内部統制 / リスクマネジメント

2024.09.12

金融庁 「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」 (2024.09.10)

こんにちは、丸山満彦です。

金融庁が、「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」を公表していますね...

これ金融機関以外の方も是非目を通してくださいね...

 

三線モデルの第三線を担うのが内部監査部門。欧米でもやはり内部監査部門というのは、守りの中でも後ろの方にいるイメージで地味という感じを抱かれがちですが、一方で、内部監査部門は、組織全体にわたるリスクとその対応状況を理解できるという意味で、将来経営層を目指す方にとってのすごく良い経験ができる役割でもあります。

なので、内部監査部門が「うまく機能」している企業というのは、事故も少なく、思い切った対策も取りやすくなるわけで、成長もしやすいと思うんですけどね...

有価証券報告書でも、「グループガバナンス体制」に関する説明の部分などに内部監査部門の役割等の説明は必要でしょうし、会社法のいう内部統制に関して会社の業務の適正を確保するための体制の説明にも内部監査の話は必要でしょうしね。。。

そして、内部監査部門の報告は経営者のみならず、監査役や監査委員会にも報告するというのが最近の動向でもあり、ますますコーポレートガバナンスにおける位置付けの重要性が増してきていると思います...

 

金融機関では、コンプライアンスという位置付けで、内部監査部門を当初は考えられていたところではありますが、金融庁が2019 年6月に「金融機関の内部監査の高度化に向けた現状と課題」に公表したことから、うまく機能していくための施策を進めているところだと思います...

この報告書で書かれている内部監査部門の役割・使命についての段階

  • 第一段階(Ver.1.0):事務不備監査
  • 第二段階(Ver.2.0):リスクベース監査
  • 第三段階(Ver.3.0):経営監査
  • 第四段階(Ver.4.0):信頼されるアドバイザー

20240912-53002

となっていますね...第四段階が、中間報告2023年で追加されています...

また、中間報告2023年で示された3つの論点というのは、

  • 論点1.経営陣や監査委員・監査役による内部監査部門への支援
  • 論点2.内部監査部門の監査態勢高度化・監査基盤強化
  • 論点3.被監査部門に対する内部監査への理解・浸透やリスクオーナーシップ醸成

となります。

今回の報告書では、「内部監査の高度化に向けた取組は、規模の大小よりも経営陣の意識の差が大きく影響している」としていて、やはり、経営者の良し悪しが会社の(長期的な)成功には大きく影響をするのだろうと感じました。(単に単年度の数字を上げるというのは現場の部長くらいまでの話で、ステークホルダーの期待に長期的・継続的に応えていくというのが経営者の仕事だろうとおもっていますので...)

金融機関の取り組みの話ではありますが、すべての企業経営者に参考になる報告書だと思いますので、中間報告2023年とあわせて経営者の方に読んでもらうように進めておいてください。

金融庁も中間報告2023年の主なポイントのようなエグゼクティブサマリーをつくってくれるといいんですけどね...

 

金融庁

・2024.09.10「金融機関の内部監査の高度化に向けたモニタリングレポート(2024)」の公表について

・[PDF] 金融機関の内部監査の高度化に向けたモニタリングレポート(2024)

20240912-54137

 


2023年中間報告

ちなみに昨年度に発表されている2023年中間報告もとてもよいです...

・2023.10.24「金融機関の内部監査の高度化」に向けたプログレスレポート(中間報告)の公表について

 ・・[PDF]「金融機関の内部監査の高度化」に向けたプログレスレポート(中間報告) 主なポイント

20240912-54631

・・[PDF] 「金融機関の内部監査の高度化」に向けたプログレスレポート(中間報告) 本文

20240912-54733

英語版

・・[PDF] Progress report for “Improving Internal Audits of Financial Institutions” (interim report): Summary

・・[PDF] Progress report for “Improving Internal Audits of Financial Institutions” (interim report): Main text

 

 


そもそもの出発点...

・2019.06.28「金融機関の内部監査の高度化に向けた現状と課題」の公表について

・・「金融機関の内部監査の高度化に向けた現状と課題」

20240912-55033

 

 


おまけ...

有価証券報告書における「内部監査」という用語の登場回数(^^)

やっぱり金融機関は多い...

 

まずは、

メガ...

株式会社三菱UFJフィナンシャル・グループ (2024/3) :57回

株式会社三井住友フィナンシャルグループ(2024/3) :31回

株式会社みずほフィナンシャルグループ(2024/3):75回

 

郵政とりそなも...

日本郵政株式会社(2024/3):57回

株式会社りそなホールディングス(2024/3):75回

 

証券...

野村ホールディングス株式会社(2024/3)90回

株式会社大和証券グループ本社41回

 

損害保険会社...

東京海上ホールディングス株式会社(2024/3)43回

損害保険ジャパン株式会社(2024/3)40回

MS&ADインシュアランスグループホールディングス株式会社(2024/3):15回

 

製造業...

トヨタ自動車株式会社(2024/3) :24回

本田技研工業株式会社(2024/3)21回

ソニーグループ株式会社(2024/3):27回

株式会社日立製作所(2024/3):14回

パナソニック ホールディングス株式会社(2024/3):28回

武田薬品工業株式会社(2024/3):23回

株式会社小松製作所 (2024/3):16回

 

通信事業...

日本電信電話株式会社(2024/3):34回

KDDI株式会社(2024/3):24回

ソフトバンク株式会社(2024/3):64回

楽天グループ株式会社(2023/12):25回

 

商社...

三菱商事株式会社(2024/3):12回

三井物産株式会社(2024/3):42回

伊藤忠商事株式会社(2024/3):14回

住友商事株式会社(2024/3):28回

 

出現回数だけでなく、内容も読まないとね(^^)

 

| | Comments (0)

2024.09.10

米国 GAO 連邦政府システム統制監査マニュアルの15年ぶりの改訂 (2024.09.05)

こんにちは、丸山満彦です。

GAOは今年の2月に監査基準(イエローブック)も改訂したのですが、システム統制監査マニュアルも15年ぶりに改訂しましたね...500ページを超える対策です...

セキュリティも重要ですが、セキュリティも含めて考慮するシステム統制はより重要ですね...SAP導入トラブルとかもあるし...

日本の会計検査院ももっとシステム監査をすればよいのにね...業務監査イコールほぼシステム監査になってきますよ... これから...

 

● GAO

・2024.09.05 Federal Information System Controls Audit Manual (FISCAM) 2024 Revision

Federal Information System Controls Audit Manual (FISCAM) 2024 Revision 連邦情報システム統制監査マニュアル(FISCAM)2024年改訂版
GAO-24-107026 GAO-24-107026
Fast Facts ファスト・ファクト
Given the extensive use of information systems in government operations, it is essential that federal agencies have effective controls over these systems. 政府業務における情報システムの広範な利用を踏まえ、連邦政府機関がこれらのシステムに対して効果的な管理を行うことが不可欠である。
The Federal Information System Controls Audit Manual (FISCAM) provides auditors a methodology and framework for assessing the design, implementation, and operating effectiveness of these controls in accordance with the Yellow Book. 連邦情報システム管理監査マニュアル(FISCAM)は、監査人に、イエローブックに準拠したこれらの管理の設計、実装、運用効果のアセスメントのための方法論と枠組みを提供する。
This September 2024 revision replaces the 2009 version of FISCAM. This update reflects changes in auditing standards, guidance, control criteria, and technology. 2024年9月の改訂版は、2009年版のFISCAMに代わるものである。今回の更新は、監査標準、指針、管理規準、およびテクノロジーの変化を反映したものである。
Highlights ハイライト
GAO maintains the Federal Information System Controls Audit Manual (FISCAM). The 2024 revision of FISCAM has gone through an extensive deliberative process, including focus groups; interviews with internal and external officials, stakeholders, and users; and the collection and incorporation of public comments. The views of all parties were thoroughly considered in finalizing the 2024 revision of FISCAM. GAOは連邦情報システム管理監査マニュアル(FISCAM)を維持する。FISCAMの2024年改訂版は、フォーカスグループ、内部および外部の当局者、利害関係者、およびユーザーとのインタビュー、および一般からのコメントの収集と組み込みを含む広範な審議プロセスを経てきた。2024年改訂版FISCAMの最終化にあたっては、すべての関係者の意見が十分に考慮された。

 

・[PDF] Federal Information System Controls Audit Manual

20240910-42113

・[DOCX][PDF] 仮訳...

 

目次...

Foreword まえがき
100 Introduction 100 序文
110 Overview of FISCAM 110 FISCAMの概要
120 Fundamental IS Control Concepts 120 ISコントロールの基本概念
130 Applicable Auditing and Attestation Standards and Requirements 130 適用される監査基準および監査要求事項
140 Applicable Criteria 140 適用規準
200 Planning Phase 200 計画フェーズ
210 Overview of the Planning Phase 210 計画フェーズの概要
220 Perform Preliminary Engagement Activities 220 予備的な関与活動を行う
230 Understand the Entity’s Operations 230 事業体を理解する
240 Understand the Entity’s Information Security Management Program 240 事業体の情報セキュリティ管理プログラムを理解する
250 Define the Scope of the IS Controls Assessment 250 IS統制アセスメントの範囲を定義する
260 Assess IS Control Risk on a Preliminary Basis 260 IS統制リスクを予備的にアセスメントする。
270 Identify Relevant General Control Objectives and Determine Likelihood of Effective General Controls 270 関連する全般統制目標を識別し、全般統制が有効である可能性を判断する。
280 Prepare Planning Phase Documentation 280 計画フェーズの文書作成
300 Testing Phase 300 検証フェーズ
310 Overview of the Testing Phase 310 検証フェーズの概要
320 Identify Relevant IS Controls 320 関連する IS 統制を識別する
330 Determine the Nature, Timing, and Extent of IS Control Tests 330 IS統制テストの性質、タイミング、および範囲を決定する。
340 Perform IS Control Tests and Evaluate the Results, Including the Significance of IS Control Deficiencies 340 IS統制テストを実施し、IS統制の不備の重大性を含め、その結果を評価する。
350 Prepare Testing Phase Documentation 350 検証フェーズの文書作成
400 Reporting Phase 400 報告フェーズ
410 Overview of the Reporting Phase 410 報告フェーズの概要
420 Determine Compliance with FISCAM 420 FISCAMへの準拠を決定する
430 Draft Report 430 ドラフトレポート
440 Prepare Reporting Phase Documentation 440 報告フェーズの文書作成
500 FISCAM Framework 500 FISCAMフレームワーク
510 Overview of the FISCAM Framework 510 FISCAMフレームワークの概要
520 FISCAM Framework for Business Process Controls 520 ビジネス・プロセス・コントロールのためのFISCAMフレームワーク
530 FISCAM Framework for Security Management 530 セキュリティ管理のためのFISCAMフレームワーク
540 FISCAM Framework for Access Controls 540 アクセス管理のためのFISCAMフレームワーク
550 FISCAM Framework for Segregation of Duties 550 職務分離のためのFISCAMフレームワーク
560 FISCAM Framework for Configuration Management 560 構成管理のためのFISCAMフレームワーク
570 FISCAM Framework for Contingency Planning 570 コンティンジェンシープランニングのためのFISCAMフレームワーク
Appendix 600A Glossary 附属書 600A 用語集
Appendix 600B FISCAM Assessment Completion Checklist 附属書 600B FISCAMアセスメント完了チェックリスト
Appendix 600C FISCAM Security Management Questionnaire 附属書 600C FISCAM セキュリティ管理質問票

 

まえがき...

Foreword まえがき
Given the extensive use of information systems in government operations, information system controls are integral to an entity’s internal control system—a continuous built-in component of operations, effected by people, that provides reasonable assurance, not absolute assurance, that an entity’s objectives will be achieved. An information system controls assessment is an essential component of an auditor’s examination of an entity’s internal control system. The Federal Information System Controls Audit Manual (FISCAM) presents a methodology for assessing information system controls.  情報システム統制は、事業体の内部統制システムに不可欠なものであり、事業体の目的が達成されるという絶対的な保証ではなく、合理的な保証を提供する、人による継続的な業務の組み込み要素である。情報システムコントロールのアセスメントは、監査人による事業体の内部統制システムの検査の必須事業体である。連邦情報システム統制監査マニュアル(FISCAM)は、情報システム統制を評価するための手法を提示している。 
The 2024 revision of FISCAM contains major changes from, and supersedes, the 2009 revision. Major changes are summarized below.  FISCAMの2024年改訂版は、2009年改訂版からの主な変更点を含み、2009年改訂版に取って代わるものである。主な変更点は以下の通りである。 
• All sections are presented in a reorganized format that differentiates between introductory material; the information system controls assessment methodology; the information system controls framework, which is integral to the methodology; and other supplementary material.  • すべてのセクションは、序論、情報システムコントロールのアセスメント方法論、方法論に不可欠な情報システムコントロールのフレームワーク、およびその他の補足資料を区別するために再構成された形式で提示されている。 
• The methodology and framework are updated to reflect changes in relevant auditing standards, guidance, control criteria, and technology since the last revision.  • この方法論と枠組みは、前回の改訂以降の関連する監査標準、ガイダンス、統制規準、技術の変化を反映し、更新されている。 
• The introduction is revised to clarify the manual’s purpose and applicability, as well as information system control concepts that are foundational to using the methodology and framework. This includes the addition of figures to assist the auditor in understanding certain concepts.  • 序文は、マニュアルの目的と適用可能性、及び方法論とフレームワークを使用する上で基礎となる情報システムコントロールの概念を明確にするために改訂された。これには、監査人が特定の概念を理解するための図表の追加も含まれている。 
• The planning phase of the methodology is expanded to provide additional guidance on defining the scope of the information system controls assessment, which includes identifying and obtaining an understanding of significant business processes, business process controls, and areas of audit interest. The planning phase is also expanded to clarify the auditor’s responsibilities for assessing information system control risk, identifying relevant control objectives, and determining the likelihood of effective general controls in planning further audit procedures.  • この方法論の計画フェーズは、重要なビジネスプロセス、ビジネスプロセス・コントロール及び監査上の関心領域を識別し、理解することを含む、情報システム・コントロールのアセスメントの範囲を定義するための追加的な指針を提供するために拡大されている。また、計画フェーズを拡大し、更なる監査手続の計画において、情報システム統制リスクのアセスメント、関連する統制目標の識別、及び全般統制が有効である可能性の判断に関する監査人の責任を明確にしている。 
• The testing phase of the methodology is expanded to provide additional guidance on the nature, timing, and extent of information system controls testing and on evaluating the significance of any information system control deficiencies identified and their effect on information system control risk.  • 方法論の検証フェーズは、情報システム統制テストの性質、時期及び範囲、並びに識別された情報システム統制の欠陥の重要性及び情報システム統制リスクへの影響の評価に関する追加ガイダンスを提供するために拡大されている。 
• The reporting phase of the methodology is expanded to provide additional guidance on determining compliance with the methodology and reporting on the results of the information system controls assessment.  • 方法論の報告フェーズが拡大され、方法論への準拠を決定し、情報システム統制アセスメントの結果を報告するための追加ガイダンスが提供される。 
• The framework is simplified through combining of the general and application security control categories in the 2009 FISCAM into five general control categories: (1) security management, (2) access controls, (3) segregation of duties, (4) configuration management, and (5) contingency planning. In addition, the business process, interface, and data management system controls, as well as certain application security control considerations, are reorganized and collectively renamed business process controls.  • この枠組みは、2009年版FISCAMの全般統制及びアプリケーション・セキュリティ統制のカテゴリーを、(1)セキュリティ管理、(2)アクセス管理、(3)職務分掌、(4)構成管理、(5)危機管理計画の5つの全般統制のカテゴリーに統合することにより簡素化されている。加えて、ビジネスプロセス、インターフェイス、及びデータ管理システムの管理、並びに特定のアプリケーションセキュリティ管理の考慮事項が再編成され、まとめてビジネスプロセス管理という名称に変更された。 
• The framework is revised to align with the principles and attributes in the Standards for Internal Control in the Federal Government (known as the Green Book).  • このフレームワークは、連邦政府内部統制標準(通称グリーンブック)の原則と属性に沿うように改訂されている。 
• The appendixes are updated to provide supplementary guidance to assist the auditor in applying the methodology and framework.  • 附属書は、監査人が方法論とフレームワークを適用する際の助けとなる補足ガイダンスを提供するために更新された。 
This revision of FISCAM has gone through an extensive deliberative process, including focus groups; interviews with internal and external officials, stakeholders, and users; and the collection and incorporation of public comments. The views of all parties were thoroughly considered in finalizing the 2024 revision of FISCAM.  このFISCAMの改訂は、フォーカスグループ、内外の関係者、利害関係者、ユーザーとの面談、パブリックコメントの収集と反映など、広範な審議プロセスを経て行われた。すべての関係者の意見は、FISCAMの2024年改訂版の最終決定において徹底的に考慮された。 
The 2024 revision of FISCAM is effective for engagements beginning on or after October 1, 2024.  FISCAMの2024年改訂版は、2024年10月1日以降に開始する契約から適用される。 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.03 米国 GAO 監査基準書 (イエローブック)2024年版

 

| | Comments (0)

米国 FFIEC サイバーセキュリティアセスメントツール(CAT)は2025.08.31で終了 (2024.08.29)

こんにちは、丸山満彦です。

連邦金融機関検査協議会 ( Federal Financial Institutions Examination Council; FFEIC) は、2015年より10年近くの長きにわたり金融業界でも使われてきた(ただ、ちょっと改訂がとまっていましたね...)FFEIC CATを2025.08.31をもって終了すると発表していますね...

CAT終了に関する声明...

Federal Financial Institutions Examination Council; FFIEC

・2024.08.29 Cybersecurity Assessment Tool Sunset

声明...

・[PDF]

20240909-122432

 

CAT Sunset Statement   CAT 終了に関する声明 
The Federal Financial Institutions Examination Council (FFIEC),  on behalf of its members, is issuing this statement to communicate the agencies will sunset the Cybersecurity Assessment Tool (CAT)2 on August 31, 2025.    連邦金融機関検査協議会(FFIEC)は、加盟機関を代表して、サイバーセキュリティ評価ツール(CAT)2を2025年8月31日に終了することを発表する。  
The CAT was released in June 2015 as a voluntary assessment tool to help financial institutions identify their risks and determine their cybersecurity preparedness.  While the fundamental security controls addressed throughout the maturity levels of the CAT are sound, several new and updated government and industry resources are available that financial institutions can leverage to better manage cybersecurity risks.    CATは、金融機関が自社のリスクを識別し、サイバーセキュリティ対策を決定するのを支援する自主的なアセスメントツールとして、2015年6月にリリースされた。CATの成熟度レベル全体で取り上げられている基本的なセキュリティ制御は妥当であるが、金融機関がサイバーセキュリティリスクをより適切に管理するために活用できる、政府および業界による新しいリソースや更新されたリソースがいくつか利用可能になっている。
The FFIEC will remove the CAT from the FFIEC website on August 31, 2025.  After much consideration, the FFIEC has determined not to update the CAT to reflect new government resources, including the National Institute of Standards and Technology (NIST) Cybersecurity Framework 2.0 and the  FFIECは、2025年8月31日にFFIECウェブサイトからCATを削除する。 FFIECは、多くの検討を重ねた結果、国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク2.0や、
Cybersecurity and Infrastructure Security Agency’s (CISA) Cybersecurity Performance Goals.  Supervised financial institutions can instead refer directly to these new government resources.  CISA released CrossSector Cybersecurity Performance Goals in 2023 and is preparing to release Cybersecurity Performance Goals for the Financial Sector later this year.  These resources were developed to help organizations of all sizes and sectors manage and reduce their cybersecurity risk in alignment with a whole-of-government approach to improve security and resilience.  The FFIEC will discuss these resources during a banker webinar this Fall.    サイバーセキュリティ・インフラセキュリティ庁(CISA)のサイバーセキュリティパフォーマンス目標など、新たな政府リソースを反映させるためにCATを更新しないことを決定した。監督下にある金融機関は、代わりにこれらの新たな政府リソースを直接参照することができる。CISAは2023年に「業種横断的サイバーセキュリティパフォーマンス目標)」を公表し、今年後半には「金融セクター向けサイバーセキュリティパフォーマンス目標)」を公表する予定である。 これらのリソースは、あらゆる規模や業種の組織が、政府全体のアプローチに沿ってサイバーセキュリティリスクを管理・軽減し、セキュリティとレジリエンシーを改善できるよう開発された。FFIECは、今秋に開催される銀行家向けウェビナーで、これらのリソースについて議論する予定である。 
Supervised financial institutions may also consider use of industry developed resources, such as the Cyber Risk Institute’s (CRI) Cyber Profile, and the Center for Internet Security Critical Security Controls.  These tools can be used in conjunction with other resources (e.g., frameworks, standards, guidelines, leading practices) to better address and inform management of continuously evolving cyber security risk.  Supervised financial institutions should ensure that any self-assessment tool(s) they utilize support an effective control environment and are commensurate with their risk.  監督下にある金融機関は、「サイバーリスク研究所 (CRI) 」の「サイバー・プロファイル」や「インターネットセキュリティセンター 重要なセキュリティ管理策」など、業界が開発したリソースの利用も検討すべきである。 これらのツールは、他のリソース(フレームワーク、標準、ガイドライン、ベストプラクティスなど)と併用することで、絶えず進化するサイバーセキュリティリスクへの対応と経営陣への情報提供をより効果的に行うことができる。監督下にある金融機関は、利用する自己アセスメントツールが効果的な制御環境をサポートし、自社のリスクに見合ったものであることを確認すべきである。
While the FFIEC does not endorse any particular tool, these standardized tools can assist financial institutions members take a risk-focused approach to examinations.  As cyber risk evolves, examiners may address areas not covered by all tools.  FFIECは特定のツールを推奨していないが、これらの標準化されたツールは、金融機関がリスクに焦点を当てたアプローチで検査を行うことを支援することができる。 サイバーリスクが進化するにつれ、すべてのツールでカバーされていない分野について検査官が対応することがある。 
Resources  リソース 
NIST Cybersecurity Framework 2.0  ・NIST サイバーセキュリティフレームワーク 2.0 
CISA Cybersecurity Performance Goals | CISA  ・CISA サイバーセキュリティパフォーマンス目標 
Cybersecurity Performance Goals: Sector-Specific Goals | CISA  ・CISA サイバーセキュリティパフォーマンス目標:セクター固有の目標 
Cyber Risk Institute Cyber Profile  ・サイバーリスク研究所 サイバープロファイル 
Center for Internet Security Controls ・インターネットセキュリティ管理センター

 

CATのページも終了のアナウンスが...

Cybersecurity Assessment Tool

現行の最新版は、2017年5月版...

・[PDF] User’s Guide 

・[PDF] Inherent Risk Profile 

・[PDF] Cybersecurity Maturity 

 

 


で、おそらく重要となる...

Cyber Risk Institute

CRI Profile v2.0

サイバーセキュリティフレームワーク (CSF) 2.0と構造は同じで、追加で、Extendedがありますね...

20240909-123747

 

EX EXTEND 拡張
EX.DD Procurement Planning and Due Diligence 調達計画およびデューデリジェンス
EX.DD-01 Procurement Planning 調達計画
EX.DD-02 Prospective Third Party Due Diligence 取引見込み先のサードパーティのデューデリジェンス
EX.DD-03 Technology & Cybersecurity Due Diligence 技術およびサイバーセキュリティのデューデリジェンス
EX.DD-04 Product & Service Due Diligence 製品およびサービスのデューデリジェンス
EX.CN Third-Party Contracts and Agreements サードパーティ契約および合意
EX.CN-01 Contract General Requirements 契約の一般要件
EX.CN-02 Contract Cybersecurity-Related Requirements 契約のサイバーセキュリティ関連要件
EX.MM Monitoring and Managing Suppliers サプライヤーのモニタリングおよび管理
EX.MM-01 Ongoing Third-Party Monitoring 継続的なサードパーティのモニタリング
EX.MM-02 Ongoing Third-Party Management 継続的なサードパーティの管理
EX.TR Relationship Termination 関係の終了
EX.TR-01 Termination Planning 終了計画
EX.TR-02 Termination Practices 終了の実施

 


 

Center for Internet Security

CIS Critical Security Controls

・[PDF] CIS Community Defense Model Version 2.0

20240909-125832

目次...

Executive Summary エグゼクティブサマリー
Results Summary 結果の概要
Overview 概要
What’s New in CDM v2.0 CDM v2.0の新機能
Glossary 用語集
Methodology 方法論
Security Function vs. Security Value 8 セキュリティ機能とセキュリティ価値 8
Overall Process 全体的なプロセス
ATT&CK Structure ATT&CKの構造
Mapping Relationships 関係性のマッピング
How to Use This Document この文書の使用方法
Security Function Analysis セキュリティ機能分析
ATT&CK Mitigations ATT&CK 低減策
ATT&CK (Sub-)Techniques ATT&CK(サブ)テクニック
CIS Safeguards CIS セーフガード
Data Source Analysis データソース分析
Data Types 18 データタイプ 18
Attack Type Data Sources 攻撃タイプ データソース
Top Attack Types 主な攻撃の種類
Attack Pattern Data Sources 攻撃パターン データソース
Security Value Analysis セキュリティ価値分析
Malware マルウェア
Ransomware ランサムウェア
Web Application Hacking ウェブアプリケーションハッキング
Insider and Privilege Misuse 内部関係者および特権の悪用
Targeted Intrusions 標的型侵入
Summary まとめ
Conclusion 結論
Closing Notes 結語
Future Work 今後の課題
Appendix A: Acronyms and Abbreviations
附属書A: 略語と略称
Appendix B: Links and Resource 附属書 B: リンクとリソース
Appendix C: Background 附属書 C: 背景
Appendix D: ATT&CK (Sub-)Techniques With No Mapping to CIS Safeguards 附属書D: CISセーフガードへのマッピングのないATT&CK(サブ)テクニック
Appendix E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations 附属書 E: ATT&CK (Sub-)Techniques With No Mapping to ATT&CK Mitigations
Appendix F: Unmapped CIS Safeguards to ATT&CK Framework 附属書 F: ATT&CKフレームワークにマッピングされていないCISセキュリティ対策
Appendix G: ATT&CK Navigator Visualizations for Attack Patterns 附属書 G: ATT&CKナビゲーターによる攻撃パターンを視覚化
Malware マルウェア
Ransomware ランサムウェア
Web Application Hacking ウェブアプリケーションハッキング
Insider and Privilege Misuse 内部関係者および特権の悪用
Targeted Intrusions 標的型侵入
Appendix H: Unmapped ATT&CK (Sub-)Techniques to CIS Safeguards Within an Attack Pattern 附属書 H: 攻撃パターンにおけるCIS安全対策に対する未マッピングのATT&CK(サブ)テクニック
Appendix I: ATT&CK (Sub-)Techniques With No ATT&CK Mitigation Mapped Within an Attack Pattern 附属書 I: ATT&CK(サブ)テクニックで、攻撃パターン内にATT&CK低減策がマッピングされていないもの

 

 

| | Comments (0)

2024.09.05

オランダ データ保護局 顔認識のための違法なデータ収集でClearviewに3,050万ユーロ(48.5億円)

こんにちは、丸山満彦です。

オランダのデータ保護局が米国のClearview社に対して顔認識のための違法なデータ収集をしたとして、罰金を課していますね...オランダといえば先日、UBERに対して2億9000万ユーロの罰金を課していますね...

そして、Clearview社 [wikipedia]はカナダ、フランス、英国、オーストラリアのデータ保護局からも罰金を課されていましたよね...今は、サービスは法執行機関等の政府機関にしか提供していないようですが、なかなか胆力のある会社です...

 

Autoriteit Persoonsgegevens: AP

・2024.09.03 Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition

Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition オランダのDPA、顔認識のための違法データ収集でクリアビューに罰金
The Dutch Data Protection Authority (Dutch DPA) imposes a fine of 30.5 million euro and orders subject to a penalty for non-compliance up to more than 5 million euro on Clearview AI. Clearview is an American company that offers facial recognition services. Among other things, Clearview has built an illegal database with billions of photos of faces, including of Dutch people. The Dutch DPA warns that using the services of Clearview is also prohibited.  オランダデータ保護当局(Dutch DPA)は、クリアビューAI社に3050万ユーロの罰金を科し、さらに500万ユーロ以上の罰金を科す可能性もあると警告した。クリアビュー社は顔認識サービスを提供する米国企業である。同社は、オランダ国民を含む何十億もの顔写真を含む違法なデータベースを構築していた。オランダデータ保護当局は、クリアビュー社のサービスを利用することも禁止されていると警告している。
Clearview is a commercial business that offers facial recognition services to intelligence and investigative services. Customers of Clearview can provide camera images to find out the identity of people shown in the images. For this purpose, Clearview has a database with more than 30 billion photos of people. Clearview scrapes these photos automatically from the Internet. And then converts them into a unique biometric code per face. Without these people knowing this and without them having given consent for this. クリアビューは、情報機関や捜査機関に顔認識サービスを提供する民間企業である。クリアビューの顧客は、カメラの画像を提供することで、その画像に写っている人物の身元を特定することができる。この目的のために、クリアビューは300億人以上の顔写真を含むデータベースを所有している。クリアビューは、これらの写真をインターネットから自動的に収集し、顔ごとに固有の生体認証コードに変換する。これらの人々がこのことを知らず、また、このことについて同意していない場合でも、である。
Never anonymous anymore もう匿名ではない
‘Facial recognition is a highly intrusive technology, that you cannot simply unleash on anyone in the world’, Dutch DPA chairman Aleid Wolfsen says. ‘If there is a photo of you on the Internet – and doesn't that apply to all of us? – then you can end up in the database of Clearview and be tracked. This is not a doom scenario from a scary film. Nor is it something that could only be done in China.’ 「顔認識は非常に侵害性の高い技術であり、世界中の誰に対しても簡単に使用できるものではありません」と、オランダのデータ保護当局の委員長であるAleid Wolfsen氏は言う。「もしインターネット上にあなたの写真があれば、つまり、これは私たち全員に当てはまることではないでしょうか? そうなると、あなたはClearviewのデータベースに載ってしまい、追跡されることになります。これは、怖い映画の悲劇的なシナリオではありません。また、中国でしか起こりえないことでもありません。
Clearview says that it provides services to intelligence and investigative services outside the European Union (EU) only. ‘That is bad enough as it is’, Wolfsen says. ‘This really shouldn't go any further. We have to draw a very clear line at incorrect use of this sort of technology.’ クリアビュー社は、欧州連合(EU)域外の諜報機関や捜査機関にのみサービスを提供していると主張している。「それだけでも十分問題だ」とウルフセン氏は言う。「これ以上広がってはならない。この種のテクノロジーの誤用には、明確な一線を引かなければならない。
Wolfsen acknowledges the importance of safety and the detection of criminals by official authorities. He also acknowledges that techniques such as facial recognition can make a contribution to this. ‘But certainly not by a commercial business. And by competent authorities in highly exceptional cases only. The police, for example, have to manage the software and database themselves in that case, subject to strict conditions and under the watchful eye of the Dutch DPA and other supervisory authorities.’ ウルフセン氏は、安全の確保と公的機関による犯罪者の検知の重要性は認めている。また、顔認識などの技術がその一助となることも認めている。「しかし、それは営利事業によってではなく、きわめて例外的な場合に限って、しかるべき当局によって行われるべきである。例えば警察がその場合、オランダのDPAやその他の監督当局の厳しい監視の下、厳格な条件に従って、ソフトウェアとデータベースを自ら管理しなければならない。」
Services of Clearview illegal クリアビューのサービスは違法
Wolfsen warns: do not use Clearview. ‘Clearview breaks the law, and this makes using the services of Clearview illegal. Dutch organisations that use Clearview may therefore expect hefty fines from the Dutch DPA.’ ウルフセン氏は警告する。「クリアビューは法律に違反しており、そのサービスを利用することは違法行為である。したがって、クリアビューを利用しているオランダの組織は、オランダのDPAから多額の罰金を科される可能性がある。
Violations by Clearview クリアビューによる違反
Clearview has seriously violated the privacy law General Data Protection Regulation (GDPR) on several points: the company should never have built the database and is insufficiently transparent. クリアビューはプライバシー法である一般データ保護規則(GDPR)をいくつかの点で重大に違反している。同社はデータベースを構築すべきではなかったし、透明性も不十分である。
Illegal database 違法なデータベース
Clearview should never have built the database with photos, the unique biometric codes and other information linked to them. This especially applies for the codes. Like fingerprints, these are biometric data. Collecting and using them is prohibited. There are some statutory exceptions to this prohibition, but Clearview cannot rely on them. クリアビューは、写真や、それらにリンクされたユニークな生体認証コード、その他の情報を含むデータベースを構築すべきではなかった。これは特にコードに当てはまる。指紋のように、これらは生体データである。それらの収集と使用は禁止されている。この禁止にはいくつかの法定例外があるが、クリアビューはそれらに頼ることはできない。
Insufficient transparency 不十分な透明性
Clearview informs the people who are in the database insufficiently about the fact that the company uses their photo and biometric data. People who are in the database also have the right to access their data. This means that Clearview has to show people which data the company has about them, if they ask for this. But Clearview does not cooperate in requests for access. クリアビューは、データベースに登録されている人々に対して、同社が彼らの写真および生体データを使用している事実を十分に伝えていない。データベースに登録されている人々は、自分のデータにアクセスする権利も有している。つまり、クリアビューは、データベースに登録されている人々から問い合わせがあった場合、その人々に対して、同社が保有しているデータの内容を提示しなければならない。しかし、クリアビューは、データへのアクセス要求には協力していない。
Incremental penalties 段階的な罰則
Clearview did not stop the violations after the investigation by the Dutch DPA. That is why the Dutch DPA has ordered Clearview to stop those violations. If Clearview fails to do this, the company will have to pay penalties for non-compliance in a total maximum amount of 5.1 million euro on top of the fine. クリアビューは、オランダのデータ保護当局による調査後も違反行為を止めなかった。そのため、オランダのデータ保護当局はクリアビューに違反行為の停止を命じた。クリアビューがこれに従わない場合、同社は罰金に加えて最大510万ユーロの制裁金を支払わなければならない。
American company 米国企業
Clearview is an American company without an establishment in Europe. Other data protection authorities have already fined Clearview at various earlier occasions, but the company does not seem to adapt its conduct. That is why the Dutch DPA is looking for ways to make sure that Clearview stops the violations. Among other things, by investigating if the directors of the company can be held personally responsible for the violations. クリアビューは欧州に拠点を持たない米国企業である。他のデータ保護当局はすでにこれまでに何度もクリアビューに罰金を科しているが、同社はその行動を改める様子を見せていない。そのため、オランダのデータ保護当局は、クリアビューが違反行為を確実に停止させるための方法を模索している。とりわけ、同社の取締役が違反行為に対して個人的に責任を問われる可能性があるかどうかを調査している。
Wolfsen: ‘Such company cannot continue to violate the rights of Europeans and get away with it. Certainly not in this serious manner and on this massive scale. We are now going to investigate if we can hold the management of the company personally liable and fine them for directing those violations. That liability already exists if directors know that the GDPR is being violated, have the authority to stop that, but omit to do so, and in this way consciously accept those violations.’ ウルフセン:「そのような企業が欧州人の権利を侵害し続け、罰を受けずに済むはずがない。ましてや、これほど深刻な方法で、これほど大規模な侵害を。現在、当社は、同社の経営陣に個人責任を問うことができるかどうか、また、そのような侵害を指示したとして罰金を科すことができるかどうかを調査しているところだ。取締役がGDPRの侵害を知りながら、それを阻止する権限を持ちながら、それを怠り、意識的に侵害を受け入れている場合、すでにその責任は存在している。
Clearview has not objected to this decision and is therefore unable to appeal against the fine. クリアビューは、この決定に異議を申し立てていないため、罰金に対する不服申し立てを行うことはできない。

 

・[PDF] Decision to impose fines and orders subject to a penalty for non-compliance

20240905-150328

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

 

| | Comments (0)

英国 サイバーセキュリティ侵害調査 2025 開始の案内... 2025年 (2024.09.03) +最新報告書等

こんにちは、丸山満彦です。

UKのサイバーセキュリティ侵害調査 2025が開始されるとアナウンスされていますね...

● GOV.UK

・2024.09.03 Cyber Security Breaches Survey 2025

1_20240303060201

ちょうどよいタイミングなので、このUKのサイバーセキュリティ侵害調査 (Cyber Security Breaches Surve)についてまず、簡単に説明をしておきますね...(このブログでも過去に気まぐれに紹介していますが...)。そして、2021年から始まった、大規模組織に焦点をあてたサイバーセキュリティ縦断調査 (Cyber security longitudinal survey) 」についても触れておきます。

UKでは、内務省 (Home office) [wikipedia]と、科学技術革新省 (Department for Science, Innovation and Technology) [wikipedia]が共同で毎年サイバーセキュリティ侵害調査 (Cyber Security Breaches Survey) を調査していますね...これは、公式な調査で、2017年からの調査結果はウェブで公表されています...

この調査は、英国政府が企業、慈善団体、教育機関がサイバーセキュリティにどのように取り組んでいるか、またどのような課題に直面しているかを把握することを目的したもののようです...

ただ、英国の企業規模別の企業数(2023年)でいうと、全企業数約556万社のうち、250人以上の規模の会社は約6千社 (0.1%)で中小企業のデータが中心となっています。

上記の企業数の調査では、従業員数でいうと、250 人以上の会社が占める割合は、全英従業員数 約28百万人のうち約11百万人(約40%)、売上高は全英全体約4.5兆ポンドのうち約2.1兆ポンド(50%弱)と大きい状況です...

そこで、2020年1月28日にこの調査の変更案が提案され、この結果を受け、2024.05.27に次のように決定した。この調査は従来通り調査を続けることとし、大企業については別途調査を検討することとなり、大企業中心の縦断調査をすることになった。

大企業についての調査は、科学技術革新省 (Department for Science, Innovation and Technology) とデジタル・文化・メディア・スポーツ省(Department for Digital, Culture, Media & Sport)[wikipedia] が実施している「サイバーセキュリティ縦断調査 (Cyber security longitudinal survey) 」で2021年から開始され、2024年現在Wave3として、3年間実施されています。

これらの活動は当然に英国の国家サイバー戦略2022と連携した活動となっています...

 

 


 

GOV.UK

サイバーセキュリティ侵害調査

Cyber Security Breaches Surve

2024.04.09 CSBS 2024 HTML CSBS 2024 本文
    HTML CSBS 2024: education institutions annex 附属書:教育機関
    HTML CSBS 2024: technical report 調査手法等の説明
    HTML CSBS 2024: pre-release access list 公表前閲覧者リスト
2023.04.19 CSBS 2023 HTML CSBS 2023 本文
    HTML CSBS 2023: education institutions annex 附属書:教育機関
    HTML CSBS 2023: technical report 調査手法等の説明
    HTML CSBS 2023: pre-release access list 公表前閲覧者リスト
2022.03.30 CSBS 2022 HTML CSBS 2022 本文
    HTML Educational institutions findings annex - CSBS 2022 附属書:教育機関
    PDF Infographic of key business findings - CSBS 2022 ℹ️:営利企業:発見事項
    PDF Infographic of micro & small business key findings - CSBS 2022 ℹ️:小・零細企業:発見事項
    PDF Infographic of medium & large business key findings - CSBS 2022 ℹ️:中・大企業:発見事項
    PDF Infographic of charities key findings - CSBS 2022 ℹ️:非営利団体:発見事項
    PDF Education annex - CSBS 2022 附属書:教育機関
    PDF Technical annex - CSBS 2022 附属書:調査手法等の説明
    PDF Pre-release list - CSBS 2022 公表前閲覧者リスト
2021.03.24 CSBS 2021 HTML CSBS 2021 本文
    PDF CSBS 2021 - PDF version 本文
    PDF CSBS 2021 - business infographic ℹ️:営利企業:発見事項
    PDF CSBS 2021 - micro and small business infographic ℹ️:小・零細企業:発見事項
    PDF CSBS 2021 - medium and large business infographic ℹ️:中・大企業:発見事項
    PDF CSBS 2021 - charity infographic ℹ️:非営利団体:発見事項
    HTML CSBS 2021 Education Annex 附属書:教育機関
    PDF CSBS 2021 Education Annex 附属書:教育機関
    PDF CSBS 2021 Technical Annex 附属書:調査手法等の説明
    PDF CSBS 2021 Pre-release access list 公表前閲覧者リスト
2020.03.25 CSBS 2020 HTML CSBS 2020 本文
    PDF CSBS 2020 - main report PDF 本文
    PDF Education Annex - CSBS 2020 附属書:教育機関
    PDF Technical Annex - CSBS 2020 附属書:調査手法等の説明
    PDF Business trends infographic ℹ️:営利企業:傾向
    PDF Charity trends infographic ℹ️:非営利団体:傾向
    PDF Micro & small business trends infographic ℹ️:小・零細企業:傾向
    PDF Medium & large business trends infographic ℹ️:中・大企業:傾向
    PDF CSBS 2020: Pre-release list 公表前閲覧者リスト
2019.07.02 CSBS 2019 PDF CSBS 2019: Main report 本文
    PDF CSBS 2019: General findings visualisation (Business and Charities) ℹ️:全体:発見事項
    PDF CSBS 2019: Micro/Small Business findings visualisation ℹ️:小・零細企業:発見事項
    PDF CSBS 2019: Medium/Large Business findings visualisation ℹ️:中・大企業:発見事項
    PDF CSBS 2019: Charities findings visualisation ℹ️:非営利団体:発見事項
    PDF CSBS 2019: Technical Annex 附属書:技術書
    PDF CSBS 2019: Pre-release list 公表前閲覧者リスト
・2018.04.24 CSBS 2018 PDF CSBS 2018: Main report 本文
    PDF CSBS 2018: General findings visualisation (Business and Charities) ℹ️:全体:発見事項
    PDF CSBS 2018: Micro/Small Business findings visualisation ℹ️:小・零細企業:発見事項
    PDF CSBS 2018: Medium/Large Business findings visualisation ℹ️:中・大企業:発見事項
    PDF CSBS 2018: Charities findings visualisation ℹ️:非営利団体:発見事項
    PDF CSBS 2018: Technical Annex 附属書:調査手法等の説明
    PDF CSBS 2018: Pre-release list 公表前閲覧者リスト
・2017.04.19 CSBS 2017 PDF CSBS 2017: main report 本文
    PDF General business findings visualisation ℹ️:全体:発見事項
    PDF Micro/small business findings visualisation ℹ️:営利企業:発見事項
    PDF Medium/large business findings visualisation ℹ️:発見事項:中・大企業
    PDF CSBS 2017: Technical annex 附属書:調査手法等の説明
    PDF Pre-release access list 公表前閲覧者リスト

ℹ️=インフォグラフィックス

 

年度

発表日

入り口 本文 教育機関 調査手法等 Keyfindings
General Micro-Small Medium-Large Charities
2024 2024.04.09 HTML HTML   HTML   HTML          
2023 2023.04.19 HTML HTML   HTML   HTML          
2022 2022.03.30 HTML HTML   HTML PDF   PDF PDF PDF PDF PDF
2021 2021.03.24 HTML HTML PDF HTML PDF   PDF PDF PDF PDF PDF
2020 2020.03.26 HTML HTML PDF   PDF   PDF PDF PDF PDF PDF
2019 2019.04.03 HTML   PDF       PDF PDF PDF PDF PDF
2018 2018.04.25 HTML   PDF       PDF PDF PDF PDF PDF
2017 2017.04.19 HTML   PDF       PDF PDF PDF PDF  

 

2020年改訂提案の件...

結果

・2020.05.27 Consultation outcome Cyber Security Breaches Survey - Consultation Response

変更

・2020.01.28 Proposed changes to the Cyber Security Breaches Survey

 


 

サイバーセキュリティ縦断調査

Cyber security longitudinal survey

2024.03.20 2024:Wave3 HTML CSLS - wave three 本文
    PDF Infographic summaries of key findings ℹ️:全体:発見事項
    PDF CSLS - wave three technical report 調査手法等
2022.12.29 2023:wave2 HTML Cyber security longitudinal study - wave two 本文
    PDF Cyber security longitudinal study - wave two technical report 調査手法等
    PDF Medium businesses infographic - CSLS wave two ℹ️ :中企業
    PDF Large businesses infographic - CSLS wave two ℹ️ :大企業
    PDF Charities infographic - CSLS wave two ℹ️ :非営利団体
2022.01.27 2021:wave1 HTML CSLS: wave 1 本文
    PDF CSLS: wave one 本文
    PDF Medium businesses infographic - CSLS ℹ️ :中企業
    PDF Large businesses infographic - CSLS ℹ️ :大企業
    PDF Charities infographic - CSLS ℹ️ :非営利団体
    PDF Technical annex - CSLS wave one 調査手法等

 


それぞれの最新の報告書のサマリー・・・

↓↓↓

Continue reading "英国 サイバーセキュリティ侵害調査 2025 開始の案内... 2025年 (2024.09.03) +最新報告書等"

| | Comments (0)

2024.09.04

米国 連邦金融機関審査委員会(FFIEC) 「開発、取得、保守」小冊子(検査員も使うよ)の改訂 (2024.08.29)

こんにちは、丸山満彦です。

米国連邦金融機関審査委員会(FFIEC) が、「開発および取得」を改訂し、「開発、取得、保守」に名称も変更していますね..

内容は、システム開発、運用等をしている人にはわかりやすい構成です。

マニュアルではなく"booklet"です..."examiner"も使います...

変更点については、以下を参考に...基本的には、エンタープライズ全体に適用することを前提、プロセスベース、原則ベースのアプローチ、を強調しつつ、現在の技術動向に合わせて改訂したということろでしょうか...あっ、NIST等との用語の統一も...

日本では、検査マニュアルが廃止(2019.12.18)されてほぼ6年になりますかね...

 

Federal Financial Institutions Examination Council; FFEIC

What's New

・2024.08.29 Development and Acquisition Booklet Revision and Name Change to Development, Acquisition, and Maintenance Booklet

Development and Acquisition Booklet Revision and Name Change to Development, Acquisition, and Maintenance Booklet 「開発および取得」小冊子の改訂と名称変更 「開発、取得、保守」小冊子
The FFIEC members revised and renamed the Development and Acquisition booklet to Development, Acquisition, and Maintenance (DA&M) to incorporate updated information technology (IT) risk practices and frameworks. In keeping with our approach for booklet revisions and as seen in the Business Continuity Management and Architecture, Infrastructures, & Operations booklets, we drafted the booklet following a principles-based approach to IT risk management. This will allow the booklet’s central tenets to remain relevant to examiners even as innovation and technological changes occur in the financial services sector. Changes in this new booklet include the following: FFIECのメンバーは、最新のITリスクの慣行および枠組みを盛り込むため、「開発および取得」小冊子を「開発、取得、保守(DA&M)」小冊子に改訂し、名称を変更した。小冊子の改訂に関するアプローチに従い、「事業継続管理」および「アーキテクチャ、インフラ、業務」小冊子に見られるように、ITリスクマネジメントに関するプリンシプル・ベースのアプローチに従って小冊子のドラフトを作成した。これにより、金融サービス業界で技術革新や技術変化が起こっても、本冊子の基本原則は常に検査員にとって関連性のあるものとなる。本冊子の変更点は以下の通りである。
・The change in the booklet’s title reflects an increased focus on principles-based, enterprise-wide, process-oriented approaches that consider the development of technology components within the overall business structure (development), acquisition and procurement of IT infrastructure hardware and software components (acquisition), and maintenance and change control processes for services to provide ongoing security and value for internal and external customers (maintenance). ・この冊子のタイトル変更は、ビジネス構造全体におけるテクノロジーコンポーネントの開発(開発)、ITインフラのハードウェアおよびソフトウェアコンポーネントの取得および調達(取得)、ならびに内外の顧客に継続的なセキュリティと価値を提供するためのサービスの保守および変更管理プロセス(保守)を考慮した、エンタープライズ全体にわたる原則ベースのプロセス指向のアプローチに重点が置かれるようになったことを反映している。
・Significant changes include the additions of new sections in the narrative related to development, acquisition, and maintenance, including an overview of the subject, governance; risk management; common risk elements applicable to hardware and software component technologies, as well as a section for the discussions related to Maintenance of systems and components. ・重要な変更点としては、開発、取得、保守に関する説明に新たなセクションを追加し、対象の概要、ガバナンス、リスクマネジメント、ハードウェアおよびソフトウェアコンポーネント技術に共通するリスク要素、システムおよびコンポーネントの保守に関する議論のセクションなどを含めた。
・In the Common Risk Topics section, we included risk management discussions for risks that affect each of the entity’s DA&M functions. This section includes hardware and software types; licenses, agreements, and copyright protection; secure development, data, and secure operating environments; microservices, containers, and APIs; methodologies for project management and development; quality management and documentation standards; IT project management and post-implementation review; system development life cycle; and third-party relationship risk management and supply chain considerations. ・共通リスクトピックのセクションでは、事業体のDA&M機能それぞれに影響を与えるリスクに対するリスクマネジメントの議論を含めた。このセクションには、ハードウェアおよびソフトウェアの種類、ライセンス、契約、著作権保護、セキュアな開発、データ、セキュアな運用環境、マイクロサービス、コンテナ、API、プロジェクト管理および開発の方法論、品質管理および文書化標準、ITプロジェクト管理および実装後のレビュー、システム開発ライフサイクル、サードパーティ関係リスク管理およびサプライチェーンの考慮事項などが含まれる。
・In the Development section, we added discussions relating to strategic planning of the IT development to integrate with the business functions of the enterprise and provide for service delivery to customers. This includes development standards and controls, testing, DevOps and DevSecOps, and functional development types. ・開発セクションでは、企業のビジネス機能と統合し、顧客へのサービス提供を可能にするためのIT開発の戦略的計画に関する議論を追加した。これには、開発標準と管理、テスト、DevOpsとDevSecOps、機能開発の種類が含まれる。
・In the Acquisition section, we included sections on acquisition policies, standards, and procedures; acquisition projects; solicitation; evaluation; and contracts and other agreements. ・取得セクションでは、取得方針、標準、手順、取得プロジェクト、募集、評価、契約およびその他の合意に関するセクションを追加した。
・We updated the Maintenance section to address key operational principles in IT environments. We included discussions of preventive maintenance, change management (including implementing changes, control considerations, change types, and change management documentation), end-of-life, termination and disposal, and maintenance documentation. ・保守のセクションを更新し、IT環境における主要な運用原則を取り上げた。予防保守、変更管理(変更の実施、管理上の考慮事項、変更の種類、変更管理文書を含む)、製品寿命終了、終了および廃棄、保守文書に関する議論を含めた。
・Throughout the booklet, we made improvements in consistency and use of authoritative standards for the revision of booklets by: ・小冊子全体を通して、以下の方法で一貫性と権威ある標準の使用を改善した。
・・Identifying clearer references back to NIST and other authoritative sources. ・・NIST およびその他の権威ある情報源への参照をより明確に識別した。
・・Replacing “financial institutions” with the term “entities” as the principles in the narrative also apply to third-party service providers and significant service providers that we examine. ・・本文の原則がサードパーティのサービスプロバイダや、当社が調査する重要なサービスプロバイダにも適用されるため、「金融機関」という用語を「事業体」という用語に置き換えた。
・・Aligning definitions and terminology with authoritative sources and standards organizations (e.g., NIST), where appropriate. ・・定義および用語を、権威ある情報源および標準化団体(NIST など)と整合させた。
・・Including joint or interagency guidance applicable to DA&M with accompanying respective agency announcements for consistency. ・・DA&M に適用される合同または省庁間による指針を、整合性を保つためにそれぞれの省庁の発表と併せて記載した。

 

・[HTML][PDF] Development, Acquisition, and Maintenance

20240904-34703

 

目次...

Introduction 序文
I Overview of Development, Acquisition, and Maintenance I 開発、取得、保守の概要
II Governance of Development, Acquisition, and Maintenance II 開発、取得、保守のガバナンス
II.A Policies, Standards, and Procedures II.A 方針、標準、手順
II.B Roles and Responsibilities II.B 役割と責任
II.B.1 Board, Senior Management, and Other Common Roles II.B.1 取締役会、上級管理職、その他の共通の役割
II.B.2 IT Project Management Roles II.B.2 ITプロジェクト管理の役割
II.B.3 Development Roles II.B.3 開発の役割
II.B.4 Acquisition Roles II.B.4 取得の役割
II.B.5 Maintenance Roles II.B.5 保守の役割
II.B.6 Other Common Development, Acquisition, and Maintenance Roles II.B.6 その他の一般的な開発、取得、保守の役割
II.B.7 Supply Chain Roles II.B.7 サプライチェーンの役割
II.B.8 Other Support Functions II.B.8 その他のサポート機能
II.B.9 Audit's Role II.B.9 監査の役割
III Risk Management of Development, Acquisition, and Maintenance III 開発、取得、保守のリスクマネジメント
III.A Risk Identification III.A リスクの識別
III.B Risk Measurement III.B リスクの測定
III.C Risk Monitoring and Reporting III.C リスクの監視と報告
III.D Controlling or Mitigating Risk III.D リスクの抑制または低減
IV Common Development, Acquisition, and Maintenance Risk Topics IV 開発、取得、保守に共通するリスクトピック
IV.A Open-Source IV.A オープンソース
IV.B Commercial-off-the-Shelf IV.B 商用汎用品
IV.C Licenses, Agreements, and Copyright Protection IV.C ライセンス、契約、および著作権保護
IV.C.1 Software Licenses IV.C.1 ソフトウェアライセンス
IV.C.1(a) Free and Open-Source Software Licenses IV.C.1(a) フリーおよびオープンソースソフトウェアライセンス
IV.C.1(b) Proprietary Software Licenses IV.C.1(b) プロプライエタリソフトウェアライセンス
IV.C.2 Hardware Licenses IV.C.2 ハードウェアライセンス
IV.C.3 Copyright Protection IV.C.3 著作権保護
IV.D Secure Development IV.D 安全な開発
IV.E Data IV.E データ
IV.F Secure Operating Environments IV.F 安全な運用環境
IV.G Microservices IV.G マイクロサービス
IV.H Containers IV.H コンテナ
IV.I Application Programming Interfaces IV.I アプリケーション・プログラミング・インターフェース
IV.I.1 API Gateway IV.I.1 API ゲートウェイ
IV.I.2 API Risk Mitigation IV.I.2 API リスク低減
IV.J Methodologies IV.J 方法論
IV.J.1 Waterfall IV.J.1 ウォーターフォール
IV.J.2 Agile IV.J.2 アジャイル
IV.K Quality Management IV.K 品質管理
IV.L Documentation Standards IV.L 文書化標準
IV.M Post-Implementation Review IV.M 実装後のレビュー
IV.N IT Project Management IV.N IT プロジェクト管理
IV.N.1 IT Project Phases IV.N.1 IT プロジェクトのフェーズ
IV.N.1(a) Initiation IV.N.1(a) 開始
IV.N.1(b) Planning IV.N.1(b) 計画
IV.N.1(c) Execution IV.N.1(c) 実行
IV.N.1(d) Closeout IV.N.1(d) 終了
IV.N.2 Monitoring and Controlling IV.N.2 モニタリングと管理
IV.N.3 IT Project Documentation IV.N.3 IT プロジェクトの文書化
IV.N.3(a) IT Project Request IV.N.3(a) IT プロジェクトの要求
IV.N.3(b) Business Case IV.N.3(b) ビジネスケース
IV.N.3(c) Feasibility Study IV.N.3(c) 実現可能性調査
IV.N.3(d) IT Project Plans IV.N.3(d) ITプロジェクト計画
IV.N.3(e) Closeout Documentation IV.N.3(e) 終了時文書
IV.O System Development Life Cycle IV.O システム開発ライフサイクル
IV.O.1 SDLC Phases IV.O.1 SDLCフェーズ
IV.O.1(a) Initiation IV.O.1(a) 開始
IV.O.1(b) Development or Acquisition IV.O.1(b) 開発または取得
IV.O.1(c) Implementation and Assessment IV.O.1(c) 実装およびアセスメント
IV.O.1(d) Operations and Maintenance IV.O.1(d) 運用および保守
IV.O.1(e) Sunset and Disposal IV.O.1(e) 終了および廃棄
IV.P Third-Party Relationship Risk Management IV.P サードパーティ関係リスク管理
IV.P.1 Planning IV.P.1 計画
IV.P.2 Due Diligence and Third-Party Selection IV.P.2 デューデリジェンスおよびサードパーティの選定
IV.P.3 Contract Negotiation IV.P.3 契約交渉
IV.Q Supply Chain Considerations IV.Q サプライチェーンの考慮事項
IV.Q.1 Supply Chain Risk Management IV.Q.1 サプライチェーンリスクマネジメント
IV.Q.2 Software Bill of Material IV.Q.2 ソフトウェア部品表
IV.Q.3 Enterprise Risk Management and Supply Chain Risks IV.Q.3 エンタープライズリスクマネジメントとサプライチェーンリスク
V Development V 開発
V.A Development Standards and Controls V.A 開発標準と制御
V.B Testing V.B テスト
V.C DevOps and DevSecOps V.C DevOpsとDevSecOps
V.C.1 DevOps V.C.1 DevOps
V.C.2 DevSecOps V.C.2 DevSecOps
V.D Functional Development Types V.D 機能開発の種類
V.D.1 Model Development V.D.1 モデル開発
V.D.2 Database Development V.D.2 データベース開発
VI Acquisition VI 調達
VI.A Acquisition Policies, Standards, and Procedures VI.A 調達方針、標準、手順
VI.B Acquisition Projects VI.B 調達プロジェクト
VI.C Solicitation VI.C 募集
VI.D Evaluation VI.D 評価
VI.E Contracts and Other Agreements VI.E 契約およびその他の合意
VI.E.1 Statement of Work VI.E.1 作業内容記述書
VI.E.2 Master Services Agreement VI.E.2 マスターサービス契約
VI.E.3 Service Level Agreement VI.E.3 サービスレベル契約
VI.E.4 Contracts VI.E.4 契約
VI.E.5 Escrowed Source Code Agreements and Documentation VI.E.5 エスクローソースコード契約および文書化
VI.E.6 Exit Strategy VI.E.6 出口戦略
VII Maintenance VII 保守
VII.A Preventive Maintenance VII.A 予防保守
VII.B Change Management VII.B 変更管理
VII.B.1 Implementing Changes VII.B.1 変更の実施
VII.B.2 Additional Control Considerations in Change Management VII.B.2 変更管理における追加の管理上の考慮事項
VII.B.2(a) Data Controls in the Testing Environment VII.B.2(a) テスト環境におけるデータ制御
VII.B.2(b) Library Controls VII.B.2(b) ライブラリ制御
VII.B.2(c) Code Repository Controls VII.B.2(c) コードリポジトリ制御
VII.B.3 Change Types VII.B.3 変更の種類
VII.B.3(a) Routine Modifications VII.B.3(a) 日常的な修正
VII.B.3(b) Major Modifications VII.B.3(b) 大規模な修正
VII.B.3(c) Emergency Modifications VII.B.3(c) 緊急の修正
VII.B.4 Change Management Documentation VII.B.4 変更管理文書
VII.B.4(a) Change Request Form VII.B.4(a) 変更依頼書
VII.B.4(b) Impact Analysis VII.B.4(b) 影響分析
VII.B.4(c) Rollback or Back-Out Plan VII.B.4(c) ロールバックまたはバックアウト計画
VII.C End-of-Life VII.C 製品寿命終了
VII.D Termination and Disposal VII.D 終了および廃棄
VII.E Maintenance Documentation VII.E 保守文書
Appendix A: Examination Procedures 附属書 A:審査手順
Appendix B: Glossary 附属書 B:用語集
Appendix C: Abbreviations 附属書 C:略語
Appendix D: References 附属書 D:参考文献

 

その他のBoolket


アーキテクチャ、インフラストラクチャ、業務

Architecture, Infrastructure, and Operations

・2021.06.30 Revision of the Operations Booklet and Name Change to Architecture, Infrastructure, and Operations Booklet

・[HTML][PDF] Architecture, Infrastructure, and Operations

20240904-41353

 


事業継続マネジメント

Business Continuity Management

・2019.11.14 Business Continuity Management

・[HTML][PDF] Business Continuity Management

20240904-41752

 

 


情報セキュリティ

 Information Security

・2016.09.09 Revised the Information Security Booklet

・[HTNL][PDF] Information Security

20240904-42216

 

 

| | Comments (0)

2024.09.03

米国 国土安全保障省 重要インフラの所有者および運営者向けAIの安全およびセキュリティガイドライン (2024.04.26)

こんにちは、丸山満彦です。

国土安全保障省が重要インフラの所有者および運営者向けAIの安全およびセキュリティガイドラインを公表していました...

NISTのAI Risk Management Frameworkとの参照表もついています...そうか、AI RMFは発行してからすでに1年8月たっているのか...

重要インフラの所有者および運営者向けとなっていますが、普通に使えます。整理されていて、とても有益だと思います...

 

Department of Homeland Security

・2024.04.26 Safety and Security Guidelines for Critical Infrastructure Owners and Operators

Safety and Security Guidelines for Critical Infrastructure Owners and Operators 重要インフラの所有者および運営者向け安全およびセキュリティガイドライン
The U.S. Department of Homeland Security (DHS) was tasked in Executive Order 14110: Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence to develop safety and security guidelines for use by critical infrastructure owners and operators. DHS developed these guidelines in coordination with the Department of Commerce, the Sector Risk Management Agencies (SRMAs) for the 16 critical infrastructure sectors, and relevant independent regulatory agencies. 米国国土安全保障省(DHS)は、大統領令14110「人工知能の安全、セキュリティ、信頼性の高い開発および利用」により、重要インフラの所有者および運営者が使用するための安全およびセキュリティガイドラインの策定を命じられた。DHSは、商務省、16の重要インフラセクターのセクターリスクマネジメント機関(SRMA)、および関連する独立規制機関と連携して、これらのガイドラインを策定した。
The guidelines begin with insights learned from the Cybersecurity and Infrastructure Security Agency’s (CISA) cross-sector analysis of sector-specific AI risk assessments completed by SRMAs and relevant independent regulatory agencies in January 2024. The CISA analysis includes a profile of cross-sector AI use cases and patterns in adoption and establishes a foundational analysis of cross-sector AI risks across three distinct types: 1) Attacks Using AI, 2) Attacks Targeting AI Systems, and 3) Failures in AI Design and Implementation. DHS drew upon this analysis, as well as analysis from existing U.S. government policy, to develop specific safety and security guidelines to mitigate the identified cross-sector AI risks to critical infrastructure. The guidelines incorporate the National Institute of Standards and Technology (NIST) AI Risk Management Framework (AI RMF), including its four functions that help organizations address the risks of AI systems: Govern, Map, Measure, and Manage. このガイドラインは、2024年1月にSRMAおよび関連する独立規制機関が完了したセクター固有のAIリスクアセスメントに関するサイバーセキュリティ・インフラセキュリティ庁(CISA)のセクター横断的分析から得られた洞察から始まる。CISAの分析には、セクター横断的なAIのユースケースと導入パターンに関するプロファイルが含まれ、3つの異なるタイプ、すなわち、1)AIを使用した攻撃、2)AIシステムを標的とした攻撃、3)AIの設計と実装における不具合、にわたるセクター横断的なAIリスクの基礎的な分析が確立されている。DHSは、この分析と既存の米国政府政策の分析を活用し、特定の安全およびセキュリティガイドラインを策定し、重要インフラに対する識別されたセクター横断的なAIリスクの低減を図った。このガイドラインには、国立標準技術研究所(NIST)のAIリスクマネジメントフレームワーク(AI RMF)が組み込まれており、AIシステムのリスクに対処する組織を支援する4つの機能(ガバナンス、マッピング、測定、管理)が含まれている。
While the guidelines in this document are written broadly so they are applicable across critical infrastructure sectors, DHS encourages owners and operators of critical infrastructure to consider sector-specific and context-specific AI risks and mitigations. 本ガイドラインは、重要インフラセクター全体に適用できるよう幅広く記述されているが、DHSは重要インフラの所有者および運営者に対し、セクター固有および文脈固有のAIリスクと低減策を考慮するよう推奨している。

 

・[PDF] Safety and Security Guidelines for Critical Infrastructure Owners and Operators

20240903-125730

・[DOCX][PDF] 仮訳

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
INTRODUCTION 序文
AI RISKS TO CRITICAL INFRASTRUCTURE 重要インフラに対するリスク
AI Uses and Patterns of Adoption AIの用途と採用パターン
Cross-Sector AI Risk Categories  クロスセクターAIリスクカテゴリー
GUIDELINES FOR CRITICAL INFRASTRUCTURE OWNERS AND OPERATORS 重要インフラの所有者および運営者のためのガイドライン
Govern: Establish an organizational culture of AI risk management 統治:AIリスク管理の組織文化を確立する。
Map: Understand your individual AI use context and risk profile マップ:個々のAIの使用状況とリスクプロファイルを理解する。
Measure: Develop systems to assess, analyze, and track AI risks 測定:AIリスクをアセスメント、分析、追跡するシステムを開発する。
Manage: Prioritize and act upon AI risks to safety and security  管理:安全・安心に対するAIリスクに優先順位をつけ、対処する。
CONCLUSION 結論
APPENDIX A: CROSS-SECTOR AI RISKS AND MITIGATION STRATEGIES 附属書A:セクター横断的なAIリスクと低減戦略
Risk Category: Attacks Using AI リスクカテゴリー:AIを利用した攻撃
Risk Category: Attacks on AI リスクカテゴリー:AIへの攻撃
Risk Category: AI Design and Implementation Failures リスクカテゴリー:AI設計と実装の失敗
General Mitigations for AI Risks  AIリスクに対する一般的低減策
APPENDIX B: GUIDELINES MAPPED TO NIST AI RMF 附属書B:NISTのAI RMFとガイドラインのマッピング
Govern 統治
Map マップ
Measure 測定
Manage 管理

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

AI RMF

・2023.01.27 NIST AIリスクフレームワーク

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

 

AIとセキュリティ関係

・2024.07.07 米国 MITRE AI規制を通じてAIのセキュリティと安全性を確保する

・2024.05.31 米国 NIST AIの社会技術試験・評価を推進する新プログラム「AIのリスクと影響の評価 (ARIA)」を開始

・2024.05.03 米国 商務省 NISTがAIに関する4つのドラフトを公開し、意見募集を開始 (2023.04.29)

  • NIST AI 600-1 人工知能リスクマネジメントフレームワーク: 生成的人工知能プロファイル
  • NIST SP 800-218A 生成的 AI とデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス: SSDFコミュニティプロファイル
  • NIST AI 100-4 合成コンテンツがもたらすリスクの低減 デジタルコンテンツの透明性に関する技術的アプローチの概要
  • NIST AI 100-5 AI標準に関するグローバルな関与のための計画

・2024.02.13 米国 AI安全研究所を設立

・2023.11.28 米国 CISA AI導入のロードマップ (2023.11.14)

・2023.06.16 米国 MITRE AIセキュリティのための賢明な規制の枠組み

・2023.05.01 米国 国家人工知能諮問委員会1年間の活動報告書

 

他にもいろいろあるので...

[AI/Deep Learning]から...

 

 

 

| | Comments (0)

米国 CISA 接続されたコミュニティ・ガイダンス:相互接続されたシステムを保護するためのゼロ・トラスト (2024.08.29)

こんにちは、丸山満彦です。

CISAが接続されたコミュニティ・ガイダンス:相互接続されたシステムを保護するためのゼロ・トラストを公表していますね...

NISTがSP800-207でゼロトラスト・アーキテクチャーについての文書を公表したのですが、その後、国土安全保障省のCISAと国防総省のNSAがそれぞれゼロトラスト成熟度モデルを発表していますよね...

で柱がそれぞれちっと違うんですよね...何故なんでしょうね...

● CISA

・2024.08.29 [PDF] CONNECTED COMMUNITIES GUIDANCE: ZERO TRUST TO PROTECT INTERCONNECTED SYSTEMS

20240903-10642

・[DOCX][PDF] 仮訳

 


最初にCISAのゼロトラストの柱...

20240903-12557

Piller
1  Identity 1  アイデンティティ
2  Devices 2  デバイス
3  Networks 3 ネットワーク
4  Applications and Workloads 4  アプリケーションとワークロード
5  Data 5  データ
Cross-Cutting Capabilities 横断的な能力
(1) Visibility and Analytics  (1) 可視性と分析
(2) Automation and Orchestration  (2) 自動化とオーケストレーション
(3) Governance (3) ガバナンス

 

 

一方、NSA

1_20240525034101

 

USER ユーザー
DEVICE デバイス
APPLICATION & WORKLOAD アプリケーションとワークロード
DATA データ
NETWORK & ENVIRONMENT ネットワークと環境
AUTOMATION & ORCHESTRATION 自動化とオーケストレーション
VISIBLITY & ANALITICS 可視性と分析

 

だいたい同じなんですけどね(^^;;

NSAにはガバナンスがない...

 


 

まるちゃんの情報セキュリティ気まぐれ日記

CISA関係...

・2023.04.13 米国 CISA ゼロトラスト成熟度モデル V2.0 (2023.04.11)

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09米国 CISA 意見募集 ゼロトラスト成熟度モデル

 

NCA関係...

・2024.06.06 米国 NSA 可視性と分析のピラーを通じてゼロトラストの成熟度を進める (2024.05.30)

・2024.05.25 米国 NSA アプリケーションとワークロードのピラーを通してゼロトラストの成熟度を進める

・2024.04.15 米国 NSA データ・ピラー全体でゼロトラストの成熟度を進める (2024.04.09)

・2024.03.08 米国 NSA ネットワークと環境のピラーでゼロトラストの成熟度を進める (2024.03.05)

・2023.10.23 米国 NSA CSI: デバイス・ピラーを通じたゼロトラスト成熟度の推進

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

 

NIST...

2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2023.09.17 NIST SP 800-207A マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2023.09.16 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.E リスクとコンプライアンスマネジメント

・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ

・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

 

| | Comments (0)

2024.09.02

オーストラリア ガバナンス協会 サイバーリスク対策プレイブック

こんにちは、丸山満彦です。

オーストラリアガバナンス協会 [wikipedia] によるサイバーリスク対応のためのガイドといったところでしょうか?

この団体は1909年に法人化された団体ですね。。。英国の勅許ガバナンス協会 (Chartered Governance Institute)  [wikipedia

 

経営陣のみならず、取締役がサイバーリスクマネジメント戦略を理解しておくことが重要ということで、リスクマネジメントの一環として取締役会の関与が重要ということになるのだろうと思います。

サイバーリスクが経営上のリスクのうちの大きな部分を占めていると認識されている以上、取締役会による関与というのは避けられないし、取締役会が関与しないという選択肢はありえないと思いますね...

 

Govenance Institute of Australia

・2024.08.18 An Essential Cyber Risk Playbook for Modern Organisations

An Essential Cyber Risk Playbook for Modern Organisations 現代の組織のための不可欠なサイバーリスク対策プレイブック
Safeguarding digital assets and maintaining robust cyber security protocols is at the heart of Governance Institute’s latest Cyber Risk Management Guide. デジタル資産の保護と強固なサイバーセキュリティプロトコルの維持は、ガバナンス研究所の最新サイバーリスクマネジメントガイドの中心的なテーマである。
Safeguarding digital assets and maintaining robust cyber security protocols is at the heart of Governance Institute’s latest Cyber Risk Management Guide.   デジタル資産の保護と強固なサイバーセキュリティプロトコルの維持は、ガバナンス研究所の最新サイバーリスクマネジメントガイドの中心的なテーマである。 
Unveiled this month, the guide highlights the importance of identifying critical assets and establishing a comprehensive data governance and protection process. It outlines how boards can determine and implement their cyber risk appetite through a well-structured cyber security framework.   今月発表されたこのガイドでは、重要な資産の識別と包括的なデータガバナンスおよび防御プロセスの確立の重要性が強調されている。 また、体系的に構築されたサイバーセキュリティの枠組みを通じて、取締役会がサイバーリスク許容度を決定し、それを実行する方法についても概説されている。
Megan Motto FGIA FCG, CEO of Governance Institute has stressed the importance of directors to be across cyber risk management strategies.  ガバナンス研究所のCEOであるミーガン・モットー(Megan Motto)FGIA FCGは、取締役がサイバーリスクマネジメント戦略を理解することの重要性を強調している。
“In today’s digital landscape, cyber risk management is not just an IT issue but a critical governance concern.”  「今日のデジタル環境において、サイバーリスクマネジメントは単なるITの問題ではなく、ガバナンス上の重要な懸念事項です。
“Our guide provides directors and executive staff with the necessary tools and frameworks to navigate the complexities of cyber security and protect their most valuable assets,” she said.   「我々のガイドは、取締役や経営陣に、サイバーセキュリティの複雑な状況を乗り切り、最も重要な資産を防御するための必要なツールとフレームワークを提供します」と彼女は述べた。 
The guide explores information security and makes clear the need for accountability and responsibility within organisations. It explores the importance of implementing effective controls to prevent, detect and respond to information security incidents. It also it underscores the necessity for organisations to possess the requisite skills and capabilities at all levels, including the board, to interpret and understand information security matters and make informed decisions.  このガイドでは、情報セキュリティについて検討し、組織内における説明責任と責任の必要性を明確にしている。また、情報セキュリティインシデントの予防、検知、対応に効果的な管理策を実施することの重要性を検討している。さらに、情報セキュリティ問題を解釈し理解し、十分な情報を得た上で意思決定を行うために、取締役会を含むあらゆるレベルで必要なスキルと能力を組織が備える必要性を強調している。
Other areas explored in our latest guide include:  最新ガイドでは、以下の項目についても取り上げている。
・The critical aspect of crisis management, detailing how senior executives and board members should interact with incident management teams, technical teams, corporate teams, customer management and media relations during a cyber event.  ・危機管理の重要な側面として、サイバーイベント発生時に、経営幹部や取締役がインシデント管理チーム、技術チーム、企業チーム、顧客管理、メディア対応とどのように連携すべきかを詳細に説明している。
・A framework for making pre-emptive decisions, such as whether to pay a ransomware demand and the legal implications of such actions.  ・ランサムウェアの要求に応じるかどうか、またそのような行動が法律に抵触する可能性があるかどうかなど、先を見越した意思決定を行うための枠組み。
・Notification requirements for cyber incidents, including regulatory, contractual, and reputational obligations.   ・規制、契約、評判に関する義務など、サイバーインシデントに関する通知要件。 
・Advises on the appropriate timing for notifying insurers and the specific policies under which claims should be made.  ・保険会社への通知の適切なタイミングや、保険請求を行うべき特定の保険契約に関するアドバイス。
The release of this guide comes at an important time, as organisations face an ever-evolving threat landscape. By adopting the principles and practices outlined in Governance Institute’s Cyber Risk Management Guide, organisations can strengthen their resilience against cyber threats and ensure they are well-prepared to respond to incidents effectively.   このガイドの発表は、進化し続ける脅威の状況に企業が直面しているという重要なタイミングである。ガバナンス・インスティチュートのサイバーリスクマネジメントガイドに概説されている原則と実践を採用することで、企業はサイバー脅威に対するレジリエンシーを強化し、インシデントに効果的に対応するための十分な準備ができていることを確実にすることができる。 

 

 

Effective Cyber Risk Management: A best practice governance guide

Effective Cyber Risk Management: A best practice governance guide 効果的なサイバーリスクマネジメント:ガバナンスのベストプラクティスガイド
Navigate the complexities of cyber security with this helpful resource. この役立つリソースでサイバーセキュリティの複雑性をナビゲートする。
In the face of an ever-changing cyber threat landscape, Governance Institute of Australia has unveiled a pivotal resource for leaders titled, ‘Effective Cyber Risk Management: A best practice governance guide for digitally secure and resilient organisations.’ The guide is a comprehensive publication designed to fortify your organisation’s digital defences and guide you through the complexities of cyber security.  オーストラリアのガバナンス研究所は、刻々と変化するサイバー脅威の状況を踏まえ、リーダーのための重要なリソースとして『効果的なサイバーリスクマネジメント:デジタルセキュリティとレジリエンスを備えた組織のためのガバナンスのベストプラクティスガイド』を発表した。このガイドは、組織のデジタル防御を強化し、サイバーセキュリティの複雑性をナビゲートするための包括的な出版物である。
As an important piece of thought leadership, the guide empowers directors and executive staff with the tools and knowledge to safeguard your organisation’s most valuable assets. Megan Motto FGIA FCG, CEO of Governance Institute, emphasises, “Cyber risk management transcends IT; it’s a fundamental governance imperative.”  重要な思考リーダーシップの一環として、このガイドは、貴社の最も重要な資産を守るためのツールと知識を役員や経営陣に提供する。ガバナンス研究所のCEOであるメーガン・モットーFGIA FCGは、「サイバーリスクマネジメントはITの枠を超えたものであり、ガバナンスの根幹をなす必須事項である」と強調する。
A framework for operational excellence by aligning your cyber risk appetite with actionable strategies. It underscores the criticality of:  サイバーリスク許容度と実行可能な戦略を整合させることで、業務の卓越性を実現するための枠組み。
・Identifying and protecting key assets  ・重要な資産の識別と防御 
・Implementing robust data governance  ・強固なデータガバナンスの実施
・Ensuring accountability at all organisational levels  ・すべての組織レベルにおける説明責任の確保
Navigate crisis situations with confidence as our guide illuminates:  当社のガイドでは、以下の点について説明しており、危機的状況にも自信を持って対応できる。
・The dynamics of crisis management teams  ・危機管理チームのダイナミクス
・Decision-making frameworks for ransomware demands  ・ランサムウェアの要求に対する意思決定の枠組み
・Legal and notification requirements for cyber incidents  ・サイバーインシデントに関する法的および通知要件
Stay ahead of threats and elevate your organisation’s cyber resilience and readiness. Embrace the principles and practices that will shield you from cyber threats and position you to respond decisively to any incident.  脅威に先手を打ち、組織のサイバーレジリエンシーと対応力を高める。サイバー脅威から身を守り、あらゆるインシデントに迅速に対応できる体制を整えるための原則と実践を取り入れる。

 

 

・[PDF

20240902-103112

・[DOCX][PDF] 仮訳

 

目次...

1. About us 1. はじめに
・ Acknowledgements ・ 謝辞
2. Foreword 2. まえがき
3. Introduction 3. 序文
・ The cyber risk landscape ・ サイバーリスクの現状
・ Why this guide? ・ なぜこのガイドなのか?
・ Navigating this guide ・ このガイドの使い方
4. What is Cyber Risk? 4. サイバーリスクとは何か?
・ Is ‘cyber security’ the same as ‘information security’? ・ 「サイバーセキュリティ」と「情報セキュリティ」は同じものなのか?
・ Examples of cyber threats ・ サイバー脅威の例
5. Key elements of governance 5. ガバナンスの主要要素
・ The role of the board and board committees ・ 取締役会および取締役会委員会の役割
・ The role of the board ・ 取締役会の役割
・ Board committees ・ 取締役会委員会
・ Accountability and responsibility ・説明責任と責任
・ Reporting ・報告
・ Assurance ・保証
6. Elements of a Cyber Risk Management Framework 6. サイバーリスク管理フレームワークの要素
・ Start with a cyber risk strategy ・サイバーリスク戦略から始める
・ Monitor ・モニタリング
・ Adapt ・適応
・ Evaluate ・評価
・ Integration with Risk Framework ・リスクフレームワークとの統合
・ Adopting a Standard ・標準の採用
・ Role of Culture ・企業文化の役割
・ Capability and resourcing ・能力とリソース
・ Question to ask about your framework ・自社のフレームワークに関する質問
7. Risk Management Process 7. リスクマネジメントプロセス
・ Risk identification, assessment and evaluation ・リスクの識別、アセスメント、および評価
・ Risk treatment and controls ・リスクの処理と制御
・ Incident, crisis management and business continuity planning ・ インシデント、危機管理、事業継続計画
・ Planning ・ 計画
・ Training, tests, and exercises ・ トレーニング、テスト、演習
・ Post-incident review and lessons learned ・ インシデント後のレビューと教訓
・ Emerging regulation and government assistance ・ 新たな規制と政府支援
8. The Regulatory Landscape 8. 規制の概観
・ Emerging regulatory areas ・ 新たな規制分野
9. Standards, Frameworks and Certifications 9. 標準、フレームワーク、認証
・ Cyber Risk Management and Cyber Security ・ サイバーリスクマネジメントとサイバーセキュリティ
・ International Standards (IT) ・ 国際標準(IT
・ International Standard (Risk) ・ 国際標準(リスク
・ International Standard (Business Continuity) ・ 国際標準(事業継続
・ Australian Commonwealth Government Entities ・ オーストラリア連邦政府事業体
・ APRA-regulated entities: ・ APRA(オーストラリア健全性規制庁)規制事業体:
・ Payment card processing: ・ ペイメントカード処理:
10. Resources 10. リソース
・ Reporting to government ・ 政府への報告
・ Privacy ・ プライバシー
・ Cyber Resilience and Security Guidance ・ サイバーレジリエンスおよびセキュリティに関するガイダンス
・ Charities ・ 慈善団体
・ Scams ・ 詐欺
・ International ・ 国際
11. International Regulations 11. 国際規制
12. Acronyms and Glossaries 12. 略語と用語集
・ Glossaries of cybersecurity terms: ・ サイバーセキュリティ用語集:
13. References 13. 参考文献
・ Reports ・ レポート
・ Guides ・ ガイド
・ Articles ・ 記事
・ Other ・ その他

 

これは参考になるかもですね...

取締役会のチェックリスク

Are processes in place to monitor the evolving regulatory landscape and is the Board sufficiently informed about current and prospective laws and standards ahead of meetings and when decisions are being made? 進化する規制の状況を監視するプロセスは整備されているか。また、取締役会は、会議前や意思決定時に、現在および将来の法律や標準について十分な情報を得ているか。
Is the organisation’s risk framework regularly reviewed and does the board have processes to ensure management obtains independent advice and assurance where required? 組織のリスクフレームワークは定期的に見直され、取締役会は、マネジメントが必要に応じて独立した助言や保証を得られるようなプロセスを設けているか。
How does the Board ensure a whole-of-organisation risk culture, including a security-aware culture? 取締役会は、セキュリティを意識した文化を含む組織全体のリスク文化をどのように確保しているか。
Ensuring the appropriate and balanced level of investment in cyber security relative to the cyber risks facing the organisation. 組織が直面するサイバーリスクに対して、適切かつバランスの取れたサイバーセキュリティへの投資水準を確保する。
Deciding on the appropriate cyber governance structure to meet business goals. ビジネス目標を達成するために適切なサイバーガバナンス構造を決定する。
Ensuring the board receives appropriate education on cyber security and risk management.  取締役会がサイバーセキュリティとリスクマネジメントに関する適切な教育を受けるようにする。 
Overseeing the overall governance framework, including risk management and cyber security. リスクマネジメントやサイバーセキュリティを含むガバナンスの枠組み全体を監督する。
Ensuring appropriate reporting to the board, or through its committees, on cyber strategies, risks, projects, and activities, サイバー戦略、リスク、プロジェクト、活動について、取締役会または委員会を通じて適切な報告を行う、
Requiring management of stakeholders, including shareholders, customers, regulators, and the community. 株主、顧客、規制当局、地域社会を含む利害関係者の管理を義務付ける。
Ensuring that contracting risk is managed in accordance with the organisation’s delegations framework. 契約リスクが組織の権限委譲の枠組みに従って確実にマネジメントされるようにする。
Understanding and overseeing data governance. データガバナンスを理解し、監督する。

 

オーストラリア証券投資委員会 (Australian Securities and Investments Commission; ASIC) の取締役会に対する質問

Risk management framework リスクマネジメントの枠組み
Are cyber risks an integral part of the organisation’s risk management framework? サイバーリスクは組織のリスクマネジメントフレームワークに不可欠な要素となっているか?
How often is the cyber resilience program reviewed at the board level? 取締役会レベルでのサイバーレジリエンスプログラムのレビューの頻度はどの程度か。
What risk is posed by cyber threats to the organisation’s business? サイバー脅威が組織のビジネスにもたらすリスクは何か?
Does the board need further expertise to understand the risk?  取締役会はリスクを理解するためにさらなる専門知識が必要か? 
Monitoring cyber risk サイバー・リスクの監視
How can cyber risk be monitored and what escalation triggers should be adopted? サイバー・リスクをどのように監視し、どのようなエスカレーション・トリガーを採用すべきか。
Controls コントロール
What is the people strategy around cyber security? サイバーセキュリティをめぐる人材戦略とは何か?
What is in place to protect critical information assets? 重要な情報資産を保護するために、どのようなことが行われているか?
Response 対応
What needs to occur in the event of a breach? 違反が発生した場合、何が必要なのか?

 

もとはオーストラリア証券投資委員会のこちらです、、、

Key questions for an organisation’s board of directors, ASIC.

 

サイバーリスク報告のために考慮すべき質問

How often should the board and executive team receive reporting on cyber risk? 取締役会と経営陣は、どれくらいの頻度でサイバーリスクに関する報告を受けるべきか。
How often should the board discuss cyber risk with management? 取締役会はどれくらいの頻度でサイバーリスクについてマネジメントと話し合うべきか?
How are cyber risk appetite or tolerance levels defined and measured to inform reporting levels? サイバーリスクの選好度や許容度はどのように定義され、報告レベルに反映されるのか。
What are the most useful cybersecurity metrics to report to boards and executive teams in your organisation? 組織の取締役会や経営陣に報告する最も有用なサイバーセキュリティ指標は何か。
What other reporting or information do they need to put these metrics in context? (For example,  an overview of technology architecture). これらのメトリクスをコンテキストに当てはめるために、他にどのようなレポートや情報が必要なのか。(例えば、技術アーキテクチャの概要など)。
How can we ensure the information is both accurate and timely? 情報が正確でタイムリーであることをどうすれば保証できるのか?
How much information is too much or not enough? 情報量は多すぎるのか、それとも足りないのか。
What constitutes an incident disclosable/reportable externally? Have we checked the current legislative requirements relevant to our industry and organisation? 何をもってインシデントを外部に開示/報告できるものとするか?私たちの業界や組織に関連する現行の法律要件を確認したか?
How does the board determine materiality in relation to cyber security risks to inform prioritisation and compliance with disclosure requirements? 取締役会は、サイバーセキュリティリスクに関連する重要性をどのように判断し、優先順位付けと開示要件の遵守に役立てているか。

 

 

 

| | Comments (0)

2024.09.01

米国 CISA FBI MS-ISAC HHS RansomHubランサムウェアに対する警告 (2024.08.29)

こんにちは、丸山満彦です。

CISA(サイバーセキュリティ・重要インフラセキュリティ庁)、FBI(連邦捜査局)、MS-ISAC(複数州情報共有分析センター)、HHS(保健福祉省)が共同で、既知のRansomHubランサムウェアのIOCおよびTTPを周知するためのアドバイザリーを公表していますね...

 

CISA

・2024.08.29 CISA and Partners Release Advisory on RansomHub Ransomware

CISA and Partners Release Advisory on RansomHub Ransomware CISAとパートナーがランサムウェア「RansomHub」に関する勧告を発表
Today, CISA—in partnership with the Federal Bureau of Investigation (FBI), Multi-State Information Sharing and Analysis Center (MS-ISAC), and Department of Health and Human Services (HHS)—released a joint Cybersecurity Advisory, #StopRansomware: RansomHub Ransomware. This advisory provides network defenders with indicators of compromise (IOCs), tactics, techniques, and procedures (TTPs), and detection methods associated with RansomHub activity identified through FBI investigations and third-party reporting as recently as August 2024. 本日、CISAは連邦捜査局(FBI)、多州間情報共有・分析センター(MS-ISAC)、保健福祉省(HHS)と共同で、サイバーセキュリティに関する共同勧告「#StopRansomware: RansomHub Ransomware(ランサムウェアの阻止:RansomHubランサムウェア)」を発表した。この勧告は、2024年8月に行われたFBIの調査およびサードパーティからの報告により識別されたRansomHubの活動に関連する、侵害の兆候(IOC)、戦術、技術、手順(TTP)、および検知方法について、ネットワーク防御者に提供するものである。
RansomHub is a ransomware-as-a-service variant—formerly known as Cyclops and Knight—which has recently attracted high-profile affiliates from other prominent variants such as LockBit and ALPHV. RansomHubは、以前はCyclopsやKnightとして知られていたランサムウェア・アズ・ア・サービス(RaaS)の亜種であり、最近ではLockBitやALPHVなどの他の著名な亜種から注目度の高い関連組織を引きつけている。
CISA encourages network defenders to review this advisory and apply the recommended mitigations. See #StopRansomware and the #StopRansomware Guide for additional guidance on ransomware protection, detection, and response. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including added recommended baseline protections. CISAは、ネットワークの防御担当者に本勧告を確認し、推奨される低減策を適用するよう促している。ランサムウェアの防御、検知、対応に関する追加のガイダンスについては、#StopRansomwareおよび#StopRansomwareガイドを参照のこと。推奨される追加のベースライン防御策を含むCPGの詳細については、CISAの「Cross-Sector Cybersecurity Performance Goals」を参照のこと。
CISA encourages software manufacturers to take ownership of improving the security outcomes of their customers by applying secure by design methods. For more information on Secure by Design, see CISA’s Secure by Design webpage and joint guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software. CISAは、ソフトウェア製造事業者に対して、セキュア・バイ・デザイン手法を適用することで、顧客のセキュリティ成果の改善に責任を持つことを推奨している。セキュア・バイ・デザインの詳細については、CISAのセキュア・バイ・デザインに関するウェブページおよび共同ガイド「サイバーセキュリティリスクのバランスを変える:セキュア・バイ・デザインソフトウェアのための原則とアプローチ」を参照のこと。

 

 

・2024.08.29 #StopRansomware: RansomHub Ransomware

#StopRansomware: RansomHub Ransomware #StopRansomware:ランサムウェア
Alert Code : AA24-242A 警告コード:AA24-242A
Actions to take today to mitigate cyber threats from ransomware: ランサムウェアによるサイバー脅威を低減するために今日行うべき対策:
・Install updates for operating systems, software, and firmware as soon as they are released. ・オペレーティングシステム、ソフトウェア、およびファームウェアのアップデートがリリースされたら、できるだけ早くインストールする。
・Require phishing-resistant MFA (i.e., non-SMS text based) for as many services as possible. ・可能な限り多くのサービスで、フィッシングに強いMFA(SMSテキストベースではない)を要求する。
・Train users to recognize and report phishing attempts. ・ユーザーにフィッシングの試みを認識し報告するようトレーニングする。
Summary まとめ
Note: This joint Cybersecurity Advisory is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and ransomware threat actors. These #StopRansomware advisories include recently and historically observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn more about other ransomware threats and no-cost resources. 注:この共同サイバーセキュリティ勧告は、さまざまなランサムウェアの亜種とランサムウェアの脅威行為者を詳細に説明する勧告をネットワーク防御者に公表する、継続中の#StopRansomware活動の一部である。これらの #StopRansomware 勧告には、最近および過去に観測された戦術、技術、手順(TTP)や侵入の痕跡(IOC)が含まれており、組織がランサムウェアに対する防御を強化するのに役立つ。stopransomware.gov にアクセスすると、すべての #StopRansomware 勧告を確認できるほか、その他のランサムウェアの脅威や無償のリソースについて詳しく知ることができる。
The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Multi-State Information Sharing and Analysis Center (MS-ISAC), and the Department of Health and Human Services (HHS) (hereafter referred to as the authoring organizations) are releasing this joint advisory to disseminate known RansomHub ransomware IOCs and TTPs. These have been identified through FBI threat response activities and third-party reporting as recently as August 2024. RansomHub is a ransomware-as-a-service variant—formerly known as Cyclops and Knight—that has established itself as an efficient and successful service model (recently attracting high-profile affiliates from other prominent variants such as LockBit and ALPHV). 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、複数州情報共有・分析センター(MS-ISAC)、保健福祉省(HHS)(以下、作成組織)は、既知のRansomHubランサムウェアのIOCおよびTTPを周知するために、この共同勧告を発表する。これらは、2024年8月にもFBIの脅威対応活動やサードパーティの報告を通じて識別されている。RansomHubは、以前はCyclopsやKnightとして知られていたランサムウェア・アズ・ア・サービス(RaaS)の亜種であり、効率的で成功したサービスモデルとして確立されている(最近では、LockBitやALPHVなどの他の著名な亜種から注目度の高い提携先を引きつけている)。
Since its inception in February 2024, RansomHub has encrypted and exfiltrated data from at least 210 victims representing the water and wastewater, information technology, government services and facilities, healthcare and public health, emergency services, food and agriculture, financial services, commercial facilities, critical manufacturing, transportation, and communications critical infrastructure sectors. 2024年2月の発足以来、RansomHubは、上下水道、IT、政府サービスおよび施設、ヘルスケアおよび公衆衛生、緊急サービス、食品および農業、金融サービス、商業施設、重要製造事業者、交通、コミュニケーションといった重要インフラ部門の少なくとも210人の被害者からデータを暗号化し、外部に持ち出している。
The affiliates leverage a double-extortion model by encrypting systems and exfiltrating data to extort victims. It should be noted that data exfiltration methods are dependent on the affiliate conducting the network compromise. The ransom note dropped during encryption does not generally include an initial ransom demand or payment instructions. Instead, the note provides victims with a client ID and instructs them to contact the ransomware group via a unique .onion URL (reachable through the Tor browser). The ransom note typically gives victims between three and 90 days to pay the ransom (depending on the affiliate) before the ransomware group publishes their data on the RansomHub Tor data leak site. このグループは、システムを暗号化しデータを外部に持ち出すという二重の恐喝モデルを活用して、被害者から金銭を脅し取っている。 データ外部流出の手法は、ネットワーク侵害を実行するグループによって異なる点に留意すべきである。 暗号化中にドロップされる身代金要求書には、通常、当初の身代金要求や支払い指示は含まれていない。代わりに、そのメモにはクライアントIDが記載されており、Torブラウザでアクセス可能な.onion URLを通じてランサムウェアグループに連絡するよう指示されている。 ランサムメモでは、通常、ランサムウェアグループがTorデータ漏洩サイトRansomHubにデータを公開する前に、被害者に3日から90日の間に身代金を支払うよう求めている(アフィリエイトによって異なる)。
The authoring organizations encourage network defenders to implement the recommendations in the Mitigations section of this cybersecurity advisory to reduce the likelihood and impact of ransomware incidents. 作成組織は、ネットワークの防御担当者に、ランサムウェアのインシデントの可能性と影響を低減するために、このサイバーセキュリティ勧告の「低減策」セクションに記載されている推奨事項を実施するよう呼びかけている。

 

・[PDF

20240901-91746

 

 

 

 

| | Comments (0)

より以前の記事一覧