監査 / 認証

2024.04.08

日本内部監査協会 報告書「内部監査の状況の開示のあり方」の公表

こんにちは、丸山満彦です。

日本内部監査協会が、「内部監査の状況の開示のあり方」についての報告書を公表しています。興味深いです。

監査というのは、日本では特にそうなのかもしれませんが、日本以外でもまぁ、あまり好かれる機能ではないですよね...

内部監査部門というのは、CEO以外のCxOにとっては監査される側になるので、CEOとCEO以外を分ける大きな差をつくりますよね。。。

で、今回の報告書は、その内部監査部門に関する開示についての報告書です。

内部監査についての開示についての評価をするのは、評価基準(クライテリア)も定まったものがないので難しいですが、内部監査という言葉の出現回数とか、人数とかいろいろとか考えていますね。。。

内部監査以外も含めて有価証券報告書での開示の評価をする際にも参考になるかもですね...

 

・[PDF] 報告書「内部監査の状況の開示のあり方」

20240407-75504

・[PDF] 【別紙1】記載事項

 

・[PDF] 【別紙2】記載事例

 

 

 

 

| | Comments (0)

2024.04.06

日本公認会計士協会 サステナビリティ報告・保証業務等に関するIESBA倫理規程改訂公開草案の翻訳

こんにちは、丸山満彦です。

日本公認会計士協会が、国際会計士倫理基準審議会がサステナビリティ報告・保証業務等に関するIESBA倫理規程改訂公開草案の翻訳を公表していますね。。。

 

日本公認会計士協会

・2024.04.04 サステナビリティ報告・保証業務等に関するIESBA倫理規程改訂公開草案の翻訳公表について

 

・[PDF] 公開草案:サステナビリティ保証業務に関する国際倫理基準(国際独立性基準を含む。)及びサステナビリティ報告・保証業務に関連するその他のIESBA倫理規程の改訂

20240405-173354

 

・[PDF] 公開草案:外部の専門家の作業の利用

20240405-173410

 

 

原文はこちら...


International Ethics Standards Board for Accountants;IESBA

・2024.01.29 IESBA LAUNCHES PUBLIC CONSULTATION ON NEW ETHICAL BENCHMARK FOR SUSTAINABILITY REPORTING AND ASSURANCE

 

・[PDF] International Ethics Standards for Sustainability Assurance ED

・[PDF] Using the Work of an External Expert ED

 

| | Comments (0)

2024.04.05

米国 意見募集 NIST CSWP 33(初公開ドラフト) 製品開発サイバーセキュリティハンドブック: IoT製品製造者のための概念と考慮事項

こんにちは、丸山満彦です。

米国では、消費者向けIoT製品について認証制度(サイバートラストマーク制度)が始まろうとしていますが、その参考になる文書ですかね...

 

NIST - ITL

プレス...

・2024.04.03 NIST Releases a Draft Product Development Cybersecurity Handbook for IoT Product Manufacturers for Public Comment

 

文書...

・2024.04.03 NIST CSWP 33 (Initial Public Draft) Product Development Cybersecurity Handbook: Concepts and Considerations for IoT Product Manufacturers

 

NIST CSWP 33 (Initial Public Draft) Product Development Cybersecurity Handbook: Concepts and Considerations for IoT Product Manufacturers NIST CSWP 33(初公開ドラフト) 製品開発サイバーセキュリティハンドブック: IoT製品製造者のための概念と考慮事項
Announcement 発表
This Product Development Cybersecurity Handbook describes broadly applicable considerations for developing and deploying secure IoT products across sectors and use cases. This handbook extends NIST’s work to consider the cybersecurity of IoT product components beyond the IoT device. Significant risks can be introduced by vulnerable IoT product components even if the IoT device itself is hardened since these additional components will likely have privileged access to the IoT device and related data. この製品開発サイバーセキュリティハンドブックは、セクターやユースケースを問わず、安全なIoT製品を開発・展開するための広範に適用可能な考慮事項について説明している。本ハンドブックは、IoTデバイスを超えたIoT製品コンポーネントのサイバーセキュリティを検討するために、NISTの作業を拡張したものである。これらの追加コンポーネントは、IoT デバイスと関連データに特権的にアクセスできる可能性が高いため、IoT デバイス自体が堅牢化されていても、脆弱性のある IoT製品コンポーネントによって重大なリスクがもたらされる可能性がある。
The Product Development Cybersecurity Handbook includes the following topics: 製品開発サイバーセキュリティハンドブックには、以下のトピックが含まれている:
・How IoT product components can vary and be assembled into IoT products ・IoT製品のコンポーネントはどのように変化し、IoT製品に組み立てられるか。
・Cybersecurity considerations for IoT product component hardware and software ・IoT製品コンポーネントのハードウェアとソフトウェアに関するサイバーセキュリティの考慮事項
・How IoT product components use internet infrastructure and other equipment to communicate ・IoT製品コンポーネントがインターネットインフラや他の機器を使用してどのようにコミュニケーションするか
・The multiple parties that may have a role in supporting a secure IoT product life cycle ・安全な IoT製品のライフサイクルをサポートする役割を担う複数の関係者
・Standards and guidance related to cybersecurity outcomes for IoT products ・IoT製品のサイバーセキュリティの成果に関連する標準とガイダンス
・IoT product architecture, deployment, roles, and cybersecurity perspectives ・IoT製品のアーキテクチャ、実装、役割、サイバーセキュリティの観点
・Approaches to cybersecurity in IoT products, including several IoT product deployment and instantiation examples with related informative references ・IoT製品におけるサイバーセキュリティへのアプローチ(IoT製品の配備とインスタンス化の例と関連する参考文献を含む
Abstract 概要
As interest in Internet of Things (IoT) technologies has grown, so have concerns and attention to cybersecurity of the newly network-connected products and services offered in many sectors, including energy services, water/waste-water services, automobiles, consumer electronics, and government. This Product Development Cybersecurity Handbook will describe concepts important to developing and deploying secure IoT products for any sector or use case, including discussion of IoT Product architecture, deployment, roles and cybersecurity perspectives. This publication extends and elaborates on NIST’s prior work related to development of IoT products. In addition to discussing the concepts, this publication also demonstrates their application and discusses how satisfaction of cybersecurity in IoT products can be approached. モノのインターネット(IoT)技術への関心が高まるにつれ、エネルギーサービス、上下水道サービス、自動車、家電製品、政府など、多くの分野で新たに提供されるネットワーク接続製品やサービスのサイバーセキュリティに対する懸念や関心も高まっている。この「製品開発サイバーセキュリティハンドブック」では、IoT製品のアーキテクチャ、展開、役割、サイバーセキュリティの観点など、あらゆる分野やユースケースにおいて安全な IoT製品を開発・展開するために重要な概念を説明する。本書は、IoT製品の開発に関連するNISTの先行研究を拡張し、精緻化したものである。本書では、概念について説明するだけでなく、その適用例を示し、IoT製品におけるサイバーセキュリティの満足度をどのように高めるかについても論じている。

 

・[PDF] NIST.CSWP.33.ipd

20240405-42921

 

目次...

Introduction 序文
IoT Product-System Architecture Considerations IoT製品-システムアーキテクチャに関する考察
IoT Product Deployment Considerations IoT製品の展開に関する考慮事項
Roles Supporting IoT Product Cybersecurity Outcomes IoT製品のサイバーセキュリティの成果を支える役割
IoT Product Cybersecurity Perspectives IoT製品のサイバーセキュリティの観点
IoT Product Components vs. Network Infrastructure, Etc. IoT製品コンポーネントとネットワークインフラ等の比較
IoT Product Component Hardware, Platforms, and Software IoT製品コンポーネントのハードウェア、プラットフォーム、ソフトウェア
Locally vs. Remotely Managed ローカル管理かリモート管理か
Cybersecurity Outcomes and Requirements サイバーセキュリティの成果と要件
Technical Cybersecurity Outcome Considerations サイバーセキュリティの技術的成果に関する考慮事項
Local Device Only IoT Products ローカルデバイスのみのIoT製品
Local Management of IoT products IoT製品のローカル管理
Variety of Local Product-System Architectures 多様なローカル製品-システム・アーキテクチャ
Third-Party Local Management Tools サードパーティ製ローカル管理ツール
Remote Backends リモート・バックエンド
Shared Cloud Backends 共有クラウド・バックエンド
Cloud Backend Interoperability クラウド・バックエンドの相互運用性
Non-technical Cybersecurity Outcome Considerations サイバーセキュリティの非技術的成果に関する考慮事項
Documentation ドキュメンテーション
Information and Query Reception 情報と問い合わせの受信
Information Dissemination 情報発信
Education and Awareness 教育と意識向上
References 参考文献

 

IoT製品のためのサイバーセキュリティの基本コンセプト - ハードウェアから成果まで
20240405-51431

 

 

サイバーセキュリティ成果の満足度評価に関する考慮事項 - 技術的成果と非技術的成果

20240405-51618

 

環境の前提...

1_20240405053701 2_20240405053701 3_20240405053701 4_20240405053701 5_20240405053701 6_20240405053701 7_20240405053701

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

| | Comments (0)

2024.04.03

マイクロソフトロシアの国家支援行為者であるMidnight Blizzardによるシステムへの侵入に対するSECの開示事例 (2024.01.19, 2024.03.08)

こんにちは、丸山満彦です。

このブログでは紹介していませんが、マイクロソフトが2023.11下旬に経営幹部、サイバーセキュリティ関係者、法務関係者等の一部のメールシステムに侵入し、企業システムに侵入していることに気づき、調査を行ったようです。その結果、2024.01.12に、それがロシアの国家支援行為者であるMidnight Blizzardによるものと特定し、この状況を受けて、2024.01.17にSECに対して、臨時報告書(Form 8-K)を提出しています。

その後、内容として修正すべきことが生じたので、2024.03.08に訂正臨時報告書 (Form 8-K/A) を提出しています。ブログでの発表と合わせて紹介しておきます...

 

EDGAR

1_20240403063301

 

最初の提出

・2024.01.17 8-K Current Report

Item 1.05. Material Cybersecurity Incidents
項目1.05. 重要なサイバーセキュリティインシデント
On January 12, 2024, Microsoft (the “Company” or “we”) detected that beginning in late November 2023, a nation-state associated threat actor had gained access to and exfiltrated information from a very small percentage of employee email accounts including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, on the basis of preliminary analysis. We were able to remove the threat actor’s access to the email accounts on or about January 13, 2024. We are examining the information accessed to determine the impact of the incident. We also continue to investigate the extent of the incident. We have notified and are working with law enforcement. We are also notifying relevant regulatory authorities with respect to unauthorized access to personal information. As of the date of this filing, the incident has not had a material impact on the Company’s operations. The Company has not yet determined whether the incident is reasonably likely to materially impact the Company’s financial condition or results of operations.
2024年1月12日、マイクロソフト(以下「当社」または「われわれ」)は、予備的分析に基づき、2023年11月下旬から、 国家に関連する脅威行為者が、当社の経営幹部チームのメンバーやサイバーセキュリティ、法務、その他の機能の従業員を 含むごく一部の従業員の電子メールアカウントにアクセスし、そこから情報を流出させたことを検知した。我々は、2024年1月13日頃に脅威行為者による電子メールアカウントへのアクセスを削除することができた。インシデントの影響を判断するため、アクセスされた情報を調査している。また、インシデントの範囲についても調査を続けている。当社は法執行機関に通知し、協力している。また、個人情報への不正アクセスに関しては、関連する認定機関にも通知している。本書提出日現在、このインシデントが当社の業務に重大な影響を及ぼすことはない。インシデントが当社の財政状態または経営成績に重大な影響を及ぼす合理的可能性があるかどうかについては、当社はまだ判断していない。
This Form 8-K contains forward-looking statements, which are any predictions, projections or other statements about future events based on current expectations and assumptions that are subject to risks and uncertainties, which are described in our filings with the Securities and Exchange Commission. Forward-looking statements speak only as of the date they are made. Readers are cautioned not to put undue reliance on forward-looking statements, and the Company undertakes no duty to update any forward-looking statement to conform the statement to actual results or changes in the Company’s expectations. このForm 8-Kには、将来の見通しに関する記述が含まれている。将来の見通しに関する記述とは、現在の予想や仮定に基づく将来の出来事に関する予測、予想、その他の記述であり、証券取引委員会への提出書類に記載されているリスクや不確実性の影響を受ける。将来予想に関する記述は、それらが作成された時点のものである。読者は、将来予想に関する記述を過度に信頼しないよう注意されたい。当社は、将来予想に関する記述を実際の結果または当社の予想の変更に適合させるために更新する義務を負わない。
Item 7.01. Regulation FD Disclosure 項目7.01. FD規制の開示
On January 19, 2024, the Company posted a blog regarding the incident. A copy of the blog is furnished as Exhibit 99.1 to this report. 2024年1月19日、当社はインシデントに関するブログを掲載した。ブログのコピーは本報告書の別紙99.1として提出されている。
In accordance with General Instruction B.2 of Form 8-K, the information in this Item 7.01 and Exhibit 99.1, shall not be deemed to be “filed” for purposes of Section 18 of the Securities Exchange Act of 1934, as amended (the “Exchange Act”), or otherwise subject to the liability of that section, and shall not be incorporated by reference into any registration statement or other document filed under the Securities Act of 1933, as amended, or the Exchange Act, except as shall be expressly set forth by specific reference in such filing. Form 8-Kの一般教示B.2に従い、本項目7.01および別紙99.1の情報は、改正1934年証券取引所法(以下「取引所法」)第18条に照らして「提出された」とはみなされず、また同条の法的責任の対象ともみなされず、当該提出書類において特定の参照により明示的に記載される場合を除き、改正1933年証券取引所法または取引所法に基づき提出された登録届出書またはその他の書類に参照により組み込まれることはないものとする。
Item 9.01. Financial Statements and Exhibits 項目9.01. 財務諸表および添付書類
(d) Exhibits: (d) 別紙
99.1 Microsoft Blog Post dated January 19, 2024 titled “Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard” 99.1 2024年1月19日付マイクロソフト・ブログ記事「国家行為者ミッドナイト・ブリザードによる攻撃を受けたマイクロソフトの措置」。
104 Cover Page Interactive Data File (embedded within the Inline XBRL document) 104 表紙ページ インタラクティブ・データ・ファイル(インラインXBRL文書内に埋め込まれている)

 

添付したブログの記事

Exhibit 99.1

Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard 国家的行為者による攻撃を受けたマイクロソフトの行動 Midnight Blizzard
The Microsoft security team detected a nation-state attack on our corporate systems on January 12, 2024, and immediately activated our response process to investigate, disrupt malicious activity, mitigate the attack, and deny the threat actor further access. Microsoft has identified the threat actor as Midnight Blizzard, the Russian state-sponsored actor also known as Nobelium. As part of our ongoing commitment to responsible transparency as recently affirmed in our Secure Future Initiative (SFI), we are sharing this update. マイクロソフトのセキュリティチームは、2024年1月12日にマイクロソフトの企業システムに対する国家による攻撃を検知し、調査、悪意のある活動の妨害、攻撃の軽減、脅威行為者のさらなるアクセスを拒否するための対応プロセスを直ちに開始した。マイクロソフトは、脅威行為者をロシアの国家支援行為者であり、Nobeliumとしても知られるMidnight Blizzardと特定した。セキュア・フューチャー・イニシアチブ(SFI)で最近確認されたように、責任ある透明性への継続的なコミットメントの一環として、我々はこの最新情報を共有する。
Beginning in late November 2023, the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents. The investigation indicates they were initially targeting email accounts for information related to Midnight Blizzard itself. We are in the process of notifying employees whose email was accessed. 2023年11月下旬から、脅威行為者はパスワードスプレー攻撃を使用して、レガシーの非本番テスト用テナントアカウントを侵害し、足がかりを得た後、そのアカウントの権限を使用して、当社のシニアリーダーシップチームのメンバーやサイバーセキュリティ、法務、その他の機能の従業員を含む、ごく一部のマイクロソフトの企業メールアカウントにアクセスし、一部のメールや添付文書を流出させた。調査の結果、彼らは当初、ミッドナイト・ブリザード社自体に関連する情報を求めてメールアカウントを標的にしていたことが判明している。我々は、電子メールにアクセスされた従業員に通知しているところである。
The attack was not the result of a vulnerability in Microsoft products or services. To date, there is no evidence that the threat actor had any access to customer environments, production systems, source code, or AI systems. We will notify customers if any action is required. 今回の攻撃は、マイクロソフトの製品やサービスの脆弱性に起因するものではない。現在までのところ、脅威行為者が顧客環境、本番システム、ソースコード、AIシステムにアクセスしたという証拠はない。何らかの対応が必要な場合は、顧客に通知する。
This attack does highlight the continued risk posed to all organizations from well-resourced nation-state threat actors like Midnight Blizzard. この攻撃は、Midnight Blizzardのような十分な資金を持つ国家脅威行為者がすべての組織にもたらす継続的なリスクを浮き彫りにしている。
As we said late last year when we announced Secure Future Initiative (SFI), given the reality of threat actors that are resourced and funded by nation states, we are shifting the balance we need to strike between security and business risk – the traditional sort of calculus is simply no longer sufficient. For Microsoft, this incident has highlighted the urgent need to move even faster. We will act immediately to apply our current security standards to Microsoft-owned legacy systems and internal business processes, even when these changes might cause disruption to existing business processes. 昨年末にセキュア・フューチャー・イニシアチブ(SFI)を発表した際に述べたように、国家から資金を調達し、資金提供を受けている脅威行為者の現実を踏まえ、我々はセキュリティとビジネスリスクの間で取るべきバランスを変えようとしている。マイクロソフトにとって、今回のインシデントは、より迅速な対応が急務であることを浮き彫りにした。マイクロソフトが所有するレガシーシステムや社内のビジネスプロセスに対して、現行のセキュリティ標準を適用するため、たとえその変更が既存のビジネスプロセスを混乱させる可能性がある場合でも、直ちに行動を起こす。
This will likely cause some level of disruption while we adapt to this new reality, but this is a necessary step, and only the first of several we will be taking to embrace this philosophy. この新しい現実に適応する間、ある程度の混乱は生じるだろうが、これは必要なステップであり、この哲学を受け入れるために我々が取るいくつかのステップのうちの最初のステップに過ぎない。
We are continuing our investigation and will take additional actions based on the outcomes of this investigation and will continue working with law enforcement and appropriate regulators. We are deeply committed to sharing more information and our learnings, so that the community can benefit from both our experience and observations about the threat actor. We will provide additional details as appropriate. 私たちは調査を続けており、この調査の結果に基づいてさらなる措置を講じるとともに、法執行機関および適切な規制当局との協力を継続する。私たちは、脅威行為者についての私たちの経験と見解の両方から地域社会が恩恵を受けられるよう、より多くの情報と私たちの学びを共有することに深くコミットしている。適宜、追加情報を提供する予定である。

 

Microsoftのブログ

● Microsoft - Microsoft Security Response Center Blog

・2024.01.19 Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard

 

 


修正の提出

・2024.03.08 Current report - amendment

EXPLANATORY NOTE 注記
Microsoft Corporation (the “Company,” “we,” or “our”) is filing this Form 8-K/A as an amendment to the Current Report on Form 8-K filed by the Company with the U.S. Securities and Exchange Commission (the “SEC”) on January 19, 2024 (the “Original Filing”). マイクロソフト コーポレーション(以下「当社」)は、2024年1月19日に当社が米国証券取引委員会(以下「SEC」) に提出したフォーム8-Kカレントレポート(以下「当初提出」)の修正として、本フォーム8-K/Aを提出する。
Item 1.05. Material Cybersecurity Incidents 項目1.05. 重要なサイバーセキュリティインシデント
As disclosed in the Original Filing, the Company detected that beginning in late November 2023, a nation-state threat actor had gained access to and exfiltrated information from a very small percentage of employee email accounts including members of our senior leadership team and employees in our cybersecurity, legal, and other functions. Since the date of the Original Filing, the Company has determined that the threat actor used and continues to use information it obtained to gain, or attempt to gain, unauthorized access to some of the Company’s source code repositories and internal systems. The threat actor’s ongoing attack is characterized by a sustained, significant commitment of the threat actor’s resources, coordination, and focus. Our active investigations of the threat actor’s activities are ongoing, findings of our investigations will continue to evolve, and further unauthorized access may occur. 当初提出書類で開示されたとおり、当社は、2023年11月下旬から、国家の脅威行為者が、当社の経営幹部チームのメンバーやサイバーセキュリティ、法務、その他の機能の従業員を含むごく一部の従業員の電子メールアカウントにアクセスし、情報を流出させたことを検知した。原申告日以降、当社は、脅威行為者が入手した情報を使用して、当社のソースコードリポジトリおよび内部システムの一部に不正アクセスし、または不正アクセスを試みていると判断した。脅威行為者の継続的な攻撃は、脅威行為者のリソース、調整、および集中力の持続的かつ重大なコミットメントによって特徴付けられる。脅威行為者の活動に関する当社の積極的な調査は継続中であり、調査結果は今後も進展し、さらなる不正アクセスが発生する可能性がある。
We have increased our security investments, cross-enterprise coordination and mobilization, and have enhanced our ability to defend ourselves and secure and harden our environment against this advanced persistent threat. We continue to coordinate with federal law enforcement with respect to its ongoing investigation of the threat actor and the incident. われわれは、セキュリティへの投資、エンタープライズを横断した調整と動員を強化し、この高度な持続的脅威から身を守り、われわれの環境を安全にし、強化する能力を高めてきた。当社は、脅威行為者とインシデントに関する連邦法執行機関の進行中の調査に関して、引き続き連邦法執行機関と連携している。
As of the date of this filing, the incident has not had a material impact on the Company’s operations. The Company has not yet determined that the incident is reasonably likely to materially impact the Company’s financial condition or results of operations. 本書提出日現在、このインシデントが当社の業務に重大な影響を及ぼすことはない。当社は、インシデントが当社の財政状態または経営成績に重大な影響を及ぼす可能性が合理的に高いとまだ判断していない。
This Form 8-K contains forward-looking statements, which are any predictions, projections or other statements about future events based on current expectations and assumptions that are subject to risks and uncertainties, which are described in our filings with the SEC. Forward-looking statements speak only as of the date they are made. Readers are cautioned not to put undue reliance on forward-looking statements, and the Company undertakes no duty to update any forward-looking statement to conform the statement to actual results or changes in the Company’s expectations. このForm 8-Kには、将来の見通しに関する記述が含まれている。将来の見通しに関する記述とは、現在の予想や仮定に基づく将来の出来事に関する予測、予想、その他の記述のことであり、リスクや不確実性の影響を受ける。将来予想に関する記述は、それらが作成された時点のものである。読者は、将来予想に関する記述を過度に信頼しないよう注意されたい。当社は、将来予想に関する記述を実際の結果または当社の予想の変更に適合させるために更新する義務を負わない。
Item 7.01. Regulation FD Disclosure 項目7.01. FD規制の開示
On March 8, 2024, the Company posted a blog regarding the incident. A copy of the blog is furnished as Exhibit 99.1 to this report. In addition, as part of our ongoing commitment to responsible transparency to our customers and other stakeholders, we may provide additional updates regarding the incident and relevant developments directly to customers or at Microsoft blogs located here: https://msrc.microsoft.com/blog/ and https://www.microsoft.com/en-us/security/blog/. 2024年3月8日、当社はインシデントに関するブログを掲載した。ブログのコピーは本報告書の別紙99.1として提出されている。さらに、顧客およびその他の利害関係者に対する責任ある透明性への継続的なコミットメントの一環として、インシデントおよび関連する進展に関する追加的な最新情報を顧客に直接、またはマイクロソフトのブログ(https://msrc.microsoft.com/blog/、https://www.microsoft.com/en-us/security/blog/)で提供する場合がある。
In accordance with General Instruction B.2 of Form 8-K, the information in this Item 7.01 and Exhibit 99.1, shall not be deemed to be “filed” for purposes of Section 18 of the Securities Exchange Act of 1934, as amended (the “Exchange Act”), or otherwise subject to the liability of that section, and shall not be incorporated by reference into any registration statement or other document filed under the Securities Act of 1933, as amended, or the Exchange Act, except as shall be expressly set forth by specific reference in such filing. Form 8-Kの一般教示B.2に従い、本項目7.01および別紙99.1の情報は、改正1934年証券取引所法(以下「取引所法」)第18条に照らして「提出された」とはみなされず、また同条の法的責任の対象ともみなされず、当該提出書類において特定の参照により明示的に記載される場合を除き、改正1933年証券取引所法または取引所法に基づき提出された登録届出書またはその他の書類に参照により組み込まれることはないものとする。
Item 9.01. Financial Statements and Exhibits 項目9.01. 財務諸表および添付書類
(d) Exhibits: (d) 別紙:
99.1 Microsoft Blog dated March 8, 2024 titled “Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard” 99.1 2024年3月8日付マイクロソフト・ブログ記事「国家行為者ミッドナイト・ブリザードによる攻撃を受けたマイクロソフトの措置の更新版」。
104 Cover Page Interactive Data File (embedded within the Inline XBRL document) 104 表紙ページ インタラクティブ・データ・ファイル(インラインXBRL文書内に埋め込まれている)

 

添付したブログの記事

Exhibit 99.1

Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard 国家的行為者Midnight Blizzardによる攻撃を受けたマイクロソフトの措置に関する最新情報
/ By MSRC / March 8, 2024 / 2 min read / MSRCによって / 2024年3月8日 / 2分で読む
This blog provides an update on the nation-state attack that was detected by the Microsoft Security Team on January 12, 2024. As we shared, on January 19, the security team detected this attack on our corporate email systems and immediately activated our response process. The Microsoft Threat Intelligence investigation identified the threat actor as Midnight Blizzard, the Russian state-sponsored actor also known as NOBELIUM. このブログでは、2024年1月12日にマイクロソフト・セキュリティ・チームが検知した国家攻撃に関する最新情報を提供する。お伝えしたように、1月19日、セキュリティチームは、企業の電子メールシステムに対するこの攻撃を検知し、直ちに対応プロセスを開始した。マイクロソフト脅威インテリジェンスの調査により、脅威行為者はNOBELIUMとしても知られるロシアの国家支援行為者であるMidnight Blizzardであることが判明した。
As we said at that time, our investigation was ongoing, and we would provide additional details as appropriate. その時点で述べたように、我々の調査は進行中であり、適切であれば追加の詳細を提供する予定である。
In recent weeks, we have seen evidence that Midnight Blizzard is using information initially exfiltrated from our corporate email systems to gain, or attempt to gain, unauthorized access. This has included access to some of the company’s source code repositories and internal systems. To date we have found no evidence that Microsoft-hosted customer-facing systems have been compromised. ここ数週間、我々はミッドナイト・ブリザードが、当初我々の会社の電子メールシステムから流出した情報を使って、不正アクセスを獲得、あるいは獲得しようとしている証拠を目にしている。これには、同社のソースコードリポジトリや内部システムへのアクセスも含まれている。現在までのところ、マイクロソフトがホストする顧客向けシステムが侵害されたという証拠は見つかっていない。
It is apparent that Midnight Blizzard is attempting to use secrets of different types it has found. Some of these secrets were shared between customers and Microsoft in email, and as we discover them in our exfiltrated email, we have been and are reaching out to these customers to assist them in taking mitigating measures. Midnight Blizzard has increased the volume of some aspects of the attack, such as password sprays, by as much as 10-fold in February, compared to the already large volume we saw in January 2024. ミッドナイト・ブリザード社が、発見したさまざまな種類の秘密を利用しようとしていることは明らかだ。これらの秘密の一部は、顧客とマイクロソフトの間で電子メールで共有されていたものであり、流出した電子メールからそれらを発見したため、我々はこれらの顧客に対し、低減措置を講じるよう支援するために連絡を取っており、現在も連絡を取っている。ミッドナイト・ブリザードは、2024年1月にすでに大量に発生していたのに比べ、2月にはパスワードの散布など、攻撃のいくつかの側面の量を10倍にも増やしている。
Midnight Blizzard’s ongoing attack is characterized by a sustained, significant commitment of the threat actor’s resources, coordination, and focus. It may be using the information it has obtained to accumulate a picture of areas to attack and enhance its ability to do so. This reflects what has become more broadly an unprecedented global threat landscape, especially in terms of sophisticated nation-state attacks. ミッドナイト・ブリザードの進行中の攻撃は、脅威行為者のリソース、調整、集中力の持続的かつ大幅な投入を特徴としている。脅威行為者は、入手した情報を使って、攻撃すべき地域のイメージを蓄積し、その能力を高めているのかもしれない。これは、特に洗練された国家による攻撃という点で、かつてないグローバルな脅威の状況を反映している。
Across Microsoft, we have increased our security investments, cross-enterprise coordination and mobilization, and have enhanced our ability to defend ourselves and secure and harden our environment against this advanced persistent threat. We have and will continue to put in place additional enhanced security controls, detections, and monitoring. マイクロソフト全体では、セキュリティへの投資、エンタープライズ間の連携と動員を強化し、この高度な持続的脅威から身を守り、環境を保護し、強化する能力を高めてきた。我々は、さらに強化されたセキュリティ管理、検知、モニタリングを実施しており、今後も継続的なモニタリングを実施していく。
Our active investigations of Midnight Blizzard activities are ongoing, and findings of our investigations will continue to evolve. We remain committed to sharing what we learn. ミッドナイト・ブリザードの活動に関する我々の積極的な調査は継続中であり、調査の結果は今後も進展していく。われわれは引き続き、われわれが学んだことを共有することを約束する。

 

Microsoftのブログ

● Microsoft - Microsoft Security Response Center Blog

・2024.03.08 Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

 

 

審査項目の発表...

・2023.10.28 SECが2024年度の審査強化項目を公表していますね。。。

・2023.02.16 SECが2023年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2023.02.07)

・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 

| | Comments (0)

2024.04.02

米国 FedRAMPの新しいloadマップ(2024-2025)

こんにちは、丸山満彦です。

連邦政府が利用するクラウドサービスを登録するFedRAMPは2011年に開始され、もう10年以上運用されていますね...このブログでも

・2012.02.16 FedRAMP (クラウドサービスのセキュリティ評価の標準アプローチ)

で紹介しています...

で、最近の変化等も見据えて、2024年ー2025年のロードマップを公表していますね...

さすがと思うのは、OSCALについてもふれているところです...

OSCALは野心的な取り組みと個人的には思うのですが、これが普及すれば、セキュリティ監査というか、評価というか...が自動化され、効率化されるので、効果は大きいですね...

日本でも米国を習ってOSCALを取り入れようとする動きはあるので、興味深いところです...

 

FedRAMP - Blog

・2024.03.27 A New Roadmap for FedRAMP

 

 

A New Roadmap for FedRAMP FedRAMPの新しいロードマップ
Today, the FedRAMP program is releasing a roadmap, to convey our strategic goals and how we’re prioritizing our work in the near term to drive progress against them. 本日、FedRAMP プログラムはロードマップを発表し、我々の戦略的目標と、それに対する進捗を促進するための当面の作業の優先順位付けを説明する。
In recent years, there has been a significant public focus on modernizing FedRAMP. In 2022, Congress passed a new law codifying the program. In 2023, the White House Office of Management and Budget (OMB) released a draft policy memorandum proposing significant changes to program operations and governance. Broadly, these changes have been intended to keep what’s worked well about FedRAMP, while creating a runway for the program to adapt to change, now and into the future. ここ数年、FedRAMPの近代化に大きな注目が集まっている。2022年、議会はプログラムを成文化する新しい法律を可決した。2023年、ホワイトハウスの行政管理予算局(OMB)は、プログラムの運用とガバナンスの大幅な変更を提案する政策メモのドラフトを発表した。大まかに言えば、これらの変更は、FedRAMPについてこれまでうまく機能してきたことを維持する一方で、現在および将来にわたってプログラムが変化に適応するための道筋を作ることを意図している。
And that makes sense, because a lot has changed since FedRAMP was created in 2011. At that time, the federal government was overwhelmingly focused on making sure agencies could benefit from the explosion in commercial, cloud-based computing infrastructure that was transforming how enterprises around the world thought about building and scaling software. FedRAMP proved critical to creating a well-lit path to bring that cloud computing infrastructure into government, where its use is now widespread. というのも、2011年にFedRAMPが創設されて以来、多くの変化があったからだ。当時、連邦政府は、世界中のエンタープライズがソフトウェアの構築とスケーリングについてどのように考えているかを変えつつあった、商業的なクラウドベースのコンピューティング・インフラストラクチャの爆発的な増加から、各省庁が利益を得られるようにすることに圧倒的に重点を置いていた。FedRAMPは、クラウド・コンピューティング・インフラストラクチャを政府に導入するための明確な道筋を作る上で極めて重要であることを証明した。
Today, what federal agencies need from FedRAMP is not only computing infrastructure, but everything that’s being built on top of it. Modern enterprises today run on a kaleidoscope of cloud-based applications, large and small. It is critical that FedRAMP be well-positioned to make sure federal agencies get the full benefit of these software-as-a-service (SaaS) cloud offerings. 今日、連邦政府機関がFedRAMPから必要としているのは、コンピューティング・インフラストラクチャだけでなく、その上に構築されるすべてのものである。現代のエンタープライズは、大小さまざまなクラウドベースのアプリケーションを万華鏡のように駆使している。FedRAMPは、連邦政府機関がこれらのSaaS(Software-as-a-Service)クラウドオファリングの恩恵をフルに享受できるよう、万全の態勢を整えることが重要である。
While SaaS applications are used in government, and FedRAMP does have some in its marketplace, it’s not nearly enough and it’s not working the way that it should. We know that for many companies, especially software-focused companies, it takes too much time and money to get a FedRAMP authorization. And we’re particularly cognizant that we need to scale and automate our own processes beyond where they’re at now if we want to meaningfully grow the FedRAMP marketplace. SaaSアプリケーションは政府で使用されており、FedRAMPはその市場でいくつか使用しているが、それはほとんど十分ではなく、あるべきようには機能していない。我々は、多くの企業、特にソフトウェアに特化した企業にとって、FedRAMP認可を得るには時間と費用がかかりすぎることを知っている。そして、FedRAMP市場を有意義に成長させたいのであれば、現在よりも規模を拡大し、独自のプロセスを自動化する必要があることを特に認識している。
Our roadmap lays out our 4 primary goals: 我々のロードマップには、4つの主要目標が示されている:
Orienting around the customer experience. We’ll simplify the process for cloud providers, and make the results more useful for agencies. As we do that, we want our conception of how much time and money it costs to go through FedRAMP to match our customers’ lived experience as closely as possible. 顧客体験を重視する。クラウドプロバイダーにとってプロセスを簡素化し、機関にとって結果をより有益なものにする。その際、FedRAMP を通過するためにどれだけの時間と費用がかかるかという概念を、可能な限り顧客の実体験に近づけたい。
Cybersecurity leadership. FedRAMP is a security and risk management program. We’ll make our security expectations clearer and more consistent for every kind of FedRAMP authorization. At the same time, we’ll start and continue updating FedRAMP policies to make sure a too-rigid approach doesn’t get in the way of real-world security. サイバーセキュリティのリーダーシップ。FedRAMPはセキュリティとリスクマネジメントのプログラムである。我々は、FedRAMPのあらゆる認可について、セキュリティへの期待をより明確にし、一貫性を持たせる。同時に、厳格すぎるアプローチが現実のセキュリティの妨げにならないよう、FedRAMPポリシーの更新を開始し、継続する。
Scaling a trusted marketplace. We’ll develop clear processes with trusted authorizing partners that cut down on unnecessary reviews at GSA. At the same time, FedRAMP will centrally take on more post-authorization monitoring and automate as much of it as possible. 信頼される市場を拡大する。信頼できる認可パートナーと明確なプロセスを開発し、GSA での不必要な審査を削減する。同時に、FedRAMP は認可後の監視を一元的に引き受け、可能な限り自動化する。
Smarter, technology-forward operations. We’ll build a data-first, API-first foundation for FedRAMP by putting the tools, specs, and services in place to create and share digital authorization packages and other information. よりスマートな、テクノロジー先進の業務。デジタル認可パッケージやその他の情報を作成・共有するためのツール、仕様、サービスを整備することで、FedRAMP のデータ・ファースト、API・ファーストの基盤を構築する。
Our roadmap contains some specific initiatives we’re undertaking to make concrete progress against these goals: 私たちのロードマップには、これらの目標に対して具体的な前進を遂げるための具体的な取り組みがいくつか含まれている:
1. An agile approach to change management. FedRAMP needs to enable agile software delivery of security improvements and other features. To do this, we plan to replace the “significant change request” process with an approach that does not require advance approval for each change. We’ll start by piloting a new process with interested authorized cloud providers, and use the pilot to finalize broader guidance. 1. 変更管理へのアジャイル・アプローチ:FedRAMPは、セキュリティ改善やその他の機能の俊敏なソフトウェア提供を可能にする必要がある。そのために、「重要な変更要求」プロセスを、変更ごとに事前の承認を必要としないアプローチに置き換えることを計画している。私たちはまず、関心のある認可クラウド・プロバイダーと新しいプロセスを試験的に実施することから始め、この試験的なプロセスを利用して、より広範なガイダンスを確定する。
2. Publish new, customer-oriented program metrics. If we are going to impact the cost of FedRAMP and how long it takes to get and stay authorized, we need a better way to measure those things, informed by what our customers are actually experiencing. Likewise, we need to refine our understanding of our agencies’ customers’ experience and focus on ensuring they can efficiently and securely leverage cloud services to meet their mission needs. We plan to survey customers about their experience, soon and at a regular cadence, and to update FedRAMP’s formal performance metrics based on this survey to align with customer outcomes. 2. 顧客志向の新しいプログラム指標の公表:FedRAMPのコストや認可の取得・維持にかかる期間に影響を与えようとするならば、顧客が実際に経験していることに基づいた、より良い測定方法が必要である。同様に、われわれは各省庁の顧客の経験についての理解を深め、彼らがミッションのニーズを満たすためにクラウドサービスを効率的かつ安全に活用できるようにすることに集中する必要がある。われわれは、顧客の経験について、近々、定期的に調査を行い、この調査に基づいてFedRAMPの正式なパフォーマンス指標を更新し、顧客の成果と整合させることを計画している。
3. Define FedRAMP’s core security expectations. A central challenge of FedRAMP is to accommodate varying risk tolerances across agencies, while still setting a high enough bar for its authorizations to broadly support agency reuse without additional work. We plan to make progress here by more clearly defining the outcomes we expect all types of authorizations to meet. We will also work closely with the Cybersecurity and Infrastructure Security Agency (CISA) to develop and deploy the best protections for and minimize the risk to the federal enterprise. By combining this with more public documentation and examples of how cloud providers meet FedRAMP’s security goals, we can also streamline the authorization process overall. 3. FedRAMPが期待する中核的なセキュリティの定義:FedRAMP の中心的な課題は、各省庁によって異なるリスク許容度に対応する一方で、追加作業なしに各省庁の再利用を広くサポートできるよう、認可の基準を十分に高く設定することである。われわれは、あらゆる種類の認可が満たすべき成果をより明確に定義することで、ここでの進展を図る計画である。また、サイバーセキュリティ・インフラセキュリティ庁(CISA)と緊密に連携し、連邦エンタープライズに対するリスクを最小化するための最善の防御を開発・展開する。これを、クラウドプロバイダがFedRAMPのセキュリティ目標をどのように満たしているかの、より多くの公開文書や事例と組み合わせることで、認可プロセス全体を合理化することもできる。
4. Keeping FedRAMP policies focused on outcomes. As a security-first program, FedRAMP needs to care not only about what is required, but about how those requirements can be reasonably applied and how they work out in practice. FedRAMP will hold cloud providers to a high standard informed by how implementation best practices have evolved, and that provides the flexibility needed to stay focused on security outcomes. We’ll start with updated guidance in a few areas that we know are particular authorization pain points now (such as FIPS 140, DNSSEC, and external service integrations), and set up a regular process for understanding where to focus over time. 4. FedRAMP ポリシーを成果に集中させる:セキュリティ第一のプログラムであるFedRAMPは、何が要求されているかだけでなく、それらの要求事項がどのように合理的に適用され、実際にどのように機能するかに注意を払う必要がある。FedRAMPはクラウドプロバイダに、実装のベストプラクティスがどのように進化してきたかによって知らされる高い標準を課し、セキュリティの成果に焦点を当て続けるために必要な柔軟性を提供する。我々は、現在特に認可のペインポイントであることが分かっているいくつかの分野(FIPS 140、DNSSEC、外部サービスの統合など)のガイダンスを更新することから始め、時間をかけてどこに重点を置くべきかを理解するための定期的なプロセスを設定する。
5. Increase the authorizing capacity of the FedRAMP ecosystem. We will work with trusted authorizing partners to align our processes and eliminate the need for extensive per-package review by the program. We will be piloting this approach with our partners at DISA who serve as the Cloud Authorizing Official for the Department of Defense. More generally, we will be supporting OMB and the FedRAMP Board in convening joint authorization groups, who we expect to be strong candidates for this streamlined approach 5. FedRAMPエコシステムの認可能力の向上;信頼できる認可パートナーと協力してプロセスを調整し、プログラムによる大規模なパッケージごとのレビューの必要性を排除する。国防総省のクラウド認可官を務めるDISAのパートナーとともに、このアプローチを試験的に実施する。より一般的には、OMBとFedRAMP理事会が合同認可グループを招集するのを支援する予定であり、 我々は、この合理化されたアプローチの有力な候補者であると期待している。
6.Move to digital authorization packages. While a full migration will take time, FedRAMP needs to operate as a data-first program for its processes to scale. We will define machine readable packages, in OSCAL, and provide the guidance and tools to help our customers create and share them. Our goal is to leverage automated validation and assessment of packages, as well as system-to-system integration with our FedRAMP governance, risk, and compliance (GRC) platform to modernize and scale. We will work with interested cloud providers to pilot creating these packages and incorporating them into the authorization process in partnership with interested agencies. 6. デジタル認可パッケージへの移行:完全な移行には時間がかかるだろうが、FedRAMP はそのプロセスを拡張するためにデータ優先のプログラムとして運用する必要がある。我々はOSCALで機械可読パッケージを定義し、顧客がそれを作成し共有できるようにガイダンスとツールを提供する。我々の目標は、FedRAMPガバナンス、リスク、コンプライアンス(GRC)プラットフォームとのシステム間統合だけでなく、パッケージの自動検証とアセスメントを活用し、近代化と拡張を図ることである。私たちは関心のあるクラウドプロバイダーと協力して、これらのパッケージを試験的に作成し、関心のある省庁と協力して認可プロセスに組み込む。
There are other things we’re working on too, like exploring reciprocity with external frameworks, and partnering with our colleagues at CISA on scaling secure configuration guides and threat sharing. Take a look at our published roadmap for more details. その他にも、外部フレームワークとの互恵関係を模索したり、CISAの同僚と協力して安全なコンフィギュレーション・ガイドや脅威の共有の拡張に取り組んだりしている。詳細については、公表されているロードマップをご覧いただきたい。
We’re hoping to see a number of outcomes from our efforts over time. We expect our industry providers to be able to more effectively deploy changes, and our agency partners to see more features – including security features – faster. We expect to stabilize our review “backlog”, and keep it stabilized over the long term. We expect cloud providers, agencies, and third party assessors to have a better understanding of our security requirements, leading to higher quality packages and ultimately greater trust in the FedRAMP program. 私たちは、この取り組みから多くの成果が得られることを期待している。業界プロバイダがより効果的に変更を導入できるようになり、省庁パートナーがより多くの機能(セキュリティ機能を含む)をより早く利用できるようになることを期待している。我々は、レビューの「バックログ」を安定させ、長期的に安定させることを期待している。クラウドプロバイダ、エージェンシー、サードパーティ評価者がFedRAMPのセキュリティ要件をよりよく理解することで、パッケージの品質が向上し、最終的にはFedRAMPプログラムに対する信頼が高まることを期待している。
Most importantly, we want to understand early what’s working and what’s not so that we can adapt our work and priorities as we go. That’s why we’re planning to initiate pilots and deliver minimum viable products (MVPs) early wherever we can, and why we’ll be checking in with customers throughout the process. 最も重要なことは、何がうまくいっていて、何がうまくいっていないのかを早期に理解することで、我々の作業や優先順位を適宜変更できるようにすることだ。できる限り早い段階で試験運用を開始し、最小実行可能製品(MVP)を提供することを計画しているのもそのためであり、プロセス全体を通じて顧客に確認を取るのもそのためである。
These initiatives will take real time and resources, so as we move out on them, you may notice some shifts in how it feels to work with us. At least for a time, we’ll be less available for ad hoc calls and individualized service, as we focus on what we believe are more foundational changes that will improve the customer experience for everyone. Similarly, we will be doing fewer one-off communications and events, but when you do hear from us, it will be more significant, including updates to our overall roadmap at least a couple times each year. We’ll continue to ask for public comments on significant changes, including occasional public forums, so that we can incorporate your feedback throughout. これらの取り組みには実際の時間とリソースがかかるため、私たちがこの取り組みに着手するにつれ、私たちと仕事をする感覚に変化が生じるかもしれない。少なくともしばらくの間は、カスタマー・エクスペリエンスを向上させるより基本的な変更に集中するため、臨時の電話や個別のサービスには応じられないだろう。同様に、単発のコミュニケーションやイベントは少なくなるが、少なくとも毎年2、3回は全体的なロードマップを更新するなど、より重要なお知らせをする予定だ。また、重要な変更については、時折パブリック・フォーラムを開催するなどして、引き続きパブリック・コメントを求めていく。
Coming up next, we’ll be engaging on this roadmap and kicking off recruiting efforts for a new FedRAMP Director and other roles. Some dates to be aware of: 次に予定されているのは、このロードマップに関する取り組みと、新しいFedRAMP ディレクターやその他の役割のための採用活動の開始である。注意すべきいくつかの日程
April 1st and 3rd: GSA will hold information sessions on April 1 and April 3 about the upcoming FedRAMP Director role. 4月1日と4月3日:GSAは4月1日と4月3日に次期FedRAMPディレクターの役割に関する説明会を開催する。
Later in April: The role of FedRAMP Director will open for applications on USAJobs. 4月後半: FedRAMP ディレクターは USAJobs で公募される。
April 11: FedRAMP will hold a public forum to present and take questions on its updated roadmap. 4月11日:FedRAMPは公開フォーラムを開催し、更新されたロードマップについて発表し、質問を受け付ける。
April 18th: FedRAMP will be at the “Tech to Gov” hiring fair, where we’ll be looking for technology talent that can help us build the data- and API-driven FedRAMP of the future and support FedRAMP’s prioritization of generative AI and emerging technologies. 4月18日 FedRAMPは "Tech to Gov "採用フェアに参加し、将来のデータとAPI主導のFedRAMPを構築し、FedRAMPの優先事項である生成的AIと新興技術をサポートできる技術人材を探す。

 

・[PDF] FedRAMP Roadmap 2024-2025

20240401-163447

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

・2020.06.05 内閣官房 総務省 経済産業省 「政府情報システムのためのセキュリティ評価制度(ISMAP)」の運用を開始しました

・2012.02.16 FedRAMP (クラウドサービスのセキュリティ評価の標準アプローチ)

 

| | Comments (0)

2024.03.27

ドイツ 政治選挙以外の選挙向けオンライン投票製品の認証を開始...

こんにちは、丸山満彦です。

IoT製品というか、普通にCC認証のための 政治選挙以外の選挙向けオンライン投票製品向けプロテクション・プロファイルを公表し、制度として始めるということなんでしょうかね...

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.03.25 BSI ermöglicht Zertifizierung für Online-Wahlprodukte für nichtpolitische Wahlen

BSI ermöglicht Zertifizierung für Online-Wahlprodukte für nichtpolitische Wahlen BSI、非政治選挙向けオンライン投票製品の認証を可能にする
Online-Wahlen können Barrieren zur Teilnahme an einer nichtpolitischen Wahl senken und damit die mögliche Beteiligung erhöhen. Dabei sind zertifizierte Wahlprodukte wichtig, um das Vertrauen von Wählerinnen und Wählern in die digitale Durchführung von Wahlen zu stärken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher nun das Schutzprofil BSI-CC-PP-0121-2024 („Protection Profile for E-Voting Systems for non-political Elections“) veröffentlicht. Damit ist eine Zertifizierung für Online-Wahlprodukte für nichtpolitische Wahlen ab sofort möglich
.
オンライン選挙は、非政治選挙への参加障壁を下げ、潜在的な参加者を増やすことができる。認証された選挙用製品は、選挙のデジタル組織に対する有権者の信頼を強化するために重要である。そこでドイツ連邦情報セキュリティ局(BSI)はこのたび、保護プロファイルBSI-CC-PP-0121-2024(「非政治選挙用電子投票システムの保護プロファイル」)を発表した。これは、非政治選挙用のオンライン投票製品の認証が可能になったことを意味する。
Das Schutzprofil BSI-CC-PP-0121-2024 legt Funktionalitäten und Anforderungen fest, die beispielsweise zur Erpressungsresistenz beitragen sollen. Gleichermaßen werden Maßnahmen für die Umsetzung von Ende-zu-Ende-Verifizierbarkeit gefordert, die die Transparenz und damit den Öffentlichkeitsgrundsatz in einer Wahl adressieren. Das Schutzprofil stellt zudem Anforderungen an die Umsetzung kryptografischer Wahlverfahren durch ein Online-Wahlprodukt. Die im Schutzprofil definierten Anforderungen haben eine gleichmäßige Gewichtung der drei im Rahmen einer Online-Wahl besonders relevanten Wahlrechtsgrundsätze – geheim, frei und öffentlich – zum Ziel. BSI-CC-PP-0121-2024の保護プロファイルは、例えば、恐喝に対する抵抗力に貢献することを意図した機能性と要件を定義している。また、エンド・ツー・エンドの検証可能性を実装するための対策も要求しており、これは透明性、ひいては選挙における公共性の原則に対処するものである。保護プロファイルはまた、オンライン投票製品による暗号化された投票手続きの実装に関する要件も定めている。保護プロファイルで定義されている要件は、オンライン選挙の文脈で特に関連性の高い選挙法の3原則(秘密、自由、公開)の重みを均等にすることを目的としている。

 

コモンクライテリア・プロテクション・プロファイル - 非政治選挙用電子投票システム用、バージョン1.0

BSI-CC-PP-0121-2024 Common Criteria Protection Profile — for E-Voting Systems for non-political Elections, Version 1.0


BSI-CC-PP-0121-2024 BSI-CC-pp-0121-2024
Common Criteria Protection Profile — for E-Voting Systems for non-political Elections, Version 1.0 コモンクライテリア・プロテクション・プロファイル - 非政治選挙用電子投票システム用、バージョン1.0
Herausgeber / Issuer Bundesamt für Sicherheit in der Informationstechnik 発行者 連邦情報セキュリティ局
Prüfstelle / Evaluation Facility Deutsche Telekom Security GmbH 評価機関 Deutsche Telekom Security GmbH
Prüftiefe des Produktes / Assurance of the TOE EAL4+, ALC_FLR.2 製品保証 / TOEの保証 EAL4+、ALC_FLR.2
Version der CC / CC Version CC:2022 R1 CC バージョン / CC バージョン CC:2022 R1
Ausstellungsdatum / Certification Date 20.02.2024 発行日 / 認証日 20.02.2024
gültig bis / valid until 19.02.2034 有効期限 / 2034年2月19日まで有効
Zertifizierungsreport / Certification Report 認証報告書 / 認証報告書
20240327-92938
Schutzprofil / Protection Profile プロテクションプロファイル
20240327-92958
Zertifikat / Certificate 証明書
20240327-93038
Das Schutzprofil „Protection Profile for E-Voting Systems for non-political Elections“, Version 1.0, vom 01. Dezember 2023, beschreibt den EVG-Typ als Server-Software zur Durchführung geheimer nicht-politischer elektronische Wahlen. Das Schutzprofil definiert einen Basissatz von Sicherheitsanforderungen, den jedes elektronisches Wahlprodukt mindestens erfüllen muss, um elektronische Wahlen sicher auszuführen. Der EVG muss spezifische Funktionalitäten für die Durchführung von elektronische Wahlen in Bezug auf die verschiedenen Wahlphasen implementieren, wie z. B. die Verarbeitung der wahlbezogenen Daten (in der Vorbereitungsphase), die Registrierung der Wahldaten (in der Ausführungsphase), die Auszählung der Stimmen und die Ermittlung des Wahlergebnisses (in der Bewertungsphase) und der Export der Wahlausführungsdaten (in der Nachverarbeitungsphase). Das Schutzprofil adressiert nicht-politische Wahlen wie z. B. Gremienwahlen oder die Wahl zur oder zum Gleichstellungsbeauftragten. Das Schutzprofil ist modular aufgebaut und enthält ein Basisschutzprofil sowie ein zusätzliches Funktionales Paket: „Multi-component Server-Architecture Package“, Version 1.0 vom 01. Dezember 2023. Während das Basisschutzprofil festlegt, dass der EVG aus einer Serverkomponente besteht, beschreibt das Funktionale Paket die Multi-Komponenten-Serverarchitektur Serverarchitektur. Dieses Paket definiert Anforderungen für die Implementierung des vertrauenswürdigen Kanals, über den der EVG Daten zwischen den einzelnen Komponenten austauscht. 2023年12月1日付の保護プロファイル「非政治選挙用電子投票システムの保護プロファイル」バージョン1.0は、非政治的な秘密電子選挙を実施するためのサーバーソフトウェアとしてのTOEタイプを記述している。保護プロファイルは、電子選挙を安全に実施するために、すべての電子投票製品が最低限満たさなければならないセキュリティ要件の基本セットを定義している。TOEは、選挙関連データの処理(準備段階)、選挙データの登録(実行段階)、票の集計と選挙結果の決定(評価段階)、選挙実行データのエクスポート(後処理段階)など、さまざまな選挙段階に関連する電子選挙の実行のための特定の機能を実装しなければならない。この保護プロファイルは、委員会選挙や機会均等役員選挙などの非政治選挙に対応している。保護プロファイルはモジュール構造になっており、基本保護プロファイルと追加機能パッケージ「マルチコンポーネント・サーバ・アーキテクチャ・パッケージ」(2023年12月1日バージョン1.0)が含まれている。 基本保護プロファイルではTOEが1つのサーバ・コンポーネントで構成されることが規定されているが、機能パッケージではマルチコンポーネント・サーバ・アーキテクチャが記述されている。このパッケージは、TOE が各コンポーネント間でデータを交換する信頼されたチャネルの実装に関する要件を定義している。

The “Protection Profile for E-Voting Systems for non-political Elections”, Version 1.0, from 1 December 2023, describes as a TOE type a server software for conducting secret non-political E-Votings, which implements the process of conducting the election. The Protection Profile defines a basic set of security requirements to be fulfilled by a product for E-Voting in order to perform elections in a secure way. The TOE shall implement specific functionalities for conducting E-Votings related to the different electoral phases such as processing of the election data (in the preparation phase), registering of electoral data (in the execution phase), counting of votes and determination of the election result (in the evaluation phase) and exporting the election execution data (in the post-processing phase). The Protection Profile addresses non-political elections, for example, elections within committees or election of an equal opportunities officer. The PP utilizes a modular structure and specifies a base Protection Profile and one additional Functional Package. The base Protection Profile describes as a TOE type a server software consisting of one single server component. The Functional Package “Multi-component Server Architecture Package”, Version 1.0, from 1 December 2023, describes as a TOE type a server software which consist of more than one server component. The Functional Package defines requirements for establishment of a trusted channel for secure communication between the TOE components.

2023年12月1日からの "非政治選挙用電子投票システムの保護プロファイル "バージョン1.0は、TOEのタイプとして、選挙の実施プロセスを実装する非政治的な秘密電子投票を実施するためのサーバーソフトウェアを記述している。プロテクション・プロファイルは、安全な方法で選挙を実施するために、電子投票のための製品が満たすべきセキュリティ要件の基本セットを定義している。TOEは、選挙データの処理(準備段階)、選挙データの登録(実行段階)、開票と選挙結果の決定(評価段階)、選挙実行データのエクスポート(後処理段階)など、さまざまな選挙段階に関連する電子投票を実施するための特定の機能を実装しなければならない。プロテクション・プロファイルは、例えば委員会内の選挙や機会均等役員の選挙など、非政治的な選挙に対応している。PP はモジュール構造を採用し、基本的な保護プロファイルと 1 つの追加機能パッケージを規定している。ベースとなる保護プロファイルでは、TOE タイプとして 1 つの単一サーバコンポーネントから構成されるサー バソフトウェアを記述している。2023 年 12 月 1 日からの機能パッケージ "Multi-component Server Architecture Package"(バージョン 1.0)は、TOE タイプとして、複数のサーバコンポーネントから構成されるサーバソフトウェアを記述する。この機能パッケージは、TOE コンポーネント間の安全な通信のための信頼されたチャネルの確立に関する要件を定義している。

 

 

| | Comments (0)

2024.03.26

米国 FedRAMP 意見募集 ペネトレーション・テスト・ガイダンス Version 4.0(案) (2024.03.04)

 こんにちは、丸山満彦です。

米国連邦政府のクラウド認証といえば、FedRAMP。日本もこれを参考にISMAPの制度をつくりましたね...

FedRAMPの2015年に策定された「ペネトレーション・テスト・ガイダンス」ですが、改訂を重ねて、2022年に現在のVersion 3.0となり、今回Version 4.0のドラフトが公開され、意見募集されています。

このガイドを理解するためには、以下の文章も参照にするとよいですね...

ということで...

FedRAMP - Blog

・2024.03.04 Penetration Test Guidance Public Comment Period

ということで...

Penetration Test Guidance Public Comment Period ペネトレーション・テスト・ガイダンスのパブリック・コメント期間
FedRAMP is seeking feedback on the draft FedRAMP Penetration Test Guidance. The original guidance provides requirements for organizations planning to conduct a FedRAMP penetration test to identify weaknesses in their IT system, as well as the associated attack vectors and overall reporting requirements. FedRAMP は FedRAMP ペネトレーション・テスト・ガイダンスのドラフトに対する意見を求めている。オリジナルのガイダンスは、IT システムの弱点を特定するために FedRAMP ペネトレーション・テストの実施を計画している組織に対する要件、関連する攻撃ベクトル、および全体的な報告要件を規定している。
The FedRAMP Rev. 5 High, Moderate, Low, and Li-SaaS baselines include an annual requirement for penetration testing. For FedRAMP Low and Li-SaaS baselines, an independent assessor is not required and scope can be limited to public facing applications in alignment with OMB Memorandum M-22-09. FedRAMP Rev. 5 High、Moderate、Low、Li-SaaS ベースラインには、ペネトレーション・テストの年次要件が含まれている。FedRAMPのLowとLi-SaaSのベースラインでは、独立した評価者は必要なく、範囲はOMB覚書M-22-09に沿った公衆向けアプリケーションに限定することができる。
The updated guidance explains the requirements for organizations executing FedRAMP penetration tests and reporting testing results. Third Party Assessment Organizations (3PAOs) must follow the requirements for testing implementation. Cloud Service Providers can use the guidance to understand the scope of, and their role in the 3PAO testing. The guidance has been updated to include the Red Team Testing Requirements. More information can be found in our most recent blog post highlighting the additional Rev. 5 documents that were released, which were adopted in FedRAMP baselines. FedRAMP does not provide a Penetration Testing and Reporting template. 更新されたガイダンスは、FedRAMP の侵入テストを実施し、テスト結果を報告する組織の要件を説明している。第三者評価機関(3PAO)は、テストの実施に関する要件に従わなければならない。クラウド・サービス・プロバイダは、3PAOのテストの範囲とその役割を理解するために、このガイダンスを利用することができる。本ガイダンスは、レッドチームテスト要件を含むように更新された。より詳しい情報は、FedRAMP のベースラインに採用された Rev.5 の追加文書がリリースされたことを強調する、当機関の最新のブログ投稿で見ることができる。FedRAMP は、侵入テストと報告のテンプレートを提供していない。
The existing FedRAMP Penetration Test Guidance vectors are based on threat and attack models listed in the updated guidance. These have remained standard. However, based on the current threat environment, FedRAMP understands additional attack vectors might be defined for consideration, e.g., vectors applicable to Data Loss Prevention subsystems. If a stakeholder feels it reasonable to include additional attack vectors for consideration, the additional threat and attack models should also be included, as applicable. At a minimum, FedRAMP requires that all mandatory attack vectors outlined in the FedRAMP Penetration Test Guidance are covered in every 3PAO Penetration Test and Report. 既存の FedRAMP ペネトレーションテストガイダンスのベクターは、更新されたガイダンスに記載されている脅威と攻撃モデルに基づいている。これらは標準のままである。しかしながら、現在の脅威環境に基づき、FedRAMP は、例えばデータ損失防止サブシステムに適用可能なベクターなど、検討のために追加の攻撃ベクターが定義される可能性があることを理解している。利害関係者が検討のために追加の攻撃ベクターを含めることが妥当であると考える場合、該当する場合には、追加の脅威および攻撃モデルも含めるべきである。最低限、FedRAMP は、FedRAMP ペネトレーションテストガイダンスに概説されているすべての必須攻撃ベク ターを、すべての 3PAO ペネトレーションテストおよび報告書でカバーすることを要求している。
Additionally, several other requirements were updated to provide clarity and ensure that requirements were identified as mandatory instead of optional. Outlined below are the most notable updates: さらに、他のいくつかの要件は、明確性を提供し、要件がオプションではなく必須として識別されるように更新された。以下に、最も注目すべき更新の概要を示す:
NIST SP 800-53 Revision 5 update - Security Control CA-8(2) Security Assessment and Authorization, Penetration Testing, Red Team Exercises for all FedRAMP High and Moderate criticality systems added as Appendix E: Red Team Exercises. ・NIST SP 800-53 改訂第 5 版の更新 - すべての FedRAMP 高・中重要度システムのセキュリティ管理 CA-8(2) セキュリティアセスメントと認可、侵入テスト、レッドチーム演習を附属書 E:レッドチーム演習として追加した。
・Language clarifications to ensure that the mandatory requirements are better understood. ・必須要件がよりよく理解されるよう、文言を明確化した。
・Detailed explanation of the Email Phish Campaign requirements to most effectively conduct the campaign. Updates were made for landing page requirements for CSP personnel who are victims of the campaign. ・最も効果的にキャンペーンを実施するための、電子メールフィッシングキャンペーンの要件の詳細な説明。キャンペーンの被害者である CSP 要員のためのランディングページの要件が更新された。
Addition of references to the MITRE ATT&CK(R) Matrix for Enterprise and the NIST Red Team Definition. ・エンタープライズ向け MITRE ATT&CK(R) マトリクスおよび NIST レッドチーム定義への参照を追加した。
Note that the CA-8(2) Red Team Testing Requirements outlined in the Penetration Test Guidance address the NIST/FedRAMP testing requirements, and are not the same as the ‘intensive, expert-led “red team”’ assessments referred to in the Office of Management and Budget draft memo, Modernizing the Federal Risk and Authorization Management Program (FedRAMP) (which was discussed previously on the FedRAMP blog). ペネトレーション・テスト・ガイダンスに概説されている CA-8(2) レッドチーム・テスト要件は、NIST/FedRAMP テスト要件に対応するものであり、行政管理予算局のドラフト・メモ「連邦リスク及び認可管理プログラム(FedRAMP)の近代化」(FedRAMP ブログで以前議論された)で言及されている「専門家主導の集中的な "レッドチーム"」アセスメントとは異なることに注意すること。
If you have comments, edits, or feedback on the draft updated Penetration Test Guidance, submit them via the Public Comments_Draft Penetration Test Guidance form by April 24, 2024. Please be sure to include the specific draft section to which your question or comment refers. To read comments that have already been submitted, you may view the Public Comments Draft Penetration Test Guidance read-only version. 更新されたペネトレーションテストガイダンスのドラフトについてコメント、編集、フィードバックがある場合は、2024年4月24日までにパブリックコメント_ドラフトペネトレーションテストガイダンスのフォームから提出すること。その際、質問やコメントの対象となる特定のドラフト・セクションを必ず含めること。すでに提出されたコメントを読むには、パブリックコメント・ドラフト・ペネトレーションテストガイダンスの読み取り専用版を閲覧することができる。

 

・[PDF] FedRAMP Penetration Test Guidance Version 4.0 Dfaft

20240326-33552

 

目次...

About This Document この文書について
Who Should Use This Document? 誰がこの文書を使うべきか?
How to Contact Us 連絡方法
1. Scope of Testing 1. テストの範囲
1.1 Table 2: Cloud Service Classification 1.1 表2:クラウドサービスの分類
2. Threats 2. 脅威
2.1 Threat Models 2.1 脅威モデル
2.2 Attack Models 2.2 攻撃モデル
3. Attack Vectors 3. 攻撃ベクトル
3.1 Mandatory Attack Vectors 3.1 必須の攻撃ベクトル
3.1.1 Attack Vector 1: External to Corporate 3.1.1 攻撃ベクトル1:外部から企業へ
Email Phish Campaign 電子メールによるフィッシングキャンペーン
Non-Credentialed-Based Phishing Attack 非認証ベースのフィッシング攻撃
3.1.2 Attack Vector 2: External to CSP Target System 3.1.2 攻撃ベクトル 2:外部からCSP ターゲット・システムへ
Internal Threats 内部脅威
Unintentional Threat (Negligence, Accidental) 非意図的な脅威(過失、事故)
Intentional Threats 意図的な脅威
Other Threats その他の脅威
Poor Separation Measures and Defense In Depth 分離対策および防御策の不備
3.1.3 Attack Vector 3: Tenant to CSP Management System 3.1.3 攻撃のベクトル 3: テナントから CSP管理システムへ
Privileged and Unprivileged Users 特権ユーザと非特権ユーザ
3.1.4 Attack Vector 4: Tenant-to-Tenant 3.1.4 攻撃のベクトル 4:テナント間
3.1.5 Attack Vector 5: Mobile Application to Target System 3.1.5 攻撃のベクトル 5:モバイル・アプリケーションからターゲット・システムへ
3.1.6 Attack Vector 6: Client-side Application and/or Agents to Target System 3.1.6 攻撃手段 6:クライアント側アプリケーションおよび/またはエージェントから対象システムへ
4. Scoping the Penetration Test 4. 侵入テストのスコープ
5. Rules of Engagement (ROE) 5. ルール・オブ・エンゲージメント(ROE)
6. Reporting 6. 報告
6.1 Scope of Target System 6.1 対象システムの範囲
6.2 Attack Vectors Assessed During the Penetration Test 6.2 侵入テストで評価される攻撃ベクトル
6.3 Timeline for Assessment Activity 6.3 評価活動のタイムライン
6.4 Actual Tests Performed and Results 6.4 実際に実施したテストとその結果
6.5 Findings and Evidence 6.5 発見事項と証拠
6.6 Access Paths 6.6 アクセス経路
7. Testing Schedule Requirements 7. テストスケジュールの要件
8. Third Party Assessment Organizations (3PAOs) Staffing Requirements 8. 第三者評価機関(3PAO)の人員要件
Appendix A: Definitions 附属書 A:定義
Appendix B: References 附属書 B:参考文献
Appendix C: Rules of Engagement / Test Plan Template 附属書 C:関与規定/テスト計画書テンプレート
Rules of Engagement / Test Plan 関与規定/テスト計画書
System Scope システム範囲
Assumptions and Limitations 想定と制限
Testing Schedule テストスケジュール
Testing Methodology テスト方法
Relevant Personnel 関係者
Incident Response Procedures インシデント対応手順
Evidence Handling Procedures 証拠取扱手順
Appendix D: Red Team Exercises 附属書 D: レッドチーム演習
Requirement 要件
Objective 目的
Deliverables 成果物

 

ちなみに現在のVersion 3.0

・[PDF] FedRAMP Penetration Test Guidance Version 3.0

20240326-34736

 

 

| | Comments (0)

2024.03.21

ENISA 遠隔身元証明 (Remote ID Proofing) の優れた実践

こんにちは、丸山満彦です。

少し疲れやすくなっていて、なかなか時間がとれずに、遅れ気味です...

これは、なかなか興味深い内容です...

 

ENISA

・2024.03.12 Remote ID Proofing - Good practices

 

・[PDF]

20240321-14016

 ・[DOCX] 仮訳

 

 

目次...

TABLE OF CONTENTS  目次 
1. INTRODUCTION 1. 序文
1.1 CONTEXT 1.1 背景
1.2 SCOPE 1.2 範囲
1.3 METHODOLOGY 1.3 方法論
1.4 TARGET AUDIENCE 1.4 対象読者
1.5 STRUCTURE 1.5 構造
2. BACKGROUND 2. 背景
2.1 INTRODUCTION 2.1 序文
2.2 SUMMARY OF REMOTE ID PROOFING METHODS 2.2 遠隔身元証明方法の概要
2.3 REFERENCE TO PREVIOUS ENISA STUDIES & RESULTS 2.3 過去のENISAの研究と結果の参照
2.4 DEVELOPMENTS IN LEGAL & REGULATORY REQUIREMENTS 2.4 法的・規制的要件の進展
3. ATTACKS OVERVIEW 3. 攻撃の概要
3.1 PRESENTATION ATTACKS 3.1 プレゼンテーション攻撃
3.1.1 Overview 3.1.1 概要
3.1.2 Attack Instruments 3.1.2 攻撃手段
3.1.3 Attack Methods 3.1.3 攻撃方法
3.2 INJECTION ATTACKS 3.2 インジェクション攻撃
3.2.1 Overview 3.2.1 概要
3.2.2 Attack Instruments 3.2.2 攻撃手段
3.2.3 Attack Methods 3.2.3 攻撃方法
3.3 IDENTITY DOCUMENT ATTACKS 3.3 身元文書攻撃
3.3.1 Overview 3.3.1 概要
4. GOOD PRACTICES 4. 優れた実践
4.1 ENVIRONMENTAL CONTROLS 4.1 環境の制御
4.2 PAD CONTROLS 4.2 PADの制御
4.3 IAD CONTROLS 4.3 IADの制御
4.4 IDENTITY DOCUMENT CONTROLS 4.4 身元文書の制御
4.5 PROCEDURAL CONTROLS 4.5 手続的制御
4.6 ORGANISATIONAL CONTROLS 4.6 組織的制御
5. CONCLUSIONS 5. 結論
6. BIBLIOGRAPHY AND REFERENCES 6. 参考文献
6.1 BIBLIOGRAPHY 6.1 参考文献
6.2 REFERENCES 6.2 参照文献
6.3 ENISA PUBLICATIONS 6.3 ENISA出版物
7. ANNEX A: GOOD PRACTICES OVERVIEW 7. 附属書A:優れた実践の概要
8. ANNEX B: CHAPTER 3 EXAMPLES & FIGURES 8. 附属書B:第3章 事例と図表
9. ANNEX C: REAL PRESENTATION ATTACK EXAMPLES 9. 附属書C:実際のプレゼンテーション攻撃例

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー
Over the last decade, an accelerating digital transformation is being observed, which has provided numerous benefits to European society and the economy by facilitating trade and the provision of services, creating new opportunities for businesses and increasing productivity and economic gain. Furthermore, the pandemic highlighted the significance of well-regulated and standardised remote identification processes, along with trustworthy digital identities on which public and private sector organisations may rely. These elements are also emphasised in the planned eIDAS revision (eIDAS 2.0), which will provide all EU citizens with safe and transparent access to a new generation of electronic services, including the EU digital identity wallet (EUDIW). These developments are part of the Commission’s wider vision for Europe’s digital transformation, Europe’s Digital Decade ([1]), setting concrete objectives and targets for a secure, safe, sustainable and people-centric digital transformation by 2030.  この10年間で、デジタルトランスフォーメーションは加速しており、貿易やサービス提供の円滑化、ビジネスの新たな機会の創出、生産性や経済的利益の向上など、欧州社会や経済に多くの恩恵をもたらしている。さらに、パンデミックは、公的機関や民間組織が信頼できるデジタルIDとともに、十分に規制され標準化された遠隔地での本人確認プロセスの重要性を浮き彫りにした。これらの要素は、EUデジタルIDウォレット(EUDIW)を含む新世代の電子サービスへの安全で透明性の高いアクセスをすべてのEU市民に提供するために計画されているeIDASの改訂(eIDAS 2.0)においても強調されている。これらの開発は、欧州委員会の欧州のデジタル変革に関する広範なビジョンである「欧州デジタルの10年」([1])の一環であり、2030年までに安全で、安全で、持続可能で、人々を中心としたデジタル変革を実現するための具体的な目的と目標を定めたものである。
Digital identity and identity verification are core functions of most services foreseen in the above context. Therefore, the need for secure and reliable identity proofing services, deployable quickly, at scale and in a cost-efficient manner intensifies, since it is a key enabler for electronic transactions in the Single Digital Market, and due to the increasing volume and sophistication of attacks.  デジタル ID と ID 検証は、上記の文脈で予見されるほとんどのサービスの中核機能である。したがって、単一デジタル市場における電子取引の重要なイネーブラーであり、攻撃の量と巧妙さが増していることから、迅速かつ大規模でコスト効率の高い方法で展開可能な、安全で信頼性の高い身元証明サービスの必要性が高まっている。
Through this report, ENISA attempts to accomplish the following strategic goals, in the domain of trust services and electronic identification:  本報告書を通じて、ENISA はトラストサービスおよび電子識別の領域で、以下の戦略的目標を達成しようとしている: 
• to increase stakeholders’ awareness;  ・利害関係者の意識を高める; 
• to assist in the risk analysis practices in the rapidly changing threat landscape of identity proofing;  ・身元確認という急速に変化する脅威の状況におけるリスク分析の実践を支援する; 
• to contribute to the development of stronger countermeasures, enhancing the trustworthiness and reliability of remote identity proofing (RIDP) methods.  ・より強力な対策の開発に貢献し、遠隔身元証明(RIDP)手法の信頼性と信頼性を高める。
The motivating factors to produce this report were:  この報告書を作成した動機は以下のとおりである: 
• the recent developments in the attack landscape, causing concerns about the trustworthiness of identity proofing;  ・最近の攻撃状況の進展により、身元証明の信頼性に懸念が生じたこと; 
• requests from various stakeholders regarding up-to-date information and guidance on defensive good practices.  ・さまざまな利害関係者から、防御的な優れた実践に関する最新の情報とガイダンスに関する要望があったこと。
Based on the above, the scope of this report builds and expands on the 2022 ENISA report Remote Identity Proofing – Attacks & Countermeasures ([2]), in an effort to bring novel types of threats and wider ecosystem concerns to the foreground.  上記に基づき、本報告書の範囲は、2022 年の ENISA レポート「Remote Identity Proofing ・Attacks & Countermeasures」([2])をベースに拡張し、新たなタイプの脅威とより広範なエコシステムに関する懸念を前面に押し出すよう努めた。
The information and data analysis phase, which consisted of a literature review, two surveys and subsequent rounds of interviews, identified the following major attacks:  文献レビュー、2 回の調査、およびそれに続くインタビューからなる情報・データ分析段階では、以下の主要な攻撃が特定された: 
• biometric presentation and injection attacks against a human subject’s face;  ・被験者の顔に対するバイオメトリクス・プレゼンテーションおよびインジェクション攻撃 
• presentation and injection attacks against an identity document.  ・身元文書に対するプレゼンテーションおよびインジェクション攻撃
Consideration was given to the nature and developments relating to deepfake attacks and related approaches in offensive and defensive aspects.  ディープフェイク攻撃に関連する性質と進展、および攻撃と防御の側面における関連するアプローチに考察が加えられた。
Next, applicable countermeasures were analysed and proposed as a set of good practices in the domains of environmental, procedural, organisational and technical controls. The rate and sophistication of novel threats require a revised mindset of defence, incorporating preventive and detective approaches.  次に、適用可能な対策が分析され、環境的、手続的、組織的、技術的制御の領域における一連のグッドプラクティスとして提案された。新奇な脅威の速度と巧妙さには、予防と検知のアプローチを取り入れた、防衛の考え方の見直しが必要である。
The report briefly examines attacks relating to identity documents that take place during the evidence validation and information binding phase of RIDP. The two most prominent good practices for defending identity documents were the status lookups in various identity document registries and the scanning of the near-field communication (NFC) chip (where available).  本報告書では、RIDP の証拠検証および情報結合の段階で行われる ID 文書に関連する攻撃を簡単に検 証する。ID 文書を防御するための 2 つの最も顕著な優れた実践は、さまざまな 身元文書登録でのステータス検索と、近距離無線通信(NFC)チップ(利用可能な場 合)のスキャンであった。
Both practices have their own obstacles in the course of their full realisation. Many of the identity document registries are maintained on a voluntary basis and a central, up-to-date registry with all the latest document versions of each Member State does not currently exist. On the other hand, while scanning the NFC chip to verify the holder´s personal information and biometric photo could eliminate several of the synthetic attacks, it is not currently legally and consistently permitted for private entities (trust service providers (TSPs), RIDP providers) across the EU. The inconsistent state of NFC-reading can be thought of as a part of the wider scattered regulatory landscape across the EU relating to the recognition of the remote nature of identity proofing and the assurance level it can provide.  どちらの実践も、その完全な実現にはそれなりの障害がある。身元文書登録の多くは任意ベースで維持されており、各加盟国のすべての最新文書 バージョンを持つ中央の最新登録は現在存在しない。他方、NFC チップをスキャンして所持者の個人情報とバイオメトリクス写真を検証することで、 いくつかの合成攻撃を排除することができるが、現在、EU 全体の民間事業体(トラスト・サービス・ プロバイダ(TSP)、RIDP プロバイダ)には法的に一貫して許可されていない。NFC 読み取りの一貫性のない状態は、身元確認の遠隔の性質とそれが提供できる保証レベルの認識に関連する、EU 全域に散在するより広範な規制状況の一部と考えることができる。
Finally, the report highlights wider concerns of the landscape, unrelated to attacks or technical topics, but capable of affecting the secure adoption and execution of RIDP methods across the EU.  最後に、この報告書は、攻撃や技術的なトピックとは無関係であるが、EU 全体の RIDP 手法の安全な採用と実行に影響を与える可能性のある、より広範な状況の懸念を強調している。

 

 


参考

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.14 ENISA トラストサービス-eIDASエコシステムのクラウドへの安全な移転

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.03.12 ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表

・2021.02.17 ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状)

 

| | Comments (0)

2024.03.20

米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

こんにちは、丸山満彦です。

連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム、サイバートラストマークの規則を採択していますね。。。大統領令EO 14028で消費者向けIoT製品のセキュリティ認証制度をすることになり、サイバートラストマークまで決まりましたからね...

ということで、FCCから最終規則が公表されています...

内容が細かく、まだよく理解できていませんが...

評価基準はNISTが作ることになっていますよね...

 

Federal Communications Commission; FCC

1_20240320044401

・2024.03.15 FCC Adopts Rules for IoT Cybersecurity Labeling Program

    DOC PDF TXT
R&O/Notice of Proposed Rulemaking; NPRM:  R&O/規則制定提案公告
News Releaseabout:  ニュースリリース
Rosenworcel Statement:  ローゼンウォーセルの声明
Starks Statement:   スタークスの声明 
Simington Statement:  シミントンの声明
Gomez Statement:   ゴメスの声明 

 

ニュースリリース...

FCC CREATES VOLUNTARY CYBERSECURITY LABELING PROGRAM FOR SMART PRODUCTS FCC、スマート製品のサイバーセキュリティ自主表示プログラムを創設
‘U.S. Cyber Trust Mark’ Program Will Help Consumers Make Informed Purchasing Decisions and Encourage Manufacturers to Meet Higher Cybersecurity Standards  U.S. Cyber Trust Mark」プログラムは、消費者が十分な情報を得た上で購入を決定することを支援し、製造事業者により高いサイバーセキュリティ標準を満たすよう促すものである。
WASHINGTON, March 14, 2024— The Federal Communications Commission today voted to create a voluntary cybersecurity labeling program for wireless consumer Internet of Things (“IoT”) products.  Under the program, qualifying consumer smart products that meet robust cybersecurity standards will bear a label—including a new “U.S Cyber Trust Mark”—that will help consumers make informed purchasing decisions, differentiate trustworthy products in the marketplace, and create incentives for manufacturers to meet higher cybersecurity standards.  ワシントン、2024年3月14日- 連邦通信委員会は本日、消費者向け無線モノのインターネット(「IoT」)製品を対象とした、サイバーセキュリティに関する自主的な表示プログラムの創設を決定した。 このプログラムでは、消費者が十分な情報を得た上で購入の意思決定を行い、市場で信頼できる製品を差別化し、製造事業者がより高いサイバーセキュリティ基準を満たすためのインセンティブを生み出すのに役立つ、強固なサイバーセキュリティ標準を満たした適格な消費者向けスマート製品にラベル(新しい "U.S. Cyber Trust Mark "を含む)が付けられる。
With today’s action, the Commission has adopted the rules and framework for the program to move forward.  Among program highlights:     本日の決定により、欧州委員会はこのプログラムを推進するための規則と枠組みを採択した。 プログラムのハイライトは以下の通りである:    
· The U.S. Cyber Trust Mark logo will initially appear on wireless consumer IoT products that meet the program’s cybersecurity standards.   ・U.S. Cyber Trust Markのロゴはまず,同プログラムのサイバーセキュリティ標準を満たした消費者向けワイヤレスIoT製品に表示される。
· The logo will be accompanied by a QR code that consumers can scan for easy-to-understand details about the security of the product, such as the support period for the product and whether software patches and security updates are automatic. ・このロゴにはQRコードが添付され、消費者はこれをスキャンすることで、製品のサポート期間、ソフトウェア・パッチやセキュリティ・アップデートの自動更新の有無など、製品のセキュリティに関する詳細をわかりやすく確認することができる。
· The voluntary program will rely on public-private collaboration, with the FCC providing oversight and approved third-party label administrators managing activities such as evaluating product applications, authorizing use of the label, and consumer education. ・この自主プログラムは、FCCが監督をし、承認された第三者管理者が製品申請の評価、ラベル使用の認可、消費者教育などの活動を管理するという、官民協力に頼ることになる。
· Compliance testing will be handled by accredited labs.  ・適合試験は、認定された研究所が担当する。
· Examples of eligible products may include home security cameras, voice-activated shopping devices, internet-connected appliances, fitness trackers, garage door openers, and baby monitors.  ・対象となる製品の例としては、ホームセキュリティカメラ、音声機能付きショッピング機器、インターネットに接続された家電製品、フィットネストラッカー、ガレージドアオープナー、ベビーモニターなどが挙げられる。
The Commission is also seeking public comment on additional potential disclosure requirements, including whether software or firmware for a product is developed or deployed by a company located in a country that presents national security concerns and whether customer data collected by the product will be sent to servers located in such a country. 欧州委員会はまた、製品のソフトウェアやファームウェアが、国家安全保障上の懸念がある国に所在する企業によって開発または導入されているかどうか、製品によって収集された顧客データがそのような国に所在するサーバーに送信されるかどうかなど、追加的な情報開示要件の可能性についてもパブリックコメントを求めている。
There are a wide range of consumer IoT products on the market that communicate over wireless networks.  These products are made up of various devices, and are based on many technologies, each of which presents its own set of security challenges.  Last August, the Commission proposed and sought comment on developing the voluntary cybersecurity labeling program for IoT.  The rules adopted today are based on that record.   市場には、無線ネットワークを介してコミュニケーションする消費者向けIoT製品が幅広く存在する。 これらの製品は様々なデバイスで構成され、多くの技術に基づいており、それぞれが独自のセキュリティ上の課題を提示している。 委員会は昨年8月、IoT向けのサイバーセキュリティ自主表示プログラムの策定を提案し、意見を求めた。 本日採択された規則は、その記録に基づいている。 
According to one third party estimate, there were more than 1.5 billion attacks against IoT devices in the first six months of 2021 alone.  Others estimate that there will be more than 25 billion connected IoT devices in operation by 2030.  The cybersecurity labeling program builds on the significant public and private sector work already underway on IoT cybersecurity and labeling, emphasizing the importance of continued partnership so that consumers can enjoy the benefits of this technology with greater confidence and trust. あるサードパーティーの試算によると、IoT機器に対する攻撃は2021年の最初の6カ月間だけで15億件以上あったという。 また、2030年までに250億台以上のコネクテッドIoTデバイスが稼動するとの予測もある。 サイバーセキュリティの表示プログラムは、IoTサイバーセキュリティと表示に関してすでに進められている官民の重要な取り組みを土台とするもので、消費者がこの技術の恩恵をより大きな自信と信頼をもって享受できるよう、継続的なパートナーシップの重要性を強調するものである。
Action by the Commission March 14, 2024 by Report and Order (FCC 24-26).  Chairwoman Rosenworcel, Commissioners Carr, Starks, Simington, and Gomez approving.  Chairwoman Rosenworcel, Commissioners Starks, Simington, and Gomez issuing separate statements. 2024年3月14日、報告および命令(FCC 24-26)による委員会の措置。 Rosenworcel委員長、Carr委員、Starks委員、Simington委員、Gomez委員が承認した。 Rosenworcel委員長、Starks委員、Simington委員、およびGomez委員は、個別に声明を発表した。

 

R&O/Notice of Proposed Rulemaking; NPRM

目次...

I.      INTRODUCTION I. 序文
II.     BACKGROUND II. 背景
A.      The Internet of Things (IoT) Landscape  A. モノのインターネット(IoT)の展望
B.      Public and Private IoT Security Efforts  B. 官民のIoTセキュリティへの取り組み
III.    REPORT AND ORDER  III. 報告と要求
A.      Voluntary IoT Labeling Program A. IoTラベリング・プログラム
B.      Eligible Devices or Products  B. 対象となる機器または製品
C.      Oversight and Management of the IoT Labeling Program  C. IoTラベリング・プログラムの監督と管理
1.      Fostering Close Public-Private Collaboration 1 緊密な官民協働を育む
2.      Cybersecurity Label Administrators (CLAs)    2 サイバーセキュリティラベル管理者 (CLA)
3.      Responsibilities of the Lead Administrator and CLAs  3 主管理者とCLAの責務
4.      Selecting CLAs and Revoking Authority to Grant Applications to Use the FCC IoT Label  4 CLA の選定と FCC IoT ラベルの使用申請を許可する認可の取り消し
D.      CyberLABs, CLA-Run Labs, and In-House Testing Labs   D. サイバーラボ、CLA運営ラボ、社内テストラボ
E.      Two-Step Process for Obtaining Authority to Use the FCC IoT Label  E. FCC IoTラベルを使用する認可を得るための2段階のプロセス
1.      Product Testing by an Accredited and Recognized Lab   1 認定ラボによる製品テスト
2.      Filing an Application with a CLA   2 CLAへの申請
F.      Consumer IoT Product Cybersecurity Criteria and Standards  F. 消費者向けIoT製品のサイバーセキュリティ基準と標準
G.      The FCC IoT Label (Cyber Trust Mark and QR Code)    G. FCC IoTラベル(サイバートラストマークとQRコード)
H.      Registry   H. レジストリ
I.      Continuing Obligations of Entities Authorized to Use the FCC IoT Label  I. FCC IoTラベルの使用を認可された事業体の継続義務
J.      Audits, Post-Market Surveillance, and Enforcement    J. 監査、市販後調査、執行
K.      International Reciprocal Recognition of the Cyber Trust Mark  K. サイバートラストマークの国際相互承認
L.      Consumer Education   L. 消費者教育
M.      Cost/Benefit Analysis  M. コスト/便益分析
IV.     LEGAL AUTHORITY IV. 法的認可
V.      FURTHER NOTICE OF PROPOSED RULEMAKING   V. 規則制定案の追加通知
VI.     PROCEDURAL MATTERS    VI. 手続き的マトリックス
VII.    ORDERING CLAUSES  VII. 要求条項
APPENDIX A – FINAL RULES 附属書A 最終規則 
APPENDIX B – FINAL REGULATORY FLEXIBILITY ANALYSIS 附属書B 最終規制柔軟性分析 
APPENDIX C – INITIAL REGULATORY FLEXIBILITY ANALYSIS 附属書C 初回規制柔軟性分析 

 

・[DOCX] 仮訳

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

 

 

| | Comments (0)

2024.03.19

欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

こんにちは、丸山満彦です。

すでに多くのメディアがとりあげられているのですが、欧州のAI法と、サイバーレジリエンス法が、欧州議会で採択(adopt)されましたね...

欧州理事会で採択されると、確定しますね。

一方、日本でも

総務省と経済産業省によって、AI事業者ガイドラインがほぼ決まり...ましたよね...

ただ、こちらは事業者に対する話であって、社会にAIをどのように実装するのか?という話ではないですね...法執行機関や軍がどのように利用するのか?という観点も本来的にはあってもよいかもです...

そうなると、省庁のガイドラインではなく、法律ということになるのでしょうね...民主主義、基本的人権という観点から考えると本来的には民間人の利用より、政府の利用についての検討が重要なような気もしますけどね...

 

一方、サイバーレジリエンス法にたいするものとして、経済産業省がIoT製品に対するセキュリティ適合性評価制度を検討し、意見募集をしていますよね...

こちらも法制化ではなくガイドラインですね...米国のようなマーケットを使ったインセンティブも十分ではないような気もしますが、認証好きといわれる日本企業なので、認証制度をつくれば普及するのかもしれません... 

 

このあたりの違いは、EUの価値観にふれているこのブログのこの記事とかも...

 

1_20240319030501

 

European Parliament - News

プレス...

 

AI法...

・2024.03.13 Artificial Intelligence Act: MEPs adopt landmark law

Artificial Intelligence Act: MEPs adopt landmark law 人工知能法 欧州議会が画期的な法律を採択
・Safeguards on general purpose artificial intelligence ・汎用人工知能に関するセーフガード
・Limits on the use of biometric identification systems by law enforcement ・法執行機関による生体認証システムの使用制限
・Bans on social scoring and AI used to manipulate or exploit user vulnerabilities ・ソーシャル・スコアリングや、ユーザーの脆弱性を操作または悪用するために使用されるAIを禁止する。
・Right of consumers to launch complaints and receive meaningful explanations ・消費者が苦情を申し立て、有意義な説明を受ける権利
On Wednesday, Parliament approved the Artificial Intelligence Act that ensures safety and compliance with fundamental rights, while boosting innovation. 水曜日、議会は、安全性と基本的権利の遵守を確保し、イノベーションを促進する人工知能法を承認した。
The regulation, agreed in negotiations with member states in December 2023, was endorsed by MEPs with 523 votes in favour, 46 against and 49 abstentions. 2023年12月に加盟国との交渉で合意されたこの規則は、賛成523票、反対46票、棄権49票で欧州議会により承認された。
It aims to protect fundamental rights, democracy, the rule of law and environmental sustainability from high-risk AI, while boosting innovation and establishing Europe as a leader in the field. The regulation establishes obligations for AI based on its potential risks and level of impact. 同規則は、リスクの高いAIから基本的権利、民主主義、法の支配、環境の持続可能性を守るとともに、イノベーションを促進し、欧州をこの分野のリーダーとして確立することを目的としている。同規則は、AIの潜在的リスクと影響度に基づき、AIに対する義務を定めている。
Banned applications 禁止されるアプリケーション
The new rules ban certain AI applications that threaten citizens’ rights, including biometric categorisation systems based on sensitive characteristics and untargeted scraping of facial images from the internet or CCTV footage to create facial recognition databases. Emotion recognition in the workplace and schools, social scoring, predictive policing (when it is based solely on profiling a person or assessing their characteristics), and AI that manipulates human behaviour or exploits people’s vulnerabilities will also be forbidden. 新規則は、市民の権利を脅かす特定のAIアプリケーションを禁止している。これには、敏感な特徴に基づくバイオメトリクス分類システムや、顔認識データベースを作成するためのインターネットやCCTV映像からの顔画像の非標的なスクレイピングなどが含まれる。職場や学校での感情認識、ソーシャルスコアリング、予測的取り締まり(人物のプロファイリングや特性の評価のみに基づく場合)、人間の行動を操作したり、人々の脆弱性を悪用したりするAIも禁止される。
Law enforcement exemptions 法執行機関の適用除外
The use of biometric identification systems (RBI) by law enforcement is prohibited in principle, except in exhaustively listed and narrowly defined situations. “Real-time” RBI can only be deployed if strict safeguards are met, e.g. its use is limited in time and geographic scope and subject to specific prior judicial or administrative authorisation. Such uses may include, for example, a targeted search of a missing person or preventing a terrorist attack. Using such systems post-facto (“post-remote RBI”) is considered a high-risk use case, requiring judicial authorisation being linked to a criminal offence. 法執行機関によるバイオメトリクス識別システム(RBI)の使用は、網羅的に列挙された狭義の状況を除き、原則として禁止される。「リアルタイム」 RBI は、厳格な保護措置が満たされる場合、例えば、その使用が時間的・地理的範囲に限定され、特 定の事前の司法または行政の認可を受ける場合にのみ、導入することができる。このような用途には、例えば、行方不明者の標的を絞った捜索や、テロ攻撃の防止などが含まれる。このようなシステムを事後的に使用すること(「事後リモートRBI」)は、リスクの高いユースケースとみなされ、犯罪に結びつく司法認可を必要とする。
Obligations for high-risk systems リスクの高いシステムに対する義務
Clear obligations are also foreseen for other high-risk AI systems (due to their significant potential harm to health, safety, fundamental rights, environment, democracy and the rule of law). Examples of high-risk AI uses include critical infrastructure, education and vocational training, employment, essential private and public services (e.g. healthcare, banking), certain systems in law enforcement, migration and border management, justice and democratic processes (e.g. influencing elections). Such systems must assess and reduce risks, maintain use logs, be transparent and accurate, and ensure human oversight. Citizens will have a right to submit complaints about AI systems and receive explanations about decisions based on high-risk AI systems that affect their rights. その他のリスクの高いAIシステム(健康、安全、基本的権利、環境、民主主義、法の支配に重大な害を及ぼす可能性があるため)についても、明確な義務が定められている。リスクの高いAI利用の例としては、重要インフラ、教育・職業訓練、雇用、不可欠な民間・公共サービス(医療、銀行など)、法執行、移民・国境マネジメント、司法、民主的プロセス(選挙への影響など)における特定のシステムが挙げられる。このようなシステムは、リスクをアセスメントして削減し、使用ログを維持し、透明性と正確性を確保し、人間の監視を保証しなければならない。市民は、AIシステムに関する苦情を提出し、権利に影響を及ぼすリスクの高いAIシステムに基づく決定について説明を受ける権利を有する。
Transparency requirements 透明性の要件
General-purpose AI (GPAI) systems, and the GPAI models they are based on, must meet certain transparency requirements, including compliance with EU copyright law and publishing detailed summaries of the content used for training. The more powerful GPAI models that could pose systemic risks will face additional requirements, including performing model evaluations, assessing and mitigating systemic risks, and reporting on incidents. 汎用AI(GPAI)システムとそのベースとなるGPAIモデルは、EUの著作権法を遵守し、トレーニングに使用されたコンテンツの詳細な要約を公開するなど、一定の透明性要件を満たさなければならない。システミック・リスクを引き起こす可能性のあるより強力なGPAIモデルは、モデル評価の実施、システミック・リスクのアセスメントと低減、インシデントに関する報告などの追加要件に直面することになる。
Additionally, artificial or manipulated images, audio or video content (“deepfakes”) need to be clearly labelled as such. さらに、人為的または操作された画像、音声、映像コンテンツ(「ディープフェイク」)は、そのように明確に表示される必要がある。
Measures to support innovation and SMEs イノベーションと中小企業を支援する措置
Regulatory sandboxes and real-world testing will have to be established at the national level, and made accessible to SMEs and start-ups, to develop and train innovative AI before its placement on the market. 革新的なAIを開発し、市場に投入する前に訓練するために、規制上のサンドボックスと実世界でのテストを国レベルで確立し、中小企業や新興企業が利用できるようにする必要がある。
Quotes 引用
During the plenary debate on Tuesday, the Internal Market Committee co-rapporteur Brando Benifei (S&D, Italy) said: “We finally have the world’s first binding law on artificial intelligence, to reduce risks, create opportunities, combat discrimination, and bring transparency. Thanks to Parliament, unacceptable AI practices will be banned in Europe and the rights of workers and citizens will be protected. The AI Office will now be set up to support companies to start complying with the rules before they enter into force. We ensured that human beings and European values are at the very centre of AI’s development”. 火曜日の本会議討論で、域内市場委員会の共同報告者であるブランド・ベニフェイ(S&D、イタリア)は次のように述べた: 「リスクを削減し、機会を創出し、識別的と闘い、透明性をもたらすために、我々はついに人工知能に関する世界初の拘束力のある法律を手に入れた。議会のおかげで、欧州では容認できないAIの実践が禁止され、労働者と市民の権利が保護されることになる。今後、AI事務局が設置され、規則発効前に企業が規則の遵守を開始できるよう支援する。我々は、人間と欧州の価値観がAI開発の中心にあることを確実にした」と述べた。
Civil Liberties Committee co-rapporteur Dragos Tudorache (Renew, Romania) said: “The EU has delivered. We have linked the concept of artificial intelligence to the fundamental values that form the basis of our societies. However, much work lies ahead that goes beyond the AI Act itself. AI will push us to rethink the social contract at the heart of our democracies, our education models, labour markets, and the way we conduct warfare. The AI Act is a starting point for a new model of governance built around technology. We must now focus on putting this law into practice”. 自由人権委員会の共同報告者であるドラゴス・トゥドラチェ氏(ルーマニア、Renew)は、次のように述べた: 「EUは実現した。私たちは、人工知能の概念を、私たちの社会の基礎を形成する基本的価値観と結びつけた。しかし、AI法そのものにとどまらず、多くの課題が横たわっている。AIは、私たちの民主主義、教育モデル、労働市場、戦争遂行方法の核心にある社会契約の再考を私たちに迫るだろう。AI法は、テクノロジーを中心とした新たなガバナンス・モデルの出発点である。我々は今、この法律を実践に移すことに集中しなければならない」。
Next steps 次のステップ
The regulation is still subject to a final lawyer-linguist check and is expected to be finally adopted before the end of the legislature (through the so-called corrigendum procedure). The law also needs to be formally endorsed by the Council. この規則はまだ弁護士と言語学者による最終チェックを受けており、立法府が終了する前に最終的に採択される見込みである(いわゆる正誤表手続きによる)。また、同法は正式に理事会の承認を得る必要がある。
It will enter into force twenty days after its publication in the official Journal, and be fully applicable 24 months after its entry into force, except for: bans on prohibited practises, which will apply six months after the entry into force date; codes of practise (nine months after entry into force); general-purpose AI rules including governance (12 months after entry into force); and obligations for high-risk systems (36 months). 発効は官報公布の20日後となり、発効から24ヵ月後に完全に適用される。ただし、禁止行為の禁止(発効から6ヵ月後に適用)、実践規範(発効から9ヵ月後)、ガバナンスを含むAI汎用規則(発効から12ヵ月後)、ハイリスクシステムに関する義務(36ヵ月後)は例外となる。
Background 背景
The Artificial Intelligence Act responds directly to citizens’ proposals from the Conference on the Future of Europe (COFE), most concretely to proposal 12(10) on enhancing EU’s competitiveness in strategic sectors, proposal 33(5) on a safe and trustworthy society, including countering disinformation and ensuring humans are ultimately in control, proposal 35 on promoting digital innovation, (3) while ensuring human oversight and (8) trustworthy and responsible use of AI, setting safeguards and ensuring transparency, and proposal 37 (3) on using AI and digital tools to improve citizens’ access to information, including persons with disabilities. 人工知能法は、欧州未来会議(COFE)の市民提案に直接対応するもので、具体的には、戦略的分野におけるEUの競争力強化に関する提案12(10)、偽情報への対応や人間が最終的にコントロールできるようにすることを含む、安全で信頼できる社会に関する提案33(5)に対応する、 デジタル・イノベーションの促進に関する第35号議案(3)人間の監視を確保しつつ、(8)信頼できる責任あるAIの利用、セーフガードの設定と透明性の確保、および、障害者を含む市民の情報へのアクセスを改善するためのAIとデジタルツールの利用に関する第37号議案(3)である。
Further information 詳細情報
Link to adopted text (13.03.2024) 採択文書(13.03.2024)へのリンク
Plenary debate (12.03.2024) 本会議討論(12.03.2024)
Procedure file 手続きファイル
EP Research Service: compilation of studies on Artificial Intelligence EPリサーチ・サービス: 人工知能に関する研究のまとめ
Result of roll-call votes (13.03.2024) 採決結果(13.03.2024)
Committee on the Internal Market and Consumer Protection 域内市場・消費者防御委員会
Committee on Civil Liberties, Justice and Home Affairs 自由・司法・内務委員会

 

・2024.03.13 採択文書

Artificial Intelligence Act

・[PDF]

20240319-30306

・[DOCX]

 

 


 

次は、

サイバーレジリエンス法...

・2024.03.12 Cyber Resilience Act: MEPs adopt plans to boost security of digital products

Cyber Resilience Act: MEPs adopt plans to boost security of digital products サイバー・レジリエンス法: 欧州議会はデジタル製品のセキュリティを強化する計画を採択する
・More robust cybersecurity for all products with digital elements ・デジタル要素を含むすべての製品に対し、より強固なサイバーセキュリティを提供する。
・Covers everyday products like connected doorbells, baby monitors and Wi-Fi routers ・コネクテッド・ドアベル、ベビーモニター、Wi-Fiルーターなどの日常的な製品を対象とする。
・Security updates to be applied automatically when technically feasible ・技術的に可能な場合、セキュリティアップデートを自動的に適用する。
On Tuesday, Parliament approved new cyber resilience standards to protect all digital products in the EU from cyber threats. 火曜日、欧州議会は、EU域内のすべてのデジタル製品をサイバー脅威から守るための新しいレジリエンス標準を承認した。
The regulation, already agreed with Council in December 2023, aims to ensure that products with digital features are secure to use, resilient against cyber threats and provide enough information about their security properties. すでに2023年12月にEU理事会と合意しているこの規制は、デジタル機能を備えた製品の安全な使用、サイバー脅威に対するレジリエンス、セキュリティ特性に関する十分な情報の提供を保証することを目的としている。
Important and critical products will be put into different lists based on their criticality and the level of cybersecurity risk they pose. The two lists will be proposed and updated by the European Commission. Products deemed to pose a higher cybersecurity risk will be examined more stringently by a notified body, while others may go through a lighter conformity assessment process, often managed internally by the manufacturers. 重要な製品や重要な製品は、その重要性とサイバーセキュリティリスクのレベルに応じて、異なるリストに分類される。この2つのリストは欧州委員会が提案し、更新される。より高いサイバーセキュリティ・リスクをもたらすとみなされた製品は、被認証団体によってより厳格に審査されることになるが、それ以外の団体は、多くの場合製造事業者が内部で管理する、より軽い適合性評価プロセスを経ることになるかもしれない。
During the negotiations, MEPs made sure that products such as identity management systems software, password managers, biometric readers, smart home assistants and private security cameras are covered by the new rules. Products should also have security updates installed automatically and separately from functionality updates. 交渉の間、欧州議会議員は、ID管理システムソフトウェア、パスワードマネージャー、バイオメトリックリーダー、スマートホームアシスタント、プライベートセキュリティカメラなどの製品が新規則の対象となることを確認した。また、製品には機能アップデートとは別に、セキュリティアップデートが自動的にインストールされるべきである。
MEPs also pushed for the European Union Agency for Cybersecurity (ENISA) to be more closely involved when vulnerabilities are found and incidents occur. The agency will be notified by the member state concerned and receive information so it can assess the situation and, if it identifies a systemic risk, will inform other member states so they are able to take the necessary steps. 欧州議会議員はまた、脆弱性が発見されインシデントが発生した場合、欧州連合サイバーセキュリティ機関(ENISA)がより密接に関与するよう求めた。同機関は、関係加盟国から通知を受け、状況を評価できるよう情報を受け取り、システムリスクを識別した場合は、他の加盟国に通知し、必要な措置を講じることができるようにする。
To emphasise the importance of professional skills in the cybersecurity field, MEPs also introduced education and training programmes, collaborative initiatives, and strategies to enhance workforce mobility in the regulation. また、サイバーセキュリティ分野における専門スキルの重要性を強調するため、欧州議会議員らは、教育・訓練プログラム、共同イニシアティブ、労働力の流動性を高める戦略も同規則に導入した。
Quote 引用
Lead MEP Nicola Danti (Renew, IT) said: “The Cyber Resilience Act will strengthen the cybersecurity of connected products, tackling vulnerabilities in hardware and software alike, making the EU a safer and more resilient continent. Parliament has protected supply chains ensuring that key products such as routers and antiviruses are a priority for cybersecurity. We have ensured support for micro and small enterprises, better involvement of stakeholders, and addressed the concerns of the open-source community, while staying ambitious. Only together will we be able to tackle successfully the cybersecurity emergency that awaits us in the coming years. ニコラ・ダンチ欧州議会議員(刷新、IT)は次のように述べた: 「サイバーレジリエンス法は、コネクテッド製品のサイバーセキュリティを強化し、ハードウェアとソフトウェアの脆弱性に取り組むことで、EUをより安全でレジリエンスの高い大陸にする。議会は、ルーターやアンチウイルスなどの主要製品がサイバーセキュリティの優先事項であることを保証し、サプライチェーンを保護してきた。私たちは、野心的であり続けながら、零細・小規模エンタープライズへの支援を確保し、利害関係者の関与を高め、オープンソースコミュニティの懸念に対処してきた。今後数年間に待ち受けるサイバーセキュリティの緊急事態に成功裏に取り組むことができるのは、我々だけである。"
Next steps 次のステップ
The legislation was approved with 517 votes in favour, 12 against and 78 abstentions. It will now have to be formally adopted by Council, too, in order to come into law. 法案は、賛成517票、反対12票、棄権78票で承認された。この法案が成立するためには、今後、理事会でも正式に採択される必要がある。
Background 背景
New technologies come with new risks, and the impact of cyber-attacks through digital products has increased dramatically in recent years. Consumers have fallen victim to security flaws linked to digital products such as baby monitors, robot-vacuum cleaners, Wi-Fi routers and alarm systems. For businesses, the importance of ensuring that digital products in the supply chain are secure has become pivotal, considering three in five vendors have already lost money due to product security gaps. 新しい技術には新しいリスクがつきものであり、デジタル製品を介したサイバー攻撃の影響は近年劇的に増加している。消費者は、ベビーモニター、ロボット掃除機、Wi-Fiルーター、警報システムなどのデジタル製品に関連したセキュリティ欠陥の犠牲になっている。企業にとっては、サプライチェーンにおけるデジタル製品の安全性を確保することが重要な事業者となっており、すでに5社に3社のベンダーが製品のセキュリティ・ギャップのために損失を被っている。
Further information 詳細情報
Adopted text (12.03.2024) 採択テキスト(12.03.2024)
Video recording of the debate (11.03.2024) 討論会のビデオ録画 (11.03.2024)
Committee on Industry, Research and Energy 産業・研究・エネルギー委員会
Procedure file 手続きファイル
EP research briefing EP研究ブリーフィング
Legislative train 立法流れ

 

・2024.03.12 採択文書

Cyber Resilience Act

・[PDF]

20240319-31900

・[DOCX]

 


 

参考

まるちゃんの情報セキュリティ気まぐれ日記

AI法

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

サイバーレジリエンス法 (CRA)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

| | Comments (0)

より以前の記事一覧