内部統制 / リスクマネジメント

2024.02.22

米国 CISA FBI EPA 水道システムの安全性を確保するためのトップ・サイバー・アクションを公表

こんにちは、丸山満彦です。

米高のCISA、EPA(環境保護庁)、FBIが、「水道システムの安全性を確保するためのトップ・サイバー・アクション」を公表していますね。。。

 

Cybersecurity & infrastructure Security Agency; CISA

・2024.02.21 CISA, EPA, and FBI Release Top Cyber Actions for Securing Water Systems

 

CISA, EPA, and FBI Release Top Cyber Actions for Securing Water Systems CISA、EPA、FBIが水道システムの安全確保に向けたサイバー上のトップアクションを発表
TToday, CISA, the Environmental Protection Agency (EPA), and the Federal Bureau of Investigation (FBI) released the joint fact sheet Top Cyber Actions for Securing Water Systems. This fact sheet outlines the following practical actions Water and Wastewater Systems (WWS) Sector entities can take to better protect water systems from malicious cyber activity and provides actionable guidance to implement concurrently: 本日、CISA、環境保護庁(EPA)、連邦捜査局(FBI)は、共同ファクトシート「水道システムの安全性を確保するためのトップ・サイバー・アクション」を発表した。このファクトシートは、悪意あるサイバー活動から水道システムをより良く守るために上下水道システム(WWS)セクター事業体が取ることができる以下の実践的な行動の概要を示し、同時に実施するための行動指針を提供している:
・Reduce Exposure to the Public-Facing Internet ・公衆向けインターネットへのエクスポージャーを減らす
・Conduct Regular Cybersecurity Assessments ・定期的なサイバーセキュリティ評価の実施
・Change Default Passwords Immediately ・デフォルトのパスワードを直ちに変更する
・Conduct an Inventory of Operational Technology/Information Technology Assets ・運用技術/情報技術資産のインベントリを実施する
・Develop and Exercise Cybersecurity Incident Response and Recovery Plans ・サイバーセキュリティ・インシデント対応・復旧計画を策定し、実施する。
・Backup OT/IT Systems ・OT/ITシステムをバックアップする
・Reduce Exposure to Vulnerabilities ・脆弱性へのエクスポージャーを減らす
・Conduct Cybersecurity Awareness Training ・サイバーセキュリティ意識向上およびトレーニングの実施
CISA, EPA, and FBI urge all WWS Sector and critical infrastructure organizations to review the fact sheet and implement the actions to improve resilience to cyber threat activity. Organizations can visit cisa.gov/water for additional sector tools, information, and resources. CISA、EPA、FBIは、すべてのWWSセクターおよび重要インフラ組織に対し、ファクトシートを検討し、 サイバー脅威活動に対するレジリエンスを向上させるための行動を実施するよう促す。各組織は cisa.gov/water でその他のセクターツール、情報、リソースを参照できる。

 

・2024.02.21 Top Cyber Actions for Securing Water Systems

 ・[PDF]

20240222-20105

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.26 米国 CISA FBI EPA 上下水道システム部門向けインシデント対応ガイド (2024.01.18)

・2023.06.24 NIST ホワイトペーパー [プロジェクト概要] 上下水道セクターのサイバーセキュリティ: 上下水道システムにおけるサイバーリスクを軽減するための実践的なリファレンスデザイン

・2022.11.06 NIST ホワイトペーパー(ドラフト) 【プロジェクト概要】上下水道事業の安全確保:上下水道システムセクターのためのサイバーセキュリティ

 

・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)

 

| | Comments (0)

米国 国防総省 CMMCパブリックコメント募集の 手引きビデオを公開 (2023.02.15)

こんにちは、丸山満彦です。

2023.12.26にサイバーセキュリティ成熟度認証規則案を公表し、2024.02.26まで、コメントを受け付けますが、そのためには、サイバーセキュリティ成熟度認証規則案について理解が重要ということで、このビデオを公表したようですね。。。

ビデオは40分です。

 

U.S. Department of Defense

・2024.02.15 Defense Department Releases Companion Video for CMMC Public Comment Period

 

Defense Department Releases Companion Video for CMMC Public Comment Period 国防総省、CMMCパブリックコメント募集の 手引きビデオを公開
The Defense Department has released a detailed video that explains the nuances, complexities and importance of the recently published proposed rule for its Cybersecurity Maturity Model Certification program.  国防総省は、最近公表されたサイバーセキュリティ成熟度モデル認証プログラムの規則案のニュアンス、複雑さ、重要性を説明する詳細なビデオを公開した。
The video is designed to better inform members of the defense industrial base and other interested parties about the proposed rule for the CMMC program and to help those stakeholders better prepare their own comments and input that will be reviewed before the CMMC program proposed rule is finalized.  このビデオは、防衛産業基盤のメンバーやその他の関係者にCMMCプログラムの規則案についてよりよく伝え、関係者がCMMCプログラムの規則案が最終決定される前に検討されるコメントや意見をよりよく準備できるようにするためのものである。
A 60-day public comment period on the proposed rule opened Dec. 26, 2023. The public comment period closes Feb. 26 at 11:59 p.m. Comments received during the public comment period will be reviewed and will inform the final rule.  規則案に対する60日間のパブリックコメント期間は、2023年12月26日に開始された。パブリックコメント期間は2月26日午後11時59分に終了する。パブリックコメント期間中に寄せられた意見は検討され、最終規則に反映される。
The Cybersecurity Maturity Model Certification program gives the Defense Department a mechanism to verify the readiness of defense contractors both large and small to handle controlled unclassified information and federal contract information in accordance with federal regulations.  サイバーセキュリティ成熟度モデル認証プログラムは、国防総省に、管理対象非機密情報と連邦契約情報を連邦規則に従って取り扱う準備ができているかどうかを、大小を問わず国防請負業者が検証する仕組みを提供する。
A big part of this program is the use of authorized CMMC "third-party assessment organizations," or C3PAOs, to conduct CMMC Level 2 certification assessments for companies seeking that assessment level. CMMC Level 3 assessments will be conducted by the Department. このプログラムの大部分は、認可されたCMMC「サードパーティ評価機関」(C3PAO)を利用して、その評価レベルを求める企業に対してCMMCレベル2の認証評価を実施することである。CMMCレベル3の審査は同局が行う。
The C3PAOs are not paid by the department but will instead be paid by defense industrial base companies seeking verification of compliance. The department does, however, play a role in setting the requirements for the C3PAOs.  C3PAOは国防総省から報酬を受けるのではなく、準拠の検証を求める防衛産業基盤企業から報酬を受ける。しかし、防衛省はC3PAOの要件を設定する役割を果たす。
Gurpreet Bhatia, the DOD Chief Information Officer's principal director for cybersecurity, said that the CMMC program will play an important role in helping keep important DOD information within the department and out of the hands of adversaries.  国防総省最高情報責任者(CIO)のサイバーセキュリティ担当責任者であるガープリート・バティア(Gurpreet Bhatia)は、CMMCプログラムは、国防総省の重要な情報を省内にとどめ、敵の手に渡らないようにする上で重要な役割を果たすと述べた。

Spotlight: Engineering in the DOD

スポットライト:DODにおけるエンジニアリング
"Exfiltration from defense contractors is a problem that threatens our economic and national security," Bhatia said. "Malicious cyber actors continue to target defense contractors. Attacks focus both on large prime contractors and smaller subcontractors in lower tiers. Although DOD has had contract requirements that intended to address this for several years, the defense industrial base has been slow to implement."  バティアは次のように述べた。「防衛請負業者からの流出は、我々の経済と国家安全保障を脅かす問題です。悪意のあるサイバー行為者は、国防請負業者を標的にし続けています。攻撃は、大規模な元請け業者と、それ以下の階層の小規模な下請け業者の両方に焦点を当てています。国防総省は数年前から、この問題に対処するための契約要件を定めていたが、防衛産業基盤はなかなか実行に移しませんでした。」
The CMMC program, Bhatia said, is designed to better help defense contractors be compliant with regulations related to cyber security and to also help the DOD keep track of who is and isn't compliant.  バティアは次のように述べた。「CMMCプログラムは、防衛請負業者がサイバーセキュリティに関連する規制を遵守するのをより良く支援し、DODが誰が遵守し、誰が遵守していないかを追跡するのにも役立つように設計されています。」
"We're committed to implementing the CMMC Program," Bhatia said. "The added emphasis it will bring to protecting DOD's information is important."  バディアは次のように述べた。「我々はCMMCプログラムの実施に全力を注いでいます。DODの情報保護にさらなる重点を置くことは重要です。」
Bhatia also said that he hopes the defense industry and other stakeholders will take the opportunity to provide comment on the DOD's proposed CMMC rule so that their input can be considered when drafting the final rule.  バティアはまた、次のように述べた。「防衛産業や他の利害関係者がDODのCMMC規則案に対してコメントを提供する機会を持ち、最終規則を起草する際に彼らの意見を考慮できるようにすることを望んでいます。」
"It's important that we receive comments that clearly articulate your perspective so that the department can address those key concerns in the final rule," he said. "We must work together to enhance cybersecurity and protect DOD information from exfiltration."  バティアは次のように述べた。「国防総省が最終規則で重要な懸念に対処できるよう、皆さんの視点を明確に示すコメントをいただくことが重要です。我々は、サイバーセキュリティを強化し、DOD情報を流出から守るために協力しなければなりません。」

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)

 

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations

・2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

| | Comments (0)

2024.02.20

米国 NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイドを公表 (2024.02.14)

こんにちは、丸山満彦です。

NISTが、NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイドを公表していますね...

NIST - ITL

プレス...

・2024.02.14 Just Published | Final SP 800-66r2, Implementing the HIPAA Security Rule: A Cybersecurity Resource Guide

Just Published | Final SP 800-66r2, Implementing the HIPAA Security Rule: A Cybersecurity Resource Guide 発行されたばかり|最終版 SP 800-66r2『HIPAA セキュリティ規則の実施』: サイバーセキュリティ・リソース・ガイド
Today, NIST published the final version of Special Publication (SP) 800-66r2 (Revision 2), Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide. This publication, revised in collaboration with the U.S. Department of Health and Human Services (HHS) Office for Civil Rights, provides guidance for regulated entities (i.e., HIPAA-covered entities and business associates) on assessing and managing risks to electronic Protected Health Information (ePHI), identifies typical activities that a regulated entity might consider implementing as part of an information security program, and presents guidance that regulated entities can utilize in whole or in part to help improve their cybersecurity posture and assist with achieving compliance with the HIPAA Security Rule. 本日、NISTは特別刊行物(SP)800-66r2(改訂2)「医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティ・リソース・ガイド」の最終版を公表した。本書は、米国保健社会福祉省(HHS)の市民権局と共同で改訂されたものであり、規制対象事業体(すなわち、HIPAA の適用対象事業体および業務提携事業体)に対して、電子的な保護対象医療情報(ePHI)に対するリスクのアセスメントおよび管理に関するガイダンスを提供し、規制対象事業体が情報セキュリティ・プログラムの一環として実施を検討する可能性のある典型的な活動を特定し、規制対象事業体がサイバーセキュリティ態勢を改善し、HIPAA セキュリティ・ルールへの準拠を達成するために、その全部または一部を活用できるガイダンスを提示するものである。
To assist regulated entities, key document content has been posted online. A list of resources (e.g., guidance, templates, tools) that regulated entities can consult for assistance about particular topics has been hosted on the SP 800-66r2 web page (see under “Supplemental Material” in the gray Documentation box). Additionally, the key activities, descriptions, and sample questions from the tables in Section 5 of the publication have been posted in NIST’s Cybersecurity and Privacy Reference Tool (CPRT). The content in CPRT also includes mappings of the HIPAA Security Rule’s standards and implementation specifications to NIST Cybersecurity Framework Subcategories and SP 800-53r5 security controls as well as listings of NIST publications relevant to each HIPAA Security Rule standard. Readers may draw upon these NIST publications and mappings for assistance in implementing HIPAA Security Rule standards and implementation specifications. 規制対象事業体を支援するため、主要な文書の内容はオンラインに掲載されている。特定のトピックに関する支援のために、規制対象事業体が参照できるリソース(ガイダンス、テンプレート、ツールなど)のリストは、SP 800-66r2 のウェブページにホストされている(灰色の文書ボックスの「補足資料」を参照)。さらに、本書のセクション 5 の表にある主要な活動、説明、及び質問例は、NIST のサイバーセキュリティ及びプライバシ リファレンスツール(CPRT)に掲載されている。CPRTのコンテンツには、HIPAAセキュリティ規則の標準および実装仕様とNISTサイバーセキュリティフレームワークサブカテゴリーおよびSP800-53r5セキュリティコントロールとのマッピングや、HIPAAセキュリティ規則の各標準に関連するNIST出版物のリストも含まれている。読者は、HIPAAセキュリティ規則の標準および実装仕様を実装する際の支援として、これらのNIST出版物およびマッピングを利用することができる。

 

本文...

・2024.02.14 NIST SP 800-66 Rev. 2  Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide

NIST SP 800-66 Rev. 2  Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide NIST SP 800-66 Rev. 2 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ規則の実施: サイバーセキュリティリソースガイド
Abstract 概要
The HIPAA Security Rule focuses on safeguarding electronic protected health information (ePHI) held or maintained by regulated entities. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. This publication provides practical guidance and resources that can be used by regulated entities of all sizes to safeguard ePHI and better understand the security concepts discussed in the HIPAA Security Rule. HIPAA セキュリティ規則は、規制対象事業体が保持または維持する電子的な保護対象医療情報(ePHI)の保護に重点を置いている。規制対象事業体が作成、受領、維持、または送信する ePHI は、合理的に予測される脅威、危険、および許容されない使用や開示から保護されなければならない。本書は、あらゆる規模の規制対象事業体がePHIを保護し、HIPAAセキュリティ規則で議論されているセキュリティの概念をよりよく理解するために利用できる実践的なガイダンスとリソースを提供する。

 

・[PDF] SP.800-66r2

20240220-61304

 

 

目次...

Executive Summary 要旨
1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的と範囲
1.2. Applicability 1.2. 適用範囲
1.3. Document Organization 1.3. 文書の構成
1.4. How to Use This Document 1.4. この文書の使用方法
2. HIPAA Security Rule 2. HIPAAセキュリティ規則
2.1. Security Rule Goals and Objectives 2.1. セキュリティ規則の目標と目的
2.2. Security Rule Organization 2.2. セキュリティ規則の組織
3. Risk Assessment Guidance 3. リスクアセスメントのガイダンス
3.1. HIPAA Risk Assessment Requirements 3.1. HIPAAリスクアセスメントの要件
3.2. How to Conduct the Risk Assessment 3.2. リスクアセスメントの実施方法
3.3. Risk Assessment Results Affect Risk Management 3.3. リスクアセスメントの結果はリスクマネジメントに影響する
3.4. Risk Assessment Resources 3.4. リスクアセスメントのリソース
4. Risk Management Guidance 4. リスクマネジメントガイダンス
4.1. HIPAA Risk Management Requirements 4.1. HIPAAリスクマネジメント要件
4.2. Determining Risks to ePHI in Accordance With Organizational Risk Tolerance 4.2. 組織のリスク許容度に従ったePHIに対するリスクの決定
4.3. Selecting Additional Security Controls to Reduce Risk to ePH 4.3. ePHに対するリスクを低減するための追加的セキュリティコントロールの選択
4.4. Documenting Risk Management Activities 4.4. リスクマネジメント活動の文書化
5. Considerations When Implementing the HIPAA Security Rule 5. HIPAAセキュリティ規則を実施する際の考慮事項
5.1. Administrative Safeguards 5.1. 管理上の保護措置
5.1.1. Security Management Process (§ 164.308(a) 1) 5.1.1. セキュリティ管理プロセス(§164.308(a) 1)
5.1.2. Assigned Security Responsibility (§ 164.308(a)(2)) 5.1.2. 割り当てられたセキュリティ責任(§164.308(a)(2)
5,1.3. Workforce Security (§ 164.308) 5,1.3. 従業員のセキュリティ(§164.308)
5.1.4. Information Access Management (§ 164.308(a)(4) 5.1.4. 情報アクセス管理(§164.308(a)(4)
5.1.5. Security Awareness and Training (§ 164.308(a)(5)) 5.1.5. セキュリティ意識向上およびトレーニング(§164.308(a)(5)
5.1.6. Security Incident Procedures (§ 164.308(a)(6)) 5.1.6. セキュリティインシデント手順(§164.308(a)(6)
5.1.7. Contingency Plan (§ 164.300 (a) ( 5.1.7. コンティンジェンシープラン(§164.300 (a) (
5.1.8. Evaluation (§ 164.308(a)(8)) 5.1.8. 評価(§164.308(a)(8)
5.1.9. Business Associate Contracts and Other Arrangements (§ 164.308(b)(1) 5.1.9. 業務提携契約およびその他の取り決め(§164.308(b)(1)
5.2. Physical Safeguards 5.2. 物理的保護措置
5.2.1. Facility Access Controls (§ 164.310(a) 5.2.1. 施設アクセス管理(§164.310(a)
5.2.2. Workstation Use (§ 164.310(b) 5.2.2. ワークステーションの使用(§164.310(b)
5.2.3. Workstation Security (§ 164.310(c)) 5.2.3. ワークステーションのセキュリティ(§164.310(c)
5.2.4. Device and Media Controls (§ 164.310(d) 5.2.4. デバイスおよびメディアの管理(§164.310(d)
5.3. Technical Safeguards 5.3. 技術的保護
5.3.1. Access Control (§ 164.312(a)) 5.3.1. アクセス管理(§164.312(a)
5.3.2. Audit Controls (§ 164.312(b) 5.3.2. 監査統制(§164.312(b)
5.3.3. Integrity (§ 164.312(c) 5.3.3. 完全性(§164.312(c)
5.3.4. Person or Entity Authentication (§ 164.312(d) 5.3.4. 本人または事業体の認証(§164.312(d)
5.3.5. Transmission Security (§ 164.312(e)(1)) 5.3.5. 伝送セキュリティ(§164.312(e)(1)
5.4. Organizational Requirements 5.4. 組織要件
5.4.1. Business Associate Contracts or Other Arrangements (§ 164.314(a) 5.4.1. 業務提携契約またはその他の取り決め(§164.314(a)
5.4.2. Requirements for Group Health Plans (§ 164.314(b) 5.4.2. グループ医療計画に対する要件(§164.314(b)
5.5. Policies and Procedures and Documentation Requirements 5.5. 方針および手順、ならびに文書化の要件
5.5.1. Policies and Procedures (§ 164.316(a) 5.5.1. 方針および手順(§164.316(a)
5.5.2. Documentation (§ 164.316(b)) 5.5.2. 文書化(§164.316(b)
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、および頭字語のリスト
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Risk Assessment Table 附属書 C. リスクアセスメント表
Appendix D. Security Rule Standards and Implementation Specifications Crosswalk 附属書 D. セキュリティルール標準と実施仕様のクロスウォーク
Appendix E. National Online Informative References (OLIR) Program 附属書 E.全国オンライン情報参照(OLIR)プログラム
Appendix F. HIPAA Security Rule Resources (Informative) 附属書 F. HIPAAセキュリティ規則のリソース(参考情報)
Appendix G. Change Log 附属書 G. 変更ログ

 

エグゼクティブ・サマリー

Executive Summary  要旨 
This publication aims to help educate readers about the security standards included in the Health Insurance Portability and Accountability Act (HIPAA) Security Rule [Sec. Rule], as amended by the Modifications to the HIPAA Privacy, Security, Enforcement, and Breach Notification Rules Under the Health Information Technology for Economic and Clinical Health Act [HITECH] and the Genetic Information Nondiscrimination Act and Other Modifications to the HIPAA Rules [OMNIBUS],[1] as well as assist regulated entities[2] in their implementation of the Security Rule. It includes a brief overview of the HIPAA Security Rule, provides guidance for regulated entities on assessing and managing risks to electronic protected health information (ePHI), identifies typical activities that a regulated entity might consider implementing as part of an information security program, and lists additional resources that regulated entities may find useful when implementing the Security Rule.  本書は、 医療保険の相互運用性と説明責任に関する法律 (HIPAA)セキュリティ規則[Sec. Rule]に含まれるセキュリティ標準について、経済的および臨床的健康のための医療情報技術法 [HITECH]および遺伝情報無差別法およびHIPAA規則のその他の変更点 [OMNIBUS][1]に基づくHIPAAのプライバシー、セキュリティ、施行、および侵害通知規則の修正により改正された読者の理解を助けるとともに、規制対象事業体[2]によるセキュリティ規則の実施を支援することを目的としている。本書には、HIPAAセキュリティ規則の簡単な概要、電子的な保護されるべき医療情報(ePHI)に対するリスクのアセスメントと管理に関する規制対象事業体へのガイダンスの提供、情報セキュリティ・プログラムの一環として規制対象事業体が実施を検討し得る典型的な活動の特定、および規制対象事業体がセキュリティ規則を実施する際に有用と思われるその他のリソースのリストが含まれている。
The Security Rule is flexible, scalable, and technology-neutral. For that reason, there is no one single compliance approach that will work for all regulated entities. This publication presents guidance that entities can utilize in whole or in part to help improve their cybersecurity posture and assist with achieving compliance with the Security Rule.  セキュリティ規則は、柔軟性があり、拡張可能であり、技術中立的である。そのため、すべての規制対象事業体に有効な単一のコンプライアンス・アプローチは存在しない。本書は、事業体がサイバーセキュリティ態勢を改善し、セキュリティ規則への準拠を達成するために、全体的または部分的に活用できるガイダンスを示すものである。
The HIPAA Security Rule specifically focuses on safeguarding the confidentiality, integrity, and availability of ePHI. All HIPAA-regulated entities must comply with the requirements of the Security Rule. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. In general, the requirements, standards, and implementation specifications of the Security Rule apply to the following regulated entities:   HIPAA セキュリティ規則は、特に ePHI の機密性、完全性、および可用性の保護に焦点を当てている。すべてのHIPAA規制事業体は、セキュリティ規則の要件を遵守しなければならない。規制対象事業体が作成、受領、維持、または送信するePHIは、合理的に予測される脅威、危険、および許容されない使用および/または開示から保護されなければならない。一般に、セキュリティ規則の要件、標準、および実施仕様は、以下の規制対象事業体に適用される:  
•       Covered Healthcare Providers — Any provider of medical or other health services or supplies who transmits any health information in electronic form in connection with a transaction for which the U.S. Department of Health and Human Services (HHS) has adopted a standard.  ・対象医療プロバイダ - 米国保健社会福祉省(HHS)が標準を採用した取引に関連して、医療情報またはその他の医療サービスもしくは医療用品を電子形式で送信するプロバイダ。
•       Health Plans — Any individual or group plan that provides or pays the cost of medical care (e.g., a health insurance issuer and the Medicare and Medicaid programs).  ・医療プラン-医療を提供し、または医療費を支払う個人または団体プラン(健康保険発行者、メディケアおよびメディケイド・プログラムなど)。
•       Healthcare Clearinghouses — A public or private entity that processes another entity’s healthcare transactions from a standard format to a non-standard format or vice versa.  ・ヘルスケア・クリアリングハウス(Healthcare Clearinghouses) - 他の事業体のヘルスケア・トランザクションを標準フォーマットから非標準フォーマットに,またはその逆に処理する公的または民間の事業体。
•       Business Associate — A person or entity[3] that performs certain functions or activities that involve the use or disclosure of protected health information on behalf of or provides services to a covered entity. A business associate is liable for their own HIPAA violations.   ・業務提携者(Business Associate)- 保護されるべき医療情報の使用または開示を伴う特定の機能または活動を、対象事業体に代わって行う、または対象事業体にサービスを提供する個人または事業体[3]。ビジネス・アソシエイトは、自らのHIPAA違反に対して責任を負う。 
The Security Rule is separated into six main sections that each include several standards that a regulated entity must meet. Many of the standards contain implementation specifications. An implementation specification is a more detailed description of the method or approach that regulated entities can use to meet a particular standard. Implementation specifications are either required or addressable. Regulated entities must comply with required implementation specifications. Regulated entities must perform an assessment to determine whether each addressable implementation specification is a reasonable and appropriate safeguard to implement in the regulated entity’s environment.  セキュリティ規則は6つの主要なセクションに分かれており、それぞれに規制対象事業体が満たさなければならないいくつかの標準が含まれている。標準の多くには実装仕様が含まれている。実装仕様とは、規制対象事業体が特定の標準を満たすために使用できる方法またはアプローチのより詳細な記述である。実施仕様には、必須または対応可能のいずれかがある。規制対象事業体は、要求される実施仕様に準拠しなければならない。規制対象事業体は、対応可能な各実装仕様が、規制対象事業体の環境において実施する合理的で適切なセーフガードであるかどうかを判断するための評価を実施しなければならない。
The assessment, analysis, and management of risk to ePHI provide the foundation for a regulated entity’s Security Rule compliance efforts and the protection of ePHI. Readers are reminded of the Security Rule’s flexibility of approach. The HHS Office for Civil Rights (OCR) does not prescribe any particular risk assessment or risk management methodology. Section 3 and Sec. 4 provide background information about risk assessment and risk management processes, respectively, as well as approaches that regulated entities may choose to use in assessing and managing risk to ePHI.  ePHIに対するリスクのアセスメント、分析、およびマネジメントは、規制対象事業体のセキュリテ ィルール遵守の取り組みとePHI保護の基礎となる。読者は、セキュリティ規則の柔軟なアプローチに留意されたい。HHS市民権局(OCR)は、特定のリスクアセスメントやリスクマネジメント手法を規定しない。セクション3およびセクション4は、それぞれリスクアセスメントおよびリスクマネジメントプロセス、ならびにePHIのリスクアセスメントおよびリスクマネジメントにおいて規制対象事業体が選択できるアプローチに関する背景情報を提供する。
Many regulated entities may benefit from more specific guidance concerning how to comply with the standards and implementation specifications of the Security Rule. To that end, Sec. 5 highlights considerations for a regulated entity when implementing the Security Rule. Key activities, descriptions, and sample questions are provided for each standard. The key activities suggest actions that are often associated with the security functions suggested by that standard. Many of these key activities are often included in a robust security program and may be useful to regulated entities. The descriptions provide expanded explanations about each of the key activities and the types of activities that a regulated entity may pursue when implementing the standard. The sample questions are a non-exhaustive list of questions that a regulated entity may ask itself to determine whether the standard has been adequately implemented.  多くの規制対象事業体は、セキュリティ規則の標準および実施仕様に準拠する方法に関して、より具体的なガイダンスを得ることができる。そのため、Sec.5では、規制対象事業体がセキュリティ規則を実施する際に考慮すべき事項を示す。各標準について、主要な活動、説明、および質問例がプロバイダとして提供されている。主要な活動は、その標準が示唆するセキュリティ機能に関連することが多い行動を示唆している。これらの主要な活動の多くは、強固なセキュリティプログラムに含まれることが多く、規制対象事業体にとって有用であろう。説明では、各重点活動と、標準を実施する際に規制対象事業体が追求する可能性のある活動の種類につい て、詳しく説明している。質問例は、標準が適切に実施されているかどうかを判断するために、規制対象事業体が自らに問うことができる質問の非網羅的なリストである。
Regulated entities may implement the Security Rule more effectively if they are shown controls catalogs and cybersecurity activities that align with each standard. To assist regulated entities, this publication includes mappings of the Security Rule’s standards and implementation specifications to Cybersecurity Framework [NIST CSF] Subcategories and applicable security controls detailed in NIST Special Publication (SP) 800-53r5 (Revision 5), Security and Privacy Controls for Information Systems and Organizations [SP 800-53]. The mapping also lists additional NIST publications relevant to each Security Rule standard. Readers may draw upon these NIST publications and mappings for assistance in implementing the Security Rule.  規制対象事業体は、各基準に沿った管理目録とサイバーセキュリティ活動を示されれば、セキュリティ規則をより効果的に実施することができる。規制対象事業体を支援するために、本書では、セキュリティルールの標準と実装仕様のマッピングを、サイバーセキュリティフレームワーク[NIST CSF]のサブカテゴリーと、NIST 特別刊行物(SP)800-53r5(改訂 5)「情報システムおよび組織のセキュリティおよびプライバシー統制」[SP 800-53]に詳述されている該当するセキュリティ統制に掲載している。このマッピングには、各セキュリティルールの標準に関連するNISTの追加刊行物も記載されている。読者は、セキュリティ規則を実施する際の支援として、これらのNIST出版物やマッピングを利用することができる。
Additionally, Appendix F links to a wide variety of resources (e.g., guidance, templates, tools) that regulated entities may find useful for complying with the Security Rule and improving the security posture of their organizations. For ease of use, the resources are organized by topic. Regulated entities could consult these resources when they need additional information or guidance about a particular topic.   さらに、附属書Fは、規制対象事業体がセキュリティルールに準拠し、組織のセキュリティ態勢を改善するために有用と思われる多種多様なリソース(ガイダンス、テンプレート、ツールなど)へのリンクを掲載している。使いやすいように、リソースはトピックごとに整理されている。規制対象事業体は、特定のトピックに関する追加情報やガイダンスが必要な場合に、これらのリソースを参照することができる。 
The Security Rule is scalable and flexible by design. While the required standards and implementation specifications are the same for all regulated entities, reasonable and appropriate implementations of such standards and implementation specifications may be different for different organizations. For example, all regulated entities are required to implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI. An implementation of generating and examining these required audit logs that is reasonable and appropriate to reduce applicable risks to ePHI will often be vastly different for a small medical practice than for a national health plan.  セキュリティ規則は、設計上、拡張性と柔軟性を備えている。要求される標準と実装仕様はすべての規制対象事業体にとって同じであるが、そのような標準と実装仕様の合理的かつ適切な実装は、組織によって異なる可能性がある。例えば、すべての規制対象事業体は、ePHIを含む、またはePHIを使用する情報システムにおける活動を記録し、調査するハードウェア、ソフトウェア、および/または手続き上の仕組みを実装することが求められる。ePHIに適用されるリスクを低減するために合理的かつ適切な、これらの要求される監査ログの生成および検査の実施は、小規模な診療所と全国規模のヘルスプランとでは、しばしば大きく異なるであろう。
[1] For the remainder of this document, references to and discussions about the Security Rule will be to the Security Rule as amended by the Omnibus Rule unless otherwise specified.  [1] 本書の残りの部分では、特に断りのない限り、セキュリティ規則への言及およびセキュリティ規則に関する議論は、オムニバス規則により改正されたセキュリティ規則を指すものとする。
[2] A “regulated entity” refers to both covered entities and business associates as defined in the Security Rule. Business associates also include business associates’ subcontractors who have access to protected health information (PHI).  [2] 「規制対象事業体」とは、セキュリティ規則で定義される対象事業体と業務関連体の両方を指す。ビジネスアソシエイトには、保護された医療情報(PHI)にアクセスできるビジネスアソシエイトの下請業者も含まれる。
[3] A member of the covered entity’s workforce is not a business associate. A covered healthcare provider, health plan, or healthcare clearinghouse can be a business associate of another covered entity.  [3] 対象事業体の従業員は、ビジネスアソシエイトではない。対象となる医療プロバイダ、ヘルスプラン、またはヘルスケア・クリアリングハウスは、他の 対象事業体のビジネス・アソシエイトとなることができる。

 

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.26 NIST SP 800-66 Rev. 2 (ドラフト) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則の実装:サイバーセキュリティリソースガイド

 

| | Comments (0)

2024.02.19

中国 TC260 国家標準 「クラウドコンピューティングサービスの情報セキュリティ技術セキュリティ能力評価方法」公開草案 (2024.02.04)

こんにちは、丸山満彦です。

中国の家情報セキュリティ標準化技術委員会 (TC260) が「クラウドコンピューティングサービスの情報セキュリティ技術セキュリティ能力評価方法」公開草案を公表し、意見募集をしていますね。。。

これは、中国独自の標準ですかね。。。

引用標準としては、

GB/T 25069 信息安全技术 术语 GB/T 25069 情報セキュリティ技術用語集
GB/T 31167—2023 信息安全技术 云计算服务安全指南 GB/T 31167-2023 情報セキュリティ技術 クラウドコンピューティングサービスセキュリティガイドライン
GB/T 31168—2023 信息安全技术 云计算服务安全能力要求 GB/T 31168-2023 情報セキュリティ技術 クラウドコンピューティングサービスセキュリティ能力要件
GB/T 37972—2019 信息安全技术 云计算服务运行监管框架 GB/T 37972-2019 情報セキュリティ技術クラウドコンピューティングサービス運営規制枠組み

の4つがあります...

 

● 全国信息安全标准化技术委员会

・2024.02.04 关于国家标准《信息安全技术 云计算服务安全能力评估方法》征求意见稿征求意见的通知

ドラフトはこちら...

・[PDF] 信息安全技术 云计算服务安全能力评估方法-标准文本 (downloaded)

20240219-135956

 

目次...

前言 前書き
引言 序文
1 范围 1 範囲
2 规范性引用文件 2 引用規格
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 概述 5 概要
5.1 评估原则 5.1 アセスメントの原則
5.2 评估内容 5.2 アセスメントの内容
5.3 评估证据 5.3 アセスメントの証拠
5.4 评估实施过程 5.4 アセスメント実施プロセス
5.5 综合评估 5.5 総合アセスメント
6 系统开发与供应链安全评估方法 6 システム開発及びサプライチェーンのセキュリティアセスメントの方法論
6.1 资源分配 6.1 資源配分
6.2 系统生命周期 6.2 システムライフサイクル
6.3 采购过程 6.3 調達プロセス
6.4 系统文档 6.4 システムの文書化
6.5 关键性分析 6.5 重要度分析
6.6 外部服务 6.6 外部サービス
6.7 开发商安全体系架构 6.7 開発者セキュリティアーキテクチャ
6.8 开发过程、标准和工具 6.8 開発プロセス、標準及びツール
6.9 开发过程配置管理 6.9 開発プロセスの構成管理
6.10 开发商安全测试和评估 6.10 開発者セキュリティテストと評価
6.11 开发商提供的培训 6.11 開発者が提供するトレーニング
6.12 组件真实性 6.12 コンポーネントの真正性
6.13 不被支持的系统组件 6.13 サポートされないシステムコンポーネント
6.14 供应链保护 6.14 サプライチェーンの保護
7 系统与通信保护评估方法 7 システムと通信の保護評価手法
7.1 边界保护 7.1 境界防御
7.2 传输保密性和完整性 7.2 送信の機密性と完全性
7.3 网络中断 7.3 ネットワーク停止
7.4 可信路径 7.4 信頼された経路
7.5 密码使用和管理 7.5 パスワードの使用と管理
7.6 设备接入保护 7.6 機器のアクセス保護
7.7 移动代码 7.7 モバイルコード
7.8 会话认证 7.8 セッション認証
7.9 恶意代码防护 7.9 悪意のあるコードの保護
7.10 内存防护 7.10 メモリ保護
7.11 系统虚拟化安全性 7.11 システム仮想化のセキュリティ
7.12 网络虚拟化安全性 7.12 ネットワーク仮想化のセキュリティ
7.13 存储虚拟化安全性 7.13 ストレージ仮想化のセキュリティ
7.14 安全管理功能的通信保护 7.14 セキュリティ管理機能の通信保護
8 访问控制评估方法 8 アクセス制御の評価方法
8.1 用户标识与鉴别 8.1 ユーザ識別と認証
8.2 标识符管理 8.2 識別子の管理
8.3 鉴别凭证管理 8.3 識別認証情報管理
8.4 鉴别凭证反馈 8.4 認証クレデンシャルのフィードバック
8.5 密码模块鉴别 8.5 パスワードモジュール認証
8.6 账号管理 8.6 アカウント管理
8.7 访问控制的实施 8.7 アクセス制御の実装
8.8 信息流控制 8.8 情報フロー制御
8.9 最小特权 8.9 最小特権
8.10 未成功的登录尝试 8.10 ログイン試行失敗
8.11 系统使用通知 8.11 システム利用通知
8.12 前次访问通知 8.12 前回のアクセス通知
8.13 并发会话控制 8.13 同時セッション制御
8.14 会话锁定 8.14 セッションのロックアウト
8.15 未进行标识和鉴别情况下可采取的行动 8.15 識別及び認証に失敗した場合に取り得る措置
8.16 安全属性 8.16 セキュリティ属性
8.17 远程访问 8.17 リモートアクセス
8.18 无线访问 8.18 無線アクセス
8.19 外部信息系统的使用 8.19 外部情報システムの利用
8.20 可供公众访问的内容 8.20 一般にアクセス可能なコンテンツ
8.21 Web访问安全 8.21 ウェブアクセスのセキュリティ
8.22 API访问安全 8.22 APIアクセスのセキュリティ
9 数据保护评估方法 9 データ保護の評価方法
9.1 通用数据安全 9.1 一般的なデータセキュリティ
9.2 介质访问和使用 9.2 メディアへのアクセスと利用
9.3 剩余信息保护 9.3 残留情報の保護
9.4 数据使用保护 9.4 データ利用保護
9.5 数据共享保护 9.5 データ共有の保護
9.6 数据迁移保护 9.6 データ移行の保護
10 配置管理评估方法 10 構成管理の評価方法
10.1 配置管理 10.1 構成管理
10.2 基线配置 10.2 ベースライン構成
10.3 变更控制 10.3 変更管理
10.4 配置参数的设置 10.4 構成パラメータの設定
10.5 最小功能原则 10.5 最小機能の原則
10.6 信息系统组件清单 10.6 情報システム構成要素一覧
11 维护管理评估方法 11 保守管理の評価方法
11.1 受控维护 11.1 管理保守
11.2 维护工具 11.2 保守ツール
11.3 远程维护 11.3 遠隔保守
11.4 维护人员 11.4 メンテナンススタッフ
11.5 及时维护 11.5 適時メンテナンス
11.6 缺陷修复 11.6 欠陥の修復
11.7 安全功能验证 11.7 安全機能の検証
11.8 软件和固件完整性 11.8 ソフトウェアとファームウェアの完全性
12应急响应评估方法 12 緊急時対応の評価手法
12.1事件处理计划 12.1 事故対応計画
12.2事件处理 12.2 事故処理
12.3事件报告 12.3 インシデント報告
12.4事件处理支持 12.4 インシデント対応サポート
12.5安全报警 12.5 セキュリティ警告
12.6错误处理 12.6 エラー処理
12.7应急响应计划 12.7 緊急対応計画
12.8应急培训 12.8 緊急対応訓練
12.9应急演练 12.9 緊急時対応訓練
12.10信息系统备份 12.10 情報システムのバックアップ
12.11支撑客户的业务连续性计划 12.11 顧客支援のための事業継続計画
12.12电信服务 12.12 電気通信サービス
13 审计评估方法 13 監査の評価方法
13.1 可审计事件 13.1 監査対象事象
13.2 审计记录内容 13.2 監査記録の内容
13.3 审计记录存储容量 13.3 監査記録の保存容量
13.4 审计过程失败时的响应 13.4 監査プロセスが失敗した場合の対応
13.5 审计的审查、分析和报告 13.5 監査レビュー、分析、報告
13.6 审计处理和报告生成 13.6 監査処理およびレポート生成
13.7 时间戳 13.7 タイムスタンプ
13.8 审计信息保护 13.8 監査情報の保護
13.9 抗抵赖性 13.9 否認防止
13.10 审计记录留存 13.10 監査記録の保持
14 风险评估与持续监控评估方法 14 リスクアセスメントと継続的モニタリングの評価方法
14.1 风险评估 14.1 リスク評価
14.2 脆弱性扫描 14.2 脆弱性スキャン
14.3 持续监控 14.3 継続的モニタリング
14.4 信息系统监测 14.4 情報システムの監視
14.5 垃圾信息监测 14.5 スパム監視
15 安全组织与人员 15 セキュリティ組織と人員
15.1 安全策略与规程 15.1 セキュリティ方針と手順
15.2 安全组织 15.2 セキュリティ組織
15.3 岗位风险与职责 15.3 職務リスクと責任
15.4 人员筛选 15.4 人員の選別
15.5 人员离职 15.5 人員の分離
15.6 人员调动 15.6 人員の異動
15.7 第三方人员安全 15.7 第三者の人的セキュリティ
15.8 人员处罚 15.8 人的制裁
15.9 安全培训 15.9 安全トレーニング
16 物理与环境安全评估方法 16 物理的および環境的安全性評価方法論
16.1 物理设施与设备选址 16.1 物理的施設・設備の配置
16.2 物理和环境规划 16.2 物理的環境計画
16.3 物理环境访问授权 16.3 物理的環境へのアクセス許可
16.4 物理环境访问控制 16.4 物理的環境アクセス制御
16.5 输出设备访问控制 16.5 出力機器アクセス制御
16.6 物理访问监控 16.6 物理的アクセス監視
16.7 访客访问记录 16.7 ゲストアクセスロギング
16.8 设备运送和移除 16.8 機器の配信と削除
附录A(资料性)常见云计算服务脆弱性问题 附属書A (参考)クラウドコンピューティングサービスに共通する脆弱性の問題
参考文献 参考文献

 


 

ちなみに、ISO/IEC 27001, 27005の中国版の標準も意見募集がされていました。。。

2024.01.04 关于国家标准《信息安全技术 信息安全风险管理指导》征求意见稿征求意见的通知  国家標準「情報セキュリティ技術情報セキュリティリスク管理ガイダンス」に関する意見募集の通知 ISO/IEC 27005
2024.01.04 关于国家标准《信息安全技术 信息安全管理体系 要求》征求意见稿征求意见的通知  国家標準「情報セキュリティ技術 情報セキュリティマネジメントシステム要件」に関する意見募集の通知 ISO/IEC 27001

 

| | Comments (0)

世界経済フォーラム (WEF) 貿易に重要な海峡

こんにちは、丸山満彦です。

貿易品の90%は、海上輸送のようですね。。。島国の日本は海路が重要ですよね。。。

5つの重要な海路について簡単に紹介されていますね。。。

  1. イギリス海峡
  2. マラッカ海峡
  3. ホルムズ海峡
  4. スエズ運河
  5. パナマ運河

 

World Economic Forum - Whitepaper

・2024.02.15 These are the world's most vital waterways for global trade

 

1. イギリス海峡  [wikipedia]

ドーバー海峡を含む英仏海峡は、世界で最も交通量の多い航路だそうです。。。

01_20240219021801

 

 

2. マラッカ海峡 [wikipedia]

インド洋と太平洋を結ぶ海路...毎年約94,000隻、世界の貿易品の30%がマラッカ海峡を通るようです。

02_20240219022301

 

 

3. ホルムズ海峡 [wikipedia]

イランとオマーンの間に挟まれ、ペルシャ湾とアラビア海を結んでいますね。。。世界の石油消費量の5分の1にあたる約2100万バレル、世界の液化天然ガスの20%毎日通過しているそうです。。。 

03_20240219022801

 

 

4. スエズ運河 [wikipedia]

地中海と紅海を結び、 毎年平均2万隻以上、毎日60隻弱以上の船舶が通過しているそうです。全長は約200Km。喜望峰を回る約9,000kmをぐっと減らし、8日〜10日早くいけるようですね。。。

でも、ニュースにもなっていますが、紅海の治安の悪化で、通貨する船が減っているようですね。。。

04_20240219023901

 

 

5. パナマ運河 [wikipedia]

太平洋と大西洋を結ぶ約80kmの運河。距離はスエズ運河よりも短いが、起伏がある(途中にあるガトゥン湖は海抜26m)ので閘門式運河となっていますね。。。このため、大量の水が必要で、雨が少ないと通せる船の量が減る...

現在、年間やく14,000隻の船が通過しているようですね。。。

また、閘門による船の大きさの制限がありますね。。。第二次世界大戦中に米国が製造した超弩級戦艦アイオワ級もパナマ運河が通れるように33mの幅に制限されていましたね。。。

05_20240219025601

 

 

全く情報セキュリティには関係しないのですが、まぁ、気まぐれ日記...ということで...

 

 

 

| | Comments (0)

2024.02.18

ドイツ BSI TR-03182 電子メール認証:電子メールによるID詐欺への対応

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik; BSI) が、電子メールによるID詐欺への対応にも繋がる、電子メール認証の技術文書、BSI TR-03182 電子メール認証を公表していますね。。。

Bundesamt für Sicherheit in der Informationstechnik; BSI

プレス...

・2024.02.16 Neue TR des BSI: Identitätsmissbrauch in E-Mail bekämpfen

Neue TR des BSI: Identitätsmissbrauch in E-Mail bekämpfen 新しいBSI TR:電子メールにおけるID詐欺に対抗する
Cyberangriffe mit Hilfe von E-Mails sind weiterhin eine große Bedrohung für Unternehmen, Organisationen und Bürgerinnen und Bürger. Insbesondere Phishing-Mails, mit denen Zugangsdaten oder ganze Identitäten gestohlen werden sollen, sind ein weithin genutztes Angriffsmittel. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun die Technische Richtlinie E-Mail-Authentifizierung (TR-03182) veröffentlicht, die E-Mail-Service-Providern eine Richtschnur im Vorgehen gegen Phishing und Spoofing, also das Fälschen des Absendernamens, zur Verfügung stellt. Die Maßnahmen müssen ausschließlich durch die jeweiligen Diensteanbieter umgesetzt werden, die ihre Kundinnen und Kunden damit aktiv schützen können. 電子メールを使ったサイバー攻撃は、企業、組織、市民にとって大きな脅威であり続けている。特にフィッシングメールは、アクセスデータやID全体を盗むことを目的としており、攻撃の手段として広く使われている。ドイツ連邦情報セキュリティ局(BSI)はこのたび、電子メール認証に関する技術ガイドライン(TR-03182)を発表し、電子メール・サービス・プロバイダーに対し、フィッシングやなりすまし(送信者名の改ざん)対策のガイドラインを提供した。この対策は、各サービス・プロバイダーが独占的に実施する必要があり、プロバイダーはこれを利用して顧客を積極的に保護することができる。
BSI-Präsidentin Claudia Plattner: "Wir müssen Cybersicherheit pragmatisch gestalten und im Rahmen des digitalen Verbraucherschutzes die Anwenderinnen und Anwender, wann immer es geht, aktiv schützen. Die Technische Richtlinie zur E-Mail-Authentifizierung setzt genau hier an." BSIのクラウディア・プラットナー会長は、「サイバーセキュリティに対して現実的なアプローチをとり、デジタル消費者保護の一環として可能な限りユーザーを積極的に保護しなければならない。電子メール認証に関するテクニカルガイドラインは、まさにここにある。
Die TR-03182 formuliert Maßnahmen, mit denen Inhalt und Absender einer E-Mail authentifiziert werden können. So wird mit Hilfe des Standards SPF (Sender Policy Framework) die grundsätzliche Berechtigung zum Senden von E-Mails im Auftrag einer bestimmten Domain geprüft. Der ebenfalls in der Technischen Richtlinie geforderte Standard DKIMDomain Key Identified Mail (Domain Key Identified Mail) bindet jede gesendete E-Mail kryptographisch an die Domain. Damit wird die bereits etablierte TR-03108 (Sicherer E-Mail-Transport), die sich auf den sicheren E-Mail-Transport von Punkt zu Punkt bezieht, fachlich und technisch ergänzt. So können Mail-Anbieter ihre Kundinnen und Kunden vor Identitätsmissbrauch (Spoofing und Phishing) und unberechtigtem Mitlesen und Manipulation (Man-in-the-middle-Angriffen) schützen. Selbst neu entdeckte Angriffsmethoden wie das SMTP-Smuggling werden durch das Umsetzen der Maßnahmen erschwert. TR-03182は、電子メールの内容と送信者を認証するために使用できる手段を策定している。たとえば、SPF(Sender Policy Framework)標準は、特定のドメインに代わって電子メールを送信するための基本的な権限をチェックするために使用される。DKIM(Domain Key Identified Mail)規格は、技術ガイドラインでも要求されているもので、送信されるすべての電子メールをドメインに暗号的に結びつける。これは、すでに確立されているTR-03108(セキュア電子メール・トランスポート)を補完するもので、専門的にも技術的にも、ポイントからポイントへのセキュアな電子メール・トランスポートに関するものである。これにより、メールプロバイダはID詐欺(なりすましやフィッシング)および無許可の読み取りや操作(中間者攻撃)から顧客を保護することができる。SMTP密輸のような新たに発見された攻撃手法も、対策を実施することでより困難になる。
Große Mail-Anbieter haben bereits angekündigt, für das massenhafte Zustellen von E-Mails künftig Mechanismen zur E-Mail-Authentifizierung zu fordern. Die TR-03182 berücksichtigt diese geforderten Technologien bereits. 主要なメールプロバイダは、今後電子メールの大量配信に電子メール認証メカニズムを要求することをすでに発表している。TR-03182はすでにこれらの要求技術を考慮している。

 

技術文書...

・2024.02.16 BSI TR-03182 E-Mail-Authentifizierung

BSI TR-03182 E-Mail-Authentifizierung BSI TR-03182 電子メール認証
Ein Großteil unserer Kommunikation findet heutzutage digital statt. Die E-Mail ist dabei nach wie vor ein weit verbreitetes Medium. E-Mail-Authentifizierung schützt vor Angriffen, bei denen die Identität vertrauenswürdiger Sender vorgegaukelt wird (z.B. Spoofing und Phishing). 現在、コミュニケーションの大部分はデジタルで行われている。電子メールは今でも広く使われているメディアである。電子メール認証は、信頼できる送信者の身元を偽る攻撃(スプーフィングやフィッシ ングなど)から保護するものである。
Die Technische Richtlinie "E-Mail-Authentifizierung" (BSI TR-03182) definiert prüfbare Anforderungen an E-Mail-Diensteanbieter. Ziel der Technischen Richtlinie (TR) ist die Erhöhung der Vergleichbarkeit und Verbreitung authentischer E-Mail-Kommunikation. 技術ガイドライン「電子メール認証」(BSI TR-03182)は、電子メール・サービス・ プロバイダのための検証可能な要件を定義している。技術ガイドライ ン(TR)の目的は、真正な電子メール・コミュニケーションの比較可能性と普及を高めること である。
Ein "E-Mail-Diensteanbieter" oder "Betreiber eines E-Mail-Dienstes in seiner Organisation" kann mit der Konformität zur TR auch einen unabhängigen Nachweis über die Sicherheitsleistung seines E-Mail-Dienstes erbringen. 電子メール・サービス・プロバイダ」または「組織内の電子メール・サービス運営者」は、 TR に準拠することによって、電子メール・サービスのセキュリティ性能の独立した証明を提 供することもできる。
Idealerweise werden die Maßnahmen für E-Mail-Authentifizierung durch Maßnahmen für Sicheren E-Mail-Transport ergänzt. Hierzu wurde die Technische Richtlinie BSI TR-03108 Sicherer E-Mail-Transport veröffentlicht. 理想的には、電子メール認証対策は、安全な電子メール伝送対策によって補完される。技術ガイドライン BSI TR-03108 Secure e-mail transport は、この目的のために発行された。
Konzeptionelle Übersicht von BSI TR-03108 und BSI TR-03182: BSI TR-03108 および BSI TR-03182 の概念概要:

1_20240218012701

 

技術文書

本文...

・2024.01.14 BSI TR-03182 Email Authentication, Version 1.0

20240218-13317

Table of Contents  目次 
1  Introduction 1 序文
2  Email Authentication 2 電子メール本人認証
3  Objectives 3 目的
4  Requirements 4 要件
4.1  Functional Requirements 4.1 機能要件
4.1.1  (TR-03182-01-M) SPF Record 4.1.1 (TR-03182-01-M) SPFレコード
4.1.2  (TR-03182-02-M) SPF Verification 4.1.2 (TR-03182-02-M) SPF検証
4.1.3  (TR-03182-03-M) DKIM Key Material 4.1.3 (TR-03182-03-M) DKIM 鍵材料
4.1.4  (TR-03182-04-M) Signing DKIM 4.1.4 (TR-03182-04-M) DKIMへの署名
4.1.5  (TR-03182-05-M) DKIM Verification 4.1.5 (TR-03182-05-M) DKIM 検証
4.1.6  (TR-03182-06-M) DMARC Policy 4.1.6 (TR-03182-06-M) DMARCポリシー
4.1.7  (TR-03182-07-M) Verifying DMARC 4.1.7 (TR-03182-07-M) DMARCの検証
4.1.8  (TR-03182-08-M) Sending DMARC Reports 4.1.8 (TR-03182-08-M) DMARCレポートの送信
4.1.9  (TR-03182-09-M) Receiving DMARC Reports 4.1.9 (TR-03182-09-M) DMARC報告の受信
4.1.10  (TR-03182-10-M) Evaluating DMARC Reports 4.1.10 (TR-03182-10-M) DMARC報告の評価
4.1.11  (TR-03182-11-M) Unused Domains 4.1.11 (TR-03182-11-M) 未使用ドメイン
4.2  Non-Functional Requirements 4.2 非機能要件
4.2.1  (TR-03182-12-M) Security Concept 4.2.1 (TR-03182-12-M) セキュリティ概念
4.2.2  (TR-03182-13-M) Data Protection 4.2.2 (TR-03182-13-M) データ防御
4.2.3  (TR-03182-14-M) Mandatory Reporting 4.2.3 (TR-03182-14-M) 報告の義務付け
4.2.4  (TR-03182-15-M) Transparency 4.2.4 (TR-03182-15-M) 透明性
5  Proof of Compliance 5 コンプライアンスの証明
5.1  IT Security Labels 5.1 ITセキュリティラベル
5.2  Certification to Technical Guidelines 5.2 技術ガイドラインに対する認証
6  Key Words for Requirement Levels 6 要求レベルのキーワード
7  Glossary 7 用語集
Bibliography 参考文献

 

・2024.01.24 BSI TR-03182-P Testspecification, Version 1.0


20240218-13334

目次...

1  Introduction 1 序文
2  Testing 2 テスト
2.1   Interfaces 2.1 インターフェース
2.2  Target of Evaluation (TOE) 2.2 評価対象(TOE)
2.3  Conformity Email Test Infrastructure (CETI) 2.3 適合性電子メールテスト基盤(CETI)
2.4  Test Tools 2.4 テストツール
2.5  Test Messages 2.5 テストメッセージ
2.6  DNS-Resolution 2.6 DNS解決
2.7  Authoritative DNSSEC 2.7 権威あるDNSSEC
2.8  Test Operator 2.8 テストオペレーター
3  Profiles 3 プロファイル
4  Implementation Conformance Statement 4 実装適合性宣言
4.1  User Information Source 4.1 ユーザー情報ソース
4.2  Unused Domains 4.2 未使用ドメイン
4.3  Online Interfaces 4.3 オンラインインターフェース
4.4  Operational Information 4.4 運用情報
4.5  DMARC Evaluation 4.5 DMARCの評価
4.6  DMARC Quarantine 4.6 DMARCの検疫
4.7  Profiles 4.7 プロファイル
4.8  DNS Resource Records 4.8 DNSリソースレコード
4.9  Location 4.9 所在地
4.10  Certificate Information 4.10 証明書情報
5  Configuration 5 設定
5.1  Test Setup 5.1 テスト設定
5.2  DNS Zone and Record Specification 5.2 DNSゾーンとレコードの仕様
6  Test Cases 6 テストケース
6.1  Module A – User Interface 6.1 モジュール A - ユーザーインターフェース
6.2  Module B – DNSSEC 6.2 モジュール B - DNSSEC
6.3  Module C – Inbound SPF 6.3 モジュール C - インバウンド SPF
6.4  Module D – Outbound SPF 6.4 モジュール D - 送信 SPF
6.5  Module E – Inbound DKIM 6.5 モジュール E - インバウンド DKIM
6.6  Module F – Outbound DKIM 6.6 モジュール F - アウトバウンド DKIM
6.7  Module G – Inbound DMARC 6.7 モジュール G - インバウンド DMARC
6.8  Module H – Outbound DMARC 6.8 モジュール H - アウトバウンド DMARC
6.9  Module I – Inbound DMARC Reports 6.9 モジュール I - インバウンド DMARC レポート
6.10  Module J – Outbound DMARC Reports 6.10 モジュール J - アウトバウンド DMARC レポート
6.11 Module K – DMARC Monitoring 6.11 モジュール K - DMARC 監視
6.12 Module L – Unused Domains 6.12 モジュール L - 未使用ドメイン
6.13 Security Concept 6.13 セキュリティコンセプト
7   Test Case Notation 7 テストケースの表記
8   Keywords 8 キーワード
Bibliography 参考文献

 

 

 

| | Comments (0)

MITRE Intelligence after next: 国家情報(インテリジェンス)戦略2023 その後...

こんにちは、丸山満彦です。

2020年に始まったMITREのIntelligence after nextシリーズはいつのまにか、20本以上の論文がたまっていますね。。。今回は昨年発表された国家情報(インテリジェンス)戦略2023の6つのゴール(目標)を達成するためのロードマップを示しているということのようです。。。

まずは、このブログでも紹介していますが、ベースとなる米国の国家情報(インテリジェンス)戦略...

・2023.08.09 2023 National Intelligence Strategy

 ・[PDF] downloaded

20230811-164335

 

6つの目標...

GOAL 1: Position the IC for Intensifying Strategic Competition 目標1:激化する戦略的競争にICを位置づける。
GOAL 2: Recruit, Develop, and Retain a Talented and Diverse Workforce that Operates as a United Community 目標2: 一体となった共同体として活動する有能で多様な人材を採用、育成、維持する。
GOAL 3: Deliver Interoperable and Innovative Solutions at Scale  目標3:相互運用可能で革新的なソリューションを大規模に提供する。
GOAL 4: Diversify, Expand, and Strengthen Partnerships  目標4:パートナーシップの多様化、拡大、強化 
GOAL 5: Expand IC Capabilities and Expertise on Transnational Challenges 目標5:国境を越えた課題に対するICの能力と専門知識を拡大する。
GOAL 6: Enhance Resilience 目標6:レジリエンスの強化

 

6つの目標の達成のためのMITREの支援...

目標1 激化する戦略的競争にICを位置づける。 Meeting the China Challenge: Key Focus Areas for the Intelligence Community 中国の挑戦への対応:情報コミュニティの重点分野
目標2  一体となった共同体として活動する有能で多様な人材を採用、育成、維持する。 Enabling Neurodiverse Talent in the Intelligence Community 情報コミュニティにおける神経障害のある人材の活用
目標3 相互運用可能で革新的なソリューションを大規模に提供する。 Rethinking Collection Management to Better Track Mobile Targets モバイル・ターゲットをよりよく追跡するための収集管理再考
目標4 パートナーシップの多様化、拡大、強化  Radical Transparency: Expanding Partnerships with Commercial Intelligence Sharing 根本的な透明性:商業情報共有とのパートナーシップの拡大
目標5 国境を越えた課題に対するICの能力と専門知識を拡大する。 Accelerating the Fight Against the U.S. Fentanyl Crisis Through a Comprehensive Approach 包括的アプローチを通じた米国のフェンタニル危機との闘いの加速
目標6 レジリエンスの強化 Critical Infrastructure Resilience Through a Shared Operational Environment 運用環境の共有による重要インフラのレジリエンス

 

戦略目標1

・2023.12.29 Intelligence After Next: Meeting the China Challenge—Key Focus Areas for the Intelligence Community

Intelligence After Next: Meeting the China Challenge—Key Focus Areas for the Intelligence Community  インテリジェンス・アフター・ネクスト 中国への挑戦-情報コミュニティの重点分野
Goal 1: Position the IC for Intensifying Strategic Competition 目標1:激化する戦略的競争にICを位置づける
The Intelligence Community is not positioned to tackle full-spectrum competition with the People's Republic of China. It must broaden capabilities in key areas and reorient to a whole-of-government approach. We have identified five focus areas requiring urgent attention, resources, and leadership. 情報コミュニティは、中華人民共和国との全面的な競争に取り組める状況にない。重要な分野で能力を拡大し、政府全体のアプローチに方向転換しなければならない。我々は、緊急の注意、資源、リーダーシップを必要とする5つの重点分野を特定した。
Meeting the China Challenge: Key Focus Areas for the Intelligence Community 中国の挑戦への対応:情報コミュニティの重点分野
20240217-203425
The People’s Republic of China (PRC) is posing a complex and dynamic challenge to the U.S. Intelligence Community. The Community must be prepared to support decision makers and warfighters along the competition spectrum, from low-scale tension to hot conflict; however, it is not positioned optimally to tackle the full spectrum of competition with the PRC. It must broaden capabilities in key areas and reorient its approach toward the whole of government, efforts that will increasingly push it toward the open-source world and greater transparency with government partners. 中華人民共和国(PRC)は、米国の情報コミュニティに複雑かつダイナミックな課題を突きつけている。情報コミュニティは、小規模な緊張状態から高温の紛争に至るまで、競争範囲に沿って意思決定者と戦闘員を支援する準備を整えなければならないが、中華人民共和国との競争の全範囲に取り組むための最適な位置づけにはない。主要分野で能力を拡大し、政府全体へのアプローチを方向転換する必要がある。その努力は、オープンソースの世界と政府パートナーとのより高い透明性に向けてますます推進されるだろう。
We have identified five focus areas requiring urgent attention, resources, and top-level government leadership engagement. These include: economic and technological conflict; global influence projection, foundational knowledge; supply chain threats; and intelligence advantage. われわれは、緊急の関心とリソース、そして政府トップレベルのリーダーシップの関与が必要な5つの重点分野を特定した。それらは、経済的・技術的衝突、グローバルな影響力の拡大、基礎知識、サプライチェーンの脅威、そして諜報活動の優位性である。

 

・2024.01.05 Intelligence After Next: Enabling Neurodiverse Talent in the Intelligence Community

Intelligence After Next: Enabling Neurodiverse Talent in the Intelligence Community  インテリジェンス・アフター・ネクスト 情報コミュニティにおける神経障害のある人材の活用を可能にする
Goal 2: Recruit, Develop, and Retain a Talented and Diverse Workforce that Operates as a United Community 目標2:共同体として活動する有能で多様な人材を採用、育成、維持する
The Intelligence Community (IC) should pursue an intentional neurodiverse talent program to support the intelligence mission, including better understanding the composition and needs of the IC’s existing neurodistinct workforce and increasing recruiting of neurodistinct talent. 情報コミュニティ(IC)は、情報ミッションを支援するため、意図的な神経多様性人材プログラムを追求すべきである。これには、ICの既存の神経多様性人材の構成とニーズをよりよく理解し、神経多様性人材の採用を増やすことが含まれる。
Enabling Neurodiverse Talent in the Intelligence Community 情報コミュニティにおける神経障害のある人材の活用
20240217-203435
As the Intelligence Community (IC) calls for more diversity of thought to address an increasingly complex, diverse, and dynamic threat landscape, the cognitive differences observed in neurodistinct groups such as those with autism, attention-deficit hyperactivity disorder (ADHD), and dyslexia can be advantageous for intelligence work. Individuals with these neurodistinct conditions bring exceptional strengths in areas such as visual processing and cognitive originality, comprise a considerable and growing portion of the general population, and remain underemployed compared to their neurotypical counterparts. In other words, the neurodiverse community represents a potentially valuable and largely underappreciated source of new talent for the IC. 情報コミュニティ(IC)が、ますます複雑化、多様化、ダイナミック化する脅威の状況に対処するため、より多様な思考を求めている中、自閉症、注意欠陥多動性障害(ADHD)、失読症などの神経識別グループに見られる認知の違いは、情報業務に有利に働く可能性がある。これらの神経障害を持つ人々は、視覚処理や認知的独創性といった分野で卓越した強みを発揮し、一般人口のかなりの部分を占め、その数は増加の一途をたどっている。言い換えれば、神経障害者のコミュニティは、ICにとって潜在的に貴重でありながら、ほとんど過小評価されている新しい才能の源泉である。
We recommend the IC pursue an intentional and purposeful neurodiverse talent program to support the intelligence mission. This includes better understanding the composition and needs of the IC’s existing neurodistinct workforce; increasing awareness and acceptance of neurodiversity within IC organizations; and increasing recruiting, hiring, and retention of neurodistinct talent. われわれは、情報部の任務を支援するために、意図的かつ目的意識的に神経障害のある人材を育成するプログラムをICが追求することを推奨する。これには、ICの既存の神経障害のある労働力の構成とニーズをよりよく理解すること、ICの組織内で神経障害の多様性に対する認識と受容を高めること、神経障害のある人材の募集、雇用、保持を増やすことが含まれる。

 

・2024.01.12 Intelligence After Next: Rethinking Collection Management to Better Track Mobile Targets

Intelligence After Next: Rethinking Collection Management to Better Track Mobile Targets  インテリジェンス・アフター・ネクスト モバイル・ターゲットをよりよく追跡するためにコレクション管理を再考する
Goal 3: Deliver Interoperable and Innovative Solutions at Scale  目標3:相互運用可能で革新的なソリューションを大規模に提供する 
The urgent need to maintain custody of large numbers of mobile military targets simultaneously makes traditional collection tasking and management processes increasingly obsolete. We propose an alternative object-based collection management approach. 多数の移動軍事目標を同時に管理する緊急の必要性により、従来の収集タスク設定と管理プロセスはますます時代遅れになりつつある。我々は、オブジェクトベースの代替収集管理アプローチを提案する。
Rethinking Collection Management to Better Track Mobile Targets モバイルターゲットをよりよく追跡するためにコレクション管理を再考する
20240217-203451
The emerging urgent mission need to maintain custody of large numbers of mobile military targets—simultaneously—makes the traditional collection tasking and management processes increasingly obsolete. Currently, these processes are fractionalized by individual intelligence sources and organized around static geographical areas of interest, making it difficult to provide persistent target custody. Increasing numbers of collection options further add to the complexity of the problem, as intelligence, surveillance, and reconnaissance and other collection mission managers struggle to identify and hand off targets between potential collectors. 多数の移動軍事標的を同時に保管するという新たな緊急任務の必要性により、従来の収集任務と管理プロセスはますます時代遅れになりつつある。現在、このようなプロセスは個々の情報源によって細分化され、静的な地理的関心地域を中心に組織されているため、持続的な目標捕捉を提供することは困難である。識別、監視、偵察、その他の収集任務管理者が、潜在的収集者間でターゲットを識別し、引き渡すのに苦労しているためである。
We propose an alternative object-based collection management approach, aligned to current Intelligence Community and DoD governance and authorities but organized around specific target types, characteristics, and behaviors that potentially offer a more effective method of tasking and managing collection. The result would be a library of mini-collection strategies that could be dynamically applied as needed for the targets and conditions encountered. Controls could be identified within each strategy, which could activate, deactivate, or modify collection plans based on different scenarios to appropriately balance sensor resource utilization. This approach will enable effective management of collection tradeoffs between sensor types and access opportunities, diversifying collection plans and increasing the probability of meeting essential intelligence needs. 現在の情報コミュニティと国防総省のガバナンスと権限に沿いつつも、特定のターゲット・タイプ、特性、行動を中心に組織化され、潜在的により効果的なタスク設定と収集管理の方法を提供する、オブジェクト・ベースの代替収集管理アプローチを提案する。その結果、遭遇するターゲットや状況に応じて動的に適用できるミニ収集戦略のライブラリーができあがる。制御は各戦略内で識別され、センサリソース利用の適切なバランスをとるために、さまざまなシナリオに基づいて収集計画をアクティブにしたり、非アクティブにしたり、修正したりすることができる。このアプローチは、センサーの種類とアクセス機会の間の収集トレードオフの効果的な管理を可能にし、収集計画を多様化し、必要不可欠な情報ニーズを満たす確率を高める。

 

 

・2024.01.19 Intelligence After Next: Radical Transparency—Expanding Partnerships with Commercial Intelligence Sharing

Intelligence After Next: Radical Transparency—Expanding Partnerships with Commercial Intelligence Sharing  インテリジェンス・アフター・ネクスト 根本的な透明性-商業情報共有とのパートナーシップの拡大
Goal 4: Diversify, Expand, and Strengthen Partnerships 目標4:パートナーシップの多様化、拡大、強化
Sharing commercial intelligence with U.S. and foreign partners should be a key part of our intelligence strategy. Enabling partners to see what we see through commercial intelligence will promote a level playing field for democratized intelligence. 商業情報を米国内外のパートナーと共有することは、情報戦略の重要な部分である。商業インテリジェンスを通じて我々が見ているものをパートナーも見られるようにすることで、民主化されたインテリジェンスのための公平な競争の場を促進することができる。
Radical Transparency: Expanding Partnerships with Commercial Intelligence Sharing 根本的な透明性 商業情報共有によるパートナーシップの拡大
20240217-203507
The Intelligence Community (IC) has made considerable progress in sharing intelligence with partners in unclassified venues. These efforts focus on expanding access beyond Five Eyes partners and beyond even government entities to non-governmental organizations, citizen groups, commercial organizations, and others that can create positive impact aligned to U.S. and partner interests. The information platforms take heavy advantage of commercial intelligence, the capabilities of which are beginning to rival even the best funded governmental intelligence organizations. 情報コミュニティ(IC)は、機密扱いのない場でのパートナーとの情報共有においてかなりの進歩を遂げてきた。こうした努力は、ファイブ・アイズ・パートナーのみならず、政府事業体の枠を超えて、非政府組織、市民グループ、営利団体、その他、米国とパートナーの利害に一致したプラスの影響を生み出すことができる組織へのアクセスを拡大することに焦点を当てている。情報プラットフォームは商業インテリジェンスを大いに活用し、その能力は資金力のある政府情報機関にも匹敵するようになってきている。
Today, they can help the U.S. expand the capabilities of our partners and allies without compromising sources and methods. By sharing commercial intelligence capabilities with our allies, we promote a level playing field for democratized intelligence. This will build trust and strengthen partnerships while also serving as a force multiplier for our own IC: expanding our sensor networks, inoculating our partners against foreign malign activity, and growing a cadre of intelligence professionals in partner nations trained on the value of ethics, analytic standards, apolitical reporting, and transparency itself. 今日、情報源や方法を妥協することなく、米国がパートナーや同盟国の能力を拡大するのを助けることができる。商業インテリジェンス能力を同盟国と共有することで、民主化されたインテリジェンスのための公平な競争の場を促進する。これは、信頼を築き、パートナーシップを強化すると同時に、わが国の国際情報局(IC)の戦力増強にもなる。センサー・ネットワークを拡大し、外国の悪意ある活動からパートナーを守り、倫理、分析標準、非政治的な報告、透明性そのものの価値について訓練を受けた情報専門家の幹部をパートナー諸国で育てるのである。

 

 

・2024.02.08 Intelligence After Next: Accelerating the Fight Against the U.S. Fentanyl Crisis Through a Comprehensive Approach

Intelligence After Next: Accelerating the Fight Against the U.S. Fentanyl Crisis Through a Comprehensive Approach  インテリジェンス・アフター・ネクスト 包括的アプローチを通じて、米国のフェンタニル危機との闘いを加速する
Goal 5: Expand IC Capabilities and Expertise on Transnational Challenges 目標5:国境を越えた課題に対するICの能力と専門知識を拡大する
The opioid epidemic poses a threat to U.S. national security. The IC can play a pivotal role in countering this threat by more fully integrating law enforcement throughout the intelligence process to supplement current whole-of-government capabilities. オピオイドの蔓延は米国の国家安全保障に脅威をもたらしている。現在の政府全体の能力を補完するために、情報プロセス全体を通じて法執行機関をより完全に統合することによって、ICはこの脅威に対抗する上で極めて重要な役割を果たすことができる。
Accelerating the Fight Against the U.S. Fentanyl Crisis Through a Comprehensive Approach 包括的アプローチを通じて米国のフェンタニル危機との闘いを加速する
20240217-203518
The United States has been pursuing a counternarcotics mission for decades, exemplifying the evolving complexities of the threat and presenting opportunities to learn from past efforts.  Nevertheless, the opioid epidemic continues to escalate, with Chinese chemical and pharmaceutical companies shipping fentanyl precursors to transnational criminal organizations to manufacture in Mexico, enabling the entry of fentanyl into the United States. This epidemic poses a public health, economic, and national security threat, accentuating the need for a comprehensive, fully integrated counternarcotic approach. 米国は何十年もの間、麻薬対策に取り組んでおり、脅威の複雑さが進化していることを示すとともに、過去の取り組みから学ぶ機会を提供している。 それにもかかわらず、オピオイドの蔓延はエスカレートし続けており、中国の化学・製薬企業がフェンタニル前駆体を国際犯罪組織に出荷し、メキシコで製造させることで、米国へのフェンタニル流入を可能にしている。この蔓延は公衆衛生、経済、国家安全保障上の脅威であり、包括的で完全に統合された対麻薬アプローチの必要性を際立たせている。
The USG is presented with opportunities to implement long-standing approaches by leveraging available data, integrating stovepiped efforts, and applying evidence-based public health reforms. These three methods are complementary, and integrating efforts should be a high priority for the USG. The PRC’s role in exacerbating the fentanyl crisis reinforces the need for the IC to bridge the necessary gaps for law enforcement. The IC can play a pivotal role in countering this threat by more fully integrating law enforcement throughout the intelligence process to supplement current whole-of-government capabilities. 米国政府は、入手可能なデータを活用し、縦割りの取り組みを統合し、エビデンスに基づく公衆衛生改革を適用することによって、長年のアプローチを実施する機会を与えられている。これら3つの方法は補完的であり、取り組みの統合は米政府にとって最優先事項である。フェンタニルの危機を悪化させたPRCの役割は、法執行に必要なギャップを埋めるICの必要性を強調している。ICは、現在の政府全体の能力を補完するために、情報プロセス全体を通じて法執行機関をより完全に統合することによって、この脅威に対抗する上で極めて重要な役割を果たすことができる。

 

 

・2024.02.15 Intelligence After Next: Stronger Together—Critical Infrastructure Resilience Through a Shared Operational Environment

Intelligence After Next: Stronger Together—Critical Infrastructure Resilience Through a Shared Operational Environment  インテリジェンス・アフター・ネクスト 共に強く-重要インフラのレジリエンスを、共有された運用環境で実現する
Goal 6: Enhance Resilience 目標6:レジリエンスの強化
To protect U.S. critical infrastructure from cyber threats, the IC must lead an evolution in public-private partnerships. Establishing transparency and robust information exchanges between the IC and private sector will be key to a state of resilience. 米国の重要インフラをサイバー脅威から守るために、情報局は官民パートナーシップの進化をリードしなければならない。ICと民間セクター間の透明性と強固な情報交換を確立することが、レジリエンスを高める鍵となる。
Critical Infrastructure Resilience Through a Shared Operational Environment 運用環境の共有による重要インフラのレジリエンス
20240217-203531_20240217203801
The 2023 National Intelligence Strategy emphasizes the role of the Intelligence Community (IC) in ensuring the resilience of the Nation, its allies, and its partners. The strategy specifically identifies protecting the Nation’s critical infrastructure through a deeper understanding of the implications of destabilizing trends and improved early warning. Transparency and robust information exchanges between the private sector and the IC will be core to realizing a state of resilience. 2023年国家情報戦略は、国家、同盟国、パートナーのレジリエンスを確保する上での情報コミュニティ(IC)の役割を強調している。この戦略では、不安定化する傾向の意味をより深く理解し、早期警戒を改善することで、国家の重要インフラを保護することを特に強調している。民間部門と情報システム部門との間の透明性と強固な情報交換は、レジリエンス状態を実現するための中核となる。
Traditionally, the U.S. government (USG) has leveraged public-private partnerships (PPPs) for exchanging critical information between parties. To defend U.S. critical infrastructure from adversaries’ cyber operations, a PPP must bring together a diverse mix of threat vector, infrastructure domain, operations, business, and intelligence experience to understand the implications of destabilizing trends, to develop mitigation courses of action, and to improve early warning. 従来、米国政府(USG)は、当事者間の重要な情報交換に官民パートナーシップ(PPP)を活用してきた。米国の重要インフラを敵のサイバー作戦から防衛するためには、PPP が脅威のベクトル、インフラ領域、運用、ビジネス、インテリジェンスの多様な経験を結集し、不安定化する傾向の意味を理解し、低減策を策定し、早期警戒を改善する必要がある。
The Office of the Director of National Intelligence (ODNI), working with relevant departments and agencies with homeland security and domestic authorities, should spearhead initiatives that address systemic issues with information sharing, transparency, and trust between the public and private sectors. Perhaps most significantly, this kind of new PPP can flourish only by leveraging modern technology, enabling increased data sharing, remote participation, and coordination principles, necessary to ensure resilience against existential threats. 国家情報保障長官室(ODNI)は、国土安全保障や国内の権限を持つ関係省庁とともに、情報共有、透明性、官民間の信頼に関する制度的問題に取り組むイニシアティブの先頭に立つべきである。おそらく最も重要なことは、このような新しい PPP は、現代の技術を活用し、データ共有の拡大、遠隔地からの参加、そして、実存的脅威に対するレジリエンスを確保するために必要な調整原則を可能にすることによってのみ、花開くことができるということである。

To succeed, the ODNI must promote much needed policy changes, establish standardized technical requirements, a

nd develop capabilities to enhance the transparency and robustness of PPP information exchanges. ODNI is uniquely positioned within the IC to advocate for and to ensure these changes are implemented. Only through an integrated shared operational environment between the IC and critical infrastructure operators can we match the pace of the threat environment. An integrated shared operational environment will advance analysis, improve warning, and encourage development of effective and timely mitigations that enhance our resilience at scale.

成功させるために、ODNI は必要な政策変更を推進し、標準化された技術要件を確立し、PPP 情報交換の透明性と堅牢性を高める能力を開発しなければならない。ODNI は、IC 内において、このような変更を提唱し、確実に実施するためのユニークな立場にある。IC と重要インフラ事業者の間の統合された共有運用環境を通じてのみ、脅威環境のペースに合わせることができる。統合された共有運用環境は、分析を進め、警告を改善し、効果的でタイムリーな低減策の開発を促し、大規模なレジリエンスを強化する。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.11 米国 国家情報戦略 2023

・2021.02.28 MITRE "Intelligence After Next"

 

 

 

| | Comments (0)

2024.02.17

米国 NIST 「非倫理的な被験者研究における過去の過ちを避ける: 人工知能の原理から実践への移行」

こんにちは、丸山満彦です。

NISTが、NISTの研究者による「非倫理的な被験者研究における過去の過ちを避ける: 人工知能の原理から実践への移行」という論文が、IEEEの『Computer』2月号に、掲載されたと公表していますね。。。

機械学習等によるAIは新しい概念かもしれないけど、新しい技術をどのように社会に実装すべきか?という話は、過去からその時々であったわけですから、先例に学ぶということは重要なことですね。。。

今回は、ベルモント・レポートが紹介されていますね。。。

NIST - ITL

・2024.02.15 NIST Researchers Suggest Historical Precedent for Ethical AI Research

NIST Researchers Suggest Historical Precedent for Ethical AI Research NISTの研究者が、倫理的なAI研究のための歴史的先例を提案する
The Belmont Report’s guidelines could help avoid repeating past mistakes in AI-related human subjects research. ベルモント・レポートのガイドラインは、AI関連の被験者研究で過去の過ちを繰り返すことを避けるのに役立つだろう。
・A research paper suggests that a watershed report on ethical treatment of human subjects would translate well as a basis for ethical research in AI. ・ある研究論文が、人体に対する倫理的取り扱いに関する流域の報告書が、AIにおける倫理的研究の基礎としてうまく機能することを示唆している。
・This 1979 work, the Belmont Report, has its findings codified in federal regulations, which apply to government-funded research. ・この1979年の著作であるベルモント・レポートは、その所見を連邦規則に成文化し、政府資金による研究に適用している。
・Applying the Belmont Report’s principles to human subjects in AI research could bring us closer to trustworthy and responsible use of AI. ・ベルモント・レポートの原則をAI研究の被験者に適用すれば、信頼に足る責任あるAIの利用に近づくことができるだろう。
If we train artificial intelligence (AI) systems on biased data, they can in turn make biased judgments that affect hiring decisions, loan applications and welfare benefits — to name just a few real-world implications. With this fast-developing technology potentially causing life-changing consequences, how can we make sure that humans train AI systems on data that reflects sound ethical principles?  偏ったデータで人工知能(AI)システムを訓練すれば、そのシステムが偏った判断を下し、雇用の決定やローンの申請、生活保護の受給などに影響を及ぼす可能性がある。この急速に発展している技術が、人生を変えるような結果を引き起こす可能性がある中で、人間が健全な倫理原則を反映したデータでAIシステムを訓練するようにするにはどうすればよいのだろうか?
A multidisciplinary team of researchers at the National Institute of Standards and Technology (NIST) is suggesting that we already have a workable answer to this question: We should apply the same basic principles that scientists have used for decades to safeguard human subjects research. These three principles — summarized as “respect for persons, beneficence and justice” — are the core ideas of 1979’s watershed Belmont Report, a document that has influenced U.S. government policy on conducting research on human subjects . 国立標準技術研究所(NIST)の学際的研究チームは、この疑問に対する実行可能な答えがすでにあることを示唆している: 科学者たちが何十年もの間、被験者研究を保護するために用いてきたのと同じ基本原則を適用すべきだというのである。 - 「人の尊重、与益、正義」として要約される - この3つの原則は、1979年に発表された『ベルモント・レポート』の核となる考え方であり、被験者を対象とする研究の実施に関する米国政府の政策に影響を与えた文書である。
The team has published its work in the February issue of IEEE’s Computer magazine, a peer-reviewed journal. While the paper is the authors’ own work and is not official NIST guidance, it dovetails with NIST’s larger effort to support the development of trustworthy and responsible AI.  研究チームは、査読付き学術誌であるIEEEの『Computer』誌2月号にこの研究成果を発表した。この論文は著者ら自身の研究であり、NISTの公式ガイダンスではないが、信頼できる責任あるAIの開発を支援するNISTの大きな取り組みと密接な関係がある。
“We looked at existing principles of human subjects research and explored how they could apply to AI,” said Kristen Greene, a NIST social scientist and one of the paper’s authors. “There’s no need to reinvent the wheel. We can apply an established paradigm to make sure we are being transparent with research participants, as their data may be used to train AI.” 「NISTの社会科学者で、論文の著者の一人であるクリステン・グリーンは、「我々は、被験者研究の既存の原則を検討し、それがAIにどのように適用できるかを探った。「車輪を再発明する必要はない。研究参加者のデータがAIの訓練に使用される可能性があるため、研究参加者に対して透明性を確保するために、確立されたパラダイムを適用することができる」。
The Belmont Report arose from an effort to respond to unethical research studies, such as the Tuskegee syphilis study, involving human subjects. In 1974, the U.S. created the National Commission for the Protection of Human Subjects of Biomedical and Behavioral Research, and it identified the basic ethical principles for protecting people in research studies. A U.S. federal regulation later codified these principles in 1991’s Common Rule, which requires that researchers get informed consent from research participants. Adopted by many federal departments and agencies, the Common Rule was revised in 2017 to take into account changes and developments in research.   ベルモント・レポートは、タスキーギ梅毒研究など、人間を対象とした非倫理的な研究への対応から生まれた。1974年、米国は生物医学・行動学研究の被験者保護のための国家委員会を設立し、研究において人々を保護するための基本的な倫理原則を明らかにした。その後、米国の連邦規則が1991年の共通規則としてこれらの原則を成文化し、研究者が研究参加者からインフォームド・コンセントを得ることを義務付けた。多くの連邦省庁で採用されているこの共通規則は、研究の変化や発展を考慮し、2017年に改訂された。 
There is a limitation to the Belmont Report and Common Rule, though: The regulations that require application of the Belmont Report’s principles apply only to government research. Industry, however, is not bound by them.   しかし、ベルモント・レポートと共通規則には限界がある: ベルモント・レポートの原則の適用を求めるガバナンスは、政府研究にのみ適用される。しかし、産業界はこれらに拘束されない。 
The NIST authors are suggesting that the concepts be applied more broadly to all research that includes human subjects. Databases used to train AI can hold information scraped from the web, but the people who are the source of this data may not have consented to its use — a violation of the “respect for persons” principle.   NISTの著者は、この原則をより広く、人間を対象とするすべての研究に適用することを提案している。AIの訓練に使われるデータベースには、ウェブからかき集めた情報が格納されていることがあるが、このデータの提供者である個人は、その使用に同意していない可能性がある。 
“For the private sector, it is a choice whether or not to adopt ethical review principles,” Greene said.  「民間企業にとって、倫理的審査の原則を採用するかどうかは選択の問題です」とグリーンは言う。
While the Belmont Report was largely concerned with inappropriate inclusion of certain individuals, the NIST authors mention that a major concern with AI research is inappropriate exclusion, which can create bias in a dataset against certain demographics. Past research has shown that face recognition algorithms trained primarily on one demographic will be less capable of distinguishing individuals in other demographics. ベルモント・レポートは、特定の個人を不適切に取り込むことに大きな懸念を抱いていたが、NISTの著者は、AI研究の主な懸念は不適切な除外であり、データセットに特定の属性に対するバイアスを生じさせる可能性があると言及している。過去の研究では、主にある人口統計に基づいて訓練された顔認識アルゴリズムは、他の人口統計の個人を区別する能力が低くなることが示されている。
Applying the report’s three principles to AI research could be fairly straightforward, the authors suggest. Respect for persons would require subjects to provide informed consent for what happens to them and their data, while beneficence would imply that studies be designed to minimize risk to participants. Justice would require that subjects be selected fairly, with a mind to avoiding inappropriate exclusion.  この報告書の3原則をAI研究に適用することは、かなり簡単なことだと著者は提案する。人の尊重は、被験者とそのデータに何が起こるかについて、インフォームド・コンセントを提供することを要求し、受益は、参加者のリスクを最小限に抑えるように研究を設計することを意味する。正義は、不適切な除外を避けることを念頭に置き、被験者を公平に選ぶことを要求する。
Greene said the paper is best seen as a starting point for a discussion about AI and our data, one that will help companies and the people who use their products alike.  グリーン氏は、この論文はAIと私たちのデータについての議論の出発点として見るのが最善であり、企業とその製品を使用する人々を同様に助けるものであると述べた。
“We’re not advocating more government regulation. We’re advocating thoughtfulness,” she said. “We should do this because it’s the right thing to do.” 「我々は政府による規制強化を主張しているのではない。我々は思慮深さを提唱しているのだ。「正しいことなのだから、そうすべきだ。

 

で論文...

IEEE Computer Society Digital Library

MagazinesComputer - 2024.02

Avoiding Past Mistakes in Unethical Human Subjects Research: Moving From Artificial Intelligence Principles to Practice

・[PDF]

20240217-111316

 

話題になっている、ベルモント・レポート

U.S. Department of Human and Health Services

・1979.04.18 Read the Belmont Report

・[PDF]

20240217-111819

 

 

| | Comments (0)

グローバル内部監査基準 (2024.01.09)

こんにちは、丸山満彦です。

内部監査人協会が、グローバル内部監査基準を公開していました... 1年後の2025.01.09に適用開始でも早期適用奨励...現在のは2017年版(日本語版)...

現在は英語だけですが、内部監査人協会 (The Institute of Internal Auditors; IIA) から日本語版も公開される予定ですね。。。

詳細な比較はしていないですが、2017年版から構成がガラッと変わっていますね。。。2017年

 

日本内部監査協会

・ 2024.01.12 「グローバル内部監査基準™」公表のお知らせ

 

The Institute of Internal Auditors; IIA

・2024.01.09 2024 Global Internal Audit Standards

 

・[PDF

20240217-00844

 

目次...

Contents 内容
Acknowledgements 謝辞
About the International Professional Practices Framework 国際プロフェッショナル・プラクティス・フレームワークについて
Fundamentals of the Global Internal Audit Standards グローバル内部監査基準の基礎
Glossary 用語集
Domain I: Purpose of Internal Auditing ドメイン I:内部監査の目的
Domain II: Ethics and Professionalism ドメイン II:倫理とプロフェッショナリズム
Principle 1 Demonstrate Integrity 原則1 誠実さを示す
Standard 1.1 Honesty and Professional Courage 基準1.1 誠実さと専門職としての勇気
Standard 1.2 Organization’s Ethical Expectations 基準1.2 組織の倫理的期待
Standard 1.3 Legal and Ethical Behavior 基準1.3 法的および倫理的行動
Principle 2 Maintain Objectivity 原則2 客観性の維持
Standard 2.1 Individual Objectivity 基準2.1 個人の客観性
Standard 2.2 Safeguarding Objectivity 基準2.2 客観性の保護
Standard 2.3 Disclosing Impairments to Objectivity 基準2.3 客観性の減損の開示
Principle 3 Demonstrate Competency 原則3 力量を示す
Standard 3.1 Competency 基準3.1 力量
Standard 3.2 Continuing Professional Development 基準3.2 継続的な専門能力開発
Principle 4 Exercise Due Professional Care 原則4 専門職として十分な注意を払う
Standard 4.1 Conformance with the Global Internal Audit Standards 基準4.1 グローバル内部監査基準への適合
Standard 4.2 Due Professional Care 基準4.2 専門職としての正当な注意
Standard 4.3 Professional Skepticism 基準4.3 専門職としての懐疑心
Principle 5 Maintain Confidentiality 原則5 機密保持
Standard 5.1 Use of Information 基準5.1 情報の利用
Standard 5.2 Protection of Information 基準5.2 情報の防御
Domain III: Governing the Internal Audit Function ドメインⅢ:内部監査機能のガバナンス
Principle 6 Authorized by the Board 原則6 取締役会による認可
Standard 6.1 Internal Audit Mandate 基準6.1 内部監査の義務
Standard 6.2 Internal Audit Charter 基準6.2 内部監査憲章
Standard 6.3 Board and Senior Management Support 基準6.3 取締役会および最高経営者による支援
Principle 7 Positioned Independently 原則7 独立した立場
Standard 7.1 Organizational Independence 基準7.1 組織の独立性
Standard 7.2 Chief Audit Executive Qualifications 基準7.2 最高監査責任者の資格
Principle 8 Overseen by the Board 原則8 取締役会による監督
Standard 8.1 Board Interaction 基準8.1 取締役会の相互作用
Standard 8.2 Resources 基準8.2 資源
Standard 8.3 Quality 基準8.3 品質
Standard 8.4 External Quality Assessment 基準8.4 外部品質評価
Domain IV: Managing the Internal Audit Function ドメインIV:内部監査機能の管理
Principle 9 Plan Strategically 原則9 戦略的計画立案
Standard 9.1 Understanding Governance, Risk Management, and Control Processes 基準9.1 ガバナンス、リスクマネジメント、および管理プロセスの理解
Standard 9.2 Internal Audit Strategy 基準9.2 内部監査戦略
Standard 9.3 Methodologies 基準9.3 方法論
Standard 9.4 Internal Audit Plan 基準9.4 内部監査計画
Standard 9.5 Coordination and Reliance 基準9.5 調整と依存
Principle 10 Manage Resources 原則10 資源の管理
Standard 10.1 Financial Resource Management 基準10.1 財務資源管理
Standard 10.2 Human Resources Management 基準10.2 人事管理
Standard 10.3 Technological Resources 基準10.3 技術的資源
Principle 11 Communicate Effectively 原則11 効果的な伝達
Standard 11.1 Building Relationships and Communicating with Stakeholders 基準11.1 ステークホルダーとの関係構築とコミュニケーション
Standard 11.2 Effective Communication 基準11.2 効果的な伝達
Standard 11.3 Communicating Results 基準11.3 結果の伝達
Standard 11.4 Errors and Omissions 基準11.4 誤謬と不作為
Standard 11.5 Communicating the Acceptance of Risks 基準11.5 リスクの受容のコミュニケーション
Principle 12 Enhance Quality 原則12 品質の向上
Standard 12.1 Internal Quality Assessment 基準12.1 内部品質評価
Standard 12.2 Performance Measurement 基準12.2 パフォーマンス測定
Standard 12.3 Oversee and Improve Engagement Performance 基準12.3 業務・パフォーマンスの監督と改善
Domain V: Performing Internal Audit Services ドメインV:内部監査業務の実施
Principle 13 Plan Engagements Effectively 原則13 業務を効果的に計画する
Standard 13.1 Engagement Communication 基準13.1 業務コミュニケーション
Standard 13.2 Engagement Risk Assessment 基準13.2 業務リスクアセスメント
Standard 13.3 Engagement Objectives and Scope 基準13.3 業務の目的及び範囲
Standard 13.4 Evaluation Criteria 基準13.4 評価基準
Standard 13.5 Engagement Resources 基準13.5 業務資源
Standard 13.6 Work Program 基準13.6 作業プログラム
Principle 14 Conduct Engagement Work 原則14 業務活動の実施
Standard 14.1 Gathering Information for Analyses and Evaluation 基準14.1 分析と評価のための情報収集
Standard 14.2 Analyses and Potential Engagement Findings 基準14.2 分析と潜在的な関与の発見
Standard 14.3 Evaluation of Findings 基準14.3 調査結果の評価
Standard 14.4 Recommendations and Action Plans 基準14.4 勧告と行動計画
Standard 14.5 Engagement Conclusions 基準14.5 業務の結論
Standard 14.6 Engagement Documentation 基準14.6 業務の文書化
Principle 15 Communicate Engagement Results and Monitor Action Plans 原則15 業務結果の伝達と行動計画のモニタリング
Standard 15.1 Final Engagement Communication 基準15.1 業務の最終的伝達
Standard 15.2 Confirming the Implementation of Recommendations or Action Plans 基準15.2 勧告またはアクションプランの実施確認
Applying the Global Internal Audit Standards in the Public Sector 公的セクターにおける内部監査グローバル基準の適用
Laws and/or Regulations 法規制
Governance and Organizational Structure ガバナンスと組織構造
Funding 資金調達

 

2017年版との対比表...

・[PDF] Mapping of the 2017 Standards to the 2024 Standards

20240217-02507

 

 

| | Comments (0)

2024.02.16

米国 MITRE 海港における中国技術の影響力

こんにちは、丸山満彦です。

名古屋港湾がランサムウェアにやられて、あっーーーということで、港湾運送事業も基幹インフラになることになったようですが、周りを海に囲まれた国では特に港湾は重要です。第二次世界大戦の時に日本も英国もそれはおもいしったと思います...

そして今は、クレーンとかも含めて港湾設備というのは重要ですよね..

さて、MITREが港湾における中国技術の影響力という報告書を出していますね...


中国企業は60カ国の100の港でターミナルを所有または運営している。中国はまた、クレーン(上海振華重工有限公司、ZPMC)や物流管理システム(国家運輸物流公共情報プラットフォーム、LOGINK)を含む港湾技術の主要プレーヤーでもある。ZPMCのコンテナクレーンの世界市場シェアは70%である。ZPMCのクレーンは、米国の港湾におけるクレーンの80%を占め、10の戦略港湾に導入されている。


ということのようです。一帯一路を進めるとそうなりますよね... 世界各国に港湾設備をつくりそこで使われるクレーンとかの製造にも力を入れる...

 

MITRE

・2024.02.13 Chinese Technology Influence in U.S. Seaports

 

Chinese Technology Influence in U.S. Seaports 米国海港における中国技術の影響力
This paper proposes four notional courses of action on how to address risks posed by Chinese technology in U.S. seaports, summarizes findings in this domain, and identifies actions for further discovery to capture and quantify the level of risk. 本稿では、米国の港湾における中国の技術がもたらすリスクに対処する方法について、4つの想定行動指針を提案し、この領域で得られた知見を要約し、リスクのレベルを把握し定量化するためのさらなる発見のための行動を特定する。
The proliferation of Chinese technology throughout U.S. seaports presents economic, transportation, and national security risks. A deeper understanding of these risks is required to inform decision making on how to address them as well as potential threats. 米国の港湾における中国技術の拡散は、経済、輸送、国家安全保障上のリスクをもたらす。潜在的な脅威と同様に、これらのリスクへの対処方法に関する意思決定に情報を提供するためには、これらのリスクをより深く理解することが必要である。
This paper proposes four notional courses of action on how to address risks posed by Chinese technology in U.S. seaports, summarizes findings that have been captured in this domain, and identifies actions for further discovery to capture and quantify the level of risk. 本稿では、米国の港湾における中国の技術がもたらすリスクに対処する方法について、4つの想定行動指針を提案し、この領域で把握された知見を要約し、リスクのレベルを把握・定量化するためのさらなる発見のための行動を特定する。
American seaports play a significant role in the U.S. and world economy. In 2018, $2.2 trillion in freight moved through U.S. ports, which in turn supported 30.7 million jobs and generated $378.1 billion in tax revenue for federal, state, and local authorities. The American Association of Port Authorities reports that 15,000 jobs are created for every additional $1 billion in exports shipped out of U.S. seaports. According to the U.S. Department of Transportation (USDOT), the nation’s ports handled 41 percent (over $1.8 trillion) of U.S. international trade by value in 2021. Today, over $6 billion in cargo is handled every week by U.S. ports, with an annual economic activity value of $5.4 trillion. 米国の海港は、米国および世界経済において重要な役割を果たしている。2018年には、2.2兆ドルの貨物が米国の港を通過し、その結果、3,070万人の雇用を支え、連邦、州、地方当局に3,781億ドルの税収をもたらした。米国港湾協会によれば、米国の港湾から輸出される貨物が10億ドル増えるごとに、1万5,000人の雇用が創出されるという。米国運輸省(USDOT)によると、2021年、米国の港湾は米国国際貿易の41%(1兆8,000億ドル以上)を取り扱っていた。現在、米国の港湾では毎週60億ドル以上の貨物が取り扱われ、年間の経済活動額は5兆4,000億ドルに上る。
Seaports also play a vital role in national defense. Several U.S. commercial seaports have been designated as Strategic Seaports by the Department of Defense (DoD). Strategic Seaports are intended for use in military deployments because of their large staging areas, connection to rail infrastructure, and ability to load non-containerized cargo. Strategic Seaports are expected to make facilities available to the military with as little as 48 hours’ notice, and for extended periods of time, if necessary. また、海港は国防においても重要な役割を果たしている。米国のいくつかの商業港は、国防総省(DoD)によって戦略港湾に指定されている。戦略的海港は、大規模なステージング・エリア、鉄道インフラとの接続、コンテナ貨物以外の貨物の積み込みが可能なことから、軍事展開での使用を目的としている。戦略港湾は、わずか48時間前の通告で、また必要であれば長期間、軍に施設を提供することが期待されている。
There is growing concern about Chinese influence in U.S. seaports. The Chinese government has made a concerted effort to expand its influence into seaports around the world. Chinese companies own or operate terminals in 100 ports in 60 countries. China is also a major player in port technology, including cranes (Shanghai Zhenhua Heavy Industries Company Limited, or ZPMC) and logistics management systems (National Transportation and Logistics Public Information Platform, or LOGINK). ZPMC has a 70 percent global market share in container cranes. ZPMC cranes constitute 80 percent of cranes in U.S. ports, and they are present in 10 Strategic Seaports. Global adoption of LOGINK presents economic and national security risks to the U.S. Through LOGINK, the Chinese government has significant visibility into shipping and supply chains, providing opportunities to spot vulnerabilities and track shipments of U.S. military cargo on commercial freight. 米国の港湾における中国の影響力に対する懸念が高まっている。中国政府は、世界中の港湾に影響力を拡大するための努力を重ねている。中国企業は60カ国の100の港でターミナルを所有または運営している。中国はまた、クレーン(上海振華重工有限公司、ZPMC)や物流管理システム(国家運輸物流公共情報プラットフォーム、LOGINK)を含む港湾技術の主要プレーヤーでもある。ZPMCのコンテナクレーンの世界市場シェアは70%である。ZPMCのクレーンは、米国の港湾におけるクレーンの80%を占め、10の戦略港湾に導入されている。LOGINKの世界的な採用は、米国に経済的リスクと国家安全保障上のリスクをもたらす。LOGINKを通じて、中国政府は海運とサプライチェーンを大幅に可視化することができ、脆弱性を発見し、商業貨物による米軍貨物の輸送を追跡する機会を提供する。
The federal government, particularly Congress, has expressed concern on the topic of Chinese influence in ports. A November 2022 bicameral letter to the President urged action “to halt the spread of LOGINK, a Chinese Communist Party controlled digital platform for maritime data-sharing,” and a subsequent letter in April 2023 from the House Committee on Homeland Security to the Secretary of Homeland Security expressed concern “about existing vulnerabilities at our nation’s maritime ports. We are particularly concerned about technology employed by Chinese-manufactured cranes operating in U.S. ports, which significantly increases the cybersecurity risk to business operations systems and terminal industrial control systems.” In May 2023, the House Subcommittee on Transportation and Maritime Security held a hearing titled “Evaluating High-Risk Security Vulnerabilities at our Nation’s Ports.” 連邦政府、特に議会は、港湾における中国の影響力について懸念を表明している。2022年11月の大統領宛ての両院合同書簡では、「中国共産党が管理する海上データ共有のためのデジタル・プラットフォームであるLOGINKの拡散を食い止める」ための行動を促し、続く2023年4月の国土安全保障下院委員会から国土安全保障長官宛ての書簡では、「わが国の海港に存在する脆弱性について」懸念を表明している。特に、米国の港湾で稼働している中国製造のクレーンが採用している技術について懸念している。"これは、業務運営システムやターミナルの産業制御システムに対するサイバーセキュリティ・リスクを著しく増大させるものである。2023年5月、下院運輸・海事安全保障小委員会は、"わが国の港湾における高リスクのセキュリティ脆弱性の評価 "と題する公聴会を開催した。
Recent legislation addresses Chinese influence in ports. Section 3529 of the National Defense Authorization Act for Fiscal Year 2023, Study of Cybersecurity and National Security Threats Posed by Foreign Manufactured Cranes at U.S. Ports, commissioned a study by the Maritime Administrator, in consultation with the Secretary of Homeland Security, the Secretary of Defense, and the Director of the Cybersecurity & Infrastructure Security Agency to “assess whether there are cybersecurity or national security threats posed by foreign manufactured cranes at United States ports.” In March 2023, Rep. Michelle Steel (R-CA) and Sen. Tom Cotton (R-AR) introduced draft legislation in the Securing Maritime Data from Communist China Act of 2023, which calls for the ban of “the free, Chinese state-owned logistics platform LOGINK from being used by U.S. military or commercial interests at ports at home or abroad.” Included in the proposed legislation: 最近の法律では、港湾における中国の影響力が取り上げられている。2023会計年度国防認可法第3529条「米国港湾における外国製クレーンがもたらすサイバーセキュリティおよび国家安全保障上の脅威の研究」は、「米国港湾における外国製クレーンがもたらすサイバーセキュリティまたは国家安全保障上の脅威があるかどうかを評価する」ため、国土安全保障長官、国防長官、サイバーセキュリティ・インフラセキュリティ庁長官と協議の上、海事行政官に研究を委託した。2023年3月、ミシェル・スティール下院議員(共和党、カリフォルニア州選出)とトム・コットン上院議員(共和党、アリゾナ州選出)は、「2023年共産主義中国からの海上データセキュリティ法(Securing Maritime Data from Communist China Act of 2023)」の法案を提出した。この法案は、"中国国営の無料物流プラットフォームLOGINKを、国内外の港湾で米国の軍事・商業関係者が使用することを禁止する "ことを求めている。この法案に含まれるもの
・Ban all DoD usage and DoD contracts with entities using or sharing data with the platform. ・国防総省のすべての利用を禁止し、同プラットフォームを利用したり、同プラットフォームとデータを共有したりする事業体との国防総省との契約を禁止する。
・Require the President to prohibit entities in the United States from using or sharing data with LOGINK. ・大統領に対し、米国内の事業体によるLOGINKの使用やデータ共有を禁止するよう求める。
・Require the administration to report on the threat of LOGINK, including a report on U.S. port bans. ・LOGINKの脅威について、米国の入港禁止に関する報告書を含む報告を政権に求める。
・Work with international partners to stop its use and prevent its inclusion in any economic/ trade package. ・国際的なパートナーと協力し、LOGINKの使用を阻止し、経済・貿易パッケージに組み込まれないようにする。

 

・[PDF]

20240216-104248

・[DOCX] 仮訳

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.30 内閣官房 経済安全保障法制に関する有識者会議(第9回) 2024.01.29 - 港湾運送事業は基幹インフラに、病院は基幹インフラにはしない...

・2023.03.22 ENISA 輸送セクターのサイバー脅威状況

・2021.10.07 Atlantic Council 海事サイバーセキュリティに関する協力

・2021.01.08 米国 海事サイバーセキュリティ計画の公表

 

| | Comments (0)

より以前の記事一覧