安全保障

2025.04.22

米国 下院国土安全保障委員会と監視・政府改革委員会の共和党議員が、OMBに対し、重複するサイバー規制を削減するよう要請 (2025.04.08)

こんにちは、丸山満彦です。

米国の連邦下院議会の国土安全保障委員会と監視・政府改革委員会の共和党議員が、OMBに対し、重複するサイバー規制を削減するよう要請していますね...

連邦政府が民間部門に対して約50ものセキュリティに対する政府等への報告要件を課しているが、それを合理化するように要請しています。これは、確かに重用な話ですね。。。

政府機関に一定の情報を報告する必要性(目的)というのはゼロではないですが、複数の政府機関が(それぞれの目的があるのでしょうが)、それぞれの必要に応じてそれぞれ要請すると、いろいろな情報をそれぞれに提供しなければならなくなり、企業側の負担が重くなりますよね。。。そのためのリソースが、セキュリティ対策の向上に利用される方がよっぽど良いわけです。

日本でも同じようなことが起こっているのであれば、是正する必要があるでしょうし、将来的にそういうことが起こらないようにすることは(サイバーセキュリティに限らず)重要なのだろうと思います。日本では、政府への報告は様式(提供する情報だけでなく、形式も決まっている)が決まっている場合もありますからね。。。例えば、ウェブ画面等に、事業者名、関連する法令を入力、選択すれば、自動的に報告内容が表示され、入力またはファイル添付すればOKという、デジタル庁が推進している(デジタルファースト、ワンスオンリー、コネクテッドワンス)が実現されると良いですよね。。。

 

Homeland Security Committee | Republican 

・2025.04.08 House Homeland, Oversight Republicans Urge OMB to Cut Burdensome, Duplicative Cyber Regulations

House Homeland, Oversight Republicans Urge OMB to Cut Burdensome, Duplicative Cyber Regulations 下院国土安全保障委員会と監視・政府改革委員会の共和党議員は、OMBに対し、負担が大きく重複するサイバー規制を削減するよう要請した。
WASHINGTON, D.C. — This week, members of the House Committee on Homeland Security and House Committee on Oversight and Government Reform sent a letter to Office of Management and Budget (OMB) Director Russell Vought, urging OMB to streamline unnecessarily duplicative and resource-intensive cybersecurity regulations, which force critical infrastructure owners and operators to devote resources to complying with burdensome compliance standards instead of defending their networks. Cosigners of the letter include House Committee on Homeland Security Chairman Mark E. Green, MD (R-TN), Committee on Oversight and Government Reform Chairman James Comer (R-KY), Subcommittee on Federal Law Enforcement Chairman Clay Higgins (R-LA), Subcommittee on Cybersecurity, Information Technology, and Government Innovation Chairwoman Nancy Mace (R-SC), and Committee on Oversight and Government Reform member Andy Biggs (R-AZ)
.
ワシントンD.C.-今週、下院国土安全保障委員会と下院監視・政府改革委員会のメンバーは、行政管理予算局(OMB)のラッセル・ヴォート局長に書簡を送り、不必要に重複し、リソースを集中させるサイバーセキュリティ規制を合理化するよう求めた。これらの規制は、重要インフラの所有者や運営者に、ネットワークの防衛ではなく、負担の大きいコンプライアンス基準の遵守にリソースを割くことを強いている。この書簡の賛同者には、マーク・E・グリーン下院国土安全保障委員長(テネシー州選出)、ジェームズ・コマー監視・政府改革委員会委員長(カンザス州選出)、クレイ・ヒギンズ連邦法執行小委員会委員長(ルイジアナ州選出)、ナンシー・メイス・サイバーセキュリティ・情報技術・政府革新小委員会委員長(サウスカロライナ州選出)、アンディ・ビッグス監視・政府改革委員会委員(アリゾナ州選出)が含まれる。
In March 2024, the Cybersecurity and Infrastructure Security Agency (CISA) issued a proposed rule for the bipartisan Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). If implemented as written, the rule would undermine congressional intent by imposing duplicative incident reporting requirements and covering more entities than necessary. This is just one example of the redundant and counterproductive cyber regulatory landscape
2024年3月、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、超党派の「2022年重要インフラ向けサイバーインシデント報告法」(CIRCIA)の規則案を発表した。この規則がそのまま実施されれば、重複するインシデント報告要件を課し、必要以上に多くの事業体を対象とすることで、議会の意図を損なうことになる。これは、冗長で逆効果なサイバー規制の一例に過ぎない。
In the letter, members ask OMB to reduce compliance burdens by reviewing existing and future cyber regulations, identifying opportunities for harmonization within and across agencies, and thoroughly examining the existing cyber regulatory landscape for redundancy in coordination with the Office of the National Cyber Director (ONCD) and CISA. The letter also requests a briefing on OMB’s plans to streamline cyber regulations by April 28, 2025. Read the full letter here
.
書簡の中で、メンバーはOMBに対し、既存および将来のサイバー規制を見直し、省庁内および省庁間の調和の機会を特定し、国家サイバー長官室(ONCD)およびCISAと連携して既存のサイバー規制の冗長性を徹底的に調査することにより、コンプライアンス負担を軽減するよう求めている。この書簡はまた、2025年4月28日までにサイバー規制を合理化するためのOMBの計画に関するブリーフィングを要求している。書簡全文はこちら。
Read more in the Washington Reporter. 詳しくはワシントン・リポーターを参照のこと。
In the letter, the members wrote, “Such oppressive requirements force entities of all sizes to choose between spending precious resources on security or on compliance. This unnecessary tradeoff puts entities at risk. The U.S. cyber regulatory regime should facilitate valuable and actionable information sharing that reinforces the security measures companies undertake to defend against, and respond to, cyber incidents. As nation-state and criminal actors increasingly target U.S. networks and critical infrastructure in cyberspace, we can no longer allow compliance burdens to hinder the agility of U.S.-based companies to respond to threats in a timely manner.” このような抑圧的な要求は、あらゆる規模の事業体に、貴重な資源をセキュリティに費やすか、コンプライアンスに費やすかの選択を迫るものである。この不必要なトレードオフは事業体をリスクにさらす。米国のサイバー規制体制は、サイバーインシデントに対する防御と対応のために企業が行っているセキュリティ対策を強化する、価値ある実用的な情報共有を促進すべきである。国民国家や犯罪アクターがサイバー空間における米国のネットワークや重要インフラをますます標的とするようになる中、コンプライアンス上の負担が、米国を拠点とする企業が脅威にタイムリーに対応する機敏性を阻害することは、もはや許されない。
The members continued, “Compliance burdens imposed on companies can be reduced by streamlining cybersecurity requirements, which multiple stakeholders have testified as being unnecessarily duplicative. For example, in 2020, four federal agencies established cybersecurity requirements for states aimed at securing data. According to the U.S. Government Accountability Office (GAO), the percentage of conflicting parameters for these requirements ranged from 49 to 79 percent. Entities subject to these requirements should not bear the brunt of the federal government’s lack of coordination.” 複数の関係者が不必要に重複していると証言しているサイバーセキュリティ要件を合理化することで、企業に課されるコンプライアンス負担を軽減することができる。例えば、2020年には、4つの連邦政府機関がデータの安全性を確保することを目的としたサイバーセキュリティ要件を州に対して制定した。米国政府アカウンタビリティ室(GAO)によると、これらの要件のパラメータが矛盾している割合は49~79%であった。これらの要件の対象となる事業体は、連邦政府の調整不足の矢面に立たされるべきではない。
The members concluded, “Specifically, OMB could use existing authority granted under Executive Order (EO) 12866: Regulatory Planning and Review. This EO enables OMB’s Office of Information and Regulatory Affairs (OIRA) to periodically review existing significant regulations ‘to confirm that regulations are both compatible with each other and not duplicative or inappropriately burdensome in the aggregate’… in line with President Trump’s 10-to-1 deregulation initiative, OMB must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero. As Congress continues its work to streamline cyber regulations, we urge OMB to take these steps to rein in the cyber regulatory landscape to dramatically improve the security and resiliency of U.S. networks and critical infrastructure. Eliminating the duplicative landscape of cyber regulations is the fastest, most cost-effective way to materially improve the nation’s cybersecurity.” 具体的には、OMBは大統領令(EO)12866の下で与えられた既存の認可を使用することができる: このEOにより、OMBは規制の計画と見直しを行うことができる。このEOにより、OMBの情報規制局(OIRA)は、既存の重要な規制を定期的に見直し、『規制が互いに互換性があり、全体として重複していないか、不適切な負担になっていないかを確認する』ことができる。トランプ大統領の10対1の規制緩和イニシアチブに沿って、OMBは、少なくとも10の既存規則を廃止することなく、新たなサイバー規制を発行してはならず、新規制と廃止された規制の正味コストの合計がゼロ以下になるようにしなければならない。議会がサイバー規制の合理化作業を続ける中、我々はOMBに対し、米国のネットワークと重要インフラのセキュリティとレジリエンスを劇的に改善するために、サイバー規制の状況を抑制するためのこれらの措置を講じるよう強く要請する。サイバー規制の重複を改善することは、国家のサイバーセキュリティを大幅に改善する最も迅速で費用対効果の高い方法である。
Background:  背景 
In a hearing on cyber regulatory harmonization last month, House Homeland members examined opportunities to improve the cyber regulatory regime, including the role CISA should play in cyber regulatory harmonization moving forward. In his opening statement, Chairman Green highlighted the need to streamline, saying: “There are now at least 50 cyber incident reporting requirements in effect across the federal government… This patchwork of conflicting and complex regulations places a significant burden on reporting entities. Let’s be clear: improving our nation’s cyber regulatory regime will bolster our national security. Current cyber incident reporting regulations require too much of the private sector, drawing their attention away from securing their networks.
先月行われたサイバー規制の調和に関する公聴会で、国土安全保障省の下院議員は、今後のサイバー規制の調和においてCISAが果たすべき役割など、サイバー規制体制を改善する機会を検討した。グリーン委員長は冒頭の発言で、合理化の必要性を強調し、次のように述べた: 「現在、連邦政府全体で少なくとも50のサイバーインシデント報告要件が施行されている......この矛盾した複雑な規制のパッチワークは、報告事業体に大きな負担を強いている。はっきりさせておこう。わが国のサイバー規制体制を改善することは、わが国の国家安全保障を強化することになる。現在のサイバーインシデント報告規制は、民間部門に多くのことを要求し、彼らの注意をネットワークの安全確保から遠ざけている。
Last month, Homeland Republicans sent a letter to Transportation Security Administration (TSA) Acting Administrator Adam Stahl, highlighting the evolving cyber threats facing our nation’s transportation infrastructure and the urgent need for an adaptive cybersecurity posture that does not add to the already complex cybersecurity regulatory landscape 先月、国土安全保障省は運輸保安庁(TSA)のアダム・スタール長官代理に書簡を送り、わが国の交通インフラが直面するサイバー脅威の進化と、すでに複雑なサイバーセキュリティ規制の状況をこれ以上増やさない、適応力のあるサイバーセキュリティ態勢の緊急の必要性を強調した。
In 2023, Chairman Green and Subcommittee on Cybersecurity and Infrastructure Protection Chairman Andrew Garbarino (R-NY) were joined by Congressman Zach Nunn (R-IA) on a letter to Securities and Exchange Commission (SEC) Chair Gary Gensler, which sounded off on the agency’s duplicative cyber rules that increase bureaucratic burden for public companies, risk compromising their confidentiality, and run contrary to CIRCIA 2023年、グリーン委員長とサイバーセキュリティ・インフラ防護小委員会のアンドリュー・ガルバリノ委員長(ニューヨーク州選出)は、ザック・ナン下院議員(アイア州選出)とともに、証券取引委員会(SEC)のゲーリー・ゲンスラー委員長に書簡を送り、上場企業の官僚的負担を増大させ、機密性を損なうリスクや、CIRCIAに反する同委員会の重複するサイバー規制について非難した。

 

 

OMB長官への書簡

・[PDF

20250421-55700

 

Dear Director Vought:  親愛なるヴォート長官: 
We write to urge you to use the existing authorities of the Office of Management and Budget (OMB) to address the burdensome and conflicting cyber regulatory landscape. There is ample evidence that cybersecurity regulatory compliance is unnecessarily sprawling and resource-intensive. The Cybersecurity and Infrastructure Security Agency (CISA) estimates there are more than three dozen federal requirements for cyber incident reporting alone—a number that does not capture specific state, local, Tribal, territorial, or international requirements.[1]   我々は、行政管理予算局(OMB)の既存の認可を利用して、負担が重く矛盾したサイバー規制の状況に対処するよう、強く要望する。サイバーセキュリティ規制の遵守が不必要に拡大し、リソースを集約しているという証拠は十分にある。サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、サイバーインシデント報告に関する連邦政府の要件だけでも 3 ダース以上あると推定しているが、この数には州、地方、部族、地域、または国際的な特定の要件は含まれていない[1]
The resources required for regulated entities to comply are immense. For example, a proposed change to the Health Insurance Portability and Accountability Act of 1996 (HIPAA) Security Rule aimed to improve cybersecurity would cost regulated entities and health-plan sponsors an astounding $9 billion combined in just the first year.[2] According to testimony before the Subcommittee on Cybersecurity and Infrastructure Protection, “bank Chief Information Security Officers [CISOs] now spend 30-50 percent of their time on compliance and examiner management. The cyber teams they oversee spend as much as 70 percent of their time on those same functions.”[3] Additionally, a quarter of the requests for information banks receive are duplicative, uncoordinated agency requests.[4] Again, in testimony before the Subcommittee on Cybersecurity, Information Technology, and Government Innovation, an energy sector witness explained “managing compliance obligations with disparate regulations and across agencies may in fact harm the cybersecurity posture of organizations, particularly where limited resources are allocated to compliance activities over managing risk, maturing capabilities, and creating effective security programs.”[5]  規制対象事業体が遵守するために必要なリソースは膨大である。例えば、サイバーセキュリティの改善を目的とした1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ・ルールの変更案では、規制対象事業体と医療保険プランのスポンサーを合わせると、初年度だけで90億ドルという驚異的なコストがかかるとされている[2]。 サイバーセキュリティとインフラ保護に関する小委員会での証言によると、「銀行の最高情報セキュリティ責任者(CISO)は現在、時間の30~50%をコンプライアンスと審査官の管理に費やしている。さらに、銀行が受ける情報提供要請の4分の1は、重複し、連携していない機関からの要請である。 4]また、サイバーセキュリティ・情報技術・政府イノベーション小委員会における証言の中で、あるエネルギー部門の証人は、「異なる規制や省庁間のコンプライアンス義務を管理することは、特に、限られたリソースがリスク管理や能力の成熟、効果的なセキュリティ・プログラムの構築よりもコンプライアンス活動に割り当てられている場合、組織のサイバーセキュリティ態勢に悪影響を及ぼす可能性がある」と説明している[5][6] 。
Such oppressive requirements force entities of all sizes to choose between spending precious resources on security or on compliance. This unnecessary tradeoff puts entities at risk. The U.S. cyber regulatory regime should facilitate valuable and actionable information sharing that reinforces the security measures companies undertake to defend against, and respond to, cyber incidents. As nation-state and criminal actors increasingly target U.S. networks and critical infrastructure in cyberspace, we can no longer allow compliance burdens to hinder the agility of U.S.-based companies to respond to threats in a timely manner.   このような抑圧的な要件は、あらゆる規模の事業体に、貴重なリソースをセキュリティに費やすか、コンプライアンスに費やすかの二者択一を迫る。この不必要なトレードオフは事業体をリスクにさらす。米国のサイバー規制体制は、サイバーインシデントに対する防御と対応のために企業が実施するセキュリティ対策を強化する、価値ある実用的な情報共有を促進すべきである。国家や犯罪アクターがサイバー空間における米国のネットワークや重要インフラをますます標的とするようになる中、米国に拠点を置く企業がタイムリーに脅威に対応する機敏性を、コンプライアンス上の負担が妨げることはもはや許されない。 
Compliance burdens imposed on companies can be reduced by streamlining cybersecurity requirements, which multiple stakeholders have testified as being unnecessarily duplicative.[6] For example, in 2020, four federal agencies established cybersecurity requirements for states aimed at securing data. According to the U.S. Government Accountability Office (GAO), the percentage of conflicting parameters for these requirements ranged from 49 to 79 percent.[7] Entities subject to these requirements should not bear the brunt of the federal government’s lack of coordination.   企業に課されるコンプライアンス負担は、複数の関係者が不必要に重複していると証言しているサイバーセキュリティ要件を合理化することで軽減することができる[6]。例えば、2020年には、4つの連邦政府機関がデータの安全確保を目的としたサイバーセキュリティ要件を州に対して制定した。米国政府アカウンタビリティ室(GAO)によると、これらの要件のパラメータが矛盾する割合は49~79%であった[7]。 
For several years, Congress has recognized the importance of streamlining cybersecurity requirements and took steps to address it. In 2022, Congress passed the bipartisan Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA), which required CISA to develop a new regulation to set the standard for cyber incident reporting.[8] Additionally, the Streamlining Federal Cybersecurity Regulations Act introduced in both the Senate and House in the 118th Congress establishes an interagency committee within the Office of the National Cyber Director (ONCD) to harmonize regulatory regimes.[9] However, CISA’s proposed CIRCIA rule, if enacted as written, undermines Congressional intent by imposing another layer of duplication by increasing compliance costs and capturing more entities than envisioned by lawmakers.[10]  数年前から、議会はサイバーセキュリティ要件の合理化の重要性を認識し、それに取り組むための措置を講じてきた。2022年、議会は超党派の「2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)」を可決し、CISAにサイバーインシデント報告の標準を定める新規制の策定を義務付けた[8]。さらに、第118議会に上下両院で提出された「連邦サイバーセキュリティ規制合理化法」は、規制体制を調和させるために国家サイバー長官室(ONCD)内に省庁間委員会を設置するものである。 [しかし、CISAの提案するCIRCIA規則は、もし文書通りに制定されれば、法令遵守コストを増加させ、議員たちが想定していたよりも多くの事業体を捕捉することによって、重複の新たなレイヤーを課すことにより、議会の意図を損なうことになる[10]
As the agency tasked with overseeing regulations across the federal government, we recognize the crucial role OMB can and will play in improving our nation’s cyber posture. Therefore, we urge OMB to act now by prioritizing the review of existing and future federal cyber regulations. OMB, in coordination with ONCD and CISA, must thoroughly examine the existing cyber regulatory landscape for duplication and redundancy across the federal government, and identify opportunities for reciprocity within and between agencies.   連邦政府全体の規制を監督する任務を負う機関として、我々は、OMBが我が国のサイバー態勢の改善において重要な役割を果たすことができ、また果たすであろうことを認識している。従って、我々はOMBに対し、既存および将来の連邦サイバー規制の見直しを優先することで、今すぐ行動を起こすよう求める。OMBは、ONCDおよびCISAと連携して、連邦政府全体の重複や冗長性について既存のサイバー規制の状況を徹底的に調査し、政府機関内および政府機関間の相互主義の機会を特定しなければならない。 
Specifically, OMB could use existing authority granted under Executive Order (EO) 12866: Regulatory Planning and Review. This EO enables OMB’s Office of Information and Regulatory Affairs (OIRA) to periodically review existing significant regulations[11] “to confirm that regulations are both compatible with each other and not duplicative or inappropriately burdensome in the aggregate.”[12] The process set forth in EO 12866 has spanned administrations,[13] and forms the basis of two EOs issued by President Trump.[14] Additionally, in line with President Trump’s 10-to-1 deregulation initiative,[15] OMB must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero.   具体的には、OMBは大統領令(EO)12866の下で与えられた既存の認可を使用することができる: このEOにより、OMBの情報規制局(OIRA)は既存の重要な規制[11]を定期的に見直すことができる。このEOにより、OMBの情報規制局(OIRA)は、既存の重要な規制[11]を定期的に見直し、「規制が互いに互換性があり、全体として重複していないか、不適切な負担になっていないかを確認する」ことができる[12]。 「12] EO 12866で規定されたプロセスは政権をまたぎ[13]、トランプ大統領が出した2つのEOの基礎となっている[14]。さらに、トランプ大統領の10対1規制緩和イニシアチブ[15]に沿って、OMBは、少なくとも10個の既存規則を廃止し、新規制と廃止規制の正味総コストがゼロ以下であることを確認しない限り、新たなサイバー規制を発行してはならない。
As Congress continues its work to streamline cyber regulations, we urge OMB to take these steps to rein in the cyber regulatory landscape to dramatically improve the security and resiliency of U.S. networks and critical infrastructure. Eliminating the duplicative landscape of cyber regulations is the fastest, most cost-effective way to materially improve the nation’s cybersecurity.   議会がサイバー規制の合理化作業を続ける中、我々はOMBに対し、米国のネットワークと重要インフラのセキュリティとレジリエンスを劇的に改善するために、サイバー規制の状況を抑制するためのこれらの措置を講じるよう強く求める。サイバー規制の重複を改善することは、国家のサイバーセキュリティを大幅に改善する最も迅速で費用対効果の高い方法である。 
To support Congress’s continued efforts to streamline cyber regulations and the oversight responsibilities of our Committees over issues related to cybersecurity and regulatory matters, including the identification of any legal barriers that Congress must address through legislation, we request a briefing on OMB’s plans to streamline cyber regulations by April 28, 2025.   サイバー規制を合理化するための議会の継続的な努力と、議会が立法を通じて対処しなければならない法的障壁の特定を含め、サイバーセキュリティと規制事項に関する問題に対する当委員会の監督責任を支援するため、2025年4月28日までにサイバー規制を合理化するためのOMBの計画に関するブリーフィングを要請する。 
Per Rule X of the U.S. House of Representatives, the Committee on Homeland Security is the principal committee of jurisdiction for overall homeland security policy and has special oversight of “all Government activities relating to homeland security, including the interaction of all departments and agencies with the Department of Homeland Security.” Additionally, under House Rule X, the Committee on Oversight and Government Reform is the principal oversight committee of the U.S. House of Representatives and has broad authority to investigate “any matter” at “any time”.  米国下院の規則Xにより、国土安全保障委員会は国土安全保障政策全般を管轄する主要委員会であり、「国土安全保障省とのすべての省庁の相互作用を含む、国土安全保障に関するすべての政府活動」を特別に監督する代表者である。さらに、下院規則Xに基づき、監視・政府改革委員会は米国下院の主要な監視委員会であり、「いつでも」「どのような問題でも」調査できる広範な権限を有している。
We appreciate your prompt attention to this matter and look forward to working with you to enhance our nation’s cyber resiliency and security.  私たちは、この件への迅速なご配慮に感謝するとともに、わが国のサイバー・レジリエンスとセキュリティを強化するために、皆様と協力できることを楽しみにしている。

 

[1] Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting
Requirements, 89 FR 23644, Apr. 4, 2024, https://www.federalregister.gov/documents/2024/04/04/2024-06526/cyber-incident-reporting-for-criticalinfrastructure-act-circia-reporting-requirements.

[2] HIPAA Security Rule To Strengthen the Cybersecurity of Electronic Protected Health Information, 90 FR 898, Jan. 6, 2025, https://www.federalregister.gov/documents/2025/01/06/2024-30983/hipaa-security-rule-to-strengthenthe-cybersecurity-of-electronic-protected-health-information.

[3] “Regulatory Harm or Harmonization? Examining the Opportunity to Improve the Cyber Regulatory Regime”, 119th Cong. (2025), Testimony of Heather Hogsett, https://bpi.com/wp-content/uploads/2025/03/Testimony-ofHeather-Hogsett-Regulatory-Harm-or-Harmonization-Examining-the-Opportunity-to-Improve-the-CyberRegulatory-Regime.pdf.

[4] Id.

[5] “Enhancing Cybersecurity by Eliminating Inconsistent Regulations”, 118th Cong. (2024), Testimony of Maggie O’Connell, https://oversight.house.gov/wp-content/uploads/2024/07/OConnell-Testimony.pdf.

[6] See “Surveying CIRCIA: Sector Perspectives on the Notice of Proposed Rulemaking”, 118th Cong. (2024). and “Regulatory Harm or Harmonization? Examining the Opportunity to Improve the Cyber Regulatory Regime”, 119th Cong. (2025).

[7] “Efforts Initiated to Harmonize Regulations, but Significant Work Remains”, U.S. Government Accountability Office, Testimony of David B. Hinchman before the U.S. Homeland Security and Government Affairs Committee of the U.S. Senate, June 5, 2024, https://www.gao.gov/assets/gao-24-107602.pdf.

[8] Text - H.R.2471 - 117th Congress (2021-2022): Consolidated Appropriations Act, 2022. (2022, March 15). https://www.congress.gov/bill/117th-congress/house-bill/2471/text.

[9] Text -S.4630 - 118th Congress (2023-2024): Streamlining Federal Cybersecurity Regulations Act. (2024, December 2). https://www.congress.gov/bill/118th-congress/senate-bill/4630/text.

[10] Congressman Andrew R. Garbarino, Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting Requirements, 89 FR 23644, Apr. 4, 2024, https://www.regulations.gov/comment/CISA-2022-0010-0464.

[11] A “significant regulatory action” is defined by EO 12866 as “any regulatory action that is likely to result in a rule that may: (1) Have an annual effect on the economy of $100 million or more or adversely affect in a material way the economy, a sector of the economy, productivity, competition, jobs, the environment, public health or safety, or State, local, or tribal governments or communities; (2) Create a serious inconsistency or otherwise interfere with an action taken or planned by another agency; (3) Materially alter the budgetary impact of entitlements, grants, user fees, or loan programs or the rights and obligations of recipients thereof; or (4) Raise novel legal or policy issues arising out of legal mandates, the President’s priorities, or the principles set forth in this Executive order.”

[12] Exec. Order No. 12866, Regulatory Planning and Review, 58 FR 51735, Sept. 30,
1993, https://www.archives.gov/files/federal-register/executive-orders/pdf/12866.pdf.

[13] Office of Management and Budget (OMB): An Overview. (2025, March 23). https://www.congress.gov/crsproduct/RS21665.

[14] See Exec. Order No. 13771, Reducing Regulation and Controlling Regulatory Costs (2017) and Exec. Order No. 14192, Unleashing Prosperity Through Deregulation (2025).

[15] “Fact Sheet: President Donald J. Trump Launches Massive 10-to-1 Deregulation Initiative”, The White House, Jan. 31, 2025, https://www.whitehouse.gov/fact-sheets/2025/01/fact-sheet-president-donald-j-trump-launches-massive-10-to-1deregulation-initiative/.

 

 

報道...

中道右派のようです...

Washington Reporter

・2025.04.09 EXCLUSIVE: Top Republicans want OMB to streamline America's cyber security - by Matthew Foldi

EXCLUSIVE: Top Republicans want OMB to streamline America's cyber security 概要: 共和党トップ、OMBに米国のサイバーセキュリティの合理化を求める
THE LOWDOWN: THE LOWDOWN:
・Top Republicans in Congress are eager to see the Trump administration’s Office of Management and Budget (OMB) roll back Biden-era regulations that leaders in the private sector have said are both duplicative and counterproductive, the Washington Reporter can reveal. ・議会の共和党トップは、トランプ政権の行政管理予算局(OMB)が、民間セクターのリーダーたちが重複的で逆効果だと指摘しているバイデン時代の規制を撤廃することを熱望していることが、ワシントン・レポーターの取材で明らかになった。
・The Reporter exclusively obtained a letter from House Homeland Security and Oversight Committees chairmen Mark Green and James Comer calling on OMB Director Russ Vought to “address the burdensome and conflicting cyber regulatory landscape.” ・The Reporter紙が独占的に入手した、下院の国土安全保障委員会と監視委員会のマーク・グリーン委員長とジェームズ・コマー委員長からの書簡は、OMBのラス・ヴォート長官に「負担が大きく、矛盾したサイバー規制の状況に対処する」よう求めている。
・Reps. Clay Higgins (R., La.), Nancy Mace (R., S.C.), and Andy Biggs (R., Ariz.) joined the chairmen on the letter. ・クレイ・ヒギンズ議員 クレイ・ヒギンズ議員(共和党、ラオス)、ナンシー・メイス議員(共和党、サウスカロライナ州)、アンディ・ビッグス議員(共和党、アリゾナ州)も、この書簡に加わった。
・According to President Donald Trump’s 10-to-1 deregulation initiative, OMB “must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero.” ・ドナルド・トランプ大統領の「10対1規制緩和イニシアチブ」によると、OMBは「少なくとも10個の既存規則を廃止し、新規制と廃止規制の純コスト合計がゼロ以下であることを保証しない限り、いかなる新規サイバー規制も発行してはならない」となっている。
Top Republicans in Congress are eager to see the Trump administration’s Office of Management and Budget (OMB) roll back Biden-era regulations that leaders in the private sector have said are both duplicative and counterproductive, the Washington Reporter can reveal. 議会の共和党トップは、トランプ政権の行政管理予算局(OMB)が、民間セクターのリーダーたちが重複的で逆効果だと指摘するバイデン時代の規制を撤廃することを熱望していることが、ワシントン・レポーターの取材で明らかになった。
In a letter exclusively obtained by the Reporter, House Homeland Security Committee Chairman Mark Green (R., Tenn.) and House Oversight Committee Chairman James Comer (R., Ky.) wrote to OMB Director Russ Vought urging his agency to “address the burdensome and conflicting cyber regulatory landscape.” Reps. Clay Higgins (R., La.), Nancy Mace (R., S.C.), and Andy Biggs (R., Ariz.) joined the chairmen on the letter. リポーターが独占入手した書簡の中で、マーク・グリーン下院国土安全保障委員長(テネシー州選出)とジェームズ・コーマー下院監視委員長(キース州選出)は、OMBのラス・ヴォート長官に宛てて、「負担が大きく、矛盾したサイバー規制の状況に対処する」よう求めている。クレイ・ヒギンズ議員 クレイ・ヒギンズ議員(共和党、ラオス)、ナンシー・メイス議員(共和党、サウスカロライナ州)、アンディ・ビッグス議員(共和党、アリゾナ州)も議長に加わった。
“As nation-state and criminal actors increasingly target U.S. networks and critical infrastructure in cyberspace, we can no longer allow compliance burdens to hinder the agility of U.S.-based companies to respond to threats in a timely manner,” they wrote, adding that the dichotomy between spending on security and compliance is an “unnecessary tradeoff.” 「国家や犯罪アクターがサイバー空間における米国のネットワークや重要インフラをますます標的とするようになる中、米国を拠点とする企業が脅威に対してタイムリーに対応する機敏性を、コンプライアンスの負担が妨げることはもはや許されない。
“The U.S. cyber regulatory regime should facilitate valuable and actionable information sharing that reinforces the security measures companies undertake to defend against, and respond to, cyber incidents,” the lawmakers wrote. 「米国のサイバー規制体制は、企業がサイバーインシデントに対する防御と対応のために実施するセキュリティ対策を強化する、価値ある実用的な情報共有を促進すべきである。
The lawmakers wrote that there “is ample evidence that cybersecurity regulatory compliance is unnecessarily sprawling and resource-intensive,” and that the “Cybersecurity and Infrastructure Security Agency (CISA) estimates there are more than three dozen federal requirements for cyber incident reporting alone — a number that does not capture specific state, local, Tribal, territorial, or international requirements.” 議員らは、「サイバーセキュリティ規制の遵守が不必要に広範で資源集約的であることを示す十分な証拠がある」とし、「サイバーセキュリティ・インフラセキュリティ庁(CISA)は、サイバーインシデント報告に関する連邦政府の要件だけでも3ダース以上あると推定している」と記している。これには、州、地方、部族、地域、国際的な要件は含まれていない。
One example the lawmakers point to is “a proposed change to the Health Insurance Portability and Accountability Act of 1996 (HIPAA) Security Rule aimed to improve cybersecurity [which] would cost regulated entities and health-plan sponsors an astounding $9 billion combined in just the first year.” 議員たちが指摘する一例は、「サイバーセキュリティの改善を目的とした1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ・ルールの変更案」である。 [これは)規制対象となる事業体と医療保険プランのスポンサーを合わせると、初年度に90億ドルという驚異的なコストがかかることになる」。
While Congress has passed numerous bipartisan measures to attempt to streamline cybersecurity requirements, the lawmakers note that Vought’s OMB can play a critical role too. 議会はサイバーセキュリティの要件を合理化しようとする数多くの超党派の法案を可決したが、議員たちは、ヴォートのOMBも重要な役割を果たすことができると指摘している。
“We urge OMB to act now by prioritizing the review of existing and future federal cyber regulations,” the letter reads. “OMB, in coordination with [the Office of the National Cyber Director] and [the Cybersecurity and Infrastructure Security Agency], must thoroughly examine the existing cyber regulatory landscape for duplication and redundancy across the federal government, and identify opportunities for reciprocity within and between agencies.” 「我々はOMBに対し、既存および将来の連邦サイバー規制の見直しを優先させることで、今すぐ行動を起こすよう求める。「OMBは、[国家サイバー長官室]および[サイバーセキュリティ・インフラセキュリティ庁]と連携して、連邦政府全体の重複や冗長性について既存のサイバー規制の状況を徹底的に調査し、政府機関内および政府機関間の相互主義の機会を特定しなければならない。
According to President Donald Trump’s 10-to-1 deregulation initiative, OMB “must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero,” they note. ドナルド・トランプ大統領の10対1規制緩和イニシアチブによると、OMBは「少なくとも10の既存規則を廃止し、新規制と廃止規制の正味総コストがゼロ以下であることを保証することなく、いかなる新規サイバー規制も発表してはならない」と彼らは指摘している。
However, OMB has the ability and authority to “periodically review existing significant regulations ‘to confirm that regulations are both compatible with each other and not duplicative or inappropriately burdensome in the aggregate,’” and the Republicans on the Green-led letter hope Vought exercises that authority. しかし、OMBは「既存の重要な規制を定期的に見直し、『規制が互いに互換性があり、全体として重複していないか、不適切な負担になっていないかを確認する』能力と認可機関を持っており、グリーン主導の書簡の共和党議員は、ヴォートがその権限を行使することを望んでいる」と述べている。
Following this letter, the lawmakers wrote to Vought that they would like to be briefing on OMB’s plans no later than April 28th. この書簡を受け、議員たちはヴォートに対し、遅くとも4月28日までにOMBの計画について説明を受けたいと書簡を送った。
“The Trump administration is rightfully working to roll back the burdensome, bureaucratic red tape across industries that ballooned under the Biden-Harris administration,” Green told the Reporter. “In line with that mission, Chairman Comer and I urge Director Vought to use OMB’s existing authorities to closely examine the cyber regulatory regime, which is now forcing the private sector to spend more time meeting duplicative compliance standards than securing their networks from growing cyber threats.” 「トランプ政権は、バイデン-ハリス政権下で膨れ上がった、業界全体にまたがる負担の大きい官僚主義的なお役所仕事を縮小するために、当然取り組んでいる」とグリーンは記者に語った。「その使命に沿って、コマー委員長と私は、ヴォート局長に対し、OMBの既存の認可を利用して、サイバー規制体制を綿密に検討するよう強く要請する。この規制体制は現在、民間企業に、増大するサイバー脅威からネットワークを守ることよりも、重複するコンプライアンス基準を満たすことに多くの時間を費やすことを強いている。
“Harmonizing and streamlining cyber requirements throughout the federal government will enable America’s cyber defenders to focus on network security,” he added. 「連邦政府全体のサイバー要件を調和させ、合理化することで、アメリカのサイバー防衛者はネットワークセキュリティに集中できるようになる。
The Trump administration has placed a priority on rolling back unnecessary regulations, which these Republicans think aligns squarely with reforming America’s cybersecurity infrastructure. Under the status quo, they note, “the resources required for regulated entities to comply are immense.” トランプ政権は不要な規制の撤廃を優先しており、これはアメリカのサイバーセキュリティ・インフラの改革と正面から一致していると共和党員は考えている。現状では、「規制対象事業体が遵守するために必要なリソースは膨大だ」と彼らは指摘する。
Testimony heard by both committees has shown the extent of the problems. 両委員会が聴取した証言は、問題の大きさを示している。
“Bank Chief Information Security Officers [CISOs] now spend 30-50 percent of their time on compliance and examiner management,” one witness told the Subcommittee on Cybersecurity and Infrastructure Protection. “The cyber teams they oversee spend as much as 70 percent of their time on those same functions.” 「銀行の最高情報セキュリティ責任者(CISO)は現在、時間の30~50%をコンプライアンスと審査官の管理に費やしている」と、ある証人はサイバーセキュリティ・インフラ保護小委員会で語った。「彼らが監督するサイバーチームは、同じ機能に70パーセントもの時間を費やしている。
Another witness told the Subcommittee on Cybersecurity, Information Technology, and Government Innovation that “managing compliance obligations with disparate regulations and across agencies may in fact harm the cybersecurity posture of organizations, particularly where limited resources are allocated to compliance activities over managing risk, maturing capabilities, and creating effective security programs.” 別の証人は、サイバーセキュリティ・情報技術・政府イノベーション小委員会に対し、「異なる規制や省庁間のコンプライアンス義務を管理することは、実際に組織のサイバーセキュリティ態勢に悪影響を及ぼす可能性がある。特に、限られたリソースがリスク管理、能力の成熟、効果的なセキュリティプログラムの作成よりもコンプライアンス活動に割り当てられている場合だ」と述べた。
Comer told the Reporter that the findings by the two GOP-led committees should lead to plenty of opportunities for collaboration with the administration. コマー氏は、共和党が主導する2つの委員会の調査結果は、政権との協力の機会を多くもたらすはずだと記者団に語った。
“Cyberattacks against our government and U.S.-based companies pose a serious threat to our national security and critical infrastructure,” he said. “We must ensure that cybersecurity regulations help prevent these attacks, not enable them.” 「政府や米国企業に対するサイバー攻撃は、国家安全保障と重要インフラに対する深刻な脅威である。「サイバーセキュリティ規制が、こうした攻撃を可能にするのではなく、未然に防ぐことを確実にしなければならない。
“We look forward to working with the Trump Administration to streamline and harmonize duplicative and bureaucratic regulations so they are effective and efficient,” Comer added. 「重複した官僚的な規制を合理化し、調和させ、効果的かつ効率的なものにするために、トランプ政権と協力することを楽しみにしている。

 

 

 


 

インシデント報告の重複を減らそうというのはどこも同じですね...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.17 金融安定理事会 (FSB) サイバーインシデント報告におけるより大きな収束を実現するための提言

 

 

 

| | Comments (0)

2025.04.21

欧州議会 防衛とAI

こんにちは、丸山満彦です。

技術力というのは、安全保障に大きな影響を与えますね...

技術がなければ、産業が発展できず、経済的な面で優位性を持てませんし、軍事面では兵器開発にも影響を及ぼしますよね...

技術力でホットな領域というのはAIですよね。。。影響力が大きな技術というのは、その利用の仕方で良い面、悪い面が極端にでることになりますから、国際的にも適切なルールづくりが必要となりますよね...原子力技術に似ているところがあるのかもしれませんね...

 

European Parliament - Think Tank

・2025.04.11 Defence and artificial intelligence

Defence and artificial intelligence 防衛とAI
Artificial intelligence (AI) is rapidly transforming modern warfare. Russia's war on Ukraine has demonstrated AI's critical role in intelligence gathering, autonomous systems, and cyber operations. A global AI arms race is therefore gathering speed, with China and the United States vying for leadership and Russia investing heavily in AI capabilities. The EU Strategic Compass for security and defence underscores the growing importance of defence innovation, recognising its strategic value and emphasising the need to strengthen the EU's emerging military technologies, including AI. The EU and its Member States have increasingly acknowledged AI's significance for security and defence, leading to expanded investment in AI-driven military technologies over the past decade. AI-powered defence innovation is progressing, with multiple European Defence Fund and Permanent Structured Cooperation (PESCO) projects dedicated to integrating AI into future military capabilities. Efforts are also underway to create synergies between the civilian, defence, and AI industries. In addition, the EU is cooperating with the North Atlantic Treaty Organization (NATO). AI in warfare raises key ethical concerns, including accountability, compliance with international humanitarian law, and the risk of conflict escalation due to reduced human oversight. Global debate over military AI regulation has intensified amid the absence of a unified international framework, with contrasting approaches emerging – such as the US promoting flexible, innovation-friendly standards, and the EU adopting a human-centric, risk-based model through its AI Act, which excludes military use but may – according to some experts – shape future debate on military AI regulation. While organisations like the United Nations are pushing for responsible use and oversight, geopolitical tensions and differing strategic interests continue to hinder consensus on global rules. The European Parliament recognises the strategic importance of AI in defence, but calls for regulation and a prohibition on lethal autonomous weapons (LAWS). The Parliament's Special Committee on Artificial Intelligence in a Digital Age (AIDA) stresses the need for ethical guidelines in defence AI, and has warned of the EU's potential lag in AI and called for international regulation of LAWS, robust cybersecurity measures, and global cooperation in military AI regulation. 人工知能(AI)は現代の戦争を急速に変化させている。ロシアのウクライナ戦争は、情報収集、自律システム、サイバー作戦におけるAIの重要な役割を実証した。そのため、中国と米国が主導権を争い、ロシアがAI能力に多額の投資を行うなど、世界的なAI軍拡競争が加速している。安全保障と防衛に関するEU戦略大綱は、防衛イノベーションの重要性が高まっていることを強調し、その戦略的価値を認識するとともに、AIを含むEUの新興軍事技術を強化する必要性を強調している。EUとその加盟国は、安全保障と防衛におけるAIの重要性をますます認識し、過去10年間、AIを活用した軍事技術への投資を拡大してきた。AIを活用した防衛技術革新は進展しており、将来の軍事能力にAIを組み込むことに特化した複数の欧州国防基金および常設協力(PESCO)プロジェクトがある。また、民間産業、防衛産業、AI産業間の相乗効果を生み出す取り組みも進行中である。さらに、EUは北大西洋条約機構(NATO)と協力している。戦争におけるAIは、説明責任、国際人道法の遵守、人間による監視の低下による紛争拡大のリスクなど、倫理上の重要な問題を提起している。統一された国際的な枠組みがない中、軍事用AI規制をめぐる世界的な議論は激化しており、米国は柔軟でイノベーションに適した標準を推進し、EUはAI法によって人間中心のリスクベースモデルを採用するなど、対照的なアプローチが登場している。国連のような組織が責任ある使用と監督を推進する一方で、地政学的緊張と戦略的利害の相違が、世界的ルールに関するコンセンサスの妨げとなっている。欧州議会は、防衛におけるAIの戦略的重要性を認識しているが、規制と致死的自律兵器(LAWS)の輸入事業者の禁止を求めている。欧州議会のデジタル時代の人工知能に関する特別委員会(AIDA)は、防衛AIにおける倫理的ガイドラインの必要性を強調し、AIにおけるEUの潜在的な遅れを警告し、LAWSの国際的規制、強固なサイバーセキュリティ対策、軍事AI規制における世界的協力を求めている。

 

・[PDF]

20250420-72543

・[DOCX][PDF] 仮訳

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.07 米国 上院軍事委員会 AIのサイバー能力の活用に関する証言 (2025.03.25)

・2025.01.18 米国 商務省産業安全保障局 人工知能普及のための枠組み(特定のAIの輸出規制...)

・2024.09.22 中国 AI安全ガバナンスフレームワーク(V1.0) (2024.09.09)

・2024.08.09 米国 国防大学出版局 統合軍クオータリー 「認知戦」

・2023.09.20 米国 GAO 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする

・2023.09.10 カーネギーメロン大学ソフトウェア工学研究所 新たなテクノロジー:国防総省におけるソフトウェアの未来を変える7つのテーマ (2023.08.24)

・2023.08.16 Atlantic Council:現代の軍隊はどのようにAIを活用しているか

・2023.08.13 米国 国防総省 CDAOが国防総省の新しい生成的AIタスクフォース(タスクフォース・リマ)の指揮を執る

・2023.06.15 米国 GAO 科学技術スポットライト:生成的AI

・2020.08.10 AIと将来の軍事力についての中国の視点

・2020.06.07 米国国防省 人工知能が戦争をかえると予測

| | Comments (0)

2025.04.20

米国 下院 中国共産党に関する特別委員会 DeepSeekに関する報告書...(2025.04.16)

こんにちは、丸山満彦です。

米国 下院 中国共産党に関する特別委員会(The Select Committee on the Chinese Communist Party)[wikipedia] がDeepSeekに関する報告書を公表していますね...

中国共産党に関する特別委員会は、2023年1月10日第118回議会において設立された、米国と中国共産党(CCP)との間の経済的、技術的、安全保障上の競争の現状を調査し、政策提言を行うことを目的とした委員会ですね...

で、今回、AI業界で話題となっているDeepSeekについての報告書が公表されていますね...

 

The Select Committee on the Chinese Communist Party

・2025.04.14 DEEPSEEK UNMASKED: EXPOSING THE CCP’S LATEST TOOL FOR SPYING, STEALING, AND SUBVERTING U.S. EXPORT CONTROL RESTRICTIONS

DEEPSEEK UNMASKED: EXPOSING THE CCP’S LATEST TOOL FOR SPYING, STEALING, AND SUBVERTING U.S. EXPORT CONTROL RESTRICTIONS Deepseekの仮面を剥ぐ:スパイ、窃盗、米国輸出規制の破壊のための中国共産党の最新ツールを暴く
EXECUTIVE SUMMARY エグゼクティブサマリー
 “Some in the industry have claimed that the U.S. holds an 18-month AI lead, but that obfuscates reality—it’s closer to three months.” – U.S. AI Executive  "業界の一部では、米国は18ヶ月のAIリードを保っていると主張しているが、それは現実を曖昧にするものであり、3ヶ月に近い。」 - U.S. AI Executive
DeepSeek represents a profound threat to our nation’s security. Although it presents itself as just another AI chatbot, offering users a way to generate text and answer questions, closer inspection reveals that the app siphons data back to the People’s Republic of China (PRC), creates security vulnerabilities for its users, and relies on a model that covertly censors and manipulates information pursuant to Chinese law. Equally troubling, the model appears to have been built using stolen U.S. technology on the back of U.S. semiconductor chips that are prohibited from sale to China without an export license and when it was released, PRC-affiliated social media accounts amplified and celebrated the model, according to Graphika research. This report documents some of the risks DeepSeek poses and explains how its development is based on common Chinese Communist Party (CCP) tactics designed to unlawfully undermine U.S. technological leadership and critical American policies to protect national security.  DeepSeekは、わが国の安全保障にとって重大な脅威である。このアプリは、ユーザーにテキストを生成したり質問に答えたりする方法を提供する、単なるAIチャットボットのように見えるが、よく調べると、このアプリはデータを中華人民共和国(PRC)に吸い上げ、ユーザーにセキュリティの脆弱性を作り出し、中国の法律に従って密かに情報を検閲・操作するモデルに依存していることがわかる。Graphikaの調査によれば、このモデルは、輸出許可なく中国に販売することが禁止されている米国の半導体チップを背景に、盗まれた米国の技術を使用して構築されたようである。この報告書は、DeepSeekがもたらすリスクの一部を文書化し、その開発が、米国の技術的リーダーシップと国家の安全を守るための米国の重要な政策を違法に弱体化させるために設計された中国共産党(CCP)の一般的な戦術に基づいていることを説明している。
The Committee’s investigation found:  同委員会の調査により、
1. DeepSeek funnels Americans’ data to the PRC through backend infrastructure connected to a U.S. government-designated Chinese military company.  1. DeepSeekは、米国政府指定の中国軍事企業に接続されたバックエンドのインフラを通じて、米国人のデータを中国に流している。
2. DeepSeek covertly manipulates the results it presents to align with CCP propaganda, as required by Chinese law.  2. DeepSeekは、中国の法律で義務付けられているように、中国共産党のプロパガンダに沿うように、提示する結果を秘密裏に操作している。
3. It is highly likely that DeepSeek used unlawful model distillation techniques to create its model, stealing from leading U.S. AI models.  3. DeepSeekは違法なモデル蒸留技術を使用してモデルを作成し、米国の主要なAIモデルから盗んでいる可能性が高い。
4. DeepSeek’s AI model appears to be powered by advanced chips provided by American semiconductor giant Nvidia and reportedly utilizes tens of thousands of chips that are currently restricted from export to the PRC.  4. DeepSeekのAIモデルは、米半導体大手エヌビディアがプロバイダとして提供する先進的なチップを搭載しているようであり、現在中国への輸出が制限されている数万個のチップを使用していると報告されている。
The Committee therefore makes the following recommendations:  そこで、当委員会は以下の提言を行う: 
1. Take swift action to expand export controls, improve export control enforcement, and address risks from PRC AI models.  1. 輸出規制を拡大し、輸出規制の執行を改善し、PRCのAIモデルによるリスクに対処するための迅速な行動をとる。
2. Prevent and prepare for strategic surprise related to advanced AI. 2. 高度なAIに関連した戦略的不意打ちを防ぎ、備える。

 

・[PDF

20250420-50101

・[DOCX][PDF] 仮訳

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.07 米国 上院軍事委員会 AIのサイバー能力の活用に関する証言 (2025.03.25)

・2025.03.16 中国 人工知能生成合成コンテンツ識別弁法 (2025.03.14)

・2025.02.12 個人情報保護委員会 DeepSeekに関する注意喚起と、外国制度(中華人民共和国)の更新 (2025.02.03)

・2025.02.03 些細だが累積するバイアス

・2025.01.31 欧州 地方自治体および地域行政によるAIおよびGenAIの採用

 

| | Comments (0)

2025.04.19

米国 FBI Cyber犯罪者は男性ばかり?

こんにちは、丸山満彦です。

別に知り合いがいるわけではないのですが、FBIが公開しているサイバー犯罪の指名手配者のリストのウェブページを見いてたら、男性ばかりということに気づきました。

Most wanted 132名分の顔写真があるのですが、全て男性です。

世の中半分が男性だとすると、132名全員が男性である確率は、1.8*10-40くらいですかね...

北朝鮮、中国、ロシア、イランの国籍の人が多いのかもしれませんが、それにしてもすごい比率ですね...

ただ、各グループで Most Wantedになっていない人の中には女性(一人?)もいるのですが、すごい男性比率です...

まぁ、以上なんですけどね (^^;;...

 

調べてみると、Cyber CrimeのGenderについての論文はいくつかあるみたいですね...

捜査段階では、サイバー犯罪者=男性という前提にたつことがないようにしないといけないですね。

 

● FBI

Most Wanted - Cyber Crimes

 

1_20250419060501

 


 

こんな論文もありますね...

・2023.03 [PDF] Gendering Cybersecurity through Women, Peace and Security: Gender and Human Rights in National-level Approaches to Cybersecurity

 

 

| | Comments (0)

2025.04.18

米国 AI政策戦略研究所(IAPS)AIエージェントのガバナンス: フィールドガイド (2025.04.17)

こんにちは、丸山満彦です。

米国のAI政策戦略研究所(IAPS)が、AIエージェントのガバナンス: フィールドガイドを公表していますね...

AI政策戦略研究所 (the Institute for AI Policy and Strategy: IAPS) は、国家安全保障と国際安定の観点からAI政策を考える団体ですね...

多くの組織に影響を与えるという意味では、AIの開発に関するガバナンスも重要ですが、多くの組織が利用するという意味では、AIの利用に関するガバナンスも重要ですよね...

政策としてはAI開発、提供、利用と一体で考えるべきですが、細かい点では、開発、提供、利用をそれぞれ分けても良いかもですね...対象者が異なってくるケースが多いでしょうし...

AIエージェントのリスクについて次の4つをあげていますね...

1 Malicious use 1 悪意のある利用
2 Accidents and loss of control 2 事故と制御不能
3 Security risks 3 セキュリティリスク
4 Other systemic risks 4 その他のシステミックリスク

 

 

the Institute for AI Policy and Strategy: IAPS

・2025.04.17 AI Agent Governance: A Field Guide

AI Agent Governance: A Field Guide AIエージェントのガバナンス: フィールドガイド
This report serves as an accessible guide to the emerging field of AI agent governance. Agents—AI systems that can autonomously achieve goals in the world, with little to no explicit human instruction about how to do so—are a major focus of leading tech companies, AI start-ups, and investors. If these development efforts are successful, some industry leaders claim we could soon see a world where millions or billions of agents autonomously perform complex tasks across society. Society is largely unprepared for this development. 本レポートは、AIエージェント・ガバナンスという新たな分野についてわかりやすく解説したものである。エージェントとは、人間の明示的な指示をほとんど受けることなく、自律的に目標を達成するAIシステムのことで、大手ハイテク企業やAIベンチャー企業、投資家たちが大きな関心を寄せている。こうした開発努力が成功すれば、何百万、何十億というエージェントが社会全体で複雑なタスクを自律的にこなす世界がまもなく実現すると主張する業界リーダーもいる。社会はこのような発展に対する備えをほとんどしていない。
A future where capable agents are deployed en masse could see transformative benefits to society but also profound and novel risks. Currently, the exploration of agent governance questions and the development of associated interventions remain in their infancy. Only a few researchers, primarily in civil society organizations, public research institutes, and frontier AI companies, are actively working on these challenges. 有能なエージェントが大量に展開される未来は、社会に変革的な利益をもたらすかもしれないが、同時に重大で斬新なリスクもはらんでいる。現在、エージェント・ガバナンスに関する問題の探求と、それに関連する介入策の開発は、まだ初期段階にある。これらの課題に積極的に取り組んでいるのは、主に市民社会組織、公的研究機構、フロンティアAI企業など、ごく少数の研究者に限られている。
Highlights from the report include: 報告書のハイライトは以下の通りである:
What’s coming: Vivid scenarios show what life with millions of AI agents could look like. これから起こること: 何百万ものAIエージェントがいる生活がどのようなものになるのか、生き生きとしたシナリオで示す。
The pace of change: Today’s AI agents struggle with tasks over an hour, but that limit has been doubling every few months. 変化のペース: 現在のAIエージェントは1時間以上のタスクに苦戦しているが、その限界は数カ月ごとに倍増している。
The governance gap: We map out the biggest unsolved challenges and introduce a new framework for understanding agent governance solutions. ガバナンスのギャップ: 最大の未解決課題を明らかにし、エージェント・ガバナンス・ソリューションを理解するための新しい枠組みを紹介する。

 

・[PDF] AI Agent Governance: A Field Guide

20250418-52829

 

エグゼクティブサマリー...

 

Executive Summary  エグゼクティブサマリー
Agents—AI systems that can autonomously achieve goals in the world, with little to no explicit human instruction about how to do so—are a major focus of leading tech companies, AI start-ups, and investors. If these development efforts are successful, some industry leaders claim we could soon see a world where millions or billions of agents are autonomously performing complex tasks across society. Society is largely unprepared for this development.[1]  エージェントとは、人間の明示的な指示をほとんど受けずに、自律的に目標を達成するAIシステムのことである。こうした開発努力が成功すれば、何百万、何十億ものエージェントが社会全体で複雑なタスクを自律的にこなす世界がまもなく実現すると主張する業界リーダーもいる。
Today, the leading approach for developing agents leverages recent advances in foundation models like ChatGPT and Claude. Scaffolding software is built around these models which allow them to interact with various tools and services—enabling them to have long-term memory, plan and interact with other agents, and take actions in the world.  今日、エージェントを開発するための主要なアプローチは、ChatGPTやClaudeのような基盤モデルの最近の進歩を活用している。スキャフォールディング・ソフトウェアは、エージェントが様々なツールやサービスと相互作用することを可能にするこれらのモデルを中心に構築され、長期記憶を持ち、計画を立て、他のエージェントと相互作用し、世界で行動を起こすことを可能にする。
While today’s agents can do a variety of things—from identifying critical vulnerabilities in software to ordering books on Amazon—they still face serious limitations in completing more complex, open-ended, longer time-horizon tasks.[2] Agents have major issues with reliability, as well as limitations in reasoning and digital tool use. There are also potential barriers to adoption if the processing power needed to run agents is cost-prohibitive. For example, newer AI systems that can 'think through' complex problems step-by-step (like the recently developed 'reasoning models') require much more processing power when answering questions or performing tasks, which can substantially drive up the energy and server costs needed to operate these systems.   今日のエージェントは、ソフトウェアの重大な脆弱性の特定からAmazonでの本の注文まで、様々なことができる一方で、より複雑で、オープンエンドで、時間軸の長いタスクを完了するには、まだ深刻な限界に直面している。また、エージェントを実行するために必要な処理能力がコスト高になる場合、採用の障壁となる可能性もある。例えば、最近開発された「推論モデル」のように、複雑な問題を段階的に「考え抜く」ことができる新しいAIシステムは、質問に答えたり、タスクを実行したりする際に、より多くの処理能力を必要とする。 
Benchmarks designed to evaluate the performance of agents on real-world tasks consistently find that while current agents perform comparably to humans on shorter tasks, they tend to perform considerably worse than humans on tasks that would take an equivalent human one or more hours to complete.  実世界のタスクにおけるエージェントのパフォーマンスを評価するために設計されたベンチマークでは、現在のエージェントは、短時間のタスクでは人間と同等のパフォーマンスを発揮するものの、人間が同等のタスクを完了するのに1時間以上かかるようなタスクでは、人間よりもかなりパフォーマンスが低下する傾向があることが一貫して判明している。
Table 1: Agent performance on various benchmarks representing real-world tasks (as of December 2024)[3]  表1:実世界のタスクを表す様々なベンチマークにおけるエージェントのパフォーマンス(2024年12月現在)[3]
Agent benchmark  エージェントベンチマーク
Performance  パフォーマンス
General AI Assistants (GAIA)  一般的なAIアシスタント(GAIA)
Tests real-world assistant capabilities across personal tasks, science, and general knowledge. Human accuracy (92%) far exceeds best agent performance (15%), with agents completely failing on complex multi-step tasks.  個人タスク、科学、一般知識にわたる実世界のアシスタント能力をテスト。人間の精度(92%)はエージェントの最高性能(15%)をはるかに上回り、複雑な複数ステップのタスクではエージェントは完全に失敗する。
METR Autonomy  METR Autonomy
Evaluates skills in cybersecurity, software engineering, and machine learning.  サイバーセキュリティ、ソフトウェアエンジニアリング、機械学習のスキルを評価する。
Capability Evals  Capability Evals
Agents perform comparably to humans on tasks taking ~30 minutes, but complete less than 20% of tasks requiring 1+ hours of human time.  エージェントは、30分程度のタスクでは人間と同等のパフォーマンスを発揮するが、人間の時間を1時間以上必要とするタスクの完了率は20%未満である。
RE-Bench  RE-Bench
A benchmark for evaluating the AI agents' ability to automate the work of experienced AI R&D researchers. Agents outperform humans in 2-hour tasks (4× better scores), but humans excel with longer timeframes—slightly better at 8 hours and doubling agent performance when given 32 hours.  経験豊富なAI研究開発者の作業を自動化するAIエージェントの能力を評価するためのベンチマーク。エージェントは2時間のタスクでは人間を上回るが(スコアは4倍)、人間はより長い時間枠で優れており、8時間ではわずかに上回り、32時間ではエージェントのパフォーマンスは2倍になる。
CyBench  CyBench
Assesses cybersecurity capabilities through professional-level Capture the Flag challenges. Agents struggled with tasks that take human teams more than 11 minutes to complete.  プロレベルのCapture the Flag課題を通じてサイバーセキュリティ能力をアセスメントする。エージェントは、人間のチームが11分以上かかるタスクに苦戦した。
SWE-bench Verified  SWE-bench Verified
Features real-world software engineering problems from GitHub issues. Agent performance drops dramatically for problems taking humans 1+ hour to resolve (20.8% → 4.8% → 0% as task complexity increases).  GitHubの課題から実世界のソフトウェアエンジニアリングの問題を取り上げる。人間が解決するのに1時間以上かかる問題では、エージェントのパフォーマンスは劇的に低下する(タスクの複雑さが増すにつれ、20.8% → 4.8% → 0%)。
WebArena  WebArena
Evaluates how agents navigate and extract information from websites. The best agent achieved only 14.41% success rate compared to human performance of 78.24%.  エージェントがどのようにウェブサイトをナビゲートし、情報を抽出するかを評価。人間の78.24%の成功率に対し、最高のエージェントは14.41%の成功率しか達成できなかった。
However, despite these limitations, today's agents are already providing economic value in a variety of early-adoption fields such as customer service, AI R&D, and cybersecurity. For instance, a fintech company, Klarna, claims it has agents performing the customer service work of ~700 FTE human employees with no reduction in customer satisfaction (Klarna 2024), and Google's CEO has stated over a quarter of all new code at Google is now generated by coding assistants (Pichai 2024). Researchers found that for specific tasks that both humans and agents perform well at, “the average cost of using a foundation model-based agent is around 1/30th of the median hourly wage of a US bachelor’s degree holder” (METR 2024). Also, researchers have found that the length of tasks that AIs can complete is doubling every 7 months (Kwa et al. 2025).  しかし、このような限界にもかかわらず、今日のエージェントは、カスタマーサービス、AIの研究開発、サイバーセキュリティなど、さまざまな初期採用分野ですでに経済的価値を提供している。例えば、フィンテック企業のKlarnaは、顧客満足度を下げることなく、人間の従業員700人分のカスタマーサービスをエージェントが行っていると主張している(Klarna 2024)。研究者たちは、人間とエージェントの両方が得意とする特定のタスクについて、「基礎モデルベースのエージェントを使用する平均コストは、米国の学士号取得者の時給中央値の約30分の1」であることを発見した(METR 2024)。また、研究者たちは、AIがこなせるタスクの長さが7ヶ月ごとに倍増していることを発見している(Kwa et al.2025)。
Some researchers have claimed that widespread deployment of agents as digital workers could lead to ‘explosive economic growth,’ i.e., an acceleration of growth rates by an order of magnitude, similar to the impact of the Industrial Revolution (Erdil and Besiroglu 2024). However, skeptics argue that significant bottlenecks remain, including AI systems' limited ability to perform physical tasks, the challenges of integrating digital and physical production processes, and the possibility that AI capabilities might plateau before reaching the level needed to perform most if not all tasks currently performed by humans (Clancy and Besiroglu 2023).  一部の研究者は、デジタルワーカーとしてのエージェントの広範な展開は、「爆発的な経済成長」、すなわち産業革命の影響に似た、成長率の桁違いの加速につながる可能性があると主張している(Erdil and Besiroglu 2024)。しかし、懐疑論者たちは、AIシステムが物理的なタスクを実行する能力が限られていること、デジタルと物理的な生産プロセスを統合する際の課題、現在人間が行っているタスクのすべてではないにせよ、そのほとんどを実行するのに必要なレベルに達する前にAIの能力が頭打ちになる可能性など、重大なボトルネックが残っていると主張している(Clancy and Besiroglu 2023)。
Additionally, there are several promising pathways to improve agent performance and strengthen institutional capacity to deploy AI systems safely—which means that leading AI companies expect many of these limitations to be overcome over the coming months and years.[4] One promising development is the emergence of the “test-time compute” paradigm. These models, such as Open AI’s o1 and o3, are able to dynamically allocate compute during inference to essentially think longer and harder about any given task . An o3-based agent reportedly scored 71.7% on SWE-bench Verified, a widely used benchmark for testing software engineering capabilities (Franzen and David 2024). This far outperformed the next highest-ranking agent, which scored 48.9%.[5] 
さらに、エージェントのパフォーマンスを改善し、AIシステムを安全に展開するための機構能力を強化するための有望な道筋がいくつかある。オープンAIのo1やo3のようなこれらのモデルは、推論中に動的に計算能力を割り当てることができ、基本的に与えられたタスクについてより長く、より難しく考えることができる。o3ベースのエージェントは、ソフトウェアエンジニアリング能力をテストするために広く使われているベンチマークであるSWE-bench Verifiedで71.7%のスコアを出したと報告されている(Franzen and David 2024)。これは、48.9%という次に高いスコアを出したエージェントをはるかに凌駕している[5]
A future where capable agents are deployed en masse could see transformative benefits to society, but also profound and novel risks:  能力のあるエージェントが大量に展開される未来は、社会に変革的な利益をもたらす可能性がある一方で、重大で斬新なリスクもはらんでいる: 
● Malicious use: AI agents can amplify malicious activities, such as spreading disinformation, automating cyberattacks, or advancing dual-use scientific research like bioweapon development. Their ability to execute multi-step plans autonomously heightens the potential for abuse by lowering barriers to entry and costs involved in these activities.  ● 悪意のある利用:AIエージェントは、偽情報の拡散、サイバー攻撃の自動化、生物兵器開発のような二重使用の科学研究の推進など、悪意のある活動を増幅させる可能性がある。多段階の計画を自律的に実行できるAIエージェントは、こうした活動への参入障壁やコストを引き下げることで、悪用の可能性を高める。
● Accidents and loss of control: Failures in agent systems range from mundane errors (e.g., incorrect outputs or navigation mishaps) to severe “loss of control” scenarios, where humans lose visibility into the operation of agents, the ability to identify and redirect harmful behaviors, and the ability to re-implement control of AI-driven systems in society. This includes risks like rogue replication or agents pursuing goals that are not aligned with human values.  ● 事故と制御不能: エージェント・システムにおける失敗は、ありふれたエラー(誤った出力やナビゲーションの誤作動など)から、深刻な「制御不能」シナリオにまで及ぶ。これには、不正な複製や、人間の価値観と一致しない目標を追求するエージェントなどのリスクが含まれる。
● Security risks: Agents, with their expanded access to tools and external systems, face vulnerabilities such as memory manipulation, exploitation through weak integrations, and cascading effects in multi-agent environments. These risks make them more susceptible to severe breaches compared to conventional AI.  ● セキュリティリスク: ツールや外部システムへのアクセスが拡大したエージェントは、メモリ操作、脆弱な統合による搾取、マルチエージェント環境におけるカスケード効果などの脆弱性に直面する。これらのリスクは、従来のAIに比べて深刻な侵害を受けやすくする。
● Other systemic risks: Large-scale agent deployment could lead to labor displacement and extreme power concentration among technological and political elites, and potential erosion of democratic accountability. Agents could exacerbate inequality or be leveraged for societal control.  ● その他のシステムリスク: その他のシステミック・リスク:大規模なエージェント展開は、技術的・政治的エリート層における労働力の移動と極端な権力集中を引き起こし、民主的説明責任を侵食する可能性がある。エージェントは不平等を悪化させたり、社会支配のために活用される可能性がある。
Agent governance is a nascent field focused on preparing for a world in which AI agents can carry out a wide array of tasks with human-level-or-above proficiency. Some of the major areas in agent governance include:  エージェント・ガバナンスは、AIエージェントが人間並みかそれ以上の熟練度で様々なタスクを遂行できる世界に備えることに焦点を当てた、まだ始まったばかりの分野である。エージェントガバナンスの主な分野には、以下のようなものがある: 
Monitoring and evaluating agent performance and risks: How can we effectively monitor and evaluate the performance and associated risks of increasingly autonomous and complex agents over time?   エージェントのパフォーマンスとリスクのモニタリングと評価: エージェントのパフォーマンスとリスクの監視と評価:自律的で複雑さを増すエージェントのパフォーマンスと関連リスクを、どのように効果的に監視・評価できるか? 
Develop mechanisms and structures for managing risks from agents across their lifecycle: What technical, legal, and policy-based interventions should be implemented to ensure agents operate safely and transparently, while maintaining accountability? What are the systemic risks and consequences of widespread agent adoption on political and economic structures? The ‘Agent interventions taxonomy’ table below outlines governance outcomes interventions can help achieve.   エージェントのライフサイクル全般にわたるリスクマネジメントの仕組みと構造を構築する: エージェントの安全性と透明性を確保し、説明責任を果たすために、どのような技術的、法的、政策的介入を行うべきか?エージェントの普及が政治・経済構造に及ぼすシステミックなリスクと影響とは何か?以下の「エージェント介入分類表」は、介入が達成するのに役立つガバナンスの成果を概説している。 
Incentivizing beneficial uses of agents: What beneficial use cases of agents should be prioritized and how?  エージェントの有益な利用を奨励する: エージェントのどのような有益な利用事例を、どのように優先させるべきか?
Adapting existing policy and legal frameworks and developing new instruments for agent governance: Anticipating what policy and legal instruments will be needed in a world with mass deployment of advanced agent systems.  既存の政策や法的枠組みを適応させ、エージェントガバナンスのための新たな手段を開発する: 高度なエージェントシステムが大量に展開する世界で、どのような政策や法的手段が必要になるかを予測する。
Agents for governance: To what extent should agents themselves participate in governance tasks? Advanced agents could potentially act as monitors, mediators, or enforcers within governance frameworks.  ガバナンスのためのエージェント: エージェント自身はどの程度までガバナンスに参加すべきか?先進的エージェントは、ガバナンスの枠組みの中で、監視者、調停者、執行者として機能する可能性がある。
One of the pressing needs in agent governance is to develop agent interventions, i.e., measures, practices, or mechanisms designed to prevent, mitigate, or manage the risks associated with agents. These aim to ensure that agents operate safely, ethically, and in alignment with human values and intentions. We have developed an outcomes-based taxonomy of agent interventions[6]:  エージェントガバナンスにおける緊急のニーズの一つは、エージェント介入、すなわちエージェントに関連するリスクを予防、緩和、管理するために設計された対策、実践、メカニズムを開発することである。これらの目的は、エージェントが安全に、倫理的に、人間の価値観や意図に沿った形で活動することを保証することである。我々は、エージェントの介入に関する成果ベースの分類法を開発した[6]: 
Currently, exploration of agent governance questions and development of associated interventions remains in its infancy. Only a small number of researchers, primarily in civil society organizations, public research institutes, and frontier AI companies, are actively working on these challenges. Many proposed interventions exist primarily as theoretical concepts rather than tested solutions, and there are significant gaps in our understanding of how to implement them effectively. While some organizations have begun providing targeted funding for agent governance research, and the topic is gaining increased attention at academic conferences, the field remains relatively neglected compared to other areas of AI governance.   現在、エージェントのガバナンスに関する疑問の探求と、関連する介入の開発は、まだ初期段階にとどまっている。主に市民社会組織、公的研究機構、フロンティアAI企業など、少数の研究者だけがこれらの課題に積極的に取り組んでいる。提案されている介入策の多くは、検証された解決策ではなく、主に理論的な概念として存在しており、それらを効果的に実施する方法についての理解には大きなギャップがある。エージェント・ガバナンスの研究に的を絞った資金を提供する政府も出てきており、学会での注目度も高まっているが、AIガバナンスの他の分野と比べると、この分野は相対的に軽視されたままである。 
The pace of progress in developing agent capabilities is rapidly outstripping our advancement in governance solutions—we lack robust answers to fundamental questions about how to ensure safe agents or manage their broader societal impacts. There is tremendous opportunity and need for researchers and technologists from civil, industry, and government to help progress the field, from fleshing out and testing theoretical proposals to creating solutions that can be implemented by AI developers and policymakers.  エージェントの能力開発の進歩のペースは、ガバナンス・ソリューションの進歩を急速に上回っており、エージェントの安全性をどのように確保し、より広範な社会的影響をどのように管理するかという基本的な疑問に対する確かな答えが得られていない。理論的な提案を具体化し、テストすることから、AI開発者や政策立案者が実行できる解決策を生み出すことまで、民間、産業、政府の研究者や技術者がこの分野の進展を支援する絶好の機会とニーズがある。
   
[1] Meta’s CEO, Mark Zuckerberg, told investors he wants to “introduce AI agents to billions of people” (Heath 2023) and Salesforce CEO Marc Benioff predicted there would be one billion AI agents in service by the end of FY2026 (Sozzi 2024).  [1] メタ社のCEOであるマーク・ザッカーバーグは、「AIエージェントを数十億の人々に紹介したい」と投資家たちに語っており(ヒース 2023年)、セールスフォース社のCEOであるマーク・ベニオフも、2026年度末までに10億のAIエージェントがサービスを開始すると予測している(ソッツィ 2024年)。
[2] For an example of an agent identifying critical vulnerabilities in real-world code, see Google’s Project Zero blog on Big Sleep (Project Zero 2024). For a visual demo of a browser agent being used to make an online shopping purchase, see this demo (AI Digest 2024).  [2] 実世界のコードに存在する重大な脆弱性を識別するエージェントの例については、Big Sleepに関するGoogleのProject Zeroブログを参照のこと(Project Zero 2024)。ブラウザ・エージェントがオンライン・ショッピングの購入に使われる視覚的なデモについては、このデモを参照のこと(AI Digest 2024)。
[3] See Appendix for more detailed breakdown of agent performance across various agentic benchmarks  [3] 様々なエージェントのベンチマークにおけるエージェントのパフォーマンスのより詳細な内訳については附属書を参照
[4] For example, the CEO of OpenAI, Sam Altman stated that “In 2025, we may see the first AI agents join the workforce and materially change the output of companies” (Altman 2025).  [4] 例えば、OpenAIのCEOであるサム・アルトマンは、「2025年には、最初のAIエージェントが労働力に加わり、企業のアウトプットを大きく変えるかもしれない」と述べている(Altman 2025)。
[5] SWE-bench Verified is an evaluation suite composed of realistic software engineering tasks (OpenAI 2024a).  [5] SWE-bench Verifiedは、現実的なソフトウェア工学タスクで構成された評価スイートである(OpenAI 2024a)
[6] A majority of these interventions have been proposed by civil society or industry researchers, but many have not been developed or implemented at scale.  [6] こうした介入策の大半は、市民社会や産業界の研究者によって提案されてきたが、その多くは開発されておらず、大規模に実施されてもいない。

 

目次...

Executive Summary エグゼクティブサマリー
Table of Contents 目次
1. Introduction 1. 序文
1.1 Two visions of an agent-filled future 1.1 エージェントに満ちた未来についての2つのビジョン
2. What are AI agents? 2. AIエージェントとは何か?
2.1 How capable are agents today? 2.1 現在のエージェントの能力は?
2.2 Pathways to better agents 2.2 より優れたエージェントへの道
2.3 AI agent adoption 2.3 AIエージェントの採用
3. Risks from AI agents 3. AIエージェントがもたらすリスク
3.1 Malicious use 3.1 悪意のある利用
3.2 Accidents and loss of control 3.2 事故と制御不能
3.3 Security risks 3.3 セキュリティリスク
3.4 Other systemic risks 3.4 その他のシステミックリスク
4. What is agent governance? 4. エージェントガバナンスとは何か?
5. Agent interventions 5. エージェントの介入
5.1 Alignment 5.1 アライメント
5.2 Control 5.2 コントロール
5.3 Visibility 5.3 可視性
5.4 Security and robustness 5.4 セキュリティと堅牢性
5.5 Societal integration 5.5 社会的統合
6. Conclusion 6. 結論
Acknowledgements 謝辞
Appendix 附属書
Bibliography 参考文献

 

| | Comments (0)

2025.04.12

CSA STAR for AI 関係...

こんにちは、丸山満彦です。

Cloud Security Allianceが、AIのための監査プログラム(STAR for AI)を検討していますが、検討参加の締め切りが近づいているので...

検討に参加したい人は4月28日までに...

ちなみに、STARは Security, Trust, Assurance & Risk (セキュリティ、信頼、保証、リスク)の略ですね...、

 

考えることはだいたい似ています(^^)...

 

Cluod Security Alliance

An Urgent Need for AI Security Assurance

STAR Program for AI STAR Program for AI
Building AI trust upon STAR’s proven foundations STARの実証された基盤の上にAIの信頼を築く
An Urgent Need for AI Security Assurance AIセキュリティ保証の緊急ニーズ
“We all know we are playing with fire - everyone is trapped in this prisoner’s dilemma. Nobody is willing to stop the race to Superintelligence. Some believe that regulations are premature and potentially harmful. Others believe that in the absence of them, we’ll quickly lose control of society as we know it and go down the path of a dystopian future.”  「我々は皆、火遊びをしていることを知っている。誰もがこの囚人のジレンマに陥っている。誰も超知能への競争を止めようとはしない。規制は時期尚早であり、潜在的に有害であるという意見もある。ある者は、規制は時期尚早であり、有害である可能性があると考え、またある者は、規制がなければ、われわれが知っているような社会の制御をたちまち失い、ディストピア的な未来への道を歩むことになると考えている。
- Daniele Catteddu, CTO, CSA - CSA、CTO、Daniele Catteddu
We have firmly embedded generative AI technologies into our organizations and personal lives, and adoption is only increasing from there. However, at the same time, people face uncertainty and distrust with AI. No common standard exists. Various groups are slowly building AI frameworks, but their pace clashes with the light-speed progress of AI. 私たちは生成的AI技術を組織や個人生活にしっかりと組み込んでおり、そこから採用は増える一方だ。しかし同時に、人々はAIに対する不確実性と不信感に直面している。共通の標準は存在しない。様々なグループがAIの枠組みを少しずつ構築しているが、そのペースはAIの光速の進歩と衝突している。
Launched in 2011, CSA’s Security, Trust, Assurance & Risk (STAR) program is the industry’s most powerful program for security assurance, listing over 3,400 cloud provider security assessments in its publicly-available registry. Worldwide, organizations rely on STAR entries as an indicator of cloud service trustworthiness. This framework is the perfect medium for bringing stability to the chaotic realm of AI. 2011年に開始されたCSAのセキュリティ、トラスト、アセスメント&リスク(STAR)プログラムは、セキュリティ保証のための業界で最も強力なプログラムであり、一般公開されているレジストリに3400以上のクラウドプロバイダのセキュリティ評価が登録されている。世界中の企業が、クラウドサービスの信頼性を示す指標としてSTARのエントリーを信頼している。この枠組みは、AIという混沌とした領域に安定性をもたらすのに最適な媒体である。
CSA is expanding the STAR program to include assurance for AI. STAR for AI will pull from the Cloud Controls Matrix (CCM) and other existing auditing standards to deliver a security framework and certification program for AI services, as soon as possible. This will provide AI companies, cloud providers, and enterprise users with an authoritative mechanism to measure AI trustworthiness. CSAはSTARプログラムを拡張し、AIの保証を含める。STAR for AIは、Cloud Controls Matrix(CCM)やその他の既存の監査標準を活用し、AIサービス向けのセキュリティフレームワークと認証プログラムを早急に提供する。これにより、AI企業、クラウドプロバイダー、エンタープライズユーザーに、AIの信頼性を測定する権威あるメカニズムを提供する。
What Are We Building? 何を構築するのか?
AI Controls Matrix AI Controls Matrix
A framework of control objectives to support the secure and responsible development, management, and use of AI technologies. Draws from the Cloud Controls Matrix (CCM), ISO/IEC 42001, ISO 27001, and more.  AI技術の安全で責任ある開発、管理、利用をサポートするための管理目標の枠組み。クラウドコントロールマトリックス(CCM)、ISO/IEC 42001、ISO 27001などから引用している。
AI Safety Pledge AI Safety Pledge
A list of high-level AI safety principles for companies to pledge to support. Serves as a stepping stone to the broader certification program and draws from the AI Controls Matrix. 企業が支持を表明するためのハイレベルなAI安全原則のリスト。より広範な認証プログラムへの足がかりとなるもので、AI Controls Matrixを活用している。
AI Auditing Scheme AI Auditing Scheme
Conformity assessment mechanisms to evaluate the adherence of AI services to the AI Controls Matrix. Possible approaches include self-assessment, third-party audit, continuous controls monitoring, and AI auditing. AIサービスのAIコントロール・マトリックスへの準拠を評価するための適合性評価メカニズム。自己アセスメント、サードパーティ監査、継続的管理モニタリング、AI監査などのアプローチが考えられる。
AI Safety Certification Program AI Safety Certification Program
A certification service delivered via the cloud that will leverage the AI Controls Matrix and live on the CSA STAR Registry. AI Controls Matrixを活用し、CSA STAR Registry上で稼働するクラウド経由で提供される認証サービス。
Stay Informed 情報提供
People around the world are calling for the prompt regulation of AI services. CSA has taken up the mantle to deliver.  世界中の人々がAIサービスの迅速な規制を求めている。CSAはそれを実現するためにマントルを引き受けた。
Fill out this form to stay updated as we develop STAR for AI. Be the first to hear about new calls for participation, peer reviews, and releases. After submitting, you’ll get access to additional resources to explore the initiative further. このフォームに入力すると、AI向けSTARの開発に関する最新情報を入手できる。新しい参加募集、ピアレビュー、リリースに関する情報をいち早くお届けする。送信すると、このイニシアチブをさらに探求するための追加リソースにアクセスできるようになる。

 

ブログ...

・2025.01.29 Can GenAI Services Be Trusted? | At the Discovery of STAR for AI

 

Can GenAI Services Be Trusted? | At the Discovery of STAR for AI GenAIサービスは信頼できるか?| GenAIのサービスは信頼できるのか|AIのためのSTARの発見
Written by Daniele Catteddu, Chief Technology Officer, CSA. CSA最高技術責任者、Daniele Cattedduが書いた。
Whenever new technologies are introduced into our personal lives, organizations, or even society as a whole, we always ask the same question: Can I trust it? 新しいテクノロジーが私たちの個人生活や組織、あるいは社会全体に導入されるとき、私たちはいつも同じ質問をする: それは信頼できるのか?
Most recently, how many of us have asked ourselves whether, how, and within which limits we can trust LLM/GenAI services and their providers? This is a legitimate question, given that we are faced with an innovation that holds the potential to transform our lives profoundly. Policymakers and regulators seem to be grappling with similar concerns. Meanwhile, GenAI service providers are asking: How can we earn the trust of our customers, policymakers, regulators, and markets? 最近では、LLM/GenAIのサービスやそのプロバイダを信頼できるのか、どのように、どの範囲内で信頼できるのか、どれだけの人が自問しているだろうか。私たちの生活を大きく変える可能性を秘めたイノベーションに直面していることを考えれば、これは正当な疑問である。政策立案者や規制当局も同様の懸念に取り組んでいるようだ。一方、GenAIサービス・プロバイダは、「どうすれば顧客、政策立案者、規制当局、市場のトラストを獲得できるのか?
The same question was posed during the early days of cloud computing: Can I trust the cloud? Back then, the Cloud Security Alliance (CSA) brought together the expertise of providers, customers, auditors, and regulators to address the complex matters of trust and assurance in cloud computing, and we created the STAR Program. Building on that experience, CSA has introduced STAR for AI—a pioneering initiative inspired by those early days of cloud computing. クラウド・コンピューティングの黎明期にも同じ問いが投げかけられた: クラウドは信頼できるのか?当時、クラウド・セキュリティ・アライアンス(CSA)は、プロバイダ、顧客、監査人、規制当局の専門知識を結集して、クラウド・コンピューティングにおける信頼と保証の複雑な問題に取り組み、STARプログラムを創設した。その経験に基づき、CSAは、クラウド・コンピューティングの黎明期に着想を得た先駆的な取り組みであるSTAR for AIを導入した。
I’m Daniele Catteddu, CTO at CSA and Co-Founder of the STAR Program. In this blog, I will discuss current GenAI services governance, trust, risk management, and compliance challenges and will introduce the STAR for AI initiative that aims to establish a standard for GenAI services assurance. 私はCSAのCTOであり、STARプログラムの共同創設者であるDaniele Cattedduだ。このブログでは、現在のGenAIサービスのガバナンス、トラスト、リスクマネジメント、コンプライアンスの課題について説明し、GenAIサービス保証の標準確立を目指すSTAR for AIイニシアチブについて紹介する。
What does it mean for a GenAI service provider to be trustworthy? GenAIサービスプロバイダが信頼に足るとはどういうことか?
Or even better, what does it mean for a GenAI service to be trustworthy? あるいはそれ以上に、GenAIサービスが信頼に足るとはどういうことか?
For our purpose, we’ll define a Trustworthy GenAI Service as one that is committed to serving humanity responsibly and ethically via safe technologies. 我々の目的のために、信頼できるGenAIサービスとは、安全なテクノロジーを通じて、責任を持って倫理的に人類に奉仕することにコミットしているものと定義する。
It is offered by a system that is robust, reliable, resilient, explainable, controllable, transparent, accountable, protects privacy, fosters fairness, and complies with all applicable laws and regulations. それは、堅牢で、信頼性があり、レジリエンシーがあり、説明可能で、制御可能で、透明性があり、説明責任を果たし、プライバシーを保護し、公平性を育み、適用法および規制を遵守するシステムによって提供される。
Back in the early days of cloud computing, the challenges were: クラウド・コンピューティングの黎明期には、次のような課題があった:
・The introduction of a new business and technological paradigm (someone else’s computer syndrome) ・新しいビジネスと技術のパラダイムの序文(他人のコンピューター症候群)
・Confusion on how to govern data (where is my data in the cloud obsession) ・データをどのようにガバナンスするかについての混乱(クラウドの中の私のデータはどこにあるのかという強迫観念)
・Confusion on how to govern new categories of services (SaaS Governance nightmare) ・新しいカテゴリーのサービスをどのようにガバナンスするかについての混乱(SaaSガバナンスの悪夢)
・Confusion about how to use and integrate the new technology and services into existing platforms and whether to revolutionize existing habits, systems, and platforms based on the new technology ・新しいテクノロジーとサービスをどのように利用し、既存のプラットフォームに統合するか、また既存の習慣を変革するかどうかについての混乱、 
・Confusion in the legal and regulatory landscape ・法規制の混乱
・Lack of standards (both technical and assurance/quality standards) and need to retrofit existing ones ・標準(技術標準と保証・品質標準の両方)の欠如と既存標準の改修の必要性
For AI, the situation appears to be similar in many ways, with a few notable differences. The paradigm shift does not only affect businesses and technologies; it goes deeper into the very fabric of our society and personal lives. The new syndrome is not someone else’s computer but someone else’s (else’s) brain. The risk of over-reliance on the AI Oracle did not exist with the cloud. AIについては、いくつかの顕著な違いはあるものの、状況は多くの点で類似しているようだ。パラダイムシフトは、ビジネスやテクノロジーに影響を与えるだけでなく、私たちの社会や個人生活そのものに深く入り込んでいる。新しい症候群は、他人のコンピューターではなく、他人の(他人の)脳である。AIオラクルに過度に依存するリスクは、クラウドには存在しなかった。
We have the same confusion regarding data governance (the obsession with “who is using my data for training?”) and service governance (How to prevent errors, abuses, and unwanted uses? How to understand what is real and what is fake? What is human vs. AI-generated? Shadow-AI paranoia, Evil-GTP fear, soon-to-be Evil AI Agent fear). データガバナンス(「誰が私のデータをトレーニングに使っているのか」というこだわり)やサービスガバナンス(エラーや乱用、望まない利用をどう防ぐか)に関しても、同じような混乱がある。何が本物で何が偽物かを理解するにはどうすればいいか?人間対AI生成的とは何か?シャドーAIパラノイア、Evil-GTPの恐怖、もうすぐ登場するEvil AI Agentの恐怖)。
Similarly, many organizations face uncertainty, ranging between full embracement, timid acceptance, refusal, and complete denial. 同様に、多くの組織は、完全な受け入れ、臆病な受け入れ、拒否、完全な否定の間の不確実性に直面している。
Should I stay or should I go? The same old-school human resistance to change and legacy problem, exacerbated by the much stronger disruptive potential of GenAI compared to the cloud and mitigated by the substantially more advanced capabilities offered by GenAI. 残るべきか、去るべきか?変化やレガシー問題に対する昔ながらの人間の抵抗は、クラウドと比較してGenAIの破壊的潜在力がはるかに強いために悪化し、GenAIが提供する実質的により高度な機能によって緩和される。
What’s the current state of AI security assurance and trust? AIのセキュリティ保証と信頼の現状は?
The political, legal and regulatory landscape is tough. The geo-strategic interests at stake are at a scale humanity has seen only during the nuclear race during WW2. Acknowledging GenAI as a potential existential threat underscores the urgency of robust governance. However, I recognize that framing it in terms of the nuclear race may hinder productive dialogue by evoking a zero-sum, adversarial mindset. Instead, GenAI's risks should be addressed through a combination of cooperative international agreements, transparent development practices, and enforceable safety standards. 政治、法律、規制の状況は厳しい。地政学的な利害が絡んでおり、人類が第2次世界大戦中の核開発競争でしか見たことのない規模だ。GenAIを潜在的な脅威と認識することは、強固なガバナンスの緊急性を強調する。しかし、核開発競争という観点からこの問題をとらえることは、ゼロサム的で敵対的な考え方を想起させ、生産的な対話を妨げる可能性があることを私は認識している。その代わりに、GENAIのリスクは、協力的な国際協定、透明性のある開発慣行、強制力のある安全標準の組み合わせを通じて対処されるべきである。
We all know we are playing with fire - everyone is trapped in this prisoner’s dilemma. Nobody is willing to stop the race to Superintelligence. Some believe that regulations are premature and potentially harmful. Others believe that in the absence of them, we’ll quickly lose control of society as we know it and go down the path of a dystopian future. 囚人のジレンマに陥っているのだ。誰もがこの囚人のジレンマに陥っているのだ。誰も超知能への競争を止めようとはしない。規制は時期尚早であり、潜在的に有害だと考える者もいる。また、規制がなければ、私たちが知っているような社会のコントロールはたちまち失われ、ディストピア的な未来への道を歩むことになると考える人もいる。
The EU, China, and Brazil have already adopted regulations: the EU AI Act, Generative AI Regulations (e.g. Measures for the Administration of Generative Artificial Intelligence Services) and Brazilian AI Bill, respectively. The EU AI Act, which I know a bit better, aims to strike a good balance between innovation, safety, and accountability. At the same time, the USA government appears to espouse a self-regulatory approach. In between, there are several other countries in the process of figuring out the principles and laws to rule and guide the transition toward a new AI-driven society. EU、中国、ブラジルはすでに、それぞれEU AI法、生成的AI規則(生成的人工知能サービス管理措置など)、ブラジルAI法案という規制を採用している。EUのAI法は、イノベーション、安全性、説明責任のバランスを取ることを目的としている。同時に、アメリカ政府は自主規制的なアプローチを支持しているようだ。その中間には、新しいAI駆動型社会への移行をルール化し導くための原則や法律を見つけ出そうとしている国がいくつかある。
In the background, there is also a battle between parts of the scientific community. One side has the urge to slow down, or even pause, the exponential progress of AI until we have more solid solutions to the alignment problem. Others firmly believe we need to immediately commercialize these new technologies to build an AI-aware society and favor the embracement of the positive effect of GenAI. その背景には、科学界の一部による争いもある。一方は、アライメント問題に対するより確かな解決策が得られるまで、AIの指数関数的な進歩を遅らせたい、あるいは一時停止させたいという衝動に駆られている。他方では、AIを意識した社会を構築するためには、これらの新技術を直ちに商業化する必要があると固く信じており、GenAIのポジティブな効果を受け入れることを支持している。
The standards are clearly in their infancy. We are slowly building the vocabularies and taxonomies to understand each other. However, we can anticipate that the consensus-building exercise that stands behind the standard creation seems to clash with the light-speed progress of AI technologies and the continuous release of solutions. 標準は明らかに初期段階にある。互いを理解するための語彙や分類法が徐々に構築されつつある。しかし、標準作成の背後にある合意形成の運動は、AI技術の光速の進歩や継続的なソリューションのリリースと衝突するように思えることが予想される。
Someone could summarize the situation as a bit chaotic... この状況を、ちょっと混沌としている......と表現する人がいるかもしれない。
What is CSA going to do about it? CSAはどうするのか?
In this chaos, at CSA, we decided to use the same principles, tips, and tricks that proved useful for cloud computing assurance to build an approach that can offer a solid, robust, understandable, and measurable “something” —a starting point— to reiterate and improve continuously. Over time, CSA hopes to achieve a better approximation of the measure of trustworthiness of the AI services that we’ll consume. この混沌の中で、CSAでは、クラウド・コンピューティングの保証に有用であることが証明されたのと同じ原則、ヒント、トリックを使用して、反復し、継続的に改善するための、堅実で、強固で、理解可能で、測定可能な「何か」(出発点)を提供できるアプローチを構築することにした。時間をかけて、CSAは、我々が利用するAIサービスの信頼性の尺度のより良い近似値を達成したいと考えている。
This little “something” we are building is called STAR for AI. For those not familiar with CSA, STAR is the acronym for Security, Trust, Assurance, and Risk. STAR is CSA’s program for cybersecurity assurance, governance, and compliance, and its initial focus and scope was cloud computing. 我々が構築しているこの小さな「何か」は、STAR for AIと呼ばれている。CSAをよく知らない人のために説明すると、STARはSecurity(セキュリティ)、Trust(信頼)、Assurance(保証)、Risk(リスク)の頭文字をとったものだ。STARはサイバーセキュリティの保証、ガバナンス、コンプライアンスのためのCSAのプログラムで、当初はクラウド・コンピューティングに焦点を当てていた。
In the cloud computing industry, the STAR program is widely used as an indicator of cloud service trustworthiness, both in the private and public sector domains. For instance, some countries like Italy officially use it as a mechanism of adherence to national requirements for the public sector and critical infrastructures. クラウド・コンピューティング業界では、STARプログラムはクラウド・サービスの信頼性を示す指標として、民間・公共セクターを問わず広く利用されている。例えば、イタリアのように、公的部門や重要インフラに対する国家要件の遵守を示すメカニズムとして公式に使用している国もある。
And we hope to achieve the same success with our latest initiative. そして我々は、最新のイニシアチブでも同様の成功を収めたいと考えている。
STAR for AI will focus on Multimodal GenAI services and consider their overall value chain. This means the evaluation will have within its scope one or more of the following components: STAR for AIは、マルチモーダルなGenAIサービスに焦点を当て、そのバリューチェーン全体を検討する。これは、評価の範囲に以下の構成要素の1つ以上が含まれることを意味する:
1) Cloud / Processing Infra / GenAI Operations, 2) Models, 3) Orchestrated Services, 4) Applications, and 5) Data (for reference please read the CSA LLM Threat Taxonomy). 1) クラウド/処理インフラ/GenAIオペレーション、2) モデル、3) オーケストレーテッド・サービス、4) アプリケーション、5) データ(参考のため、CSA LLM脅威分類法をお読みください)。
Additionally, the program will evaluate the security of AI service usage. さらに、このプログラムでは、AIサービス利用のセキュリティを評価する。
Our goal is to create a trustworthy framework for key stakeholders to demonstrate safety and security, whether they are a Gen-AI frontier model owner, (added-value) AI service developers and providers, or AI services business users. 我々の目標は、主要なステークホルダーが、Gen-AIフロンティアモデルオーナー、(付加価値のある)AIサービス開発者やプロバイダ、AIサービスビジネスユーザーのいずれであっても、安全性とセキュリティを実証するための信頼できる枠組みを構築することである。
The program will focus on technical and governance aspects related to cybersecurity. Additionally, it will cover aspects of safety, privacy, transparency, accountability, and explainability as far as they relate to cybersecurity. このプログラムは、サイバーセキュリティに関連する技術的側面とガバナンスの側面に焦点を当てる。さらに、サイバーセキュリティに関連する限りにおいて、安全性、プライバシー、透明性、説明責任、説明可能性の側面もカバーする。
The audit and evaluation approach will be risk-based, i.e., the suitability of the controls in place will be established based on the risks to which the service is exposed. The risk-based approach will ensure the audit and evaluation process is relevant to the context and use case. 監査と評価のアプローチは、リスクベース、すなわち、サービスがさらされているリスクに基づいて、実施されているコントロールの適切性が確立される。リスクベースのアプローチは、監査・評価プロセスがコンテキストとユースケースに関連していることを保証する。
The program will leverage existing auditing and accreditation standards, which might be AI-specific (e.g., ISO/IEC 42001-2023) or more general (ISO27001, ISO17021, 17065, etc.). It will include both point-in-time and continuous auditing. このプログラムは、AIに特化した標準(ISO/IEC 42001-2023など)またはより一般的な標準(ISO27001、ISO17021、17065など)の既存の監査・認定標準を活用する。これには、ポイント・イン・タイム監査と継続的監査の両方が含まれる。
Introducing the AI Controls Matrix AIコントロール・マトリックスの導入
As a first step, we are establishing a control framework for GenAI service security. The framework is open, expert-driven, consensus-based, and vendor-agnostic. Its ambition is to repeat and improve on the success of the Cloud Controls Matrix and become an industry de facto standard. 第一段階として、GenAIサービス・セキュリティのためのコントロール・フレームワークを確立する。この枠組みは、オープンで、専門家主導で、コンセンサスに基づき、ベンダーにとらわれない。このフレームワークは、クラウドコントロールマトリックスの成功を繰り返し、改善し、業界のデファクトスタンダードとなることを目指している。
The framework is called the CSA AI Controls Matrix (AICM). この枠組みはCSA AI Controls Matrix(AICM)と呼ばれている。
We released it for peer review just before the end of 2024, hoping to offer our community a present for the beginning of the new year. 我々は、2024年末の直前にピアレビューのためにこのフレームワークをリリースした。
The initial version of AICM was designed to follow common sense principles of trustworthiness. We defined a taxonomy, created threat scenarios, and identified control objectives to mitigate the threats. The AI control objectives were framed in the CSA Cloud Control Matrix’s template and structure. We leveraged the strengths of the CCM model, and customized and improved where necessary. The team of volunteers contributing includes experts from industry, academia, and governmental bodies. Needless to say we also used the support of GenAI tools. AICMの初期バージョンは、信頼性の常識的な原則に従って設計された。我々は分類法を定義し、脅威シナリオを作成し、脅威を緩和するための制御目標を特定した。AIの管理目標は、CSAクラウド・コントロール・マトリックスのテンプレートと構造で組み立てられた。我々はCCMモデルの長所を活用し、必要に応じてカスタマイズと改善を行った。貢献したボランティアチームには、産業界、学界、政府団体の専門家が含まれている。GenAIツールのサポートも活用したことは言うまでもない。
The current version of the AICM is structured in 18 domains. 17 are in common with the CCM, plus the addition of the Model Security Domain. There are 242 control objectives (37 of them AI-specific, 183 relevant to both AI and cloud, and 22 cloud-specific). AICMの現在のバージョンは、18のドメインで構成されている。17はCCMと共通で、加えてモデル・セキュリティ・ドメインが追加されている。242の管理目標がある(そのうち37はAI固有、183はAIとクラウドの両方に関連、22はクラウド固有)。
This is our first call for action. If you care about AI service trustworthiness and/or are a subject expert on the matter, you should review the current draft of the AICM and contribute to improving it. It might seem like a hyperbole, but having your name on the standard that will design the boundaries of GenAI service trustworthiness, means leaving a legacy in history. これは、私たちが最初に呼びかける行動である。もしあなたがAIサービスの信頼性に関心があり、かつ/またはこの問題の専門家であるならば、AICMの現在のドラフトを見直し、改善に貢献すべきである。大げさに思えるかもしれないが、GenAIサービスの信頼性の境界を設計する標準にあなたの名前を載せることは、歴史に遺産を残すことを意味する。
Determining assessment mechanisms アセスメントメカニズムの決定
The other foundational component of STAR for AI is the auditing scheme, the conformity assessment mechanisms that will be used to evaluate the adherence of a given GenAI service to the AICM requirements. STAR for AIのもう一つの基礎となるコンポーネントは、監査スキームであり、与えられたGenAIサービスがAICM要件に準拠しているかどうかを評価するために使用される適合性評価メカニズムである。
With the support of the auditing and assurance community, in 2024 we started to reason about the mechanisms fit for GenAI service cyber assurance evaluation. More in general, we started a discussion on the impact of AI on auditing and the future of assurance and trustworthiness. 監査・保証コミュニティの支援により、2024年に我々はGenAIサービスのサイバー保証評価に適したメカニズムについて推論を開始した。より一般的には、AIが監査に与える影響、保証と信頼性の将来についての議論を開始した。
We are exploring options. Several possible approaches are considered for use. Some are already existing and standardized (self-assessment, third-party audit, etc.), others are under development (continuous controls monitoring/auditing), and others might be introduced as a result of new technologies or new technical needs (e.g., Gen AI Auditing/Assessment). 我々は選択肢を模索している。いくつかの可能性のあるアプローチを使用することを検討している。すでに存在し標準化されているもの(自己評価、サードパーティ監査など)、開発中のもの(継続的な統制モニタリング/監査)、新技術や新たな技術的ニーズの結果として導入される可能性のあるもの(Gen AI Auditing/Assessmentなど)などがある。
Here comes our second call for action, and once again, it involves you taking a step forward, being a thought leader, and contributing to shaping the future of cyber assurance. If you would like to be involved in the creation of the auditing scheme, please get in touch. また、新技術や新たな技術的ニーズの結果として導入される可能性のあるものもある(例:Gen AI監査/評価)。ここでもまた、あなたが一歩を踏み出し、オピニオンリーダーとして、サイバーアシュアランスの未来を形作ることに貢献することが求められている。監査スキームの構築に関わりたい方は、ぜひご連絡いただきたい。
An urgent call to action 緊急の呼びかけ
Why are we building STAR for AI? Simple: Within our community, there’s a background voice that is increasing in volume by the second. It quickly became a scream. What we hear is a request to support the controlled adoption of GenAI services and the governance of its cybersecurity and safety. We need a mechanism to measure trustworthiness, and CSA is strategically committed to delivering such a solution. なぜ我々はAIのためのSTARを構築しているのか?単純なことだ: 我々のコミュニティーの中で、刻一刻とそのボリュームを増している背景の声がある。それはすぐに悲鳴となった。私たちが耳にするのは、GenAIサービスの制御された導入と、そのサイバーセキュリティと安全性のガバナンスをサポートしてほしいという要望だ。信頼性を測定するメカニズムが必要であり、CSAはそのようなソリューションを提供することに戦略的にコミットしている。
To conclude, there is growing urgency in the market to establish reliable assurance and compliance mechanisms for governing GenAI services. This challenge is particularly complex as it intersects with broader ethical considerations and complex technology. 結論として、GenAIサービスをガバナンスするための信頼できる保証とコンプライアンスのメカニズムを確立することが市場で急務となっている。この課題は、より広範な倫理的考察や複雑なテクノロジーと交差するため、特に複雑である。
We face a notable paradox: even as we work to define parameters and metrics for GenAI trustworthiness, these technologies are already embedded in our organizations and personal lives. Adoption is only accelerating as organizations recognize the opportunities GenAI creates. Moreover, we are increasingly relying on GenAI tools for assessment and auditing processes, including autonomous decision-making. This creates the potential situation where we might depend on a technology to evaluate its own trustworthiness before we have established reliable methods to measure the integrity of the decisions the technology may take without human intervention. 我々がGenAIの信頼性のパラメータと測定基準を定義しようと努力している間にも、これらのテクノロジーは既に我々の組織や個人生活に組み込まれている。GenAIが生み出す機会を組織が認識するにつれ、採用は加速する一方だ。さらに、自律的な意思決定を含むアセスメントや監査プロセスにおいて、GenAIツールへの依存度が高まっている。このことは、人間の介入なしにテクノロジーが行う意思決定の完全性を測定する信頼できる方法が確立される前に、テクノロジー自身の信頼性を評価するためにテクノロジーに依存する可能性があるという状況を生み出す。
While this situation doesn't call for panic, it does demand urgent attention. I encourage all of you to contribute your expertise to the STAR for AI initiative to help address these critical challenges. この状況はパニックを引き起こすものではないが、緊急の注意が必要である。このような重大な課題に対処するため、STAR for AIイニシアティブに専門知識を提供していただきたい。

 

・2025.02.17 AI Controls Matrix

公開期間がおわったので、今はみられません...

 

20250412-63724

 

 

 

| | Comments (0)

欧州理事会 欧州中国間貿易:現実と数字 (2025.04.04)

こんにちは、丸山満彦です。

トランプ大統領が関税を上げるといったり、報復関税を課さないとした国・地域には延期、課すとした国にはさらに追加関税を課すということになり、株価も落ち着きませんね... 米国だけでなく世界の景気に対する不透明性が高まっていますよね...

そんな中、欧州にとって大きな貿易国である中国との関係も興味深いですよね...

EUと中国を合わせると、物品とサービスの世界貿易のほぼ3分の1を占め、世界のGDPの3分の1以上を占めていますね...

金額にして約8,400億ユーロ(2023年)

日本もこういうFact and Figuresをわかりやすく公表していましたっけ...

 

European Council, Conucil of the European Union

EUと中国との貿易

・2025.04.04 EU-China trade: facts and figures


20250412-52246

 

2023年の貿易...

20250412-52612

 

データはここ...

Trade and Economic Security - China

 

2024年の概況...

2024年、EUは中国に2,133億ユーロ相当の商品を輸出し、5,178億ユーロ相当の商品を輸入した。これは3,000億ユーロ以上の貿易赤字。

2023年と比較すると、輸入と輸出はともにわずかに減少(それぞれ0.5%、4.5%)。

2014年から2024年の間に、EUの中国からの輸入事業者は101.9%増加し、中国への輸出は47.0%増加。

 

中国からの輸入...

  1. 通信機器・音響機器
  2. 事務機、パソコン、その他
  3. 電気機械器具

20250412-53411

 

中国への輸出...

  1. 機械
  2. 自動車および自動車
  3. 自動車部品

20250412-53500

 

データはEurostatから...

Eurostat - China-EU - international trade in goods statistics

 

世界の物品の貿易全体像...

1_20250412054001

 

EUの貿易...

2_20250412055201

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.12 欧州理事会 欧州中国間貿易:現実と数字 (2025.04.04)

・2025.04.08 欧州理事会 欧州米国間貿易:現実と数字 (2025.04.04)

 

 

| | Comments (0)

2025.04.08

欧州理事会 欧州米国間貿易:現実と数字 (2025.04.04)

こんにちは、丸山満彦です。

トランプ大統領が関税を上げるということになり、株価が大きく下がり、米国だけでなく世界の景気に対する不透明性が高まっていますよね...

欧州理事会が欧州米国間貿易:現実と数字をわかりやすく示していますね...

日本もこういうFact and Figuresをわかりやすく公表していましたっけ...

 

European Council, Conucil of the European Union

全体...

EU relations with the United States

 

貿易...

・2025.04.04 EU-US Trade: facts and figures

20250408-145315

 

2024年の物品貿易データ...

2024年、EU米国間の物品貿易額は8,650億ユーロ。過去10年間でほぼ倍増。

20250408-145456

20250408-145605

EUの商品輸出の20.6%は米国向けで、英国(13.2%)、中国(8.3%)、スイス(7.5%)、トルコ(4.3%)と続く。
EU域内の輸入事業者の21.3%は中国から輸入されており、次いで米国(13.7%)、英国(6.8%)、スイス(5.6%)、トルコ(4%)となっている。

輸出入ともに、2024年に最も多く取引された上位5カテゴリーの製品が、対米貿易全体のほぼ半分を占めている。

20250408-145805

 

2023年サービス貿易データ...

2023年(データが入手可能な最後の年)のEU米国間のサービス貿易総額は7,460億ユーロであった。

 

20250408-150102

 

20250408-150334

 

 

欧州の統計データ...

eurostat

2024年の物品貿易データ...

・2025.03.11 Trade in goods with the United States in 2024

 

 

 


 

総務省にある各国の統計ページ一覧

 

総務省 

統計局

各国政府の統計機関

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.12 欧州理事会 欧州中国間貿易:現実と数字 (2025.04.04)

・2025.04.08 欧州理事会 欧州米国間貿易:現実と数字 (2025.04.04)

 

| | Comments (0)

2025.04.07

社会的に止まっては困る業務に関わる情報システムについて...

こんにちは、丸山満彦です。

実は私は喫茶店(讃喫茶室 尾山台)をしています...美味しい自家焙煎の珈琲を自家製のチーズケーキやガトーショコラと一緒にどうですか???

この喫茶店の事業継続管理、計画なんてものはありません...何かあったら出たとこ勝負で臨機応変になんとかする。なんともならないと思ったら廃業...

でも、それで困るのは、私と数名の店員や仕入れ先、そしてご贔屓にしてくれている近所の皆様くらいですかね...お気に入りの珈琲が手に入らなくなると生活の彩りが寂しくなりますが、日々の生活に困ることはありませんね...

 

さて、最近、社会的なインフラとなっているという業務に関わる情報システムに不具合が生じ、システムが停止し、業務も止まってしまうという事態が起こっていますね...問題ですよね...

社会インフラとなっている業務関わる情報システムで昔から、業務停止に対して気を付けてきたのは、金融機関ですね。特に銀行。決済等の業務のシステム...インターネットが普及するはるか以前からディザスターリカバリーということで、世界的に業界をあげて取り組んでいたと思います。

私も国内外でいろいろと研修をうけました。海外で1990年代に教えてもらった留意点は、

  1. シンプルなシステム設計と実装
  2. 事前の入念なテスト
  3. 多くのシナリオによるリカバリー訓練

でした。今、思い直してもなるほどと思います。

「シンプルなシステム設計と実装」には、

  • シンプルな業務設計(全体として重要ではないニーズにはシステム化では応えない)

が重要となると思います。

社会インフラの基幹業務ついて、もう一度、業務設計が複雑になっていないかを確かめるのがよいと思います。業務が複雑になっている場合は、次回のシステム刷新に備えて業務をシンプルにすることを考えるのが重要かもですね...

そして、多くのシナリオによるリカバリー訓練をすることが重要だと思います。

 

DX with Security,

DX with Resilience.

 

ですね...

 

 

あっ、もちろん、私の喫茶店では、そこまでしません(^^;;

 

 


20250407-125512

 


 

NHK

・2025.04.07 12:39 高速道路 ETCシステム障害 1日以上経過も復旧めど立たず

・2025.04.06 23:15 中日本高速道路 ETCシステム障害 復旧の見通し立たず 

 

共同通信

・2025.04.07 ETC障害、8都県に拡大 復旧の見通し立たず

 

 

そういえば、こんな話も...

NHK

・2024.06.06 高速道路 混雑状況に応じて料金変動 段階的に導入検討へ 政府

 


 

ただ、ETCシステムが社会的に止まって困る業務かといわれると、経済安全保障推進法における基幹インフラ業務には該当しないですよね... バーをあげて全部の車を通せば、社会的には問題ない (^^)。株主や経営者は困るかもだけど...

 

| | Comments (0)

米国 上院軍事委員会 AIのサイバー能力の活用に関する証言 (2025.03.25)

こんにちは、丸山満彦です。

米国議会の上院軍事委員会において、AIのサイバー能力の活用に関する証言が行われていますね...

・AIは計算、データ、アルゴリズムとある中で、アルゴリズムでは米国に、データでは中国が優位なのではないか

・AIの軍事利用の分野においては、米国よりも中国が先をいっているのではないか?

・AIはまず利用しなければ、利用がすすまない

という感じですかね,..

日本の自衛隊に対しても参考になるかもですし、企業においても参考になる内容だと思いました...

 

 ● U.S. Senate: Committee on Armed Services 

20250406-191414

・2025.03.25 Open/Closed: Hearing titleTo receive testimony on harnessing artificial intelligence cyber capabilities

 

Open/Closed: Hearing titleTo receive testimony on harnessing artificial intelligence cyber capabilities AIのサイバー能力の活用に関する証言を受ける。
Witnesses 証言者
Mr. Dan Tadross ダン・タドロス氏
Head of Public Sector 公共部門責任者
Scale AI スケールAI
Download Testimony 証言
20250406-193707
Mr. David Ferris デビッド・フェリス
Global Head of Public Sector 公共部門グローバル責任者
Cohere コヒーレ
Download Testimony 証言
20250406-193803
Mr. Jim Mitre ジム・ミトル
Vice President and Director 副社長兼ディレクター
RAND Global and Emerging Risks ランド・グローバル&エマージング・リスク担当副社長
Download Testimony 証言
20250406-193906

 

委員会の様子...(46分27秒から始まります...)

[VIDEO

20250406-191011

 

関連ファイル

・[PDF] CYBERSECURITY

20250406-193952

 

 

Continue reading "米国 上院軍事委員会 AIのサイバー能力の活用に関する証言 (2025.03.25)"

| | Comments (0)

より以前の記事一覧