こんにちは、丸山満彦です。
これ面白かったです。(David Bowieが好きだからだけではなく...David BowieのCDはほぼ全て持っていました。。。場所がなく捨てましたが。。。今はオンラインで聴けますからね...)
作品自体は過去の「映像の世紀」を再編集しているのでしょうが、、、時間がある方は是非...(NHK+で見られるのは、2023.03.04 16:17まで)
● NHK
・2023.02.25 バタフライエフェクト ロックが壊した冷戦の壁SP
いつも時代は若者が作っていかないといけないのではないかなぁ...と思いました。。。年配者が過去の経験に基づいて若者を押さえつけてリードをしている国や組織というのは、やがて衰退していくのでしょうね。。。
若者がリードをする、年配者が少しアドバイスをする、くらいがちょうど良いのかもしれません、、、勢いよく前に進む、多少のミスはある。でも、何もできなくなり、前にも進んでいないよりも良い。。。
こんにちは、丸山満彦です。
プリファードネットワークのCISO, CPOを務める高橋正和さんの著書、「CISOのための情報セキュリティ戦略 - 危機から逆算して攻略せよ」[amazon] を読み終えました。。。
本書がどんな本かは、前書きから、、、
セキュリティ事件・事故のシナリオに基づいた机上演習フレームワークをCISO-PRACTSIEと呼称し、経営者がセキュリティの文脈を理解し、CISOを始めとしたセキュリティ担当者が、経営視点や事業視点を身につける機会として事件・事故を想定し、そこから逆算して対策の検証を行う手法を提案します。
詳細に、丁寧に書かれていますね。。。
参考になるところが、あちこちにあると思います。是非是非。。。
ところで、この机上演習ですが、、、以下の資料を参考にしていますね。。。
● JPCERT/CC
・2016.03.31 [PDF] 高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて
図 18:様々な演習と効果
ただ、このJPCERT/CCのガイドの図はどこからきたのですかね。。。
この辺り(国家安全保障省のHomeland Security Exercise and Evaluation Program)からですかね。。。これ自体は2020年のものですが、2013年発行の前のバージョンがあったのです。。。
● Homeland Security Agency
・Homeland Security Exercise and Evaluation Program (HSEEP)
| Homeland Security Exercise and Evaluation Program | 国土安全保障演習と評価プログラム |
| Exercises are a key component of national preparedness — they provide the whole community with the opportunity to shape planning, assess and validate capabilities, and address areas for improvement. HSEEP provides a set of guiding principles for exercise and evaluation programs, as well as a common approach to exercise program management, design and development, conduct, evaluation, and improvement planning. | 演習は国家的な準備態勢の重要な要素であり、地域社会全体に計画を形成し、能力を評価・検証し、改善すべき分野に対処する機会を提供するものである。 HSEEPは、演習と評価プログラムのための一連の指導原則と、演習プログラムの管理、設計と開発、実施、評価、および改善計画に対する共通のアプローチを提供する。 |
| Through the use of HSEEP, the whole community can develop, execute, and evaluate exercises that address the preparedness priorities. These priorities are informed by risk and capability assessments, findings, corrective actions from previous events, and external requirements. These priorities guide the overall direction of an exercise program and the design and development of individual exercises. | HSEEPの利用により、地域社会全体が準備の優先順位に対応した演習を開発、実施、評価することができる。 これらの優先事項は、リスクと能力の評価、所見、過去の事象からの是正措置、および外部要件によってもたらされる。 これらの優先順位は、演習プログラムの全体的な方向性と個々の演習の設計と開発の指針となる。 |
| These priorities guide planners as they identify exercise objectives and align them to capabilities for evaluation during the exercise. Exercise evaluation assesses the ability to meet exercise objectives and capabilities by documenting strengths, areas for improvement, capability performance, and corrective actions in an After-Action Report/Improvement Plan (AAR/IP). Through improvement planning, organizations take the corrective actions needed to improve plans, build and sustain capabilities, and maintain readiness. | これらの優先順位は、計画者が演習の目的を特定し、演習中に評価するための能力と整合させる際の指針となる。演習の評価では、演習の目的および能力を満たすために、強み、改善すべき点、能力のパフォーマンス、および是正措置を事後報告/改善計画(AAR/IP)に文書化することによって評価する。改善計画を通じて、組織は計画を改善し、能力を構築・維持し、即応性を維持するために必要な是正措置を講じる。 |
| ・[PDF] Homeland Security Exercise and Evaluation Program Doctrine | 国土安全保障演習・評価プログラムのドクトリン |
| ・[PDF] El Programa de Evaluación y Ejercicios de Seguridad Nacional | 国土安全保障評価演習プログラム |
| ・[PDF] HSEEP Information Sheet | HSEEP情報シート |
| ・[PDF] HSEEP Frequently Asked Questions 2020 | HSEEPよくある質問2020 |
・[PDF] Homeland Security Exercise and Evaluation Program Doctrine
演習は、大きく
の2パターンを示していますね。。。
1. ディスカッションベースの演習
ディスカッション形式の演習には、セミナー、ワークショップ、机上演習(TTX)、ゲームなどがある。この種の演習は、計画、方針、手順、および協定に慣れ親しんだり、新しいものを開発したりするものである。ディスカッションベースの演習は、戦略的、政策的な問題に焦点を当て、ファシリテーターやプレゼンターが議論をリードし、参加者が演習の目的を達成するために動き続けるものである。次の表(表2.3, 表2.4、表2.5、表2.6)には、それぞれのタイプのディスカッションベースの演習の重要な情報が記載されている。
表2.3:ディスカッション型演習の種類:セミナー
| セミナー | |
| 当局、戦略、計画、方針、手順、プロトコル、リソース、概念、およびアイデアについて参加者に説明する、または概要を提供するディスカッションベースの演習。 | |
| 要素 | 考察と活動 |
| 目的 | • 共通の理解の枠組みを提供する |
| • 既存の計画、方針、または手順を開発または大きく変更するための良い出発点を提供する。 | |
| 構造 | • 通常、複数のプレゼンテーション、主題専門家(SME)パネル、またはケーススタディ・ディスカッションの形式で行われる。 |
| • 講義形式 | |
| • セミナーのファシリテーター/プレゼンターが主導する | |
| • 参加者からのフィードバックやインタラクションが少ない | |
| 参加者の目標 | • 省庁間の能力または管轄区域間の業務に対する認識を得る、または評価する。 |
| • 将来の能力に関する目標を設定する | |
| 実施上の特徴 | • 最小限の時間的制約 |
| • 少人数でも大人数でも効果的 | |
| 成果 | • 議論、提起された問題、および(適切な場合)これらの問題に対処するためのアクションアイテムを記録した報告書 |
| • アフターアクションレポート(AAR)/改善計画(IP) | |
表2.4:ディスカッション型演習の種類:ワークショップ
| ワークショップ | |
| 政策、計画、手順の策定によく用いられる議論ベースの演習。 | |
| 要素 | 考察と活動 |
| 目的 | • 製品の実現や構築にフォーカスした参加者同士の交流の活発化 |
| • 目的、製品、または目標が明確に定義され、特定の問題に焦点を当てたものであること | |
| 構造 | • ディスカッションができる場での個人の集まり |
| • 講義、プレゼンテーション、パネルディスカッション、ケーススタディーディディスカッション、または意思決定支援ツール ワーキングブレイクアウトセッションのファシリテーション ワークショップのファシリテーター/プレゼンターがリードする | |
| 参加者の目標 | • グループでの製品開発 |
| • コンセンサスを得る | |
| • 情報の収集または共有 | |
| 実施上の特徴 | • 少人数でも大人数でも効果的 |
| • 関連するステークホルダーが幅広く参加 | |
| • 明確な目的・目標に基づく実施 | |
| • 講義形式ではなく、参加者同士のディスカッション形式 | |
| • 同じようなグループと課題の一部を探索するために、頻繁にブレイクアウトセッションを利用する | |
| 成果 | • 緊急時対応計画 |
| • 相互援助協定 | |
| • 標準作業手順書 | |
| • 事業継続計画 | |
| • ワークショップ概要報告 | |
| • アフターアクションレポート(AAR)/改善計画(IP) | |
表2.5:ディスカッション型演習のタイプ:机上演習
| 机上演習 Tabletop Exdercise (TTX) | |
| 概念的な理解を促進し、長所と改善点を明らかにし、計画、政策、または手続きに関する認識の変化を達成するために、さまざまな問題について対話を行うことを目的とした、シナリオに応じたディスカッションベースの演習である。 | |
| 要素 | 考察と活動 |
| 目的 | • 演習シナリオに関する様々な課題についての議論を行う |
| • 概念的な理解を促進し、強みと改善点を明らかにする、または認識の変化を達成する | |
| 構造 | • シナリオを提示し、模擬的な時間における事象を説明する |
| • プレイヤーは、ファシリテーターから提示された問題のリストに自分の知識とスキルを適用する | |
| • 問題点をグループで話し合い、解決に至り、後の分析のために文書化することができる | |
| • 全体会議または分科会(複数可) | |
| • ファシリテーター(複数)によるディスカッション | |
| • プレゼンテーション | |
| 参加者の目標 | • 一般的な認知度の向上 |
| • 役割と責任の理解を深める | |
| • 計画や手順の妥当性確認 | |
| • 定義されたインシデントにおけるシステムの種類を評価し、コンセプトを議論する | |
| 実施上の特徴 | • 経験豊富なファシリテーターが必要 |
| • 徹底討論 | |
| • 問題解決型の環境 | |
| • 参加者全員が議論に貢献するよう奨励し、無過失責任な環境で意思決定していることを再認識させる必要がある | |
| 成果 | • 現行の計画、方針、手順の改訂を推奨する。 |
| • アフターアクションレポート(AAR)/改善計画(IP) | |
表2.6:ディスカッション型演習の種類:ゲーム
| ゲーム | |
| 個人またはチーム向けに設計された、競技または非競争環境での構造化されたプレイであり、議論に基づいたエクササイズ。プレーヤーが参加するイベントであり、その実行には明確なルール、データ、手順が指導される。ゲームは、実際の状況または仮想の状況を描写し、参加者がもっともらしい意思決定と行動を確実に行えるように設計されている。ゲームは、トレーニングの強化、チームビルディングの活性化、作戦・戦術能力の向上などに利用することができる。 | |
| 要素 | 考察と活動 |
| 目的 | • プレイヤーの意思決定や行動の帰結を探る操作シミュレーション |
| • 重要な意思決定ポイントの特定は、ゲーム評価の成功に大きく影響する | |
| 構造 | • 通常、2つ以上のチームが参加できる環境において、実際の状況または仮想の状況を想定したルール、データ、手順を使用する |
| • 意思決定は、演習のデザインと目的によって、ゆっくりじっくり行うことも、素早くストレスのかかることを行うこともできます | |
| • ゲームのオープンで意思決定に基づく形式は、エクササイズの効果を拡大する「もしも」の質問を取り入れることができる | |
| • ゲームのデザインによって、プレイヤーの行動の結果は、事前に記述される場合と動的に決定される場合がある | |
| 参加者の目標 | • 意思決定のプロセスと結果を探る |
| • 既存プランの「what-if」分析の実施 | |
| • 既存および潜在的な戦略を評価する | |
| 実施上の特徴 | • 実際に使用するリソースはない |
| • 多くの場合、2つ以上のチームが参加する | |
| • ゲームの進行に応じて複雑化するモデルやシミュレーションが含まれる場合がある | |
| • あらかじめ用意されたアクティビティが含まれる場合と含まれない場合がある | |
| 成果 | • 計画、方針、手順の妥当性確認、またはリソース要件の評価 |
| • アフターアクションレポート(AAR)/改善計画(IP) | |
2. ディスカッションベースの演習
オペレーションベースの演習には、ドリル、機能演習(FE)、および総合演習(FSE)が含まれる。これらの演習は、計画、方針、手順、および合意を検証し、役割と責任を明確にし、リソースのギャップを特定するものである。運用に基づく演習は、通信の開始、人員及び資源の動員などのリアルタイムの応答を含む。次の表(表2.7、表2.8、表2.9)は、それぞれのタイプのオペレーションベースの演習のための重要な情報を提供する。
表2.7:オペレーションベースの演習の種類:ドリル
| ドリル | |
| オペレーションに基づく演習で、単一のオペレーションまたは機能を検証するためによく採用される。 | |
| 要素 | 考察と活動 |
| 目的 | • 単一の機関/組織における特定の機能または能力を検証するため調整され、監督された活動で、多くの場合、単一の操作または機能を検証するために使用される |
| • 新しい機器のトレーニング、手順の検証、または現在のスキルの練習と維持の提供 | |
| 構造 | • 単体でも、連続したドリルとしても使用可能 |
| • 明確に定義された計画、手順、プロトコルを実施する必要がある | |
| 参加者の目標 | • 新しい手順、方針、および/または機器を評価する |
| • スキルの練習と維持 | |
| • 今後の演習に備える | |
| 実施上の特徴 | • 即時フィードバック |
| • リアルな環境 | |
| • ナローフォーカス | |
| • 単体での性能 | |
| • 結果は、確立された基準に照らして測定される | |
| 成果 | • 計画が設計通りに実行されるかどうかを判断する |
| • さらなるトレーニングが必要かどうかを評価する | |
| • ベストプラクティスの強化 | |
| • アフターアクションレポート(AAR)/改善計画(IP) | |
表2.8:オペレーションベースの演習の種類。機能演習
| 機能演習Function Exercise(FE) | |
| オペレーションベースの演習は、現実的なリアルタイムの環境下で、能力や機能をテストし評価するように設計されているが、リソースの移動は通常シミュレートされる。 | |
| 要素 | 考察と活動 |
| 目的 | • 能力、複数の機能及び/又は下位機能、又は相互依存のある活動群を検証し評価する。 |
| • 管理、指揮、統制の機能に関わる計画、方針、手順、スタッフについて演習する。 | |
| • 危機的状況下で、確立されたプラン、ポリシー、手順を適用する | |
| 構造 | • 現実的な演習シナリオでイベントが投影され、イベントの更新により、通常、管理者レベルでの活動が促進される |
| • コントローラは通常、マスターシナリオイベントリスト(MSEL)を使用して、参加者の活動が事前に定義された境界線内に収まるようにする | |
| • 評価者は行動を観察し、確立された計画、方針、手順、標準的な実践(該当する場合)に照らして比較する。 | |
| 参加者の目標 | • 能力の検証・評価 |
| • 計画、方針、手続きに重点を置く | |
| 実施上の特徴 | • 現実的な環境で実施 |
| • 通常、リソースと人員の配置をシミュレートしている | |
| • シミュレーションセルとマスターシナリオイベントリスト(MSEL)の活用 | |
| • シミュレーターはシナリオの要素を注入することができる | |
| • コントローラーと評価者を含む | |
| 成果 | • 緊急時対応センター(EOC)、指揮所、本部、スタッフの管理評価 |
| • パフォーマンス分析 | |
| • 協力関係の強化 | |
| • アフターアクションレポート(AAR)/改善計画(IP) | |
表2.9:オペレーションベースの演習の種類:総合演習
| 総合演習 Full-Scale Exercise (FSE) | |
| 演習の種類の中で最も複雑で資源を必要とし、多くの場合、複数の機関、管轄区域/組織、および資源のリアルタイムの移動を伴うオペレーションベースの演習である。 | |
| 要素 | 考察と活動 |
| 目的 | • ICS(インシデント・コマンド・システム)のような協力体制のもとで活動する多くのプレーヤーを含むことが多い |
| • ディスカッション形式の演習で作成され、以前の小規模な演習で磨かれた計画、方針、手順の実施と分析に重点を置いている。 | |
| 構造 | • イベントは演習シナリオを通して投影され、イベントのアップデートによりオペレーションレベルでの活動が促進される |
| • 複数の機関、組織、管轄区域が関与していること | |
| • MSELの使用は、プレイヤーの行動を促進する | |
| • SimCellコントローラは、シナリオ要素を注入する | |
| • 他のタイプのエクササイズに比べ、必要なサポートのレベルが高い可能性がある | |
| • 複雑な問題を提示し、実際の事件を反映させたリアルな環境で実施 | |
| 参加者の目標 | • 計画や手順で示された役割と責任を実証する |
| • 複数の機関、組織、管轄区域の間の調整 | |
| 実施上の特徴 | • 迅速な問題解決、クリティカルシンキング |
| • 人材とリソースの動員 | |
| • 運動場は通常、多くの活動が同時に行われる大規模なものである | |
| • サイトロジスティクスの綿密なモニタリングが必要 | |
| • 特に小道具や特殊効果の使用に関する安全性の問題を監視する必要がある | |
| • 計画や手順で示された役割と責任を実証する | |
| 成果 | • 計画、方針、手順の妥当性確認 |
| • リソース要求の評価 | |
| • アフターアクションレポート(AAR)/改善計画(IP) | |
こんにちは、丸山満彦です。
所属組織の宣伝めいた内容はブログに書かないのですが、これは例え所属組織でなかったとしても、多くの人に読んでもらいたいと思ったので、紹介です。。。
一つは、グローバル3,500名を超える役員に調査をした結果をまとめたものです。(日本語で読めます...)
サイバーセキュリティ対策は経営問題なのから、経営者 (CxO) がまさにBoard Roomに集まって議論をして対応をしましょう。という話です。経営者であれば、取締役会や経営会議で会社の重要事項を色々と議論し、会社の方針として決議していると思いますが、それと同じレベルで、同じことをすべきですよね。という話です(当たり前といえば当たり前の話ですが。。。)
その議論の時に、CEOならその立場を利用してどういう貢献ができるか?、CFOならどうか?、CIOならどうか?、さらには株主の委任を受けた取締役としてはどうか?というような話が書いています。。。
日本では橋渡し人材の話が出ていますが、それはもちろん重要なのですが、一段上のCxOのレベルで本当に議論しましょうね!という話です。。。
● PwC Japan
・2023.01.11 サイバー有事に備えたCxOの結束の必要性『Global Digital Trust Insights 2023年版』調査結果より
・[PDF]
オリジナルはこちら...
・A C-suite united on cyber-ready futures - Findings from the 2023 Global Digital Trust Insights
・[PDF] (情報入力が求められます...)
もう一つは、日本の調査ですが、その結果を踏まえて、一歩先をいくサイバーセキュリティ対策を考えています。情報に基づいてセキュリティ対策をダイナミック(動的)に変えていくという考え方です。
ただ、この考え方は、私がNISCにいるときに、すでに亡くなられた山口先生とも議論していた話(当時はMoving Targetにいかに対応するかという文脈でした)で、目新しいわけではないのですが、その重要性がより高まり、かつ、それが実施できる環境も整ってきたということだと思います。
例えば、
● 総合科学技術会議 基本政策推進専門調査会 分野別推進戦略総合PT
・2007.01.18 [PDF] 総合科学技術会議 基本政策推進専門調査会 分野別推進戦略総合PT 第1回情報通信PT 議事録 (2006.12.19開催)
○山口委員
...セキュリティの問題として嫌なのが、1個やれば全部片づくというわけではなくて、リスクの変化というのがありますので、ムービングターゲットを追っかけていくというところがあって、常にいろんな問題が出てくる。また、こういったリスク低減を目指すという研究をやっていっても、ある一定の成果を出しても、すぐにリスクは変容するというようなところで、同じテーマの名前でどんどん研究が変わっていくという特性なんかもあるわけです。
...
それからもう一つは、先ほど申し上げましたリスク低減型研究というのに関しては、レビューが必要であると思っています。これは特にムービングターゲットを持っているという性質上、変化するリスクを可視化することで本当に最初計画されていた幾つかの問題というのを解くと。例えば、スパムを解くとか、ボットを解くとか、いろいろ解くものを決めているんですけれども、これらの質が変わるというところで、本当に状況の変化にキャッチアップすることをちゃんとやっているのかどうかということをやることで、施策の中で足りない領域をちゃんとアイデンティファイすること。それから、萌芽的研究が存在するかを見ていくということがあります。
● IT media
・2005.06.03 Linuxが情報セキュリティ管理に果たす役割とは?
われわれを取り巻くIT環境はどんどん変化している。結果として、セキュリティ管理の目標も変動する。「ムービングターゲットを追求していかなければならない。『あのときはOKだったからこれでいい』とか『他社がこうしているのだからうちもこうしよう』ではだめ」(山口氏)。
逆に、情報セキュリティ管理をしっかり実現していくことで、「これまで利益を生み出さない『ロスセンター』と言われてきたけれど、業務を改善し、強くて耐久性のあるビジネスを作り出すツール」(同氏)として位置付けていくことができるとした。
さて、肝心のPwCの報告書ですが、こちらです。。。
・2023.01.12 2023年 Cyber IQ調査 ―インテリジェンス活用によるダイナミックなセキュリティ対策への転換
・[PDF]
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.12.07 日本企業のセキュリティの状況の調査 PwC 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換
こんにちは、丸山満彦です。
JPCERT/CCの小宮山さんも執筆者に加わっている「偽情報戦争」[amazon] を読み終えました。。。
まず、専門書ではないです。これからの議論のきっかけとなるための書物という感じでしょうか。。。とても、読みやすく、スラスラとあっという間に読めました。
読みやすし、きっかけに是非一読を。。。というのが私のコメントです。。。
全体としては、認知戦に関する話で、その認知戦にIT技術(AI等)、サイバー空間(SNS等)が手段としての重要性を帯びてきている現状をどのように理解したら良いのだろうか?ということで書かれているように思いました。。。
この正月休みに、司馬遼太郎の「ロシアについて」、陳舜臣の「中国五千年」を読んだところだったので、ロシア、中国の認知戦の話についても興味深く読むことができました(あまり関係ないですが...)。
最初に表1外交・安全保障における世論形成手段を示してくれているので、素人には言葉による誤解が防げてよかったです。。。
| パブリック・ディプロマシー | Public Diplomacy | 自らの国益に資するべく、相手国世論に直接働きかけ、自国のイメージやプレゼンスを向上させる。公共外交や広報外交などともいわれる(外務省は広報文化外交としている)。透明性があり、相手を魅了するための外交手段とされる。実行形態として①Listening(傾聴)、②Advocacy(立場の主張)、③Cultural Diplomacy(文化外交)、④Exchange Diplomacy(交流外交)、⑤International Broadcasting(国際放送)に区分されることが多い。 |
| プロパガンダ | Propaganda | 不特定多数の大衆を一定の方向に導き、行動を起こさせるため、社会心理的な手法で特定の考え方や価値観を植え付ける組機的な活動。 |
| 影響工作 | Influence Operation | 平時から有事、そして紛争後に、相手国世論の意見や態度を自らの国益と目的を促進させる方向に醸成するため、外交、軍事、経済、サイバー、情報、その他の能力を統合・連携させ適用すること。 |
| 戰略的コミュニケーション | Strategic Communication | 国家目標を推進するために、協調的行動、メッセージ、イメージ、その他の形態のシグナリングまたはエンゲージメントによって、特定の聴衆に情報発信し、影響を与え、説得しようとすること。単なる広報活動や情報操作、世論操作と異なる。 |
| 情報作戦 | Information Operations | 電子戦、コンピュータ・ネットワーク作戦、心理作戦、オペレーション・セキュリティ、欺瞞作戦の中核的能力を、特定の支援・関連能力と連携して統合的に活用し、敵対する人間や自動意思決定に影響を与え、混乱させ、あるいは奪し、同時に自国の意思決定を保護する作戦。米国防総省が行う作戦との解釈もされる。 |
| 情報戦 | Information Warfare | 自国の情報空間をコントロールし、自国の情報へのアクセスを防護しながら、相手の情報を取得・利用し、情報システムを破壊し、情報の流れを混乱させることで相手に対して優位に立つ作戦。一方、中国の指す情報戦は平時の影響工作や心理戦など幅広く含まれるとの解駅もされる。 |
| ディスインフォメーション・キャンペーン | Disinformation Campaigns | 経済的・政治的目的を達成するため、意図的に世論を敷くために作り出されたディスインフォメーション(偽情報)を拡散し、公共に害を与える活動。民主的な政治や政策決定に対する脅威につながる。 |
| 認知戦 | Cognitive Warfare | ターゲットとなる国民、組織、国家を干渉または不安定化させることを目的とし、ターゲットの考え方や選択に影響を与え、意思決定の自律性を弱体化させるために用いられる作戦。認知戦に係る活動は軍事に限らず政治、経済、文化、社会など人々の日常生活全体に適用される。ディスインフォメーションも用いられる。 |
| ハイブリッド戦 | Hybrid Warfare | 国家および非国家の在来型手段と非在来型手段の相互作用や融合を伴う戦争。戦争と平時の境界線が不明瞭になるといった特徴を持つ。 |
| 三戦 | Three Warfares | 世論戦、心理戦、法律戦を指し、軍事的および経済的手段であるハードパワーを用いることなく敵を弱体化させる戦術。2003年に中国人民解放軍政治工作条例に記載された。 |
| シャープパワー | Sharp Power | 権戚主義国家が強制や情報の歪曲、世論操作などの強引な手段を用い。主に民主主義国家の政治環境や情報環境を「刺す」「穿孔する」ことで、自国の方針をのませようとする力。 |
小宮山さんが、民主主義の危機を気にされていますね。。。
個人的には、民主主義を守るのは、(1)民主主義を守る目的を達成するために必要となる知的情報処理能力の個人個人の高さとその分布の問題と(2)その結果に基づいて行動を起こすことだろうと思っています。。。民主主義は高尚な思想かつ勇気がいる仕組みなのです(^^)。
多くの情報に溢れている(玉石混淆の)現在社会において、個人個人が適切に情報を処理し、適切な行動を起こせるようになるかが重要なのだろうと思っています。そのためには、個人個人がそれなりに思慮深く、かつ行動を起こせないといけないように思います。。。そのような、人間が育つ、あるいは育てるような社会になっているか。。。ということが問題なのかもしれませんね。。。
平和博さんのブログ新聞紙学的も是非是非です。。。
● まるちゃんの情報セキュリティ気まぐれ日記
日本ファクトチェックセンターの話...
・2022.09.30 日本ファクトチェックセンター
グローバルリスクでも、偽情報はそれなりのポジションです。。。
・2023.01.12 世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023
・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機
・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである
中国のDeap Fake等に対する対策など...
・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)
・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)
・2022.09.12 中国 インターネットポップアップ情報プッシュ型サービス管理規定と偽情報の取締り
・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告
・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)
・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則
・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」
その他。。。
・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...
・2022.12.14 ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況
・2022.11.28 防衛省 防衛研究所 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―
・2022.10.30 米国 国防総省:サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25)
・2022.10.11 米国 FBI 中間選挙を前にサイバーセキュリティについて議論
・2022.08.27 米国 サイバー司令部:米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い
・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文
・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要
・2022.08.01 MITRE 誤情報・偽情報の研究課題調査:主要なテーマ
・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)
・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ(52大学から56チームが参加)
・2022.04.01 ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明
・2021.12.23 CSET AIと偽情報キャンペーンの未来 パート1:RICHDATAフレームワーク
・2021.12.16 CISA 新しいサイバーセキュリティ諮問委員会の設立会合を開催(委員長等の選任と5つの小委員会の設立)
・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ
・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30
・2021.07.01 防衛研究所 中国が目指す認知領域における戦いの姿
・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない
・2021.05.24 自動で偽の情報を作成するマシーンはできるのか?
・2021.05.03 U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画
・2022.01.26 英国王立学会 オンライン情報環境(フェイク情報は削除すべき、削除すべきでない?)at 2022.01.19
・2021.01.26 RAND研究所 真実の崩壊に対抗するためのメディアリテラシー標準についての報告
・2021.01.18 新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは
・2020.12.07 民主主義を守るための偽情報との戦い
・2020.11.28 国連(UNICRI) テロリスト、過激派、組織犯罪グループがソーシャルメディアを悪用しCOVID-19対応中の政府への信頼失墜をさせようとしている
・2020.11.04 情報ネットワーク法学会 第20回研究大会
・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?
・2020.03.31 英国政府はCOVID-19に関する偽情報(misinformation)を取り締まるチームを設置したようですね。。。
こんにちは、丸山満彦です。
オーストラリア・サイバーセキュリティ・センター(ACSC)が年次サイバー脅威報告書を公表していますね。。。
トレンドのポイント...
● ACSC
・2022.11.04 ACSC Annual Cyber Threat Report, July 2021 to June 2022
| ACSC Annual Cyber Threat Report, July 2021 to June 2022 | ACSC 年次サイバー脅威報告書(2021年7月から2022年6月) |
| The Annual Cyber Threat Report is ACSC’s flagship unclassified publication. The Report provides an overview of key cyber threats impacting Australia, how the ACSC is responding to the threat environment, and crucial advice for Australian individuals and organisations to protect themselves online. | 年次サイバー脅威報告書は、ACSC の主要な非機密出版物である。本報告書では、オーストラリアに影響を及ぼす主要なサイバー脅威の概要、ACSCの脅威環境への対応、オーストラリアの個人と組織がオンラインで身を守るための重要なアドバイスが記載されている。 |
・[PDF] Annual Cyber Threat Report, July 2021 to June 2022
目次...
| Foreword | 序文 |
| Executive Summary | エグゼクティブサマリー |
| Cybercrime and cyber security incident statistics | サイバー犯罪とサイバーセキュリティ事件の統計 |
| State actors | 国家的行為者 |
| REDSPICE | REDSPICE |
| Cybercrime | サイバー犯罪 |
| Ransomware | ランサムウェア |
| Critical infrastructure | 重要インフラ |
| Critical vulnerabilities | 重要な脆弱性 |
| Cyber defence and resilience | サイバーディフェンスとレジリエンス |
| About the ACSC | ACSCについて |
| About the contributors | 協力者について |
エグゼクティブサマリー
| Executive Summary | エグゼクティブサマリー |
| Over the 2021–22 financial year, the deterioration of the global threat environment was reflected in cyberspace. This was most prominent in Russia’s invasion of Ukraine, where destructive malware resulted in significant damage in Ukraine itself, but also caused collateral damage to European networks and increased the risk to networks worldwide. | 2021-22会計年度にかけて、世界的な脅威環境の悪化がサイバースペースにも反映されている。これは、ロシアのウクライナ侵攻において最も顕著であり、破壊的なマルウェアがウクライナ自体に大きな被害をもたらしただけでなく、ヨーロッパのネットワークにも巻き添えを食い、世界中のネットワークへのリスクを増大させる結果となった。 |
| In Australia, we also saw an increase in the number and sophistication of cyber threats, making crimes like extortion, espionage, and fraud easier to replicate at a greater scale. The ACSC received over 76,000 cybercrime reports, an increase of nearly 13 per cent from the previous financial year. This equates to one report every 7 minutes, compared to every 8 minutes last financial year. | オーストラリアでも、サイバー脅威の数と精巧さが増し、恐喝、スパイ、詐欺などの犯罪がより大規模に再現されやすくなっていることがわかった。ACSCは76,000件を超えるサイバー犯罪の報告を受け、前年度から約13%増加した。これは、昨年度の8分に1件の割合から、7分に1件の割合で報告されていることに相当する。 |
| The ACSC identified the following key cyber security trends in the 2021–22 financial year: | ACSCは、2021-22会計年度のサイバーセキュリティの主要な傾向を次のように指摘した。 |
| ・Cyberspace has become a battleground. Cyber is increasingly the domain of warfare, as seen in Russia’s use of malware designed to destroy data and prevent computers from booting in Ukraine. But Russia was not alone in its use of cyber operations to pursue strategic interests. In July 2021, the Australian Government publicly attributed exploitation of Microsoft Exchange vulnerabilities to China’s Ministry of State Security. And a joint Five-Eyes Advisory in November 2021 confirmed exploitation of these vulnerabilities by an Iranian state actor. Regional dynamics in the Indo-Pacific are increasing the risk of crisis and cyber operations are likely to be used by states to challenge the sovereignty of others. | ・サイバースペースは戦場となった。ロシアがウクライナでデータを破壊し、コンピュータを起動できなくするように設計されたマルウェアを使用したことに見られるように、サイバーはますます戦争の領域になっている。しかし、戦略的利益を追求するためにサイバー作戦を利用するのはロシアだけではなかった。2021年7月、オーストラリア政府は、Microsoft Exchangeの脆弱性を悪用したのは中国国家安全部であると公表した。また、2021年11月のFive-Eyesの共同アドバイザリーでは、イランの国家主体によるこれらの脆弱性の悪用が確認されている。インド太平洋の地域力学は危機のリスクを高めており、サイバー作戦は国家が他者の主権に挑戦するために利用される可能性が高い。 |
| ・Australia’s prosperity is attractive to cybercriminals. According to a 2021 Credit Suisse report, Australia has the highest median wealth per adult in the world. In 2021–22, cybercrimes directed at individuals, such as online banking and shopping compromise, remained among the most common, while Business Email Compromise (BEC) trended towards targeting high value transactions like property settlements. | ・オーストラリアの繁栄は、サイバー犯罪者にとって魅力的である。2021年のクレディ・スイスのレポートによると、オーストラリアは成人一人当たりの富の中央値が世界で最も高い。2021-22年、オンラインバンキングやショッピングの侵害など、個人に向けられたサイバー犯罪は引き続き最も多く、ビジネスメール侵害(BEC)は不動産決済などの高額取引を狙う傾向にある。 |
| ・Ransomware remains the most destructive cybercrime. Ransomware groups have further evolved their business model, seeking to maximise their impact by targeting the reputation of Australian organisations. In 2021–22, ransomware groups stole and released the personal information of hundreds of thousands of Australians as part of their extortion tactics. The cost of ransomware extends beyond the ransom demands, and may include system reconstruction, lost productivity, and lost customers. | ・ランサムウェアは、依然として最も破壊的なサイバー犯罪である。ランサムウェアグループはビジネスモデルをさらに進化させ、オーストラリアの組織の評判を狙うことで、その影響力を最大化しようとしている。2021年から22年にかけて、ランサムウェアグループは恐喝戦術の一環として、数十万人のオーストラリア人の個人情報を盗み出し、公開した。ランサムウェアのコストは身代金要求の範囲を超えており、システムの再構築、生産性の損失、顧客の喪失などが考えられる。 |
| ・Worldwide, critical infrastructure networks are increasingly targeted. Both state actors and cybercriminals view critical infrastructure as an attractive target. The continued targeting of Australia’s critical infrastructure is of concern as successful attacks could put access to essential services at risk. Potential disruptions to Australian essential services in 2021–22 were averted by effective cyber defences, including network segregation and effective, collaborative incident response. | ・世界的に、重要なインフラストラクチャーネットワークがますます狙われるようになっている。国家権力者とサイバー犯罪者の両方が、重要インフラを魅力的なターゲットとして見ている。オーストラリアの重要インフラが引き続き狙われていることは、攻撃の成功によって重要なサービスへのアクセスが危険にさらされる可能性があるため、懸念されることである。2021-22年にオーストラリアの重要サービスが中断される可能性は、ネットワークの分離や効果的で協力的なインシデント対応などの効果的なサイバー防御によって回避された。 |
| ・The rapid exploitation of critical public vulnerabilities became the norm. Australian organisations, and even individuals, were indiscriminately targeted by malicious cyber actors. Malicious actors persistently scanned for any network with unpatched systems, sometimes seeking to use these as entry points for higher value targets. The majority of significant incidents ACSC responded to in 2021–22 were due to inadequate patching. | ・公共性の高い重要な脆弱性を迅速に悪用することが常態化した。オーストラリアの組織、そして個人までもが、悪意のあるサイバー行為者によって無差別に標的にされた。悪意のある行為者は、パッチが適用されていないシステムのあるネットワークを執拗にスキャンし、時には、より価値の高いターゲットへの侵入口としてそれらを利用しようとした。ACSCが2021-22年に対応した重大インシデントの大半は、不適切なパッチ適用が原因であった。 |
| In the face of rising threats to the digital-dependent Australian economy, cyber defence must be a priority for all Australians. The most effective means of defending against cyber threats continues to be the implementation of the Essential Eight cyber security strategies. To support this, the ACSC launched several new initiatives in 2021–22 to improve Australia’s cyber resilience, such as a Cyber Threat Intelligence Sharing (CTIS) platform which automates sharing of indicators of compromise. The Australian Government’s ten year investment in ASD, known as REDSPICE, will further harden Australia’s cyber defences in 2022–23 and beyond. | デジタルに依存するオーストラリア経済への脅威が高まる中、サイバー防御はすべてのオーストラリア国民にとって優先事項でなければならない。サイバー脅威から身を守る最も効果的な手段は、引き続き「エッセンシャルエイト」のサイバーセキュリティ戦略を実施することである。これを支援するため、ACSCは2021-22年に、侵害の指標の共有を自動化するサイバー脅威情報共有(CTIS)プラットフォームなど、オーストラリアのサイバー耐性を向上させるいくつかの新しい取り組みを開始した。REDSPICEとして知られるオーストラリア政府のASDへの10年間の投資は、2022-23年以降、オーストラリアのサイバー防御をさらに強固なものにすることだろう。 |
| What the ACSC saw: | ACSCがわかったこと: |
| ・An increase in financial losses due to BEC to over $98 million | ・BECによる金銭的損失は9800万ドル以上に増加 |
| an average loss of $64,000 per report. | (1件当たりの平均損失額は64,000ドル) |
| ・A rise in the average cost per cybercrime report to over $39,000 for small business, $88,000 for medium business, and over $62,000 for large business | ・サイバー犯罪の報告1件あたりの平均コストは、中小企業で39,000ドル以上、中堅企業で88,000ドル以上、大企業で62,000ドル以上と上昇した。 |
| an average increase of 14 per cent. | (平均14%の増加) |
| ・A 25 per cent increase in the number of publicly reported software vulnerabilities | ・ソフトウェアの脆弱性の報告件数が25%増加。 |
| (Common Vulnerabilities and Exposures – CVEs) worldwide. | ((Common Vulnerabilities and Exposures - CVEs)が全世界で25%増加) |
| ・Over 76,000 cybercrime reports | ・76,000件を超えるサイバー犯罪の報告 |
| an increase of 13 per cent from the previous financial year. | (前年度比13%増) |
| ・A cybercrime report every 7 minutes on average | ・平均して7分ごとにサイバー犯罪の報告がある。 |
| compared to every 8 minutes last financial year. | (昨年度は8分に1件) |
| ・Over 25,000 calls to the Cyber Security Hotline | ・サイバーセキュリティ・ホットラインへの問い合わせは25,000件以上。 |
| an average of 69 per day and an increase of 15 per cent from the previous financial year. | (1日平均69件、前年度比15%増) |
| ・150,000 to 200,000 Small Office/Home Office routers in Australian homes and small businesses vulnerable to compromise | ・オーストラリアの家庭や中小企業にある15万台から20万台のスモールオフィス/ホームオフィスルーターは、国家的な行為も含め、危険にさらされる可能性がある。 |
| including by state actors. | (国営企業も含む) |
| ・Fraud, online shopping and online banking | ・詐欺、オンラインショッピング、オンラインバンキング |
| were the top reported cybercrime types, accounting for 54 per cent of all reports. | (報告されたサイバー犯罪の上位を占め、全報告の54%を占めた。) |
| What the ACSC did: | ACSCが行ったこと |
| ・Responded to over 1,100 cyber security incidents. | ・1,100件以上のサイバーセキュリティインシデントに対応した。 |
| ・Blocked over 24 million malicious domain requests | ・2400万件以上の悪質なドメインリクエストをブロックした |
| through the Australian Protective Domain Name System. | (オーストラリア保護ドメイン名システムを通じて) |
| ・Took down over 29,000 brute force attacks against Australian servers | ・オーストラリアサーバーに対する29,000件以上のブルートフォースアタックをドメインテイクダウンサービスにより阻止した |
| through the Domain Takedown Service. | (ドメインテイクダウンサービスを通じて) |
| ・Took down over 15,000 domains hosting malicious software | ・悪質なソフトウェアをホストしている15,000以上のドメインを停止させた |
| targeting Australia’s COVID-19 vaccine rollout. | (オーストラリアのCOVID-19ワクチン展開を狙った) |
| ・Shared over 28,000 indicators of compromise with ACSC Partners | ・28,000以上の危険信号をACSCパートナーと共有。 |
| through the Cyber Threat Intelligence Sharing platform. | (サイバー脅威インテリジェンス共有プラットフォームを通じ) |
| ・Collaborated with partners on 5 successful operations against criminal online marketplaces and foreign scam networks. | ・パートナーとの協力により、犯罪的なオンラインマーケットプレイスや外国人詐欺ネットワークに対する5つの作戦を成功させた。 |
| ・Responded to 135 ransomware incidents | ・135件のランサムウェアインシデントに対応した。 |
| an increase of over 75 per cent compared to 2019–20. | (2019-20年と比較して75%以上の増加) |
| ・Notified 148 entities of ransomware activity on their networks. | ・ネットワーク上でのランサムウェアの活動を148の事業者に通知した。 |
| ・Conducted 49 high priority operational tasks in response to identified and potential significant cyber threats | ・特定された重要なサイバー脅威および潜在的なサイバー脅威に対応するため、49の優先度の高い運用タスクを実施した。 |
| including scanning for vulnerable Australian devices. | (オーストラリアの脆弱なデバイスのスキャンを含む) |
| ・Published 49 Alerts and 14 Advisories on cyber.gov.au | ・cyber.gov.auで49のアラートと14のアドバイザリーを公開した。 |
| which collectively saw more than 393,000 visits. | (合計で393,000以上のアクセスを記録) |
| ・Issued an Advisory urging Australian organisations to adopt an enhanced security posture following Russia’s invasion of Ukraine | ・ロシアのウクライナ侵攻を受け、オーストラリアの組織にセキュリティ強化の姿勢をとるよう促すアドバイザリーを発出した。 |
| which was updated 10 times and received more than 57,000 views, plus a potential reach of almost 1 million people through social media. | (この勧告は10回更新され、57,000以上の閲覧があり、ソーシャルメディアを通じて約100万人に届けられた)。 |
| ・Briefed more than 200 government, business and critical infrastructure organisations | ・200以上の政府機関、企業、重要インフラ組織に対して、ブリーフィングを実施した。 |
| on the risk of collateral damage to Australian networks following the Russian invasion of Ukraine. | (ロシアのウクライナ侵攻に伴うオーストラリアのネットワークへの巻き添え被害リスクについての) |
| ・Published 13 new Step-by-Step Guides | ・13の新しいステップバイステップガイドを発行した。 |
| to help Australian individuals and small businesses to implement simple cyber security practices. | (オーストラリアの個人および中小企業が簡単なサイバーセキュリティを実践できるよう支援する) |
| ・Expanded the Partnership Program | ・パートナーシップ・プログラムを拡大した |
| to over 2,300 network partners, 3,400 business partners, and over 82,000 home partners. | (ネットワークパートナー2,300社以上、ビジネスパートナー3,400社以上、ホームパートナー82,000社以上へ拡大) |
| ・Led 24 cyber security exercises | ・オーストラリアを強化するため、280 以上の組織が参加する 24 のサイバーセキュリティ演習を主導した。 |
| involving over 280 organisations to strengthen Australia’s cyber resilience. | オーストラリアのサイバーレジリエンスを強化するため、280 以上の組織が参加する 24 のサイバーセキュリティ演習を主導。 |
| ・Operationalised amendments to the Security of Critical Infrastructure Act | ・重要インフラ保全法(Security of Critical Infrastructure Act)の改正を実施した。 |
| including through new incident categorisation thresholds and changes to the ReportCyber website. | (新しいインシデント分類の基準値やReportCyberウェブサイトの変更などを通じて) |
| ・Notified 5 critical infrastructure entities of malicious cyber activity and vulnerabilities | ・5つの重要インフラ事業体に対し、悪質なサイバー活動や脆弱性を通知した。 |
| potentially impacting their networks since the implementation of amendments to the Security of Critical Infrastructure Act. | 重要インフラの安全確保に関する法律が改正され、ネットワークに影響を与える可能性が出てきた。 |
| ・Completed the Critical Infrastructure Uplift Program (CI-UP) pilot | ・重要インフラ高度化プログラム(CI-UP)試験運用を完了した。 |
| and rolled out activities and tools open to all critical infrastructure partners. | (すべての重要インフラパートナーに公開された活動とツールを展開した) |
| What should individuals do? | 個人はどうすればいいのか? |
| Follow the ACSC’s easy steps to secure your devices and accounts including: | ACSCの簡単な手順に従って、以下のようなデバイスやアカウントを保護することができる。 |
| ・Update your devices | ・デバイスをアップデートする |
| and replace old devices that do not receive updates | デバイスをアップデートし、アップデートを受け取らない古いデバイスを交換する |
| ・Activate multi-factor authentication | ・多要素認証の有効化 |
| ・Regularly backup your devices | ・デバイスの定期的なバックアップ |
| ・Set secure passphrases | ・安全なパスフレーズを設定する |
| ・Watch out for scams | ・詐欺に注意する |
| ・Sign up to the ACSC’s free Alert Service | ・ACSCの無料アラートサービスに登録する |
| ・Report a cybercrime to the ACSC | ・ACSCにサイバー犯罪を報告する |
| What should organisations do? | 企業は何をすべきか? |
| For larger organisations: implement the ACSC’s Essential Eight mitigation strategies, Strategies to Mitigate Cyber Security Incidents and the Information Security Manual. | 大規模な組織の場合:ACSCのエッセンシャルエイト緩和戦略、サイバーセキュリティインシデントを軽減するための戦略、情報セキュリティマニュアルを実施する。 |
| For smaller organisations: follow the ACSC’s advice for ransomware, Business Email Compromise and other threats. | 小規模な組織の場合:ランサムウェア、ビジネスメール詐欺、その他の脅威に対するACSCのアドバイスに従う。 |
| ・Review the cyber security posture of remote workers | ・リモートワーカーのサイバーセキュリティ態勢を確認する。 |
| and their use of communication, collaboration and business productivity software. | (コミュニケーション、コラボレーション、ビジネス生産性ソフトウェア) |
| ・Patch vulnerabilities within 48 hours | ・48時間以内に脆弱性のパッチを適用する。 |
| If you cannot achieve this, consider using a cloud service provider or managed service provider that can. | (これを実現できない場合は、実現可能なクラウドサービスプロバイダーやマネージドサービスプロバイダーの利用を検討する) |
| ・Only use reputable cloud service providers and managed service providers | ・信頼できるクラウドサービスプロバイダーとマネージドサービスプロバイダーのみを使用すること |
| that implement appropriate cyber security measures. | 適切なサイバーセキュリティ対策を実施している |
| ・Sign up to become an ACSC partner | ・ACSCパートナーに登録する |
| to receive insights, Advisories and advice. | (洞察、アドバイザリー、アドバイスを受け取ることができる) |
| ・Test your cyber security detection, incident response, business continuity and disaster recovery plans. | ・サイバーセキュリティの検出、インシデント対応、事業継続、災害復旧計画をテストする。 |
| ・Report all cybercrime and cyber security incidents to the ACSC | ・すべてのサイバー犯罪およびサイバーセキュリティインシデントをACSCに報告する。 |
| via ReportCyber. | ReportCyber経由で。 |
● まるちゃんの情報セキュリティ気まぐれ日記
脅威状況
・2022.11.08 ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす
・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024
・2022.10.31 ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)
・2022.08.31 シンガポール サイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況
・2022.08.01 ENISA ランサムウェアについての脅威状況
・2022.07.29 ENISA サイバーセキュリティ脅威ランドスケープの方法論 (2022.07.06) ENISA流サイバーインテリジェンスの方法論?
・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)
・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増
・2021.07.28 ISACA サイバーセキュリティ調査報告2021 Part1 & Part2
・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット
・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。
・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート
・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。
・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね
こんにちは、丸山満彦です。
特定非営利活動法人情報システム監査普及機構さんが、「保証型システム監査の実践—システム監査業務のさらなる深化に向けて」を発行されていますね。。。献本いただきました。。。ありがとうございます。。。
目次
第1章 システム監査の全容と保証型システム監査の位置付け
1 監査とは
(1) 監査の三者関係
(2) 監査の必須条件
(3) 監査の前提
(4) 監査の定義
(5) 監査の本質
2 システム監査とは
(1) システム監査の目的
(2) システム監査の対象
(3) システム監査の必要性
(4) システム監査の効果
3 助言型システム監査と保証型システム監査
(1) 助言型システム監査
(2) 保証型システム監査
第2章 保証型システム監査とは
1 保証型システム監査の必要性
2 言明書と保証の意味について
(1) 言明書とは
(2) 保証の意味
3 保証型システム監査の分類定義
(1) 経営者主導方式
(2) 委託者主導方式
(3) 受託者主導方式
(4) 社会主導方式
4 保証型システム監査を実施するための前提条件
(1) 保証型システム監査が可能であること
(2) 言明書があること
(3) 言明書のもととなるシステム管理基準が作成されていること
(4) 適切なシステム監査チームを組織化すること
5 システム監査人に求められる能力と育成
6 保証型システム監査の流れ
コラム 「基準」と「規準」
第3章 保証型システム監査の契約まで
1 事前協議フェーズ
(1) 事前インタビュー
(2) 保証型システム監査の理解促進
(3) 言明書の理解促進
(4) 必要情報の存在確認
(5) 可監査性の確認
2 依頼フェーズ
(1) 言明書の作成
(2) 依頼書の作成
3 提案フェーズ
(1) 依頼内容検討
(2) 提案書の作成
(3) 提案書の提出
4 契約フェーズ
(1) 監査契約書で合意すべき項目
(2) システム監査人の倫理
(3) 機密保持に関する準備
コラム システム監査契約書
第4章 保証型システム監査の実施
1 計画フェーズ
(1) 監査計画の策定と合意
(2) 監査手続と監査手続書の作成
(3) 監査計画の見直し
2 調査フェーズ
(1) 情報収集
(2) 現地調査
(3) 調査作成
3 分析フェーズ
(1) 監査資料の整理/検出事項の抽出・個別評価
(2) 検出事項の整理
(3) 監査意見の形成
コラム KJ法とはどのようなものか
4 報告フェーズ
(1) 監査報告省案の作成
(2) 被監査組織との意見交換会
(3) 監査報告書の最終版の作成
(4) 監査報告会の開催
コラム 保証型システム監査と助言型システム監査の目的とその実施方針の違い
参考文献
システム監査用語集
索引
なかなか野心的な本だと思います。
システム監査人が保証型監査を理解しやすいように書かれているように思います。契約締結からしっかりと書かれているところが実践的だと思います。
全部を詳細には読んでいませんが、気になった点
・保証型監査の説明は、この本の本質に関わるところなので、もっと詳細に説明があったらよいと思いました。
・特に監査意見形成の部分は保証型監査のクライマックスであるのに記載がないように思いました。
・保証型システム監査の分類定義で(1) 経営者主導方式、(2) 委託者主導方式、(3) 受託者主導方式、(4) 社会主導方式が記載されているが、三者関係の中で整理すればよりわかりやすいだろうと思いました。
・監査のための規準は目的にあわせて自由に設計できるとあるが、規準として満たす要件があるので、それにも触れたほうが良かったように思いました。
ちなみに、今年私が、情報セキュリティ大学院大学で行った、情報セキュリティ・システム監査の授業で使った保証業務についてのテキスト的なもの。。。
・2022.07.23 [PDF] 保証業務
しかしながら、いずれにしてもしても、保証型システム監査のための第一歩として書籍にまとめたのは非常に大きな意義があると思います。
こんにちは、丸山満彦です。
日本監査協会が毎年発行している内部監査実施状況調査結果も今年で65回なんですね。。。
会員はPDFで読めるようです。書籍として7,700円でアマゾンから買えるようになりますね。。。
● 日本内部監査協会
・2022.08.30 第65回内部監査実施状況調査結果 -2020年度における各社の内部監査テーマ・要点集
目次は、
となっていますね。。。
サイバーセキュリティはなくて、情報システムの中に入っているのだろうと思います。業務サイクル別に監査をするということから、上記のような区分になるのだろうと思います。。。
会社全体から見るとサイバーセキュリティってこんなもんなんですかね。。。
こんにちは、丸山満彦です。
今の子供は、デジタル・ネイティブ世代ですから、デジタル空間に入るタイミングでサイバーセキュリティについても教えていく必要があるのでしょうね。。。
オーストラリア・サイバーセキュリティ・センター (Australian Cyber Security Centre; ACSC) の子供向けサイバーセキュリティのページの紹介です。。。
日本で言うと小学3, 4年生くらいの内容なんでしょうかね。。。
● Australian Cyber Security Centre; ACSC
次の5つが紹介されていますね。。。
| Step 1. Update your device: Updated devices are harder to hack and have newer features. | ステップ1.デバイスをアップデートしましょう。アップデートされたデバイスはハッキングされにくく、より新しい機能を備えています。 |
| Step 2. Turn on multi-factor authentication: Turn on multi-factor authentication (MFA) to protect your important accounts with extra login steps. | ステップ2. 多要素認証をオンにしましょう。多要素認証(MFA)をオンにすると、ログインの手順が増えるため、重要なアカウントを保護することができます。 |
| Step 3: Back up your device: A back up is a digital copy of your most important information. | ステップ3:デバイスのバックアップをとりましょう。バックアップは、あなたの最も重要な情報のデジタルコピーです。 |
| Step 4: Use a passphrase: Passphrases are the more secure version of passwords. Passphrase uses four or more random words as your password. For example, ‘purple duck boat sky’. | ステップ4:パスフレーズを使用しましょう。パスフレーズは、より安全なパスワードのバージョンです。パスフレーズは、4つ以上のランダムな単語をパスワードとして使用します。例えば、「purple duck boat sky」のように。 |
| Step 5: Recognise and report scams: Beating cybercriminals takes teamwork. | ステップ5:詐欺を認識し、報告しましょう。サイバー犯罪者に打ち勝つには、チームワークが必要です。 |
・[PDF] Cyber Security Instruction Manual: A kid's guide to using the internet securely
・[PDF] Surf Securely - Kid's colouring sheet
・[PDF] Cyber Security Poster for Kids
こんにちは、丸山満彦です。
スタンフォード大学が、AI監査のアイデアを募集しています。賞金総額は71,000ドルで、1位の賞金は25,000ドルです。
● Stanford University Human-Centered Artificial Intelligence
・2022.07.11 AI Audit Challenge
差別を生み出すようなAIが問題となっていることから、差別を生み出さないようになっていることを確認するようなシステムのアイデアを募集しているようです。論文のようなものではなく、既に使われているAIに対して利用できる実用的なものを求めているようです。(2022.10.10まで)
評価のポイントもあって、
| Insights: What did we learn using the tool? | 洞察力:そのツールを使って何を学んだか? |
| Alignment: How well anchored is the audit with legal and policy needs? | アライメント: 法的・政策的なニーズにどれだけ合致しているか? |
| Impact: How many people would benefit from the tool? | インパクト:そのツールによってどれだけの人が恩恵を受けるか? |
| Ease of use: Is the tool usable for our target audience? | 使いやすさ:対象者にとって使いやすいか? |
| Scalability: Can the tool be used at scale and/or used in different contexts? | 拡張性:そのツールは大規模に使用できるか、異なる文脈で使用できるか? |
| Replicability: Can the results be replicated by other users using the same systems? | 再現性:同じシステムを使っている他のユーザが結果を再現できるか? |
| Documentation: How well-explained are the findings? | 文書化:調査結果がどの程度説明されているか? |
| Sustainability: Is the tool financially and environmentally sustainable? | 持続可能性:経済的、環境的に持続可能か? |
ということのようです。。。
応募はこちらから。。。英語での応募となります。。。
こういう観点というのは重要なようです。。。
米国の雇用機会均等委員会
● U.S. Equal Employment opportunity commission wiki
・3. Who is protected from employment discrimination?
こんにちは、丸山満彦です。
個人情報保護委員会で、「第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」での資料等が公開されていますね。。。
● 個人情報法保護委員会
・2022.03.10 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会
・[PDF] 議事次第
・[PDF] 資料1 顔識別機能付きカメラの特性に関する国内外の評価
・[PDF] 資料2 本日ご議論いただきたい事項
・[PDF] 資料3 森構成員発表資料
・[PDF] 資料4 遠藤構成員発表資料
・[PDF] 参考資料 第1回検討会議事概要
「本日ご議論いただきたい事項 」は、
第1回及び今次会合における個人情報保護法上の規律、民事裁判例の状況、顔識別機能付きカメラシステムの技術的特徴や評価に関する説明を踏まえ、以下の観点からご議論いただきたい。
1. 顔識別機能付きカメラシステムを利用することが有効かつ必要であると考えられる場面
目的(テロ・重大犯罪防止、万引防止、行方不明者・徘徊者捜索、その他)
設置場所
撮影態様 等
2. 事業者に対応が求められる事項(上記目的の別にも着目して)
個人情報保護法の規律と不法行為法上の留意点の異同も踏まえ、事業者にはどのような対応が求められるか。
個人情報保護法上の規律が存在する事項について、より高い水準で行うべきもの
個人情報保護法上の規律は存在しないが、不法行為法上の観点から行うべきもの 等
ということだったようです。。。
委員会で用意した「資料1顔識別機能付きカメラの特性に関する国内外の評価」も参考になりますし、
森先生の「肖像権・プライバシーに関する裁判例」も参考になりますし、
遠藤先生の、「防犯カメラの利用による民事法上の肖像権・プライバシー侵害」も参考になりますね。。。
違法性の判断基準
(森先生の資料を参考に・・・)
・2001.02.06 Nシステム事件(東京地判平成13年2月6日)
① [情報の性質] 取得、保有、利用される情報が個人の思想、信条、品行等に関わるかなどの情報の性質、
② [目的] 情報を取得、保有、利用する目的が正当なものであるか、
③ [方法] 情報の取得、保有、利用の方法が正当なものであるか
などを総合して判断すべき
・著名人コンビニ万引き事件 (東京地判平成22年9月27日(判タ1343号153頁))
① [目的] 撮影の目的、
② [必要性] 撮影の必要性
③ [方法] 撮影の方法、
④ [管理方法] 撮影された画像の管理方法
等諸般の事情を総合考慮して、撮影されない利益と撮影する利益を比較衡量して、受忍限度を超えるものかどうかを判断すべき
(遠藤先生の資料を参考に・・・)
① [社会的地位] 被撮影者の社会的地位*、
② [活動内容] 撮影された被撮影者の活動内容、
③ [場所] 撮影の場所**、
④ [目的] 撮影の目的、
⑤ [態様] 撮影の態様、
⑥ [必要性] 撮影の必要性
等を総合考慮して、被撮影者の人格的利益の侵害が社会生活上受忍の限度を超えるといえるかどうかを判断基準としている。
*: 有名人かどうかといった基準
**: 公開の場所、道路上、私的な場所か公的な場所かという基準
● まるちゃんの情報セキュリティ気まぐれ日記
この委員会
・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会
・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置
AI規制法案
・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出
・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26
・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね
英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」
・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念
欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)
・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。
Faicial Recognition
・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります
・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置
・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05
・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究
・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)
・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知
・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」
・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法
・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13
・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知
・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30
・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23
・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表
・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性
・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09
・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」
・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03
・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。
・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス
・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス
・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請
・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表
・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念
・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」
・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)
・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。
・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。
・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています
・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。
・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね
・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。
・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。
・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表
・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。
・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。
・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録
・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22
・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)
・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。
・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない
・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定
・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題
・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION
・2020.02.17 遠くからでもわかる顔認識システム!
ぐっと遡って、2000年代
・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)
・2005.08.11 外務省 IC旅券調査研究報告書
・2005.02.04 監視社会と信頼関係
Recent Comments