(temp)COVID-19

2024.06.25

米国 GAO 高リスク・シリーズ:国家が直面するサイバーセキュリティの重要課題に対処するための緊急行動が必要 (2024.06.13)

こんにちは、丸山満彦です。

GAOの毎年の高リスクシリーズの報告書...

2010年以来1,610件の勧告を報告したが、まだ567件が未実施ということのようです...

 

4つの主要課題と10の重要なアクション

1_20240625003201

Establishing a comprehensive cybersecurity strategy and performing effective oversight 包括的なサイバーセキュリティ戦略を確立し、効果的な監督を行う。
1. Develop and execute a more comprehensive federal strategy for national cybersecurity and global cyberspace. 1. 国家サイバーセキュリティとグローバルサイバースペースのより包括的な連邦戦略を策定し、実行する。
2. Mitigate global supply chain risks (e.g., installation of malicious software or hardware). 2. グローバル・サプライチェーンのリスク(悪意のあるソフトウェアやハードウェアのインストールなど)を低減する。
3. Address cybersecurity workforce management challenges. 3. サイバーセキュリティ人材管理の課題に対処する。
4. Bolster the security of emerging technologies (e.g., artificial intelligence and Internet of Things). 4. 新興技術(人工知能やモノのインターネットなど)のセキュリティを強化する。
Securing federal systems and information 連邦政府のシステムと情報を保護する。
5. Improve implementation of government-wide cybersecurity initiatives. 5. 政府全体のサイバーセキュリティ・イニシアチブの実施を改善する。
6. Address weaknesses in federal agency information security programs. 6. 連邦政府機関の情報セキュリティプログラムの弱点に対処する。
7. Enhance the federal response to cyber incidents. 7. サイバーインシデントへの連邦政府の対応を強化する。
Protecting the cybersecurity of critical infrastructure 重要インフラのサイバーセキュリティを防御する。
8. Strengthen the federal role in protecting the cybersecurity of critical infrastructure (e.g., electricity grid and telecommunications networks). 8. 重要インフラ(送電網や通信網など)のサイバーセキュリティ保護における連邦政府の役割を強化する。
Protecting privacy and sensitive data プライバシー・機密データの防御
9. Improve federal efforts to protect privacy and sensitive data. 9. プライバシーと機密データを保護するための連邦政府の取り組みを改善する。
10. Appropriately limit the collection and use of personal information and ensure that it is obtained with appropriate knowledge or consent. 10. 個人情報の収集と利用を適切に制限し、適切な知識または同意を得た上で取得されるようにする。

 

さて、発表とブログ...

 

GAO

・2024.06.13 High-Risk Series:Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation

High-Risk Series:Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation 高リスクシリーズ:国家が直面するサイバーセキュリティの重要課題に対処するために緊急の行動が必要である
GAO-24-107231 GAO-24-107231
Fast Facts 速報
Federal IT systems and the nation's critical infrastructure are often under threat. Federal agencies reported over 30,000 IT security incidents in FY 2022. 連邦政府のITシステムと国家の重要インフラは、しばしば脅威にさらされている。連邦政府機関は2022年度に3万件を超えるITセキュリティ・インシデントを報告した。
We reported on the government's 4 major cybersecurity challenges: 我々は政府の4つの主要なサイバーセキュリティの課題について報告した:
・Establishing a comprehensive cybersecurity strategy and performing effective oversight ・包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施
・Securing federal systems and information ・連邦政府のシステムと情報の保護
・Protecting the cybersecurity of critical infrastructure ・重要インフラのサイバーセキュリティ防御
・Protecting privacy and sensitive data ・プライバシーと機密データの防御
Since 2010, we've made 1,610 recommendations to address issues in these areas. Federal agencies have implemented 1,043 of our recommendations, but 567 remain unimplemented as of May 2024. 2010年以来、我々はこれらの分野の問題に対処するために1,610件の勧告を行ってきた。連邦政府機関は勧告のうち1,043件を実施したが、2024年5月現在、567件が未実施のままである。
Highlights ハイライト
What GAO Found GAOが発見したこと
Risks to our nation's essential technology systems are increasing. Threats to these systems can come from a variety of sources and vary in terms of the types and capabilities of the actors, their willingness to act, and their motives. Federal agencies reported 30,659 information security incidents to the Department of Homeland Security's United States Computer Emergency Readiness Team in fiscal year 2022. Such attacks could result in serious harm to human safety, national security, the environment, and the economy. わが国の基幹技術システムに対するリスクは増大している。これらのシステムに対する脅威は様々なソースから発生し、脅威行為者のタイプや能力、行動意欲、動機も様々である。連邦政府機関は2022会計年度に、国土安全保障省の米国コンピュータ緊急対応チームに30,659件の情報セキュリティ・インシデントを報告した。このような攻撃は、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性がある。
Concerted action among the federal government and its nonfederal partners is critical to mitigating the risks posted by cyber-based threats. Recognizing the growing threat, the federal government urgently needs to take action to address the four major cybersecurity challenges and 10 associated critical actions (see figure). サイバー脅威がもたらすリスクを低減するためには、連邦政府と連邦政府以外のパートナーとの協調行動が不可欠である。増大する脅威をガバナンスで認識し、連邦政府はサイバーセキュリティに関する4つの主要な課題と、それに関連する10の重要なアクションに取り組むための行動を緊急にとる必要がある(図参照)。
Figure: Four Major Cybersecurity Challenges and 10 Associated Critical Actions 図: サイバーセキュリティの4大課題と関連する10の重要行動
1_20240625003201
Since 2010, GAO has made 1,610 recommendations in public reports that address the four cybersecurity challenge areas. As of May 2024, federal agencies had implemented 1,043 of these recommendations; 567 remain unimplemented. Until these recommendations are fully implemented, federal agencies will be limited in their ability to: 2010年以来、GAOは4つのサイバーセキュリティの課題分野に取り組む1,610件の勧告を公開報告書で行ってきた。2024年5月現在、連邦政府機関はこれらの勧告のうち1,043件を実施しているが、567件は未実施のままである。これらの勧告が完全に実施されるまで、連邦政府機関は以下の能力に制約を受けることになる:
provide effective oversight of critical government-wide initiatives, mitigate global supply chain risks, address challenges with cybersecurity workforce management, and better ensure the security of emerging technologies; 政府全体の重要なイニシアチブを効果的に監督し、グローバル・サプライチェーンのリスクを軽減し、サイバーセキュリティ要員マネジメントの課題に対処し、新興技術のセキュリティをより確実にする;
improve implementation of government-wide cybersecurity initiatives, address weaknesses in federal agency information security programs, and enhance the federal response to cyber incidents; 政府全体のサイバーセキュリティ・イニシアチブの実施を改善し、連邦政府機関の情報セキュリティ・プログラムの弱点に対処し、サイバーインシデントへの連邦政府の対応を強化する;
mitigate cybersecurity risks for key critical infrastructure systems and their data; and 主要な重要インフラ・システムとそのデータのサイバーセキュリティ・リスクを低減する。
protect private and sensitive data entrusted to them. 個人情報や機密データを保護する。
Why GAO Did This Study GAOがこの調査を行った理由
Federal agencies and the nation's critical infrastructures depend on technology systems to carry out fundamental operations and to process, maintain, and report vital information. The security of these systems and data is also important to safeguarding individual privacy and protecting the nation's security, prosperity, and well-being. 連邦政府機関と国家の重要なインフラは、基本的な業務を遂行し、重要な情報を処理、維持、報告するための技術システムに依存している。これらのシステムとデータのセキュリティは、個人のプライバシーを守り、国家の安全、繁栄、幸福を守るためにも重要である。
GAO first designated information security as a government-wide High-Risk area in 1997. This was expanded to include protecting the cybersecurity of critical infrastructure in 2003 and the privacy of personally identifiable information in 2015. GAOは1997年に情報セキュリティを政府全体のハイリスク分野として初めて指定した。2003年には重要インフラのサイバーセキュリティの保護、2015年には個人を特定できる情報のプライバシーの保護に拡大された。
In 2018, GAO reported that the federal government needed to address four major cybersecurity challenges: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting the cybersecurity of critical infrastructure, and (4) protecting privacy and sensitive data. Within these four challenges are 10 actions essential to successfully dealing with the serious cybersecurity threats facing the nation. 2018年、GAOは連邦政府が4つの主要なサイバーセキュリティの課題に取り組む必要があると報告した:(1)包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施、(2)連邦政府のシステムと情報の保護、(3)重要インフラのサイバーセキュリティの保護、(4)プライバシーと機密データの保護。これら4つの課題の中には、国家が直面する深刻なサイバーセキュリティの脅威にうまく対処するために不可欠な10の行動が含まれている。
GAO's objective was to describe the challenges facing the federal government in ensuring the cybersecurity of the nation and the progress it has made in addressing these challenges. To do so, GAO identified its recent public reports related to each challenge and summarized relevant findings from this work. GAO also determined the implementation status of relevant recommendations made in these reports. Further, GAO identified its ongoing and upcoming work covering each of the 10 critical actions needed to address the four major cybersecurity challenges. GAOの目的は、国のサイバーセキュリティを確保する上で連邦政府が直面しているガバナンスの課題と、これらの課題への取り組みの進捗状況を説明することであった。そのためにGAOは、各課題に関連する最近の公開報告書を特定し、この作業から得られた関連所見を要約した。GAOはまた、これらの報告書でなされた関連勧告の実施状況も把握した。さらにGAOは、4つの主要なサイバーセキュリティの課題に対処するために必要な10の重要な行動のそれぞれについて、現在進行中および今後の作業を特定した。

 

 

・[PDF] Highlights Page

20240625-10041

 

Why GAO Did This Study GAOがこの調査を行った理由
Federal agencies and the nation's critical infrastructures depend on technology systems to carry out fundamental operations and to process, maintain, and report vital information. The security of these systems and data is also important to safeguarding individual privacy and protecting the nation's security, prosperity, and well-being. 連邦政府機関と国家の重要なインフラは、基本的な業務を遂行し、重要な情報を処理、維持、報告するための技術システムに依存している。これらのシステムとデータのセキュリティは、個人のプライバシーを守り、国家の安全、繁栄、幸福を守るためにも重要である。
GAO first designated information security as a government-wide High-Risk area in 1997. This was expanded to include protecting the cybersecurity of critical infrastructure in 2003 and the privacy of personally identifiable information in 2015. GAOは1997年に情報セキュリティを政府全体のハイリスク分野として初めて指定した。2003年には重要インフラのサイバーセキュリティの保護、2015年には個人を特定できる情報のプライバシーの保護に拡大された。
In 2018, GAO reported that the federal government needed to address four major cybersecurity challenges: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting the cybersecurity of critical infrastructure, and (4) protecting privacy and sensitive data. Within these four challenges are 10 actions essential to successfully dealing with the serious cybersecurity threats facing the nation. 2018年、GAOは連邦政府が4つの主要なサイバーセキュリティの課題に取り組む必要があると報告した:(1)包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施、(2)連邦政府のシステムと情報の保護、(3)重要インフラのサイバーセキュリティの保護、(4)プライバシーと機密データの保護。これら4つの課題の中には、国家が直面する深刻なサイバーセキュリティの脅威にうまく対処するために不可欠な10の行動が含まれている。
GAO's objective was to describe the challenges facing the federal government in ensuring the cybersecurity of the nation and the progress it has made in addressing these challenges. To do so, GAO identified its recent public reports related to each challenge and summarized relevant findings from this work. GAO also determined the implementation status of relevant recommendations made in these reports. Further, GAO identified its ongoing and upcoming work covering each of the 10 critical actions needed to address the four major cybersecurity challenges. GAOの目的は、国のサイバーセキュリティを確保する上で連邦政府が直面しているガバナンスの課題と、これらの課題への取り組みの進捗状況を説明することであった。そのためにGAOは、各課題に関連する最近の公開報告書を特定し、この作業から得られた関連所見を要約した。GAOはまた、これらの報告書でなされた関連勧告の実施状況も把握した。さらにGAOは、4つの主要なサイバーセキュリティの課題に対処するために必要な10の重要な行動のそれぞれについて、現在進行中および今後の作業を特定した。
For more information, contact Marisol Cruz Cain at (202) 512-5017 or cruzcainm@gao.gov. 詳細については、Marisol Cruz Cain 電話:(202) 512-5017 または cruzcainm@gao.gov まで。
HIGH-RISK SERIES ハイリスクシリーズ
Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation 国家が直面するサイバーセキュリティの重要課題に対処するための緊急行動が必要である。
Risks to our nation’s essential technology systems are increasing. Threats to these systems can come from a variety of sources and vary in terms of the types and capabilities of the actors, their willingness to act, and their motives. Federal agencies reported 30,659 information security incidents to the Department of Homeland Security’s United States Computer Emergency Readiness Team in fiscal year 2022. Such attacks could result in serious harm to human safety, national security, the environment, and the economy. Concerted action among the federal government and its nonfederal partners is critical to mitigating the risks posted by cyber-based threats. Recognizing the growing threat, the federal government urgently needs to take action to address the four major cybersecurity challenges and 10 associated critical actions (see figure 1). わが国の基幹技術システムに対するリスクは増大している。これらのシステムに対する脅威は、さまざまなソースからもたらされる可能性があり、脅威行為者のタイプや能力、行動意欲、動機もさまざまである。連邦政府機関は2022会計年度に、国土安全保障省の米国コンピュータ緊急対応チームに30,659件の情報セキュリティ・インシデントを報告した。このような攻撃は、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性がある。サイバー脅威がもたらすリスクを低減するためには、連邦政府と連邦政府以外のパートナーとの協調行動が不可欠である。脅威の拡大をガバナンスで認識している連邦政府は、サイバーセキュリティの4大課題とそれに関連する10の重要なアクションに取り組むための行動を緊急に取る必要がある(図1を参照)。
Figure 1: Four Major Cybersecurity Challenges and 10 Associated Critical Actions 図1:サイバーセキュリティの4大課題と関連する10の重要行動
1_20240625003201
Since 2010, GAO has made 1,610 recommendations in public reports that address the four cybersecurity challenge areas. As of May 2024, federal agencies had implemented 1,043 of these recommendations; 567 remain unimplemented. Until these recommendations are fully implemented, the federal government will be hindered in ensuring the security of federal systems and critical infrastructure and the privacy of sensitive data. This increases the risk that the nation will be unprepared to respond to the cyber threats that can cause serious damage to public safety, national security, the environment, and economic well-being. 2010年以来、GAOはサイバーセキュリティの4つの課題分野に取り組む1,610件の勧告を公開報告書で行ってきた。2024年5月現在、連邦政府機関はこれらの勧告のうち1,043件を実施しているが、567件は未実施のままである。これらの勧告が完全に実施されるまで、連邦政府は連邦システムおよび重要インフラのセキュリティと機密データのプライバシーの確保に支障をきたすだろう。これは、公共の安全、国家安全保障、環境、経済的福利に深刻な損害を与えうるサイバー脅威に対応する準備ができていないというリスクを増大させる。
Challenge 1:  課題 1: 
Establishing a comprehensive cybersecurity strategy and performing effective oversight 包括的なサイバーセキュリティ戦略を確立し、効果的な監視を行う。
170 of 396 recommendations have NOT been implemented (as of May 2024)  396の勧告のうち170が未実施(2024年5月現在) 
The White House, through the Office of the National Cyber Director, has taken important steps in providing cybersecurity leadership, including developing and publicly releasing the National Cybersecurity Strategy and its accompanying implementation plan. However, in February 2024, GAO reported that the strategy and implementation plan addressed some, but not all, of the desirable characteristics of a national strategy. In particular, the strategy and implementation plan did not fully incorporate outcome-oriented performance measures and estimated resources and costs.  ホワイトハウスは、国家サイバー長官室を通じて、国家サイバーセキュリティ戦略とそれに付随する実施計画を策定・公表するなど、サイバーセキュリティのリーダーシップを発揮する上で重要なステップを踏んできた。しかし、2024年2月、GAOは、戦略と実施計画は国家戦略の望ましい特性の全てではないが、一部に対処していると報告した。特に、戦略と実施計画には、成果志向のパフォーマンス指標と、リソースとコストの見積もりが十分に盛り込まれていなかった。
Additionally, the federal government needs to take actions to perform effective oversight, including monitoring the global supply chain, ensuring a highly skilled cyber workforce, and addressing risks associated with emerging technologies, such as artificial intelligence (AI). For example: さらに連邦政府は、グローバル・サプライチェーンの監視、高度なスキルを持つサイバー人材の確保、人工知能(AI)などの新技術に関連するリスクへの対応など、効果的な監視を行うための行動をとる必要がある。例えば、次のようなことだ:
•   Emerging threats in the supply chain can put federal agencies, including the Department of Defense (DOD), at risk. GAO’s 2023 report showed that DOD had addressed four and partially addressed three practices for managing supply chain risk. However, DOD has not yet implemented GAO’s three recommendations on the partially addressed practices. ・サプライチェーンにおける新たな脅威は、国防総省を含む連邦政府機関をリスクにさらす可能性がある。GAOの2023年報告書によると、DODはサプライチェーン・リスクマネジメントのための4つのプラクティスに取り組み、3つのプラクティスには部分的に取り組んでいた。しかし、DODは、部分的に対処したプラクティスに関するGAOの3つの勧告をまだ実施していない。
•   Regarding the cyber workforce, in July 2023 GAO reported that the National Institute of Standards and Technology (NIST) had not fully addressed nine key performance assessment practices in its efforts to strengthen cybersecurity education, training, and workforce development. GAO’s recommendations to fully address these practices have not yet been implemented. ・サイバー人材に関しては、2023年7月にGAOは、国立標準技術研究所(NIST)がサイバーセキュリティの教育、訓練、人材育成を強化する取り組みにおいて、9つの主要なパフォーマンス・アセスメント・プラクティスに完全に対処していないと報告した。これらのプラクティスに完全に対処するためのGAOの勧告は、まだ実施されていない。
•   GAO’s 2023 government-wide report on AI revealed that 20 federal agencies reported a total of about 1,200 current and planned use cases—specific challenges or opportunities that AI may solve. However, many agencies had not implemented AI requirements, such as preparing an inventory on AI use. GAO made 35 recommendations to address this; however, none of these have yet been implemented. ・AIに関するGAOの2023年政府全体報告書では、20の連邦政府機関が合計約1,200の現在および計画中のユースケースを報告し、AIが解決する可能性のある特定の課題や機会を明らかにした。しかし、多くの機関は、AI利用に関するインベントリーの作成など、AIの要件を実施していなかった。GAOはこれに対処するために35の勧告を行ったが、いずれもまだ実施されていない。
Challenge 2:  課題2: 
Securing federal systems and information 連邦政府のシステムと情報の保護
221 of 839 recommendations have NOT been implemented (as of May 2024) 839の勧告のうち221が未実施(2024年5月現在)
GAO has found that agencies remain limited in their ability to improve implementation of government-wide cybersecurity initiatives, address weaknesses in federal agency information security programs, and enhance the federal response to cyber incidents. For example: GAOは、政府全体のサイバーセキュリティ・イニシアチブの実施を改善し、連邦政府機関の情報セキュリティ・プログラムの弱点に対処し、サイバーインシデントへの連邦政府の対応を強化する能力において、政府機関が依然として制限されていることを明らかにした。例えば
•   In January 2024, GAO reported that Inspectors General at 15 of the 23 civilian agencies subject to the Chief Financial Officers Act of 1990 found their agencies’ information security programs to be ineffective. Out of the 23 agencies, no more than eight received an effective rating in any given year over the last 6 years of reporting (fiscal years 2017 through 2022). ・2024年1月、GAOは、1990年最高財務責任者法(Chief Financial Officers Act of 1990)の対象となる23の民間機関のうち15の監察官室が、各機関の情報セキュリティ・プログラムが効果的でないことを発見したと報告した。23機関のうち、過去6年間(2017会計年度から2022会計年度)の報告で、ある年に効果的と評価されたのは8機関以下であった。
•   GAO’s May 2023 report highlighted that four selected agencies (the Departments of Agriculture, Homeland Security, Labor, and the Treasury) varied in their efforts to implement key security practices for cloud services, which provide on-demand access to shared resources such as networks, servers, and data storage. The practices included having a plan to respond to incidents and continuous monitoring of system security and privacy. GAO made 35 recommendations to the selected agencies, most of which have not been implemented. ・GAOの2023年5月の報告書では、選定された4つの機関(農務省、国土安全保障省、労働省、財務省)が、ネットワーク、サーバー、データストレージなどの共有リソースへのオンデマンドアクセスを提供するクラウドサービスに対して、主要なセキュリティ対策を実施する取り組みにばらつきがあることが強調された。対応には、インシデントへの対応計画の策定や、システムのセキュリティとプライバシーの継続的なモニタリングなどが含まれる。GAOは選定された機関に対し35件の勧告を行ったが、そのほとんどは実施されていない。
In December 2023, GAO reported that 23 federal civilian agencies had made progress in cybersecurity incident response preparedness, but 20 of the 23 agencies had not fully established an event logging capability. A log is a record of the events occurring within an organization’s systems and networks, and maintaining such a record is crucial for responding to incidents. GAO recommended that 19 of the 20 agencies fully implement federal event logging requirements; however, these have not yet been implemented. 2023年12月、GAOは、23の連邦民間機関がサイバーセキュリティ・インシデント対応準備において前進を遂げたが、23機関のうち20機関はイベント・ロギング機能を完全に確立していなかったと報告した。ログは、組織のシステムやネットワーク内で発生したイベントの記録であり、このような記録を維持することは、インシデントに対応する上で極めて重要である。GAOは、20機関のうち19機関に対し、連邦政府のイベント・ロギング要件を完全に実施するよう勧告したが、これらはまだ実施されていない。
Challenge 3:  課題3: 
Protecting the cybersecurity of critical infrastructure 重要インフラのサイバーセキュリティの防御
64 of 126 recommendations have NOT been implemented (as of May 2024) 126の勧告のうち64が未実施(2024年5月現在)
The nation’s 16 critical infrastructure sectors provide the essential services that underpin American society (see figure 2).  国の16の重要インフラ部門は、米国社会を支える重要なサービスを提供している(図2を参照)。
Figure 2: The 16 Critical Infrastructure Sectors 図2:16の重要インフラ部門
20240625-00806
These sectors rely on electronic systems and data to support their missions, including operational technology, which consists of systems that interact with the physical environment. Attacks on these sectors continue to grow and could result in serious harm to human safety, national security, the environment, and the economy. For example, in February 2024, a cyberattack on Change Healthcare, a health payment processor, resulting in estimated losses of $874 million and widespread impacts on providers and patient care.  これらの部門は、物理的環境と相互作用するシステムで構成される運用技術を含め、その使命を支える電子システムとデータに依存している。これらの部門に対する攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性がある。例えば、2024年2月、医療費支払い処理会社のチェンジ・ヘルスケア社に対するサイバー攻撃により、推定8億7,400万ドルの損失が発生し、プロバイダと患者ケアに広範な影響が及んだ。
Other entities have also recognized the ongoing challenges of ensuring the cybersecurity of critical infrastructure. For example, the Cyberspace Solarium Commission has conducted studies of risks to critical infrastructure and recommended, for example, that space systems be designated as critical infrastructure.  他の事業体も、重要インフラのサイバーセキュリティを確保するという継続的な課題を認識している。例えば、サイバー空間委員会は、重要インフラに対するリスクに関する研究を行い、例えば、宇宙システムを重要インフラに指定するよう勧告している。
The administration and federal agencies have taken some steps to address challenges in protecting the cybersecurity of critical infrastructure. For example, in April 2024, the White House issued the National Security Memorandum on Critical Infrastructure Security and Resilience (NSM-22), which describes the approach the federal government will take to protect U.S. infrastructure against threats and hazards. Among other things, the memorandum reaffirms the designation of the existing 16 critical infrastructure sectors, while calling for a periodic evaluation of changes to critical infrastructure sectors. The memorandum also requires the Secretary of Homeland Security to develop a biennial National Risk Management Plan summarizing U.S. government efforts to manage risk to the nation’s critical infrastructure.  政権と連邦政府機関は、重要インフラのサイバーセキュリティ保護における課題に対処するため、いくつかの措置を講じている。例えば、2024年4月、ホワイトハウスは「重要インフラのセキュリティとレジリエンスに関する国家安全保障覚書」(NSM-22)を発表した。この覚書は、米国のインフラを脅威やハザードから保護するために連邦政府が取るべきアプローチを記述したものである。この覚書では、特に、既存の16の重要インフラセクターの指定を再確認するとともに、重要インフラセクターの変更を定期的に評価するよう求めている。同覚書はまた、国土安全保障長官に対し、国家の重要インフラに対するリスクマネジメントのための米国政府の取り組みをまとめた国家リスクマネジメント計画を2年ごとに策定するよう求めている。
However, GAO has continued to report shortcomings in efforts to ensure the security of key critical infrastructure sectors. For example:  しかし、GAOは、重要インフラ部門のセキュリティ確保に向けた取り組みには不十分な点があると報告し続けている。例えば、以下のようなものである: 
•   In January 2024, GAO reported that the federal agencies responsible for the four critical infrastructure sectors that reported almost half of all ransomware attacks—critical manufacturing, energy, healthcare and public health, and transportation systems—had not determined the extent of their adoption of leading practices to address ransomware. GAO recommended that these agencies determine their respective sector’s adoption of cybersecurity practices and assess the effectiveness of federal support. None of these recommendations have been implemented. ・2024年1月、GAOは、ランサムウェア攻撃のほぼ半数が報告された4つの重要インフラ部門(重要な製造業、エネルギー、医療・公衆衛生、輸送システム)を担当する連邦政府機関が、ランサムウェアに対処するための先進的なプラクティスの採用範囲を決定していないと報告した。GAOはこれらの機関に対し、各セクターのサイバーセキュリティ慣行の採用状況を把握し、連邦政府の支援の有効性を評価するよう勧告した。これらの勧告はいずれも実施されていない。
•   GAO’s March 2024 report identified challenges in collaboration between the Cybersecurity and Infrastructure Security Agency (CISA) and other federal agencies with responsibilities for mitigating cyber risks to operational technology in their sectors. The challenges were related to ineffective information sharing and a lack of sharing processes. GAO recommended that CISA take steps to address these challenges; however, the recommendations have not yet been implemented. ・GAOの2024年3月の報告書では、サイバーセキュリティ・インフラセキュリティ庁(CISA)と、各分野の運用技術に対するサイバーリスクの軽減を担当する他の連邦政府機関との連携における課題が指摘された。その課題は、非効率な情報共有と共有プロセスの欠如に関連していた。GAOはCISAに対し、これらの課題に対処するための措置を講じるよう勧告したが、勧告はまだ実施されていない。
•   In December 2023, GAO highlighted challenges identified by nonfederal entities in the healthcare sector in accessing federal support to address cybersecurity vulnerabilities in network-connected medical devices. GAO recommended that CISA and the Food and Drug Administration update existing agreements to better facilitate collaboration on these issues. However, the recommendations have not yet been implemented. ・2023年12月、GAOは、ネットワークに接続された医療機器のサイバーセキュリティ脆弱性に対処するための連邦政府の支援にアクセスする際に、ヘルスケア分野の連邦政府以外の事業体が特定した課題を取り上げた。GAOは、CISAと食品医薬品局に対し、これらの問題に関する協力をより円滑に進めるため、既存の協定を更新するよう勧告した。しかし、この勧告はまだ実施されていない。
Challenge 4: 課題4:
Protecting privacy and sensitive data プライバシー・機密データの防御
112 of 249 recommendations have NOT been implemented (as of May 2024) 249の勧告のうち112が未実施(2024年5月現在)
The protection of personal privacy has become a more significant issue in recent years. It is essential that both private and public entities take effective measures to safeguard the sensitive and personal information collected from American citizens. However, incidents threatening the security of this information continue to affect private and public entities. For example, in March 2024, AT&T reported that some of its data, which included sensitive personal information such as Social Security numbers and passcodes, had been released onto the dark web. Analysis revealed that this incident had impacted 7.6 million current AT&T account holders and approximately 65.4 million former account holders. 個人のプライバシー保護は、近年より重要な問題になっている。民間事業体も公的事業体も、米国民から収集した機微で個人的な情報を保護するための効果的な対策を講じることが必須である。しかし、こうした情報のセキュリティを脅かすインシデントが、民間および公的事業体に影響を与え続けている。例えば、2024年3月、AT&Tは、社会保障番号やパスコードなどの機密個人情報を含むデータの一部がダークウェブに流出したことを報告した。分析の結果、このインシデントがAT&Tの現アカウント保有者760万人、元アカウント保有者約6540万人に影響を与えたことが明らかになった。
GAO has also found that federal agencies are limited in their ability to protect private and sensitive data entrusted to them. For example: GAOはまた、連邦政府機関が預託された個人情報や機密データを保護する能力に限界があることも明らかにしている。例えば
•   In August 2023, GAO reported that the Internal Revenue Service’s (IRS) monitoring of efforts to prevent contractors from gaining unauthorized access to sensitive taxpayer information was limited by its incomplete inventory of systems that process or store this information. GAO recommended that IRS maintain a comprehensive inventory of its systems that process or store taxpayer information; however, the recommendation has not been implemented. ・2023年8月、GAOは、内国歳入庁(IRS)の納税者の機密情報への不正アクセスを防止する努力の監視は、この情報を処理または保存するシステムの不完全なインベントリによって制限されていると報告した。GAOはIRSに対し、納税者情報を処理または保存するシステムの包括的なインベントリーを維持するよう勧告したが、この勧告は実施されていない。
•   GAO’s September 2022 report highlighted the risks that the increasing collection and use of personal information pose to consumer privacy and protection. For example, companies collect personal and transactional data to create consumer scores, which businesses and other entities use to predict how consumers will behave in the future. The report further noted that there remains no comprehensive U.S. internet privacy law governing private companies’ collection, use, or sale of internet users’ data, leaving consumers with limited assurance that their privacy will be protected. ・GAOの2022年9月の報告書は,個人情報の収集と利用の増加が消費者のプライバシーと保護にもたらすリスクを強調した。例えば,企業は個人データや取引データを収集して消費者スコアを作成し,企業や他の事業体はそれを使って消費者が将来どのように行動するかを予測している。同報告書はさらに,民間企業によるインターネット・ユーザーのデータ収集,利用,販売についてガバナンスする包括的な米国のインターネット・プライバシー法がまだ存在しないため,消費者のプライバシーが保護される保証が限られていると指摘した。
Federal government’s progress in addressing GAO’s recommendations for the four major cybersecurity challenges サイバーセキュリティの4大課題に対するGAOの提言に対する政府の進捗状況
GAO has made 35% 1,610 recommendations in public reports to each of the four cybersecurity challenge areas (since 2010). GAOは、サイバーセキュリティの4つの課題分野それぞれに対して、35% 1,610件の勧告を公開報告書で行っている(2010年以降)。
Federal government’s progress in addressing GAO’s recommendations for the four major cybersecurity challenges. 4大サイバーセキュリティ課題に対するGAOの提言に対する連邦政府の取り組み状況
While federal agencies have made progress in improving the security of federal and critical infrastructure IT systems, significant effort remains to address the cybersecurity challenges facing the nation. Since 2010, agencies have implemented 1,043 of the recommendations that GAO has made related to the four cybersecurity challenges. However, certain critical actions remain outstanding. For example, the federal government needs to fully establish the national cybersecurity strategy and strengthen efforts to protect the cybersecurity of critical infrastructure. Until these recommendations are fully implemented, federal agencies will be limited in their ability to: 連邦国家機関は、連邦政府および重要インフラのITシステムの安全保障の改善において前進を遂げたが、国家が直面するサイバーセキュリティの課題に対処するための多大な努力が残されている。2010年以降、4つのサイバーセキュリティの課題に関連してGAOが行った勧告のうち、1,043件を各省庁が実施している。しかし、一部の重要な対策は未解決のままである。例えば、連邦政府は国家サイバーセキュリティ戦略を完全に確立し、重要インフラのサイバーセキュリティを保護する取り組みを強化する必要がある。これらの提言が完全に実施されるまでは、連邦政府機関は以下の能力に制限を受けることになる:
•   provide effective oversight of critical government-wide initiatives, mitigate global supply chain risks, address challenges with cybersecurity workforce management, and better ensure the security of emerging technologies; ・政府全体の重要イニシアチブを効果的に監督し、グローバルなサプライチェーンマネジメントのリスクを軽減し、サイバーセキュリティ人材マネジメントの課題に対処し、新興技術のセキュリティをより確実にする;
•   improve implementation of government-wide cybersecurity initiatives, address weaknesses in federal agency information security programs, and enhance the federal response to cyber incidents; ・政府全体のサイバーセキュリティ・イニシアチブの実施を改善し、連邦政府機関の情報セキュリティ・プログラムの弱点に対処し、サイバーインシデントへの連邦政府の対応を強化する;
•   mitigate cybersecurity risks for key critical infrastructure systems and their data; and ・主要な重要インフラ・システムとそのデータのサイバーセキュリティ・リスクを低減する。
•   protect private and sensitive data entrusted to them. ・個人情報や機密データを保護する。

 

報告書

・[PDF]  Full Report

20240625-10920

 

ブログ...

・2024.06.13 

What are the Biggest Challenges to Federal Cybersecurity? (High Risk Update) 連邦サイバーセキュリティの最大の課題は何か?(ハイリスク・アップデート)
Cyberattacks have the power to bring our daily lives to a screeching halt. Nearly everything we use to work, play, and live relies on computer systems that are vulnerable to attacks. For example, an attack on an electrical grid could leave millions without power during hot summer months. An attack on transportation systems could bring traffic to a standstill. If our financial institutions are attacked, bank accounts could be drained and important personal financial records shared online. And if our communications are disrupted at the same time, you could be left with no way to report an emergency or get help. サイバー攻撃は、私たちの日常生活を急停止させる力を持っている。私たちが仕事、遊び、生活に使っているほとんどすべてのものは、攻撃に対して脆弱性のあるコンピューター・システムに依存している。例えば、電力網が攻撃されれば、暑い夏の間、何百万人もの人々が停電に見舞われる可能性がある。交通システムへの攻撃は、交通を停止させる可能性がある。金融機関が攻撃を受ければ、銀行口座から資金が引き出され、個人の重要な財務記録がオンラインで共有される可能性がある。同時にコミュニケーションも途絶えれば、緊急事態を報告することも助けを求めることもできなくなる。
Malicious cyberattacks on the federal government and the nation’s critical infrastructures, like those described above, are growing in number, impact, and sophistication. Today’s WatchBlog post looks at our new report—an update of our High Risk designation for cybersecurity—about the four major challenges facing federal efforts to protect against attacks. 上記のような連邦政府と国家の重要インフラに対する悪質なサイバー攻撃は、その数、影響力、巧妙さを増している。本日のWatchBlogでは、サイバーセキュリティに関するハイリスク指定の更新として、連邦政府による攻撃防御の取り組みが直面している4つの主要な課題について、我々の新しいレポートを紹介する。
Challenge 1: National Cybersecurity Strategy isn’t as strong as it could be 課題1:国家サイバーセキュリティ戦略はそれほど強力ではない
Last year, the White House issued a National Cybersecurity Strategy outlining steps the government is taking to address the longstanding cybersecurity challenges facing the country. But how will the government know if its strategy is working? When we looked at the strategy, we found it needed outcome-oriented performance measures for various cybersecurity initiatives. 昨年、ホワイトハウスは国家サイバーセキュリティ戦略を発表し、政府が国が直面する長年のサイバーセキュリティの課題に対処するためのステップを概説した。しかし、政府はその戦略が機能しているかどうかをどのようにして知るのだろうか?私たちがこの戦略を検討したところ、サイバーセキュリティに関するさまざまな取り組みについて、成果志向の成果指標が必要であることがわかった。
In addition, the federal government needs to take action to ensure it is monitoring the global supply chain, confirm it has the highly skilled cyber workforce it needs, and address risk associated with emerging technologies—such as artificial intelligence. The government and the private sector are at risk when emerging threats aren’t addressed. さらに連邦政府は、グローバル・サプライ・チェーンを確実に監視し、必要とされる高度なスキルを備えたサイバー人材を確保し、人工知能などの新たなテクノロジーに関連するリスクに対処するための措置を講じる必要がある。新たな脅威に対処しない場合、政府と民間部門はリスクにさらされる。
We saw such an attack around January 2019 after a network breach at SolarWinds. The Texas-based network management software company was widely used by the government to monitor network activities and manage network devices on federal systems. A Russian-led attack on SolarWinds resulted in one of the most widespread and sophisticated hacking campaigns ever conducted against the U.S. 2019年1月頃、ソーラーウィンズ社でネットワーク侵害が発生し、そのような攻撃が見られた。テキサスに本社を置くこのネットワーク管理ソフトウェア会社は、政府によってネットワーク活動の監視や連邦政府システム上のネットワークデバイスの管理に広く利用されていた。ロシア主導によるソーラーウィンズへの攻撃は、米国に対してこれまでに行われた中で最も広範かつ洗練されたハッキングキャンペーンの1つとなった。
We’ve made nearly 400 recommendations to strengthen the National Cybersecurity Strategy and agencies’ ability to perform effective oversight. As of May, 170 of our recommendations have not been acted on. 我々は、国家サイバーセキュリティ戦略と各省庁が効果的な監視を行う能力を強化するために、400近くの勧告を行ってきた。5月現在、我々の勧告のうち170件はまだ実行されていない。
Challenge 2: Agencies remain limited in their ability to improve the security of federal systems and information 課題2:連邦政府のシステムと情報のセキュリティを改善する能力が、依然として制限されている。
Federal agencies rely extensively on computerized information systems to conduct day-to-day business, including interactions with the public. Many of these systems house important taxpayer information—including Social Security numbers, income information, tax filing information, loan data, and more. 連邦政府機関は、一般市民とのやり取りを含め、日々の業務を遂行するためにコンピュータ化された情報システムに広く依存している。これらのシステムの多くには、社会保障番号、所得情報、確定申告情報、ローンデータなど、重要な納税者情報が格納されている。
Ineffective security controls could not only leave these systems vulnerable to attack, but also delay the response to attacks. For example, in December 2021, a vulnerability in a piece of open-source software known as “Log4j” was reported. Log4j is used to collect and manage information about system activities and is used in millions of federal and private information systems. A 2013 update of Log4j was intended to make data storage and retrieval easier. But in November 2021 (8 years later), a security engineer reported a vulnerability in the feature. Federal agencies were directed to address this vulnerability. Even though there hasn’t been a known Log4j-based attack on federal IT, the weakness was deemed an “endemic vulnerability”—meaning that vulnerabilities will remain in systems for years despite actions to address them. 効果的でないセキュリティ管理は、これらのシステムを攻撃に対して脆弱なままにしておくだけでなく、攻撃への対応を遅らせることにもなりかねない。例えば、2021年12月、「Log4j」として知られるオープンソースソフトウェアの脆弱性が報告された。Log4jはシステム活動に関する情報を収集・管理するために使用され、何百万もの連邦政府や民間の情報システムで使用されている。Log4jの2013年のアップデートは、データの保存と検索をより簡単にすることを意図したものだった。しかし2021年11月(それから8年後)、あるセキュリティ・エンジニアがこの機能の脆弱性を報告した。連邦政府機関はこの脆弱性に対処するよう指示された。連邦政府ITに対するLog4jベースの攻撃は知られていないにもかかわらず、この脆弱性は「常在脆弱性」、つまり脆弱性への対処にもかかわらず脆弱性が何年もシステムに残るものとみなされた。
We’ve reported on federal efforts to help agencies address weaknesses like these so that systems and information are more secure. We’ve made more than 800 recommendations to improve efforts. But 221 of these recommendations have not been implemented, as of May. Doing so can greatly enhance the federal response to cyber incidents. われわれは、連邦政府機関がこのような脆弱性に対処し、システムや情報の安全性を高めるための連邦政府の取り組みについて報告してきた。我々は、取り組みを改善するために800以上の勧告を行った。しかし、これらの勧告のうち221件は、5月の時点でまだ実施されていない。これを実施することで、サイバーインシデントに対する連邦政府の対応を大幅に強化することができる。
Challenge 3: Critical infrastructure sectors remain vulnerable to disruptive attacks 課題3:重要インフラ部門は依然として破壊的攻撃に対して脆弱である。
A ransomware attack on Change Healthcare, a health payment processor, made headlines. The attack shut down operations, resulting in nearly $874 million in financial losses and widespread disruptions for providers and patient care. Medical procedures were delayed and patients were unable to access medications. 医療費決済処理会社のチェンジ・ヘルスケアに対するランサムウェア攻撃が話題になった。この攻撃により業務が停止し、約8億7400万ドルの金銭的損失が発生したほか、プロバイダや患者のケアに広範な混乱が生じた。医療処置は遅れ、患者は薬にアクセスできなかった。
Health care is just one of our 16 critical infrastructure sectors that is vulnerable to cyberattacks. All of these sectors rely heavily on IT systems to operate. 医療は、サイバー攻撃に脆弱な16の重要インフラ部門のひとつに過ぎない。これらのセクターはすべて、ITシステムに大きく依存している。
Attacks on critical infrastructure sectors continue to grow and could seriously harm human safety, national security, the environment, and the economy. The federal government has taken some steps to address the challenges with protecting these systems from cyberattacks. But we see persistent shortcomings in these efforts. For example: 重要インフラ部門への攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害を与える可能性がある。連邦政府は、これらのシステムをサイバー攻撃から守るという課題に対処するため、いくつかの措置を講じてきた。しかし、こうした取り組みには持続的な欠点が見られる。例えば、次のようなことだ:
In January, we reported that the federal agencies responsible for the four sectors that have reported almost half of all ransomware attacks—health care and public health, critical manufacturing, energy, and transportation—had not determined whether their actions to prevent future attacks include leading practices. 1月、我々は、ランサムウェア攻撃のほぼ半分が報告されている4つのセクター(ヘルスケアと公衆衛生、重要な製造業、エネルギー、輸送)を担当する連邦政府機関が、将来の攻撃を防止するための対策がリーディング・プラクティスを含むかどうかを決定していないことを報告した。
In March, we reported on the challenges agencies face when collaborating with the Cybersecurity and Infrastructure Security Agency (CISA) on mitigating cyber risks in their sectors. These challenges included sharing information about potential threats. 我々は3月、サイバーセキュリティ・インフラセキュリティ庁(CISA)と協力し、各分野におけるサイバーリスクの低減に取り組む際に各機関が直面する課題について報告した。これらの課題には、潜在的な脅威に関する情報の共有も含まれていた。
Last December, we highlighted challenges reported by nonfederal entities in accessing the support they need from the federal government to address vulnerabilities. 昨年12月には、連邦政府以外の事業体が脆弱性に対処するために連邦政府から必要な支援を受ける際に報告された課題を取り上げた。
We’ve made 126 recommendations to better protect the cybersecurity of critical infrastructure. Action is still needed on 64 of them. 我々は、重要インフラのサイバーセキュリティをより良く保護するために、126件の提言を行った。そのうち64件については、まだ対策が必要である。
Challenge 4: Efforts to protect your personal privacy face limitations 課題4:個人のプライバシーを保護する努力は限界に直面している
In March, AT&T reported that some of its data—which included sensitive personal information such as Social Security numbers and passcodes—had been released onto the dark web. As many as 7.6 million current and approximately 65.4 million former AT&T account holders were affected. 3月、AT&Tは、社会保障番号やパスコードなどの機密個人情報を含むデータの一部がダークウェブに流出したことを報告した。現在760万人、元AT&Tのアカウント保有者約6540万人が影響を受けた。
Attacks like these are becoming more common. At the same time, we found that federal agencies are limited in their ability to help prevent and respond to them. In 2022, we reported about the risks posed by the increasing collection and use of personal information from consumers. For example, companies collect personal and transactional data to create consumer scores, which are used to predict how consumers will behave in the future. このような攻撃はより一般的になってきている。同時に、連邦政府機関の予防や対応には限界があることもわかった。2022年、我々は消費者からの個人情報の収集と利用の増加によってもたらされるリスクについて報告した。例えば、企業は個人データや取引データを収集して消費者スコアを作成し、消費者が将来どのように行動するかを予測するために使用している。
While collection and use of personal data increases, there’s still no comprehensive U.S. internet privacy law about companies’ collection, use, or sale of your data. This leaves consumers like you with limited assurances that your privacy will be protected. 個人データの収集と利用が増加する一方で、企業によるデータの収集、利用、販売に関する包括的な米国のインターネット・プライバシー法はまだ存在しない。このため、あなたのような消費者は、プライバシーが保護されるという限られた保証しか得られない。
Data the government collects about you is also at risk. In August 2023, we reported on how the IRS monitors access to sensitive taxpayer information. We found that IRS didn’t have a comprehensive inventory of the systems that store this information, limiting its ability to protect data. 政府が収集するデータもリスクにさらされている。2023年8月、我々はIRSが納税者の機密情報へのアクセスをどのように監視しているかについて報告した。我々は、IRSがこれらの情報を保存するシステムの包括的なインベントリを持っておらず、データを保護する能力を制限していることを発見した。
On the topic of protecting privacy and sensitive data, we have made nearly 250 recommendations—112 still require action. プライバシーと機密データ保護に関して、我々は250近くの勧告を行った。
What needs to happen next? 次に何が必要か?
Our new report provides an update on the federal government’s progress with addressing cybersecurity challenges and our recommendations to tackle them. In total, we’ve identified 567 recommendations that still need action. 我々の新しい報告書は、サイバーセキュリティの課題に対する連邦政府の取り組みの進捗状況と、それらに取り組むための我々の提言について最新情報を提供するものである。合計で567の勧告を特定したが、まだ対策が必要である。
Until actions are taken and our recommendations are implemented, the federal government, the national critical infrastructure, and the personal information of U.S. citizens will be increasingly susceptible to a multitude of cyber-related threats. 対策が講じられ、我々の提言が実施されるまでは、連邦政府、国家の重要インフラ、そして米国民の個人情報は、ますます多くのサイバー関連脅威の影響を受けやすくなるだろう。
・GAO’s fact-based, nonpartisan information helps Congress and federal agencies improve government. The WatchBlog lets us contextualize GAO’s work a little more for the public. Check out more of our posts at GAO.gov/blog. GAOの事実に基づいた超党派の情報は、連邦議会と連邦政府機関のガバナンス改善に役立つ。WatchBlogでは、GAOの仕事を一般向けにもう少し詳しく説明している。GAO.gov/blogで他の投稿をチェックする。

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.05 米国 GAO 高リスクシリーズ 2023 すべての分野に完全に対応するためには、進捗を達成するための努力の維持と拡大が必要である (2023.04.20)

・2023.02.10 米国 GAO サイバーセキュリティ高リスクシリーズ

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

 

 

| | Comments (0)

2024.06.17

米国 White House ファクトシート:2024年 イタリアのプーリアでのG7サミット

こんにちは、丸山満彦です。

イタリアで行われているG7も終了しましたが、会合の米国としてのまとめ?が6月14日のホワイトハウスのウェブページに掲載されていますね...

ポイントは次のような感じ...

ヨーロッパの目先の脅威、課題であるウクライナ問題で始まり、平和(安全保障)、経済的安全保障(Economic Security)、途上国の巻き込み、気候変動、病気・食糧、女性、移民、人工知能という感じですね...

 

Supporting Ukraine’s Fight for Freedom ウクライナの自由への戦いを支援する
Unlocking $50 billion for Ukraine: ウクライナに500億ドルを提供する:
Driving Up Costs for the Russian War Machine: ロシアの戦争コストを押し上げる:
Supporting Ukraine Now and in the Future: 現在と将来のウクライナを支援する:
Advancing International Peace, Security, and Prosperity 国際平和、安全保障、繁栄の促進
Calling for a Comprehensive Deal in Gaza:  ガザにおける包括的合意を求める:
Standing with Allies and Partners in the Indo-Pacific:  インド太平洋における同盟国およびパートナーとの協力:
Deepening Cooperation with Partners in Africa:   アフリカのパートナーとの協力を深める:
Promoting Economic Resilience and Economic Security 経済的強靭性と経済的安全保障の促進
Working Together to Level the Playing Field and Protect Economic Security:   競争条件を公平にし、経済的安全を守るために協力する:
Building Partnerships to Promote Resilient Supply Chains and Reduce Critical Dependencies:   強靭なサプライチェーンを促進し、重要な依存を削減するためのパートナーシップを構築する: 
Protecting Critical and Sensitive Technologies:   重要かつ機密性の高い技術を保護する: 
Partnering with Developing Countries to Invest in their Future 発展途上国の未来に投資するために協力する
Breaking the Global Debt Impasse:   世界的な債務の行き詰まりを打破する:
Boosting the Financial Power of the International Financial Institutions:  国際金融機関の資金力を高める: 
Delivering on the Partnership for Global Infrastructure and Investment (PGI):   世界インフラ投資パートナーシップ(PGI)の実現: 
Accelerating the Clean Energy Transition to Address Climate Change 気候変動に対処するためのクリーン・エネルギー転換を加速する
Phasing Out Unabated Coal Power and Increasing Energy Storage:   止まらない石炭発電の廃止とエネルギー貯蔵の増加: 
Building Clean and Resilient Supply Chains:  クリーンで強靭なサプライチェーンを構築する:
Promoting International Collaboration on Nuclear and Fusion Energy:   原子力および核融合エネルギーに関する国際協力の促進:
Promoting Health and Food Security 健康と食料安全保障の促進
Launching the Apulia Food Security Initiative:  プーリア食料安全保障イニシアティブの立ち上げ:
Transforming Global Health Security Financing:  世界的な医療安全保障のための資金調達を変革する:
Expanding Immunization Coverage:  予防接種範囲の拡大:  
Addressing antimicrobial resistance (AMR): 抗菌薬耐性(AMR)への対応:
Investing in Childcare to Support Women’s Economic Participation 女性の経済参加を支援するための育児への投資
Enhancing Our Partnership on Migration 移民に関するパートナーシップの強化
Deepening Cooperation on Artificial Intelligence 人工知能に関する協力の深化
Bridging Technology Divides and Addressing AI’s Impact on Workers: 技術の隔たりを埋め、AIが労働者に与える影響に対処する:  
Increasing Coordination to Promote AI Safety: AIの安全性を促進するための協調を強化する:
Promoting Resilient Technology Supply Chains: 強靭な技術サプライチェーンの促進:

 

U.S. The White House

・2024.06.14 FACT SHEET: The 2024 G7 Summit in Apulia, Italy

 

FACT SHEET: The 2024 G7 Summit in Apulia, Italy ファクトシート:イタリアのプーリアでの2024年G7サミット
President Biden and G7 leaders stood united at the G7 Summit in Apulia, Italy, taking bold action to meet the tests of our time:  supporting Ukraine’s fight for freedom and driving up the costs of Russia’s war, pushing back on unfair economic practices, tackling the climate crisis and food and health insecurity, harnessing critical technologies for the benefit of all, and working with partners around the world to support developing countries investing in their futures. バイデン大統領とG7首脳は、イタリアのプーリア州で開催されたG7サミットで結束し、ウクライナの自由への戦いを支援し、ロシアの戦争コストを引き上げ、不公正な経済慣行を押し返し、気候危機と食糧・健康不安に取り組み、すべての人々の利益のために重要な技術を活用し、世界中のパートナーと協力して途上国の未来への投資を支援するという、現代の試練に立ち向かうための大胆な行動をとった。
Supporting Ukraine’s Fight for Freedom ウクライナの自由への戦いを支援する
Joined by Ukrainian President Zelenskyy, G7 leaders reaffirmed their unwavering support for Ukraine for as long as it takes – sending an unmistakable signal to Putin that he will not outlast our resolve.  G7首脳は、ウクライナのゼレンスキー大統領とともに、ウクライナへの揺るぎない支援を必要な限り続けることを再確認した。
Unlocking $50 billion for Ukraine:  G7 leaders announced a plan to provide Ukraine with $50 billion in new financing by bringing forward the interest earned on immobilized Russian sovereign assets held in the European Union and other jurisdictions.  Leaders reaffirmed their commitment that Russia’s sovereign assets within G7 jurisdictions will remain immobilized until Russia ends its aggression and pays for the damage it has caused to Ukraine.  This new financing will provide critically needed support for Ukraine’s military, budget, and reconstruction needs.  The United States will work with Ukraine and G7 partners in the coming months to finalize the details of the financing arrangement and issue the loan by the end of the year. ウクライナに500億ドルを提供する:  G7首脳は、欧州連合(EU)やその他の管轄区域に保有されるロシアの固定化されたソブリン資産から得られる利息を前倒しすることにより、ウクライナに500億ドルの新たな資金を提供する計画を発表した。 首脳は、ロシアが侵略をやめ、ウクライナに与えた損害の代償を支払うまで、G7の管轄区域内にあるロシアのソブリン資産は固定化されたままであるとのコミットメントを再確認した。 この新たな資金調達は、ウクライナの軍事、予算、復興のニーズに対して、決定的に必要な支援を提供する。 米国は今後数ヶ月間、ウクライナおよびG7のパートナーと協力し、融資の詳細を決定し、年内に融資を実行する予定である。
Driving Up Costs for the Russian War Machine: The Biden Administration this week issued a sweeping set of new sanctions and export control measures, guided by G7 commitments to intensify the pressure on Russia for its war against Ukraine.  Foreign banks now face increased sanctions risk when they deal with Russia’s war economy.  New sanctions on more than 300 individuals and entities in Russia, the People’s Republic of China (PRC), and globally target Russia’s financial infrastructure; over a dozen international evasion and procurement networks; Russia’s future energy, metals, and mining revenues; and Russian elites involved in the deportation or so-called re-education of Ukrainian children.  The Administration also announced steps to restrict access to certain U.S. software and information technology services, to crack down on diversion of goods through shell companies, and to more extensively restrict exports to entities that supply Russia with U.S.-branded items produced overseas. ロシアの戦争コストを押し上げる:バイデン政権は今週、対ウクライナ戦争に対するロシアへの圧力を強化するため、G7の公約に導かれる形で、新たな制裁措置と輸出規制措置を大々的に発表した。 外国の銀行がロシアの戦争経済と取引する際には、制裁リスクが高まることになる。 ロシア、中華人民共和国(PRC)、そして全世界の300以上の個人と団体に対する新たな制裁は、ロシアの金融インフラ、10以上の国際的な脱税・調達ネットワーク、ロシアの将来のエネルギー、金属、鉱業収入、ウクライナの子どもたちの国外追放やいわゆる再教育に関与するロシアのエリートたちを標的としている。 また同政権は、特定の米国製ソフトウェアや情報技術サービスへのアクセスを制限し、ペーパーカンパニーを通じた商品の横流しを取り締まり、海外で生産された米国ブランドの商品をロシアに供給する企業への輸出をより広範囲に制限する措置も発表した。
Supporting Ukraine Now and in the Future.  In Puglia, President Biden and President Zelensky signed the U.S.-Ukraine Bilateral Security Agreement as a demonstration of enduring U.S. support for Ukraine, including through binding commitments to deepen our security and defense cooperation and to consult in the event of a future armed attack . 現在と将来のウクライナを支援する:プーリアにおいて、バイデン大統領とゼレンスキー大統領は、米国とウクライナの二国間安全保障協定に署名した。これは、安全保障・防衛協力の深化や、将来の武力攻撃時の協議を含む、ウクライナに対する米国の永続的な支援を示すものである。
Advancing International Peace, Security, and Prosperity 国際平和、安全保障、繁栄の促進
The G7’s work is grounded in a shared commitment to respect the UN Charter, promote international peace and security, and uphold the free and open rules-based international order. G7の活動は、国連憲章を尊重し、国際の平和と安全を促進し、自由で開かれたルールに基づく国際秩序を維持するという共通のコミットメントに基づいている。
Calling for a Comprehensive Deal in Gaza: The G7 was united in supporting the comprehensive deal outlined by President Biden that would lead to an immediate ceasefire in Gaza, the release of all hostages, a significant and sustained increase in the flow of humanitarian assistance throughout Gaza, and an enduring end to the crisis, with Israel’s security interests and safety for Palestinian civilians in Gaza assured. ガザにおける包括的合意を求める: G7は、イスラエルの安全保障上の利益とガザのパレスチナ市民の安全を確保した上で、ガザにおける即時停戦、全人質の解放、ガザ全域における人道支援の大幅かつ持続的な増加、危機の永続的な終結につながるバイデン大統領が概説した包括的な取り決めを支持することで一致した。
Standing with Allies and Partners in the Indo-Pacific:  President Biden discussed robust U.S. engagement in the Indo-Pacific to strengthen our alliances and partnerships, and welcomed the increasing connectivity between European and Indo-Pacific partners.  He joined with other leaders in stressing the importance of peace and stability across the Taiwan Strait, and in raising concerns regarding the PRC’s dangerous actions in the South China Sea. インド太平洋における同盟国およびパートナーとの協力:  バイデン大統領は、同盟とパートナーシップを強化するため、インド太平洋地域における米国の強固な関与について述べ、欧州とインド太平洋地域のパートナー間の結びつきが強まっていることを歓迎した。 また、他の首脳とともに、台湾海峡の平和と安定の重要性を強調し、南シナ海における中国の危険な行動について懸念を表明した。
Deepening Cooperation with Partners in Africa:  The G7 is working together with African partners to contribute to global stability and prosperity, and have endorsed African countries’ call for greater voice in international bodies. アフリカのパートナーとの協力を深める: G7は、世界の安定と繁栄に貢献するため、アフリカのパートナーと協力しており、アフリカ諸国が国際機関においてより大きな発言力を求めていることを支持した。
Promoting Economic Resilience and Economic Security 経済的強靭性と経済的安全保障の促進
President Biden rallied the G7 to take further steps to protect our workers, industries, and the investments we are making from begin undermined by the PRC’s unfair practices.  The PRC’s policies are creating global spillovers, including harmful overcapacity, that undercut market firms and lead to supply chain dependencies in sectors such as solar, wind, electric vehicles, lithium-ion batteries, medical devices, mature-node semiconductors, steel, aluminum, and others.  バイデン大統領は、中国の不公正な慣行によって損なわれることのないよう、我々の労働者、産業、投資を保護するための更なる措置を講じるよう、G7に呼びかけた。 中国の政策は、太陽光、風力、電気自動車、リチウムイオン電池、医療機器、成熟ノード半導体、鉄鋼、アルミニウムなどの分野において、市場企業を弱体化させ、サプライチェーン依存につながる有害な過剰生産能力を含む、グローバルな波及効果を生み出している。
Working Together to Level the Playing Field and Protect Economic Security:  The G7 pledged to work together to confront non-market policies and practices and efforts to dominate strategic sectors.  The G7 will undertake new monitoring and information-sharing efforts, update our respective toolkits to counter harmful practices, and coordinate efforts to deter and respond to economic coercion.  競争条件を公平にし、経済的安全を守るために協力する:  G7は、非市場的な政策や慣行、戦略的セクターを支配しようとする努力に立ち向かうために協力することを約束した。 G7は、新たな監視と情報共有の努力を行い、有害な慣行に対抗するためのそれぞれのツールキットを更新し、経済的強制を抑止し、これに対応するための努力を調整する。
Building Partnerships to Promote Resilient Supply Chains and Reduce Critical Dependencies:  The G7 will work with partners in developing countries and emerging markets to increase their participation in global supply chains while promoting high standards. 強靭なサプライチェーンを促進し、重要な依存を削減するためのパートナーシップを構築する:  G7 は、開発途上国や新興市場のパートナーと協力し、高い基準を推進しつつ、グローバル・ サプライ・チェーンへの参加を拡大する。
Protecting Critical and Sensitive Technologies:  We are updating our respective tools to protect certain critical and sensitive technologies from being used to undermine international peace and security, while avoiding broader restrictions on international trade and investment.  The G7 is also strengthening cooperation on research security, data security, and investment screening efforts, and coordinating to streamline the implementation of export controls. 重要かつ機密性の高い技術を保護する:  我々は、国際貿易及び投資に対する広範な制限を回避しつつ、特定の重要かつ機微な技術が国際的な平和と安全を損なうために使用されることを防止するため、それぞれの手段を更新している。 G7はまた、研究セキュリティ、データ・セキュリティ、投資スクリーニングの取り組みに関する協力を強化し、輸出規制の実施を合理化するための調整を行っている。
Partnering with Developing Countries to Invest in their Future 発展途上国の未来に投資するために協力する
The G7 is taking ambitious steps to scale up support to developing countries and accelerate progress toward the Sustainable Development Goals. G7は、途上国への支援を拡大し、持続可能な開発目標に向けた進捗を加速させるため、野心的な措置を講じている。
Breaking the Global Debt Impasse:  Recognizing that mounting debt burdens are putting developing countries’ ability to make such critical investments out of reach, President Biden – alongside Kenyan President Ruto – championed and garnered G7 support for the Nairobi-Washington Vision that calls on the international community to step up support for developing countries to make critical investments and reforms.  The G7 committed to work with the IMF, World Bank, and other stakeholders to bring this plan forward, with a view to realizing it for pilot countries this year. 世界的な債務の行き詰まりを打破する:バイデン大統領は、ケニアのルト大統領とともに、債務負担の増大が途上国の重要な投資を手の届かないものにしていることを認識し、重要な投資と改革を行う途上国への支援を強化するよう国際社会に求めるナイロビ・ワシントン・ビジョンを提唱し、G7の支持を集めた。 G7は、IMF、世界銀行、その他の利害関係者と協力し、今年中にパイロット国向けにこの計画を実現することを視野に入れ、この計画を前進させることを約束した。
Boosting the Financial Power of the International Financial Institutions: President Biden further championed efforts to deliver better, bigger, more effective multilateral development banks (MDBs).  The G7 rallied together to announce planned contributions which, once approved domestically, would make it possible for the World Bank to boost lending by $70 billion over the next decade.  This is on top of efforts from the United States and other MDB shareholders to unlock over $250 billion in new lending capacity at these institutions.  国際金融機関の資金力を高める: バイデン大統領はさらに、より良く、より大きく、より効果的な多国間開発銀行(MDBs)を実現するための努力を支持した。 G7が結集して拠出計画を発表し、それが国内で承認されれば、世界銀行は今後10年間で700億ドルの融資増額が可能になる。 これは、米国と他のMDB株主による、MDBにおける2500億ドル以上の新規融資能力を引き出すための努力に加えてのことである。
Delivering on the Partnership for Global Infrastructure and Investment (PGI):  President Biden and Italian Prime Minister Meloni co-hosted a PGI side event that included participation by BlackRock Chairman and CEO Larry Fink and Microsoft Chairman and CEO Satya Nadella.  G7 leaders and private sector executives reaffirmed their commitment to unlocking public and private capital for investments in partner countries, demonstrated by BlackRock’s announcement that a group of investors plan to invest at least $4 billion in alignment with PGI priorities and Microsoft’s announcement of $5 billion in recent digital infrastructure investments in emerging markets.  President Biden announced new projects and highlighted progress on PGI economic corridors, including the Lobito Corridor in Sub-Saharan Africa and the Luzon Corridor in the Philippines.  The United States has mobilized more than $60 billion to date towards PGI. 世界インフラ投資パートナーシップ(PGI)の実現: バイデン大統領とメローニ伊首相は、ブラックロックのラリー・フィンク会長兼CEOとマイクロソフトのサティア・ナデラ会長兼CEOが参加するPGIサイドイベントを共催した。 G7首脳と民間企業幹部は、パートナー国への投資のために公的・民間資本を開放することへのコミットメントを再確認した。これは、ブラックロック社がPGIの優先事項に沿って少なくとも40億ドルの投資を計画していると発表したことや、マイクロソフト社が新興国市場における最近のデジタル・インフラ投資で50億ドルを拠出すると発表したことで実証された。 バイデン大統領は新たなプロジェクトを発表し、サハラ以南のアフリカのロビト回廊やフィリピンのルソン回廊など、PGI経済回廊の進展を強調した。 米国はこれまでに600億ドル以上をPGIに動員している。
Accelerating the Clean Energy Transition to Address Climate Change 気候変動に対処するためのクリーン・エネルギー転換を加速する
The G7 is accelerating its work to address the challenges of climate change, pollution, and biodiversity loss.  G7 members reaffirmed ambitious COP28 commitments to triple renewable energy capacity, double global energy efficiency by 2030, and strengthen energy security. G7は、気候変動、汚染、生物多様性の損失という課題に対処するための活動を加速させている。 G7メンバーは、2030年までに再生可能エネルギー容量を3倍にし、世界のエネルギー効率を2倍にし、エネルギー安全保障を強化するという野心的なCOP28の約束を再確認した。
Phasing Out Unabated Coal Power and Increasing Energy Storage:  The G7 has committed for the first time to phase out unabated coal power generation in energy systems during the first half of the 2030s.  The G7 has also further set a target to deploy 1,500 GW of long-duration energy storage by 2030, building on top of the COP28 pledge to triple globally installed renewable energy by 2030. 止まらない石炭発電の廃止とエネルギー貯蔵の増加: G7は、2030年代前半のエネルギーシステムにおいて、停止していない石炭発電を段階的に廃止することを初めて約束した。 G7はさらに、2030年までに再生可能エネルギーの導入量を世界全体で3倍にするというCOP28の公約に基づき、2030年までに150万kWの長期エネルギー貯蔵を導入するという目標を設定した。
Building Clean and Resilient Supply Chains:  Working with Congress, President Biden announced that the United States intends to contribute $5 million to the Partnership for Resilient and Inclusive Supply-Chain Enhancement (RISE), launched by the G7 last year.  RISE supports low- and middle-income countries to invest in their economies and strengthen their engagement throughout critical minerals supply chains, helping to drive the clean energy transition and promote resilient supply chains. クリーンで強靭なサプライチェーンを構築する:  バイデン大統領は議会と協力し、昨年G7が立ち上げた「レジリエントで包括的なサプライチェーン強化のためのパートナーシップ(RISE)」に米国が500万ドルを拠出する意向であることを発表した。 RISEは、低・中所得国が自国の経済に投資し、重要な鉱物のサプライチェーン全体への関与を強化することを支援し、クリーンエネルギーへの移行を促進し、弾力的なサプライチェーンを促進する。
Promoting International Collaboration on Nuclear and Fusion Energy:  The G7 recognized nuclear energy as a clean/zero emissions energy source that can reduce dependence on fossil fuels to address the climate crisis and improve global energy security, and pledged to support multilateral efforts to strengthen the resilience of nuclear supply chains.  Recognizing the potential for fusion energy to serve as a breakthrough energy solution, the G7 is establishing a Working Group on Fusion Energy to share best practices and promote cooperation on research and development. 原子力および核融合エネルギーに関する国際協力の促進:  G7は、原子力を、気候危機に対処し、世界のエネルギー安全保障を向上させるために化石燃料への依存を減らすことができるクリーン/ゼロエミッションのエネルギー源として認識し、原子力サプライチェーンの強靭性を強化するための多国間努力を支援することを約束した。 核融合エネルギーが画期的なエネルギー解決策となる可能性を認識し、G7は、ベストプラクティスを共有し、研究開発に関する協力を促進するため、核融合エネルギーに関する作業部会を設置する。
Promoting Health and Food Security 健康と食料安全保障の促進
The G7 continues to lead global efforts to address the food security crisis and support strong, resilient and responsive health systems around the world. G7は、食料安全保障の危機に対処し、世界中の強く、弾力的で、対応力のある保健システムを支援するための世界的な取り組みを引き続き主導する。
Launching the Apulia Food Security Initiative:  G7 leaders joined Italy in launching the Apulia Food Security Initiative to address structural barriers to food security and nutrition and build more resilient, sustainable, and productive agriculture and food systems.  Aligned with the United States’ signature food security initiative, The Feed the Future Initiative, as well as the Vision for Adapted Crops and Soils, the G7 recommitted to investing in sustainable and resilient food systems and in healthy, fertile soil management and climate-adapted crop varieties. プーリア食料安全保障イニシアティブの立ち上げ: G7 の指導者たちは、食料安全保障と栄養に対する構造的な障壁に取り組み、より強靭で持続可能、かつ生産的な農業と食料システムを構築するため、イタリアとともにプーリア食料安全保障イニシアティブを立ち上げた。 米国の代表的な食料安全保障イニシアチブである「フィード・ザ・フューチャー・イニシアチブ」や「適応作物と土壌のためのビジョン」と連携し、G7は、持続可能で強靭な食料システム、健康的で肥沃な土壌管理と気候に適応した作物品種への投資を約束した。
Transforming Global Health Security Financing:  President Biden and G7 leaders called for at least $2 billion in new pledges for the Pandemic Fund, and pledges equal to or greater than that for catalytic financing, which helps developing countries build pandemic prevention, preparedness, and response capacities.  They additionally committed to achieve concrete progress to boost surge financing for medical countermeasure (MCM) to enable countries to quickly procure, produce, and deliver MCMs during future pandemics. 世界的な医療安全保障のための資金調達を変革する:  バイデン大統領とG7首脳は、パンデミック基金への少なくとも20億ドルの新規拠出と、開発途上国のパンデミック予防、準備、対応能力の構築を支援する触媒的資金への同額以上の拠出を求めた。 さらに、将来のパンデミック時に各国が迅速にMCMを調達、生産、提供できるよう、医療対策(MCM)のためのサージ資金を強化するための具体的な進展を約束した。
Expanding Immunization Coverage:  President Biden and G7 leaders expressed support for a sustainable replenishment of Gavi, the Vaccine Alliance, this year, with the goal of significantly expanding immunization coverage globally.  President Biden committed to making a robust and multi-year pledge to Gavi, the Vaccine Alliance, in support of this year’s replenishment and urged other G7 leaders to step up with ambitious pledges of their own. 予防接種範囲の拡大:  バイデン大統領とG7首脳は、予防接種の普及率を世界的に大幅に拡大することを目標に、ワクチン同盟であるGaviの持続可能な補充を今年行うことへの支持を表明した。 バイデン大統領は、今年の補充を支援するため、ワクチンアライアンスであるGaviに対し、強固で複数年にわたる誓約を行うことを約束し、他のG7首脳に対し、野心的な誓約を自ら行うよう促した。
Addressing antimicrobial resistance (AMR):  G7 Leaders committed to take action to address the emergence, spread, and impact of AMR, including through ensuring a successful High-Level Meeting on AMR in September 2024 that galvanizes action on this critical health, economic, and security threat. 抗菌薬耐性(AMR)への対応:  G7首脳は、2024年9月に開催されるAMRに関するハイレベル会合を成功させ、この重大な保健、経済、安全保障上の脅威に対する行動を喚起することを含め、AMRの出現、拡散、影響に対処するための行動をとることを約束した。
Investing in Childcare to Support Women’s Economic Participation 女性の経済参加を支援するための育児への投資
The G7 is tackling the unequal gender distribution of care work, which contributes to gender inequality.  The G7 committed to support, by 2035, at least 200 million more women to join the workforce by investing in efforts to close the global gap in the availability of childcare – including through the World Bank Invest in Childcare Initiative announced by First Lady Dr. Jill Biden in 2022 to help promote women’s economic opportunity.  G7 partners have contributed more than $100 million to the World Bank to support more high-quality investments in childcare globally. G7は、ジェンダー不平等の一因となっている介護労働の不平等な男女分配に取り組んでいる。 G7は、2022年にジル・バイデン大統領夫人が発表した、女性の経済的機会を促進するための世界銀行による保育への投資イニシアティブを含め、保育の利用可能性における世界的格差を解消する取り組みに投資することにより、2035年までに少なくとも2億人以上の女性の労働参加を支援することを約束した。 G7のパートナーは、世界の保育へのより質の高い投資を支援するため、世界銀行に1億ドル以上を拠出している。
Enhancing Our Partnership on Migration 移民に関するパートナーシップの強化
Drawn from the principles of the Los Angeles Declaration on Migration and Protection that President Biden launched at the Summit of the Americas in 2022, the G7 affirmed a collective commitment to addressing migration in ways that reflect both the challenges and opportunities it presents.  Leaders endorsed a three-pronged approach focused on addressing root causes of irregular migration, strengthening safe and regular migration pathways, and enhancing border management and enforcement and curbing transnational organized crime. 2022年の米州サミットでバイデン大統領が発表した「移住と保護に関するロサンゼルス宣言」の原則に基づき、G7は、移住がもたらす課題と機会の双方を反映する形で移住に取り組むという集団的なコミットメントを確認した。 首脳は、非正規移民の根本原因への取り組み、安全で正規の移民経路の強化、国境管理と執行の強化、国際組織犯罪の抑制に焦点を当てた3つの側面からのアプローチを支持した。
Deepening Cooperation on Artificial Intelligence 人工知能に関する協力の深化
In line with the Biden Administration’s vision laid out in the October 2023 Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence, the G7 is building partnerships around the world to ensure the benefits of artificial intelligence and other technologies are widely shared while mitigating risks. バイデン政権が2023年10月に発表した「人工知能の安全、安心かつ信頼できる開発と利用に関する大統領令」に示されたビジョンに沿って、G7は人工知能やその他の技術の恩恵を広く共有する一方で、リスクを軽減するためのパートナーシップを世界中で構築している。
Bridging Technology Divides and Addressing AI’s Impact on Workers:  G7 leaders affirmed the importance of international partnerships to bridge the digital divide and ensure people everywhere access the benefits of AI and other technologies in order to make scientific advancements, promote sustainable development, improve public health, accelerate the clean energy transition, and more. G7 labor ministers will develop an action plan to leverage AI’s potential to increase quality jobs and empower workers while addressing its potential challenges and risks to workers and labor markets. 技術の隔たりを埋め、AIが労働者に与える影響に対処する:  G7首脳は、科学の進歩、持続可能な開発の促進、公衆衛生の向上、クリーン・エネルギーへの転換の加速などを実現するため、デジタル・デバイドを解消し、あらゆる人々がAIやその他の技術の恩恵にアクセスできるようにするための国際的パートナーシップの重要性を確認した。G7労働大臣は、労働者と労働市場に対する潜在的な課題とリスクに対処しつつ、質の高い雇用を増やし、労働者に力を与えるAIの潜在力を活用するための行動計画を策定する。
Increasing Coordination to Promote AI Safety:  G7 leaders committed to step up efforts to enhance interoperability between our respective approaches to AI governance and risk management.  This includes deepening cooperation between the U.S. AI Safety Institute and similar bodies in other G7 countries to advance international standards for AI development and deployment. AIの安全性を促進するための協調を強化する:  G7首脳は、AIガバナンスとリスク管理に対するそれぞれのアプローチ間の相互運用性を高める努力を強化することを約束した。 これには、米国のAI安全性研究所と他のG7諸国の同様の組織との協力を深め、AIの開発と展開に関する国際基準を推進することが含まれる。
Promoting Resilient Technology Supply Chains: The G7 welcomed the establishment of a Semiconductors G7 Point of Contact Group to bolster our coordination on issues impacting this critical sector underpinning the AI ecosystem. 強靭な技術サプライチェーンの促進: G7は、AIのエコシステムを支えるこの重要なセクターに影響を与える問題についての協調を強化するため、半導体G7コンタクト・ポイント・グループの設立を歓迎した。

 

Fig1_20210802074601

 

 


 

ちなみに、日本の外務省のウェブページ

外務省 

2024 G7サミット

 

 


 

| | Comments (0)

2024.05.09

CSA サイバー・保護サーフェイスの定義 (日本語翻訳)

こんにちは、丸山満彦です。

CSAが今年の3月にDefining the Zero Trust Protect Surfaceを公表していたのですが、すっかり失念していました。そして、これまた4月には日本語版と韓国語版が公表されていました..

そして、この文書が参照している、次の2つの文書も失念していますね...(^^;;

・[PDF] NSTAC Report to the President onZero Trust and Trusted Identity Management

・[PDF] CISA Zero Trust Maturity Model V2

あらら...

 

要旨は...


この文書の目的は、John Kindervag が最初に策定し社会化したNSTAC Report to the President onZero Trust and Trusted Identity Managementに記載されている 5 つのステップのゼロトラスト実装プロセスの第 1 ステップを反復的に実行するためのガイダンスを提供することです。5 つのステップのそれぞれについて詳細なガイダンスを作成するために、別の CSA リサーチ文書が作成されているところです。

この重要な最初のステップである「保護サーフェス の定義」では、組織のデータ、アプリケーション、資産、サービス(DAAS)の要素を特定し、ビジネスリスクと現在のセキュリティ成熟度の評価を行い、実装の優先順位付けを行います。本稿では、DAAS 要素を保護サーフェスにグループ化するなど、このプロセスの背後にある方法論に焦点を当てます。

ビジネス情報システムを構成する攻撃サーフェスと保護サーフェスの相互関係や、CISA Zero Trust Maturity Model V2実装の優先順位付けに活用する方法など、重要な検討事項と概念について説明します。このガイダンスは、組織がゼロトラスト実装の複雑さを乗り越えるための反復可能なプロセスを採用することを支援します。


 

対象とする読者も次のような感じですね...


主な対象者: ゼロトラストアーキテクトおよび実装チーム、最高情報セキュリティ責任者、情報セキュリティ管理者、ITセキュリティアナリスト

第二の対象者: CxO(CEO、CISO、CFO、CTO、CIO)、プライバシー・コンプライアンス・オフィサー、IT監査・評価者、ソフトウェア開発者、ネットワーク・セキュリティ・エンジニア


 

目次...

Abstract 要旨
Target Audience 対象とする読者
Introduction to Zero Trust ゼロトラスト入門
Document Scope 文書の範囲
Business Assets Overview ビジネス資産の概要
Zero Trust Implementation Process ゼロトラスト導入プロセス
Overview of the Protect Surface 保護サーフェスの概要
Prioritizing Iterative Execution of the 5-Step Process 5-ステッププロセスの反復実行の優先順位付け
Caution Regarding DAAS Elements Whose Purpose Is Uncertain 目的が不明確なDAAS要素に関する注意
DAAS Elements Comprising a Protect Surface 保護サーフェスを構成するDAAS要素
Data データ
Applications and Workloads アプリケーションとワークロード
Assets: Systems and Devices 資産: システムとデバイス
Services サービス
NSTAC, CISA Maturity Model and Protect Surfaces NSTAC、CISA成熟度モデルと保護サーフェス
Risks and Impacts of Protect Surface Compromises 保護サーフェスの侵害がもたらすリスクと影響
Applying Data Classifications データ分類の適用
Attack Surface Versus Protect Surface 攻撃サーフェスと保護サーフェス
Looking Ahead, After Protect Surfaces are Defined 保護サーフェスが定義された後の展望
Conclusion 結論
Useful References 参考文献

 

 

Cloud Security Alliance; CSA

・2024.04.14 Defining the Zero Trust Protect Surface - Japanese Translation

20240509-50152

 

 

オリジナルの英語版...

・2024.03.05 Defining the Zero Trust Protect Surface

20240509-51241

 

韓国語翻訳版も...

・2024.04.24 Defining the Zero Trust Protect Surface - Korean Translation

20240509-51607

 

 


参照されている文書...

 

CISA

・2022.02.23 [PDF] NSTAC Report to the President onZero Trust and Trusted Identity Management

20240509-51937

 

 

成熟度モデル

Zero Trust Maturity Model

・2023.04 [PDF] CISA Zero Trust Maturity Model V2

20240509-52305

 

 

 

| | Comments (0)

2024.01.12

世界経済フォーラム (WEF) The Global Risks Report 2024 19th Edition グローバルリスク報告書2024

こんにちは、丸山満彦です。

今年もグローバルリスク報告書が、ダボス会議を前に公表されていますね。。。

ちなみに、この調査は2023年9月−10月に実施されているので、その後の大きな事案についての影響は反映されていないかもしれませんね。。。

 

ということも踏まえて、昨年、一昨年と短期のリスク(今後2年間に重要となるであろうリスク)で比較すると...

 

20240111-170304

 

Fig1_20230112162401

 

 

ちなみに現在のリスクでいうと、、、

1_20240112043901

 

● World Economic Forum

・2024.01.11 Global Risks Report 2024

・[PDF] Global Risks Report 2024 19th Edition

20240111-63747

目次...

Preface 序文
Overview of methodology 方法論の概要
Key findings 主な調査結果
Chapter 1: Global Risks 2024: At a turning point 第1章 2024年の世界リスク: 転換期を迎えて
1.1 The world in 2024 1.1 2024年の世界
1.2 The path to 2026 1.2 2026年への道
1.3 False information 1.3 偽情報
1.4 Rise in conflict 1.4 紛争の増加
1.5 Economic uncertainty 1.5 経済の不確実性
1.6 Looking ahead 1.6 将来を展望する
Endnotes 巻末資料
Chapter 2: Global Risks 2034: Over the limit 第2章 2034年の世界リスク:限界を超える
2.1 The world in 2034 2.1 2034年の世界
2.2 Structural forces 2.2 構造的な力
2.3 A 3°C world 2.3 3℃の世界
2.4 AI in charge 2.4 AIが支配する
2.5 The end of development? 2.5 開発の終焉?
2.6 Crime wave 2.6 犯罪の波
2.7 Preparing for the decade ahead 2.7 今後10年に備える
Endnotes 巻末資料
Chapter 3: Responding to global risks 第3章 グローバルリスクへの対応
3.1 Localized strategies 3.1 地域に根ざした戦略
3.2 Breakthrough endeavors 3.2 画期的な試み
3.3 Collective actions 3.3 集団行動
3.4 Cross-border coordination 3.4 国境を越えた協調
3.5 Conclusion 3.5 おわりに
Endnotes 巻末資料
Appendix A: Definitions and Global Risks List 附属書A:定義とグローバルリスクリスト
Appendix B: Global Risks Perception Survey 2023-2024 附属書B:グローバル・リスクに関する意識調査 2023-2024
Appendix C: Executive Opinion Survey: National Risk Perceptions 附属書C:経営者意識調査: 各国のリスク認識
Appendix D: Risk governance 附属書D: リスクガバナンス
Partner Institutes パートナー機構
Acknowledgements 謝辞

 

 

Key Findings...

Key findings 主な調査結果
The Global Risks Report 2024 presents the findings of the Global Risks Perception Survey (GRPS), which captures insights from nearly 1,500 global experts. The report analyses global risks through three time frames to support decision-makers in balancing current crises and longer-term priorities. Chapter 1 explores the most severe current risks, and those ranked highest by survey respondents, over a two-year period, analysing in depth the three risks that have rapidly accelerated into the top 10 rankings over the two-year horizon. Chapter 2 focuses on the top risks emerging over the next decade against a backdrop of geostrategic, climate, technological and demographic shifts, diving deeper into four specific risk outlooks. The report concludes by considering approaches for addressing complex and non-linear aspects of global risks during this period of global fragmentation. Below are the key findings of the report. グローバル・リスク・レポート2024』は、グローバル・リスク認識調査(GRPS)の結果をまとめたものである。本レポートは、意思決定者が現在の危機と長期的な優先事項のバランスを取れるよう、3つの時間軸で世界のリスクを分析している。第1章では、現在の最も深刻なリスク、および調査回答者が最も高く評価したリスクを2年間にわたり調査し、2年間で急速にランキングトップ10入りを果たした3つのリスクを詳細に分析している。第2章では、地政学的、気候的、技術的、人口統計学的なシフトを背景に、今後10年間に顕在化するリスクの上位に焦点を当て、4つの具体的なリスク見通しについて深く掘り下げている。本レポートは、世界的な分断が進む中、グローバル・リスクの複雑かつ非直線的な側面に対処するためのアプローチを検討することで締めくくられている。以下は、本レポートの主な調査結果である。
A deteriorating global outlook 悪化する世界的見通し
Looking back at the events of 2023, plenty of developments captured the attention of people around the world – while others received minimal scrutiny. Vulnerable populations grappled with lethal conflicts, from Sudan to Gaza and Israel, alongside record-breaking heat conditions, drought, wildfires and flooding. Societal discontent was palpable in many countries, with news cycles dominated by polarization, violent protests, riots and strikes. 2023年の出来事を振り返ってみると、多くの出来事が世界中の人々の注目を集めたが、一方でほとんど注目されなかった出来事もあった。脆弱性を抱える人々は、記録的な暑さ、干ばつ、山火事、洪水に加え、スーダンからガザ、イスラエルに至るまで、致命的な紛争に直面した。社会の不満は多くの国で顕著であり、偏向、暴力的な抗議行動、暴動、ストライキがニュースを席巻した。
Although globally destabilizing consequences – such as those seen at the initial outbreak of the Russia-Ukraine war or the COVID-19 pandemic – were largely avoided, the longer-term outlook for these developments could bring further global shocks. ロシア・ウクライナ戦争やCOVID-19パンデミックの勃発時に見られたような、世界的に不安定化するような事態はほぼ回避されたものの、こうした事態の長期的な見通しは、さらなる世界的な衝撃をもたらす可能性がある。
As we enter 2024, 2023-2024 GRPS results highlight a predominantly negative outlook for the world over the next two years that is expected to worsen over the next decade (Figure A). Surveyed in September 2023, the majority of respondents (54%) anticipate some instability and a moderate risk of global catastrophes, while another 30% expect even more turbulent conditions. The outlook is markedly more negative over the 10-year time horizon, with nearly two-thirds of respondents expecting a stormy or turbulent outlook. 2024年に入り、2023-2024年GRPSの結果は、今後2年間の世界の見通しが圧倒的にネガティブであることを浮き彫りにし、それは今後10年間で悪化すると予想される(図A)。2023年9月に実施した調査では、回答者の過半数(54%)が何らかの不安定性と世界的な大災害の中程度のリスクを予想しており、さらに30%はさらに激動する状況を予想している。10年後の見通しでは、回答者の3分の2近くが荒天または激動を予想しており、見通しは著しくネガティブである。
In this year’s report, we contextualize our analysis through four structural forces that will shape the materialization and management of global risks over the next decade. These are longer-term shifts in the arrangement of and relationship between four systemic elements of the global landscape: 今年のレポートでは、今後10年間のグローバル・リスクの顕在化とマネジメントを形作るであろう4つの構造的な力を通して分析を行った。これらは、世界情勢を構成する4つのシステマティックな要素の配置や関係性における、より長期的なシフトである:
– Trajectories relating to global warming and related consequences to Earth systems (Climate change).  - 地球温暖化とそれに関連する地球システムへの影響に関する軌道(気候変動)。
– Changes in the size, growth and structure of populations around the world (Demographic bifurcation). - 世界中の人口の規模、成長、構造の変化(人口分断)。
– Developmental pathways for frontier technologies (Technological acceleration).  - フロンティア技術の発展経路(技術加速)。
– Material evolution in the concentration and sources of geopolitical power (Geostrategic shifts). - 地政学的パワーの集中と源泉における物質的進化(地政学的シフト)。
A new set of global conditions is taking shape across each of these domains and these transitions will be characterized by uncertainty and volatility. As societies seek to adapt to these changing forces, their capacity to prepare for and respond to global risks will be affected. これらの各領域で新たな世界情勢が形成されつつあり、これらの移行は不確実性と変動性を特徴とする。社会がこうした変化する力への適応を模索するにつれて、グローバル・リスクへの備えと対応の能力が影響を受けることになる。
FIGURE A Short and long-term global outlook 図A 短期および長期の世界的見通し
"Which of the following best characterizes your outlook for the world over the following time periods?" 以下の期間における世界の見通しについて、最も適切なものはどれか?
20240111-223854
Environmental risks could hit the point of no return 環境リスクは戻れないポイントに達する可能性がある
Environmental risks continue to dominate the risks landscape over all three time frames. Two-thirds of GRPS respondents rank Extreme weather as the top risk most likely to present a material crisis on a global scale in 2024 (Figure B), with the warming phase of the El Niño-Southern Oscillation (ENSO) cycle projected to intensify and persist until May this year. It is also seen as the second-most severe risk over the two-year time frame and similar to last year’s rankings, nearly all environmental risks feature among the top 10 over the longer term (Figure C).  環境リスクは、3つの時間軸すべてにおいて、引き続きリスク展望を支配している。GRPSの回答者の3分の2が、2024年に世界規模で重大な危機をもたらす可能性が最も高いリスクとして「異常気象」を挙げており(図B)、エルニーニョ・南方振動(ENSO)周期の温暖化局面が激化し、今年5月まで持続すると予測されている。また、エルニーニョは、2年間の期間で2番目に深刻なリスクと見られており、昨年のランキングと同様、長期的にはほぼすべての環境リスクがトップ10に入る(図C)。
However, GRPS respondents disagree about the urgency of environmental risks, in particular Biodiversity loss and ecosystem collapse and Critical change to Earth systems. Younger respondents tend to rank these risks far more highly over the two-year period compared to older age groups, with both risks featuring in their top 10 rankings in the short term. The private sector highlights these risks as top concerns over the longer term, in contrast to respondents from civil society or government who prioritize these risks over shorter time frames. This dissonance in perceptions of urgency among key decision-makers implies sub-optimal alignment and decision-making, heightening the risk of missing key moments of intervention, which would result in long-term changes to planetary systems. しかし、GRPSの回答者は、環境リスク、特に生物多様性の損失と生態系の崩壊、地球システムの危機的変化の緊急性については意見が分かれている。若年層の回答者は、高年齢層と比較して、2年間にわたりこれらのリスクをはるかに高く評価する傾向があり、短期的には両リスクともトップ10にランクインしている。民間部門は、これらのリスクを長期的な最重要課題として取り上げているが、これとは対照的に、市民社会や政府の回答者は、これらのリスクを短期的なものから優先している。主要な意思決定者の緊急性に対するこのような認識の不一致は、最適な連携と意思決定がなされていないことを意味し、惑星システムに長期的な変化をもたらすような重要な介入のタイミングを逃すリスクを高めている。
 Chapter 2.3: A 3°C world explores the consequences of passing at least one “climate tipping point” within the next decade. Recent research suggests that the threshold for triggering long-term, potentially irreversible and selfperpetuating changes to select planetary systems is likely to be passed at or before 1.5°C of global warming, which is currently anticipated to be reached by the early 2030s. Many economies will remain largely unprepared for “non-linear” impacts: the potential triggering of a nexus of several related socioenvironmental risks has the potential to speed up climate change, through the release of carbon emissions, and amplify related impacts, threatening climate-vulnerable populations. The collective ability of societies to adapt could be overwhelmed, considering the sheer scale of potential impacts and infrastructure investment requirements, leaving some communities and countries unable to absorb both the acute and chronic effects of rapid climate change.  第2.3章:3℃の世界では、今後10年以内に少なくとも1つの「気候の転換点」を通過した場合の結果を探る。最近の研究によると、一部の惑星系に長期的かつ不可逆的で自己増殖的な変化を引き起こす閾値は、地球温暖化1.5℃か、それ以前に通過する可能性が高い。多くの経済は、「非線形」の影響に対する備えをほとんどしていないままであろう。関連するいくつかの社会環境リスクの連鎖を引き起こす可能性は、炭素排出の放出を通じて気候変動を加速させ、関連する影響を増幅させ、気候変動に脆弱な人々を脅かす可能性がある。潜在的な影響と必要なインフラ投資の規模の大きさを考慮すると、社会の集団的な適応能力は圧倒される可能性があり、一部の地域社会や国は、急激な気候変動の急性・慢性両方の影響を吸収できないままとなる。
As polarization grows and technological risks remain unchecked, ‘truth’ will come under pressure 二極化が進み、技術的リスクが抑制されないままであるため、「真実」は圧力を受けることになる。
Societal polarization features among the top three risks over both the current and two-year time horizons, ranking #9 over the longer term. In addition, Societal polarization and Economic downturn are seen as the most interconnected – and therefore influential – risks in the global risks network (Figure D), as drivers and possible consequences of numerous risks. 社会の分極化は、現在と2年後の両時点でトップ3に入り、長期的には9位にランクインしている。加えて、社会的二極化と景気後退は、グローバル・リスク・ネットワーク(図D)において、多くのリスクを誘発し、その結果として起こりうるものとして、最も相互に関連し合い、したがって影響力のあるリスクと見なされている。
FIGURE B Current risk landscape 図B 現在のリスク状況
Please select up to five risks that you believe are most likely to present a material crisis on a global scale in 2024." 2024年に世界規模で重大な危機をもたらす可能性が最も高いと思われるリスクを5つまで選んでください。
20240111-223915
FIGURE C Global risks ranked by severity over the short and long term 図C 短期的および長期的な重大度によってランク付けされたグローバル・リスク
"Please estimate the likely impact (severity) of the following risks over a 2-year and 10-year period." 「以下のリスクについて、2年後と10年後にどのような影響(深刻度)を受ける可能性があるかを推定してくださ い。
20240111-223955
Emerging as the most severe global risk anticipated over the next two years, foreign and domestic actors alike will leverage Misinformation and disinformation to further widen societal and political divides (Chapter 1.3: False information). As close to three billion people are expected to head to the electoral polls across several economies – including Bangladesh, India, Indonesia, Mexico, Pakistan, the United Kingdom and the United States – over the next two years, the widespread use of misinformation and disinformation, and tools to disseminate it, may undermine the legitimacy of newly elected governments. Resulting unrest could range from violent protests and hate crimes to civil confrontation and terrorism. 今後2年間に予想される最も深刻なグローバル・リスクとして浮上するのは、国内外の関係者が誤情報と偽情報を活用し、社会的・政治的分断をさらに広げることである(第1.3章:偽情報)。今後2年間で、バングラデシュ、インド、インドネシア、メキシコ、パキスタン、英国、米国など、いくつかの経済圏で30億人近くが選挙投票に向かうと予想される中、誤報や偽情報の広範な利用やそれを広めるツールが、新たに選出された政府の正統性を損なう可能性がある。その結果、暴力的な抗議行動やヘイトクライムから、市民的対立やテロに至るまで、さまざまな不安が生じる可能性がある。
Beyond elections, perceptions of reality are likely to also become more polarized, infiltrating the public discourse on issues ranging from public health to social justice. However, as truth is undermined, the risk of domestic propaganda and censorship will also rise in turn. In response to mis- and disinformation, governments could be increasingly empowered to control information based on what they determine to be “true”. Freedoms relating to the internet, press and access to wider sources of information that are already in decline risk descending into broader repression of information flows across a wider set of countries. 選挙にとどまらず、現実に対する認識も二極化し、公衆衛生から社会正義に至るまで、さまざまな問題についての言論が浸透する可能性がある。しかし、真実が損なわれるにつれ、国内でのプロパガンダや検閲のリスクも高まるだろう。誤報や偽情報に対応するため、政府は「真実」と判断する内容に基づいて情報を統制する権限をますます強める可能性がある。インターネット、報道、より広範な情報源へのアクセスに関する自由は、すでに低下しつつあるが、より広範な国々で、情報の流れに対するより広範な抑圧に陥るリスクがある。
Economic strains on low- and middle-income people – and countries – are set to grow 低・中所得層の人々、そして国々に対する経済的な負担はますます大きくなる。
The Cost-of-living crisis remains a major concern in the outlook for 2024 (Figure B). The economic risks of Inflation (#7) and Economic downturn (#9) are also notable new entrants to the top 10 risk rankings over the two-year period (Figure C). Although a “softer landing” appears to be prevailing for now, the near-term outlook remains highly uncertain. There are multiple sources of continued supply-side price pressures looming over the next two years, from El Niño conditions to the potential escalation of live conflicts. And if interest rates remain relatively high for longer, small- and mediumsized enterprises and heavily indebted countries will be particularly exposed to debt distress (Chapter 1.5: Economic uncertainty). 生活費の危機は、2024年の見通しでも依然として大きな懸念事項である(図B)。インフレ」(7位)と「景気後退」(9位)という経済リスクも、この2年間で新たにトップ10入りした注目すべきリスクである(図C)。今のところ「ソフトランディング」が優勢に見えるが、短期的な見通しは依然として極めて不透明である。今後2年間は、エルニーニョ現象から紛争激化の可能性まで、供給サイドからの価格圧力が続く可能性が複数ある。また、金利が相対的に高い状態が長く続けば、中小エ ンタープライズや重債務国は特に債務苦にさらされることになる(「1.5章 経済の不確実性」)。
Economic uncertainty will weigh heavily across most markets, but capital will be the costliest for the most vulnerable countries. Climate-vulnerable or conflictprone countries stand to be increasingly locked out of much-needed digital and physical infrastructure, trade and green investments and related economic opportunities. As the adaptive capacities of these fragile states erodes further, related societal and environmental impacts are amplified. 経済の不確実性は、ほとんどの市場で重くのしかかるが、最も脆弱性の高い国々にとっては、資本コストが最も高くなる。気候変動の影響を受けやすい国や紛争の影響を受けやすい国は、必要とされるデジタルインフラや物理的インフラ、貿易、グリーン投資、関連する経済機会からますます締め出されることになる。このような脆弱な国家の適応能力がさらに損なわれれば、関連する社会的・環境的影響は増幅される。
Similarly, the convergence of technological advances and geopolitical dynamics will likely create a new set of winners and losers across advanced and developing economies alike (Chapter 2.4: AI in charge). If commercial incentives and geopolitical imperatives, rather than public interest, remain the primary drivers of the development of artificial intelligence (AI) and other frontier technologies, the digital gap between high- and low-income countries will drive a stark disparity in the distribution of related benefits – and risks. Vulnerable countries and communities would be left further behind, digitally isolated from turbocharged AI breakthroughs impacting economic productivity, finance, climate, education and healthcare, as well as related job creation. 同様に、技術の進歩と地政学的ダイナミクスの融合は、先進国、途上国を問わず、新たな勝者と敗者を生み出す可能性が高い(第2.4章:AI担当)。人工知能(AI)やその他のフロンティア・テクノロジーの開発において、公共の利益よりもむしろ、商業的インセンティブや地政学的な要請が主要な原動力のままであれば、高所得国と低所得国の間のデジタル格差によって、関連する利益(そしてリスク)の分配に著しい格差が生じるだろう。脆弱性のある国やコミュニティは、経済生産性、金融、気候、教育、ヘルスケア、そして関連する雇用創出に影響を与える、AIによるターボチャージャーによるブレークスルーからデジタル的に隔離され、さらに取り残されることになるだろう。
FIGURE D Global risks landscape: an interconnections map 図D グローバルなリスク展望:相互関連マップ
20240111-224019
Over the longer term, developmental progress and living standards are at risk. Economic, environmental and technological trends are likely to entrench existing challenges around labour and social mobility, blocking individuals from income and skilling opportunities, and therefore the ability to improve economic status (Chapter 2.5: End of development?). Lack of economic opportunity is a top 10 risk over the two-year period, but is seemingly less of a concern for global decision-makers over the longer-term horizon, dropping to #11 (Figure E). High rates of job churn – both job creation and destruction – have the potential to result in deeply bifurcated labour markets between and within developed and developing economies. While the productivity benefits of these economic transitions should not be underestimated, manufacturing- or services-led export growth might no longer offer traditional pathways to greater prosperity for developing countries. 長期的には、発展の進展と生活標準がリスクにさらされている。経済的、環境的、技術的なトレンドは、労働と社会的流動性をめぐる既存の課題を深刻化させる可能性が高く、個人が所得や技能習得の機会から妨げられ、その結果、経済的地位を向上させる能力が失われる(第2.5章:開発の終焉?) 経済的機会の欠如は、2年間のリスクとしてはトップ10に入るが、長期的な視野に立てば、グローバルな意思決定者にとっての懸念事項ではなくなり、11位に落ちるようである(図E)。高い雇用変動率(雇用の創出と破壊の両方)は、先進国と発展途上国の間、または先進国と発展途上国の中で、労働市場を深く二分する可能性がある。こうした経済移行がもたらす生産性の便益を過小評価すべきではないが、製造業やサービス業主導の輸出成長は、もはや発展途上国にとって、より大きな繁栄への伝統的な道筋を提供しないかもしれない。
The narrowing of individual pathways to stable livelihoods would also impact metrics of human development – from poverty to access to education and healthcare. Marked changes in the social contract as intergenerational mobility declines would radically reshape societal and political dynamics in both advanced and developing economies. 安定した生活への個々の道筋が狭まることは、貧困から教育や医療へのアクセスに至るまで、人間開発の指標にも影響を与えるだろう。世代間の流動性が低下し、社会契約に著しい変化が生じれば、先進国・途上国双方の社会的・政治的ダイナミクスが根本的に再構築されるだろう。
Simmering geopolitical tensions combined with technology will drive new security risks 地政学的緊張の高まりとテクノロジーの融合が新たな安全保障リスクを生む
As both a product and driver of state fragility, Interstate armed conflict is a new entrant into the top risk rankings over the two-year horizon (Figure C). As the focus of major powers becomes stretched across multiple fronts, conflict contagion is a key concern (Chapter 1.4: Rise in conflict). There are several frozen conflicts at risk of heating up in the near term, due to spillover threats or growing state fragility. 国家の脆弱性の産物であると同時に推進要因でもある国家間の武力紛争は、2年後のリスクランキングの上位に新たにランクインする(図C)。大国の焦点が複数の戦線にまたがるようになると、紛争の伝染が重要な懸念となる(第1.4章 紛争の増加)。波及的な脅威や国家の脆弱性の増大により、当面、いくつかの凍結された紛争が加熱するリスクがある。
This becomes an even more worrying risk in the context of recent technological advances. In the absence of concerted collaboration, a globally fragmented approach to regulating frontier technologies is unlikely to prevent the spread of its most dangerous capabilities and, in fact, may encourage proliferation (Chapter 2.4: AI in charge). Over the longer-term, technological advances, including in generative AI, will enable a range of non-state and state actors to access a superhuman breadth of knowledge to conceptualize and develop new tools of disruption and conflict, from malware to biological weapons.  このリスクは、近年の技術進歩の中で、さらに憂慮すべきものとなっている。協調がなければ、フロンティア技術を規制するための世界的に分断されたアプローチでは、最も危険な能力の拡散を防ぐことは難しく、むしろ拡散を助長しかねない(第2.4章:AI担当)。長期的には、生成的AIを含む技術の進歩により、さまざまな非国家・国家主体が、マルウェアから生物兵器に至るまで、混乱や紛争を引き起こす新たな手段を構想・開発するための超人的な知識の幅にアクセスできるようになるだろう。
In this environment, the lines between the state, organized crime, private militia and terrorist groups would blur further. A broad set of non-state actors will capitalize on weakened systems, cementing the cycle between conflict, fragility, corruption and crime. Illicit economic activity (#31) is one of the lowest-ranked risks over the 10-year period but is seen to be triggered by a number of the top-ranked risks over the two- and 10-year horizons (Figure D). Economic hardship – combined with technological advances, resource stress and conflict – is likely to push more people towards crime, militarization or radicalization and contribute to the globalization of organized crime in targets and operations (Chapter 2.6: Crime wave). このような環境では、国家、組織犯罪、民兵、テロ集団の境界線はさらに曖昧になるだろう。広範な非国家主体が弱体化したシステムを利用し、紛争、脆弱性、腐敗、犯罪のサイクルを強固なものにするだろう。不正な経済活動(31位)は、10年間では最も低いランクにあるリスクのひとつだが、2年後、10年後を見通すと、上位にランクされる多くのリスクによって引き起こされると考えられる(図D)。経済的苦境は、技術の進歩、資源ストレス、紛争と相まって、より多くの人々を犯罪、軍事化、急進化へと向かわせ、標的や活動において組織犯罪のグローバル化に寄与すると考えられる(第2.6章 犯罪の波)。
The growing internationalization of conflicts by a wider set of powers could lead to deadlier, prolonged warfare and overwhelming humanitarian crises. With multiple states engaged in proxy, and perhaps even direct warfare, the incentives to condense decision time through the integration of AI will grow. The creep of machine intelligence into conflict decision-making – to autonomously select targets and determine objectives – would significantly raise the risk of accidental or intentional escalation over the next decade. より広範な勢力による紛争の国際化の進展は、より殺伐とした、長期化する戦争と圧倒的な人道危機をもたらす可能性がある。複数の国家が代理戦争、そしておそらくは直接戦争に関与することで、AIの統合によって意思決定時間を短縮するインセンティブが高まるだろう。紛争における意思決定(自律的に標的を選定し、目的を決定する)に機械知能が入り込むことは、今後10年間で、偶発的または意図的なエスカレーションのリスクを著しく高めるだろう。
Ideological and geoeconomic divides will disrupt the future of governance イデオロギー的・地理経済的対立が将来のガバナンスを混乱させる
A deeper divide on the international stage between multiple poles of power and between the Global North and South would paralyze international governance mechanisms and divert the attention and resources of major powers away from urgent global risks. 国際舞台における権力の多極間および北と南の間の溝が深まれば、国際ガバナンス・メカニズムは麻痺し、大国の関心と資源は緊急のグローバル・リスクから遠ざかるだろう。
Asked about the global political outlook for cooperation on risks over the next decade, twothirds of GRPS respondents feel that we will face a multipolar or fragmented order in which middle and great powers contest, set and enforce regional rules and norms. Over the next decade, as dissatisfaction with the continued dominance of the Global North grows, an evolving set of states will seek a more pivotal influence on the global stage across multiple domains, asserting their power in military, technological and economic terms. GRPSの回答者の3分の2は、今後10年間のリスクに対する協力に関する世界政治の見通しについて質問され、中堅国や大国が地域的なルールや規範を争ったり、設定したり、実施したりする多極的あるいは断片的な秩序に直面すると感じている。今後10年間、北半球の支配が続くことへの不満が高まるにつれ、進化する国家群が、軍事的、技術的、経済的に自らの力を主張しながら、複数の領域にわたってグローバルな舞台でより極めて重要な影響力を求めるようになるだろう。
As states in the Global South bear the brunt of a changing climate, the aftereffects of pandemicera crises and geoeconomic rifts between major powers, growing alignment and political alliances within this historically disparate group of countries could increasingly shape security dynamics, including implications for high-stakes hotspots: the Russia-Ukraine war, the Middle East conflict and tensions over Taiwan (Chapter 1.4: Rise in conflict). Coordinated efforts to isolate “rogue” states are likely to be increasingly futile, while international governance and peacekeeping efforts shown to be ineffective at “policing” conflict could be sidelined.  グローバル・サウスの国々が気候変動の影響を受け、パンデミック危機の後遺症や大国間の地政学的な亀裂に見舞われる中、この歴史的に異質な国のグループ内での連携と政治的同盟の高まりは、ロシア・ウクライナ戦争、中東紛争、台湾をめぐる緊張など、利害関係の大きいホットスポットへの影響も含め、安全保障のダイナミクスをますます形作る可能性がある(第1.4章 紛争の勃発)。ならず者」国家を孤立させるための協調的な努力はますます無益になる可能性が高く、一方、紛争を「取り締まる」効果がないことが明らかになった国際ガバナンスや平和維持の努力は傍観される可能性がある。
The shifting balance of influence in global affairs is particularly evident in the internationalization of conflicts – where pivotal powers will increasingly lend support and resources to garner political allies – but will also shape the longer-term trajectory and management of global risks more broadly. For example, access to highly concentrated tech stacks will become an even more critical component of soft power for major powers to cement their influence. However, other countries with competitive advantages in upstream value chains – from critical minerals to high-value IP and capital – will likely leverage these economic assets to obtain access to advanced technologies, leading to novel power dynamics. 世界情勢における影響力のバランスの変化は、特に紛争の国際化(枢軸国が政治的同盟者を獲得するために支援や資源を提供する傾向が強まる)において顕著であるが、それだけでなく、より広範なグローバル・リスクの長期的な軌道とマネジメントを形作ることになる。例えば、大国がその影響力を強固なものにするためには、高度に集積された技術スタックへのアクセスがソフトパワーの重要な要素となる。しかし、重要な鉱物から高価値の知的財産や資本に至るまで、上流のバリューチェーンで競争上の優位性を持つ他の国々は、こうした経済資産を活用して先端技術へのアクセスを獲得し、新たなパワー・ダイナミクスをもたらす可能性が高い。
Opportunities for action to address global risks in a fragmented world 分断化された世界におけるグローバルリスクに対処するための行動機会
Cooperation will come under pressure in this fragmented, in-flux world. However there remain key opportunities for action that can be taken locally or internationally, individually or collaboratively – that can significantly reduce the impact of global risks.  分断化され、流動化した世界では、協力は圧力にさらされるだろう。しかし、グローバル・リスクの影響を大幅に軽減できるような、地域的または国際的、個別的または協調的な行動をとることができる重要な機会が残されている。
Localized strategies leveraging investment and regulation can reduce the impact of those inevitable risks that we can prepare for, and both the public and private sector can play a key role to extend these benefits to all. Single breakthrough endeavors, grown through efforts to prioritize the future and focus on research and development, can similarly help make the world a safer place. The collective actions of individual citizens, companies and countries may seem insignificant on their own, but at critical mass they can move the needle on global risk reduction. Finally, even in a world that is increasingly fragmented, cross-border collaboration at scale remains critical for risks that are decisive for human security and prosperity.  投資と規制を活用した地域密着型の戦略は、私たちが備えることのできる避けられないリスクの影響を軽減することができ、官民両セクターは、こうした恩恵をすべての人に広げるために重要な役割を果たすことができる。未来を優先し、研究開発に注力する努力によって成長する、単一の画期的な試みも同様に、世界をより安全な場所にするのに役立つ。個々の市民、企業、国の集団的な行動は、それ単体では取るに足らないように見えるかもしれないが、臨界量に達すれば、世界的なリスク削減の針を動かすことができる。最後に、分断化が進む世界であっても、人間の安全保障と繁栄にとって決定的なリスクに対しては、国境を越えた大規模な協力が不可欠であることに変わりはない。
The next decade will usher in a period of significant change, stretching our adaptive capacity to the limit. A multiplicity of entirely different futures is conceivable over this time frame, and a more positive path can be shaped through our actions to address global risks today. 次の10年は大きな変化の時代を迎え、私たちの適応能力は限界まで伸びるだろう。この期間には、まったく異なるさまざまな未来が考えられるが、今日のグローバル・リスクに対処するための行動を通じて、より前向きな道を切り開くことができる。
FIGURE E Global risks ranked by severity 図E グローバル・リスクの深刻度ランキング
"Please estimate the likely impact (severity) of the following risks over a 2-year and 10-year period." 以下のリスクについて、2年後と10年後に起こりうる影響(深刻度)を推定してほしい。
20240111-224132

 

 

19 2024 2024.01.11 Web PDF Home
18 2023 2023.01.11 Web PDF Home
17 2022 2022.01.11 Web PDF Press
16 2021 2021.01.19 Web PDF Press
15 2020 2020.01.15 Web PDF Press
14 2019 2019.01.15 Web PDF Press
13 2018 2018.01.17 Web PDF Press
12 2017 2017.01.11 Web PDF Press
11 2016 2016.01.14 Web PDF Press
10 2015 2015.01.09 Web PDF Press
9 2014 2014.01.12 Web PDF Press
8 2013 2012.10.30 Web PDF Press
7 2012 2012.01.05 Web PDF Press
6 2011 2011.09.27 Web PDF Press
5 2010 2010.01.04 Web PDF Press
4 2009     PDF  
3 2008     PDF  
2 2007     PDF  
1 2006     PDF  

 

 

 


 

 まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.12 世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

 

 

| | Comments (0)

2023.12.11

欧州データ保護監督者 テックソナー 2023-2024 (新技術の予測に関するレポート)(2023.12.04)

こんにちは、丸山満彦です。

欧州データ保護監督官機関 (EDPS) が新技術の予測に関するレポートとして、TechSonar Reportを2年前から公表しているようですね。。。

興味深い資料だと思います。。。

あと、予測のためのツールがされに興味深い。。。

 

欧州委員会共同研究センターのティム・アナリティクス

ダッシュボード

 

EUROPEAN DATA PROTECTION SUPERVISOR: EDPS

・2023.12.04 TechSonar

・[PDF] 2023-2024

20231211-01558

 

過去から...

2023-2024 20231211-01558 Large language models (LLM) 大規模言語モデル(LLM)
Digital identity wallet デジタルIDウォレット
Internet of behaviours 行動のインターネット
Extended reality 拡張現実
Deepfake detection ディープフェイク検知
2022-2023 20231211-04235 Fake News Detection フェイクニュース検知
Central Bank Digital Currency 中央銀行デジタル通貨
Metaverse メタバース
Federated Learning 連合学習
Synthetic Data 合成データ
2021-2022 20231211-04247 Biometric Continuous Authentication バイオメトリクス連続認証
Just Walk Out Technology ジャスト・ウォーク・アウト・テクノロジー
Digital Therapeutics (DTx) デジタル・セラピューティクス(DTx)
Smart Vaccination Certificate スマートワクチン接種証明書

 


 

ちなみにダッシュボードはこんな感じ...

20231211-11507

 

| | Comments (0)

2023.07.08

日本公認会計士協会 「監査提言集」の公表について

こんにちは、丸山満彦です。

公認会計士協会では、2008年より毎年、監査提言集を公開しています。内部統制のあり方、監査についての参考になります。。。会員向けには別途詳細な記載があるものがあります。

 

日本公認会計士協会

・2023.07.03「監査提言集」の公表について

・[PDF] 監査提言集(一般用)

20230708-74727

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2008.08.08 経営者からの売上目標達成のプレッシャーが強い環境下では、架空売上のリスクが高まるが内部にいる人に他社よりプレッシャーが高いことを認識できるのでしょうか?

・2008.07.28 監査提言集から読み取る内部統制の文書化の限界・・・

・2008.07.22 JICPA 監査提言集

 

| | Comments (0)

2023.06.07

ドイツ 電子投票システムのプロテクションプロファイル、非政治的な選挙を実施するためのITセキュリティ要件についての技術ガイド

こんにちは、丸山満彦です。

ドイツのBSIが電子投票システムのプロテクション・プロファイル、非政治的な選挙を実施するためのITセキュリティ要件についての技術ガイド、最終報告書 プロジェクト MaSiGov - 電子政府アプリとウェブポータルのセキュリティのための市場と脆弱性分析を公表していますね。。。

日本では選挙の電子投票システムは可児市の選挙の一件で一気に下火になりましたが、、、

株主総会、理事会、いろいろな場面で投票ということはあるので、電子投票システムというのは、これからもいろいろと重要だろうと思いますが、どうなんでしょうね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2023.05.30 Veröffentlichung von Dokumenten zur Sicherheit von Online-Wahlen

Veröffentlichung von Dokumenten zur Sicherheit von Online-Wahlen オンライン選挙のセキュリティに関する文書の公開について
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das neue BSI-CC-PP-0121 Protection Profile for e-voting systems sowie die Technische Richtlinie 03169 IT-sicherheitstechnische Anforderungen zur Durchführung von nicht-politischen Wahlen zur Kommentierung veröffentlicht. Die Dokumente können bis 30. Juni 2023 kommentiert werden. Hierzu hat das BSI ein Kommentierungsformular bereitgestellt, das ausgefüllt an online-wahlen@bsi.bund.de gesendet werden kann. ドイツ連邦情報セキュリティ局(BSI)は、電子投票システムの新しいBSI-CC-PP-0121 プロテクション・プロファイルと、技術ガイドライン03169 非政治的な選挙を実施するためのITセキュリティ要件を公開し、コメントを求めている。この文書は、2023年6月30日までコメントすることができます。このため、BSIはコメントフォームを用意しており、必要事項を記入して online-wahlen@bsi.bund.de に送付することができる。
Nicht nur durch die Corona-Pandemie ist der Bedarf nach Alternativen zu Brief- und Präsenzwahlen gestiegen. Neben einer entsprechenden rechtlichen Grundlage benötigen Wahlverantwortliche Unterstützung, um Online-Wahlen so sicher wie möglich umzusetzen. Um Rahmenbedingungen und Mindestanforderungen für den sich noch entwickelnden Markt zu schaffen und Hilfestellungen für die Durchführung von Online-Wahlen zu bieten, hat das BSI ein neues Schutzprofil für Online-Wahlprodukte nach Common Criteria und eine Technische Richtlinie zur Durchführung von Online-Wahlen erstellt. Diese Dokumente hat das BSI auf Grundlage eines Projektes zur Markt- und Schwachstellenanalyse zur Sicherheit von Online-Wahlprodukten (MaSiOWa) erarbeitet. Im Rahmen des Projektes wurde eine Marktübersicht über Online-Wahlprodukte erstellt, bei der unter anderem Daten zu Hersteller, Firmensitz, Produktname, Art der Wahlen oder Abstimmungen und zur Nutzung kryptografischer Wahlverfahren ermittelt wurden. Anschließend fanden im Einvernehmen mit Produktverantwortlichen Schwachstellenanalysen von fünf Online-Wahlprodukten statt. 郵便や対面式選挙に代わる選挙の必要性を高めているのは、コロナパンデミックだけではない。適切な法的根拠に加え、選挙管理者はオンライン選挙を可能な限り安全に実施するためのサポートを必要としています。BSIは、まだ発展途上の市場に枠組み条件と最低要件を設け、オンライン選挙の実施に向けた支援を提供するため、コモンクライテリアに準拠したオンライン選挙製品の新しい保護プロファイルとオンライン選挙の実施に関する技術ガイドラインを作成しました。BSIは、オンライン選挙製品のセキュリティに関する市場・脆弱性分析プロジェクト(MaSiOWa)に基づいて、これらの文書を作成しました。このプロジェクトの一環として、オンライン投票製品の市場概要が作成され、メーカー、本社、製品名、選挙や投票の種類、暗号化された投票手順の使用に関するデータが含まれました。その後、5つのオンライン投票製品の脆弱性分析を、製品管理者と協議しながら実施した。
Das Protection Profile liegt in der Version 0.9 vor, die sich aktuell in der Evaluierung zur Nutzung nach Common Criteria befindet. Es richtet sich an Produktverantwortliche, die eine Zertifizierung ihres Online-Wahlproduktes nach Common Criteria anstreben. プロテクションプロファイルはバージョン0.9で提供されており、現在コモンクライテリアに基づく使用評価が行われている。コモンクライテリアに準拠したオンライン投票製品の認定を希望する製品管理者を対象としている。
Die Technische Richtlinie liegt in der Version 0.7 vor. Sie richtet sich an Wahlverantwortliche und soll diesen bei der Planung und Durchführung einer Online-Wahl als Unterstützung dienen. Hierfür sind unter anderem auch Vorlagen und Beispiele für die Erstellung eines IT-Sicherheitskonzeptes nach BSI-IT-Grundschutz enthalten. 技術ガイドラインは、バージョン0.7で利用可能です。これは選挙管理者を対象としており、オンライン選挙の計画と実施を支援することを目的としている。また、BSI IT-Grundschutzに準拠したITセキュリティコンセプトの作成に必要なテンプレートや例も含まれている。
Weitere Informationen 詳細情報
Download BSI TR-03169: Online-Wahlen (PDF) BSI TR-03169: オンライン選挙 (PDF)
Download BSI-CC-PP-0121 Protection Profile for e-voting systems (PDF) BSI-CC-PP-0121 電子投票システム用プロテクション・プロファイル (PDF)
Download Abschlussbericht Projekt MaSiGov – Markt- und Schwachstellenanalyse zur Sicherheit von E-Government-Apps und Webportalen (PDF) 最終報告書 プロジェクト MaSiGov - 電子政府アプリとウェブポータルのセキュリティのための市場と脆弱性分析 (PDF)

 

・[PDF] BSI TR-03169: Online-Wahlen

20230607-53405

Technische Richtlinie TR-03169 技術ガイドライン TR-03169
IT-sicherheitstechnische Anforderungen zur Durchführung von nichtpolitischen Online-Wahlen und -Abstimmungen Version 0.7 Entwurf 非政治的オンライン選挙・投票実施のためのITセキュリティ要件 0.7版(案)
1  Einleitung 1 はじめに
1.1  Zielgruppe 1.1 対象者
1.2  Geltungsbereich 1.2 対象範囲
1.3  Zielsetzung 1.3 目的
1.4  Formalia 1.4 形式的なもの
2  Regulatorisches und gesetzliches Umfeld 2 規制と法的環境
2.1  Verschiedene Kontexte von Wahlen 2.1 選挙のさまざまな文脈
2.2  Angreifermodelle 2.2 攻撃のモデル
2.3  Schutzbedarf 2.3 保護の必要性
2.4  Risiken 2.4 リスク
2.5  Einordnung des Schutzprofils BSI-CC-PP-0121 2.5 保護プロファイルの分類 BSI-CC-PP-0121
3  Online-Wahl 3 オンライン選挙
3.1  Allgemeiner Ablauf einer Wahl 3.1 選挙の一般的な手順
3.2  Vorbereitungsphase 3.2 準備段階
3.2.1  Aspekte der Vorbereitungsphase 3.2.1 準備段階の側面
3.2.2  Anforderungen an die Vorbereitungsphase 3.2.2 準備段階における要求事項
3.3  Durchführungsphase 3.3 実施段階
3.3.1  Aspekte der Durchführungsphase 3.3.1 実施フェーズの側面
3.3.2  Anforderungen an die Durchführungsphase 3.3.2 実施段階での要求事項
3.4  Auswertungsphase 3.4 評価フェーズ
3.4.1  Aspekte der Auswertungsphase 3.4.1 評価フェーズの側面
3.4.2  Anforderungen an die Auswertungsphase 3.4.2 評価フェーズの要求事項
3.5  Nachbereitungsphase 3.5 フォローアップ段階
3.5.1  Aspekte der Nachbereitungsphase 3.5.1 フォローアップフェーズの側面
3.5.2  Anforderungen an die Nachbereitungsphase 3.5.2 フォローアップフェーズの要求事項
4  Schlusswort 4 まとめ
5  Anhang 5 附属書
5.1  Umsetzungshinweise zum BSI IT-Grundschutz 5.1 BSI IT-Grundschutzの実施要領
5.1.1  Durchführung von BSI IT-Grundschutz 5.1.1 BSI IT-Grundschutzの実施について
5.1.2  Notfallmanagement 5.1.2 緊急事態管理
6 Glossar 6 用語集

 

 

・[PDF] BSI-CC-PP-0121 Protection Profile for e-voting systems

20230607-53416

 

Protection Profile for E-Voting Systems for non-political Elections  非政治的選挙における電子投票システムの保護プロファイル
1 Protection Profile Introduction 1 プロテクションプロファイル序文
1.1 Protection Profile Reference 1.1 プロテクションプロファイルの参照
1.2 TOE overview 1.2 TOE 概要
1.2.1 TOE Type 1.2.1 TOE タイプ
1.2.2 Usage and major Security Features of the TOE 1.2.2 TOEの使用方法と主なセキュリティ機能
1.2.3 Non-TOE Hardware/Software/Firmware 1.2.3 非TOEのハードウェア/ソフトウェア/ファームウェア
1.3 Terms and Definitions 1.3 用語と定義
2 Conformance Claim 2 適合主張
2.1 CC Conformance Claim 2.1 CC 適合主張
2.2 PP Claim and Package Claim 2.2 PP主張及びパッケージ主張
2.3 PP Conformance Statement 2.3 PP適合宣言書
3 Security Problem Definition 3 セキュリティ問題の定義
3.1 Introduction 3.1 序文
3.1.1 Assets 3.1.1 資産
3.1.2 Users and Subjects 3.1.2 ユーザとサブジェクト
3.1.3 Security Attributes 3.1.3 セキュリティ属性
3.2 Threats 3.2 脅威
3.3 Organizational Security Policies 3.3 組織的なセキュリティポリシー
3.4 Assumptions 3.4 想定事項
4 Security Objectives 4 セキュリティ目標
4.1 Security Objectives for the TOE 4.1 TOE セキュリティ目標
4.2 Security Objectives for the Operational Environment 4.2 運用環境に対するセキュリティ目標
4.3 Security Objectives Rationale 4.3 セキュリティ目標の根拠
5 Extended Component Definition 5 拡張コンポーネントの定義
5.1 External cryptographic Operation (FCS_ECO) 5.1 外部暗号操作(FCS_ECO)
5.1.1 Family Behaviour 5.1.1 ファミリーの動作
5.1.2 Components Leveling and Description 5.1.2 コンポーネントのレベル分けと説明
5.1.3 Management of FCS_ECO.1 5.1.3 FCS_ECO.1 の管理
5.1.4 Audit of FCS_ECO.1 5.1.4 FCS_ECO.1の監査
5.1.5 FCS_ECO.1 External cryptographic Operation 5.1.5 FCS_ECO.1 の外部暗号化操作
6 Security Requirements 6 セキュリティ要求事項
6.1 Security Functional Requirements (SFRs) 6.1 セキュリティ機能要件(SFR)
6.1.1 User Identification and Authentication 6.1.1 ユーザーの識別と認証
6.1.2 Access Control 6.1.2 アクセス制御
6.1.3 User Data Import and Export 6.1.3 ユーザーデータのインポート及びエクスポート
6.1.4 Secure Communication 6.1.4 安全な通信

 

 

・[PDF] Abschlussbericht Projekt MaSiGov – Markt- und Schwachstellenanalyse zur Sicherheit von E-Government-Apps und Webportalen

20230607-53423

 

 

1 Einleitung 1 はじめに
1.1 Ausgangslage und Hintergrund 1.1 初期状況および背景
1.2 Zielsetzung und Aufbau der Studie 1.2 研究の目的と構成
2 Projektauftrag 2 プロジェクトの任務
2.1 Vorgehen 2.1 手続き
2.2 Definitionen 2.2 定義
2.2.1 Definition Portal 2.2.1 ポータルの定義
2.2.2 Definition App 2.2.2 定義 アプリ
2.3 Projektteam 2.3 プロジェクトチーム
3 Marktübersicht 3 市場の概要
3.1 Produktkategorie Apps 3.1 製品カテゴリー Apps
3.1.1 Internet-Recherche 3.1.1 インターネットリサーチ
3.1.2 Direktkontakte 3.1.2 直接コンタクト
3.1.3 Ergebnis 3.1.3 リザルト
3.2 Produktkategorie Webportale 3.2 製品カテゴリー ウェブポータル
3.2.1 Internet-Recherche und Fragebogen 3.2.1 インターネット調査・アンケート
3.2.2 OZG-Dashboard 3.2.2 OZGダッシュボード
3.2.3 Direktkontakte 3.2.3 ダイレクトコンタクト
3.2.4 Auswahlkriterien 3.2.4 選定基準
3.2.5 Auswahl der Portale 3.2.5 ポータルの選定
4 Angriffs- und Durchführungskatalog 4 攻撃と実行のカタログ
4.1 Risiko-Identifikation und Risiko-Analyse 4.1 リスクの特定とリスク分析
4.2 Angriffskatalog 4.2 アタックカタログ
4.3 Durchführungskatalog 4.3 インプリメンテーションカタログ
5 Durchführung der Schwachstellenanalysen 5 脆弱性解析の実施
5.1 Vorgehensweise analog zum Durchführungskonzept Penetrationstests 5.1 ペネトレーションテストの実施概念に準じた手順
5.2 Ablauf der Schwachstellenanalysen 5.2 脆弱性診断の実施手順
5.2.1 Erstellung Leistungsschein und Scope-Definition 5.2.1 サービス仕様書の作成とスコープ定義
5.2.2 Terminabstimmung und Kickoff 5.2.2 日程の調整とキックオフ
5.2.3 Testdurchführung, fachliche Qualitätssicherung und Lektorat 5.2.3 テスト実施、技術的品質保証、校正
5.2.4 Abschlussbesprechungen 5.2.4 最終打ち合わせ
5.2.5 Nachtest 5.2.5 テスト終了後
5.3 Kategorisierung der Ergebnisse 5.3 結果の分類
5.4 Schwachstellenbewertung 5.4 脆弱性評価
6 Erkenntnisse und Statistik 6 調査結果および統計
6.1 Schwachstellen auf Systemebene 6.1 システムレベルの脆弱性
6.2 Schwachstellen auf Anwendungsebene 6.2 アプリケーションレベルの脆弱性
6.2.1 Schwachstellen im Kontext eingesetzter Software 6.2.1 配備されたソフトウェアに関連する脆弱性
6.2.2 Schwachstellen im Kontext der Upload-Funktionen 6.2.2 アップロード機能に関する脆弱性
6.2.3 Denial-of-Service durch zwischengespeicherte Anträge 6.2.3 キャッシュされたリクエストによるサービス拒否
6.2.4 Unsichere Weiterleitung beim Login 6.2.4 ログイン時の安全でないフォワーディング
6.2.5 Umgang mit sensiblen Informationen 6.2.5 機密情報の取り扱い
6.2.6 Secure-Merkmal im Cookie fehlt 6.2.6 Cookie の欠落における安全な機能
6.2.7 Identifizierte Sicherheitshinweise 6.2.7 特定されたセキュリティ情報
7 Fazit und Ausblick 7 まとめと展望
8 Anhang: Fragebogen 8 附属書:アンケート
Abkürzungsverzeichnis 略語の一覧
Glossar 用語集
Literaturverzeichnis 参考情報

 

 

 

 


 

選挙も含めて電子投票関係。。。

まるちゃんの情報セキュリティ気まぐれ日記

電子投票

 

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

・2020.05.14 COVID-19でオンライン投票は普及するのか?

 

少し遡って

・2007.12.19 国政選挙でも電子投票ができるようになる?

・2007.01.08 総務省 「電子投票システムの技術的条件の適合確認等について」の公表

・2006.11.12 電子投票 参院選の導入見送り

・2006.10.17 自民党 電子投票促進へ交付金?

・2006.02.11 総務省試算 電子投票を全面導入すると国費負担1400億円

・2005.11.15 総務省 電子投票システム調査検討会発足

・2005.07.19 総務省 電子投票の普及促進 有識者検討会設置

・2005.07.10 可児市市議選 選挙無効確定!

・2005.03.11 名古屋高裁 可児市電子投票 無効!

・2005.02.26 電子投票 韓国は2008年から国選選挙でインターネット投票

 

| | Comments (0)

2023.04.24

B7 東京サミット共同提言

こんにちは、丸山満彦です。

G7が今回は日本で開催されますが、それに合わせて、G7国の経済団体のB7が東京で開催され、共同提言が行われましたね。。。

市場の分断の負の影響を低減させる必要性について強調していますね。。。

もちろん、デジタル(セキュリティを含む)に関することにも言及されていますね。。。

 

原文は英語ですが、日本語訳については、経団連から公表されています。

⚫︎日本経済団体連合

・2023.04.20 B7東京サミット共同提言

目次...

 


Ⅳ.デジタルトランスフォーメーション

1.「自由で公正な貿易投資のためのクラブ」を通じたDFFTの実現

2.データ保護制度間の相互運用性の実現

3.ガバメント・アクセスに係るルール設定

4.セキュリティの確保

(1) サイバーセキュリティの強化

COVID-19のパンデミックによるデジタル化の進展や、社会・経済活動の変化に伴い、産業界のみならず社会全体でサイバー空間と実空間との融合が進展している。一方でサプライチェーンを介したサイバー攻撃も増加している。また、地政学的緊張の高まりがサイバー空間にまで及ぶにつれ、サイバーセキュリティは国家安全保障の重要な分野となりつつある。このような状況下、「Society 5.0 for SDGs」の実現に向けた価値創造とバリューチェーン構築、リスク管理の観点から、G7は、運用上の協力、グローバルサウスに対するキャパシティビルディング、異なった制度間の調和に向けた対話などを推進すべきである。

(2) ディスインフォメーションへの対応

基本的人権の根本である表現の自由が保障されなければならない一方、悪意ある情報を含むディスインフォメーションは民主主義と国家安全保障を脅かす可能性がある。本件は市民の自由と安全保障上の考慮に関する憲法上の議論を含む問題であるため、G7各国はそれぞれの方法でディスインフォメーションへの対応と検閲の禁止といった課題に対処し、必要に応じて情報とベストプラクティスを共有すべきである。

5.デジタル技術の開発

6.キャパシティビルディング


 

 となっていますね。。。

原文は英語です。。。

・2023.04.20 B7 Tokyo Summit Joint Recommendation

 

欧州のビジネスヨーロッパでも公表されていますね。。。

⚫︎ Business Europe

・2023.04.20 B7 Tokyo Summit - Joint recommendation

・[PDF]

20230424-122756

 

 

| | Comments (0)

2023.02.20

デジタル庁 新型コロナウイルス接触確認アプリ(COCOA)の取組に関する総括報告書

こんにちは、丸山満彦です。

デジタル庁が、「新型コロナウイルス接触確認アプリ(COCOA)の取組に関する総括報告書」と、「参考資料集」(新型コロナウイルス感染症対策テックチーム、接触確認アプリに関する有識者検討会合資料、不具合に関する厚生労働省検証報告書、会計検査院処置要求、GitHub での議論の結果)を公表していますね。。。


デジタル庁では、厚生労働省と連携し、アプリの成果・結果や課題を整理し、次のパンデミック時にデジタル技術を有効に活用するため、関係者へのヒアリングや利用者アンケートを踏まえてCOCOAの取組の総括を行い以下の報告書をまとめました。


この後、海外の類似アプリについての調査報告書も公表するとのことです。。。

この総括報告書はとても参考になると思います。もちろんシステム開発者側の人にとってもですが、むしろシステム開発を発注する立場の人、そうなるであろう人が目を通しておくことが重要だなぁと思いました。

開発した成果物の成否を気にする方も多いと思いますが、成果物はまさに結果であり、その結果が失敗というのは、おそらくその過程がうまく行っていなかったということであり、全体としてみれば、プロジェクトが失敗ということになるわけですよね。。。

となると、その原因はプロジェクトの責任者であり、その責任を考える上では、プロジェクトの責任者が自問するところから始まるのだろうと思います。。。もし、プロジェクトの責任者が、誰なのかあいまいであったり、プロジェクトのミッション、目的自体が曖昧であった場合は、そのプロジェクトを起案、発注した人が考えるべき問題なのかもしれません。。。

ーーーーー

ちなみに話題となっているJAXAの次世代主力ロケット「H3」の試験1号機が、発射直前に突然打ち上げが中止になった状況について、中止なのか失敗なのか、という話ですが、そういう意味では、安全に打ち上げるという目的、ミッション全体からみるとまだ、失敗しているわけではなく、プロセスを中止し、延期しているわけです。が、その日に打ち上げるというプロセスだけを取り上げると、その日のプロセスの目的は達成されなかったので、失敗といっても良いかも知れません。読者に対して、どのようなメッセージを伝えたいかということだろうと思います。主要な新聞は中止としています。

・IT media 2023.02.17 打ち上げ中止「H3」会見で共同記者の質問に批判相次ぐ ロケットを救った「フェールセーフ」とは

 ーーーーー

 

● デジタル庁

・2023.02.16 

・[PDF] 報告書本文

20230219-90254

1.はじめに

2.経緯
(1)2020 年(令和2年)5月8日の実装の決定まで
(2)2020 年(令和2年)6月 19 日のリリースまで
(3)リリースに至るまでの経緯のまとめ
(4)2021 年(令和3年)2月 18 日の不具合の修正まで
(5)不具合の修正以降
 ア)IT 室(デジタル庁)の関与
 イ)厚生労働省の不具合検証報告書を踏まえた対応
 ウ)内製化の取組
 エ)オープンソースコミュニティとの連携
 オ)機能停止
 カ)政府の基本的対処方針における COCOA の位置づけ

3.実績
(1)ダウンロード件数と陽性登録件数
(2)COCOA の開発運用費用
(3)最終アップデート版での提供データ

4.評価
(1)関係者へのヒアリングから
(2)利用者アンケートから

5.まとめ
(1)感染症対応に新たなデジタル技術の活用を検討する際に留意すべき事項
 ア)関係者間での必要な機能として目指すべきこと、その具体の仕様の合意
 イ)感染症対策上の位置づけ
 ウ)PDCA サイクルを意識した設計

(2)平時から準備をしておくべき事項
 ア)方針変更や要望への速やかな対応が可能な開発・運用体制
 イ)有事を見据えた感染症対策における平時からのデジタルツールの活用
 ウ)有事にデジタルツールを開発・運用しうるケイパビリティの確保

 

・[PDF] 参考資料集

20230219-91356

【新型コロナウイルス感染症対策テックチーム、接触確認アプリに関する有識者検討会合】
○テックチーム開催実績
 ・第1回テックチーム資料、議事概要
 ・第2回テックチーム資料、議事概要
 ・第3回テックチーム資料、議事概要
 ・第4回テックチーム資料、議事概要

○有識者会合開催実績
 ・第1回有識者会合資料、議事概要
 ・第2回有識者会合資料、議事概要
 ・第3回有識者会合資料、議事概要

○接触確認アプリ及び関連システム仕様書
COCOA の開発運用費用について
○プライバシー及びセキュリティ上の評価及びシステム運用留意事項

【不具合に関する厚生労働省検証報告書、会計検査院処置要求】
○接触確認アプリ「COCOA」の不具合の発生経緯の調査と再発防止の検討について(2021/4/16COCOA 不具合調査再発防止策検討チーム)
○厚生労働大臣に対する改善処置要求(2021/10/27 会計検査院)
COCOA の総括(オープンソースコミュニティとして)

 

 

| | Comments (0)

2023.02.07

米国 国家情報長官室 2026年までのCOVID-19パンデミックの経済的および国家安全保障上の影響 (2022.04作成)

こんにちは、丸山満彦です。

米国の国家情報長官室が、2022年4月に作成した「2026年までのCOVID-19パンデミックの経済的および国家安全保障上の影響」という報告書を公表していますね。。。

● Office of the Director of National Intelligence

・2023.02.03 Economic and National Security Implications of the COVID-19 Pandemic Through 2026

Economic and National Security Implications of the COVID-19 Pandemic Through 2026 2026年までのCOVID-19パンデミックの経済的および国家安全保障上の影響
As part of our ongoing transparency efforts to enhance public understanding of the Intelligence Community’s (IC) work and to provide insights on national security issues, ODNI today is releasing this declassified IC product dated April 2022. 情報機関(IC)の活動に対する国民の理解を深め、国家安全保障上の問題についての洞察を提供するための継続的な透明性の取り組みの一環として、ODNIは本日、2022年4月付けのこの機密解除済みICプロダクトを公開することにした。

 

・[PDF]

20230207-61816

インテリジェンス報告書をどのように書いたら良いのかという点からも参考になるかもですね。。。

 

 

 

| | Comments (0)

より以前の記事一覧