監査 / 認証

2022.12.03

ENISA サイバーセキュリティ市場分析をするためのディスカッション

こんにちは、丸山満彦です。

規制というのは、(寡占、公害といった外部不経済、情報の偏りなどの理由で)完全競争市場ではない市場において生じている社会全体の利潤の減少を補正し、完全競争市場であれば得られたであろう利潤に持っていくための手段なのだろうと思っています。なので、今ある市場がどのような状態であるのかということを理解することは、どのような補正をすれば、社会的に利潤が最大化するかを理解する上で重要なことだとおもっています。。。

また、企業にとっても市場を正しく理解することは、今後の製品、サービス開発にとっても重要なインプットとなりますね。。。

ということで、ENISAはサイバーセキュリティ市場をどのようにすれば適切に理解できるのかという市場分析の手法について、さまざまな立場の有識者を交えたディスカッションを通じて理解しようとしていますね。。。(今年の4月には暫定版の報告書も公開し、配電網分野のIoTセキュリティ市場での調査結果も公表しています。。。)

日本の政策決定課程との大きな違いかもですね。。。(政策を入れた時の社会への影響分析も欧米ではしますよね。。。日本ではあまり見たことないですが。。。)。日本の場合は、大きな声(利権に関わるので自然と声が大きくなる)の人の意見がより大きく政策に影響され、かえって市場が歪められていたりして。。。で、その結果、国際的な競争力を失っていたりして。。。 知らんけど。。。

さて、ENISAが11月23日ー24日にクラウドサービスを中心に行ったディスカッションのメモ...

結論...

  1. サイバーセキュリティの市場分析には、セクターの特異性を捉えるように設計された方法論を採用すべきである。
  2. サイバーセキュリティ・レジリエンス法は、サイバーセキュリティ市場の透明性を高める画期的な法律案である。同時に、域内市場、サイバーセキュリティ、レジリエンス政策を含む領域をシームレスにカバーするために、他の法律との整合性を確保することが重要である。
  3. EUのサイバーセキュリティ市場を改善し、できればその潜在能力を最大限に発揮させるためには、スキルギャップを解消することが必要である。
  4. 欧州のサイバーセキュリティ市場におけるクラウドセキュリティインフラへの投資レベルは、他の地域(例:米国)の取り組みに比べると遅れている。
  5. 政府は、(国家による攻撃など)必要なときにサイバーセキュリティサービスを利用できるEU市場で活動するサービスプロバイダの目録を保持する必要がある。
  6. サイバーセキュリティの認証制度は、中小企業の投資の可能性に見合ったものである必要がある。

Enisa_20221203060901

 

ENISA

・2022.12.01 Going to the market for Cybersecurity Market Analysis

Going to the market for Cybersecurity Market Analysis サイバーセキュリティ市場分析のために市場へ出向く
The European Union Agency for Cybersecurity (ENISA) organised its first conference on cybersecurity market analysis last week for EU cybersecurity market stakeholders to share experiences and initiate the debate on how to best perform EU cybersecurity market analysis. 欧州連合サイバーセキュリティ機関(ENISA)は先週、EUサイバーセキュリティ市場の関係者を対象に、サイバーセキュリティ市場分析に関する初の会議を開催し、EUサイバーセキュリティ市場分析の最善の実行方法について経験を共有し、議論を開始した。
The objective of the market conference held in Brussels on 23-24 November during the Certification week organised by ENISA, was to promote a policy debate in the area of cybersecurity market analysis. It allowed stakeholders to share their experiences and views on aspects of cybersecurity and what they perceive to be the EU market thereof. ENISAが主催する認証週間中の11月23日から24日にかけてブリュッセルで開催された市場会議の目的は、サイバーセキュリティ市場分析の分野における政策論争を促進することでした。この会議では、関係者がサイバーセキュリティの側面とそのEU市場に関する認識について、それぞれの経験や見解を共有することができた。
Focusing primarily on cloud services, suppliers and users of cybersecurity services, national and European regulators, and research organisations shared the main cybersecurity market trends. They also addressed the questions raised by the evolution of the European cybersecurity regulatory framework and the impact it is likely to have on their affairs and businesses. Such feedback is essential to identify current gaps in the market, seize business opportunities and assess the impact of the cybersecurity requirements. 主にクラウドサービスに焦点を当て、サイバーセキュリティサービスのサプライヤーとユーザー、国内および欧州の規制当局、研究機関が、サイバーセキュリティ市場の主要な動向を共有した。また、欧州のサイバーセキュリティ規制の枠組みの進化によって生じる疑問や、それが自分たちの業務やビジネスに与えるであろう影響についても取り上げた。このようなフィードバックは、市場における現在のギャップを特定し、ビジネスチャンスを掴み、サイバーセキュリティ要件がもたらす影響を評価するために不可欠なものである。
Lorena Boix Alonso is Director for Digital Society, Trust and Cybersecurity inat the European Commission’s Directorate General for Communications Networks Content and Technology (DG CONNECT), stated: "The EU Cybersecurity sector grows fast to match increased digitisation and cyber threats. The European Cyber Competence Center and the EU Agency for Cybersecurity-ENISA are instrumental to increase the EU cyber posture, respectively contributing to strategic investments on cyber capabilities and operational guidance on cyber resilience. We already have a strong research basis on cyber in the EU, but lag behind on turn that research into market impact. We also suffer from a shortage of skilled cyber workers, which is why the Commission will work with others to build a European Cybersecurity Skills Academy." 欧州委員会の通信ネットワーク・コンテンツ・技術総局(DG CONNECT)のデジタル社会・信頼・サイバーセキュリティ担当ディレクターであるロリーナ・ボワ・アロンソは、次のように述べている。「EUのサイバーセキュリティ部門は、デジタル化の進展とサイバー脅威の増大に合わせて急速に成長している。欧州サイバーコンピテンスセンターと欧州サイバーセキュリティ機関(ENISA)は、それぞれサイバー能力に関する戦略的投資とサイバーレジリエンスに関する運用指針に貢献し、EUのサイバー態勢の強化に寄与している。EUには、サイバーに関する強力な研究基盤がすでにあるが、その研究を市場にインパクトのあるものにすることについては遅れをとっている。また、熟練したサイバー従事者の不足にも悩まされている。だからこそ、欧州委員会は他の機関と協力して、欧州サイバーセキュリティ技能アカデミーを設立するのである」。
ENISA Executive Director, Juhan Lepassaar said: "We need to make sure our cybersecurity market is fit for our purpose to make the EU cyber resilient. The market analysis framework developed by ENISA will help identify potential loopholes and map synergies at work. With the right tools and insights from the experience of all our stakeholders across the EU Member States, cybersecurity market analysis will allow us to better understand where to apply our efforts to improve our efficiency." ENISAのJuhan Lepassaar事務局長は、次のように述べた。 「我々は、EUのサイバーレジリエンスを高めるために、サイバーセキュリティ市場が我々の目的に適合していることを確認する必要がある。ENISAが開発した市場分析フレームワークは、潜在的な抜け穴を特定し、作業中の相乗効果をマッピングするのに役立つ。適切なツールとEU加盟国中のすべての関係者の経験からの洞察により、サイバーセキュリティ市場分析では、どこに我々の努力を適用して効率を向上させるべきかをよりよく理解できるようになる。」
Outcomes 成果
During the event, speakers and participants engaged in a lively discussion concerning a host of cybersecurity market aspects. Key conclusions include the following: イベント期間中、講演者と参加者は、サイバーセキュリティ市場の多くの側面について、活発な議論を行った。主な結論は以下の通りである。
・Cybersecurity market analysis should adopt methodologies, that are designed to capture sectoral specificities. ・サイバーセキュリティの市場分析には、セクターの特異性を捉えるように設計された方法論を採用すべきである。
・The Cybersecurity Resilience Act is a ground-breaking piece of draft legislation, which enhances transparency in the cybersecurity market. At the same time, it is important to ensure alignment with other pieces of legislation to seamlessly cover the spectrum that includes, internal market, cybersecurity and resilience policies. ・サイバーセキュリティ・レジリエンス法は、サイバーセキュリティ市場の透明性を高める画期的な法律案である。同時に、域内市場、サイバーセキュリティ、レジリエンス政策を含む領域をシームレスにカバーするために、他の法律との整合性を確保することが重要である。
・It is necessary to close the skills gap in order to improve and hopefully unleash the full potential of the EU cybersecurity market. ・EUのサイバーセキュリティ市場を改善し、できればその潜在能力を最大限に発揮させるためには、スキルギャップを解消することが必要である。
・The level of investment in cloud security infrastructure in the European cybersecurity market lags the efforts across other regions (e.g. US). ・欧州のサイバーセキュリティ市場におけるクラウドセキュリティインフラへの投資レベルは、他の地域(例:米国)の取り組みに比べると遅れている。
・Governments should hold an inventory of the service providers operating in the EU market that make available cybersecurity services when needed (e.g. state-sponsored attacks). ・政府は、(国家による攻撃など)必要なときにサイバーセキュリティサービスを利用できるEU市場で活動するサービスプロバイダの目録を保持する必要がある。
・Cybersecurity certification schemes need to remain proportionate to the investment potential of SMEs. ・サイバーセキュリティの認証制度は、中小企業の投資の可能性に見合ったものである必要がある。
Background 開催背景
The conference that mobilised about 35 speakers, was organised across a range of discussion panels covering the following 6 key topics: 本コンファレンスでは、約35名の講演者が参加し、以下の6つの主要なトピックについて、様々なディスカッションパネルが構成されました。
1. Overview of the EU regulatory approach on cybersecurity; 1. サイバーセキュリティに関するEUの規制アプローチの概要
2. EU digital single market: cybersecurity requirements; 2. EUのデジタル単一市場:サイバーセキュリティの要件
3. Current Practices in Market Analysis and interplay with cybersecurity; 3. 市場分析における現在の実践とサイバーセキュリティとの相互作用。
4. Cybersecurity market: cooperation, innovation and investment strategies; 4. サイバーセキュリティ市場:協力、イノベーション、投資戦略。
5. Strengths, weaknesses, opportunities and threats for the EU cloud cybersecurity market; 5. EUクラウドサイバーセキュリティ市場の強み、弱み、機会、脅威。
6. Cybersecurity certification – driver for the EU cybersecurity market. 6. サイバーセキュリティ認証 - EUのサイバーセキュリティ市場のドライバー。
A sound market analysis can help market players and regulators make informed decisions on cybersecurity devices or services to use, policy initiatives and research and innovation funding. 健全な市場分析は、市場関係者や規制当局が、使用するサイバーセキュリティ機器やサービス、政策的取り組み、研究・イノベーションへの資金提供について、十分な情報に基づいた決定を下すのに役立つ。
For this purpose, ENISA developed a framework to carry out cybersecurity market analysis and it applied it already to the market of the Internet of Things (IoT) distribution grid. The focus shifted to cloud services in 2022. この目的のために、ENISAはサイバーセキュリティ市場分析を行うためのフレームワークを開発し、すでにモノのインターネット(IoT)配電網の市場に適用している。2022年にはクラウドサービスに焦点が移った。
A dedicated Ad Hoc Working Group (AHWG) on the EU Cybersecurity Market has been of assistance to ENISA. EUサイバーセキュリティ市場に関する専門のアドホック・ワーキング・グループ(AHWG)は、ENISAを支援している。
Target audience 対象者
・EU institutions, bodies and Agencies; ・EUの機関、団体、機関
・Member States/public authorities; ・加盟国/公的機関
・ENISA stakeholder groups; ・ENISAのステークホルダー・グループ
・Service providers; ・サービスプロバイダー
・Independent experts; ・独立した専門家
・Industry and industry associations; ・産業界および業界団体
・Research institutions and research related entities; ・研究機関及び研究関連団体
・Consumer organisations/associations. ・消費者組織・団体
Further information その他の情報
Cybersecurity Market Analysis Framework – ENISA report 2022 サイバーセキュリティ市場分析フレームワーク - ENISAレポート2022年版
EU Cybersecurity Market Analysis – IoT in Distribution Grids – ENISA report 2022 EUサイバーセキュリティ市場分析-配電網のIoT-ENISAレポート2022年版

 

サイバーセキュリティ市場分析フレームワークのページ...

● ENISA - Topics - MarketCybersecurity Market Analysis Framework

・Detail

The ENISA Cybersecurity Market Analysis Framework is a “cookbook” on how EU cybersecurity market analyses can be performed. is the cornerstone of ENISA activities in analysing the EU cybersecurity market, as it is used within ENISA to scope, customise and perform market analyses ENISAサイバーセキュリティ市場分析フレームワークは、EUサイバーセキュリティ市場分析をどのように行うことができるかについての「料理本」である。 は、ENISA内で市場分析の範囲、カスタマイズ、実行に使用されており、EUサイバーセキュリティ市場の分析におけるENISA活動の基礎となるものである。
Cybersecurity Market Analysis Framework サイバーセキュリティ市場分析フレームワーク
It is based on existing market analysis good practices and proposes improvements towards covering cybersecurity products, services and processes. In this context, in 2021 ENISA has developed an initial version of a cybersecurity analysis method. This work resulted in the initial version of the ENISA Cybersecurity Market Analysis Framework (ECSMAF)[1]. 既存の市場分析のグッドプラクティスに基づき、サイバーセキュリティ製品、サービス、プロセスをカバーする方向で改善を提案している。この文脈で、2021年、ENISAはサイバーセキュリティ分析手法の初期版を開発した。この作業の結果、初期バージョンのENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)が誕生した[1]。
Essentially, this framework is aimed at those who need a market analysis for a cybersecurity market product, service and processe. It explains what the market analyst should do to describe the cybersecurity market segment (for example, a specific technology) and have an informed view of the demand and supply sides of the cybersecurity market in that segment. 基本的に、このフレームワークは、サイバーセキュリティ市場の製品、サービス、プロセスについて市場分析を必要とする人を対象としている。サイバーセキュリティ市場のセグメント(例えば、特定の技術)を説明し、そのセグメントにおけるサイバーセキュリティ市場の需要側と供給側の情報に基づいた見解を持つために、市場分析が何をすべきかを説明している。
More specifically, ECSMAF has several aims such as to 具体的には、ECSMAFには以下のような狙いがある。
・help identify gaps and opportunities in the European cybersecurity market; ・欧州のサイバーセキュリティ市場におけるギャップと機会の特定を支援する。
・serve as a template or model or guide for putting together a cybersecurity market analysis that can be used for assessing the prospects for any new cybersecurity product, service or process; ・新しいサイバーセキュリティ製品、サービス、プロセスの見通しを評価するために使用できるサイバーセキュリティ市場分析をまとめるためのテンプレートまたはモデル、ガイドとして機能する。
・support the European cybersecurity market by applying more rigour and a more comprehensive, structured approach to the analysis of the market prospects for new products, services and/or processes; ・新しい製品、サービス、プロセスの市場見込みの分析に、より厳密で、より包括的、構造化されたアプローチを適用することによって、欧州のサイバーセキュリティ市場を支援する。
・complement other related work in ENISA (e.g., in risk assessment, research and innovation, cybersecurity index, policy development, cybersecurity certification) and outside ENISA (e.g., national market observatories and statistics organisations); ・ENISA の他の関連業務(例:リスク評価、研究・イノベーション、サイバーセキュリティ指標、政策立案、サイバーセキュリティ認証)および ENISA の外部(例:各国の市場観測機関、統計機関)を補完する。
・help the cybersecurity market analyst prepare a credible market analysis for new cybersecurity products, services and/or processes; ・サイバーセキュリティ市場分析が、新しいサイバーセキュリティ製品、サービス、および/またはプロセスのための信頼できる市場分析を準備するのを支援する。
・establish comparability and quality compliance among the results achieved within a single organisation (inter-organisation consistency); ・単一の組織内で達成された結果間の比較可能性と品質コンプライアンスを確立する(組織間の整合性)。
・establish comparability and quality compliance among results achieved by various analysts of various organisations (intra-organisation consistency); ・様々な組織の様々な分析が達成した結果間の比較可能性と品質コンプライアンスを確立する(組織内一貫性)。
・increase re-usability of material developed within various analysis surveys. ・様々な分析調査において開発された資料の再利用性を高める。
Currently, ECSMAF is used by ENISA within performed cybersecurity market analyses, while it is subject of continuous improvements to enhance its applicability and usefulness for a variety of stakeholders who might be interested in performing their own cybersecurity market analyses. Examples of these stakeholders are: 現在、ECSMAFは、ENISAが実施したサイバーセキュリティ市場分析で使用されているが、独自のサイバーセキュリティ市場分析を実施することに関心を持つ様々な利害関係者にとって、その適用性と有用性を高めるために、継続的な改善が行われている。これらの利害関係者の例としては
・EU institutions, bodies and agencies (e.g., DG-CNECT, DG-GROW, DG-JRC, DG-RTD, DG-TRADE, European Cybersecurity Competence Centre - ECCC, Eurostat, etc.). EU regulation and impact assessments often take into account market issues. Market analyses are important to help policymakers understand trends as well as related demand and supply issues. Market analyses can also help shape future calls in Horizon Europe and other EU programmes where there are market gaps. ・EUの機関、団体、機関(例:DG-CNECT, DG-GROW, DG-JRC, DG-RTD, DG-TRADE, European Cybersecurity Competence Centre - ECCC, Eurostat, etc.):EUの規制や影響評価は、しばしば市場の問題を考慮に入れている。市場分析は、政策立案者がトレンドや関連する需要や供給の問題を理解するために重要である。また、市場分析は、市場にギャップがある場合、ホライゾンヨーロッパや他のEUプログラムにおける将来の募集を形成するのに役立つことがある。
・Public authorities, especially cybersecurity authorities. Cybersecurity market surveillance is subject to regulation (e.g., CSA). The framework and its application may help in comparative market analyses and identifying shared efforts between the Member States. ・公的機関、特にサイバーセキュリティ当局。サイバーセキュリティの市場サーベイランスは規制の対象である(例:CSA):このフレームワークとその適用は、市場比較分析や加盟国間の共有努力の特定に役立つ可能性がある。
・ENISA stakeholder groups (e.g., European Cybersecurity Certification Group (ECCG) composed of Member States, Stakeholder Cybersecurity Certification Group, ENISA Advisory Group). The framework may support decision-making for prioritising certification efforts and spotting market gaps. ・ENISA の関係者グループ(例:加盟国で構成される欧州サイバーセキュリティ認証グループ(ECCG)、関係者サイバーセキュリティ認証グループ、ENISA アドバイザリーグループ):フレームワークは、認証の取り組みの優先順位付けや市場のギャップを見出すための意思決定を支援することができる。
・Industry associations [e.g., Ecosystem of Certification, EU TIC Council, the European Cyber Security Organisation (ECSO), the Information Security Forum (ISF)]: Industry and professional associations can use the framework to identify market opportunities, trends, challenges and vulnerabilities and the creation of competitive advantages to EU industry players. ・業界団体[例:認証のエコシステム、EU TIC 協議会、欧州サイバーセキュリティ組織(ECSO)、情報セキュリティフォーラム(ISF)]:業界団体や専門家団体は、市場の機会、傾向、課題、脆弱性を特定し、EUの業界関係者に競争上の優位性を創出するために、このフレームワークを利用することができる。
・Consumer organisations/associations. By using the framework, such organisations may assess the needs and requirements of consumers for cybersecurity products and services and their prospects in the European cybersecurity market. ・消費者団体/協会:このような組織は、フレームワークを使用することで、サイバーセキュリティ製品とサービスに対する消費者のニーズと要件、および欧州のサイバーセキュリティ市場における消費者の見通しを評価することができる。
・Research institutions may use the proposed methodology to assess the maturity of existing products and markets and guide the development of new technologies and services. ・研究機関:研究機関は、既存の製品や市場の成熟度を評価し、新しい技術やサービスの開発を指導するために、提案された方法論を使用することができる。
・Companies providing cybersecurity products, services and/or processes (supply side). The European Council has estimated that there are 60,000 such companies in Europe. Some are major companies who already conduct sophisticated market analyses, but by far the majority could benefit from some market analysis advice. For some companies, cybersecurity is their principal business; for others, it is just one line of business among others. ・サイバーセキュリティ製品、サービス、および/またはプロセスを提供する企業(供給側):欧州理事会は、欧州にそのような企業が6万社あると推定している。中には、すでに高度な市場分析を行っている大手企業もあるが、圧倒的に多くの企業が何らかの市場分析アドバイスを受けることができるだろう。サイバーセキュリティが主要な事業である企業もあれば、他の事業の中の1つに過ぎない企業もある。
・Companies who need cybersecurity products, services and/or processes (demand side). Such companies may have information security professionals and/or procurement officials who need to improve their companies’ cybersecurity. Hence, they need to find out what is available in the market to meet their needs and requirements. ・サイバーセキュリティの製品、サービス、および/またはプロセスを必要とする企業(需要側):このような企業には、自社のサイバーセキュリティを改善する必要がある情報セキュリティ専門家や調達担当者がいるかもしれない。したがって、彼らは、自分たちのニーズと要件を満たすために、市場で何が利用可能であるかを見つける必要がある。
In its current version, ECSMAF can be found HERE[2]. ECSMAFの現在のバージョンはこちら[2]。
[1] url [1]
[2] url [2]
LATEST PUBLICATIONS 最新出版物
ENISA Cybersecurity Market Analysis Framework (ECSMAF) ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)
This document is the cornerstone of ENISA activities in analysing the EU cybersecurity market: it presents a cybersecurity market analysis framework as a “cookbook” on how EU cybersecurity market analyses can be performed. この文書は、EUサイバーセキュリティ市場の分析におけるENISA活動の基礎となるもので、EUサイバーセキュリティ市場の分析をどのように行うことができるかについての「料理本」としてサイバーセキュリティ市場分析フレームワークを提示している。
[PDF] [PDF]
EU Cybersecurity Market Analysis - IoT in Distribution Grid EUサイバーセキュリティ市場分析-配電網のIoT化
This report analyses demand and supply of IoT cybersecurity in distribution grids. It provides detailed indications on how this market might further develop in the future. The conclusions provided in the report are related to the envisaged scope, being thus non-exhaustive with regard to the entire smart-grid infrastructure. 本報告書では、配電網におけるIoTサイバーセキュリティの需要と供給について分析している。この市場が今後どのように発展していくかについて、詳細な示唆を与えている。本レポートで提供される結論は、想定される範囲に関連しており、したがってスマートグリッドインフラ全体に関して網羅的ではない。
[PDF] [PDF]

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.11 ENISA サイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワーク

 

 

 

| | Comments (0)

2022.11.25

ENISA EUにおけるサイバーセキュリティ投資 2022

こんにちは、丸山満彦です。

ENISAがセキュリティ投資に関する報告書2022年版を公表していますね。。。

なかなか興味深いです。。。

健康セクター、エネルギーセクターについては詳細な分析をしていますね。。。そして、大企業と中小企業の比較とかも。。。

昨年に比べて、セキュリティに対する投資が減少しているようです。。。

 

ENISA

・2022.11.23 Cybersecurity Investments in the EU: Is the Money Enough to Meet the New Cybersecurity Standards?

 

Cybersecurity Investments in the EU: Is the Money Enough to Meet the New Cybersecurity Standards? EUにおけるサイバーセキュリティへの投資。新しいサイバーセキュリティ基準を満たすための資金は十分か?
The European Union Agency for Cybersecurity publishes the latest report on Network and Information Security Investments in the EU providing an insight on how the NIS Directive has impacted the cybersecurity budget of operators over the past year with deep-dives into the Energy and Health sectors. 欧州連合サイバーセキュリティ機関は、EUにおけるネットワークと情報セキュリティへの投資に関する最新報告書を発表し、NIS指令が過去1年間に事業者のサイバーセキュリティ予算に与えた影響について、エネルギーと健康分野を深く掘り下げて考察している。
The report analyses data collected from Operators of Essential Services (OES) and from Digital Service Providers (DSP) identified in the European Union's Directive on Network and Information Security Systems (NIS Directive). The analysis seeks to understand whether those operators have invested their budgets differently over the past year in order to meet the new requirements set by the legislative text. この報告書では、EUの「ネットワークおよび情報セキュリティシステムに関する指令(NIS指令)」で特定された「必須サービス事業者(OES)」と「デジタルサービス事業者(DSP)」から収集したデータを分析している。この分析では、これらの事業者が、法文で定められた新たな要件を満たすために、過去1年間に異なる形で予算を投じたかどうかを理解することを目的としている。
EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar, declared: “The resilience of our EU critical infrastructures and technologies will highly depend on our ability to make strategic investments. I am confident that we have the competence and skills driving us to achieve our goal, which is to ensure we will have the adequate resources at hand to further develop our cybersecurity capacities across all economic sectors of the EU." EUサイバーセキュリティ機関、エグゼクティブディレクターのJuhan Lepassaarは、次のように宣言している。「EUの重要なインフラと技術のレジリエンスは、戦略的な投資を行う能力に大きく依存する。私は、EUのすべての経済部門にわたってサイバーセキュリティ能力をさらに発展させるための適切なリソースを手元に確保するという目標を達成するための能力とスキルを、私たちが持っていると確信している。」
Contextual parameters framing the analysis 分析を構成する文脈的パラメータ
The report includes an analysis reaching more than 1000 operators across the 27 EU Member States. Related results show that the proportion of Information Technology (IT) budget dedicated to Information Security (IS) appears to be lower, compared to last year's findings, dropping from 7.7% to 6.7%. 本報告書には、27のEU加盟国にわたる1000以上の事業者を対象とした分析が含まれている。その結果、情報技術(IT)予算のうち情報セキュリティ(IS)に充てられる割合は、昨年の調査結果と比較して低くなっており、7.7%から6.7%に減少していることが判明した。
These numbers should be conceived as a general overview of information security spending across a varied typology of strategic sectors. Accordingly, specific macroeconomic contingencies such as COVID19 may have influenced the average results.   これらの数値は、戦略部門の様々な類型における情報セキュリティ支出の一般的な概観として理解されるべきである。したがって、COVID19のような特定のマクロ経済的偶発事象が平均結果に影響を及ぼしている可能性がある。 
What are the key findings? 重要な発見
The NIS Directive, other regulatory obligations and the threat landscape are the main factors impacting information security budgets; NIS指令、その他の規制義務、脅威の状況が、情報セキュリティ予算に影響を与える主な要因である。
Large operators invest EUR 120 000 on Cyber Threat Intelligence (CTI) compared to EUR 5 500 for SMEs, while operators with fully internal or insourced SOCs spend around EUR 350 000 on CTI, which is 72% more than the spending of operators with a hybrid SOC; 大規模事業者はサイバー脅威インテリジェンス(CTI)に12万ユーロを投資しているのに対し、中小企業は5500ユーロ、完全内部またはインソースSOCを持つ事業者はCTIに約35万ユーロを費やしており、ハイブリッドSOCを持つ事業者の支出より72%多い。
The health and banking sectors bear the heaviest cost among the critical sectors in case of major cybersecurity incidents with the median direct cost of an incident in these sectors amounting to EUR 300 000; 大規模なサイバーセキュリティインシデントが発生した場合、重要なセクターの中で最も重いコストを負担するのは医療と銀行セクターであり、これらのセクターにおけるインシデントの直接コストの中央値は30万ユーロにのぼる。
37% of Operators of Essential Services and Digital Service Providers do not operate a SOC;  重要サービス事業者とデジタルサービス事業者の37%は、SOCを運用していない。 
For 69% the majority of their information security incidents are caused by vulnerabilities in software or hardware products with the health sector declaring the higher number of such incidents; 69%の事業者が、情報セキュリティ事故の大半をソフトウェアまたはハードウェア製品の脆弱性に起因させるとしており、その件数は医療セクターが突出して多いとしている。
Cyber insurance has dropped to 13% in 2021 reaching a low 30% compared to 2020; サイバー保険は、2021年には13%に低下し、2020年と比較して30%という低い水準に達している。
Only 5% of SMEs subscribe to cyber insurance; 中小企業でサイバー保険に加入しているのはわずか5%。
86% have implemented third-party risks management policies. 86%が第三者リスクマネジメントを導入している。
Key findings of Health and Energy sectors 健康分野とエネルギー分野の主な調査結果
・Health ・健康分野
From a global perspective, investments in ICT for the health sector seem to be greatly impacted by COVID-19 with many hospitals looking for technologies to expand healthcare services to be delivered beyond the geographical boundaries of hospitals. Still, cybersecurity controls remain a top priority for spending with 55% of health operators seeking increased funding for cybersecurity tools. グローバルな視点から見ると、健康分野へのICT投資はCOVID-19の影響を大きく受けているようで、多くの病院が病院の地理的な境界を越えて提供される医療サービスを拡大するための技術を求めているようである。それでも、サイバーセキュリティ対策は依然として支出の最優先事項であり、医療事業者の55%がサイバーセキュリティ・ツールのための資金増額を求めている。
64% of health operators already resort to connected medical devices and 62% already deployed a security solution specifically for medical devices. Only 27% of surveyed OES in the sector have a dedicated ransomware defence programme and 40% of them have no security awareness programme for non-IT staff. 医療事業者の64%は、すでに接続された医療機器に頼り、62%は医療機器専用のセキュリティソリューションをすでに導入している。 この分野の調査対象OESのうち、ランサムウェア専用の防御プログラムを実施しているのは27%のみで、40%は非ITスタッフ向けのセキュリティ啓発プログラムを持っていない。
・Energy ・エネルギー
Oil and gas operators seem to prioritise cybersecurity with investments increasing at a rate of 74%.  Energy sector shows a trend in investments shifting from legacy infrastructure and data centres to cloud services. 石油・ガス事業者は、サイバーセキュリティを優先しているようで、投資額は74%の割合で増加している。 エネルギー分野では、レガシーインフラやデータセンターからクラウドサービスへと投資がシフトしている傾向が見られる。
However, 32% of operators in this sector do not have a single critical Operation Technology (OT) process monitored by a SOC. OT and IT are covered by a single SOC for 52% of OES in the energy sector. しかし、この分野の事業者の32%は、SOCによって監視されている重要なオペレーションテクノロジー(OT)プロセスを1つも持っていない。 エネルギー分野のOESの52%では、OTとITが1つのSOCでカバーされている。
Background 背景
The objective of the Directive on Security of Network and Information Systems (NIS Directive) is to achieve a high common level of cybersecurity across all Member States. ネットワークと情報システムのセキュリティに関する指令(NIS指令)の目的は、全加盟国に共通する高いレベルのサイバーセキュリティを実現することである。
One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for OES and DSP. NIS指令の3つの柱の1つは、OESとDSPに対するリスクマネジメントと報告義務の実施である。
OES provide essential services in strategic sectors of energy (electricity, oil and gas), transport (air, rail, water and road), banking, financial market infrastructures, health, drinking water supply and distribution, and digital infrastructure (Internet exchange points, domain name system service providers, top-level domain name registries). OESは、エネルギー(電力、石油、ガス)、輸送(航空、鉄道、水、道路)、銀行、金融市場インフラ、健康、飲料水の供給と配給、デジタルインフラ(インターネット交換ポイント、ドメインネームシステムサービスプロバイダ、トップレベルドメイン名レジストリ)の戦略的分野で必須サービスを提供している。
DSP operate in an online environment, namely online marketplaces, online search engines and cloud computing services. DSPはオンライン環境、すなわちオンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービスにおいて事業を展開している。
The report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. It also gives an overview of the situation in relation to such aspects as IT security staffing, cyber insurance and organisation of information security in OES and DSP. この報告書では、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査している。また、OESとDSPにおけるITセキュリティの人材配置、サイバー保険、情報セキュリティの組織といった側面に関する状況についても概要を示している。
Further information 詳細はこちら
NIS Investments – ENISA report 2022 NIS投資 - ENISA報告書2022
NIS Investments – ENISA Report 2021 NIS投資 - ENISA報告書2021
NIS Investments – ENISA Report 2020 NIS投資 - ENISA報告書2020
ENISA Topic - NIS Directive ENISA トピック - NIS 指令

 

・2022.11.23 NIS Investments 2022

NIS Investments 2022 NIS投資 2022年
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors. Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets. 本報告書は、ENISAのNIS Investments報告書の第3版であり、欧州連合のネットワークと情報システムのセキュリティに関する指令(NIS指令)で特定されたOperators of Essential Services(OES)とDigital Service Providers(DSP)が、サイバーセキュリティ予算をどのように投資し、この投資がNIS指令にどのように影響されてきたかというデータを収集したものである。さらに、グローバルなサイバーセキュリティ市場の動向を、ガートナーのセキュリティデータと世界およびEUで観測された知見を通じて紹介し、関連するダイナミクスをより深く理解できるようにしている。今年の報告書では、EU加盟全27カ国の1080のOES/DSPから収集したデータを紹介しており、前年比やトレンドの特定を可能にする履歴データセットを提供できるようになった。さらに、エネルギーと健康の分野では、分野別の深堀りが行われた。全体として、ITおよび情報セキュリティ(IS)予算や、IT予算のうちISに費やされた割合など、多くの絶対値が昨年に比べて大幅に減少しているようである。これは、調査サンプルの構成や、エネルギー・健康分野の深堀りによりOESの比率が高くなったことに加え、COVID-19が各予算に与える影響など、マクロ経済環境にも起因していると思われる。

 

・[PDF] NIS Investments 2022

20221125-35334

・[DOCX] 仮訳

 

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive)[1] invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics.  本報告書は、ENISAのNIS投資報告書の第3弾となる。本報告書では、ネットワークと情報システムのセキュリティに関する欧州連合の指令(NIS指令)[1] で特定された事業者(OES)とデジタルサービスプロバイダー(DSP)が、サイバーセキュリティ予算をどう投資し、この投資がNIS指令にどう影響されてきたかというデータを集めている。さらに、グローバルなサイバーセキュリティ市場の動向を、ガートナーのセキュリティデータとグローバルおよびEUで観測されたインサイトを通じて提示し、関連する力学の理解を深めている。 
This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors.  今年の報告書は、EU全27加盟国の1080のOES/DSPから収集したデータを掲載しており、前年比や傾向の特定が可能な履歴データセットを提供できるようになった。さらに、エネルギーと健康の分野では、セクター別のディープダイブを実施した。 
Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets.  全体として、ITや情報セキュリティ(IS)予算、IT予算のうちISに費やされた割合など、多くの絶対値が昨年と比べて著しく低くなっているようである。これは、調査サンプルの構成や、セクター別の深堀りによりエネルギー部門と健康部門のOESの割合が高くなったことに加え、COVID-19が各予算に与える影響などマクロ経済環境にも起因していると思われる。 
Other key findings of the report include:  その他の主な調査結果は以下のとおりである。 
•        The median percentage of IT budgets spent on IS is 6.7 %, 1 percentage point lower compared to last year's findings.  •       IT予算のうちISに費やす割合の中央値は6.7%で、昨年の調査結果と比べて1ポイント低くなっている。 
•        The NIS Directive and other regulatory obligations, as well as the threat landscape are the main factors influencing IS budgets.  •       NIS指令やその他の規制義務、そして脅威の状況は、IS予算に影響を与える主な要因となっている。 
•        Large operators invest significantly more on CTI compared to smaller ones with the median spend on CTI across OES/DSPs being EUR 50 000. Internal SOC capabilities seem to be very closely correlated with CTI spending, even though CTI is useful outside the context of SOC operations likely indicating the need to facilitate access to CTI for smaller operators.  •       大規模な事業者は、小規模な事業者に比べて CTI への投資が著しく多く、OES/DSP 全体の CTI への支出の中央値は 50,000 ユーロであった。内部 SOC 能力は、CTI が SOC 操作のコンテキスト以外でも有用であるにもかかわらず、CTI 支出と非常に密接な相関関係があるようで、小規模事業者が CTI にアクセスしやすくする必要があることを示しているようである。 
•        The estimated direct cost of a major security incident is EUR 200 000 on median, twice as large as last year, indicating an increase in the cost of incidents. Health and Banking remain the top two sectors in terms of incident cost.  •       大規模なセキュリティインシデントの推定直接コストは中央値で20万ユーロと、昨年の2倍となっており、インシデントのコストが増加していることがわかる。インシデントコストの上位2部門は、引き続き「医療」と「銀行」である。 
•        37% of the OESs and DSPs in the EU do not operate a dedicated SOC.  •       EUのOESとDSPの37%は、専用のSOCを運用していない。 
•        30% of OES/DSPs possessed cyber insurance in 2021, a decrease of 13% compared to 2020, with only 5% of SMEs subscribing to cyber insurance.  •       2021年にサイバー保険を保有するOES/DSPは30%で、2020年と比較して13%減少し、中小企業のサイバー保険への加入は5%にとどまった。 
•        86% of OES/DSPs have implemented third-party risks management though only 47% have a dedicated TRM budget and only 24% have a dedicated TRM role.  •       OES/DSPの86%がサードパーティリスクマネジメントを導入しているが、TRM専用の予算があるのは47%、TRM専門の役割があるのは24%に過ぎない。 
•        32% of the OESs within the Energy sector indicate that none of their critical OT processes are monitored by a SOC.  •       エネルギーセクターのOESの32%は、重要なOTプロセスのどれもがSOCによって監視されていないと回答している。 
•        Only 27% of surveyed OES in the Health sector have a dedicated ransomware defence programme and 40% of surveyed OES have no security awareness programme for non-IT staff.   •       保健医療分野の調査対象企業のうち、ランサムウェア専用の防御プログラムを実施しているのはわずか27%で、調査対象企業の40%は、IT部門以外のスタッフに対するセキュリティ啓発プログラムを実施していない。  

 

 

目次...

1. INTRODUCTION 1.はじめに
2. INFORMATION SECURITY DYNAMICS AND OUTLOOK 2.情報セキュリティーの動態と展望
2.1 TRENDS IN INFORMATION SECURITY AND SPENDING ON THREAT INTELLIGENCE 2.1 情報セキュリティの動向と脅威インテリジェンスへの支出
2.1.1 Forecast spending on Information security 2.1.1 情報セキュリティへの支出予測
2.1.2 Spending forecast on cyber threat intelligence 2.1.2 サイバー脅威インテリジェンスへの支出予測
2.2 SECTOR SPECIFIC TRENDS IN SPENDING ON TECHNOLOGY 2.2 技術への支出におけるセクター別の傾向
2.2.1 Technology investments in the Health sector 2.2.1 健康分野への技術投資
2.2.2 Technology investments in the Energy sector 2.2.2 エネルギー分野への技術投資
2.3 TOP STRATEGIC TRENDS IN CYBERSECURITY 2.3 サイバーセキュリティのトップ戦略トレンド
2.3.1 Reframing the security practice 2.3.1 セキュリティの実践をリフレーミングする
2.3.2 Rethinking technology 2.3.2 技術を再考する
2.4 THE CHANGING CYBER THREAT LANDSCAPE 2.4 変化するサイバー脅威の状況
2.4.1 Attack surface expansion 2.4.1 攻撃面の拡大
2.4.2 Identity threat detection and response (ITDR) 2.4.2 アイデンティティ脅威の検知と対応
2.4.3 Digital supply chain risks 2.4.3 デジタルサプライチェーンリスク
2.5 THE ONGOING CYBERSECURITY TALENT CRUNCH 2.5 サイバーセキュリティの人材不足が進行中
2.5.1 Leverage non-traditional labour pools and profiles 2.5.1 非伝統的な労働力とプロファイルを活用する
2.5.2 Prioritise and implement relevant technology 2.5.2 関連技術の優先順位付けと導入
2.5.3 Strengthen employee value propositions 2.5.3 従業員への価値提案の強化
2.5.4 Redesign work 2.5.4 リデザイン作業
2.6 ENISA FORESIGHT 2.6 ENISA FORESIGHT
3. INFORMATION SECURITY INVESTMENTS FOR OESs AND DSPs 3.OESおよびDSPの情報セキュリティ投資について
3.1 METHODOLOGY 3.1 方法論
3.2 SPENDING ON INFORMATION SECURITY 3.2 情報セキュリティーのための支出
3.2.1 IT spending 3.2.1 IT投資
3.2.2 IS spending 3.2.2 IS支出
3.2.3 IS spending as a share of IT spending 3.2.3 IT支出に占めるIS支出の割合
3.2.4 Cyber threat intelligence (CTI) spending 3.2.4 サイバー脅威情報(CTI)支出
3.2.5 External factors impacting cybersecurity investment strategies 3.2.5 サイバーセキュリティの投資戦略に影響を与える外部要因
3.3 INFORMATION SECURITY AND NIS STAFFING 3.3 情報セキュリティとNISの人員配置
3.3.1 IT FTEs 3.3.1 IT FTEs
3.3.2 IS FTEs 3.3.2 IS FTEs
3.3.3 IS FTE as a share of IT FTEs 3.3.3 IS FTE が IT FTE に占める割合
4. SECURITY INCIDENTS AND CYBERSECURITY CAPABILITIES 4.セキュリティインシデントとサイバーセキュリティ能力
4.1 CYBERSECURITY INCIDENTS 4.1 サイバーセキュリティのインシデント
4.2 NATURE AND COSTS OF MAJOR SECURITY INCIDENTS 4.2 重大なセキュリティインシデントの性質とコスト
4.3 SECURITY OPERATIONS CENTRES (SOC) 4.3 セキュリティオペレーションセンター(Soc)
4.4 PATCHING 4.4 パッチング
4.5 CYBER INSURANCE 4.5 サイバー保険
4.6 VULNERABILITY MANAGEMENT 4.6 脆弱性の管理
4.7 CYBERSECURITY SKILLS 4.7 サイバーセキュリティのスキル
5. SUPPLY-CHAIN SECURITY 5.サプライチェーンセキュリティ
5.1 THIRD-PARTY RISK MANAGEMENT (TRM) POLICIES 5.1 第三者リスク管理(TRM)方針
5.2 TRM BUDGET 5.2 TRM 予算
5.3 TRM ROLES AND RESPONSIBILITIES 5.3 TRM の役割と責任
5.4 RISK MITIGATING TECHNIQUES 5.4 リスク軽減のための技術
5.5 EUROPEAN CYBERSECURITY REQUIREMENTS 5.5 欧州のサイバーセキュリティ要件
6. SECTORAL ANALYSIS: ENERGY 6.セクター別分析:エネルギー
6.1 DEMOGRAPHICS OF A SECTORIAL DEEP DIVE 6.1 セクター別ディープダイブのデモグラフィック
6.2 INVESTMENT AND STAFFING INFORMATION 6.2 投資と人材に関する情報
6.3 CERTIFICATION SCHEMES 6.3 認証スキーム
6.4 OPERATIONAL TECHNOLOGY (OT) SECURITY 6.4 オペレーショナルテクノロジー(OT)セキュリティ
6.5 CYBERSECURITY CERTIFICATION 6.5 サイバーセキュリティ認証
7. SECTORAL ANALYSIS: HEALTH 7.セクター別分析:健康
7.1 DEMOGRAPHICS OF A SECTORIAL DEEP DIVE 7.1 セクター別ディープダイブのデモグラフィック
7.2 INVESTMENT AND STAFFING INFORMATION 7.2 投資と人材に関する情報
7.3 CONNECTED MEDICAL DEVICES AND CLOUD PLATFORMS IN HEALTH 7.3 健康におけるコネクテッド・メディカル・デバイスとクラウド・プラットフォーム
7.4 MEDICAL DEVICES SECURITY 7.4 医療機器のセキュリティ
7.5 RANSOMWARE DEFENCE AND AWARENESS TRAINING 7.5 ランサムウェアの防御と意識向上トレーニング
7.6 CYBERSECURITY CERTIFICATION 7.6 サイバーセキュリティ認証
8. SME VS LARGE ENTERPRISES 8.SMEと大企業の比較
8.1 SME AND LE DISTRIBUTION BY MEMBER STATE AND SECTOR 8.1 加盟国・セクター別のSMEとLEの分布
8.2 IS SPEND AS A SHARE OF IT SPEND FOR SMEs AND LEs 8.2 中小企業および大企業の IT 投資に占める IS 支出の割合
8.3 CTI SPENDING FOR SMEs AND LEs 8.3 中小企業および大企業に対する CTI 支出
8.4 IS FTEs AS A SHARE OF IT FTEs FOR SMEs AND LEs 8.4 中小企業および大企業のITスタッフに占めるIS FTEsの割合
8.5 SOC CAPABILITIES FOR SMEs AND LEs 8.5 中小企業および LE の社会的能力
8.6 SHARE OF ASSETS VISIBILITY FOR PATCHING FOR SMEs AND LEs 8.6 中小企業および大企業のパッチ適用における資産可視化の割合
8.7 AVERAGE TIME TO PATCH CRITICAL VULNERABILITIES IN IT ASSETS FOR SMEs AND LEs 8.7 中小企業および大企業の IT 資産における重大な脆弱性の修正に要する平均時間
8.8 CYBER INSURANCE FOR SMEs AND LEs 8.8 中小企業および LE のためのサイバー保険
8.9 VULNERABILITY MANAGEMENT FOR SMEs AND LEs 8.9 中小企業および大企業の脆弱性管理
8.10 THIRD PARTY RISK MANAGEMENT (TRM) POLICIES FOR SMEs AND LEs 8.10 中小企業及び大企業の第三者リスク管理(TRM)方針
8.11 CYBERSECURITY SKILLS FOR SMEs AND LEs 8.11 中小企業および LE のためのサイバーセキュリティ・スキル
8.12 EUROPEAN CYBERSECURITY REQUIREMENTS FOR SMEs AND LEs 8.12 中小企業及び大企業に対する欧州のサイバーセキュリティ要求事項
9. CONCLUSIONS 9.結論
A ANNEX: NIS DIRECTIVE SURVEY DEMOGRAPHICS A 附属書:NIS ディレクティブ調査人口統計データ
B ANNEX: DEFINITIONS B 附属書:定義
B.1 MEDIAN AND AVERAGE DEFINITIONS B.1 中央値および平均値の定義
B.2 CAGR DEFINITION B.2 CAGRの定義
B.3 SME DEFINITION B.3 SME の定義
C ANNEX: ACRONYMS C 附属書:頭字語

 

参考...

 

OESとDSP

Operators of Essential Services (OES)  基幹サービス事業者 (OES)
•        Energy (electricity, oil and gas)  ・エネルギー(電気,石油,ガス)
•        Transport (air, rail, water and road)  ・輸送(航空, 鉄道, 海上, 道路)
•        Banking  ・銀行
•        Financial market infrastructures  ・金融市場インフラストラクチャー
•        Health  ・医療機関
•        Drinking water supply and distribution  ・飲料水の供給と配給
•        Digital infrastructure  ・デジタルインフラ
Digital Service Providers (DSP) デジタルサービスプロバイダ (DSP)
•        Online marketplace  ・オンライン・マーケットプレイス
•        Online search engine  ・オンライン検索エンジン
•        Cloud computing service  ・クラウドコンピューティングサービス

 

 

 


昨年の...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

 

 

 

| | Comments (0)

2022.11.23

中国 個人情報保護認証制度が始まりますね...中国版Pマーク?

こんにちは、丸山満彦です。

中華人民共和国で、個人情報保護認証制度が始まりますね。。。中国版Pマークのようなものでしょうかね。。。個人情報の越境移転の有無でマークが変わりますね。。。認証のクライテリアは、

  1. GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」
  2. TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」

ということのようです。。。

越境移転がない場合は、1. だけ、越境移転がある場合は、1.と2. に準拠する必要がありますね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.11.18 关于实施个人信息保护认证的公告

关于实施个人信息保护认证的公告 個人情報保護認証の実施に関する通知
为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》(见附件)实施认证。 中華人民共和国個人情報保護法の関連規定を実施し、個人情報処理活動を規制し、個人情報の合理的な使用を促進するため、「中華人民共和国認証認可条例」に基づき、国家市場監督管理総局と国家サイバースペース管理局は、個人情報保護認証を実施し、個人情報処理者が認証を通じて個人情報保護能力を高めることを奨励することにした。 個人情報保護の認証に携わる認証機関は、「個人情報保護認証実施規則」(別紙参照)に基づき、当該認証活動を行うことを承認され、認証を実施するものとする。
特此公告。 発表
附件:个人信息保护认证实施规则 別紙:個人情報保護認証の実施規定
国家市场监督管理总局 国家互联网信息办公室 国家市場監督管理局 国家サイバースペース管理局

 

・2022.11.18 个人信息保护认证实施规则

​个人信息保护认证实施规则 個人情報保護認証実施規則
1 适用范围 1 適用範囲
本规则依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。 この規則は、「中華人民共和国認証認定条例」に基づいて制定され、個人情報の収集、保存、使用、処理、伝送、提供、開示、削除及び越境処理などの処理活動を行う個人情報処理業者の認証に関する基本原則と要件を定めている。
2 认证依据 2 認証根拠
个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。 個人情報取扱事業者は、GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」の要求事項を遵守しなければならない。
对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。 また、越境処理活動を行う個人情報取扱事業者は、TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」の要求事項に適合しなければならない。
上述标准、规范原则上应当执行最新版本。 上記の規格・仕様は、原則として最新版で実施するものとする。
3 认证模式 3 認証モデル
个人信息保护认证的认证模式为: 個人情報保護認証の認証モデルは、以下の通りである。
技术验证 + 现场审核 + 获证后监督 技術検証+現地査定+認証取得後の監督
4 认证实施程序 4 認証実施手順
4.1 认证委托 4.1 認証委員会
认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。 認証機関は、認証委託者の基本資料、認証委託書、関連する補足資料等を含むが、これらに限定されない認証委託情報の要件を規定する。
认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。 認証委託者は、認証機関の要求に応じて認証委託情報を提出し、認証機関は審査後、認証委託情報の受理についてフィードバックする。
认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。 認証機関は、個人情報の種類と量、関与する個人情報処理活動の範囲、技術検証機関情報などの認証委託情報に基づいて認証方式を決定し、認証本部に通知する。
4.2 技术验证 4.2 技術検証
技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。 技術認証機関は、認証スキームに従って技術認証を実施し、認証機関及び認証主体に技術検証報告書を発行する。
4.3 现场审核 4.3 現地査定
认证机构实施现场审核,并向认证委托人出具现场审核报告。 認証機関は、現地査定を実施し、認証主体に現地査定報告書を発行する
4.4 认证结果评价和批准 4.4 認証結果の評価と承認
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。 認証機関は、認証委員会の情報、技術検証報告書、現地査定報告書と包括的な評価のための他の関連情報に応じて、認証の決定を行う。認定要件が満たされている場合、認定証明書が発行される。当分の間、認定要件を満たしていない場合、認証委員会は、期限の是正を求めることができる。修正後も満たしていない場合、認証の解除を認証委託者に通知するための書面を発行する。
如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。 認証委託者または個人情報処理者が、偽り、情報の隠蔽、故意の認証要件違反、その他認証の実施に重大な影響を与える行為を行ったことが判明した場合は、認証を付与することはできない。
4.5 获证后监督 4.5 認証取得後の監督
4.5.1 监督的频次 4.5.1 監督の頻度
认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。 認証機関は、認証の有効期間中、認証された個人情報取扱事業者に対する継続的な監督を行い、その頻度を合理的に決定するものとする。
4.5.2 监督的内容 4.5.2 監督の内容
认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。 認証機関は、認証された個人情報処理機関が認証要件を継続して満たしていることを確認するために、認証後の監督を実施する適切な手段を採用するものとする。
4.5.3 获证后监督结果的评价 4.5.3 認証取得後の監督結果の評価
认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。 包括的な評価のための認証取得後の監督の所見とその他の関連情報に基づき評価が渡され、認証証明書を維持し続けることができる。認証機関は、処理の証明書を一時停止または取り消すために、対応する状況に応じて、対応しなければならない。
4.6 认证时限 4.6 認証取得時期
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。 認証機関は、明確な規定を設けるために、時間的要件に従って作業が完了するよう、あらゆる側面から認証を受けるべきである。 認証委託者は、認証活動に積極的に協力することが望ましい。
5 认证证书和认证标志 5 認証証明書と認証マーク
5.1 认证证书 5.1 認証証明書
5.1.1 认证证书的保持 5.1.1 認証証明書の維持管理
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。 認証証明書の有効期限は3年間である。 有効期間中、認証機関の認証後の監督を通じて、認証の有効性を維持する。
证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。 認証が失効し、更新が必要な場合、認証委託者は、失効日の6ヶ月前以内に認証委託書を提出する。 認証機関は、認証後の監督を利用して、委員会の認証要件を満たし、新たな認証書を発行するものとする。
5.1.2 认证证书的变更 5.1.2 認証証明書の変更
认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。 認証証明書は有効であり、認証された個人情報取扱事業者の名称、登録住所、または認証要件、認証範囲などが変更された場合、認証委託者は認証機関に委託内容の変更を提案する必要がある。 認証機関は、変更内容に応じて変更委託情報を評価し、変更承認の可否を判断する。 技術検証および/または現地査定の場合、また、技術検証および/または現地査定の変更前に承認される必要があります。
5.1.3 认证证书的注销、暂停和撤销 5.1.3 認証の取消し、一時停止及び取消し
当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。 認証された個人情報処理事業者が認証要件を満たさなくなった場合、認証機関は、認証が取り消されるまで、速やかに認証の停止を行うものとする。 認証主体は、認証書の有効期間内に認証書の停止および抹消を申請することができる。
5.1.4 认证证书的公布 5.1.4 認証証明書の発行
认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。 認証機関は、適切な手段を用いて、発行した認証書、変更、停止、取消しおよび関連情報の撤回を公表するものとする。
5.2 认证标志 5.2 認証マーク
不含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を伴わない個人情報保護に関する認証マークは以下の通りである。
16703999366581291670399936859756
包含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を含む個人情報保護に関する認証マークは、以下の通りである。
16703999366581291670399936872313
“ABCD”代表认证机构识别信息。 ABCD は認証機関の識別情報を表す。
5.3 认证证书和认证标志的使用 5.3 認証書および認証マークの使用について
在认证证书有效期内,获得认证的个人信息处理者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。 認定個人情報処理事業者は、認定証の有効期間中、関連規定に従って、認定証及び認定マークを広告その他の宣伝に正しく使用し、誤解を与えないようにしなければならない。
6 认证实施细则 6 認証実施規則
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。 認証機関は、これらの規則の関連要件に基づいて、認証の実装手順、科学的、合理的かつ運用認証と実装のルールの開発、および実装の公表を洗練するものとする。
7 认证责任 7 認証責任
认证机构应当对现场审核结论、认证结论负责。 認証機関は、現地審査の結論と認証の結論に責任を持つ。
技术验证机构应当对技术验证结论负责。 技術的検証機関は、技術的検証の結論に責任を持つ。
认证委托人应当对认证委托资料的真实性、合法性负责。 認証委託者は、認証委託情報の真正性、適法性について責任を負う。

 

 


 

越境移転の場合に追加されるクライテリアについてはこちら(仮対訳あり)...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.27 中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

 

 

| | Comments (0)

2022.11.22

NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

こんにちは、丸山満彦です。

サイバーセキュリティとERMとの連携である、NISTIR 8286シリーズですが、8286Dも確定し、全て確定しましたね。。。

 

・2022.11.17 NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response 

NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response  NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネスインパクト分析の使用
Abstract 概要
While business impact analysis (BIA) has historically been used to determine availability requirements for business continuity, the process can be extended to provide a broad understanding of the potential impacts of any type of loss on the enterprise mission. The management of enterprise risk requires a comprehensive understanding of mission-essential functions (i.e., what must go right) and the potential risk scenarios that jeopardize those functions (i.e., what might go wrong). The process described in this publication helps leaders determine which assets enable the achievement of mission objectives and evaluate the factors that render assets as critical and sensitive. Based on those factors, enterprise leaders provide risk directives (i.e., risk appetite and tolerance) as input to the BIA. System owners then apply the BIA to developing asset categorization, impact values, and requirements for the protection of critical or sensitive assets. The output of the BIA is the foundation for the Enterprise Risk Management (ERM)/Cybersecurity Risk Management (CSRM) integration process, as described in the NIST Interagency Report (IR) 8286 series, and enables consistent prioritization, response, and communication regarding information security risk. ビジネス影響分析(BIA)は、これまで事業継続のための可用性要件を決定するために使用されてきたが、このプロセスを拡張することで、あらゆる種類の損失がエンタープライズのミッションに与える潜在的な影響を幅広く理解することができる。エンタープライズリスクの管理には、ミッションに不可欠な機能(すなわち、正しく機能しなければならないこと)と、それらの機能を危険にさらす潜在的なリスクシナリオ(すなわち、うまくいかないかもしれないこと)を包括的に理解することが必要である。本書で説明するプロセスは、リーダーがミッション目標の達成を可能にするのはどの資産かを判断し、資産を重要かつ機密であると判断する要素を評価するのに役立つ。これらの要因に基づき、エンタープライズのリーダーはリスク指令(すなわち、リスク選好度と許容度)をBIAへの入力として提供する。次にシステム所有者は、BIAを適用して、資産の分類、影響度、および重要資産や機密資産の保護要件を作成する。BIAのアウトプットは、NIST Interagency Report(IR)8286シリーズに記載されているように、エンタープライズリスクマネジメント(ERM)/サイバーセキュリティリスクマネジメント(CSRM)統合プロセスの基盤となり、情報セキュリティリスクに関する一貫した優先順位付け、対応、コミュニケーションを可能にする。

 

・[PDF] NISTIR 8286D

20221122-24038

 

目次...

Table of Contents 目次
Executive Summary エグゼクティブサマリー
1.  Introduction 1.  はじめに
1.1.  Benefits of Extending the BIA for Risk Types 1.1.  BIAをリスクタイプに拡張するメリット
1.2.  Foundational Practices for Business Impact Analysis 1.2.  ビジネス影響分析の基礎的な実践
1.3.  Document Structure 1.3.  文書構造
2.  Cataloging and Categorizing Assets Based on Enterprise Value 2.  エンタープライズの価値に基づく資産のカタログ化および分類
2.1.  Identification of Enterprise Business Asset Types 2.1.  エンタープライズ・ビジネス資産の種類の特定
2.2.  The Business Impact Analysis Process 2.2.  ビジネス影響分析プロセス
2.3.  Determining Asset Value to Support CSRM Activities 2.3.  CSRM活動を支援するための資産価値の決定
2.4.  Determining Loss Scenarios and Their Consequences 2.4.  損失シナリオとその結果の決定
2.5.  Business Impact Analysis in Terms of Criticality and Sensitivity 2.5.  重要度・感度の観点からのビジネス影響分析
2.6.  Using a BIA to Record Interdependencies 2.6.  相互依存関係を記録するためのBIAの使用
2.7.  Consistent Business Impact Analysis Through an Enterprise Approach 2.7.  エンタープライズ・アプローチによる一貫したビジネス影響分析
2.8.  Using a BIA to Support an Enterprise Registry of System Assets 2.8.  システム資産のエンタープライズ登録を支援するためのBIAの使用
3.  Conclusion 3.  結論
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A.記号・略語・頭字語の一覧表

 

エグゼクティブ・サマリー

Executive Summary  エグゼクティブサマリー 
Risk is measured in terms of impact on enterprise mission, so it is vital to understand the various information and technology (IT) assets whose functions enable that mission. Each asset has a value to the enterprise. For government enterprises, many of those IT assets are key components for supporting critical services provided to citizens. For corporations, IT assets directly influence enterprise capital and valuation, and IT risks can have a direct impact on the balance sheet or budget. For each type of enterprise, it is both vital and challenging to determine the conditions that will truly impact a mission. Government agencies must provide critical services while adhering to priority directives from senior leaders. In the commercial world, mission priority is often driven by long-term goals and factors that might impact the next quarter’s earnings call. Therefore, it is highly important to continually analyze and understand the enterprise resources that enable enterprise objectives and that can be jeopardized by cybersecurity risks.  リスクは、エンタープライズのミッションへの影響という観点から評価されるため、そのミッションを実現する様々な情報・技術(IT)資産を理解することが重要である。各資産はエンタープライズにとって価値がある。政府系エンタープライズの場合、これらのIT資産の多くは、市民に提供される重要なサービスを支える重要な構成要素である。エンタープライズの場合、IT資産はエンタープライズの資本や評価に直接影響し、ITリスクは貸借対照表や予算に直接的な影響を与える可能性がある。それぞれのエンタープライズにとって、ミッションに真に影響を与える状況を判断することは、極めて重要であると同時に困難でもある。政府機関では、上級指導者からの優先的な指示を守りながら、重要なサービスを提供しなければならない。一方、民間のエンタープライズでは、ミッションの優先順位は、長期的な目標や次の四半期の決算に影響を与えるような要因によって左右されることがよくある。したがって、エンタープライズの目標を実現し、サイバーセキュリティのリスクによって危険にさらされる可能性のあるエンタープライズリソースを継続的に分析し、理解することが非常に重要である。
The NIST Interagency Report (IR) 8286 series has coalesced around the risk register as a construct for storing and a process for communicating risk data [NISTIR8286]. Another critical artifact of risk management that serves as both a construct and a means of communication with the risk register is the Business Impact Analysis (BIA) Register. The BIA examines the potential impacts associated with the loss or degradation of an enterprise’s technology-related assets based on a qualitative or quantitative assessment of the criticality and sensitivity of those assets and stores the results in the BIA Register. An asset criticality or resource dependency assessment identifies and prioritizes the information assets that support the enterprise’s critical missions. Similarly, assessments of asset sensitivity identify and prioritize information assets that store, process, or transmit information that must not be modified or disclosed to unauthorized parties. In the cybersecurity realm, the use of the BIA has historically been limited to calculations of quality-based and time-based objectives for incident handling (including continuity of operations and disaster recovery).   NIST Interagency Report (IR) 8286 シリーズは、リスクデータを保存し、伝達するためのプロセスとして、リスク登録の中心にまとまった[NISTIR8286]。リスク登録の構成と伝達手段の両方として機能するリスク管理のもう一つの重要な成果物は、ビジネス影響度分析(BIA)登録である。BIAは、エンタープライズの技術関連資産の損失または劣化に関連する潜在的な影響を、それらの資産の重要性と感度の定性的または定量的評価に基づいて調査し、その結果をBIA登録簿に保存する。資産の重要性またはリソース依存の評価では、エンタープライズの重要なミッションを支える情報資産を特定し、優先順位をつける。同様に、資産の機密性の評価では、不正な者に変更または開示されてはならない情報を保存、処理、または伝送する情報資産を特定し、優先順位を付けます。サイバーセキュリティの分野では、BIAの使用は歴史的に、インシデント処理(業務継続や災害復旧を含む)のための品質ベースおよび時間ベースの目標の計算に限られている。 
Because the BIA serves as a nexus for understanding risk (which is the measurement of uncertainty on the mission), it provides a basis for risk appetite and tolerance values as part of the enterprise risk strategy.[1] That guidance supports performance and risk metrics based on the relative value of enterprise assets to communicate and monitor Cybersecurity Risk Management[2] (CSRM) activities, including measures determined to be key performance indicators (KPIs) and key risk indicators (KRIs). The BIA supports asset classification that drives requirements, risk communications, and monitoring.  BIAは、リスク(ミッションに関する不確実性の測定)を理解するための結節点として機能するため、エンタープライズリスク戦略の一部としてリスク選好度と許容値の根拠を提供する。 そのガイダンスは、主要業績評価指標(KPI)および主要リスク指標(KRI)であると決定した指標を含むサイバーセキュリティリスク管理(CSRM)活動を伝達および監視するためのエンタープライズ資産の相対価値に基づく業績およびリスク指標を支援している[2]。BIAは、要件、リスクコミュニケーション、およびモニタリングを推進するための資産分類を支援する。
Expanding use of the BIA to include confidentiality and integrity considerations supports comprehensive risk analysis. The basis of asset valuation on enterprise impact helps to better align risk decisions to enterprise risk strategy. CSRM/ERM integration helps to complete the risk cycle by informing future iterations of impact analysis based on previous information gained through cybersecurity risk register (CSRR) aggregation, as detailed in NIST IR 8286C. As organizational and enterprise leaders gain an understanding of aggregate risk exposure and composite impact, that information helps adjust risk expectations (including business impact guidance to ensure an ongoing balance among asset value, resource optimization, and risk considerations).  BIAの利用を拡大し、機密性と完全性への配慮を含めることで、包括的なリスク分析が可能になる。エンタープライズへの影響に基づく資産評価により、リスクに関する意思決定とエンタープライズのリスク戦略との整合性を高めることができる。CSRM/ERMの統合は、NIST IR 8286Cに詳述されているように、サイバーセキュリティリスク登録(CSRR)集計を通じて得られた過去の情報に基づいて、影響分析の将来の反復に情報を提供することによって、リスクサイクルを完成させるのに役立つ。組織とエンタープライズのリーダーは、集約されたリスクエクスポージャーと複合的な影響について理解することで、その情報はリスク予想(資産価値、リソース最適化、リスク考慮の間の継続的バランスを確保するためのビジネス影響ガイダンスを含む)を調整するのに役立つ。
The BIA process enables system owners to record the benefits provided by an asset by considering the contribution to the enterprise, particularly in terms of mission, finance, and reputational aspects. Once informed about how each asset supports enterprise value, system owners can then work with risk managers to determine the implications of uncertainty on those assets.  BIAプロセスにより、システム所有者は、特にミッション、財務、評判といった側面からエンタープライズへの貢献を考慮し、資産によってもたらされる利益を記録することができる。各資産がどのようにエンタープライズ価値を支えているかを知ることができれば、システムオーナーはリスクマネージャーと協力して、その資産に不確実性が及ぼす影響を判断することができる。
It is more critical than ever to have centralized and reliable asset information recorded in the BIA Register since enterprises rely on various types of information and communications technology (ICT) resources, which are increasingly targeted by adversaries. The BIA process provides information that can be consistently recorded in a centralized registry of important asset management information, such as system ownership, contact information for key stakeholders, and characteristics of the physical devices (or services). Since asset management is an important element of cybersecurity risk management, this information is quite valuable for protecting the asset, detecting cyber events, responding quickly to potential issues, and recovering services when necessary.  エンタープライズはさまざまな種類の情報通信技術(ICT)資源に依存しており、これらの資源は敵対勢力にますます狙われているため、BIA登録簿に記録される一元化された信頼性の高い資産情報がこれまで以上に重要となっている。BIAプロセスは、システムの所有権、主要な関係者の連絡先、物理的な装置(またはサービス)の特性など、重要な資産管理情報を一元的に登録することで、一貫して記録できる情報を提供するものである。資産管理はサイバーセキュリティのリスク管理の重要な要素であるため、この情報は資産の保護、サイバーイベントの検出、潜在的な問題への迅速な対応、必要時のサービスの回復にとって非常に貴重なものである。
Public- and private-sector enterprises must maintain a continual understanding of potential business impacts, the risk conditions that might lead to those impacts, and the steps being taken to address those impacts (as recorded in various risk registers and, ultimately, in the Enterprise Risk Profile). In many cases, when a company or agency is asked about risks, they are actually being asked to describe potential impacts. Companies must describe the risk factors that could have a material adverse effect on the enterprise’s financial position, its ability to operate, or its corporate cash flow. Agencies must report to legislative and regulatory stakeholders about adverse impacts that could impair agency missions and funding. Use of the BIA methodology to categorize the criticality and sensitivity of enterprise assets enables effective risk management and the subsequent integration of reporting and monitoring at the enterprise level to ensure that risk and resource utilization are optimized in light of the value of those assets.  公共部門および民間部門のエンタープライズは、潜在的なビジネスへの影響、それらの影響をもたらす可能性のあるリスク状況、およびそれらの影響に対処するための措置(各種リスク登録簿、最終的にはエンタープライズリスクプロファイルに記録される)に対する継続的な理解を維持しなければならない。多くの場合、エンタープライズや機関がリスクについて尋ねられるとき、実際には潜在的な影響について説明するよう求められている。エンタープライズは、エンタープライズの財政状態、経営能力、またはエンタープライズのキャッシュフローに重大な悪影響を及ぼす可能性のあるリスク要因を記述しなければならない。省庁は、省庁の使命や資金調達を損なう可能性のある悪影響について、立法・規制上の利害関係者に報告しなければならない。BIAの手法を使用してエンタープライズ資産の重要度と機密性を分類することで、効果的なリスク管理が可能になり、その後のエンタープライズレベルでの報告と監視の統合により、リスクとリソースの利用がこれらの資産の価値に照らして最適化されることが保証される。
[1] Office of Management and Budget (OMB) Circular A-123 defines risk appetite as “the broad-based amount of risk an organization is willing to accept in pursuit of its mission/vision. It is established by the organization’s most senior level leadership and serves as the guidepost to set strategy and select objectives.” The same document defines risk tolerance as “the acceptable level of variance in performance relative to the achievement of objectives.”  [1] 米行政管理予算局(OMB)Circular A-123では、リスク選好度を「組織がその使命/ビジョンを追求するために受け入れようとする広範なリスク量」と定義している。これは、「組織の最上位レベルのリーダーシップによって確立され、戦略を設定し、目標を選択するための道標として機能する 」と定義している。同文書では、リスク許容度を 「目標達成に対するパフォーマンスのばらつきの許容レベル 」と定義している。
[2] Cybersecurity Risk Management, or CSRM, is the process of managing uncertainty on or within information and technology.  [2] サイバーセキュリティリスク管理、または CSRM は、情報および技術上の、または技術内の不確実性を管理するプロセスである。

 

図1:BIAプロセスとサイバーセキュリティリスクマネジメントの統合

1_20221122025601

Step A – Based on the enterprise mission, executives identify the products and business processes that are essential to the successful operation of the enterprise. Based on that list, the executives and senior leaders identify the enterprise-level assets[6] that enable those functions. The identification of enterprise-level assets should consider the interdependencies of systems and assets. Those assets inherit the criticality/priority of the functions they support. ステップ A - エンタープライズのミッションに基づき、経営幹部は、エンタープライズの成功に不可欠な製品とビジネスプロセスを特定する。そのリストに基づいて、エグゼクティブとシニアリーダーは、それらの機能を実現する企業レベルの資産[6]を特定する。企業レベルの資産の特定は、システムと資産の相互依存関係を考慮する必要がある。これらの資産は、それらがサポートする機能の重要度/優先度を引き継ぎます。

Step B – Leaders establish and communicate the risk appetite associated with those enterprise assets, and organizational managers determine the resulting risk tolerance.  ステップ B - リーダーは、それらの企業資産に関連するリスク許容度を設定し、伝達し、組織管理者は、その結果としてのリスク許容度を決定する。
Step C – As part of the CSRM process, the system owner will determine the extent to which every system or activity enables a mission/business-critical function (as illustrated in Figure 2). The criticality/priority direction from leaders, expressed through risk appetite/risk tolerance statements (Step B), is used to help determine what the impact of losses would be on confidentiality, integrity, or availability. That impact understanding and the basis for those determinations are recorded in the system BIA Register. [7]
ステップ C - CSRMプロセスの一環として、システム所有者は、すべてのシステムまたはアクティビティが、ミッション/ビジネスクリティカルな機能(図2に図示)をどの程度可能にするかを決定する。リスク選好度/リスク許容度ステートメント(ステップB)を通じて表現されたリーダーからの重要度/優先度の指示は、損失が機密性、完全性、または可用性に及ぼす影響を判断するために使用される。その影響の把握とその判断の根拠は、システムのBIA登録に記録される。[7]
Fig2_20220614030001
  • 機密性による損失の影響の文書化
  • 完全性による損失の影響の文書化
  • 可用性による損失の影響の文書化
  • 資産の重要度・機微性の分類
  • BIA登録への追加・更新
Figure 2: Level 3 BIA Activities
図2:レベル3のBIA活動
Step D – The analysis and results provide the input into the CSRM process illustrated in the diagram and described in NISTIRs 8286A, 8286B, and 8286C.   ステップ D - 分析と結果は、図に示され、NISTIRs 8286A、8286B、8286Cで説明されているCSRMプロセスへのインプットを提供する。 
Step E – Residual risks, particularly those that impact critical and sensitive resources, are highlighted in the Level 2 risk registers as those CSRRs are normalized and aggregated.  Of important note is that cybersecurity is one component of technology risk that feeds operational risks (OpRisk).  ステップ E - 残留リスク、特に重要で機密性の高いリソースに影響を与えるリスクは、CSRR が正規化され、集約されることで、レベル 2 リスク登録でハイライトされる。 重要なことは、サイバーセキュリティは、オペレーショナルリスク(OpRisk)を養うテクノロジーリスクの1つの要素であるということである。
Step F – Enterprise leaders consider the results of ongoing risk activities reported through Level 2 CSRRs as integrated into an Enterprise Cybersecurity Risk Register (E-CSRR) and assess the aggregate impact of the Level 3 and Level 2 risks. This understanding of the composite impact on mission/business-critical functions (including OpRisk) is used to prioritize risk response based on enterprise finance, mission, and reputation consequences.[8] Composite understanding also helps to confirm that risks are within the stated risk appetite or to identify necessary adjustments (e.g., implementing controls, risk mitigation). If adjustments are necessary, an action plan is created that will result in the appropriate increase or decrease of risk appetite to achieve the appropriate impact levels. ステップ F - エンタープライズのリーダーは、レベル 2 CSRR を通じて報告された継続的なリスク活動の結果を、エンタープライズ・サイバーセキュリティ・リスク登録(E-CSRR)に統合して検討し、レベル 3 とレベル 2のリスクの複合的な影響を評価する。ミッション/ビジネスクリティカルな機能(OpRisk を含む)に対する複合的な影響のこの理解は、企業財務、ミッション、レピュテーションへの影響に基づいてリスク対応の優先順位付けに用いられる[8]。 複合的な理解はまた、リスクが規定リスク許容度の範囲内にあることを確認し、必要な調整(例えば、統制の実施、リスク軽減)を特定するのに役立つ。調整が必要な場合は、適切な影響レベルを達成するために、リスクアペタイトを適切に増減させるアクションプランが作成される。
[6] The term ‘asset’ or ‘assets’ is used in multiple frameworks and documents. For the purposes of this publication, ‘assets’ are defined as technologies that may comprise an information system.  Examples include laptop computers, desktop computers, servers, sensors, data, mobile phones, tablets, routers, and switches.  In instances where the authors mean ‘assets’ as they appear on a balance sheet, the word ‘asset’ will be proceeded by words such as ‘high-level’ or ‘balance sheet’ or ‘Level 1’ to differentiate context.  [6] 「資産」または「資産」という用語は、複数のフレームワークや文書で使用されています。本書では、「資産」を情報システムを構成する可能性のある技術として定義しています。 例えば、ノートパソコン、デスクトップパソコン、サーバー、センサー、データ、携帯電話、タブレット端末、ルーター、スイッチなどである。 著者が貸借対照表上の「資産」を意味する場合、文脈を区別するために、「資産」という語の後に「ハイレベル」、「貸借対照表」、「レベル1」などの語を付すことにしている。
[7] A BIA register records business impact information about relevant assets; the register is related to but separate from a risk register, which is a repository of risk information including the data understood about risks over time.
[7]BIA登録簿は、関連する資産に関するビジネスインパクト情報を記録する。登録簿は、リスク登録簿と関連しているが、リスク登録簿とは別物であり、リスクについて時系列で理解されるデータを含むリスク情報のリポジトリである。
[8] Operational risk is discussed more fully in NISTIR 8286C Section 3.1.  [8] オペレーショナルリスクについては、NISTIR8286Cの3.1節でより詳細に議論されている。

 

NISTIR 8286 関連

Date St. Web PDF  
2020.10.13  Final NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)  サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
2021.11.12  Final NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
2022.02.10  Final NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management  エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
2022.09.14  Final NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
2022.11.17 Final NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.22 NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

関連する情報

・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

COSO 関連

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

少し(^^)遡ります。。。

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)

次の3つは歴史を知る上でも重要↓

・2006.08.28 SAS No.55の内部統制の要素

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

この4つは歴史的にも重要かもですね。。。↓

・2006.05.10 CoCoにおける取締役会の統制上の責任

・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」

・2006.04.24 米国 30年前のIT全般統制の項目

・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

・2005.01.30 NHK COSOを導入

| | Comments (0)

2022.11.19

会計検査院 令和3年検査報告(森田検査院長から岸田総理大臣へ) (2022.11.07)

こんにちは、丸山満彦です。

会計検査院が令和3年検査報告を岸田内閣総理大臣にしましたね。検査院長は、私の前職入社時の上司の森田さんです。。。

検査に重点を置く施策

  1. 社会保障
  2. 教育及び科学技術
  3. 公共事業
  4. 防衛
  5. 農林水産業
  6. 環境及びエネルギー
  7. 経済協力
  8. 中小企業
  9. 情報通信(IT)

これからは、もっとテクノロジー目線の検査(森田さんはISACA大阪支部の初期の会員ですからね)とか、サイバーセキュリティの検査も増えるとよいなと思います。。。

検査に重点を置く施策は、昨年度と同じですね。。。

 

会計検査院

・2022.11.07 最新の検査報告

  1. 令和3年度決算検査報告の概要

  2. 令和3年度決算検査報告の本文

  3. 令和3年度決算検査報告の特徴的な案件
  4. [PDF] 会計検査院長談話
  5. [YouTube] 森田会計検査院長が令和3年度決算検査報告について紹介する動画

 


1. 令和3年度決算検査報告の概要

指摘事項は、310件、455億2351万円で、うち不当事項は、265件、104億円3136万円ということのようです。。。

・[PDF] 一括ダウンロード

20221119-05523

 

  1. [PDF] 検査結果の大要

  2. [PDF] 検査の概況

  3. [PDF] 決算の確認

  4. 検査の結果
  5. [PDF] 国の財政等の状況等

 

2. 令和3年度決算検査報告の本文

[PDF] 目次

第1章 検査の概要

 第1節 [PDF] 検査活動の概況
 第2節 [PDF] 検査結果の大要

第2章 [PDF] 決算の確認

第3章 個別の検査結果

 第1節 省庁別の検査結果
 第2節 団体別の検査結果
 第3節 不当事項に係る是正措置等の検査の結果

第4章 国会及び内閣に対する報告並びに国会からの検査要請事項に関する報告等

 第1節 国会及び内閣に対する報告
 第2節 国会からの検査要請事項に関する報告
 第3節 特定検査対象に関する検査状況
 第4節 [PDF] 国民の関心の高い事項等に関する検査状況
 第5節 [PDF] 特別会計財務書類の検査

第5章 [PDF] 会計事務職員に対する検定

第6章 歳入歳出決算その他検査対象の概要

 第1節 [PDF] 検査対象別の概要
 第2節 [PDF] 国の財政等の状況

 


 

3. 令和3年度決算検査報告の特徴的な案件

 

Ⅰ 新型コロナウイルス感染症対策関係経費等に関するもの

 1 新型コロナウイルス感染症対策に関連する各種施策に係る予算の執行状況等
 2 モバイルWi-Fiルータ等の使用状況
 3 新型コロナウイルス感染症対応地方創生臨時交付金による事業の実施
 4 雇用調整助成金等及び休業支援金等の事後確認
 5 Go To トラベル事業における取消料対応費用等の支払
 6 雇用調整助成金の支給額の算定方法
 7 病床確保事業における交付金の過大交付
 8 Go To Eat キャンペーンに係る委託費の算定

Ⅱ 社会保障に関するもの

 9 障害児通所支援事業所における児童指導員等加配加算の算定

Ⅲ 国民生活の安全性の確保に関するもの

 10 社会福祉施設等に整備する非常用設備等の耐震性
 11 防雪柵の設計が適切でなかったもの

Ⅳ 情報通信(IT)に関するもの

 12 生活保護業務における情報提供ネットワークシステムを通じた情報照会の実施状況
 13 DRシステムの活用

Ⅴ 制度・事業の効果等に関するもの

 14 農林水産分野におけるTPP等関連政策大綱に基づく施策の実施状況等

Ⅵ 予算の適正な執行、会計経理の適正な処理等に関するもの

 15 子どもの健康と環境に関する全国調査(エコチル調査)における生化学検査等の業務に係る契約

Ⅶ 資産、基金等のストックに関するもの

16 特定地域中小企業特別資金事業に係る貸付金の規模

Ⅷ その他

17 大口の個人株主等の配当所得に係る確定申告の審理


 

● まるちゃんの情報セキュリティ気まぐれ日記

会計検査院, GAO, NAO等に関する記事...

・2022.11.01 英国 会計監査院 国防のデジタル戦略:初期導入のレビュー

・2022.10.09 米国 GAO ランサムウェア:連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる

・2022.09.27 米国 GAO 遠隔医療:監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動

・2022.09.26 米国 GAO 情報環境:DODの国家安全保障ミッションに対する機会および脅威 (2022.09.21)

・2022.09.26 米国 GAO 核兵器のサイバーセキュリティ:NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.25 米国 GAO 来年度 (FY23) の予算要求額は8億1,030万ドル(約1兆700億円)サイバーセキュリティも強化項目

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.23 オーストラリア政府機関の年次パフォーマンス報告書の監査-パイロット・プログラム2020-21年

・2022.04.03 米国 GAO 自らのプライバシープログラムを改善し、データ保護の強化をしなければならない by GAOの内部監査部門

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.29 米国 GAO 2022-2027の戦略計画 (2022.03.15)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.03.17 英国 会計監査院ブログ 公共分野のサイバーセキュリティに挑む (2022.03.08)

・2022.02.11 米国 GAO 重要インフラ保護:各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある

・2022.02.10 米国 GAOブログ ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化

・2022.01.27 英国 会計検査院 モデルをレビューするためのフレームワーク

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.15 英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.07 米国 GAO サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

 

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.05.28 会計検査院 「政府情報システムに関する会計検査の結果について」

・2021.05.27 U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇?

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.02 100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル(約820億円)サイバーセキュリティ監査能力の強化

・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

・2021.04.03 U.S. Office of Inspectors General(連邦監察官室)

↑ 米国連邦政府の内部監査部門の一覧があります。

 

・2021.04.01 GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

・2021.03.26 U.S. GAO 電力網サイバーセキュリティ:エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

↑ 監査計画を立案する際のリスク評価に関係するのでしょうが、参考になるでしょうね。。。

 

・2021.02.22 U.S. GAOが技術評価ハンドブックを公表していますね

・2021.01.14 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する?

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.12.02 U.S. GAO 医療における人工知能:患者ケアを強化する技術の利点と課題

・2020.12.02 U.S. GAO 5Gネットワークの機能と課題 @2020.11.19

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

↑ CDMの話ですね。。。

 

・2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書(少し前ですが・・・)

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.30 US-GAO COVID-19 CONTACT TRACING APPSに関するペーパーを出していますね。。。

・2020.07.20 US GAO 連邦政府のIT人材のニーズの優先順位付け

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

↑ 米国連邦政府の内部統制を理解する上で参考になりますね。。。

 

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

↑ GAOと会計検査院の比較表あります

 

・2011.02.20 会計検査院の権限

・2010.12.31 内部監査部門がない政府機関はマネジメントできているのか?

・2010.12.28 会計検査院 都道府県及び政令指定都市における国庫補助事業に係る事務費等の不適正な経理処理等の事態、発生の背景及び再発防止策について

・2010.11.06 会計検査院報告 平成21年度検査報告

・2009.11.28 会計検査院報告 平成20年度検査報告

・2009.07.21 GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses

・2009.04.27 総務省 地方公共団体における内部統制のあり方に関する研究会最終報告書

・2008.11.22 会計検査院 平成19年度決算検査報告

・2008.04.14 総務省 「地方公共団体における内部統制のあり方に関する研究会」における中間報告(論点整理)の公表

・2007.11.13 会計検査院 平成18年度決算検査報告の概要

・2007.09.01 会計検査院の是正効果は1000億円以上

・2007.08.04 省庁サイバーテロ対策不十分?

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.05.29 会計検査報告書 H17 政府出資法人における内部監査等の状況について

・2007.05.28 会計検査報告書 H17 各府省等におけるコンピュータシステムに関する会計検査の結果について

・2006.11.30 米国会計検査院 省庁に情報セキュリティに関する定期的な検査のための適切な方針の開発と導入が必要

・2006.09.23 日本銀行 米・英政府の内部統制

・2006.06.23 パブリックセクターの内部統制

・2006.05.16 有効性を評価し、監査するとは・・・

・2005.11.09 会計検査院 検査結果を首相に提出

・2005.08.04 参議院 会計検査院法改正案可決

・2005.07.21 米国会計検査院 国土安全保障省のサイバーセキュリティへの対応は不十分

・2005.07.13 米国会計検査院 国土安全保障省はセキュリティプログラムを実施していない

・2005.06.16 米国会計検査院 米国政府機関はネット上の脅威に対し無防備と警告

・2005.06.07 参議院 会計検査院にITシステムの運用に関して重点検査要請

・2005.06.01 米国会計検査院 証券取引委員会の監査結果

・2005.05.31 米国会計検査院 プライバシーに対する配慮不足とRFID使用に警告

・2005.05.31 米国会計検査院 国土安全保障省はサイバーセキュリティに無防備と批判

・2005.04.22 米国の会計検査院は情報セキュリティ監査でがんばっている

・2005.03.29 会計検査院のウェブページ

 

 

| | Comments (0)

2022.11.18

米国 米中経済・安全保障検討委員会 2022年年次報告書

こんにちは、丸山満彦です。

米国議会の米中経済・安全保障検討委員会が、2022年の年次報告書を公開していますね。。。報告書は780ページ強!!!!

サイバーセキュリティについても触れられていますね。。。

 

せめてエグゼクティブサマリーと勧告だけでも。。。

 

U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION

2022 Annual Report to Congress

2022 Annual Report to Congress 2022年 米国議会への年次報告書
Topics this year include CCP decision-making and Xi Jinping’s centralization of authority, challenging China’s trade practices, China’s energy plans and practices, U.S. supply chain vulnerabilities and resilience, China’s cyber warfare and espionage capabilities, China’s activities and influence in South and Central Asia, and a review of Taiwan, Hong Kong, economics, trade, security, political, and foreign affairs developments in 2022. 今年のトピックは、中国共産党の意思決定と習近平の中央集権化、中国の貿易慣行への挑戦、中国のエネルギー計画と慣行、米国のサプライチェーンの脆弱性と回復力、中国のサイバー戦とスパイ能力、南・中央アジアにおける中国の活動と影響、2022年の台湾、香港、経済、貿易、セキュリティ、政治、外交の発展に関するレビューなどである。

 

アレックス・ウォン議長の開会宣言

・2022.11.15 [PDF] Opening Statement of Chairman Alex Wong

キム・グラス副議長の開会宣言

・2022.11.15 [PDF] Opening Statement of Vice Chair Kim Glas

 

報告書

2022年 年次報告書、サマリー、勧告

・[PDF] Executive Summary

20221118-52256

・[DOCX] 仮訳

 

 

・[PDF] Recommendations to Congress

20221118-51540

 

・[PDF] Annual Report to Congress

20221118-51527

 

 

 

VIDEO
14:54くらいから始まります。。。

Unable to see this video? Click here.

 

 

Chapter 1 - CCP Decision-Making and Xi Jinping’s Centralization of Authority 第1章 中国共産党の意思決定と習近平の中央集権化
Chapter 1 - CCP Decision-Making and Xi Jinping’s Centralization of Authority 第1章 中国共産党の意思決定と習近平の中央集権化
Chapter 2 - U.S.-China Economic and Trade Relations 第2章 米中経済・貿易関係
Chapter 2, Section 1 - U.S.-China Economic and Trade Relations 第2章 第1節 米中経済・貿易関係
Chapter 2, Section 2 - Challenging China’s Trade Practices 第2章 第2節 中国の貿易慣行への挑戦
Chapter 2, Section 3 - China’s Energy Plans and Practices 第2章 第3節 中国のエネルギー計画と実践
Chapter 2, Section 4 - U.S. Supply Chain Vulnerabilities and Resilience 第2章 第4節 米国のサプライチェーンにおける脆弱性と回復力
Chapter 3 - U.S.-China Security and Foreign Affairs 第3章 米中安全保障と外交問題
Chapter 3, Section 1 - Year in Review: Security and Foreign Affairs 第3章 第1節 今年の振り返り:安全保障と外交
Chapter 3, Section 2 - China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States 第3章 第2節 中国のサイバー能力:戦い、スパイ行為、そして米国への影響
Chapter 3, Section 3 - China’s Activities and Influence in South and Central Asia 第3章 第3節 南アジア・中央アジアにおける中国の活動と影響力
Chapter 4 - Taiwan 第4章 台湾
Chapter 4 - Taiwan 第4章 台湾
Chapter 5 - Hong Kong 第5章 香港
Chapter 5 - Hong Kong 第5章 香港

 

 

| | Comments (0)

2022.11.09

オーストラリア ACSC 年次サイバー脅威報告書(2021年7月から2022年6月)

こんにちは、丸山満彦です。

オーストラリア・サイバーセキュリティ・センター(ACSC)が年次サイバー脅威報告書を公表していますね。。。

トレンドのポイント...

  • サイバースペースは戦場となった。
  • オーストラリアの繁栄は、サイバー犯罪者にとって魅力的である。
  • ランサムウェアは、依然として最も破壊的なサイバー犯罪である。
  • 世界的に、重要なインフラストラクチャーネットワークがますます狙われるようになっている。
  • 公共性の高い重要な脆弱性を迅速に悪用することが常態化した。

 

ACSC

・2022.11.04 ACSC Annual Cyber Threat Report, July 2021 to June 2022

ACSC Annual Cyber Threat Report, July 2021 to June 2022 ACSC 年次サイバー脅威報告書(2021年7月から2022年6月)
The Annual Cyber Threat Report is ACSC’s flagship unclassified publication. The Report provides an overview of key cyber threats impacting Australia, how the ACSC is responding to the threat environment, and crucial advice for Australian individuals and organisations to protect themselves online. 年次サイバー脅威報告書は、ACSC の主要な非機密出版物である。本報告書では、オーストラリアに影響を及ぼす主要なサイバー脅威の概要、ACSCの脅威環境への対応、オーストラリアの個人と組織がオンラインで身を守るための重要なアドバイスが記載されている。

 

・[PDF] Annual Cyber Threat Report, July 2021 to June 2022

20221109-43355

 

目次...

Foreword 序文
Executive Summary エグゼクティブサマリー
Cybercrime and cyber security incident statistics サイバー犯罪とサイバーセキュリティ事件の統計
State actors 国家的行為者
REDSPICE REDSPICE
Cybercrime サイバー犯罪
Ransomware ランサムウェア
Critical infrastructure 重要インフラ
Critical vulnerabilities 重要な脆弱性
Cyber defence and resilience サイバーディフェンスとレジリエンス
About the ACSC ACSCについて
About the contributors 協力者について

 

エグゼクティブサマリー

Executive Summary エグゼクティブサマリー
Over the 2021–22 financial year, the deterioration of the global threat environment was reflected in cyberspace. This was most prominent in Russia’s invasion of Ukraine, where destructive malware resulted in significant damage in Ukraine itself, but also caused collateral damage to European networks and increased the risk to networks worldwide. 2021-22会計年度にかけて、世界的な脅威環境の悪化がサイバースペースにも反映されている。これは、ロシアのウクライナ侵攻において最も顕著であり、破壊的なマルウェアがウクライナ自体に大きな被害をもたらしただけでなく、ヨーロッパのネットワークにも巻き添えを食い、世界中のネットワークへのリスクを増大させる結果となった。
In Australia, we also saw an increase in the number and sophistication of cyber threats, making crimes like extortion, espionage, and fraud easier to replicate at a greater scale. The ACSC received over 76,000 cybercrime reports, an increase of nearly 13 per cent from the previous financial year. This equates to one report every 7 minutes, compared to every 8 minutes last financial year. オーストラリアでも、サイバー脅威の数と精巧さが増し、恐喝、スパイ、詐欺などの犯罪がより大規模に再現されやすくなっていることがわかった。ACSCは76,000件を超えるサイバー犯罪の報告を受け、前年度から約13%増加した。これは、昨年度の8分に1件の割合から、7分に1件の割合で報告されていることに相当する。
The ACSC identified the following key cyber security trends in the 2021–22 financial year: ACSCは、2021-22会計年度のサイバーセキュリティの主要な傾向を次のように指摘した。
・Cyberspace has become a battleground. Cyber is increasingly the domain of warfare, as seen in Russia’s use of malware designed to destroy data and prevent computers from booting in Ukraine. But Russia was not alone in its use of cyber operations to pursue strategic interests. In July 2021, the Australian Government publicly attributed exploitation of Microsoft Exchange vulnerabilities to China’s Ministry of State Security. And a joint Five-Eyes Advisory in November 2021 confirmed exploitation of these vulnerabilities by an Iranian state actor. Regional dynamics in the Indo-Pacific are increasing the risk of crisis and cyber operations are likely to be used by states to challenge the sovereignty of others. ・サイバースペースは戦場となった。ロシアがウクライナでデータを破壊し、コンピュータを起動できなくするように設計されたマルウェアを使用したことに見られるように、サイバーはますます戦争の領域になっている。しかし、戦略的利益を追求するためにサイバー作戦を利用するのはロシアだけではなかった。2021年7月、オーストラリア政府は、Microsoft Exchangeの脆弱性を悪用したのは中国国家安全部であると公表した。また、2021年11月のFive-Eyesの共同アドバイザリーでは、イランの国家主体によるこれらの脆弱性の悪用が確認されている。インド太平洋の地域力学は危機のリスクを高めており、サイバー作戦は国家が他者の主権に挑戦するために利用される可能性が高い。
・Australia’s prosperity is attractive to cybercriminals. According to a 2021 Credit Suisse report, Australia has the highest median wealth per adult in the world. In 2021–22, cybercrimes directed at individuals, such as online banking and shopping compromise, remained among the most common, while Business Email Compromise (BEC) trended towards targeting high value transactions like property settlements. ・オーストラリアの繁栄は、サイバー犯罪者にとって魅力的である。2021年のクレディ・スイスのレポートによると、オーストラリアは成人一人当たりの富の中央値が世界で最も高い。2021-22年、オンラインバンキングやショッピングの侵害など、個人に向けられたサイバー犯罪は引き続き最も多く、ビジネスメール侵害(BEC)は不動産決済などの高額取引を狙う傾向にある。
・Ransomware remains the most destructive cybercrime. Ransomware groups have further evolved their business model, seeking to maximise their impact by targeting the reputation of Australian organisations. In 2021–22, ransomware groups stole and released the personal information of hundreds of thousands of Australians as part of their extortion tactics. The cost of ransomware extends beyond the ransom demands, and may include system reconstruction, lost productivity, and lost customers. ・ランサムウェアは、依然として最も破壊的なサイバー犯罪である。ランサムウェアグループはビジネスモデルをさらに進化させ、オーストラリアの組織の評判を狙うことで、その影響力を最大化しようとしている。2021年から22年にかけて、ランサムウェアグループは恐喝戦術の一環として、数十万人のオーストラリア人の個人情報を盗み出し、公開した。ランサムウェアのコストは身代金要求の範囲を超えており、システムの再構築、生産性の損失、顧客の喪失などが考えられる。
・Worldwide, critical infrastructure networks are increasingly targeted. Both state actors and cybercriminals view critical infrastructure as an attractive target. The continued targeting of Australia’s critical infrastructure is of concern as successful attacks could put access to essential services at risk. Potential disruptions to Australian essential services in 2021–22 were averted by effective cyber defences, including network segregation and effective, collaborative incident response. ・世界的に、重要なインフラストラクチャーネットワークがますます狙われるようになっている。国家権力者とサイバー犯罪者の両方が、重要インフラを魅力的なターゲットとして見ている。オーストラリアの重要インフラが引き続き狙われていることは、攻撃の成功によって重要なサービスへのアクセスが危険にさらされる可能性があるため、懸念されることである。2021-22年にオーストラリアの重要サービスが中断される可能性は、ネットワークの分離や効果的で協力的なインシデント対応などの効果的なサイバー防御によって回避された。
・The rapid exploitation of critical public vulnerabilities became the norm. Australian organisations, and even individuals, were indiscriminately targeted by malicious cyber actors. Malicious actors persistently scanned for any network with unpatched systems, sometimes seeking to use these as entry points for higher value targets. The majority of significant incidents ACSC responded to in 2021–22 were due to inadequate patching. ・公共性の高い重要な脆弱性を迅速に悪用することが常態化した。オーストラリアの組織、そして個人までもが、悪意のあるサイバー行為者によって無差別に標的にされた。悪意のある行為者は、パッチが適用されていないシステムのあるネットワークを執拗にスキャンし、時には、より価値の高いターゲットへの侵入口としてそれらを利用しようとした。ACSCが2021-22年に対応した重大インシデントの大半は、不適切なパッチ適用が原因であった。
In the face of rising threats to the digital-dependent Australian economy, cyber defence must be a priority for all Australians. The most effective means of defending against cyber threats continues to be the implementation of the Essential Eight cyber security strategies. To support this, the ACSC launched several new initiatives in 2021–22 to improve Australia’s cyber resilience, such as a Cyber Threat Intelligence Sharing (CTIS) platform which automates sharing of indicators of compromise. The Australian Government’s ten year investment in ASD, known as REDSPICE, will further harden Australia’s cyber defences in 2022–23 and beyond. デジタルに依存するオーストラリア経済への脅威が高まる中、サイバー防御はすべてのオーストラリア国民にとって優先事項でなければならない。サイバー脅威から身を守る最も効果的な手段は、引き続き「エッセンシャルエイト」のサイバーセキュリティ戦略を実施することである。これを支援するため、ACSCは2021-22年に、侵害の指標の共有を自動化するサイバー脅威情報共有(CTIS)プラットフォームなど、オーストラリアのサイバー耐性を向上させるいくつかの新しい取り組みを開始した。REDSPICEとして知られるオーストラリア政府のASDへの10年間の投資は、2022-23年以降、オーストラリアのサイバー防御をさらに強固なものにすることだろう。
What the ACSC saw: ACSCがわかったこと:
・An increase in financial losses due to BEC to over $98 million ・BECによる金銭的損失は9800万ドル以上に増加
an average loss of $64,000 per report.  (1件当たりの平均損失額は64,000ドル)
・A rise in the average cost per cybercrime report to over $39,000 for small business, $88,000 for medium business, and over $62,000 for large business ・サイバー犯罪の報告1件あたりの平均コストは、中小企業で39,000ドル以上、中堅企業で88,000ドル以上、大企業で62,000ドル以上と上昇した。
an average increase of 14 per cent. (平均14%の増加)
・A 25 per cent increase in the number of publicly reported software vulnerabilities ・ソフトウェアの脆弱性の報告件数が25%増加。
(Common Vulnerabilities and Exposures – CVEs) worldwide. ((Common Vulnerabilities and Exposures - CVEs)が全世界で25%増加)
・Over 76,000 cybercrime reports ・76,000件を超えるサイバー犯罪の報告
an increase of 13 per cent from the previous financial year. (前年度比13%増)
・A cybercrime report every 7 minutes on average ・平均して7分ごとにサイバー犯罪の報告がある。
compared to every 8 minutes last financial year. (昨年度は8分に1件)
・Over 25,000 calls to the Cyber Security Hotline ・サイバーセキュリティ・ホットラインへの問い合わせは25,000件以上。
an average of 69 per day and an increase of 15 per cent from the previous financial year. (1日平均69件、前年度比15%増)
・150,000 to 200,000 Small Office/Home Office routers in Australian homes and small businesses vulnerable to compromise ・オーストラリアの家庭や中小企業にある15万台から20万台のスモールオフィス/ホームオフィスルーターは、国家的な行為も含め、危険にさらされる可能性がある。
including by state actors. (国営企業も含む)
・Fraud, online shopping and online banking ・詐欺、オンラインショッピング、オンラインバンキング
were the top reported cybercrime types, accounting for 54 per cent of all reports. (報告されたサイバー犯罪の上位を占め、全報告の54%を占めた。)
What the ACSC did: ACSCが行ったこと
・Responded to over 1,100 cyber security incidents. ・1,100件以上のサイバーセキュリティインシデントに対応した。
・Blocked over 24 million malicious domain requests ・2400万件以上の悪質なドメインリクエストをブロックした
through the Australian Protective Domain Name System. (オーストラリア保護ドメイン名システムを通じて)
・Took down over 29,000 brute force attacks against Australian servers ・オーストラリアサーバーに対する29,000件以上のブルートフォースアタックをドメインテイクダウンサービスにより阻止した
through the Domain Takedown Service. (ドメインテイクダウンサービスを通じて)
・Took down over 15,000 domains hosting malicious software ・悪質なソフトウェアをホストしている15,000以上のドメインを停止させた
targeting Australia’s COVID-19 vaccine rollout. (オーストラリアのCOVID-19ワクチン展開を狙った)
・Shared over 28,000 indicators of compromise with ACSC Partners ・28,000以上の危険信号をACSCパートナーと共有。
through the Cyber Threat Intelligence Sharing platform. (サイバー脅威インテリジェンス共有プラットフォームを通じ)
・Collaborated with partners on 5 successful operations against criminal online marketplaces and foreign scam networks. ・パートナーとの協力により、犯罪的なオンラインマーケットプレイスや外国人詐欺ネットワークに対する5つの作戦を成功させた。
・Responded to 135 ransomware incidents ・135件のランサムウェアインシデントに対応した。
an increase of over 75 per cent compared to 2019–20. (2019-20年と比較して75%以上の増加)
・Notified 148 entities of ransomware activity on their networks. ・ネットワーク上でのランサムウェアの活動を148の事業者に通知した。
・Conducted 49 high priority operational tasks in response to identified and potential significant cyber threats ・特定された重要なサイバー脅威および潜在的なサイバー脅威に対応するため、49の優先度の高い運用タスクを実施した。
including scanning for vulnerable Australian devices. (オーストラリアの脆弱なデバイスのスキャンを含む)
・Published 49 Alerts and 14 Advisories on cyber.gov.au ・cyber.gov.auで49のアラートと14のアドバイザリーを公開した。
which collectively saw more than 393,000 visits. (合計で393,000以上のアクセスを記録)
・Issued an Advisory urging Australian organisations to adopt an enhanced security posture following Russia’s invasion of Ukraine ・ロシアのウクライナ侵攻を受け、オーストラリアの組織にセキュリティ強化の姿勢をとるよう促すアドバイザリーを発出した。
which was updated 10 times and received more than 57,000 views, plus a potential reach of almost 1 million people through social media. (この勧告は10回更新され、57,000以上の閲覧があり、ソーシャルメディアを通じて約100万人に届けられた)。
・Briefed more than 200 government, business and critical infrastructure organisations ・200以上の政府機関、企業、重要インフラ組織に対して、ブリーフィングを実施した。
on the risk of collateral damage to Australian networks following the Russian invasion of Ukraine. (ロシアのウクライナ侵攻に伴うオーストラリアのネットワークへの巻き添え被害リスクについての)
・Published 13 new Step-by-Step Guides ・13の新しいステップバイステップガイドを発行した。
to help Australian individuals and small businesses to implement simple cyber security practices. (オーストラリアの個人および中小企業が簡単なサイバーセキュリティを実践できるよう支援する)
・Expanded the Partnership Program ・パートナーシップ・プログラムを拡大した
to over 2,300 network partners, 3,400 business partners, and over 82,000 home partners. (ネットワークパートナー2,300社以上、ビジネスパートナー3,400社以上、ホームパートナー82,000社以上へ拡大)
・Led 24 cyber security exercises ・オーストラリアを強化するため、280 以上の組織が参加する 24 のサイバーセキュリティ演習を主導した。
involving over 280 organisations to strengthen Australia’s cyber resilience. オーストラリアのサイバーレジリエンスを強化するため、280 以上の組織が参加する 24 のサイバーセキュリティ演習を主導。
・Operationalised amendments to the Security of Critical Infrastructure Act ・重要インフラ保全法(Security of Critical Infrastructure Act)の改正を実施した。
including through new incident categorisation thresholds and changes to the ReportCyber website. (新しいインシデント分類の基準値やReportCyberウェブサイトの変更などを通じて)

・Notified 5 critical infrastructure entities of malicious cyber activity and vulnerabilities ・5つの重要インフラ事業体に対し、悪質なサイバー活動や脆弱性を通知した。
potentially impacting their networks since the implementation of amendments to the Security of Critical Infrastructure Act. 重要インフラの安全確保に関する法律が改正され、ネットワークに影響を与える可能性が出てきた。
・Completed the Critical Infrastructure Uplift Program (CI-UP) pilot ・重要インフラ高度化プログラム(CI-UP)試験運用を完了した。
and rolled out activities and tools open to all critical infrastructure partners. (すべての重要インフラパートナーに公開された活動とツールを展開した)
What should individuals do? 個人はどうすればいいのか?
Follow the ACSC’s easy steps to secure your devices and accounts including: ACSCの簡単な手順に従って、以下のようなデバイスやアカウントを保護することができる。
・Update your devices ・デバイスをアップデートする
and replace old devices that do not receive updates デバイスをアップデートし、アップデートを受け取らない古いデバイスを交換する
・Activate multi-factor authentication ・多要素認証の有効化
・Regularly backup your devices ・デバイスの定期的なバックアップ
・Set secure passphrases ・安全なパスフレーズを設定する
・Watch out for scams ・詐欺に注意する
・Sign up to the ACSC’s free Alert Service ・ACSCの無料アラートサービスに登録する
・Report a cybercrime to the ACSC ・ACSCにサイバー犯罪を報告する
What should organisations do? 企業は何をすべきか?
For larger organisations: implement the ACSC’s Essential Eight mitigation strategies, Strategies to Mitigate Cyber Security Incidents and the Information Security Manual. 大規模な組織の場合:ACSCのエッセンシャルエイト緩和戦略、サイバーセキュリティインシデントを軽減するための戦略、情報セキュリティマニュアルを実施する。

For smaller organisations: follow the ACSC’s advice for ransomware, Business Email Compromise and other threats. 小規模な組織の場合:ランサムウェア、ビジネスメール詐欺、その他の脅威に対するACSCのアドバイスに従う。
・Review the cyber security posture of remote workers ・リモートワーカーのサイバーセキュリティ態勢を確認する。
and their use of communication, collaboration and business productivity software. (コミュニケーション、コラボレーション、ビジネス生産性ソフトウェア)
・Patch vulnerabilities within 48 hours ・48時間以内に脆弱性のパッチを適用する。
If you cannot achieve this, consider using a cloud service provider or managed service provider that can. (これを実現できない場合は、実現可能なクラウドサービスプロバイダーやマネージドサービスプロバイダーの利用を検討する)
・Only use reputable cloud service providers and managed service providers ・信頼できるクラウドサービスプロバイダーとマネージドサービスプロバイダーのみを使用すること
that implement appropriate cyber security measures. 適切なサイバーセキュリティ対策を実施している
・Sign up to become an ACSC partner ・ACSCパートナーに登録する
to receive insights, Advisories and advice. (洞察、アドバイザリー、アドバイスを受け取ることができる)
・Test your cyber security detection, incident response, business continuity and disaster recovery plans. ・サイバーセキュリティの検出、インシデント対応、事業継続、災害復旧計画をテストする。
・Report all cybercrime and cyber security incidents to the ACSC ・すべてのサイバー犯罪およびサイバーセキュリティインシデントをACSCに報告する。
via ReportCyber. ReportCyber経由で。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

脅威状況

・2022.11.08 ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.10.31 ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

・2022.08.31 シンガポール サイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況

・2022.08.01 ENISA ランサムウェアについての脅威状況

・2022.07.29 ENISA サイバーセキュリティ脅威ランドスケープの方法論 (2022.07.06) ENISA流サイバーインテリジェンスの方法論?

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.07.28 ISACA サイバーセキュリティ調査報告2021 Part1 & Part2

・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

 

 

| | Comments (0)

2022.11.02

NISC デジタル庁 総務省 経済産業省 「ISMAP-LIU」の運用を開始

こんにちは、丸山満彦です。

リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした仕組みである「ISMAP-LIU」が、2022.11.01から運用を開始したと、NISC、デジタル庁、総務省、経済産業省から公表されていますね。。。

Ismap

ISMAP-LIUは、

ISMAP for Low-Impact Use

の略称で、

イスマップ・エルアイユー

と呼びます。。。

 

NISC

政府情報システムのためのセキュリティ評価制度(ISMAP)

(ISMAP-LIUの章が新設されています。。。)

デジタル庁

・2022.11.01 「ISMAP-LIU」の運用を開始しました

総務省

・2022.11.01 「ISMAP-LIU」の運用開始

経済産業省

・2022.11.01 「ISMAP-LIU」の運用を開始しました

 

e-Gov

・2022.11.01 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集の結果

・[PDF] 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集について 御意見に対する回答

20221101-204807

 

ISMAP ポータルサイト

・2022.11.01 ISMAP-LIUに関する制度規程等を公表しました。

・2022.11.01 ISMAP-LIUの事前申請の受付を開始しました。

 

ISMAP登録サービス...

クラウドサービスリスト

 

さて、ISMAP-LIUは、どの程度伸びるのでしょうね。。。

 

 

| | Comments (0)

2022.11.01

英国 会計監査院 国防のデジタル戦略:初期導入のレビュー

こんにちは、丸山満彦です。

英国国防省は、2021年に「国防のデジタル戦略」を公表していますが、、、その実装についての監査結果を英国会計監査院が公表していますね。。。

 

The Digital Strategy for Defence: A review of early implementation  国防のデジタル戦略:初期導入のレビュー
Background to the report 報告書の背景
The nature of modern warfare is changing, with access to and exploitation of information becoming vital to securing military advantage. The government’s Integrated Review placed greater priority on identifying and deploying new technologies faster than potential adversaries to enable operations across all arenas of warfare and collaborate better with partners. Cyberspace is itself also becoming an increasingly important arena of warfare, with external threats increasing and constantly evolving as access to offensive cyber capabilities becomes easier. 現代の戦争の性質は変化しており、情報へのアクセスとその活用は軍事的優位を確保するために不可欠になっている。政府の統合的レビューでは、あらゆる戦場での作戦を可能にし、パートナーとのより良い協力関係を築くために、潜在的敵対者よりも早く新技術を特定し展開することをより重要視している。サイバースペースもまた、ますます重要な戦場となりつつあり、攻撃的なサイバー能力へのアクセスが容易になるにつれ、外部からの脅威は増大し、常に進化を続けている。
To address these challenges, the Ministry of Defence (MoD) has developed the Digital Strategy for Defence (the strategy), which describes how it intends to transform its use of technology and data. The MoD aims to achieve three strategic outcomes by 2025, which are: これらの課題に対処するため、国防省(MoD)は「国防デジタル戦略」(戦略)を策定し、テクノロジーとデータの活用をどのように変革するつもりかを説明している。MoDは、2025年までに次の3つの戦略的成果を達成することを目指している。
・a digital ‘backbone’ – this is how the MoD describes the technology, people, and organisational processes that will allow it to share data seamlessly and securely with decision-makers across all the military and civilian domains. ・デジタル「バックボーン」 - 軍と民間の全領域の意思決定者とデータをシームレスかつ安全に共有するための技術、人材、組織的なプロセス。
・a digital ‘foundry’ – a software and data analytics development centre. This will use the capability and access to data provided by the ‘backbone’ to rapidly develop digital solutions in response to emerging needs; and ・デジタル「ファウンドリ」 - ソフトウェアとデータ分析開発センター。バックボーン」が提供する能力とデータへのアクセスを利用して、新たなニーズに対応したデジタルソリューションを迅速に開発する。
・an empowered digital function – a skilled and agile community of digital specialists who will help deliver digital transformation and closer integration across defence. ・デジタル機能の強化:デジタル技術の専門家による熟練した機敏なコミュニティで、デジタル変革の実現と防衛全体のより緊密な統合を支援する。
Scope of the report 報告書の範囲
Our report focuses on the May 2021 Digital Strategy for Defence and the MoD’s implementation of it. We, therefore, considered performance information between its publication and our cut-off point for reporting of 30 June 2022 (except where otherwise stated). We have not performed a detailed review of the MoD’s performance on previous digital strategies or programmes, except to the extent it continues to deliver them as part of the current strategy. 本報告書は、2021年5月の国防デジタル戦略とMoDによるその実施に焦点を当てている。したがって、我々は、その公表から我々の報告の締め切りである2022年6月30日までの間のパフォーマンス情報を検討した(特に明記されている場合を除く)。我々は、MoDの過去のデジタル戦略やプログラムに関するパフォーマンスについて、現行戦略の一部として継続的に提供する範囲を除き、詳細なレビューは行っていない。
Our scope includes the whole MoD because, although Defence Digital is responsible for leading implementation, the strategy is intended for all of defence. We do not draw a distinction in our scope between core IT infrastructure and deployed military technologies, as modern warfare requires the seamless movement of data and applications between these spaces. The MoD’s ambition is to create the infrastructure and organisational capability to do this. 我々の範囲はMoD全体を含むが、これは防衛デジタルが実施を主導する責任を負うものの、この戦略が防衛全体を対象とするものであるためである。現代の戦争では、これらの空間間でデータとアプリケーションをシームレスに移動させる必要があるため、私たちはコアITインフラと配備された軍事技術とを範囲内で区別していない。MoD の野望は、これを実現するためのインフラと組織的能力を構築することである。
Report conclusions 報告書の結論
The nature of modern conflict is rapidly digitising, affecting the MoD’s business and how the Armed Forces operate in the battlefield. The MoD has put in place a digital strategy to respond to this challenge, which is consistent with good practice, has provided clear direction across the MoD and has support from the most senior defence officials. The MoD has made good progress with bringing together and aligning digital practitioners across defence. However, its performance in delivering major digital technology programmes needs to improve and is a risk to achieving this alignment. 現代の紛争の性質は急速にデジタル化し、MoDのビジネスと軍隊の戦場での活動方法に影響を及ぼしている。MoDはこの課題に対応するため、デジタル戦略を導入した。この戦略は優れた実践に合致しており、MoD全体に明確な方向性を示し、国防当局の最高幹部から支持を得ている。国防総省は、国防総省全体のデジタル実務者を結集し、足並みを揃えることで、順調な進展を遂げてきた。しかし、主要なデジタル技術プログラムを実施する上でのパフォーマンスは改善する必要があり、この連携を達成する上でのリスクとなっている。
The MoD does not have a complete picture of its progress against the strategy and so cannot readily demonstrate whether it is on track to deliver it or not. To meet the needs of the modern battlefield, and enhance its business efficiency, the MoD must transform a large and complex organisation with an extensive legacy estate, using scarce specialist skills. Given the scale of the challenge and the persistent barriers to change, achieving the strategy’s objectives by 2025 is ambitious. As future delivery challenges emerge, it will be important for the MoD to prioritise its funding and specialist skills to where it needs them most urgently. The MoD will be able to do this more effectively if it can articulate better how it will achieve the strategy’s vision in practice and how it will measure success along the way, not least in supporting its wider departmental objectives. This will allow it to achieve greater value for money with its £4.4 billion of annual digital expenditure. MoDは、戦略に対する進捗状況を完全に把握していないため、戦略の実現に向けた軌道に乗っているかどうかを容易に示すことができない。現代の戦場のニーズを満たし、事業効率を高めるために、MoDは、希少な専門技術を駆使して、大規模で複雑な組織、広大なレガシー施設を変革しなければならない。課題の大きさと変化への根強い障壁を考えると、2025年までに戦略の目標を達成することは野心的である。将来的な課題として、国防総省は資金と専門技能を最も緊急に必要とするところに優先的に配分することが重要である。国防総省は、戦略のビジョンを実際にどのように達成し、その過程でどのように成功を測定するのか、特に、より広い省内目標を支援する上で、より明確にできれば、これをより効果的に行うことができます。そうすることで、年間44億ポンドのデジタル支出に対して、より高い費用対効果を得ることができるようになる。

 

・[PDF] Report - The Digital Strategy for Defence: A review of early implementation

20221101-14131

サマリー...

Summary 概要
1    The nature of modern warfare is changing, with access to and exploitation of information becoming vital to securing military advantage. The government’s Integrated Review placed greater priority on identifying and deploying new technologies faster than potential adversaries to enable operations across all arenas of warfare and collaborate better with partners. Cyberspace is itself also becoming an increasingly important arena of warfare, with external threats increasing and constantly evolving as access to offensive cyber capabilities becomes easier. 1 現代の戦争の性質は変化しており、情報へのアクセスとその活用は軍事的優位を確保するために不可欠になっている。政府の統合的レビューでは、戦争のあらゆる分野での作戦を可能にし、パートナーとのより良い協力関係を築くために、潜在的敵対者よりも早く新技術を特定し展開することをより重要視している。攻撃的なサイバー能力へのアクセスが容易になるにつれて、外部からの脅威が増大し、常に進化しているため、サイバースペース自体もますます重要な戦場となっている。
2    The Ministry of Defence’s (the Department’s) assessment is that it needs to keep pace with adversaries in adapting to this shifting technology landscape, but that it is not set up to implement digital technology at speed and scale. Like many government departments, its digital estate contains many aged (‘legacy’) systems, with resulting operational and cyber security vulnerabilities.1 The Department holds vast amounts of data, but those data are not easily accessible across its different component bodies. It also has gaps in critical skills and its organisational processes are not always suited to best delivering digital technology. 2 国防省(以下、省)の評価では、このように変化する技術状況に適応するために敵に追いつく必要があるが、デジタル技術を迅速かつ大規模に導入する体制が整っていないということである。多くの政府機関と同様、同省のデジタル資産には多くの老朽化した(「レガシー」)システムがあり、その結果、運用やサイバーセキュリティの脆弱性が生じている1。同省は膨大な量のデータを保有しているが、それらのデータは異なる構成組織間で容易にアクセスできない。また、重要なスキルの不足もあり、組織的なプロセスはデジタル技術の導入に必ずしも適しているとは言えない。
3    To address these challenges, the Department has developed the Digital Strategy for Defence (the strategy), which describes how it intends to transform its use of technology and data. The Department aims to achieve three strategic outcomes by 2025, which are: 3 こうした課題に対処するため、防衛省は「防衛デジタル戦略」(戦略)を策定し、技術やデータの活用をどのように変革するつもりかを説明している。同省は、2025 年までに次の 3 つの戦略的成果を達成することを目指している。
• a digital ‘backbone’ – this is how the Department describes the technology, people, and organisational processes that will allow it to share data seamlessly and securely with decision-makers across all the military and civilian domains. ・デジタル「バックボーン」 - 軍事・民間の全領域の意思決定者とデータをシームレスかつ安全に共有するための技術、人材、組織的プロセスを指す。
• a digital ‘foundry’ – a software and data analytics development centre. This will use the capability and access to data provided by the ‘backbone’ to rapidly develop digital solutions in response to emerging needs; and ・デジタル「ファウンドリ」-ソフトウェアとデータ分析開発センター。これは、「バックボーン」が提供する能力とデータへのアクセスを利用して、新たなニーズに対応したデジタルソリューションを迅速に開発するものである。
• an empowered digital function – a skilled and agile community of digital specialists who will help deliver digital transformation and closer integration across Defence. ・権限を与えられたデジタル機能:国防全体のデジタル変換と緊密な統合を実現するのに役立つ、熟練した機敏なデジタル専門家集団である。
4 The Department hopes that, collectively, these will help realise its vision for 2030 of allowing users across all Armed Forces and Defence organisations to access and use the data they need without barriers, and better support more joined-up decision-making. 4 国防省は、これらが一体となって、すべての軍と国防組織のユーザーが必要なデータに障害なくアクセスし、利用できるようにするという 2030 年のビジョンを実現し、より統合された意思決定を支援することを期待している。
1 Legacy refers to systems and applications that have been operationally embedded within a business function but have been overtaken by newer technologies or no longer meet changed business needs. 1 レガシーとは、これまでビジネス機能に組み込まれていたが、新しい技術に追い越されたり、変化したビジネスニーズに対応できなくなったシステムやアプリケーションを指す。
5 The Department’s chief information officer (CIO) leads Defence Digital, an organisation within Strategic Command. The CIO sits on the Department’s Executive Committee and reports jointly to the commander of Strategic Command and the second permanent secretary, who holds senior accountability for digital across Defence. The CIO and Defence Digital lead the digital function, which ensures that digital activity is coordinated across the Department and its Top-Level Budget (TLB) organisations. The CIO and Defence Digital are responsible for leading the implementation of the strategy, with support from TLBs, through a portfolio of organisational change and technology upgrades. 5 防衛省の最高情報責任者(CIO)は、戦略司令部内の組織である防衛デジタル(Defence Digital)を率いている。CIO は国防省の執行委員会のメンバーであり、戦略軍司令官と二等陸軍大臣に連名で報告し、国防全体のデジタルに 関する上級管理職の責任を負っている。CIOと国防デジタルは、国防省とそのトップレベル予算(TLB)組織全体でデジタル活動を調整するデジタル機能を主導している。CIOと国防デジタルは、TLBの支援を受けながら、組織改革と技術改良のポートフォリオを通じて、戦略の実施を主導する責任を負っている。
Our report 我々の報告書
6 Our report examines whether the Department is on track to achieve value for money in its implementation of its digital strategy. To do this, we would expect the Department to: 6 我々の報告書は、防衛省がデジタル戦略の実施においてバリュー・フォー・マネーを達成するための軌道に乗 っているかどうかを検証するものである。そのために、我々は同省に次のことを期待する。
• have put in place an appropriate strategy, considering its strategic context and existing digital estate, drawing on good practice; ・戦略的背景と既存のデジタル資産を考慮し、良い事例を参考にしながら、適切な戦略を導入している。
• have made initial progress implementing the strategy in line with a delivery plan, which allows it to measure and coordinate progress; and ・戦略の実施において、進捗を測定・調整するための実施計画に沿って初期段階での進捗があること。
• be working to address the biggest barriers to success and know how it will prioritise its resources and people. ・成功を阻む最大の障害に対処し、資源と人材の優先順位を決定していること。
• Part One looks at the Department’s strategic context, digital estate and the Digital Strategy for Defence. ・第1部では、国防省の戦略的背景、デジタル資産、国防のためのデジタル戦略について見ている。
• Part Two examines the Department’s progress with implementing the strategy. ・第2部では、同戦略の実施に向けた同省の進捗状況を検証している。
• Part Three considers key challenges to the Department’s implementation of the strategy. ・第3部では、国防省の戦略実施における主要な課題を考察している。
Scope of our work 我々の作業の範囲
8    Our report focuses on the May 2021 Digital Strategy for Defence and the Department’s implementation of it. We, therefore, considered performance information between its publication and our cut-off point for reporting of 30 June 2022 (except where otherwise stated). We have not performed a detailed review of the Department’s performance on previous digital strategies or programmes, except to the extent it continues to deliver them as part of the current strategy. 我々の報告書は、2021年5月の国防デジタル戦略とその実施に焦点を当てている。したがって、我々は、その公表から我々の報告の締め切りである2022年6月30日までの間のパフォーマンス情報を検討した(特に明記されている場合を除く)。我々は、デジタル戦略やプログラムに関する同省のパフォーマンスについて、現戦略の一部として継続的に実施する範囲を除き、詳細な検証は行っていない。
9    Our scope includes the whole Department because, although Defence Digital is responsible for leading implementation, the strategy is intended for all of Defence. We do not draw a distinction in our scope between core IT infrastructure and deployed military technologies, as modern warfare requires the seamless movement of data and applications between these spaces. The Department’s ambition is to create the infrastructure and organisational capability to do this. 9 私たちの調査範囲には、国防デジタル部門が実施を主導する責任を負っているものの、この戦略は国防全体を対象としているため、国防総省全体が含まれている。現代の戦争では、これらの空間間でデータやアプリケーションをシームレスに移動させる必要があるため、中核的なITインフラと配備された軍事技術との間に区別はしていない。国防省は、このためのインフラと組織的能力を構築することを目標としている。
Key findings 主な調査結果
The Digital Strategy for Defence 国防のためのデジタル戦略
10 Implementation of the strategy will help the Department to operate more effectively in an era of disruptive technology and evolving security threats. The government and Department have set out in several strategy and policy documents that the nature of warfare is changing. In response, the Department aims to join up military operations across land, air, sea, space and cyber and work closely with the rest of government, academia, industry and international partners. The Department has recognised that data are fundamental to achieving this integration and that it needs to transform its digital capabilities to be secure and easy to use so that it can share information seamlessly and make decisions based on data (paragraphs 1.2 to 1.4 and Figure 1). 10 この戦略の実施は、破壊的技術と進化する安全保障上の脅威の時代において、国防省がより効果的に活動するのに役立つだろう。政府と国防省は、いくつかの戦略や政策文書で、戦争の性質が変化していることを明らかにしている。これを受けて、同省は陸、空、海、宇宙、サイバーにわたる軍事作戦を連携させ、他の政府機関、学界、産業界、国際パートナーとの緊密な連携を目指す。同省は、この統合を達成するためにはデータが基本であり、シームレスな情報共有とデータに基づく意思決定ができるよう、安全で使いやすいデジタル機能に変革する必要があると認識している(パラグラフ1.2~1.4および図1)。
11 The Department’s assessment is that to keep pace with the increasing capabilities of adversaries requires a fundamental reset of its digital capability. The Department’s diagnosis is that its data are hard to access and share, it has gaps in critical skills, its core technology needs updating and its organisational processes are out of date. This is consistent with our wider work on the reasons government finds digital change challenging. The Department has a large legacy IT estate and upgrading to modern replacements is complex. Defence Digital estimated in 2019 that it would spend £11.7 billion over a decade updating or replacing systems, although this figure does not encompass all of the Department’s legacy estate (paragraphs 1.5 to 1.7 and Figure 2). 11 敵対者の能力向上に対応するためには、デジタル能力を根本的にリセットする必要があるというのが、同省の評価である。同省の診断では、データへのアクセスと共有が困難で、重要なスキルにギャップがあり、コアテクノロジーは更新が必要で、組織的なプロセスは時代遅れであるとしている。これは、政府がデジタル改革を困難と考える理由についての我々の幅広い研究と一致している。防衛省は大規模なレガシーIT資産を有しており、最新の代替技術へのアップグレードは複雑である。防衛デジタルは 2019 年に、システムの更新や交換に 10 年間で 117 億ポンドを費やすと推定したが、この数字は同省のレガシー不動産をすべて網羅しているわけではない(パラグラフ 1.5 ~ 1.7 および図 2)。
12 The nature of the Department’s business adds additional challenges to implementation of the strategy. The Department works across three security classifications (Official, Secret and Above Secret), which sometimes requires it to develop separate systems for each. The Department uses its technology in hostile environments with limited connectivity, such as at sea. This adds to the challenge of modernising and integrating technology. Adversaries also may be actively looking to degrade its digital and military capabilities. The Department shares data with international partners and must be able to work with their technical solutions and security policies (paragraphs 1.8 and 1.9). 12 省の事業の性質上、戦略の実施にはさらなる課題があります。同省は3つのセキュリティ区分(公安、機密、超機密)にまたがって業務を行っており、それぞれに個別のシステムを開発する必要がある場合もあります。また、同省は、海上など接続が制限された厳しい環境下で技術を使用している。そのため、技術の近代化と統合という課題もあります。また、敵対勢力も積極的にデジタルと軍事能力を低下させようとする可能性がある。同省は国際的なパートナーとデータを共有しており、その技術的なソリューションやセキュリティ方針と連携できなければならない(パラグラフ1.8および1.9)。
13 The Department’s digital strategy is consistent with good practice. The strategy states the Department will focus on technology, people, processes and cyber security so that it can securely and seamlessly share and exploit data. Importantly, the strategy recognises that data are a strategic asset and that people and processes are as vital as technology to successful digital change. Both wider government and the Department have been slow to implement digital strategies previously. However, there is strong support for the current strategy from the most senior leaders of the Department (paragraphs 1.10 to 1.14 and Figure 3). 13 同省のデジタル戦略は優れた実践と一致している。同戦略は、同省が安全かつシームレスにデータを共有し活用できるよう、技術、人材、プロセス、サイバーセキュリ ティに注力するとしている。重要なのは、この戦略が、データは戦略的資産であり、デジタル化の成功には、技術と同様に人とプロセスが不可欠であることを認識していることである。政府全体と省庁の両方がデジタル戦略を実施するのは、以前は遅かった。しかし、国防省の最高幹部は今回の戦略を強く支持している(パラグラフ 1.10 から 1.14 と図 3)。
Progress implementing the Digital Strategy for Defence 国防のためのデジタル戦略の実施進捗状況
14 The Department does not have a complete plan to implement the strategy or a clear way of measuring whether its implementation of the strategy is on track. Although the Department has individual plans supporting each of the individual workstreams and programmes, it has not brought these together to provide a complete picture of progress across the strategy. In our work on implementing digital change across government, we have stressed the need for an overall plan for how an organisation can transform itself that clearly sets out the associated ambition and risk. Such a plan would also allow the Department to prioritise its activity effectively when delivery challenges emerge (paragraphs 2.2 to 2.4). 14 防衛省には、戦略を実施するための完全な計画も、戦略の実施が順調に進んでいるかどうかを測る明確な 方法もない。国防省は個々のワークストリームやプログラムをサポートする個別の計画を持っているが、戦略全体の進捗状況を把握するためにこれらをまとめてはいない。政府全体のデジタル変革の実施に関する我々の作業では、組織がどのように自らを変革できるのか、関連する野心とリスクを明確に定めた全体計画の必要性を強調してきた。このような計画があれば、実現に向けた課題が浮上したときに、省は効果的に活動の優先順位を決めることができる(段落 2.2 から 2.4)。
15 The Department has substantially improved the governance of its digital function, which has begun to align Defence organisations to common digital standards and approaches. To create the coherence of digital activity needed to realise the strategy, the Department has developed common approaches and standards for aspects such as data, technology architecture and cyber security. For example, a new Chief Data Office has developed a Data Strategy and rules for formatting and managing data to make them more accessible and usable across Defence. The Department has also established governance to oversee the adoption of these standards across its business, which for 2021-22 it assessed as working effectively with only minor weaknesses. However, the changes required to comply with these standards are substantial, and currently at an early stage. For example, the Department has not yet fully mapped its legacy estate, and not all technology teams have adopted the new standards. Defence Digital sets TLBs annual tasks to improve digital coherence across the Department. For 2022-23, TLBs reported at the end of June that they are on track, or face only minor issues, with completing 66% of them. However, they face moderate issues with, or are at risk of not completing, 29% of them (paragraphs 2.5 to 2.11 and Figures 4 and 5). 国防省はデジタル部門のガバナンスを大幅に改善し、国防組織を共通のデジタル基準やアプローチに合わせ始めている。戦略の実現に必要なデジタル活動の一貫性を確保するため、同省はデータ、技術アーキテクチャ、サイバー・セキュリティなどの面で共通のアプローチと基準を策定した。例えば、新しいチーフ・データ・オフィスは、国防全体でよりアクセスしやすく使いやすいように、データ戦略やデータのフォーマットと管理に関するルールを策定した。また、同省は、事業全体におけるこれらの標準の採用を監督するガバナンスを確立しており、2021-22年については、わずかな弱点を除き、効果的に機能していると評価している。しかし、これらの標準に準拠するために必要な変更は相当なものであり、現在は初期段階である。例えば、同省はまだレガシー資産の地図を完全に作成しておらず、すべての技術チームが新基準を採用しているわけでもない。防衛デジタルは、省内のデジタル一貫性を向上させるためにTLBに年次課題を課している。2022-23年について、TLBは6月末に、66%の課題を完了し、順調である、あるいは小さな問題にしか直面していないと報告している。しかし、そのうちの29%については、中程度の問題に直面しているか、完了しない恐れがある(2.5~2.11項、図4、図5)。
16 The Department has improved its core IT services and has plans to improve services further. In 2015, the Department assessed that its users’ experience was unacceptable: its operating system was out of date; users had limited storage and collaboration tools; and its devices largely did not allow mobile working. As a result, the Department amended its core IT service contract to progressively roll out upgrades, such as an improved core IT system (MODNet), new software and mobile devices. While the Department judges that its core IT is now fit for purpose, it concluded that the contract was too large, insufficiently transparent to understand user experience, and lacking in levers to improve services further. It is now breaking the contract up and procuring its constituent services separately, which it will integrate itself. The new user service desk introduced in October 2021 supports this effort, by gathering information to spot common problems and address them faster. Following the introduction of the new service desk there was a fall in service performance, but it has recently begun to show improvement in service call waiting times and incident resolution times (paragraphs 2.12 to 2.14). 16 同省は、中核的なITサービスを改善し、さらにサービスを向上させる計画を持っている。2015年、同省は、オペレーティングシステムが旧式であること、ユーザーのストレージやコラボレーションツールが限られていること、デバイスの大部分がモバイルワークを許可していないことなど、ユーザーの体験が受け入れがたいものであると評価した。その結果、同省は基幹ITサービス契約を修正し、改良型基幹ITシステム(MODNet)、新しいソフトウェア、モバイルデバイスなどのアップグレードを順次展開することになりました。同省は、基幹ITが目的に適っていると判断する一方で、契約が大きすぎ、ユーザー体験を理解するための透明性が不十分で、サービスをさらに改善するためのレバーが不足していると結論づけた。現在、この契約を分割し、構成するサービスを別々に調達し、自ら統合する予定である。2021年10月に導入された新ユーザーサービスデスクは、この取り組みを支援するもので、情報を収集することで共通の問題を発見し、より迅速に対応することができる。新しいサービスデスクの導入後、サービスのパフォーマンスに低下が見られたが、最近になってサービスコールの待ち時間やインシデント解決時間に改善が見られ始めている(パラグラフ2.12から2.14)。
17 Defence Digital’s historically poor reputation for project and programme delivery has been a barrier to integrating digital activity across Defence. Defence Digital has a portfolio of more than 90 digital projects and programmes, including larger and more complex major programmes, many of which it needs to replace fragmented legacy systems and older software with newer capabilities. Defence Digital’s project delivery has suffered from a lack of skilled and experienced personnel, immature project controls, and a culture focused on the approvals process rather than outcomes. TLB CIOs told us that this undermined trust in Defence Digital’s delivery of the strategy and incentivised them to maintain or produce their own separate capabilities for certain requirements, rather than rely on shared ones delivered by the Department (paragraphs 2.15 and 2.16, and Figure 6). 17 防衛デジタルは、プロジェクトやプログラムの実施において歴史的に低い評価を受けているため、 防衛省全体のデジタル活動を統合する上での障害となっている。防衛デジタルは、大規模で複雑な大規模プログラムを含む90以上のデジタルプロジェクトとプログラム を抱えており、その多くは断片化したレガシーシステムや古いソフトウェアを新しい機能で置き換える必 要がある。防衛省デジタル局は、スキルや経験のある人材の不足、未熟なプロジェクト管理、成果よりも承認プロセスに重点を置く文化に悩まされてきました。TLBのCIOは、このことが防衛デジタルによる戦略遂行への信頼を損ない、省が提供する共有機能に頼らず、特定の要件に対して独自の機能を維持・生産する動機になったと語っている(2.15、2.16項、および図6)。
18 Defence Digital has recognised the weaknesses in its project and programme delivery and is taking action to begin improving them. Defence Digital is resetting its project delivery organisation with improvements including better management information and reporting. The effects are not yet clear in its performance, which the COVID-19 pandemic has also affected. In 2019-20, Defence Digital completed 76% of its most important project delivery milestones, but this fell to 57% in 2020-21 before recovering to 78% in 2021-22, with the Department aiming to increase this to 90%. As of June 2022, two-thirds of projects across its total portfolio reported delivery confidence ratings of green or amber-green, a level it has broadly maintained since the end of 2020-21. The delivery of its major programmes has remained challenging; the Infrastructure and Projects Authority (IPA) publicly rated five programmes for 2021-22, of which three programmes were rated amber, and two red.2 Defence Digital has further plans to improve delivery, including through additional technical training for its delivery staff (paragraphs 2.17 to 2.19 and Figure 6). 18 防衛デジタルは、プロジェクトやプログラムの提供における弱点を認識し、その改善に着手するための行動を起こしている。防衛デジタルは、より良い管理情報と報告を含む改善により、プロジェクトデリバリー組織を再構築している。その効果は、COVID-19のパンデミックも影響しているそのパフォーマンスにおいて、まだ明確ではない。2019-20年、Defence Digitalは最も重要なプロジェクトデリバリーのマイルストーンを76%完了したが、2020-21年には57%に落ち、2021-22年には78%に回復し、これを90%に引き上げることを目標としている。2022年6月時点で、ポートフォリオ全体の3分の2のプロジェクトが、納期の信頼性評価が「グリーン」または「アンバーグリーン」と報告されており、このレベルは2020-21年末以降もほぼ維持されている。防衛デジタルは、納品スタッフに対する技術トレーニングの追加など、納品を改善するためのさらなる計画を持っている(2.17~2.19項、図6)。
2 The IPA produces an annual report that assesses the likelihood of government major programmes achieving their aims and objectives on time and on budget. A ‘red’ rating means successful delivery appears unachievable; ‘amber’ that successful delivery appears feasible but that significant issues exist requiring management attention; and ‘green’ that successful delivery appears highly likely with no outstanding issues that appear to threaten delivery. Across its portfolio of programmes, Defence Digital internally uses a similar rating system that adds amber-green and amber-red as two further possible ratings. 2 IPA は、政府の主要プログラムが期限内・予算内に目的と目標を達成する可能性を評価する年次報告書を作成している。「レッド」の評価は、成功裏に完了することが不可能と思われることを意味し、「アンバー」の評価は、成功裏に完了することは可能であるが、管理上の注意を要する重大な問題が存在することを意味し、「グリーン」の評価は、完了を脅かすような目立った問題がなく、成功の可能性が非常に高いと思われることを意味している。防衛デジタルは、そのプログラムポートフォリオ全体にわたって、社内で同様の評価システムを使用しており、さらに2つの可能な評価としてアンバー・グリーンとアンバー・レッドを追加している。
Strategic challenges 戦略的課題
19 To make the strategy affordable Defence Digital increased its efficiency targets and reviewed its costs, which it found to be lower than it originally forecast. The Department had not fully funded the strategy when it published it in May 2021. There was a short-term funding gap for digital transformation of £248 million and an additional £260 million needed for the Digital Foundry. During 2021-22 Defence Digital and Strategic Command worked together to identify funding for the strategy and address wider financial pressures on Strategic Command. Defence Digital considers the strategy affordable following the Department’s annual budget cycle in March 2022, which prioritised allocating funding to the Digital Foundry. As part of the annual budget cycle Defence Digital found funding for the following few years by reviewing and refining cost forecasts which decreased by £190 million; increasing efficiency targets by £160 million; capitalising £110 million of resource expenditure; and stopping £60 million of lower-priority work. The Department is likely to continue to experience funding challenges for digital transformation: it may need to fund new capabilities; it may underperform against efficiency targets; and it may experience future cost increases (paragraphs 3.2 to 3.4, 3.9 and 3.10). 19 戦略を低コストで実現するため、Defence Digital は効率目標を高め、コストを見直したが、当初の予測より 低いことが判明した。同省は、2021 年 5 月に戦略を発表した際、資金を十分に調達していなかった。デジタル・トランスフォーメーションに2億4,800万ポンドの短期的な資金ギャップがあり、デジタル・ファウンドリに2億6,000万ポンドの追加資金が必要であった。2021-22年の間、防衛デジタルと戦略的司令部は、戦略のための資金を特定し、戦略的司令部に対するより広い財政的圧力に対処するために協力した。国防デジタルは、2022年3月の省内年次予算サイクルの後、デジタルファウンドリへの資金配分を優先させ、戦略を手頃なものにすると考えている。年次予算サイクルの一環として、防衛デジタルは、1億9,000万ポンド減少したコスト予測の見直しと改良、1億6,000万ポンドの効率化目標の増加、1億1000万ポンドの資源支出の資産化、6,000万ポンドの優先度の低い業務の停止によって、その後の数年間の資金を確保した。同省は今後もデジタル変革のための資金調達に苦労しそうだ。新たな能力に資金が必要になる可能性があり、効率性目標に対するパフォーマンスが低下し、将来のコスト増に見舞われるかもしれない(パラグラフ 3.2 から 3.4、 3.9、 3.10)。
20 Defence Digital is on track to exceed its efficiency targets for this Spending Review period and aims to identify up to £790 million more by 2032-33. Defence Digital has formal targets for £1,370 million of cash-releasing efficiencies by 2032-33 but has ambitions to go beyond this and make £2 billion. In June 2022 Defence Digital forecast making £1,215 million of cash-releasing efficiencies between 2023-24 and 2032-33. In the first two years it expects to overachieve against the formal target. However, over the 10-year period it still needs to find £160 million to meet its formal target and £790 million to match its full ambition, and is continuing to work on doing so. It plans for efficiencies to come from workforce transformation, supplier management, automation and data centre rationalisation. Defence Digital’s performance in increasing efficiency will affect the funding available for the Department to invest in its priorities, including the strategy, and to address future financial pressures (paragraphs 3.5 to 3.10 and Figure 7). 20 国防デジタルは、今回の歳出見直し期間中の効率目標を上回るペースで推移しており、2032-33 年までにさらに最大 7 億 9,000 万ポンドを確認することを目標としている。国防デジタルは、2032-33 年までに 13 億 7,000 万ポンドの現金還元効率化の公式目標を掲げているが、これを超えて 20 億ポンドを達成する野心を持っている。2022 年 6 月、Defence Digital は 2023-24 年から 2032-33 年の間に 12 億 1500 万ポンドの現金回収の効率化を達成すると予測した。最初の2年間は、正式な目標に対して超過達成する見込みである。しかし、10年間では、正式な目標を達成するために1億6,000万ポンド、完全な野心に見合うために7億9,000万ポンドを見つける必要があり、そのための努力を続けている。また、労働力の転換、サプライヤー管理、自動化、データセンターの合理化によって効率化を図る計画である。防衛デジタルによる効率化の成果は、同省が戦略を含む優先事項に投資し、将来の財政圧迫に対処するために利用できる資金に影響を与える(パラグラフ 3.5 から 3.10 および図 7)。
21 The Department does not have enough people with the right digital skills, which is affecting delivery of the strategy. There is a digital skills shortage across UK industry and the public sector, and the Department finds it hard to recruit and retain talent. This is because the Department cannot match private sector pay, and not all TLBs have the authority from the Department to apply pay uplifts for digital specialists, which is creating internal competition. Technologists see the Department as bureaucratic and the hiring process, including getting security clearance, takes too long. The Department also finds it increasingly difficult to recruit digital specialists to work in Defence Digital’s main location in Corsham – it intends to make working flexibly the default to help with this issue. The shortfall of technical skills is affecting the delivery of both individual programmes and the strategy as a whole (paragraphs 3.11 to 3.15 and Figure 8). 21 同省には適切なデジタル技術を持つ人材が不足しており、それが戦略の実現に影響を与えている。英国の産業界や公共部門ではデジタル技術が不足しており、同省は人材の採用や維持が困難であると判断している。これは、同省が民間企業の給与に見合わないこと、また、すべてのTLBがデジタル専門家の給与アップを適用する権限を同省から与えられていないため、内部競争が発生していることに起因する。技術者は、同省を官僚的で、セキュリティクリアランスの取得を含む採用プロセスに時間がかかりすぎると考えている。また、防衛省は、防衛デジタル部の主要拠点であるコルシャムで働くデジタル専門家の確保がますます難しくなっていると感じている。この問題を解決するために、フレキシブルに働くことをデフォルトにするつもりだ。技術スキルの不足は、個々のプログラムと戦略全体の両方に影響を与えている(段落 3.11 から 3.15 および図 8)。
22 Defence Digital is trying several initiatives to fix its skills gaps, but its progress has not been fast enough to match the problem and a different approach is required. Our wider work across government suggests that, based on its current plans, the Department will find it difficult to make progress on this issue at the pace it wants. Defence Digital’s ‘Digital Skills for Defence’ programme aims to enhance digital skills across the Department for its digital professionals, leaders and the remaining workforce. Defence Digital is tackling its own workforce challenge by recruiting for technical skills, investing in training, removing legacy roles and reducing the contractor workforce. This activity has taken it longer than anticipated, due to the complexity of developing a workforce plan, and it has begun implementing key elements while it finalises this plan. By June 2022, it had hired 42 of the 151 people with critical skills that it wanted and was in the process of bringing in 39 more. Defence Digital has 3,090 workers, of whom 570 are contractors (18%). It intends to reduce workforce costs further, through organisational restructuring and by reducing the cost of contractors. Defence Digital has started extending its approach to TLBs, who are largely on track to align with it, but still face their own issues acquiring skilled people (paragraphs 3.15 to 3.19). 22 防衛デジタルはスキル不足を解消するためにいくつかの取り組みを試みているが、その進捗は問題 に見合うほど早くはなく、別のアプローチが必要である。我々の政府全体にわたる幅広い取り組みによると、現在の計画に基づくと、同省が望むペースでこの問題を進展させることは困難であると考えられる。防衛デジタルの「防衛のためのデジタルスキル」プログラムは、デジタル専門家、リーダー、および残りの労働力のために、省全体のデジタルスキルを強化することを目的としている。防衛デジタルは、技術スキルの採用、トレーニングへの投資、レガシー業務の廃止、契約社員の削減など、独自の労働力問題に取り組んでいる。この活動は、労働力計画の策定が複雑なため、予想以上に時間がかかっており、この計画を確定する一方で、主要な要素の実行を開始している。2022年6月までに、希望する重要なスキルを持つ151人のうち42人を採用し、さらに39人を迎え入れようとしているところであった。Defence Digitalの従業員数は3,090人で、そのうち570人が契約社員(18%)である。同社は、組織再編や契約社員のコスト削減により、人件費をさらに削減する意向だ。防衛デジタルはTLBへのアプローチを開始し、TLBはほぼ軌道に乗ったが、熟練した人材の獲得という独自の問題に直面している(パラグラフ3.15~3.19)。
23 The Department’s CIO and Defence Digital are accountable for leading the implementation of the strategy, but they do not have all the organisational levers needed to do so. The CIO is accountable for the whole Department’s use of technology and data but only has direct control of £2.7 billion of Defence’s estimated £4.4 billion digital spend. There are business changes needed to realise the strategy, which the wider Department will need to deliver. For example, the Department’s lengthy approvals and acquisition processes do not suit the more iterative approach favoured in technological change. The Department’s senior leadership has recognised that trying to influence the wider Department through the digital function is not enough. The Department is now addressing this as part of its agenda to exploit digital for wider Defence objectives (paragraphs 3.20 to 3.23). 23 省のCIOと防衛デジタル部門は戦略の実施を主導する責任を負っているが、そのために必要な組織的なレバーをすべて 持っているわけでもない。CIO は省全体のテクノロジーとデータ活用に責任を持つが、国防省のデジタル関連支出 44 億ポンドのうち 27 億ポンドを直接管理できるに過ぎない。戦略を実現するために必要なビジネスの変化もあり、それを省全体で実現する必要がある。例えば、国防省の長い承認と取得のプロセスは、技術革新で好まれる反復的なアプローチに適していない。同省の上級幹部は、デジタル部門を通じて省内全体に影響を及ぼそうとしても十分ではないことを認識している。同省は現在、デジタル技術をより広い国防目標に活用するためのアジェンダの一環として、この問題に取り組んでいる(3.20~3.23項)。
Conclusion on value for money バリュー・フォー・マネーの結論
24 The nature of modern conflict is rapidly digitising, affecting the Department’s business and how the Armed Forces operate in the battlefield. The Department has put in place a digital strategy to respond to this challenge, which is consistent with good practice, has provided clear direction across the Department and has support from the most senior Defence officials. The Department has made good progress with bringing together and aligning digital practitioners across Defence. However, its performance in delivering major digital technology programmes needs to improve and is a risk to achieving this alignment. 24 現代の紛争の性質は急速にデジタル化され、国防省の事業や軍隊の戦場での活動方法に影響を 及ぼしている。同省はこの課題に対応するため、デジタル戦略を導入した。この戦略は優れた実践に合致しており、省 全体に明確な方向性を示し、国防省の最高幹部から支持を得ている。国防省は、国防省全体のデジタル実務者を結集し、足並みを揃えることで、良い成果を上げてきた。しかし、主要なデジタル技術プログラムを実施する上でのパフォーマンスは改善される必要があり、この整合性を達成する上でのリスクとなっている。
25 The Department does not have a complete picture of its progress against the strategy and so cannot readily demonstrate whether it is on track to deliver it or not. To meet the needs of the modern battlefield, and enhance its business efficiency, the Department must transform a large and complex organisation with an extensive legacy estate, using scarce specialist skills. Given the scale of the challenge and the persistent barriers to change, achieving the strategy’s objectives by 2025 is ambitious. As future delivery challenges emerge, it will be important for the Department to prioritise its funding and specialist skills to where it needs them most urgently. The Department will be able to do this more effectively if it can articulate better how it will achieve the strategy’s vision in practice and how it will measure success along the way, not least in supporting its wider departmental objectives. This will allow it to achieve greater value for money with its £4.4 billion of annual digital expenditure. 25 国防省は戦略に対する進捗状況を完全に把握していないため、戦略の実現に向けた軌道に乗っているかどうか を容易に示すことができない。現代の戦場のニーズを満たし、事業効率を高めるために、防衛省は、希少な専門技術を駆使して、広大な遺産を持つ大規模で複雑な組織を変革しなければならない。課題の大きさと変革への根強い障壁を考えると、2025年までに戦略の目標を達成することは野心的である。将来的な課題として、同省は資金と専門技能を最も緊急に必要とするところに優先的に配分することが重要である。そのためには、戦略のビジョンを実際にどのように達成するのか、また、その過程でどのように成功を測定するのか、特に、より広い省内目標を支援する上で、より明確に示すことができれば、より効果的にこれを行うことができるだろう。これによって、同省は年間44億ポンドのデジタル支出に対して、より高い費用対効果を達成することができるだろう。
Recommendations 提言
26 Our recommendation aims to support the Department as it attempts to implement the strategy by its target date of 2025. We recommend the Department should immediately create a clear delivery plan for the digital strategy which: 26 我々の提言は、2025年という目標期日までに戦略を実施しようとする同省を支援することを目的としている。我々は、同省がデジタル戦略の明確な実施計画を直ちに策定するよう勧告する。
• integrates the strategy with wider efforts to transform the department, deliver efficiencies and exploit technology; ・デジタル戦略は、省庁の変革、効率化、技術活用のための幅広い取り組みと統合されている。
• identifies and prioritises all the activities needed to achieve its strategic outcomes; ・戦略的成果を達成するために必要なすべての活動を特定し、優先順位をつける。
• identifies what people, skills and funding it will need to deliver these; ・そのために必要な人材、スキル、資金を特定する。
• develops a set of leading indicators to show the prospects for future progress; and ・将来の進歩の見通しを示す一連の先行指標を開発する。
• sets out and agrees a consistent set of performance information for use across the digital function and the wider Department. ・デジタル部門とより広い省内で使用するための一貫したパフォーマンス情報を定め、合意する。

 

 

・[PDF] Summary - The Digital Strategy for Defence: A review of early implementation

20221101-14131

 


 

参考

英国国防省 国防のデジタル戦略

U.K. Governance

・2022.05.27 Digital Strategy for Defence

・[PDF] Digital Strategy for Defence - Delivering the Digital Backbone and unleashing the power of Defence's data

20221101-22050

 

 

 

| | Comments (0)

2022.10.31

ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) とシンガポールのサイバーセキュリティ庁 (CSA) が消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認協定に署名していますね。。。

米国では、NISTを中心にIoT製品の認証のための仕組みづくりの検討が進み、欧州では、サイバーレジリエンス法案が欧州委員会から提案されるなど、消費者向けIoT製品についての認証等が話題になりそうですね。。。ドイツ、シンガポール、フィンランドでは認証制度がはじまっています。。。シンガポールがこの分野はなかなか熱心ですね。。。

相互認証が進めば、企業側も利用者側もメリットがありますね。。。あっ、日本ってどうするだっけ...

 

Fig1_20221030171201

 

ドイツ

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.10.20 BSI and Singapore Cyber Security Agency Mutually Recognise Cyber Security Labels

BSI and Singapore Cyber Security Agency Mutually Recognise Cyber Security Labels BSIとシンガポールサイバーセキュリティ庁がサイバーセキュリティラベルを相互認証
The Vice President of the German Federal Office for Information Security (BSI), Dr. Gerhard Schabhüser, and the Chief Executive of the Cyber Security Agency Singapore (CSA), David Koh, signed a bilateral agreement. ドイツ連邦情報セキュリティ局(BSI)副総裁ゲアハルト・シャブヒューザー博士とシンガポールサイバーセキュリティ庁(CSA)長官デビッド・コーが二国間協定に署名。
The Vice President of the German Federal Office for Information Security (BSI), Dr. Gerhard Schabhüser, and the Chief Executive of the Cyber Security Agency Singapore (CSA), David Koh, signed a bilateral agreement on the mutual recognition of the German IT Security Label and Singapore’s Cybersecurity Label on this year's Singapore International Cyber Week (SICW). ドイツ連邦情報セキュリティ局(BSI)の副総裁ゲアハルト・シャブヒューザー博士と、サイバーセキュリティ庁シンガポール(CSA)の最高責任者デビッド・コーは、今年のシンガポール国際サイバーウィーク(SICW)で、ドイツのITセキュリティラベルとシンガポールのサイバーセキュリティラベルの相互認証に関する二国間協定に調印した。
With immediate effect, products with the German IT Security Label of the BSI can receive a level 2 Cybersecurity Label in Singapore. Level 2 or higher of the Singaporean Cybersecurity Label allows manufacturers to undergo a simplified application process to obtain the German IT Security Label. The agreement covers the product category Smart Consumer Devices published by the BSI. This mainly bases on the European IoT basic standard ETSI EN 303 645. 即日、BSIのドイツITセキュリティラベルを取得した製品は、シンガポールでレベル2のサイバーセキュリティラベルを取得することができる。シンガポールのサイバーセキュリティラベルのレベル2以上であれば、メーカーはドイツのITセキュリティラベルを取得するための簡略化された申請手続きを受けることができる。本協定は、BSIが発行する製品カテゴリー「スマート消費者向けデバイス」を対象としている。これは主に欧州のIoT基本規格であるETSI EN 303 645に基づくものである。
Through the joint agreement with the CSA, the BSI as the German federal cyber security authority is further expanding its cooperation with international cyber security authorities. In the further development of the German IT Security Label, the BSI attaches particular importance to the best possible synchronisation with existing and future European and international cyber security labels. CSAとの共同合意により、ドイツ連邦サイバーセキュリティ当局であるBSIは、国際的なサイバーセキュリティ当局との協力関係をさらに拡大している。ドイツITセキュリティラベルのさらなる発展において、BSIは、既存および将来の欧州および国際的なサイバーセキュリティラベルとの最適な同期を特に重要視している。
With this mutual recognition agreement, the BSI is fulfilling its role as a pioneer and shaper of secure digitisation not only in Germany but also at international level. The joint agreement confirms the importance of the IT Security Label as a blueprint for the design of European and international labels. この相互認証協定により、BSIはドイツ国内だけでなく、国際的にも安全なデジタル化の先駆者、形成者としての役割を果たすことができる。この共同合意は、欧州および国際的なラベルの設計のための青写真として、ITセキュリティラベルの重要性を確認するものである。
With the help of the IT Security Label, consumers can easily find out, via the short link or QR code on the label, about the security features of networked, internet-enabled products as assured by manufacturers and providers. The BSI issues the IT Security Label after a manufacturer has tested and comprehensibly and plausibly declared that its device or service meets specific, security-relevant product requirements. ITセキュリティラベルのおかげで、消費者はラベル上のショートリンクやQRコードを通じて、メーカーやプロバイダーが保証するネットワークやインターネットに接続された製品のセキュリティ機能について簡単に知ることができる。BSIは、メーカーがその機器やサービスをテストし、セキュリティに関連する特定の製品要件を満たしていることを分かりやすく、かつもっともらしく ドイツ宣言した後に、ITセキュリティラベルを発行している。

 

ドイツのIoTセキュリティラベリング制度

IT-Sicherheitskennzeichen

 


シンガポール

Cyber Security Agency of Singapore: CSA

・2022.10.20 Singapore and Germany Sign Mutual Recognition Arrangement on Cybersecurity Labels for Consumer Smart Products

Singapore and Germany Sign Mutual Recognition Arrangement on Cybersecurity Labels for Consumer Smart Products シンガポールとドイツは、消費者向けスマート製品のサイバーセキュリティラベルに関する相互承認に調印
The Cyber Security Agency of Singapore (CSA) and Germany’s Federal Office for Information Security (BSI) will sign a Mutual Recognition Arrangement (MRA) on the cybersecurity labels to be issued by both countries today. シンガポールのサイバーセキュリティ庁(CSA)とドイツの連邦情報セキュリティ局(BSI)は、本日、両国が発行するサイバーセキュリティラベルに関する相互承認協定(MRA)に調印する予定である。
2. CSA’s Cybersecurity Labelling Scheme (CLS) is the first multi-level labelling scheme in the Asia Pacific region.  Under the scheme, smart devices will be rated according to their levels of cybersecurity provisions, from Level 1 to Level 4. Under the MRA, smart consumer products issued with Germany’s IT Security Label and Singapore’s Cybersecurity Label will be mutually recognised in either country. Products issued with BSI’s label will be recognised by CSA to have fulfilled CLS Level 2 requirements, while products with CLS Levels 2 and above will be recognised by BSI. 2. CSAのサイバーセキュリティ・ラベリングスキーム(CLS)は、アジア太平洋地域初のマルチレベル・ラベリングスキームである。  この制度では、スマートデバイスは、サイバーセキュリティ規定のレベルに応じて、レベル1からレベル4まで格付けされる。MRAのもと、ドイツのITセキュリティラベルとシンガポールのサイバーセキュリティラベルが発行されたスマート消費者向け製品は、どちらの国でも相互に承認される。BSIのラベルが発行された製品は、CSAによってCLSレベル2の要件を満たしていると認定され、CLSレベル2以上の製品はBSIによって認定される。
3. The mutual recognition of cybersecurity labels will apply to devices intended for use by consumers such as smart cameras, smart televisions, smart speakers, smart toys, smart garden and household robots, gateways and hubs for home automation, health trackers, smart lighting, smart plug (smart power socket) and smart thermostats. 3. サイバーセキュリティラベルの相互認証は、スマートカメラ、スマートテレビ、スマートスピーカー、スマート玩具、スマートガーデンや家庭用ロボット、ホームオートメーションのためのゲートウェイやハブ、ヘルストラッカー、スマート照明、スマートプラグ(スマートコンセント)、スマートサーモスタットなど消費者が使用することを目的としたデバイスに適用される。
4. For a start, the MRA will not cover some products such as Smart Door Locks, Fire/Gas/Water detectors1, and general computing devices such as computers, smartphones or tablets, which are designed to run any applications without a predefined purpose. CSA and BSI will progressively work towards recognising more product categories under the scope of the MRA. 4. MRAは、まず、スマートドアロック、火災/ガス/水検知器1、およびコンピュータ、スマートフォン、タブレットなどの一般的なコンピューティングデバイスのように、事前に定義された目的なしに任意のアプリケーションを実行するように設計されている一部の製品は対象外となる。CSA と BSI は、より多くの製品カテゴリーを MRA の対象として認識するよう、順次取り組んでいく。
5. Germany is the second country after Finland to formalise the mutual recognition of national cybersecurity labels with Singapore. At SICW 2021, CSA signed its first Memorandum Of Understanding (MOU) with the Transport and Communications Agency of Finland (Traficom). Consumer IoT products with Finland's Cybersecurity Label will be recognised as having met CLS Level 3 requirements, and vice versa2. 5. ドイツは、フィンランドに続き、シンガポールとの間で国家サイバーセキュリティラベルの相互承認を正式に行った2番目の国である。SICW 2021において、CSAはフィンランド運輸通信庁(Traficom)と初の覚書 (MOU)を締結した。フィンランドのサイバーセキュリティラベルを取得した消費者向けIoT製品は、CLSレベル3の要件を満たしていると認識され、その逆もまた然りである2。
6. Manufacturers of smart consumer devices will benefit from these agreements as they save costs and time on duplicated testing and gain improved access to new markets. Companies that have benefited from the Singapore-Finland’s MOU include Signify, Polar and ASUS.  The first CLS Level 3 labels under the MoU were awarded to eight products from Signify's smart lighting system and Polar Electro's multi-sport watches3. The first Traficom's cybersecurity labels under the MoU were awarded to seven products from ASUS’s Wi-Fi 6 routers4. 6. スマート消費者機器の製造企業は、これらの協定により、重複する試験のコストと時間を節約し、新規市場へのアクセスを改善することができるというメリットがある。シンガポールとフィンランドの覚書の恩恵を受けている企業には、Signify、Polar、ASUSなどがある。  覚書に基づく最初のCLSレベル3ラベルは、Signifyのスマート照明システムとPolar Electroのマルチスポーツウォッチ3から8製品に付与された。覚書に基づく最初のトラフィコムのサイバーセキュリティ・ラベルは、ASUSのWi-Fi 6ルーターから7製品に付与された4。
7. As of October 2022, more than 200 products – ranging from routers to smart lighting to smart cameras – have been awarded the CLS label. 7. 2022年10月現在、ルーターからスマート照明、スマートカメラまで、200以上の製品にCLSラベルが付与されている。
1 The list of product types is not exhaustive. 1 製品の種類を網羅したものではない。
2 Both CSA's and Traficom's labels are based on the same standard, ETSI EN 303 645. 2 シンガポール・サイバーセキュリティ庁とフィンランド運輸通信庁のラベルは、いずれも同じ規格であるETSI EN 303 645に基づいている。
The products from Signify and Polar Electro are Philips Hue Starter kit and Hue Bridge, and Polar Grit X, Polar Grit X pro, Polar Vantage V2, Polar Vantage M2, Polar Ignite 2 and Polar Unite. 3 Signify社およびPolar Electro社の製品は、Philips Hue Starter kitおよびHue Bridge、Polar Grit X、Polar Grit X pro、Polar Vantage V2、Polar Vantage M2、Polar Ignite 2およびPolar Uniteである。
4 The products from ASUS are RT-AX88U, GT-AX11000, RT-AX82U, TUF-AX5400, TUF-AX3000, RT-AX58U and ZenWiFI XD6. 4 ASUSの製品は、RT-AX88U、GT-AX11000、RT-AX82U、TUF-AX5400、TUF-AX3000、RT-AX58U、ZenWiFI XD6である。


シンガポールのCLS

● CSA - Cybersecurity Certification Centre - Cybersecurity Labelling Scheme (CLS) 

 フィンランドとドイツとの相互認証についても触れられていますね。。。

 


 

参考

 

まるちゃんの情報セキュリティ気まぐれ日記

BSIのITセキュリティラベル

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

 

| | Comments (0)

より以前の記事一覧