監査 / 認証

2023.03.16

・経済産業省 クレジットカード・セキュリティガイドライン【4.0版】

こんにちは、丸山満彦です。

クレジットカード・セキュリティガイドラインが改訂されましたね。。。このガイドラインは、カード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい及び不正利用の防止のためのセキュリティ対策の取組を取りまとめたものですね。。。

第4版への改訂のポイント


1. 不正利用対策分野(非対面取引)
 不正利用被害拡大防止に向けたEMV 3-Dセキュア導入
 3-Dセキュア1.0終了に伴う記載の変更
 不正利用被害拡大防止に向けた今後の取組みについて記載

2. 消費者及び事業者等への周知・啓発
 消費者への周知啓発
 ■ EMV 3-Dセキュアの登録および静的(固定)パスワード以外の認証方法への登録・移行
 事業者等への周知啓発
 ■ (対加盟店)2025年3月末までに原則全てのEC加盟店にEMV 3-Dセキュアの導入


20230316-43751

 

PCI DSSがちょうどできたころ(2004年ごろ)にVISA、Master Card、JCB、Amexの方と一緒に経済産業省に「PCI DSSを普及させないといけない」と話をしに行った記憶があります。できる前は、VISA、Master Card、JCB、Amexがそれぞれ別々にセキュリティの基準を作って守らせようとしていました。。。それをブランド会社(ライバル企業)がまとまって基準をつくったのはすごいなぁと思いました。基準をつくったのは米国でしたが、日本側でも一緒になって普及をしようとしていましたね。。。特にVISAの方は熱心でしたね。。。

で、ISMSと連携させて普及させようという話になり、ISMSとPCI DSSを連携したガイドをJIPDECでつくり、ガイドの説明会の開催を全国の経済産業局をつかって開催し、普及に努めたという歴史があります。。。

いまではすっかり当たり前になっていますが、当時のブランド会社の担当者の方の努力と、経済産業省の理解力と、JIPDECの推進力あっての現在ですね。。。

 

経済産業省

・2023.03.15 クレジットカード・セキュリティガイドライン【4.0版】が改訂されました

 

一般社団法人 日本クレジット協会

・2023.03.15 [PDF] 「クレジットカード・セキュリティガイドライン【4.0版】」を取りまとめました

・[PDF] クレジットカード・セキュリティガイドライン[4.0版](公表版)

20230316-43700

 

・[PDF] クレジットカード・セキュリティガイドライン[4.0版](改訂ポイント)

20230316-43734

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.16 経済産業省 クレジットカード・セキュリティガイドライン【4.0版】

・2022.04.01 PCI Data Security Standard v4.0

遡りますが...

・2011.03.26 経済産業省 国内外の電子決済のセキュリティに関する報告書

・2010.10.30 PCI Security Standards Council Releases PCI DSS 2.0 and PA-DSS 2.0

・2009.10.13 JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”(PCI DSS/ISMS準拠のためのガイド)を公開

・2009.03.28 「国際情報セキュリティ調査2008」報告 CIO Magazine + PwC

| | Comments (0)

2023.03.14

英国 会計検査院 (NAO) VFM報告書 政府におけるデジタルトランスフォーメーション:効率化を阻む障壁への対応

こんにちは、丸山満彦です。

日本のデジタル庁のお手本?である英国のデジタル庁的な中央デジタル・データオフィス(CDDO)の活動に対するValue for Money報告書を公表していますね。。。

デジタル庁の方が読んでも参考になると思います。おそらく似たような状況でしょうから。。。

 

こういうVFM監査という視点を日本の会計検査院も全面に出した方がよいと思います(必要におうじて法改正もして)。

 

National Audit Office

・2023.03.10 Digital transformation in government: addressing the barriers to efficiency

Digital transformation in government: addressing the barriers to efficiency 政府におけるデジタルトランスフォーメーション:効率化を阻む障壁への対応
Background to the report 報告書の背景
One of government’s main challenges is achieving efficiency savings. The civil service employs over half a million people in the UK and runs diverse operations and services, from collecting taxes and processing benefits claims to granting a rod fishing licence. In 2020-21, central government departments expected to spend £456 billion on the day-to-day running costs of public services, grants and administration. 政府の主な課題の1つは、効率的な削減を達成することである。公務員は英国で50万人以上を雇用し、税金の徴収や給付金請求の処理から竿釣り免許の付与まで、多様な業務やサービスを運営している。2020-21年、中央政府の各部門は、公共サービス、補助金、行政の日常的な運営コストに4,560億ポンドを費やすと予想される。
Digital transformation and modernisation of its services and data are instrumental in achieving efficiencies, with huge gains to be achieved if all government services were modernised. However, there are many challenges, and these will take many years to overcome. そのサービスとデータのデジタルトランスフォーメーションと近代化は効率化の実現に不可欠であり、すべての政府サービスが近代化されれば、大きな利益を得ることができる。しかし、多くの課題があり、克服するには長い年月がかかるだろう。
Across government, outdated IT systems and its ageing data are a key source of inefficiency and create a major constraint to improving and modernising government services. Many of these ageing systems were built several decades ago and are commonly referred to as ‘legacy’ systems. Their limitations and poor-quality data increase the cost of services. 政府全体では、時代遅れのITシステムとその老朽化したデータが非効率の主な原因であり、政府サービスの改善と近代化に対する大きな制約となっている。これらの老朽化したシステムの多くは数十年前に構築されたもので、一般に「レガシー」システムと呼ばれている。その制限や質の低いデータは、サービスのコストを増大させる。
In January 2021, the Cabinet Office created the Central Digital & Data Office (CDDO) to lead the digital, data and technology function across government. In June 2022, CDDO published ‘Transforming for a digital future: 2022 to 2025 roadmap for digital and data (which we refer to as ‘the Roadmap’) which seeks to address some of the underlying digital problems. 2021年1月、内閣府は政府全体のデジタル、データ、テクノロジー機能を主導する中央デジタル・データ局(CDDO)を設立した。2022年6月、CDDOは「Transforming for a digital future: 2022 to 2025 roadmap for digital and data」(私たちは「ロードマップ」と呼んでいる)を発表し、根本的なデジタル問題のいくつかに対処することを求めている。
Scope of the report 報告書の範囲
This report evaluates government’s approach to addressing the underlying issues of why past attempts at digital transformation have run into problems. We focus on the approach to transforming government, how the Central Digital and Data Office, its Roadmap and departmental leaders will support and promote this, and whether senior business leaders across government have a suitable level of digital capability. 本報告書は、過去のデジタル変革の試みがなぜ問題に陥ったのかという根本的な問題に取り組む政府のアプローチを評価するものである。政府を変革するためのアプローチ、中央デジタル・データ局、そのロードマップ、各部門のリーダーがどのようにこれを支援・推進するか、政府全体の上級ビジネスリーダーが適切なレベルのデジタル能力を備えているかどうかに焦点を当てている。
The report is in three parts: 本報告書は3部構成となっている。
Part One sets out the current landscape, drivers for change and government’s new approach 第1部では、現在の状況、変化の要因、政府の新しいアプローチについて述べている。
Part Two examines how government is undertaking its new approach 第2部では、政府がどのように新しいアプローチに取り組んでいるのかを検証する。
Part Three assesses how the Roadmap is addressing key challenges to digital transformation 第3部では、ロードマップがデジタルトランスフォーメーションの主要な課題にどのように対処しているかを評価する
Conclusions 結論
Government has established CDDO to provide fresh impetus to the digital transformation needed across government. CDDO has created its Roadmap as a framework to start addressing key systemic issues and encourage departments to take more urgent action to understand what will be required. Departments attempting to transform operational services and the associated legacy and data issues will be a major step in addressing the existing inefficiencies. CDDO has also created stronger levers for delivery, with permanent secretary-level sponsors and boards, compared with previous digital strategies. 政府は、政府全体で必要とされるデジタルトランスフォーメーションに新たな弾みをつけるため、CDDOを設立した。CDDOは、主要なシステム上の問題への取り組みを開始するための枠組みとしてロードマップを作成し、何が必要とされるかを理解するために、各省庁がより緊急に行動を起こすことを奨励している。各省庁が業務サービスや関連するレガシーやデータの問題を変革しようとすることは、既存の非効率性に対処するための大きな一歩となる。また、CDDOは、これまでのデジタル戦略と比べて、常任長官レベルのスポンサーや理事会など、より強力な実現手段を設けている。
CDDO is laying good foundations but many of the critical and more challenging milestones lie in the future. CDDO’s small budget and headcount are already affecting the intended reforms to government central functions’ treatment of digital programmes. In addition, departments are finding that, in current market conditions, they cannot acquire sufficient digital skills and expertise in their teams. CDDOは良い土台を築きつつあるが、重要でより困難なマイルストーンの多くは今後にある。CDDOの予算と人数が少ないため、政府の中央省庁がデジタルプログラムを扱う際に意図した改革にすでに影響を与えている。また、各省庁は、現在の市場環境では、チーム内で十分なデジタルスキルや専門知識を習得できないことに気づいている。
It is therefore too early to say if the aims of the Roadmap can be achieved. Many business leaders do not yet have the expertise required to comprehend and tackle the challenges the civil service faces in a digital age. Stronger digital expertise and capacity-building, sustained support from the centre of government and the continued goodwill of department senior business leaders are needed to maintain momentum. Without these, the Roadmap will peter out as its predecessors have done and government is unlikely to address the systemic issues and achieve the efficiencies the Roadmap has identified. したがって、ロードマップの目的が達成できるかどうかを判断するのは時期尚早である。多くのビジネスリーダーは、デジタル時代に公務員が直面する課題を理解し、それに取り組むために必要な専門知識をまだ持っていない。この勢いを維持するためには、デジタルに関するより強力な専門知識と能力開発、政府中央からの持続的な支援、そして省庁の上級ビジネスリーダーの継続的な好意が必要である。これらがなければ、ロードマップは前任者と同様に頓挫し、政府はロードマップが特定したシステム的な問題に取り組み、効率化を達成することは難しいだろう。

 

・[PDF] Report - Digital transformation in government

20230314-45536

 

概要版

・[PDF] Summary - Digital transformation in government 

20230314-45649

・[DOCX] 本文仮訳

 

 

プレスリリース

・2023.03.10 Digital transformation in government: addressing the barriers to efficiency

Digital transformation in government: addressing the barriers to efficiency 政府におけるデジタルトランスフォーメーション:効率化を阻む障壁への対応
For government to realise billions of pounds in efficiency savings, those running departments need to improve their understanding of digital transformation, a new NAO report says. 政府が数十億ポンドの効率化を実現するためには、各省庁を運営する人々がデジタルトランスフォーメーションへの理解を深める必要があると、英国会計検査院の新しい報告書が述べている。
‘Digital transformation in government: addressing the barriers to efficiency’ welcomes the stronger central function the Central Digital and Data Office’s (CDDO) provides in leading digital transformation. It also commends the CDDO’s fresh approach to helping government departments address longstanding challenges to digital transformation through its 2022 to 2025 roadmap for digital and data. 政府におけるデジタルトランスフォーメーション:効率化への障壁への対処」は、デジタルトランスフォーメーションを主導する中央デジタル・データ局(CDDO)の中央機能の強化を歓迎している。また、デジタルとデータのための2022年から2025年のロードマップを通じて、政府部門がデジタル変革に対する長年の課題に取り組むのを支援するCDDOの新しいアプローチも評価されている。
Earlier digital transformation attempts across government often prioritised simpler online interactions and merely layered new changes on top of existing services using old data and systems. This approach entrenched higher costs and earlier inefficiencies.1 政府全体におけるこれまでのデジタルトランスフォーメーションの試みは、よりシンプルなオンラインでのやり取りを優先し、古いデータやシステムを使った既存のサービスの上に、新しい変化を重ねるだけということが多かった。このアプローチは、より高いコストとより早い非効率性を定着させるものだった1。
The UK’s independent public spending watchdog has previously reported on the barriers to successful digital transformation and its effect on departments’ operations and efficiency. Our July 2021 report on ‘The challenges in implementing digital change’ identified six key areas of concern, concluding that successive government strategies demonstrated “a consistent pattern of underperformance” over a quarter of a century. 英国の独立した公共支出監視機関は、デジタル・トランスフォーメーションを成功させるための障壁と、それが各省庁の業務と効率に及ぼす影響について、以前に報告した。2021年7月に発表した「デジタル変革の実施における課題」に関する報告書では、懸念される6つの主要分野を特定し、歴代の政府戦略が四半世紀にわたって「一貫した低パフォーマンスのパターン」を示していると結論付けている。
Digital change involves levels of complexity, uncertainty and risk which are often unique to each specific programme due to legacy systems,2 existing operations and the difficulties of integration. These are complex and deep-rooted issues which take time to address and must be properly addressed by transformation programmes’ governance structures. デジタル変革には、レガシーシステム、2 既存の業務、統合の難しさなどのために、しばしば特定のプログラムごとに固有の複雑さ、不確実性、リスクのレベルが含まれます。これらは複雑で根深い問題であり、対処に時間がかかるため、変革プログラムのガバナンス構造で適切に対処する必要がある。
The NAO’s latest report finds that most digital change decisions in government are made by generalist leaders who lack the expertise to fully comprehend and tackle digital challenges. Government should build digital capability and support for non-specialist leaders to understand the issues posed by legacy data and systems. The report urges individual departments to appoint at least one non-executive director with digital, data and technology expertise and ensure that membership of their most senior decision-making board includes at least one senior digital leader. NAOの最新報告書によると、政府におけるデジタル変革の意思決定のほとんどは、デジタル課題を十分に理解し、取り組むための専門知識を持たない一般論的なリーダーによって行われているとのことである。政府は、レガシーデータやシステムがもたらす問題を理解するために、専門家ではないリーダーに対してデジタル能力を構築し、サポートする必要がある。報告書は、各省庁に対し、デジタル、データ、テクノロジーの専門知識を持つ非常勤取締役を少なくとも1名任命し、最高意思決定機関のメンバーに少なくとも1名のシニアデジタルリーダーが含まれるようにすることを求めている。
The report also shows that the government already has a specialist skills deficit, only 4% of civil servants are digital professionals, compared with an industry average of between 8% and 12%. There is a major digital skills shortage in the UK. The number of government digital vacancies rose from 3,900 in April 2022. また、報告書によると、政府はすでに専門的なスキル不足に陥っており、業界平均が8%から12%であるのに対し、公務員のうちデジタル専門家はわずか4%である。英国では大規模なデジタルスキル不足が発生している。政府のデジタル欠員数は、2022年4月の3,900名から増加した。
"The creation of the Central Digital and Data Office provides fresh impetus for digital transformation across government. Its roadmap is a good step towards addressing systemic issues and encouraging departments to take action." 中央デジタル・データ局 の設立は、政府全体のデジタル変革に新たな弾みをつけるものである。そのロードマップは、システム的な問題に対処し、各部門に行動を促すための良い一歩となる。"
"However, to maintain momentum, government needs stronger digital expertise and sustained support from senior departmental leaders. Otherwise, these latest efforts will peter out and government will not achieve the savings and efficiencies that digital transformation has long promised.” しかし、勢いを維持するために、政府はより強力なデジタル専門知識と、各部門の上級指導者による持続的な支援を必要としている。そうでなければ、こうした最新の努力は空回りし、政府はデジタルトランスフォーメーションが長年約束してきた節約と効率化を達成することはできないだろう。
Gareth Davies, head of the NAO NAO責任者 ガレス・デイヴィス
Full report 全文表示
Digital transformation in government: addressing the barriers to efficiency 政府におけるデジタルトランスフォーメーション:効率化を阻む障壁への対応
Notes for editors 編集後記
Press notices and reports are available from the date of publication on the NAO website. Hard copies can be obtained by using the relevant links on our website. プレスリリースや報告書は、発行日からNAOのウェブサイト上で入手可能である。ハードコピーは、ウェブサイトの関連リンクを使用して入手することができます。
1. HM Treasury’s 2021 Spending Review made a commitment to invest £8bn in digital, data and technology transformation by 2025. 1. HM Treasuryの2021年のSpending Reviewでは、2025年までにデジタル、データ、テクノロジーの変革に80億ポンドを投資することが約束された。
2. Government defines systems as being legacy if no longer supporting the business service due to being not cost-effective, hard to maintain, above an acceptable risk threshold or an end-of-life product. 2. 政府は、費用対効果が悪い、保守が困難、許容できるリスクの閾値を超えた、または耐用年数が過ぎた製品などの理由で、ビジネスサービスをサポートしなくなったシステムをレガシーと定義している。

 

トラディショナル vs デジタル

1_20230314050601

 

 

| | Comments (0)

2023.03.13

サイバー軍 ポール・M・ナカソネ将軍の姿勢表明

こんにちは、丸山満彦です。

U.S.サイバー軍のポール・M・ナカソネ将軍が、姿勢表明をしていますね。。。

U.S. Cyber Command

・2023.03.07 POSTURE STATEMENT OF GENERAL PAUL M. NAKASONE

POSTURE STATEMENT OF GENERAL PAUL M. NAKASONE ポール・M・ナカソネ将軍の姿勢表明
Ft. George G. Meade, MD  –   フォート・ジョージ・G・ミード(MD)-。  
Chairman Reed, Ranking Member Wicker and distinguished members of the committee, thank you for your enduring support and the opportunity to represent the men and women of U.S. Cyber Command (USCYBERCOM). I am honored to be here beside Assistant Secretary of Defense Christopher Maier and General Bryan Fenton. I look forward to describing how USCYBERCOM continues to deliver return on investment by using the authorities and resources provided by Congress and highlighting the work ahead for 2023. リード委員長、ウィッカー委員長、そして委員会の各位、皆様の変わらぬご支援と、米国サイバー軍(USCYBERCOM)の男女を代表する機会をいただき、ありがとうございます。クリストファー・マイヤー国防次官補とブライアン・フェントン大将と一緒にここにいられますことを光栄に思います。私は、USCYBERCOMが議会から提供された権限と資源を利用して、どのように投資対効果を上げ続けているかを説明し、2023年に向けての作業を強調することを楽しみにしています。
Guided by the National Defense Strategy, USCYBERCOM focuses on building enduring advantages through campaigning to support Integrated Deterrence. USCYBERCOM acts against foreign adversaries that threaten our nation and expands capability through cooperation with federal, private and allied partners. We seek to outmaneuver our adversaries as they look for opportunities to exploit the United States’ dependence on data and networks in critical infrastructure, the Defense Industrial Base and private industry. 国家防衛戦略に基づき、USCYBERCOMは統合抑止力を支援するキャンペーンを通じて、永続的な優位性を築くことに重点を置いています。USCYBERCOMは、我が国を脅かす外国の敵対勢力に対して行動し、連邦政府、民間、同盟国のパートナーとの協力を通じて能力を拡大します。重要なインフラ、国防産業基盤、民間産業におけるデータとネットワークへの米国の依存を悪用する機会を狙っている敵対者を出し抜くことを目指します。
USCYBERCOM is the nation’s premier military cyber force—one whose world- class talent and strategic partnerships defend U.S. interests while delivering warfighting advantage to the Department of Defense (DoD). It executes its mission along four lines of effort to create and maintain advantage against our adversaries: USCYBERCOMは、世界トップクラスの人材と戦略的パートナーシップによって米国の利益を守り、国防総省(DoD)に戦闘上の優位性をもたらす、米国随一の軍事サイバー部隊です。サイバー部隊は、敵対勢力に対して優位に立ち、それを維持するために、4つの努力ラインで任務を遂行します。
・We generate insights and options in defense of the nation; ・私たちは、国家を防衛するために、洞察力と選択肢を生み出します。
・We secure, operate and defend the Department of Defense Information Network (DoDIN), ensuring mission advantage for the Department of Defense; ・私たちは、国防総省の情報ネットワーク(DoDIN)を確保、運用、防衛し、国防総省のミッションの優位性を確保します。
・We develop options for full-spectrum cyberspace operations to assist Combatant Commanders and the Joint Force to achieve their objectives; and ・私たちは、戦闘指揮官と統合軍が目的を達成するのを支援するため、全領域のサイバースペース作戦のオプションを開発します。
・We boost the strength of America’s allies and partners in cyberspace. ・私たちは、サイバースペースにおけるアメリカの同盟国やパートナーの強さを後押しします。
USCYBERCOM will build up its people, partners and decisive advantage. The Command directs operations through its components. These include the Cyber National Mission Force (CNMF); Joint Force Headquarters-DoD Information Network (JFHQ-DoDIN), the commander for which is dual-hatted as the Director of the Defense Information Systems Agency); Joint Task Force Ares and other Joint Force headquarters elements. The commanders of Army Cyber Command, Marine Corps Forces Cyberspace Command, Fleet Cyber Command/Tenth Fleet, Air Forces Cyber/16th Air Force and Coast Guard Cyber Command also lead their Service cyber components. USCYBERCOMは、人材、パートナー、決定的な優位性を築き上げます。司令部は、その構成要素を通じて作戦を指示します。これらは、サイバー国家任務部隊(CNMF)、統合軍本部-国防情報ネットワーク(JFHQ-DoDIN)、その司令官は国防情報システム局長官として兼任しています)、統合任務部隊アレスと他の統合軍本部要素を含みます。陸軍サイバー司令部、海兵隊サイバー空間司令部、艦隊サイバー司令部/第10艦隊、空軍サイバー/第16空軍、沿岸警備隊サイバー司令部の司令官も、各軍のサイバー部門を率いています。
Operational success in the cyberspace domain demands speed, agility and unity of effort. Hence, the roles, missions and responsibilities of USCYBERCOM and National Security Agency (NSA) must be mutually supportive in this mission space. A recent report on the dual- hat leadership structure completed by a Secretary of Defense and Director of National Intelligence-directed Senior Steering Group (comprising defense and intelligence leaders) found “substantial benefits that present compelling evidence for retaining the existing structure.” The successes that USCYBERCOM and NSA have experienced in defending our elections, in engaging ransomware actors, and in many other missions with the other Combatant Commands,rest on the alignment of USCYBERCOM and NSA. The Senior Steering Group highlighted these accomplishments for the Secretary of Defense and Director of National Intelligence, finding that the dual-hat structure is in the best interests of USCYBERCOM, NSA and the nation. Success in protecting the national security of the United States in cyberspace would be more costly and less decisive with two separate organizations under two separate leaders. The enduring relationship is vital for both organizations to meet the strategic challenges of our adversaries as they mature their capabilities against the United States. サイバースペース領域における作戦の成功には、スピード、敏捷性、努力の統一が求められます。したがって、USCYBERCOM と国家安全保障局(NSA)の役割、任務、責任は、この任務空間において相互に支援し合うものでなければなりません。国防長官と国家情報長官が指揮する上級運営グループ(国防と情報機関のリーダーで構成)が完成させた二重帽子の指導体制に関する最近の報告書は、「現行の体制を維持するための説得力のある証拠を示す実質的な利点」を発見しました。USCYBERCOM と NSA が、選挙防衛、ランサムウェア対策、その他多くのミッションにおいて、他の戦闘司令部との連携で経験した成功は、USCYBERCOM と NSA の連携に基づくものです。上級運営グループは、国防長官と国家情報長官に対してこれらの成果を強調し、二重帽子構造が USCYBERCOM、NSA、そして国家にとって最善の利益であることを明らかにしました。サイバースペースにおける米国の国家安全保障を守るためには、2つのリーダーによる2つの別々の組織では、よりコストがかかり、決定的な成果は得られないでしょう。両組織にとって、敵対者が米国に対する能力を成熟させていく中で、戦略的課題に対処するためには、永続的な関係が不可欠です。
Present and Future 現在と未来
USCYBERCOM persistently engages adversaries, countering cyber actors and their affiliates who are seeking to harm the United States, its interests and its allies. Skilled and dangerous cyber actors exist, many of them serving foreign military and intelligence organizations. USCYBERCOM provides options to counter malicious actors who exploit cyberspace to support their intelligence operations, steal intellectual property, promote violent extremism, impair democratic processes, coerce perceived rivals and fund transnational illegal conduct. USCYBERCOM は、米国とその利益、そして同盟国に危害を加えようとするサイバーアクターとその関係者に対抗し、敵対勢力と粘り強く交戦する姿勢を貫いています。熟練した危険なサイバー行為者は存在し、その多くは外国の軍事組織や諜報組織に仕えています。USCYBERCOMは、サイバー空間を悪用して諜報活動を支援し、知的財産を盗み、暴力的過激主義を促進し、民主的プロセスを損ない、ライバルと思われる者を強制し、国境を越えた違法行為に資金を提供する悪質な行為者に対抗するオプションを提供しています。
The National Defense Strategy named the People’s Republic of China (PRC) as our military’s pacing challenge. The PRC combines authoritarianism with a revisionist foreign policy and stands as the only competitor with both the intent and power to reshape the global order to its advantage. Its rapidly modernizing military is building capabilities far in excess of China’s defense needs while supporting Beijing’s coercive diplomacy. Competition with the PRC takes place on a global scale, and although that contest remains below the threshold of armed conflict, it is nonetheless strategic in its effects and its implications. PRC-sponsored cyber actors represent a sophisticated and growing threat to the United States’ and allies’ interests. 国家防衛戦略では、中華人民共和国(PRC)を我が軍のペース配分上の課題として挙げています。中華人民共和国は権威主義と修正主義的な外交政策を併せ持ち、世界秩序を有利に再編成する意図と力を併せ持つ唯一の競争相手として立っています。急速に近代化する軍隊は、中国の防衛ニーズをはるかに超える能力を構築し、北京の強圧的な外交を支えています。中国との競争は世界規模で行われており、その争いは武力紛争の閾値以下ではありますが、それでもその影響と意味合いにおいて戦略的です。中国が支援するサイバー・アクターは、米国と同盟国の利益に対する高度で増大する脅威です。
China is learning from Russian actions in Ukraine and elsewhere. The National Defense Strategy calls Russia an acute threat to the free and open global system, noting that Moscow flouts international norms with its destabilizing actions. Russia’s aggression in Ukraine threatens the peace and stability of Europe. The U.S. and our allies are working to ensure the strategic failure of their attempt to change the status quo by violence. 中国は、ウクライナやその他の地域におけるロシアの行動から学んでいます。国家防衛戦略は、ロシアを自由で開かれた世界システムに対する深刻な脅威と呼び、モスクワが国際規範を無視した不安定な行動を取っていることを指摘しています。ウクライナにおけるロシアの侵略は、ヨーロッパの平和と安定を脅かしています。米国と同盟国は、暴力によって現状を変えようとする彼らの試みが戦略的に失敗するように取り組んでいます。
Russia’s military and intelligence cyber forces are skilled and persistent. Russia has attempted to influence elections, through malign activities, in the United States and Europe and has enabled intelligence collection on a global scale. Moscow has a high tolerance for risk and collateral damage in its cyber operations. This boldness is evident in Russia’s indiscriminate cyberattack on Viasat satellite communications in Ukraine and across Europe in support of the invasion of Ukraine last year. ロシアの軍事・情報サイバー部隊は熟練しており、執拗です。ロシアは米国と欧州で悪意あります活動を通じて選挙に影響を与えようとし、世界的な規模で情報収集を可能にしてきた。モスクワは、サイバー作戦におけるリスクと巻き添え被害に対して高い耐性を持っています。この大胆さは、昨年のウクライナ侵攻を支援するために、ロシアがウクライナと欧州全域のViasat衛星通信を無差別にサイバー攻撃したことに表れています。
Russia and Ukraine are engaged in a complex struggle in cyberspace that includes significant support from independent actors. Before the crisis unfolded, USCYBERCOM partnered with U.S. European Command (USEUCOM) and Ukraine by deploying “hunt forward” cyber experts to assist Ukraine’s efforts to harden their networks against Russian aggression. Since the crisis began, USCYBERCOM has focused on defending secure communications capabilities at USEUCOM and Ukraine – ensuring the posture of our nation’s nuclear command and control and strengthening DoDIN defense. ロシアとウクライナは、独立したアクターからの大きな支援を含む、サイバースペースにおける複雑な闘争に従事していています。危機の発生前、USCYBERCOMは米欧州軍(USEUCOM)およびウクライナと協力し、ロシアの侵略に対してネットワークを強化するウクライナの努力を支援する「ハントフォワード」サイバー専門家を配備した。危機が始まって以来、USCYBERCOMはUSEUCOMとウクライナの安全な通信機能の防御に重点を置き、わが国の核指揮統制の態勢を確保し、DoDINの防御を強化しています。
The National Defense Strategy emphasizes our enduring commitment to deterring aggression in the Middle East and promoting stability in East Asia. Iran remains a destabilizing force in its region, and its cyber actors are proficient and aggressive. Tehran’s paramilitary and intelligence forces sponsor a variety of malicious cyber activities against Iran’s neighbors and against the United States, as we saw in last year’s midterm election. Pyongyang also maintains cyber forces supported by North Korean information technology workers dwelling in other countries. They remain a threat, although much of their recent activity has been devoted to evading international sanctions by stealing cryptocurrency for the regime’s use. 国家防衛戦略は、中東における侵略を抑止し、東アジアの安定を促進するという我々の永続的なコミットメントを強調します。イランは依然としてこの地域の不安定化要因であり、そのサイバーアクターは熟達し攻撃的です。テヘランの準軍事組織や情報機関は、昨年の中間選挙で見られたように、イランの近隣諸国や米国に対するさまざまな悪意のありますサイバー活動を支援しています。また、平壌は、他国に滞在する北朝鮮の情報技術者に支えられたサイバー部隊を維持しています。最近の彼らの活動の多くは、政権が使用する暗号通貨を盗むことによって国際的な制裁を回避することに費やされているが、彼らは依然として脅威です。
Non-state actors also remain a threat in cyberspace. International cybercrime, often organized or executed by actors in Russia, continues to be a concern. USCYBERCOM and NSA enable efforts by the Department of Treasury, the Federal Bureau of Investigation (FBI) and other partners to disrupt ransomware, cryptocurrency theft and other criminal activities. In addition, violent extremist groups are also active in cyberspace. The Islamic State in Iraq and Syria, al Qaida and associated terrorist groups maintain the intent to target Americans, although their capabilities have been eroded. Our Marine component, JFHQ-C (Marines), works with allies and partners to disrupt violent extremist group mobilization online and to support diplomatic efforts. 非国家主体もまた、サイバースペースにおいて脅威であり続けています。国際的なサイバー犯罪は、しばしばロシアの行為者によって組織または実行され、引き続き懸念事項となっています。USCYBERCOMとNSAは、財務省、連邦捜査局(FBI)、その他のパートナーによる、ランサムウェア、暗号通貨窃盗、その他の犯罪行為を妨害する取り組みを支援しています。さらに、暴力的な過激派グループもサイバースペースで活動しています。イラクとシリアのイスラム国、アルカイダ、および関連するテロ集団は、その能力は低下していますものの、米国人を標的とする意図を維持しています。海兵隊の構成部隊ですJFHQ-C(Marines)は、同盟国やパートナーと協力し、オンラインでの暴力的過激派グループの動員を妨害し、外交努力を支援しています。
USCYBERCOM is fully engaged in its efforts to defend the DoDIN, disrupt adversary campaigns to harm America and its interests, enhance our partners’ defense, and support Joint Force objectives in cyberspace. Authoritarian adversaries feel threatened by the freedoms that democratic states regard as commonplace, and thus they not only deny such freedoms to their own people, they campaign in cyberspace to impugn the legitimacy of democratic societies and to intimidate opposition at home and abroad. As the National Defense Strategy suggests, it will take a whole-of-government – and indeed, a whole-of-nation – effort to bend this trajectory back toward international respect for the principles of the United Nations Charter. USCYBERCOMは、DoDINを防衛し、米国とその利益を害する敵のキャンペーンを妨害し、パートナーの防衛を強化し、サイバー空間における統合軍の目標を支援するための取り組みに完全に従事しています。権威主義的な敵対勢力は、民主主義国家が当たり前のように考えている自由を脅威に感じ、そのような自由を自国民に否定するだけでなく、サイバースペースで民主主義社会の正統性を貶め、国内外の反対者を威圧するキャンペーンを行う。防衛戦略が示唆するように、この軌道を国際連合憲章の原則を尊重する方向に戻すには、政府全体、いや、国家全体が努力する必要があります。
Defense of the Nation 国家の防衛
Defending the nation is paramount among our missions. It means defending our military systems, networks and the critical infrastructure that enable national security. Every Combatant Command’s operational plan across the Department assumes that our commanders will be able to leverage data and communicate orders and data rapidly and securely across the battlefield. In this regard, USCYBERCOM plays a crucial role in the defense of military systems, networks and data. 国を守ることは、私たちの使命の中でも最も重要なことです。それは、国家の安全保障を可能にする軍事システム、ネットワーク、重要なインフラを守ることを意味します。米軍全体の戦闘司令部の作戦計画は、指揮官がデータを活用し、命令やデータを迅速かつ安全に戦場に伝達できることを前提としています。この点で、USCYBERCOMは軍事システム、ネットワーク、データの防衛において重要な役割を担っています。
USCYBERCOM and NSA collaborated in defense of the 2022 midterm election. Foreign attempts to meddle in our electoral process via cyber means escalated in 2016 and have persisted in every election cycle since. USCYBERCOM expects them to continue into the future as the prospect of distracting our leaders, pitting Americans against one another on divisive issues and undermining public trust in the democratic process is too tempting for foreign adversaries. USCYBERCOM seeks to render these campaigns inconsequential, in conjunction with the FBI and Department of Homeland Security Cybersecurity and Infrastructure Security Agency (DHS/CISA) partners. USCYBERCOMとNSAは、2022年の中間選挙の防衛で協力した。サイバー手段で我々の選挙プロセスに干渉する外国の試みは、2016年にエスカレートし、それ以来、すべての選挙サイクルで持続しています。USCYBERCOMは、指導者の注意をそらし、分裂した問題でアメリカ人を対立させ、民主的プロセスに対する国民の信頼を損なうという見通しは、外国の敵対者にとってあまりにも魅力的ですため、今後も続くと予想しています。USCYBERCOMは、FBIや国土安全保障省サイバーセキュリティ・基盤セキュリティ局(DHS/CISA)のパートナーと連携し、こうしたキャンペーンを無に帰すことを目指しています。

In 2022, USCYBERCOM and NSA teams staffed a combined Election Security Group (ESG) to coordinate cybersecurity, intelligence and operations. The efforts of the ESG enabled DHS and the FBI, among other domestic partners, to defend electoral processes and take action against foreign actors working to subvert the midterms. The 2022 midterms progressed from primaries to certifications without significant foreign malign influence or interference.

2022年、USCYBERCOMとNSAのチームは、サイバーセキュリティ、情報、作戦を調整するために、選挙セキュリティ・グループ(ESG)を統合して配置しました。ESGの努力により、DHSとFBI、その他の国内パートナーは、選挙プロセスを守り、中間選挙を妨害しようとする外国のアクターに対処することができました。2022年の中間選挙は、外国の重大な悪意あります影響や干渉を受けることなく、予備選挙から認証まで進行しました。
The Cyber National Mission Force (CNMF) played an important role in the defense of the midterms and is vital to many of our other efforts as well. CNMF conducts missions to counter malicious cyberspace actors and covers both the offensive and defensive aspects of our defend-the-nation mission set. USCYBERCOM established the CNMF as a subordinate unified command on December 19, 2022 at the direction of the Secretary of Defense. Elevating the CNMF to the status of a sub-unified command not only recognized the importance of its enduring mission, it gave the CNMF greater ability to manage its personnel and readiness and to request manpower, funding and resources through DoD processes. サイバー・ナショナル・ミッション・フォース(CNMF)は、中間選挙の防衛において重要な役割を果たし、他の多くの取り組みにも不可欠な存在となっています。CNMFは、悪意のありますサイバー空間関係者に対抗する任務を遂行し、国家防衛の任務の攻撃的側面と防御的側面の両方をカバーしています。USCYBERCOMは、国防長官の指示により、2022年12月19日にCNMFを下位統一司令部として設立しました。CNMFを下位統一司令部の地位に昇格させることは、その永続的な任務の重要性を認識するだけでなく、CNMFの人員と即応性を管理し、DoDプロセスを通じて人員、資金、資源を要求する能力を向上させることになりました。
Since 2018, the CNMF has deployed hunt forward teams 40 times to 21 countries to work on 59 networks, generating insights and imposing costs on common adversaries. These partner-enabled operations have exposed malicious cyber activity by China, Russia, Iran and cyber criminals; made partner-nation networks more secure; increased our global cybersecurity partnerships; led to the public release of more than 90 malware samples for analysis by the cybersecurity community and ultimately kept us safer here at home. In competition, there is no substitute for sharing accurate, timely and actionable intelligence to expose adversarial activity with like-minded domestic and international partners. 2018年以降、CNMFはハントフォワードチームを21カ国に40回展開し、59のネットワークに取り組み、洞察を得て、共通の敵対者にコストを課しています。これらのパートナー対応作戦は、中国、ロシア、イラン、サイバー犯罪者による悪質なサイバー活動を暴露し、パートナー国のネットワークをより安全にし、グローバルなサイバーセキュリティパートナーシップを強化し、サイバーセキュリティコミュニティの分析のために90以上のマルウェアサンプルを一般公開することにつながり、最終的にここ自国をより安全に保つことになりました。競争においては、敵対的な活動を暴露するための正確でタイムリーかつ実用的な情報を、同じ考えを持つ国内外のパートナーと共有することに代わるものはありません。
Last year, we created a combined USCYBERCOM-NSA China Outcomes Group to oversee this shift. The China Outcomes Group aligns components in USCYBERCOM and NSA, enhances intelligence insights, improves cybersecurity and delivers operational outcomes for the nation. Resources are prioritized and focused on deterring and countering the PRC’s aggressive behavior. 昨年、私たちはこのシフトを監督するために、USCYBERCOMとNSAを統合した中国成果グループを設立しました。中国成果グループは、USCYBERCOMとNSAの各コンポーネントを調整し、情報洞察を強化し、サイバーセキュリティを向上させ、国家のための作戦成果を提供するものです。リソースは、中国の攻撃的な行動を抑止し、それに対抗することに優先順位をつけ、集中させます。
Cyberspace is a global domain. Adversaries often penetrate privately-owned networks and devices, using ever-increasing technical capabilities to disrupt operations or gain illicit value via activities such as intellectual property theft, targeting of personal information and installation of ransomware. USCYBERCOM is working under recently expanded statutory authorities and aligning efforts with NSA’s Cybersecurity Directorate to bolster companies’ ability to defend themselves against exploitation by cyber actors. This collaboration and broad sharing of insights with the private sector provides mutual benefits. An example of this is our UNDERADVISEMENT program, which links cybersecurity expertise across industry and government, leading to several operational successes as well as pointing the owners of victim systems toward threats that they can eradicate. In conjunction, NSA’s Cybersecurity Directorate runs its Cybersecurity Collaboration Center to share best practices with industry partners and gain additional insights into the technical challenges they are encountering. サイバースペースはグローバルな領域です。敵対者はしばしば個人所有のネットワークや機器に侵入し、増え続ける技術力を駆使して、知的財産の窃盗、個人情報の標的化、ランサムウェアのインストールなどの活動を通じて、業務を妨害したり不正な価値を得たりします。USCYBERCOMは、最近拡大した法的権限のもと、NSAのサイバーセキュリティ部門と連携して、サイバーアクターによる搾取から企業を守る能力を強化するための取り組みを行っています。このような民間企業との連携や幅広い見識の共有は、相互に利益をもたらします。この例として、産業界と政府間のサイバーセキュリティの専門知識を結びつけ、いくつかの運用上の成功に導くとともに、被害システムの所有者が根絶できる脅威を指し示す、我々のUNDERADVISEMENTプログラムが挙げられます。また、NSAのサイバーセキュリティ部門は、サイバーセキュリティ・コラボレーション・センターを運営しており、業界のパートナーとベストプラクティスを共有し、彼らが遭遇しています技術的課題に対するさらなる洞察を得ています。

Strategic Initiatives

戦略的イニシアティブ
The success of our operations to support the National Defense Strategy depends on training and readiness. We have prioritized improving the readiness of our cyber forces since USCYBERCOM became a unified Combatant Command in 2018, and there has been progress in the last several years. The staffing and training of our teams are improving. In addition, USCYBERCOM has enhanced its ability to monitor the status of the Cyber Mission Force (CMF) at the team, mission element and individual levels. USCYBERCOM is crafting standards for cybersecurity defenders across the DoD Cyberspace Operations Forces Service-retained cyber forces. The creation of these standards will improve the ability to defend networks while enabling our CMF teams to hunt foreign adversaries where they hide and foster a culture of innovation, collaboration and compliance that USCYBERCOM seeks to build. 国家防衛戦略を支援するための作戦の成功は、訓練と即応性に依存します。2018年にUSCYBERCOMが統一戦闘司令部になったときから、私たちはサイバー部隊の即応性を高めることを優先しており、ここ数年、進展があった。チームの人員配置とトレーニングは改善されています。また、USCYBERCOMは、チーム、ミッションエレメント、個人レベルでサイバー・ミッション・フォース(CMF)の状況を監視する能力を強化しました。USCYBERCOMは、国防総省のサイバー空間作戦軍サービス保持のサイバー部隊全体のサイバーセキュリティ防衛者の基準を作成しています。これらの基準の作成は、ネットワークの防御能力を向上させるとともに、CMFチームが外国人敵対者の潜伏先を探し、USCYBERCOMが築こうとするイノベーション、コラボレーション、コンプライアンスの文化を醸成することを可能にします。
Strong partnerships are crucial to cyberspace operations. When working in unison, our diplomatic, military, law enforcement, homeland security and intelligence capabilities make a powerful combination that can disrupt the plans of malicious cyber actors. As we saw in our collective defense of the 2022 midterm election, such effects become even more decisive when we include our allies and foreign partners. Their reach often exceeds our own, especially in host- nation systems. As part of our regional engagement strategy in the Indo-Pacific, we are working closely with partners such as Australia, Japan and South Korea to share information that will impose costs on foreign adversaries. Likewise, we continue to do the same with other partners in Europe and Asia. We are also working to enhance partnerships with academia and industry experts who assist us in concept and capability development. 強力なパートナーシップは、サイバースペース作戦に不可欠です。外交、軍事、法執行、国土安全保障、諜報の各機能が一体となって機能すれば、悪意ありますサイバー行為者の計画を妨害することができる強力な組み合わせとなる。2022年の中間選挙における集団防衛で見られたように、同盟国や外国のパートナーを含めると、こうした効果はさらに決定的なものになります。特にホスト国のシステムにおいて、彼らのリーチはしばしば我々自身のリーチを超える。インド太平洋における地域関与戦略の一環として、私たちはオーストラリア、日本、韓国などのパートナーと緊密に連携し、外国の敵対勢力にコストを課す情報を共有しています。同様に、欧州やアジアの他のパートナーとも同じことを続けています。また、コンセプトや能力開発を支援してくれる学界や産業界の専門家とのパートナーシップの強化にも取り組んでいます。
Implementing USCYBERCOM’s Service-like authorities will allow it to deliver priority capabilities with agility and at speed. In Fiscal Year 2024, USCYBERCOM will assume control of the resources for the Cyber Mission Force cyberspace operations and capabilities. Enhanced budgetary control (EBC) gives USCYBERCOM the ability to directly allocate resources for greater efficiencies during the Department’s programming phase and ensure they remain aligned with priorities through execution. EBC will lead to better alignment between USCYBERCOM responsibilities and authorities for cyberspace operations. USCYBERCOMのサービス的な権限を導入することで、優先的な能力を機敏かつ迅速に提供することができる。2024年度には、USCYBERCOMはサイバー・ミッション・フォースのサイバー空間での作戦と能力のための資源を管理することになる。予算管理の強化(EBC)により、USCYBERCOMは、省庁の計画段階でより効率的に資源を直接配分し、実行まで優先事項との整合性を保つことができるようになります。EBCは、サイバー空間作戦に関するUSCYBERCOMの責任と権限の間の整合性を高めることにつながる。
Expanding USCYBERCOM’s role in acquisition is another important step in the implementation of Service-like authorities. The Joint Cyber Warfighting Architecture (JCWA) is USCYBERCOM’s premier platform that enables Cyber Operations Forces to conduct full- spectrum cyberspace operations. The Under Secretary of Defense for Acquisition and Sustainment is granting USCYBERCOM greater technical responsibility and authority to direct the development, integration and fielding of critical capabilities and infrastructure in the JCWA. Included in the Fiscal Year 2023 National Defense Authorization Act is a provision directing the establishment of a Program Executive Office (PEO) within USCYBERCOM. This PEO would assume Service-like acquisition decision authority for JCWA program components by Fiscal Year 2027. 取得における USCYBERCOM の役割を拡大することも、サービス的権限の実施における重要なステップです。統合サイバー戦闘アーキテクチャ(JCWA)は、サイバー作戦部隊が全領域のサイバー空間作戦を実施することを可能にするUSCYBERCOMの主要なプラットフォームです。国防次官(取得・維持担当)は、USCYBERCOMに対し、JCWAにおける重要な能力およびインフラの開発、統合、実戦投入を指示する技術的責任と権限をより大きく付与しています。2023会計年度の国防権限法には、USCYBERCOM内にプログラムエグゼクティブオフィス(PEO)を設立することを指示する条項が含まれています。この PEO は、2027 年度までに JCWA プログラムの構成要素について、サービス的な取得決定権 を持つことになる。
USCYBERCOM depends on support from the National Guard and Reserve. Service cyber components employ Reserve Component personnel to support operations and reinforce relationships with government agencies, increasing the synergy between USCYBERCOM and these organizations. In addition, Army Cyber Command benefited from the expertise of civilian data scientists during their mobilizations to support research and development projects that would not typically be possible with traditionally-trained active duty forces. National Guard components on State active duty, and in the State Partnership Program (SPP) work in various efforts to protect state, industry and foreign-partner systems. The SPP offers additional capacity to support increased cyberspace security cooperation activities in support of national defense strategy objectives. We gain valuable insights from the specialized expertise that Reserve Component personnel can bring from their civilian jobs in industry and academia, and such ties have helped us build partnerships across America.  USCYBERCOM は、州兵と予備役からの支援に依存しています。各軍のサイバー部隊は、予備役部隊の人員を採用して作戦を支援し、政府機関との関係を強化することで、USCYBERCOMとこれらの組織の間の相乗効果を高めています。さらに、陸軍サイバー司令部は、従来の訓練を受けた現役部隊では通常不可能な研究開発プロジェクトを支援するために、動員中の民間データ科学者の専門知識の恩恵を受けています。州兵の現役部隊と州パートナーシップ・プログラム(SPP)は、州、産業、外国のパートナー・システムを保護するためのさまざまな取り組みを行っています。SPPは、国家防衛戦略の目標を支援するため、サイバースペースセキュリティ協力活動の強化をサポートする追加能力を提供します。私たちは、予備役職員が産業界や学界の民間職からもたらすことができる専門的な知識から貴重な洞察を得ており、このようなつながりは、アメリカ全土でパートナーシップを築くのに役立っています。
USCYBERCOM recognizes its challenge to grow and develop its military and civilian workforces. Cyber Excepted Service (CES) allows USCYBERCOM to offer cyber professionals opportunities to use their skills and contribute greatly to the national security of the United States. Since CES implementation began, USCYBERCOM has seen positive improvements to the recruiting and hiring timeline. USCYBERCOMは、軍人と民間人の労働力を成長させ、発展させることが課題ですと認識しています。サイバーエクセプテッドサービス(CES)により、USCYBERCOMはサイバー専門家がそのスキルを発揮し、米国の国家安全保障に大きく貢献する機会を提供することができます。CESの導入以来、USCYBERCOMでは募集・採用のタイムラインに前向きな改善が見られました。
Enhancing diversity, equality and inclusion is a priority. USCYBERCOM and NSA cannot afford to overlook or neglect talent wherever it resides nor can we allow workplace challenges of any sort to discourage professionalism or inhibit creativity. Our impact for the nation depends on fostering a wide range of viewpoints and free-ranging debate to encourage innovation and problem-solving, and we will not tolerate harassment in any form or behavior that stifles civil discourse. 多様性、平等性、インクルージョンの強化は優先事項です。USCYBERCOMとNSAは、才能がどこに存在しようとも、それを見過ごしたり、軽視したりする余裕はありません。私たちが国家に与える影響は、イノベーションと問題解決を促進するために、幅広い視点と自由な討論を育むことにかかっています。
Conclusion まとめ
Success for USCYBERCOM will be measured by how effectively foreign adversarial actors are prevented from achieving their strategic objectives. USCYBERCOM will counter adversaries in competition to defuse crises, deter conflict and prevail against aggression. Aligning efforts of both USCYBERCOM and NSA is essential to achieving these goals and is in the best interest of the nation. It all starts with people—the men and women of USCYBERCOM working with NSA and partners here and abroad—We win with People. USCYBERCOMの成功は、外国の敵対行為者が戦略目標を達成するのをいかに効果的に阻止するかによって評価される。USCYBERCOM は、危機を打開し、紛争を抑止し、侵略に打ち勝つために、競合する敵対者に対抗します。USCYBERCOM と NSA の両者の取り組みを一致させることは、これらの目標を達成するために不可欠であり、国家にとって最善の利益となる。それは、NSA や国内外のパートナーと協力する USCYBERCOM の男女、つまり「人」から始まる。「人」で勝つのです。
Last year saw significant maturation for USCYBERCOM, but our work is not done. In 2023, we must continue to focus on our people, our partners and our ability to deliver decisive advantage. We must improve readiness, bolster our resilience and maintain a culture of continuous improvement. We have and will continue to deliver warfighting advantage for the Joint Force and partners throughout the full spectrum of competition, crisis response and conflict. We are doing so by executing our Service-like authorities to build and sustain campaigns in and through cyberspace and the information environment. 昨年は USCYBERCOM が大きく成長した年でしたが、私たちの仕事はまだ終わりではありません。2023年、我々は引き続き、人材、パートナー、そして決定的な優位性をもたらす能力に焦点を当てなければなりません。即応性を高め、レジリエンスを強化し、継続的に改善する文化を維持しなければなりません。私たちは、競争、危機対応、紛争の全領域を通じて、統合軍とパートナーに戦闘上の優位性を提供し続け、今後もそうするつもりです。私たちは、サイバースペースと情報環境を通じてキャンペーンを構築し、維持するためのサービス的権限を実行することによって、これを実現しています。
USCYBERCOM’s efforts to defend against and contest adversary campaigns in and through cyberspace have been enhanced by the support of this Committee. Designing our campaigns to stay in constant contact with foreign adversaries (persistent engagement) and synchronizing Offensive and Defensive Cyberspace Operations with DoD Information Network Operations are the critical initiatives that allow USCYBERCOM to maintain its advantage in cyberspace. These concepts will continue to be key to our effectiveness and are necessary to outmaneuver and outpace our adversaries wherever they are. サイバースペースにおける敵のキャンペーンを防御し、それに対抗するためのUSCYBERCOMの努力は、本委員会の支援によって強化されてきた。海外の敵対勢力と常に接触するようにキャンペーンを設計し(持続的関与)、攻めと守りのサイバースペース作戦を国防総省の情報ネットワーク作戦と同期させることは、USCYBERCOMがサイバースペースでの優位性を維持するための重要な取り組みです。これらのコンセプトは、今後も私たちの有効性の鍵を握るものであり、敵がどこにいようと、敵の裏をかき、追い越すために必要なものです。
The men and women at U.S. Cyber Command are grateful for the support this Committee has given to our Command. We can only succeed with a strong partnership with Congress. Thank you, and I look forward to your questions. 米国サイバー司令部の男女は、本委員会が我々の司令部に与えてくれた支援に感謝しています。我々は、議会との強力なパートナーシップによってのみ成功することができます。ありがとうございます、質問をお待ちしています。

Cyber_20230313030001

 

 

Continue reading "サイバー軍 ポール・M・ナカソネ将軍の姿勢表明"

| | Comments (0)

国土安全保障省 監察官室報告書 「CISAは進展したが、リソース、人員、技術の課題がサイバー脅威の検知と軽減の妨げになる」

こんにちは、丸山満彦です。

国土安全保障省の内部監察官室 (OIG) がCISAについての内部監査報告書を公表していますね。。。

2020年のSolarWindsの侵害発覚後、CISAは大規模なサイバー攻撃によるリスクを検出し軽減する能力を向上させたが、連邦政府のネットワークを保護するための作業は残っている。CISAは、サイバー攻撃に対する連邦機関の防御を調整しているが、SolarWindsの対応により、CISAは脅威に効果的に対応するためのバックアップ通信システム、スタッフ、安全なスペースなど、十分なリソースを有していないことが明らかになったとして、内部監査を実施したようです。。。

で、勧告事項は4つあります。。。

ざっくりいうと、

(1) CISAの業務継続計画と情報システム危機管理計画の策定と実施

(2) CISAの施設の容量が適切かの評価

(3) 人員、資源、情報アクセスのレベルを文書化するための評価の実施

(4) データ分析能力を含む長期計画の立案

We recommend the CISA Director update CISA’s Continuity of Operations Plan and develop and implement an information system contingency plan, to ensure availability of redundant systems, capabilities, and communication methods to use if primary systems or networks are compromised. CISA長官に対し、主要なシステムまたはネットワークが侵害された場合に使用する冗長システム、能力、通信方法の可用性を確保するために、CISAの業務継続計画を更新し、情報システム危機管理計画を策定し、実施することを勧告する。
We recommend the CISA Director require the facility and operations staff conduct an assessment to determine whether secure facility space is appropriately sized and configured to meet operational needs and document any changes necessary for staff to obtain and maintain appropriate access to intelligence information. CISA長官に対し、安全な施設のスペースが運用上のニーズを満たすために適切な大きさと構成になっているかどうかを判断するための評価を実施し、職員が情報情報への適切なアクセスを取得し維持するために必要な変更を文書化することを要求することを勧告する。
We recommend the CISA Director require an assessment to document the levels of staffing, resources, and intelligence access needed for operational divisions, cyber detection and mitigation capabilities, and support functions. CISA長官に対し、運用部署、サイバー検知・緩和能力、支援機能に必要な人員、資源、情報アクセスのレベルを文書化するための評価を要求することを勧告する。
We recommend the CISA Director create and implement a long-term plan for the Cybersecurity Division that includes provisions for ownership, operations, and maintenance of the National Cybersecurity Protection System’s data analytics capabilities. CISA長官に対し、国家サイバーセキュリティ保護システムのデータ分析能力の所有、運用、保守に関する規定を含むサイバーセキュリティ部署の長期計画を作成し実施することを勧告する。

 

Oversignt.gov

・2023.03.08 CISA Made Progress but Resources, Staffing, and Technology Challenges Hinder Cyber Threat Detection and Mitigation

・[PDF]

20230313-20229

・[DOCX] 仮訳

 

 

 

| | Comments (0)

2023.02.28

欧州 EDPB 個人データの越境に関するガイド2つ...

こんにちは、丸山満彦です。

EDPBが、個人データの越境に関するガイドを2つと、ソーシャルメディアのユーザーインターフェース等の設計上の留意点?についてのガイドを公表していますが、今回は個人データの越境に関するガイドの方。。。

(27日には、EDPB 認証のための国家基準および欧州データ保護シールに関するEDPB意見の採択手続きに関する文書も公表しています...多分後ほど...)

また、中国も個人データの越境に関する標準約款に関する発表をしていますが、こちらも後ほど...

 

EDPB

・2023.02.24 EDPB publishes three guidelines following public consultation

EDPB publishes three guidelines following public consultation EDPB、パブリックコンサルテーションの結果、3つのガイドラインを発表
Following public consultation, the EDPB has adopted three sets of guidelines in their final version: EDPBは、パブリック・コンサルテーションを経て、3つのガイドラインを最終版として採択した。
Guidelines on the Interplay between the application of Art. 3 and the provisions on international transfers as per Chapter V GDPR: The Guidelines clarify the interplay between the territorial scope of the GDPR (Art. 3) and the provisions on international transfers in Chapter V. They aim to assist controllers and processors when identifying whether a processing operation constitutes an international transfer, and to provide a common understanding of the concept of international transfers. Following public consultation, the guidelines were updated and further clarifications were added. Most notably, a clarification was added regarding the responsibilities of the controller when the data exporter is a processor. In addition, further examples were added to clarify aspects of direct collection, as well as the meaning of “the data importer is in a third country”. Moreover, an annex was added with further illustrations of the examples included in the guidelines to facilitate understanding. 第3条の適用とGDPR第5章の国際的な移転に関する規定の相互作用に関するガイドライン。3とGDPR第5章の国際移転に関する規定との相互作用に関するガイドライン」である。 本ガイドラインは、GDPRの適用範囲(第3条)と第5章の国際移転に関する規定の相互関係を明確にするもので、管理者と処理者が処理業務が国際移転に該当するかどうかを特定する際に支援し、国際移転の概念に関する共通理解を提供することを目的としている。パブリックコンサルテーションの後、ガイドラインは更新され、さらなる明確化が加えられた。最も注目すべきは、データ越境送信者が処理者である場合の管理者の責任に関する明確化が追加されたことである。さらに、直接収集の側面や、「データの越境受信者が第三国にいる」ことの意味を明確にするために、さらなる例が追加された。さらに、ガイドラインに含まれる例をさらに図解した附属書を追加し、理解を容易にした。
Guidelines on certification as a tool for transfers: The main purpose of these guidelines is to provide further clarification on the practical use of this transfer tool. The guidelines are composed of four parts, each focusing on specific aspects regarding certification as a tool for transfers. The guidelines complement guidelines 1/2018 on certification, which provide more general guidance on certification. Following public consultation, the Guidelines were updated to reflect comments received. 移転のためのツールとしての認証に関するガイドライン。 本ガイドラインの主な目的は、この移転ツールの実用的な使用方法をさらに明確にすることである。本ガイドラインは4つのパートで構成され、それぞれが譲渡のためのツールとしての認証に関する特定の側面に焦点を当てている。本ガイドラインは、認証に関するより一般的なガイダンスを提供する、認証に関するガイドライン1/2018を補完するものである。パブリックコンサルテーションの後、寄せられたコメントを反映して、ガイドラインは更新された。
Guidelines on deceptive design patterns in social media platform interfaces: The guidelines offer practical recommendations to designers and users of social media platforms on how to assess and avoid deceptive design patterns in social media interfaces that infringe on GDPR requirements. The guidelines give concrete examples of deceptive design pattern types, present best practices for different use cases and contain specific recommendations for designers of user interfaces that facilitate the effective implementation of the GDPR. Following public consultation, the final version integrates updated wording and further clarifications in order to address comments and feedback received. In particular, the title of the Guidelines has been modified and the term “dark pattern” has been replaced by the term “deceptive design patterns”. In addition, some clarifications were added, for example on how to integrate the present Guidelines in the design thinking process and a second Annex  was added, providing a quick overview of all the best practices. ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザイン・パターンに関するガイドライン。 本ガイドラインは、ソーシャルメディアプラットフォームの設計者や利用者に対し、GDPRの要件を侵害するソーシャルメディアインターフェースの欺瞞的なデザインパターンをどのように評価し回避するかについて、実践的な推奨を行うものである。ガイドラインは、欺瞞的デザインパターンのタイプの具体例を示し、異なるユースケースに対するベストプラクティスを提示し、GDPRの効果的な実施を促進するユーザーインターフェースの設計者に対する特定の推奨事項を含んでいる。パブリックコンサルテーションを経て、最終版では、寄せられたコメントやフィードバックに対応するため、文言の更新とさらなる明確化が行われている。特に、ガイドラインのタイトルが変更され、「ダークパターン」という用語が「ディセプティブデザインパターン」という用語に置き換えられている。さらに、デザイン思考プロセスにおける本ガイドラインの統合方法など、いくつかの説明が追加され、すべてのベストプラクティスの概要を提供する第二の附属書が追加された。

 

・2023.02.24 Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

・[PDF

20230228-43049 

・[DOCX] 仮訳

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The GDPR does not provide for a legal definition of the notion “transfer of personal data to a third country or to an international organisation”. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer:  GDPRは、「個人データの第三国または国際機関への移転」という概念の法的な定義を定めていない。そこで、EDPBは、第5章の要件が適用されるべきと考えるシナリオを明確にするために本ガイドラインを提供し、そのために、処理操作を移転と認定するための3つの累積的基準を特定した。 
1)     A controller or a processor (“exporter”) is subject to the GDPR for the given processing.  1)     管理者または処理者(「越境送信者」)は、所定の処理についてGDPRの適用を受ける。 
2)     The exporter discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).  2)     越境送信者は、この処理の対象となる個人データを、他の管理者、共同管理者または処理者(「越境受信者」)に伝送することにより開示し、またはその他の方法で利用可能にする。 
3)     The importer is in a third country, irrespective of whether or not this importer is subject to the GDPR for the given processing in accordance with Article 3, or is an international organisation.  3)     越境受信者が第三国にいる場合。この越境受信者が第3条に従って所定の処理についてGDPRの適用を受けるかどうか、または国際組織であるかどうかは関係ない。
If the three criteria as identified by the EDPB are met, there is a transfer and Chapter V of the GDPR is applicable. This means that the transfer can only take place under certain conditions, such as in the context of an adequacy decision from the European Commission (Article 45) or by providing appropriate safeguards (Article 46). The provisions of Chapter V aim at ensuring the continued protection of personal data after they have been transferred to a third country or to an international organisation.  EDPBによって特定された3つの基準を満たす場合、移転が行われ、GDPRの第5章が適用される。つまり、欧州委員会の妥当性決定(第45条)や適切な保護措置の提供(第46条)など、一定の条件下でのみ移転が可能になる。第5章の規定は、第三国または国際機関に移転された後の個人データの継続的な保護を確保することを目的としている。 
Conversely, if the three criteria are not met, there is no transfer and Chapter V of the GDPR does not apply. In this context, it is however important to recall that the controller must nevertheless comply with the other provisions of the GDPR and remains fully accountable for its processing activities, regardless of where they take place. Indeed, although a certain data transmission may not qualify as a transfer according to Chapter V, such processing can still be associated with increased risks since it takes place outside the EU, for example due to conflicting national laws or disproportionate government access in the third country. These risks need to be considered when taking measures under, inter alia, Article 5 (“Principles relating to processing of personal data”), Article 24 (“Responsibility of the controller”) and Article 32 (“Security of processing”) – in order for such processing operation to be lawful under the GDPR.  逆に、3つの基準が満たされない場合は、移転は行われず、GDPRの第5章は適用されない。しかし、この文脈では、管理者はGDPRの他の条項を遵守しなければならず、処理活動がどこで行われるかにかかわらず、その処理活動に対する全責任を負い続けることを想起することが重要である。実際、特定のデータ転送が第5章に基づく移転として適格でないとしても、そのような処理は、例えば、矛盾する国内法や第三国における不当な政府アクセスなどにより、EU域外で行われるため、リスクが増大する可能性がある。こうしたリスクは、特に第5条(「個人データの処理に関する原則」)、第24条(「管理者の責任」)および第32条(「処理の安全性」)に基づく措置を講じる際に考慮する必要があり、こうした処理作業がGDPRの下で合法であるようにするためである。 
These guidelines include various examples of data flows to third countries, which are also illustrated in an Annex in order to provide further practical guidance.   このガイドラインには、第三国へのデータフローに関する様々な事例が含まれており、さらに実践的なガイダンスを提供するために、附属書として図解も行っている。  

 

目次...

Executive summary エグゼクティブサマリー
1  Introduction 1 はじめに
2  Criteria to qualify a processing operation as a transfer of personal data to a third country or to an international organisation 2 第三国または 国際機関への個人データの移転として処理操作を認定するための基準
2.1  A controller or a processor (“exporter”) is subject to the GDPR for the given processing 2.1 管理者または処理者(「越境送信者」)は、所定の処理についてGDPRの適用を受ける。
2.2  The exporter discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”) 2.2 越境送信者が、この処理の対象となる個人データを、他の管理者、共同管理者または処理者(「越境受信者」)に伝送またはその他の方法で開示する場合。
2.3  The importer is in a third country, irrespective of whether or not this importer is subject to the GDPR for the given processing in accordance with Article 3, or is an international organisation 2.3 越境受信者が第三国にいる場合。この越境受信者が第3条に従って所定の処理についてGDPRの適用を受けるかどうか、または国際組織であるかどうかは関係ない。
3  Consequences in case a transfer of personal data takes place 3 個人情報の移転が行われた場合の影響
4  Safeguards to be provided if personal data are processed outside the EEA but no transfer takes place 4 個人データがEEA域外で処理され、移転が行われない場合に提供されるべき保護措置
Annex: Illustrations of Examples 1–12 附属書:例題1~12の図解

 

 

 

 

・2023.02.24 Guidelines 07/2022 on certification as a tool for transfers

・[PDF]

20230228-43100 

・[DOCX] 仮訳

 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR).   GDPRは、その第46条において、データ越境送信者が第三国または国際機関への個人データの移転について適切な保護措置を講じることを求めている。そのため、GDPRは、新たな移転メカニズムとして認証を導入するなどして、データ越境送信者が第三国への移転の際に第46条に基づいて行うことができる適切な保護措置を多様化している(GDPR42条(2)、46条(2)(f))。  
These guidelines provide guidance as to the application of Article 46 (2) (f) of the GDPR on transfers of personal data to third countries or to international organisations on the basis of certification. The document is structured in four sections with an Annex.  このガイドラインは、認証に基づく第三国または国際機関への個人データの移転に関するGDPR第46条(2)項(f)の適用に関するガイダンスを提供するものである。本書は、4つのセクションと附属書で構成されている。 
Part one of this document ("GENERAL") clarifies that the guidelines supplement the already existing general Guidelines 1/2018 on certification and addresses specific requirements from Chapter V of the GDPR when certification is used as a transfer tool. According to Article 44 of the GDPR, any transfer of personal data to third countries or international organisations, must meet the conditions of the other provisions of the GDPR in addition to complying with Chapter V of the GDPR. Therefore, as a first step, compliance with the general provisions of the GDPR must be ensured and, as a second step, the provisions of Chapter V of the GDPR must be complied with. The actors who are involved and their core roles in this context are described, with a special focus on the role of the data importer who will be granted a certification and of the data exporter who will use it as a tool to frame its transfers (considering that the responsibility for data processing compliance remains with the data exporter). In this context the certification can also include measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Part one of the guidelines also contains information on the process for obtaining a certification to be used as tool for transfers.  本書の第1部(「一般」)では、本ガイドラインが認証に関する既に存在する一般的なガイドライン1/2018を補足し、認証が移転ツールとして使用される場合のGDPR第5章からの特定の要件に対処することを明確にしている。GDPR第44条によると、個人データを第三国または国際機関に移転する場合、GDPR第5章を遵守することに加え、GDPRの他の規定の条件も満たさなければならない。したがって、第一段階として、GDPRの一般条項の遵守を確保し、第二段階として、GDPRの第5章の規定を遵守する必要があるのである。この文脈で関係するアクターとその中心的な役割について説明する。特に、認証を受けるデータ越境受信者と、データ移転の枠組みを作るツールとして認証を利用するデータ越境送信者の役割に焦点を当てる(データ処理遵守の責任はデータ越境送信者にあることを考慮する)。この文脈では、認証には、個人データの保護に関するEUの水準への準拠を確保するための移転ツールを補完する措置も含めることができる。ガイドラインのパート1には、移転のためのツールとして使用する認証の取得プロセスに関する情報も含まれている。 
The second part of these guidelines (“IMPLEMENTING GUIDANCE ON THE ACCREDITATION REQUIREMENTS”) recalls that the requirements for accreditation of a certification body are to be found in ISO 17065 and by interpreting the Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the GDPR and its Annex against the background of Chapter V. However, in the context of a transfer, these guidelines further explain some of the accreditation requirements applicable to the certification body.   本ガイドラインの第2部(「認定要件に関するガイドラインの実施」)では、認証機関の認定要件がISO 17065にあることを想起し、第5章を背景にGDPR第43条及びその附属書に基づく認証機関の認定に関するガイドライン4/2018の解釈により、認証機関に適用される認定要件の一部をさらに解説している。  
The third part of these guidelines ("SPECIFIC CERTIFICATION CRITERIA") provides for guidance on the certification criteria already listed in Guidelines 1/2018 and establishes additional specific criteria that should be included in a certification mechanism to be used as a tool for transfers to third countries. These criteria cover the assessment of the third country legislation, the general obligations of exporters and importers, rules on onward transfers, redress and enforcement, process and actions for situations in which national legislation and practices prevents compliance with commitments taken as part of certification and requests for data access by third country authorities.   本ガイドラインの第3部(「SPECIFIC CERTIFICATION CRITERIA」)は、ガイドライン1/2018に既に記載されている認証基準に関する指針を提供し、第三国への移転のツールとして使用する認証メカニズムに含まれるべき追加の特定の基準を確立するものである。これらの基準は、第三国の法律の評価、越境送信者および越境受信者の一般的な義務、前方移転に関する規則、救済および執行、国内の法律および慣行が認証の一部としてとられたコミットメントの遵守を妨げる状況に対するプロセスおよび措置、第三国当局によるデータアクセス要求などを対象としている。  
Part four of these guidelines (“BINDING AND ENFORCEABLE COMMITMENTS TO BE IMPLEMENTED“) provides elements that should be addressed in the binding and enforceable commitments that controllers or processors not subject to the GDPR should take for the purpose of providing appropriate safeguards to data transferred to third countries. These commitments, which may be set out in different instruments including contracts, shall in particular include a warranty that the importer has no reason to believe that the laws and practices in the third country applicable to the processing at stake, including any requirements to disclose personal data or measures authorising access by public authorities, prevent it from fulfilling its commitments under the certification.   本ガイドラインの第4章(「実施すべき拘束力及び強制力のあるコミットメント」)では、第三国に移転するデータに適切なセーフガードを提供する目的で、GDPRの適用を受けない管理者または処理者が取るべき拘束力及び強制力のあるコミットメントにおいて対処すべき要素を提示している。これらの約束は、契約を含むさまざまな文書で定めることができるが、特に、個人データの開示要件または公的機関によるアクセスを許可する措置を含め、問題となっている処理に適用される第三国の法律および慣行が、越境受信者が認証に基づく約束の履行を妨げると考える理由がないことを保証することが含まれる。  
The ANNEX of these guidelines contains some examples of supplementary measures in line with those listed in Annex II Recommendations 01/2020 (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) in the context of the use of a certification as a tool for transfers. Examples are constructed with a view to raise attention to critical situations.   本ガイドラインの 附属書 には、附属書 II 勧告 01/2020(個人情報の保護に関する EU レベルの遵守を確保するために移転ツールを補完する措置に関する勧告 01/2020)に記載されたものに沿って、移転のためのツールとして認証を使用する場合の補完措置の例をいくつか挙げている。事例は、危機的状況への注意を喚起する観点から構成されている。  

 

目次...

EXECUTIVE SUMMARY  エグゼクティブサマリー
1 GENERAL  1 一般
1.1 Purpose and scope  1.1 目的と範囲
1.2 General rules applicable to international transfers  1.2 国際送金に適用される一般的な規則
1.3 Who are the actors involved and what is their role for certification as a tool for transfers?  1.3 移転のためのツールとしての認証に関わるアクターは誰か、またその役割は?
1.4 What are the scope and the object of certification as a tool for transfers?  1.4 移転のためのツールとしての認証の範囲と対象は何であるか?
1.5 What should be the role of the exporter in the use of certification as tool for transfers?  1.5 移転のためのツールとしての認証の利用における越境送信者の役割はどうあるべきか?
1.6 What is the process for certification as a tool for transfers?  1.6 乗り換えのためのツールとしての認証はどのようなプロセスで行われるのであるか?
2 IMPLEMENTING GUIDANCE ON THE ACCREDITATION REQUIREMENTS  2 認定要件に関するガイダンスの実施
3 SPECIFIC CERTIFICATION CRITERIA  3 特定認証基準
3.1 IMPLEMENTING GUIDANCE ON THE CERTIFICATION CRITERIA  3.1 認証基準に関するガイダンスの実施
3.2 ADDITIONAL SPECIFIC CERTIFICATION CRITERIA  3.2 追加の特定認証基準
1. Assessment of the third country legislation  1. 第三国の法規制の評価
2. General obligations of exporters and importers  2. 輸出入者の一般的な義務
3. Rules on onward transfers  3. 乗り換えに関するルール
4. Redress and Enforcement  4. 救済と執行
5. Process and actions for situations in which national legislation prevents compliance with commitments taken as part of certification  5. 国内法令により、認証の一部として行われる約束の遵守が妨げられる場合のプロセスおよび対応策
6. Dealing with requests for data access by third country authorities  6. 第三国当局からのデータアクセス要求への対応
7. Additional safeguards concerning the exporter  7. 越境送信者に関する追加セーフガード
4 BINDING AND ENFORCEABLE COMMITMENTS TO BE IMPLEMENTED  4 実行すべき拘束力のあるコミットメント
ANNEX  附属書
A. EXAMPLES OF SUPPLEMENTARY MEASURES TO BE IMPLEMENTED BY THE IMPORTER IN CASE THE TRANSIT IS INCLUDED IN THE SCOPE OF CERTIFICATION  A.移送が認証範囲に含まれる場合に、越境受信者が実施すべき補完措置の例
B. EXAMPLES OF SUPPLEMENTARY MEASURES IN CASE THE TRANSIT IS NOT COVERED BY THE CERTIFICATION AND THE EXPORTER HAS TO ENSURE THEM  B.移送が認証の対象外で、越境送信者がそれを確保しなければならない場合の補足措置の例

 

 

 

 

| | Comments (0)

2023.02.26

NIST 「NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援:第1巻:概要」についての意見募集

こんにちは、丸山満彦です。

NISTが、すでに公表され、利用されている「NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援。第1巻:概要」について、使い勝手や、内容についての改善が必要ないか、意見募集をしていますね。。。

NISTIR 8011シリーズは、コントロールの評価という意味では興味深い文書ですので、この第1巻の概要については目を通していても良いかもですね。。。

特にNIST SP800-171とかに興味がある人とか...

 

NIST - ITL

・2023.02.22 Call for Feedback: NIST IR 8011 Series Adoption

Call for Feedback: NIST IR 8011 Series Adoption フィードバックの募集 NIST IR 8011 シリーズ
NIST Interagency Report (IR) 8011, Automation Support for Security Control Assessments, provides guidance on automating the assessment of controls that can be tested. This series of technical publications, based on NIST Special Publication (SP) 800-53 controls and SP 800-53A control assessment procedures, is organized into multiple volumes, each dedicated to addressing a specific security capability (security capabilities are groups of controls that support a common purpose). Previously published volumes, which were based on SP 800-53, Revision 4, are being revised. New volumes covering additional security capabilities are being developed.  「NIST 内部報告 (IR) 8011 セキュリティコントロールアセスメントの自動化支援」 は、テスト可能なコントロールの評価を自動化するためのガイダンスを提供する。この一連の技術文書は、NIST 特別発行物 (SP) 800-53のコントロールとSP 800-53Aのコントロール評価手順に基づき、複数の巻で構成され、それぞれが特定のセキュリティ能力(セキュリティ能力は、共通の目的を支援するコントロールのグループ)を扱うことに特化している。SP 800-53改訂4版に基づいて発行された既刊の巻は改訂されている。また、追加のセキュリティ能力をカバーする新版が開発されている。 
The NIST Risk Management Framework (RMF) team seeks feedback from individuals and organizations who have used our guidance for supporting automated security control assessments. We would like to better understand the use of the IR 8011 series by adopters, success stories, what adopters liked/disliked about the methodology and about the series overall, the challenges (if any) adopters faced during implementation, and how we can improve the entire series – from the proposed methodology to ways to facilitate its adoption. NISTリスクマネジメントフレームワーク(RMF)チームは、自動化されたセキュリティ対策の評価を支援するためにNISTのガイダンスを使用したことのある個人および組織からのフィードバックを求めている。 IR 8011シリーズの採用者による使用状況、成功事例、採用者が手法やシリーズ全体について好きなこと/嫌いなこと、導入時に直面した課題(もしあれば)、提案した手法から採用を促進する方法まで、シリーズ全体を改善できる方法をよりよく理解したいと思っている。
... ...
We are looking specifically for information such as: 具体的には、以下のような情報を求めている。
・Adoption Status (e.g., used guidance in the past; currently use; planning to use). ・採用状況(例:過去にガイダンスを使用した、現在使用中、使用予定)。
・How the IR 8011 Series is Being Used – and by Whom (e.g., applied guidance in-house [i.e., for internal operations] or developed a solution that can be used by other organizations [e.g., adoption by a service/solution provider]). ・IR8011シリーズがどのように利用されているか、また、誰によって利用されているか(例:ガイダンスを社内で適用した(例:社内業務用)、他の組織が利用できるソリューションを開発した(例:サービス/ソリューションプロバイダによる採用))。
・Implementation Success (e.g., strengths and benefits of the IR 8011 series; what worked well to support implementation; ROI from the adoption of IR 8011). ・導入の成功事例(例:IR8011シリーズの長所と利点、導入を支援するためにうまくいったこと、IR8011の採用によるROIなど)。
・Implementation Challenges and Opportunities (e.g., issues/concerns – and what can be considered for addressing them – and areas that can be improved). ・導入の課題と機会(例:問題/懸念事項、その対処のために考慮できること、改善可能な分野)。
・Level of Interest (if a NIST IR 8011 Interest Group is established, would you be interested in joining it to share ideas and information with other 8011 adopters or interested parties?) ・興味の度合い(NIST IR 8011 Interest Groupが設立された場合、他の8011採用者や関係者とアイデアや情報を共有するために参加することに興味があるか?)
Feedback received will not be published or shared. There is no due date to respond (feedback can be provided at any time); however, the sooner the feedback is received, the sooner it may be considered, and possibly reflected on revisions and new development.  受け取ったフィードバックは公開、共有されない。回答期限はない(フィードバックはいつでも提供できる)。しかし、フィードバックを早く受け取れば受け取るほど、早く検討され、改訂や新規開発に反映される可能性がある。 

 

・2023.02.22 NISTIR 8011 Vol. 1 Automation Support for Security Control Assessments: Volume 1: Overview

NISTIR 8011 Vol. 1. Automation Support for Security Control Assessments: Volume 1: Overview NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援。第1巻:概要
Abstract 概要
This volume introduces concepts to support automated assessment of most of the security controls in NIST Special Publication (SP) 800-53. Referencing SP 800-53A, the controls are divided into more granular parts (determination statements) to be assessed. The parts of the control assessed by each determination statement are called control items. The control items are then grouped into the appropriate security capabilities. As suggested by SP 800-53 Revision 4, security capabilities are groups of controls that support a common purpose. For effective automated assessment, testable defect checks are defined that bridge the determination statements to the broader security capabilities to be achieved and to the SP 800-53 security control items themselves. The defect checks correspond to security sub-capabilities—called sub-capabilities because each is part of a larger capability. Capabilities and sub-capabilities are both designed with the purpose of addressing a series of attack steps. Automated assessments (in the form of defect checks) are performed using the test assessment method defined in SP 800-53A by comparing a desired and actual state (or behavior). この巻では、NIST Special Publication (SP) 800-53のほとんどのセキュリティコントロールの自動アセスメントを支援するための概念を紹介している。SP 800-53Aを参照し、コントロールはより細かい部分(判断文)に分割され、評価される。各決定文で評価されるコントロールの部分は、コントロールアイテムと呼ばれる。そして、管理項目は、適切なセキュリティ能力にグループ化される。SP 800-53 改訂4版で提案されているように、セキュリティ能力は、共通の目的を支援する統制のグループである。効果的な自動アセスメントのために、テスト可能な欠陥チェックを定義し、決定ステートメントと達成すべき広範なセキュリティ能力およびSP 800-53セキュリティ管理項目そのものとの橋渡しをする。欠陥チェックは、セキュリティの下位能力に対応する。下位能力とは、それぞれがより大きな能力の一部であることを意味する。能力とサブ能力は、いずれも一連の攻撃手順に対処する目的で設計されている。自動化された評価(欠陥チェックの形式)は、SP800-53Aで定義されたテスト評価方法を用いて、望ましい状態と実際の状態(または動作)を比較することで実施される。

 

・[PDF] NISTIR 8011 Vol. 1 (DOI)

20230225-63414

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
Evolving threats create a challenge for organizations that design, implement, and operate complex systems containing many moving parts. The ability to assess all implemented information security controls as frequently as needed using manual procedural methods is impractical and unrealistic for most organizations due to the sheer size, complexity, and scope of their information technology footprint. Additionally, the rapid deployment of new technologies such as mobile, cloud, and social media brings with it new risks that make ongoing manual procedural assessments of all controls impossible for the vast majority of organizations. Today there is broad agreement in the information security community that once a system is in production, automation of security control assessments[1] is needed to support and facilitate near real-time information security continuous monitoring (ISCM).   進化する脅威は、多くの可動部品を含む複雑なシステムを設計、実装、運用する組織にとっての課題となっている。実装されているすべての情報セキュリティ対策を、手作業による手順で必要な頻度で評価することは、情報技術の規模、複雑さ、範囲が非常に大きいため、ほとんどの組織にとって非現実的であり、非現実的なことなのである。さらに、モバイル、クラウド、ソーシャルメディアなどの新技術の急速な普及は、新たなリスクをもたらし、大多数の組織にとって、すべての対策を手作業で継続的に評価することを不可能にする。今日、情報セキュリティコミュニティでは、システムが本稼働したら、ほぼリアルタイムの情報セキュリティ継続的監視(ISCM)を支援し促進するために、セキュリティ制御評価の自動化[1]が必要であるという点で広く合意されている。 
In September 2011, as part of Office of Management and Budget (OMB) memorandum M-11- 2011 年 9 月、米行政管理予算局(OMB) の覚書 M-11-33[2] の一部として、OMB はセキュリティ制御評価の自動化を承認した。
33,[2] OMB approved the transition from a static every-three-year security authorization process to an ongoing authorization process via ISCM. Also in September 2011, NIST published SP 800137, Information Security Continuous Monitoring for Federal Information Systems and Organizations, which provided management-level guidance on developing an ISCM strategy and implementing an ISCM program. However, many federal organizations were finding the technical implementation to be challenging.   33の一部として、OMBは、3年ごとの静的なセキュリティ認可プロセスから、ISCMによる継続的な認可プロセスへの移行を承認した。また、2011年9月には、NISTがSP 800-137「連邦政府の情報システムおよび組織における情報セキュリティの継続的モニタリング」を発表し、ISCM戦略の策定とISCMプログラムの導入に関するマネジメントレベルのガイダンスを提供した。しかし、多くの連邦政府機関は、技術的な導入に困難を感じていた。 
Recognizing this challenge, the United States Congress funded the Continuous Diagnostics and Mitigation (CDM) program in 2012 at the Department of Homeland Security (DHS). The DHS CDM program is designed to facilitate automated security control assessment and continuous monitoring that is consistent with NIST guidance by providing a robust, comprehensive set of monitoring tools, an ISCM dashboard, and implementation assistance.   この課題を認識し、米国議会は2012年に国土安全保障省(DHS)の継続的診断・軽減(CDM)プログラムに資金を提供した。DHSのCDMプログラムは、堅牢で包括的な監視ツール、ISCMダッシュボード、および実装支援を提供することにより、NISTの指針に合致した自動セキュリティ制御評価と継続的監視を促進するように設計されている。
In November 2013 OMB issued Memorandum M-14-03,[3] which provided instructions and deadlines to federal organizations for development of an ISCM strategy and program. M-14-03 stated that each organization may follow one of three approaches for ISCM: 1) develop its own ISCM program; 2) leverage the CDM program from DHS; or 3) establish a hybrid program between its own ISCM program and the DHS CDM program.  2013年11月にOMBが発行したM-14-03[3]は、ISCM戦略およびプログラムの開発について、連邦政府組織への指示と期限を定めたものである。M-14-03では、各組織はISCMについて、次の3つのアプローチのいずれかに従うことができると述べている:1)独自のISCMプログラムを開発する、2)DHSのCDMプログラムを活用する、3)独自のISCMプログラムとDHS CDMプログラムとのハイブリッドプログラムを確立する。
This NIST Interagency Report (NISTIR) supports all three of the ISCM approaches in M-14-03 and represents a joint effort between NIST and DHS to provide an operational approach for automating assessments of the selected and implemented security controls from SP 800-53 that is also consistent with the guidance in SP 800-53A.   このNIST 内部報告(NISTIR)は、M-14-03の3つのISCMアプローチすべてを支援し、SP 800-53の選択および実装されたセキュリティコントロールの評価を自動化するための運用アプローチを提供するNISTとDHSの共同作業であり、SP 800-53Aの指針とも整合している。 
Organizations implementing ISCM and automating security control assessments using the methods described herein are encouraged to share the results with both NIST and DHS so that lessons learned can be shared broadly. If needed, this document will be revised and/or supplemented to document such best practices.  ISCMを実施し、ここに記載された方法を使用してセキュリティ対策の評価を自動化する組織は、その結果をNISTおよびDHSの両者と共有し、得られた教訓を広く共有できるようにすることが奨励される。必要に応じて、この文書はそのようなベストプラクティスを文書化するために改訂および/または補足される予定である。
[1] See glossary for definition of ongoing assessment.  [1] 継続的評価の定義については、用語集を参照のこと。
[2] OMB Memos M-11-33 and M-14-03 are no longer available and are referenced here for historical purposes. OMB Circular A-130 provides federal-wide information security policy.   [2] OMB Memos M-11-33 および M-14-03 は既に公開されていないため、ここでは歴史的な目的で参照されている。OMB Circular A-130は、連邦政府全体の情報セキュリティ政策を規定している。 
[3] See Footnote 2.  [3] 脚注2を参照。

 

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Target Audience 1.2 対象読者
1.3 Organization of Volume 1 1.3 第1巻の構成
2. Overview of an Automated Security Control Assessment Process 2. 自動化されたセキュリティコントロール評価プロセスの概要
2.1 Prerequisites to Automated Security Control Assessment 2.1 セキュリティコントロール評価の自動化の前提条件
2.2 Automating the Test Assessment Method 2.2 テスト評価手法の自動化
2.2.1 Terms for Referring to Assessment Objects 2.2.1 評価対象を参照するための用語
2.3 Factors for Determining When to Trust Automated Ongoing Assessments 2.3 自動化された継続的な評価を信頼するタイミングを決定するための要因
2.4 An Automated Security Control Assessment Program: ISCM 2.4 自動化されたセキュリティコントロールの評価プログラム:ISCM
2.5 Preparing for Automated Security Control Assessments 2.5 自動化されたセキュリティコントロールの評価のための準備
3. Focusing Security Control Assessments on Security Results 3. セキュリティコントロールの評価をセキュリティ結果に集中させる
3.1 Applying Security Capabilities to Automated Assessments 3.1 自動アセスメントへのセキュリティ能力の適用
3.1.1 Supports Strong Systems Engineering of Security Capabilities 3.1.1 セキュリティ能力の強力なシステムエンジニアリングの支援
3.1.2 Supports Guidance for Control Selection 3.1.2 コントロールの選択に関するガイダンスの支援
3.1.3 Simplifies Understanding of the Overall Protection Process 3.1.3 保護プロセス全体の理解の簡素化
3.1.4 Enables Assessment of Security Results at a Higher Level than Individual Controls 3.1.4 個別のコントロールよりも上位のレベルでセキュリティ結果の評価を可能にする
3.1.5 Improves Risk Management by Measuring Security Results More Closely Aligned with Desired Business Results 3.1.5 望ましいビジネス上の成果により近いセキュリティ成果を測定することによるリスクマネジメントの改善
3.2 Attack Steps 3.2 攻撃のステップ
3.2.1 Adversarial Attack Step Model 3.2.1 敵対的攻撃ステップモデル
3.3 Security Capabilities 3.3 セキュリティ能力
3.3.1 SP 800-53 Control Families and Security Capabilities 3.3.1 SP 800-53 コントロールファミリーとセキュリティ能力
3.3.2 SP 800-137 Security Automation Domains and Security Capabilities 3.3.2 SP 800-137 セキュリティオートメーションドメインとセキュリティ能力
3.3.3 Using Security Capabilities in Security Control Assessment 3.3.3 セキュリティコントロールの評価におけるセキュリティ能力の使用
3.3.4 Security Capabilities and ISCM 3.3.4 セキュリティ能力とISCM
3.3.5 Example Security Capabilities Listed and Defined 3.3.5 セキュリティ能力のリストアップと定義の例
3.3.6 Tracing Requirements: Mapping Capability to Attack Steps 3.3.6 要件のトレース:能力から攻撃ステップへのマッピング
3.3.7 Organization-Defined Security Capabilities 3.3.7 組織で定義されたセキュリティ能力
3.4 Sub-Capabilities 3.4 サブ能力
3.4.1 Examples of Sub-Capabilities (from HWAM) 3.4.1 サブ能力の例(HWAMより)
3.4.2 Tracing Sub-Capabilities to Attack Steps 3.4.2 攻撃ステップへのサブ能力のトレース
3.5 Security Control Items 3.5 セキュリティ管理項目
3.5.1 Tracing Security Control Items to Attack Steps 3.5.1 セキュリティ管理項目から攻撃ステップへのトレース
3.5.2 Tracing Security Control Items to Capabilities 3.5.2 セキュリティ制御項目から能力へのトレース
3.5.3 Tracing Security Control Items to Sub-Capabilities 3.5.3 セキュリティ管理項目からサブキャパシティへの追跡
3.6 Synergies Across Each Abstraction Level 3.6 各抽象レベル間の相乗効果
3.6.1 Multiple Capabilities Support Addressing Each Attack Step 3.6.1 各攻撃ステップに対応するための複数の能力
3.6.2 Many Controls Support Multiple Capabilities 3.6.2 多くの制御が複数の能力を支援する
4. Using Actual State and Desired State Specification to Detect Defects 4. 実際の状態と望ましい状態の仕様による欠陥の検出
4.1 Actual State and Desired State Specification 4.1 実状と希望する状態仕様
4.2 Collectors and the Collection System 4.2 収集装置と収集システム
4.2.1 Actual State Collectors 4.2.1 実状収集装置
4.2.2 Collection of Desired State Specifications 4.2.2 望ましい状態の仕様の収集
4.2.3 The Collection System 4.2.3 収集システム
4.3 Authorization Boundary and Assessment Boundary 4.3 認可境界とアセスメント境界
4.3.1 System Authorization Boundary 4.3.1 システム認可境界
4.3.2 ISCM Assessment Boundary 4.3.2 ISCMアセスメント境界
4.3.3 Tracing System Risk to its Sources 4.3.3 システムリスクの発生源へのトレース
4.4 The Desired State Specification 4.4 望ましい状態の仕様
4.4.1 Types of Desired State Specifications 4.4.1 望ましい状態の仕様の種類
4.4.2 Desired State Specification Reflects Policy 4.4.2 ポリシーを反映した望ましい状態の仕様
4.4.3 Desired State Specification Demonstrates the Existence of Policy 4.4.3 望ましい状態仕様はポリシーの存在を証明する
4.5 Using Automation to Compare Actual State and Desired State Specification 4.5 実状と望ましい状態を比較するためのオートメーションの利用
5. Defect Checks 5. 欠陥チェック
5.1 Defect Checks and Determination Statements 5.1 欠陥チェックと判定ステートメント
5.2 Interpreting Defect Checks as Tests of Control Items 5.2 欠陥検査はコントロール項目のテストと解釈する
5.3 Interpreting Defect Checks as Tests of Sub-Capabilities and Control Items 5.3 サブ能力およびコントロール項目のテストとしての欠陥チェックの解釈
5.4 Defect Check Documentation 5.4 欠陥チェックの文書化
5.5 Data Quality Measures 5.5 データ品質対策
5.6 Assessment Criteria Device Groupings to Consider 5.6 評価基準 デバイスのグループ化を考慮する
5.7 Why Not Call Defects Vulnerabilities or Weaknesses? 5.7 欠陥を脆弱性または弱点と呼ばない理由は?
5.8 Security Controls Selected/Not Selected and Defect Checks 5.8 セキュリティコントロールの選択/非選択と欠陥チェック
5.9 Foundational and Local Defect Checks 5.9 基礎的な欠陥と局所的な欠陥チェック
5.10 Documenting Tailoring Decisions 5.10 テーラリングの決定の文書化
6. Assessment Plan Documentation 6. 評価計画書の文書化
6.1 Introduction to Security Assessment Plan Narratives 6.1 セキュリティアセスメント計画書の序文
6.2 Assessment Scope 6.2 評価の範囲
6.3 Determination Statements within the Narratives 6.3 ナラティブ内の決定ステートメント
6.4 Roles and Assessment Methods in the Narratives 6.4 ナラティブにおける役割と評価方法
6.5 Defect Check Rationale Table 6.5 欠陥チェックの根拠表
6.6 Tailoring of Security Assessment Plan Narratives 6.6 セキュリティアセスメント計画ナラティブのテーラリング
6.7 Control Allocation Tables 6.7 コントロールの割り当て表
6.8 Documenting Selected Controls and Tailoring Decisions 6.8 選択されたコントロールとテーラリングの決定事項の文書化
7. Root Cause Analysis 7. 根本原因の分析
7.1 Knowing Who Is Responsible 7.1 責任者の把握
7.2 Root Cause Analysis 7.2 根本原因分析
7.2.1 Root Cause Analysis How-to: Controls 7.2.1 根本原因分析ハウツー:コントロール
7.2.2 Root Cause Analysis How-to: Defect Types 7.2.2 根本原因分析ハウツー:欠陥の種類
8. Roles and Responsibilities 8. 役割と責任
8.1 SP 800-37-Defined Management Responsibilities 8.1 SP 800-37-定義された管理責任
8.2 ISCM Operational Responsibilities 8.2 ISCMの運用責任
9. Relationship of Automated Security Control Assessment to the NIST Risk Management Framework 9. 自動化されたセキュリティ対策評価と NIST リスクマネジメントフレームワークの関係
9.1 Linking ISCM to Specific RMF Assessment Tasks 9.1 ISCM と特定の RMF 評価タスクとの関連付け
Appendix A. References 附属書A. 参考文献
Appendix B. Glossary 附属書B. 用語集
Appendix C. Acronyms and Abbreviations 附属書C. 頭字語・略語

 

 

Fig01_20230225124901

Figure 1: Overview of an Automated Security Control Assessment Process

 

 

Fig03_20230225124901

Figure 3: ISCM Security Capabilities Used in this NISTIR

 

Fig05

Figure 5: ISCM Collection System

 

 

 

参考文献

Appendix A. References

POLICIES, DIRECTIVES, INSTRUCTIONS, REGULATIONS, AND MEMORANDA

  1. Office of Management and Budget Circular A-130, July, 2016.

    https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a1 30/a130revised.pdf

STANDARDS

  1. NIST National Institute of Standards and Technology Federal Information Processing Standards Publication (FIPS) 199, Standards for Security Categorization of Federal Information and Information Systems, February 2004.

    https://doi.org/10.6028/NIST.FIPS.199  

GUIDELINES AND INTERAGENCY REPORTS

  1. National Institute of Standards and Technology Special Publication (SP) 800-30 Revision 1, Guide for Conducting Risk Assessments, September 2012.

    https://doi.org/10.6028/NIST.SP.800-30r1  
  1. National Institute of Standards and Technology Special Publication (SP) 800-37 Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach, February 2010 (updated June 5, 2014).

    https://doi.org/10.6028/NIST.SP.800-37r1  
  1. National Institute of Standards and Technology Special Publication (SP) 800-39, Managing Information Security Risk: Organization, Mission, and Information System View, March 2011.

    https://doi.org/10.6028/NIST.SP.800-39  
  2. National Institute of Standards and Technology Special Publication (SP) 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations, April 2013 (updated January 22, 2015).

    https://doi.org/10.6028/NIST.SP.800-53r4  
  1. National Institute of Standards and Technology Special Publication (SP) 800-53A Revision 4, Assessing Security and Privacy Controls in Federal Information Systems and Organizations: Building Effective Assessment Plans, December 2014 (updated December 18, 2014).

    https://doi.org/10.6028/NIST.SP.800-53Ar4

  2. National Institute of Standards and Technology Special Publication (SP) 800-115, Technical Guide to Information Security Testing and Assessment, September 2008.

    https://doi.org/10.6028/NIST.SP.800-115


  3. National Institute of Standards and Technology Special Publication (SP) 800-137, Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations, September 2011.

    https://doi.org/10.6028/NIST.SP.800-137

  4. National Institute of Standards and Technology Special Publication (SP) 800-160, Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems, September 2016.

    https://doi.org/10.6028/NIST.SP.800-160  
  1. National Institute of Standards and Technology Interagency Report (NISTIR) 7298 Revision 2, Glossary of Key Information Security Terms, May 2013.

    https://doi.org/10.6028/NIST.IR.7298r2  
  1. National Institute of Standards and Technology Interagency Report (NISTIR) 7756 (DRAFT), CAESARS Framework Extension: An Enterprise Continuous Monitoring Technical Reference Architecture, January 2012.

    http://csrc.nist.gov/publications/PubsNISTIRs.html#NIST-IR-7756

 


 

参考...

Automation Support for Security Control Assessments: 

NISTIR 8011 Vol. 1  Overview

NISTIR 8011 Vol. 2  Hardware Asset Management

NISTIR 8011 Vol. 3  Software Asset Management

NISTIR 8011 Vol. 4  Software Vulnerability Management

 

Related NIST Publications:

 

SP 800-53A Rev. 4

SP 800-53 Rev. 4

 

| | Comments (0)

2023.02.24

米国 2023年国土安全保障シンポジウム・エキスポにおけるレイFBI長官の発言

こんにちは、丸山満彦です。

2023.02.16にバージニア州のクリストファー・ニューポート大学で開催された「国土安全保障シンポジウム・エキスポ」でクリストファー・レイFBI長官が講演をしていますが、サイバー関連のテーマで話をしていますね。。。


● FBI

・2023.02.16 Director Wray's Remarks at the 2023 Homeland Security Symposium and Expo

Director Wray's Remarks at the 2023 Homeland Security Symposium and Expo 2023年国土安全保障シンポジウム・エキスポにおけるレイ長官の発言について
Introduction  序文 
Thank you. ありがとうございます。
If you take a look at the topics for the conference today, each panel discusses something the FBI is heavily involved in right now—cyber intrusions and ransomware attacks, risks posed by unmanned systems, domestic and international terrorism, and vulnerable supply chains that run through China and everywhere else. So, I appreciate the opportunity to kick off these discussions and share a little bit about how the FBI is working with critical partners like many of you in this room to combat these threats. 今日の会議のトピックをご覧いただくと、サイバー侵入やランサムウェア攻撃、無人システムがもたらすリスク、国内および国際テロ、中国やその他の地域を経由する脆弱なサプライチェーンなど、各パネルでFBIが現在深く関わっている事柄が取り上げられています。そこで、このような議論を始める機会をいただき、ここにお集まりの多くの皆様のような重要なパートナーとともに、FBI がどのようにこれらの脅威と闘っているかについて、少しお話しさせていただきます。
Cyberattacks and ransomware. Unmanned systems. Domestic and international terrorism. Supply chain vulnerabilities. サイバー攻撃とランサムウェア。無人システム。国内および国際的なテロリズム サプライチェーンの脆弱性。
It’s hard not to get overwhelmed by the enormity of those topics and these threats. And, frankly, that’s a lot for one day. これらのテーマと脅威の大きさに圧倒されるのは無理もありません。正直なところ、1日では足りないくらいです。
And, of course, I should add, those are just some of the threats we’re focused on at the FBI, where we’re also tackling the trafficking and exploitation of children, alarming levels of violent crime and hate crimes, the epidemic of deadly narcotics, and malign foreign influence aimed at undermining our government, just to name a few others. もちろん、これらは私たちがFBIで重点的に取り組んでいる脅威の一部に過ぎません。他にも、子どもの人身売買や搾取、憂慮すべきレベルの暴力犯罪や憎悪犯罪、劇薬の蔓延、政府の弱体化を狙った外国の悪意ある影響など、いくつかの例を挙げればきりがありません。
As I like to say: A lot of people seem to have ideas about things they think the FBI should be doing more of, but I haven’t heard any responsible suggestions for things we could be doing less of. 私はこう言いたいのです。多くの人が、FBIはもっとやるべきことがある、と考えているようですが、私は、FBIはもっとやるべきことがあるのではないか、という責任ある提案を聞いたことがありません。
So, in order for the FBI to be at the forefront and stay ahead of all these threats, we rely on the partnerships we’ve developed with folks in the private sector—including many of you represented here today—and across all levels of government, both here at home and abroad. FBIがこうした脅威の最前線に立ち、先手を打つためには、今日ここにお集まりの多くの方々を含む民間部門の人々、そして国内外のあらゆるレベルの政府機関との協力関係が欠かせません。
And the importance of those partnerships is really the core of the message I hope you’ll take away from my time with you here today. このようなパートナーシップの重要性こそが、本日私が皆さんにお伝えしたいメッセージの核心です。
Cyber Threats サイバーの脅威
So, what are we dealing with? では、私たちは何に対処しているのでしょうか。
In cyberspace, the threats only seem to evolve, and the stakes have never been higher. サイバースペースでは、脅威は進化する一方であり、そのリスクはかつてないほど高まっています。
One bad actor targeting a single supply chain can cause cascading effects across multiple sectors and communities. 1つのサプライチェーンを狙った悪質な行為によって、複数のセクターやコミュニティに連鎖的な影響が及ぶ可能性があります。
One unpatched vulnerability can mean the difference between business as usual and a scramble to get scores of systems back online. パッチを適用していない脆弱性が1つでもあれば、通常通りのビジネスができるか、多数のシステムをオンラインに戻すために奔走しなければならないかの分かれ目になります。
And over the past few years, we’ve increasingly seen cybercriminals using ransomware against U.S. critical infrastructure sectors. In 2021, we saw ransomware incidents against 14 of the 16 U.S. critical infrastructure sectors. また、ここ数年、サイバー犯罪者が米国の重要インフラ部門に対してランサムウェアを使用する事例が増加しています。2021年には、米国の重要インフラ16分野のうち14分野に対してランサムウェアのインシデントが発生しました。
In a perverse way, that makes sense, right? 裏を返せば、これは理にかなっていると言えますよね。
If you want someone to quickly pay a ransom, you threaten the very basic things they rely on for their day-to-day lives—something like an oil pipeline, an elementary school, or an electrical grid. Malicious actors assume—and, perhaps, rightly so—that if they attack these things we depend on every day, they can inflict more pain, and people will pay more quickly.  身代金をすぐに支払わせたいのであれば、石油パイプライン、小学校、電力網など、日常生活で頼りにしている基礎的なものを脅かすのです。悪意のある行為者は、私たちが日々依存しているこれらのものを攻撃すれば、より多くの苦痛を与えることができ、人々はより早く代金を支払うだろうと考えています。 
And these actors have demonstrated there’s really no bar too low. They have no problem, for instance, threatening to shut down a children’s hospital to make a quick buck. そして、悪意ある行為者たちは、ハードルが低すぎるということがないことを実証しています。 たとえば、手っ取り早く金を稼ぐために子どもの病院を閉鎖すると脅しても、何の問題もないのです。
Let me be clear: That’s not a hypothetical example. これは仮定の話ではないので、誤解のないようにお願いします。
And while you would expect that cybercriminals are focused on operations for their own financial gain, really, any malicious cyber actor could also be trying to steal information or conduct influence operations, or laying the groundwork to disrupt our critical infrastructure. And those threats are not only proliferating, but becoming more complex. サイバー犯罪者は金銭的な利益を得るための作戦に集中していると思われますが、実際には、悪意のあるサイバー行為者は、情報を盗んだり、影響力を行使したり、重要なインフラを破壊するための土台を築いたりすることも可能なのです。このような脅威は、急増するだけでなく、より複雑化しています。
There is no bright line where cybercriminal activity ends and hostile government activity begins, which both compounds and complicates the threat landscape. サイバー犯罪者の活動がどこで終わり、政府の敵対的な活動がどこで始まるかという明確な線はなく、それが脅威の状況を複雑にしているのです。
We’re seeing blended threats where—for instance—the Iranian government has sponsored cybercriminals to perpetuate attacks to gather intelligence or gain access. 例えば、イラン政府がサイバー犯罪者のスポンサーとなり、情報収集やアクセス権を得るために攻撃を継続させているような脅威が混在しています。
In other instances, hostile governments have attempted to make their cyberattacks look like criminal activity, which caused whole operations to go sideways. また、敵対する政府がサイバー攻撃を犯罪行為に見せかけようとし、その結果、作戦全体がうまくいかなくなるケースもあります。
That’s what we saw in 2017, when the Russian military used the NotPetya malware to hit Ukrainian critical infrastructure. The attack was supposed to look like a criminal heist, but was actually designed to destroy any systems it infected. They targeted Ukraine, but ended up also hitting systems throughout Europe, plus the U.S. and Australia, and even some systems within their own borders. They shut down a big chunk of global logistics, and, ultimately, their recklessness ended up causing more than $10 billion in damages—maybe the most damaging cyberattack in history. 2017年にロシア軍がマルウェア「NotPetya」を使ってウクライナの重要インフラを攻撃したのがそうでした。この攻撃は、犯罪的な強盗のように見えるはずでしたが、実際には、感染したシステムを破壊するように設計されていました。ウクライナをターゲットにした攻撃でしたが、最終的にはヨーロッパ全域、さらに米国とオーストラリアのシステム、そして自国内のシステムにも被害が及びました。世界の物流の大部分を停止させ、最終的に100億ドル以上の損害を与えました。これは、おそらく史上最も大きなサイバー攻撃です。
Add to that, cyber adversaries have also obtained an increasing capacity for stealth in recent years, facilitating more comprehensive access to U.S. networks. They’ve demonstrated the ability to maintain persistent access across various networks and environments by using seemingly legitimate credentials, accessing administrator accounts, and laterally traversing networks. They will park on a system quietly and then just wait for the right opportunity. さらに、近年、サイバー敵対者はステルス能力を高め、米国のネットワークへのアクセスをより包括的なものにしました。彼らは、一見正当な認証情報を使用し、管理者アカウントにアクセスし、ネットワークを横断することで、様々なネットワークや環境に持続的にアクセスする能力を実証しています。彼らは、ひっそりとシステムに潜伏し、適切な機会を待つだけなのです。
So, to sum up the cyber threat picture: There’s a persistent, multi-vector, blended threat that’s constantly evolving and a continual challenge to assess, so we’re battling back against a constant barrage of attacks. つまり、サイバー脅威の全体像をまとめると、次のようになります。このような脅威は常に進化しており、その評価も難しいため、私たちは常に攻撃の嵐に対抗しています。
China 中国
In this cyber threat landscape, China is the most dangerous actor to industry. このようなサイバー脅威の状況において、産業界にとって最も危険な存在なのが中国です。
The Chinese government sees cyber as the pathway to cheat and steal on a massive scale, and more broadly, there’s simply no country that presents a broader or more severe threat to our ideas, innovation, and economic security than the Chinese government because they’ve shown themselves willing to lie, cheat, and steal to dominate major technology and economic sectors, crushing and putting companies from other nations out of business. 中国政府は、サイバーは大規模な不正行為や窃盗を行うための手段だと考えています。もっと広く言えば、中国政府ほど、私たちのアイデア、イノベーション、経済の安全保障に対して広範かつ深刻な脅威を与えている国はありません。なぜなら、彼らは主要技術や経済分野を支配し、他の国の企業を潰して廃業させるために嘘や不正行為、窃盗も辞さないことを示しているのです。
The Chinese government’s hacking program is bigger than that of every other major nation combined, and Chinese government hackers have stolen more of our personal and corporate data than all other countries—big and small—combined. 中国政府のハッキングプログラムは、他のすべての主要国のハッキングプログラムを合わせたよりも大規模であり、中国政府のハッカーは、大小の国を合わせたよりも多くの個人および企業データを盗んでいます。
But the threat from the PRC [People's Republic of China] government is particularly dangerous because they use that massive cyber effort in concert with every other tool in their government’s toolbox. What makes the Chinese government’s strategy so insidious is the way it exploits multiple avenues at once, and often in seemingly innocuous ways. しかし、PRC(中華人民共和国)政府の脅威は特に危険です。なぜなら、彼らは大規模なサイバー活動を、政府の道具箱にある他のあらゆるツールと協調して使っているからです。中国政府の戦略が非常に陰湿なのは、複数の手段を同時に、しかも多くの場合、一見無害に見える方法で利用するからです。
They identify key technologies to target. Their “Made in China 2025” plan, for example, lists ten broad areas—spanning industries like robotics, green energy production and vehicles, aerospace, and biopharma. 中国政府は、ターゲットとなる重要な技術を特定します。例えば、「Made in China 2025」計画では、ロボット工学、グリーンエネルギー生産と自動車、航空宇宙、バイオ医薬品など、10の大分野を挙げています。
Then, they throw every tool in their arsenal at stealing the technology in those areas. And they are fine with causing indiscriminate damage to get to what they want, like in the Microsoft Exchange hack—the Hafnium attack—from 2021, which compromised the networks of more than 10,000 companies in just a single campaign. そして、その分野の技術を盗むために、あらゆる手段を講じるのです。例えば、2021年に起きたMicrosoft Exchangeのハッキング(Hafnium攻撃)では、たった1回のキャンペーンで1万社以上のネットワークが危険にさらされましたが、彼らは欲しいものを手に入れるために無差別に損害を与えることも平気で行います。
At the same time, the Chinese government uses intelligence officers to target the same information. 同時に、中国政府は諜報部員を使って、同じ情報を狙っています。
And to knock down a few misconceptions about what it’s like to be targeted by Chinese intelligence, first of all, most Chinese spies aren’t just targeting people with government secrets. They’re after people with accesses to innovation, trade secrets, and intellectual property they feel would give them an advantage—economically or militarily. そして、中国の情報機関に狙われるとはどういうことなのか、いくつかの誤解を打ち砕くために、まず第一に、ほとんどの中国のスパイは、政府の秘密を持つ人だけを狙っているわけではありません。経済的、軍事的に有利になると思われる技術革新、企業秘密、知的財産へのアクセス権を持つ人物を狙っているのです。
Second, many U.S. citizens who are compromised don’t realize they are working for the Chinese government. Chinese intelligence officers often use co-opted staff from Chinese universities or national businesses—effectively contract intelligence officers—to contact targets and develop what seems like a “collaborative” relationship, and the Chinese intelligence officer actually running the operation might never personally be in contact with the target. 第二に、情報漏洩した米国人の多くは、自分たちが中国政府のために働いていることに気づいていない。中国の諜報員はしばしば、中国の大学や国営企業の共同スタッフ(事実上の諜報員契約)を使ってターゲットと接触し、「協力」関係のようなものを構築しているのですが、実際に作戦を実行している中国の諜報員はターゲットと個人的に接触することはないかもしれません。
Third, and finally: With Chinese intelligence, the spy may not ever ask for information, but may, instead, just be looking for access to people and to networks, and that access may, in turn, be just enough to create a vulnerability for a cyber intrusion. So, their intelligence and cyber efforts are working hand-in-hand. 第三に、最後に。中国の諜報機関では、スパイは情報を求めず、単に人やネットワークへのアクセスを求め、そのアクセスがサイバー侵入のための脆弱性を作り出すのに十分な場合もあります。つまり、彼らの諜報活動とサイバー活動は密接に関係しているのです。
They also use elaborate shell games to disguise their efforts—both from our companies, and from our government investment screening program CFIUS, the Committee on Foreign Investment in the United States. また、彼らは手の込んだ偽装工作を行い、私たちの企業からも、政府の投資審査プログラムであるCFIUS(Committee on Foreign Investment in the United States)からも、その努力を隠蔽しています。
And for non-Chinese companies operating in China, the Chinese government takes advantage of its laws and regulations to enable its stealing. また、中国で活動する非中国企業に対しては、中国政府はその法律や規制を利用して窃盗を可能にします。
For example, in 2022, we learned that a number of U.S. companies operating in China had malware delivered into their networks through tax software the Chinese government required them to use. To put it plainly: By complying with Chinese laws, these companies unwittingly installed backdoors for Chinese state hackers. The overall result of PRC efforts like these is deep, job-destroying damage across a wide range of industries—and it’s damage that hits across the country, too, which is why we’re running 2,000 or so PRC-related counterintelligence investigations, out of every one of our 56 field offices. 例えば、2022年、中国で活動する多くの米国企業が、中国政府が使用を義務付けた税務ソフトウェアを通じて、マルウェアをネットワークに配信されていたことが分かりました。分かりやすく言えば 中国の法律に従うことで、これらの企業は知らず知らずのうちに、中国国家のハッカーのためのバックドアを設置していたのです。このようなPRCの取り組みの結果、幅広い産業分野で雇用を奪う深刻な被害が発生しており、その被害は国内にも及んでいます。そのため、私たちは56の支局すべてから、PRC関連の防諜調査を約2,000件実施しています。
Disrupting the Threat 脅威を断ち切る
In the cyber and espionage realm, just as in our other programs, our goal is disruption: getting ahead of and thwarting cyberattacks as early as possible, seizing infrastructure, and denying hackers the benefit of their crimes. サイバーとスパイの分野でも、他のプログラムと同様、私たちの目標は破壊です。サイバー攻撃をできるだけ早く先回りして阻止し、インフラを押収し、ハッカーが犯罪の利益を得るのを阻止することです。
Just a few weeks ago, we announced the success we’ve had with the year-and-a-half-long disruption campaign against the Hive ransomware group, dismantling their infrastructure and taking it offline. つい数週間前、私たちはランサムウェアグループ「Hive」に対する1年半に及ぶ破壊活動で、彼らのインフラを解体し、オフラインにすることに成功したことを発表したばかりです。
Since 2021, they’ve been one of the larger and more active ransomware groups we know of, targeting businesses and other victims in over 80 countries, and demanding hundreds of millions of dollars in ransom. 2021年以降、彼らは私たちが知る限り、より大規模で活発なランサムウェアグループの1つで、80カ国以上の企業やその他の被害者を標的にし、数億ドルの身代金を要求しています。
Last July, the FBI gained clandestine, persistent access to Hive’s control panel—essentially, hacking the hackers. 昨年7月、FBIはHiveのコントロールパネルに秘密裏に持続的にアクセスし、ハッカーをハッキングすることに成功しました。
From last July to this January, we repeatedly exploited that access to get Hive’s decryption keys and identify victims, and we offered those keys to more than 1,300 victims around the world so they could decrypt their infected networks—preventing at least $130 million in ransom payments—all without Hive catching on. 昨年7月から今年1月にかけて、このアクセス権を悪用してHiveの復号化キーを入手し、被害者を特定しました。そして、世界中の1300人以上の被害者にこのキーを提供し、感染したネットワークを復号化することで、少なくとも1億3000万ドルの身代金の支払いを防ぎましたが、すべてHiveに気づかれずにすんだのです。
The victims targeted by the Hive group reinforced what we know—that ransomware groups don’t discriminate. They went after big and small businesses. Hiveが標的とした被害者たちは、ランサムウェアグループが差別をしないことを改めて認識させられました。彼らは大企業も中小企業もターゲットにしています。
We rushed an FBI case agent and computer scientist to one specialty medical clinic that was so small, the doctor there also managed the clinic’s IT security. We helped larger companies, and we also shared keys with victims overseas through our foreign-based legal attaché offices—like when we gave a foreign hospital a decryptor, which they used to get their systems back up before ransom negotiations even began, possibly saving lives. 私たちはFBIの捜査官とコンピュータサイエンティストを、ある専門医院に急行させました。その医院は非常に小規模で、医師が医院のITセキュリティも管理していました。例えば、海外の病院に暗号解読機を提供したところ、身代金交渉が始まる前にシステムを復旧させ、人命を救うことができたのです。
As we consider how best to focus our efforts at disrupting the hackers, we’re not only providing intelligence to current victims to help them quickly recover from an attack, but also on preventing attacks before they happen. ハッカーを阻止するためにどのような取り組みを行うのが最善かを検討する中で、私たちは攻撃から迅速に回復するための情報を現在の被害者に提供するだけでなく、攻撃を未然に防ぐための取り組みも行っています。
So, for example, while on Hive’s systems, when we saw the initial stages of one attack against a university, we notified the school and gave their IT staff the technical information they needed to kick Hive off of their network before ransomware was deployed. 例えば、ハイブのシステムで、ある大学に対する攻撃の初期段階を確認したとき、学校に通知し、ITスタッフに必要な技術情報を提供し、ランサムウェアが展開される前にハイブをネットワークから追い出しました。
But our ability to help often hinges on victims—both private and public—reaching out to us when they are attacked. しかし、私たちの支援は、民間企業や公的機関の被害者が攻撃を受けた際に、私たちに連絡をくれるかどうかにかかっていることが多いのです。
Unfortunately, during these past seven months, we found that only about 20% of Hive’s victims reported to law enforcement they had been attacked, which means we wouldn’t have been able to help 80% of their victims if we hadn’t managed to get into Hive’s infrastructure, seeing what was happening from the bad guys’ side. So, while an important success, the Hive disruption was somewhat unusual. 残念ながら、この7ヵ月間、Hiveの被害者のうち、警察当局に攻撃を受けたと報告したのはわずか20%でした。つまり、Hiveのインフラに侵入し、悪者側から何が起こっているかを確認できなければ、80%の被害者を助けることはできなかったのです。つまり、重要な成功ではありましたが、Hiveの妨害はやや異例だったのです。
We can’t count on that level of visibility into adversaries’ systems, so we’re counting on our relationships with the private sector to let us know about a problem in time to fix or mitigate it. 私たちは、敵のシステムをそこまで見通すことはできないので、問題を修正・緩和するのに間に合うように問題を知らせてくれる民間企業との関係を頼りにしています。
As part of those relationships, we share threat intelligence to help companies fortify their defenses, and we rely on organizations in the private and public sector to let us know when they’ve been attacked, because once we learn about an attack, we work with our partners to broadly share what we can with public and private industry partners and international security agencies to improve overall network defense and prevent attacks. このような関係の一環として、私たちは企業の防御を強化するために脅威情報を共有しています。また、攻撃を受けた際には、民間および公共部門の組織から私たちに知らせてもらうようにしています。攻撃について知った後は、ネットワーク防御全体の改善と攻撃防止のために、パートナーと協力して、公共および民間業界のパートナーや国際セキュリティ機関とできることを幅広く共有しています。
Dissemination of attack information helps overcome typical silos that thwart recovery efforts, and in many instances, public and private sector partners provide us information in return that we can take back and use to help you with your recovery efforts. 攻撃情報の発信は、復旧作業を妨げる典型的なサイロを克服するのに役立ち、多くの場合、官民のパートナーは、私たちが持ち帰って復旧作業に役立てることができる情報を見返りに提供してくれます。
For example, in 2021, the Port of Houston was attacked by cybercriminals.  Because the Port reached out to us quickly, we were able to get technically trained agents out to the scene. There, they discovered a brand-new, zero-day exploit used to commit the attack—that is, a vulnerability and means of exploiting it that no one knew about yet. We immediately deployed our investigative tools to search for other victims where the same exploit was being deployed, and by the time the software provider developed a patch, we’d already enlisted our partners at CISA [the Cybersecurity and Infrastructure Security Agency] to work with us to help victims already being targeted, for whom that fix would otherwise have been too late. And, of course, the Port—and Houston—benefited greatly, too. 例えば、2021年、ヒューストン港がサイバー犯罪者の攻撃を受けました。  このとき、ヒューストン港はすぐに私たちに連絡し、技術的な訓練を受けたエージェントを現場に派遣することができました。そこで、攻撃に使われた全く新しいゼロデイ脆弱性、つまり、まだ誰も知らない脆弱性とその悪用方法を発見したのです。そして、ソフトウェア・プロバイダーがパッチを開発する頃には、すでにCISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ局)のパートナーに協力を要請し、すでに標的とされていた被害者のために、手遅れになる前にパッチを提供するよう働きかけていました。そしてもちろん、港やヒューストンも大きな恩恵を受けました。
The FBI is determined to use all of our tools and resources to help victims, whether we’re talking about single individuals or whether they number in the thousands. FBIは、被害者が一人であろうと数千人であろうと、あらゆる手段や資源を駆使して被害者を救済することを決意しています。
When the FBI determined the Chinese had executed the Hafnium attack to install backdoors into at least 10,000 U.S. and international partner networks and computers, we worked with a private sector partner to conduct the arduous task of identifying those victims using only IP addresses, including developing a custom tool for the task. We then employed advanced analytics to geolocate victims to specific field offices and legal attaché offices, and triaged over 1,700 victim notifications. And when some system owners weren’t able to remove the Chinese government’s backdoors themselves, we executed a first-of-its-kind, surgical, court-authorized operation, copying and removing the harmful code from hundreds of vulnerable computers—slamming those backdoors shut. FBI は、中国が少なくとも 1 万台の米国および海外のパートナーのネットワークとコンピュータにバックドアをインストールするために Hafnium 攻撃を実行したと判断したとき、民間部門のパートナーと協力して、IP アドレスのみを使用してこれらの被害者を特定する困難な作業を行いました。そして、高度な分析を用いて被害者を特定の現地事務所や法務局に地理的に特定し、1,700件を超える被害者通知のトリアージにあたりました。さらに、中国政府のバックドアを自分で削除できないシステム所有者がいたため、裁判所が承認した初の外科手術を実施し、数百台の脆弱なコンピュータから有害なコードをコピーして削除し、バックドアを閉鎖しました。
That example illustrates how today’s FBI views success: disruption of our adversaries by leveraging our capabilities, tools, and resources to get ahead of and thwart cyber attacks as early as possible. この例は、今日の FBI が成功をどのように捉えているかを示しています。つまり、私たちの能力、ツール、リソースを活用してサイバー攻撃に先手を打ち、できるだけ早く阻止することにより、敵対者を混乱させるということです。
As these examples demonstrate, a lot of good can come from mutual trust and working together—from strong partnership. And strong public and private sector partners not only help us at the FBI get ahead of the threat and aid in recovery, but they also help us leverage our traditional law enforcement authorities to further our disruption goals—not just arresting and extraditing more hackers, but dismantling their infrastructure and seizing their funds. Through seizures, we can also help a company recover funds that would otherwise be lost. これらの例が示すように、相互の信頼と協力、つまり強力なパートナーシップから、多くの良いことが生まれます。官民の強力なパートナーは、私たち FBI が脅威を先取りして復旧を支援するだけでなく、従来の法執行機関の権限を活用して、より多くのハッカーを逮捕して送還するだけでなく、彼らのインフラを解体して資金を押収するなど、破壊工作の目標を達成するのにも役立っています。ハッカーの逮捕や引き渡しだけでなく、インフラを破壊し、資金を押収することができます。押収によって、企業が失われるはずの資金を回収することもできます。
For instance, from January through November 2022, our Internet Crime Complaint Center’s Recovery Asset Team used the Financial Fraud Kill Chain over two thousand times, successfully freezing more than $328 million—a 74% success rate—that could then be returned to individuals and businesses who had been defrauded. 例えば、2022年1月から11月にかけて、インターネット犯罪相談センターのリカバリー・アセット・チームは、金融詐欺のキル・チェーンを2000回以上使用し、3億2800万ドル以上の凍結に成功しました(成功率74%)。
Greed is a primary motivator of the cyber threat, and by hitting cyber actors where it hurts—their wallets—we can disincentivize more attacks before they occur. サイバー脅威の主な動機は貪欲さですが、サイバー犯罪者の財布という痛いところを突くことで、攻撃が起こる前にその意欲をそぐことができるのです。
A few weeks ago, we announced the arrest of a Russian national who administered the Bitzlato Limited cryptocurrency exchange, which laundered over $15 million in ransomware proceeds and over $700 million in darknet illicit transactions. At the same time, we worked with our international law enforcement partners to seize Bitzlato’s servers and execute additional arrests. Cryptocurrency exchanges like Bitzlato are a vital part of the infrastructure cybercriminals use to launder the funds extorted from their victims. In thinking about how we, at the FBI, can have the most durable disruptive impact, our goal is not only to take away the motivation for ransomware attacks, but also to deprive ransomware groups of the resources they need to successfully conduct these attacks. 数週間前、私たちはBitzlato Limitedという暗号通貨取引所を管理していたロシア人を逮捕したと発表しました。この取引所では、1500万ドル以上のランサムウェアの収益と7億ドル以上のダークネット不正取引が洗浄されていました。同時に、当社は国際的な法執行機関のパートナーと協力して、Bitzlatoのサーバーを押収し、追加の逮捕を実行しました。Bitzlatoのような暗号通貨取引所は、サイバー犯罪者が被害者から強奪した資金を洗浄するために使用するインフラの重要な部分です。私たちFBIが最も持続的な破壊的インパクトを与える方法を考える上で、私たちの目標は、ランサムウェア攻撃の動機を奪うだけでなく、ランサムウェアグループがこれらの攻撃を成功させるために必要なリソースを奪うことでもあります。
Conclusion and Partnerships まとめとパートナーシップ
Bottom line: We believe in using every tool we’ve got to protect American innovation and critical infrastructure, but, as I said before, that’s not something the FBI can do alone. 結論です。私たちは、アメリカのイノベーションと重要なインフラを守るために、あらゆる手段を講じることを信条としています。
That’s a big reason conferences like this—focused on building a dialogue between the public and private sector on current and emerging threats—are so important to the Bureau. They build the partnerships necessary for us to understand and stay ahead of the threat. このような会議が FBI にとって非常に重要なのは、現在および将来の脅威について官民の対話を促進することに重点を置いているためです。このような会議は、私たちが脅威を理解し、その先を行くために必要なパートナーシップを構築するものです。
So, again, thank you for inviting me to kickstart the discussions today. Now, let’s turn this into a conversation. 本日のディスカッションを始めるにあたり、お招きいただきありがとうございました。 では、この議論を会話に発展させていきましょう。

 

Fbi_20230224122301

 

 

| | Comments (0)

英国 科学技術省 上場企業等のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究を開始...

こんにちは、丸山満彦です。

英国の科学技術省が、上場企業等のアニュアルレポートにおけるサイバーセキュリティの開示がどのような状況になっているかについて調査を始めるようです。。。

 

U.K. Gov - Department for Science, Innovation and Technology

・2023.02.23 Research on cyber security disclosures in company annual reports

Research on cyber security disclosures in company annual reports 企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する調査研究
The government is carrying out research to explore the prevalence and quality of cyber security disclosures made by large companies in their annual reports. 政府は、大企業がアニュアルレポートで行うサイバーセキュリティ開示の普及率と質を調査するための研究を実施している。
Documents 資料
企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究
Details 詳細
The Department for Science, Innovation and Technology (DSIT) has commissioned Azets to carry out research into the prevalence and quality of cyber disclosures. The fieldwork will take place over telephone and online from February 2023 to March 2023. During this period some organisations will be contacted by Azets from their Edinburgh office (an 0131 number) or Glasgow office (an 0141 number) inviting them to take part. You may also receive an email to let you know Azets called and inviting you to reply. You may be offered the option of completing the interview online, and if so, you will receive the survey link via email from Azets 科学技術省(DSIT)は、サイバー情報開示の普及と質に関する調査をAzets社に委託している。フィールドワークは、2023年2月から2023年3月にかけて、電話およびオンラインで行われる予定である。この期間中、一部の組織にはAzets社のエジンバラオフィス(0131番)またはグラスゴーオフィス(0141番)から参加の案内が連絡される。また、Azets社から連絡があったことを知らせるEメールや、返信を促すEメールが届くかもしれない。オンラインでインタビューに参加することも可能である。その場合は、Azets社からEメールでアンケートのリンクが届く。
Taking part is completely confidential and voluntary for all individuals and organisations. The interview is not technical and participants do not need any specific IT knowledge. インタビューへの参加は、個人・団体を問わず、完全に秘密厳守で、任意である。インタビューは技術的なものではなく、参加者に特別なIT知識は必要ない。
Context 背景
This research will support DSIT’s aim to better understand the effectiveness of current cyber disclosures by large organisations. The results of the research will inform government policy on cyber resilience. This work is part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK digital economy. この調査は、大規模な組織による現行のサイバー情報開示の有効性をより良く理解するというDSITの目的を支援するものである。この研究の結果は、サイバーレジリエンスに関する政府の政策に反映される。この研究は、英国のデジタル経済を保護・促進するための政府の26億ポンドの国家サイバー戦略の一部である。
For more information on the policy context, please see the document above. 政策的背景の詳細については、上記の文書を参照すること。
Who will take part? 誰が参加するのか?
A sample of UK listed and private companies with 750 employees or more and £750m turnover or more. This may include companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies. 従業員750人以上、売上高7億5000万ポンド以上の英国の上場企業および非上場企業のサンプル。代替投資市場で取引されている企業も含まれるが、有限責任事業組合や公共団体は含まれない。

 

・2023.02.23 Research on cyber security disclosures in company annual reports

Research on cyber security disclosures in company annual reports 企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究
1. Summary 1. 概要
The Department for Science, Innovation and Technology (DSIT) has commissioned Azets to carry out research into the prevalence and quality of cyber disclosures. The fieldwork will take place over telephone and online from February 2023 to March 2023. During this period some organisations will be contacted by Azets from their Edinburgh office (an 0131 number) or Glasgow office (an 0141 number) inviting them to take part. You may also receive an email to let you know Azets called and inviting you to reply. You may be offered the option of completing the interview online, and if so, you will receive the survey link via email from Azets 科学技術省(DSIT)は、サイバー開示の普及と質に関する調査をアゼツに委託した。フィールドワークは、2023年2月から2023年3月にかけて、電話およびオンラインで行われる。この期間中、一部の組織にはAzets社のエジンバラオフィス(0131番)またはグラスゴーオフィス(0141番)から参加の案内が連絡される。また、アゼツ社から連絡があったことを知らせるEメールや、返信を促すEメールが届くかもしれない。オンラインでインタビューに参加することも可能である。その場合は、Azets社からEメールでアンケートのリンクが届く。
Taking part is completely confidential and voluntary for all individuals and organisations. The interview is not technical and participants do not need any specific IT knowledge. インタビューへの参加は、個人・団体を問わず、完全に秘密厳守で、任意である。インタビューは技術的なものではなく、参加者は特別なIT知識を必要としない。
For more information, please see the document above. 詳しくは、上記の文書を参照のこと。
2. Context 2. コンテクスト
One of the barriers to companies enhancing their cyber resilience is the lack of accountability and transparency to key stakeholders. One way in which we plan to address this issue is through the introduction of the Resilience Statement. This policy was proposed as part of the Department for Business and Trade’s wider reform of audit and corporate reporting and formed part of their public consultation on audit and corporate governance (p.48). The Resilience Statement will be a statement that forms part of a company’s annual report and will set out how a company is managing risk and building or maintaining business resilience over the short, medium and long-term. It will apply to all UK listed and private companies with 750 employees or more and £750m turnover or more. This includes companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies. 企業がサイバーレジリエンスを強化する際の障壁のひとつに、主要なステークホルダーに対する説明責任と透明性の欠如がある。この問題に対処するための一つの方法として、レジリエンス・ステートメントの導入が計画されている。この政策は、商務省の監査と企業報告に関する広範な改革の一環として提案され、監査とコーポレートガバナンスに関する公開協議の一部を構成している(p.48)。レジリエンス・ステートメントは、企業の年次報告書の一部を構成するもので、企業が短期、中期、長期にわたってどのようにリスクをマネジメントし、事業の回復力を構築・維持しているかを示すものである。従業員750人以上、売上高7億5000万ポンド以上の英国のすべての上場・非上場企業に適用される。代替投資市場で取引されている企業も含まれますが、有限責任事業組合や公共団体は含まれない。
This research will support DSIT’ aim to better understand the effectiveness of current cyber disclosures by large organisations. The results of the research may be used to inform the supporting guidance for the cyber related aspect of the Resilience Statement, as well as informing wider government policy on cyber resilience. This will support the government’s work with industry and charities to make the UK the safest place to live and work online. この調査は、大企業による現行のサイバー情報開示の有効性をより良く理解するというDSITの目標を支援するものである。この調査の結果は、レジリエンス・ステートメントのサイバー関連の側面に関する支援ガイダンスに活用されるだけでなく、サイバーレジリエンスに関する政府の幅広い政策に情報を提供することもできる。これは、英国をオンラインで生活し働くのに最も安全な場所にするために、政府が産業界や慈善団体と協力して行っている活動を支援するものである。
3. Who will take part? 3. 参加対象者
A sample of UK listed and private companies with 750 employees or more and £750m turnover or more. This may include companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies. 従業員750人以上、売上高7億5000万ポンド以上の英国の上場企業および非上場企業。代替投資市場で取引されている企業も含まれますが、有限責任事業組合や公共団体は含まれない。

 

開示関連

・2022.05 [PDF] Restoring trust in audit and corporate governance

20230224-01527

 

3.1 Resilience Statement  3.1 レジリエンス・ステートメント 
What the White Paper proposed  白書が提案したこと 
3.1.1 The White Paper proposed that companies within scope of the new Public Interest Entity definition should produce an annual Resilience Statement, which sets out their approach to managing risk and developing resilience over the short, medium and long term. The proposal responded to a recommendation in the Brydon Review and to concerns expressed in both that Review and the FRC Review that existing risk and viability reporting by many companies – including the viability statement produced under the UK Corporate Governance Code – lacked sufficient detail and specificity, and was not long-term enough in outlook.   3.1.1 白書は、新しい公益事業体の定義の範囲内にある企業は、短期、中期、長期のリスクマネジメントとレジリエン ス開発へのアプローチを示すレジリエンス・ステートメントを毎年作成することを提案している。この提案は、Brydon レビューでの提言と、同レビューおよび FRC レビューで表明された、多くの企業による既存のリスクと実行可能性の報告(英国コーポレートガバナンス・コードの下で作成された実行可能性報告書を含む)が十分な詳細さと具体性を欠き、長期的な展望に欠けるという懸念に対応するものであった。 
3.1.2 The White Paper proposal consisted primarily of the following:  3.1.2 白書の提案は、主に次のような内容であった。
•       The Resilience Statement should incorporate and build on the existing going concern and viability statements;  ・レジリエンス・ステートメントは,既存のゴーイングコンサーンやバイアビリティ・ステートメントを組み込んで構築されるべきである。
•       The short-term section of the Resilience Statement should include material uncertainties to a company being a going concern even if these were rendered immaterial following mitigating action or the use of significant judgement;  ・レジリエンス・ステートメントの短期セクションには、継続企業の重要な不確実性が,緩和措置や重要な判断の使用により重要でなくなった場合であっても含めるべきである。
•       The short- and/or medium-term sections should at a minimum provide disclosures on how a company is addressing certain risks or resilience issues, including threats to business continuity, supply chain resilience and cyber security; and  ・短期及び/又は中期セクションは,少なくとも,事業継続,サプライチェーンの強靭性,サイバーセキュリティに対する脅威など,特定のリスクやレジリエンスの問題に企業がどのように対処しているかについての開示を提供すること。
•       The medium-term section should include two reverse stress testing scenarios and should cover a five-year forward look.  - 中期的なセクションは、2つの逆ストレステストのシナリオを含み、5年間のフォワードルックをカバーする必要がある。
Issues arising from consultation  コンサルテーションから生じた問題 
3.1.3 There was broad support for the Resilience Statement in principle, including from a large majority of civil society and investor respondents, and from most business respondents. Many respondents said there was a need for a clearer understanding of the risks that companies face over the short, medium and long term which might threaten the resilience of the business, and a corresponding interest in understanding the mitigating actions being taken by management in response. It was generally accepted that existing disclosures under the viability statement often lacked specificity and sufficient detail to provide confidence that a company had robust plans in place to prepare for business shocks while also delivering sustainable value.  3.1.3 市民社会と投資家の回答者の大多数、および企業の回答者の大多数から、原則的にレジリエンス・ステートメ ントに対する幅広い支持が得られた。多くの回答者は、事業のレジリエンスを脅かす可能性のある、企業が短期、中期、長期にわたって直面するリスクをより明確に理解する必要があり、それに応じて経営陣が取っている緩和策を理解することに関心があると述べている。存続可能性報告書の下での既存の開示は、しばしば、企業が持続可能な価値を提供しつつ、ビジネスショックに備える強固な計画を有していることを確信させるに足る具体性と十分な詳細性を欠いていることが、一般に受け入れられていた。
3.1.4 With supportive comments came a number of suggestions – including from investors, civil society groups, a trade union body, audit firms and a number of business respondents – for how the Resilience Statement could be made more effective than the viability statement, including by:  3.1.4 投資家、市民社会団体、労働組合、監査法人、企業の回答者など、支持するコメントとともに、レジリエンス・ステートメントをバ イアビリティ・ステートメントよりも効果的にする方法として、以下のような提案がなされた。
•       providing an over-arching management narrative on resilience planning, covering both operational and financial resilience and links to the business strategy;  ・レジリエンス計画に関する包括的な経営説明を提供し,事業と財務の両方のレジリエンスを網羅し,事業戦略との関連性を持たせる。
•       incorporating existing disclosures on principal risks and uncertainties made within the Strategic Report;  ・戦略報告書内の主要なリスクと不確実性に関する既存の情報開示を取り入れる。
•       highlighting critical accounting judgements and estimates made in the company’s financial statements;  ・会社の財務諸表で行われる重要な会計上の判断と見積りを強調する。
•       requiring management to set out the mitigating actions they had put in place to address individual risks, and to explain how they saw particular risks crystallising over time;  ・経営陣に対し,個々のリスクに対処するために実施した緩和策を提示し,特定のリスクが時間とともにどのように顕在化すると見ているかを説明するよう求める。
•       focusing less on whether a company would remain viable and meet its liabilities over a given time – which some commented had led to unhelpful and minimalist binary reporting in the viability statement – and more on the company’s actions to help ensure it remained viable, on which investors and other interested stakeholders could then form a view; and/or  ・企業が存続し,一定期間負債を返済し続けるかどうかに焦点を当てるのではなく(そのために,存続可能性報告書において,役に立たない,最小限のバイナリーレポートになっているとのコメントがあった),企業が存続し続けるための行動をより重視し,投資家や他の利害関係者は,それについて意見を形成すること。
•       including wider disclosures on sustainability, and matters arising from business operations that might be material to society and the environment, which took account of existing international and European Union proposals on sustainability reporting, highlighting any risks to a company’s resilience arising from major contract dependencies and complex business structures (including extensive use of subcontracting and out-sourcing).  - 持続可能性に関するより広範な開示、および事業運営から生じる社会と環境にとって重要な事項の開示。これは、持続可能性報告に関する既存の国際的な提案や欧州連合の提案を考慮し、大規模な契約依存や複雑な事業構造(下請けやアウトソーシングの大規模利用など)から生じる企業の回復力に対するあらゆるリスクを強調するものである。
3.1.5 While a large majority of business respondents, including business groups and individual companies, supported the introduction of a Resilience Statement, this support in many cases came with the following two qualifications. First, there was concern over the White Paper proposal that every Resilience Statement should address a minimum set of risks or resilience issues, such as a business continuity shock or major supply chain dependency. Both businesses and many investors argued that this could produce a tick-box approach to resilience reporting, while undermining the responsibility of the board of directors to determine what risk and resilience matters were specifically material for their company in any given year. Second, many companies were concerned about the proposal to mandate a minimum five-year forward look for the medium-term section of the Resilience Statement (the length of the longterm section being left to the discretion of each company). It was argued that this did not take account of the varying business cycles of different companies and sectors, and many businesses said it would not align with their typical three-year business planning process.  3.1.5 企業グループや個々の企業を含む回答者の大多数は、レジリエンス表明の導入を支持していたが、多くの場合、この支持には、次の二つの制約があった。第一に、すべてのレジリエンス・ステートメントが、事業継続のためのショックや主要なサプライチェーンへの依存など、最低限のリスクやレジリエンスの問題を扱うべきだという白書の提案に懸念がありました。企業も多くの投資家も、この提案はレジリエンス報告に対して画一的なアプローチになりかねず、また、どの年度のどのリスクやレジリエンス事項が自社にとって特に重要かを決定する取締役会の責任も損なわれる、と主張しました。第二に、レジリエンス・ステートメントの中期セクションについて、最低5年間のフォワードルックを義務付ける(長期セクションの長さは各社の裁量に委ねる)という提案に、多くの企業が懸念を抱いていました。これは、企業やセクターによって異なるビジネスサイクルを考慮に入れていないと主張し、多くの企業は、これが通常の3年間の事業計画プロセスとは一致しないと述べている。
3.1.6 Around a quarter of business respondents raised concerns, or otherwise asked for more clarification, on the proposal that companies should carry out two reverse stress tests each year and report on this within the Resilience Statement. Some commented that this risked providing commercially sensitive information and/or could create a false expectation that a company was genuinely at risk of failure. Others asked why two reverse stress tests were needed and suggested that just one test was needed which focused on the key variable in a company’s business model and planning which, if not managed correctly, could threaten its survival. A small number of respondents highlighted existing reverse stress testing requirements covering banks and other financial institutions and asked how the new obligation in the Resilience Statement would interact with those for companies subject to both measures.  3.1.6 企業の回答者の約四分の一は、企業が毎年二回の逆ストレステストを実施し、レジリエンス・ステートメントの中でこれを報告すべきという提案に懸念を示し、あるいはさらに明確にするよう求めました。一部の回答者は、これは商業的に敏感な情報を提供するリスクがある、および/または、企業が本当に破綻のリスクにさらされているという誤った期待を抱かせる可能性があるとコメントしています。また、なぜ2つの逆ストレステストが必要なのかという質問もあり、企業のビジネスモデルと計画のうち、正しく管理されなければ企業の存続を脅かす可能性のある重要な変数に焦点を当てた1つのテストだけが必要であると提案した。少数の回答者は、銀行や他の金融機関を対象とした既存の逆ストレステストの要件を強調し、レジリエンス・ステートメントにおける新しい義務が、両方の措置の対象となる企業のそれらとどのように相互作用するかを質問している。
3.1.7 A further concern, raised by a small number of business respondents, was over the proposal to expand the going concern statement to include material uncertainties that existed prior to the exercise of significant judgement or the taking of mitigating action by management. It was argued that this could potentially lead to disclosure of a long list of material uncertainties that routine management action rendered immaterial every year and so create an unjustified impression that a company was struggling to remain a going concern.  3.1.7 さらに、少数の企業回答者が提起した懸念は、継続企業の前提を拡大し、経営陣による重要な判断の行使や緩和措置の実施以前に存在した重要な不確実性を含めるという提案であった。これは、経営者の日常的な行動によって重要でなくなった重要な不確実性のリストを毎年開示することになり、企業が継続企業の地位を維持するのに苦労しているという不当な印象を与える可能性があるというものであった。
3.1.8 The White Paper also invited views on whether new mandatory reporting under the framework of the Taskforce on Climate-related Financial Disclosures (TCFD) should be included within the Resilience Statement in whole or part. A large majority of respondents were opposed to this, with most arguing that since TCFD reporting will be both substantial and focused on a particular issue, it should be reported separately. Nonetheless, a number of respondents noted the parallel short, medium and long-term structures of the Resilience Statement and the TCFD framework and said it would be helpful for companies to cross-refer to relevant TCFD disclosures within their Resilience Statement.  3.1.8 白書は、気候関連財務開示タスクフォ ース(TCFD)の枠組みに基づく新たな義務的報告の全部または一部をレジリエンス表明に 含めるべきかどうかについても意見を求めている。回答者の大多数はこれに反対しており、TCFDの報告は実質的であり、特定の問題に焦点を当てたものとなるため、個別に報告されるべきであると主張している。しかし、多くの回答者がレジリエンス・ステートメントとTCFDの枠組みが短期、中期、長期と並行して構成されていることを指摘し、企業がレジリエンス・ステートメントの中で関連するTCFDの開示を相互参照することは有用であると述べている。
3.1.9 Finally, a small number of business respondents said the Government should review whether the implementing legislation for the Resilience Statement should include a ‘safe harbour’ protection for directors given the greater and potentially longer-term information it would provide concerning the future of businesses. The reasoning here was that directors should be able to set out their views on the resilience of their business on the basis of what could be reasonably known and planned for at the time, and not be constrained by liability concerns which might arise if future events called into question those previous judgements and actions.  3.1.9 最後に、少数の企業回答者は、レジリエンス・ステートメントが企業の将来に関してより大きく、より長期的な情報を提供する可能性があることから、レジリエンス・ステートメントの実施法に取締役に対する「セーフハーバー」保護を含めるべきかどうかを政府が検討すべきであると述べている。その理由は、取締役は、その時点で合理的に知ることができ、計画することができたことに基づいて、事業のレジリエンスに関する見解を示すことができるべきであり、将来の出来事がそれらの以前の判断や行動を疑問視する場合に生じるかもしれない責任懸念に拘束されるべきではないというものであった。
Government response  政府の対応 
3.1.10 The Government welcomes the general support for the Resilience Statement proposal and the constructive feedback offered by many respondents on how it can be most effectively implemented. The Government intends to continue with this proposal, subject to the changes set out below. The Government confirms that the Resilience Statement will apply to companies which are Public Interest Entities in line with the size thresholds set out in Chapter 1 of this document (see paragraph 1.6.48); that is, public and private companies with 750 employees or more and an annual turnover of at least £750m.  3.1.10 政府は、レジリエンス・ステートメントの提案に対する全般的な支持と、それを最も効果的に実施する方法について多くの回答者から提供された建設的なフィードバックを歓迎する。政府は、以下に示す変更点を前提に、この提案を継続する意向である。政府は、レジリエンス・ステートメントが、本書第1章(1.6.48項参照)に示された規模の閾値に沿って、公益事業体、すなわち、従業員750人以上、年間売上高7億5000万ポンド以上の公共及び民間企業に適用されることを確認する。
Identification of material resilience matters  レジリエンスに関する重要事項の特定 
3.1.11 The Government accepts that mandating a common set of risks to be addressed in every statement would cut across the directors’ responsibility to identify, manage and report on those risk and resilience issues that are most material to their business. Instead, the Government intends to legislate for companies to report on matters that they consider a material challenge to resilience over the short and medium term, together with an explanation of how they have arrived at this judgement of materiality. In doing so, companies will be required to have regard to the following[1]:  3.1.11 政府は、すべての報告書で扱うべき共通のリスク群を義務付けることは、自社の事業にとって最も重要なリスクとレジリエンス の問題を特定、管理、報告するという取締役の責任を回避することになると受け止めている。その代わりに、政府は、企業が短期・中期的にレジリエンスにとって重要な課題と考える事項について、その重要性の判断に至った経緯の説明とともに報告することを法律化する予定である。その際、企業は以下の点に留意することが求められる[1]。
•       any materially significant financial liabilities or expected refinancing needs occurring during the assessment period of the short and medium term sections of the Resilience Statement;  ・レジリエンス・ステートメントの短期・中期セクションの評価期間中に発生する,重大な金融負債や借り換えの必要性の予想。
•       the company’s operational and financial preparedness for a significant and prolonged disruption to its normal business trading;  ・通常の事業取引に重大かつ長期的な支障が生じた場合の会社の業務及び財務上の備え。
•       significant accounting judgements or estimates contained in the company’s latest financial statements that are material to the future solvency of the company;  ・会社の最新の財務諸表に含まれる,会社の将来の支払能力にとって重要な会計上の判断や見積り。
•       the company’s ability to manage digital security risks, including cyber security threats and the risk of significant breaches of its data protection obligations;  ・サイバーセキュリティの脅威およびデータ保護義務の重大な違反のリスクを含む,デジタルセキュリティリスクの管理能力。
•       the sustainability of the company’s dividend policy;  ・会社の配当政策の持続可能性
•       any significant areas of business dependency with regard to the company’s suppliers, customers, products, contracts, services or markets which may constitute a material risk; and  ・会社のサプライヤー,顧客,製品,契約,サービス,市場に関して,重大なリスクを構成する可能性のある事業依存の重要な分野。
•       the impact on the company’s business model of climate change, to the extent that this is not already addressed by the company in other statutory reporting.  - 気候変動が会社のビジネスモデルに与 える影響(他の法定報告で取り上げられていない範囲で) 
3.1.12 Supporting guidance by the regulator will set out more detail of how the potential materiality of these matters should be considered as well as on the Resilience Statement as a whole.   3.1.12 規制当局による補助ガイダンスには、レジリエンス・ステートメント全 体に加え、これらの事項の潜在的重要性を 考慮する方法について、より詳細が規定 される予定である。 
3.1.13 On the suggestion by some respondents that the Resilience Statement should be a vehicle for sustainability reporting, in October the Government published “Greening Finance: A Roadmap to Sustainable Investing”[2], a roadmap which sets out plans for a new Sustainability Disclosures Requirement (SDR) regime for UK corporates, financial services firms, asset owners and financial products. It recognises the crucial role of industry, investors and stewardship in delivering a sustainable future. The new SDR regime will require disclosures relevant to enterprise value creation against International Sustainability Standards and disclosures relevant to a company’s impact on the environment using the UK’s Green Taxonomy. In preparing the implementing legislation for the Resilience Statement, and its supporting guidance, the Government and the regulator will consider how the Resilience Statement can effectively reference, make links to and provide a coherent reporting framework with wider sustainability disclosures.  3.1.13 一部の回答者によるレジリエンス・ステートメントを持続可能性報告の手段とすべきとの指摘に 対し、政府は、10 月に「Greening Finance: これは、英国の企業、金融サービス企業、資産家、金融商品に対する新しい持続可能性開示要件(SDR)体制の計画を定めたロードマップである。これは、持続可能な未来を実現するために、産業界、投資家、スチュワードシップが果たす重要な役割を認識するものである。新しい SDR 体制では、国際的な持続可能性基準に照らした企業価値の創造に関連する開示と、英国の Green Taxonomy を用いた企業の環境への影響に関連する開示が要求されます。レジリエンス・ステートメントの施行法およびそれを支えるガイダンスを作成するにあたり、政府と規制当局は、レジリエンス・ステートメントが、より広範な持続可能性の開示といかに効果的に参照、連携し、一貫した報告枠組みを提供できるかを検討する予定である。
Assessment period  評価期間 
3.1.14 The Government continues to believe that companies should be able to demonstrate to shareholders (where relevant) and other interested stakeholders that they are working to help ensure the resilience of the company’s business model, its financial base and its operations over the short, medium and long term. Nonetheless, the Government accepts that having a one-size-fits-all minimum assessment period would be inflexible, given the variation in business cycles and business planning processes across different companies and sectors. The Government therefore intends to replace the five-year mandatory assessment period previously proposed for the combined short- and medium-term sections of the Resilience Statement with an obligation on companies to choose and explain the length of the assessment period for the medium-term section. Companies will be required to include a description of how resilience planning over the chosen period aligns with the company’s strategy and business investment cycle[3]. If the assessment period is the same as the one chosen in the previous year, the company will need to explain why it continues to be justified.  3.1.14 政府は、企業が、株主(関連する場合)やその他の利害関係者に対して、短期、中期、長期にわたって企業のビジネスモデル、財務基盤、事業の回復力を確保するために努力していることを示すことができるべきであると引き続き考えている。しかしながら、政府は、企業やセクターによって事業サイクルや事業計画プロセスが異なることを考慮すると、一律の最低評価期間を設定することは柔軟性に欠けることを認めている。そこで政府は、レジリエンス・ステートメントの短期と中期を合わせたセクションについてこれまで提案されていた5年間の評価期間の義務付けに代えて、中期セクションの評価期間の長さを選択し説明することを企業に義務付ける予定である。企業は、選択した期間におけるレジリエンス計画が、企業の戦略や事業投資サイクルとどのように整合しているかについての説明を含めることが要求される[3]。評価期間が前年度に選択したものと同じである場合、企業は、それが引き続き正当化される理由を説明する必要がある。
High-level narrative  ハイレベルな説明 
3.1.15 The Government accepts that the statement should contain a high-level explanation of the company’s approach to maintaining or enhancing its operational and financial resilience over the short and medium term. This explanation should clearly set out how the company’s assumptions on resilience planning and risk management are influenced by and relate to its strategy on the one hand, and also the main trends and factors that are likely to affect the future development, performance and position of the company’s business[4]. This reporting should precede the company’s specific reporting on individual risk and resilience issues. Again, the supporting guidance by the regulator will provide more detailed advice on good practice.  3.1.15 政府は、声明に、短期および中期にわたって業務および財務のレジリエンスを維持または強化するための会社のアプローチに関するハイレベルな説明を含めるべきであると受け止めている。この説明では、レジリエンス計画とリスクマネジメントに関する会社の前提が、一方でどのように会社の戦略に影響され、関連しているか、また、会社の事業の将来の発展、業績、地位に影響を与えそうな主なトレンドと要因を明確に打ち出すべきである[4]。この報告は、個々のリスクとレジリエンスの問題に関する会社の具体的な報告に先行するものであるべきです。ここでも、規制当局による支援ガイダンスが、グッドプラクティスに関するより詳細なアドバイスを提供することになります。
Disclosure of principal risks and uncertainties  主要なリスクと不確実性の開示 
3.1.16 The Government recognises that, in the interest of integrated and holistic reporting on risk and resilience, the existing Strategic Report requirement on companies to describe the principal risks and uncertainties facing them should be incorporated within the Resilience Statement. The Government intends that companies within scope be given the flexibility to report these risks within the short- and/or medium-term sections of the Resilience Statement, noting that different kinds of risk or uncertainty may crystallise or resolve over different time periods.   3.1.16 政府は、リスクとレジリエンスに関する統合的かつ総合的な報告という観点から、企業が直面する主要なリスクと不確 実性を記述するよう求めている現行の戦略報告書を、レジリエンス表明に組み入れるべきであると認識している。政府は、さまざまな種類のリスクや不確実性が、異なる期間にわたって結晶化したり、解決されたりする可能性があ ることに留意し、対象範囲内の企業には、これらのリスクをレジリエンス表明の短期・中期セクションで報告する柔軟性が 与えられることを意図している。 
3.1.17 Given that companies’ existing description of their principal risks and uncertainties may well overlap with the new requirement to identify and report on material risk and resilience issues facing the company over the short to medium term, the Government intends that the implementing legislation will give companies flexibility to meet the existing requirement through their assessment of risk and resilience issues over the short to medium term. The implementing legislation will also require companies to report, for each risk or resilience issue identified over the short to medium term:  3.1.17 企業の主要なリスクと不確実性に関する既存の説明は、短中期的に企業が直面する重要なリスクとレジリエンス の問題を特定し報告するという新しい要件と重複する可能性が高いことから、政府は、実施法が企業に、短中期的 なリスクとレジリエンスの問題の評価を通じて既存の要件を満たす柔軟性を付与することを意図している。また、実施法では、企業は、短中期的に特定されたリスクやレジリエンスの課題ごとに、以下の事項を報告することが求められる。
•       the likelihood of the risk and its impact on the company’s operations or financial health if it were to materialise;  ・リスクが顕在化する可能性と,顕在化した場合の会社の業務または財務の健全性に対する影響。
•       the time period over which the risk is expected to remain, and potentially crystallise, if known;  - リスクが残存し、潜在的に結晶化すると予想される期間(もし分かっていれば)。
•       what mitigating action, if any, the company has put or plans to put in place to manage the risk; and  - リスクをマネジメントするために会社が実施した、または実施する予定の緩和措置(もしあれば)。
•       any significant changes to any of the above since the previous year’s Resilience Statement.  ・前年のレジリエンス・ステートメント以降に上記のいずれかに生じた重大な変更。
Reverse stress testing  リバース・ストレステスト 
3.1.18 The Government recognises that reverse stress testing may require significant time and internal management resource. However, this investment can provide management with valuable tools and insight with which to re-appraise a company’s capacity to cope with severe but plausible scenarios which, if not planned for properly, could cause the business to fail or otherwise lose the confidence of its customers and finance providers. The Government believes it is appropriate that large public interest entities should be able to demonstrate that they have undergone such a critical evaluation of their business’s key potential vulnerabilities. The Government also notes that a number of large businesses outside the financial services sector are already voluntarily making use of reverse stress testing to understand their resilience[5] and improve their risk management.  3.1.18 政府は、リバース・ストレステストにはかなりの時間と内部の管理リソースが必要であることを認識している。しかし、この投資は、もし適切な計画がなければ、事業の失敗や顧客や金融機関の信頼を失う原因となり得る、厳しいが、もっともらしいシナリオに対処する企業の能力を再評価するための貴重なツールや洞察を経営陣に提供することが可能です。政府は、大規模な公益事業体が、事業の主要な潜在的脆弱性についてこのような重要な評価を受けていることを実証できるようにすることが適切であると考えている。また、政府は、金融サービス部門以外の多くの大企業が、自社のレジリエンスを理解し[5]、リスクマネ ジメントを改善するために、すでに自主的にリバース・ストレステストを活用していることに留意している。
3.1.19 The Government therefore intends to continue with its proposal that companies within scope of the Resilience Statement should perform reverse stress testing. However, in light of the consultation feedback, companies will be required to perform at least one reverse stress test rather than a minimum of two. The Government also recognises the need for consistency between this new requirement and existing reverse stress testing obligations covering banks and insurance companies[6], while not replicating in full obligations that are designed to test solvency and capital adequacy in the financial system. It therefore intends that the Resilience Statement will require a company to:  3.1.19 従って、政府は、レジリエンス・ステートメントの適用範囲内の企業は逆ストレステストを実施すべきであるという提案を継続するつもりである。しかし、コンサルテーションフィードバックを考慮し、会社は最低2回のリバースストレステ ストではなく、最低1回のリバースストレステストを実施することが要求されることになります。政府は、この新しい要件と銀行や保険会社[6]を対象とする既存の逆ストレステストの義務との間の整合性の必要性も 認識していますが、金融システムの支払能力や資本の妥当性をテストするために設けられた義務を完全に複製する ことはありません。そのため、レジリエンス・ステートメントは、企業に対して以下を要求することを意図しています。
•       identify annually a combination of adverse circumstances which would cause its business plan to become unviable;   ・事業計画が実行不可能となるような不利な状況の組み合わせを毎年特定すること。
•       assess the likelihood of such a combination of circumstances occurring; and  ・そのような状況の組み合わせが発生する可能性を評価する。
•       summarise within the Resilience Statement the results of this assessment and any mitigating action put in place by management as a result. The summary would not be required to include any information which, in the opinion of the directors, would be seriously prejudicial to the commercial interests of the company.  ・この評価結果と,その結果経営陣が講じた緩和策をレジリエンス・ステートメントに要約すること。この要約には,会社の商業的利益を著しく損なうと取締役が判断した情報を含める必要はない。
3.1.20 The process should be documented and carried out according to the nature, size and complexity of the business. The supporting documentation will not be required to be published but should be available to the regulator to review on request. The Government will address in its design of the implementing legislation how banks and other financial service companies which already carry out mandatory reverse stress testing may rely on this existing activity to comply with the Resilience Statement requirement.  3.1.20 プロセスは、事業の性質、規模、複雑性に応じて文書化され、実施されなければならない。裏付けとなる文書は公表する必要はないが、規制当局が要求に応じて閲覧できるようにする必要がある。政府は、実施法の設計において、すでに強制的な逆ストレステストを実施している銀行やその他の金融サービス会社が、レジリエンス・ステートメントの要件に準拠するためにこの既存の活動に依存する方法について対処する予定である。
Material uncertainties  重要な不確実性 
3.1.21 The Government acknowledges the concern that requiring companies to disclose all material uncertainties to a company being a going concern prior to mitigating action or the use of significant judgement could potentially produce a long list of risks that are routinely rendered immaterial by business-as-usual action. At the same time, consultation responses from investors and other stakeholders show there is significant interest in understanding critical judgements or actions taken by management to conclude that an identified material uncertainty is no longer material.  3.1.21 政府は、緩和措置や重要な判断を行う前に、企業が継続企業であるための重要な不確実性をすべて開示することを義務付けると、通常通りの行動で重要性が低下するリスクの長いリストを作成する可能性があるという懸念を認識している。同時に、投資家や他の利害関係者からのコ ンサルテーションの回答は、識別された重要 な不確実性がもはや重要でないと結論づける ために経営者が行った重要な判断や行動を理解 することに、大きな関心があることを示してい る。
3.1.22 This information need is arguably already met to an extent by international accounting standards. International Accounting Standard 1 requires companies to disclose the management judgements that have had the most significant effect on the financial statements and also requires disclosure of major sources of estimation uncertainty. Additionally, since 2014, US GAAP has required that management’s initial going concern evaluation should not take account of mitigating actions that are ongoing.  3.1.22 この情報ニーズは、間違いなく、国際会計基 準によって既にある程度満たされている。国際会計基準1号は、財務諸表に最も重要な影響を与えた経営判断の開示を企業に求め、また、見積りの不確実性の主要な原因の開示も求めている。さらに、2014 年以降、米国会計基準では、経営者による最初の継続企業の評価は、進行中の緩和措置を考慮すべきではないとされている。
3.1.23 Balancing the need for proportionality with legitimate and wider investor interest in the going concern assessment process, the Government intends that companies within scope of the Resilience Statement should identify any material uncertainties to going concern, that existed prior to the taking of mitigating action or the use of significant judgement, which the directors consider are necessary for shareholders and other users of the statement to understand the current position and prospects of the business.   3.1.23 政府は、継続企業の評価プロセスにおける正当かつ幅広い投資家の関心と比例する必要性とのバランスを取りながら、レジリエンス・ステートメントの範囲内の会社は、緩和措置の実施や重要な判断の使用以前に存在した、株主やその他の計算書の利用者が事業の現状と展望を理解するために必要だと取締役が考える継続企業の重要な不確実性を特定すべきと意図している。 
Viability statement and Going Concern statement  実行可能性報告書と継続企業の報告書 
3.1.24 The Government confirms that, for companies within scope of the Resilience Statement, the existing viability statement provision in the UK Corporate Governance Code (Provision 31) extending to premium listed companies will be incorporated and adapted within the statutory requirements for the Resilience Statement. As part of this, and taking account of consultation feedback on the viability statement’s provisions on prospects and liabilities, the Government and the FRC will consider how the existing objectives of the viability statement can be adapted within the Resilience Statement, while meeting the aims set out in the White Paper and this response to deliver more meaningful and extensive reporting on risk and resilience.   3.1.24 政府は、レジリエンス・ステートメントの適用範囲内の企業について、プレミアム上場企業に適用される英国コーポレートガバナンス・コード(条項31)の既存のバイアビリティステートメントの条項が、レジリエンス・ステートメントの法定要件に組み込まれ、適合されることを確認した。この一環として、また、見通しと負債に関する実行可能性報告書の規定に関するコンサルテーションのフィードバックを考慮し、政府とFRCは、リスクと回復力に関するより有意義で広範な報告を実現するという白書とこの回答で示された目的を達成しつつ、実行可能性報告書の既存の目的を回復力報告書にどう適合させられるかを検討する。 
3.1.25 The Government and the FRC intend that the existing viability statement provision in the Code (Provision 31) will no longer apply after the Resilience Statement enters into force. Its removal will be subject to consultation by the FRC at the same time it consults on other proposed changes to the Code in response to the Government's final policy position set out in this response. Existing FRC guidance[7]37 under the Code on risk and viability will continue in force, since it is relevant to other Code Principles and Provisions relating to resilience and risk management[8]38 which will continue to apply to all companies that follow the Code.   3.1.25 政府とFRCは、レジリエンス・ステートメントの発効後、現行の実行可能性報告書の規定(条項31)を適用しないことを意図している。本回答で提示した政府の最終的な方針を受けて、FRCは規範の他の変更案について協議すると同時に、その削除について協議する予定である。リスクと実行可能性に関する既存のFRCガイダンス[7]37 は、レジリエンスとリスクマネジメントに関する他のコード原則と規定[8]38 に関連しており、コードに従う全ての企業に適用され続けるため、今後も効力を維持します。 
3.1.26 The FRC also intends to consult on removing Provision 30 from the Code, covering the Going Concern statement, on the basis that this will also be included and built on within the Resilience Statement, and also since all companies subject to the Code will continue to provide a Going Concern statement as required by accounting standards and company law, irrespective of whether they are subject to the new Resilience Statement requirement. Again, the FRC will retain its existing Code guidance on going concern, since it will remain of relevance to all companies which follow the Code.  3.1.26 また、FRCは、レジリエンス・ステートメントに含まれ、その基礎となる継続企業の前提条件(Going Concern Statement)を規定する第30条の削除について協議する意向である。また、FRCは、継続企業の前提に関する既存のコードガイダンスを維持します。なぜなら、このガイダンスは、コードに準拠する全ての企業にとって引き続き適切なものだからである。
Safe harbour  セーフハーバー 
3.1.27 The Government confirms that the Resilience Statement will form part of the Strategic Report. Information provided by directors in the Statement will therefore be covered by the existing ‘safe harbour’ provision in Section 463 of the Companies Act 2006. That means that directors would be liable to the company for untrue or misleading information in the Resilience Statement only if they knew the information was untrue or misleading (or were reckless as to whether it was so) or if they dishonestly concealed a material fact.  3.1.27 政府は、レジリエンス・ステートメントが戦略的報告書の一部を構成することを確認した。そのため、取締役が声明で提供する情報は、2006年会社法第463条にある既存の「セーフハーバー」条項の対象となる。つまり、取締役がレジリエンス・ステートメントにおける虚偽または誤解を招く情報に対して会社に対して責任を負うのは、その情報が虚偽または誤解を招くと知っていた場合(あるいはそのような情報かどうか無謀だった場合)、あるいは重要事実を不誠実に隠蔽した場合に限られる、ということである。
[1] This list of matters to which companies will be required to have regard does not necessarily reflect the precise wording that will be set out in the implementing legislation in due course.  [1] 企業が考慮する必要のある事項のリストは、今後施行される法律で規定される正確な文言を必ずしも反映しているわけではありません。
[2] https://www.gov.uk/government/publications/greening-finance-a-roadmap-to-sustainable-investing 
[3] Existing FRC guidance on the viability statement asks companies to take account of its investment and planning periods in choosing their assessment period, but does not require them to explain how the assessment period aligns with both the investment cycle and company strategy.  [3] 生存能力報告書に関する既存のFRCガイダンスは、評価期間を選択する際に投資期間と計画期間を考慮するよう企業に求めていますが、評価期間が投資サイクルと企業戦略の両方とどのように整合するかを説明するよう求めてはいません。
(https://www.frc.org.uk/getattachment/d672c107-b1fb-4051-84b0-f5b83a1b93f6/Guidance-on-Risk-ManagementInternal-Control-and-Related-Reporting.pdf) 
[4] Section 414C of the Companies Act already requires quoted companies’ strategic reports to include a description of their strategy and of the main trends and factors likely to affect the future development, performance and position of the company’s business.  [4] 会社法414条C項では、既に上場会社の戦略報告書に、戦略、及び会社の事業の将来の発展、業績、地位に影響を及ぼす可能性のある主な傾向や要因についての説明を含めるよう求めている。
[5] The FRC’s Thematic Review of the Going Concern and Viability Statements published in September 2021 found that 5 of the 27 non-financial service companies it sampled which had prepared a viability statement had also carried out a reverse stress test.  [5] 2021年9月に公表されたFRCの継続企業報告書及び実行可能性報告書のテーマ別レビューでは、サンプリングした非金融サービス企業27社のうち、実行可能性報告書を作成していた5社が逆ストレステストも行っていたことが判明しています。
[6] For example, see the existing FCA rules on reverse stress testing under the Senior Management, Systems and Controls Framework [web] [6] 例えば、シニアマネジメント、システム及びコントロールの枠組みの下でのリバースストレステストに関する既存のFCA規則を参照 
[7] https://www.frc.org.uk/getattachment/d672c107-b1fb-4051-84b0-f5b83a1b93f6/Guidance-on-RiskManagement-Internal-Control-and-Related-Reporting.pdf
37       In particular:  37 特に 
Principles N + O – The board should present a fair, balanced and understandable assessment of the company’s position and prospects. The board should establish procedures to manage risk, oversee the internal control framework, and determine the nature and extent of the principal risks the company is willing to take in order to achieve its long-term strategic objectives. 原則N+O - 取締役会は、会社の立場と見通しについて、公正でバランスのとれた理解しやすい評価を示すべきである。取締役会は、リスクを管理する手続きを確立し、内部統制の枠組みを監督し、長期的な戦略目標を達成するために会社が取ることをいとわない主要なリスクの性質と範囲を決定すべきである。
Provision 1 – The board should describe in the annual report how opportunities and risks to the future success of the business have been considered and addressed, the sustainability of the company’s business model and how its governance contributes to the delivery of its strategy  規定1 - 取締役会は、事業の将来の成功に対する機会とリスクがどのように考慮され、対処されたか、会社のビジネスモデルの持続可能性、および会社のガバナンスが戦略の実現にどのように寄与しているかを年次報告書に記述するものとする。
Provision 28 - The board should carry out a robust assessment of the company’s emerging and principal risks.9 The board should confirm in the annual report that it has completed this assessment, including a description of its principal risks, what procedures are in place to identify emerging risks, and an explanation of how these are being managed or mitigated. 規定 28 - 取締役会は、会社の新興リスクと主要リスクについて確固たる評価を行うべきである9 。取締役会 は、主要リスクの説明、新興リスクを特定するためにどのような手続きが行われているか、およびそれらが どのようにマネジメントまたは緩和されているかの説明を含め、この評価が完了していることを年次報告書 で確認しなければならない。

 

 

| | Comments (0)

2023.02.18

日本公認会計士協会 監査実施状況調査(2021年度)

こんにちは、丸山満彦です。

日本公認会計士協会は、毎年、金商法の監査実施状況について取りまとめていますが、2021年4月1日から2022年3月31日期の金商法監査の概要が公表されていますね。。。

2008年からの「平均監査報酬額」(単価が上がり、会社が成長すると増えるでしょう。。。)と「時間あたり平均単価」(会計士の給与が増えれば増えるでしょう。。。)の推移を長期的に見てみると、改めて、日本って成長していないなぁ。。。と感じますね。。。責任の一端はあるわけなので、なんとも複雑な感じですが、、、

 

1_20230218044301

 

日本公認会計士協会

・2023.02.17 監査実施状況調査(2021年度)

・[PDF] 監査実施状況調査(2021年度)

20230218-44834

 

・[PDF] 監査実施状況調査(2021年度)参考資料

20230218-44923

 

データ...

年度 会社数 総監査報酬額(千円) 前年比 総監査時間 前年比 平均監査報酬額(千円) 前年比 平均監査時間 前年比 時間当たり平均単価(円) 前年比
2008 17,084 253,912,588 133.72% 20,848,899 137.42% 14,863 132.70% 1,220.4 136.37% 12,179 97.31%
2009 17,098 257,093,592 101.25% 19,582,284 93.92% 15,036 101.17% 1,145.3 93.85% 13,129 107.80%
2010 16,941 248,014,437 96.47% 19,445,732 99.30% 14,640 97.36% 1,148.0 100.23% 12,754 97.15%
2011 17,103 241,078,726 97.20% 20,073,674 103.23% 14,096 96.28% 1,173.7 102.24% 12,010 94.16%
2012 16,826 233,338,867 96.79% 19,028,972 94.80% 13,868 98.38% 1,131.0 96.36% 12,262 102.10%
2013 16,919 233,230,193 99.95% 19,255,150 101.19% 13,785 99.40% 1,138.1 100.62% 12,113 98.78%
2014 17,022 235,069,271 100.79% 19,732,969 102.48% 13,810 100.18% 1,159.2 101.86% 11,913 98.35%
2015 17,246 242,126,350 103.00% 20,651,029 104.65% 14,040 101.66% 1,197.4 103.29% 11,725 98.42%
2016 17,392 250,649,070 103.52% 21,664,405 104.91% 14,412 102.65% 1,245.7 104.03% 11,570 98.68%
2017 17,891 260,105,738 103.77% 21,874,539 100.97% 14,538 100.88% 1,222.7 98.15% 11,891 102.78%
2018 18,433 273,266,629 105.06% 22,637,873 103.49% 14,825 101.97% 1,228.1 100.45% 12,071 101.52%
2019 19,909 296,766,088 108.60% 24,646,497 108.87% 14,906 100.55% 1,238.0 100.80% 12,041 99.75%
2020 20,399 307,876,034 103.74% 25,577,804 103.78% 15,093 101.25% 1,253.9 101.29% 12,037 99.97%
2021 20,765 317,584,178 103.15% 26,057,952 101.88% 15,294 101.34% 1,254.9 100.08% 12,188 101.25%

 

 

まるちゃんの情報セキュリティ気まぐれ日記

少し古いですが...(^^;;

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円 (3)詳細データ

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円 (2)対前年比

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円

 

・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円(詳細データ)

・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円


・2005.10.01 監査報酬 監査実施状況及び個別企業の監査報酬

 

| | Comments (0)

2023.02.16

SECが2023年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2023.02.07)

こんにちは、丸山満彦です。

SECの審査項目は民主党の重点政策項目に連動しますから、気候変動リスク関連やESG等は引き続きですね。。。COVID-19時代になってサイバー攻撃、例えばランサムウェアが増えていることもあり、引き続きサイバーセキュリティ・情報セキュリティ関係は含まれていますね。。。そして、バイデン政権が力を入れることにした暗号資産も重点項目になっていますね。。。

重点項目は

2023  
New Investment Adviser and Investment Company Rules 新投資顧問・投資会社規則
RIAs to Private Funds プライベート・ファンド向けRIA(登録投資顧問)
Retail Investors and Working Families 個人投資家とワーキングファミリー
Environmental, Social, and Governance (ESG) 環境・社会・ガバナンス(ESG)
Information Security and Operational Resiliency 情報セキュリティと業務回復力
Emerging Technologies and Crypto-Assets 先端技術と暗号資産
2022  
A. Private Funds A. プライベート・ファンド
B. Environmental, Social, and Governance (ESG) Investing B. 環境・社会・ガバナンス (ESG) 投資
C. Standards of Conduct: Regulation Best Interest, Fiduciary Duty, and Form CRS C. 行動基準:ベスト・インタレスト規制、受託者責任、フォームCRS
D. Information Security and Operational Resiliency D. 情報セキュリティと業務回復力
E. Emerging Technologies and Crypto-Assets E. 先端技術と暗号資産
2021  
Retail Investors, Including Seniors and Those Saving for Retirement, Through Reg. BI and Fiduciary Duty Compliance 高齢者や老後のために貯蓄をしている個人を含む個人投資家
Information Security and Operational Resiliency 情報セキュリティと業務回復力
Financial Technology (Fintech) and Innovation, Including Digital Assets デジタル資産を含む金融テクノロジー(FINTECH)とイノベーション
Anti-Money Laundering Programs マネーロンダリング対策
The London Inter-Bank Offered Rate (LIBOR) Transition ロンドン銀行間取引金利(LIBOR)の移行
Focus Areas Relating to Investment Advisers and Investment Companies RIASと投資会社に関連するその他の重点分野

と言う感じのようですね。。。

 

SEC

・2023.02.07 (press) SEC Division of Examinations Announces 2023 Priorities

「ESG」、「情報セキュリティと業務回復力」、「先端技術と暗号資産」の部分。。。

Environmental, Social, and Governance (ESG) – The Division will continue its focus on ESG-related advisory services and fund offerings, including whether funds are operating in the manner set forth in their disclosures. In addition, the Division will assess whether ESG products are appropriately labeled and whether recommendations of such products for retail investors are made in the investors’ best interests. 環境・社会・ガバナンス(ESG):当部門はESG関連のアドバイザリーサービスとファンドの提供に引き続き注力し、ファンドが開示に定められた方法で運営されているかどうかも含めて調査する。さらに、ESG商品が適切に表示されているか、個人投資家にそのような商品を推奨することが投資家の最善の利益となるかを評価する。
Information Security and Operational Resiliency – The Division will review broker-dealers’, RIAs’, and other registrants’ practices to prevent interruptions to mission-critical services and to protect investor information, records, and assets. Reviews of broker-dealers and RIAs will include a focus on the cybersecurity issues associated with the use of third-party vendors, including registrant visibility into the security and integrity of third-party products and services and whether there has been an unauthorized use of third-party providers. 情報セキュリティと業務回復力 : 当局は、ブローカー・ディーラー、RIA、およびその他の登録者の、基幹業務の中断を防ぎ、投資家の情報、記録、および資産を保護するための実務を審査する。ブローカーディーラーとRIAの審査では、第三者製品やサービスのセキュリティと整合性に対する登録者の可視性、第三者プロバイダの不正使用の有無など、第三者ベンダーの使用に関連するサイバーセキュリティの問題に焦点が当てられる。
Emerging Technologies and Crypto-Assets – The Division will conduct examinations of broker-dealers and RIAs that are using emerging financial technologies or employing new practices, including technological and on-line solutions to meet the demands of compliance and marketing and to service investor accounts. Examinations of registrants will focus on the offer, sale, recommendation of, or advice regarding trading in crypto or crypto-related assets and include whether the firm (1) met and followed their respective standards of care when making recommendations, referrals, or providing investment advice; and (2) routinely reviewed, updated, and enhanced their compliance, disclosure, and risk management practices. 先端技術と暗号資産:当部門は、コンプライアンスとマーケティングの要求を満たし、投資家口座にサービスを提供するための技術的およびオンラインソリューションを含む、新興金融技術の使用または新しい手法を採用しているブローカーディーラーおよびRIAの調査を実施する。登録者に対する審査は、暗号または暗号関連資産の提供、販売、推奨、または取引に関する助言に焦点を当て、会社が(1)推奨、紹介、または投資助言を行う際にそれぞれの注意基準を満たし、それに従っているか、(2)日常的にコンプライアンス、開示、リスクマネジメントを見直し、更新、強化したかどうかを含むものとする。

 

・[PDF] 2023 EXAMINATION PRIORITIES - Division of Examinations

20230216-10646

MESSAGE FROM THE LEADERSHIP TEAM リーダーシップチームからのメッセージ
DIVISION OF EXAMINATIONS – 2023 EXAMINATION PRIORITIES 審査部門 - 2023年審査の優先順位
I. Notable New and Significant Focus Areas I. 注目すべき新規・重要な重点分野
A. Compliance with Recently Adopted Rules Under the Investment Advisers A. 最近採用された投資顧問法及び投資会社法の規則への対応
Act of 1940 and Investment Company Act of 1940 1940年投資顧問法及び1940年投資会社法の下で最近採択された規則の遵守
B. Registered Investment Advisers to Private Funds B. プライベートファンドへの登録投資アドバイザー
C. Standards of Conduct: Regulation Best Interest, Fiduciary Duty, and Form CRS C. 行動基準 ベスト・インタレスト規制、受託者責任、及びフォーム CRS
1. Regulation Best Interest and Fiduciary Duty 1. ベストインタレスト規制とフィデューシャリー・デューティー
2. Form CRS 2. フォームCRS
D. Environmental, Social, and Governance Investing D. 環境・社会・ガバナンス投資
II. Information Security and Operational Resiliency II. 情報セキュリティと業務回復力
III. Crypto Assets and Emerging Financial Technology III. 暗号資産と新たな金融技術
IV. Investment Advisers and Investment Companies IV. 投資顧問会社及び投資会社
A. Focus Areas for Examinations of Registered Investment Advisers A. 登録投資顧問の審査における重点分野
B. Focus Areas for Registered Investment Companies, Including Mutual Funds and ETFs B. 登録投資会社(ミューチュアル・ファンド及びETFを含む)の重点分野
V. Broker-Dealer and Exchange Examination Program V. ブローカー・ディーラー及び証券取引所審査プログラム
A. Broker-Dealers A. ブローカー・ディーラー
B. National Securities Exchanges B. 国内証券取引所
C. Security-Based Swap Dealers C. セキュリティベースドスワップディーラー
D. Municipal Advisors D. 地方自治体アドバイザー
E. Transfer Agents E. 名義書換代理人
VI. Clearance and Settlement VI. 清算と決済
VII. Regulation Systems Compliance and Integrity VII. 規制システムのコンプライアンスと完全性
VIII. Financial Industry Regulatory Authority (FINRA) and Municipal Securities Rulemaking Board (MSRB) VIII. 金融業界規制機構(FINRA)および地方証券規則制定委員会(MSRB)について
IX. Anti-Money Laundering IX. マネーロンダリング防止
X. The London Interbank Offered Rate Transition X. ロンドン銀行間取引金利の変遷
XI. Conclusion XI. おわりに




2022年度 プレス [PDF]
2021年度 プレス [PDF]
2020年度 プレス [PDF]
2019年度 プレス [PDF]
2018年度 プレス [PDF]
2017年度 プレス [PDF]

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03


 

この部分については、

II. Information Security and Operational Resiliency II. 情報セキュリティと業務回復力
III. Crypto Assets and Emerging Financial Technology III. 暗号資産と新たな金融技術

こちらに。。。↓

Continue reading "SECが2023年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2023.02.07)"

| | Comments (0)

より以前の記事一覧