監査 / 認証

2025.05.22

金融庁 サステナビリティ情報の保証に関する専門グループの議論...

こんにちは、丸山満彦です。

金融庁では、金融審議会の元に、「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」を設置し、サステナビリティ情報の開示と保証のあり方について議論をしておりますが、さらにその中に保証(アシュアランス)については専門性も高いことから「サステナビリティ情報の保証に関する専門グループ」を設置し、より深い議論をしています。

まだ、議論の途中ではありますが、今までの議論について、まとめておこうと思いました。なお、5月27日に次回会議が開催される予定です。

なお、この専門グループの座長は、情報セキュリティ大学院大学で私と一緒に「情報セキュリティ・システム監査」の講義をしている堀江先生です。

サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」については、サイバーセキュリティの開示について一緒に勉強会をしていた神田先生も委員として参画されていますね...

 

金融庁 - 金融審議会 - サステナビリティ情報の保証に関する専門グループ

サステナビリティ情報の保証に関する専門グループ
2025.05.27 第4回  
開催通知    
2025.04.17 第3回  
開催通知    
資料    
資料1 事務局説明資料
1. サステナビリティ保証業務実施者に求められる規律の在り方
(1) 前回いただいた主なご意見
(2) 保証業務実施者に求められる業務管理体制(人的体制)
(3) 自主規制機関に関する検討
(4) 任意の保証
2. ご議論いただきたい事項
サステナビリティ保証業務実施者に求められる規律の在り方 ⚫ 保証業務実施者に求められる人的体制の整備に関して、P.13の事務局提案について、どう考えるか。
⚫ 業務執行責任者に求められる知識・能力に関して、P.14の事務局提案について、どう考 えるか。
⚫ 行政機関と自主規制機関の役割の在り方に関して、P.20の事務局提案について、どう考 えるか。
⚫ 任意の保証について、P.25の方向性について、どう考えるか。
2025.03.21 第2回  
開催通知    
資料    
資料1 事務局説明資料  
  1. 第1回専門グループでご議論いただいた規律の在り方について
  (1) 前回いただいた主なご意見(全体)
  (2) 検討の考え方
  ① 従来の財務情報とサステナビリティ情報の違い
  ② 現行実務とサステナビリティ保証業務の違い
  ③ 財務諸表監査とサステナビリティ保証業務の違い
  ④ まとめ
  (3) 前回いただいた主なご意見(個別論点)と考慮すべき事項
  (4) サステナビリティ保証制度を検討するに当たって考慮すべき事項
  2. サステナビリティ保証業務実施者に求められる規律の在り方
  (1)自主規制機関の役割
  (2)サステナビリティ保証制度の全体像
  3. 任意の保証の論点
  4. ご議論いただきたい事項
  サステナビリティ保証業務実施者に求められる規律の在り方 サステナビリティ保証について、留意すべき事項(P18)を前提に、
  ⚫ 前回ご議論いただいた、登録制度・登録要件、業務制限、義務・責任、保証基準、倫理独立性を検討するに当たって考慮すべき事項として、P25に記載された点についてどう考えるか。
  ⚫ P27に示した自主規制機関の役割について、どう考えるか。
  ⚫ P29に示したサステナビリティ保証制度の全体像について、どう考えるか。
  任意の保証 ⚫ 任意のサステナビリティ保証について、P32、P33に挙げた論点についてどう考えるか。 また、任意のサステナビリティ保証について、これ以外に考えられる論点はあるか。
資料2 意見書(阪委員)
資料3 意見書(田辺委員)
資料4 意見書(弥永委員)
議事録  
2025.02.12 第1回  
開催通知  
資料  
資料1 「サステナビリティ情報の保証に関する専門グループ」メンバー名簿
資料2 事務局説明資料
  1. サステナビリティ保証制度について
  (1)サステナビリティ情報の信頼性確保の必要性
  (2)サステナビリティ保証制度導入における論点
  (3)ワーキンググループで示された方向性
  2. サステナビリティ保証業務実施者に求められる規律の在り方
  (1)検討の考え方
  (2)登録要件(業務管理体制等)
  (3)業務制限、義務・責任
  (4)保証基準、倫理・独立性
  3. ご議論いただきたい事項
  サステナビリティ保証業務実施者に求められる規律の在り方 ⚫ サステナビリティ保証業務実施者に求められる規律の在り方として、P27のような規律の在り方が考えられるがどうか。
資料3 日本公認会計士協会説明資料
資料4 日本適合性認定協会説明資料
議事録  

 

1_20240514050602

 

 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

サステナビリティで検索...

・2025.03.19 公認会計士協会 国際監査・保証基準審議会(IAASB)国際サステナビリティ保証基準(ISSA)5000 「サステナビリティ保証業務の一般的要求事項」の解説記事 (2025.03.17)

・2025.03.19 サステナビリティ基準委員会 サステナビリティ開示基準を公表 (2025.03.05)

・2025.03.10 公認会計士協会 「保証」と類似した用語 (2025.03.07)

・2025.03.05 公認会計士協会 「サステナビリティ報告に対する信頼の構築と保証への準備:サステナビリティ情報のためのガバナンスと内部統制」の翻訳(2025.02.27)

・2025.01.29 IAASB サステナビリティ保証に関する国際標準5000のファクトシート、FAQ、導入ガイドなど... (2025.01.27)

・2024.11.15 IAASB サステナビリティ保証に関する国際標準5000「サステナビリティ保証業務に関する一般要求事項」 (2024.11.12)

・2024.06.29 経済産業省 「企業情報開示のあり方に関する懇談会 課題と今後の方向性(中間報告)」を取りまとめ (2024.06.25)

・2024.06.09 金融庁 コーポレートガバナンス改革の実践に向けたアクション・プログラム 2024

・2024.05.14 金融庁 金融審議会「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」

・2024.04.06 日本公認会計士協会 サステナビリティ報告・保証業務等に関するIESBA倫理規程改訂公開草案の翻訳

・2024.03.03 日本公認会計士協会 「サステナビリティ報告に対する信頼の構築:早急に求められる統合的内部統制」の翻訳 (2024.02.26)

・2023.12.13 経団連 IAASB公開草案 国際サステナビリティ保証基準 (ISSA) 5000「サステナビリティ保証業務の一般的要求事項」へのコメント (2023.12.01)

・2023.11.22 内部監査人協会 COSO『サステナビリティ報告に係る有効な内部統制(ICSR)の実現』の翻訳 (2023.10.04)

・2023.09.25 日本公認会計士協会 IAASB公開草案 国際サステナビリティ保証基準(ISSA)5000「「サステナビリティ保証業務の一般的要求事項」

・2023.06.15 IFAC サステナビリティ報告書の保証 (2023.05.31)

・2021.04.27 欧州委員会 非財務情報開示指令の改正案発表 対象企業が大幅に増加

・2021.04.05 コーポレートガバナンス・コード改訂(案)

・2020.11.26 英国生まれの国際統合報告委員会 (IIRC) と米国生まれのサステナビリティ会計基準審議会 (SASB) が合併に・・・

 

一気に10年以上遡りますが...(記録は残しておくものですね...リンクは切れていますが...)

・2009.03.27 KPMGあずさサステナビリティ株式会社(あずさ監査法人グループ)のCSR報告書に対する独立第三者の審査報告書

・2007.02.23 日興コーディアル 中央青山PwCサスティナビリティ研究所及び新日本監査法人によるサスティナビリティ報告書に対する保証意見

・2005.10.24 環境報告書審査・登録制度が始まる

 

 

 

 

| | Comments (0)

2025.05.11

カリフォルニア州 プライバシー保護法案の修正案についての意見募集 (2025.05.08)

こんにちは、丸山満彦です。

カリフォルニア州の消費者プライバシー保護法の改正案が2024.11.22にだされ、意見募集されたのですが、その結果を受けて再びの改正案が公表されていますね...

サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する規制に関する改正案ですね...

 

California Privacy Protection Agency

・2025.05.08 Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies

 

Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies CCPA の更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する規制案
On November 8, 2024, the California Privacy Protection Agency (Agency) Board voted to commence formal rulemaking on the following regulatory subjects: CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies. Specifically, the proposed regulations seek to (1) update existing CCPA regulations; (2) implement requirements for certain businesses to conduct risk assessments and complete annual cybersecurity audits; (3) implement consumers' rights to access and opt–out of businesses' use of ADMT; and (4) clarify when insurance companies must comply with the CCPA. 2024年11月8日、カリフォルニア州プライバシー保護庁(以下「庁」)理事会は、CCPA の更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する以下の規制事項について、正式な規則制定を開始することを決議した。具体的には、この規制案は (1) 既存の CCPA 規制の更新、(2) 特定の事業者にリスクアセスメントの実施と年次サイバーセキュリティ監査の完了を義務付ける要件の導入、(3) 消費者が事業者の ADMT の利用にアクセスし、それをオプトアウトする権利の導入、および (4) 保険会社が CCPA を遵守しなければならない場合について明確化することを目的としている。
Notice Register Publication Date: November 22, 2024 通知登録日:2024年11月22日
Status of the Proposal: On May 9, 2025, the Agency noticed modifications to the text of the proposed regulations. The Public Comment Period for the proposed changes is open from May 9, 2025 – June 2, 2025. The comment period closes on June 2, 2025, at 5:00 p.m. Pacific Time. 提案の現状:2025年5月9日、当局は提案された規制の文言の変更を通知した。提案された変更に関するパブリックコメント期間は、2025年5月9日から2025年6月2日まで。コメント期間は、2025年6月2日午後5時(太平洋時間)に終了する。
Public comments may be submitted to the Agency electronically at [mail]
, or by mail at the address included in the Notice of Modifications to Text of Proposed Regulations and Additional Documents Relied Upon. Please include “Public Comment on CCPA Updates, Cyber, Risk, ADMT, and Insurance Regulations” in the subject line of your comment.
パブリックコメントは、[mail]
から電子的に、または「規制案の文面変更および追加資料に関する通知」に記載された住所宛てに郵送で提出することができる。コメントの件名には、「CCPA の更新、サイバー、リスク、ADMT、および保険に関する規制に関するパブリックコメント」と記載してください。
Please note that all information provided in oral and written comments is subject to public disclosure. 口頭および書面によるコメントで提供された情報は、すべて公開されることにご留意ください。
Rulemaking Documents 規則制定文書
May 9, 2025 – Public Notice of Modifications to Proposed Regulations 2025年5月9日 – 提案規則の改定に関する公的通知 
Notice of Modifications to Text of Proposed Regulations and Additional Materials Relied Upon ・提案規則の本文の改定および依拠する追加資料に関する通知
Modified Text of Proposed Regulations ・提案規則の改定本文
20250511-65758
January 13, 2025 – Public Notice of Extension of Comment Period 2025年1月13日 – コメント期間の延長に関する公的通知 
・Notice of Extension of Public Comment Period and Additional Hearing Date ・コメント期間の延長および追加公聴会の日程に関する通知 
November 22, 2024 – Public Notice of Rulemaking and Related Documents 2024年11月22日 – 規則制定および関連文書に関する公的通知
Notice of Extension of Public Comment Period and Additional Hearing Date ・意見提出期間の延長および追加公聴会の日程に関する公告
Notice of Proposed Rulemaking ・規則制定案の公告
Text of Proposed Regulation ・規則案の本文
Initial Statement of Reasons ・最初の理由説明
Initial Statement of Reasons Appendix A: Standardized Regulatory Impact Assessment ・最初の理由説明 附属書 A:標準化された規制影響評価
Economic and Fiscal Impact Statement (STD 399) ・経済および財政への影響に関する声明(STD 399
Public Comments パブリックコメント
Comments received during the November 22, 2024 – February 19, 2025 Comment Period are linked below. 2024 年 11 月 22 日から 2025 年 2 月 19 日までの意見提出期間に寄せられたコメントは、以下のリンクからご覧いただけます。
書面によるコメント
口頭によるコメント
Preliminary Rulemaking Activities 予備的な規則制定活動
The California Privacy Protection Agency solicited preliminary written comments from the public via an Invitation for Preliminary Comments on Proposed Rulemaking on the following topics: Cybersecurity Audits, Risk Assessments, and Automated Decisionmaking from February 10, 2023 through March 27, 2023. That period has now closed, and the public comments are available via the links below. カリフォルニア州プライバシー保護局は、2023年2月10日から2023年3月27日まで、サイバーセキュリティ監査、リスクアセスメント、および自動意思決定に関する規則制定案に関する予備的意見募集を通じて、予備的な書面による意見を一般から募集した。この期間は終了しており、パブリックコメントは、以下のリンクからご覧いただけます。
Preliminary Public Comments 予備的なパブリックコメント
予備的な公開コメント期間中に受け付けたコメント
予備的な公開コメント期間終了後に受け付けたコメント
Transcripts 議事録
Public Hearing – January 14, 2025 公開聴聞会 – 2025年1月14日
Public Hearing – February 19, 2025 公開聴聞会 – 2025年2月19日
Webcasts ウェブキャスト
Public Hearing – January 14, 2025 公開聴聞会 – 2025年1月14日
Public Hearing – February 19, 2025 公開聴聞会 – 2025年2月19日
Further Information 詳細情報
Information regarding the rulemaking process will be posted to [web]. If you would like to receive notifications regarding rulemaking activities, please subscribe to the “Rulemaking Proceedings” email list at [web]. Please note that comments are public records and will be published on the Agency's website. 規則制定手続きに関する情報は、[web] に掲載されます。規則制定活動に関する通知を受け取りたい場合は、[web]. で「Rulemaking Proceedings」メールリストに登録してください。コメントは公文書であり、機関のウェブサイトに公開されることにご注意ください。

 

 

 

修正案の削除部分を削除した内容...

Continue reading "カリフォルニア州 プライバシー保護法案の修正案についての意見募集 (2025.05.08)"

| | Comments (0)

2025.05.10

英国 NCSC サイバーレジリエンスの信頼を高める新たな2つの保証イニシアティブ(サイバーレジリエンス試験施設(CTRFs)プログラム 、サイバー敵対シミュレーション(CyAS)スキーム) そのためのアセスメント原則とクレーム(APC)(2025.05.08)

こんにちは、丸山満彦です。

英国のNCSCが、サイバーレジリエンスの信頼を高める新たな2つの保証イニシアティブ

  • サイバーレジリエンス試験施設(CTRFs)プログラム
  • サイバー敵対シミュレーション(CyAS)スキーム

を開始すると発表していますね。

Cyber Resilience Test Facilities (CTRFs) は、技術ベンダーが一貫した構造的な方法で自社製品のサイバーレジリエンスを実証し、英国政府を含む官民組織による独立した監査やアセスメントを可能にする、保証された施設の全国ネットワークを構築するものということのようです...

技術アシュアランスについては2年前にこのブログでも紹介しています...

Scheme for Cyber Adversary Simulation (CyAS) の下で認定された企業は、組織のサイバーレジリエンスをテストするサービスを提供する。これには、模擬サイバー攻撃を防止、検知、対応する能力も含まれる。

英国は、国家のサイバーレジリエンスを高めるために、サイバーセキュリティ技術のある会社を育成し、その能力を保証し、政府が利用しやすくするとともに、政府が利用していることを通じて、民間への利用を促進しようと考えていますよね...

文化や、商習慣が違うところはありますが、日本でもこのコンセプトを参考にすることは良いかもしれませんね...

Cyber Essensialsの制度も含め、英国のサイバーセキュリティ政策には学ぶことが多いようにも思います...ちなみに2021年12月に公表された英国のサイバー戦略は、日本語でも読めます。(このブログ

 

NCSC

1_20250121060101

発表...

・2025.05.08 New assurance initiatives to help boost confidence in cyber resilience

New assurance initiatives to help boost confidence in cyber resilience サイバーレジリエンスへの信頼を高める新たな保証イニシアティブ
・Two initiatives designed to help boost confidence in cyber resilience announced at flagship CYBERUK conference ・サイバーレジリエンスの信頼性を高めるための2つの取り組みが、CYBERUK会議で発表された。
・A new ecosystem of assured Cyber Resilience Test Facilities will allow vendors to demonstrate the cyber resilience of their products ・保証されたサイバー・レジリエンス試験施設の新たなエコシステムにより、ベンダーは自社製品のサイバー・レジリエンスを実証できるようになる
・A Cyber Adversary Simulation scheme will launch in summer to help organisations test their defences ・サイバー・アドバサリー・シミュレーション・スキームが夏に開始され、組織の防御テストを支援する。
The National Cyber Security Centre (NCSC) – a part of GCHQ – has today announced two initiatives to help improve national cyber resilience. GCHQの一部である国家サイバーセキュリティセンター(NCSC)は本日、国家のサイバーレジリエンス向上を支援する2つのイニシアチブを発表した。
The new Cyber Resilience Test Facilities (CTRFs) programme is developing a national network of assured facilities which will allow technology vendors to demonstrate the cyber resilience of their products in a consistent and structured way, enabling independent audits and assessments by public and private sector organisations, including the UK government. 新しいサイバーレジリエンス試験施設(CTRFs)プログラムは、技術ベンダーが一貫した構造的な方法で自社製品のサイバーレジリエンスを実証し、英国政府を含む官民組織による独立した監査やアセスメントを可能にする、保証された施設の全国ネットワークを構築するものである。
The CRTFs will adopt a Principles-Based Assurance (PBA) methodology, moving away from traditional compliance-based schemes, to enhance consumer confidence in the cyber resilience of products and broaden the range of assured products. CRTFsは、従来のコンプライアンスベースのスキームから原則ベースの保証(PBA)手法を採用し、製品のサイバーレジリエンスに対する消費者の信頼を高め、保証される製品の範囲を広げる。
The NCSC will also be launching a new scheme for Cyber Adversary Simulation (CyAS) in early summer. Companies assured under the Cyber Adversary Simulation Scheme will deliver services to test an organisation’s cyber resilience, including their ability to prevent, detect and respond to simulated cyber attacks. NCSCはまた、初夏に新たなサイバー敵対シミュレーション(CyAS)スキームを立ち上げる予定である。サイバー敵対シミュレーションスキームの下で認定された企業は、組織のサイバーレジリエンスをテストするサービスを提供する。これには、模擬サイバー攻撃を防止、検知、対応する能力も含まれる。
Both of these initiatives have been formally announced at this year’s CYBERUK, the government’s flagship cyber security conference. これら2つのイニシアチブは、政府の主要なサイバーセキュリティ会議である今年のCYBERUKで正式に発表された。
They are the latest in the NCSC’s efforts to help organisations bolster resilience and work towards addressing concerns raised by CEO Richard Horne in December 2024 about the growing gap between cyber threats and existing defences. これらは、NCSCが組織のレジリエンスを強化し、2024年12月にリチャード・ホーン最高経営責任者(CEO)が提起した、サイバー脅威と既存の防御の間のギャップが拡大しているという懸念に対処するための取り組みの最新版である。
NCSC Director for National Resilience Jonathon Ellison said: NCSCのジョナソン・エリソン国家レジリエンス担当ディレクターは、次のように述べた:
“The Cyber Resilience Test Facilities and Cyber Adversary Simulation schemes mark a significant step forward in our mission to enhance the UK’s cyber resilience. 「サイバーレジリエンス試験施設とサイバー敵シミュレーション計画は、英国のサイバーレジリエンスを強化するという我々の使命において、大きな前進を意味する。
“The test facilities will allow consumers to be more confident in the security of connected products. And through testing their response to simulated cyber attacks, the UK’s most critical infrastructure will be further empowered to defend against evolving online threats.” 「この試験施設によって、消費者はコネクテッド製品の安全性をより確信できるようになる。また、模擬的なサイバー攻撃への対応をテストすることで、英国の最も重要なインフラは、進化するオンラインの脅威から防衛する力をさらに強化されるだろう。
The CyAS scheme has been developed in partnership with cyber oversight bodies, cyber regulators and government, who are exploring the use of the scheme in their sectors. It has been designed as a means of providing end-to-end assurance and evidence for any organisation of sufficient maturity and criticality to test their cyber defences. CyASスキームは、サイバー監視団体、サイバー規制当局、政府とのパートナーシップにより開発された。CyASスキームは、十分な成熟度と重要性を持つ組織がサイバー防御をテストするために、エンドツーエンドの保証と証拠を提供する手段として設計された。
The scheme will launch as a Minimum Viable Product and is expected to evolve as the user community grows. このスキームは、ミニマム・ヴァイブル・プロダクトとして立ち上げられ、ユーザー・コミュニティの成長とともに進化していくことが期待されている。
Find out more about CRTFs by visiting the NCSC's Cyber Resilience Testing pages. CRTFの詳細については、NCSCのサイバー・レジリエンス・テストのページを参照されたい。

 

サイバーレジリエンス試験施設(CTRFs)プログラム

Cyber Resilience Test Facilities

 

Cyber Resilience Test Facilities サイバーレジリエンス試験設備
Cyber Resilience Testing サイバーレジリエンス試験
About Cyber Resilience Test Facilities (CRTF) サイバーレジリエンス試験施設(CRTF)について
Focus on risk, not compliance コンプライアンスではなくリスクに焦点を当てる
CRTF Vision Statement CRTFビジョンステートメント
Information for CRTFs CRTFのための情報
What will CRTFs do? CRTFは何をするのか?
Requirements for CRTFs CRTFの要件
Application process 申請プロセス
Information for technology vendors テクノロジー・ベンダー向け情報
How does it work? どのように機能するのか?
How will this help you? どのように役立つのか?
Who is this for? 誰のためのものか?
Assurance Principles and Claims documents 保証原則とクレーム文書
   
Cyber Resilience Testing サイバーレジリエンス試験
About Cyber Resilience Test Facilities (CRTF) サイバー・レジリエンス試験施設(CRTF)について
As the cyber risk continues to grow, organisations need greater understanding and increased confidence in the resilience of their connected products and technology. サイバーリスクが増大し続ける中、企業は、接続された製品や技術のレジリエンスに対する理解を深め、信頼性を高める必要がある。
To meet this need the NCSC has developed a new UK assurance methodology to enable vendors to demonstrate the cyber resilience of their connected products in a structured and consistent way. This will also enable industry and government services to independently audit and assess those products in a consistent way. このニーズに応えるため、NCSCは、ベンダーが構造化された一貫した方法で接続製品のサイバーレジリエンスを実証できるよう、英国の新しい保証手法を開発した。これにより、産業界や政府は、一貫した方法でこれらの製品を独自に監査・評価できるようになる。
To deliver this new assurance methodology NCSC is setting up Cyber Resilience Test Facilities (CRTFs) that will deliver assurance for a wide range of internet connected products. The CRTFs delivering this new service will conduct these evaluations against the Principles Based Assurance (PBA) methodology, as part of a wider NCSC transition away from compliance-based assurance schemes. This will enable consumers of technology to have confidence in the cyber resilience of the connected products they purchase whilst at the same time extending the reach of NCSC by harnessing industry to deliver assurance for a much wider range of cyber products than is possible today. この新しい保証方法を提供するため、NCSCは、幅広いインターネット接続製品の保証を提供するサイバーレジリエンス試験施設(CRTFs)を設立する。この新しいサービスを提供するCRTFは、コンプライアンスに基づく保証スキームから脱却するNCSCの幅広い移行の一環として、原則に基づく保証(PBA)手法に照らして評価を実施する。これにより、技術消費者は購入するコネクテッド製品のサイバーレジリエンスに自信を持つことができるようになると同時に、産業界を活用することでNCSCの活動範囲を拡大し、現在よりもはるかに広範なサイバー製品に保証を提供できるようになる。
The initial service offering assesses products against the Cyber Resilience Testing (CRT) Assurance Principles and Claims (APC) standard. This standard has been aligned with Software Security Code of Practice. 初期のサービスでは、サイバー・レジリエンス・テスト(CRT)のアセスメント原則と主張(APC)標準に照らして製品を評価する。この標準は、ソフトウェア・セキュリティ規範(Software Security Code of Practice)と整合している。
The service will be delivered through a national ecosystem of CRTFs that have been assured by the NCSC to conduct this third-party evaluation. このサービスは、このサードパーティ評価を実施することがNCSCによって保証されたCRTFの国内エコシステムを通じて提供される。
Focus on risk, not compliance コンプライアンスではなくリスクに焦点を当てる
The NCSC’s new approach to Technology Assurance is Principles Based Assurance (PBA) - an approach that puts the focus on risk outcomes. NCSCの技術保証に対する新しいアプローチは、原則に基づく保証あり、リスクの結果に重点を置くアプローチである。
Cyber Resilience Testing is the application of PBA to gain confidence in a product’s cyber resilience against attacks from its public interfaces – usually the internet. サイバーレジリエンス試験は、PBAを応用して、製品のパブリックインターフェース(通常はインターネット)からの攻撃に対する製品のサイバーレジリエンスに対する信頼性を得るものである。
To enable evidence and assessment against principles, the NCSC has created a set of artefacts called Assurance Principles & Claims (APCs). CRTFs can be employed by technology vendors to independently verify the resilience of a product against these APCs to enable the vendor to demonstrate the cyber resilience of their products in a structured, accessible and consistent way. 原則に対する証拠と評価を可能にするために、NCSC はアセスメント原則とクレーム(APC)と呼ばれる一連の成果物を作成した。CRTF は、技術ベンダーが製品のレジリエンスをこれらの APC に照らして独自に検証するために利用することができ、ベンダーは構造化され、利用しやすく、一貫性のある方法で製品のサイバーレジリエンスを実証することができる。
CRTF Vision Statement CRTFビジョンステートメント
A national ecosystem of assured test facilities to provide buyers with confidence in the cyber resilience of the connected products they purchase. 購入するコネクテッド製品のサイバーレジリエンスに対する信頼性をプロバイダに提供するために、保証されたテスト施設の国家エコシステムを構築する。
In addition to identifying risks and the implications to vendors and customers - allowing better risk management decisions to be taken by organisations and businesses - CRTFs will: リスクとベンダーや顧客への影響を識別することに加え、CRTFは、組織や企業がより良いリスクマネジメントを決定できるようにする:
・Boost confidence in the technology supply chain through enabling better decision-making. ・より良い意思決定を可能にすることで、技術サプライチェーンに対する信頼を高める。
・Enhance the wider UK resilience to cyber threats through the development of deeper understanding of risks. ・リスクをより深く理解することにより、サイバー脅威に対する英国のレジリエンスを強化する。
・Promote best practice amongst technology vendors by encouraging further engagement and understanding of cyber risk across the market. ・市場全体におけるサイバーリスクへのさらなる関与と理解を促すことにより、技術ベンダー間のベストプラクティスを促進する。
Information for CRTFs CRTFのための情報
CRTFs deliver cyber resilience testing for a wide range of internet connected products. Not only will this raise the bar for cyber resilient product development, it will also widen the range of cyber products that can be assured, while ensuring that this is performed consistently and uniformly. CRTFは、インターネットに接続された様々な製品のサイバーレジリエンス試験を実施する。これにより、サイバーレジリエンス製品開発の水準が高まるだけでなく、保証できるサイバー製品の幅が広がる。
CRTFs will ensure that modern cyber security assurance approaches, particularly Principles Based Assurance (PBA), can be used to better help security risk decision makers. CRTFは、最新のサイバーセキュリティ保証アプローチ、特に原則に基づく保証(Principles Based Assurance:PBA)を、セキュリティリスクの意思決定者をよりよく支援するために利用できるようにする。
To enable evidence and assessment against principles in a consistent way, the NCSC has created a set of artefacts called Assurance Principles & Claims (APCs). CRTFs will use the appropriate APC set to define the relevant security outcomes
.
一貫した方法で原則に照らした証拠と評価を可能にするため、NCSC はアセスメント原則とクレーム(APC)と呼ばれる一連の成果物を作成した。CRTFは、適切なAPCセットを使用して、関連するセキュリティ成果を定義する。
What will CRTFs do? CRTFは何をするのか?
The NCSC expects its Cyber Resilience Test Facilities to be able to: NCSC は、サイバーレジリエンス試験施設に以下を期待する:
・Evaluate vendor-supplied evidence to demonstrate where the product meets the claims set out in the APCs. ・ベンダーが提供したエビデンスを評価し、製品が APC に規定された主張を満たしていることを実証する。
・Identify gaps in evidence and describe the associated risk, to provide vendors and end customers with an appropriate level of information to satisfy their risk appetite. ・ベンダーとエンドカスタマーのリスク選好度を満たす適切なレベルの情報を提供するために、エビデンスにおけるギャップを特定し、関連するリスクを説明する。
・Effectively communicate this to vendors, using the standardised output report format. ・標準化された報告書フォーマットを用いて、ベンダーに効果的に伝える。
Requirements for CRTFs CRTFの要件
To become a Cyber Resilience Testing Facility (CRTF), it is necessary that your organisation is able to demonstrate the following criteria to NCSC: サイバーレジリエンス試験施設(CRTF)になるためには、組織が以下の規準をNCSCに証明できることが必要である:
・Completion of training and assessment in the application of Principles Based Assurance (PBA). ・原則に基づくアセスメント(PBA)の適用に関する研修と評価を完了すること。
・Conduct a Trial Evaluation in order to provide the evidence necessary for UKAS ISO/IEC 17020 accreditation and to demonstrate the ability to conduct a full CRT assessment including the production of the required output reports ・UKAS ISO/IEC 17020認定に必要な証拠を提供し、要求される出力報告書の作成を含む完全なCRTアセスメントを実施する能力を実証するために、トライアル評価を実施すること
・Sign a contract with NCSC, agreeing to carry out Cyber Resilience Testing (CRT) in line with expectations and ongoing continual improvement of processes. ・NCSCと契約を締結し、期待に沿ったサイバーレジリエンス・テスト(CRT)を実施し、継続的にプロセスを改善することに同意すること。
Application process 申請プロセス
If you wish to apply or for more information contact our CRTF team: [mail] 申請を希望する場合、または詳細については、CRTFチームまで連絡すること:[mail]
At the NCSC, we are taking action to remove artificial barriers to entry. So, if you spot something which you think unfairly prevents you from applying, please let us know using our feedback form (opens to Microsoft Forms). NCSCでは、人為的な参入障壁を取り除くための措置を講じている。そのため、応募を不当に妨げていると思われる点を発見された場合は、フィードバック・フォーム(Microsoft Formsが開きます)を使ってお知らせいただきたい。
Information for technology vendors 技術ベンダー向け情報
Cyber Resilience Test Facilities (CRFT) aim to provide confidence in the technology and products you sell; this confidence can, in turn, be shared to end users and customers. サイバー・レジリエンス・テスト・ファシリティ(CRFT)は、貴社が販売する技術や製品に対する信頼を提供することを目的としている。
To gain this confidence, a CRTF will conduct a thorough assessment of the cyber risks that may impact your product; the outcome will allow you to make decisions on how you might mitigate or tolerate such risks depending on your risk appetite. この信頼を得るために、CRTFは貴社の製品に影響を与える可能性のあるサイバーリスクの徹底的なアセスメントを実施する。その結果、貴社のリスクアセメントに応じて、そのようなリスクをどのように緩和するか、またはどのように許容するかを決定することができる。
How does it work? どのように機能するのか?
All CRTFs have been assured by the NCSC to conduct assessments using Principle Based Assurance (PBA) methodology against the defined Cyber Resilience Testing Assurance Principles and Claims (APC). すべてのCRTFは、定義されたサイバー・レジリエンス・テストの保証原則と主張(APC)に対して、原則に基づく保証(PBA)手法を使ってアセスメントを実施することをNCSCから保証されている。
As a vendor, you will be expected to work alongside a CRTF to provide the evidence required for the evaluation of your product. ベンダーとしては、CRTFと協力して、製品の評価に必要な証拠を提供することが期待される。
Once you have chosen a CRTF to work with, you will be asked to provide evidence, from your documentation or testing you have done, to demonstrate how your technology meets the cyber security claims set out within the APC. Find out more about APCs. 協力するCRTFが決まったら、自社の技術がAPCに規定されたサイバーセキュリティの主張をいかに満たしているかを示す証拠を、自社の文書や実施した試験から提出するよう求められる。APCの詳細
Details of our initial list of Cyber Resilience Test Facilities will be published shortly. サイバーレジリエンス試験施設の初期リストの詳細は、まもなく公表される予定である。
How will this help you? どのように役立つのか?
The main outcome of this process is an output report which is delivered by the CRTF directly to the vendor, in accordance with NCSC guidelines. It will provide information on a products resilience against the principles outlined in the Cyber Resilience Testing APC. このプロセスの主な成果は、NCSCのガイドラインに従ってCRTFがベンダーに直接提供する出力報告書である。これは、サイバーレジリエンス試験APCに概説されている原則に対する製品のレジリエンスに関する情報を提供するものである。
Using the information presented in the output report, you may wish to make changes to your product, or you may decide that any risks highlighted are not relevant to your products value to end users. Ultimately, this puts the management and ownership of this risk into the hands of those who will be best positioned to judge the impacts. 出力レポートに示された情報を使って、製品に変更を加えたい場合もあれば、浮き彫りになったリスクはエンドユーザーにとっての製品の価値には関係ないと判断する場合もある。最終的には、このリスクのマネジメントとオーナーシップを、影響を判断するのに最も適した立場にある人の手に委ねることになる。
Who is this for? 誰のためのものなのか?
The initial operating capability of CRTFs will be focused primarily on products which have a direct requirement for robust cyber security – for example, tech products that need to be secure, rather than those that are specifically cyber security products. CRTFの初期運用能力は、特にサイバーセキュリティ製品ではなく、堅牢なサイバーセキュリティが直接要求される製品(例えば、安全性が要求される技術製品)に主眼を置く。
Further services are under development and will be rolled out to provide a higher level of assurance where cyber security enforcing functionality is paramount to vendors and their customers. さらなるサービスは現在開発中であり、ベンダーとその顧客にとってサイバーセキュリティを実施する機能が最も重要である場合に、より高いレベルの保証を提供するために展開される予定である。
Assurance Principles and Claims documents 保証原則とクレームに関する文書
Assurance Principles and Claims (APC) documents 保証原則とクレーム(APC)文書
Product Cyber Resilience Testing APC opens as pdf (also available from the Downloads section, below) ・プロダクト・サイバー・レジリエンス・テストのAPCはPDFで開く。
An APC document is the key artefact for any assurance service using the NCSC Principles Based Assurance (PBA) method. The APC plays the role of a standard in traditional compliance-based assurance activity, defining the scope of the assurance activity and the information needed for an assessment. APC 文書は、NCSC 原則に基づく保証(PBA)手法を用いた保証サービスにとって重要な成果物である。APCは、従来のコンプライアンスに基づく保証活動における標準の役割を果たし、保証活動の範囲とアセスメントに必要な情報を定義する。
The APC is a collection of Principles and Claims. The principles define the scope of the assurance activity setting out an ideal state that a product can be measured against. To assist with this measurement each principle is deconstructed into a set of claims (using a claims-argument-evidence method) that are designed to be easily evidenced. APCは、原則とクレームの集合体である。原則は、保証活動の範囲を定義するもので、製品を測定する際の理想的な状態を示す。この測定を支援するため、各原則は(主張-論拠-証拠という方法を用いて)一連の主張に分解され、容易に証明できるように設計されている。
How to use APCs to do Assurance アセスメントを実施するための APC の利用方法
APCs are downloadable from the NCSC website and can be used by anyone for self-assessment (or continuous improvement) of the cyber security properties of any product, system or service covered by an APC. APC は NCSC のウェブサイトからダウンロードでき、APC の対象となる製品、システム、サービスのサイバーセキュリティ特性の自己評価(または継続的改善)に誰でも利用できる。
Independent test facilities called Cyber Resilience Test Facilities (CRTFs) are NCSC approved organisations who can carry out independent assessments using these same APCs. A CRTF assessment will follow 3 steps which require the reasoning in the claims trees: サイバーレジリエンス試験施設(Cyber Resilience Test Facilities:CRTF)と呼ばれる独立した試験施設は、NCSCが承認した組織であり、同じAPCを使用して独立したアセスメントを実施することができる。CRTFのアセスメントは、クレームツリーの推論を必要とする3つのステップを踏む:
1. Claims modifications: A conversation to determine whether the published APC is a good fit. If it is not then it is possible for the CRTF to approve modified claims so long as the formal reasoning can be adjusted to still support a link from the modified claim back to the Principle. 1. クレームの修正:公表されたAPCが適合しているかどうかを判断するための会話。そうでない場合、CRTF は、修正されたクレームからプリンシプルへのリンクをサポートするように形式的な理由を調整できる限り、修正されたクレームを承認することが可能である。
2. Evidence gathering: Once claims are agreed with the CRTF evidence is gathered and submitted to the CRTF for analysis. 2. 証拠収集: クレームがCRTFと合意されたら、証拠を収集し、分析のためにCRTFに提出する。
3. Evidence interpretation and outputs: Where evidence clearly supports a claim this is simply reported. Where evidence is deficient (or not offered) then the CRTF can use the reasoning in the claims trees to interpret this deficiency in the context of the underlying Principle. This is then reported as a risk against the Principle. 3. 証拠の解釈とアウトプット: 証拠がクレームを明確に裏付けている場合は、単に報告される。エビデンスが不足している(又は提出されていない)場合、CRTF はクレームツリーの推論を用い て、この不足を基本原則の文脈で解釈することができる。この場合、プリンシプルに対するリスクとして報告される。

 

・2025.04.24 [PDF] Product Cyber Resilience Testing (CRT) Assurance Principles and Claims (APC) v1.0 April 2025

20250510-74754

・[DOCX][PDF] 仮訳

 

テーマと原則...

Theme 1:  Secure design and development 安全な設計と開発
Principle 1.1  Follow an established secure development framework.  確立された安全な開発フレームワークに従う。 
Principle 1.2  Understand the composition of the software and assess risks linked to the ingestion and maintenance of third-party components throughout the development lifecycle.  ソフトウェアの構成を理解し、開発ライフサイクルを通じてサードパーティ製コンポーネントの取り込みと保守に関連するリスクをアセスメントする。 
Principle 1.3  Have a clear process for testing software and software updates before distribution.  配布前にソフトウェアやソフトウェアのアップデートをテストするための明確なプロセスを持つ。 
Principle 1.4  Follow secure by design and secure by default principles throughout the development lifecycle of the software.  ソフトウェアの開発ライフサイクル全体を通じて、セキュア・バイ・デザインとセキュア・バイ・デフォルトの原則に従う。 
Theme 2:  Build environment security 環境セキュリティの構築
Principle 2.1  Protect the build environment against unauthorised access.  ビルド環境を不正アクセスから保護する。 
Principle 2.2  Control and log changes to the build environment.  ビルド環境の変更を管理し、履歴を残す。 
Theme 3:  Secure deployment and maintenance 安全な展開と保守
Principle 3.1  Distribute software securely to customers.  ソフトウェアを顧客に安全に配布する。 
Principle 3.2  Implement and publish an effective vulnerability disclosure process.  効果的な脆弱性開示プロセスを導入し、公表する。 
Principle 3.3  Have processes and documentation in place for proactively detecting, prioritising and managing vulnerabilities in software components.  ソフトウェアコンポーネントの脆弱性を積極的に検知、優先順位付け、管理するためのプロセスと文書を整備する。プロセスと文書を整備する。 
Principle 3.4  Report vulnerabilities to relevant parties where appropriate.  必要に応じて、脆弱性を関係者に報告する。 
Principle 3.5  Provide timely security updates, patches and notifications to customers.  タイムリーなセキュリティアップデート、パッチ、通知を顧客に提供する。 
Theme 4:  Communication with customers 顧客とのコミュニケーション
Principle 4.1  Provide information to the customer specifying the level of support and maintenance provided for the software being sold.  販売するソフトウェアのサポートと保守のレベルを明記した情報を顧客に提供する。 
Principle 4.2  Provides at least 1 year’s notice to customers of when the software will no longer be supported or maintained by the vendor.  ソフトウェアがベンダーによるサポートや保守を受けられなくなる時期について、少なくとも1年前に顧客に通知する。 
Principle 4.3  Make information available to customers about notable incidents that may cause significant impact to customer organisations.  顧客組織に重大な影響を及ぼす可能性のある注目すべきインシデントについて、顧客に情報を提供する。 
Theme 5:  Product specific usage, design and operation 製品固有の使用法、設計、操作
Principle 5.1   Design the product to be usable  使いやすい製品を設計する 
Principle 5.2  Ensure only authorised users have access to product data and functionality  権限のあるユーザーのみが製品データと機能にアクセスできるようにする。 
Principle 5.3  Protect sensitive data and the integrity of the product  機密データと製品の完全性を保護する 
Principle 5.4  Enable the logging and monitoring of security events  セキュリティイベントのロギングと監視を有効にする 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.25 英国 NCSC 原則に基づく保証(PBA) (2023.04.17)

 

 

| | Comments (0)

2025.05.01

デジタル庁 電子署名及び認証業務に関する法律施行規則の一部を改正する命令案等に対する意見募集 (2024.04.28)

こんにちは、丸山満彦です。

デジタル庁が、電子署名及び認証業務に関する法律施行規則の一部を改正する命令案等に対する意見募集をしていますね...

2001年に制定されてから大きな変更が行われていなかったので、技術的動向やセキュリティに関する考え方の変化等を踏まえて、認定基準に関する課題やその課題解決のために「令和6年度電子署名法認定基準のモダナイズ検討会」において認定基準の見直し等の方向性(このブログ...)について議論してきた結果を踏まえての改定案ということですかね。。。

 

● デジタル庁

・2025.04.28 電子署名法施行規則の一部を改正する命令案等に係る意見募集を行います

 

● eGov

・2025.04.28 電子署名及び認証業務に関する法律施行規則の一部を改正する命令案等に対する意見募集について

 

改正の概要...

・[PDF] 

20250501-53504

 

意見募集にかかっているのは...

(1) 電子署名法施行規則の改正案 電子署名及び認証業務に関する法律施行規則(平成13年総務省・法務省・経済産業省令第2号)の一部を改正する命令

(2) 電子署名法認定指針の改正案 電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針(平成13年総務省・法務省・経済産業省告示第2号)の一部を改正する件

(3) 電子署名法調査方針の改正案 電子署名及び認証業務に関する法律に基づく指定調査機関の調査に関する方針(デジタル庁統括官(デジタル社会共通機能担当)・法務省民事局長通知)

 

 


 

参考

財団法人日弁連法務研究財団で2020.12.18に開催され松本さんの資料...

 

● 財団法人日弁連法務研究財団

・2020.09.18 シンポジウム「電子契約の過去・現在・未来-書面・押印・対面の見直しのための技術と法」(2020年12月18日)のご案内

・[PDF] 電子署名法の課題と未来」/松本 泰 氏(セコム(株)IS研究所)

20250501-63212

これを読むと(あるいは動画できくと...)方向性がわかるかも...

 


まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.22 デジタル庁 電子署名法認定基準のモダナイズ検討会報告書 (2025.03.21)

 

| | Comments (0)

2025.04.23

米国 国防総省内部監察官室 管理勧告:国防総省の2024年度の2014年連邦情報セキュリティ近代化法の遵守状況 (2025.04.16)

こんにちは、丸山満彦です。

米国の国防総省の内部監察官室 (Inspector General) がFISMAに基づいて監査を実施し、管理勧告 (Management Advisory) を公表していますね...(とはいえ、FISMAの実施状況に対する総合意見をだしているわけではなく、検出された指摘事項を挙げているいう状況です...)

今回は12の勧告がだされていますね。。。

米国の場合は、公文書は原則公開し、段落毎に機密性を判断し、管理対象非機密情報 (Controlled Unclassified Information: CUI) が含まれている部分は、本当に機密性が求められる部分のみを黒塗りするということが行われていますよね。。。

こういう米国の運用については、経済安全保障で政府が取り扱う機密性のある情報が細かく区分管理されるようになる日本でも取り入れるべきなのだろうと思います。

開示請求したら「のり弁当」みたいな開示だと、国民、市民が政府の活動を確認できなくなり、民主主義が果たせなくなりますからね。。。

 

Department of Defense Office of Inspector General:DoD OIG

・2025.04.16 Management Advisory: The DoD’s FY 2024 Compliance with the Federal Information Security Modernization Act of 2014 (Report No. DODIG-2025-086)

 

Management Advisory: The DoD’s FY 2024 Compliance with the Federal Information Security Modernization Act of 2014 (Report No. DODIG-2025-086) 管理勧告 DoD's FY2024 Compliance with the Federal Information Security Modernization Act of 2014 (Report No. DODIG-2025-086)
Audit 監査
This management advisory provides recommendations related to the DoD Office of Inspector General’s review of the DoD’s compliance with the Federal Information Security Modernization Act of 2014 (FISMA), which we announced on December 11, 2023 (Project No. D2024‑D000CP‑0043.000). However, the results in this management advisory do not fully represent all the requirements for each metric or the DoD’s overall FISMA rating. We conducted work on this management advisory from December 2023 through January 2025 with integrity, objectivity, and independence, as required by the Council of the Inspectors General on Integrity and Efficiency’s Quality Standards for Federal Offices of Inspector General. 本管理勧告は、2023年12月11日に発表した2014年連邦情報セキュリティ近代化法(FISMA)のDoDの遵守に関する監察官室のレビュー(プロジェクト番号D2024-D000CP-0043.000)に関連する勧告を提供するものである。しかし、本管理勧告の結果は、各指標のすべての要件や国防総省のFISMA総合評価を完全に代表するものではない。我々は 2023 年 12 月から 2025 年 1 月にかけて、誠実性・効率性に関する監察官会議の連邦監察 官室の品質基準で義務付けられている通り、誠実性、客観性、独立性をもって本管理勧告の作業を実施した。

 

・[PDF]

20250422-60945

 

勧告と対応...

(U) Recommendations, Management Comments, and Our Response (U) 勧告、マネジメントのコメントおよび我々の回答
(U) Recommendation 1 (U) 勧告1
(U) We recommend that the DoD Chief Information Officer direct DoD Components, including the Coast Guard, in coordination with the DoD Component Chief Information Security Officers, Chief Information Officers, and Authorizing Officials, to: (U) 国防総省の最高情報責任者は、国防総省の情報セキュリティ責任者、最高情報責任者、認可担当官と連携して、沿岸警備隊を含む国防総省の各部門に対して、以下のことを指示するよう勧告する:
a.     (U) Identify all critical and non-critical software on the DoD Information Network that is subject to Office of Management and Budget-required selfattestation requirements. a.  (U) 行政管理予算局が要求する自己認証要件の対象となる、国防総省情報ネットワーク上のすべての重要および非重要ソフトウェアを識別する。
b.    (U) Obtain Office of Management and Budget-required self-attestations from software providers or implement an Office of Management and Budget-approved alternative solution for all identified third-party software on the DoD Information Network. b.  (U) 国防総省情報ネットワーク上のすべての特定されたサードパーティ・ソフトウェアについて、ソフトウェア・プロバイダから行政管理予算局が要求する自己証明を取得するか、または行政管理予算局が承認した代替ソリューションを導入する。
c.     (U) Establish a plan of action and milestones to obtain all remaining Office of Management and Budget-required third-party provider self-attestations and request an extension from the Office of Management and Budget deadline. c.  (U)行政管理予算局が要求する残りのすべてのサードパーティ・プロバイダーの自己証明を取得し、行政管理予算局の期限延長を要請するための行動計画とマイルストーンを確立する。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) Although the official Performing the Duties of the DoD CIO disagreed with (U)国防総省CIOの職務を遂行する職員は、以下の意見に同意しなかった。
Recommendation 1.a, they agreed with Recommendations 1.b and 1.c.  The DoD CIO stated that a binary classification of software as “critical” or “non-critical” for public disclosure offers minimal benefit and may inadvertently increase the attack surface by highlighting the DoD’s critical assets to adversaries.  They also stated that the OMB did not intend to grant extensions for collecting secure software development self-attestations as part of a May 2024 communication.  However, the DoD CIO stated that the DoD remains committed to ensuring the secure development and deployment of third-party software on the DODIN, which is critical to the DoD’s cybersecurity posture. 国防総省のCIOは、ソフトウェアを「クリティカル」または「ノンクリティカル」に二元的に分類して公開することは、最小限の利益しかもたらさないだけでなく、国防総省の重要な資産を敵対者に強調することによって、攻撃対象領域を不注意に拡大する可能性があると述べた。  また、OMB は、2024 年 5 月のコミュニケーションの一環として、安全なソフトウェア開発の自己証明書を収集するための延長を認めるつもりはないと述べた。  しかし、国防総省の CIO は、国防総省のサイバーセキュリティ態勢にとって重要である DODIN 上でのサードパーティ・ソフトウェアの安全な開発と展開を確保することに、国防総省は引き続き尽力すると述べた。
(U) The DoD CIO also stated that the DoD attempted a few approaches to implement the OMB M-23-16 requirements but encountered potential contractual conflicts and cybersecurity policy limitations that would require the need for expanded criteria, independent verification, and continuous monitoring.  The DoD CIO stated that these challenges led to the development of an emerging and more comprehensive SCRM program to strengthen software supply chain security that will address the limitations of relying solely on self-attestations from third-party software providers.  This software SCRM program will be risk-based and incorporate expanded assessment criteria, independent verification mechanisms, and continuous monitoring throughout the software lifecycle to meet the intent of the OMB M-22-18 and OMB M-23-16 requirements.  According to the DoD CIO, this risk-based approach will provide a more robust and adaptable framework for managing software supply chain risks for all DoD systems and applications.  The DoD CIO also stated that they will continue to refine and implement the program to ensure a secure and resilient software ecosystem. (U)DoD CIO はまた、DoD が OMB M-23-16 要件を実施するためにいくつかのアプローチを試みたが、規準の拡大、独立した検証、および継続的な監視が必要となる潜在的な契約上の矛盾やサイバーセキュリティ政策の限界に直面したと述べた。  国防総省の CIO は、このような課題から、サードパーティーのソフトウエアプロバイダの自己証明のみに頼ることの限界に対処する、ソフトウエアのサプライチェーンセキュリティを強化するための、より包括的な SCRM プログラムを新たに開発することになったと述べている。  このソフトウェア SCRM プログラムはリスクベースであり、OMB M-22-18 および OMB M-23-16 の要件の意図を満たすために、拡大されたアセスメント規準、独立した検証メカニズム、およびソフトウェアライフサイクル全体にわたる継続的な監視が組み込まれる。  国防総省CIOによると、このリスクベースのアプローチは、すべての国防総省のシステムとアプリケーションのソフトウェアサプライチェーンリスクをマネジメントするための、より強固で適応可能な枠組みを提供する。  国防総省CIOはまた、安全でレジリエンスに優れたソフトウェア・エコシステムを確保するため、このプログラムの改良と実施を継続すると述べている。
(U) Our Response (U)我々の対応
(U) Although the official Performing the Duties of the DoD CIO disagreed with Recommendation 1.a but agreed with Recommendations 1.b and 1.c, their comments addressed all specifics of the recommendations.  Therefore, the recommendations are resolved but open.  We will close the recommendations once the DoD CIO provides documentation demonstrating that the OMB has approved the DoD’s alternative solution to strengthen its software supply chain security instead of obtaining the OMB-required self-attestations from software producers.  The DoD CIO should also provide documentation demonstrating that they directed the DoD Components to implement the DoD’s OMB-approved, alternative approach that meets the intent of the OMB M-22-18 and OMB M-23-16 requirements, including the:  (1) identification of all applicable software on the DODIN; (2) procedures to ensure that third-party software providers followed NIST software development guidance for all applicable software on the DODIN; and (3) development of a plan of action and milestones to implement the DoD’s OMB-approved, alternative approach. (U)DoD CIOの職務を遂行する職員は勧告1.aには同意しなかったが、勧告1.bと1.cには同意した。  したがって、勧告は解決されたが未解決である。  国防総省CIOが、OMBが要求するソフトウェア製造者の自己証明書を取得する代わりに、国防総省のソフトウェア・サプライチェーンのセキュリティを強化する代替ソリューションをOMBが承認したことを証明する文書を提出した時点で、勧告を終了する。  国防総省CIOはまた、OMB M-22-18およびOMB M-23-16の要件の趣旨を満たす、国防総省のOMB承認代替アプローチを実施するよう国防総省の構成員に指示したことを証明する文書も提出しなければならない:  (1)DODIN上の該当するすべてのソフトウェアの識別、(2)DODIN上の該当するすべてのソフトウェアについて、サードパーティ・ソフトウェア・プロバイダがNISTソフトウェア開発ガイダンスに従うことを保証する手順、(3)国防総省のOMB承認代替アプローチを実施するための行動計画およびマイルストーンの策定。
d. (U) Implement a process, such as periodic reviews of the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are accurately reporting the system authorization status for non-national security systems in accordance with DoD guidance. d.  (U) 国防総省のガイダンスに従って、職員が非国家安全保障シス テムのシステム認可状況を正確に報告していることを確 認するために、エンタープライズ・ミッション保証サポート・サービス又は同等のシステムの定期的なレビューなどのプロセスを導入する。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) The official Performing the Duties of the DoD CIO agreed, stating that they intend to release a memorandum directing the DoD Components to review the proper guidelines for reporting the system authorization status and update the status for any miscategorized systems. (U)国防総省CIOの職務を遂行する職員はこれに同意し、システム認可状況を報告するための適切なガイドラインを検討し、誤って分類されたシステムの状況を更新するよう国防総省の構成員に指示する覚書を発表するつもりであると述べた。
(U) Our Response (U)我々の対応
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open.  We will close the recommendation once the DoD CIO provides documentation demonstrating that they directed the DoD Components to implement a process, such as performing periodic reviews in eMASS or an equivalent system, to ensure that officials are accurately reporting the system ATO status for non-national security systems in accordance with DoD guidance. (U)国防総省 CIO の職務を遂行する職員からのコメントでは、勧告のすべての具体的な内容に対処しているため、勧告は解決されたが未解決である。  国防総省CIOが、国防総省のガイダンスに従って、職員が非国家安全保障システムのシステムATOステータスを正確に報告していることを確認するために、eMASSまたは同等のシステムで定期的なレビューを実施するなどのプロセスを実施するよう国防総省の構成員に指示したことを示す文書を提出した時点で、勧告を終了する。
e. (U) Update the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that it captures compliance information for all controls associated with Inspector General Federal Information Security Modernization Act of 2014 reporting metrics for their non-national security systems. e.  (U) エンタープライズ・ミッション保証サポート・サービス又は同等のシステムを更新し、監察官による 2014 年連邦情報セキュリ ティ近代化法の非国家セキュリティシステムの報告指標に関連する全ての統制の遵守情報を確実に取得する。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) The official Performing the Duties of the DoD CIO agreed with the recommendation, stating that they will update the Cyber Scorecard to include controls associated with the IG FISMA reporting metrics for non-national security systems. (U)DoD CIO の職務を遂行する職員は勧告に同意し、サイバースコアカードを更新して、非国家安全保障システムの IG FISMA 報告指標に関連する管理を含めると述べた。
(U) Our Response (U)我々の対応
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open.  We will close the recommendation once the DoD CIO provides documentation demonstrating that they updated the Cyber Scorecard to ensure that it captures the status of the controls associated with the IG FISMA reporting metrics for non-national security systems. (U)国防総省 CIO の職務を遂行する職員からのコメントでは、勧告のすべての具体的な内容に対処しているため、勧告は解決されたが未解決である。  国防総省 CIO がサイバースコアカードを更新し、非国家安全保障システムの IG FISMA 報告指標に関連する管理状況を確実に把握できるようにしたことを証明する文書を提出した時点で、勧告を終了する。
f. (U) Develop and implement a process, such as periodic reviews of the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials implemented the necessary National Institute of Standards and Technology information system controls and accurately reported the status for all non-national security systems. f.  (U) 職員が国立標準技術研究所 (NIST) の必要な情報システム管理を実施し、すべての非国家安全保障シス テムの状況を正確に報告していることを確認するため、エンタープライズ・ミッション保証支援サー ビス又は同等のシステムの定期的なレビューなどのプロセスを開発し、実施する。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) The official Performing the Duties of the DoD CIO agreed, stating that they will track the implementation of the necessary security controls in the Cyber Scorecard for the non-national security systems and add a statement to the Cyber Scorecard requiring that the DoD Components verify the accuracy of their submitted data. (U) 国防総省の CIO の職務を遂行する職員は、国防総省の非国家安全保障シス テムに関するサイバー・スコアカードに必要なデータ管理者の実施状況を記 入し、サイバー・スコアカードに国防総省の各部門が提出したデータの正確性 を検証することを求める記述を追加すると述べ、これに同意した。
(U) Our Response (U)我々の対応
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open.  We will close the recommendation once the DoD CIO provides documentation demonstrating that they updated the Cyber Scorecard to track the status of the NIST system controls for non-national security systems and added a statement to the Cyber Scorecard requiring that the DoD Components verify the accuracy of their submitted data. (U)国防総省CIOの職務を遂行する職員からのコメントは、勧告のすべての具体的な内容に対応している。  国防総省CIOが、非国家セキュリティシステムのNISTシステム管理者の状況を追跡するためにサイバースコアカードを更新し、国防総省構成機関が提出されたデータの正確性を検証することを要求する記述をサイバースコアカードに追加したことを証明する文書を提出した時点で、勧告を終了する。
g. (U) Require officials to develop a plan of action and milestones for non-national security systems that have not implemented all Inspector General Federal Information Security Modernization Act of 2014 reporting metrics-related controls or those systems with a low implementation percentage (for example, below 75 percent), and track the completion of the plans until such controls are implemented or have elevated to an acceptable level and are reported in the Enterprise Mission Assurance Support Service, or an equivalent system. g.  (U) 2014 年連邦情報セキュリティ近代化法(監察官)報告指標に関連する統制をすべて実施していない非国家セキュリティシステム、または実施割合が低い(例えば 75%未満)シス テムについて、行動計画とマイルストーンを策定し、当該統制が実施されるか、許容可能なレベルまで上昇し、エンタープライズ・ミッション保証支援サービス(Enterprise Mission Assurance Support Service)または同等のシステムで報告されるまで、計画の完 了を追跡することを担当者に義務付ける。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) The official Performing the Duties of the DoD CIO agreed, stating that they will add a metric to the Cyber Scorecard for tracking the status of non-compliant controls that are missing plan of action and milestones.  The Scorecard will also track other controls associated with the IG FISMA reporting metrics that do not have a plan of action and milestones items. (U)DoD CIO の職務を遂行する職員は、行動計画やマイルストーンが欠如している非準拠管理 の状況を追跡するための指標をサイバー・スコアカードに追加すると述べ、これに同意した。  スコアカードは、IG FISMA の報告指標に関連する、行動計画とマイルストーンの項目がないその他の管理も追跡する。
(U) Our Response (U)我々の対応
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open.  We will close the recommendation once the DoD CIO provides documentation demonstrating that they added a metric to the Cyber Scorecard for tracking the status of non-compliant controls associated with the IG FISMA reporting metrics for non-national security systems, including whether the corresponding plan of action and milestones are reported in eMASS, or an equivalent system. (U)DoD CIO の職務を遂行する役人からのコメントは、勧告のすべての具体的な内容に対応している。  国防総省 CIO が、非国家安全保障システムの IG FISMA 報告指標に関連する非準拠の管理状況を追跡するための指標をサイバースコアカードに追加したことを証明する文書(対応する行動計画とマイルストーンが eMASS または同等のシステムで報告されているかどうかを含む)を提出した時点で、 の勧告を終了する。
(U) Recommendation 2 (U) 勧告2
(U) We recommend that the DoD Chief Information Officer direct the Army Chief (U) 国防総省の最高情報責任者(CIO)が、陸軍の最高情報責任者(CIO)に次のことを指示するよう勧告する。
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告して いることを確認し、誤って分類されたシステムの状況を更新する。
(U) Recommendation 3 (U) 勧告3
(U) We recommend that the DoD Chief Information Officer direct the Navy Chief (U) 国防総省の最高情報責任者(CIO)が、海軍の最高情報責任者(CIO)に次のことを指示するよう勧告する。
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告していることを確認し、誤って分類されたシステムの 状況を更新する。
(U) Recommendation 4 (U) 勧告4
(U) We recommend that the DoD Chief Information Officer direct the Air Force Chief (U) 国防総省の最高情報責任者(CIO)が、空軍の最高情報責任者(CIO)に次のことを指示するよう勧告する。
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告して いることを確認し、誤って分類されたシステムの 状況を更新する。
(U) Recommendation 5 (U) 勧告5
(U) We recommend that the DoD Chief Information Officer direct the Coast Guard Chief (U) 国防総省の最高情報責任者(CIO)が、沿岸警備隊の最高情報責任者(CIO)に次のことを指示するよう勧告する。
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告して いることを確認し、誤って分類されたシステムの状況を更新する。
(U) Recommendation 6 (U) 勧告6
(U) We recommend that the DoD Chief Information Officer direct the Defense (U) 国防総省の最高情報責任者(CIO)に対し、以下のことを指示するよう勧告する。
Security Cooperation Agency Chief Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. 安全保障協力局最高情報責任者は、最高情報セキュリ ティ責任者及び作成機関と連携して、エンタープライズ・ ミッション保証支援サービス又は同等のシス テムをレビューし、担当者が国家安全保障以外のシス テムのシステム認可状況を正しく報告していること を確認し、誤って分類されたシステムの状況を更新す る。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) The official Performing the Duties of the DoD CIO agreed with Recommendations 2, 3, 4, 5, and 6, stating that they will release a memorandum directing the DoD Components to review the proper guidelines for reporting the system authorization status and update the status for any miscategorized systems. (U) 国防総省CIOの職務を遂行する職員は、勧告2、3、4、5、6に同意し、システム認可状況を報告するための適切なガイドラインを検討し、誤って分類されたシステムの状況を更新するよう国防総省の構成員に指示する覚書を発表すると述べた。
(U) Our Response (U)我々の対応
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendations; therefore, the recommendations are resolved but will remain open. We will close the recommendations once the DoD CIO provides documentation demonstrating that they directed the DoD Components to review the proper guidelines for reporting the system ATO status and update the status for any miscategorized systems in eMASS or their equivalent system. (U)国防総省 CIO の職務を遂行する職員からのコメントは、勧告のすべての具体的な内容に対処している。国防総省CIOが国防総省の各部門に対し、システムのATOステータスを報告するための適切なガイドラインを検討し、eMASSまたは同等のシステムで誤って分類されたシステムのステータスを更新するよう指示したことを証明する文書を提出した時点で、この勧告は終了する。

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

 

DoD Inpector General

2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2023.08.04 米国 国防総省監察官室 米軍情報センターおよび米サイバー軍による分析標準の適用に関する統制の評価 (+情報コミュニティ指令203 分析標準)

・2023.02.14 米国 国防総省 国防総省のサイバーセキュリティに関する報告および証言の概要(2020年7月1日〜2022年6月30日) (2023.02.01)

・2022.10.01 国防総省 監察官室 国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査

・2021.04.03 U.S. Office of Inspectors General(連邦監察官室)

・2020.07.05 米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。

 

FISMA Report

 

FISMA関係...

・2022.09.30 米国 OMB FISMA Report 2021

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.03.17 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

| | Comments (0)

2025.04.17

PCI ガイドライン PCIアセスメントへのAIの統合 (2025.03.17)

こんにちは、丸山満彦です。

PCI/DSSが、PCI アセスメントにおける AI の責任ある使用を支援するための新しいガイダンスを発表していましたね...

  • AIはツールであり、評価者ではない。
  • AIの役割は専門知識の強化であり、人間の代替ではない。
  • 人間の評価者は、すべての調査結果と最終決定について責任を負う

会計監査を含め、あらゆる場面で同じことでしょうね...

 

・2025.03.1 New Guidance: Integrating Artificial Intelligence into PCI Assessments

 

New Guidance: Integrating Artificial Intelligence into PCI Assessments 新しいガイダンス:PCI アセスメントへの人工知能の統合
Artificial intelligence (AI) is transforming industries, and the PCI Security Standards Council (PCI SSC) has introduced new guidance to support the responsible use of AI in PCI assessments. The guidance provides a balance between leveraging the benefits of AI while maintaining the high standards of security that protect payment card data worldwide. 人工知能(AI)は業界を変革しており、PCI セキュリティ基準協議会(PCI SSC)は、PCI アセスメントにおける AI の責任ある使用を支援するための新しいガイダンスを発表しました。このガイダンスは、AI のメリットを活用しながら、世界中で決済カードデータを保護する高いセキュリティ基準を維持するバランスを保っています。
AI has the potential to enhance the efficiency, accuracy, and consistency of PCI assessments. When properly implemented, AI can automate key aspects of the assessment process, from document reviews, to creating work papers and PCI reports. By reducing manual effort and minimizing human error, AI can streamline workflows. However, AI can also introduce false positives, incorrect assumptions, and biases, requiring additional considerations and human oversight to prevent these issues. AI は、PCI 評価の効率、正確性、一貫性を高める可能性を秘めています。適切に導入された場合、AI は、文書のレビューから作業書類や PCI 報告書の作成に至るまで、評価プロセスの重要な側面を自動化することができます。手作業を減らし、人為的ミスを最小限に抑えることで、AI はワークフローを効率化することができます。しかし、AI は誤検知、誤った仮定、バイアスをもたらす可能性もあり、これらの問題を防ぐためには追加の考慮事項と人間の監督が必要となります。
The new guidance emphasizes that AI is a tool, not an assessor. Human assessors remain responsible for all findings and final decisions, ensuring that AI’s role is to enhance expertise, rather than replace it. 新しいガイダンスでは、AI はツールであり、評価者ではないことを強調しています。人間の評価者は、すべての調査結果と最終決定について引き続き責任を負い、AI の役割は専門知識の強化であり、その代替ではないことを確保します。
The new guidance document, “Integrating Artificial Intelligence in PCI Assessments – Guidelines, Version 1.0,” provides a framework for payment security assessors on best practices for using AI responsibly during assessments. The document covers key points, including: 新しいガイダンス文書「PCI 評価への人工知能の統合 – ガイドライン、バージョン 1.0」は、評価中に AI を責任を持って使用するためのベストプラクティスに関する、決済セキュリティ評価者向けの枠組みを提供しています。この文書では、以下の重要なポイントを取り上げています。
・Informing clients of AI involvement, obtaining their consent, and providing assurances about the security of client data and the accuracy of assessment results. ・AI の使用について顧客に通知し、同意を得るとともに、顧客データのセキュリティと評価結果の正確性について保証すること。
・Using AI in reviewing artifacts, creating work papers, conducting remote interviews, and generating final assessment reports. ・成果物のレビュー、作業書類の作成、リモートインタビューの実施、および最終評価レポートの作成に AI を使用すること。
・The importance of data handling protocols, AI system validation, ethical use, and regular updates to ensure the security and accuracy of outputs.  ・出力のセキュリティと正確性を確保するための、データ取り扱いプロトコル、AI システムの妥当性確認、倫理的な使用、および定期的な更新の重要性。
As AI technologies continue to evolve, these guidelines provide a strong foundation for their responsible integration into PCI assessments. These guidelines will support assessors as they modernize assessment processes while maintaining rigorous standards that protect payment card data worldwide.   AI テクノロジーは進化し続けているため、このガイドラインは、PCI アセスメントに AI を責任を持って統合するための強固な基盤となります。このガイドラインは、世界中でペイメントカードデータを保護する厳格な標準を維持しながら、アセスメントプロセスの近代化を進めるアセスメント事業者をサポートします。

 

 

・[PDF] Payment Card Industry (PCI) Integrating Artificial Intelligence in PCI Assessments

20250417-53627

 

目次...

1 Introduction 1 序文
1.1 Purpose and Intended Use 1.1 目的と使用目的
2 AI is a Tool, not an Assessor 2 AI は評価者ではなくツールです
3 Transparent Client Communication 3 クライアントとの透明性の高いコミュニケーション
3.1 Declaring AI Usage 3.1 AI の使用の開示
4 AI Use in PCI Assessments 4 PCI アセスメントにおける AI の使用
4.1 Review of Artifacts 4.1 成果物のレビュー
4.2 Creation of Work Papers 4.2 作業書類の作成
4.3 Conducting Remote Interviews 4.3 リモートインタビューの実施
5 AI Use in Creating Suggested Wording for Final Assessment Reports 5 最終アセスメントレポートの推奨文言の作成における AI の使用
5.1 Final Assessment Reports 5.1 最終アセスメントレポート
5.2 Addressing AI Challenges 5.2 AI の課題への対応
5.3 Validation Process 5.3 妥当性確認プロセス
5.4 Keep AI Policies and Procedures Current 5.4 AI ポリシーおよび手順の最新の状態の維持
5.5 Limitations and Risks 5.5 制限およびリスク
5.6 Integration with Templates 5.6 テンプレートとの統合
5.7 Ethical and Legal Considerations 5.7 倫理的および法的考慮事項
6 Responsibility and Accountability 6 責任および説明責任
7 Documented Policies and Procedures for AI Use 7 AI 使用に関する文書化されたポリシーおよび手順
7.1 How AI is to be Used and Validated 7.1 AI の使用方法および妥当性確認の方法
7.2 Selection and Qualification of AI Systems 7.2 AI システムの選択および認定
7.3 Types of Evidence AI Can Process 7.3 AI が処理できる証拠の種類
7.4 Data Handling and Security 7.4 データの取り扱いおよびセキュリティ
8 PCI SSC Non-Endorsement of AI Products or Services 8 PCI SSC による AI 製品またはサービスの非承認
About the PCI Security Standards Council PCI セキュリティ基準協議会について

 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.01 PCI Data Security Standard v4.0

 

・2010.10.30 PCI Security Standards Council Releases PCI DSS 2.0 and PA-DSS 2.0

・2009.10.13 JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”(PCI DSS/ISMS準拠のためのガイド)を公開

・2008.06.06 「どこまで情報セキュリティ対策をすればよいのかわからない」という不満について

・2006.08.13 対策強度×保証強度

・2005.06.27 米国カード情報流出と情報セキュリティ監査

・2005.04.27 ビザとマスターカード、大手販売業者にセキュリティ対策を義務付け

・2006.07.05 クレジットカード業界のセキュリティ

 

 

| | Comments (0)

2025.04.15

経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ (2024.04.14)

こんにちは、丸山満彦です。

経済産業省、NISCが、「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表していますね...

 

経済産業省

・2025.04.14 「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました

・・[PDF] サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ(概要)

20250415-54258

 

・・[PDF] サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ

20250415-54346

 

・・[PDF] 【参考資料】★3・★4要求事項案・評価基準案

20250415-54510

 

NISC

・2025.04.14 [PDF]「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました

20250415-63904

 

 


「中間取りまとめの概要」の概要...

  1. 制度趣旨
  2. 目指す効果
  3. 基準の考え方
  4. 制度において設ける段階の考え方
  5. 国内外の関連制度等との連携・整合

これは、取引をする際に業務継続、情報漏えいの観点からセキュリティリスクを把握し、対処することが重要となるのですが、それを把握するための一助となる制度についての中間とりまとめ...

サプライチェーンを構成する企業等のIT基盤(オンプレミス環境で運用されるものに加え、クラウド環境で運用するものも含む)を対象と考えています(OT、製品セキュリティも対象外。まずはITから。OTができそうであれば、OTもだけれども、環境差が大きいことも想定され、標準的なものが馴染むかどうか、別途検討が必要と考え、今回は後回し...実証事業で検討してみるというのもありかもですね...)

ここの企業がそれぞれバラバラに評価するのではなく、国として一定のセキュリティ対策の標準のようなものを作り、それに従って評価していく。そういう制度を考えています。1段階ではなく、数段階を考えています。いわゆる★制度です(^^)

もちろん、One size fit allにはならないのは当然なので、ここの組織は必要に応じて追加の確認が必要となることは想定されます(取引をする上では、情報セキュリティ対策以外にも、与信、SDGの観点から総合判断することでしょうし、確認の一部が楽になるという感じ...)。

大掛かりな制度ですから、今回発表されたのは、中間とりまとめ。

 

ちなみに経済産業省は下請法の対象となる親事業者・下請事業者の取引の実態について定量的な調査・分析として「令和6年度中小企業取引対策事業(企業間取引に関する研究分析等調査事業)調査報告書」(2025.01.29)を公表していますが、下請け法に関連する取引関係だけでも相当あることがわかります...

 

今年度に実証実験をし、現場の負担感、制度の効果、課題を把握し、改善をした上で、来年度以降の制度開始を想定していますね。

私も委員として関わっているわけですが、論理的には国の多くの企業に影響を与えることになる制度ですから、効果が高ければ日本企業等の成長に大きく貢献することになるのですが、逆に不適切な制度設計となると、日本企業の足を引っ張ることになりかねません。あるいは、使われずに、税金の無駄遣いとなる...

ということで、2002年頃、ISMS制度の立ち上げの時に、いろいろと考え、実施してきた経験というのが、役立つわけなのですが、その当時を一緒に経験した人がほとんど残っていないので、頑張ります...

 

で、最大の課題は何か...それは「普及」です。(良い制度を使っても使ってもらえなかったら意味がない。良い制度でなければ、普及しない)

まずは、良い制度にすることが重要ですね。で、そのために一部の人たちが頭で考えただけでは社会制度としてはうまく行かないだろうと思うので、実証事業への参加は是非、検討してもらいたいと思っています...

実証事業の際に特に確かめて欲しいなぁと今のところ個人的に思っているのは、

 

委託元(発注側)の企業としては、

・適切な評価項目となっているのか?(評価結果の違いが取引の開始・継続に影響を及ぼしそうか?現在、自分たちが個々に評価している項目と今回の制度で上がってきた評価項目との差分等の把握を通じてわかるのではと思います)

・評価の対象をどのように考えるべきか?(小規模な会社であれば、法人単位で問題ないが、ある程度の企業になると、事業所単位でセキュリティ対策にばらつきがある場合、評価単位を事業部門等の管理単位でわけるべきか?)

 

委託先(受注側)の企業としては、

・評価項目の意味がわかるか?

・評価項目が現実に実施可能か?(費用面、技術面、実装・運用する人のリソース面)

 

評価する企業(自己評価する場合は委託先の企業となる)としては、

・評価をする時に悩んだ点

・・何をもって「できている」(OK)というのか?

・・全てがOKでないとOKにできないのか、少しでもできているところがあればOKとするのか、8割くらいできているOKにするのか?、半分以上できている(できていると思った)らOKにするのか?

・評価コストや課題(費用、技術面、人的リソースの面など)

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

 

Cyber Essentials

・2025.03.04 英国 サイバーエッセンシャルズ 小規模の弁護士事務所・新興技術企業への助成

・2024.12.23 英国 Cyber Essentials 2025.04.28以降の要求事項等について...

・2024.08.20 英国 サイバーエッセンシャル発行数 (2023.07-2024.06)

・2023.08.17 英国 国家サイバー戦略 2022 の進捗報告 (2022-2023)

・2023.07.13 英国 小規模企業のサイバーセキュリティをサポート:サイバーアドバイザリー制度 (2023.04.17)

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2020.10.11 UK National Cyber Security Centreがスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。(Cyber Essentials認定も意識して

 

サプライチェーン強化

・2025.01.02 米国 ホワイトハウス バイデン=ハリス政権は、米国のサプライチェーン強化に向けた進展を遂げている (2024.12.19)

・2024.06.17 米国 White House ファクトシート:2024年 イタリアのプーリアでのG7サミット

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...

 

 

 

| | Comments (0)

2025.04.14

JALがIATAの航空保安管理の国際認証(Operating Leve2)取得 (2025.04.10)

こんにちは、丸山満彦です。

国際航空運送協会(International Air Transport Association; IATA)[wikipedia] が航空保安管理の国際認証制度(Security Management System; SeMS)を策定しています。2024年10月に認証制度がはじまりましたね...

認証制度は3段階あるのですが、Levle1とLevel2の2つの認証制度が始まっています。というところ日本航空が世界で初めてのLevel2を取得したということですね...Level3の運用がはじまれば、その認証もしていくということのようですね...

 

20250414-93050

Level1 Suitable  
Structure, plans and processes are identified and established  構造、計画、プロセスが識別され、確立されている。
Fit-for-purpose policies and procedures are documented 目的に適合した方針および手順が文書化されている
Appropriate resources are allocated  適切なリソースが割り当てられている
Roles, responsibilities and accountabilities are assigned  役割、責任および説明責任が割り当てられている
Evidence is documented エビデンスが文書化されている
Level2 Operating  
People are trained and competent  人材が訓練され、有能である
There is regular communication  定期的なコミュニケーションが行われている
The system is applied and integrated throughout the organization and incorporated into business as usual 組織全体にシステムが適用され、統合され、通常業務に組み込まれている
The system is continuously monitored and evaluated to improve performance  パフォーマンスを改善するために、システムが継続的に監視および評価されている
Evidence is functioning エビデンスが機能している
Level3 Effective  
Employees and managers actively engage and comply with system requirements and documentation  従業員およびマネジャーが積極的に関与し、システム要件および文書化を遵守している
The system is operating as expected  システムが期待通りに機能している
Objectives are consistently achieved  目標が一貫して達成されている
Evidence is comprehensive エビデンスが包括的である

 

 

認証制度

International Air Transport Association; IATA

認証制度が始まったことについてのプレス...

・2024.10.03 IATA Launches SeMS Certification to Enhance Aviation Security Risk Management

IATA Launches SeMS Certification to Enhance Aviation Security Risk Management IATA、航空セキュリティリスク・マネジメント強化のためのSeMS認証を開始
Marrakech – The International Air Transport Association (IATA) has launched the IATA Security Management System (SeMS) Certification Program to strengthen aviation security. The SeMS Certification Program is open to airlines, airports, cargo handling facilities, freight forwarders, ground handling service providers, and security service providers. マラケシュ発-国際航空運送協会(IATA)は航空セキュリティ強化のため、IATAセキュリティ・マネジメント・システム(SeMS)認証プログラムを開始した。SeMS認証プログラムは航空会社、空港、貨物取扱施設、貨物輸送業者、地上ハンドリングサービスプロバイダー、セキュリティサービスプロバイダーを対象としている。
“SeMS is key to transforming global aviation security from a compliance mentality to one that is proactive in identifying and mitigating security risks and driving continuous improvements. This is vital for a much-needed modernization of aviation security built on dynamic, risk-based, and outcome-focused solutions. This is a major transition that must involve the entire sector. For that reason, the SeMS Certification is an independent assessment that will be available industry-wide, offering support and recognition to organizations at every phase of SeMS implementation,” said Nick Careen, IATA’s Senior Vice President for Operations, Safety, and Security. 「SeMSは、世界の航空保安をコンプライアンス(法令順守)の考え方から、保安リスクの特定と緩和、継続的改善を推進する積極的な考え方へと変革する鍵である。これは、ダイナミックで、リスクベースで、成果に焦点を当てたソリューションを基盤とする、航空セキュリティの近代化にとって不可欠なものである。これは、航空業界全体を巻き込まなければならない大きな転換である。そのため、SeMS認証は業界全体で利用できる独立したアセスメントであり、SeMS導入のあらゆる段階にある組織に対してサポートと評価を提供する」とIATAのオペレーション・安全・セキュリティ担当上級副会長であるニック・カレンは述べた。
SeMS provides an entity with a framework of operating principles and guidance which enable it to enhance security performance by proactively managing risks, threats, and areas where there are gaps and challenges, which may have a negative impact on that performance. While SeMS is not yet an ICAO Annex 17 requirement, it has been for IOSA registered airlines since 2007 and its implementation is supported by IATA, ICAO, and key aviation regulators around the world. SeMSは事業体に対し、リスク、脅威、パフォーマンスに悪影響を及ぼす可能性のあるギャップや課題のある領域を積極的にマネジメントすることにより、セキュリティ・パフォーマンスを向上させることを可能にする運営原則とガイダンスの枠組みを提供する。SeMSはまだICAO附属書17の要件ではないが、2007年以来、IOSA登録航空会社を対象としており、その実施はIATA、ICAO、および世界中の主要な航空規制当局によって支援されている。
To develop a certification program that can support various industry participants, an extensive case study was conducted, involving Japan Airlines, Brisbane Airport Corporation, CACC Cargolinx, Worldwide Flight Services Inc and Mozambique Airport Handling Services (MAHS). 様々な業界参加者をサポートできる認証プログラムを開発するため、日本航空、ブリスベン空港公団、CACC Cargolinx、Worldwide Flight Services Incおよびモザンビーク空港ハンドリングサービス(MAHS)が参加する大規模なケーススタディが実施された。
A Tiered Approach to Security Maturity セキュリティ成熟度の段階的アプローチ
The SeMS Certification Program follows a tiered approach, to meet the needs of organizations at varying levels of SeMS maturity: SeMS認証プログラムは、SeMS成熟度のさまざまなレベルにある組織のニーズに応えるため、段階的アプローチに従っている:
Level 1: SeMS procedures are in the early stages of development, with foundational elements established and ongoing progress toward formal documentation and consistent application. レベル1:SeMS手順は開発の初期段階にあり、基盤となる要素が確立され、正式な文書化と一貫した適用に向けて進行中である。
Level 2: SeMS procedures fully align with the SeMS Manual, are comprehensively documented, and consistently applied across all relevant areas. レベル2:SeMS手順がSeMSマニュアルと完全に整合し、包括的に文書化され、関連するすべての領域で一貫して適用されている。
Level 3: SeMS procedures are implemented at an advanced level, achieving the highest standards. These procedures proactively identify, mitigate, and manage security risks while fostering a culture of continuous improvement. レベル3:SeMS手順が上級レベルで実施され、最高標準を達成している。これらの手順は、継続的改善の文化を醸成しながら、セキュリティリスクを積極的に特定、緩和、管理している。
A Shift to Proactive Security Management プロアクティブなセキュリティ管理へのシフト
IATA’s SeMS Certification program is part of a comprehensive IATA SeMS adoption strategy that also includes: IATAのSeMS認証プログラムは、以下を含む包括的なIATA SeMS導入戦略の一環である:
A SeMS Community, where individuals can learn and receive insights about SeMS principles and test their knowledge. SeMSコミュニティ:SeMSの原則について学び、見識を深め、知識を試すことができる。
Self-Assessment Tools, to help organizations evaluate how well they understand and apply SeMS principles, ensuring they are prepared for the certification process. 自己アセスメントツール:組織がSeMSの原則をどの程度理解し、適用しているかを評価するのに役立ち、認証プロセスへの準備を確実にする。
Expanded Security Management Requirements, requiring IOSA-registered airlines, starting in January 2025, to oversee that their external service providers—including ground handling, security, and catering—implement SeMS in accordance with the updated IOSA Standards Manual Edition 17. IOSA登録航空会社は2025年1月から、グランドハンドリング、セキュリティー、ケータリングを含む外部サービス・プロバイダーが、更新されたIOSAスタンダード・マニュアル第17版に従ってSeMSを導入していることを監督することを義務付けられる。
"IATA’s SeMS Certification, education initiatives, self-assessment tools and expanded security management requirements are part of a comprehensive strategy to improve security with a proactive and risk-based approach. This is a step beyond compliance to create a culture of continuous improvement across the entire supply chain," said Careen. 「IATAのSeMS認証、教育イニシアティブ、自己アセスメントツール、セキュリティマネジメント要件の拡大は、プロアクティブかつリスクベースのアプローチでセキュリティを改善する包括的な戦略の一環である。これは、コンプライアンスを超えて、サプライチェーン全体で継続的に改善する文化を創造するための一歩である。
> Talk to an IATA Certification expert and learn more about SeMS > IATA認証の専門家に相談し、SeMSの詳細を学ぶ

 

全体...

 

Security Management System (SeMS)

 

マニュアル(第8版:有料)

Security Management System Manual (SeMS)

 

認証制度

Security Management System (SeMS) - Empowering security within your organization: Unlock the potential of SeMS

 

情報...

・[PDF] Security Management Systems (SeMS) Key Information for Industry

 

 

日本航空株式会社

・2025.04.10 JAL、 IATAから航空保安管理の国際認証を取得

・2025.04.10 JAL Achieves International Certification for Aviation Security Management System from IATA

・[PDF] JP EN

20250414-8592120250414-90039

 

 

 

 

 

| | Comments (0)

2025.04.12

CSA STAR for AI 関係...

こんにちは、丸山満彦です。

Cloud Security Allianceが、AIのための監査プログラム(STAR for AI)を検討していますが、検討参加の締め切りが近づいているので...

検討に参加したい人は4月28日までに...

ちなみに、STARは Security, Trust, Assurance & Risk (セキュリティ、信頼、保証、リスク)の略ですね...、

 

考えることはだいたい似ています(^^)...

 

Cluod Security Alliance

An Urgent Need for AI Security Assurance

STAR Program for AI STAR Program for AI
Building AI trust upon STAR’s proven foundations STARの実証された基盤の上にAIの信頼を築く
An Urgent Need for AI Security Assurance AIセキュリティ保証の緊急ニーズ
“We all know we are playing with fire - everyone is trapped in this prisoner’s dilemma. Nobody is willing to stop the race to Superintelligence. Some believe that regulations are premature and potentially harmful. Others believe that in the absence of them, we’ll quickly lose control of society as we know it and go down the path of a dystopian future.”  「我々は皆、火遊びをしていることを知っている。誰もがこの囚人のジレンマに陥っている。誰も超知能への競争を止めようとはしない。規制は時期尚早であり、潜在的に有害であるという意見もある。ある者は、規制は時期尚早であり、有害である可能性があると考え、またある者は、規制がなければ、われわれが知っているような社会の制御をたちまち失い、ディストピア的な未来への道を歩むことになると考えている。
- Daniele Catteddu, CTO, CSA - CSA、CTO、Daniele Catteddu
We have firmly embedded generative AI technologies into our organizations and personal lives, and adoption is only increasing from there. However, at the same time, people face uncertainty and distrust with AI. No common standard exists. Various groups are slowly building AI frameworks, but their pace clashes with the light-speed progress of AI. 私たちは生成的AI技術を組織や個人生活にしっかりと組み込んでおり、そこから採用は増える一方だ。しかし同時に、人々はAIに対する不確実性と不信感に直面している。共通の標準は存在しない。様々なグループがAIの枠組みを少しずつ構築しているが、そのペースはAIの光速の進歩と衝突している。
Launched in 2011, CSA’s Security, Trust, Assurance & Risk (STAR) program is the industry’s most powerful program for security assurance, listing over 3,400 cloud provider security assessments in its publicly-available registry. Worldwide, organizations rely on STAR entries as an indicator of cloud service trustworthiness. This framework is the perfect medium for bringing stability to the chaotic realm of AI. 2011年に開始されたCSAのセキュリティ、トラスト、アセスメント&リスク(STAR)プログラムは、セキュリティ保証のための業界で最も強力なプログラムであり、一般公開されているレジストリに3400以上のクラウドプロバイダのセキュリティ評価が登録されている。世界中の企業が、クラウドサービスの信頼性を示す指標としてSTARのエントリーを信頼している。この枠組みは、AIという混沌とした領域に安定性をもたらすのに最適な媒体である。
CSA is expanding the STAR program to include assurance for AI. STAR for AI will pull from the Cloud Controls Matrix (CCM) and other existing auditing standards to deliver a security framework and certification program for AI services, as soon as possible. This will provide AI companies, cloud providers, and enterprise users with an authoritative mechanism to measure AI trustworthiness. CSAはSTARプログラムを拡張し、AIの保証を含める。STAR for AIは、Cloud Controls Matrix(CCM)やその他の既存の監査標準を活用し、AIサービス向けのセキュリティフレームワークと認証プログラムを早急に提供する。これにより、AI企業、クラウドプロバイダー、エンタープライズユーザーに、AIの信頼性を測定する権威あるメカニズムを提供する。
What Are We Building? 何を構築するのか?
AI Controls Matrix AI Controls Matrix
A framework of control objectives to support the secure and responsible development, management, and use of AI technologies. Draws from the Cloud Controls Matrix (CCM), ISO/IEC 42001, ISO 27001, and more.  AI技術の安全で責任ある開発、管理、利用をサポートするための管理目標の枠組み。クラウドコントロールマトリックス(CCM)、ISO/IEC 42001、ISO 27001などから引用している。
AI Safety Pledge AI Safety Pledge
A list of high-level AI safety principles for companies to pledge to support. Serves as a stepping stone to the broader certification program and draws from the AI Controls Matrix. 企業が支持を表明するためのハイレベルなAI安全原則のリスト。より広範な認証プログラムへの足がかりとなるもので、AI Controls Matrixを活用している。
AI Auditing Scheme AI Auditing Scheme
Conformity assessment mechanisms to evaluate the adherence of AI services to the AI Controls Matrix. Possible approaches include self-assessment, third-party audit, continuous controls monitoring, and AI auditing. AIサービスのAIコントロール・マトリックスへの準拠を評価するための適合性評価メカニズム。自己アセスメント、サードパーティ監査、継続的管理モニタリング、AI監査などのアプローチが考えられる。
AI Safety Certification Program AI Safety Certification Program
A certification service delivered via the cloud that will leverage the AI Controls Matrix and live on the CSA STAR Registry. AI Controls Matrixを活用し、CSA STAR Registry上で稼働するクラウド経由で提供される認証サービス。
Stay Informed 情報提供
People around the world are calling for the prompt regulation of AI services. CSA has taken up the mantle to deliver.  世界中の人々がAIサービスの迅速な規制を求めている。CSAはそれを実現するためにマントルを引き受けた。
Fill out this form to stay updated as we develop STAR for AI. Be the first to hear about new calls for participation, peer reviews, and releases. After submitting, you’ll get access to additional resources to explore the initiative further. このフォームに入力すると、AI向けSTARの開発に関する最新情報を入手できる。新しい参加募集、ピアレビュー、リリースに関する情報をいち早くお届けする。送信すると、このイニシアチブをさらに探求するための追加リソースにアクセスできるようになる。

 

ブログ...

・2025.01.29 Can GenAI Services Be Trusted? | At the Discovery of STAR for AI

 

Can GenAI Services Be Trusted? | At the Discovery of STAR for AI GenAIサービスは信頼できるか?| GenAIのサービスは信頼できるのか|AIのためのSTARの発見
Written by Daniele Catteddu, Chief Technology Officer, CSA. CSA最高技術責任者、Daniele Cattedduが書いた。
Whenever new technologies are introduced into our personal lives, organizations, or even society as a whole, we always ask the same question: Can I trust it? 新しいテクノロジーが私たちの個人生活や組織、あるいは社会全体に導入されるとき、私たちはいつも同じ質問をする: それは信頼できるのか?
Most recently, how many of us have asked ourselves whether, how, and within which limits we can trust LLM/GenAI services and their providers? This is a legitimate question, given that we are faced with an innovation that holds the potential to transform our lives profoundly. Policymakers and regulators seem to be grappling with similar concerns. Meanwhile, GenAI service providers are asking: How can we earn the trust of our customers, policymakers, regulators, and markets? 最近では、LLM/GenAIのサービスやそのプロバイダを信頼できるのか、どのように、どの範囲内で信頼できるのか、どれだけの人が自問しているだろうか。私たちの生活を大きく変える可能性を秘めたイノベーションに直面していることを考えれば、これは正当な疑問である。政策立案者や規制当局も同様の懸念に取り組んでいるようだ。一方、GenAIサービス・プロバイダは、「どうすれば顧客、政策立案者、規制当局、市場のトラストを獲得できるのか?
The same question was posed during the early days of cloud computing: Can I trust the cloud? Back then, the Cloud Security Alliance (CSA) brought together the expertise of providers, customers, auditors, and regulators to address the complex matters of trust and assurance in cloud computing, and we created the STAR Program. Building on that experience, CSA has introduced STAR for AI—a pioneering initiative inspired by those early days of cloud computing. クラウド・コンピューティングの黎明期にも同じ問いが投げかけられた: クラウドは信頼できるのか?当時、クラウド・セキュリティ・アライアンス(CSA)は、プロバイダ、顧客、監査人、規制当局の専門知識を結集して、クラウド・コンピューティングにおける信頼と保証の複雑な問題に取り組み、STARプログラムを創設した。その経験に基づき、CSAは、クラウド・コンピューティングの黎明期に着想を得た先駆的な取り組みであるSTAR for AIを導入した。
I’m Daniele Catteddu, CTO at CSA and Co-Founder of the STAR Program. In this blog, I will discuss current GenAI services governance, trust, risk management, and compliance challenges and will introduce the STAR for AI initiative that aims to establish a standard for GenAI services assurance. 私はCSAのCTOであり、STARプログラムの共同創設者であるDaniele Cattedduだ。このブログでは、現在のGenAIサービスのガバナンス、トラスト、リスクマネジメント、コンプライアンスの課題について説明し、GenAIサービス保証の標準確立を目指すSTAR for AIイニシアチブについて紹介する。
What does it mean for a GenAI service provider to be trustworthy? GenAIサービスプロバイダが信頼に足るとはどういうことか?
Or even better, what does it mean for a GenAI service to be trustworthy? あるいはそれ以上に、GenAIサービスが信頼に足るとはどういうことか?
For our purpose, we’ll define a Trustworthy GenAI Service as one that is committed to serving humanity responsibly and ethically via safe technologies. 我々の目的のために、信頼できるGenAIサービスとは、安全なテクノロジーを通じて、責任を持って倫理的に人類に奉仕することにコミットしているものと定義する。
It is offered by a system that is robust, reliable, resilient, explainable, controllable, transparent, accountable, protects privacy, fosters fairness, and complies with all applicable laws and regulations. それは、堅牢で、信頼性があり、レジリエンシーがあり、説明可能で、制御可能で、透明性があり、説明責任を果たし、プライバシーを保護し、公平性を育み、適用法および規制を遵守するシステムによって提供される。
Back in the early days of cloud computing, the challenges were: クラウド・コンピューティングの黎明期には、次のような課題があった:
・The introduction of a new business and technological paradigm (someone else’s computer syndrome) ・新しいビジネスと技術のパラダイムの序文(他人のコンピューター症候群)
・Confusion on how to govern data (where is my data in the cloud obsession) ・データをどのようにガバナンスするかについての混乱(クラウドの中の私のデータはどこにあるのかという強迫観念)
・Confusion on how to govern new categories of services (SaaS Governance nightmare) ・新しいカテゴリーのサービスをどのようにガバナンスするかについての混乱(SaaSガバナンスの悪夢)
・Confusion about how to use and integrate the new technology and services into existing platforms and whether to revolutionize existing habits, systems, and platforms based on the new technology ・新しいテクノロジーとサービスをどのように利用し、既存のプラットフォームに統合するか、また既存の習慣を変革するかどうかについての混乱、 
・Confusion in the legal and regulatory landscape ・法規制の混乱
・Lack of standards (both technical and assurance/quality standards) and need to retrofit existing ones ・標準(技術標準と保証・品質標準の両方)の欠如と既存標準の改修の必要性
For AI, the situation appears to be similar in many ways, with a few notable differences. The paradigm shift does not only affect businesses and technologies; it goes deeper into the very fabric of our society and personal lives. The new syndrome is not someone else’s computer but someone else’s (else’s) brain. The risk of over-reliance on the AI Oracle did not exist with the cloud. AIについては、いくつかの顕著な違いはあるものの、状況は多くの点で類似しているようだ。パラダイムシフトは、ビジネスやテクノロジーに影響を与えるだけでなく、私たちの社会や個人生活そのものに深く入り込んでいる。新しい症候群は、他人のコンピューターではなく、他人の(他人の)脳である。AIオラクルに過度に依存するリスクは、クラウドには存在しなかった。
We have the same confusion regarding data governance (the obsession with “who is using my data for training?”) and service governance (How to prevent errors, abuses, and unwanted uses? How to understand what is real and what is fake? What is human vs. AI-generated? Shadow-AI paranoia, Evil-GTP fear, soon-to-be Evil AI Agent fear). データガバナンス(「誰が私のデータをトレーニングに使っているのか」というこだわり)やサービスガバナンス(エラーや乱用、望まない利用をどう防ぐか)に関しても、同じような混乱がある。何が本物で何が偽物かを理解するにはどうすればいいか?人間対AI生成的とは何か?シャドーAIパラノイア、Evil-GTPの恐怖、もうすぐ登場するEvil AI Agentの恐怖)。
Similarly, many organizations face uncertainty, ranging between full embracement, timid acceptance, refusal, and complete denial. 同様に、多くの組織は、完全な受け入れ、臆病な受け入れ、拒否、完全な否定の間の不確実性に直面している。
Should I stay or should I go? The same old-school human resistance to change and legacy problem, exacerbated by the much stronger disruptive potential of GenAI compared to the cloud and mitigated by the substantially more advanced capabilities offered by GenAI. 残るべきか、去るべきか?変化やレガシー問題に対する昔ながらの人間の抵抗は、クラウドと比較してGenAIの破壊的潜在力がはるかに強いために悪化し、GenAIが提供する実質的により高度な機能によって緩和される。
What’s the current state of AI security assurance and trust? AIのセキュリティ保証と信頼の現状は?
The political, legal and regulatory landscape is tough. The geo-strategic interests at stake are at a scale humanity has seen only during the nuclear race during WW2. Acknowledging GenAI as a potential existential threat underscores the urgency of robust governance. However, I recognize that framing it in terms of the nuclear race may hinder productive dialogue by evoking a zero-sum, adversarial mindset. Instead, GenAI's risks should be addressed through a combination of cooperative international agreements, transparent development practices, and enforceable safety standards. 政治、法律、規制の状況は厳しい。地政学的な利害が絡んでおり、人類が第2次世界大戦中の核開発競争でしか見たことのない規模だ。GenAIを潜在的な脅威と認識することは、強固なガバナンスの緊急性を強調する。しかし、核開発競争という観点からこの問題をとらえることは、ゼロサム的で敵対的な考え方を想起させ、生産的な対話を妨げる可能性があることを私は認識している。その代わりに、GENAIのリスクは、協力的な国際協定、透明性のある開発慣行、強制力のある安全標準の組み合わせを通じて対処されるべきである。
We all know we are playing with fire - everyone is trapped in this prisoner’s dilemma. Nobody is willing to stop the race to Superintelligence. Some believe that regulations are premature and potentially harmful. Others believe that in the absence of them, we’ll quickly lose control of society as we know it and go down the path of a dystopian future. 囚人のジレンマに陥っているのだ。誰もがこの囚人のジレンマに陥っているのだ。誰も超知能への競争を止めようとはしない。規制は時期尚早であり、潜在的に有害だと考える者もいる。また、規制がなければ、私たちが知っているような社会のコントロールはたちまち失われ、ディストピア的な未来への道を歩むことになると考える人もいる。
The EU, China, and Brazil have already adopted regulations: the EU AI Act, Generative AI Regulations (e.g. Measures for the Administration of Generative Artificial Intelligence Services) and Brazilian AI Bill, respectively. The EU AI Act, which I know a bit better, aims to strike a good balance between innovation, safety, and accountability. At the same time, the USA government appears to espouse a self-regulatory approach. In between, there are several other countries in the process of figuring out the principles and laws to rule and guide the transition toward a new AI-driven society. EU、中国、ブラジルはすでに、それぞれEU AI法、生成的AI規則(生成的人工知能サービス管理措置など)、ブラジルAI法案という規制を採用している。EUのAI法は、イノベーション、安全性、説明責任のバランスを取ることを目的としている。同時に、アメリカ政府は自主規制的なアプローチを支持しているようだ。その中間には、新しいAI駆動型社会への移行をルール化し導くための原則や法律を見つけ出そうとしている国がいくつかある。
In the background, there is also a battle between parts of the scientific community. One side has the urge to slow down, or even pause, the exponential progress of AI until we have more solid solutions to the alignment problem. Others firmly believe we need to immediately commercialize these new technologies to build an AI-aware society and favor the embracement of the positive effect of GenAI. その背景には、科学界の一部による争いもある。一方は、アライメント問題に対するより確かな解決策が得られるまで、AIの指数関数的な進歩を遅らせたい、あるいは一時停止させたいという衝動に駆られている。他方では、AIを意識した社会を構築するためには、これらの新技術を直ちに商業化する必要があると固く信じており、GenAIのポジティブな効果を受け入れることを支持している。
The standards are clearly in their infancy. We are slowly building the vocabularies and taxonomies to understand each other. However, we can anticipate that the consensus-building exercise that stands behind the standard creation seems to clash with the light-speed progress of AI technologies and the continuous release of solutions. 標準は明らかに初期段階にある。互いを理解するための語彙や分類法が徐々に構築されつつある。しかし、標準作成の背後にある合意形成の運動は、AI技術の光速の進歩や継続的なソリューションのリリースと衝突するように思えることが予想される。
Someone could summarize the situation as a bit chaotic... この状況を、ちょっと混沌としている......と表現する人がいるかもしれない。
What is CSA going to do about it? CSAはどうするのか?
In this chaos, at CSA, we decided to use the same principles, tips, and tricks that proved useful for cloud computing assurance to build an approach that can offer a solid, robust, understandable, and measurable “something” —a starting point— to reiterate and improve continuously. Over time, CSA hopes to achieve a better approximation of the measure of trustworthiness of the AI services that we’ll consume. この混沌の中で、CSAでは、クラウド・コンピューティングの保証に有用であることが証明されたのと同じ原則、ヒント、トリックを使用して、反復し、継続的に改善するための、堅実で、強固で、理解可能で、測定可能な「何か」(出発点)を提供できるアプローチを構築することにした。時間をかけて、CSAは、我々が利用するAIサービスの信頼性の尺度のより良い近似値を達成したいと考えている。
This little “something” we are building is called STAR for AI. For those not familiar with CSA, STAR is the acronym for Security, Trust, Assurance, and Risk. STAR is CSA’s program for cybersecurity assurance, governance, and compliance, and its initial focus and scope was cloud computing. 我々が構築しているこの小さな「何か」は、STAR for AIと呼ばれている。CSAをよく知らない人のために説明すると、STARはSecurity(セキュリティ)、Trust(信頼)、Assurance(保証)、Risk(リスク)の頭文字をとったものだ。STARはサイバーセキュリティの保証、ガバナンス、コンプライアンスのためのCSAのプログラムで、当初はクラウド・コンピューティングに焦点を当てていた。
In the cloud computing industry, the STAR program is widely used as an indicator of cloud service trustworthiness, both in the private and public sector domains. For instance, some countries like Italy officially use it as a mechanism of adherence to national requirements for the public sector and critical infrastructures. クラウド・コンピューティング業界では、STARプログラムはクラウド・サービスの信頼性を示す指標として、民間・公共セクターを問わず広く利用されている。例えば、イタリアのように、公的部門や重要インフラに対する国家要件の遵守を示すメカニズムとして公式に使用している国もある。
And we hope to achieve the same success with our latest initiative. そして我々は、最新のイニシアチブでも同様の成功を収めたいと考えている。
STAR for AI will focus on Multimodal GenAI services and consider their overall value chain. This means the evaluation will have within its scope one or more of the following components: STAR for AIは、マルチモーダルなGenAIサービスに焦点を当て、そのバリューチェーン全体を検討する。これは、評価の範囲に以下の構成要素の1つ以上が含まれることを意味する:
1) Cloud / Processing Infra / GenAI Operations, 2) Models, 3) Orchestrated Services, 4) Applications, and 5) Data (for reference please read the CSA LLM Threat Taxonomy). 1) クラウド/処理インフラ/GenAIオペレーション、2) モデル、3) オーケストレーテッド・サービス、4) アプリケーション、5) データ(参考のため、CSA LLM脅威分類法をお読みください)。
Additionally, the program will evaluate the security of AI service usage. さらに、このプログラムでは、AIサービス利用のセキュリティを評価する。
Our goal is to create a trustworthy framework for key stakeholders to demonstrate safety and security, whether they are a Gen-AI frontier model owner, (added-value) AI service developers and providers, or AI services business users. 我々の目標は、主要なステークホルダーが、Gen-AIフロンティアモデルオーナー、(付加価値のある)AIサービス開発者やプロバイダ、AIサービスビジネスユーザーのいずれであっても、安全性とセキュリティを実証するための信頼できる枠組みを構築することである。
The program will focus on technical and governance aspects related to cybersecurity. Additionally, it will cover aspects of safety, privacy, transparency, accountability, and explainability as far as they relate to cybersecurity. このプログラムは、サイバーセキュリティに関連する技術的側面とガバナンスの側面に焦点を当てる。さらに、サイバーセキュリティに関連する限りにおいて、安全性、プライバシー、透明性、説明責任、説明可能性の側面もカバーする。
The audit and evaluation approach will be risk-based, i.e., the suitability of the controls in place will be established based on the risks to which the service is exposed. The risk-based approach will ensure the audit and evaluation process is relevant to the context and use case. 監査と評価のアプローチは、リスクベース、すなわち、サービスがさらされているリスクに基づいて、実施されているコントロールの適切性が確立される。リスクベースのアプローチは、監査・評価プロセスがコンテキストとユースケースに関連していることを保証する。
The program will leverage existing auditing and accreditation standards, which might be AI-specific (e.g., ISO/IEC 42001-2023) or more general (ISO27001, ISO17021, 17065, etc.). It will include both point-in-time and continuous auditing. このプログラムは、AIに特化した標準(ISO/IEC 42001-2023など)またはより一般的な標準(ISO27001、ISO17021、17065など)の既存の監査・認定標準を活用する。これには、ポイント・イン・タイム監査と継続的監査の両方が含まれる。
Introducing the AI Controls Matrix AIコントロール・マトリックスの導入
As a first step, we are establishing a control framework for GenAI service security. The framework is open, expert-driven, consensus-based, and vendor-agnostic. Its ambition is to repeat and improve on the success of the Cloud Controls Matrix and become an industry de facto standard. 第一段階として、GenAIサービス・セキュリティのためのコントロール・フレームワークを確立する。この枠組みは、オープンで、専門家主導で、コンセンサスに基づき、ベンダーにとらわれない。このフレームワークは、クラウドコントロールマトリックスの成功を繰り返し、改善し、業界のデファクトスタンダードとなることを目指している。
The framework is called the CSA AI Controls Matrix (AICM). この枠組みはCSA AI Controls Matrix(AICM)と呼ばれている。
We released it for peer review just before the end of 2024, hoping to offer our community a present for the beginning of the new year. 我々は、2024年末の直前にピアレビューのためにこのフレームワークをリリースした。
The initial version of AICM was designed to follow common sense principles of trustworthiness. We defined a taxonomy, created threat scenarios, and identified control objectives to mitigate the threats. The AI control objectives were framed in the CSA Cloud Control Matrix’s template and structure. We leveraged the strengths of the CCM model, and customized and improved where necessary. The team of volunteers contributing includes experts from industry, academia, and governmental bodies. Needless to say we also used the support of GenAI tools. AICMの初期バージョンは、信頼性の常識的な原則に従って設計された。我々は分類法を定義し、脅威シナリオを作成し、脅威を緩和するための制御目標を特定した。AIの管理目標は、CSAクラウド・コントロール・マトリックスのテンプレートと構造で組み立てられた。我々はCCMモデルの長所を活用し、必要に応じてカスタマイズと改善を行った。貢献したボランティアチームには、産業界、学界、政府団体の専門家が含まれている。GenAIツールのサポートも活用したことは言うまでもない。
The current version of the AICM is structured in 18 domains. 17 are in common with the CCM, plus the addition of the Model Security Domain. There are 242 control objectives (37 of them AI-specific, 183 relevant to both AI and cloud, and 22 cloud-specific). AICMの現在のバージョンは、18のドメインで構成されている。17はCCMと共通で、加えてモデル・セキュリティ・ドメインが追加されている。242の管理目標がある(そのうち37はAI固有、183はAIとクラウドの両方に関連、22はクラウド固有)。
This is our first call for action. If you care about AI service trustworthiness and/or are a subject expert on the matter, you should review the current draft of the AICM and contribute to improving it. It might seem like a hyperbole, but having your name on the standard that will design the boundaries of GenAI service trustworthiness, means leaving a legacy in history. これは、私たちが最初に呼びかける行動である。もしあなたがAIサービスの信頼性に関心があり、かつ/またはこの問題の専門家であるならば、AICMの現在のドラフトを見直し、改善に貢献すべきである。大げさに思えるかもしれないが、GenAIサービスの信頼性の境界を設計する標準にあなたの名前を載せることは、歴史に遺産を残すことを意味する。
Determining assessment mechanisms アセスメントメカニズムの決定
The other foundational component of STAR for AI is the auditing scheme, the conformity assessment mechanisms that will be used to evaluate the adherence of a given GenAI service to the AICM requirements. STAR for AIのもう一つの基礎となるコンポーネントは、監査スキームであり、与えられたGenAIサービスがAICM要件に準拠しているかどうかを評価するために使用される適合性評価メカニズムである。
With the support of the auditing and assurance community, in 2024 we started to reason about the mechanisms fit for GenAI service cyber assurance evaluation. More in general, we started a discussion on the impact of AI on auditing and the future of assurance and trustworthiness. 監査・保証コミュニティの支援により、2024年に我々はGenAIサービスのサイバー保証評価に適したメカニズムについて推論を開始した。より一般的には、AIが監査に与える影響、保証と信頼性の将来についての議論を開始した。
We are exploring options. Several possible approaches are considered for use. Some are already existing and standardized (self-assessment, third-party audit, etc.), others are under development (continuous controls monitoring/auditing), and others might be introduced as a result of new technologies or new technical needs (e.g., Gen AI Auditing/Assessment). 我々は選択肢を模索している。いくつかの可能性のあるアプローチを使用することを検討している。すでに存在し標準化されているもの(自己評価、サードパーティ監査など)、開発中のもの(継続的な統制モニタリング/監査)、新技術や新たな技術的ニーズの結果として導入される可能性のあるもの(Gen AI Auditing/Assessmentなど)などがある。
Here comes our second call for action, and once again, it involves you taking a step forward, being a thought leader, and contributing to shaping the future of cyber assurance. If you would like to be involved in the creation of the auditing scheme, please get in touch. また、新技術や新たな技術的ニーズの結果として導入される可能性のあるものもある(例:Gen AI監査/評価)。ここでもまた、あなたが一歩を踏み出し、オピニオンリーダーとして、サイバーアシュアランスの未来を形作ることに貢献することが求められている。監査スキームの構築に関わりたい方は、ぜひご連絡いただきたい。
An urgent call to action 緊急の呼びかけ
Why are we building STAR for AI? Simple: Within our community, there’s a background voice that is increasing in volume by the second. It quickly became a scream. What we hear is a request to support the controlled adoption of GenAI services and the governance of its cybersecurity and safety. We need a mechanism to measure trustworthiness, and CSA is strategically committed to delivering such a solution. なぜ我々はAIのためのSTARを構築しているのか?単純なことだ: 我々のコミュニティーの中で、刻一刻とそのボリュームを増している背景の声がある。それはすぐに悲鳴となった。私たちが耳にするのは、GenAIサービスの制御された導入と、そのサイバーセキュリティと安全性のガバナンスをサポートしてほしいという要望だ。信頼性を測定するメカニズムが必要であり、CSAはそのようなソリューションを提供することに戦略的にコミットしている。
To conclude, there is growing urgency in the market to establish reliable assurance and compliance mechanisms for governing GenAI services. This challenge is particularly complex as it intersects with broader ethical considerations and complex technology. 結論として、GenAIサービスをガバナンスするための信頼できる保証とコンプライアンスのメカニズムを確立することが市場で急務となっている。この課題は、より広範な倫理的考察や複雑なテクノロジーと交差するため、特に複雑である。
We face a notable paradox: even as we work to define parameters and metrics for GenAI trustworthiness, these technologies are already embedded in our organizations and personal lives. Adoption is only accelerating as organizations recognize the opportunities GenAI creates. Moreover, we are increasingly relying on GenAI tools for assessment and auditing processes, including autonomous decision-making. This creates the potential situation where we might depend on a technology to evaluate its own trustworthiness before we have established reliable methods to measure the integrity of the decisions the technology may take without human intervention. 我々がGenAIの信頼性のパラメータと測定基準を定義しようと努力している間にも、これらのテクノロジーは既に我々の組織や個人生活に組み込まれている。GenAIが生み出す機会を組織が認識するにつれ、採用は加速する一方だ。さらに、自律的な意思決定を含むアセスメントや監査プロセスにおいて、GenAIツールへの依存度が高まっている。このことは、人間の介入なしにテクノロジーが行う意思決定の完全性を測定する信頼できる方法が確立される前に、テクノロジー自身の信頼性を評価するためにテクノロジーに依存する可能性があるという状況を生み出す。
While this situation doesn't call for panic, it does demand urgent attention. I encourage all of you to contribute your expertise to the STAR for AI initiative to help address these critical challenges. この状況はパニックを引き起こすものではないが、緊急の注意が必要である。このような重大な課題に対処するため、STAR for AIイニシアティブに専門知識を提供していただきたい。

 

・2025.02.17 AI Controls Matrix

公開期間がおわったので、今はみられません...

 

20250412-63724

 

 

 

| | Comments (0)

2025.04.09

米国 一般調達局 FedRAMP 20X (2025.03.24)

こんにちは、丸山満彦です。

2024年にFedRAMPのプロセスが改訂され、FedRAMP 20Xに変わっていきますよね...

FedRAMP認可には費用も時間もかかりすぎる...ということでの改革ですね。 日本もFedRAMPを参考にISMAPを作っているので、同じ方向で改善していくのがよいのでしょうね...

ポイントは評価の自動化です...

 

U.S. General Services Administration

1_20250409061101

 

・2025.03.24 GSA announces FedRAMP 20x

U.S. General Services Administration 米国一般調達局
GSA announces FedRAMP 20x 一般調達局がFedRAMP 20xを発表
Implementing a new approach to accelerate cloud adoption クラウド導入を加速させる新たなアプローチを導入
WASHINGTON — The U.S. General Services Administration (GSA), a leader in providing tools and guidance to help federal agencies deliver seamless digital services to American taxpayers, announced today that the Federal Risk and Authorization Management Program (FedRAMPⓇ) will focus on working with industry to develop a new, cloud-native approach to authorizations. ワシントン - 連邦政府機関が米国の納税者にシームレスなデジタルサービスを提供するためのツールやガイダンスを提供するリーダーである米国一般調達局(GSA)は本日、連邦リスク・認可マネジメント・プログラム(FedRAMPⓇ)が業界と協力して認可に対する新たなクラウドネイティブ・アプローチの開発に注力することを発表した。
FedRAMP 20x will focus on innovating alternative approaches to make automated authorization simpler, easier, and cheaper while continuously improving security. The FedRAMP team will also continue to support traditional agency authorizations. FedRAMP 20xは、セキュリティを継続的に改善しながら、自動認可をよりシンプル、簡単、安価にするための代替アプローチの革新に重点を置く。FedRAMPチームは、従来の認可機関も引き続きサポートする。
“Since the start of this Administration, we’ve focused on improving government operations to make them more efficient and effective for every employee and the American taxpayer,” said GSA Acting Administrator Stephen Ehikian. “Our partnership with the commercial cloud industry needs serious improvement. Strengthening this relationship will help us fulfill our commitment to cutting waste and adopting the best available technologies to modernize the government’s aging IT infrastructure. FedRAMP 20x will give agencies access to the latest technology now — not months or years down the road.” 「ガバナンスの開始以来、我々は政府業務の改善に重点を置き、すべての職員と納税者にとってより効率的で効果的な政府業務を目指してきた。「商用クラウド業界とのパートナーシップは深刻な改善が必要だ。この関係を強化することは、無駄を削減し、政府の老朽化したITインフラを近代化するために利用可能な最善の技術を採用するという我々のコミットメントを果たすことにつながる。FedRAMP 20xは、数カ月後や数年後ではなく、今すぐに最新技術にアクセスできるようにする。
FedRAMP 20x is built on these core principles: FedRAMP 20x はこれらの基本原則の上に構築されている:
GSA will set the foundation for private sector innovation: FedRAMP will make it easier for cloud providers to follow modern security practices and show their leadership in developing secure cloud solutions for the government. FedRAMP will also hold public working groups to gather input from industry, ensure equal access to information, encourage pilot programs, and provide technical guidance before formal public comment and release. GSAは民間部門の技術革新の基礎を築く: FedRAMPは、クラウド・プロバイダが最新のセキュリティ慣行に従うことを容易にし、政府向けの安全なクラウド・ソリューションの開発においてリーダーシップを発揮できるようにする。FedRAMPはまた、業界からのインプットを集め、情報への平等なアクセスを確保し、パイロット・プログラムを奨励し、正式なパブリック・コメントとリリースの前に技術ガイダンスを提供するために、公開ワーキング・グループを開催する。
Cutting red tape through automation: FedRAMP is required for all federal agency cloud services, but getting approved currently involves a lot of paperwork and a slow manual process. FedRAMP 20x will reduce unnecessary paperwork and aim to automate as much of the process as possible to accelerate approvals in a cost efficient manner. 自動化によってお役所仕事を削減する: FedRAMPはすべての連邦政府機関のクラウド・サービスに義務付けられているが、現在、承認を得るには多くの書類作成と時間のかかる手作業が必要である。FedRAMP 20xでは、不必要なペーパーワークを削減し、可能な限りプロセスを自動化して、コスト効率の高い方法で承認を加速することを目指す。
Faster, more secure cloud adoption: Currently, it can take months or even years for a cloud provider to get FedRAMP approval, which slows down how quickly agencies can adopt new technology. FedRAMP 20x will simplify and clarify security requirements so that new cloud services can be approved in weeks instead of years. より迅速で安全なクラウド導入: 現在、クラウドプロバイダーがFedRAMPの承認を得るには数カ月から数年かかることもあり、そのため各省庁が新技術を採用するスピードが遅くなっている。FedRAMP 20x では、セキュリティ要件が簡素化・明確化されるため、新しいクラウド・サービスを数年ではなく数週間で承認できるようになる。
More flexibility and better collaboration: FedRAMP has traditionally acted as a middleman between agencies and cloud providers. FedRAMP 20x will build on existing trust and make it easier for providers and agencies to work together directly. より柔軟でより良いコラボレーション: FedRAMPは従来、省庁とクラウドプロバイダの仲介役として機能してきた。FedRAMP 20x は既存の信頼関係を基礎とし、プロバイダと各省庁が直接協力しやすくする。
“FedRAMP is a shared service that meets the critical needs of agencies government-wide,” said Technology Transformation Services Director and Deputy Commissioner of the Federal Acquisition Service Thomas Shedd. “We’re not just modernizing a process; we’re reimagining how federal cloud security can work and providing agencies the ability to determine their own risk posture. FedRAMP 20x represents our commitment to cutting through complexity, empowering innovation, and ensuring that security keeps pace with technological advancement. FedRAMP 20x will keep driving faster, smarter, and more customer-focused service for years to come.” 「FedRAMPは政府機関の重要なニーズを満たす共有サービスだ。「我々は単にプロセスを近代化するだけでなく、連邦政府のクラウドセキュリティのあり方を再構築し、各機関が自らのリスク態勢を決定する能力を提供している。FedRAMP 20xは、複雑さを克服し、イノベーションを強化し、セキュリティが技術の進歩に遅れないようにするという我々のコミットメントを表している。FedRAMP 20xは、今後何年にもわたって、より速く、よりスマートで、より顧客重視のサービスを推進し続けるだろう。
Some of the changes being made to further position the program where it belongs, at the pace of technology, include: FedRAMP20xは、今後何年にもわたり、より迅速でスマートな、より顧客重視のサービスを推進し続けるだろう:
・No federal agency sponsor needed for simple, low-impact service offerings ・シンプルで影響の少ないサービスの提供には、連邦政府機関のスポンサーは必要ない。
・No unnecessary or duplicative paperwork ・不要な書類作成や重複する書類作成がない
・Turn-key adoption for simple, cloud-native environments ・シンプルでクラウド・ネイティブな環境のためのターンキー採用
・Engineer-friendly security requirements that are easy to implement ・実装が容易なエンジニアフレンドリーなセキュリティ要件
・Authorization in weeks for most cloud offerings ・ほとんどのクラウド・オファリングの認可が数週間で完了
“As a member of the FedRAMP Board, I am incredibly excited about FedRAMP 20x,” said Chief Product Officer and Deputy Chief Information Officer, Product Delivery Service (PDS), in the Office of Information and Technology at the Department of Veterans Affairs Carrie Lee. “This transformative vision will streamline FedRAMP processes, leveraging automation and modern technologies to accelerate secure cloud adoption across federal agencies. By reducing authorization times from years to weeks and enhancing security postures through our modernization efforts, we are setting a new standard for efficiency and innovation. This initiative will lower vendor costs, increase competition, and build greater trust with industry. FedRAMP 20x is a game-changer, and I am proud to be part of this journey towards a more secure and efficient federal cloud landscape.” 「FedRAMP Boardのメンバーとして、FedRAMP 20xに大きな期待を寄せています」と、退役軍人省情報技術局のキャリー・リー最高製品責任者兼プロダクト・デリバリー・サービス(PDS)副最高情報責任者は述べた。「この変革的ビジョンは、自動化と最新技術を活用してFedRAMPプロセスを合理化し、連邦政府機関全体の安全なクラウド導入を加速する。認可にかかる時間を数年から数週間に短縮し、近代化の取り組みを通じてセキュリティ体制を強化することで、我々は効率性と革新性の新たな標準を打ち立てようとしている。このイニシアチブは、ベンダーのコストを下げ、競争を促進し、業界とのより大きな信頼を構築する。FedRAMP 20xはゲームチェンジャーであり、より安全で効率的な連邦政府のクラウド環境に向けたこの旅に参加できることを誇りに思う。
The private sector has already shared their excitement about FedRAMP 20x. FedRAMP stakeholders stated: 民間セクターはすでにFedRAMP 20xへの興奮を共有している。FedRAMP関係者は次のように述べている:
“Increased government efficiency and transformation are imperative for all agencies as they work to modernize legacy technology, streamline complex processes, and improve operations. GSA’s new approach is no exception… streamlining FedRAMP will expedite the adoption of secure, innovative technologies across government. We look forward to continuing to work closely with FedRAMP as an early adopter of FedRAMP 20x and accelerating our customers’ adoption of our solutions.” - From a Cloud Service Provider (CSP) 「レガシー・テクノロジーの近代化、複雑なプロセスの合理化、オペレーションの改善に取り組む中で、政府の効率性とガバナンスの改善はすべての政府機関にとって不可欠である。GSAの新しいアプローチも例外ではない...FedRAMPを合理化することで、政府全体で安全で革新的なテクノロジーの採用を促進することができる。我々は、FedRAMP 20xのアーリーアダプターとしてFedRAMPと緊密に協力し続け、顧客のソリューション採用を加速させることを楽しみにしている。」 - クラウド・サービス・プロバイダ(CSP)から
“We would appreciate the ability to make changes without bureaucracy.” - From a CSP "官僚的な手続きなしに変更できることを評価したい。」 - CSP から
“This is aligned to how compliance should be.” - From a CSP "コンプライアンスのあるべき姿に合致している。」 - CSPから
“The concept of government as consumers rather than approvers represents a fundamental shift.” - From an Industry Trade Association "政府が承認者ではなく、消費者であるというコンセプトは、根本的な転換を意味する。」 - 業界団体より
“It’s a step in the right direction.” - From a Third Party Assessment Association (3PAO) "正しい方向への一歩である」 - サードパーティ・アセスメント協会(3PAO)より
For more information about FedRAMP 20x, please visit fedramp.gov, read the FedRAMP 20x blog post or download the FedRAMP 20x industry engagement kit. FedRAMP 20x の詳細については、fedramp.gov を参照するか、FedRAMP 20x のブログ記事を読むか、FedRAMP 20x 業界エンゲージメント・キットをダウンロードしてください。
### ###
About GSA: GSA provides centralized procurement and shared services for the federal government. GSA manages a nationwide real estate portfolio of over 360 million rentable square feet, oversees more than $110 billion in products and services via federal contracts, and delivers technology services that serve millions of people across dozens of federal agencies. GSA’s mission is to deliver the best customer experience and value in real estate, acquisition, and technology services to the government and the American people. For more information, visit GSA.gov and follow us at @USGSA. GSA について: GSA は連邦政府に集中調達と共有サービスを提供している。GSAは、3億6,000万平方フィート以上の賃貸可能な全国的な不動産ポートフォリオを管理し、連邦政府との契約を通じて1,100億ドル以上の製品とサービスを監督し、数十の連邦政府機関にわたって数百万人にサービスを提供する技術サービスを提供している。GSAの使命は、不動産、取得、テクノロジー・サービスにおいて最高の顧客体験と価値を政府と米国民に提供することである。詳細については、GSA.govを参照し、@USGSAでフォローしてほしい。

 

 


 

 

FedRAMP

1_20250409061401

FedRAMP 20X

FEDRAMP 20X FEDRAMP 20X
FedRAMP 20x describes key goals for a new assessment process that will be designed by FedRAMP in collaboration with industry stakeholders and agency experts. Community Working Groups will drive industry innovation to provide the solution. FedRAMP 20x は、FedRAMP が業界の利害関係者や省庁の専門家と協力して設計する新たなアセスメント・プロセスの主要目標を示している。コミュニティ・ワーキング・グループが業界のイノベーションを推進し、ソリューションを提供する。
These five key goals include: これら5つの主要目標は以下の通りである:
1. Make it simple to automate the application and validation of FedRAMP security requirements. 1. FedRAMPセキュリティ要件の適用と妥当性確認を簡単に自動化する。
80%+ of requirements will have automated validation without the need to write a single word about how it works, compared to 100% of current controls requiring narrative explanations 説明的な説明を必要とする現行の管理手法が100%であるのに対して、80%以上の要件は、その仕組みについて一言も書く必要なく、自動的な妥当性確認が行われるようになる
Technical controls will make sense and match standard configuration choices 技術的な管理手法が理にかなったものとなり、標準的な構成の選択肢に合致するようになる
Industry will provide solutions and competition for varying business needs with FedRAMP aligning standards 業界は、FedRAMPが標準に整合することで、さまざまなビジネスニーズに対するソリューションと競合を提供するようになる
2. Leverage existing industry investments in security by inheriting best-in-class commercial security frameworks. 2. クラス最高の商用セキュリティ枠組みを継承することで、セキュリ ティに対する業界の既存の投資を活用する。
New documentation required for FedRAMP will be reduced to a few pages if companies provide existing security policies, change management policies, and other documentation 企業が既存のセキュリティ方針、変更管理方針、その他の文書を提供すれば、FedRAMP に新たに要求される文書は数ページに削減される
Community working groups will design optional templates that can be modified by companies to provide the foundation for remaining requirements with the approval of FedRAMP コミュニティのワーキンググループは、FedRAMP の承認を得て、企業が修正可能なオプションのテンプレートを設計し、残りの要件の基礎を提供する
Industry will provide tools to document complex technical systems by code, not narrative, that meet FedRAMP standards 業界は、FedRAMP 標準に適合する、説明ではなくコードによる複雑な技術システムを文書化するツールを提供する
3. Continuously monitor security decisions using a simple, hands-off approach. 3. シンプルなハンズオフアプローチを用いて、セキュリティの継続的なモニタリングを行う。
Industry partners will provide continuous simple standardized machine readable validation of the things that really matter 業界パートナーは、本当に重要な事柄について、シンプルで標準化された機械可読の妥当性確認を継続的に提供する
Automated enforcement and secure-by-design principles will prevent mistakes or bad decisions 自動化された実施とセキュアバイデザインの原則により、ミスや誤った決定を防止する
Community working groups will collaborate with FedRAMP to ensure a consistent approach across industry コミュニティのワーキンググループはFedRAMPと協力して、業界全体で一貫したアプローチを確保する
4. Build trust between industry and federal agencies by leaning into the direct business relationships between providers and customers. 4. プロバイダと顧客との間の直接的なビジネス関係に傾注することで、業界と連邦政府機関との間の信頼を構築する。
Cloud service providers and agencies will interact directly over established business channels to review and maintain security クラウド・サービス・プロバイダと連邦政府機関は、確立されたビジネス・チャネルを通じて直接対話し、セキュリティのレビューと維持を行う
Industry trade groups can band together to establish shared procedures that work best for them, or companies can set out alone, as long as minimum requirements set by FedRAMP are met 業界の業界団体は、FedRAMP が定める最低限の要件を満たす限り、結束して自社に最適な共有手順を確立することも、企業が単独で着手することもできる
Businesses will maintain control of their intellectual property and make their own decisions on how it can be shared 企業は知的財産の管理を維持し、その共有方法について自ら決定する
5. Enable rapid continuous innovation without artificial checkpoints that halt progress. 5. 進歩を止める人為的なチェックポイントを設けることなく、迅速で継続的なイノベーションを可能にする。
Industry will implement enforcement systems that ensure security is constantly in place; annual assessments will be replaced by simple automated checks 産業界は、セキュリティが常に確保されていることを保証する実施システムを導入する。毎年のアセスメントは、単純な自動チェックに取って代わられる
Significant changes that follow an approved established business process won’t require additional oversight 承認された確立されたビジネスプロセスに従った大幅な変更は、追加の監視を必要としない
Industry will help FedRAMP establish clear, consistent guidelines for making big changes that level the playing field between companies without ghost regulations 産業界は、FedRAMPが、幽霊のような規制なしに企業間の競争条件を平準化するような大きな変更を行うための明確で一貫したガイドラインを確立するのを支援する。

 

FedRAMP 20x Community Working Groups

 

FedRAMP 20x - Engagement

・・[PDF] FedRAMP 20x One Pager

20250409-62106

FedRAMP 20X FedRAMP 20X
FedRAMP 20x offers a cloudnative continuous security assessment that’s as simple as your cloud service offering. FedRAMP 20x は、クラウド・サービスと同じくらいシンプルな、クラウドネイティブな継続的セキュリティ・アセスメントを提供する。
FedRAMP 20x Overview FedRAMP 20x の概要
Modernization begins today. FedRAMP 2025 is a revolutionary approach to how government should engage with industry. We're removing blockers and streamlining processes for simpler, easier and cheaper cloud adoption. モダナイゼーションは今日から始まる。FedRAMP 2025は、政府が産業界とどのように関わるべきかについての画期的なアプローチである。クラウドの導入をよりシンプルに、より簡単に、より安価にするために、阻害要因を取り除き、プロセスを合理化する。
2025 Mission  2025 ミッション
FedRAMP is a government-wide program that sets the standards and policies to galvanize private innovation to create best-in-class secure cloud solutions. FedRAMPは政府全体のプログラムであり、民間のイノベーションを活性化し、クラス最高のセキュアなクラウド・ソリューションを生み出すための標準とポリシーを定める。
What’s Changing For Cloud Providers クラウドプロバイダーにとって何が変わるか
⦁ Agency sponsorship will not be necessary because authorization will be simple ⦁ 認可がシンプルになるため、行政機関のスポンサーシップは不要になる
⦁ Use existing security certifications to prove system security standards are met ⦁ システムのセキュリティ基準を満たしていることを証明するために、既存のセキュリティ認証を利用する
⦁ Choose what you want to offer and let the agency choose ⦁ 提供したいものを選択し、行政機関に選択させる
⦁ Authorizations will take weeks instead of months and years ⦁ 認可には数カ月や数年ではなく、数週間になる
⦁ Work independently with an agency after cloud offering adoption ⦁ クラウドオファーの採用後は、行政機関と独立して仕事をする
⦁ Continuous monitoring will be decentralized and will happen on your terms ⦁ 継続的な監視は非中央集権化され、顧客の条件で行われる
How Cloud Providers Will Benefit クラウドプロバイダーはどのような恩恵を受けるか
Reducing duplicative efforts and minimizing documentation saves you time and money 重複する取り組みを減らし、文書化を最小限に抑えることで、時間と費用を節約できる
Open forum for innovation to deliver cloud services for the American taxpayer 米国の納税者のためにクラウドサービスを提供するイノベーションのためのオープンフォーラム
Greater ROI for adding new services to the FedRAMP Marketplace quickly 新しいサービスをFedRAMPマーケットプレイスに迅速に追加することで、ROIがより大きくなる。

 

FedRAMP 20x Industry Engagement Kit

20250409-63156

 

FEDRAMP 20X FAQS

FedRAMP 20x FAQs FedRAMP 20x FAQs
What happens to the current FedRAMP process? 現在の FedRAMP プロセスはどうなるのか?
Cloud Service Providers and federal agencies may continue to work together to perform “sponsored” FedRAMP Agency Authorizations against traditional FedRAMP Rev5 baselines and FedRAMP will accept these authorizations until a formal end-of-life timeline is announced. This means: クラウド・サービス・プロバイダと連邦政府機関は、従来のFedRAMP Rev5ベースラインに対して「スポンサー付き」FedRAMP機関認可を実施するために協力し続けることができ、FedRAMPは、正式な終了時期が発表されるまで、これらの認可を受け入れる。これは、次のことを意味する:
The FedRAMP PMO and Board will not provide updated technical assistance or guidance for implementation of the Rev5 baselines after March 2025. FedRAMP PMO と理事会は、2025 年 3 月以降、Rev5 ベースラインの実施に関する最新の技術支援やガイダンスを提供しない。
The FedRAMP PMO will stop performing in depth “triple check” reviews of FedRAMP Rev5 packages after March 2025. Agencies will be expected to review the package in depth and make their own risk assessment without the opinion of the PMO. FedRAMP PMO は、2025 年 3 月以降、FedRAMP Rev5 パッケージの詳細な「トリプルチェック」レビューの実施を停止する。アセスメントは、PMOの意見なしに、パッケージを詳細にレビューし、独自のリスクアセスメントを行うことが期待される。
The FedRAMP PMO will halt the limited centralized continuous monitoring of former JAB-authorized FedRAMP Rev5 cloud service offerings after March 2025 and authorizing agencies will be responsible for monitoring. A Community Working Group will coordinate with industry to update this process. FedRAMP PMOは、2025年3月以降、旧JAB認可のFedRAMP Rev5クラウド・サービスの限定的な集中継続監視を停止し、作成機関が監視の責任を負う。コミュニティ・ワーキング・グループは、このプロセスを更新するために産業界と調整する。
What is FedRAMP 20x? FedRAMP 20xとは何か?
FedRAMP 20x is an initiative to partner with industry to build a cloud-native continuous security assessment that’s as simple as your cloud service offering - or as complex as needed. This new approach seeks to evaluate the outcomes of automated monitoring and enforcement of commercial security best practices to meet the minimum security requirement for federal information systems. FedRAMP 20xは、クラウド・ネイティブな継続的セキュリティ・アセスメントを構築するために、産業界と提携するイニシアティブである。この新しいアプローチは、連邦情報システムの最低セキュリティ要件を満たすために、商用セキュリティのベスト・プラクティスを自動監視・実施した結果を評価しようとするものである。
Why this and why now? なぜ今なのか?
We’ve heard your feedback that the FedRAMP authorization process is too expensive, time-consuming, and challenging. GSA is dedicated to bringing more cloud services to government while effectively managing risks. As part of the Trump-Vance transition towards increased government efficiency, we are transitioning away from costly, inefficient, manually compiled documentation and towards industry-led, data-driven security reporting. 我々は、FedRAMP認可プロセスがあまりにも高価で、時間がかかり、困難であるという意見を聞いてきた。ガバナンスは、リスクを効果的にマネジメントしながら、より多くのクラウド・サービスを政府に提供することに専念している。政府の効率化に向けたガバナンスの一環として、我々は、高価で非効率的な手作業で作成された文書から、業界主導のデータ主導のセキュリティ報告へと移行しつつある。
What are the next steps? When will FedRAMP 20x be implemented? 次のステップは何か?FedRAMP 20x はいつ実施されるのか?
Technical assistance and guidance for FedRAMP 20x will be formalized on a rolling basis as the pilot is validated by the Community Working Groups. Each piece of guidance will go through formal public comment before it is made official and open to use by industry and other agencies. FedRAMP 20x のための技術支援とガイダンスは、コミュニティ・ワーキング・グループによる試験的な妥当性確認が進むにつれて、順次正式化される予定である。各ガイダンスは、正式なパブリック・コメントを経てから、産業界や他の機関が利用できるようになる。
What about existing FedRAMP authorized cloud service offerings? 既存のFedRAMP認可クラウド・サービスはどうなるのか?
All currently authorized cloud service offerings will be designated as FedRAMP Rev. 4 or Rev. 5 Authorized until they update to a newer 2025 or higher baseline. 現在認可されているクラウド・サービスはすべて、新しい2025年またはより高いベースラインに更新されるまでは、FedRAMP Rev. 4またはRev. 5 Authorizedとして指定される。
I’m a new cloud provider. How do I get authorized today? 私は新しいプロバイダだ。どうすれば認可されるのか?
The only available route to FedRAMP authorization today is the Rev. 5 Agency Authorization path outlined on the FedRAMP website: [web] 現在FedRAMP認可を受けることができる唯一のルートは、FedRAMPのウェブサイト(web )で説明されているRev.5の認可機関パスである。
Will FedRAMP 20x remain the same in 2026, 2027, etc.? FedRAMP 20x は 2026 年、2027 年などでも変わらないのか?
FedRAMP will be continuously improved and updated on a yearly basis. FedRAMP 20x is initially focused on cloud-native software-as-a-service, deployed on an existing FedRAMP Authorized cloud service offering using entirely or primarily cloud-native services, with minimal or no third party cloud interconnections. FedRAMP は継続的に改善され、毎年更新される。FedRAMP 20xは当初、クラウド・ネイティブなSaaSに焦点を当て、既存のFedRAMP認可クラウド・サービス上に展開され、クラウド・ネイティブなサービスを完全に、あるいは主に使用し、サードパーティーのクラウド相互接続は最小限、あるいは全くないものとする。
What if I’m not able to join a Community Working Group? Can I still provide feedback? コミュニティ・ワーキンググループに参加できない場合はどうすればよいのか?それでもフィードバックを提供できるか?
Absolutely; while the Community Working Groups will work to validate initial ideas and encourage adoption, there will be an opportunity to share your feedback on any draft guidance during the formal public comment period. This approach allows room for continuous iterations before the first phase of FedRAMP 2025 launches. コミュニティ・ワーキンググループは、初期のアイデアを妥当性確認し、採用を促進するために活動するが、正式なパブリックコメント期間中に、ドラフトガイダンスに対するフィードバックを共有する機会が設けられる。このアプローチにより、FedRAMP 2025の第一段階が開始される前に、継続的な反復を行う余地が生まれる。
How will it work for a cloud service provider currently in the authorization pipeline? 現在認可パイプラインにあるクラウド・サービス・プロバイダにとってはどうなるのか?
Cloud service providers and federal agencies may continue to work together to perform “sponsored” FedRAMP Agency Authorizations against traditional FedRAMP Rev. 5 baselines and FedRAMP will accept these authorizations until a formal end-of-life timeline is announced. However, FedRAMP will not provide updated technical assistance or guidance for implementation of the Rev. 5 baselines. Agencies will be expected to review the package in depth and independently make their own risk assessment. クラウド・サービス・プロバイダと連邦政府機関は、従来のFedRAMP Rev.5ベースラインに対して「スポンサー付き」FedRAMP機関認可を実施するために協力し続けることができ、FedRAMPは正式な終了時期が発表されるまでこれらの認可を受け入れる。しかし、FedRAMP は、Rev.5 ベースラインの実施に関する最新の技術支援やガイダンスを提供しない。アセスメントは、このパッケージを詳細に検討し、独自にリスクアセスメントを行うことが期待される。
How can I be sure to get notified of FedRAMP 20x changes? FedRAMP 20x の変更の通知を確実に受け取るにはどうしたらよいか?
FedRAMP believes in transparency and open collaboration. Be sure to follow along with our progress on GitHub link and through our Change Log on fedramp.gov/changelog. FedRAMP は透明性とオープンなコラボレーションを信条としている。GitHubのリンクやfedramp.gov/changelogの変更履歴で、進捗をフォローしてほしい。
Will new cloud service providers need an agency “sponsor”? 新しいクラウド・サービス・プロバイダは「スポンサー」を必要とするのか?
FedRAMP 20x involves submitting both documentation and automated validation directly to FedRAMP before the cloud service offering is added to the FedRAMP Marketplace for hundreds of agencies to choose from. Once in the marketplace it will be up to agencies using a cloud service offering to authorize operation of the service as usual. FedRAMP 20xでは、クラウドサービスがFedRAMP Marketplace に追加され、何百もの機関から選択できるようになる前に、文書と自動妥当性確認の両方をFedRAMPに直接提出することになる。マーケットプレイスに登録された後は、クラウドサービスを利用する機関が通常通りサービスの運用を認可することになる。

 

 

・2025.03.24 Official Blog: FedRAMP in 2025

FedRAMP in 2025 FedRAMP in 2025
Last year FedRAMP underwent a major overhaul after more than a decade. The biggest change took place behind the scenes as the Program Management Office (PMO) onboarded an impressive cohort of federal technical experts for the first time. This team of federal security experts, platform and software engineers, data scientists, and communication strategists are backed by individuals with proven experience in leadership that have built cloud services and managed actual security programs. 昨年、FedRAMPは10年以上ぶりに大改革を行った。最大の変化は舞台裏で行われ、プログラム・マネジメント・オフィス(PMO)が連邦政府の技術専門家からなる素晴らしい集団を初めて迎え入れたことだ。連邦政府のセキュリティ専門家、プラットフォーム・エンジニア、ソフトウェア・エンジニア、データ・サイエンティスト、コミュニケーション・ストラテジストで構成されるこのチームは、クラウド・サービスの構築や実際のセキュリティ・プログラムの管理でリーダーシップを発揮してきた経験豊富な人材に支えられている。
It’s that foundation of expert staff that will ensure a successful transformation of FedRAMP into a streamlined, automation-driven compliance framework that accelerates secure cloud adoption across federal agencies while leveraging modern technologies to minimize bureaucracy and maximize efficiency in 2025. FedRAMPを合理化された自動化主導のコンプライアンスフレームワークへと転換させ、連邦政府機関全体で安全なクラウドの導入を加速させるとともに、最新のテクノロジーを活用して官僚主義を最小限に抑え、2025年の効率を最大化することを確実にするのは、このような専門スタッフの基盤なのだ。
Here’s what you need to know about the continued evolution of FedRAMP up front: FedRAMPの継続的な進化について、前もって知っておくべきことは以下の通りだ:
1. The existing Agency Authorization path based on FedRAMP Rev. 5 baselines is the sole active path to FedRAMP authorization. No changes to this path are planned at this time. Companies and agencies that have active investments in achieving FedRAMP authorization via this path are encouraged to evaluate the progress of FedRAMP’s efficiency improvement initiatives to make their own informed decisions. 1. FedRAMP Rev.5ベースラインに基づく既存の作成機関認可パスは、FedRAMP認可への唯一の有効なパスである。現時点では、このパスへの変更は予定されていない。このパスを通じてFedRAMP認可を取得するために積極的な投資を行っている企業や機関は、FedRAMPの効率改善イニシアチブの進捗状況を評価し、十分な情報に基づいた決定を行うことが推奨される。
2. FedRAMP will collaborate publicly with industry and other stakeholders to build and iteratively improve a new authorization process that is designed to be cloud-native and simple to automate, allowing companies to continuously and efficiently validate the underlying security of their services. This new framework, FedRAMP 20x, will be updated yearly to encourage ongoing improvements in security. 2. FedRAMPは、クラウドネイティブで自動化が簡単な新しい認可プロセスを構築し、反復的に改善するために、業界やその他の利害関係者と公に協力する。この新しい枠組みFedRAMP 20xは、セキュリティの継続的改善を促すために毎年更新される。
3. FedRAMP will not build on the old ways to consolidate resources and services that turn FedRAMP into a slow bureaucratic behemoth operating on behalf of the entire government. Instead, FedRAMP will clear the way for the development of new paths that focus on true security and eliminate the inefficiencies, making central services unnecessary. FedRAMP will set the standards and policies that enable private innovation to create the solution. 3. FedRAMPは、FedRAMPを政府全体を代表して運営する遅い官僚的巨大組織にしてしまうような、リソースとサービスを統合する古い方法を土台にするものではない。その代わりに、FedRAMPは真のセキュリティに焦点を当て、非効率性を排除し、中央サービスを不要にする新しい道を開発する道を開く。FedRAMPは、民間のイノベーションが解決策を生み出すことを可能にする標準とポリシーを設定する。
4. The new FedRAMP PMO is a much smaller team with all efforts focused on maximizing efficiency. We are now focused on clearing the agency authorization backlog and providing technical assistance and community support to set standards that enable private innovation to provide the solution. Nearly all other previously discussed work has been stopped. 4. 新しいFedRAMP PMOは、効率性を最大化することに全力を注ぐ、はるかに小規模なチームである。我々は現在、作成機関の認可の滞りを解消し、民間のイノベーションがソリューションを提供できるようにする標準を設定するための技術支援とコミュニティ支援を提供することに集中している。以前議論されたその他の作業はほぼすべて中止された。
Stay informed through definitive resources 決定的な情報源を通じて常に情報を得る
FedRAMP will continue to share information publicly through our website, working groups, speaking events, and formal requests for comment. Stakeholders are strongly encouraged to rely on these official sources for accurate, up-to-date information. Third parties discussing FedRAMP are strongly encouraged to link directly to these official resources to avoid confusion: FedRAMPは、ウェブサイト、作業部会、講演会、正式な意見要求などを通じて、引き続き情報を公開していく。関係者は、正確な最新情報については、これらの公式情報源を信頼することが強く推奨される。FedRAMPについて議論するサードパーティは、混乱を避けるため、これらの公式リソースに直接リンクすることが強く推奨される:
The FedRAMP 20x page provides information about our work to create a new authorization process, information on pilot eligibility, and next steps FedRAMP 20x のページでは、新しい認可プロセスを作成するための私たちの作業、試験的資格に関する情報、および次のステップに関する情報を提供する
The Community Working Groups page shares high-level information about our public engagement and collaboration plans コミュニティ作業部会のページでは、私たちのパブリック・エンゲージメントとコラボレーション計画に関するハイレベルな情報を共有する
The FedRAMP 20x Engagement page tracks future and past public events, press coverage, and podcast interviews FedRAMP 20x のエンゲージメンのページでは、将来および過去のパブリック・イベント、報道、ポッドキャスト・インタビューを追跡する
The FedRAMP 20x Frequently Asked Questions page tracks official answers to commonly asked questions about FedRAMP 20x FedRAMP 20x のよくある質問のページでは、FedRAMP 20x に関するよくある質問に対する公式回答を追跡する
The Changelog page tracks significant information updates all in one place 変更履歴 のページでは、重要な情報の更新を一箇所にまとめて追跡する
To view GSA’s official press announcement regarding the upcoming changes to FedRAMP, see here. FedRAMP の今後の変更に関する GSA の公式報道発表を見るには、ここを参照のこと。

 

2025.03.23 Federal News Network: GSA’s overhaul of FedRAMP contingent on automation

2025.03.20  Nextgov/FCW: FedRAMP to announce major overhaul next week

 


 

 

 NIST

OSCAL: the Open Security Controls Assessment Language

learning materials 

 


 

AMAZONのOSCAL対応の件

● AMAZON AWS - AWS Security Blog

・2022.06.30 AWS achieves the first OSCAL format system security plan submission to FedRAMP

 

AMAZON AWSが対応をしている監査プログラム...

日本語です...

コンプライアンスプログラムによる対象範囲内の AWS のサービス

 


 

 まるちゃんの情報セキュリティ気まぐれ日記

OSCAL

・2024.07.22 米国 これからはFedRampも含めて監査は自動化 (automate.fedramp.gov) !キーワードはOSCAL

・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書

・2024.04.22 内部監査人協会 意見募集 トピック別要求事項:サイバーセキュリティ (2024.04.11)

・2024.04.02 米国 FedRAMPの新しいロードマップ(2024-2025)

・2024.03.06 米国 NIST IR 8278 Rev. 1 国家オンライン情報参照(OLIR)プログラム: 概要、利点、利用方法、IR 8278A Rev. 1 国家オンライン情報参照(OLIR)プログラム: OLIR開発者のための提出ガイダンス

・2024.03.05 NIST IR 8477 文書化された標準、規制、フレームワーク、ガイドライン間の関係のマッピング: サイバーセキュリティとプライバシーの概念マッピングの開発 (2024.02.26)

・2023.08.21 米国 NIST 重要なハイテク産業における米国の競争力に関する報告書

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.07.16 JIPDEC ”米国のプライバシー保護に関する動向”

 

 

 

| | Comments (0)

より以前の記事一覧