監査 / 認証

2024.07.22

フランス 情報システム安全保障庁 機密情報システムをクラウドでホスティングするための推奨事項

こんにちは、丸山満彦です。

フランスの情報システム安全保障庁 機密情報システムをクラウドでホスティングするための推奨事項を公表していますね...欧州では、欧州クラウドサービス認証スキーム(EUCS)が現在策定中ですので、それが確定すれば、そちらに移行することになります。

Agence nationale de la sécurité des systèmes d'information; ANSSI

・2024.07.09 Recommandations pour l’hébergement des SI sensibles dans le cloud

Recommandations pour l’hébergement des SI sensibles dans le cloud 機密情報システムをクラウドでホスティングするための推奨事項
La série de recommandations de l’ANSSI est un outil d’aide à la décision pour des entités envisageant un hébergement cloud pour leurs systèmes d’information (SI) sensibles. ANSSIの一連の勧告は、機密情報システム(IS)のクラウド・ホスティングを検討している事業者のための意思決定ツールである。
Recommandations pour l'hébergement dans le cloud des systèmes d'information sensibles 機密情報システムをクラウドでホスティングするための推奨事項
Pour répondre aux enjeux de sécurité liés au cloud, l’ANSSI a développé une série de recommandations pour l’hébergement dans le cloud qui précisent, en fonction du type de système d’information (SI), de la sensibilité des données et du niveau de la menace, les types d’offres cloud à privilégier. クラウドがもたらすセキュリティ上の課題に対応するため、ANSSIはクラウドでのホスティングに関する一連の勧告を策定した。この勧告では、情報システム(IS)の種類、データの機密性、脅威のレベルに応じて、どのようなクラウドサービスが望ましいかを規定している。
La série de recommandations de l’ANSSI constitue un outil d’aide à la décision pour les entités qui envisagent un hébergement cloud pour leurs systèmes d’information de niveau diffusion restreinte, les SI sensibles des opérateurs d’importance vitale et des opérateurs de services essentiels, ainsi que des systèmes d’information d’importance vitale (SIIV). ANSSIの一連の勧告は、流通制限(DR)情報システム、極めて重要な事業者の機密情報システム、不可欠なサービスを提供する事業者の機密情報システム、および重要情報システム(SIIV)のクラウド・ホスティングを検討する事業者のための意思決定ツールである。
Il est à noter que ces recommandations ne s’appliquent pas aux systèmes d’information classifiés et que tous les systèmes d’information n’ont pas vocation à recourir aux solutions cloud. Elles s’inscrivent, par ailleurs, en cohérence avec la doctrine « cloud au centre » de l’État.  これらの勧告は、機密情報システムには適用されないこと、また、すべての情報システムがクラウド・ソリューションを使用する運命にあるわけではないことに留意すべきである。また、フランス政府の「クラウド・アット・ザ・センター」政策にも合致している。
Recommandations de l’ANSSI pour l’hébergement des systèmes d’information sensibles dans le cloud 機密情報システムをクラウドでホスティングするためのANSSI勧告

 

機密情報システムをクラウドでホスティングする際の推奨事項...

・[PDF] RECOMMANDATIONS POUR L’HÉBERGEMENT DANS LE CLOUD DES SYSTÈMES D’INFORMATION SENSIBLES

20240721-165235

・[DOCX][PDF] 仮訳

 

 

FAQ...

・2024.07.08 FAQ sur les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud

FAQ sur les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud 機密情報システムをクラウドでホスティングするためのANSSI勧告に関するFAQ
Questions-réponses concernant les recommandations d’hébergement des systèmes d’information sensibles dans le cloud. 機密情報システムをクラウドでホスティングするための推奨事項に関する質問と回答。
La série de recommandations  de l’ANSSI pour l’hébergement des systèmes d’information sensibles dans le cloud (accessible ici) est un outil d’aide à la décision pour des entités envisageant un hébergement cloud pour leurs systèmes d’information (SI) sensibles. 機密情報システムをクラウドでホスティングするためのANSSI勧告シリーズ(こちらから入手可能)は、機密情報システム(IS)のクラウドホスティングを検討している事業者のための意思決定ツールである。
Cette FAQ vise à répondre aux questions principales concernant les recommandations de l’agence. La liste des questions-réponses sera progressivement enrichie. このFAQは、ANSSIの勧告に関する主な質問に答えることを目的としている。質問と回答のリストは順次拡大していく予定である。
1. Les recommandations de l’ANSSI ont-elles un caractère obligatoire ? 1. ANSSIの勧告は義務なのか?
La série de recommandations mis à disposition par l’ANSSI est un outil d’aide à la décision non contraignant. Certains points précis évoqués dans le document sont toutefois obligatoires (en cohérence avec la doctrine « Cloud au centre » de l’Etat qui impose pour l’administration, et plus spécifiquement pour les données sensibles, de recourir à des solutions cloud qualifiées SecNumCloud).  ANSSIが提供する一連の勧告は、拘束力のない意思決定ツールである。しかし、この文書で提起されている具体的な指摘の中には、義務的なものもある(フランス政府の「Cloud at the centre」政策に沿ったもので、政府部門、特に機密データについては、SecNumCloud認定クラウド・ソリューションの利用を義務付けている)。
2. Comment utiliser ces recommandations ? 2. これらの推奨事項はどのように利用できるのか?
Dans le cadre d’un projet de migration d’un système d’information sensible vers un hébergement cloud, les recommandations de l’ANSSI peuvent être utilisées comme un outil d’aide à la décision qui permettent d’identifier des étapes essentielles de toute réflexion à conduire en amont d‘une éventuelle migration, en prenant en compte les différents aspects techniques et organisationnels de celle-ci. Le document précise les types d’offres cloud à privilégier, en fonction du type de système d’information, de la sensibilité des données et du niveau de menace associé.   機密情報システムをクラウドホスティングに移行するプロジェクトの一環として、ANSSIの勧告は、移行に関連する様々な技術的・組織的側面を考慮しながら、移行前に行うべき協議の重要な段階を特定するための意思決定ツールとして利用することができる。同文書では、情報システムの種類、データの機密性、関連する脅威のレベルに応じて、どのようなクラウドサービスが望ましいかを規定している。 
3. Quelles sont les recommandations de sécurité à suivre lors de la migration d’un système d’information vers un hébergement cloud ? 3. 情報システムをクラウド・ホスティングに移行する場合、どのようなセキュリティ勧告に従うべきか?
L’ANSSI recommande que la décision de migrer des systèmes d’information vers des solutions cloud soit toujours éclairée par une étude d’impact, notamment métier et juridique, ainsi qu’une analyse de risques. ANSSIは、情報システムをクラウド・ソリューションに移行する決定には、リスク分析だけでなく、影響調査、特にビジネスと法務に関する調査を必ず行うことを推奨している。
En complément des précautions d’emploi indiquées dans le document mis à disposition par l’ANSSI, il est important que l’entité responsable du système d’information s’assure des bonnes configurations et de la sécurité des solutions cloud choisies. Ainsi, il est de la responsabilité des entités d’identifier l’offre la plus adaptée à leurs besoins, d’acquérir les licences idoines auprès des offreurs cloud, ainsi que de configurer les bonnes options de sécurité. Par ailleurs, l’insertion d’une clause de réversibilité permet d’éviter toute dépendance à une offre cloud unique et à ses évolutions futures. ANSSIが提供する文書に記載されている使用上の注意事項に加えて、情報システムの責任主体は、選択したクラウド・ソリューションが適切に設定され、安全であることを確認することが重要である。そのため、自社のニーズに最も適したサービスを特定し、クラウドプロバイダーから適切なライセンスを取得し、適切なセキュリティオプションを設定することは、事業体の責任である。さらに、可逆性条項を盛り込むことで、単一のクラウド・オファリングとその将来の発展への依存を避けることができる。
D’autres bonnes pratiques sont à privilégier, notamment des audits réguliers de la solution ; le suivi des accès ; le suivi des vulnérabilités du fournisseur cloud ; etc その他のベスト・プラクティスとしては、ソリューションの定期的な監査、アクセス監視、クラウド・プロバイダーの脆弱性の監視などがある。
4. Comment s’articulent les recommandations de l’ANSSI avec le futur schéma de certification européen pour les services cloud (EUCS) ? 4. ANSSIの勧告は、将来的に欧州で導入されるクラウドサービスの認証スキーム(EUCS)とどのように整合するのか?
Le schéma de certification européen services cloud (EUCS) est actuellement en cours d’élaboration. Les recommandations de l’ANSSI pour l’hébergement des SI sensibles dans le cloud seront mises à jour lors de l’entrée en application du schéma de certification européen EUCS. クラウドサービスの欧州認証スキーム(EUCS)は現在策定中である。機密情報システムをクラウドでホスティングするためのANSSIの勧告は、EUCSの欧州認証スキームが発効した時点で更新される予定である。
5. Où trouver plus d’informations sur le Visa de sécurité SecNumCloud évoqué dans les recommandations? 5. 勧告に記載されているSecNumCloud Security Visaの詳細情報はどこで入手できるか?
Nous vous invitons à consulter : 以下を参照されたい。
La rubrique dédiée au Visa de sécurité SecNumCloud ; SecNumCloudセキュリティビザのセクション;
La FAQ dédiée au Visa de sécurité SecNumCloud. SecNumCloudセキュリティビザに関するFAQを参照されたい。

 

 

クラウド・アット・ザ・センター

Le Cloud pour les administrations

 

セキュリティ認定

認定製品・サービスの一覧

SecNumCloudサービスの一覧

 

資格認定のための要件

Référentiels d'exigences pour la qualification

Prestataires d'accompagnement et de conseil en sécurité des systèmes d’information (PACS) 情報システムセキュリティサポート・コンサルタントプロバイダ(PACS)
PACS – référentiel d’exigences – v1.0 PACS要求事項フレームワーク - v1.0
Le référentiel PACS a pour objectif d’assister les responsables de la sécurité des systèmes d’information et leurs équipes dans leurs missions de protection des systèmes d’information, et notamment d’homologation de sécurité, de gestion des risques, de conception d’architectures sécurisées, et de préparation à la gestion de crises d’origine cyber. PACS標準の目的は、情報システムセキュリティマネージャとそのチームが情報システムを保護するための作業、特にセキュリティ認証、リスクマネジメント、安全なアーキテクチャの設計、サイバー危機管理の準備において支援することである。
Le référentiel couvre activités: この標準は以下の活動を対象としている:
Conseil en homologation de sécurité des systèmes d’information ; 情報システムセキュリティ認証コンサルティング
Conseil en gestion des risques de sécurité des systèmes d’information ; 情報システムセキュリティリスクマネジメントのコンサルティング
Conseil en sécurité des architectures des systèmes d’information ; 情報システムアーキテクチャーセキュリティコンサルティング
Conseil en préparation à la gestion de crise d’origine cyber. サイバー危機管理準備コンサルティング
Prestataire  d’audit de la sécurité des systèmes d’information (PASSI) 情報システムセキュリティ監査サービスプロバイダー(PASSI)
PASSI – référentiel d’exigences – v2.0 PASSI - 要求事項の枠組み - v2.0
Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits. 情報システムセキュリティ監査プロバイダのための要求事項枠組みは、この分野のサービスの資格取得を希望するプロバイダのための一連の規則である。監査プロバイダ、そのスタッフ、および監査の実施に関する要求事項を網羅している。
La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel et physique. 監査プロバイダは、アーキテクチャ監査、コンフィギュレーション監査、ソースコード監査、侵入テスト、組織的監査、物理的監査を実施する。
Prestataire de réponse aux incidents de sécurité (PRIS) セキュリティインシデント対応サービスプロバイダ(PRIS)
PRIS – référentiel d’exigences – v2.0 PRIS - 要求事項の枠組み - v2.0
Le référentiel d’exigences relatif aux prestataires de réponse aux incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de réponse aux incidents, à son personnel ainsi qu’au déroulement des prestations de réponse aux incidents. セキュリティインシデント対応サービスプロバイダのための要求事項枠組みは、この分野のサービスの認定を希望するサービスプロバイダのための一連の規則である。インシデントレスポンス プロバイダ、そのスタッフ、およびインシデントレスポンス サービスの提供方法に関連する要件を網羅している。
La qualification peut être délivrée aux prestataires de réponse aux incidents pour les activités suivantes : pilotage technique, analyse système, analyse réseau et analyse de codes malveillants. インシデントレスポンス・プロバイダは、技術管理、システム分析、ネットワーク分析、悪質コード分析の各活動について、資格認定を受けることができる。
Prestataire de détection des incidents de sécurité (PDIS) セキュリティインシデント検知サービスプロバイダ(PDIS)
PDIS – Référentiel d’exigences – v.2.0 PDIS - 要求事項参照文書 - v.2.0
PDIS – Requirements reference document – v.2.0 PDIS - 要求事項参照文書 - v.2.0
Le référentiel d’exigences relatif aux prestataires de détection des incidents de sécurité est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de détection des incidents, à son personnel ainsi qu’au déroulement des prestations de détection des incidents. セキュリティインシデント検知サービスプロバイダのための要求事項参照文書は、この分野のサービス認定を希望するプロバイダのための一連の規則である。インシデント検知プロバイダ、そのスタッフ、およびインシデント検知サービスの提供に関連する要件を網羅している。
La qualification peut être délivrée aux prestataires de détection des incidents pour l’ensemble de l’activité de détection d’incidents de sécurité. セキュリティ・インシデント検知活動全体に対するインシデント検知プロバイダには、資格認定 を与えることができる。
Prestataires de vérification d'identité à distance (PVID) リモート ID 検証サービス・プロバイダ(PVID)
PVID – référentiel d’exigences – v1.1 PVID - 要件リポジトリ - v1.1
Les exigences formulées par ce référentiel portent sur le prestataire et la sécurité du système d’information permettant de fournir le service de vérification d’identité à distance. Il vise à créer une offre de services de vérification d’identité à distance robuste et répondant au besoin de confiance des utilisateurs, des commanditaires de telles prestations et des régulateurs. Ce référentiel permet d’attester que la mise en œuvre des mesures de réduction de la fraude pertinente par les services certifiés selon deux niveaux de garantie : substantiel et élevé. この標準に規定される要件は、サービス・プロバイダおよびリモート ID 検証サービスを提供 するために使用される情報システムのセキュリティに関するものである。この規格の目的は、利用者、このようなサービスを委託する者、および規制当局の信頼性の必要 性を満たす、堅固な一連のリモート ID 検証サービスを作成することである。この標準は、認証されたサービスが、実質的および高水準という 2 つの保証レベルで、 関連する不正削減手段を実装していることを認証する。
Moyens d'identification électronique (MIE) 電子 ID 手段(MIE)
MIE – référentiel d’exigences – v1.2 MIE - 要件フレームワーク - v1.2
Le référentiel d’exigences pour les moyens d’identification électronique précise au niveau national les spécifications techniques et les procédures minimales définies dans le règlement d’exécution 2015/1502 pour les niveaux de garantie : 電子的識別手段の要件リポジトリは、実施規則 2015/1502 で定義された技術仕様および保証レベ ルの最低手順を国家レベルで規定している:
Faible: l’objectif est de limiter le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : les moyens d’identification électronique reposant sur un identifiant / mot de passe ; 低:目的は、本人識別の簒奪または改ざんのリスクを制限することである。例:識別子/パスワードに基づく電子的識別手段;
Substantiel: l’objectif est de limiter substantiellement le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification ; 実質的:目的は、個人の ID の簒奪または改ざんのリスクを実質的に制限することである。例:2 つの認証要素に基づく特定の電子的識別手段;
Élevé: l’objectif est d’empêcher le risque d’usurpation ou d’altération de l’identité de la personne. Par exemple : certains moyens d’identification électronique reposant sur deux facteurs d’authentification dont l’un repose sur un composant cryptographique qualifié par l’ANSSI. 高:目的は、個人の ID の簒奪または改ざんのリスクを防止することである。例:2 つの認証要素に基づく特定の電子 ID 手段で、そのうちの 1 つは ANSSI が認定する暗号化要素に基づくもの。
Prestataire de services sécurisés d’informatique en nuage (SecNumCloud) セキュア・クラウド・コンピューティング・サービス・プロバイダ(SecNumCloud)
SecNumCloud – référentiel d’exigences – v3.2 SecNumCloud - 要件フレームワーク - v3.2
Le référentiel d’exigences relatif aux prestataires de service d’informatique en nuage est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire de service d’informatique en nuage, à son personnel ainsi qu’au déroulement des prestations. クラウドコンピューティング・サービス・プロバイダのための要求事項リポジトリは、この分野のサービスの資格取得を希望するプロバイダのための一連のルールである。クラウドコンピューティング・サービス・プロバイダ、そのスタッフ、サービスの提供に関する要件を網羅している。
La qualification peut être délivrée aux prestataires de service d’informatique en nuage pour des services de type SaaS (Software as a service), PaaS (Platform as a service) et IaaS (Infrastructure as a service. 資格は、SaaS(Software as a service)、PaaS(Platform as a service)、IaaS(Infrastructure as a service)サービスのクラウドコンピューティング・サービス・プロバイダに与えられる。
Prestataires d’administration et de maintenance sécurisées (PAMS) セキュアな管理・保守サービスプロバイダ(PAMS)
PAMS – référentiel d’exigences – v1.1 PAMS - 要件フレームワーク - v1.1
Le référentiel d’exigences relatif aux prestataires d’administration et de maintenance sécurisées est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives aux prestataires d’administration et de maintenance sécurisées, à son personnel ainsi qu’au déroulement des prestations. La qualification peut être délivrée au prestataire de d’administration et de maintenance pour l’ensemble de l’activité d’administration et de maintenance sécurisée. セキュアな管理・保守サービスプロバイダのための要件フレームワークは、この分野のサービス認定を希望するサービスプロバイダのための一連のルールである。これは,安全な管理及び保守プロバイダ,そのスタッフ及びサービス提供方法に関連する要件を網羅 している。この資格は、安全な管理・保守活動全体について、管理・保守サービスプロバイダに発行することができる。
Prestataires de services relatifs à la confiance numérique デジタルトラストサービス・プロバイダ
Les référentiels d’exigences relatifs aux prestataires de services de confiance formalisent les règles applicables aux organismes désirant obtenir une qualification dans les domaines suivants : トラストサービス・プロバイダに対する要求事項の枠組みは、以下の分野における資格取得を希望する組織に適用される規則を正式に定めたものである:
Délivrance de certificats électroniques 電子証明書の発行
Horodatage électronique 電子タイムスタンプ
Validation des signatures et cachets électroniques 電子署名および電子スタンプの検証
Conservation des signatures et cachets électroniques 電子署名および電子スタンプの保管
Envoi recommandé électronique 電子書留郵便
Les référentiels d’exigences pour la qualification des prestataires de services de confiance au titre du Référentiel Général de Sécurité sont disponibles ici. General Security Reference Framework に基づくトラストサービス・プロバイダの資格要件のリポジトリは、こちらで入手できる。
Les référentiels d’exigences pour la qualification des prestataires de services de confiance au titre du règlement n°910/2014 « eIDAS » sont disponibles ici. 規則No.910/2014「eIDAS」に基づくトラストサービス・プロバイダの資格要件のリポジトリはこちらで入手できる。

 

| | Comments (0)

米国 これからはFedRampも含めて監査は自動化 (automate.fedramp.gov) !キーワードはOSCAL

こんにちは、丸山満彦です。

FedRampは338のサイトが認証をうけていますが...この認証を効率的にすることは重要ですね。。。そのための手段の一つがthe Open Security Controls Assessment Language; OSCALの利用ですね...

FedRampのブログで、そのあたりの話が書いています。。。FedRampをベースにつくった日本のISMAPもこれに続きますかね...いや、続かねばならないでしょうね...

 

FedRAMP - Blog

1_20240721151601

・2024.07.11 New Website Launch: automate.fedramp.gov

New Website Launch: automate.fedramp.gov 新しいウェブサイトの立ち上げ:automate.fedramp.gov
FedRAMP’s Automation Website: A New Hub for Technical Documentation and Guidance on Digital Authorization Packages FedRAMPの自動化ウェブサイト: デジタル認証パッケージに関する技術文書とガイダンスの新しいハブ
Today, we are launching automate.fedramp.gov. This is a new technical documentation hub designed specifically to support cloud service providers (CSPs) in the development, validation, and submission of digital authorization packages, and the developers of governance, risk, and compliance (GRC) applications and other tools that produce and consume digital authorization package data. 本日、我々はautomate.fedramp.gov.を立ち上げる。これは、デジタル認証パッケージの開発、検証、提出におけるクラウド・サービス・プロバイダー(CSP)、およびガバナンス、リスク、コンプライアンス(GRC)アプリケーションやデジタル認証パッケージ・データを生成・利用するその他のツールの開発者を支援するために特別に設計された新しい技術文書ハブである。
The website is initially focused on documenting FedRAMP’s use of the Open Security Controls Assessment Language (OSCAL) to support digital authorization packages – a foundational piece of operating FedRAMP in a data-first way. We plan to expand the website over time as we bring new capabilities online, and it will eventually include details of how to integrate with FedRAMP’s package repository and submission processes. このウェブサイトは当初、FedRAMPがデジタル認可パッケージをサポートするためにオープン・セキュリティ・コントロール・アセスメント・ランゲージ(OSCAL)を使用していることを文書化することに重点を置いている。このウェブサイトは、新しい機能をオンライン化するにつれて順次拡大していく予定であり、最終的にはFedRAMPのパッケージ・リポジトリと提出プロセスとの統合方法の詳細も掲載する予定である。
Please note that this site replaces the previously published FedRAMP OSCAL User Guides with reorganized content that allows for linking to specific sections of the guides and makes it possible for community members to contribute to the guide content. This work realigns the guidance to provide a digital-first public experience as required by OMB memorandum M-23-22. このサイトは、以前発行されたFedRAMP OSCALユーザー・ガイドを、ガイドの特定のセクションへのリンクを可能にし、コミュニティ・メンバーがガイドの内容に貢献できるように再編成された内容で置き換えることに留意してほしい。この作業は、OMBの覚書M-23-22が要求しているデジタルファーストのパブリック・エクスペリエンスを提供するために、ガイダンスを再編成するものである。
automate.fedramp.gov offers detailed technical documentation, best practices, and guidance for creating and managing digital authorization packages with OSCAL. This site will help make the FedRAMP authorization process more efficient and accessible by: automate.fedramp.govは、OSCALを使ったデジタル認証パッケージの作成と管理のための詳細な技術文書、ベストプラクティス、ガイダンスを提供している。このサイトは、FedRAMP認可プロセスをより効率的で利用しやすいものにするために、以下のような支援を行う:
・Providing faster and more frequent documentation updates ・文書の更新をより迅速かつ頻繁に行う。
・Expanding the breadth and depth of available technical documentation ・利用可能な技術文書の幅と深さを拡大する。
・Improving the user experience for stakeholders who are implementing OSCAL-based FedRAMP packages and tools ・OSCALベースのFedRAMPパッケージやツールを導入する関係者のユーザーエクスペリエンスを向上させる。
・Establishing a collaborative workflow that supports community contributions for improvements to the documentation ・文書改善のためのコミュニティへの貢献を支援する共同ワークフローを確立する。
As with our automation work generally, this website is open source, and anyone is welcome to open an issue to provide feedback, or file a pull request to suggest changes or improve the content. 一般的な自動化作業と同様に、このウェブサイトはオープンソースであり、誰でもフィードバックを提供するために課題を開設したり、コンテンツの変更や改善を提案するためにプルリクエストを提出することができる。

 

ここが開発者のハブ...

FedRAMP Developer Hub

Build a More Automated FedRAMP Risk Management Process より自動化されたFedRAMPリスク管理プロセスを構築する
Helping you to develop OSCAL-based tools to streamline and automate risk management for cloud services used by the federal government 連邦政府が利用するクラウドサービスのリスク管理を合理化・自動化するOSCALベースのツール開発を支援する
Helping Developers Modernize Security Assessments, System Authorizations, and Continuous Monitoring 開発者のセキュリティ評価、システム認証、継続的モニタリングの近代化を支援する
The FedRAMP developer hub is an active, open source community for engineers focused on creating the tooling used to create, maintain, and use digital authorization packages and continuous monitoring data. Contributors to this community are working to use and enhance the Open Security Controls Assessment Language (OSCAL) to reduce friction through all stages of the FedRAMP authorization and continuous monitoring processes. FedRAMP 開発者ハブは、デジタル認証パッケージと継続的モニタリングデータの作成、維持、使用に使用するツールの作成に焦点を当てたエンジニアのための活発なオープンソースコミュニティである。このコミュニティへの貢献者は、FedRAMP の認可と継続的モニタリングのプロセスの全段階を通じて摩擦を減らすために、OSCAL(Open Security Controls Assessment Language)の使用と強化に取り組んでいる。
OSCAL offers a number of benefits for streamlining and automating aspects of the information system authorization process. OSCALは、情報システム認可プロセスの合理化と自動化のために多くの利点を提供する。
Our goal is to enable you to develop tools that will seamlessly ensure FedRAMP OSCAL requirements are met so your security practitioners can focus on authorization package content and accuracy, rather than formatting and presentation. 当社の目標は、FedRAMP の OSCAL 要件をシームレスに満たすツールを開発できるようにすることであり、その結果、貴社のセキュリティ担当者は、書式や体裁を整えることよりも、認可パッケージの内容と正確さに集中できるようになる。
Below are just a few examples of how FedRAMP OSCAL-based authorization packages will benefit your organization: 以下は、FedRAMP OSCAL ベースの認証パッケージがどのように貴社の組織に利益をもたらすかのほんの一例である:
・Cloud Service Providers (CSPs) are able to create their FedRAMP authorization packages more rapidly and accurately, validating much of the package content before submission to agencies and FedRAMP for review. ・クラウド・サービス・プロバイダー(CSP)は、FedRAMP認可パッケージをより迅速かつ正確に作成することができ、審査機関やFedRAMPに提出する前にパッケージの内容の多くを検証することができる。
・Third Party Assessment Organizations (3PAOs) are able to use OSCAL-based authorization package data to automate the planning, execution, and reporting of cloud assessment activities. ・第三者評価機関(3PAO)は、OSCALベースの認可パッケージデータを使用して、クラウド評価活動の計画、実行、報告を自動化できる。
・Agencies are able to expedite their reviews of authorization packages. ・各省庁は、認可パッケージのレビューを迅速に行うことができる。
FedRAMP expects to be able to collaboratively build tooling to further reduce the cost and improve the quality of package reviews based on OSCAL data. FedRAMPは、OSCALデータに基づくパッケージ・レビューのさらなるコスト削減と品質向上のためのツールを共同で構築できることを期待している。
Get started with FedRAMP OSCAL-based authorization packages today. FedRAMP OSCALベースの認可パッケージの利用を今すぐ開始する。



About FedRAMP’s Use of OSCAL

About FedRAMP’s Use of OSCAL FedRAMPのOSCAL利用について
The Federal Risk Authorization and Management Program (FedRAMP®) is working to scale the Program’s ability to meet the needs of the market. To scale, FedRAMP needs to improve the degree of automation used to create, submit, and review packages for cloud information systems, and to continuously monitor these systems to ensure that baseline security requirements are met. FedRAMP®(Federal Risk Authorization and Management Program)は、市場のニーズに対応するため、FedRAMPの規模拡大に取り組んでいる。規模を拡大するためには、FedRAMPはクラウド情報システムのパッケージの作成、提出、レビューに使用する自動化の程度を改善し、これらのシステムを継続的に監視して基本的なセキュリティ要件が満たされていることを確認する必要がある。
The Open Security Controls Assessment Language (OSCAL) provides the capabilities needed to realize FedRAMP’s strategic objectives around automation and modernization. Open Security Controls Assessment Language (OSCAL)は、自動化と近代化に関するFedRAMPの戦略目標を実現するために必要な機能を提供する。
This section of the website includes: このセクションには以下が含まれる:
・Important background information to help understand the types of information contained in security documentation used for assessment. 評価に使用されるセキュリティ文書に含まれる情報の種類を理解するのに役立つ重要な背景情報。
・Information on the OSCAL models and how they are used to represent security documentation and assessment information. ・OSCAL モデルに関する情報と、それがどのようにセキュリティ文書とアセスメント情報を表現するために使用されるかに関する情報。
・Discussion of how the OSCAL models are used by different stakeholders. ・OSCAL モデルがさまざまな利害関係者によってどのように使用されているかについての考察
・Examination of the benefits of using OSCAL as part of FedRAMP’s automation and modernization strategy. ・FedRAMPの自動化・近代化戦略の一環としてOSCALを使用する利点の検討。
・Answers to frequently ask questions on FedRAMP’s use of OSCAL and the automation and modernization approach. ・FedRAMPによるOSCALの利用と自動化・近代化アプローチに関するよくある質問への回答。
・Information on how FedRAMP will manage releases that include human- and machine-oriented resources. ・FedRAMPが、人間指向と機械指向のリソースを含むリリースをどのように管理するかについての情報。

 

 


 

ちなみにNISTにもOSCALの情報があります...

NIST

OSCAL: the Open Security Controls Assessment Language

learning materials 

 


 

AMAZONのOSCAL対応の件

● AMAZON AWS - AWS Security Blog

・2022.06.30 AWS achieves the first OSCAL format system security plan submission to FedRAMP

 

AMAZON AWSが対応をしている監査プログラム...

日本語です...

コンプライアンスプログラムによる対象範囲内の AWS のサービス

 


 

まるちゃんの情報セキュリティ気まぐれ日記

OSCAL

・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書

・2024.04.22 内部監査人協会 意見募集 トピック別要求事項:サイバーセキュリティ (2024.04.11)

・2024.04.02 米国 FedRAMPの新しいロードマップ(2024-2025)

・2024.03.06 米国 NIST IR 8278 Rev. 1 国家オンライン情報参照(OLIR)プログラム: 概要、利点、利用方法、IR 8278A Rev. 1 国家オンライン情報参照(OLIR)プログラム: OLIR開発者のための提出ガイダンス

・2024.03.05 NIST IR 8477 文書化された標準、規制、フレームワーク、ガイドライン間の関係のマッピング: サイバーセキュリティとプライバシーの概念マッピングの開発 (2024.02.26)

・2023.08.21 米国 NIST 重要なハイテク産業における米国の競争力に関する報告書

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.07.16 JIPDEC ”米国のプライバシー保護に関する動向”

 

| | Comments (0)

2024.07.19

米国 MITRE AI保証

こんにちは、丸山満彦です。

何事にもアカウンタビリティが重要と考える欧米の文化ですから、AIのAssurance(保証)というのも当然に考えるわけですが、英国のみならず、米国もですかね...

 

MITRE

・2024.07.15 AI Assurance: A Repeatable Process for Assuring AI-Enabled Systems—Executive Summary

AI Assurance: A Repeatable Process for Assuring AI-Enabled Systems—Executive Summary AI保証: AIを活用したシステムを保証するための反復可能なプロセス - エグゼクティブサマリー
This document provides an executive summary of "AI Assurance: A Repeatable Process for Assuring AI-enabled Systems," which defines the process for discovering, assessing, and managing risk throughout the life cycle of an AI-enabled system. 本書は「AI保証」のエグゼクティブサマリーを提供する: AI Assurance: A Repeatable Process for Assuring AI-enabled Systems」の要旨であり、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントするためのプロセスを定義している。
Federal agencies are being encouraged by the White House to remove barriers to innovation, accelerate the use of artificial intelligence (AI) tools, and leverage AI to better fulfill their missions, all while setting up guardrails to mitigate risks. In recent years, the U.S. has made progress in addressing these concerns, but there are significant gaps in our current understanding of the risks posed by AI-enabled applications when they support consequential government functions. A repeatable engineering approach for assuring AI-enabled systems is required to extract maximum value from AI while protecting society from harm. 連邦政府機関はホワイトハウスから、イノベーションの障壁を取り除き、人工知能(AI)ツールの利用を加速させ、AIを活用して任務をよりよく遂行するよう奨励されている。近年、米国はこうした懸念への対処を進めてきたが、AIを活用したアプリケーションが政府の重要な機能をサポートする際にもたらすリスクに関する現在の理解には大きなギャップがある。社会を危害から守りつつAIから最大限の価値を抽出するためには、AI対応システムを保証するための反復可能な工学的アプローチが必要である。
This document provides an executive summary of "AI Assurance: A Repeatable Process for Assuring AI-enabled Systems," which defines and articulates AI assurance as a process for discovering, assessing, and managing risk throughout an AI-enabled system's life cycle to ensure it operates effectively for the benefit of its stakeholders. The process is designed to be adaptable to different contexts and sectors, making it relevant to the national discussion on regulating AI. 本書は、「AI保証」のエグゼクティブ・サマリーを提供する: 本書は、「AI保証:AI対応システムをアシュアするための反復可能なプロセス」のエグゼクティブ・サマリーを提供するものであり、AI保証を、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントし、ステークホルダーの利益のために効果的に運用するためのプロセスとして定義し、明確にしている。このプロセスは、さまざまな文脈や分野に適応できるように設計されており、AI規制に関する国内議論に関連している。

 

エグゼクティブサマリー...

・[PDF] AI ASSURANCE A Repeatable Process for Assuring AI-enabled Systems

20240719-144421

 

全体...

・2024.06.05 AI Assurance: A Repeatable Process for Assuring AI-enabled Systems

AI Assurance: A Repeatable Process for Assuring AI-enabled Systems AI保証: AIを活用したシステムを保証するための反復可能なプロセス - エグゼクティブサマリー
Extracting maximum value from AI while protecting against societal harm requires a repeatable engineering approach for assuring AI-enabled systems in mission contexts. This paper articulates such an approach and outlines how it can be used to develop an AI Assurance Plan to achieve and maintain assurance throughout the life cycle of an AI-enabled system. 本書は「AI保証」のエグゼクティブサマリーを提供する: AI Assurance: A Repeatable Process for Assuring AI-enabled Systems」の要旨であり、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントするためのプロセスを定義している。
Artificial intelligence increasingly informs consumer choices—from movie recommendations to routine customer service inquiries. However, high-consequence AI applications such as autonomous vehicles, accessing government benefits, or healthcare decisions surface significant concerns. The MITRE-Harris Poll survey on AI trends finds that just 48% of the American public believes AI is safe and secure, whereas 78% voice concern about its potential for malicious use. Assuring AI-enabled systems to address these concerns is nontrivial and will require collaboration across government, industry, and academia 連邦政府機関はホワイトハウスから、イノベーションの障壁を取り除き、人工知能(AI)ツールの利用を加速させ、AIを活用して任務をよりよく遂行するよう奨励されている。近年、米国はこうした懸念への対処を進めてきたが、AIを活用したアプリケーションが政府の重要な機能をサポートする際にもたらすリスクに関する現在の理解には大きなギャップがある。社会を危害から守りつつAIから最大限の価値を抽出するためには、AI対応システムを保証するための反復可能な工学的アプローチが必要である。
In AI Assurance: A Repeatable Process for Assuring AI-enabled Systems, we define and articulate AI assurance as a process for discovering, assessing, and managing risk throughout an AI-enabled system's life cycle to ensure it operates effectively for the benefit of its stakeholders. The process results in an AI Assurance Plan, a comprehensive artifact outlining the necessary activities to achieve and maintain the assurance of an AI-enabled system in a mission context. We also discuss how this process may be applied in different phases of the AI life cycle, such as system development, acquisition, certification, and deployment. We conclude by highlighting the need for sector-specific AI assurance labs and emphasize the importance of public-private partnerships in advancing AI assurance. 本書は、「AI保証」のエグゼクティブ・サマリーを提供する: 本書は、「AIアシュアランス:AI対応システムをアシュアするための反復可能なプロセス」のエグゼクティブ・サマリーを提供するものであり、AIアシュアランスを、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントし、ステークホルダーの利益のために効果的に運用するためのプロセスとして定義し、明確にしている。このプロセスは、さまざまな文脈や分野に適応できるように設計されており、AI規制に関する国内議論に関連している。

 

・[PDF]

20240719-151701

 

・[DOCX][PDF] 両方あわせた仮訳...

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

AI Assurance

・2024.07.07 米国 MITRE AI規制を通じてAIのセキュリティと安全性を確保する

・2024.02.14 英国 AI保証への導入ガイダンス (2024.02.12)

・2023.11.28 米国 CISA AI導入のロードマップ (2023.11.14)

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.10.27 米国 MITRE 重要インフラにおけるAIサイバーリスク低減の原則: 優先順位付けのアプローチ

・2023.09.10 カーネギーメロン大学ソフトウェア工学研究所 新たなテクノロジー:国防総省におけるソフトウェアの未来を変える7つのテーマ (2023.08.24)

・2023.07.18 英国 科学技術省データ倫理・イノベーションセンターブログ AI保証の専門家が他の領域から学ぶべき6つの教訓 (2023.07.12)

・2023.06.18 英国 科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.06.16 米国 MITRE AIセキュリティのための賢明な規制の枠組み

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

 

| | Comments (0)

ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

こんにちは、丸山満彦です。

2024.07.12にEUのAI法が官報に掲載されたことを受けて、ドイツのBfDI、フランスのCNIL、オランダのAPがAI法関連の情報を掲載していますね...

1_20240719012201

 

CNILの内容は特によいように感じます。

 


まずは、ドイツのBfDI

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit; BfDI

1_20240719012301

 

・2024.07.16 Die neue KI-Verordnung der EU

Die neue KI-Verordnung der EU EUの新しいAI規制
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) fasst zur Veröffentlichung der Verordnung über künstliche Intelligenz (KI-VO) die wichtigsten Punkte aus Sicht des Datenschutzes zusammen. 連邦データ保護・情報自由委員会(BfDI)は、人工知能規則(AI規則)の公表について、データ保護の観点から最も重要な点をまとめている。
Die KI-VO wurde am 13. Juni von den Präsidenten des EU Parlaments und des Rates der EU unterzeichnet. Nach der Veröffentlichung im Amtsblatt der EU am 12. Juli tritt die Verordnung 20 Tage später in Kraft. Sie stellt umfassende Regeln auf, um Grundrechte zu gewährleisten und Innovation zu fördern, darunter ein Verbot von Social Scoring und von bestimmten Methoden der Gesichtserkennung. In der Einschätzung des BfDI erfahren Sie mehr zum Thema. AI規則は6月13日、EU議会とEU理事会の議長によって署名された。7月12日にEU官報に掲載された後、同規則は20日後に発効する。同規則は、基本的権利を保証し、イノベーションを促進するための包括的な規則を定めており、ソーシャル・スコアリングや特定の顔認識方法の禁止も含まれている。BfDIの評価で詳細を確認する。

 

 

Die KI-Verordnung der EU EUのAI規則
Die KI-VO stellt umfassende Regeln für KI auf, welche die Einhaltung der Grundrechte gewährleisten und gleichzeitig Innovation fördern sollen. AI規則は、基本的権利の遵守を確保し、同時にイノベーションを促進することを目的とした、AIに関する包括的な規則を制定している。
In der KI-VO wird ein risikobasierter Ansatz verfolgt. KI-Praktiken, die mit fundamentalen Werten der EU nicht vereinbar sind und ein inakzeptables Risiko für die Grundrechte der EU Bürgerinnen und Bürger darstellen, werden verboten. Darunter fällt beispielsweise das sogenannte „Social Scoring“, die Bewertung natürlicher Personen auf Grundlage ihres Sozialverhaltens, aber auch die Erstellung von Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet. AI規則はリスクベースのアプローチをとっている。EUの基本的価値観と相容れず、EU市民の基本的権利に受け入れがたいリスクをもたらすAI行為は禁止されている。これには、例えば、いわゆる「ソーシャル・スコアリング」と呼ばれる、社会的行動に基づいて自然人を評価する行為や、インターネット上の顔画像を無制限に読み取って顔認識用のデータベースを作成する行為などが含まれる。
KI-Systeme in bestimmten anderen Bereichen werden als mit hohem Risiko behaftet klassifiziert. Das umfasst etwa KI-Systeme, die in Produkten wie Funkanlagen oder Fahrzeugen eingesetzt werden, aber auch solche KI-Systeme, die zur biometrischen Fernidentifizierung oder bei der Prüfung von Asylanträgen zum Einsatz kommen. Für solche Hochrisiko-KI-Systeme gelten spezifische Anforderungen, beispielsweise an die Qualität der verwendeten Daten, die Genauigkeit, die Robustheit und die Cybersicherheit. Zusätzlich muss es für Hochrisiko-KI-Systeme eine technische Dokumentation, eine Protokollierungsfunktion und ein Risikomanagement geben. Weitere Anforderungen sind Transparenz und menschliche Aufsicht. その他の特定分野のAIシステムは、高リスクに分類される。これには、無線機器や自動車などの製品に使用されるAIシステムだけでなく、遠隔生体認証や亡命申請のチェックに使用されるAIシステムも含まれる。このような高リスクのAIシステムには、使用するデータの品質、正確性、堅牢性、サイバーセキュリティなどに関して、特定の要件が適用される。さらに、リスクの高いAIシステムには、技術文書、ロギング機能、リスク管理が義務付けられている。その他の要件としては、透明性と人的監視がある。
Bestimmte Transparenzanforderungen müssen auch von KI-Systemen, die mit natürlichen Personen interagieren, Emotionserkennungssystemen, biometrischen Kategorisierungssystemen und KI-Systemen mit allgemeinem Verwendungszwecke erfüllt werden. KI-Systeme, die nur mit geringen Risiken verbunden sind, sind nicht von der KI-VO betroffen. Das bedeutet allerdings nicht, dass für diese KI-Systeme keine Gesetze gelten. KI befand sich auch vor der KI-VO nicht in einem rechtsfreien Raum. Die DSGVO ist technologieneutral und gilt insbesondere auch für KI-Systeme, das wird auch mit der KI-VO weiterhin der Fall sein. Die KI-VO ergänzt bestehende rechtliche Vorgaben. Wegen der hohen Komplexität von KI-Systemen und der im Vergleich zu herkömmlicher Software geringeren Nachvollziehbarkeit und Transparenz sind die KI-spezifischen Vorgaben aus der KI-VO für den Schutz der Grundrechte sinnvoll. Auch die Datenschutzaufsichtsbehörden erhalten durch die KI-VO neue Aufgaben und Befugnisse. 自然人と対話するAIシステム、感情認識システム、生体認証分類システム、汎用AIシステムについても、一定の透明性要件を満たさなければならない。リスクが低いAIシステムは、AI規制の影響を受けない。しかし、これはこれらのAIシステムに法律が適用されないことを意味するものではない。AI規則が制定される以前から、AIは法的空白地帯にあったわけではない。GDPRは技術的に中立であり、特にAIシステムにも適用される。AI規則は既存の法的要件を補完するものである。AIシステムは複雑性が高く、従来のソフトウェアに比べてトレーサビリティや透明性が低いため、AI規則によるAI固有の要件は基本的権利の保護にとって意味がある。AI規則はまた、データ保護監督当局に新たな任務と権限を与えている。
Informationen, Befugnisse und Aufgaben für Datenschutzaufsichtsbehörden データ保護監督当局の情報、権限、任務
Als für den Schutz der Grundrechte zuständige Behörden erhalten sie Zugriff auf für die Erfüllung ihrer Aufgaben erforderliche Dokumente, die zur Einhaltung der KI-VO erstellt werden müssen. Bei ihren bestehenden Aufsichtstätigkeiten werden die Datenschutzaufsichtsbehörden zudem unterstützt, indem sie, falls erforderlich, technische Untersuchungen durch die Marktüberwachungsbehörden für KI anfragen können. Außerdem sind sie von diesen über Meldungen schwerwiegender Vorkommnisse zu informieren. Einige Hochrisiko-KI-Systeme müssen grundsätzlich von den Anbietenden in einer EU-Datenbank registriert werden. Diese Registrierungen sind in bestimmten Fällen nicht öffentlich, die Datenschutzaufsichtsbehörden dürfen diese aber einsehen. 基本的権利の保護に責任を負う当局として、当局はその任務遂行に必要な文書にアクセスすることができ、それらはAI規則を遵守するために作成されなければならない。また、データ保護監督当局は、必要に応じてAIに関する市場監視当局の技術的調査を要請することができ、既存の監督活動を支援される。また、重大インシデントの報告については、これらの当局から報告を受けなければならない。リスクの高いAIシステムの中には、提供者がEUのデータベースに登録しなければならないものもある。場合によっては、これらの登録は公開されないが、データ保護監督当局は閲覧することができる。
Bei der Aufsicht über staatliche Strafverfolgungsbehörden ist eine weitere Ergänzung vorgesehen. So muss auf Nachfrage die Dokumentation der Anwendung biometrischer Fernidentifizierungssysteme gegenüber der zuständigen Datenschutzaufsichtsbehörde offengelegt werden. Zudem müssen den Datenschutzaufsichtsbehörden zusammengefasste Jahresberichte über die Verwendung von biometrischen Fernidentifizierungssystemen vorgelegt werden. 国家法執行当局の監督については、さらなる追加が計画されている。例えば、バイオメトリクス遠隔識別システムの使用に関する文書は、要求に応じて管轄のデータ保護監督当局に開示されなければならない。さらに、バイオメトリクス遠隔識別システムの使用に関する要約された年次報告書をデータ保護監督当局に提出しなければならない。
Eine weitere Aufgabe für die Datenschutzaufsichtsbehörden ergibt sich im Rahmen der Reallabore, die in der KI-VO zur Innovationsförderung vorgesehen sind. Reallabore sollen eine kontrollierte Umgebung bieten, die die Entwicklung, das Training, das Testen und die Validierung innovativer KI-Systeme für einen begrenzten Zeitraum erleichtert. Wenn in einem solchen Reallabor personenbezogene Daten verarbeitet werden, sind die Datenschutzaufsichtsbehörden einzubeziehen. データ保護監督当局のさらなる任務は、イノベーションを促進するためにAI規則で規定されている実世界ラボとの関連で生じる。リアルワールド・ラボは、革新的なAIシステムの開発、訓練、テスト、検証を一定期間容易にする管理された環境を提供することを目的としている。そのような実世界ラボで個人データが処理される場合、データ保護監督当局は関与しなければならない。
Diese Aspekte ergänzen bereits bestehende Aufgaben und Befugnisse der Datenschutzaufsichtsbehörde und stärken den Schutz der Grundrechte und die Einhaltung des Datenschutzes. Der BfDI begrüßt diese Änderungen und freut sich auf die neuen Aufgaben. これらの側面は、データ保護監督当局の既存の任務と権限を補完し、基本的権利の保護とデータ保護の遵守を強化するものである。BfDIはこれらの変更を歓迎し、新たな任務に期待している。
Grundsätzlich bleibt die Zuständigkeit der Datenschutzaufsichtsbehörden für den Datenschutz aber von der KI-VO unberührt. Bei Beschwerden über Datenschutzverletzungen im Zusammenhang mit KI-Systemen sind weiterhin die Datenschutzaufsichtsbehörden die zuständigen Ansprechpartner. Bürgerinnen und Bürger können entsprechende Beschwerden an die für sie bereits zuständige Datenschutzaufsichtsbehörde richten. しかし、原則として、データ保護に関するデータ保護監督当局の権限は、AI規則の影響を受けないままである。AIシステムに関連したデータ保護違反に関する苦情については、データ保護監督当局が引き続き管轄窓口となる。市民はそのような苦情を、すでに担当しているデータ保護監督当局に訴えることができる。
Aufsichtsstrukturen für die KI Aufsicht AI監督のための監督機構
Die KI-VO beinhaltet allerdings auch umfassende neue Regeln für KI. Die Aufsicht über die Einhaltung dieser Vorgaben ist grundsätzlich nach Sektoren aufgeteilt. Für einige KI-Systeme wird die Zuständigkeit bei der EU Kommission liegen, die dafür ein Büro für KI einrichtet. Dieses wird KI-Modelle mit allgemeinem Verwendungszweck und KI-Systeme mit allgemeinem Verwendungszweck, die auf einem Modell desselben Anbieters basieren, beaufsichtigen. Darunter fallen zum Beispiel Chatbots, die auf einem großen Sprachmodell (engl. Large Language Model) des gleichen Herstellers beruhen. しかし、AI規則にはAIに関する包括的な新規則も含まれている。これらの要求事項の遵守の監督については、基本的に分野ごとに分かれている。一部のAIシステムについては、EU委員会が責任を負うことになり、同委員会はそのためのAI事務所を設置する。このオフィスは、汎用のAIモデルと、同じプロバイダーのモデルをベースにした汎用のAIシステムを監督する。これには、例えば、同じベンダーの大規模な言語モデルに基づくチャットボットなどが含まれる。
Für Hochrisiko-KI-Systeme, die in Produkten wie Funkanlagen oder Fahrzeugen eingesetzt werden für die es bereits EU Produktregulierungen gibt, werden die dafür zuständigen Marktüberwachungsbehörden der Mitgliedstaaten auch die Einhaltung der zusätzlichen Vorgaben aus der KI-VO durchsetzen. Für den Finanzbereich sieht die KI-VO vor, dass die für die Finanzaufsicht zuständigen Behörden in diesem Bereich auch für die KI-VO zuständig sind. Für Hochrisiko-KI-Systeme, die im Bereich der Strafverfolgung, Migration, Asyl oder Grenzkontrolle, sowie bei der Rechtspflege und im Zusammenhang mit demokratischen Prozessen eingesetzt werden, sind die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden vorgesehen. EUの製品規制がすでに存在する無線機器や自動車などの製品に使用される高リスクのAIシステムについては、加盟国の担当市場監視当局もAI規則の追加要件の遵守を強制する。金融分野については、この分野の金融監督を担当する当局がAI規則にも責任を持つことが規定されている。法執行、移民、亡命、国境管理、司法行政、民主主義プロセスなどの分野で使用されるリスクの高いAIシステムについては、データ保護監督当局が市場監視当局として想定されている。
Ein spannender Aspekt und noch offen ist, welche nationalen Behörden die Aufsicht über die KI-Systeme mit allgemeinem Verwendungszweck haben werden, die nicht unter die Zuständigkeit des Europäischen Büros für KI fallen. Außerdem ist nicht festgelegt, welche Behörden die Marktüberwachungsbehörden für die KI-Systeme zur biometrischen Fernidentifizierung oder Kategorisierung und zur Emotionserkennung sein werden. Auch die Zuständigkeiten für Hochrisiko-KI-Systeme in den Bereichen kritische Infrastruktur, allgemeine und berufliche Bildung, Arbeitnehmermanagement, sowie Zugang zu und Inanspruchnahme grundlegender privater Dienstleistungen und grundlegender öffentlicher Dienste und Leistungen sind noch nicht festgelegt.   興味深い点としては、欧州AIビューローの権限に属さない汎用AIシステムの監督を、どの国家当局が担当するかがまだ決まっていない。また、遠隔生体認証や分類、感情認識のためのAIシステムについても、どの当局が市場監視当局となるかは決まっていない。また、重要インフラ、教育・訓練、労務管理、必要不可欠な民間サービスや必要不可欠な公共サービス・給付へのアクセス・利用といった分野におけるリスクの高いAIシステムに対する責任も、まだ定義されていない。 
Insgesamt sind die Aufsichtsstrukturen für KI sehr komplex. Insbesondere in Deutschland führt das föderale System zu einer besonders hohen Anzahl an Behörden, die in die KI-Aufsicht involviert sein werden. Damit es für Interessenträger dennoch nur einen zentralen Kontaktpunkt bei Anliegen im Kontext der KI-VO gibt, soll jeder Mitgliedstaat einen sogenannten Single-Point-of-Contact benennen. Dieser ist für Bürgerinnen und Bürger besonders relevant im Hinblick auf das Recht auf Einreichung einer Beschwerde bei einer Marktüberwachungsbehörde, da solche Beschwerden dann an diesen Single-Point-of-Contact gerichtet werden können. Zukünftig sollen zudem Verstöße gegen die KI-VO dort gemeldet werden. Welche Behörde diese Aufgabe in Deutschland übernehmen wird ist noch nicht festgelegt. 全体として、AIの監督機構は非常に複雑である。特にドイツでは、連邦制を採用しているため、AI監督に関わる当局の数が特に多い。AI規則に関連して懸念を抱く利害関係者の窓口を一本化するため、各加盟国は窓口を一本化することになっている。これは特に、市場監視当局に苦情を申し立てる権利に関する市民にとって重要である。将来的には、AI規則の違反もこの窓口で報告されることになる。ドイツでどの認可機関がこの任務を担うかはまだ決まっていない。
Ausblick 展望
Die noch offenen Zuständigkeiten unterliegen jetzt einer Umsetzung auf nationaler Ebene. In engem Austausch mit den in Frage kommenden Behörden wird aktuell eine entsprechende Zuordnung ausgehandelt, die den jeweiligen Besonderheiten der einzelnen Bereiche entsprechen und eine möglichst reibungslose Zusammenarbeit der verschiedenen Stellen gewährleisten soll. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat dazu ein Positionspapier veröffentlicht. 現在、未解決の責務は、各国レベルでの実施に委ねられている。該当する当局との緊密な対話の中で、現在、各分野の特殊性に対応し、各機関間の協力が可能な限り円滑に行われるよう、対応する割り当てについて交渉中である。独立連邦・州データ保護監督機関会議(DSK)は、これに関するポジションペーパーを発表した。
Behörden und Firmen haben zunächst eine Übergangsfrist zur Umsetzung der Vorgaben aus der KI-VO. Die Verbote von KI-Praktiken, die ein inakzeptables Risiko für die Grundrechte der EU Bürgerinnen und Bürger darstellen, gelten bereits 6 Monate nach Inkrafttreten der KI-VO. Die übrigen Vorgaben werden nach einem bis drei Jahren gelten. 当局と企業は当初、AI規則の要求事項を実施するための経過措置期間が設けられている。EU市民の基本的権利に許容できないリスクをもたらすAI慣行の禁止は、AI規則の発効から6ヵ月後に適用される。その他の要件は1~3年後に適用される。
Bei einigen Aspekten lässt die KI-VO Raum für nationale Anpassungen. Der BfDI empfiehlt der Bundesregierung diese Möglichkeit im Kontext der biometrischen Fernidentifizierung zu nutzen und striktere nationale Verbote umzusetzen. いくつかの点については、AI規則は国内調整の余地を残している。BfDIは、連邦政府に対し、遠隔生体認証に関してこの可能性を活用し、より厳格な国内禁止措置を実施するよう勧告する。

 

 


次はフランスのCNIL

CNIL

1_20240719013101

・2024.07.12 Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL

Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL AIに関する欧州規制の発効:CNILの最初の質問と回答
Depuis un an, la CNIL a lancé son plan d’action pour promouvoir une IA respectueuse des droits des personnes sur leurs données et sécuriser les entreprises innovant en la matière dans leur application du RGPD. À l’occasion de la publication du règlement IA au JOUE, la CNIL répond à vos questions sur ce nouveau texte. 1年前、フランスデータ保護局(CNIL)は、データに対する人々の権利を尊重するAIを推進し、この分野でイノベーションを起こす企業がGDPRを適用する際の安全性を提供するための行動計画を発表した。OJEUでのAI規則の公表に際して、CNILはこの新しい文書に関する質問に答えている。
résentation du règlement IA AI規則の紹介
Qu’est-ce que prévoit le règlement IA (ou AI Act) ? AI規則(またはAI法)は何を規定するのか?
Qui contrôlera l’application du RIA dans l’UE et en France ? 誰がEUおよびフランスにおけるAI規則の適用を監視するのか?
Comment la CNIL va-t-elle prendre en compte le RIA ? CNILはRIAをどのように考慮するのか?
Quand le RIA entre-t-il en application ? RIAはいつ発効するのか?
Comment s’articulent le RGPD et le RIA ? RGPDとRIAはどのように整合するのか?
Le RIA remplace-t-il les exigences du RGPD ? RIAはRGPDの要求事項に取って代わるのか?
>RIA / RGPD : comment savoir quel(s) règlement(s) s’applique(nt) à moi ? RIA/RGPD:どの規制が適用されるかを知るには?
Comment le RIA impacte-t-il le RGPD ? RIAはRGPDにどのような影響を与えるのか?
Transparence et documentation : comment articuler ces exigences du RIA avec celles du RGPD ? 透明性と文書化:RIAの要求事項とRGPDの要求事項をどのように関連づければよいか?

 

 


オランダ...

 Autoriteit Persoonsgegevens; AP

1_20240719013701

 

AI-verordening

AI-verordening AI規制
De AI-verordening komt eraan: de eerste uitgebreide wet over kunstmatige intelligentie ter wereld. In de AI-verordening staan de regels voor het verantwoord ontwikkelen en gebruiken van AI door bedrijven, overheden en andere organisaties.  人工知能に関する世界初の包括的な法律「AI規則」が誕生する。AI規制は、企業、政府、その他の組織によるAIの責任ある開発と利用のためのルールを定めたものである。
De verordening gaat gefaseerd in en zal medio 2027 geheel van kracht zijn. Een aantal AI-systemen is waarschijnlijk vanaf eind 2024 al verboden. Daarom is het slim om u nu alvast voor te bereiden. Zie ook de 'snelle antwoorden' op deze pagina.   規制は段階的に導入され、2027年半ばには完全に施行される予定だ。一部のAIシステムは、早ければ2024年末に禁止される可能性が高い。したがって、今から準備しておくのが賢明だ。このページの「クイックアンサー」も参照のこと。 
Rapportage AI- en algoritmerisico’s Nederland オランダでAIとアルゴリズムのリスクを報告する
De AP publiceert elk half jaar een Rapportage AI- en algoritmerisico’s Nederland (RAN), om daarmee een beeld te geven van ontwikkelingen en trends in de risico’s. APは6カ月ごとに、リスクの進展と傾向を把握するため、Rapportage AI- en algoritmerisk's Nederland (RAN) (オランダのAIとアルゴリズムリスクに関する報告書)を発行している。
Waarom deze wet?   なぜこの法律なのか? 
De AI-verordening is er om ervoor te zorgen dat iedereen in Europa erop kan vertrouwen dat AI-systemen veilig werken en dat grondrechten beschermd zijn. Ook al zijn er veel systemen met weinig risico’s en zijn er allerlei voordelen aan AI, er is ook een hele andere kant. Bestaande wetten zoals de Algemene verordening gegevensbescherming (AVG) en de Wet politiegegevens (Wpg) bieden al bescherming. Bijvoorbeeld als AI-systemen worden gebruikt om persoonsgegevens te verwerken. Maar dat is onvoldoende om alle risico’s aan te pakken die bij AI komen kijken. Onverantwoord gebruik van AI kan bijvoorbeeld leiden tot discriminatie, beperkingen van onze vrijheden en misleiding en uitbuiting van mensen. De AI-verordening helpt ervoor te zorgen dat ontwikkelaars van AI-systemen risico’s aanpakken en dat daar toezicht op is.  AI規制は、AIシステムが安全に機能し、基本的権利が保護されることを欧州の誰もが信頼できるようにするためにある。AIには低リスクのシステムも多く、さまざまな利点があるが、まったく別の側面もある。一般データ保護規則(AVG)や警察データ法(Wpg)といった既存の法律は、すでに保護を提供している。例えば、AIシステムが個人データの処理に使用される場合などだ。しかし、AIに関わるすべてのリスクに対処するには不十分だ。例えば、AIの無責任な使用は、差別、私たちの自由の制限、人々の欺瞞や搾取につながる可能性がある。AI規制は、AIシステムの開発者がリスクに対処し、これを監督することを保証するのに役立つ。
Voor wie gelden de regels in de AI-verordening?  AI規制のルールは誰に適用されるのか?
De AI-verordening is zowel gericht op organisaties die AI aanbieden als op organisaties die de AI gebruiken. Van overheid en zorginstelling tot het mkb. AI規制は、AIを提供する組織と利用する組織の双方を対象としている。政府機関や医療機関から中小企業に至るまでである。
Aanbieders moeten er bijvoorbeeld voor zorgen dat de systemen die ze ontwikkelen voldoen aan de eisen voordat ze deze in de handel brengen en deze in gebruik mogen worden genomen. Ook moeten zij blijven monitoren of er risico’s ontstaan voor bijvoorbeeld de bescherming van grondrechten. En actie ondernemen als er iets mis is met het systeem. Aanbieders moeten er ook voor zorgen dat de systemen voldoende transparant zijn zodat ze op de juiste manier gebruikt worden. 例えば、プロバイダーは、開発したシステムを販売し、使用を許可する前に、そのシステムが要件を満たしていることを確認しなければならない。また、例えば基本的権利の保護に何らかのリスクが生じないかどうかを監視し続けなければならない。そして、システムに何か問題があれば、対策を講じなければならない。プロバイダーはまた、システムが適切に利用されるよう、十分な透明性を確保しなければならない。
Organisaties hebben bijvoorbeeld de verantwoordelijkheid het AI-systeem te gebruiken volgens de gebruiksaanwijzing die de aanbieder meegeeft. Ook moeten gebruikende organisaties zorgen dat er menselijk toezicht is, relevante en voldoende representatieve inputdata gebruiken en incidenten melden bij de aanbieder en de toezichthouder. In bepaalde gevallen moeten zij ook het gebruik van het systeem registeren in een Europese databank.  例えば、組織は、プロバイダーが提供するユーザーマニュアルに従ってAIシステムを使用する責任がある。また、使用する組織は、人間による監督を確保し、適切かつ十分に代表的な入力データを使用し、インシデントをプロバイダーと規制当局に報告しなければならない。場合によっては、システムの利用を欧州のデータベースに登録しなければならない。
Daarnaast regelt de AI-verordening dat alle mensen die in aanraking komen met een AI-systeem, het recht hebben om: さらにAI規制は、AIシステムに接触するすべての人が以下の権利を有することを規定している:
een klacht in te dienen bij een toezichthouder; 規制当局に苦情を申し立てる;
in sommige gevallen een toelichting te krijgen wanneer er een besluit over hen wordt genomen op basis van de uitvoer van een AI-systeem met een hoog risico. 高リスクのAIシステムの輸出に基づく決定がなされた場合、場合によっては説明を受ける権利がある。
Wat regelt de AI-verordening?  AI規制は何を規制しているのか?
De AI-verordening deelt AI-systemen in aan de hand van risicogroepen. Hoe hoger het risico voor burgers en de samenleving als geheel, hoe strenger de regels. Belangrijke punten die de wet bijvoorbeeld regelt zijn dat:  AI規制は、AIシステムをリスクグループによって分類している。市民や社会全体に対するリスクが高ければ高いほど、規則は厳しくなる。法律が規制する重要なポイントは、例えば以下の通りである: 
toepassingen die een onaanvaardbaar risico met zich meebrengen worden verboden; 許容できないリスクをもたらすアプリケーションは禁止される;
toepassingen die een hoog risico vormen aan strengere regels worden gebonden. Voorbeelden zijn AI-systemen die bedoeld zijn voor werving- en selectie of voor rechtshandhaving. Organisaties moeten bijvoorbeeld activiteiten van het systeem loggen, adequaat datamanagement inrichten en zorgen dat er menselijk toezicht mogelijk is. Ze moeten ook kunnen aantonen dat ze aan deze verplichtingen voldoen. De AI-verordening bevat een lijst met hoogrisicosystemen die aan deze en andere eisen moeten voldoen.  Toepassingen die een lager risico vormen moeten voldoen aan verschillende regels op het gebied van transparantie. Een systeem dat kunstmatige content genereert, moet dit bijvoorbeeld duidelijk markeren voor de burger.  高いリスクをもたらすアプリケーションには、より厳しいルールが適用される。例えば、採用選考や法執行を目的としたAIシステムなどがある。例えば、組織はシステムの活動を記録し、適切なデータ管理を設定し、人間による監視が可能であることを保証しなければならない。また、これらの義務を遵守していることを証明できなければならない。AI規制には、これらの要件やその他の要件を満たさなければならない高リスクシステムのリストが含まれている。 低リスクのアプリケーションは、様々な透明性ルールに従わなければならない。例えば、人工的なコンテンツを生成するシステムは、それを市民向けに明確に表示しなければならない。
er toezichthouders worden aangewezen die het naleven van de verordening kunnen handhaven, organisaties kunnen verplichten een product uit de handel te nemen en boetes kunnen opleggen. 規制当局は、コンプライアンスを強制し、組織に製品の市場からの撤退を要求し、罰金を課すことができる。
Als uw organisatie een AI-systeem ontwikkelt of gebruikt, dan is het uw verantwoordelijkheid om te controleren in welke categorie het systeem valt. Voordat de verplichtingen gelden voor AI-systemen met een hoog risico, komen er richtlijnen die organisaties helpen om te beoordelen welke systemen in welke risicogroep vallen. Zie ook: Risicogroepen AI-verordening.  あなたの組織がAIシステムを開発または使用する場合、そのシステムがどのカテゴリーに分類されるかを確認するのはあなたの責任である。高リスクのAIシステムに義務が適用される前に、組織がどのシステムがどのリスクグループに該当するかを評価するのに役立つガイドラインが策定される予定である。参照:リスクグループ AI規制 
Specifieke regels voor overheden  公的機関向けの特別ルール 
In de AI-verordening staan ook extra regels voor overheden en uitvoerders van publieke taken. Zij moeten bij systemen met een hoog risico altijd een zogenoemde grondrechteneffectbeoordeling doen. Deze organisaties moeten ook hun gebruik registreren in de Europese database voor AI-systemen. AI規制には、公的機関や公的業務の実施者に対する追加規則も含まれている。これらの機関は、リスクの高いシステムについて、常にいわゆる基本的権利影響評価を行わなければならない。また、これらの組織は、AIシステムの使用を欧州のデータベースに登録しなければならない。
Aanbieders van AI-modellen voor algemene doeleinden   汎用AIモデルの提供者  
Voor aanbieders van 'AI-modellen voor algemene doeleinden' gaan er ook regels gelden. Deze modellen staan ook wel bekend als 'general purpose AI'. Het gaat dan om de modellen die de basis vormen voor andere toepassingen, bijvoorbeeld de taalmodellen die bestaan voor AI-chatbots.  汎用AIモデル」のプロバイダーも規則の対象となる。これらのモデルは「汎用AI」とも呼ばれる。例えば、AIチャットボット用の言語モデルなどである。
De ontwikkelaars van deze modellen zijn onder meer verplicht om technische documentatie over hun product op te stellen, het systeem 'uitlegbaar' te maken en ze moeten beleid hebben om auteursrechten te beschermen. Handhaving zal voor het grootste deel op Europees niveau plaatsvinden, door het Europese AI Office.  とりわけ、これらのモデルの開発者は、その製品に関する技術文書を作成し、システムを「説明可能」にし、著作権を保護するポリシーを持たなければならない。施行は、欧州AI庁によって欧州レベルで行われる。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

 

| | Comments (0)

米国 国土安全保障省 監察官室 (OIG) 沿岸警備隊はサイバー攻撃から海上輸送システムを守るため、さらなる措置を講じるべき (2024.07.11)

こんにちは、丸山満彦です。

国土安全保障省 監察官室 (OIG) が、沿岸警備隊はサイバー攻撃から海上輸送システムを守るため、さらなる措置を講じるべきであると報告書を公表していますね...

 

Oversight.Gov

・2024.07.11 Coast Guard Should Take Additional Steps to Secure the Marine Transportation System Against Cyberattacks

 

Coast Guard Should Take Additional Steps to Secure the Marine Transportation System Against Cyberattacks 沿岸警備隊はサイバー攻撃から海上輸送システムを守るため、さらなる措置を講じるべきである。
Report Description:  報告書の説明 
The United States Coast Guard (Coast Guard) took steps to enhance the cyber posture of the Marine Transportation System (MTS) but faces challenges fully implementing cybersecurity readiness efforts to protect the U.S. supply chain. Over the past 2 years, in accordance with its statutory requirements, Coast Guard established maritime cybersecurity teams to deter and respond to transportation cybersecurity incidents. In 2021, Coast Guard implemented Cyber Protection Teams to offer services that can help industry stakeholders prevent and target malicious cyberspace activities. However, private industry stakeholders have not fully adopted these services; stakeholders in only 36 percent of Coast Guard’s sectors requested and received these services. Coast Guard faced these challenges because industry stakeholders are hesitant to use the cybersecurity services offered. 米国沿岸警備隊(Coast Guard)は、海上輸送システム(MTS)のサイバー態勢を強化するための措置を講じたが、米国のサプライチェーンを保護するためのサイバーセキュリティ態勢の取り組みを完全に実施することには課題がある。過去2年間、沿岸警備隊は法定要件に従い、輸送サイバーセキュリティインシデントを抑止し対応するための海上サイバーセキュリティチームを設立した。2021年、沿岸警備隊はサイバー防御チームを設置し、業界の利害関係者が悪質なサイバー空間での活動を防止し、標的を定めるのを支援するサービスを提供する。しかし、民間の業界関係者はこれらのサービスを完全には採用しておらず、沿岸警備隊のセクターの36%の関係者しかこれらのサービスを要求し、受け取っていない。沿岸警備隊がこのような課題に直面したのは、業界の利害関係者が提供されるサイバーセキュリティサービスの利用をためらっているためである。
Related Open Recommendations 関連する公開勧告
1. We recommend that Coast Guard’s Cyber Command and Office of Port and Facility Compliance develop and implement a plan of action with established benchmarks for the Cyber Protection Team and the Maritime Cyber Readiness Branch to work with Marine Transportation Security Specialists–Cyber to enhance coordination and to build working relationships with private industry stakeholders. 1. 沿岸警備隊のサイバー司令部および港湾・施設防御部は、サイバー保護チームおよび海上サイバー準備部門が海上輸送セキュリティスペシャリスト-サイバーと連携し、民間業界の利害関係者との連携を強化し、協力関係を構築するためのベンチマークを設定した行動計画を策定し、実施するよう勧告する。
2. We recommend that Coast Guard’s Assistant Commandant for Prevention Policy complete and publish cybersecurity-specific regulations providing enforcement authority for facility and vessel inspections. 2. 我々は、沿岸警備隊の予防政策担当司令官補が、施設と船舶の検査の実施認可を提供するサイバーセキュリティに特化した規則を完成させ、公表するよう勧告する。
3. We recommend that Coast Guard’s Office of Port and Facility Compliance establish standardized cybersecurity training on enforceable authorities. 3. 沿岸警備隊の港湾・施設コンプライアンス部が、強制権限に関するサイバーセキュリティ研修の標準化を確立するよう勧告する。
4. We recommend that Coast Guard’s Office of Port and Facility Compliance review and determine whether the Marine Transportation Security Specialist–Cyber position description and job series is the correct designation based on the needs of the position. 4. 沿岸警備隊の港湾・施設コンプライアンス部に対し、海上輸送セキュリティスペシャリスト(サイバー)の職務記述書および職務シリーズが、その職務の必要性に基づいて正しい名称であるかどうかを見直し、判断するよう勧告する。

 

報告書

・[PDF]

20240719-00814

 

この内部監査をした背景等...

Why We Did This Audit この監査を行った理由
Coast Guard plays a lead role in securing and safeguarding the MTS, which facilitates the transport of nearly $5.4 trillion in commerce — representing about 25 percent of the U.S. gross domestic product. Our objective was to determine the extent to which Coast Guard has implemented cybersecurity readiness and precautions at U.S. ports and on U.S. waterways to protect the U.S. supply chain. 沿岸警備隊は、約5兆4,000億ドル(米国内総生産の約25%)の通商輸送を促進するMTSの安全確保と保護において主導的な役割を果たしている。我々の目的は、米国のサプライチェーンを保護するために、沿岸警備隊が米国の港湾と水路でどの程度サイバーセキュリティの準備と予防措置を実施しているかを判断することであった。
What We Recommend 提言内容
We made four recommendations to improve Coast Guard’s cyber readiness and precautions to secure the U.S. supply chain. 米国のサプライチェーンを保護するため、沿岸警備隊のサイバーセキュリティ対策と予防措置を改善するため、4つの提言を行った。
What We Found 我々が発見したこと
The United States Coast Guard (Coast Guard) took steps to enhance the cyber posture of the Marine Transportation System (MTS) but faces challenges fully implementing cybersecurity readiness efforts to protect the U.S. supply chain. Over the past 2 years, in accordance with its statutory requirements, Coast Guard established maritime cybersecurity teams to deter and respond to transportation cybersecurity incidents. In 2021, Coast Guard implemented Cyber Protection Teams to offer services that can help industry stakeholders prevent and target malicious cyberspace activities. However, private industry stakeholders have not fully adopted these services; stakeholders in only 36 percent of Coast Guard’s sectors requested and received these services. Coast Guard faced these challenges because industry stakeholders are hesitant to use the cybersecurity services offered. 米国沿岸警備隊(Coast Guard)は、海上輸送システム(MTS)のサイバー態勢を強化するための措置を講じたが、米国のサプライチェーンを保護するためのサイバーセキュリティ態勢の取り組みを完全に実施するには課題がある。過去2年間、沿岸警備隊は法定要件に従い、輸送サイバーセキュリティインシデントを抑止し対応するための海上サイバーセキュリティチームを設立した。2021年、沿岸警備隊はサイバー防御チームを設置し、業界の利害関係者が悪質なサイバー空間での活動を防止し、標的を定めるのを支援するサービスを提供する。しかし、民間の業界関係者はこれらのサービスを完全には採用しておらず、沿岸警備隊のセクターの36%の関係者しかこれらのサービスを要求し、受け取っていない。沿岸警備隊がこのような課題に直面したのは、業界の利害関係者が提供されるサイバーセキュリティ・サービスの利用をためらっているためである。
Coast Guard also conducts facility and vessel inspections, but these did not always address the full scope of potential cybersecurity threats. This occurred because Coast Guard does not have the authority or training to enforce private industry compliance with standard cybersecurity practices. 沿岸警備隊は施設や船舶の検査も実施しているが、これらは必ずしもサイバーセキュリティの潜在的脅威の全容に対処しているわけではない。これは、沿岸警備隊がサイバーセキュリティの標準的な慣行を民間企業に遵守させるための認可や訓練を受けていないためである。
In addition, Coast Guard is not adequately staffed to provide cyber expertise for facility and vessel inspections or industry stakeholders due to the job series classification for a key cybersecurity position, which leads to hiring delays. さらに、沿岸警備隊は、サイバーセキュリティの重要な職種の分類のために、施設や船舶の検査、または業界の利害関係者にサイバーに関する専門知識を提供するための十分な人員を配置しておらず、これが雇用の遅れにつながっている。
Overcoming these challenges will better enable Coast Guard to protect the MTS, which remains vulnerable to the exploitation, misuse, or failure of cyber systems. This continued cyber vulnerability may lead to injury or death, harm the marine environment, or disrupt vital trade activity. このような課題を克服することで、沿岸警備隊は、サイバーシステ ムの悪用、誤用、故障に対して脆弱性を残すMTSをより適切に保護できるようになる。このようなサイバー脆弱性が続くと、人身事故や海洋環境への被害、重要な貿易活動の中断につながる可能性がある。
DHS Response DHSの回答
The Department of Homeland Security concurred with all four recommendations. 国土安全保障省は、4 つの提言すべてに同意した。

 

 

| | Comments (0)

2024.07.16

ISMS-AC ISMS適合性評価制度に関するアンケート調査報告書

こんにちは、丸山満彦です。

ISMS-ACが、ISMS適合性評価制度に関するアンケート調査報告書が公表されていますね...

ISMS制度の立ち上げに関わったので、その当時から話をすこし...

経済産業省の情報システム安全対策基準認定制度を大臣認定から民間への移行という話があり、その制度をJIPDECが担うことになりましたが、その際に、経済産業省から良い制度を検討して欲しいという依頼があり、JIPDECの元で制度づくりをすることになりました。[PDF] 情報システム安全対策基準(1997.09.24改正)は、「設置基準」と「技術基準と運用基準」ということで、データセンタのセキュリティを考えていたので、設備の整備にも力をいれていたものでしたが、新しい基準をどうするかということで、従来通りの情報システム安全対策基準を改訂し、それをもとにJIPDECが認定をする制度としたいと考える人も多くいたと思いますが、私はこれからを見据えて、当時英国で話題になり始めていた、情報セキュリティマネジメントシステム認証(BS7799)を導入したほうが、よいと考えていて、BS7799の日本版をつくりそれを導入する方が良いという意見で、その導入を推していました。

結果的に、今のISMS認証制度を見ればわかるとおり、BS7799の日本版をつくり、のちにBS7799が国際基準のISO/IEC17999、最終的には、ISO/IEC 27001をもとにした、JIS Q 27001で認証をすることになりました。

そして、JIPDECはその流れもあり、JIS Q 27001によるマネジメント認証制度における認定機関(JABと同じ位置付け)になることになったわけですが、認定機関が制度の推進をしているのは、認定機関として適切ではないのではないかという話もあり、一般社団法人情報マネジメントシステム認定センター (ISMS-AC)が設立されたという経緯があります...

ということで、今回の調査報告の話です(^^)...

 

一般社団法人情報マネジメントシステム認定センター (ISMS-AC)

・2024.07.12 ISMS適合性評価制度に関するアンケート調査報告書を公開しました

 


調査内容:
 ・認証取得組織の基本情報(業種、規模、認証取得期間等)
 ・ISMSの導入及び認証取得の効果
 ・認証審査員の力量及び審査の質
 ・認証機関の認定の信頼性
 ・ISMS適合性評価制度全般
基本的に過去の調査との連続性を考慮した内容となっていますが、 新たにAIシステムの利用に関する設問を加えました。


 

・[PDF] 「ISMS適合性評価制度に関する調査報告書(2024年7月)」

20240716-61429

目次...

はじめに

調査概要

基本情報について
1
法人の業種。
2
資本金
3
従業員数
4 ISMS
取得の認証範囲について

ISMS認証の運用実績等について
1
経過年数
2
他のマネジメントシステム認証
3
認証機関の変更

ISMSの導入及び認証取得の効果等について
導入の目的又は動機
2 ISMS
導入の効果
3 顧客からの要求
4 ISMS
に関する今後の課題

審査員の力量及び審査の質について
1
審査員の力量
2
認証審査の質

認証機関の認定の信頼性について
1.
認定機関から認定を受けた認証機関の言頼性

制度全般に対するご意見等
1
調達先への要求
2
海外展開
AIシステムの利用
本センターへの期待。
5 ISMS
適合性評価制度全般に対するご意見・ご要望

おわりに

付録 ISMS 適合性評価制度に関するアンケート調査書

 

過去分も...

発行年月  
2024.07 (Pdf)
2018.07 (Pdf)
2014.10 (Pdf)
2012.06 (Pdf)
2009.03 (Pdf)

 

どうせなら、過去との比較分析もして欲しかったなぁ...

あまり変化がないかもしれないけど...

 

ちなみに、ISMSが形骸化しているという話をよく聞きますが...

それに対する私の考え方はこちら(^^)

 

まるちゃんのセキュリティ気まぐれ日記

2005.01.25 ISMSの形骸化

 

 

 

| | Comments (0)

2024.07.04

デジタル庁 マイナンバーカードを用いた公的個人認証サービス(JPKI)導入事業者及び事例一覧 566社が導入...

こんにちは、丸山満彦です。

デジタル庁が、現在公的個人認証サービス (JPKI) [wikipedia] を導入している民間事業者(566社:2024年6月26日時点)とその導入事例を紹介していますね...

公的個人認証サービス (JPKI) を利用することにより、


たとえば、銀行・証券業界においては、口座開設において公的個人認証サービスが多く利用されており、その導入効果が認められています。口座開設時に必要であった本人確認書類のコピーや申込書の記入・郵送などが不要となり、マイナンバーカードの電子証明書を利用することで、スマートフォンなどから簡単・正確に申込することができます。これにより、受付や審査などの事務コスト削減や、顧客利便性の向上につながります。


ということですね...

ところで、JPKIは信頼できる運用をしているのでしょうかね...JPKIが信頼できないと、ここに依拠しているサービス全てが信頼できなくなりますからね。。。

WebTrustの監査くらいは受けているのかもしれませんね...(知らんけど...)

 

デジタル庁

・2024.07.03 マイナンバーカードを用いた公的個人認証サービス(JPKI)導入事業者及び事例一覧を更新しました

 

1_20240704061101

 


 

国、自治体等の利用については地方公共団体情報システム機構(J-LIS)のこちらから...

 

公的個人認証サービス ボータルサイト

 

1_20240704061301

 

ご利用できる行政手続き等

・・国の機関等

・・地方公共団体

 

認証局の運営については、

認証局の運営

・・署名用認証局の運営に関する情報

・・利用者証明用認証局の運営に関する情報

 

JPKIの認証局の監査についての情報はありませんね...

 


 

政府認証基盤 (GPKI)

1_20240704062201

 

ここにも、認証局監査についての情報はないですね...

 

 

 

 


 

| | Comments (0)

2024.07.03

米国 PCAOB 分析的実証手続の改訂案

こんにちは、丸山満彦です。

米国の会計監査においては、1980年代に監査手続の近代化?が行われ、いろいろな監査手続きの改訂が行われましたが、その際に、新たに導入されたのが、分析的手続です。。。

今回PCAOBから、分析的実証手続についての改訂案が提示されていますが、1989年のStatements on Auditing Standards; SAS No,56 Analytical Procedures から大きく変更されていないようですね。。。

当時、統計的分析的手続とかが流行りましたね...

ちなみに、欧州及び日本は、国際監査・保証基準審議会 (International Auditing and Assurance Standards Board; IAASB [wikipedia]) の作成する International Standards on Audit [wikipedia] や、それをベースに自国で開発された監査基準にもとづいて実施しますよね...

日本では、公認会計士協会が作成した、[PDF] 監査基準報告書520 分析的手続 になります。

 

Public Company Accounting Oversight Board; PCAOB

・2024.06.27 Investor Bulletin: Opportunity To Comment on Proposal To Enhance How Auditors Address Certain Assessed Risks of Material Misstatement

Investor Bulletin: Opportunity To Comment on Proposal To Enhance How Auditors Address Certain Assessed Risks of Material Misstatement 投資家向け情報 監査人が特定の重要な虚偽表示のリスクアセスメントに対処する方法を強化する提案に関するコメント募集のお知らせ
The Public Company Accounting Oversight Board (PCAOB or the “Board”) Office of the Investor Advocate is alerting investors to the opportunity to comment on the proposal regarding designing and performing substantive analytical procedures and amendments to other PCAOB standards.  公開会社会計監視委員会(PCAOB)投資家擁護委員会は、実質的な分析的実証手続の設計と実施に関する提案及びその他のPCAOB標準の改訂に関する意見募集の機会を投資家に提供している。
This document represents the views of the PCAOB Office of the Investor Advocate and not necessarily those of other PCAOB staff or the Board. It is not a rule, policy, or statement of the Board. 本文書は、PCAOB投資家擁護室の代表者の見解であり、必ずしも他のPCAOBスタッフや理事会の見解ではない。また、これは理事会の規則、方針、声明ではない。
On June 12, 2024, the Board issued for public comment a proposal to replace the existing standard for substantive analytical procedures (AS 2305) and other related amendments. If adopted, the proposal would clarify and strengthen certain procedures that auditors may use to address certain assessed risks of material misstatement for significant accounts or disclosures and determine if there is a misstatement. The proposal, if adopted, would modernize PCAOB standards to reflect the ever-increasing use of technology by auditors in performing substantive analytical procedures and would better protect investors by increasing the likelihood that auditors obtain relevant and reliable information to support their conclusions in audit opinions. 2024年6月12日、米国財務会計基準審議会は、現行の分析的実証手続に関する標準(AS2305)とその他の関連する改訂を置き換える提案をパブリックコメントに付した。本提案が採用された場合、監査人が、重要な勘定科目又は開示について、評価した重要な虚偽表示のリスクに対処し、虚偽表示があるかどうかを判断するために使用することができる特定の手続を明確化し、強化することになる。本提案が採択されれば、実質的な分析的実証手続を実施する際の監査人による技術の使用がますます増加していることを反映し、PCAOB基準を近代化することになり、監査人が監査意見において結論を裏付ける適切で信頼できる情報を入手する可能性が高まることで、投資家保護がより強化されることになる。
In 2003, the PCAOB adopted AS 2305 from a standard put in place by the auditing profession in 1989. The existing standard remains substantially the same today. Consistent with existing standards, the proposed standard reiterates that substantive analytical procedures alone are unlikely to be sufficient to address significant risks of material misstatement, including fraud risks. 2003年、PCAOBは、1989年に監査専門家が導入した標準からAS2305を採用した。既存の標準は現在も実質的に同じである。提案されている標準は、既存の標準と整合しており、不正リスクを含む重要な虚偽表示リスクに対処するためには、分析的実証手続だけでは不十分である可能性が高いことを改めて示している。
Read the full proposal here(PDF). 提案の全文はこちら(PDF)を参照のこと。
Background 提案の背景
Auditors may use substantive analytical procedures to address certain assessed risks of material misstatement. In a substantive analytical procedure, the auditor seeks to determine whether there is a misstatement in a company’s recorded financial information. アセスメントは、評価した特定の重要な虚偽表示リスクに対処するために、実質的な分析的実証手続を使用することができる。分析的実証手続では、監査人は、企業の記録された財務情報に虚偽表示があるかどうかを判断する。
When performing substantive analytical procedures, the auditor compares (i) a company’s recorded amount (or an amount derived from the recorded amount) to (ii) what the auditor would expect. For example, an auditor could compare (i) a company’s recorded expense for debt interest payments to (ii) an expected expense based on the principal and interest rates of the debt. 分析的実証手続を実施する場合、監査人は、(i)企業の記録金額(又は記録金額から派生する金額)と(ii)監査人が予想する金額とを比較する。例えば、監査人は、(i)企業が計上した負債利払いの費用と、(ii)負債の元本及び金利に基づく予想費用とを比較することができる。
The effectiveness of substantive analytical procedures depends on their appropriate design and performance, such as which data and which relationships in the data auditors rely on to form their expectations. 分析的実証手続の有効性は、監査人がどのようなデータ及びデータのどのような関係に依拠して期待値を形成するかといった、分析的実証手続の適切な設計及び実施に依存する。
Over the years, the use of technology and data analytics in audits has grown, including when auditors design and perform substantive analytical procedures. For example, some auditors have been able to use more disaggregated data (e.g., at transaction or customer level) to identify previously unknown relationships and develop more precise expectations to test against a company’s recorded financial information. Additionally, PCAOB staff have observed some auditors inappropriately design and perform substantive analytical procedures. Such shortcomings may result in failing to identify a material misstatement of a company’s financial statements or failing to obtain sufficient appropriate audit evidence when performing the audit. ここ数年、監査人が分析的実証手続を設計・実施する際も含め、監査におけるテクノロジーやデータ分析の利用が拡大している。例えば、一部の監査人は、より細分化されたデータ(例えば、取引や顧客レベル)を使用して、以前は知られていなかった関係を特定し、企業の記録された財務情報と照らし合わせてテストするために、より正確な予想を策定することができるようになった。さらに、PCAOBスタッフは、一部の監査人が不適切に分析的実証手続を設計し、実施していることを確認している。このような欠点は、企業の財務諸表の重要な虚偽表示を識別できなかったり、監査実施時に十分な適切な監査証拠を入手できなかったりする可能性がある。
The Proposal 提案
The proposal would clarify and strengthen the standard for substantive analytical procedures, including those involving data analytics. For example, the proposal would: 本提案は、データ分析を含む、分析的実証手続に関する標準を明確化し、強化するものである。例えば、本提案は以下のようなことを行う:
Specify that the auditor may not develop their expectation of the company’s recorded amount using the company’s amount or information that is based on the company’s amount; 監査人は、会社の金額又は会社の金額を基礎とする情報を使用して、会社の計上金額の予想を策定してはならないと規定する;
Require that the relationships in the data on which the procedure is based must be sufficiently plausible and predictable to achieve the procedure’s objective; and 手続の基礎となるデータの関係は、手続の目的を達成するために十分に妥当で予測可能でなければならない。
Specify certain responsibilities for the auditor to perform when there is a difference between a company’s amount and the auditor’s expectation. 会社の金額と監査人の予想との間に差異がある場合に、監査人が行うべき一定の責任を規定する。
The proposed standard would apply to all substantive analytical procedures. 提案されている標準は、すべての実質的な分析的実証手続に適用される。

 

・[PDF]  Proposed Auditing Standard – Designing and Performing Substantive Analytical Procedures and Amendments to Other PCAOB Standards

20240702-160016

 

 


 

● 日本公認会計士協会

・2022.10.13 [PDF] 査基準報告書520 分析的手続

20240702-164957

 

昔の米国監査基準

・1988.04 [PDF] Statements on Auditing Standards; SAS No,56 Analytical Procedures 

20240702-165221

 

当時、上司が書いた本...

・1993.07.01 [Amazon] 統計手法による分析的監査手続

実家にあるかも...

71fctppjzkl_sy466_

 

Continue reading "米国 PCAOB 分析的実証手続の改訂案"

| | Comments (0)

2024.07.02

ENISA 意見募集 組み込み型汎用集積回路カードの認証に関連する仕様

こんにちは、丸山満彦です。

ENISAが、組み込み型汎用集積回路カードの認証に関連する仕様についての意見募集をしていますね...

半導体は重要というだけでなく、具体的な動きができていますね...仕様についての動きは欧米は早いですね...

コモンクライテリアベースでどこまで普及するか...

 

● ENISA

プレス...

・2024.06.26 Share your feedback: ENISA public consultation bolsters EU5G Cybersecurity Certification

Share your feedback: ENISA public consultation bolsters EU5G Cybersecurity Certification フィードバックを共有しよう ENISAがEU5Gサイバーセキュリティ認証を強化するための公開コンサルテーションを実施
ENISA has released and is seeking feedback on the embedded Universal Integrated Circuit Card (eUICC) specifications of the cybersecurity certification scheme on EU5G, which is carried out under the Common Criteria scheme. ENISAは、コモンクライテリア・スキームの下で実施されるEU5Gのサイバーセキュリティ認証スキームの組み込み型汎用集積回路カード(eUICC)仕様を発表し、フィードバックを求めている。
Today, in response to a European Commission request for a cybersecurity certification scheme on EU5G, the European Union Agency for Cybersecurity is launching a 2-month long public consultation concerning the specifications related to the certification of the embedded Universal Integrated Circuit Card (eUICC), under the Common Criteria based European Cybersecurity Certification Scheme (EUCC).   本日、EU5Gに関するサイバーセキュリティ認証スキームに関する欧州委員会の要請を受け、欧州連合サイバーセキュリティ機関は、コモンクライテリアに基づく欧州サイバーセキュリティ認証スキーム(EUCC)の下で、組み込み型汎用集積回路カード(eUICC)の認証に関連する仕様に関する2カ月にわたる公開協議を開始する。 
The eUICC is a secure element that contains one or more subscription profiles (Embedded Subscriber Identity Module - eSIM) and provides operators and end customers a secure solution. Through the specifications, ENISA aims to facilitate the certification of conformity of the eUICCs with the EU Cybersecurity Certification Scheme on Common Criteria (EUCC) to further enhance both the consumers’ and industry trust in the product. Additionally, efforts have already been made to address current functional, security and certification requirements by means of these specifications; the requirements of other relevant regulations, such as the European Digital Identity Regulation, can be met as well by means of these specifications.  eUICCは、1つまたは複数の加入プロファイル(Embedded Subscriber Identity Module - eSIM)を含むセキュアエレメントであり、通信事業者およびエンドカスタマーにセキュアなソリューションを提供する。ENISAは、本仕様を通じて、コモンクライテリア(EUCC)に関するEUサイバーセキュリティ認証スキームへのeUICCの適合性認証を促進し、消費者と業界双方の製品に対する信頼をさらに高めることを目指している。さらに、これらの仕様によって、現行の機能、セキュリティ、認証要件に対応するための努力もすでに行われている。欧州デジタル ID 規則などの他の関連規則の要件も、これらの仕様によって満たすことができる。
In line with the European Commission request to ENISA to develop a candidate cybersecurity certification scheme on EU5G, ENISA has developed a range of requirements for 5G networks. The specifications currently under consultation for eUICC certification have been drawn up with the support of the Ad Hoc Working Group (AHWG) on EU5G.  欧州委員会がENISAに対し、EU5Gに関するサイバーセキュリティ認証スキームの候補を策定するよう要請したことに伴い、ENISAは5Gネットワークに関するさまざまな要件を策定した。eUICC認証のために現在協議中の仕様は、EU5Gに関するアドホック・ワーキング・グループ(AHWG)の支援を受けて策定された。
Through the European Cybersecurity Certification Framework established by the Cybersecurity Act, the EU aims to provide solutions in a single market by adopting schemes that define the necessary requirements in cybersecurity of services and products. Commonly recognised certification schemes in the EU enable ICT suppliers and businesses to expand to markets by demonstrating adherence to the scheme specifications and requirements. These certification schemes bolster the trust of the end users or service providers to certified solutions, as they are better aware of the security level of the products or services they use.   サイバーセキュリティ法によって設立された欧州サイバーセキュリティ認証フレームワークを通じて、EUは、サービスや製品のサイバーセキュリティに必要な要件を定義するスキームを採用することにより、単一市場でソリューションを提供することを目指している。EUで一般的に認知されている認証スキームにより、ICTサプライヤーや企業は、スキームの仕様や要件に準拠していることを証明することで、市場に進出することができる。これらの認証制度は、エンドユーザーやサービスプロバイダが、使用する製品やサービスのセキュリティレベルをよりよく認識できるようにするため、認証されたソリューションに対するトラストユーザーやサービスプロバイダの信頼を強化する。 
The public consultation allows interested parties and stakeholders to provide feedback on the specifications. The outcome will be processed and shared. Please note that the consultation will remain open for contributions until August 26st, 12.00 CET.  パブリックコンサルテーションでは、関係者や利害関係者が仕様に関するフィードバックを提供することができる。結果は処理され、共有される。コンサルテーションは8月26日12:00(中央ヨーロッパ標準時)まで受け付けている。
You may find the specifications document in the following link: Specifications related to the certification of the embedded Universal Integrated Circuit Card - European Union (europa.eu)  仕様書は以下のリンクから入手できる: 組み込み型ユニバーサル集積回路カードの認証に関する仕様書 - 欧州連合 (europa.eu) 
To participate in the Public Consultation, please click here.  パブリックコンサルテーションに参加するには、こちらをクリック。
Further Information  その他の情報 
EUSurvey - Survey (europa.eu)  EUSurvey - 調査 (europa.eu) 
Homepage - European Union (europa.eu)  ホームページ - 欧州連合 (europa.eu) 
Cybersecurity Certification Framework — ENISA (europa.eu)  サイバーセキュリティ認証フレームワーク - ENISA (europa.eu) 
Certification — ENISA (europa.eu)  認証 - ENISA (europa.eu) 

 

 

・2024.06.26 Specifications related to the certification of the embedded Universal Integrated Circuit Card

Specifications related to the certification of the embedded Universal Integrated Circuit Card 組み込み型汎用集積回路カードの認証に関連する仕様
The Specifications for eUICC (Embedded Universal Integrated Circuit Card) Certification under the EUCC Scheme are released today for public consultation. EUCCスキームに基づくeUICC(組み込み型汎用集積回路カード)認証に関する仕様が、本日公開された。
Description 概要
The public consultation allows interested parties and stakeholders to provide feedback on the specifications. The outcome will be processed and shared. Please note that the consultation will remain open for contributions until August 26st, 12.00 CET. パブリックコンサルテーションでは、関係者や利害関係者が仕様に関するフィードバックを提供することができる。結果は処理され、共有される。コンサルテーションは8月26日12:00 CETまで受け付けている。

 

・[PDF]

20240702-52519.

・[DOCX][PDF] 仮訳

 

 

目次..

1. INTRODUCTION AND CONTEXT 1.序論と背景
1.1 INTRODUCTION 1.1 はじめに
1.2 CONTEXT 1.2 CONTEXT
2. REFERENCES, DEFINITION OF TERMS, ABBREVIATIONS 2.参考文献、用語の定義、略語
2.1 REFERENCES 2.1 参考文献
2.2 DEFINITION OF TERMS 2.2 用語の定義
2.3 ABBREVIATIONS 2.3 略語
3. EUICC: DEFINITION AND TYPES 3.EUICC:定義とタイプ
3.1 eUICC DEFINITION 3.1 eUICCの定義
3.2 eUICC TYPES 3.2 eUICCのタイプ
3.2.1 Type 1 - eUICCs for consumer and IoT devices not requiring third party applets 3.2.1 タイプ 1 - サードパーティアプレットを必要としないコンシューマー機器および IoT 機器向け eUICC
3.2.2 eUICCs for consumer devices hosting third party applets 3.2.2 サードパーティアプレットをホストする消費者機器用eUICC
3.2.3 Type 4 - eUICC with CSP-Enabled support for applets within telco profiles 3.2.3 タイプ 4 - 通信事業者プロファイル内のアプレットを CSP がサポートする eUICC
3.2.4 Mapping between eUICC types and components 3.2.4 eUICCタイプとコンポーネント間のマッピング
3.2.5 Mapping between eUICC types and use cases 3.2.5 eUICCタイプとユースケース間のマッピング
4. CERTIFICATION OF EUICC
4.EUICCの認証
4.1 GENERAL STATEMENT 4.1 総論
4.2 CERTIFICATION SCHEME 4.2 認証スキーム
4.3 CERTIFICATION REQUIREMENTS ON COMPONENTS 4.3 コンポーネントの認証要件
4.3.1 eUICC hardware 4.3.1 eUICCハードウェア
4.3.2 eUICC java card platform (JCP) 4.3.2 eUICC Java カード・プラットフォーム(JCP)
4.3.3 eUICC java card platform (JCP) with GP framework 4.3.3 GP フレームワークによる eUICC Java カード・プラットフォーム(JCP)
4.3.4 eUICC RSP 4.3.4 eUICC RSP
4.3.5 Secure application on mobile (SAM) 4.3.5 セキュア・アプリケーション・オン・モバイル(SAM)
4.3.6 Cryptographic abstraction layer (e.g.: CSP) 4.3.6 暗号抽象化レイヤー(例:CSP)
4.3.7 Vulnerability handling 4.3.7 脆弱性の取り扱い
4.4 PATCH MECHANISM 4.4 パッチメカニズム
4.5 OPTIMISATION 4.5 最適化
ANNEX A – OPTIMISATION 附属書A - 最適化
A.1 OPTIMISATION OF eUICC CERTIFICATION A.1 eUICC認証の最適化
A.2 OPTIMISATION OF THIRD-PARTY APPLETS CERTIFICATION A.2 サードパーティアプレット認証の最適化
A.3 OPTIMISATION OF EVALUATION PROCEDURES OF THE EUCC CERTIFICATION TO MATCH REQUIREMENTS OF THE MOBILE MARKET A.3 モバイル市場の要件に合わせたEUCC認証の評価手順の最適化
A.3.1 Harmonisation between EUCC and eSA A.3.1 EUCCとeSAのハーモナイゼーション
A.3.2 Consideration of GSMA specifications as part of certification evidences A.3.2 認証証憑の一部としての GSMA 仕様の検討
A.3.3 Maintenance with partial re-evaluation A.3.3 部分的再評価を伴うメンテナンス
A.4 ADV_FSP.4 A.4 ADV_FSP.4
A.5 ADV_TDS.3 A.5 ADV_TDS.3
A.6 ATE_COV.2, ATE_FUN.1 A.6 ATE_COV.2, ATE_FUN.1
A.7 AGD A.7 AGD
ANNEX B – STATE OF THE ART PROTECTION PROFILES 附属書B - 最先端の保護プロファイル

 

 

| | Comments (0)

2024.06.29

経済産業省 「企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)」を取りまとめ (2024.06.25)

こんにちは、丸山満彦です。

経済産業省で今年の4月に企業情報開示のあり方に関する懇談会が設立され、議論されてきたわけですが、課題と今後の方向性についての中間報告が公表されていますね...

サステナビリティ関連情報の開示等に意識がいっているような感じですね...

法定の有価証券報告書、コーポレート・ガバナンス報告書でもサステナビリティ関連の開示が充実してくるようになったことに加えて、任意の統合報告者やサステナビリティレポートを作成・公表する企業が増えていて、企業開示の全体像が見えにくかったり、記載内容の重複だったり、形式ていな記載だったりで、その利用が適切に行われていないのではないかといった課題があるとは思います。一方、作成コストもバカにならないと...

ということで、企業、投資家、学識経験者が集まって、諸外国企業との比較を通じて、日本企業の情報開示の現状を確認し、目指す方向性についての議論をしたようですね...

野村総合研究所の三井千絵さんも参加されていますね...

 

企業に関する情報というのは、その企業を知ろうとすればするほど、企業固有の事情を説明できるような情報・データが必要となり、他企業との比較可能性が困難になります。一方、他企業との比較可能性を高めようとすればするほど、一般的な形式情報が増え、その企業を深く理解する情報・データが少なくなります。

個人的には、文書を作っていくという報告書的なものから、データを中心にした分析的な報告書(その企業を深く理解するための報告書。企業間比較がしやすいような報告書がデータを中心に作成されていくイメージ。)で、イメージ案2に近い感じですね。。。

紙で読むというよりも、ウェブ等で読むことが前提の報告書のイメージ...モジュール化という話もでたようですが、そんな感じですね...

それと、報告書がデータから自動的に作成されるようになれば、監査の対象もデータについてと、表現についてに分けて考えることもできるかもですね...監査の意義ややり方も変わるかもですね...

 

イメージ案2については、現状と異なるので、その移行が課題になりうるのですが、そういうのはいっときの話なので、できる限り短期間にやってしまうように準備をしてやってしまうのでしょうね...(でないと、移行期間中の重複開示、あるいは、比較可能性の減少が生じて社会的なコストが大きくなるので)

 

ちなみにイメージ案2

2_20240629064201

 

ついでにイメージ案1

1_20240629064201

 

● 経済産業省

・2024.06.25 「企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)」を取りまとめました


近年、企業の情報開示は、その量が増加傾向にあることに加えて、特に我が国においては、任意の報告書なども含めて、様々な媒体(有価証券報告書、事業報告・計算書類、統合報告書等)を通じた進展が見られます。こうした進展の一方で、日本企業の情報開示については、開示体系の複雑性や、開示内容の充実化の必要性、開示量の増加に伴う課題などについて国内外から指摘されています。

投資家等との建設的な対話・エンゲージメントを通じて、持続的な企業価値の向上を目指していくためには、投資家等の特性に応じた開示の検討を含め、企業・投資家等の双方にとって効率的かつ効果的な開示の在り方を検討することが必要と考えられます。

こうした問題意識を踏まえ、本懇談会では、諸外国企業との比較を通じ、日本企業の情報開示の現状を確認した上で、主に、(1)開示体系、(2)サステナビリティ情報を含めた企業価値向上に資する情報開示という二つの観点から、日本企業の情報開示の課題と将来の方向性について議論してきました。今般、これまで3回の議論の結果を中間報告として公表します。


 

・[PDF] 企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)

20240629-60555

目次...

I. はじめに

II. 日本企業の情報開示に関する課題等
1.
企業価値向上に資する情報開示の内容・質に関する課題
 ① 有価証券報告書
 ② コーポレート・ガバナンス報告書
 ③ 統合報告書

2.
企業情報開示の体系に関する課題
 ① 開示書類間の記載内容の重複について
 ② 有価証券報告書と統合報告書の使い分けの実態と課題について
 ③ 各報告書の一本化について

III. 新たな情報開示のあり方に関するアイデア等
1.
グランドデザイン
2.
イメージ案 1:法定開示と任意開示の役割分担
3.
イメージ案 2:二層構造の開示体系
4.
イメージ案 12 に共通するポイント
 ① 事業報告等、有価証券報告書とコーポレート・ガバナンス報告書の一体開示
 ② 定時株主総会前の一体書類の開示
 ③ 英文による情報開示
 ④ XBRL 化

5.
将来の企業情報開示に関する議論
 ① 目指すべき開示体系
 ② イメージ案 2 の課題
 ③ 新たな開示体系への移行(企業規模等に応じた情報開示)
 ④ その他の論点

IV. おわりに

 

そのた関連情報

 


 

まるちゃんの情報セキュリティ気まぐれ日記

ESG, CSR 関係...

ESG/CSR

 

情報開示関係...

・2024.06.09 金融庁 コーポレートガバナンス改革の実践に向けたアクション・プログラム 2024

・2024.06.03 金融庁 スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議(第29回)議事録

・2024.01.18 金融庁 コーポレートガバナンス改革に向けた取組みに関するウェブページを開設 (2024.01.15)

・2023.10.28 SECが2024年度の審査強化項目を公表していますね。。。

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

・2023.02.16 SECが2023年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2023.02.07)

・2022.12.07 英国 投資家等に対するサイバーセキュリティのリスクに対する開示等の個人的な整理....

・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

・2021.09.20 米国 SEC長官の上院での証言(2) 投資家はサイバーセキュリティに関する情報を企業に求めている

・2021.04.27 欧州委員会 非財務情報開示指令の改正案発表 対象企業が大幅に増加

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 

遡って...

・2011.10.31 SEC サイバーセキュリティリスクとインシデントについての開示 (CF Disclosure Guidance: Topic No. 2 Cybersecurity)

・2011.03.21 今こそ問われる、CSR報告書、企業行動憲章

・2009.09.15 経団連 CSR(企業の社会的責任)に関するアンケート調査結果

・2007.01.22 CSR情報開示 世界格付け S&P Global Reporters 2006

| | Comments (0)

より以前の記事一覧