監査 / 認証: まるちゃんの情報セキュリティ気まぐれ日記

May 2021
Sun	Mon	Tue	Wed	Thu	Fri	Sat
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

監査 / 認証

2021.05.07

ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」という白書を公表していますね。。。

欧米人は、自然環境の違い（温帯から寒帯にかけた比較的シンプルな自然環境）で文化を作ってきたからでしょうか、養老孟司のいうところの「ああすれば、こうなる」がわからないと気持ちが悪いのかもしれませんね。。。だから宗教や科学が発達してきたのでしょう...一方、熱帯から温帯にかけた環境で生まれ育った文化は、複雑な自然をそのまま受けれいれるしかなく、全体で丸ごと感じるようになったのかもしれません。。。

機械学習というある意味、綺麗な実験環境から、複雑な環境、例えば自然環境での実験と言えるかもしれません。自然環境で育てたパラメータがたくさんある（よってその組み合わせがたくさんある）システムは「ああすればこうなる」と100％説明することはできないと思います。

皆さんには一卵性の双子の知り合いがいるかもしれませんが、彼ら、彼女らは全く同じ遺伝子です。でも全く同じ顔、身長、体重、性格でしょうか？

彼ら、彼女らは、最初のアルゴリズム（遺伝子）は同じです。その後の学習（母親の体内にいる時からの育つ環境）の違いで全く同じ全く同じ顔、身長、体重、性格にはなりませんね、特に、複雑な脳の神経のつながり方は同じ遺伝子でも、その後の育ってきた環境によって大きく変わるでしょう。

機械学習もそう考えると、同じアルゴリズム（遺伝子）であっても、与えるデータ等のインプットを変えると違うシステムになりますよね。。。しかもそのパターンは膨大すぎて全てを理解しようとすれば、さらにそれ以上に複雑な機械学習マシーンが必要となり、終わりがありませんね。。。

ということで、私的には、Auditable AI Systemというのは、どのような学習をさせたかを説明することにより、複雑なケースであれば70％くらい予想がつけば良いのではないかと思っています。（人間だってそんなもんでしょう。。。）

一つ一つのステップで99.99%予想がつけば、直列的な思考で1000ステップ踏んでも90％は予測がつくことにはなりますね。。。

と前置きが長くなりましたが、、、

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2021.05.06 BSI veröffentlicht Whitepaper zum aktuellen Stand der Prüfbarkeit von KI-Systemen

BSI veröffentlicht Whitepaper zum aktuellen Stand der Prüfbarkeit von KI-Systemen	BSI、AIシステムの監査可能性の現状に関する白書を発行
Künstlich Intelligente (KI) Systeme spielen eine immer größer werdende Rolle als automatisierte Entscheidungs- und Kontrollsysteme in verschiedenen, zum Teil sicherheitskritischen Anwendungsbereichen. Hierzu gehören u. a. autonome Fahrzeuge und biometrische Zugangskontrollsysteme. Neben den immensen Chancen, die sich durch den Einsatz von KI-Technologie eröffnen, ergeben sich gleichzeitig zahlreiche, qualitativ neue Probleme hinsichtlich u. a. der Sicherheit, der Robustheit und der Vertrauenswürdigkeit. Um diesen Problemen angemessen zu begegnen, wird eine Rahmenstruktur für die Prüfung von KI-Systemen benötigt, die neben Prüfstrategien und -werkzeugen auch entsprechende Standards umfasst. Diese Strategien, Werkzeuge und Standards sind aktuell noch nicht hinreichend für den praktischen Einsatz verfügbar.	人工知能（AI）システムは、様々なアプリケーション分野において、自動化された意思決定や制御システムとしての役割がますます高まっており、その中には安全性が求められるものもあります。これらには、自律走行車や生体認証アクセス制御システムなどが含まれます。AI技術の活用によってもたらされる大きな可能性がある一方、セキュリティ、堅牢性、信頼性などについて、質的に新しい問題が同時に数多く発生します。これらの問題に適切に対処するためには、テスト戦略、ツール、標準を含む、AIシステムのテストのフレームワークが必要です。これらの戦略、ツール、基準は、現状ではまだ十分に実用化されていません。
Basierend auf einem gemeinsam vom BSI, vom Verband der TÜVs (VdTÜV) und vom Fraunhofer HHI ausgetragenen internationalen Expertenworkshop im Oktober 2020 wurde nun, zusammen mit zahlreichen nationalen und internationalen Experten, ein Whitepaper zum aktuellen Stand, offenen Fragen und zukünftig wichtigen Aktivitäten bezüglich der Prüfbarkeit von KI-Systemen verfasst. Das Whitepaper beleuchtet verschiedene Aspekte der Sicherheit von KI-Systemen, u.a. deren Lebenszyklus, Online-Lernverfahren, qualitativ neue Angriffe, mögliche Verteidigungsmaßnahmen, Verifikation, Prüfung, Interpretation und Standardisierung. Bei all diesen Betrachtungen wird deutlich, dass es zahlreiche Zielkonflikte zwischen den gewünschten Eigenschaften eines operativen KI-Systems einerseits und den Eigenschaften des KI-Modells, der ML-Algorithmen, der Daten und weiteren Randbedingungen gibt, die letztlich die Skalierbarkeit und Generalisierbarkeit von sicher prüfbaren KI-Systemen beschränken. Basierend auf zwei grundlegenden Strategien zur Verbesserung der Prüfbarkeit, Sicherheit und Robustheit von KI-Systemen, d.h. einerseits der Schaffung verbesserter Rahmenbedingungen und andererseits der erhöhten Investition in Forschung und Entwicklung, werden Lösungsvorschläge und -ideen zur Mitigation der bekannten Probleme benannt, bewertet und Folgeschritte vorgeschlagen.	このたび、2020年10月にBSI、ドイツ技術検査機関協会（VdTÜV）、フラウンホーファーHHIが共同で開催した国際専門家ワークショップをもとに、国内外の多数の専門家とともに、AIシステムのテスト可能性に関する現状、未解決の問題、今後の重要な活動についてホワイトペーパーを作成しました。この白書では、AIシステムのライフサイクル、オンライン学習方法、質的に新しい攻撃、考えられる防御策、検証、テスト、解釈、標準化など、AIシステムのセキュリティに関するさまざまな側面を紹介しています。これらの考察から、運用可能なAIシステムに求められる特性と、AIモデルの特性、MLアルゴリズム、データ、その他の制約との間には、数多くのトレードオフがあり、最終的には安全にテスト可能なAIシステムのスケーラビリティとジェネラビリティを制限していることが明らかになりました。AIシステムのテスト可能性、セキュリティ、堅牢性を向上させるための2つの基本的な戦略、すなわち、一方では改善されたフレームワーク条件の作成、他方では研究開発への投資の増加に基づいて、既知の問題を軽減するための提案されたソリューションとアイデアが挙げられ、評価され、フォローアップのステップが提案されています。

白書は英語です(^^)

・[PDF] Towards Auditable AI Systems - Current status and future directions

目次です。。。

1 AI systems: opportunities and challenges	1 AIシステム：機会と課題
2 Auditability of AI systems: state of the art	2 AIシステムの監査可能性：技術の現状
2.1 Life Cycle	2.1 ライフサイクル
2.2 Online learning and model maintenance in the presence of non-stationary environments.	2.2 非定常環境下でのオンライン学習とモデルメンテナンス
2.3 Attack & Defense	2.3 攻撃と防御
2.3.1 Adversarial Machine Learning	2.3.1 敵対的機械学習（Adversarial Machine Learning
2.3.2 Backdoor Attacks on DNNs	2.3.2 DNNに対するバックドア攻撃
2.3.3 Detection of and Defenses against attacks on DNNs	2.3.3 DNNへの攻撃の検知と防御方法
2.4 Verification of AI systems	2.4 AIシステムの検証
2.5 Auditing safety-critical AI systems	2.5 安全性が求められるAIシステムの監査
2.6 Explaining Black Box AI Models	2.6 ブラックボックスAIモデルの説明
2.7 Overview of AI standardization activities worldwide	2.7 世界のAI標準化活動の概要
3 Open Issues and Promising Approaches	3 未解決の課題と有望なアプローチ
4 Setting Priorities for Work Towards Auditable AI Systems	4 監査可能なAIシステムに向けた作業の優先順位設定
5 References	5 参考文献

仮訳です。。[DOCX]

■ 参考

養老さんの本は読みやすいです...

● 書籍 - Kindle版

・AIの壁人間の知性を問いなおす 養老孟司 (PHP新書)

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 英国政府データ倫理とイノベーションセンターのブログ　AIの保証についての3つの記事

・2021.02.16 IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

2021.05.07 07:18 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.05.05

カナダサイバーセキュリティセンターがBluetoothと暗号に関する２つのガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンター (Canadian Centre for Cyber Security) がBluetoothと暗号に関する２つのガイダンスを公表していますね。。。

多少の専門的な知識があることが前提となるとは思いますが、比較的平易に説明されていると思います。が、Bluetoothのガイダンスで記載されている内容は、利用者にとっては厳し目に感じるかもしれませんが、個人使用ではなく、組織の重要な情報を扱う端末での利用を考えると思いますので、、、

● Canadian Centre for Cyber Security

・2021.05.03 Using Encryption to Keep Your Sensitive Data Secure (ITSAP.40.016)

The cccs recommends	CCCSの推奨事項
Evaluate the sensitivity of your information (e.g. personal and proprietary data) to determine where it may be at risk and implement encryption accordingly.	情報の機密性（個人情報や非公開専有情報など）を評価し、どこにリスクがあるかを判断し、それに応じて暗号化を導入する。
Choose a vendor that uses standardized encryption algorithms (e.g. CC and CMVP supported modules).	標準化された暗号化アルゴリズムを使用しているベンダーを選択する（例：CCおよびCMVP対応モジュール）。
Review your IT lifecycle management plan and budget to include software and hardware updates for your encryption products.	ITライフサイクル管理計画と予算を見直し、暗号化製品のソフトウェアおよびハードウェアの更新を含める。
Update and patch your systems frequently.	システムを適時に更新し、パッチを当てる。

・2021.05.03 Using Bluetooth Technology (ITSAP.00.011)

Summary of security tips	セキュリティに関する注意事項のまとめ
Keep all Bluetooth devices up to date (e.g. phones, headphones, keyboards, gaming equipment)	すべてのBluetooth機器を最新の状態に保つ（例：携帯電話、ヘッドホン、キーボード、ゲーム機など）
Turn off Bluetooth when you’re not using itFootnote*	Bluetoothを使用しないときは、Bluetoothをオフにする。
Turn off discovery mode when you’re not connecting devices	デバイスを接続していないときはディスカバリーモードをオフにする
Avoid pairing devices in public spaces	公共の場でのデバイスのペアリングを避ける
Pair only with devices that you know and trust	知っていて信頼できるデバイスとのみペアリングする
Never transfer sensitive information over Bluetooth	機密情報をBluetoothで転送しない
Avoid using Bluetooth-enabled keyboards to enter sensitive information or passwords	Bluetooth対応のキーボードを使って機密情報やパスワードを入力しない
Remove lost or stolen devices from your list of paired devices	紛失または盗難にあったデバイスをペアリング済みデバイスのリストから削除する
Delete all stored data and devices from Bluetooth enabled cars	Bluetooth対応車から保存されたデータやデバイスをすべて削除する
Avoid pairing devices with rental cars	レンタカーとデバイスのペアリングを避ける

2021.05.05 05:15 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2021.05.04

ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。

こんにちは、丸山満彦です。

ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。

● ISACA

・2021.04.29 (white paper) Blockchain Risk - Considerations for Professionals

・[PDF] [downloaded]

RD #	Risk Domain	リスクドメイン	RSD #	Risk Subdomain	リスクサブドメイン
R-1	Governance	ガバナンス	R-1.01	Design	デザイン
			R-1.02	Policies and Procedures	方針と手続き
R-2	Infrastructure	インフラ	R-2.01	Software Vulnerabilities	ソフトウェアの脆弱性
			R-2.02	Protocol Management	プロトコルの管理
			R-2.03	Consensus Mechanism	合意形成メカニズム
			R-2.04	Data Management	データ管理
			R-2.05	Interoperability	相互運用性
			R-2.06	Integration	統合
R-3	Data	データ	R-3.01	Data Integrity	データインテグリティ
			R-3.02	Access Rights	アクセス権
			R-3.03	Blockchain Bloat	ブロックチェーンの肥大化
			R-3.04	Nonstandard Transactions	標準外の取引
			R-3.05	Data Output	データ出力
			R-3.06	Out-of-Range Data	範囲外のデータ
			R-3.07	Orphan Address	孤立したアドレス
R-4	Key Management	鍵管理	R-4.01	Insuﬃcient Entropy	不完全なエントロピー
			R-4.02	Key Creation Methodology Validation	鍵の作成方法の検証
			R-4.03	Key Ceremony	鍵の儀式
			R-4.04	Third-party Created Keys	第三者が作成した鍵
			R-4.05	In-use Key Security	使用中の鍵のセキュリティ
			R-4.06	Key Encryption When Not In Use	未使用時の鍵の暗号化
			R-4.07	Key Backup Existence	鍵のバックアップの有無
			R-4.08	Geographic Key Backups	地理的な鍵のバックアップ
			R-4.09	Key Backup Access Controls	鍵のバックアップアクセス制御
			R-4.10	Key Backup Environmental Protection	鍵のバックアップの環境保護
			R-4.11	Key Compromise Protocol	キーコンプロマイズプロトコル
			R-4.12	Keyholder Grant/Revoke Policies	鍵の所有者への許可／取り消しポリシー
			R-4.13	Usage of Known Identifiers	既知の識別子の使用
			R-4.14	SMS Used as 2FA	2FAとしてSMSの使用
			R-4.15	Multisig Implementation	マルチシグの実装
			R-4.16	Strong Encryption	強力な暗号化
			R-4.17	HSM Settings	HSMの設定
			R-4.18	Recovery Process	回復プロセス
			R-4.19	Hardware Wallet Used for Cold Storage	ハードウェアウォレットを使ったコールドストレージ
R-5	Smart Contracts	スマート契約	R-5.01	Governance Risk	ガバナンスリスク
			R-5.02	Design Risk	設計リスク
			R-5.03	External Interaction Risk	外部とのやりとりのリスク
			R-5.04	Manipulation/Denial of Service Risk	操作/サービス拒否リスク

エクセルにしたものです・・・

[xlsx]

2021.05.04 03:28 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2021.05.02

100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル（約820億円）サイバーセキュリティ監査能力の強化

こんにちは、丸山満彦です。

100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル（約820億円）となるようですね。。。そして、最も強化するポイン２つのうちの一つはサイバーセキュリティ監査能力。おそらく、政府のデジタル化というかIT利用（AI等も含む）がより進んでいっている結果、それに伴うリスクを低減するための活動にも寄与できるようにするということなんでしょうね。。。

● U.S. GAO

・2021.04.28 Fiscal Year 2022 Budget Request:U.S. Government Accountability Office

[PDF] Highlights Page
[PDF] Full Report

Fast Facts	ポイント
In FY 2020, our work yielded $77.6 billion in financial benefits, a return of about $114 for every $1 invested in us. We also identified 1,332 other benefits for the American people.	2020年度、私たちの活動は776億ドル（8.5兆円）の経済的利益をもたらしました。これは、私たちに投資された1ドルにつき約114ドルの利益をもたらしたことになります。また、それ以外にも1,332の米国民にとっての利益を確認しました。
In this testimony before the Senate Subcommittee on the Legislative Branch, Committee on Appropriations, U.S. Comptroller General Gene Dodaro discusses GAO's FY 2022 budget request. In our centennial year, we seek to lay the foundation for our next 100 years. For example, with our requested funding, we will:	この証言は、上院の歳出委員会の法制部門小委員会で行われたもので、米国監査院長のジーン・ドダロ氏がGAOの2022年度予算要求について述べています。100周年の今年、私たちは次の100年のための基礎を築こうとしています。例えば、今回要求された予算で、我々は以下のことを行います。
・Expand our work on rapidly evolving science and technology	・急速に発展する科学技術に関する業務を拡大する
・Boost our capacity to review complex cyber security developments	・複雑なサイバーセキュリティ開発を検証する能力を高める
Highlights	ハイライト
In fiscal year (FY) 2020, GAO's work yielded $77.6 billion in financial benefits, a return of about $114 for every dollar invested in GAO. We also identified 1,332 other benefits that led to improved services to the American people, strengthened public safety, and spurred program and operational improvements across the government. In March 2021, GAO reported on 36 areas designated as high risk due to their vulnerabilities to fraud, waste, abuse, and mismanagement or because they face economy, efficiency, or effectiveness challenges. In FY 2020 GAO's High Risk Series products resulted in 168 reports, 26 testimonies, $54.2 billion in financial benefits, and 606 other benefits.	2020会計年度（FY）において、GAOの活動は776億ドルの経済的利益をもたらし、GAOへの投資1ドルに対して約114ドルのリターンがあった。また、米国民へのサービス向上、公共安全の強化、政府全体のプログラムや業務改善に拍車をかけた1,332件のその他の利益を確認しました。2021年3月、GAOは、詐欺、無駄、乱用、不正管理に対する脆弱性、または経済性、効率性、有効性の課題に直面していることから高リスクと指定された36分野について報告しました。2020年度のGAOのハイリスクシリーズの成果は、168の報告書、26の証言、542億ドルの財政的利益、606のその他の利益をもたらしました。
In this year of GAO's centennial, GAO's FY 2022 budget request seeks to lay the foundation for the next 100 years to help Congress improve the performance of government, ensure transparency, and save taxpayer dollars. GAO's fiscal year (FY) 2022 budget requests $744.3 million in appropriated funds and uses $50.0 million in offsets and supplemental appropriations. These resources will support 3,400 full-time equivalents (FTEs). We will continue our hiring focus on boosting our Science and Technology and appropriations law capacity. GAO will also maintain entry-level and intern positions to address succession planning and to fill other skill gaps. These efforts will help ensure that GAO recruits and retains a talented and diverse workforce to meet the priority needs of the Congress.	GAO創立100周年の今年、GAOの2022年度予算要求は、議会が政府のパフォーマンスを改善し、透明性を確保し、納税者のドルを節約するのを助けるために、次の100年のための基礎を築くことを目指しています。GAOの2022年度予算は、7億4,430万ドル（約820億円）の予算を要求し、5,000万ドルのオフセットと追加予算を使用しています。これらのリソースは、3,400人相当（FTE）をサポートします。GAOは、科学技術と予算法の能力を高めることに重点を置いた採用を継続します。またGAOは、後継者育成やその他のスキルギャップを埋めるために、エントリーレベルやインターンのポジションを維持します。これらの取り組みにより、GAOは議会の優先的なニーズを満たすために、有能で多様な人材を採用し、維持することができます。

予算等の推移

GAO’ requested FY 2022 funding level would enable GAO to continue to increase our capabilities to review the opportunities and challenges associated with evolving science and technology issues; complex and growing cyber security developments; and rising health care costs.	GAOが要求した2022年度の予算レベルは、進化する科学技術の問題、複雑で拡大するサイバーセキュリティの発展、医療費の増加に関連する機会と課題を検討するためにGAOの能力を継続的に向上させることができます。
Specifically	特に
• Science and Technology. These resources will allow us to expand our science and technology capabilities in accordance with the 2019 plan provided to Congress to bolster our technology assessments and other science and technology (S&T) assistance to Congress, and help ensure that GAO has the bandwidth and expertise to support audits where this expertise is critical in addressing congressional priorities.	・科学技術。これらのリソースにより、議会に提供された2019年の計画に従って科学技術能力を拡大し、技術評価やその他の議会への科学技術（S&T）支援を強化することができ、議会の優先事項に対処する上で重要な監査をサポートするための幅と専門知識をGAOが確保するのに役立ちます。
• CyberSecurity. GAO will continue to expand our expertise and ability to assess the cybersecurity challenges facing the Nation, including assessments of the implementation of the National Cyber Strategy, government global cyberspace strategies, and government and private sector efforts to address the impact of the SolarWinds intrusion.	・サイバーセキュリティ。GAOは、国家サイバー戦略の実施、政府のグローバルサイバースペース戦略、SolarWinds侵入の影響に対処するための政府と民間企業の取り組みの評価など、国家が直面するサイバーセキュリティの課題を評価するための専門知識と能力を引き続き拡大していきます。
• Health Care Spending. GAO will continue to examine the sustainability and integrity of the Medicare and Medicaid programs and to oversee VA, DOD, and Indian Health Service health care services. Health care spending now accounts for over 25 percent of the federal budget and is one of the fastest growing federal expenditures.	・医療費の支出。GAOは、メディケアとメディケイドプログラムの持続可能性と完全性の調査、およびVA、DOD、インディアンヘルスサービスのヘルスケアサービスの監督を継続します。医療費は現在、連邦予算の25％以上を占めており、最も急速に増加している連邦支出の一つです。

一定げずられるでしょうが、増えていますね。。。

日本の会計検査院（令和3年）と比較してみましょう、、、

	GAO	会計検査院
長	Gene Dodaro	森田祐司
設置	1921年	1880年
人数	約3400名（FTE）	約1250名（2020.12）
予算 2022年度	要求 744 M US$ (約820億円)	概算決定約168億円
予算 2019年度	637 M US$ (約700億円)	約177億円

GDP比的に見ても米国は厚い陣容です。。。

ちなみに、現在の会計検査院長の森田さんは、私がトーマツに入った時の上司で最初の結婚式の仲人的な方です。システム監査をしておられて、ISACAに入るきっかけになった方でもあります(^^)。

あれっ、日本は2019年度から比較して減少していますね。。。GDP比的に見ても米国は厚い陣容です。。。

■ 参考

● 会計検査院 - 会計検査院の予算・決算 -令和3年度予算

2021.01.22 [PDF] 令和3年度会計検査院所管一般会計歳出予算各目明細書 (Downloaded)
2020.12.21 [PDF] 令和３年度予算概算決定額の概要 (Downloaded)
2020.10.05 [PDF] 令和3年度歳入概算見積書 (Downloaded)
2020.10.05 [PDF] 令和3年度歳出概算要求書 (Downloaded)
2020.10.05 [PDF] 令和3年度要望一覧 (Downloaded)
2020.09.30 [PDF] 令和3年度歳出概算要求の概要説明 (Downloaded)

2021.05.02 06:44 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in (temp)COVID-19 | Permalink | Comments (0)
Tweet

2021.05.01

U.K. 王立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。

こんにちは、丸山満彦です。

英国の王立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。前のバージョンは2019年に4月でしたから2年ぶりの更新です。記述が増えましたね(^^)

● U.K. National Audit Office: NAO

・2021.04.30 Guidance for audit committees on cloud services

このガイダンスでは、クラウドサービスの概要と、その利用に関する政府の方針を説明しています。その上で、監査委員会が経営陣と関わる際に、3つの段階で質問することを検討するための具体的な質問を示しています。

クラウドサービスの評価：組織戦略やデジタル戦略、ビジネスケースプロセス、デューデリジェンスの一環としてクラウドサービスを検討する。
クラウドサービスの導入：システム構成、データ移行、サービスのリスクとセキュリティを考慮する。
クラウドサービスの管理と最適化：運用上の考慮点、第三者による保証の必要性、本番稼動を管理するために必要な能力を説明する。

本ガイダンスは、他で配布されている詳細なクラウド・ガイダンスを参照・補完するものです。

ということのようです。。。

・[PDF] Guidance for audit committees on cloud services

Foreword	序文
Introduction	はじめに
Why this requires attention	なぜこれが必要なのか
What is government policy on cloud services?	クラウドサービスに関する政府の政策とは？
Other guidance available	その他のガイダンス
An overview of cloud services	クラウドサービスの概要
Pricing of cloud services	クラウドサービスの価格
Legacy systems	従来のシステム
Lock-in and exit strategy	ロックインと出口戦略
Part One: Assessment of cloud services	第1部：クラウドサービスの評価
Digital strategy	デジタル戦略
Business case	ビジネスケース
Due diligence	デューディリジェンス
Part Two: Implementation of cloud services	第2部：クラウドサービスの導入
System configuration	システム構成
Risk and security	リスクとセキュリティ
Implementation	実装
Part Three: Management and optimisation of cloud services	第3部：クラウドサービスの管理と最適化
Operations	運用
Assurance	保証
Capability	キャパシティ
Appendix One: National Cyber Security Centre guidance	附属書1：王立サイバーセキュリティセンターのガイダンス
Appendix Two: Assurance arrangements: Service Organisation Controls(SOC) reports, Cyber Essentials and ISO 27001	附属書2：保証体制：Service Organisation Controls（SOC）レポート、Cyber Essentials、ISO 27001

2019年4月に初版が公表された時のページです。

・2019.04.24 Guidance for audit committees on cloud services

[PDF] Good practice guide - Guidance for audit committees on cloud services

2018年5月に監査委員会向けの啓発をした時のページです。

・2018.05.24 Transformation guidance for audit committees

このガイダンスは、監査委員会が、経営陣が変革によって何を意図しているのか、サービスはどのように変化するのか、そして目的を達成するための戦略を明確にすることを促すためのものです。本ガイダンスでは、3つの段階での質問と、注目すべき証拠や指標を示しています。

セットアップ：ビジョン、戦略、ガバナンス、アーキテクチャ、および変革の進化する性質を含みます。
提供：変更と実装、およびサービスとパフォーマンスの管理をカバーします。
実運用と便益の実現：人、プロセス、技術を対象とします。

変革においてデータが中心的な役割を果たすことを踏まえ、本ガイダンスでは、監査委員会がデータの役割と管理について質問できる項目も用意されています。

[PDF] Good practice guide - Transformation guidance for audit committees

2017年に監査委員会向けにサイバーセキュリティについて発表した資料

・2017.09.13 Cyber security and information risk guidance for Audit Committees

以下をカバーする質問と問題のチェックリストを提供します。

サイバーセキュリティとリスク管理についての全体的なアプローチ
サイバーセキュリティを管理するために必要な機能
情報リスク管理、ネットワークセキュリティ、ユーザー教育、インシデント管理、マルウェア保護、監視、在宅およびモバイル作業などの特定の側面
クラウドサービスの利用や新しいサービス・テクノロジーの開発などの関連分野

[PDF] Good practice guide - Cyber security and information risk guidance for Audit Committees

2021.05.01 00:01 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

2021.04.28

NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

こんにちは、丸山満彦です。

NISTが、非連邦政府組織およびシステムにおける管理対象非機密情報 (Controlled Unclassified Information: CUI)に対する強化版セキュリティ要件の評価に関する標準案について意見募集をしていますね。

SP 800-171Aと同じく、

評価手法として、「EXAMINE（検証）」「INTERVIEW（インタビュー）」「TEST（テスト）」の３種類
評価の深さとして、「Basic（基本）」「Focused（重点）」「Comprehensive（総合）」の３段階
評価の対象範囲として、「Basic（基本）」「Focused（重点）」「Comprehensive（総合）」の３段階

が定義されていて、監査論的にも興味深いですね。。。

● NIST - ITL - Computer Security Resource Center - Publication

・2021.04.27 SP 800-172A (Draft) Assessing Enhanced Security Requirements for Controlled Unclassified Information

・[PDF] SP 800-172A (Draft)

Announcement	発表
The protection of controlled unclassified information (CUI) in nonfederal systems and organizations—especially CUI associated with a critical program or high value asset—is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. To determine if the enhanced security requirements in NIST Special Publication (SP) 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171, have been satisfied, organizations develop assessment plans and conduct assessments.	連邦政府以外のシステムや組織における管理下の未分類情報（CUI）、特に重要なプログラムや高価値の資産に関連するCUIの保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を正常に遂行する能力に直接影響を与える可能性があります。”NIST Special Publication (SP) 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information:”A Supplement to NIST Special Publication 800-171”の強化されたセキュリティ要件が満たされているかどうかを判断するために、組織は評価計画を策定し、評価を実施します。
Draft NIST SP 800-172A, Assessing Enhanced Security Requirements for Controlled Unclassified Information, provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST SP 800-172. The generalized assessment procedures are flexible, provide a framework and starting point to assess the enhanced security requirements, and can be tailored to the needs of organizations and assessors. Organizations tailor the assessment procedures by selecting specific assessment methods and objects to achieve the assessment objectives and by determining the scope of the assessment and the degree of rigor applied during the assessment process. The assessment procedures can be employed in self-assessments, independent third-party assessments, or assessments conducted by sponsoring organizations (e.g., government agencies). Such approaches may be specified in contracts or in agreements by participating parties. The findings and evidence produced during assessments can be used by organizations to facilitate risk-based decisions related to the CUI enhanced security requirements. In addition to developing determination statements for each enhanced security requirement, Draft NIST SP 800-172A introduces an updated structure to incorporate organization-defined parameters into the determination statements.	ドラフトNIST SP 800-172A「管理対象非機密情報に対する強化版セキュリティ要件の評価」は、NIST SP 800-172の要件の評価を実施するために使用できる評価手順を連邦機関および非連邦組織に提供しています。一般化された評価手順は柔軟性があり、強化版セキュリティ要件を評価するためのフレームワークと出発点を提供し、組織と評価者のニーズに合わせて調整することができます。組織は、評価目的を達成するために特定の評価方法と評価対象を選択し、評価の範囲と評価プロセスに適用する厳密さの度合いを決定することによって、評価手順を調整します。評価手順は、自己評価、独立した第三者評価、またはスポンサー組織（政府機関など）が実施する評価に利用できます。このようなアプローチは、契約書または参加者による合意書に明記することができます。評価中に得られた所見と証拠は、組織が CUI 強化版セキュリティ要件に関連するリスクベースの判断を促すために使用することができます。NIST SP 800-172A（ドラフト）では、セキュリティ強化要件ごとに判定書を作成することに加えて、組織が定義したパラメータを判定書に組み込むための最新の構造を導入しています。
NIST is seeking feedback on the assessment procedures, including the assessment objectives, determination statements, and the usefulness of the assessment objects and methods provided for each procedure. We are also interested in the approach taken to incorporate organization-defined parameters into the determination statements for the assessment objectives.	NISTは、評価目的、判定文、各手順に用意された評価対象と評価方法の有用性など、評価手順に関するフィードバックを求めている。また、評価目的の決定文に組織で定義されたパラメータを組み込むために取られたアプローチにも関心があります。
Abstract	概要
The protection of Controlled Unclassified Information (CUI) in nonfederal systems and organizations is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. This publication provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST Special Publication 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171. The assessment procedures are flexible and can be tailored to the needs of organizations and assessors. Assessments can be conducted as 1) self-assessments; 2) independent, third-party assessments; or 3) government-sponsored assessments. The assessments can be conducted with varying degrees of rigor based on customer-defined depth and coverage attributes. The findings and evidence produced during the assessments can be used to facilitate risk-based decisions by organizations related to the CUI enhanced security requirements.	連邦政府以外のシステムや組織における管理対象非機密情報 (CUI: Controlled Unclassified Information) の保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を成功裏に遂行する能力に直接影響を与える可能性があります。本書は、連邦機関および非連邦組織に対して、NIST SP 800-171の補足するNIST SP 800-172「管理対象非機密情報を保護するための強化版セキュリティ要件」にある要件の評価を行うために使用できる評価手順を提供します。この評価手順は柔軟性があり、組織や評価者のニーズに合わせて調整することができます。評価は、1）自己評価、2）独立した第三者評価、3）政府主導の評価として実施することができます。アセスメントは、利用者が定義した深度と対象範囲の属性に基づいて、さまざまな程度の厳密さで実施することができます。アセスメントで得られた知見や証拠は、CUI の強化版セキュリティ要件に関連して、組織がリスクに基づく判断を行うために使用することができます。

■ 関連文書

● NIST - ITL

・2021.02.02 (news) NIST Offers Tools to Help Defend Against State-Sponsored Hackers

・2021.02.03 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

　・[PDF] SP 800-172

・2021.01.28 SP 800-171 Rev. 2 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

・[PDF] SP 800-171 Rev. 2

Supplemental Material:
・[DOC] CUI Plan of Action template
・[DOC] CUI SSP template **[see Planning Note]
・[XLS] Mapping: Cybersecurity Framework v.1.0 to SP 800-171 Rev. 2

Other Parts of this Publication:
・2018.06.13 SP 800-171A Assessing Security Requirements for Controlled Unclassified Information
・ SP 800-171A

SP 800-171 は2020.02にRev.2になったのですが、2021.01.28にEditorialな修正が入っています。。。なお、こちらは2020.02段階の文書についてEva Aviationが翻訳を出しています。

また、SP 800-171AはSP 800-171 Rev.1 に対応したものになっています。

SP 800-172 はEva Aviationが第3章までの機械翻訳（対訳）を出しています。

● Eva Aviation

・2020.12.28 NIST SP 800-171関連主要ドキュメント

・[PDF] NIST SP 800-171 Rev.1 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
・[PDF] NIST SP 800-171 Rev.2 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護

・[PDF] NIST SP 800-172 管理対象非機密情報CUIの保護に対する強化版セキュリティ要件（第3章まで機械翻訳（対訳））

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

2021.04.28 07:29 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2021.04.26

NISC 意見募集「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定（案）

こんにちは、丸山満彦です。

内閣官房サイバーセキュリティセンター (NISC) が、政府機関等のサイバーセキュリティ対策のための統一基準群」の改定（案）について意見募集をしていますね。

思い返せば、NISCが「内閣官房情報セキュリティ対策推進室」（多分）といわれていた頃に内閣官房に参加し、まずは情報セキュリティセンターの立ち上げと同時に、政府統一基準の策定を進めておりましたね。当時は、内閣府の新しいビルが立つ前で、そこに３階建のプレハブがあり、そこで色々としておりましたね。。。もう、16年以上も前の話ですね。。。

作成当時の重要なルールとして、「主語」を明確にするというのがありましたね。XXXをする責任を持ってするのは誰か？を明確にするということですね。これは、セキュリティの役割の「椅子」を用意することができないので、担当という「帽子」を被せるということにしたのですが、どの帽子の人が何をしなければならないかを明確にしないといけないですよね。。。ということから来ています。。。

なので遵守事項は、「最高情報セキュリティ責任者は」とか、「職員等（当時は、「行政事務従事者」でしたね。。。）は」とか、になっているんですよね。。。

今回は、「ISMAPの制度」もできたし、「常時アクセス判断・許可アーキテクチャ」（きっとゼロトラスト的なものなんでしょう。。。）も海外政府では取り組んでいるし、「コロナで在宅やし」という感じですかね。。

● NISC

・2021.04.26「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定（案）に関する意見の募集

意見募集は...

[PDF] 政府機関等のサイバーセキュリティ対策のための統一規範（案）

[PDF] 政府機関等のサイバーセキュリティ対策の運用等に関する指針（案）

[PDF] 政府機関等のサイバーセキュリティ対策のための統一基準（令和３年度版）（案）

ここからは、参考資料...

見直しの概要

１．クラウドサービスの利用拡大を見据えた記載の充実
■ 政府情報システムのためのセキュリティ評価制度（ISMAP）の管理基準も踏まえ、クラウドサービス利用者側として実施すべき対策や考え方に係る記載を追加。
⇒外部サービスを安全に利用するために、業務内容や取り扱う情報の格付や取扱制限に応じた情報セキュリティ対策を自ら講じられることが重要。

２．情報セキュリティ対策の動向を踏まえた記載の充実
■ 政府機関等を標的とした主要なサイバー攻撃や近年の情報セキュリティインシデント事例、最新のセキュリティ対策などを踏まえた記載、また今後取り組むべき情報セキュリティ対策の将来像について記載。
⇒従来からの境界型防御を補完するものとして「常時アクセス判断・許可アーキテクチャ」にも目を向ける。また、情報システム「常時システム診断・対処」を引き続き推進するなど、情報セキュリティ対策基盤を着実に進化させることが重要。

３．多様な働き方を前提とした情報セキュリティ対策の整理
■ 新型コロナウイルス感染症対策として政府機関等においても急速に広まったテレワークや遠隔会議の経験も踏まえ、係る多様な働き方を前提とする場合に必要な情報セキュリティ対策について、参照すべき統一基準上の規定や解説を整理することで、政府機関等が実施すべき対策の水準を明確にする。
⇒危機管理や働き方改革への対応として、通常とは異なる環境下においても必要な情報セキュリティ水準を確保した上で業務の円滑な継続を図ることが重要。

新旧対照表

です。。。

2021.04.26 14:40 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 危機管理 / 事業継続, in クラウド, in パブコメ, in (temp)COVID-19 | Permalink | Comments (0)
Tweet

2021.04.21

英国政府データ倫理とイノベーションセンターのブログ　AIの保証についての3つの記事

こんにちは、丸山満彦です。

U.K. のCentre for Data Ethics and Innovation: CDEI（データ倫理とイノベーションセンター）のブログでAIの保証についての3つの記事がありますね。。。

これはなかなか興味深いです。。。

● U.K. Government - Centre for Data Ethics and Innovation: CDEI - blog

・2021.04.15 The need for effective AI assurance（効果的なAI認証の必要性）

・2021.04.16 User needs for AI assurance（AI保証についてのユーザのニーズ）

・2021.04.17 Types of assurance in AI and the role of standards（AI保証の種類と標準の役割）

■ 参考

英国情報保護局のAIのアルゴリズム監査についてのガイドです。

● U.K. Information Commissioner's Office 英国情報保護局

・Guidance on AI and data protection

・2020.07.30 Blog: ICO launches guidance on AI and data protection

・2019.03.26 An overview of the Auditing Framework for Artificial Intelligence and its core components

Reuben Binns, our Research Fellow in AI, and Valeria Gallo, Technology Policy Advisor, outline the proposed structure, core components and areas of focus of the ICO’s new auditing framework for artificial intelligence (AI).

・2019.03.26 [PDF] Guidance on the AI auditing framework (draft)

Draft Guidance on AI and data protection

AIの保証については、これも参考にしてくださいませ。（上の英国情報保護局のガイドを読む前にこっちを先に読んで全体感を理解してから、上を読んだ方が良いかも...）

Ada Lovelace Institute の報告書で、AIアルゴリズムの評価方法を４種類に分けて説明していて、英国情報保護局のガイドは４種類の評価方法のうちの1つに分類されるという整理になっています。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.01　（人工知能 AI）ブラックボックスの検証：アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

2021.04.21 02:45 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2021.04.20

経済産業省機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

こんにちは、丸山満彦です。

経済産業省が、

...セキュリティ検証サービスの高度化を目的とし、検証サービス事業者及び検証依頼者が実施すべき事項や、二者間のコミュニケーションにおいて留意すべき事項等について整理した「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公開しました。

とのことです。。。産業サイバーセキュリティ研究会WG3の成果物ですね。（ちなみに私はWG2です。。。）

● 経済産業省

・2021.04.19 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました

本手引きは、セキュリティ検証サービスの高度化を目的とするもので、以下の点について整理したものです。

機器のセキュリティ検証において検証サービス事業者が実施すべき事項
より良い検証サービスを受けるために検証依頼者が実施すべき事項及び持つべき知識
検証サービス事業者・検証依頼者間の適切なコミュニケーションのために二者間で共有すべき情報や留意すべき事項

手引きの本編・別冊の概要

[PDF]【本編】機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き
 検証サービス事業者が実施すべき事項や、検証依頼者が実施すべき事項や用意すべき情報、二者間のコミュニケーションにおいて留意すべき事項等を示す。
 信頼できる検証サービス事業者を判断するための基準を記載する。
[PDF]【別冊１】脅威分析及びセキュリティ検証の詳細解説書
 検証サービス事業者が実施すべき脅威分析の手法や実施すべき検証項目、検証の流れを詳細に示す。
 機器全般に汎用的に活用できる整理を目標とするが、対象の例としてネットワークカメラを実例とした手法の適用結果も示す。
[PDF]【別冊２】機器メーカに向けた脅威分析及びセキュリティ検証の解説書
 機器メーカが実施すべき事項や用意すべき情報等、意図した検証を依頼するために必要な事項を詳細に示す。
 攻撃手法への対策例や、検証結果を踏まえたリスク評価等の対応方針を示す。
[PDF]【別冊３】検証人材の育成に向けた手引き
 検証人材に求められるスキル・知識を示し、それらのスキル・知識を獲得するために望まれる取り組みを示す。
 検証人材のキャリアを構想・設計する上で考慮すべき観点を示し、検証人材のキャリアの可能性を示す。

（いわゆる白表紙。。。表紙より中身です。もちろん！でも、諸外国の資料と比べるとなぁ...とか...）

本編の目次

----
「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」の策定にあたって

1. 背景と目的
1.1 背景
1.2 本手引きの目的
1.3 本手引きで対象とする機器
1.4 対象者
1.5 本手引きの活用方法
1.6 本手引き・本編の構成

2. 機器検証とは
2.1 検証の目的
2.2 一般的な検証手法
2.3 その他の検証手法

3. 検証の実施
3.1 検証手順
3.2 検証に向けた準備
3.3 検証計画の策定
3.4 検証実施
3.5 検証における留意点

4 検証結果の報告
4.1 検証結果の分析
4.2 検証結果の報告

5 付録
5.1 機器固有の検証手法等
5.2 用語集
5.3 参考文書

【別冊１】脅威分析及びセキュリティ検証の詳細解説書の目次

1. 背景と目的

2. 対象機器の調査・モデル化

3. 対象機器の脅威分析
3.1 概要
3.2 脅威分析の対象の決定と守るべき資産の洗い出し
3.3 DFD によるデータフローの可視化
3.4 STRIDE による脅威の洗い出し
3.5 Attack Tree による脅威を実現する攻撃手法の調査
3.6 DREAD による脅威が実現した場合のリスクの評価
3.7 脅威分析の具体例
3.8 分析結果のセキュリティ検証への活用

4. セキュリティ検証の詳細手順
4.1 概要
4.2 検証環境
4.3 ファームウェア解析
4.4 バイナリ解析
4.5 ネットワークスキャン
4.6 既知脆弱性の診断
4.7 ファジング
4.8 ネットワークキャプチャ

5. 検証結果の分析と報告
5.1 ファームウェア解析
5.2 バイナリ解析
5.3 ネットワークスキャン
5.4 既知脆弱性の診断
5.5 ファジング
5.6 ネットワークキャプチャ

6 付録
6.1 用語集
6.2 参考文書
6.3 脅威分析手法の補足
6.4 Raspberry Pi 環境の構築手順
6.5 Bluetooth インタフェースに対する検証について
6.6 セキュリティ検証に活用できるツール、技術の補足
6.7 DREAD によるスコアリングの補足

1. 背景と目的

2. IoT 機器等開発における検証の位置づけ

3. 機器メーカにおける脅威分析の実施
3.1 守るべき資産の検討
3.2 攻撃ポイントの分析
3.3 想定される脅威の分析
3.4 セキュリティ要求事項の検討

4. 検証依頼にあたって機器メーカが知るべき検証手法
4.1 機器メーカが知るべき代表的な検証手法
4.2 ハードウェアハッキング・ファームウェア解析
4.3 バイナリ解析
4.4 ネットワークスキャン
4.5 既知脆弱性の診断
4.6 ファジング
4.7 ネットワークキャプチャ
4.8 検証依頼時に用意することが望まれる情報

5. 検証結果を踏まえた対応の検討
5.1 検証報告に対する機器メーカの対応
5.2 検証結果に基づくリスク評価と対応方針の検討
5.3 ハードウェアハッキング・ファームウェア解析の結果を踏まえての対応
5.4 バイナリ解析の結果を踏まえての対応
5.5 ネットワークスキャンの結果を踏まえての対応
5.6 既知脆弱性の診断の結果を踏まえての対応
5.7 ファジングの結果を踏まえての対応
5.8 ネットワークキャプチャの結果を踏まえての対応
5.9 製品リリースにあたり機器メーカとして検討しておくべき事項

6 付録
6.1 国内外のセキュリティガイドラインと本別冊との対応
6.2 検証依頼時に用意することが望まれる情報の逆引き表
6.3 用語集

2021.04.20 13:59 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

2021.04.17

U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル（11兆円）以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

こんにちは、丸山満彦です。

U.S. GAOが、連邦政府は、ITおよびサイバー関連に年間1,000億ドル（11兆円）以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点があると報告していますね。。。

（これに限りませんが）こういうことを全世界に公表できるGAOはすごいし、それを当然と考えている米国民はすごいなぁ、と思います。。。

● U.S. GAO

・2021.04.16 Information Technology and Cybersecurity:Significant Attention Is Needed to Address High-Risk Areas

・[PDF] Highlits

・[PDF] INFORMATION TECHNOLOGY AND CYBERSECURITY: Significant Attention Is Needed to Address High-Risk Areas

Fast Facts	概要
The federal government spends more than $100 billion on IT and cyber-related investments annually—but many of them have failed or performed poorly, have been poorly managed, and have security weaknesses.	連邦政府は、ITおよびサイバー関連の投資に年間1,000億ドル（10兆円）以上を費やしていますが、その多くが失敗したり、パフォーマンスが低かったり、管理が不十分だったり、セキュリティ上の弱点を抱えています。
Improving IT acquisitions and operations management and ensuring cybersecurity have been on our High Risk List since 2015 and 1997, respectively. We testified that little progress has been made.	IT取得・運用管理の改善とサイバーセキュリティの確保は、それぞれ2015年と1997年からハイリスクリストに掲載されています。GAOは、それがほとんど進展していないと証言しました。
The federal government and agencies must take action. For example, the government should develop and execute a comprehensive cybersecurity strategy.	連邦政府と各省庁は対策を講じる必要があります。例えば、政府は、包括的なサイバーセキュリティ戦略を策定し、実行する必要があります。
Agencies have yet to implement many of our critical recommendations in these areas.	各省庁は、これらの分野における我々の重要な提言の多くをまだ実施していません。

Highlights	ハイライト
What GAO Found	GAOの調査結果
In its March 2021 high-risk series update, GAO reported that significant attention was needed to improve the federal government's management of information technology (IT) acquisitions and operations, and ensure the nation's cybersecurity. Regarding management of IT, overall progress in addressing this area has remained unchanged. Since 2019, GAO has emphasized that the Office of Management and Budget (OMB) and covered federal agencies need to continue to fully implement critical requirements of federal IT acquisition reform legislation, known as the Federal Information Technology Acquisition Reform Act (FITARA), to better manage tens of billions of dollars in IT investments. For example:	GAOは、2021年3月のハイリスクシリーズの更新で、連邦政府の情報技術（IT）の取得と運用の管理を改善し、国のサイバーセキュリティを確保するために、重要な注意が必要であると報告しました。ITの管理については、全体的な取り組みの進捗状況は変わっていません。2019年以降、GAOは、数百億ドル規模のIT投資をよりよく管理するために、連邦情報技術取得改革法（FITARA）として知られる連邦IT取得改革法の重要な要件を、行政管理予算局（OMB）と対象となる連邦機関が引き続き完全に実施する必要があることを強調してきました。例えば、以下のようなものがあります。
・OMB continued to demonstrate leadership commitment by issuing guidance to implement FITARA statutory provisions, but sustained leadership and expanded capacity were needed to improve agencies' management of IT.	・OMBは、FITARAの法的規定を実施するためのガイダンスを発行し、引き続きリーダーシップを発揮しましたが、各省庁のIT管理を改善するためには、持続的なリーダーシップと能力の拡大が必要でした。
・Agencies continued to make progress with reporting FITARA milestones and plans to modernize or replace obsolete IT investments, but significant work remained to complete these efforts.	・各省庁は、FITARA のマイルストーンの報告や、老朽化した IT 投資の近代化や置き換えの計画について、引き続き進展がありましたが、これらの取り組みを完了させるには大きな課題が残っていました。
・Agencies improved the involvement of their agency Chief Information Officers in the acquisition process, but greater cost savings could be achieved if IT acquisition shortcomings, such as reducing duplicative IT contracts, were addressed.	・各省庁は、取得プロセスにおける省庁の最高情報責任者の関与を改善しましたが、重複するIT契約の削減など、IT取得の欠点に取り組めば、より大きなコスト削減が可能です。
In March 2021, GAO reiterated the need for agencies to address four major cybersecurity challenges facing the nation: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting cyber critical infrastructure, and (4) protecting privacy and sensitive data. GAO identified 10 actions for agencies to take to address these challenges. However, since 2019, progress in this area has regressed—GAO's 2021 rating of leadership commitment declined from met to partially met. To help address the leadership vacuum, in January 2021, Congress enacted a statute establishing the Office of the National Cyber Director. Although the director position has not yet been filled, on April 12 the President announced his intended nominee. Overall, the federal government needs to move with a greater sense of urgency to fully address cybersecurity challenges. In particular:	2021年3月、GAOは、国家が直面している4つの主要なサイバーセキュリティの課題に各省庁が取り組む必要性を改めて指摘しました。（1）包括的なサイバーセキュリティ戦略の確立と効果的な監督の実行、（2）連邦政府のシステムと情報の保護、（3）サイバー重要インフラの保護、（4）プライバシーと機密データの保護。GAOは、これらの課題に対処するために各機関が取るべき10の行動を特定しました。しかし、2019年以降、この分野での進捗は後退しており、GAOの2021年の評価では、リーダーシップのコミットメントが「満たされている」から「部分的に満たされている」に低下した。リーダーシップの空白に対処するため、2021年1月、議会は国家サイバー長官室を設立する法令を制定しました。局長職はまだ任命されていませんが、4月12日に大統領が候補者を発表しました。全体として、連邦政府は、サイバーセキュリティの課題に完全に対処するために、より大きな緊急性を持って動く必要があります。具体的には
・Develop and execute a more comprehensive federal strategy for national cybersecurity and global cyberspace. In September 2020, GAO reported that the cyber strategy and implementation plan addressed some, but not all, of the desirable characteristics of national strategies, such as goals and resources needed.	・国家的なサイバーセキュリティとグローバルなサイバースペースのための、より包括的な連邦戦略を策定し、実行する。2020年9月、GAOは、サイバー戦略と実行計画は、目標や必要なリソースなど、国家戦略の望ましい特性のすべてではないが、一部に対応していると報告した。
・Mitigate global supply chain risks. In December 2020, GAO reported that few of the 23 civilian federal agencies it reviewed implemented foundational practices for managing information and communication technology supply chain risks.	・グローバルなサプライチェーンのリスクを軽減する。2020年12月、GAOは、レビューした23の文民連邦機関のうち、情報通信技術のサプライチェーンリスクを管理するための基礎的なプラクティスを実施しているところは少ないと報告した。
・Enhance the federal response to cyber incidents. In July 2019, GAO reported that most of 16 selected federal agencies had deficiencies in at least one of the activities associated with incident response processes.	・サイバーインシデントに対する連邦政府の対応を強化する。2019年7月、GAOは、選択した16の連邦機関のほとんどが、インシデント対応プロセスに関連する活動の少なくとも1つに不備があると報告した。
Why GAO Did This Study	GAOがこの調査を行った理由
The effective management and protection of IT has been a longstanding challenge in the federal government. Each year, the federal government spends more than $100 billion on IT and cyber-related investments; however, many of these investments have failed or performed poorly and often have suffered from ineffective management.	ITを効果的に管理・保護することは、連邦政府の長年の課題となっています。毎年、連邦政府はITやサイバー関連の投資に1,000億ドル以上を費やしていますが、これらの投資の多くは失敗したり、パフォーマンスが低下したりしており、しばしば効果的でない管理に悩まされています。
Accordingly, GAO added improving the management of IT acquisitions and operations as a high-risk area in February 2015. Information security has been on the high-risk area since 1997. In its March 2021 high-risk update, GAO reported that significant actions were required to address IT acquisitions and operations. Further, GAO noted the urgent need for agencies to take 10 specific actions on four major cybersecurity challenges.	そのため、GAOは2015年2月に、ITの取得と運用の管理を改善することを高リスク分野として追加しました。情報セキュリティは1997年から高リスク領域に入っています。GAOは、2021年3月のハイリスクアップデートで、ITの取得と運用に対応するために重要なアクションが必要であると報告した。さらにGAOは、サイバーセキュリティの4つの主要な課題について、各機関が10の具体的な行動をとることが急務であると指摘しました。
GAO was asked to testify on federal agencies' efforts to address the management of IT and cybersecurity. For this testimony, GAO relied primarily on its March 2021 high-risk update and selected prior work across IT and cybersecurity topics.	GAOは、ITとサイバーセキュリティの管理に対処する連邦政府機関の取り組みについて証言するよう求められました。この証言のために、GAOは主に2021年3月のハイリスク・アップデートと、ITとサイバーセキュリティのトピックにわたる厳選された先行研究に依拠した。