量子技術

2024.08.15

米国 耐量子暗号の標準化が発表されたことは、ホワイトハウスのONCD、OSTP、OMBからもプレスされていました...

こんにちは、丸山満彦です。

  • ONCDは、Office of the National Cyber Director。国家サイバー長官局。
  • OSTPは、Office of Science and Technology Policy。科学技術局。
  • OMBは、Office of Management and Budget。行政管理予算局。

となりますが、ホワイトハウスのこの3つの部局が、耐量子暗号の標準が公表されたことをプレス発表していました。。。

米国の科学技術、耐量子暗号にかける思い入れが感じられますね...

 

U.S. White House - ONCD

・2024.08.13 Fact Sheet: Biden-Harris Administration Continues Work to Secure a Post-Quantum Cryptography Future

Fact Sheet: Biden-⁠Harris Administration Continues Work to Secure a Post-Quantum Cryptography Future ファクトシート:バイデン=ハリス政権はポスト量子暗号化の未来を確保するための取り組みを継続
The Biden-Harris Administration is committed to investing in science and technology innovation to solve future problems for our nation, generate jobs and new economic engines, and advance U.S. leadership around the world. While quantum information science (QIS) holds the potential to drive innovations across the American economy, from fields as diverse as materials science and pharmaceuticals to finance and energy, future quantum computers may also have the ability to break some of today’s most common forms of encryption.  バイデン=ハリス政権は、米国の将来の問題を解決し、雇用と新たな経済的推進力を生み出し、米国のリーダーシップを世界中で推進するために、科学技術革新への投資に尽力している。量子情報科学(QIS)は、材料科学や製薬から金融やエネルギーに至るまで、アメリカ経済全体にわたるイノベーションを推進する可能性を秘めているが、将来の量子コンピューターは、現在最も一般的な暗号化方式の一部を破る能力も有している可能性がある。
Though a quantum computer powerful enough to break current forms of cryptography does not yet exist, the Biden-Harris Administration is preparing for and mitigating the risks to government and critical infrastructure systems posed by a potential future quantum computer and promoting U.S. and allied leadership in quantum technology.  現在の暗号化方式を破るほどの強力な量子コンピューターはまだ存在していないが、バイデン=ハリス政権は、将来の量子コンピューターがもたらす可能性のある政府および重要なインフラシステムへのリスクに備え、そのリスクを低減するとともに、量子技術における米国および同盟国のリーダーシップを推進している。
To protect against the potential risks to the economic and national security of the United States and our partners, this Administration has remained laser focused—as outlined in President Biden’s National Security Memorandum 10 (NSM-10)—on post-quantum cryptography. Post-quantum cryptography is a foundational tool for assuring data safety and security for the nation and for our future.   米国およびパートナー諸国の経済および国家安全保障に対する潜在的なリスクを防御するため、この政権は、バイデン大統領の国家安全保障覚書10(NSM-10)で概説されているように、ポスト量子暗号化に焦点を絞っている。ポスト量子暗号化は、国家および将来のデータ安全性とセキュリティを確保するための基盤となるツールである。 
Today, the White House convened government and industry leaders to unveil new Post-Quantum Cryptographic standards from the National Institute of Standards and Technology (NIST). These standards represent a key milestone in the achievements of the Biden-Harris Administration’s NSM-10 to assure the safety and security of quantum computing for the nation and for our future. These are the first global standards to be released for post-quantum cryptography, underscoring U.S. leadership in quantum technology.  本日、ホワイトハウスは政府および産業界のリーダーたちを集め、国立標準技術研究所(NIST)による新しいポスト量子暗号標準を発表した。この標準は、国家および将来の量子コンピューティングの安全性とセキュリティを確保するという、バイデン=ハリス政権のNSM-10の達成における重要なマイルストーンとなる。これはポスト量子暗号化技術に関する初めての世界標準であり、量子技術における米国のリーダーシップを強調するものである。
NIST’s new standards are designed for two essential tasks for which encryption is typically used: general data encryption, used to protect information exchanged across a network or sitting at rest on a computer; and digital signatures, used for identity authentication. These standards replace current cryptographic standards that could be vulnerable to a future quantum computer. These standards allow federal agencies and industry to adopt and integrate these new tools into systems and products. A full description is available here. NISTの新しい標準は、暗号化が一般的に使用される2つの重要なタスク向けに設計されている。1つは、ネットワーク上でやり取りされる情報や、コンピュータに保存されている情報を防御するために使用される「一般データ暗号化」、もう1つは、ID認証に使用される「デジタル署名」である。これらの標準は、将来的な量子コンピュータに対して脆弱性がある可能性がある現在の暗号化標準に取って代わる。これらの標準により、連邦政府機関と産業界は、これらの新しいツールをシステムや製品に採用し、統合することが可能になる。詳細はこちらでご覧いただけます。
This effort builds on other Administration actions to ensure we maintain a competitive economic and security advantage for generations to come, including: この取り組みは、次世代にわたって経済的および安全保障上の競争優位性を維持することを目的とした、他の行政措置を基盤としている。
・In 2022, President Biden issued an executive order elevating the National Quantum Initiative Advisory Committee (NQIAC) to a Presidential Advisory Committee. The NQIAC consists of leaders in the field from industry, academia and the Federal Laboratories, and highlights the importance of a whole-of-government approach to QIS
.
・2022年、バイデン大統領は、国家量子イニシアティブ諮問委員会(NQIAC)を大統領諮問委員会に昇格させる大統領令に署名した。NQIACは産業界、学術界、連邦研究所の各分野のリーダーで構成されており、QISに対する政府一体となったアプローチの重要性を強調している。
The Office of Management & Budget (OMB) issued Memorandum M-23-02, Migrating to Post-Quantum Cryptography, which lays out clear steps for agencies to follow in preparation for migrating to these new NIST cryptography standards. Those steps include conducting a comprehensive and ongoing cryptographic inventory and prioritizing critical and sensitive systems for migration. The approach allows agencies to stay ahead of technological advances and keep their information safe and secure. ・行政管理予算局(OMB)は、メモランダムM-23-02「ポスト量子暗号への移行」を発行し、政府機関がNISTの新しい暗号化標準への移行に備えるための明確な手順を示した。これらの手順には、包括的かつ継続的な暗号化資産の棚卸しを実施し、移行に際して重要な機密システムを優先することが含まれる。このアプローチにより、政府機関は技術の進歩に先んじ、情報を安全かつ確実に保護することができる。
OMB released a report on Post-Quantum Cryptography outlining the strategy for migrating systems to post-quantum cryptography to mitigate risks while harnessing the full potential of quantum innovations. ・OMBは、量子暗号化後の暗号化への移行戦略を概説した報告書を発表し、量子技術の革新の可能性を最大限に活用しながらリスクを低減する方法を提示した。
OMB and the Office of Science and Technology Policy held a roundtable with cryptographers, industry, and government agencies to discuss best practices for the adoption of post-quantum cryptography standards. ・OMBと米国科学技術政策局は、暗号化技術者、産業界、政府機関を集めた円卓会議を開催し、量子暗号化標準の採用に関するベストプラクティスについて議論した。
・The Office of the National Cyber Director (ONCD): Through the Biden-Harris Administration’s National Cybersecurity Strategy released in March 2023, ONCD is working to prepare for the post-quantum future. This includes supporting the implementation of NSM-10 by conducting an inventory of government systems. This inventory will identify where there is vulnerable cryptography and what needs to be prioritized. ONCD is also working internationally with allies to create a cohesive message on the need to implement post-quantum cryptography. This work seeks to drive a collective call to action for government leaders and financial decisionmakers and start the cryptographic transition today
.
・国家サイバー長官室(ONCD): 2023年3月に発表されたバイデン=ハリス政権の国家サイバーセキュリティ戦略を通じて、ONCDは量子コンピューター時代への準備を進めている。これには、政府システムのインベントリを実施することでNSM-10の導入を支援することが含まれる。このインベントリにより、脆弱性のある暗号化がどこにあるか、何を優先すべきかが識別される。ONCDはまた、同盟国と協力して、量子コンピューター時代への移行の必要性を訴える統一的なメッセージを作成している。この取り組みは、政府指導者や金融の意思決定者に対して行動を促すよう働きかけ、暗号の移行を今日から開始することを目指している。

 

・2024.08.13 Remarks: National Cyber Director Coker Remarks at White House Event on Post-Quantum Cryptography

Remarks: National Cyber Director Coker Remarks at White House Event on Post-Quantum Cryptography 発言:ポスト量子暗号化に関するホワイトハウスイベントにおける国家サイバーディレクター、コーカー氏の発言
Remarks as Prepared for Delivery 発言原稿
Good afternoon. Thank you, Clare, Anne and Steve for the ongoing partnerships. こんにちは。クレア、アン、スティーブ、現在進行中のパートナーシップに感謝します。
And thank you to the Office of Science and Technology Policy for bringing us together to recognize the achievement of NIST, the algorithms teams, and the global testing partners who all enabled this new standard. また、米国科学技術政策局には、NIST、アルゴリズムチーム、そしてこの新しい標準を可能にした世界的な試験パートナーの功績を称えるために、私たちを一堂に集めていただき感謝いたします。
Today, we stand at a critical juncture in our efforts to secure the future of our Nation and our allies.  今日、私たちは、米国および同盟国の未来を確保するための取り組みにおいて、重要な岐路に立っています。
As we celebrate the profound gifts of technological progress, it’s important to consider the level of vulnerability quantum computing potentially exposes us to. These capabilities are projected to break much of our current encryption, leaving significant impacts on our national and economic security and every individual’s right to privacy.  技術進歩の多大な恩恵を祝うと同時に、量子コンピューティングが潜在的に私たちをさらす脆弱性のレベルを考慮することが重要です。量子コンピューティングの能力は、現在の暗号化技術の多くを破ることが予測されており、国家および経済の安全保障、そして個人のプライバシーの権利に重大な影響を及ぼすことになる。
Currently, a large portion of our daily internet communications rely on public-key cryptography to protect everything from email authentication to secure payment protocols to establishing internet connections. 現在、私たちの日常的なインターネット通信の大部分は、電子メール認証から安全な支払いプロトコル、インターネット接続の確立に至るまで、すべてを防御するために公開鍵暗号方式に依存している。
Once a quantum computer of significant and sufficient size and sophistication to pose a threat to cryptography is developed, public-key cryptography will be at risk. Breaking encryption threatens the three essential pillars of cybersecurity: confidentiality, integrity, and availability. 暗号化技術に脅威をもたらすのに十分な規模と高度な性能を備えた量子コンピューターが開発されれば、公開鍵暗号方式はリスクにさらされることになる。暗号解読は、サイバーセキュリティの3つの重要な柱である機密性、完全性、可用性を脅かす。
・First, breaking encryption would undermine the confidentiality of data as it would expose the most sensitive and classified government communications for our adversaries to exploit to their strategic advantage. This also has profound implications for Americans’ privacy, as personal communications and private information would be exposed for anyone to see. ・第一に、暗号解読により、最も機密性の高い政府のコミュニケーションが敵対者に公開され、戦略的に悪用される可能性があるため、データの機密性が損なわれる。また、個人間のコミュニケーションや個人情報が誰でも見られる状態になるため、これは米国人のプライバシーにも重大な影響を及ぼす。
・Second, breaking encryption would undermine integrity, as it would allow attackers to invalidate digital signatures. This means hackers would be able to issue fake government communications, causing widespread misinformation and operational disruptions. ・第二に、暗号解読により、攻撃者がデジタル署名を無効にできるため、完全性が損なわれる。つまり、ハッカーが偽の政府コミュニケーションを発行できるようになり、広範囲にわたる誤情報や業務中断を引き起こす可能性があるということだ。
・Third, breaking encryption would undermine availability, as it would allow adversaries to impact the delivery of critical infrastructure services such as energy grids and healthcare systems. ・第三に、暗号化を解除することで、敵対者がエネルギー網や医療システムなどの重要なインフラサービスの提供に影響を与えることが可能になるため、可用性が損なわれる。
The Biden-Harris Administration’s National Cybersecurity Strategy recognizes the need to prepare for revolutionary changes brought on by quantum computing. This is one of the reasons we’ve made investing in a resilient future a core pillar of that strategy. Investments in cybersecurity and resiliency have long trailed the threats and challenges they seek to mitigate. バイデン=ハリス政権の国家サイバーセキュリティ戦略では、量子コンピューティングがもたらす革命的な変化に備える必要性を認識している。これが、レジリエントな未来への投資を戦略の柱のひとつとしている理由のひとつだ。サイバーセキュリティとレジリエンスへの投資は、低減を目指す脅威や課題に長らく遅れをとってきた。
And in the case of quantum computing, the threat isn’t just on the horizon; it’s here now. As you heard from NIST Director Dr. Locascio, malicious actors are already using a “store-now, break-later” strategy, gathering encrypted data today with the intention to decrypt it once they have the quantum capabilities. This endangers our national secrets and future operations. そして量子コンピューティングの場合、脅威はまだ見えない未来にあるのではなく、すでに現実のものとなっている。NISTのロカシオ所長から聞いたように、悪意のある行為者はすでに「今すぐ保存し、後で破る」戦略を採用しており、量子コンピューティング能力を手に入れたら暗号化データを解読するつもりで、今日すでに暗号化データを収集している。これは、国家機密や将来の活動に危険をもたらす。
Also, it should come as no surprise that nations are investing heavily in quantum computing research, which could pose a massive security threat as they aim to gain strategic advantages and dominate cyberspace. また、国家が量子コンピューティングの研究に多額の投資を行っていることは驚くことではない。国家は戦略的な優位性を獲得し、サイバー空間を支配することを目指しており、それは重大なセキュリティ上の脅威となり得る。
Given the magnitude and potential impact of the threat, we must act with urgency. 脅威の規模と潜在的な影響を考慮すると、私たちは緊急に対応しなければならない。
Those who have spoken before me have talked about our plan for migrating to post-quantum cryptography. It’s a good plan that hinges on taking decisive action now. 私の前に発言した人々は、量子暗号化以降への移行計画について語った。それは、今こそ断固とした行動を取るべきであるという、優れた計画である。
We must marry the actions laid out today with the speed and attention to detail this threat demands. As the saying goes, “the best way to predict the future is to create it.”  今日発表した対策を、この脅威が要求するスピードと細部への注意をもって実行しなければならない。「未来を予測する最善の方法は、それを自ら作り出すことだ」という言葉がある。
This brings me to the commendable work of NIST.  ここで、NISTの素晴らしい取り組みについて触れたい。
For the past eight years, NIST has led the development of post-quantum algorithms, ensuring they are robust and capable of withstanding quantum attacks. 過去8年間、NISTは量子攻撃に耐える強固なポスト量子アルゴリズムの開発を主導してきた。
Today’s release of these standards marks a critical milestone. 本日発表されたこれらの標準は、重要なマイルストーンとなる。
Since the President signed National Security Memorandum 10 in May of 2022, we’ve worked with Office of Management and Budget, the National Security Council, and the National Security Agency, amongst others to ensure Departments and Agencies are inventorying their systems for instances of vulnerable cryptography. 2022年5月に大統領が国家安全保障覚書10に署名して以来、私たちは行政管理予算局、国家安全保障会議、国家安全保障局などと協力し、省庁が脆弱な暗号化の事例についてシステムを棚卸しすることを確保してきた。
We want to thank the Departments and Agencies for their commendable work to identify high-value assets that will be prioritized within the cryptographic transition and help us better understand our collective level of risk. Because of this work, we are much better prepared than ever to implement these newly standardized algorithms. 暗号化の移行において優先される高価値資産を識別し、私たちがリスクの全体的なレベルをよりよく理解するのを助けるという、省庁の素晴らしい取り組みに感謝したい。この取り組みにより、新たに標準化されたアルゴリズムを実装するための準備がこれまで以上に整った。
Now, the real work of migration must begin. 今こそ、移行の真の作業を開始すべき時である。
The encryption transition will require substantial resources to ensure its success. Resources will be an investment in the future security, reliability, and stability of the internet to ensure our digital ecosystem flourishes for all of society.  暗号化の移行を成功させるには、相当なリソースが必要となる。リソースは、社会全体におけるデジタルエコシステムの繁栄を確実にするために、インターネットの将来のセキュリティ、信頼性、安定性への投資となる。 
These resources include the people needed to implement the post-quantum algorithms. これらのリソースには、量子アルゴリズムの実装に必要な人材も含まれる。
Through the Administration’s National Cyber Workforce and Education Strategy, we are focusing on skills to strengthen and future-proof our domestic workforce. 政権の国家サイバー人材および教育戦略を通じて、私たちは国内の労働力を強化し、将来に備えるスキルに重点的に取り組んでいる。
This operates in tandem with the excellent work by the National Science & Technology Council’s Quantum Information Science and Technology Workforce Development National Strategic Plan, which identifies the specific actions necessary to strengthen our domestic quantum-skilled workforce. これは、国内の量子技術に精通した労働力を強化するために必要な具体的な行動を識別する、国家科学技術会議の量子情報科学技術人材開発国家戦略計画による優れた取り組みと並行して実施されている。
Together, these efforts will ensure we are well-equipped to transition to a post-quantum world and then defend it. これらの取り組みを併せて行うことで、私たちは量子コンピューティング後の世界への移行に十分な備えをし、その世界を守ることができるだろう。
However, our networks do not operate in isolation. They are interconnected with commercial vendors and international partners. Therefore, this is a challenge that transcends borders. しかし、私たちのネットワークは孤立して機能しているわけではない。それらは商業ベンダーや国際パートナーと相互接続されている。したがって、これは国境を越えた課題である。
To be truly effective, our transition must occur in tandem with our friends and allies abroad. 真に効果的な移行を実現するには、海外の友人や同盟国と歩調を合わせて行う必要がある。
・In concert with State’s Bureau of Cyberspace & Digital Policy, we are working closely with international partners to learn where we can and share our own experiences. ・国務省のサイバー空間・デジタル政策局と連携し、私たちは国際的なパートナーと緊密に協力しながら、どこで私たちが貢献できるか、また私たちの経験を共有できるかを学んでいる。
・We are particularly grateful to the governments of the United Kingdom, France, and Singapore for their respective leadership in advancing PQC globally. ・私たちは、PQCの推進において世界的なリーダーシップを発揮している英国、フランス、シンガポールの政府に特に感謝している。
・ONCD, as well as the offices represented here, recognize the importance of working alongside our international partners, including Governments, civil society organizations and research institutions. ・ONCDおよびここに代表者が出席している各機関は、政府、市民社会組織、研究機構を含む国際的なパートナーと協力することの重要性を認識している。
・By speaking at today’s event, we each hope to not only educate the broad populace on what some may consider a distant, complex, technical issue, but more importantly, enable us to build a coalition of advocates that can spur the momentum necessary to execute this transition globally. ・本日、このイベントで講演することで、一部の人々にとっては遠大で複雑な技術的問題とみなされる可能性がある問題について、幅広い人々を教育するだけでなく、さらに重要なこととして、この移行を世界的に実行するために必要な勢いを生み出すことができる支援者の連合を構築することを目指している。
・By sharing knowledge, strategies, and innovations, we can create a resilient global defense against those who intend to use quantum computing to compromise the security of our systems. ・知識、戦略、イノベーションを共有することで、量子コンピューティングを利用して我々のシステムのセキュリティを侵害しようとする者に対して、レジリエントなグローバルな防御を構築することができる。
We also recognize the vital role of the private sector in making this transition. We will continue to support NIST’s work with industry to understand obstacles to post-quantum deployment and opportunities to share lessons learned to streamline the transition for the entire U.S. ecosystem. また、この移行において民間部門が重要な役割を果たすことも認識している。NISTが産業界と協力して、ポスト量子暗号化の展開における障害と、米国のエコシステム全体の移行を効率化するために得られた教訓を共有する機会を理解する取り組みを、今後も支援していく。
Transitioning to post-quantum cryptography is a cornerstone of all we’re trying to achieve in cyberspace. Our mission – to shape and secure cyberspace to advance national security, economic prosperity, and technological innovation – hinges on trust in our systems and data. By committing ourselves fully to this transition, the Biden Harris Administration will be able to continue providing the high-quality services the public demands of its Government. Architecting digital systems of trust are built through each of those discrete, daily transactions between our people and our Government. 量子コンピューティング以降の暗号化への移行は、サイバー空間で達成しようとしていることの基盤となる。国家の安全保障、経済的繁栄、技術革新を促進するためにサイバー空間を形作り、安全を確保するという我々の使命は、システムとデータへの信頼に依存している。この移行に全力で取り組むことで、バイデン・ハリス政権は、国民が政府に求める高品質なサービスを継続的に提供できるようになる。信頼できるデジタルシステムの構築は、国民と政府間の個々の日常的な取引を通じて行われる。
Securing against quantum threats is therefore not just an option, but a necessity for the future of our national security, economic stability, and foundational civil liberties—and more broadly to maintain trust in Government. したがって、量子脅威への対策は単なる選択肢ではなく、国家安全保障、経済安定性、基本的な市民の自由、そしてより広義には政府への信頼を維持するための必要条件である。
The stakes are high, and the time to act is now. NIST has done their part, and now it’s up to the rest of us to build on NIST’s stellar work. We must continue to drive our Government and private sector, as well as encourage our friends and allies abroad, to initiate deployment efforts.  リスクは高く、行動を起こすべき時が今である。NISTは自らの役割を果たした。今こそ、残された我々がNISTの素晴らしい業績を基に構築する番である。我々は、政府および民間部門を牽引し続け、海外の友人や同盟国にも展開努力を促さなければならない。
Together, with our domestic and international partners, we must rise to meet this challenge and safeguard our digital future. 国内および国際的なパートナーと協力し、この課題に立ち向かい、デジタルの未来を守らなければならない。
Thank you all for your dedication to this work. この取り組みに尽力してくださった皆さまに感謝する。

 

 

・U.S. White House - OSTP

・2024.08.13 FACT SHEET: Biden-⁠Harris Administration Continues Work to Secure a Post-Quantum Cryptography Future

内容は、ONCDの発表と同じですね...

 

● U.S. White House - OMB

・2024.08.13 Readout of White House Roundtable on Protecting Our Nation’s Data and Networks from Future Cybersecurity Threats

Readout of White House Roundtable on Protecting Our Nation’s Data and Networks from Future Cybersecurity Threats 将来のサイバーセキュリティの脅威から国家のデータとネットワークを防御するためのホワイトハウス円卓会議の要旨
In January, the Office of Management and Budget (OMB) and the Office of Science and Technology Policy (OSTP) convened leaders from government, industry, and academia at a roundtable to discuss plans for addressing the requirements of National Security Memorandum 10 (NSM-10) on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems and the Quantum Computing Cybersecurity Preparedness Act of 2022. 1月、行政管理予算局(OMB)と米国科学技術政策局(OSTP)は、政府、産業界、学術界のリーダーを招集し、 量子コンピューティングにおける米国のリーダーシップを促進しつつ、脆弱な暗号システムへのリスクを低減することに関する国家安全保障覚書10(NSM-10)および2022年の量子コンピューティング・サイバーセキュリティ準備法の要件に対応するための計画について話し合うためである。
Unlike conventional computers, quantum computers leverage the collective properties of quantum states to process information. Accordingly, quantum computers have the ability to perform some calculations much faster than regular computers. Quantum computers of sufficient size and scale may offer enormous benefits to society, but they may also incidentally have the ability to break many commonly used forms of modern encryption therefore posing a cybersecurity risk to our nation’s digital infrastructure. While quantum computing technology brings opportunity, the United States must ensure it is ready to mitigate the risk that quantum computers present to protect our nation’s most sensitive information.   従来のコンピューターとは異なり、量子コンピューターは量子状態の集合的特性を活用して情報を処理する。そのため、量子コンピューターは通常のコンピューターよりもはるかに高速に計算を実行できる能力を備えている。十分な規模と能力を備えた量子コンピューターは、社会に多大な利益をもたらす可能性があるが、同時に、現在一般的に使用されている多くの暗号化方式を解読する能力も備えている可能性があり、そのため、米国のデジタルインフラにサイバーセキュリティリスクをもたらす可能性がある。量子コンピューティング技術は新たな機会をもたらす一方で、米国は、量子コンピューターがもたらすリスクを低減し、国家の最も機密性の高い情報を防御する準備を整えておく必要がある。 
At the roundtable, several senior officials delivered remarks emphasizing the importance of encryption technology to privacy and security in delivery of critical government services. In addition, they underscored the need for implementation of zero trust cybersecurity defenses on Federal and critical infrastructure networks. この円卓会議では、政府高官数名が、重要な政府サービスの提供におけるプライバシーとセキュリティに対する暗号化技術の重要性を強調する発言を行った。また、連邦政府および重要なインフラストラクチャのネットワークにおけるゼロトラスト・サイバーセキュリティ防御の実施の必要性を強調した。
Federal Chief Information Officer Clare Martorana said, “Strong encryption is a foundational technology that underpins safety, privacy, trust, and competitiveness across the digital economy and our society. It unlocks innovation by securing it.” 連邦政府CIO(最高情報責任者)のクレア・マルトラナ氏は、次のように述べた。「強力な暗号化は、デジタル経済と社会全体の安全性、プライバシー、信頼性、競争力を支える基盤技術である。暗号化は、イノベーションを安全に実現するものである」。
“Quantum computers have the potential to drive innovation across the American economy,” said Gretchen Campbell, Deputy Director of the National Quantum Coordination Office. “While the full range of applications of quantum computers is still unknown, it is nevertheless clear that America’s continued technological and scientific leadership will depend, at least in part, on the Nation’s ability to maintain a competitive advantage in quantum computing and quantum information science.” 米量子調整室のグレッチェン・キャンベル副室長は次のように述べた。「量子コンピュータは、米国経済全体のイノベーションを推進する可能性を秘めている。量子コンピュータの幅広い用途はまだ不明ですが、米国が技術面および科学面で引き続きリーダーシップを発揮するには、少なくとも部分的には、量子コンピューティングおよび量子情報科学における競争優位性を維持する能力が不可欠であることは明らかである。」
Special Assistant to the President and National Security Council Senior Director for Cybersecurity and Emerging Technology Caitlin Clarke said, “NSM-10 underscores our commitment to ensuring that our Nation’s cyber defenses remain resilient in the coming era of quantum computing” and highlighted the Biden-Harris Administration’s commitment to improving Federal Government and critical infrastructure cybersecurity. 大統領特別補佐官兼国家安全保障会議サイバーセキュリティ・新技術担当上級部長ケイトリン・クラーク氏は、「NSM-10は、量子コンピューティングの時代が到来しても、わが国のサイバー防衛のレジリエンスを維持するという我々の決意を明確に示している」と述べ、連邦政府および重要インフラのサイバーセキュリティ改善に対するバイデン=ハリス政権の取り組みを強調した。
Participants echoed the importance and timeliness of the discussion, and stressed the need for continued collaboration. 参加者は、この議論の重要性と時宜を得たものであることを繰り返し、継続的な協力の必要性を強調した。
At the close of the roundtable, Federal Chief Information Security Officer and Deputy National Cyber Director for Federal Chris DeRusha delivered remarks, saying, “Continuing to promote strong encryption standards and methodologies is a key underpinning of our cyber defenses.  And in many cases encryption is our first and last defense against advanced malicious cyber actors.  Mitigating the risk of quantum capabilities will require a whole-of-government approach and we will continue to engage with stakeholders from industry and academia to inform migration efforts.”   ラウンドテーブルの閉会にあたり、連邦政府の最高情報セキュリティ責任者であり、連邦政府の副国家サイバーディレクターであるクリス・デルーシャ氏は次のように述べた。「強力な暗号化標準と手法の推進を継続することは、サイバー防御の重要な基盤となる。そして、多くの場合、暗号化は高度な悪意のあるサイバー攻撃に対する最初で最後の防御策である。 量子能力のリスクを低減するには政府全体のアプローチが必要であり、私たちは業界や学術界の関係者と連携し、移行に向けた取り組みを継続していく。」 
OMB, OSTP, and members of the interagency post-quantum cryptography (PQC) migration working group will continue to engage with experts both inside and outside government as agencies plan for PQC migration consistent with NSM-10 and the Quantum Computing Cybersecurity Preparedness Act of 2022. OMB、OSTP、および省庁間ポスト量子暗号(PQC)移行作業部会のメンバーは、NSM-10および2022年量子コンピューティング・サイバーセキュリティ準備法に準拠したPQC移行計画を策定するにあたり、政府内外の専門家と引き続き連携していく。

 

Fig1_20210802074601

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.14 米国 NIST 耐量子暗号化標準の最初の3つ (FIPS 203, 204, 205) を確定

・2023.08.25 米国 NIST パブコメ FIPS 203 モジュール・ラティス・ベースの鍵カプセル化メカニズム標準, FIPS 204 モジュール-格子ベース電子署名標準, FIPS 205 ステートレス・ハッシュベース・デジタル署名標準

 

 

| | Comments (0)

2024.08.14

米国 NIST 耐量子暗号化標準の最初の3つ (FIPS 203, 204, 205) を確定

こんにちは、丸山満彦です。

NISTが、量子暗号化標準の最初の3つ (FIPS 203, 204, 205) を確定し、発表していますね...量子コンピュータがさらに発展し、現在の暗号アルゴリズムによる暗号が、量子コンピュータで解けるようになってしまうと、暗号により支えられているさまざまな制度が崩壊するので、それは避けないといけないですよね...

現在実装されている暗号アルゴリズムを新しいものに無理なく変えていくにはそれなりの時間もかかるということで、いまから耐量子暗号については、標準化をしておくのが重要ですよね...ということで、米国はそれなりにパワーがありますよね...

 

FIPS 203 Module-Lattice-Based Key-Encapsulation Mechanism Standard FIPS 203 モジュール格子基盤・鍵カプセル化メカニズム標準
FIPS 204 Module-Lattice-Based Digital Signature Standard FIPS 204 モジュール格子基盤・デジタル署名標準
FIPS 205 Stateless Hash-Based Digital Signature Standard FIPS 205 ステートレスバッシュ基盤・デジタル署名標準

 

 

NIST - ITL

・2024.08.13 NIST Releases First 3 Finalized Post-Quantum Encryption Standards

NIST Releases First 3 Finalized Post-Quantum Encryption Standards NIST、耐量子暗号化標準の最初の3つを確定
・NIST has released a final set of encryption tools designed to withstand the attack of a quantum computer. ・NISTは、量子コンピューターの攻撃に耐えるよう設計された暗号化ツールの最終セットをリリースした。
・These post-quantum encryption standards secure a wide range of electronic information, from confidential email messages to e-commerce transactions that propel the modern economy. ・これらの耐量子暗号化標準は、機密性の高い電子メールから現代経済を牽引する電子商取引まで、幅広い電子情報を保護する。
・NIST is encouraging computer system administrators to begin transitioning to the new standards as soon as possible. ・NISTは、コンピュータシステム管理者に対して、できるだけ早く新しい標準への移行を開始するよう促している。
GAITHERSBURG, Md. — The U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has finalized its principal set of encryption algorithms designed to withstand cyberattacks from a quantum computer メリーランド州ゲイザースバーグ発 — 米商務省国立標準技術研究所(NIST)は、量子コンピュータによるサイバー攻撃に耐えることを目的とした暗号化アルゴリズムの主要なセットを確定した。
Researchers around the world are racing to build quantum computers that would operate in radically different ways from ordinary computers and could break the current encryption that provides security and privacy for just about everything we do online. The algorithms announced today are specified in the first completed standards from NIST’s post-quantum cryptography (PQC) standardization project, and are ready for immediate use. 世界中の研究者が、通常のコンピュータとは根本的に異なる方法で動作し、オンラインで行うほぼすべての行為のセキュリティとプライバシーを確保する現在の暗号化を破ることができる量子コンピュータの開発を競っている。本日発表されたアルゴリズムは、NISTの耐量子暗号(PQC)標準化プロジェクトで完成した最初の標準に規定されており、即時利用が可能である。
The three new standards are built for the future. Quantum computing technology is developing rapidly, and some experts predict that a device with the capability to break current encryption methods could appear within a decade, threatening the security and privacy of individuals, organizations and entire nations 3つの新しい標準は、将来を見据えて策定された。量子コンピューティング技術は急速に発展しており、一部の専門家は、現在の暗号化方式を破る能力を持つ装置が10年以内に登場し、個人、組織、国家全体のセキュリティとプライバシーを脅かす可能性があると予測している。
“The advancement of quantum computing plays an essential role in reaffirming America’s status as a global technological powerhouse and driving the future of our economic security,” said Deputy Secretary of Commerce Don Graves. “Commerce bureaus are doing their part to ensure U.S. competitiveness in quantum, including the National Institute of Standards and Technology, which is at the forefront of this whole-of-government effort. NIST is providing invaluable expertise to develop innovative solutions to our quantum challenges, including security measures like post-quantum cryptography that organizations can start to implement to secure our post-quantum future. As this decade-long endeavor continues, we look forward to continuing Commerce’s legacy of leadership in this vital space.” ドン・グレイブス商務次官は次のように述べた。「量子コンピューティングの進歩は、米国が世界的な技術大国としての地位を再確認し、経済的安定の未来を推進する上で重要な役割を果たす。商務省は、政府全体で取り組むこの活動の最前線に立つ国立標準技術研究所をはじめ、量子技術における米国の競争力を確保するために、その役割を果たしている。NISTは、量子技術の課題に対する革新的なソリューションの開発に貴重な専門知識を提供している。その中には、量子コンピュータ時代以降の未来を確保するために企業が導入を開始できる耐量子暗号化のようなセキュリティ対策も含まれる。この10年にわたる取り組みが継続する中、この重要な分野における商務省のリーダーシップの伝統が今後も継続することを期待している。」
The standards — containing the encryption algorithms’ computer code, instructions for how to implement them, and their intended uses — are the result of an eight-year effort managed by NIST, which has a long history of developing encryption. The agency has rallied the world’s cryptography experts to conceive, submit and then evaluate cryptographic algorithms that could resist the assault of quantum computers. The nascent technology could revolutionize fields from weather forecasting to fundamental physics to drug design, but it carries threats as well 暗号化アルゴリズムのコンピュータコード、その実装方法の指示、およびその用途を含むこの標準は、暗号化開発の長い歴史を持つNISTが8年間にわたって管理してきた成果である。 同機関は、量子コンピュータの攻撃に耐える暗号化アルゴリズムを考案し、提出し、評価するために、世界中の暗号化の専門家を集結させた。この新しい技術は、天気予報から基礎物理学、薬剤設計に至るまで、さまざまな分野に革命をもたらす可能性があるが、同時に脅威もはらんでいる。
“Quantum computing technology could become a force for solving many of society’s most intractable problems, and the new standards represent NIST’s commitment to ensuring it will not simultaneously disrupt our security,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “These finalized standards are the capstone of NIST’s efforts to safeguard our confidential electronic information.” 商務省標準技術局次官でNIST局長のローリー・E・ロカシオ氏は次のように述べた。「量子コンピューティング技術は、社会が抱える最も困難な問題の多くを解決する力となる可能性があり、この新しい標準は、同時にセキュリティを破壊することのないよう保証するというNISTの取り組みを象徴するものである。この最終版の標準は、NISTが機密電子情報を保護するための取り組みの集大成である。」
The Journey Towards Quantum Resistant Algorithms: NIST's Initiative 量子耐性アルゴリズムへの道のり:NISTのイニシアティブ


In 2015, NIST initiated the selection and standardization of quantum-resistant algorithms to counter potential threats from quantum computers. After assessing 82 algorithms from 25 countries, the top 15 were identified with global cryptographers' assistance. These were categorized into finalists and alternative algorithms, with draft standards released in 2023. Cybersecurity experts are now encouraged to incorporate these new algorithms into their systems. 2015年、NISTは量子コンピュータから潜在的な脅威に対抗するための量子耐性アルゴリズムの選定と標準化を開始した。25カ国から82のアルゴリズムをアセスメントした結果、世界中の暗号技術者の協力を得て、上位15のアルゴリズムが識別された。これらは最終候補と代替アルゴリズムに分類され、2023年にドラフト標準が発表された。現在、サイバーセキュリティの専門家は、これらの新しいアルゴリズムをシステムに組み込むことが推奨されている。
Encryption carries a heavy load in modern digitized society. It protects countless electronic secrets, such as the contents of email messages, medical records and photo libraries, as well as information vital to national security. Encrypted data can be sent across public computer networks because it is unreadable to all but its sender and intended recipient.  暗号化は、現代のデジタル化社会において大きな役割を担っている。電子メールのメッセージ内容、医療記録、写真ライブラリなど、数え切れないほどの電子上の秘密や、国家安全保障に不可欠な情報を保護している。暗号化されたデータは、送信者と取得者以外には解読できないため、公共のコンピューターネットワークを通じて送信することができる。
Encryption tools rely on complex math problems that conventional computers find difficult or impossible to solve. A sufficiently capable quantum computer, though, would be able to sift through a vast number of potential solutions to these problems very quickly, thereby defeating current encryption. The algorithms NIST has standardized are based on different math problems that would stymie both conventional and quantum computers. 暗号化ツールは、従来のコンピューターでは解読が困難または不可能な複雑な数学問題に依存している。しかし、十分な能力を持つ量子コンピューターであれば、これらの問題の膨大な数の潜在的な解決策を非常に迅速に洗い出すことができ、現在の暗号化を破ることができる。NISTが標準化したアルゴリズムは、従来のコンピューターと量子コンピューターの両方を妨げるさまざまな数学問題に基づいている。
“These finalized standards include instructions for incorporating them into products and encryption systems,” said NIST mathematician Dustin Moody, who heads the PQC standardization project. “We encourage system administrators to start integrating them into their systems immediately, because full integration will take time.” PQC標準化プロジェクトを率いるNISTの数学者、ダスティン・ムーディ氏は次のように述べた。「これらの最終標準には、製品や暗号化システムへの組み込みに関する指示が含まれている。完全な統合には時間がかかるため、システム管理者には直ちにシステムへの統合を開始することを推奨する。」
Moody said that these standards are the primary tools for general encryption and protecting digital signatures.  ムーディ氏は、これらの標準は一般的な暗号化とデジタル署名の保護のための主要なツールであると述べた。 
Want to learn more about post-quantum cryptography? Check out our explainer 耐量子暗号化についてもっと知りたいですか? こちらの解説記事をご覧ください。
NIST also continues to evaluate two other sets of algorithms that could one day serve as backup standards.  NISTは、いずれバックアップ標準として役立つ可能性がある、他の2つのアルゴリズムセットの評価も継続している。
One of these sets consists of three algorithms designed for general encryption but based on a different type of math problem than the general-purpose algorithm in the finalized standards. NIST plans to announce its selection of one or two of these algorithms by the end of 2024. そのうちの1つは、一般的な暗号化用に設計された3つのアルゴリズムで構成されているが、最終標準の汎用アルゴリズムとは異なる種類の数学問題に基づいている。NISTは、2024年末までにこれらのアルゴリズムのうち1つまたは2つを選択する予定である。
The second set includes a larger group of algorithms designed for digital signatures. In order to accommodate any ideas that cryptographers may have had since the initial 2016 call for submissions, NIST asked the public for additional algorithms in 2022 and has begun a process of evaluating them. In the near future, NIST expects to announce about 15 algorithms from this group that will proceed to the next round of testing, evaluation and analysis.
2つ目のセットには、デジタル署名用に設計されたより大規模なアルゴリズム群が含まれる。暗号学者たちが2016年の最初の提出要請以降に考え出したアイデアをすべて取り入れるため、NISTは2022年に一般から追加のアルゴリズムを募集し、それらの評価プロセスを開始した。近い将来、NISTは次のテスト、評価、分析の段階に進む15個ほどのアルゴリズムをこのグループから発表する予定である。
While analysis of these two additional sets of algorithms will continue, Moody said that any subsequent PQC standards will function as backups to the three that NIST announced today.  この2つの追加アルゴリズムセットの分析は継続されるが、ムーディ氏は、その後のPQC標準は、NISTが本日発表した3つの標準のバックアップとして機能するだろうと述べた。
“There is no need to wait for future standards,” he said. “Go ahead and start using these three. We need to be prepared in case of an attack that defeats the algorithms in these three standards, and we will continue working on backup plans to keep our data safe. But for most applications, these new standards are the main event.”  「今後の標準を待つ必要はありません。この3つを今すぐ使い始めてください。この3つの標準のアルゴリズムを破る攻撃に備える必要があります。そして、データを安全に保つためのバックアップ計画の策定を継続していきます。しかし、ほとんどのアプリケーションでは、これらの新しい標準がメインとなる。」
More Details on the New Standards 新しい標準の詳細
Encryption uses math to protect sensitive electronic information, including secure websites and emails. Widely used public-key encryption systems, which rely on math problems that computers find intractable, ensure that these websites and messages are inaccessible to unwelcome third parties. Before making the selections, NIST considered not only the security of the algorithms’ underlying math, but also the best applications for them 暗号化は、安全なウェブサイトや電子メールなどの機密性の高い電子情報を保護するために数学を使用する。広く使用されている公開鍵暗号化システムは、コンピュータが解読できない数学の問題に依存しており、これらのウェブサイトやメッセージが望ましくないサードパーティにアクセスされないことを保証する。NISTは、選択を行う前に、アルゴリズムの基礎となる数学のセキュリティだけでなく、それらの最適な用途についても検討した。
The new standards are designed for two essential tasks for which encryption is typically used: general encryption, used to protect information exchanged across a public network; and digital signatures, used for identity authentication. NIST announced its selection of four algorithms — CRYSTALS-Kyber, CRYSTALS-Dilithium, Sphincs+ and FALCON — slated for standardization in 2022 and released draft versions of three of these standards in 2023. The fourth draft standard based on FALCON is planned for late 2024.   新しい標準は、暗号化が一般的に使用される2つの重要なタスク、すなわち、公開ネットワーク上でやり取りされる情報の保護に使用される「一般暗号化」と、身元認証に使用される「デジタル署名」のために設計されている。NISTは、2022年に標準化が予定されている4つのアルゴリズム、すなわち、CRYSTALS-Kyber、CRYSTALS-Dilithium、Sphincs+、FALCONの選定を発表し、2023年にはこれらの標準の3つのドラフト版を公開した。FALCONに基づく4つ目のドラフト標準は2024年後半に予定されている。 
While there have been no substantive changes made to the standards since the draft versions, NIST has changed the algorithms’ names to specify the versions that appear in the three finalized standards, which are:  ドラフト版以降、標準に実質的な変更は加えられていないが、NISTはアルゴリズムの名称を変更し、3つの最終標準に含まれるバージョンを特定している。
・Federal Information Processing Standard (FIPS) 203, intended as the primary standard for general encryption. Among its advantages are comparatively small encryption keys that two parties can exchange easily, as well as its speed of operation. The standard is based on the CRYSTALS-Kyber algorithm, which has been renamed ML-KEM, short for Module-Lattice-Based Key-Encapsulation Mechanism. 連邦情報処理規格(FIPS)203は、一般暗号化の主要標準として意図されている。その利点には、2つの当事者が容易に交換できる比較的小さな暗号化キーや、処理速度の速さなどが挙げられる。この標準は、CRYSTALS-Kyberアルゴリズムをベースとしているが、このアルゴリズムは、モジュール格子ベース鍵カプセル化メカニズム(Module-Lattice-Based Key-Encapsulation Mechanism)の略称であるML-KEMに名称変更されている。
・FIPS 204, intended as the primary standard for protecting digital signatures. The standard uses the CRYSTALS-Dilithium algorithm, which has been renamed ML-DSA, short for Module-Lattice-Based Digital Signature Algorithm. FIPS 204は、デジタル署名の保護を主な目的とする標準である。この標準では、CRYSTALS-Dilithiumアルゴリズムが使用されており、これはML-DSA(Module-Lattice-Based Digital Signature Algorithmの略)と改名されている。
・FIPS 205, also designed for digital signatures. The standard employs the Sphincs+ algorithm, which has been renamed SLH-DSA, short for Stateless Hash-Based Digital Signature Algorithm. The standard is based on a different math approach than ML-DSA, and it is intended as a backup method in case ML-DSA proves vulnerable. FIPS 205もまたデジタル署名用に設計された標準である。この標準では、Sphincs+アルゴリズムが使用されており、これはSLH-DSA(Stateless Hash-Based Digital Signature Algorithmの略)と改名されている。この標準は、ML-DSAとは異なる数学的アプローチに基づいており、ML-DSAに脆弱性が認められた場合のバックアップ手段として意図されている。
Similarly, when the draft FIPS 206 standard built around FALCON is released, the algorithm will be dubbed FN-DSA, short for FFT (fast-Fourier transform) over NTRU-Lattice-Based Digital Signature Algorithm.  同様に、FALCONをベースとしたFIPS 206標準のドラフトが発表された際には、このアルゴリズムは「FFT(高速フーリエ変換) over NTRU-Lattice-Based Digital Signature Algorithm」の略称である「FN-DSA」と呼ばれることになる。

 

 


FIPS 203 モジュール格子基盤・鍵カプセル化メカニズム標準

・2024.08.13 FIPS 203 Module-Lattice-Based Key-Encapsulation Mechanism Standard

FIPS 203 Module-Lattice-Based Key-Encapsulation Mechanism Standard FIPS 203 モジュール格子基盤・鍵カプセル化メカニズム標準
Abstract 概要
A key-encapsulation mechanism (KEM) is a set of algorithms that, under certain conditions, can be used by two parties to establish a shared secret key over a public channel. A shared secret key that is securely established using a KEM can then be used with symmetric-key cryptographic algorithms to perform basic tasks in secure communications, such as encryption and authentication. This standard specifies a key-encapsulation mechanism called ML-KEM. The security of ML-KEM is related to the computational difficulty of the Module Learning with Errors problem. At present, ML-KEM is believed to be secure, even against adversaries who possess a quantum computer. This standard specifies three parameter sets for ML-KEM. In order of increasing security strength and decreasing performance, these are ML-KEM-512, ML-KEM-768, and ML-KEM-1024. 鍵カプセル化メカニズム(KEM)は、特定の条件下で、2つの当事者が公開チャネル上で共有秘密鍵を確立するために使用できるアルゴリズムのセットである。KEMを使用して安全に確立された共有秘密鍵は、その後、暗号化や認証などの安全なコミュニケーションにおける基本的なタスクを実行するために、対称鍵暗号化アルゴリズムと併用することができる。本標準規格は、ML-KEMと呼ばれる鍵カプセル化メカニズムを規定する。ML-KEMの安全性は、モジュール学習におけるエラー問題の計算上の難易度に関連している。現在、量子コンピュータを所有する敵対者に対しても、ML-KEMは安全であると考えられている。この標準規格では、ML-KEM に対して3つのパラメータセットを規定している。セキュリティ強度が増加し、パフォーマンスが低下する順に、ML-KEM-512、ML-KEM-768、ML-KEM-1024である。

 

・[PDF] NIST.FIPS.203

20240814-84039

 

目次...

1 Introduction 1 序文
1.1 Purpose and Scope 1.1 目的と適用範囲
1.2 Context 1.2 背景
2 Terms, Acronyms, and Notation 2 用語、略語、表記
2.1 Terms and Definitions 2.1 用語と定義
2.2 Acronyms 2.2 略語
2.3 Mathematical Symbols 2.3 数学記号
2.4 Interpreting the Pseudocode 2.4 擬似コードの解釈
2.4.1 Data Types 2.4.1 データ型
2.4.2 Loop Syntax 2.4.2 ループ構文
2.4.3 Arithmetic With Arrays of Integers 2.4.3 整数の配列の演算
2.4.4 Representations of Algebraic Objects 2.4.4 代数オブジェクトの表現 オブジェクトの表現
2.4.5 Arithmetic With Polynomials and NTT Representations 2.4.5 多項式および NTT 表現を用いた算術演算
2.4.6 Matrices and Vectors 2.4.6 行列およびベクトル
2.4.7 Arithmetic With Matrices and Vectors 2.4.7 行列およびベクトルを用いた算術演算
2.4.8 Applying Algorithms to Arrays, Examples 2.4.8 アルゴリズムの配列への適用、例
3 Overview of the ML-KEM Scheme 3 ML-KEM スキームの概要
3.1 Key-Encapsulation Mechanisms 3.1 キーカプセル化メカニズム
3.2 The ML-KEM Scheme 3.2 ML-KEM スキーム
3.3 Requirements for ML-KEM Implementations 3.3 ML-KEM 実装の要件 4 補助アルゴリズム
4 Auxiliary Algorithms 4 補助アルゴリズム
4.1 Cryptographic Functions 4.1 暗号機能
4.2 General Algorithms 4.2 一般アルゴリズム
4.2.1 Conversion and Compression Algorithms 4.2.1 変換および圧縮アルゴリズム
4.2.2 Sampling Algorithms 4.2.2 サンプリングアルゴリズム
4.3 The Number-Theoretic Transform 4.3 数論変換
4.3.1 Multiplication in the NTT Domain 4.3.1 NTT ドメインにおける乗算
5 The K-PKE Component Scheme 5 K-PKE コンポーネントスキーム
5.1 K-PKE Key Generation 5.1 K-PKE 鍵生成
5.2 K-PKE Encryption 5.2 K-PKE 暗号化
5.3 K-PKE Decryption 5.3 K -PKE 復号
6 Main Internal Algorithms 6 主な内部アルゴリズム
6.1 Internal Key Generation 6.1 内部鍵生成
6.2 Internal Encapsulation 6.2 内部カプセル化
6.3 Internal Decapsulation 6.3 内部カプセル化解除
7 The ML-KEM Key-Encapsulation Mechanism 7 ML-KEM 鍵カプセル化メカニズム
7.1 ML-KEM Key Generation 7.1 ML-KEM 鍵生成
7.2 ML-KEM Encapsulation 7.2 ML-KEM カプセル化
7.3 ML-KEM Decapsulation 7.3 ML-KEM カプセル化解除
8 Parameter Sets 8 パラメータセット
References 参考文献
Appendix A — Precomputed Values for the NTT 附属書 A — NTT 用の事前計算値
Appendix B — SampleNTT Loop Bounds 附属書 B — サンプル NTT ループ境界値のサンプル
Appendix C — Differences From the CRYSTALS-KYBER Submission 附属書 C — CRYSTALS-KYBER 提出書類との相違点

 

 


 

FIPS 204 モジュール格子基盤・デジタル署名標準

・2024.08.13 FIPS 204 Module-Lattice-Based Digital Signature Standard

FIPS 204 Module-Lattice-Based Digital Signature Standard FIPS 204 モジュール格子基盤・デジタル署名標準
Abstract 概要
Digital signatures are used to detect unauthorized modifications to data and to authenticate the identity of the signatory. In addition, the recipient of signed data can use a digital signature as evidence in demonstrating to a third party that the signature was, in fact, generated by the claimed signatory. This is known as non-repudiation since the signatory cannot easily repudiate the signature at a later time. This standard specifies ML-DSA, a set of algorithms that can be used to generate and verify digital signatures. ML-DSA is believed to be secure, even against adversaries in possession of a large-scale quantum computer. デジタル署名は、データの不正な変更を検知し、署名者の身元を認証するために使用される。さらに、署名されたデータの取得者は、デジタル署名を証拠として使用し、その署名が実際に主張された署名者によって生成されたことをサードパーティに証明することができる。これは、署名者が後になって署名を簡単に否認できないことから、否認防止として知られている。この標準では、デジタル署名の生成と検証に使用できるアルゴリズムのセットであるML-DSAを規定している。ML-DSAは、大規模な量子コンピュータを所有する敵対者に対しても安全であると考えられている。

 

・[PDF] NIST.FIPS.204

20240814-84045

 

目次...

1 Introduction 1 序文
1.1 Purpose and Scope 1.1 目的および適用範囲
1.2 Context 1.2 背景
2 Glossary of Terms, Acronyms, and Symbols 2 用語、略語、および記号の一覧
2.1 Terms and Definitions 2.1 用語と定義
2.2 Acronyms 2.2 略語
2.3 Mathematical Symbols 2.3 数学記号
2.4 Notation 2.4 表記
2.4.1 Rings 2.4.1 環
2.4.2 Vectors and Matrices 2.4.2 ベクトルと行列
2.5 NTT Representation 2.5 NTT 表記
3 Overview of the ML-DSA Signature Scheme 3 ML-DSA署名スキームの概要
3.1 Security Properties 3.1 セキュリティ特性
3.2 Computational Assumptions 3.2 計算上の前提条件
3.3 ML-DSA Construction 3.3 ML-DSAの構築
3.4 Hedged and Deterministic Signing 3.4 ヘッジ付き決定性署名
3.5 Use of Digital Signatures 3.5 デジタル署名の使用
3.6 Additional Requirements 3.6 追加要件
3.6.1 Randomness Generation 3.6.1 ランダム性の生成
3.6.2 Public-Key and Signature Length Checks 3.6.2 公開鍵と署名の長さの確認
3.6.3 Intermediate Values 3.6.3 中間値
3.6.4 No Floating-Point Arithmetic 3.6.4 浮動小数点演算の禁止
3.7 Use of Symmetric Cryptography 3.7 対称暗号の使用
4 Parameter Sets 4 パラメータセット
5 External Functions 5 外部機能
5.1 ML-DSA Key Generation 5.1 ML-DSA 鍵生成
5.2 ML-DSA Signing 5.2 ML-DSA 署名
5.3 ML-DSA Verifying 5.3 ML-DSA 検証
5.4 Pre-Hash ML-DSA18 5.4 Pre-Hash ML-DSA18
5.4.1 HashML-DSA Signing and Verifying 5.4.1 HashML-DSA 署名および検証
6 Internal Functions 6 内部機能
6.1 ML-DSA Key Generation (Internal) 6.1 ML-DSA 鍵生成(内部
6.2 ML-DSA Signing (Internal) 6.2 ML-DSA 署名(内部
6.3 ML-DSA Verifying (Internal) 6.3 ML-DSA 検証( 内部)
7 Auxiliary Functions 7 補助機能
7.1 Conversion Between Data Types 7.1 データタイプの変換
7.2 Encodings of ML-DSA Keys and Signatures 7.2 ML-DSA 鍵および署名のエンコード
7.3 Pseudorandom Sampling 7.3 擬似ランダムサンプリング
7.4 High-Order and Low-Order Bits and Hints 7.4 高次および低次ビットとヒント
7.5 NTT and NTT−1 7.5 NTT および NTT-1
7.6 Arithmetic Under NTT 7.6 NTT に基づく算術演算
References 参考文献
Appendix A — Montgomery Multiplication 附属書 A — モンゴメリ乗算
Appendix B — Zetas Array 附属書 B — ゼータ配列
Appendix C — Loop Bounds 附属書 C — ループ境界
Appendix D — Differences from the CRYSTALS-DILITHIUM Submission 附属書 D — CRYSTALS-DILITHIUM 提出物との相違点
D.1 Differences Between Version 3.1 and the Round 3 Version of CRYSTALS-DILITHIUM D.1 CRYSTALS-DILITHIUM のバージョン 3.1 とラウンド 3 との相違点 ALS-DILITHIUM
D.2 Differences Between Version 3.1 of CRYSTALS-DILITHIUM and FIPS 204 Initial Public Draft D.2 CRYSTALS-DILITHIUM バージョン 3.1 と FIPS 204 初期公開ドラフトとの相違点
D.3 Changes From FIPS 204 Initial Public Draf D.3 FIPS 204 初期公開ドラフトからの変更点

 

 

 


 

FIPS 205 ステートレスバッシュ基盤・デジタル署名標準

・2024.08.31 FIPS 205 Stateless Hash-Based Digital Signature Standard

FIPS 205 Stateless Hash-Based Digital Signature Standard FIPS 205 ステートレスバッシュ基盤・デジタル署名標準
Abstract 概要
This standard specifies the stateless hash-based digital signature algorithm (SLH-DSA). Digital signatures are used to detect unauthorized modifications to data and to authenticate the identity of the signatory. In addition, the recipient of signed data can use a digital signature as evidence in demonstrating to a third party that the signature was, in fact, generated by the claimed signatory. This is known as non-repudiation since the signatory cannot easily repudiate the signature at a later time. SLH-DSA is based on SPHINCS+, which was selected for standardization as part of the NIST Post-Quantum Cryptography Standardization process. 本標準は、ステートレスバッシュ基盤・デジタル署名アルゴリズム(SLH-DSA)を規定する。デジタル署名は、データの不正な変更を検知し、署名者の身元を認証するために使用される。さらに、署名されたデータの取得者は、デジタル署名を証拠として使用し、その署名が実際に主張された署名者によって生成されたことをサードパーティに証明することができる。これは、署名者が後になって署名を簡単に否認できないことから、否認防止として知られている。SLH-DSAは、NISTの耐量子暗号標準化プロセスの一部として標準化が選定されたSPHINCS+をベースとしている。

 

・[PDF] NIST.FIPS.205

20240814-84053

 

目次...

1 Introduction 1 序文
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Context 1.2 背景
2 Glossary of Terms, Acronyms, and Symbols 2 用語、略語、および記号の一覧
2.1 Terms and Definitions 2.1 用語と定義
2.2 Acronyms 2.2 略語
2.3 Mathematical Symbols 2.3 数学記号
3 Overview of the SLH-DSA Signature Scheme 3 SLH-DSA署名スキームの概要
3.1 Additional Requirements 3.1 追加要件
3.2 Implementation Considerations 3.2 実装に関する考慮事項
4 Functions and Addressing 4 機能とアドレス指定
4.1 Hash Functions and Pseudorandom Functions 4.1 ハッシュ関数と擬似ランダム関数 機能
4.2 Addresses 4.2 アドレス
4.3 Member Functions 4.3 メンバー機能
4.4 Arrays, Byte Strings, and Integers 4.4 配列、バイト文字列、および整数
5 Winternitz One-Time Signature Plus Scheme 5 Winternitz One-Time Signature Plus スキーム
5.1 WOTS+ Public-Key Generation 5.1 WOTS+ 公開鍵生成
5.2 WOTS+ Signature Generation 5.2 WOTS+ 署名生成
5.3 Computing a WOTS+ Public Key From a Signature 5.3 署名から WOTS+ 公開鍵を計算する
6 eXtended Merkle Signature Scheme (XMSS) 6 拡張メルクル署名スキーム (XMSS) 
6.1 Generating a Merkle Hash Tree 6.1 メルクルハッシュツリーの生成
6.2 Generating an XMSS Signature 6.2 XMSS署名の生成
6.3 Computing an XMSS Public Key From a Signature 6.3 署名からXMSS公開鍵を計算する
7 The SLH-DSA Hypertree 7 SLH-DSAハイパーツリー
7.1 Hypertree Signature Generation 7.1 ハイパーツリー署名の生成
7.2 Hypertree Signature Verification 7.2 ハイパーツリー署名の検証
8 Forest of Random Subsets (FORS) 8 ランダムサブセットのフォレスト(FORS)
8.1 Generating FORS Secret Values 8.1 FORS秘密値の生成 秘密値の生成
8.2 Generating a Merkle Hash Tree 8.2 メルクルハッシュツリーの生成
8.3 Generating a FORS Signature 8.3 FORS署名の生成
8.4 Computing a FORS Public Key From a Signature 8.4 署名からFORS公開鍵の計算
9 SLH-DSA Internal Functions 9 SLH-DSA内部機能
9.1 SLH-DSA Key Generation 9.1 SLH-DSA鍵生成
9.2 SLH-DSA Signature Generation 9.2 SLH-DSA署名生成
9.3 SLH-DSA Signature Verification 9.3 SLH-DSA署名検証
10 SLH-DSA External Functions 10 SLH-D SA の外部機能
10.1 SLH-DSA Key Generation 10.1 SLH-DSA 鍵生成
10.2 SLH-DSA Signature Generation 10.2 SLH-DSA 署名生成
10.2.1 Pure SLH-DSA Signature Generation 10.2.1 純粋な SLH-DSA 署名生成
10.2.2 HashSLH-DSA Signature Generation 10.2.2 HashSLH-DSA 署名生成
10.3 SLH-DSA Signature Verification 10.3 SLH-DSA 署名検証
11 Parameter Sets 11 パラメータセット
11.1 SLH-DSA Using SHAKE 11.1 SLH-DSA における SHAKE
11.2 SLH-DSA Using SHA2 11.2 SLH-DSA におけるSHA2
11.2.1 SLH-DSA Using SHA2 for Security Category 1 11.2.1 セキュリティカテゴリー1用のSHA2を使用するSLH-DSA
11.2.2 SLH-DSA Using SHA2 for Security Categories 3 and 5 11.2.2 セキュリティカテゴリー3および5用のSHA2を使用するSLH-DSA
References 参考文献
Appendix A — Differences From the SPHINCS+ Submission 附属書A — SPHINCS+提出物との相違点
A.1 Changes From FIPS 205 Initial Public Draft A.1 FIPS 205の最初の公開ドラフトからの変更点

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.25 米国 NIST パブコメ FIPS 203 モジュール・ラティス・ベースの鍵カプセル化メカニズム標準, FIPS 204 モジュール-格子ベース電子署名標準, FIPS 205 ステートレス・ハッシュベース・デジタル署名標準

 

 

| | Comments (0)

2024.08.06

米国 FBI サイバーアクションチームの紹介 (2024.07.23)

こんにちは、丸山満彦です。

FBIが、サイバーアクションチーム (CAT) についての説明をしていますね...

サイバーアクションチーム (CAT)は、約65名からなるチームで、特別捜査官、コンピュータ科学者、情報分析官、FBIの各支部と本部の情報技術専門家を活用した捜査を迅速に進めるためのフライ・チーム。

重要なサービスに対する大規模なサイバー脅威や攻撃に対応するため、数時間以内に世界中に展開することができるということのようです。

層が厚いですよね...それでも、日本でも参考になる部分があると思います...

 

Federal Breau of Investigation; FBI

1_20240805220401

・2024.07.23 Meet the Cyber Action Team - Rapid response fly team can deploy across the globe within hours to respond to major cyber threats

 

Meet the Cyber Action Team サイバーアクションチームの紹介
Rapid response fly team can deploy across the globe within hours to respond to major cyber threats 大規模なサイバー脅威に対応するため、数時間以内に世界中に展開できる迅速な対応フライチーム
Across the globe, malicious cyber activity threatens public safety and national and economic security. Criminals target organizations such as schools, hospitals, power and utility companies, and other critical infrastructure entities that serve communities. 世界中で、悪質なサイバー活動が公共の安全と国家・経済の安全を脅かしている。犯罪者は、学校、病院、電力会社、公益事業会社など、地域社会に貢献する重要なインフラ事業体を標的としている。
As the lead federal agency for investigating cyberattacks and intrusions, the FBI developed a specialty group—the Cyber Action Team, or CAT—that can deploy across the globe within hours to respond to major cyber threats and attacks against these critical services. サイバー攻撃や侵入を捜査する連邦政府の主要機関として、FBIはサイバーアクションチーム(CAT)という専門グループを開発した。CATは、これらの重要なサービスに対する大規模なサイバー脅威や攻撃に対応するため、数時間以内に世界中に展開することができる。
Composed of about 65 members, CAT is an investigative rapid response fly team that leverages special agents, computer scientists, intelligence analysts, and information technology specialists from across FBI field offices and Headquarters. 約65人のメンバーで構成されるCATは、特別捜査官、コンピュータ科学者、情報分析官、FBIの各支部と本部の情報技術専門家を活用した捜査迅速対応フライチームである。
"We respond onsite to victims who may include national government entities, private companies, or even sometimes foreign partner networks that have been compromised by an adversary," said Scott Ledford, head of the Cyber Action Team and the Advanced Digital Forensics Team. "Our job is to help conduct the investigation—we collect digital evidence and locate, identify, and reverse engineer malware. We also help the victim understand when they were compromised and how, writing a timeline and a narrative of that intrusion with the ultimate goal of identifying who is responsible, attributing that attack. 「サイバー・アクション・チームとアドバンスド・デジタル・フォレンジック・チームの責任者であるスコットレドフォードは、次のように述べた。「私たちは、敵対者によって侵害された国家事業体や民間企業、時には外国のパートナー・ネットワークなどの被害者に現場で対応する。「私たちの仕事は、デジタル証拠を収集し、マルウェアの場所を特定し、識別し、リバースエンジニアリングすることである。私たちはまた、被害者がいつ、どのように侵入されたかを理解する手助けをし、その侵入のタイムラインと物語を書く。」
CAT was established in 2005 in response to an increase in the number and complexity of computer intrusion investigations in FBI field offices. At the time, not all field offices had personnel with the cyber expertise necessary to properly respond to and investigate sophisticated computer intrusions. CATは2005年、FBI支局におけるコンピュータ侵入捜査の増加と複雑化に対応して設立された。当時、すべての支局に、高度なコンピュータ侵入に適切に対応し、捜査するのに必要なサイバー専門知識を持つ職員がいたわけではなかった。
"There was this transition that was taking place between what investigations the FBI was responsible for and the types of crimes that we were starting to see," explained Ledford. "Cyber was such a growing threat at the time, and so it became necessary that some field offices would reach out and say, ‘Hey, do you know of any cyber experts who can help me work through an investigation?" レドフォードは次のように説明した。「FBIが担当する捜査と、私たちが目にし始めた犯罪の種類との間に、このような移行が起こっていた。当時、サイバーは脅威を増していたため、いくつかの支局が、"捜査に協力してくれるサイバー専門家を知らないか?"と連絡を取ることが必要になった。」
As the team formalized its processes and expanded, in 2016, the Presidential Policy Directive 41, "United States Cyber Incident Coordination" was signed, setting forth principles for the federal government’s response to cyber incidents involving government or private sector entities. The FBI was appointed the lead federal agency for cyber threat response activities. チームがそのプロセスを正式化し、拡大するにつれて、2016年には大統領政策指令41号「合衆国サイバーインシデント・コーディネーション」が署名され、政府機関や民間企業が関与するサイバー事件に対する連邦政府の対応原則が示された。FBIは、サイバー脅威への対応活動を主導する連邦機関に任命された。
"From an investigative standpoint, the FBI is unique. We're one of the few agencies in the U.S. government that has both law enforcement and counterintelligence authorities," said Ledford. "And those authorities, and the American people's trust in us, help us to deliver a unique blend of national security and criminal investigative skills, expertise, and resources to implement that blended response and help facilitate an investigation, regardless of whether it leads us overseas or to a courtroom here in the U.S." レドフォードは次のように述べた。「捜査の観点から見ると、FBIはユニークだ。我々は、法執行と防諜の両権限を持つ、米国政府でも数少ない機関のひとつだ。そして、これらの権限と米国民の信頼が、国家安全保障と犯罪捜査のスキル、専門知識、リソースを独自に融合させ、海外であろうと米国内の法廷であろうと、その融合した対応を実施し、捜査の円滑化を支援するのに役立っている」。
The bulk of CAT’s cases usually involve the FBI identifying an organization with a particular intrusion that’s either so complex or large-scale that the local field office requests additional assistance. CATが担当するケースの大半は、FBIが、現地支局が追加支援を要請するほど複雑または大規模な、特定の侵入を行った組織を特定することにある。
In one case, CAT deployed to a health care company that a separate intrusion investigation had identified as compromised. CAT’s response helped lead to the identification of several compromised systems and accounts on their network. While working alongside the company, CAT disrupted the threat—and prevented further exploitation across their network. あるケースでは、CATは、別の侵入調査によって侵害が確認された医療関連企業に派遣された。CATの対応により、同社のネットワーク上で侵害された複数のシステムとアカウントが特定された。CATは、同社と協力しながら、脅威を阻止し、同社のネットワーク全体でさらなる悪用を防止した。
CAT also receives requests from FBI legal attachés, the State Department, the National Security Council, and the White House to assist other countries when they face cyberattacks. CATはまた、FBIの法務担当官、国務省、国家安全保障会議、ホワイトハウスからも、他国がサイバー攻撃に直面した際の支援要請を受けている。
"It could be a country that doesn't have the resources or the expertise that the U.S. government has, and they've reached out and asked for help," said Ledford. “There can be a NATO or a non-NATO ally country that says, 'We've been hit hard by this adversary, and we don't have the localized personnel, we don't have the resources, we don't have the expertise to respond to this. Can you help us with it?" レドフォードは次のように述べた。「米国政府が持っているような資源や専門知識を持たない国が、手を差し伸べて助けを求めているのだ。NATOやNATO以外の同盟国が、我々はこの敵対勢力から大きな打撃を受けており、これに対応するための現地要員も資源も専門知識もないと言うこともある。私たちを助けてくれないか?」
In another case, CAT deployed overseas to provide incident response support to a NATO ally that had been targeted by a destructive cyberattack. CAT responded and worked together with U.S. partners to determine the initial intrusion vector, identify other networks that were impacted, collect and analyze digital evidence, and ultimately attribute the intrusion to a foreign government. The NATO ally severed diplomatic ties with the foreign government, closed the foreign government’s in-country embassy, and evicted them from the country. 別のケースでは、CATが海外に派遣され、破壊的なサイバー攻撃の標的となったNATOの同盟国にインシデント対応支援を提供した。CATはこれに対応し、米国のパートナーと協力して、最初の侵入経路の特定、影響を受けた他のネットワークの特定、デジタル証拠の収集と分析を行い、最終的に侵入を外国政府に帰属させた。NATOの同盟国は外国政府との外交関係を断絶し、外国政府の国内大使館を閉鎖し、外国政府を国内から追い出した。
"We have some talented people, and they work hard every single day," said Ledford. "It's an honor to sit alongside them." レドフォードは、「優秀なスタッフがいて、彼らは毎日懸命に働いている。「彼らと一緒に仕事ができるのは光栄なことだ」と、述べた。
Key Tactic: Strong Communication Skills 重要な戦術:強力なコミュニケーション能力
In addition to excellent technical skills, CAT members are closely vetted for strong communication skills. Ledford explained that part of the CAT applicant selection process entails a multi-day live technical exercise that's designed and curated by CAT: 優れた技術スキルに加えて、CATのメンバーは、強力なコミュニケーション・スキルについても綿密に審査される。レドフォードは、CATの応募者選考プロセスの一環として、CATが設計・監修する数日間のライブ技術演習が行われると説明した:
"We design a network environment. We may mimic an industry, for example, an electric utility. And then we compromise that environment, and we litter it with artifacts, digital evidence, and malware. Then we task applicants to investigate this cyber incident and present their findings. 「私たちはネットワーク環境を設計する。私たちはネットワーク環境を設計する。例えば、電力会社など、ある業界を模倣することもある。そして、その環境を侵害し、人工物、デジタル証拠、マルウェアを散乱させる。そして、応募者にこのサイバー事件を調査し、調査結果を発表するよう課す。
At the end of the five days, applicants present their findings, and we identify who has the technical capability and expertise to find digital evidence of a crime hidden within this mountain of data that we've thrown at them. 5日間が終了した時点で、申請者は調査結果を発表し、私たちが投げかけたデータの山の中に隠された犯罪のデジタル証拠を見つける技術的能力と専門知識を持つ者を特定する。
If the applicant passes that phase of that selection exercise, we invite them to participate in a panel presentation. Our CAT members will play the roles of the victims we’re trying to help and their own resource teams, for example, a company CEO, a U.S. attorney, a third-party legal counsel, or IT administrator. その選考を通過した申請者には、パネル・プレゼンテーションに参加してもらう。CATのメンバーは、私たちが助けようとしている被害者役と、それぞれのリソース・チーム役、たとえば会社のCEO、米国弁護士、第三者の法律顧問、IT管理者などを演じる。
You're essentially giving us the narrative of the cyber intrusion. You're telling us a story about what happened. While some of the panel questions will be very technical in nature, some will be more basic questions—the applicant will need to be able to explain to a CEO, for example, who might not have technical expertise, what the problem was and how to fix it. We're looking to see whether you can take something that's exceptionally technically complex and explain it in such a way that everyone in the room understands it. あなたは本質的に、サイバー侵入の物語を我々に伝えることになる。何が起こったかについてのストーリーを語っているのだ。パネルの質問の中には、本質的に非常に技術的なものもあるが、より基本的な質問もある。申請者は、例えば技術的な専門知識を持たないCEOに対して、何が問題で、どのように解決するかを説明できる必要がある。技術的に非常に複雑なことを、その場にいる全員が理解できるように説明できるかどうかを見ているのだ。
We're also looking for interpersonal ability. For example, in the case of a company CEO, at that moment during a cyberattack, they may be going through one of the most stressful times of their company's existence—there may be data leaked that can make or break that company's future and their profits, as well as their ability to employ people and their ability to deliver services to their customers. You need the communications skills to interact with them during a difficult time and gain trust." また、対人能力も見ている。例えば、企業のCEOの場合、サイバー攻撃を受けているその瞬間は、会社の存続に関わる最もストレスの多い時かもしれない。会社の将来や利益を左右しかねないデータが流出し、従業員を雇用する能力や顧客にサービスを提供する能力も失われるかもしれない。困難な時期に彼らと対話し、信頼を得るためのコミュニケーション・スキルが必要なのだ。"
Advanced Digital Forensics Team アドバンスト・デジタル・フォレンジック・チーム
The Advanced Digital Forensics (ADF) Team is a specialized team of malware reverse engineers and intrusion analysts that works with CAT. The ADF Team assists field offices when the level of malware or intrusion analysis required during an investigation exceeds the field office’s existing capabilities. アドバンスト・デジタル・フォレンジック(ADF)チームは、マルウェア・リバース・エンジニアと侵入アナリストの専門チームで、CATと連携している。ADF チームは、調査中に必要とされるマルウェアや侵入の分析レベルが、現場事務所の既存の能力を超える場合に、現場事務所を支援する。
"When CAT deploys onsite, we don’t want to overwhelm the victims with FBI personnel," said Ledford. "But there's so many more people involved in the response during that investigation than the folks represented onsite. Our ADF Team is often working on the case remotely in real-time. They're seeing the data we collected in real-time. We're pulling that into our deployment cluster. We're ingesting that data and making it available. And then everyone is jumping in and looking at the data and trying to answer those investigative questions and figure out what happened and connecting the dots." レドフォードは次のように述べた。「CATが現場に配備される際、FBIの人員で被害者を圧倒したくない。しかし、捜査中の対応には、現場の代表者よりも多くの人々が関わっている。私たちのADFチームは、多くの場合、リアルタイムでリモートで事件に取り組んでいる。彼らは我々が収集したデータをリアルタイムで見ている。我々はそのデータをデプロイメント・クラスターに取り込んでいる。そのデータを取り込み、利用可能にする。そして、誰もが飛び込んでデータを見て、捜査上の疑問に答え、何が起こったのかを突き止め、点と点を結ぼうとしている」。
The ADF Team also assists in analyzing data from ongoing cases. Though these situations may not always be in tandem with a CAT deployment, the field offices and others rely on the ADF Team’s expertise to thoroughly analyze data or break down malware to help the field office understand what the data consists of, what it means, and how they can potentially turn it into an investigative lead to help advance a case. ADFチームは、現在進行中の事件のデータ分析も支援している。このような状況は、必ずしもCATの展開と連動しているとは限らないが、現場事務所などがデータを徹底的に分析したり、マルウェアを分解したりして、現場事務所がデータの構成や意味を理解し、それを捜査の手がかりに変えて事件を進展させる可能性を理解できるようにするために、ADFチームの専門知識を頼りにしている。
Ledford explained, "ADF operates in the shadow sometimes, but they're as much a part of the FBI's ability and the FBI Cyber Division's ability to respond to cyber adversaries and provide services to victims of computer intrusions, even though they're not always right there onsite with the victim." レドフォードは、次のように説明した。「ADFは、時には影で活動することもあるが、サイバー敵対者に対応し、コンピュータ侵入の被害者にサービスを提供するFBIの能力、FBIサイバー課の能力の一部である。」

 

 

| | Comments (0)

2024.07.05

金融庁 「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」の開催

こんにちは、丸山満彦です。

金融庁が、「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」を開催していくようですね...

松本さんや、宇根さんが専門家としては参加していますね。。。銀行からは峰さん等も参加されていますね...

参加しているサイバー犯罪に関する白浜シンポジウムの初日の講演で、猪俣先生が耐量子暗号への移行は時間がかかるので、準備は進めておく必要があるという話をしていました。

欧米では議論は進んでいるのですが、日本でも、金融庁で議論がすすむというのは、よいことですね...

第1回の会合は2024.07.18のようです...

 

金融庁

・2024.07.04「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」の開催について

・・[PDF] 預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」メンバー等名簿

 

1_20240705104801

 

 

| | Comments (0)

2024.06.21

OECD 政策立案者のための暗号技術の主要概念と現在の技術動向

こんにちは、丸山満彦です。

政策立案者も暗号技術についての理解は必要ですよね...特に安全保障系の人には...

OECDから、そんな政策立案者のための暗号技術の主要概念と現在の技術動向という報告書が公表されていますね...

暗号とは、、、から始まり、経営者も読んだ方が良い内容かもです...

 

OECD

・2024.06.20 Key concepts and current technical trends in cryptography for policy makers

 

Key concepts and current technical trends in cryptography for policy makers 政策立案者のための暗号技術の主要概念と現在の技術動向
This report introduces cryptography to policy makers and includes key concepts such as symmetric and asymmetric cryptography, public key infrastructure, and end-to-end encryption. It discusses advancements in homomorphic encryption, which allows computations to be performed on encrypted data without decrypting it first and accessing the secret key. Often described as “the holy grail of cryptography”, homomorphic encryption remains a promising area of research rather than a fully developed technology. The report also addresses quantum technologies, which could pose a threat to the foundations of public key cryptography, potentially undermining trust in the digital ecosystem. While current quantum computers are far from causing such disruptions, a transition to quantum-resistant (or post-quantum) cryptography is essential today to address their future impact. Additionally, quantum cryptography shows significant promise for secure communications but is not yet suitable for sensitive applications. 本レポートでは、政策立案者向けに暗号技術を紹介し、対称暗号、非対称暗号、公開鍵基盤、エンド・ツー・エンド暗号などの主要概念を盛り込んだ。また、暗号化されたデータを復号し、秘密鍵にアクセスすることなく計算を行うことを可能にする準同型暗号の進歩についても触れている。準同型暗号は、しばしば「暗号技術の聖杯」と評されるが、完全に開発された技術ではなく、依然として有望な研究分野である。報告書はまた、公開鍵暗号の基盤に脅威をもたらし、デジタル・エコシステムの信頼を損なう可能性のある量子技術も取り上げている。現在の量子コンピュータはそのような破壊を引き起こすには程遠いが、将来的な影響に対処するためには、耐量子(またはポスト量子)暗号への移行が今日不可欠である。さらに、量子暗号は安全なコミュニケーションに大きな可能性を示しているが、機密性の高いアプリケーションにはまだ適していない。

 

・[PDF]

20240621-64744

 

目次...

Foreword まえがき
Executive summary エグゼクティブサマリー
1 Introduction 1 序文
Fostering trust without jeopardising public safety 公共の安全を損なうことなく信頼を醸成する
A brief overview of the “crypto wars” 暗号戦争」の概要
2 What is cryptography? 2 暗号とは何か?
Symmetric and asymmetric cryptography are the two main cryptosystems 対称暗号と非対称暗号が2つの主要な暗号システムである
Cryptography is a vital foundation of the digital world 暗号はデジタル世界の重要な基盤である
End-to-end encryption エンド・ツー・エンドの暗号化
Breaking cryptography 暗号を破る
3 Key trends in cryptography: towards future disruptions? 3 暗号技術の主なトレンド:将来の破壊に向けて?
Homomorphic Encryption: the “Holy Grail” of cryptography? 準同型暗号:暗号の「聖杯」か?
Quantum information technologies: a disruptive innovation that presents both opportunities and dangers 量子情報技術:チャンスと危険の両方をもたらす破壊的イノベーション
Technical and other responses to the law enforcement challenge: a trend towards more targeted approaches? 法執行の課題に対する技術的およびその他の対応:より的を絞ったアプローチへの傾向?
4 Conclusion 4 まとめ
References 参考文献
Notes 備考

 

エグゼクティブサマリー

Executive summary  エグゼクティブサマリー
This report provides a basic introduction to cryptography for policy makers, including key concepts such as symmetric and asymmetric cryptography, public key infrastructure, end-to-end encryption, cryptanalysis, etc. The bulk of the report is a discussion of disruptive developments in homomorphic encryption and quantum-related cryptographic research. The following key points emerge from the research.  本レポートでは、政策立案者向けに、対称・非対称暗号、公開鍵基盤、エンド・ツー・エンド暗号、暗号解析などの主要概念を含む暗号の基本的な入門書を提供する。本レポートの大部分は、準同型暗号と量子関連の暗号研究における破壊的な発展についての議論である。研究からは以下の重要なポイントが浮かび上がってくる。
Cryptography is a fundamental digital security technology at the core of digital trust. Although most people rarely notice its use and barely understand how it works, it is the technical building block supporting user trust in their devices, software, and communications for personal, commercial, legal, business, governmental and other purposes. Cryptography supports the confidentiality and integrity of data in communication (in transit) and in storage (at rest). Digital signatures provide authenticity of information and prevent an involved party from denying its responsibility related to that information, such as authoring or sending it.   暗号は、デジタルの信頼の中核をなす基本的なデジタル・セキュリティ技術である。ほとんどの人はその使用にほとんど気づかず、その仕組みもほとんど理解していないが、個人、商業、法律、ビジネス、政府、その他の目的において、デバイス、ソフトウェア、コミュニケーションに対するユーザーの信頼を支える技術的構成要素である。暗号は、コミュニケーション(輸送中)やストレージ(保管中)におけるデータの機密性と完全性をサポートする。デジタル署名は情報の認可を提供し、関係者がその情報の作成者や送信者など、その情報に関する責任を否定することを防ぐ。 
The implementation of any technology, cryptography included, can introduce weaknesses and technological developments such as homomorphic cryptography and quantum information technologies are creating new opportunities and challenges for cryptography.    暗号を含むあらゆる技術の実装には弱点があり、同型暗号や量子情報技術のような技術開発は、暗号に新たな機会と課題を生み出している。  
Homomorphic encryption is an innovative cryptographic method that allows certain computations to be performed on encrypted data without the need to decrypt it first, and without requiring access to the secret key. Once mature, it could allow processing of financial, medical, location, and other confidential data without revealing their content or affecting privacy. Such data processing could take place in untrusted environments like public cloud infrastructures, reducing concerns such as data localisation and data breaches.   準同型暗号は、暗号化されたデータに対して、最初に復号することなく、また秘密鍵にアクセスすることなく特定の計算を行うことを可能にする革新的な暗号手法である。これが成熟すれば、金融、医療、位置情報、その他の機密データを、その内容を明らかにすることなく、プライバシーに影響を与えることなく処理できるようになる。このようなデータ処理は、パブリック・クラウド・インフラストラクチャーのような信頼されていない環境で行われる可能性があり、データのローカライズやデータ漏洩などの懸念を軽減することができる。 
However, fully homomorphic encryption (FHE) is still just a promising area of research rather than a mature disruptive technology. It is often described as “the holy grail of cryptography”. Homomorphic encryption is available today, but only with algorithms that have significant performance, correctness, and usability limitations and weaknesses, restricting their potential use to niche applications. However, significant research and standardisation efforts to achieve FHE are underway and, according to some experts, today this technology is perhaps where machine learning was ten years ago.   しかし、準同型暗号(FHE)は成熟した破壊的技術というよりは、まだ有望な研究分野に過ぎない。FHEはしばしば「暗号技術の聖杯」と表現される。準同型暗号は今日利用可能だが、性能、正しさ、使いやすさに大きな制限と弱点を持つアルゴリズムに限られており、潜在的な利用はニッチなアプリケーションに限られている。しかし、FHEを実現するための多大な研究と標準化の努力が進められており、一部の専門家によれば、今日、この技術はおそらく10年前の機械学習の位置にある。 
Quantum technologies, which leverage physical properties of particles at the subatomic level, have the potential to threaten the foundations of public key cryptography and undermine our economies’ digital trust. In theory, a mature quantum computer would multiply processing power and speed by several orders of magnitude, allowing it to solve some of the most complex challenges of our time, for example in genetic, materials and climate sciences. However, a mature quantum computer could also easily break public key cryptography by solving the mathematical problems at its core that currently guarantee its robustness. This would have immense consequences because the vulnerability of these cryptosystems to a quantum attack would lead to the vulnerability of all security protocols that derive security from public key cryptography, and of any product or security system deriving security from these protocols. In brief, this would break the security of most, if not all, encrypted data in storage and in transit.   素粒子レベルの物理的特性を活用する量子技術は、公開鍵暗号の基盤を脅かし、経済のデジタル的信頼を損なう可能性を秘めている。理論的には、成熟した量子コンピューターは処理能力と速度を数桁向上させ、遺伝子科学、材料科学、気候科学など、現代における最も複雑な課題の解決を可能にする。しかし、成熟した量子コンピューターは、現在その堅牢性を保証している核となる数学的問題を解くことで、公開鍵暗号を簡単に破ることもできる。なぜなら、量子攻撃に対するこれらの暗号システムの脆弱性は、公開鍵暗号から安全性を得ているすべてのセキュリティ・プロトコルや、これらのプロトコルから安全性を得ているあらゆる製品やセキュリティ・システムの脆弱性につながるからである。簡単に言えば、暗号化されたデータの保存中や転送中のセキュリティが、すべてではないにせよ、ほとんど壊れてしまうということだ。 
The race to develop more powerful quantum computers is accelerating, but current quantum computers are still several orders of magnitude away from threatening current cryptographic algorithms. Significant public and private research investments in OECD countries and beyond are boosting quantum computing research. However, design and engineering challenges are extremely significant and overcoming them in a short timeframe would require a concerted research programme of an Apollo or Manhattan project’s scale. That makes estimating a realistic timeframe for the development of a quantum computer capable of breaking current cryptography very difficult.  より強力な量子コンピュータの開発競争は加速しているが、現在の量子コンピュータが現在の暗号アルゴリズムを脅かすには、まだ数桁遠い。OECD諸国をはじめとする国々では、官民による多額の研究投資が量子コンピュータ研究を後押ししている。しかし、設計や工学的な課題は非常に大きく、短期間で克服するには、アポロ計画やマンハッタン計画のような規模の共同研究プログラムが必要となる。そのため、現在の暗号を破ることのできる量子コンピューターの開発期間を現実的に見積もることは非常に困難である。
Nevertheless, tomorrow’s quantum computing impact on cryptography must be addressed today. There is evidence that some countries have already taken an “intercept and store now, decrypt later” approach, collecting high-value encrypted data today with the expectation to decrypt it later once a quantum computer is available to them (a “retroactive attack”). At that time, stakeholders will face a rapid collapse of their cryptographic architecture and will have little time to react. Long-term confidentiality protection is essential for the most sensitive encrypted data − from genetic, biometric, financial and other sensitive personal data to state secrets, long-term business development data and negotiation information. It is also critical for high-value, root-level public keys that are intended to have long operational lifetimes.  とはいえ、量子コンピューターが暗号技術に与える明日の影響については、今日中に対処しなければならない。一部の国はすでに「今は傍受して保存し、後で復号化する」というアプローチを取っており、価値の高い暗号化されたデータを現在収集し、後で量子コンピュータが可用性攻撃("retroactive attack")が可能になれば復号化することを想定している。その時、関係者は暗号アーキテクチャの急速な崩壊に直面し、対応する時間はほとんどないだろう。遺伝子データ、生体データ、金融データ、その他機密性の高い個人データから、国家機密、長期的な事業開発データ、交渉情報に至るまで、最も機密性の高い暗号化データには長期的な機密保護が不可欠である。また、運用寿命が長いことを前提とした、価値の高いルート・レベルの公開鍵にも不可欠である。
The solution to address this challenge is the progressive transition from current quantum vulnerable cryptographic algorithms to quantum resistant cryptography (QRC). Considering the significant and growing research investments in quantum technologies, experts are sounding the alarm and calling for a transition to QRC sooner rather than later. QRC, also known as post-quantum, quantum safe or quantum secure cryptography, is a family of new cryptographic algorithms that are immune to attacks leveraging both traditional and quantum computers, and that can be executed on traditional computers with traditional communication channels. Cybersecurity agencies from Australia, Canada, France, Germany, the United Kingdom, and the United States are encouraging stakeholders to start transitioning their products and information systems’ security towards using QRC, a process that may take many years to complete. Several QRC algorithms have already been tested and selected through an international process carried out by the US National Institute for Standards and Technologies (NIST).   この課題に対処する解決策は、現行の量子脆弱性暗号アルゴリズムから耐量子暗号(QRC)への漸進的な移行である。量子技術への研究投資が大幅に増加していることを考慮すると、専門家は警鐘を鳴らし、早急にQRCへの移行を呼びかけている。QRCは、ポスト量子暗号、量子安全暗号、量子セキュア暗号とも呼ばれ、従来のコンピュータと量子コンピュータの両方を利用した攻撃に耐性があり、従来の通信チャネルを持つ従来のコンピュータで実行可能な新しい暗号アルゴリズム群である。オーストラリア、カナダ、フランス、ドイツ、英国、米国のサイバーセキュリティ機関は、自社の製品や情報システムのセキュリティをQRCに移行するよう関係者に呼びかけている。すでにいくつかのQRCアルゴリズムは、米国国立標準技術研究所(NIST)が実施した国際的なプロセスを通じてテストされ、選定されている。 
Quantum cryptography, also known as quantum key distribution (QKD), also carries an enormous potential for more secure communications, but is not yet ready for sensitive applications. It is a cryptography technology based on quantum communications that takes advantage of the laws of physics rather than mathematical complexity to ensure confidentiality. In theory, quantum cryptography, which is available today, can remain secure regardless of the amount of processing power and mathematical innovation an adversary uses to defeat it. However, it requires expensive, dedicated equipment with extremely low tolerance for error to leverage the quantum state of micro particles. This is the main reason many cybersecurity agencies discourage its use for sensitive applications at this point, and instead call for the adoption of QRC, which can run on existing computers.   量子暗号は、量子鍵配送(QKD)としても知られ、より安全なコミュニケーションを実現する大きな可能性を秘めているが、機密性の高いアプリケーションにはまだ対応できていない。量子コミュニケーションに基づく暗号技術で、数学的な複雑さではなく物理法則を利用して機密性を確保する。理論的には、今日利用可能な量子暗号は、敵がそれを破るためにどれだけの処理能力や数学的な革新を用いても、安全性を保つことができる。しかし、微粒子の量子状態を利用するためには、エラーに対する許容度が極めて低く、高価な専用機器が必要となる。これが、多くのサイバーセキュリティ機関が、現時点では機密性の高いアプリケーションへの利用を控え、代わりに既存のコンピューターで実行可能なQRCの採用を呼びかけている主な理由である。 

 

 

| | Comments (0)

2024.05.22

EU 欧州理事会がサイバーの安全性と抗堪性を強化するための結論書を承認

こんにちは、丸山満彦です。

欧州理事会がサイバーの安全性と抗堪性を強化するための結論書を承認していますね...

サイバーの安全で(Secure)と抗堪性がある(Resillient)EUを構築するための「指針を示し」、「原則を定める」ことを目的とし、サイバーセキュリティの将来に関する結論書ということのようです...

サイバーセキュリティ認証スキーム(EUCC)については、サイバーセキュリティ法の下で最初に採択されたスキームとして歓迎する一方、欧州のサイバーセキュリティ認証スキームの発展が遅々として進まず、困難であることに懸念をもっているようですね...

将来に関しては、AI、量子技術、6Gに備えろ...って感じですかね...

 

European Counsil

・ 2024.05.21 Cybersecurity: Council approves conclusions for a more cyber secure and resilient Union

Cybersecurity: Council approves conclusions for a more cyber secure and resilient Union サイバーセキュリティ 欧州理事会、サイバーの安全性と抗堪性を強化するための結論書を承認
The Council has approved conclusions on the future of cybersecurity aiming to provide guidance and setting the principles towards building a more cybersecure and more resilient Union. 欧州理事会は、よりサイバーセキュアでレジリエンスに優れたEUを構築するための指針を示し、原則を定めることを目的とした、サイバーセキュリティの将来に関する結論書を承認した。
The importance of cybersecurity can hardly be underestimated. In the last years, cyber security threats have significantly increased in level, complexity, and scale. This has gone along with a significant increase in global geopolitical tensions. サイバーセキュリティの重要性を過小評価することはできない。ここ数年、サイバーセキュリティの脅威は、そのレベル、複雑さ、規模において著しく増大している。これは、世界的な地政学的緊張の大幅な高まりと相まっている。
"Cybersecurity operates on multiple levels, ensuring the safety of our businesses, governments, and our citizens. Everyone deserves a secure internet and the peace of mind that comes with it. Everyone deserves to feel safe, both online and offline. We must build a robust and resilient digital world through proactive measures and international cooperation." 「サイバーセキュリティは、企業、政府、市民の安全を確保するために、複数のレベルで機能している。誰もが安全なインターネットとそれに伴う安心感を得る権利がある。オンラインでもオフラインでも、誰もが安全だと感じる権利がある。我々は、積極的な対策と国際協力を通じて、堅牢でレジリエンスの高いデジタル世界を構築しなければならない。」
Petra de Sutter, Belgian deputy prime and minister of public administration, public enterprises, telecommunication, and postal services ペトラ・デ・スッター、ベルギー副首相兼行政・エンタープライズ・電気通信・郵便大臣
”Today we set out the principles for the next steps in building a more cyber secure and resilient Union. Focusing on implementation, adoption of harmonised standards, certification, supply chain security, cooperation with the private sector, support for SMEs and adequate funding should be among our main priorities for the future.” 「本日、我々は、よりサイバーセキュアでレジリエンスの高いEUを構築するための次のステップの原則を定めた。実施、統一標準の採用、認証、サプライチェーンセキュリティ、民間セクターとの協力、中小企業への支援、適切な資金調達に重点を置くことが、今後の主要な優先事項のひとつである。」
Mathieu Michel, Belgian Secretary of State for digitisation, administrative simplification, privacy protection, and the building regulation マチュー・ミシェル、ベルギー国務長官(デジタル化、行政簡素化、プライバシー保護、建築規制担当
The Council conclusions recall the importance to focus on implementation, strengthen coordination and collaboration, and avoid fragmentation of cybersecurity rules in sectorial legislation. They also call to further clarify roles and responsibilities in the cyber domain, to strengthen the cooperation in the fight against cybercrime, and to work on a revised blueprint of the cyber crisis management framework. The support to micro, small and medium size enterprises, and the need to respond to the challenges presented by the new technologies are also highlighted. 理事会結論は、実施に焦点を当て、調整と協力を強化し、セクター別法制におけるサイバーセキュリティ規則の断片化を避けることの重要性を想起している。また、サイバー領域における役割と責任をさらに明確にし、サイバー犯罪との闘いにおける協力を強化し、サイバー危機管理枠組みの青写真の改訂に取り組むよう求めている。また、零細・中小企業への支援や、新技術がもたらす課題への対応の必要性も強調されている。
A multistakeholder approach, including cooperation with the private sector and academia is encouraged to close the skills gap. Stressing the importance to attract private capital, the Council conclusions emphasise the need for adequate funding. The external dimension is also highlighted, recalling that an active international policy would be needed to strengthen cooperation with third countries, particularly in the transatlantic context, as a contribution to a strong international ecosystem. In light of the changed and rising threat level, the Council finally invites the European Commission and the High Representative to present a revised cybersecurity strategy. スキルギャップを埋めるため、民間企業や学界との協力を含むマルチステークホルダー・アプローチが奨励される。民間資本を呼び込むことの重要性を強調し、理事会結論は適切な資金調達の必要性を強調している。また、対外的な側面も強調され、強力な国際的エコシステムへの貢献として、特に大西洋横断的な文脈における第三国との協力を強化するために、積極的な国際政策が必要であることが想起される。脅威のレベルの変化と高まりを踏まえ、理事会は最終的に欧州委員会と上級代表者に対し、サイバーセキュリティ戦略の改訂版を提示するよう要請した。
Council conclusions on the future of cybersecurity: implement and protect together サイバーセキュリティの将来に関する理事会結論:共に実施し、共に保護する

 

・[PDF] Council Conclusions on the Future of Cybersecurity: implement and protect together

20240522-55632

 

 

附属書...

ANNEX  附属書 
Council Conclusions on the future of cybersecurity - Implement and protect together -  サイバーセキュリティの将来に関する理事会結論 - 共に実施し、共に保護する - 2024 年 5 月 21 日に開催された理事会会合で承認された。
THE COUNCIL OF THE EUROPEAN UNION,  欧州連合理事会 
RECALLING its conclusions and actions on:  以下に関する結論と行動を想起する: 
– The Joint Communication of 25 June 2013 to the European Parliament and the Council on the Cybersecurity Strategy for the European Union: “An Open, Safe and Secure Cyberspace”[1],  - 欧州連合(EU)のサイバーセキュリティ戦略に関する2013年6月25日の欧州議会および理事会への共同コミュニケーション: 「オープンで安全かつセキュアなサイバー空間」[1]、 
– EU Cyber Defence Policy Framework[2],  - EUサイバー防衛政策枠組み[2]、 
– Internet Governance[3],  - インターネット・ガバナンス[3]、 
– Cyber Diplomacy[4],  - サイバー外交[4]、 
– Strengthening Europe’s Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry[5],  - 欧州のサイバーレジリエンスシステムの強化、競争力のある革新的なサイバーセキュリティ産業の育成[5]などがある、 
– The Joint Communication of 20 November 2017 to the European Parliament and the Council: “Resilience, Deterrence and Defence: Building strong cybersecurity for the EU”[6],  - 2017年11月20日の欧州議会と理事会への共同コミュニケーション: レジリエンス、抑止力、防衛」: EUのための強力なサイバーセキュリティの構築」[6]、 
– A Framework for a Joint EU Diplomatic Response to Malicious Cyber Activities (“Cyber Diplomacy Toolbox”)[7],  - 悪質なサイバー活動に対するEUの共同外交対応の枠組み(「サイバー外交ツールボックス」)[7]、 
– The EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises[8]?,  - 大規模サイバーセキュリティインシデントと危機に対するEUの協調対応[8]? 
– EU External Cyber Capacity Building Guidelines[9],  - EU対外サイバー能力構築ガイドライン[9]、 
– Council Implementing Decision (EU) 2018/1993 of 11 December 2018 on the EU Integrated Political Crisis Response Arrangements[10],  - EU統合政治危機対応取決めに関する2018年12月11日の理事会実施決定(EU)2018/1993[10]、 
– Cybersecurity capacity and capabilities building in the EU[11],  - EUにおけるサイバーセキュリティの能力と能力構築[11]、 
– The significance of 5G to the European Economy and the need to mitigate security risks linked to 5G[12],,  - 欧州経済にとっての5Gの意義と5Gに関連するセキュリティリスクを軽減する必要性[12]、、 
– The future of a highly digitised Europe beyond 2020: “Boosting digital and economic competitiveness across the Union and digital cohesion”[13],  - 2020年以降の高度にデジタル化された欧州の未来: 「欧州連合全体のデジタル競争力と経済競争力を高め、デジタル結束を強化する」[13]、 
– Complementary efforts to Enhance Resilience and Counter Hybrid Threats[14],  - レジリエンスを強化し、ハイブリッドな脅威に対抗するための補完的な取り組み[14]、 
– Shaping Europe’s Digital Future[15],  - 欧州のデジタルの未来を形作る[15]、 
– The Cybersecurity of connected devices[16],  - コネクテッドデバイスのサイバーセキュリティ[16]、 
– The EU’s Cybersecurity Strategy for the Digital Decade[17],  - デジタル10年に向けたEUのサイバーセキュリティ戦略[17]、 
– Security and Defence[18],  - 安全保障と防衛[18]、 
– Exploring the potential of the Joint Cyber Unit initiative – complementing the EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises[19],  - 大規模サイバーセキュリティインシデントと危機へのEU協調対応[19]を補完する「共同サイバーユニット」構想の可能性を探る、 
– A Strategic Compass for Security and Defence[20],  - 安全保障と防衛のための戦略的羅針盤[20]、 
– the development of the European Union's cyber posture[21],  - EUのサイバー態勢の整備[21]、 
– ICT Supply Chain Security[22],  - ICTサプライチェーンのセキュリティ[22]、 
– EU Policy on Cyber Defence[23],  - サイバー防衛に関するEU政策[23]、 
– The EU Space Strategy for Security and Defence[24],  - 安全保障と防衛のためのEU宇宙戦略[24]、 
– Cyber Crisis Management Roadmap[25],  - サイバー危機管理ロードマップ[25]、 
– The Communication from the Commission “Implementation of the 5G cybersecurity Toolbox”[26],  - 欧州委員会からのコミュニケーション「5Gサイバーセキュリティ・ツールボックスの実施」[26]、 
– The future of EU digital policy. - EUのデジタル政策の将来
1. NOTES the ever-increasing interconnectivity and importance of the digital domain for the functioning of our society and economy. UNDERLINES the crucial role of cybersecurity as a cornerstone of a successful digital society by maintaining public trust of the systems on which it relies. HIGHLIGHTS the significantly increasing level, complexity and scale of cybersecurity threats, in particular in the wake of the COVID pandemic, Russia’s war of aggression against Ukraine, growing global geopolitical tensions, as well as technological developments such as Artificial Intelligence and quantum technology. RECOGNISES the European Union (EU) ’s commitment to uphold the international rules-based order to further shape and safeguard the benefits of a free, global, open, and secure cyberspace for future generations.  1. 私たちの社会と経済の機能にとって、デジタル領域の相互接続性と輸入事業者の重要性がますます高まっていることに留意する。デジタル社会が依存するシステムに対する社会の信頼を維持することにより、成功するデジタル社会の礎石としてのサイバーセキュリティの重要な役割を強調する。特に、COVIDパンデミック、ロシアによるウクライナ侵略戦争、世界的な地政学的緊張の高まり、さらには人工知能や量子技術などの技術的発展を受け、サイバーセキュリティの脅威のレベル、複雑さ、規模が著しく増大していることを強調する。欧州連合(EU)が、将来の世代のために、自由で、グローバルで、開かれた、安全なサイバー空間の恩恵をさらに形成し、保護するために、国際的なルールに基づく秩序を維持するというコミットメントを表明する。
2. While NOTING that the infrastructure of the internet is mostly privately owned, and digital services are often offered by private providers, ACKNOWLEDGES the public impact, crossborder nature and spill-over risk of cybersecurity threats, as well as the sole responsibility of each Member State on national security and their responsibility for the response to large-scale cyber security incidents and crises affecting them. Therefore EMPHASISES the key role and shared responsibility of Member States, and the EU to set and implement a clear and agile regulatory and policy framework laying down our collective ability to protect, detect, deter and defend against, cyberattacks and recover from them. The implementation of the framework should build on the multi-stakeholder approach of the cybersecurity ecosystem and cooperation with international organisations and partners.  2. インターネットのインフラはほとんどが民間所有であり、デジタルサービスは多くの場合、民間プロバイダによって提供されていることに留意しつつ、サイバーセキュリティ脅威の公共的影響、国境を越えた性質、波及リスク、ならびに、国家安全保障に関する各加盟国の唯一の責任、自国に影響を及ぼす大規模サイバーセキュリティインデントおよび危機への対応に対する各加盟国の責任を認める。したがって、サイバー攻撃を保護、検知、抑止、防御し、それらから回復するための総合的な能力を定めた明確かつ機動的な規制と政策の枠組みを設定し、実施することは、加盟国およびEUの重要な役割であり、共通の責任であることを防御する。この枠組みは、サイバーセキュリティ・エコシステムのマルチステークホルダー・アプローチと、国際機関やパートナーとの協力に基づいて実施されるべきである。
FOCUS AREAS FOR POLICY-MAKING  政策立案の重点分野 
3. WELCOMES the significant legislative and non-legislative progress achieved within the EU’s cybersecurity policy framework during the last five years, which contributes to strengthening the resilience and competitiveness of the EU economy and society, while also contributing to international rule setting and implementing the UN Framework of Responsible State Behaviour in Cyberspace. Increasing the cyber resilience of entities and the cybersecurity of products with digital elements should be a continued focus for policy makers, including steps such as vulnerability management, supply chain security, the development of the necessary skills throughout the workforce and increased international dialogues on standards and cooperation. Yet, ACKNOWLEDGES the significant human, financial and operational resources required from society, businesses and governments for their implementation.  3. 過去5年間にEUのサイバーセキュリティ政策の枠組みの中で達成された、立法的・非法律的な大きな進展を歓迎する。これは、EUの経済・社会のレジリエンスと競争力の強化に貢献するとともに、国際的なルール設定や国連の「サイバー空間における国家の責任ある行動に関する枠組み」の実施にも寄与している。事業体のサイバーレジリエンスを高め、デジタル要素を含む製品のサイバーセキュリティを強化することは、脆弱性管理、サプライチェーンセキュリティ、労働者全体の必要なスキルの開発、標準と協力に関する国際的な対話の強化などのステップを含め、政策立案者にとって引き続き焦点となるべきである。しかし、その実施には、社会、企業、政府から多大な人的、財政的、経営的資源が必要であることを認める。
4. CALLS on the Member States, Commission and involved European entities to focus on facilitating a structured, efficient, comprehensive and timely implementation of these newly set rules, including with practical guidance. In this regard, CALLS on the Commission, the European Union Agency for Cybersecurity (ENISA), the European Cybersecurity Competence Centre (ECCC), as well as the EU’s Computer Emergency Response Team (CERT-EU), the European Cybercrime Centre Europol (EC3), the NIS Cooperation Group (NIS CG), the CSIRTs Network, EU-CyCLONe (European Union- Cyber Crises Liaison Organisation Network) and national CSIRTs, competent authorities and National Coordination Centres (NCC) to support all stakeholders with this implementation, in line with their respective roles and responsibilities.  4. 加盟国、欧州委員会および欧州の関係事業体に対し、実践的なガイダンスを含め、新たに設定された規則の体系的、効率的、包括的かつタイムリーな実施を促進することに注力するよう求める。この点に関して、欧州委員会、欧州連合サイバーセキュリティ機関(ENISA)、欧州サイバーセキュリティ能力センター(ECCC)、およびEUのコンピュータ緊急対応チーム(CERT-EU)、欧州刑事警察機構(EC3)、NIS協力グループ(NIS CG)に対して要請する、 CSIRTsネットワーク、EU-CyCLONe(欧州連合-サイバー危機連絡組織ネットワーク)、各国のCSIRT、認可当局、国内調整センター(NCC)、がそれぞれの役割と責任に基づき、全ての利害関係者を支援する。
5. CALLS for actions facilitating and supporting compliance and reducing administrative burden, especially for micro, small and medium enterprises (SMEs).  5. コンプライアンスを促進・支援し、特に零細・中小企業(SMEs)の管理負担を軽減する行動を呼びかける。
6. As streamlining incident notification obligations across relevant legislative acts is a particular challenge, ACKNOWLEDGES the potential of the concept of a single entry point for incident notification and ENCOURAGES Member States to reflect on the possibilities to implement it at the national level. INVITES the Commission to prepare, with the support of ENISA and other relevant EU entities, a mapping of relevant reporting obligations set out in the respective EU legislative acts in cyber and digital matters in order to identify opportunities to reduce the administrative burden.  6. インシデント通知の義務を関連する法律行為にまたがって合理化することが特に課題であるため、インシデント通知のための単一エントリーポイントという概念の可能性を認め、加盟国に対し、これを国レベルで実施する可能性について検討するよう促す。欧州委員会に対し、行政負担を軽減する機会を特定するため、ENISAおよびその他の関連するEU事業体の支援を受けて、サイバーおよびデジタルに関するEUの各法令に定められた関連報告義務のマッピングを作成するよう要請する。
7. CALLS on the Commission to swiftly move forward with the adoption of delegated and implementing acts, especially those that are mandatory for the implementation of the NIS2 Directive and the Cyber Resilience Act. CALLS as well to continue the work on harmonised standards in cooperation with Member States, in order to support the implementation of EU cybersecurity legislation building on relevant work of European and International Standardisation bodies. INVITES the Commission, in cooperation with ENISA and the Member States, to closely collaborate with international partners on this subject, in order to safeguard the human-centric approach within such standards.  7. 欧州委員会に対し、委任法および実施法、特にNIS2指令およびサイバー・レジリエンス法の実施に必須となる法律の採択を速やかに進めるよう求める。また、欧州および国際標準化団体の関連作業を土台として、EUサイバーセキュリティ法の実施を支援するため、加盟国と協力して標準の調和に関する作業を継続するよう求める。欧州委員会は、ENISAおよび加盟国と協力し、このような標準の中で人間中心のアプローチを守るため、このテーマに関して国際的なパートナーと緊密に協力することを要請する。
8. STRONGLY CAUTIONS against fragmentation, duplication or overlap of cybersecurity regulation across the Union by sector specific initiatives or lex specialis. Cybersecurity is not only a sector but also a horizontal domain. UNDERLINES the inherent coherence between digital and cybersecurity policy. Therefore, URGES the Commission to ensure a coherent approach in future initiatives, which should strengthen or complement existing structures, avoiding unnecessary complexity and duplication. STRESSES in this regard the importance of thorough impact assessments for all new legislative initiatives which is a key part of the Better Regulation Agenda. CALLS on the Commission to develop a clear overview of the relevant horizontal and sectoral legislative frameworks and their interplay. UNDERLINES the importance of horizontal coordination within the EU on cyber issues across sectors and domains and LOOKS FORWARD to continue to strengthen this coordination.  8. サイバーセキュリティ規制の断片化、重複、重複を防止するため、欧州委員会は、分野別イニシアティブやレックス・スペシャリス(lex specialis)により、欧州連合全体でサイバーセキュリティ規制の断片化、重複、重複を防止するよう強く警告する。サイバーセキュリティは、セクターだけでなく、水平的な領域でもある。デジタル政策とサイバーセキュリティ政策の間に固有の一貫性があることを強調する。従って、欧州委員会に対し、不必要な複雑さや重複を避け、既存の構造を強化または補完するような今後の取り組みにおいて、首尾一貫したアプローチを確保するよう要請する。この点に関して、「より良い規制アジェンダ」の重要な部分である、すべての新規立法構想に対する徹底的な影響評価の重要性を強調する。欧州委員会に対し、関連する水平的および分野別の法的枠組みと、それらの相互関係についての明確な概要を作成するよう求める。分野や領域を超えたサイバー問題に関するEU域内の水平的な協調の重要性を強調し、この協調の継続的な強化を期待する。
9. INVITES the Commission to collaborate with relevant national experts and policy makers, including at strategic level, as well as with all relevant EU entities and networks before launching new initiatives. Similarly INVITES Member States to exchange lessons learned on new national proposals through existing structures.  9. 欧州委員会に対し、新たな取り組みを開始する前に、戦略レベルを含め、各国の関連する専門家および政策立案者、ならびに、すべての関連するEU事業体およびネットワークと協力するよう求める。同様に、加盟国に対し、新たな国別提案に関する教訓を、既存の仕組みを通じて交換することを要請する。
10. WELCOMES the European Common Criteria-based cybersecurity certification scheme (EUCC) as the first adopted scheme under the Cybersecurity Act, yet EXPRESSES concern on the slow and challenging development of the European cybersecurity certification schemes, and calls for the smooth adoption of high quality schemes. EMPHASISES the need for a thorough, comprehensive and transparent review of the European cybersecurity certification framework, to enable a faster and more transparent adoption of certification schemes with full involvement of Member States. In this regard, CALLS on the Commission to take into account the key role of the European Cybersecurity Certification Group.  10. 欧州共通基準に基づくサイバーセキュリティ認証スキーム(EUCC)を、サイバーセキュリティ法の下 で最初に採択されたスキームとして歓迎する一方、欧州のサイバーセキュリティ認証スキームの発展が遅々として進まず、困難であることに懸念を表明し、質の高いスキームの円滑な採用を求める。加盟国の全面的な関与のもと、より迅速かつ透明性の高い認証制度の採用を可能にするため、欧州のサイバーセキュリティ認証の枠組みを徹底的、包括的かつ透明性をもって見直す必要性を強調する。この観点から、欧州委員会に対し、欧州サイバーセキュリティ認証グループの重要な役割を考慮するよう求める。
11. REITERATES that the European cybersecurity certification schemes may decrease fragmentation and ensure harmonisation in the Union, while strengthening resilience and trust in an enhanced digital and cybersecurity ecosystem. NOTES that in certain cases additional requirements going beyond certification may be necessary to ensure trust. WELCOMES the political agreement on the amendment to the Cyber Security Act that introduce the certification of managed security services. ACKNOWLEDGES the opportunity for certification to stimulate higher levels of cybersecurity, including by seeking to make cybersecurity measures standard practice for organisations. RECOGNISES the potential for EU certification to support the implementation of existing legislation and support the actions of competent national authorities within the context of NIS2, the Cyber Resilience Act and other cybersecurity regulations.  11. 欧州のサイバーセキュリティ認証制度は、強化されたデジタルとサイバーセキュリティのエコシステムにおけるレジリエンスと信頼を強化する一方で、欧州連合における断片化を減少させ、調和を確保する可能性があることを指摘する。場合によっては、信頼を確保するために、認証以上の追加要件が必要となる可能性があることに留意する。マネージド・セキュリティ・サービスの認証を導入するサイバーセキュリティ法の改正に関する政治的合意を歓迎する。サイバーセキュリティ対策を組織の標準的な慣行とすることを目指すなど、認証がより高いレベルのサイバーセキュリティを刺激する機会があることを認める。NIS2、サイバーレジリエンス法、その他のサイバーセキュリティ規制の文脈において、EU認証が既存の法律の実施を支援し、所轄の国家当局の行動を支援する可能性を認める。
12. EMPHASISES the need for sufficient skilled experts for all the relevant national and EU entities in the cybersecurity domain. ENCOURAGES cooperation among all stakeholders, including the private sector, academia and public sector to close this skills gap and STRESSES the importance of paying particular attention to closing the digital gender gap as well, taking into account the innovative potential and expansion of the talent pool that a diverse workforce offers. CALLS for the further development of the Cybersecurity Skills Academy and implementation of its actions to strengthen the EU cybersecurity workforce. INVITES ENISA and the ECCC together with the NCCs to continue their involvement and clarify roles, and CALLS to consider exploring the synergies with any future EDIC (European Digital Infrastructure Consortium) on this topic as well as potentially with the European Security and Defence College and the European Union Agency for Law Enforcement Training (CEPOL) Cybercrime Academy. Recognising that workforce skills are highly mobile in a global marketplace, CALLS for international cooperation in particular on the potential for mutual recognition of skills frameworks.  12. サイバーセキュリティ領域において、すべての関連する国やEUの事業体にとって、十分な熟練した専門家が必要であることを強調する。このスキルギャップを解消するために、民間部門、学界、公共部門を含むすべての利害関係者間の協力を奨励し、多様な労働力がもたらす革新的な可能性と人材プールの拡大を考慮し、デジタル男女格差の解消にも特に注意を払うことの重要性を強調する。サイバーセキュリティ技能アカデミーをさらに発展させ、EUのサイバーセキュリティ人材を強化するための行動を実施することを求める。ENISAおよびECCCがNCCとともに関与を継続し、役割を明確化するよう要請するとともに、このテーマに関する将来のEDIC(欧州デジタル・インフラ・コンソーシアム)や、欧州安全保障防衛大学(European Security and Defence College)および欧州連合法執行訓練機関(CEPOL)サイバー犯罪アカデミー(Cybercrime Academy)との相乗効果を検討するよう呼びかける。労働力スキルはグローバル市場において非常に流動的であることを認識し、特にスキルフレームワークの相互承認の可能性について国際協力を呼びかける。
13. Without pre-empting the negotiations of the Multiannual Financial Framework, EMPHASISES the need for adequate funding for EU entities active in the cybersecurity domain in light of the significantly increasing cybersecurity threats across the EU; and. CALLS on the Commission to prioritise between actions when preparing the draft general budget of the Union. ACKNOWLEDGES the need for financial and other incentives to foster innovation in cybersecurity across the EU and secure the digital single market. To this end, CALLS on the Commission, the ECCC and relevant national authorities to stimulate and support use by, in particular, European businesses, research institutions and academia of EU cyber security funding. In light of the scale and complexity of the cybersecurity threats, ACKNOWLEDGES that European funding alone is not sufficient and therefore STRESSES the importance of attracting and investing private capital.  13. 多年次財政枠組みの交渉を先取りすることなく、EU全域でサイバーセキュリティの脅威が著しく増大していることを踏まえ、サイバーセキュリティ分野で活動するEU事業体に十分な資金を提供する必要性を強調する。欧州委員会に対し、欧州連合(EU)の一般予算案を作成する際に、これらの活動の間に優先順位をつけるよう要請する。EU全体でサイバーセキュリティの革新を促進し、デジタル単一市場を確保するためには、財政的およびその他のインセンティブが必要であることを認める。このため、欧州委員会、ECCCおよび関連する各国当局に対し、特に欧州の企業、研究機構および学術機関がEUのサイバーセキュリティ資金を利用することを刺激し、支援するよう要請する。サイバーセキュリティの脅威の規模と複雑さに鑑み、欧州の資金提供だけでは十分でないことを認め、したがって、民間資本の誘致と投資の重要性を強調する。
14. NOTES how during the last five years, notable attention has been directed towards imposing obligations upon potential targets of cyber-attacks, to strengthen their cyber resilience. POINTS out that Member States’ CSIRTs, in line with their respective roles, possess the capacity to undertake proactive measures aimed at safeguarding individual users and organisations on a much larger scale, including the possibility of pre-emptive incident prevention or the provision of centralised assistance for self-protection. WELCOMES the integration of Active Cyber Protection (ACP) as a concept within the NIS2 Directive, as well as Coordinated Vulnerability Disclosures, and SUPPORTS their active promotion. CALLS ON Union entities and Member States to place greater emphasis on concrete and scalable preventive and protective measures and, where appropriate, to collaborate in a cross-border manner and with private entities. CALLS ON ENISA and the ECCC to stimulate such collaborative projects at national and EU level. Such centralised provision of support and protection not only helps achieve cost-effectiveness, but also holds the potential to address the substantial deficit of cybersecurity experts, which might otherwise necessitate individual recruitment by each organisation.  14. 過去5年間、サイバー攻撃を受ける可能性のある標的に対し、そのレジリエンスを強化する義務を課すことに、注目すべき関心が向けられてきたことに留意する。加盟国の CSIRT は、それぞれの役割に応じて、先制的なインシデント防止や自己防衛のための集中的な支援 の提供の可能性を含め、個人ユーザーや組織を保護することを目的としたプロアクティブな対策を、より大規 模に実施する能力を有していることを防御する。NIS2 指令の中に、脆弱性開示の協調と同様に、積極的サイバー保護(ACP)の概念が統合されたことを歓迎し、その積極的な推進を防御する。EU事業体および加盟国に対し、具体的かつスケーラブルな予防・保護措置をより重視し、適切な場合には、国境を越えた態様で、また民間団体と協力するよう求める。ENISAおよびECCCに対し、国内およびEUレベルでこのような共同プロジェクトを刺激するよう求める。このような支援と保護の集中的な提供は、費用対効果の達成に役立つだけでなく、サイバーセキュリティの専門家の大幅な不足に対処する可能性も秘めている。
15. REITERATES the potential of digital identity to bolster online security and trust in a proactive and inclusive manner. With the Regulation for a European Digital Identity Framework, the EU holds a unique prospect to use digital identity in the ongoing battle against phishing or social engineering, which remain persistent and pervasive vectors of cyberattacks. Against the backdrop of increased misuse of emerging and disruptive technologies (such as AI, for example for the creation of deepfakes), the role of authenticated digital identity assumes augmented importance in strengthening digital trust and confidence. UNDERLINES at the same time the importance of preserving the option of anonymity within the digital world and support of the principle of data minimisation, including the use of pseudonyms, asking users to share only the minimum data necessary for the specific purpose. CALLS on the Union to swiftly implement solutions within the European Digital Identity Framework, to allow businesses, organisations, and individuals to voluntarily identify themselves online in a trusted manner, and STRESSES the crucial importance of the cybersecurity of these solutions. ENCOURAGES the timely development of European cybersecurity certification schemes adopted pursuant to Regulation (EU) 2019/881 for the certification of the European Digital Identity Wallets.  15. 積極的かつ包括的な方法で、オンライン・セキュリティと信頼を強化するデジタル ID の可能性を強調する。欧州デジタル ID フレームワークに関する規則により、EU は、サイバー攻撃の持続的かつ広範な 媒介であり続けるフィッシングやソーシャル・エンジニアリングとの継続的な闘いにおいて、デジタル ID を利用するユニークな展望を有している。新興の破壊的技術(例えば、ディープフェイクを作成する AI など)の悪用が増加していることを背景に、 認証されたデジタル ID の役割は、デジタルの信頼と信用を強化する上で重要性を増している。同時に、デジタル世界における匿名性の選択肢を維持することの重要性を強調し、仮名の使用を含むデータ最小化の原則を支持し、特定の目的に必要な最小限のデータのみを共有するようユーザーに求める。欧州連合に対し、欧州デジタルIDフレームワークの中で、企業、組織、個人が信頼できる方法でオンライン上で自発的に身元を確認できるソリューションを速やかに実施するよう求めるとともに、これらのソリューションのサイバーセキュリティが極めて重要であることを強調する。欧州デジタルIDウォレットの認証のために規則(EU)2019/881に従って採用される欧州のサイバーセキュリティ認証スキームのタイムリーな開発を奨励する。
16. WELCOMES the risk assessment on the cybersecurity and resilience of Europe’s communications infrastructures and networks carried out by the NIS Cooperation Group, and CALLS UPON Member States, Commission and ENISA to work on the implementation of the strategic and technical recommendations to mitigate the threats and risks that may have been identified. CALLS on the Commission, the High Representative and ENISA, together with NIS Cooperation Group, within their respective mandates, to swiftly develop a coherent and comprehensive approach across sectors to risk assessment and scenario building, based on a common methodology. This should include prioritisation, minimising duplication, ensuring the quality of these assessments and building synergies, that pursue an all-hazards approach and that the Commission, the High Representative and relevant working parties and networks within the Council take into account the ongoing efforts to counter hybrid threats, such as physical sabotage and foreign information manipulation and interference.  16. NIS協力グループが実施した欧州の通信インフラおよびネットワークのサイバーセキュリティとレジリエンシーに関するリスクアセスメントを歓迎し、加盟国、欧州委員会およびENISAに対し、特定された脅威とリスクを軽減するための戦略的・技術的勧告の実施に取り組むよう求める。欧州委員会、上級代表者およびENISAに対し、NIS協力グループとともに、それぞれの権限の範囲内で、共通の手法に基づき、リスクアセスメントおよびシナリオ構築のための部門を超えた首尾一貫した包括的アプローチを速やかに開発するよう求める。これには、優先順位付け、重複の最小化、アセスメントの質の確保、相乗効果の構築、オール・ハザード・アプローチの追求、欧州委員会、上級代表、理事会内の関連作業部会およびネットワークが、物理的破壊工作や外国による情報操作・妨害などのハイブリッドな脅威に対抗するための現在進行中の取り組みを考慮に入れることなどが含まれるべきである。
17. REITERATES its commitment towards ensuring the security of the ICT supply chains as indicated in the Council Conclusions on ICT supply chain security, while noting the relevance of non-technical risk factors in this context, such as undue influence by a third State on suppliers and service provider. CALLS on the NIS Cooperation Group to continue working on the ICT Supply Chain toolbox and the risk assessments and evaluations with the focus on the ICT supply chain security, in particular in relation to technologies necessary for the green and digital transition.  17. ICTサプライチェーンの安全保障に関する理事会結論に示されたとおり、ICTサプライチェーンの安全保障の確保に向けたコミットメントを表明するとともに、供給業者やプロバイダに対する第三国による不当な影響力など、この文脈における非技術的リスク要因の重要性に留意する。NIS協力グループに対し、ICTサプライチェーンツールボックスと、特にグリーン及びデジタル移行に必要な技術に関連するICTサプライチェーンのセキュリティに焦点を当てたリスクアセスメント及び評価に引き続き取り組むことを要請する。
STRENGTHENING THE INSTITUTIONAL FRAMEWORK  機構枠組みの強化 
18. WELCOMES, over the course of the last five years, the necessary further enhancement of already existing cybersecurity cooperation structures and entities (notably the CSIRTs Network, NIS Cooperation Group, CERT-EU, ENISA) and the creation of new structures (ECCG, EU-CyCLONe, ECCC and network of NCCs and Military CERT operational Network -MICNET-). CALLS upon these structures and entities to fully implement their mandate and, in the context of an increasing complexity of the European cybersecurity ecosystem, to strengthen cooperation and avoid possible duplication of efforts. INVITES Member States driven cooperation networks such as the NIS Cooperation Group, and, supported by ENISA, the CSIRTs Network and EU-CyCLONe to establish a multi-annual strategic perspective, in full respect of their legal mandate. CALLS on the Commission and the High Representative, working closely with relevant EU entities, to develop across policy domains a clear overview of the roles and responsibilities of all relevant EU entities, stakeholders and networks, both civilian and military, active in the cybersecurity domain, including in their interaction.  18. 過去 5 年間にわたり、既に存在するサイバーセキュリティ協力体制や事業体(特に、CSIRTs ネットワーク、NIS 協力グループ、CERT-EU、ENISA)の必要なさらなる強化や、新たな体制(ECCG、EU-CyCLONe、ECCC、NCCs のネットワーク、軍事 CERT 運用ネットワーク -MICNET-)の創設が行われてきたことを歓迎する。欧州のサイバーセキュリティ・エコシステムがますます複雑化する中、これらの機構や事業体に対し、その任務を完全に実施し、協力を強化し、努力の重複を避けるよう求める。加盟国に対し、NIS協力グループや、ENISAの支援を受けたCSIRTsネットワーク、EU-CyCLONeなどの協力ネットワークが、その法的権限を完全に尊重し、複数年にわたる戦略的展望を確立するよう要請する。欧州委員会および上級代表に対し、関連するEU事業体と緊密に協力し、サイバーセキュリティの領域で活動するすべての関連するEUの事業体、利害関係者、ネットワーク(文民、軍を問わず)の役割と責任について、その相互作用も含め、政策領域全体にわたる明確な概要を策定するよう求める。
19. RECOGNISES ENISA's key supportive role to improve the level of cybersecurity in the Union and the Member States. ENCOURAGES ENISA to continue its efforts to support the implementation of relevant Union law and policy, to contribute to common situational awareness through close cooperation with Member States, EU entities, and the private sector, to assess the cyber threat landscape, and to support operational cooperation and the building of capacity. CALLS on the Commission to take duly into account the development of ENISA’s role reviewing the Cybersecurity Act. CALLS upon ENISA to establish clear priorities, including focusing on supporting the Member States through existing structures.  19. EU及び加盟国におけるサイバーセキュリティのレベルを改善するためのENISAの重要な支援的役割を認識する。ENISAに対し、加盟国、EU事業体および民間部門との緊密な協力を通じて、関連するEU法および政策の実施を支援し、共通の状況認識に貢献し、サイバー脅威の状況を評価し、業務協力および能力構築を支援する努力を継続するよう求める。欧州委員会に対し、サイバーセキュリティ法の見直しに伴うENISAの役割の発展を十分に考慮するよう求める。ENISAに対し、既存の体制を通じて加盟国を支援することに重点を置くなど、明確な優先事項を定めるよう求める。
20. UNDERLINES the importance of fortifying the cybersecurity of EU entities to protect information and safeguard a strong EU cyber posture. ENCOURAGES the swift implementation of the Act on a high level of cybersecurity of EU institutions, bodies and agencies, accompanied by a decisive Interinstitutional Cybersecurity Board, enhancement of the security culture within EU entities and an allocation of adequate resources for ICT security. ENCOURAGES CERT-EU to develop its role further in line with this Regulation, and in this regard pay particular attention to the close cooperation with relevant networks such as the CSIRTs Network.  20. 情報を保護し、強力なEUのサイバー態勢を守るため、EU事業体のサイバーセキュリティを強化することの重要性を強調する。断固とした機関間サイバーセキュリティ委員会、EU事業体内のセキュリティ文化の強化、ICTセキュリティのための適切な資源の配分を伴う、EU機構、団体、機関の高水準のサイバーセキュリティに関する法律の速やかな実施を奨励する。CERT-EU に対し、本規則に沿ってその役割をさらに発展させ、この点において、CSIRTs Network のような関連ネットワークとの緊密な協力に特に注意を払うことを奨励する。
21. ACKNOWLEDGES the increasingly important role of the ECCC within the developing cyber framework of the EU. CALLS on the ECCC and the Commission to swiftly complete the actions needed for the ECCC to gain financial autonomy and finalise its institutional set up. ENCOURAGES the National Coordination Centres and the ECCC to swiftly activate the Cybersecurity Competence Community in a streamlined manner, as a bottom-up, inclusive and key forum for collaboration with industry, academic and research organisations, other relevant civil society associations, public entities and other entities dealing with cybersecurity. CALLS on all Union entities and Member States to support this effort and to preserve the central role of the ECCC in coordinating the EU cybersecurity investment strategy, boosting the EU cybersecurity industry and fostering skilled experts to enhance the EU’s cybersecurity resilience, as well as to increase consistency and synergies with the ECCC’s agenda. INVITES policy makers at European and national level to contemplate a more efficient use of investment as an enabler or a complement to legislation in increasing cybersecurity.  21. EU の発展途上のサイバーフレームワークの中で、ECCC の役割がますます重要になっていることを認 める。ECCCと欧州委員会に対し、ECCCが財政的に自立し、機構を最終的に立ち上げるために必要な措置を速やかに完了するよう求める。各国調整センターおよびECCCに対し、産業界、学術研究機関、その他の関連する市民社会団体、公共事業体およびサイバーセキュリティに取り組むその他の事業体との協力のためのボトムアップで包括的かつ重要なフォーラムとして、サイバーセキュリティ能力共同体を合理的な方法で速やかに活性化させるよう求める。EUのすべての事業体および加盟国に対し、この取り組みを支援し、EUのサイバーセキュリティ投資戦略の調整、EUのサイバーセキュリティ産業の活性化、EUのサイバーセキュリティレジリエンスを強化するための熟練した専門家の育成において、ECCCの中心的役割を維持するとともに、ECCCのアジェンダとの一貫性と相乗効果を高めるよう呼びかける。欧州および各国レベルの政策立案者に対し、サイバーセキュリティの強化において、法制化を可能にする、あるいは補完するものとして、投資をより効率的に活用することを検討するよう要請する。
22. Given the crucial role and expertise of the private sector in the security of our digital infrastructure and the protection of entities and citizens that depend on it, CALLS on Member States, the Commission, the High Representative, ENISA, ECCC, the CSIRTs Network and Europol to thoroughly, openly and in a coordinated manner engage with all relevant private sector stakeholders to fortify cybersecurity measures, foster collaborative initiatives, and formulate robust strategies to mitigate the risks posed by cyber threats, including regarding business continuity. Such engagement could include communities of information sharing, support to SMEs, or cooperation agreements on operational projects.  22. 加盟国、欧州委員会、上級代表、ENISA、ECCC、CSIRTs Network、欧州刑事警察機構に対し、サイバーセキュリティ対策を強化し、協力的なイニシアチブを育成し、事業継続に関するものも含め、サイバー脅威がもたらすリスクを軽減するための強固な戦略を策定するために、関連するすべての民間セクターの利害関係者と徹底的、率直かつ協調的に関与するよう求める。このような関与には、情報共有のコミュニティ、中小企業への支援、あるいは業務プロジェク トに関する協力協定などが考えられる。
23. CALLS on Member States and the Commission, in cooperation with all relevant networks and entities on the Union level to increase voluntary information sharing in view of a common situational awareness, including, for Member States, through the EU Intelligence Analysis Centre (EU INTCEN). STRESSES the need to prevent any duplication of efforts in this regard and UNDERLINES the importance of cooperation with the private sector, at national and Union level and according to the appropriate procedures. WELCOMES in this regard the political agreement on the Cyber Solidarity Act including its future contribution to the common detection and situational awareness of cyber threats and incidents.  23. 加盟国および欧州委員会に対し、EUレベルのすべての関連するネットワークおよび事業体と協力し、加盟国に対してはEU情報分析センター(EU INTCEN)を通じたものも含め、共通の状況認識の観点から自発的な情報共有を拡大するよう求める。この点に関し、努力の重複を防ぐ必要性を強調するとともに、国および欧州連合レベルにおいて、適切な手続きに従い、民間部門との協力の重要性を強調する。この観点から、サイバー脅威およびインシデントの共通検知と状況認識への将来的な貢献を含む、サイバー連帯法に関する政治的合意を歓迎する。
24. CALLS on the Commission, relevant Union entities, in particular Europol and Eurojust, and Member States, making best use of the European Multidisciplinary Platform Against Criminal Threats (EMPACT), to strengthen their collaboration on the significant threat posed by cybercrime, including the pressing issue of ransomware, and to enhance processes to investigate cybercrime. Given how law enforcement actions to disrupt cybercriminal activities also contribute to the prevention of further cybersecurity incidents, a structured and mutually beneficial collaboration between the cybersecurity and law enforcement communities is necessary to further enhance the state of cybersecurity in Europe. STRESSES that in the crucial fight against cybercrime, it is equally important to protect data and ensure privacy, including through secure communications. REITERATES that competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the relevant data protection laws, while upholding cybersecurity. REAFFIRMS its support to the development, implementation and use of strong encryption as a necessary means of protecting fundamental rights and the digital security of individuals, governments, industry and society. Therefore, INVITES Member States and the relevant EU entities to stimulate a structured and appropriate information exchange between national CSIRTs and law enforcement, as well as at EU level between Europol, the CSIRTs Network and CERT-EU, including for victim notification purposes.  24. 欧州委員会、欧州連合(EU)の関連事業体、特に欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)および加盟国に対し、犯罪の脅威に対する欧州学際的プラットフォーム(EMPACT)を最大限に活用し、喫緊の課題であるランサムウェアを含むサイバー犯罪がもたらす重大な脅威に関する協力を強化し、サイバー犯罪の捜査プロセスを強化するよう求める。サイバー犯罪者の活動を妨害する法執行機関の行動が、さらなるサイバーセキュリティインシデントの防止にも貢献することを考えると、欧州のサイバーセキュリティの状態をさらに強化するためには、サイバーセキュリティ・コミュニティと法執行機関の間の体系的で相互に有益な協力が必要である。サイバー犯罪との極めて重要な闘いにおいて、安全なコミュニケーションを含め、データを保護しプライバシーを確保することも同様に重要であることを防御する。権限のある認可当局は、サイバーセキュリティを維持しつつ、基本的権利および関連するデータ保護法を完全に尊重し、合法的かつ的を絞った方法でデータにアクセスできなければならないことを強調する。基本的権利および個人、政府、産業、社会のデジタル・セキュリティを保護するために必要な手段として、強力な暗号化の開発、実装、利用を支持することを宣言する。よって、加盟国及び関連する EU 事業体に対し、被害者通知の目的も含め、欧州刑事警察機構、 CSIRTs Network 及び CERT-EU と同様に、各国の CSIRTs と法執行機関の間、及び EU レベルでの構造的かつ適切な情報交換を促進するよう要請する。
25. Given the cyber threat landscape and the fast pace of technological development, HIGHLIGHTS the importance of comprehensive cooperation between civilian and military domains, including between EU cooperation networks. WELCOMES the progress made by Member States and relevant Union entities in implementing the EU Cyber Defence Policy.  25. サイバー脅威の状況及び技術開発の速いペースを考慮し、EUの協力ネットワーク間を含む、文民及び軍事領域間の包括的協力の重要性を強調する。EUサイバー防衛政策の実施における加盟国および関連事業体の進展を歓迎する。
26. Building on the Commission Recommendation on coordinated response to large-scale cybersecurity incidents and crises, and on the provisions of Directive (EU) 2022/2555, guided by the Cyber Crisis Management Roadmap developed in the Council under the Czech Presidency, and without prejudice to the Member States’ sole responsibility for safeguarding national security. STRESSES the need to evaluate and further develop the EU cybersecurity crisis management framework integrating new developments and avoiding fragmented Union procedures.  26. 大規模サイバーセキュリティインシデントおよび危機への協調的対応に関する欧州委員会勧告、および指令(EU)2022/2555の規定に基づき、チェコ議長国の下、理事会で策定されたサイバー危機管理ロードマップを指針とし、加盟国の国家安全保障を守る唯一の責任を損なうことなく、EUサイバー防衛政策を実施する。EUのサイバーセキュリティ危機管理の枠組みを評価し、さらに発展させる必要性を強調する。
27. Therefore ENCOURAGES Member States to regularly take stock of progress achieved in the implementation of the Roadmap, CALLS upon the Commission to swiftly evaluate the current cybersecurity Blueprint and, on this basis, propose a revised Cybersecurity Blueprint in the form of a Council recommendation that will address the current challenges and complex cyber threat landscape, strengthen existing networks, enhance cooperation, and break silos between organisations, utilising to this end first and foremost existing structures. Furthermore, the revised Blueprint should rely on time-tested guiding principles of cooperation (proportionality, subsidiarity, complementarity and confidentiality of information) and expand them to the full crisis management lifecycle and should contribute to aligning and enhancing secure communication in the cybersecurity field. The revised Blueprint should ensure its compatibility with existing frameworks such as the IPCR, the EU Cyber Diplomacy Toolbox, the EU Hybrid Toolbox, the Law Enforcement Emergency Response Protocol (LERP), emerging frameworks such as the Critical Infrastructure Blueprint, sectoral procedures, and overall crisis management structures within Union entities, involving also the High Representative and Europol. In this revised Blueprint, the role of the Commission, the High Representative and ENISA, in line with their competences, should focus in particular on supporting horizontal coordination.  27. したがって、加盟国に対し、ロードマップの実施において達成された進捗状況を定期的に把握するよう求めるとともに、欧州委員会に対し、現行のサイバーセキュリティの青写真を速やかに評価し、そのうえで、現在の課題と複雑なサイバー脅威の状況に対処し、既存のネットワークを強化し、協力を強化し、組織間の縦割りを解消し、そのために何よりもまず既存の構造を活用するような、改訂版サイバーセキュリティの青写真を理事会勧告の形で提案するよう求める。さらに、改訂された青写真は、従来から定評のある協力の指導原則(比例性、補完性、相補性、情報の機密性)に依拠し、それを危機管理のライフサイクル全体に拡大し、サイバーセキュリティ分野における安全なコミュニケーションの調整と強化に貢献するものでなければならない。改訂された青写真は、IPCR、EUサイバー外交ツールボックス、EUハイブリッド・ツールボックス、法執行緊急対応プロトコル(LERP)などの既存の枠組み、重要インフラ青写真などの新たな枠組み、セクター別の手順、上級代表や欧州刑事警察機構も関与するEU事業体内の全体的な危機管理構造との互換性を確保すべきである。このブループリントの改訂において、欧州委員会、上級代表およびENISAの役割は、それぞれの権限に基づき、特に水平的な協調を支援することに重点を置くべきである。
28. UNDERLINES that frequent cybersecurity exercises and training, including, possibly, involving the private sector, strengthen resilience and can effectively decrease the costs, duration and severity of cyber security incidents in organisations. EMPHASIZES that upon its adoption, the new revised Blueprint should be tested as early and to the fullest extent possible, at a technical, operational and political level.  28. サイバーセキュリティの頻繁な演習と訓練は、場合によっては民間セクターの参加も含め、レジリエンスを強化し、組織におけるサイバーセキュリティインシデントのコスト、期間、重大性を効果的に減少させることができることを強調する。改訂された新しい青写真は、その採択後、可能な限り早期に、技術的、運用的、政治的レベルでテストされるべきであることを強調する。
THE INTERNAL/EXTERNAL NEXUS FOR CYBERSECURITY POLICY  サイバーセキュリティ政策の内部と外部の関連性 
29. UNDERSCORES that cybersecurity in the European Union cannot be tackled in a vacuum. and that an active international cyber policy, including in the UN, NATO, OSCE, ITU, Council of Europe and other multilateral and multistakeholder organisations, is an essential contribution to European cybersecurity. A strong European cybersecurity is also key for the European diplomatic posture. Synergies between the EU’s internal and external cyber initiatives should be captured where possible. STRESSES that a secure cyberspace is not only defined at the nexus between internal and external European policy, but also between the digital and the security domains, as well as between the civilian and the defence domain. In this context, the European efforts regarding cyber capacity building, cyber diplomacy and cyber defence via various Council conclusions and instruments contribute significantly to European cybersecurity. STRESSES the importance of pragmatic cooperation while safeguarding the distinction between civilian and military, as well as national and European roles and responsibilities. In full respect of the agreed guiding principles on EU-NATO cooperation, in particular reciprocity, inclusiveness, decision-making autonomy and full transparency towards all Member States, EMPHASISES the importance of close EU-NATO cooperation on emerging and disruptive technologies in view of creating synergies and avoiding unnecessary duplication.  29. また、国連、NATO、OSCE、ITU、欧州評議会、その他の多国間およびマルチステークホルダー組織を含む、積極的な国際サイバー政策が欧州のサイバーセキュリティに不可欠な貢献であることを支持する。強力な欧州のサイバーセキュリティは、欧州の外交姿勢にとっても重要である。EUの内外のサイバー・イニシアチブ間の相乗効果を可能な限り取り込むべきである。安全なサイバー空間は、欧州の内政と外政の接点で定義されるだけでなく、デジタル領域と安全保障領域、さらには文民領域と防衛領域の間でも定義されることを強調する。この観点から、欧州理事会の様々な結論や文書を通じたサイバー能力構築、サイバー外交、サイバー防衛に関する欧州の取り組みは、欧州のサイバーセキュリティに大きく貢献している。文民と軍事の区別、国内と欧州の役割と責任を守りつつ、現実的な協力を行うことの重要性を強調する。EU-NATO協力に関する合意された指導原則、特に相互主義、包括性、意思決定の自主性、全加盟国に対する完全な透明性を十分に尊重し、相乗効果を生み出し、不必要な重複を避けるという観点から、新興技術および破壊的技術に関するEU-NATOの緊密な協力の重要性を強調する。
30. INVITES the Member States and relevant EU entities to engage with countries and actors outside of the Union in order to increase international cooperation against cybercrime. In this regard, WELCOMES the work of the Counter Ransomware Initiative (CRI) and the commitment of the EU, its Member States and entities to the CRI’s Joint Statement on Ransomware Payments as well as the work carried out in cooperation with third states including through EMPACT.  30. サイバー犯罪に対する国際協力を強化するため、加盟国および関連するEU事業体に対し、EU域外の国および関係者と関与するよう求める。この観点から、ランサムウェア対策イニシアティブ(CRI)の活動、ランサムウェアの支払いに関するCRIの共同声明に対するEU、加盟国および事業体のコミットメント、ならびに、EMPACTを含む第三国との協力による活動を歓迎する。
31. UNDERLINES the importance of fostering the European market for trusted digital products. HIGHLIGHTS in this context the adoption of the Cyber Resilience Act that will enhance the overall level of security for all products with digital elements and also UNDERLINES the importance of EU cybersecurity certification schemes. WELCOMES in this context the ongoing transatlantic cooperation, including through the agreement of an EU-US Joint Cyber Safe Product Action Plan to prepare the ground to explore mutual recognition on cybersecurity requirements for IoT hardware and software. WELCOMES the contribution of these efforts to a strong international ecosystem.  31. 信頼できるデジタル製品のための欧州市場を育成することの重要性を強調する。この観点から、デジタル要素を含むすべての製品の全体的なセキュリティレベルを強化するサイバーレジリエンス法の採択を強調するとともに、EUのサイバーセキュリティ認証制度の重要性を強調する。この観点から、IoTハードウェアおよびソフトウェアのサイバーセキュリティ要件に関する相互承認を模索するための基盤を整えるためのEU・米国共同サイバーセーフ製品行動計画の合意を含む、現在進行中の大西洋を越えた協力を歓迎する。強力な国際的エコシステムへのこうした努力の貢献を歓迎する。
32. RECALLS that secure, resilient, accessible, available and affordable digital infrastructure and connectivity solutions are a decisive factor for economic and social progress and development opportunities in third countries; ensuring rights and freedoms of citizens and enabling trusted transactions between citizens, businesses and governments. STRESSES that cyber capacity building and its contribution to the cybersecurity of digital infrastructure is a condition for the transition into a safe, secure and responsible digital society, which contributes also to improving the EU’s collective cybersecurity. EMPHASISES the importance of the Teams Europe approach and calls on the Member States, Commission and High Representative and to strengthen this in cyber capacity building. STRESSES the need to create awareness on the importance of secure connectivity and trusted suppliers in third countries, including by offering technical assistance and by sustaining investment in secure and trusted connectivity, which incentivises increased alignment with the EU Toolbox on 5G cybersecurity.  32. 安全で、レジリエンスがあり、アクセス可能で、利用可能で、安価なデジタル・インフラと接続ソ リューションは、第三国における経済的・社会的進歩と開発の機会にとって決定的な要素であり、市民の権利 と自由を確保し、市民、企業、政府間の信頼できる取引を可能にするものであることを想起する。サイバー・キャパシティ・ビルディングとデジタル・インフラのサイバーセキュリティへの貢献は、安全、安心かつ責任あるデジタル社会への移行の条件であり、EU全体のサイバーセキュリティの改善にも寄与することを強調する。チーム・ヨーロッパのアプローチの重要性を強調し、加盟国、欧州委員会および上級代表者に対し、サイバー能力構築においてこれを強化するよう求める。技術支援を提供し、安全で信頼できる接続への投資を持続させることにより、5Gサイバーセキュリティに関するEUツールボックスとの整合性を高める動機付けを与えることを含め、第三国における安全な接続と信頼できる輸入事業者の重要性に関する認識を高める必要性を強調する。
33. UNDERLINES that the integration of geopolitical considerations into technical endeavours, such as the EU Toolbox on 5G cybersecurity, coordinated risk assessments or specific certification schemes, can present a challenge. This must be approached with due regard for European market principles, while effectively addressing threats and risks. WELCOMES the progress made by Member States in implementing the measures of the EU Toolbox on 5G cybersecurity. However STRESSES the need to complete its implementation in view of minimising exposure to high-risk suppliers and of avoiding dependency on these suppliers at national and EU level. ACKNOWLEDGES the commitments made by the Commission in its Communication from June 2023 to avoid exposure of its corporate communications to mobile networks using high-risk suppliers as well as to make its assessment available for the design of all relevant EU funding programmes and instruments. 33. 5Gサイバーセキュリティに関するEUツールボックス、協調リスクアセスメント、特定の認証スキームなどの技術的な取り組みに地政学的な配慮を統合することは、課題となり得ることを強調する。これは、脅威とリスクに効果的に対処する一方で、欧州市場の原則に十分配慮して取り組まれなければならない。加盟国による5Gサイバーセキュリティに関するEUツールボックスの措置の実施の進展を歓迎する。しかしながら、リスクの高い供給業者へのエクスポージャーを最小化し、国内およびEUレベルでこれらの供給業者への依存を回避する観点から、その実施を完了する必要性を強調する。欧州委員会が、2023年6月のコミュニケーションにおいて、リスクの高い供給業者を利用したモバイルネットワークへの企業通信のエクスポージャーを回避するとともに、その評価をすべての関連するEUの資金調達プログラムや手段の設計に利用できるようにすることを約束したことをアセスメントする。
THE CYBERSECURITY DIMENSION OF EMERGING AND DISRUPTIVE TECHNOLOGIES  新興技術および破壊的技術のサイバーセキュリティの側面 
34. STRESSES the attention needed from an EU cybersecurity policy perspective to the challenges and opportunities presented by emerging and disruptive technologies that are critical to our future development such as AI, quantum and 6G technology. RECOGNISES their potential to introduce game-changing threats to cybersecurity and UNDERSCORES the necessity of addressing these developments with sufficient care and attention. ACKNOWLEDGES at the same time the potential opportunities in the cybersecurity field these technologies offer, including technologies aiming to protect the confidentiality of digital communications such as end-to-end encryption, enhance protection measures and scale-up CSIRT services. Therefore, INVITES Member States, the Commission, ENISA and the NIS Cooperation Group to consider concrete non-legislative risk-based initiatives such as roadmaps and action plans to further guide EU action in this area, incentivising innovation and addressing risks efficiently by leveraging a broad range of existing tools and mechanisms. RECALLING that the use and development of technologies should respect human rights, be privacy-focused and that their use is lawful, safe and ethical. 34. EUのサイバーセキュリティ政策の観点から、AI、量子技術、6G技術など、我々の将来の発展に不可欠な新興技術や破壊的技術がもたらす課題と機会に注意を払う必要があることを強調する。サイバーセキュリティを大きく変える脅威をもたらす可能性を認識し、十分な注意と配慮をもってこれらの開発に取り組む必要性を支持する。同時に、エンドツーエンドの暗号化などデジタルコミュニケーションの機密性を保護する技術、保護対策の強化、CSIRTサービスの拡大など、これらの技術がサイバーセキュリティ分野にもたらす潜在的な機会についても言及する。よって、加盟国、欧州委員会、ENISAおよびNIS協力グループに対し、この分野におけるEUの行動をさらに導き、技術革新にインセンティブを与え、広範な既存のツールやメカニズムを活用することによりリスクに効率的に対処するための、ロードマップや行動計画といった、法律に基づかない具体的な取り組みを検討するよう要請する。技術の使用と開発は、人権を尊重し、プライバシーを重視し、その使用が合法的、安全かつ倫理的であるべきであることを想起する。
35. UNDERLINES that the transition to Post-Quantum Cryptography (PQC) has clear priority to protect classified and sensitive information in anticipation of the threats posed by future cryptographically relevant quantum computers. In this regard, ACKNOWLEDGES the Commission Recommendation on a Coordinated Implementation Roadmap for the transition to PQC addressing the current and future cybersecurity needs in Union entities, national public administrations and other critical infrastructure, taking into consideration the rapidly evolving computing power and novel trends in technologies. ENCOURAGES Member States to further engage and exchange views on activities and strategic decisions for the transition to PQC. RECOGNIZES that the transition to PQC may require hybrid schemes that combine this technology with existing cryptographic approaches. In the future, further improvements could allow quantum key distribution to also contribute to secure communications.  35. ポスト量子暗号(PQC)への移行は、暗号に関連する将来の量子コンピュータがもたらす脅威を予期し、機密情報および機微情報を保護するために明確な優先順位があることを強調する。この点に関し、欧州委員会は、急速に進化する計算能力と斬新な技術動向を考慮し、欧州連合の事業体、各国公共行政機関、その他の重要インフラにおける現在および将来のサイバーセキュリティのニーズに対応する、PQCへの移行のための調整された実施ロードマップに関する欧州委員会勧告を承認する。加盟国に対し、PQCへの移行のための活動や戦略的決定について、さらなる関与と意見交換を行うことを奨励する。PQC への移行には、この技術と既存の暗号アプローチを組み合わせたハイブリッド方式が必要になる可能性があることを認識する。将来的には、更なる改善により、量子鍵配布が安全なコミュニケーションにも貢献する可能性がある。
36. RECOGNISES the role of free and open-source software as a major public good of the digital age as well as the special nature of many open-source development models. NOTES that, given its prevalence in supply chains, free and open-source software also remains a major cybersecurity challenge in the EU and globally. However, the inherent and unique advantage is that its entirely transparent nature allows for security vulnerabilities to be comprehensively addressed. Therefore, UNDERLINES the need to promote a consistent, coherent and transparent policy approach to free and open-source software including concrete measures aimed at supporting the security of free and open-source software projects that are of public interest or widely used across the European economy.  36. デジタル時代の主要な公共財としてのフリー・オープンソースソフトウェアの役割と、 多くのオープンソース開発モデルの特殊性を認識する。サプライチェーンにおける普及を考慮すると、フリーでオープンソースのソフトウェアもまた、EU および世界的なサイバーセキュリティの主要な課題であることに留意する。しかし、その固有のユニークな利点は、完全に透明な性質により、セキュリティの脆弱性に包括的に対処できることである。そのため、公共的な関心や欧州経済全体で広く利用されているフリー・オープンソースソフトウェア・プロジェクトのセキュリティを支援することを目的とした具体的な対策を含め、フリー・オープンソースソフトウェアに対する一貫性、一貫性、透明性のある政策アプローチを推進する必要性を強調する。
CONCLUSION  結論 
37. CONCLUDES that in light of the changed and rising threat level, the EU Cybersecurity Strategy from December 2020 should be reviewed, updating its objectives and approach, setting a clear framework with roles and responsibilities for all entities involved, straightforward and efficient coordination mechanisms and an enhanced cooperation with the private sector and academia. Therefore INVITES the Commission and the High Representative to assess the results and gaps of the current Strategy and its impact, and to present on this basis a revised strategy without undue delay, which will reflect these Conclusions.  37. 脅威のレベルの変化と高まりを踏まえ、2020年12月からのEUサイバーセキュリティ戦略を見直し、その目的とアプローチを更新し、関係するすべての事業体の役割と責任を明確にした枠組みを設定し、わかりやすく効率的な調整メカニズムを構築し、民間部門や学界との協力を強化すべきである。よって、欧州委員会および上級代表に、現行戦略の成果とギャップ、その影響を評価し、これに基づき、本結論を反映した改訂戦略を過度な遅延なく提示するよう求める。

 

[1] 12109/13
[2] 15585/14
[3] 16200/14
[4] 6122/15+COR 1
[5] 14540/16
[6] 14435/17 + COR 1
[7] 10474/17
[8] 10086/18
[9] 10496/18
[10] OJ L 320, 17.12.2018, p.28-34
[11] 7737/19
[12] 14517/19
[13] 9596/19
[14] 14972/19
[15] 8711/20
[16] 13629/20
[17] 7290/21
[18] 8396/21
[19] 13048/21
[20] 7371/22
[21] 9364/22
[22] 13664/22
[23] 15721/22 and 9618/23
[24] 14512/23
[25] 15423/22
[26] C(2023) 4049 Final

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

EUCC...

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2021.05.26 ENISA (IoT製品)サイバーセキュリティ認証 (Certification) EUCCスキーム候補

 

サイバーレジリエンス法

・2024.04.05 欧州 ENISA サイバーレジリエンス法要件標準マッピング - 共同研究センター&ENISA共同分析

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

サイバーセキュリティ法改正案の件...

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.04.21 欧州委員会 EUサイバー連帯法の提案 (2023.04.18)

 

 

・2024.01.09 欧州理事会 欧州連合の機構、団体、事務所および機関におけるサイバーセキュリティの高い共通レベルのための措置 (2023.12.13)

| | Comments (0)

2024.04.15

昨日は世界量子デー World Quantum Day

 こんにちは、丸山満彦です。

実は、一般社団法人 量子技術による新産業創出協議会 (Q-STAR)の監事をしており、量子技術とも関係がないわけではないのです...

2024.04.14は3度目の世界量子デー (World Quantum Day) [wikipedia]だったわけですが、日本ではQ-STARも含めて特にイベント等は開催されていないんですよね...

で、気になったのはFBIも世界量子デーについてコメントをだしていることですかね...経済安全保障的な文脈で...

要は、先端技術を盗もうとする国もあるから、気をつけろということのようです...

 

World Quantum Day

イベント

events

 

米国連邦政府の国家量子イニシアティブ (NQI) のウェブページ

The National Quantum Initiative (NQI)

世界量子デーの紹介ウェブページ

WORLD QUANTUM DAY APRIL 14, 2024

Wqd_2024_1080x1080_nodate1024x1024

 

で、気になったFBI...

ニュース 

・2024.04.12 The FBI Celebrates World Quantum Day

The FBI Celebrates World Quantum Day FBI が世界量子デーを祝う
On World Quantum Day, the FBI acknowledges the importance of protecting quantum information science and technology. Adversarial nation-states are aggressively attempting to obtain a strategic advantage over the United States and collect technologies that can be used for commercial and military applications to bolster their respective government’s policies that violate international norms, while damaging U.S. economic competitiveness and harming U.S. national and economic security. The FBI is working in tandem with our interagency and foreign security partners to safeguard quantum research, development, and intellectual property and to protect enabling technologies, materials, and maturing supply chains. 世界量子デーにあたり、FBIは量子情報科学技術を保護することの重要性を認識する。敵対的な国家は、米国に対する戦略的優位を獲得し、国際規範に違反する自国政府の政策を強化するために、商業的および軍事的に利用可能な技術を積極的に収集しようとしており、米国の経済競争力を損ない、米国の国家および経済の安全保障に害を及ぼしている。FBI は、省庁間および海外の安全保障パートナーと連携して、量子研究、開発、知的財産の保護、実現可能な技術、材料、成熟しつつあるサプライチェーンの保護に取り組んでいる。
QIS is an emerging field with the potential to revolutionize the fields of science and engineering. Globally, private investors and governments, including adversarial nations, are investing heavily in quantum technology research and development. The full range of potential applications of quantum computers and technology is unknown. QIS は、科学と工学の分野に革命をもたらす可能性を秘めた新興分野である。ガバナンスの世界では、敵対国を含む民間投資家や政府が量子技術の研究開発に多額の投資を行っている。量子コンピューターや量子技術の潜在的な応用範囲は未知数である。
As a participating agency in the National Counterintelligence Task Force, we coordinate with our government partners to protect emerging and disruptive technologies, including protecting the quantum research and development landscape. Through the NCITF’s Quantum Information Science Counterintelligence Protection Team, the FBI and our enforcement partners and other like-minded nations are working with industry, academic, and government labs to ensure a secure research environment. Our security partnerships with technology developers, investors, and end-users disrupt nation-state adversaries’ ability to undermine U.S. and like-minded nations’ quantum research goals. 我々は、国家防諜タスクフォースの参加機関として、量子コンピュータの研究開発を含め、新興技術や破壊的技術を保護するため、政府パートナーと連携している。NCITFの量子情報科学防諜チームを通じて、FBIと我々の執行パートナー、そして志を同じくする国々は、安全な研究環境を確保するために、産業、学術、政府の研究所と協力している。技術開発者、投資家、エンドユーザーとの安全保障上のパートナーシップは、米国や志を同じくする国々の量子研究の目標を損なう国家敵対勢力の能力を崩壊させる。
“Quantum information science and technology has the potential for enormous positive humanitarian impact, but its implications for our economic and national security are consequential as well,” said FBI Deputy Director Paul Abbate. “The Quantum Information Science Counterintelligence Protection Team (QISCPT) leverages partnerships across government, academia, and private industry to protect progress in this field and thwart nation-state and other adversaries’ efforts to steal innovations. The QISCPT is working within the interagency framework of the National Counterintelligence Task Force to ensure that the U.S. and like-minded nations do not lose momentum in the successful development of quantum technology.” 「量子情報科学と量子技術は、人道的に多大なプラスの影響を与える可能性を秘めているが、我々の経済と国家安全保障にも重大な影響を与える」と、FBIのポール・アベイト副長官は述べた。「量子情報科学防諜チーム(QISCPT)は、この分野の進歩を保護し、イノベーションを盗み出そうとする国家やその他の敵対勢力の努力を阻止するために、政府、学界、民間企業のパートナーシップを活用している。QISCPTは、国家防諜タスクフォースという省庁間の枠組みの中で、米国と志を同じくする国々が量子技術開発の成功の勢いを失うことがないように取り組んでいる。
For additional information about QIS and the FBI’s mission to protect quantum research and development, please visit fbi.gov/QIS. QISと、量子研究開発を保護するFBIの使命についての詳細は、fbi.gov/QISを参照のこと。

Protecting Quantum Science and Technology 量子科学技術の防護
Foreign adversaries are increasingly targeting a wide range of U.S. quantum companies, universities, and government labs 外国の敵は、米国の量子関連企業、大学、政府の研究所を幅広く狙うようになってきている。
World Quantum Day, April 14, was initially conceived to ignite interest and generate enthusiasm for quantum mechanics. It has since morphed into so much more. Quantum information science is an emerging field with the potential to create revolutionary advances in science and engineering and drive innovation across the U.S. economy. 4月14日の世界量子デーは、当初、量子力学への関心と熱意を喚起するために考案された。それ以来、この日はそれ以上のものに変化している。量子情報科学は、科学と工学に革命的な進歩をもたらし、米国経済全体のイノベーションを推進する可能性を秘めた新興分野である。
When new technologies are the product of American ideas and research, it's the FBI's and our security partner agencies' job to protect them. Today, adversarial nation-states are aggressively attempting to obtain a strategic advantage over the U.S. by stealing U.S. technologies and research know-how to help bolster their respective government's policies that violate international norms—including respect for rule of law, fair trade, and full scientific research collaborative reciprocity—while damaging U.S. economic competitiveness and harming U.S. national and economic security. 新しい技術が米国人のアイデアと研究の産物である場合、それを保護するのはFBIと安全保障上のパートナー機関の仕事である。今日、敵対する国家は、米国の技術や研究ノウハウを盗むことによって、米国に対する戦略的優位を得ようと積極的に試みている。それは、法の支配の尊重、公正な貿易、完全な科学研究協力の互恵性など、国際規範に反する自国政府の政策を後押しするためであり、同時に米国の経済競争力を損ない、米国の国家安全保障と経済安全保障に害を及ぼすものである。
The National Counterintelligence Task Force's (NCITF) Quantum Information Science Counterintelligence Protection Team (QISCPT) unites the FBI with our intelligence and security partners to protect quantum information science and technology developed in the U.S. and like-minded nations. 国家防諜タスクフォース(NCITF)の量子情報科学防諜チーム(QISCPT)は、FBIと諜報・安全保障のパートナーを結束させ、米国や志を同じくする国々で開発された量子情報科学技術を保護している。
Members of the quantum ecosystem, composed of industry, academia, national labs, investors and end users, best understand the future implications of their research and development efforts. 産業界、学術界、国立研究所、投資家、エンドユーザーで構成される量子エコシステムのメンバーは、自分たちの研究開発努力が将来どのような意味を持つかを最もよく理解している。
"Quantum information science and technology has the potential for enormous positive humanitarian impact, but its implications for our economic and national security are consequential as well," said FBI Deputy Director Paul Abbate. 「量子情報科学技術は、人道的に甚大な効果をもたらす可能性を秘めているが、我々の経済や国家安全保障にも重大な影響を及ぼす」とFBIのポール・アベイト副長官は述べた。
"The Quantum Information Science Counterintelligence Protection Team leverages partnerships across government, academia, and private industry to protect progress in this field and thwart nation-state and other adversaries' efforts to steal innovations. The QISCPT is working within the interagency framework of the National Counterintelligence Task Force to ensure that the U.S. and like-minded nations do not lose momentum in the successful development of quantum technology." 「量子情報科学防諜チームは、政府、学術界、民間企業のパートナーシップを活用し、この分野の進歩を保護し、国家やその他の敵対勢力がイノベーションを盗み出そうとする動きを阻止する。QISCPTは、国家防諜タスクフォースという省庁間の枠組みの中で活動しており、米国や同様の考えを持つ国々が、量子技術開発の成功の勢いを失うことがないようにする。"
What is Quantum Information Science? 量子情報科学とは何か?
Quantum mechanics examines the properties and behaviors of the smallest particles that make up everything around us. 量子力学は、私たちの身の回りのあらゆるものを構成する最小の粒子の性質と振る舞いを調べるものである。
In the quantum world—at the scale of molecules, atoms, and electrons—the laws of physics become peculiar and behave differently than in the physical world we can see. GPS systems, MRI technology, and the lasers that enable today's internet are examples of technology developed thanks to quantum mechanics. But in the emerging field of quantum information science, researchers are further exploring how to control the behavior of these quantum systems to create next-generation technologies for imaging, sensing, computing, modeling, and communication. 分子、原子、電子といったスケールの量子の世界では、物理法則が特異なものとなり、目に見える物理世界とは異なる振る舞いをする。GPSシステム、MRI技術、今日のインターネットを可能にするレーザーなどは、量子力学のおかげで発展した技術の一例である。しかし、量子情報科学という新たな分野では、研究者たちがこれらの量子システムの振る舞いを制御し、イメージング、センシング、コンピューティング、モデル制御、コミュニケーションなどの次世代技術を生み出す方法をさらに探求している。
Quantum information science could give rise to the quantum computer—computers that can perform certain mathematical computations impossible for traditional computers—which scientists theorize could advance research in communication networks, new drugs, new materials, more defined medical imaging, microelectronics, and semiconductors. 量子情報科学は、量子コンピューター(従来のコンピューターでは不可能だった数学的計算を可能にするコンピューター)を生み出す可能性があり、科学者たちは、コミュニケーション・ネットワーク、新薬、新素材、より明確な医療用画像処理、マイクロエレクトロニクス、半導体などの研究を前進させることができると理論化している。
As a result of the transformational innovations quantum can offer, private investors and governments, including adversarial nations, are investing heavily in quantum technology research and development. 量子がもたらす革新的な技術により、敵対国を含む民間投資家や政府は、量子技術の研究開発に多額の投資を行っている。
The Threat of Economic Espionage    経済スパイの脅威   
As scientists race to develop these technologies, hostile nation-states stealing research and trade secrets is a key risk. 科学者たちがこれらの技術の開発にしのぎを削る中、敵対する国家が研究や企業秘密を盗むことは重要なリスクである。
Some nation-states, such as the People’s Republic of China (PRC), seek to fast-track getting these advanced tools through illegal or otherwise illicit technology transfer—for instance, illegally taking technology from companies or academic institutions and transferring it to the adversary government for its own use. 中華人民共和国(PRC)のような一部の国家は、企業や学術機構から技術を不法に取得し、敵対する政府に移転して自国が使用するなど、不法または不正な技術移転を通じて、これらの先端ツールを迅速に入手しようとしている。
When it comes to economic espionage, the government of China is using every possible avenue to steal U.S. companies' innovation and is engaged in a well-resourced and systematic campaign to steal our intellectual property, compromise the integrity of our academic institutions, and put our companies out of business in pursuit of the "innovation-driven" economic growth highlighted in their Five-Year and Made in China 2025 strategic plans. 経済スパイに関しては、中国政府はあらゆる手段を使って米国企業のイノベーションを盗み、5カ年計画やメイド・イン・チャイナ2025戦略計画で強調されている「イノベーション主導」の経済成長を追求するために、米国企業の知的財産を盗み、学術機構の完全性を損ない、米国企業を廃業に追い込むという、十分な資源と体系的なキャンペーンを展開している。
More specifically, the PRC’s Five-Year Plan identifies major technologies China wants to develop within that period, such as semiconductors, quantum computing, artificial intelligence, machine learning, new energy, biotechnology, aerospace, robotics, and the devices and software that contribute to the manufacturing process of any of these technologies. 具体的には、中国の5カ年計画では、半導体、量子コンピューティング、人工知能、機械学習、新エネルギー、バイオテクノロジー、航空宇宙、ロボット工学、およびこれらの技術の製造プロセスに貢献するデバイスやソフトウェアなど、中国がその期間内に開発したい主要技術を特定している。
In March 2023, China and Russia agreed to deepen their scientific and other cooperation, benefiting their respective militaries' technology research goals, including nuclear programs. 2023年3月、中国とロシアは、核開発計画を含む両軍の技術研究目標に資するため、科学その他の協力を深めることに合意した。
Investigating and preventing economic espionage and illicit technology transfer to adversarial governments are among the FBI's most important work, as the United States' economic and national security are inextricably linked. Stolen innovation is not just the theft of one idea—it could also result in lost jobs and stolen opportunities for American workers, decreased national power, and reduced leadership in the industries hostile nations seek to dominate in the decades to come. 米国の経済と国家安全保障は切っても切れない関係にあるため、経済スパイや敵対政府への不正技術移転の捜査と防止は、FBIの最も重要な業務のひとつである。盗まれた技術革新は、単に1つのアイデアが盗まれただけでなく、米国の労働者の雇用や機会を奪い、国力を低下させ、敵対国が今後数十年の間に支配しようとする産業におけるリーダーシップを低下させることになりかねない。
Safeguarding Scientific Research and Technology  科学研究と技術を守る 
The FBI and our NCITF partners have developed security partnerships with technology developers, investors, and end-users to thwart adversaries' efforts to steal quantum innovations. To aid in keeping the quantum field safe, we are increasing outreach to government research agencies, private sector companies, and academic institutions to help bolster the industry’s cybersecurity defenses and to coordinate any counterintelligence investigations associated with quantum technology. FBIとNCITFのパートナーは、技術開発者、投資家、エンドユーザーとセキュリティ・パートナーシップを構築し、敵対国による量子技術革新の盗用を阻止している。量子分野の安全を守るため、政府研究機関、民間企業、学術機構への働きかけを強化し、業界のサイバーセキュリティ防御を強化するとともに、量子技術に関連するあらゆる防諜調査を調整している。
Partnerships are vital—the threat from foreign intelligence adversaries has become increasingly complex as they employ an all-tools approach that includes non-traditional collectors, economic and academic influence, and other asymmetric intelligence operations. As a result, no single U.S. counterintelligence agency can fully understand or mitigate these operations on its own. The NCITF, which comprises over 45 government agencies, was born out of this idea. A component of its mission is to protect the quantum research and development landscape, covering all efforts across and within government, academia, and the private sector. パートナーシップは不可欠である。外国の情報敵対者の脅威は、非伝統的な収集者、経済的・学術的影響、その他の非対称的な諜報活動など、あらゆる手段を駆使するため、ますます複雑化している。その結果、米国の防諜機関が単独でこれらの活動を完全に理解したり、軽減したりすることはできない。45以上の政府機関で構成されるNCITFは、このような考えから生まれた。NCITFの使命のひとつは、量子研究開発の現場を保護することであり、政府、学界、民間部門にまたがるあらゆる取り組みを対象としている。
Within NCITF, the Quantum Information Science Counterintelligence Protection Team (QISCPT) is an interagency unit tasked with protecting the quantum information science technology developed by the U.S. and like-minded nations. This team was created as a result of the National Quantum Initiative Act of 2018, which established a coordinated federal program to provide and support accelerated quantum research for the economic and national security of the U.S. NCITFの中で、量子情報科学防諜チーム(QISCPT)は、米国と志を同じくする国々が開発した量子情報科学技術を保護することを任務とする省庁間ユニットである。このチームは、米国の経済的・国家的安全保障のために加速された量子研究を提供・支援する連邦政府の協調プログラムを設立した2018年国家量子イニシアティブ法の結果として創設された。
The QISCPT puts the FBI and our intelligence and security agency partners within arm's reach of representatives from all government agencies—not just the law enforcement and intelligence communities—and in contact with key players in the quantum information science and technology ecosystem. This access allows us strategic agility and deep insight into the strengths and vulnerabilities of the field, allowing us to form a nuanced threat picture and positions us to help protect vital U.S. innovation and security. QISCPTにより、FBIと情報・安全保障機関のパートナーは、法執行・インテリジェンス・コミュニティだけでなく、すべての政府機関の代表者と手が届く距離になり、量子情報科学・技術のエコシステムの主要人物と接触できるようになった。このようなアクセスにより、私たちは戦略的敏捷性と、この分野の長所と脆弱性に対する深い洞察力を得ることができ、ニュアンスの異なる脅威のイメージを形成し、重要な米国の技術革新と安全保障の保護に貢献することができる。
The FBI and our NCITF intelligence and security partners understand the value and importance of a diverse workforce, especially in research and innovation environments. International collaboration in emerging technology fields is a boon to U.S. industry and academia. The issue arises when talented foreign researchers, investors and end users are exploited by adversary governments to commit illegal or otherwise illicit acts. It is our mission to stop innocent people from being victimized by an adversary nation state—no matter the nationality of the person transferring the information. FBIとNCITFの諜報・安全保障パートナーは、特に研究・革新環境における多様な人材の価値と重要性を理解している。新興技術分野における国際協力は、米国の産業界や学界にとって恩恵である。問題は、有能な外国人研究者、投資家、エンドユーザーが、敵対する政府によって違法行為やその他の不正行為に悪用された場合に生じる。情報提供者の国籍に関係なく、罪のない人々が敵対国の犠牲になるのを阻止するのが私たちの使命である。
How to Protect Your Research   研究を防御する方法  
Research security built into funding proposals opens the opportunity for scientists and engineers to maintain progress towards their research goals. The following are recommended guidelines to assist in protecting your research:  資金提供プロポーザルに組み込まれた研究セキュリティは、科学者やエンジニアが研究目標に向かって前進し続ける機会を提供する。以下は、研究を保護するために推奨されるガイドラインである: 
・Establish simple systems to report suspicious activities. ・疑わしい活動を報告する簡単なシステムを確立する。
・Security personnel should continuously monitor networks and physical access. ・セキュリティ担当者は、ネットワークと物理的アクセスを継続的なモニタリングする。
・Consider having research and business partners sign nondisclosure agreements. ・研究パートナーやビジネスパートナーに秘密保持契約を結んでもらう ことを検討する。
・Beware of funding and collaboration offers that could be used by an adversary or competitor. ・敵対者や競合他社に利用される可能性のある資金提供や共同研究 の申し出に注意する。
・Identify whether primary, secondary, and third-party business partners and supply chain are subject to foreign control. ・プライマリー、セカンダリー、サードパーティ のビジネスパートナーやサプライチェーンが外国 の支配下にあるかどうかを識別する。
・Require researchers to disclose foreign research and funding associations. ・研究者に対し、外国での研究および資金提供の関係を開示するよう求める。
・Be cautious of extensive information inquiries, complex shipping arrangements, or products from foreign entities.  ・外国事業体からの広範な情報照会、複雑な出荷手配、製品に注意する。
In addition, be on the alert for the following—they are warning signs a bad actor may be trying to steal your organization’s quantum research or product:  さらに、以下のようなものにも警戒すること。これらは、悪者があなたの組織の量子研究や製品を盗もうとしているかもしれない警告サインである: 
・Quantum information science program associations that are influenced or controlled by an adversary third country. ・敵対する第三国の影響を受けていたり、支配されていたりする量子情報科学プログラム団体。
・Customers with overly complicated shipping instructions or middle men. ・過度に複雑な出荷指示や仲介者を持つ顧客。
・Persons encouraging research collaboration with unusual requests. ・通常とは異なる要求で研究協力を促す人物。
・Unusually large or illogical orders of complete or partial quantum information science-related hardware and products.  ・量子情報科学に関連するハードウェアや製品の全部または一部を、異常に大量または非論理的に注文する。
・Invitations from unknown or unvetted entities to travel abroad to teach or collaborate on critical research. ・未知の事業体から、重要な研究の指導や共同研究のために海外に渡航するよう誘われる。
・Emails from unknown or suspicious senders. ・不明または疑わしい送信者からの電子メール
・Unusual network traffic. ・異常なネットワークトラフィック

 

 

| | Comments (0)

2024.02.24

世界経済フォーラム (WEF) 金融セクターのための量子セキュリティ - グローバルな規制アプローチへの情報提供

こんにちは、丸山満彦です。

耐量子暗号への移行については、いろいろと大変であろうことは多くの方は認識していると思いますが、特に金融セクターは独特のシステムが多いと想定されることと、社会への影響が大きいので、その移行は慎重かつ確実に行う必要があるため、さらに大変なのだろうと思います...

 

World Economic Forum - Whitepaper

・2024.02.17 Quantum Security for the Financial Sector: Informing Global Regulatory Approaches

Quantum Security for the Financial Sector: Informing Global Regulatory Approaches 金融セクターの量子セキュリティ: グローバルな規制アプローチへの情報提供
This white paper, developed by the World Economic Forum in collaboration with the Financial Conduct Authority, offers guidance for businesses and regulators to ensure a collaborative and globally harmonized approach to quantum security. このホワイトペーパーは、世界経済フォーラムが金融行動監視機構と共同で作成したもので、量子セキュリティに対する協調的かつグローバルに調和したアプローチを確保するために、企業と規制当局にガイダンスを提供するものである。
This white paper, developed by the World Economic Forum in collaboration with the Financial Conduct Authority, offers guidance for businesses and regulators to ensure a collaborative and globally harmonized approach to quantum security. このホワイトペーパーは、世界経済フォーラムが金融行動監視機構と共同で作成したもので、量子セキュリティに対する協調的かつグローバルに調和したアプローチを確保するためのガイダンスを企業と規制当局に提供するものである。
Quantum technologies have the potential to revolutionize financial services, improving computation, modelling and fraud detection. However, they also pose significant cybersecurity risks of systemic disruptions. These risks underscore the need for a unified, global and cross-industry approach to quantum security. 量子技術は、計算、モデリング、不正検知を改善し、金融サービスに革命をもたらす可能性を秘めている。しかし、量子技術はシステム破壊という重大なサイバーセキュリティ・リスクをもたらす。これらのリスクは、量子セキュリティに対する統一された、グローバルかつ業界横断的なアプローチの必要性を強調している。

 

・[PDF]

20240224-05601

・[DOCX] 仮訳

・[PDF] 仮訳

 

 

目次...

Contents 内容
Foreword まえがき
Executive summary エグゼクティブサマリー
Introduction 序文
Emerging quantum risks and opportunities in the financial sector 金融セクターにおける新たな量子リスクと機会
Taking a harmonized approach to quantum security 量子セキュリティーへの調和の取れたアプローチ
Bringing together industry and regulatory authorities 産業界と認可当局を結びつける
1. Current landscape 1. 現在の状況
Regulatory perspective 規制の観点
Industry perspective 業界の視点
Joint regulator-industry perspective 規制当局と業界の共同視点
2. Guiding principles 2. 指針
Reuse and repurpose 再利用と再目的化
Establish non-negotiables 譲れないものを確立する
Increase transparency 透明性を高める
Avoid fragmentation 断片化を避ける
3. Industry-regulator journey to a quantum- secure economy 3. 量子安全経済への産業界と規制当局の旅
Phase 1. Prepare 第1段階:準備
Phase 2: Clarify 第2段階:明確化
Phase 3: Guide 第3段階:ガイド
Phase 4: Transition and monitor 第4段階:移行とモニタリング
Conclusion 結論
Appendix 附属書
Contributors 貢献者
Endnotes 巻末資料

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー 
This paper presents four guiding principles and a roadmap to inform global regulatory and industry approaches for a quantum- secure financial sector. 本稿では、量子的な安全性を持つ金融セクターの実現に向けたグローバルな規制・産業界のアプローチについて、4つの指針とロードマップを提示する。
In an era marked by rapid digitalization, the financial sector stands on the brink of a transformation from a digital economy to a quantum economy. Quantum computing promises to revolutionize operations across the financial sector, with the potential to disrupt portfolio management and improve risk management. However, it also comes with challenges, as quantum computing could render most current encryption schemes obsolete, threatening consumer protections and the integrity of digital infrastructures and economies. The severity of these risks, combined with an uncertain timeline to transition to new security models, requires stakeholders to take proactive measures. 急速なデジタル化が進む中、金融セクターはデジタル経済から量子経済への転換の瀬戸際に立たされている。量子コンピューティングは、ポートフォリオマネジメントを破壊し、リスクマネジメントを改善する可能性を秘めており、金融セクター全体のオペレーションに革命をもたらすことを約束している。しかし、量子コンピューティングには課題も伴う。量子コンピューティングによって、現在の暗号化スキームのほとんどが時代遅れになり、消費者保護やデジタルインフラと経済の完全性が脅かされる可能性があるからだ。このようなリスクの深刻さに加え、新たなセキュリティモデルへの移行スケジュールが不透明であることから、関係者は事前対策を講じる必要がある。
Addressing quantum-enabled cybersecurity risks in the financial sector is a complex task, given the sector’s legacy infrastructure, the nature of quantum technology, and the interconnectedness of the industry. The global nature of the financial sector and the common threat posed by quantum technology require close collaboration between industry and regulators. Recognizing the need for a coordinated approach, the World Economic Forum, in collaboration with the Financial Conduct Authority (FCA), initiated a dialogue to help the financial sector transition to a quantum-secure future. This effort brought together regulators, central banks, industry players and academia for coordinated roundtables and curated discussions.  金融セクターのレガシーインフラ、量子技術の性質、業界の相互接続性を考慮すると、金融セクターにおける量子技術を活用したサイバーセキュリティリスクに対処することは複雑な課題である。金融セクターのグローバルな性質と量子技術がもたらす共通の脅威は、産業界と規制当局の緊密な連携を必要とする。協調したアプローチの必要性を認可した世界経済フォーラムは、金融行動監視機構(FCA)と協力し、金融セクターが量子的安全性の高い未来に移行するのを支援するための対話を開始した。この取り組みでは、規制当局、中央銀行、業界関係者、学識経験者が一堂に会し、調整された円卓会議やキュレートされた議論が行われた。
This collaborative approach produced four guiding principles along with a roadmap to serve as a blueprint to reduce complexity and align stakeholders’ activities. These principles, to reuse and repurpose, establish non-negotiables, avoid fragmentation and increase transparency, are overarching and should inform actions throughout the transition to a quantum-secure economy.  この協力的なアプローチにより、複雑さを軽減し、利害関係者の活動を調整するための青写真となるロードマップとともに、4つの指針が生み出された。これらの原則は、再利用と再目的化、譲れない事項の設定、断片化の回避、透明性の向上など包括的なものであり、量子安全保障経済への移行全体を通しての行動に反映されるべきものである。
The transition itself is a journey, and this paper provides a four-phase roadmap: prepare, clarify, guide, and transition and monitor. This roadmap will help the financial sector establish a more collaborative, harmonized and globally informed approach, ensuring that the financial sector is well-prepared for the security challenges that the quantum transition poses. This paper establishes the groundwork for future discussions between industry stakeholders and regulatory authorities towards a quantum-secure financial sector.  移行そのものが旅であり、本稿は「準備」「明確化」「ガイド」「移行とモニタリング」という4段階のロードマップを提供する。このロードマップは、金融セクターがより協調的、調和的でグローバルな情報に基づいたアプローチを確立し、金融セクターが量子移行がもたらすセキュリティの課題に対して十分な備えができることを保証するものである。本稿は、量子セキュリティの金融セクターに向けた、業界関係者と規制当局の今後の議論に向けた基盤を確立するものである。

 

 

 

 

| | Comments (0)

2024.02.05

NATO 量子技術戦略の概略 (2024.01.17)

こんにちは、丸山満彦です。

NATOという軍隊における量子技術の利用、対応等についての戦略の概要です。。。

概略ですから、特になにか。。。という感じでもないです。。。多分。。。でも、NATOでも量子技術を活用したり、その脅威から防いだりということを考えるということですよね。。。

 

 North Atlantic Treaty Organization; NATO

Nato_otan_landscape_logosvg

プレス...

・2024.01.17 NATO releases first ever quantum strategy

NATO releases first ever quantum strategy NATOが史上初の量子戦略を発表
Quantum technologies are getting closer to revolutionizing the world of innovation and can be game-changers for security, including modern warfare. Ensuring that the Alliance is ''quantum-ready'' is the aim of NATO’s first-ever quantum strategy that was approved by NATO Foreign Ministers on 28 November. On Wednesday (17 January 2024), NATO released a summary of the strategy. 量子テクノロジーはイノベーションの世界に革命をもたらしつつあり、現代戦争を含む安全保障のゲームチェンジャーとなり得る。11月28日にNATO外相会議によって承認されたNATO初の量子戦略の目的は、同盟の''量子対応''を確実にすることである。水曜日(2024年1月17日)、NATOは戦略の概要を発表した。
The strategy outlines how quantum can be applied to defence and security in areas such as sensing, imaging, precise positioning, navigation and timing, improve the detection of submarines, and upgrade and secure data communications using quantum resistant cryptography この戦略では、センシング、イメージング、正確な測位・航法・計時、潜水艦の探知能力の向上、量子暗号を用いたデータコミュニケーションの改善と安全確保といった分野で、量子技術を防衛やセキュリティにどのように応用できるかを概説している。
Many of these technologies are already used in the private sector and have become the subject of strategic competition. NATO’s quantum strategy helps foster and guide NATO’s cooperation with industry to develop a transatlantic quantum technologies ecosystem, while preparing NATO to defend itself against the malicious use of quantum technologies. これらの技術の多くはすでに民間企業で利用されており、戦略的競争の対象となっている。NATOの量子戦略はNATOが産業界と協力し大西洋を越えた量子技術のエコシステムを発展させるための育成と指導に役立つと同時に、量子技術の悪意ある利用からNATOを防衛するための準備を整えるものである。
Quantum is one of the technological areas that NATO Allies have prioritized due to their implications for defence and security. These include artificial intelligence, data and computing, autonomy, biotechnology and human enhancements, hypersonic technologies, energy and propulsion, novel materials, next-generation communications networks and space. 量子技術はNATO同盟国が防衛や安全保障への影響から優先的に取り組んでいる技術分野の一つである。これには人工知能、データとコンピューティング、自律性、バイオテクノロジーと人間強化、極超音速技術、エネルギーと推進力、新素材、次世代コミュニケーションネットワークと宇宙空間が含まれる。
Quantum technologies are already part of NATO’s innovation efforts. Six of the 44 companies selected to join NATO’s Defence Innovation Accelerator for the North Atlantic (DIANA)’s programme are specialised in quantum. Their innovations are expected to help progress in the areas of next-generation cryptography, develop high-speed lasers to improve satellite connectivity, and deploy quantum-enhanced 3-D imaging sensors in challenging undersea environments. DIANA also anticipates quantum technologies forming a key part of solutions to its future challenge programme.  量子テクノロジーはすでにNATOのイノベーション活動の一部となっている。NATOのDIANA(北大西洋防衛革新アクセラレーター)プログラムに選ばれた44社のうち6社が量子を専門としている。彼らの改善により、次世代暗号技術の進歩、衛星接続を改善するための高速レーザーの開発、困難な海底環境における量子強化3次元画像センサーの配備などが期待されている。DIANAはまた、量子技術が将来の課題プログラムの解決策の重要な部分を占めると予想している。
Building on its new strategy, NATO will now start work to establish a Transatlantic Quantum Community to engage with government, industry and academia from across the innovation ecosystems. NATOは今後、新戦略に基づき、イノベーション・エコシステム全体の政府、産業界、学界が参加する大西洋横断量子コミュニティの設立に向けた作業を開始する。

 

 

戦略の概略...

・2024.01.17 Summary of NATO’s Quantum Technologies Strategy

Summary of NATO’s Quantum Technologies Strategy NATOの量子技術戦略の概要
Introduction 序文
1. Recent advancements in quantum technologies are bringing us closer to a profound shift for science and technology – one that will have far-reaching implications for our economies, security and defence. These technologies could revolutionise sensing; imaging; precise positioning, navigation and timing; communications; computing; modelling; simulation; and information science. Quantum technologies have potentially revolutionary and disruptive implications, which can degrade the Alliance’s ability to deter and defend. Quantum technologies are therefore an element of strategic competition. 1. 量子テクノロジーにおける最近の進歩は、われわれの経済、安全保障、防衛に多大な影響を及ぼすであろう科学技術の大転換にわれわれを近づけている。これらの技術は、センシング、イメージング、精密測位・航法・計時、コミュニケーション、コンピューティング、モデリング、シミュレーション、情報科学に革命をもたらす可能性がある。量子技術は革命的かつ破壊的な意味を持つ可能性があり、同盟国の抑止力や防衛力を低下させる可能性がある。従って、量子技術は戦略的競争の一要素である。
2. Quantum technologies have the potential to offer capabilities in computing, communications and situational awareness that are unparalleled to technology currently available to the Alliance and that could constitute a significant strategic advantage. However, quantum technologies can equally enable our strategic competitors and potential adversaries. 2. 量子技術は、コンピューティング、コミュニケーション、状況認識において、同盟国が現在利用可能な技術とは比較にならない能力を提供する可能性があり、それは重要な戦略的優位を構成し得る。しかしながら、量子技術は戦略的競争相手や潜在的敵対者をも同様に可能にする。
Strategic Vision: A Quantum-ready Alliance 戦略的ビジョン 量子対応アライアンス
3. To become a quantum-ready Alliance, NATO and Allies will foster the development of a secure, resilient and competitive quantum ecosystem that is able to respond to the fast pace of technological competition in the quantum industry. This requires coherence in investment, cooperation among Allies in technology development opportunities, development and protection of skilled workforce, and increased situational awareness as well as information sharing. It will also require development and deployment of critical enabling technologies that quantum technologies require. It is equally important to deter and defend our own systems and networks against quantum-enabled and other attacks. 3. NATOと同盟国は量子対応可能な同盟国となるために、量子産業における技術競争の速いペースに対応できる安全でレジリエンスと競争力のある量子エコシステムの開発を促進する。そのためには投資の一貫性、技術開発の機会における同盟国間の協力、熟練労働力の開発と防御、状況認識と情報共有の強化が必要である。また、量子技術が必要とする重要な実現技術の開発と展開も必要となる。量子技術やその他の攻撃に対する自国のシステムやネットワークの抑止と防御も同様に重要である。
4. To achieve the strategic ambition of becoming a quantum-ready Alliance, NATO and Allies will harness quantum technologies in support of the Alliance’s core tasks, driving toward the following desired outcomes: 4. NATOと同盟国は、戦略的野心である「量子対応可能な同盟国になる」ことを達成するために、量子技術を同盟国の中核的任務の支援に活用し、以下の望ましい成果に向けて推進する:
• Allies and NATO have identified the most promising military and dual-use quantum applications, experiments, and integration of quantum technologies that meet defence planning and capability development requirements; ・ 同盟国およびNATOは最も有望な軍事およびデュアルユースの量子技術の応用、実験、および防衛計画や能力開発要件を満たす量子技術の統合を識別している;
• NATO has developed, adopted and implemented frameworks, policies and standards for both software and hardware to enhance interoperability; ・ NATOは相互運用性を高めるためのソフトウェアとハードウェアのフレームワーク、ポリシー、標準を開発、採用、実施した;
• Allies have cooperated in the development of quantum technologies with a view to maintain NATO’s technological edge and Allies’ abilities in the field; ・ 同盟国はNATOの技術的優位性と同盟国の能力を維持するために量子技術の開発に協力してきた;
• NATO has identified, understood and capitalised on evolving quantum technologies advancements, including with enabling technologies and in convergence with other EDTs; ・ NATOはイネーブリング技術や他のEDTとのコンバージェンスも含め、進化する量子技術を特定し、理解し、活用している;
• NATO has a Transatlantic Quantum Community to strategically engage with government, industry and academia from across our innovation ecosystems; ・ NATOには大西洋横断量子ガバナンスがあり、政府、産業界、アカデミアのイノベーション・エコシステム全体に戦略的に関与している;
• NATO has transitioned its cryptographic systems to quantum-safe cryptography; ・ NATOは暗号システムを量子安全暗号に移行している;
• Relevant quantum strategies, policies and action plans are dynamically updated and executed; and ・ 関連する量子戦略,政策,行動計画は動的に更新され,実行されている。
• Allies have become aware of, and act to prevent, on a voluntary basis, adversarial investments and interference into our quantum ecosystems, which can include, on a national basis, the examination of relevant supply chains. ・ 同盟国は量子エコシステムへの敵対的な投資や干渉を認識し,自主的に防止するために行動する。
5. Further, NATO will provide the leading transatlantic forum for quantum technologies in defence and security, helping to continuously build on our shared understanding, and leveraging the potential of quantum technologies while safeguarding against its adversarial use. 5. さらに、NATOは防衛と安全保障における量子技術に関する大西洋を横断する主要なフォーラムを提供し、我々の共通理解を継続的に構築し、敵対的な利用から守りながら量子技術の可能性を活用することを支援する。
Fostering a Quantum-Ready Alliance 量子レディ同盟の育成
6. Allies and NATO must urgently accelerate the development of quantum technologies that can augment our capabilities, as well as prevent the formation of new capability gaps in a world where peer competitors adopt quantum technologies themselves. Given the dual-use nature of quantum technologies, this advantage can only be achieved if done in close cooperation with Allied quantum ecosystems. Allies and NATO must adopt a ‘learn-by-doing’ approach to integrating quantum technologies considerations in the implementation of our operational concepts, defence planning cycles, capability development cycles, and standardisation efforts. 6. 同盟国とNATOは、我々の能力を補強することができる量子技術の開発を早急に加速させるとともに、同業他社が量子技術を採用する世界において新たな能力格差が形成されることを防止しなければならない。量子技術の両用性を考慮すれば、この優位性は同盟国の量子エコシステムとの緊密な協力によってのみ達成される。同盟国およびNATOは、作戦コンセプト、防衛計画サイクル、能力開発サイクル、標準化努力の実施に量子技術の考慮を統合するために「学びながら実行する」アプローチを採用しなければならない。
7. As DIANA and the NATO Innovation Fund (NIF) become fully operational, their deep-tech activities will also inform NATO’s strategic approach to quantum technologies and reinforce NATO’s engagement with the Allied quantum ecosystem. 7. DIANAとNATOイノベーション・ファンド(NIF)が本格的に運用されるようになれば、そのディープ・テクニック活動も量子技術に対するNATOの戦略的アプローチに情報を提供し、NATOと連合国の量子エコシステムとの関わりを強化することになる。
8. The convergence between quantum technologies and other EDTs brings important defence and security implications, and potential military applications and capabilities. Examples include using quantum sensors to improve space-based data collection and to enable positioning, navigation and timing capabilities without having to rely on Global Navigation Satellite Systems. 8. 量子技術と他のEDTとの融合は、重要な防衛・安全保障上の意味合いと潜在的な軍事的応用・能力をもたらす。例えば、量子センサーを利用した宇宙空間でのデータ収集の改善や、全地球航法衛星システムに依存しない測位・航法・計時能力の実現などが挙げられる。
9. NATO recognises that one of the most critical resources in the pursuit of quantum advantage is talent, which will be a critical determinant of the Alliance’s future trajectory in this domain. As quantum technologies gain traction, so will the demand for experts with advanced degrees in the field. 9. NATOは、量子の優位性を追求する上で最も重要な資源の1つが人材であり、この分野における同盟の将来の軌道を決定する重要な要因となることを認識している。量子技術が普及するにつれ、この分野で高度な学位を持つ専門家の需要も高まるだろう。
Responsible Innovation 責任あるイノベーション
10. While quantum technologies have less obvious ethical implications relative to other EDTs such as AI, autonomy or biotechnology and human enhancement, Allies and NATO are nevertheless committed to instituting a responsible approach to quantum technologies innovation. This will cover three main areas: links to data privacy, anticipation of international norms development, and sustainability considerations. 10. 量子テクノロジーは、AIや自律性、バイオテクノロジーや人間強化といった他のEDTと比較して、倫理的な意味合いはそれほど明確ではないが、同盟国およびNATOは量子テクノロジー・イノベーションに対する責任あるアプローチを確立することにコミットしている。これは、データ・プライバシーとの関連、国際規範の発展への期待、持続可能性への配慮という3つの主要な分野をカバーするものである。
11. NATO committees will also serve as platforms for Allies to exchange and cohere views on burgeoning quantum-related norms in international security, as they develop. Allies will exchange views at NATO, in line with this Strategy, and in light of other international fora. 11. NATOの委員会は、国際安全保障における量子関連の規範が発展していく中で、同盟国が意見を交換し、まとまるためのプラットフォームとしても機能する。同盟国はNATOにおいて、この戦略に沿って、また他の国際的な場に照らして意見を交換する。
12. To inform a comprehensive treatment of the risks and opportunities of the field of quantum technologies, the Data and AI Review Board (DARB) can offer its advice on the implications of developments in data and AI for quantum technologies. 12. 量子技術分野のリスクと機会を包括的に扱うため、データ・AI評価委員会(DARB)は、データとAIの発展が量子技術に与える影響について助言を提供することができる。
A Transatlantic Quantum Community 大西洋を越えた量子コミュニティ
13. A quantum-ready Alliance requires, first and foremost, a closer cooperation among Allies, and a resilient quantum ecosystem that extends beyond availability of appropriate funding. Successful scale up and adoption of quantum technologies also depends on availability of enabling technologies and effective links between new research breakthroughs and engineering methods. Quantum technologies are particularly reliant on enabling technologies. For example, quantum computers require precise metrology tools, secure manufacturing capabilities of specialised manufacturing and cryogenics. 13. 量子対応可能なアライアンスには、何よりもまず、アライアンス間の緊密な協力と、適切な資金提供の可能性にとどまらないレジリエンスな量子エコシステムが必要である。量子技術のスケールアップと採用が成功するかどうかは、量子技術を可能にする技術や、新たな研究のブレークスルーと工学的手法との効果的な連携があるかどうかにもかかっている。量子技術は、特に実現技術に依存している。例えば、量子コンピュータは、精密な計測ツール、特殊な製造技術や極低温技術による安全な製造能力を必要とする。
14. End users and defence industry leaders play a crucial role in translating promising quantum technologies use cases into capabilities at scale. NATO is uniquely positioned to broker opportunities made possible by EDTs with industry, governments, and end users. The fast pace of development of quantum technologies calls for a coherent approach to this type of coordination and alignment among Allies, which will be provided by the establishment of a Transatlantic Quantum Community. 14. エンドユーザーと防衛産業のリーダーは、有望な量子技術のユースケースを規模に応じた能力に変換する上で極めて重要な役割を果たす。NATOはEDTによって可能となる機会を産業界、政府、エンドユーザーと仲介するユニークな立場にある。量子技術の開発ペースの速さは同盟国間のこの種の調整と協調に対する首尾一貫したアプローチを必要としており、これは大西洋横断量子共同体の設立によって提供されることになる。
Protecting the Alliance from the Quantum Threat 同盟国を量子の脅威から防御する
15. Quantum technologies have a double-edged impact on cyber security and defence, benefitting both the defensive as well as the offensive side. If fully adopted, functional quantum technologies would allow private and public actors in the Alliance to better protect their data and communications in a way that is fast and reliable. A quantum-ready Alliance will be better able to detect and block potential incursions in cyberspace. 15. 量子技術はサイバーセキュリティと防衛に両刃の影響を及ぼし、攻撃側だけでなく防御側にも利益をもたらす。機能的な量子技術が全面的に採用されれば、同盟国の民間および公的機関は、迅速かつ信頼性の高い方法で、データやコミュニケーションをより適切に保護できるようになる。量子の準備が整った同盟は、サイバー空間における潜在的な侵略を検知し、阻止する能力を高めるだろう。
16. A functional quantum computer would also have the ability to break current cryptographic protocols. 16. 量子コンピューターが機能すれば、現在の暗号プロトコルを破ることも可能になる。
17. Today, post-quantum cryptography is an important approach to secure communications against quantum-enabled attacks. In the future, further improvements could allow quantum key distribution to also contribute to secure communications. 17. 今日、ポスト量子暗号は、量子を利用した攻撃に対するコミュニケーションの安全性を確保するための重要なアプローチである。将来的には、さらなる改善により、量子鍵配布もセキュアなコミュニケーションに貢献できるようになるだろう。
18. Through NATO committees and bodies Allies can support each other, and the NATO Enterprise, in the development and implementation of post-quantum cryptography and quantum key distribution to enhance the quantum-resilience of our networks. NATO will continue to support research into the transition to quantum-safe communications across air, space, cyber, land and maritime domains. 18. NATOの委員会や団体を通じて、同盟国はネットワークの量子レジリエンスを強化するためのポスト量子暗号や量子鍵配布の開発・実装において互いに、そしてNATOエンタープライズを支援することができる。NATOは空、宇宙、サイバー、陸、海の各領域における量子安全コミュニケーションへの移行に関する研究を引き続き支援する。
19. Strategic competitors and potential adversaries may also leverage disinformation opportunities within Allied societies by creating public distrust of the military use of quantum technologies. Allies will seek to prevent and counter any such efforts through the use of strategic communications. NATO will support Allies as required. 19. 戦略的な競争相手や潜在的な敵対勢力は、量子技術の軍事利用に対する国民の不信感を煽ることで、連合国社会における偽情報の機会を活用する可能性もある。同盟国は、戦略的コミュニケーションを通じて、そのような取り組みの防止と対抗を図る。NATOは必要に応じて同盟国を支援する。
 OFFICIAL TEXTS  公式文書
• Summary of NATO’s Data Exploitation Framework Policy23 Nov. 2022 ・ NATOのデータ利用枠組み政策の概要23 2022年11月
• Summary of the NATO Artificial Intelligence Strategy22 Oct. 2021 ・ NATO人工知能戦略の概要22 2021年10月

 

 

| | Comments (0)

2024.02.03

ドイツ フランス オランダ スウェーデン 量子暗号鍵配送についてのポジションペーパー

こんにちは、丸山満彦です。

フランスサイバーセキュリティ庁(ANSSI)、連邦情報セキュリティ局(BSI)、オランダ国家安全保障局(NLNCSA)、スウェーデン国家通信セキュリティ認可局が、共同で量子暗号鍵配送についてのポジションペーパーを公表していますね。。。

● BSI

・2024.01.26 Daten quantensicher verschlüsseln: BSI bewertet verfügbare Technologien

20240203-103709

Daten quantensicher verschlüsseln: BSI bewertet verfügbare Technologien データ量子を安全に暗号化する: BSIが利用可能な技術を評価
Schon in den 2030er Jahren könnten Quantencomputer in der Lage sein, heute bestehende Verschlüsselungsmechanismen zu brechen. Dann sind vertrauliche Informationen in Unternehmen, Organisationen und Behörden gefährdet. Aus diesem Grund ist es aus Sicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) wichtig, schon jetzt sensible Daten quantensicher zu verschlüsseln. Das geht aus einem technischen Positionspapier zur Quantum Key Distribution hervor, das das BSI heute mit seinen Partnerbehörden aus Frankreich, den Niederlanden und Schweden veröffentlicht hat. Im Ergebnis sprechen sich die Beteiligten für einen Fokus auf die bereits jetzt verfügbare Post-Quanten-Kryptografie aus. Damit hilft das BSI Entscheidungsträgerinnen und -trägern dabei, ihre Pläne zur Absicherung sensibler Daten ausrichten zu können. 量子コンピューターは、早ければ2030年代にも既存の暗号化メカニズムを破ることができるようになるかもしれない。その場合、企業や組織、当局の機密情報が危険にさらされることになる。このため、ドイツ連邦情報セキュリティ局(BSI)は、機密データを量子的に安全な方法で暗号化することが重要だと考えている。これは、BSIがフランス、オランダ、スウェーデンのパートナー当局とともに本日発表した量子鍵配送に関する技術的ポジション・ペーパーの結果である。その結果、参加者はすでに利用可能なポスト量子暗号に焦点を当てることに賛成している。このようにBSIは、意思決定者が機密データを保護するための計画を調整する手助けをしている。
„Auf die technologischen Fragen und Herausforderungen unserer Zeit sind moderne, intelligente Antworten notwendig. Mit dem Tempo, in dem sich hochleistungsfähige Computer fortentwickeln, ist die Post-Quanten-Gefahr sehr real.“, schätzt BSI-Präsidentin Claudia Plattner die Lage ein. „Wir müssen die vorhandene exzellente Technologiekompetenz Deutschlands gezielt nutzen, um die Cybersicherheit zu erhöhen. Ich freue mich, dass wir dabei mit unseren internationalen Partnern an einem Strang ziehen. Unser gemeinsamer Appell an Unternehmen und Institute: Heute schon Schritte für quantensichere Verschlüsselungen einleiten.“ 「現代の技術的な疑問や課題には、現代的で知的な答えが必要である。BSIのクラウディア・プラットナー会長は、「高性能コンピューターが急速に発展している現在、ポスト量子の脅威は非常に現実的なものとなっている。「サイバーセキュリティを強化するためには、ドイツの優れた技術的専門知識を的を絞った形で活用しなければならない。この取り組みにおいて、国際的なパートナーと協力できることをうれしく思う。私たちは企業や研究機関に共同で呼びかける: 今すぐ量子安全暗号化への一歩を踏み出そう」。
Zur quantensicheren Verschlüsselung werden zwei grundlegend unterschiedliche Ansätze diskutiert. Neben der Post-Quanten-Kryptografie (PQK) ist dies Quantum Key Distribution (QKD). Aus Sicht des BSI und seiner internationalen Partner hat die QKD-Technologie auf ihrem aktuellen Stand viele Limitierungen. So ist beispielsweise spezielle Hardware notwendig, da QKD nicht auf klassischer Hardware implementiert werden kann. Dieser Umstand führt zu hohen Kosten. Außerdem schränkt die geringe Reichweite aufgrund von Signalverlusten im Lichtleitkabel den Einsatzbereich weiter ein. Wegen der hohen Kosten wäre eine Nutzung der QKD-Technologie in Zukunft nur in Situationen vertretbar, in denen spezifische Sicherheitsanforderungen die Kosten rechtfertigen und weniger teure Optionen nicht umsetzbar sind. Die Forschung im Bereich der QKD-Technologie sollte aus Sicht des BSI vorangetrieben werden, um die genannten Grenzen zu überwinden. Der Einsatz zum jetzigen Zeitpunkt ist allerdings auf wenige Nischen-Anwendungen beschränkt. Selbst bei Anwendungen, bei denen der Einsatz von QKD geeignet wäre, ist die Technologie nicht ausreichend ausgereift, um alle sicherheitsrelevanten Aspekte zu erfüllen. 量子安全暗号化には、根本的に異なる2つのアプローチが議論されている。ポスト量子暗号(PQK)に加え、量子鍵配送(QKD)である。BSIとその国際的なパートナーの観点からすると、QKD技術は現状では多くの制約がある。例えば、QKDは従来のハードウェアでは実装できないため、特別なハードウェアが必要となる。これはコスト高につながる。さらに、光ファイバー・ケーブルの信号損失による通信距離の短さが、応用分野をさらに制限している。コストが高いため、QKD技術の使用が将来的に正当化されるのは、特定の安全要件がコストを正当化し、より安価なオプションが実装できない状況においてのみであろう。BSIは、前述の限界を克服するため、QKD技術分野の研究を推進すべきであると考えている。しかし、現在のところ、その利用は一部のニッチな用途に限られている。QKDの使用が適している用途であっても、セキュリティに関連するすべての側面を満たすには、この技術は十分に成熟していない。

 

・[PDF] Position Paper on Quantum Key Distribution

20240203-103837

 

エグゼクティブサマリー

Executive summary  要旨 
Quantum Key Distribution (QKD) seeks to leverage quantum effects in order for two remote parties to agree on a secret key via an insecure quantum channel. This technology has received significant attention, sometimes claiming unprecedented levels of security against attacks by both classical and quantum computers.  量子鍵配送(QKD)は、量子効果を利用して、遠隔地にいる2つの当事者が安全でない量子チャネルを介して秘密鍵に合意することを目指す。この技術は大きな注目を集めており、古典コンピュータと量子コンピュータの両方による攻撃に対して、前例のないレベルの安全性を主張することもある。
Due to current and inherent limitations, QKD can however currently only be used in practice in some niche use cases. For the vast majority of use cases where classical key agreement schemes are currently used it is not possible to use QKD in practice. Furthermore, QKD is not yet sufficiently mature from a security perspective. In light of the urgent need to stop relying only on quantum-vulnerable public-key cryptography for key establishment, the clear priorities should therefore be the migration to post-quantum cryptography and/or the adoption of symmetric keying.  しかし、現在のところ、QKDには固有の制限があるため、実際に利用できるのは一部のニッチなユースケースに限られている。現在、古典的な鍵合意方式が使用されている大半のユースケースでは、QKDを実際に使用することは不可能である。さらに、QKDはセキュリティの観点からもまだ十分に成熟していない。鍵の確立を量子脆弱性のある公開鍵暗号方式のみに依存することをやめることが急務であることを考慮すると、ポスト量子暗号方式への移行や共通鍵暗号方式の採用が優先されるべきである。
This paper is aimed at a general audience. Technical details have therefore been left out to the extent possible. Technical terms that require a definition are printed in italics and are explained in a glossary at the end of the document.  本稿は一般読者を対象としている。そのため、技術的な詳細は可能な限り割愛した。定義が必要な技術用語はイタリック体で表記し、巻末の用語集で説明している。

 

目次...

Contents  目次 
1  The quantum threat 1 量子の脅威
2  What QKD can provide 2 QKDがプロバイダに提供できるもの
3  How QKD is technologically limited 3 QKDの技術的限界
4  Why QKD is not sufficiently mature 4 QKDが十分に成熟していない理由
5  Conclusion 5 結論
6  Glossary 6 用語集
7  References 7 参考文献

 

 

| | Comments (0)

より以前の記事一覧