closer look at OneWeb’s infrastructure as an example for commercial entanglement. The study argues that when it comes to intelligence collection, nation-state adversaries will preferably sit in any of OneWeb’s data centers or hook into national satellite network portals (SNPs) rather than try to infiltrate a satellite operation center. Similarly, if satellite destruction or collision is the aim, then targeting any other company or institution whose assets are not globally entangled with multiple governments would be more desirable. In regard to the military realm, the study highlights the example of Automatic Dependent Surveillance – Broadcast (ADS-B). Concluding that, while the system can be jammed and spoofed, the risk of exploitation can be minimized to such an extent that its vulnerabilities become almost irrelevant. The study thus notes the need for both military and civilian operators to manage and explain varying risks to a public flooded with breaking news stories and heightened cybersecurity concerns. 第 1.2 章では、商業的な絡み合いの例として、OneWeb のインフラを詳しく見ながら、地上の資産と地理的な分散に焦点を当てています。この研究では、情報収集に関しては、国家の敵対者は、衛星運用センターに侵入するよりも、OneWeb のデータセンターに居座ったり、各国の衛星ネットワークポータル(SNP)に接続したりすることを好むだろうとしています。同様に、衛星の破壊や衝突が目的であれば、複数の政府とグローバルに絡み合っていない資産を持つ他の企業や機関をターゲットにする方が望ましいでしょう。また、軍事分野では、ADS-B(Automatic Dependent Surveillance - Broadcast)を例に挙げています。その結果、ADS-B はジャミングやスプーフィングが可能なシステムではあるものの、その脆弱性がほとんど問題にならないほど、悪用されるリスクを最小限に抑えることができると結論づけています。この研究では、軍と民間の両方の事業者が、ニュース速報やサイバーセキュリティへの関心が高まる中、様々なリスクを管理し、国民に説明する必要があることを指摘しています。
On the subject of supply chains, the study notes that supply chain fragmentation is the norm in the space economy, as specialized manufacturers and alternative suppliers are few and far between. However, while there have been examples of APT intrusions into supplier, contractor, and major aeronautic company networks, most – if not all of them – are espionage related. The study also explains that adversarial nation states most likely face the same, if not more extensive supply chain risks – as the Iranians learned first-hand through the deployment of Stuxnet. One can only speculate to what degree adversarial space industry supply chains have been targeted in the past, and are compromised today, to for example enable pinpoint sabotage or facilitate continuous intelligence collection efforts. サプライチェーンに関しては、専門メーカーや代替サプライヤーが少ないため、宇宙経済ではサプライチェーンの断片化が常態化していると指摘しています。しかし、サプライヤー、コントラクター、大手航空会社のネットワークに APT が侵入した例はありますが、すべてではないにせよ、そのほとんどがスパイ活動に関連したものです。また、この研究では、敵対的な国家は、Stuxnet の展開を通じてイランが身をもって学んだように、広範囲ではないにしても、同じサプライチェーンリスクに直面している可能性が高いと説明しています。敵対する宇宙産業のサプライチェーンが過去にどの程度まで標的にされていたのか、そして現在も危険にさらされているのか、推測するしかありません。例えば、ピンポイントでの破壊工作を可能にしたり、継続的な情報収集活動を促進したりするために。
Section 1.3 focuses on space-based assets. It notes that particularly military satellite systems owned by Western nations are not always single-use or single-owned – and can pivot if necessary, to commercial satellite services to bridge short-term redundancy gaps. Adversaries who seek to disrupt or degrade specific satellite services will have a hard time to achieve persistent and tangible effects. A similar logic applies to commercial space assets given that service disruptions might create regional cascading effects that are undesirable, uncontrollable, and too public for an adversary’s risk appetite. 第 1.3 章では、宇宙ベースの資産に焦点を当てています。特に欧米諸国が保有する軍事衛星システムは、必ずしも単一用途・単一所有ではなく、必要に応じて商業衛星サービスに軸足を移し、短期的な冗長性のギャップを埋めることができることを指摘しています。特定の衛星サービスを妨害・劣化させようとする敵は、持続的かつ具体的な効果を得ることは難しいでしょう。同様の理屈が商業宇宙資産にも当てはまり、サービスの途絶は、望ましくない、制御不可能な、敵対者のリスク許容範囲を超えた地域的な連鎖効果を生み出す可能性があります。
On the subject of legacy systems, the study notes that there are different logics at play between commercial satellite operators and the military when it comes to satellite life spans. The latter prefers higher refresh rates, while the former is interested in long-term use. A potential solution to bridge this gap is to build hybrid satellite constellations that connect military and commercial satellites – which would also introduce a whole new cybersecurity dimension in space as satellite-to-satellite communications are rather rare. The study also explains the difference between operating systems on Earth and real-time operating systems used in space. This also includes the problem of patching vulnerabilities in space which is similar to the forever-day vulnerability problem in industrial control systems back on Earth. The study thus notes that the cybersecurity lessons learned in space are not very much different from the best practices on Earth. レガシーシステムに関しては、衛星の寿命に関して、商業衛星オペレーターと軍との間で異なる論理が存在することが指摘されています。後者はより高い更新を好み、一方の軍部は長期的な使用を重視しています。このギャップを埋めるためには、軍用衛星と商業衛星を接続するハイブリッド衛星コンステレーションを構築することが考えられますが、衛星間の通信がほとんど行われていない宇宙では、サイバーセキュリティの面でも全く新しい局面を迎えることになります。この研究では、地球上の OS と宇宙で使われるリアルタイム OS の違いについても説明しています。これには、宇宙における脆弱性のパッチ適用の問題も含まれています。これは、地上の産業用制御システムにおける永遠に続く脆弱性の問題に似ています。このように、宇宙で学ぶサイバーセキュリティの教訓は、地上でのベストプラクティスと大きな違いはないとしています。
In terms of the data colonization of space, i.e., the deployment of data centers in space, the study points out that while there are still major hurdles to their creation, a move toward mirroring Earth-based infrastructure in space is going to create synergies and overlaps that have long shielded space-based infrastructure from non-state adversaries. また、宇宙にデータセンターを設置する「宇宙データコロナイゼーション」については、その実現にはまだ大きなハードルがあるものの、地球上のインフラを宇宙に反映させることで、これまで宇宙のインフラが非国家的な敵から守られてきたこととの相乗効果や重複効果が期待できると指摘しています。
Section 1.4 explains the fundamentals of up- and downlinks and highlights that there is a major difference between intercepting unencrypted communications from an Iridium constellation satellite and conducting real-time packet injections into target communications as carried out at Menwith Hill Station. 第 1.4 章では、アップリンクとダウンリンクの基礎について説明し、イリジウム衛星からの暗号化されていない通信を傍受することと、メンウィズ・ヒル・ステーションで実施されたターゲットの通信にリアルタイムでパケットを注入することには大きな違いがあることを強調しています。
Section 2 discusses two case studies: NASA and Galileo. The NASA case study highlights that there are fundamental hurdles for cybersecurity progress that are not caused by technical problems but are induced by administrative and organizational shortcomings. Meanwhile, the Galileo case is an example of public communication failures and an opaque organizational structure that can exacerbate a severe IT problem. Both cases exemplify the difficulties of tackling cybersecurity in a highly bureaucratic and multi-stakeholder environment within the space economy. 第 2 章では、2 つのケーススタディについて説明します。NASA と Galileo です。NASA のケーススタディは、技術的な問題に起因するのではなく、管理的・組織的な欠点によって誘発されるサイバーセキュリティの進歩に対する根本的なハードルがあることを強調している。一方、ガリレオのケースは、公的なコミュニケーションの失敗と不透明な組織構造が、深刻なIT 問題を悪化させる例です。どちらのケースも、宇宙経済の中で、高度に官僚的で複数の利害関係者が存在する環境でサイバーセキュリティに取り組むことの難しさを例示しています。
Section 3 takes a closer look at five major cybersecurity incidents that have been widely cited and used in numerous research papers and conference talks on the topic of cybersecurity in space. The study calls out several misinterpretations, the spread of false information, and rectifies the narrative to separate reality from fiction and rumors. The section also utilizes the case of Jay Dyson and H4GiS to showcase how cybersecurity issues at work can migrate into a private setting and become deeply personal. As militaries around the globe are increasingly attracted to the idea of running information warfare campaigns to create persistent psychological effects within a population or target workforce, maintaining and caring for the mental health of network defenders will highly likely become a priority for government agencies and the private sector alike. 第 3 章では、宇宙におけるサイバーセキュリティをテーマにした数多くの研究論文や会議で広く引用され、使用されている5 つの主要なサイバーセキュリティインシデントについて詳しく見ていきます。この研究では、いくつかの誤った解釈や誤った情報の拡散を呼び起こし、現実とフィクションや噂を分けるために物語を修正しています。また、ジェイ・ダイソンと H4GiS のケースを利用して、仕事上のサイバーセキュリティの問題がプライベートな場に移行し、深く個人的なものになることを紹介しています。世界中の軍隊が、人口や対象となる労働力に持続的な心理的影響を与えるために情報戦キャンペーンを展開するというアイデアにますます惹かれるようになっている中、ネットワーク防衛者のメンタルヘルスを維持しケアすることは、政府機関と民間企業の両方にとって優先事項となる可能性が高いでしょう。
Section 4 explains the Hack-A-Sat challenge at DEFCON 2020 to highlight the various challenges and different knowledge necessary to both the adversary and the defender to control and command space assets. It also specifically emphasizes the efforts by the hacking community and the US government in advancing outreach and getting people involved into satellite security and securing the space economy at large. 第  4 章では、DEFCON 2020 における「Hack-A-Sat」チャレンジについて説明し、宇宙資産を制御・指揮するために敵対者と防御者の双方が必要とする様々な課題や知識について強調しています。また、ハッキング・コミュニティや米国政府が、衛星のセキュリティや宇宙経済全体の安全性確保に向けたアウトリーチ活動を推進し、人々を巻き込んでいることを特に強調しています。
Section 5 outlines various implication for Switzerland, including: 第  5 章では、スイスにとっての様々な示唆をまとめています。
(1) The Swiss federal government would be well-advised to comprehensively map out current Swiss space dependencies and redundancies across the identified nine critical infrastructure sectors and 27 sub-sectors. (1) スイス連邦政府は、特定された9 つの重要インフラ部門と 27 のサブ部門について、現在のスイスの宇宙への依存性と冗長性を包括的にマッピングすることを推奨します。
(2) It might also be prudent to map out potential cascading effects of what might occur if one or several satellites, ground stations, relevant webservers and/or data outside of Swiss territory becomes unavailable due to a persistent cyber incident. (2) また、スイス国外にある衛星や地上局、関連するウェブサーバやデータが、持続的なサイバーインシデントによって利用できなくなった場合、どのような影響が連鎖的に発生するかを想定しておくべきです。
(3) The federal government ought to proactively engage the European Commission and coordinate with other members of the European Space Agency (ESA) to insert itself into the EU debate on pan-European critical infrastructure. (3) 連邦政府は、欧州委員会に積極的に働きかけ、欧州宇宙機関(ESA)の他のメンバーと調整して、汎欧州的な重要インフラに関する EU の議論に参加すべきです。
(4) The federal government would do well to open up the debate on ESA’s cybersecurity posture, threat environment, and public outreach and communication practices. (4)  連邦政府は、ESA のサイバーセキュリティの態勢、脅威の環境、広報活動やコミュニケーションの実践について議論を深めることが望ましい。
(5) It might be prudent to stand up a joint cyber task force together with various ESA member countries to proactively tackle cyber-related incidents affecting the Agency. (5) ESA に影響を与えるサイバー関連のインシデントに積極的に取り組むために、ESA 加盟各国と共同でサイバータスクフォースを立ち上げるのが賢明でしょう。
(6) The federal government should seek clarification from the European Commission as to whether Swiss companies and government departments can get involved in the Commission’s plan to build up a European satellite communication system. (6) 連邦政府は、欧州委員会が計画している欧州衛星通信システムの構築に、スイスの企業や政府部門が関与できるかどうかについて、欧州委員会に説明を求めるべきです。
(7) The Swiss Defense Department, in cooperation with RUAG and Armasuisse, could partner up with selected European or US counterparts to pick up on the success of Hack-A-Sat and advance a series of hacking challenges pertaining to the space economy across Europe and the US. (7) スイス国防省は、RUAG や Armasuisse と協力して、「Hack-A-Sat」の成功を受けて、ヨーロッパやアメリカで宇宙経済に関する一連のハッキング・チャレンジを実施することができます。
(8) Swiss government departments and/or research institutions might want to serve as neutral arbiters that collect information and investigative reports on past cyber incidents affecting the space economy to paint a realistic picture of what actually occurred (excluding attribution claims). (8) スイスの政府機関や研究機関は、中立的な判断者として、宇宙経済に影響を与えた過去のサイバー事件に関する情報や調査報告書を収集し、実際に起こったことをリアルに描き出すことができるかもしれません(帰属の主張は除く)。
(9) A comprehensive and structured revisiting of past cases by a Swiss government department will most likely spur a reflection on how past incidents have been covered by the media and have been able to proliferate throughout the information security and policy community unchallenged – leading hopefully to better journalistic practices and better research conduct. (9) スイスの政府機関が過去の事件を包括的かつ体系的に再検討することで、過去の事件がどのようにメディアに取り上げられ、情報セキュリティや政策のコミュニティに無関係に広まっていったのかを振り返ることができ、よりよいジャーナリズムの実践やよりよい研究の実施につながることが期待されます。
(10) Switzerland should also keep an eye out on the legal debates that have and will increasingly occur when it comes to the interception of satellite communications by intelligence agencies, and the legal status of data transmitted and hosted in space. (10) また、情報機関による衛星通信の傍受や、宇宙空間で送信・ホストされるデータの法的地位について、これまでも、そして今後も、法的な議論が行われていくことにも注目したい。
Section 5.1 provides a brief horizon scan that highlights three trends: 第  5.1 章では、3 つのトレンドに焦点を当てた簡単なホライズンスキャンを行っています。
(a) Satellite Internet broadband constellations will become an essential extension – if not even a dominating part – of cyberspace as we know it. Opening up new regulatory and legal questions in a domain populated by vendors with little cybersecurity experience. (a) 衛星インターネット・ブロードバンド・コンステレーションは、私たちが知っているようなサイバースペースの重要な延長線上に、あるいは支配的な部分になるでしょう。サイバーセキュリティの経験がほとんどないベンダーが参入している分野で、新たな規制や法的問題が発生しています。
(b) The increased hybridization of space assets will most likely lead to new adversarial targeting dynamics against space-based assets. (b) 宇宙資産のハイブリッド化が進むと、宇宙ベースの資膨大なデータ量と宇宙空間でのデータストリームの再編成により、地球上に新たな標的と攻撃のベクトルが開かれることになります。
(c)  The sheer data volume and realignment of data streams through space will open up new target and attack vectors on Earth. (c)膨大なデータ量と宇宙空間でのデータストリームの再調整により、地球上に新たな標的と攻撃のベクトルが生まれます。

 

・[DOC] 本文部分の仮訳

 

| | Comments (0)

2021.04.06

IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

こんにちは、丸山満彦です。

IPAが「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書を公開していますね。。。

要は、「プラクティス集の利用実態やプラクティスへの要望等の調査」ですね。。。サイバーセキュリティ経営ガイドラインの作成メンバーなので、よく読んでおかないと(^^)。

次も委員になるかどうかはわからないけど...(^^;;

● IPA

・2021.04.05 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・[PDF] 2020 年度 サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査- 調査報告書 -

20210405-224323

 

各企業の事業がどの程度ITに依存しているかという「IT依存度」を4段階に分けて分析をしているのが面白いですね(^^)。

高い カテゴリー1 ITシステム・ITサービスが事業上必要不可欠な要素であり、その停止は事業全体または重要な事業の停止に繋がる
・「金融、保険業」での割合が最も高く25.0%。「卸売業、小売業」「情報通信業」においても比較的高い傾向
カテゴリー2 顧客へのサービス提供や生産活動の一部でITシステム・ITサービスを利用しており、その停止は事業の一部に大きく影響する
・「製造業」の割合が最も高い
カテゴリー3 顧客へのサービス提供や生産活動の一部でITシステム・ITサービスを利用しているが、ITに依存しない代替手段等があるため、一時的な停止であれば事業への影響は小さい
・「製造業」の割合が最も高い
低い カテゴリー4 ITシステム・ITサービスは主に社内業務等に利用するのみで、その停止は事業にあまり影響しない
・「サービス業(他に分類されないもの)」の割合が最も高い

 

 


(1)プラクティス集を利活用する目的(または、今後利活用する目的として想定されるもの)<複数選択>

  • カテゴリー1:「管理体制の構築やPDCAサイクルの実施等の、通常時の体制強化を念頭においたサイバーセキュリティ対策の検討に活用するため」の割合が最も高く44.1%
  • カテゴリー2と3は、「サイバーセキュリティ対策のうち、対策が遅れている(対策の必要性が新たに生じた)テーマに関する「はじめの一歩」として、具体的な対策を確認・検討するため」が最も高い。
  • カテゴリー4では「セキュリティ対策で始めにすべきことの理解」が最も高く40.7%

.....

(2)構成・内容についての要望

  • カテゴリー1、2、3は、「企業の状況や課題に応じた利用方法、参照すべきプラクティスについて、具体的に解説する」のニーズが最も高い。
  • カテゴリー4では、「サイバー攻撃が経営課題である理由を具体的に解説する」のニーズが最も高く26.9%、他のカテゴリーと異なる傾向。

.....

有識者・企業インタビュー調査

 プラクティス利活用の目的とプラクティス集の構成・内容との整合性などについてインタビューし、現在のプラクティス集に対する有用な見解が得られた。
  • 体制構築が一定程度進んだ企業を念頭にした場合、実践的な対策内容を確認したいというニーズが想定されるが、現状の第2章および第3章はそのニーズには十分対応できておらず、第3章を中心とした実践的な対策内容の充実化と、プラクティス集全体を通じた「対策が必要な理由」が伝わるような構成・内容とする工夫が求められる。
  • 企業が現実に直面している課題とその対処方法について、理解しやすいように構成や内容面を工夫して取扱う必要がある。また、テレワーク・クラウド利用・DXなど最近のトレンドとなっているテーマについても、一定程度、対策内容の議論・標準化が進んで段階において、テーマとしての取扱いを検討することが求められる。
  • 可視化ツール(*3)とプラクティス集を連携することで、可視化ツールでの診断結果と、その診断結果に対応するプラクティスを、一連の流れで確認できれば有効である。また、Webコンテンツとして、診断結果の業種比較がオンラインで参照できるとよい。

なるほど...

 

| | Comments (0)

2021.01.26

JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化 (2021.03.12午後)

こんにちは、丸山満彦です。

JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化が2021.03.12午後に開催されますね。。。

講演者の一覧、、、詳細はウェブページで・・・(あっ、岩井さんだ・・・)

題名 講演者 所属 役職等
サイバーグレートゲーム: サイバースペースをめぐる地政学・地経学 土屋 大洋 慶應義塾大学 総合政策学部 学部長・教授
警察におけるサイバー犯罪対策とJC3との連携 佐藤 隆司 警察庁 生活安全局 情報技術犯罪対策課 課長
Ransomware Operators Publishing Victim Data Owen Nearhoof, Erika Totaro National Cyber-Forensics and Training Alliance - Intelligence Analysts
2021年 暗号資産関連犯罪レポート 重川 隼飛 Chainalysis Japan  - Solution Architect
CDA - Combating crime through co-operation in the UK financial sector CEO: Stevie Wilson, Operations Analyst: Barry Steel Cyber Defence Alliance CDA - CEO & Operations
増大するサイバー脅威の裏側とリスク軽減への一考察 岩井 博樹 株式会社サイント 代表取締役
DX時代におけるサイバー脅威最新動向とゼロトラストセキュリティー 小川 真毅 日本アイ・ビー・エム株式会社 セキュリティー事業本部 理事/パートナー
JC3の活動状況紹介及び今後の産学官連携について 島根 悟 日本サイバー犯罪対策センター 業務執行理事

 

JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化

開催日時は、2021年3月12日(金)13 : 30 ~ 17 : 40

となります。。。

申し込みは、上記のサイトから申し込みサイトに入ることによりできます。。。

 

| | Comments (0)

より以前の記事一覧