米国 FBI-IC3が盗んだ個人情報とディープフェイクを利用してリモートワーク等に応募していると警告していますね。。。

こんにちは、丸山満彦です。

ディープフェイクが身近になってくると、こういう事件は起こってきますよね。。。

2020年の第24回サイバー犯罪に関する白浜シンポジウムのテーマが、「ＡＩはサイバーセキュリティの夢を見るか？」で私も『スマートサイバー　AI活用時代のサイバーリスク管理』 という演題で講演しましたが、ここで、フェイク動画についてのなりすましについて簡単に紹介しました。。。

・[PDF] スマートサイバー AI活用時代のサイバーリスク管理

今回の場合は、リモート面接においての話ですが、特定の人の顔画像、音声情報、個人の履歴書等を盗み、その人になりすまし、AIを活用して本人になりすまし、機密情報に触れられる職に就き、必要な機密情報を盗むということが、これから日常的になるのでしょうかね。。。

懸念していたことが、現実社会においても広がってきているという状況ですね。。。そして、今後ますます広がっていくでしょうね。。。

 

 ● Federal Bureau of Investigation - Internet Crime Complaint Center: FBI-ICS3

・2022.06.28 Deepfakes and Stolen PII Utilized to Apply for Remote Work Positions

Deepfakes and Stolen PII Utilized to Apply for Remote Work Positions	リモートワークの応募にディープフェイクや盗まれた個人情報が利用される事例が発生
The FBI Internet Crime Complaint Center (IC3) warns of an increase in complaints reporting the use of deepfakes and stolen Personally Identifiable Information (PII) to apply for a variety of remote work and work-at-home positions. Deepfakes include a video, an image, or recording convincingly altered and manipulated to misrepresent someone as doing or saying something that was not actually done or said.	FBIインターネット犯罪苦情センター（IC3）は、様々なリモートワークや在宅勤務の職種に応募するために、ディープフェイクと盗まれた個人識別情報（PII）が使用されているという苦情が増加していることを警告する。ディープフェイクとは、ビデオ、画像、または録音を説得力を持って改変・操作し、実際には行われていないことを誰かが行った、または言ったと誤解させるようなものを指す。
The remote work or work-from-home positions identified in these reports include information technology and computer programming, database, and software related job functions. Notably, some reported positions include access to customer PII, financial data, corporate IT databases and/or proprietary information.	この報告書に記載されているリモートワークや在宅勤務の職種には、情報技術、コンピュータ・プログラミング、データベース、ソフトウェア関連の職務が含まれている。特に、顧客の個人情報、財務データ、企業のITデータベースおよび/または専有情報にアクセスする職種が含まれていることが報告されている。
Complaints report the use of voice spoofing, or potentially voice deepfakes, during online interviews of the potential applicants. In these interviews, the actions and lip movement of the person seen interviewed on-camera do not completely coordinate with the audio of the person speaking. At times, actions such as coughing, sneezing, or other auditory actions are not aligned with what is presented visually.	苦情では、応募者のオンライン面接において、音声スプーフィング、または潜在的な音声ディープフェイクが使用されていることが報告されている。これらの面接では、カメラで撮影された面接者の動作や唇の動きが、話している人の音声と完全に一致していない。咳やくしゃみなどの聴覚的な動作と、視覚的に提示された動作が一致しないことがある。
IC3 complaints also depict the use of stolen PII to apply for these remote positions. Victims have reported the use of their identities and pre-employment background checks discovered PII given by some of the applicants belonged to another individual.	また、IC3への苦情では、遠隔地のポジションに応募するために、盗まれた個人情報が使用されていることが指摘されている。被害者は、自分のIDが使用されたことを報告し、雇用前のバックグラウンド・チェックで、応募者の何人かが提供したPIIが別の個人のものであることを発見した。

 

 

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.03.20 米国 カーネギーメロン大学ソフトウェア工学研究所 Deep Fakeの作成と検出はどの程度簡単か？

・2022.01.26 英国王立学会 オンライン情報環境（フェイク情報は削除すべき、削除すべきでない？）at 2022.01.19

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意：あなたの顔が偽装される可能性があります

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク　ユースケース：法執行機関の捜査」 at 2021.10.05

・2021.10.12 中国 科学技術部 新世代の人工知能倫理規定 at 2021.09.26

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.21 米国 上院議員がデータ保護法案を再提出

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報：対処しても対処しきれない

・2021.01.26 RAND研究所 真実の崩壊に対抗するためのメディアリテラシー標準についての報告

・2021.01.18 新聞紙学的（平和博さんのブログ） - ディープフェイクスにどれだけ騙される？　意外な実験結果とは

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.11.23 Europol, UNICRI, Trendmicro 犯罪者もAIを活用！（ディープフェイクだけではない）

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.12 欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

・2020.09.04 マイクロソフトがDeepfake検出ツールを発表してました。。。

・2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書（少し前ですが・・・）

・2020.07.02 ディズニーがメガピクセルのディープフェイクで映画？

・2020.04.20 別人になりきってオンラインビデオ会議に参加できるオープンソースのディープフェイクツール「Avatarify」...

・2020.01.27 Deepfake

ENISA 年次プライバシーフォーラム (APF) 2022 in Warsaw (2022.06.24)

こんにちは、丸山満彦です。

ENISAが2022.06.23-24にワルシャワで開催された第10回年次プライバシーフォーラム (APF) 2022 の概要を公表していますね。。。

● ENISA

・2022.06.24 The Annual Privacy Forum (APF) celebrates its first 10 years, as the links between privacy protection & cybersecurity continue to grow

パネルディスカッションでは、次の3つが議論されたようですね。。。

AI and privacy challenges	AIとプライバシーの課題
privacy preserving data sharing	プライバシー保護データ共有
Privacy by Design and cookies.	プライバシーバイデザインとCookie

 

Key take-aways	主な成果
What became clear from the discussion is that:	今回のディスカッションで明らかになったことは、以下の通りである。
The issues touched upon at the APF affect an ever-broader cross-sector of stakeholders and the open debate needs to continue.	APFで取り上げられた問題は、これまで以上に幅広いステークホルダーに影響を与えており、オープンな議論を継続する必要がある。
AI systems may process personal information independently without taking into account compliance with GDPR data protection principles such as: purpose limitation, data minimization, accountability, fairness or transparency. This may lead to unexpected consequences and negative impacts for individuals, demanding action in terms of adequate safeguards.	AIシステムは、目的の限定、データの最小化、説明責任、公平性、透明性といったGDPRデータ保護原則の遵守を考慮することなく、独自に個人情報を処理する可能性がある。これは、個人にとって予期せぬ結果や悪影響をもたらす可能性があり、適切な保護措置の観点からの対応を要求している。
The risks for privacy stemming from the rapid advancement of digital solutions and the use of multiple sources represent ever-moving targets. They require an approach which addresses the continuously evolving technological and legal challenges, such as:	デジタルソリューションの急速な発展と複数の情報源の利用から生じるプライバシーに関するリスクは、常に変化する標的である。それらは、以下のような継続的に進化する技術的・法的課題に対処するアプローチを必要とする。
・The rule-based use of large AI models in relation to how they may be combined and for what purposes they should be used;	・大規模なAIモデルをどのように組み合わせ、どのような目的で使用するかに関連するルールベースの使用。
・The definition of criteria for trustworthiness in the technologies used providing a sufficient, adequate and meaningful information to users of the technologies and the data subjects;	・技術の利用者とデータ対象者に十分で適切かつ意味のある情報を提供するために使用される技術の信頼性基準の定義。
・Drawing attention to the increasing power of large platforms to predict data subject behaviour and considering a rule-based approach on collective data protection in addition to data subject protection;	・データ主体の行動を予測する大規模なプラットフォームの力が増大していることに注意を喚起し、データ主体の保護に加えて、集団データ保護に関する規則に基づくアプローチを検討すること。
・A collaboration strategy between DPAs which fosters effective enforcement;	・効果的なエンフォースメントを促進するDPA間の連携戦略。
・Privacy preserving data sharing which remains a challenge in the current new EU legislative initiatives. This should take into account the technical aspects of secure date transfers, anti-money laundry and anti-terrorism enforcement, as well as the different roles and bodies that are involved in the supervision related to data sharing including which of these bodies acts as the coordinating authority; and finally	・現在のEUの新たな立法措置において課題となっているプライバシーを保護したデータ共有。これは、安全なデータ転送、アンチマネーロンダリング、アンチテロの実施に関する技術的側面と、データ共有に関連する監督に関与する様々な役割や機関（これらの機関のうち誰が調整当局として機能するかを含む）を考慮する必要がある。
・New tools to adequately respond to the new emerging EU Regulations like the Digital Services Act, Digital Markets Act, the AI Act and NIS2 Directive in order to better protect our fundamental rights.	・デジタルサービス法、デジタル市場法、AI法、NIS2指令などの新しいEU規制に適切に対応し、我々の基本的権利をよりよく保護するための新しいツール。
From a privacy regulator perspective, it is important to build bridges between scientific research and the practice in data protection to effectively deal with new technologies. The principles of transparency, interpretability, explainability and fairness are key.	プライバシー規制当局の立場からは、新しい技術に効果的に対処するために、科学的研究とデータ保護の実務の間に橋を架けることが重要である。透明性、解釈可能性、説明可能性、公平性の原則が重要である。
If privacy by design is applied in cookie banners, data subjects would not be required to define the settings, as they are set in a way that only the minimal settings are default. This especially should be the case for third party cookies. The attention of those parties using cookie banners should be placed on explaining the purpose of using cookies instead of technology-based explanations.	クッキーバナーにおいてプライバシー・バイ・デザインが適用されれば、最低限の設定のみがデフォルトとなるように設定されるため、データ主体が設定を定義する必要はなくなるはずである。特にサードパーティのクッキーについてはそうであるべきである。クッキーバナーを使用する側の注意としては、技術的な説明ではなく、クッキーを使用する目的を説明することに重点を置くべきである。
This 10th version of the Annual Privacy Forum provided great points to consider for the challenges ahead and set the scene for future Annual Privacy Forums.	今回の第10回年次プライバシー・フォーラムは、今後の課題を考える上で大きなポイントを提供し、今後の年次プライバシー・フォーラムの舞台を整えた。
The next Annual Privacy Forum is planned in 1st and 2nd of June, 2023 in Lyon, France. The APF invites you to join us in	次回の年次プライバシーフォーラムは、2023年6月1日、2日にフランス・リヨンで開催する予定である。APFは、皆様の参加を待っている。

 

AFP自体のウェブページは、

● Annual Privacy Forum 2022

プログラムは、

・PROGRAMME

メタバースのシステム構成論（佐藤一郎教授の資料 at 総務省 情報通信法学研究会AI分科会（令和4年度第1回会合））

こんにちは、丸山満彦です。

昨日は、欧州議会のThink Tankによるメタバース：機会、リスク、政策への影響について載せましたが、今日は総務省情報通信法学研究会AI分科会（令和4年度第1回会合）の佐藤一郎教授（構成員）のメタバースのシステム構成論です。。。

技術進歩とともに、できることが増えることにより、その結果は良い面にも悪い面にも影響を及ぼす、だからどのような政策が必要かというのが昨日の話ですが、そもそも技術の限界はどのようなものかというのが、今回の佐藤先生の資料から見えてくる部分もあるように思います。

これは読む価値があると思います。。。

個人的には、技術進歩により変わってきている一つの要素に没入感があると思います。演算速度、通信速度が高まり、現実に近い画像解像度、音質を３D的に表現しつつ他人とインタラクティブにコミュニケーションができるようになったきたということですね。。。（と言っても、視覚と聴覚だけですが。。。）

それ以外は既に歴史を振り返って検証すればわかることが多いのではないかと思っています。。。（それも佐藤先生の資料にありますが、、、）

そういう意味では、健康や心理的な側面の検討をより進める必要があるのかもしれません。。。

そして当面は、仮想社会ができても、現実社会との紐付けからは逃れられないようにする必要があるようのではないかと思います。つまり、KYC的なものは必要ということになると思います。。。（人類が仮想空間で過ごす時間が現実空間で過ごす時間より増えても、KYC的なものが必要なのは変わらないのであれば、常に必要ということかもしれない。）

ということで、当面の利用は、少人数による管理された環境下（例えば企業内でのコミュニケーション、会員間でのゲームやシミュレーション等）で使われるのが現実的なのかもしれません。。。

とはいえ、プラットフォーマの手数料も含めたシステム開発費、運用費の負担に比した利用のメリットがどれだけあるのか？？？ということを現実的に突き詰めていく頃には、どのようなものが残っているのかというのは興味があります。。。（もちろん、技術進歩により、同じ性能における開発費や運用費も下がっていくでしょうし。。。）

 

● 総務省  - 情報通信法学研究会 

・2022.06.29 情報通信法学研究会AI分科会（令和4年度第1回会合） 

[PDF] 資料1         佐藤構成員発表資料

[PDF] 資料2         成原構成員解説資料
[PDF] 参考資料1　情報通信法学研究会開催要綱
[PDF] 参考資料2　情報通信法学研究会分科会構成
[PDF] 参考資料3　学術雑誌『情報通信政策研究』第6巻第1号の特集について

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.28 欧州議会 Think Tank メタバース：機会、リスク、政策への影響

・2022.06.09 新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針２０２２

 

 

欧州議会 Think Tank メタバース：機会、リスク、政策への影響

こんにちは、丸山満彦です。

欧州議会のThink Tankが、メタバースをめぐる、機会、リスク、政策への影響について考察したレポートを公表していますね。。。

メタバースというか、仮想現実、拡張現実を利用し、没入感を高めたデジタル環境において、人間社会にどのようなチャンスとリスクがあるのか、それを踏まえてどのような政策が必要かを考察している資料ですね。。。

さすが欧州ですね。日本ではここまで踏み込んで検討していないでしょうね。。。

 

● European Parliament - Think Tank

・2022.06.24 Metaverse: Opportunities, risks and policy implications

Metaverse: Opportunities, risks and policy implications

メタバース：機会、リスク、政策への影響

One of the most talked about concepts in modern technology, the metaverse can be described as an immersive and constant virtual 3D world where people interact by means of an avatar to carry out a wide range of activities. Such activities can range from leisure and gaming to professional and commercial interactions, financial transactions or even health interventions such as surgery. While the exact scope and impact of the metaverse on society and on the economy is still unknown, it can already be seen that the metaverse will open up a range of opportunities but also a number of risks in a variety of policy areas. Major tech companies are scaling up their metaverse activities, including through mergers and acquisitions. This has given impetus to a debate on how merger regulations and antitrust law should apply. Business in the metaverse is expected to be underpinned largely by cryptocurrencies and non-fungible tokens, raising issues of ownership, misuse, interoperability and portability. Furthermore, the huge volume of data used in the metaverse raises a number of data protection and cybersecurity issues (e.g. how to collect user consent or protect avatars against identity theft). There is considerable scope for a wide range of illegal and harmful behaviours and practices in the metaverse environment. This makes it essential to consider how to attribute responsibility, inter alia, for fighting illegal and harmful practices and misleading advertising practices, and for protecting intellectual property rights. Moreover, digital immersion in the metaverse can have severe negative impacts on health, especially for vulnerable groups, such as minors, who may require special protection. Finally, the accessibility and inclusiveness of the metaverse remain areas where progress has still to be made in order to create an environment of equal opportunities.

現代技術で最も話題になっている概念の一つであるメタバースは、人々がアバターによって交流し、様々な活動を行う没入型かつ恒常的な仮想3D世界と表現することができる。このような活動は、レジャーやゲームから、専門家や商人との交流、金融取引、あるいは手術などの健康介入に至るまで、多岐にわたる。メタバースが社会や経済に及ぼす正確な範囲や影響はまだ不明だが、メタバースがさまざまな政策分野において、さまざまな機会をもたらすと同時に、多くのリスクをもたらすことはすでに確認されている。大手ハイテク企業は、M&Aを含め、メタバース活動を拡大している。このため、合併規制や独禁法の適用をどうするかという議論に弾みがついている。メタバースにおけるビジネスは、主に暗号通貨や非ファンジブルトークンに支えられ、所有権、不正使用、相互運用性、ポータビリティの問題が生じると予想される。さらに、メタバースで使用される膨大なデータは、多くのデータ保護とサイバーセキュリティの問題を提起する（例えば、利用者の同意を収集する方法、ID盗難からアバターを保護する方法など）。メタバース環境では、さまざまな違法・有害な行動や行為が行われる可能性がかなりある。このため、特に違法・有害な行為や誤解を招くような広告手法との戦い、および知的財産権の保護について、どのように責任を帰属させるかを検討することが不可欠である。さらに、メタバースにおけるデジタルへの没入は、特に特別な保護を必要とする未成年者などの脆弱な集団にとって、健康に深刻な悪影響を及ぼす可能性がある。最後に、メタバースのアクセシビリティと包摂性は、機会均等の環境を作るために、依然として進展が必要な領域である。

 

検討している内容は、次の７分野で、

o Competition	o 競争
o Data protection	o データ保護
o Liabilities	o 負債
o Financial transactions	o 金融取引
o Cybersecurity	o サイバーセキュリティ
o Health	o 健康
o Accessibility and inclusiveness	o アクセシビリティと包摂性

それぞれ、課題、考えられる政策的影響を分析しています。

非常に参考になると思います。

 

・2022.06.24 [PDF] Metaverse - Opportunities, risks and policy implications

内容は、、、

↓

Continue reading "欧州議会 Think Tank メタバース：機会、リスク、政策への影響"

英国 国防AI戦略 (2022.06.15)

こんにちは、丸山満彦です。

英国国防省が、国防AI戦略を公表していました。。。

よくできているように見えますね。。。

英国は、政策決定の枠組みが決まっているので、品質よく政策が策定、実行されるところもあるのでしょうかね。。。

 

● U.K. Government - Defence and armed forces

・2022.06.15 Policy paper Defence Artificial Intelligence Strategy

・Defence Artificial Intelligence Strategy

 

国防省のAIについてのビジョンは、

Our vision is that, in terms of AI, we will be the world’s most effective, efficient, trusted and influential Defence organisation for our size.

私たちのビジョン：AIという観点から、私たちの規模で、世界で最も効果的、効率的、信頼され、影響力のある国防組織になること。

4つの目標とその具体的な活動...

Objective 1: Transform Defence into an ‘AI ready’ organisation.	目標1：国防を「AIに対応できる」組織へ変革する。
Actions to achieve objective 1: Upskill leaders and workforce, recruit key talent; address policy challenges; modernise digital, data and technology enablers.	目標1を達成するための行動：リーダーと労働力を強化し、重要な人材を採用し、政策の課題に対処し、デジタル、データ、技術のイネーブラを近代化する。
Objective 2: Adopt and exploit AI at pace and scale for Defence advantage.	目標2：国防の優位性のために、ペースと規模に応じてAIを導入し、活用する。
Actions to achieve objective 2: Organise for success; Exploit near and longer-term opportunities; Systematic experimentation; Collaborate internationally.	目標2を達成するための行動：成功のための組織化、短期および長期の機会の活用、体系的な実験、国際的な協力。
Objective 3: Strengthen the UK’s defence and security AI ecosystem.	目標3：英国の防衛・安全保障AIエコシステムを強化する。
Actions to achieve objective 3: Build confidence and clarify requirements; Address commercial barriers; Incentivise engagement and co-creation; Support business growth.	目的3を達成するための行動：信頼を築き、要件を明確にする；商業的障壁に対処する；関与と共同創造にインセンティブを与える；ビジネスの成長を支援する。
Objective 4: Shape global AI developments to promote security, stability and democratic values.	目標4：安全保障、安定、民主主義の価値を促進するために、グローバルなAIの発展を形成する。
Actions to achieve objective 4: Champion responsible global AI development; Promote security and stability; Develop future security policy.	目的4を達成するための行動：責任あるグローバルなAI開発を支持し、安全保障と安定を促進し、将来の安全保障政策を発展させる。

出典：U.K.　Defence Artificial Intelligence Strategy

 

期待される成果とガバナンス

The four outcomes of AI adoption for Defence: Decision Advantage, Efficiency, Unlock New Capabilities, Empower the Whole Force.	国防のためのAI導入の4つの成果：意思決定の優位性、効率性、新しい能力の解放、全軍の能力強化
The Governance of AI in Defence: There is no single overall owner for AI in Defence. Every business unit and Function has an important role to play if we are to achieve our goals.	国防におけるAIのガバナンス：国防におけるAIの全体的な所有者は一人ではありません。目標を達成するためには、すべてのビジネスユニットとファンクションが重要な役割を担っています。
MOD Head Office: Set AI policy and strategy, define capability targets, direct strategic programmes and ensure overall coherence.	国防省 本部：AI政策と戦略を設定し、能力目標を定め、戦略的プログラムを指示し、全体的な一貫性を確保する。
Business units / Functional Leads: Pursue the forms of AI most relevant to them, guided by this Strategy and direction from Head Office.	ビジネスユニット/ファンクショナルリード：この戦略と本部の指示に基づき、各自に最も適したAIの形態を追求する。
Strategic Command: Ensure strategic and operational integration across the warfighting domains.	戦略的コマンド：戦域を越えた戦略的・作戦的統合を確保する。
Overall strategic coherence is managed jointly by the Defence AI and Autonomy Unit (DAU) and the Defence AI Centre (DAIC). The DAU sets strategic policy frameworks governing development, adoption and use of AI. The DAIC is the focal point for AI R&D and technical issues.	全体的な戦略の一貫性は、国防AI・自律化ユニット（DAU）と国防AIセンター（DAIC）が共同で管理する。DAUは、AIの開発、採用、使用を管理する戦略的な政策枠組みを設定する。DAICは、AIの研究開発と技術的な問題の中心的な役割を果たす。

出典：U.K.　Defence Artificial Intelligence Strategy

 

目次...

Executive Summary	エグゼクティブサマリー
1 Introduction	1 はじめに
1.1 The global technology context	1.1 世界のテクノロジー事情
1.1.1 The significance of Artificial Intelligence	1.1.1 人工知能の重要性
1.1.2 AI threats	1.1.2 AIの脅威
1.1.3 AI Competition	1.1.3 AIとの競争
1.2 Our response	1.2 私たちの対応
1.3 Ambitious, safe and responsible use of AI	1.3 野心的で安全かつ責任あるAIの使用
1.3.1 Our commitment as a responsible AI user	1.3.1 責任あるAIユーザーとしての私たちのコミットメント
1.3.2 Our commitment to our people	1.3.2 私たちの社員に対するコミットメント
2 Transform into an ‘AI Ready’ organisation	2 「AI Ready」な組織への変革
2.1 Culture, skills and policies	2.1 文化、スキル、ポリシー
2.1.1 Strategic planning for Defence AI skills	2.1.1 国防AIスキルのための戦略的計画
2.1.2 Applying the brightest minds to the AI challenge	2.1.2 AIへの挑戦のための優秀な頭脳の適用
2.1.3 AI leadership at all levels	2.1.3 全レベルでのAIリーダーシップ
2.1.4 Upskilling our workforce	2.1.4 労働力のアップスキル
2.1.5 Diversity and Inclusion	2.1.5 多様性と包括性
2.1.6 Policy, process and legislation	2.1.6 政策、プロセス、法規制
2.2 Digital, data and technology enablers	2.2 デジタル、データ、テクノロジーのイネーブラー
2.2.1 Trusted, coherent and reliable data	2.2.1 信頼できる、一貫性のある、信頼できるデータ
2.2.2 Computing power, networks and hardware	2.2.2 コンピューティングパワー、ネットワーク、ハードウェア
2.2.3 The Defence AI Centre (DAIC)	2.2.3 国防AIセンター(DAIC)
2.2.4 Technical assurance, certification and governance	2.2.4 技術保証、認証、ガバナンス
3 Adopt and Exploit AI at Pace and Scale for Defence Advantage	3 防衛の優位性のために、ペースと規模でAIを採用し、利用する
3.1 Organising for success	3.1 成功のための組織化
3.2 Our approach to delivery	3.2 配信へのアプローチ
3.3 Promoting pace, innovation and experimentation	3.3 ペース、イノベーション、実験の促進
3.3.1 Securing our AI operational advantage	3.3.1 AI運用の優位性の確保
3.4 Working across Government	3.4 政府全体との連携
3.5 International capability collaboration	3.5 国際的な能力協力
3.5.1 Key AI partnerships	3.5.1 主要なAIパートナーシップ
4 Strengthen the UK’s Defence and Security AI Ecosystem	4 英国の国防・安全保障AIエコシステムの強化
4.1 The UK’s AI strengths	4.1 英国のAIの強み
4.1.1 Defence’s role in spurring technological innovation	4.1.1 技術革新を促進するための国防の役割
4.2 Partnership on the basis of trust	4.2 信頼を基礎としたパートナーシップ
4.3 Clearly communicating our AI requirements, intent and expectations	4.3 AIの要件、意図、期待を明確に伝えること
4.4 Addressing barriers to frictionless collaboration	4.4 摩擦のないコラボレーションへの障壁に対処する
4.4.1 Information age acquisition and procurement policy	4.4.1 情報化時代の取得・調達政策
4.5 Incentivising engagement and co-creation	4.5 エンゲージメントと共創のインセンティブを与える
4.5.1 Understanding and reflecting market forces	4.5.1 市場の力を理解し反映させる
4.5.2 Talent exchange	4.5.2 タレント交換
4.5.3 Simplifying access to Defence assets	4.5.3 国防資産へのアクセスの簡素化
4.5.4 Promoting co-creation	4.5.4 共同創作の促進
4.5.5 Business support services	4.5.5 ビジネス支援サービス
5 Shape Global AI Developments to Promote Security, Stability and Democratic Values	5 安全保障、安定、民主的価値観を促進するためのグローバルな AI 開発の形成
5.1 Shape the global development of AI in line with UK goals and values	5.1 英国の目標と価値観に沿ったAIの世界的な発展を形作る
5.1.1 Promote safe and responsible military development and use	5.1.1 安全で責任ある軍事開発と利用を促進する
5.1.2 Influence the global development of AI technologies	5.1.2 AI技術の世界的な発展に影響を与える
5.2 Promote security and stability	5.2 安全保障と安定の促進
5.2.1 Counter-proliferation and arms control	5.2.1 拡散対策と軍備管理
5.2.2 Protecting critical technologies	5.2.2 重要技術の保護
5.2.3 Build confidence and minimise risk	5.2.3 信頼の構築とリスクの最小化
5.3 Develop future security policy	5.3 将来の安全保障政策の策定
5.3.1 AI, strategic systems and deterrence	5.3.1 AI、戦略的システム、抑止力
6 Strategy implementation and beyond	6 戦略の実施とその後
6.1 Priorities	6.1 優先順位
6.2 Leadership and governance	6.2 リーダーシップとガバナンス
6.3 Looking ahead	6.3 今後の展望

 

・[PDF] Defence Artificial Intelligence Strategy

 

ブログの記事も参考になります。

● U.K. Government - Centre for Data Ethics and Innovation Blog

・2022.06.15 Enabling the responsible use of AI in defence by Ben Kelly

 

 

個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催され、資料が公開されていますね。。。

欧州主要国における顔識別機能付カメラの利用に関する法制度の調査と報告書案が示されていますね。。。

● 個人情報保護委員会

・2022.06.20 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・[PDF] 議事次第 議事次第

・[PDF] 資料１ 報告書素案

・[PDF] 資料２ 欧州主要国における顔識別機能付カメラの利用に関する法制度の調査

 

---

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意：あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク　ユースケース：法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用：IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術：連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行：正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院　顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府：データ倫理とイノベーションセンター　プライバシーに関するユーザの積極的選択中間報告（スマートフォン）

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC（連邦取引委員会） のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 （人工知能 AI）ブラックボックスの検証：アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言（Global Privacy Standards for a Global World）

・2005.08.11 外務省　IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

自己保存欲を学習したAIの行く末

こんにちは、丸山満彦です。

ちょっと、朝起きて思いついたことを文献調査もせずに忘れないようにと思い、書いているだけです。。。すみません。。。

AIが自動的に自己保存 (self-preservation) 欲を得るというのは難しいかもしれませんが、AIを搭載したロボットのようなものに、自己保存欲を学習させることは可能かもしれません。。。もちろん、自己保存欲をどのようにして学習させるのか？という問題はあります。。。（例えば、ロボットに何かの事象を与え、そのロボットの機能が減ればマイナスのポイントを与え、ロボットが自分で減った機能を復元あるいは強化すればプラスのポイントを与え、、、というようなことをシミュレーションさせ続けるような感じかなぁ、、、。でも、計算量が多すぎて電力足らないか、、、）

でももし、自己保存欲を持った自律型ロボットのようなものができ、複数種類のそのようなロボットを、自己再生が十分にできる環境に置いた場合、どのようなことが起こるのかということをシミュレーションとかはできるような気がしました。。。

どういうことが起こるのですかね。。。

一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)

こんにちは、丸山満彦です。

一般社団法人セキュアドローン協議会が「ドローンセキュリティガイド 第3版」を 2022.06.16に公開していましたね。。。

2018.03.18に第1版、2021.04.01に第2版を出していますが、その後2022.03.31に経済産業省が、「無人航空機を対象としたサイバーセキュリティガイドライン」を策定していまし、機体登録制度も始まっていますし、、、それも踏まえての改訂なんでしょうね。。。

一般社団法人セキュアドローン協議会はBig4ではデロイトが会員ですね。私が関わっていた頃には入会していなかったので、最近なんですかね。。。

 

● 一般社団法人セキュアドローン協議会

・2022.06.16 セキュアドローン協議会、『ドローンセキュリティガイド 第3版』公開

---

【本セキュリティガイドの概要】

本セキュリティガイドの策定を通して、信頼できるドローンの安心安全な操作環境とデータ送信環境を確立していくための指標を提言しています。
産業用ドローンが普及していくためには、情報処理においてこれまで配慮されてきた情報セキュリティ対策や、最新のIoT関連のセキュリティ技術との連携が重要になり、ドローンにおけるセキュリティリスク、機体制御、機体管理、ドローン機器、通信、アプリケーションやクラウドなどドローンソリューション全体におけるセキュリティ、ドローン機体メーカー、ドローンサービス提供事業者、ドローン活用ユーザそれぞれのとるべきセキュリティ対策要件など産業利用における指標を記述しています。

【本セキュリティガイドの主な改定内容】

• クラウドを使用したドローンの認証例
• リモートIDについて
• ドローン関連サービス、プロトタイプ開発事例

---

・ドローンセキュリティガイド

・ドローンセキュリティガイド第3版 ダウンロードフォーム

 

変更箇所は、

---

以下の章の追記ならびに修正。

5.3. クラウドを使用したドローンの認証例
7. リモート ID について
8. ドローン関連サービス、プロトタイプ開発事例
9．業務運用に関する注意点

---

 

---

関連...

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.08 NATO CCDCOE 武力紛争時のプライバシーとデータ保護の権利

・2022.05.11 インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.26 米国 White House ドローン対策国家計画

・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

・2022.04.07 経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.09.04 英国 ブレグジット後のグローバルデータ計画 at 2021.08.26

・2021.06.26 欧州委員会 合同サイバーユニットを提案

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.13 米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。

---

 

 

Continue reading "一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)"

英国 Ada Lovelance 協会: EUのAI法について説明 (2022.04.11)

こんにちは、丸山満彦です。

ITやAIについての研究機関である英国のAda Lovelance Institute（エイダ・ラブレンス協会）が、EUのAI法についての説明文を2022年4月に公表していましたね。。。

この時点では、成立は2023年の前半かなぁ。。。という感じのようですね。。。

● Ada Lovelance Institute

・2022.04.11 Expert explainer: The EU AI Act Proposal

コンパクトな内容なので、読みやすいです。。。

目次的なもの。。。

Expert explainer: The EU AI Act Proposal	専門家による解説。EUのAI法提案
Introduction	はじめに
o   Timeline	o タイムライン
International significance	国際的な意義
o   9 key points	o 9つのキーポイント
Scope	スコープ
o   Who is subject to obligations under the Act?	o 誰がこの法律の対象か？
Structure: a ‘risk-based’ approach	構造：「リスクベース」アプローチ
o   1. Unacceptable risk	o 1. 許容できないリスク
o   2. High risk	o 2. 高リスク
o   3. Limited risk	o 3. 限定的なリスク
o   4. Minimal risk	o 4. 最小限のリスク
‘Essential requirements’ for high-risk AI	高リスクのAIに対する「必須要件」
o   1. Data and data governance (Article 13)	o 1. データ及びデータガバナンス（第13条）
o   2. Human oversight (Article 14)	o 2.人間による監視（第14条）
Conformity assessment (pre-marketing) and enforcement (post-marketing)	適合性評価（市販前）及び実施（市販後）
o   Pre-market	o 市販前
o   Post-market	o 市販後
About the author	執筆者について
Expert opinion: Regulating AI in Europe	専門家の意見 欧州におけるAIの規制
People, risk and the unique requirements of AI	人、リスク、そしてAI特有の要求事項
Ada in Europe	エイダ協会とは
Footnotes	脚注

 

サマリー的なもの。。。

9 key points	9つのポイント
1. The Act sets out harmonised rules for the development, placing on the market, and use of AI in the European Union (EU).	1. この法律は、欧州連合（EU）におけるAIの開発、市場での販売、使用に関する調和のとれた規則を定めたものである。
2. The Act draws heavily on the model of certification of ‘safe’ products used for many non-AI products in the New Legislative Framework (NLF) (see below) and is part of a set of EU draft proposals to regulate AI, including the Machinery Regulation and the announced but not yet released product liability reforms.	2. この法律は、新法規フレームワーク（NLF）（下記参照）の中で多くの非AI製品に用いられている「安全」製品の認証モデルを多分に活用しており、機械規則や、発表されたがまだ公表されていない製造物責任改革を含む、AI規制に関する一連のEU草案の一部である。
3. The Act needs to be read in the context of other major packages announced by the EU such as the Digital Services Act (DSA), the Digital Markets Act (DMA) and the Digital Governance Act (DGA). The first two primarily regulate very large commercial online platforms such as notably Google, Amazon, Facebook and Apple (GAFA).	3. この法律は、デジタルサービス法（DSA）、デジタル市場法（DMA）、デジタルガバナンス法（DGA）など、EUが発表した他の主要パッケージとの関連で読む必要がある。最初の2つは主に、Google、Amazon、Facebook、Apple（GAFA）など、非常に大規模な商業オンラインプラットフォームを規制するものである。
4. These well-known tech giants although prominently fuelled by ‘AI’, are not the focus of the Act: instead, it is mainly, though not exclusively, aimed at public sector and law enforcement AI.[2]	4. これらの有名なハイテク企業は「AI」によって大きく成長したが、この法律の焦点ではない。代わりに、この法律は主に公共部門と法執行機関のAI [2] を対象としている。
5. The Act does not replace but will overlap with the protections offered by the General Data Protection Regulation (GDPR),[3] although the former’s scope is more expansive and not restricted to personal data.	5. この法律は、一般データ保護規則（GDPR）[3]が提供する保護に取って代わるものではないが、こん法律がより範囲が広く、個人データに限定されていないため、オーバーラップすることになると考えられる。
6. Parts of the Act related to manipulation and deception also draw on the Unfair Commercial Practices Directive (UCPD).[4]	6. この法律の不正操作と欺瞞に関する部分は、不公正商行為指令（UCPD）[4] も参照している。
7. Existing consumer law and national laws, such as on tort, are also relevant.	7. 既存の消費者法や不法行為に関する法律などの国内法も関連している。
8. Like the GDPR, the territorial jurisdiction of the Act is expansive: governing not just users of AI in the EU,[5] but providers who place on the market or into service AI systems in the EU. Thus, despite Brexit, the Act will be crucial to the UK AI industry’s aspirations as exporters to the EU or providers of ‘AI-as-a-Service’.[6]	8. GDPRと同様、この法律の管轄範囲は広く、EU域内のAIのユーザー [5] だけでなく、EU域内のAIシステムを市場に出したり、サービスを提供したりするプロバイダーにも適用される。したがって、この法律は、Brexitにもかかわらず、EUへの輸出業者や「AI-as-a-Service」のプロバイダーとして英国のAI産業が目指すものにとって極めて重要である[6]。
9. The Act’s extraterritorial reach is backed by big fines akin to the GDPR (maximum 6% global annual turnover).	9. この法律の域外適用範囲は、GDPRと同様の大きな罰金（最大で世界の年間売上高の6%）に裏付けられている。
Note:	脚注：
[2] Note that the Act does not affect the application of the (current) E-Commerce Directive or (future) DSA; Article 2(5).	[2] なお、この法律は、（現行の）電子商取引指令や（将来の）DSA（第2条第5項）の適用には影響を及ぼさない。
[3] Hence already the issue of a report on interaction of the Act with the GDPR by European Data Protection Supervisor and European Data Protection. See: EDPB-EDPS. (2021). Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Available at :[pdf]	[3] そのため、欧州データ保護監督庁と欧州データ保護は、この法律とGDPRの相互作用に関する報告書を既に発表している。参照。EDPB-EDPS. (2021). 人工知能に関する調和された規則を定めた欧州議会及び理事会の規則の提案に関する共同意見5/2021（人工知能法）. [pdf] で入手可能。
[4] European Commission. Unfair Commercial Practices Directive. Available at : [web] .	[4] 欧州委員会. Unfair Commercial Practices Directive（不公正商行為指令）. 利用可能なサイト:[web] .
[5] NB note special use of ‘user’ here, article 3(4), discussed below.	[5] NB note special use of 'user' here, article 3(4), discussed below.
[6] Cobbe, J. and Singh, J. (2021). ‘Artificial Intelligence as a Service: Legal Responsibilities, Liabilities, and Policy Challenges.’ Computer Law and Security Review, volume 42. Available at: [web] .	[6] Cobbe, J. and Singh, J. (2021). 'Artificial Intelligence as a Service: 法的責任、責任、および政策の課題」。Computer Law and Security Review, volume 42. [web] で入手可能。

 

義務の対象

Who is subject to obligations under the Act?	同法に基づく義務の対象者は？
Predominantly, ‘providers’ of systems who develop an AI system with a view to placing it on to the market or putting it into service under their own name or trademark (Article 3).	主に、AIシステムを開発し、自己の名称又は商標の下で市場に流通させることを目的とするシステムの「提供者」である（第3条）。
But obligations also, or alternatively, fall in different ways on ‘users’, defined here rather contra-intuitively to mean any natural or legal person ‘using an AI system under its authority’, e.g. a local authority putting in a fraud detection scheme, or an employer putting in an automated hiring system. This is not the ‘ultimate end user’ of the system, or the ‘data subject’ in the GDPR and there is no word in the Act for this person.	しかし、「ユーザー」にも、あるいはその代わりに、さまざまな形で義務が課される。ここでいう「ユーザー」とは、直感にかなり反していて、「その権限の下でAIシステムを使用するあらゆる自然人または法人」、たとえば、不正検知システムを導入する地方自治体や、自動雇用システムを導入する雇用主などのことである。これはシステムの「最終的なエンドユーザー」でもなければ、GDPRにおける「データ主体」でもなく、この人物に関する言葉はこの法律にはない。
Obligations also fall on importers and distributors (Articles 26–28) in a way similar to the product safety regime, with the intent of stopping dangerous products built outside the EU from entering it. The primary actor on whom obligations are placed is nonetheless the provider.	また、EU域外で製造された危険な製品がEUに入るのを阻止する目的で、製品安全体制と同様の方法で、輸入業者や販売業者にも義務が課せられる（第26条〜第28条）。とはいえ、義務を負わされる主な関係者は提供者である。
While this scheme has worked relatively well for tangible products, where the manufacturer of a product is the analogue of the provider in the Act, this top-down allocation of duties will be more challenged in a world of ‘upstream’ AI services, which can be re-used downstream in a wide variety of unforeseeable contexts. We discuss this and ‘general purpose’ AI in particular, below.	この方式は、製品の製造者が法における提供者の類似体である有形製品については比較的うまく機能しているが、このトップダウンの義務配分は、下流で多種多様な予測不可能な文脈で再利用されうる「上流」のAIサービスの世界ではより困難となるであろう。以下、この点、特に「汎用」AIについて論じる。

 

リスクベースの構造

出典：Ada Lovelance Institute: Expert explainer: The EU AI Act Proposal

 

 

・[PDF]

 

 

 

● 関連

・2022.03.31 People, risk and the unique requirements of AI

・2022.03.31 Expert opinion: Regulating AI in Europe

 

● AI法案（2021.11.29）

・2021.11.29 [PDF] Interinstitutional File: 2021/0106(COD)

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

 

 

NIST SP 800-160 Vol.1 Rev.1（ドラフト）信頼性の高いセキュアなシステムのエンジニアリング

こんにちは、丸山満彦です。

NISTが、SP 800-160 Vol.1 Rev.1（ドラフト）信頼性の高いセキュアなシステムのエンジニアリングを公表し、意見を募集していますね。。。

● NIST -ITL

・2022.06.07 SP 800-160 Vol. 1 Rev. 1 (Draft) Engineering Trustworthy Secure Systems

SP 800-160 Vol. 1 Rev. 1 (Draft) Engineering Trustworthy Secure Systems	SP 800-160 Vol.1 Rev.1（ドラフト）信頼性の高いセキュアなシステムのエンジニアリング
Announcement	発表内容
This final public draft offers significant content and design changes that include a renewed emphasis on the importance of systems engineering and viewing systems security engineering as a critical subdiscipline necessary to achieving trustworthy secure systems. This perspective treats security as an emergent property of a system. It requires a disciplined, rigorous engineering process to deliver the security capabilities necessary to protect stakeholders’ assets from loss while achieving mission and business success.	この最終公開草案では、システム工学の重要性を改めて強調し、システムセキュリティ工学を信頼できる安全なシステムを実現するために必要な重要な下位分野と見なすなど、内容および設計に大きな変更を加えています。この観点では、セキュリティをシステムの創発的な特性として扱います。ミッションとビジネスを成功させながら、利害関係者の資産を損失から守るために必要なセキュリティ機能を提供するためには、規律正しく厳格なエンジニアリングプロセスが必要です。
Bringing security out of its traditional stovepipe and viewing it as an emergent system property helps to ensure that only authorized system behaviors and outcomes occur, much like the engineering processes that address safety, reliability, availability, and maintainability in building spacecraft, airplanes, and bridges. Treating security as a subdiscipline of systems engineering also facilitates making comprehensive trade space decisions as stakeholders continually address cost, schedule, and performance issues, as well as the uncertainties associated with system development efforts.	セキュリティを従来の縦割り行政から脱却し、システムの創発的な特性として捉えることで、宇宙船、航空機、橋梁の建設において安全性、信頼性、可用性、保守性に取り組むエンジニアリングプロセスのように、許可されたシステムの動作と結果のみが発生することを保証することができます。また、セキュリティをシステム工学の一分野として扱うことで、利害関係者がコスト、スケジュール、性能の問題や、システム開発努力に伴う不確実性に絶えず対処する中で、包括的な貿易空間の決定を行うことが容易になります。
In particular, this final public draft:	特に、この最終公開草案では
Provides a renewed focus on the design principles and concepts for engineering trustworthy secure systems, distributing the content across several redesigned initial chapters	信頼性の高い安全なシステムを設計するための設計原理と概念に新たに焦点を当て、再設計されたいくつかの章に内容を分散させました。
Relocates the detailed system life cycle processes and security considerations to separate appendices for ease of use	詳細なシステムライフサイクルプロセスとセキュリティに関する考察を、使いやすいように別の附属書に移動しました。
Streamlines the design principles for trustworthy secure systems by eliminating two previous design principle categories	信頼できるセキュアなシステムのための設計原則を、従来の2つの設計原則を削除して簡素化しました。
Includes a new introduction to the system life cycle processes and describes key relationships among those processes	システムライフサイクルプロセスを新たに導入し、これらのプロセス間の重要な関係を説明します
Clarifies key systems engineering and systems security engineering terminology	主要なシステム工学及びシステムセキュリティ工学の用語を明確化しました
Simplifies the structure of the system life cycle processes, activities, tasks, and references	システムライフサイクルプロセス、アクティビティ、タスク、およびリファレンスの構造を簡素化しました
Provides additional references to international standards and technical guidance to better support the security aspects of the systems engineering process	システムエンジニアリングプロセスのセキュリティ面をより良くサポートするために、国際規格や技術ガイダンスを追加参照できるようにしました。
NIST is interested in your feedback on the specific changes made to the publication during this update, including the organization and structure of the publication, the presentation of the material, its ease of use, and the applicability of the technical content to current or planned systems engineering initiatives.	NISTは、本書の構成や構造、資料の表示、使いやすさ、現在または計画中のシステムエンジニアリングの取り組みへの技術的内容の適用性など、今回の更新で本書に加えられた特定の変更について、皆様のご意見をお待ちしています。
Abstract	概要
This publication provides a basis for establishing a discipline for systems security engineering (SSE) as part of systems engineering and does so in terms of its principles, concepts, activities, and tasks. The publication also demonstrates how those SSE principles, concepts, activities, and tasks can be effectively applied to systems engineering efforts to foster a common mindset to deliver security for any system, regardless of its purpose, type, scope, size, complexity, or stage of its system life cycle. Ultimately, the intent of the material is to advance the field of SSE as a discipline that can be applied and studied and to serve as a basis for the development of educational and training programs, including the development of professional certifications and other assessment criteria.	本書は、システムズエンジニアリングの一部として、システムセキュリティ工学（SSE）の分野を確立するための基礎を提供し、その原則、概念、活動、およびタスクの観点からそれを行うものです。また、SSEの原則、概念、活動、タスクをシステムズエンジニアリングの取り組みに効果的に適用することで、目的、種類、範囲、規模、複雑さ、システムライフサイクルの段階にかかわらず、あらゆるシステムのセキュリティを実現するための共通の考え方を醸成できることも示していました。最終的に、この資料の意図は、応用と研究が可能な学問としてのSSEの分野を発展させ、専門家認定やその他の評価基準の開発を含む教育・訓練プログラムの開発の基礎となることです。

 

・[PDF] SP 800-160 Vol. 1 Rev. 1 (Draft)

 

目次...

CHAPTER ONE INTRODUCTION	第1章 はじめに
1.1 PURPOSE AND APPLICABILITY	1.1 目的と適用性
1.2 TARGET AUDIENCE	1.2 対象読者
1.3 HOW TO USE THIS PUBLICATION	1.3 この出版物の使用方法
1.4 ORGANIZATION OF THIS PUBLICATION	1.4 本書の構成
CHAPTER TWO SYSTEMS ENGINEERING OVERVIEW	第2章 システムズエンジニアリングの概要
2.1 SYSTEM CONCEPTS	2.1 システムの概念
2.2 SYSTEMS ENGINEERING FOUNDATIONS	2.2 システムズエンジニアリングの基礎
2.3 TRUST AND TRUSTWORTHINESS	2.3 信頼と信頼性
CHAPTER THREE SYSTEM SECURITY CONCEPTS	第3章 システムセキュリティの概念
3.1 THE CONCEPT OF SECURITY	3.1 セキュリティの概念
3.2 THE CONCEPT OF AN ADEQUATELY SECURE SYSTEM	3.2 十分に安全なシステムの概念
3.3 THE NATURE AND CHARACTER OF SYSTEMS	3.3 システムの性質と特徴
3.4 THE CONCEPT OF ASSETS	3.4 資産の概念
3.5 THE CONCEPTS OF LOSS AND LOSS CONTROL	3.5 損失と損失管理の概念
3.6 REASONING ABOUT ASSET LOSS	3.6 資産損失に関する推論
3.7 PROTECTION NEEDS	3.7 保護の必要性
3.8 SYSTEM SECURITY VIEWPOINTS	3.8 システムセキュリティの視点
3.9 DEMONSTRATING SYSTEM SECURITY	3.9 システムセキュリティの実証
3.10 SYSTEMS SECURITY ENGINEERING	3.10 システムセキュリティエンジニアリング
CHAPTER FOUR SYSTEM SECURITY ENGINEERING FRAMEWORK	第4章 システムセキュリティ工学の枠組み
4.1 THE PROBLEM CONTEXT	4.1 問題のコンテキスト
4.2 THE SOLUTION CONTEXT	4.2 解決策のコンテキスト
4.3 THE TRUSTWORTHINESS CONTEXT	4.3 信頼性のコンテキスト
REFERENCES	参考文献
APPENDIX A GLOSSARY	附属書A 用語集
APPENDIX B ACRONYMS	附属書B 頭字語
APPENDIX C SECURITY POLICY AND REQUIREMENTS	附属書C セキュリティポリシーと要件
C.1 SECURITY POLICY	C.1 セキュリティポリシー
C.2 SECURITY REQUIREMENTS	C.2 セキュリティ要件
C.3 DISTINGUISHING REQUIREMENTS, POLICY, AND MECHANISMS	C.3 要求事項、ポリシー、及びメカニズムの区別
APPENDIX D TRUSTWORTHY SECURE DESIGN	附属書D 信頼できる安全な設計
D.1 DESIGN APPROACH FOR TRUSTWORTHY SYSTEMS	D.1 信頼できるシステムのための設計アプローチ
D.2 DESIGN FOR BEHAVIORS AND OUTCOMES	D.2 行動と結果のための設計
D.3 SECURITY DESIGN ORDER OF PRECEDENCE	D.3 セキュリティ設計の優先順位
D.4 FUNCTIONAL DESIGN CONSIDERATIONS	D.4 機能的設計の考慮事項
APPENDIX E PRINCIPLES FOR TRUSTWORTHY SECURE DESIGN	附属書E 信頼できる安全な設計のための原則
E.1 CLEAR ABSTRACTIONS	E.1 明確な抽象化
E.2 COMMENSURATE RIGOR	E.2 相応の厳密さ
E.3 COMMENSURATE TRUSTWORTHINESS	E.3 相応の信頼性
E.4 COMPOSITIONAL TRUSTWORTHINESS	E.4 構成的な信頼性
E.5 HIERARCHICAL PROTECTION	E.5 階層的な保護
E.6 MINIMAL TRUSTED ELEMENTS	E.6 最小限の信頼される要素
E.7 REDUCED COMPLEXITY	E.7 複雑性の低減
E.8 SELF-RELIANT TRUSTWORTHINESS	E.8 自立した信頼性
E.9 STRUCTURED DECOMPOSITION AND COMPOSITION	E.9 構造化された分解と合成
E.10 SUBSTANTIATED TRUSTWORTHINESS	E.10 実証された信頼性
E.11 TRUSTWORTHY SYSTEM CONTROL	E.11 信頼されるシステム制御
E.12 ANOMALY DETECTION	E.12 異常検知
E.13 COMMENSURATE PROTECTION	E.13 相応の保護
E.14 COMMENSURATE RESPONSE	E.14 相応の応答
E.15 CONTINUOUS PROTECTION	E.15 継続的な保護
E.16 DEFENSE IN DEPTH	E.16 深層部における防御
E.17 DISTRIBUTED PRIVILEGE	E.17 分散型特権
E.18 DIVERSITY (DYNAMICITY)	E.18 多様性(動的性)
E.19 DOMAIN SEPARATION	E.19 ドメインの分離
E.20 LEAST FUNCTIONALITY	E.20 最小限の機能性
E.21 LEAST PERSISTENCE	E.21 最小の永続性
E.22 LEAST PRIVILEGE	E.22 最小の特権
E.23 LEAST SHARING	E.23 最小の共有
E.24 LOSS MARGINS	E.24 損失マージン
E.25 MEDIATED ACCESS	E.25 仲介されたアクセス
E.26 MINIMIZE DETECTABILITY	E.26 検出可能性の最小化
E.27 PROTECTIVE DEFAULTS	E.27 保護的デフォルト
E.28 PROTECTIVE FAILURE	E.28 保護失敗
E.29 PROTECTIVE RECOVERY	E.29 保護回復
E.30 REDUNDANCY	E.30 冗長性
APPENDIX F TRUSTWORTHINESS AND ASSURANCE	附属書F 信頼性と保証
F.1 TRUST AND TRUSTWORTHINESS	F.1 信頼及び信頼性
F.2 ASSURANCE	F.2 保証
APPENDIX G SYSTEM LIFE CYCLE PROCESSES OVERVIEW	附属書G システムライフサイクルプロセスの概要
G.1 PROCESS OVERVIEW	G.1 プロセスの概要
G.2 PROCESS RELATIONSHIPS	G.2 プロセスの関係
APPENDIX H TECHNICAL PROCESSES	附属書H 技術的プロセス
H.1 BUSINESS OR MISSION ANALYSIS	H.1 ビジネス又はミッションの分析
H.2 STAKEHOLDER NEEDS AND REQUIREMENTS DEFINITION	H.2 ステークホルダーのニーズと要件の定義
H.3 SYSTEM REQUIREMENTS DEFINITION	H.3 システム要件定義
H.4 SYSTEM ARCHITECTURE DEFINITION	H.4 システムアーキテクチャの定義
H.5 DESIGN DEFINITION	H.5 設計定義
H.6 SYSTEM ANALYSIS	H.6システム分析
H.7 IMPLEMENTATION	H.7.実装
H.8 INTEGRATION	H.8 統合
H.9 VERIFICATION	H.9 検証
H.10 TRANSITION	H.10 移行
H.11 VALIDATION	H.11 バリデーション
H.12 OPERATION	H.12 運用
H.13 MAINTENANCE	H.13 メンテナンス
H.14 DISPOSAL	H.14 廃棄
APPENDIX I TECHNICAL MANAGEMENT PROCESSES	附属書 I 技術的管理プロセス
I.1 PROJECT PLANNING	I.1 プロジェクトの計画
I.2 PROJECT ASSESSMENT AND CONTROL	I.2 プロジェクトの評価と管理
I.3 DECISION MANAGEMENT	I.3 意思決定管理
I.4 RISK MANAGEMENT	I.4 リスクマネジメント
I.5 CONFIGURATION MANAGEMENT	I.5 コンフィギュレーションマネジメント
I.6 INFORMATION MANAGEMENT	I.6 情報管理
I.7 MEASUREMENT	i.7 測定
I.8 QUALITY ASSURANCE	I.8 品質保証
APPENDIX J ORGANIZATIONAL PROJECT-ENABLING PROCESSES	附属書J 組織的なプロジェクト実現プロセス
J.1 LIFE CYCLE MODEL MANAGEMENT	J.1 ライフサイクルモデルの管理
J.2 INFRASTRUCTURE MANAGEMENT	J.2 インフラストラクチャーマネジメント
J.3 PORTFOLIO MANAGEMENT	J.3 ポートフォリオマネジメント
J.4 HUMAN RESOURCE MANAGEMENT	J.4 ヒューマンリソースマネジメント
J.5 QUALITY MANAGEMENT	J.5 品質マネジメント
J.6 KNOWLEDGE MANAGEMENT	J.6 ナレッジマネジメント
APPENDIX K AGREEMENT PROCESSES	附属書K 契約プロセス
K.1 ACQUISITION	K.1 購買
K.2 SUPPLY	K.2 供給

 

FOREWORD	序文
On May 12, 2021, the President signed an Executive Order (EO) on Improving the Nation’s	2021 年 5 月 12 日、大統領は国家のサイバーセキュリティの改善に関する大統領令（EO）［EO 14028］に署名しました。
Cybersecurity [EO 14028]. The Executive Order stated—	サイバーセキュリティ[EO 14028]に署名しました。大統領令は次のように述べていました。
“The United States faces persistent and increasingly sophisticated malicious cyber campaigns that threaten the public sector, the private sector, and ultimately the American people's security and privacy. The Federal Government must improve its efforts to identify, deter, protect against, detect, and respond to these actions and actors.”	「米国は、公共部門、民間部門、そして最終的には米国民の安全とプライバシーを脅かす、執拗でますます巧妙になる悪意のあるサイバーキャンペーンに直面していました。連邦政府は、こうした行動や行為者を特定し、抑止し、防御し、検知し、対応するための取り組みを改善しなければならない」 と述べていました。
The Executive Order further described the holistic nature of the cybersecurity challenges confronting the Nation with computing technology embedded in every type of system from general-purpose computing systems supporting businesses to cyber-physical systems controlling the operations in power plants that provide electricity to the American people. The Federal Government must bring to bear the full scope of its authorities and resources to protect and secure its computer systems, whether the systems are cloud-based, on-premises, or hybrid. The scope of protection and security must include systems that process data (information technology [IT]) and those that run the vital machinery that ensures our safety (operational technology [OT]).	大統領令はさらに、ビジネスを支える汎用コンピューティングシステムから、米国民に電力を供給する発電所の運転を制御するサイバーフィジカルシステムまで、あらゆる種類のシステムにコンピューティング技術が組み込まれており、国家が直面しているサイバーセキュリティの課題が全体的なものであることを説明しています。連邦政府は、システムがクラウドベース、オンプレミス、ハイブリッドのいずれであっても、コンピュータシステムの保護とセキュリティのために、その権限と資源をフルに活用しなければなりません。保護とセキュリティの範囲には、データを処理するシステム（情報技術[IT]）と、私たちの安全を確保する重要な機械を動かすシステム（運用技術[OT]）が含まれなければなりません。
In response to the EO, there is a need to:	大統領令に対応して、以下のことが必要です。
•       Identify stakeholder assets and protection needs	・ステークホルダーの資産と保護ニーズの特定
•       Provide protection commensurate with the criticality of stakeholder assets, needs, and the consequences of asset loss, and correlated with the modern threat and adversary capability	・利害関係者の資産と保護ニーズの重要性,ニーズ,資産喪失の結果に見合った保護を提供し,現代の脅威と敵対者の能力に相関させること
•       Develop scenarios and model the complexity of systems to provide a rigorous basis to reason about, manage, and address the uncertainty associated with that complexity	・シナリオを作成し,システムの複雑性をモデル化することで,複雑性に伴う不確実性を推論し,管理し,対処するための厳密な基礎を提供すること
•       Adopt an engineering-based approach that addresses the principles of trustworthy secure design and apply those principles throughout the system life cycle	・信頼できる安全な設計の原則に対応した工学ベースのアプローチを採用し,システムのライフサイクルを通じてその原則を適用すること。
Building trustworthy, secure systems cannot occur in a vacuum with stovepipes for cyberspace, software, hardware, and information technology. Rather, it requires a transdisciplinary approach to protection, a determination across all assets where loss could occur, and an understanding of adversity, including how adversaries attack and compromise systems. As such, this publication addresses considerations for the engineering-driven actions necessary to develop defensible and survivable systems, including the components that compose and the services that depend on those systems. The overall objective is to address security issues from a stakeholder requirements and protection needs perspective and to use established engineering processes to ensure that such requirements and needs are addressed with appropriate fidelity and rigor across the entire life cycle of the system.	信頼できる安全なシステムの構築は、サイバースペース、ソフトウェア、ハードウェア、情報技術の縦割り行政では実現できない。むしろ、保護に対する学際的なアプローチ、損失が発生する可能性のあるすべての資産に対する判断、敵対者がどのようにシステムを攻撃し侵害するかを含む敵対性に対する理解が必要です。そのため、本書では、システムを構成するコンポーネントやシステムに依存するサービスを含め、防御可能かつ生存可能なシステムを開発するために必要な工学的な措置に関する考察を取り上げる。全体的な目的は、利害関係者の要求と保護ニーズの観点からセキュリティ問題を取り上げ、確立された工学プロセスを用いて、システムのライフサイクル全体にわたって、そのような要求とニーズが適切な忠実度と厳密さで対処されることを確実にすることです。
Engineering trustworthy, secure systems is a significant undertaking that requires a substantial investment in the requirements, architecture, and design of systems, components, applications, and networks. A trustworthy system is a system that provides compelling evidence to support claims that it meets its requirements to deliver the protection and performance needed by stakeholders. Introducing a disciplined, structured, and standards-based set of systems security engineering activities and tasks provides an important starting point and forcing function to initiate needed change.	信頼できる安全なシステムを設計することは、システム、コンポーネント、アプリケーション、およびネットワークの要件、アーキテクチャ、および設計に相当な投資を必要とする重要な事業です。信頼できるシステムとは、利害関係者が必要とする保護と性能を提供するために、その要件を満たしているという主張を裏付ける説得力のある証拠を提供するシステムです。規律正しく、構造化され、標準に基づいたシステムセキュリティ工学の活動やタスクを導入することは、必要な変化を起こすための重要な出発点と強制力を提供するものです。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.21 NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発：システムセキュリティ・エンジニアリング・アプローチ