内部統制 / リスクマネジメント

2023.09.24

OECD 生成的人工知能のための初期政策検討

こんにちは、丸山満彦です。

OECDが、生成的人工知能のための政策検討についての報告書を公表していますね。。。

AIを擬人的にあつかうのであれば、法人のように管理者を決めて最終的に人に責任が及ぶようにすれば、管理は簡単になるようになるかもですね。。。

個人的に気になるのは、生成的AIによる偽情報による社会混乱でしょうね。。。偽情報による社会混乱は、「情報の生成」+「情報の拡散」、ということだろうと思いますが、「情報の拡散」はSNSで容易に可能となっているので、「情報の生成」が問題が、生成的AIで容易にできるようになると、社会問題となる可能性はありますね。

AIで生成したものにマークをつけるという方法もありますが、悪意のある人に対しの効果は低いかもですね。。。

 

OECD

・2023.09.18 Initial policy considerations for generative artificial Intelligence

・[PDF]

20230924-104747

 

Initial policy considerations for generative artificial Intelligence 生成的人工知能のための初期政策検討
Generative artificial intelligence (AI) creates new content in response to prompts, offering transformative potential across multiple sectors such as education, entertainment, healthcare and scientific research. However, these technologies also pose critical societal and policy challenges that policy makers must confront: potential shifts in labour markets, copyright uncertainties, and risk associated with the perpetuation of societal biases and the potential for misuse in the creation of disinformation and manipulated content. Consequences could extend to the spreading of mis- and disinformation, perpetuation of discrimination, distortion of public discourse and markets, and the incitement of violence. Governments recognise the transformative impact of generative AI and are actively working to address these challenges. This paper aims to inform these policy considerations and support decision makers in addressing them.  生成的人工知能(AI)は、プロンプトに応答して新しいコンテンツを作成し、教育、エンターテインメント、ヘルスケア、科学研究など、さまざまな分野に変革の可能性を提供する。労働市場における潜在的なシフト、著作権の不確実性、社会的偏見の永続化に伴うリスク、偽情報や操作されたコンテンツの作成における悪用の可能性などである。その結果、誤った情報や偽情報の流布、差別の永続化、言論や市場の歪曲、暴力の扇動にまで及ぶ可能性がある。各国政府は、生成的AIの変革的影響を認識し、これらの課題に積極的に取り組んでいる。本稿は、このような政策的考察に情報を提供し、意思決定者がこれらの課題に取り組むことを支援することを目的としている。 

 

目次...

Foreword 序文
Executive summary 要旨
1 Introduction to generative AI 1 生成的AI入門
Generative AI is centre stage in public, academic and political discourse 生成的AIが公的、学術的、政治的言説の中心に
2 Select policy issues raised by generative AI 2 生成的AIが提起する政策課題を選ぶ
Generative AI is being adopted rapidly in key industry sectors 主要産業分野で急速に導入が進む生成的AI
Generative AI considerably amplifies mis- and disinformation’s scale and scope 生成的AIが誤情報・偽情報の規模と範囲を大幅に増幅させる
Bias and discrimination 偏見と差別
Intellectual Property Rights (IPR) issues, including copyright 著作権を含む知的財産権(IPR)問題
Generative AI could impact labour markets on a different scale and scope 生成的AIは労働市場に異なる規模と範囲で影響を与える可能性がある
3 Potential futures for generative AI 3 生成的AIの未来の可能性
Development trajectories of large-language and image-generating models 大規模言語モデルと画像生成モデルの発展軌跡
Generative AI markets are projected to continue growing rapidly in key areas 生成的AI市場は主要分野で急成長を続けると予測される
Potential future concerns and risks 将来起こりうる懸念とリスク
Risk mitigation measures リスク軽減策
4 Conclusion 4 まとめ
References 参考文献
Notes 備考

 

エグゼクティブサマリー...

Executive summary  要旨 
Generative AI systems create novel content and can bring value as autonomous agents  生成的AIシステムは斬新なコンテンツを創造し、自律的なエージェントとして価値をもたらすことができる。 
Generative artificial intelligence (AI) systems create new content—including text, image, audio, and video—based on their training data and in response to prompts. The recent growth and media coverage of generative AI systems, notably in the areas of text and image generation, has spotlighted AI’s capabilities, leading to significant public, academic, and political discussion.  生成的人工知能(AI)システムは、学習データに基づいて、またプロンプトに応答して、テキスト、画像、音声、動画を含む新しいコンテンツを作成する。最近、特にテキストや画像の生成の分野で、生成的AIシステムが成長し、メディアで取り上げられるようになったことで、AIの能力が注目され、社会、学術、政治的に重要な議論につながっている。 
In addition to generating synthetic content, generative AI systems are increasingly used as autonomous agents with new functionality enabling them to operate on real-time information and assist users in new ways, such as by making bookings autonomously. Investment banks, consulting firms, and researchers project that generative AI will create significant economic value, with some estimating as much as USD 4.4 trillion per year.  合成コンテンツの生成に加え、生成的AIシステムは、リアルタイムの情報に基づいて動作し、自律的に予約を行うなど、新たな方法でユーザーを支援することを可能にする新機能を備えた自律エージェントとして、ますます利用されるようになっている。投資銀行、コンサルティング会社、研究者は、生成的AIが大きな経済価値を生み出すと予測しており、年間4兆4,000億米ドルに達するとの試算もある。 
Generative AI could revolutionise industries and society but carries major risks   生成的AIは産業と社会に革命をもたらす可能性があるが、大きなリスクを伴う  
Generative AI is already used to create individualised content at scale, automate tasks, and improve productivity. Generative AI is yielding benefits in key sectors such as software development, creative industries and arts (e.g., artistic expression through music or image generation), education (e.g., personalised exam preparation), healthcare (e.g., information on tailored preventative care), and internet search.    生成的AIはすでに、個別にカスタマイズされたコンテンツを大規模に作成し、タスクを自動化し、生産性を向上させるために利用されている。生成的AIは、ソフトウェア開発、クリエイティブ産業や芸術(例:音楽や画像生成による芸術表現)、教育(例:パーソナライズされた試験対策)、ヘルスケア(例:オーダーメイドの予防医療に関する情報)、インターネット検索などの主要分野で利益をもたらしている。   
However, alongside the benefits, there are significant policy implications and risks to consider, including in the areas of mis- and disinformation, bias, intellectual property rights, and labour markets.   しかし、誤情報や偽情報、偏見、知的財産権、労働市場などの分野では、メリットとともに、考慮すべき重大な政策的意味合いとリスクがある。  
Major mis- and disinformation risks from synthetic content call for novel policy solutions   合成コンテンツによる重大な誤情報・偽情報リスクは、斬新な政策的解決策を求める  
Humans are less and less capable of differentiating AI from human-generated content, amplifying risks of mis- and disinformation. This can cause material harm at individual and societal levels, particularly on science-related issues, such as vaccine effectiveness and climate change, and in polarised political contexts. Mitigation measures include increasing model size, developing models that provide evidence and reference source material, watermarking, “red-teaming,” whereby teams adopt an attacker mindset to probe the model for flaws and vulnerabilities, and developing AI systems that help detect synthetic content. However, these measures have limitations and are widely expected to be insufficient, calling for innovative approaches that can address the scale of the issue.  人間は、AIと人間が生成したコンテンツを区別する能力がますます低下しており、誤情報や偽情報のリスクを増幅させている。これは、特にワクチンの有効性や気候変動といった科学に関連する問題や、極論化した政治的文脈において、個人や社会レベルで重大な損害を引き起こす可能性がある。緩和策としては、モデルのサイズを大きくすること、証拠や参照元となる資料を提供するモデルを開発すること、電子透かしを入れること、チームが攻撃者の考え方を採用してモデルに欠陥や脆弱性がないか探る「レッド・チーミング」、合成コンテンツの検出を支援するAIシステムを開発することなどが挙げられる。しかし、これらの対策には限界があり、不十分であることが広く予想されるため、問題の規模に対応できる革新的なアプローチが求められている。 
Generative AI, like other types of AI, can echo and perpetuate biases contained in training data   生成的AIは、他のタイプのAIと同様に、学習データに含まれるバイアスを反響させ、永続させる可能性がある。  
Generative AI can echo, automate, and perpetuate social prejudices, stereotypes and discrimination by replicating biases contained in training data. This can exacerbate the marginalisation or exclusion of specific groups. Mitigation approaches include enhanced inclusivity in and curation of training data, explainability research, auditing, model fine-tuning through human feedback, and “red teaming”.  生成的AIは、学習データに含まれる偏見を複製することで、社会的偏見、ステレオタイプ、差別を反響させ、自動化し、永続させる可能性がある。これは、特定のグループの疎外や排除を悪化させる可能性がある。緩和策としては、学習データの包括性の強化やキュレーション、説明可能性調査、監査、人間からのフィードバックによるモデルの微調整、「レッド・チーミング」などがある。 
Legal systems are grappling with generative AI’s implications for intellectual property rights  法制度は生成的AIが知的財産権に与える影響に取り組んでいる 
In particular, generative AI models are trained on massive amounts of data that includes copyrighted data, mostly without the authorisation of rights-owners. Another ongoing debate is whether artificially generated outputs can themselves be copyrighted or patented and if so, to whom.   特に、AI生成モデルは、著作権で保護されたデータを含む膨大な量のデータで学習されるが、そのほとんどは権利所有者の許可を得ていない。また、人工的に生成された出力自体が著作権や特許を取得できるかどうか、できるとすれば誰に対してか、といった議論も続いている。  
Progress in generative AI may increase job task exposure in high-skilled occupations   生成的AIの進歩により、高技能職種の職務への曝露が増加する可能性  
Generative AI’s availability to the public has heightened focus on its potential impact on labour markets. Measures of language model performance on standardised tests, such as the bar exam for qualifying attorneys in the United States, surprised many with its strong results relative to human test-takers, suggesting possible increased job task exposure in high-skilled occupations, though lower-skilled occupations have for now been the most exposed to automation. The OECD Employment Outlook notes that AI can benefit jobs by creating demand for new tasks and complementary skills, resulting in new jobs for which human labour has a comparative advantage. Recent research shows that generative AI can improve the performance of less skilled workers.  生成的AIが一般に利用可能になったことで、労働市場への潜在的な影響に注目が集まっている。米国の弁護士資格のための司法試験のような標準化されたテストにおける言語モデルのパフォーマンスの測定は、人間の受験者に比べて強い結果で多くの人を驚かせ、高技能職業における仕事タスクの露出が増加する可能性を示唆している。OECDの雇用見通しでは、AIは新たなタスクと補完的スキルに対する需要を創出することで雇用に利益をもたらし、その結果、人間の労働力が比較優位を持つ新たな仕事を生み出すことができると指摘している。最近の研究によれば、生成的AIは熟練度の低い労働者のパフォーマンスを向上させることができる。 
Security, surveillance, over-reliance, academic dishonesty and concentration are also risks  セキュリティー、監視、過度の信頼、不正行為、集中力もリスクとなる 
In addition to present-day considerations of generative AI, a longer-term view helps envision the technology’s future trajectories. Generative AI and the synthetic content it produces with varying quality and accuracy can exacerbate challenges. This content proliferates in digital spaces where it is used to train generative AI models, resulting in and a vicious negative cycle in the quality of online information. It also raises concerns about automated and personalised cyber-attacks, surveillance and censorship, overreliance on generative systems despite their flaws, academic dishonesty, and concentrations of power and resources.   生成的AIの現在の考察に加え、より長期的な視点は、この技術の将来の軌跡を描くのに役立つ。生成的AIと、それが生成するさまざまな品質と精度の合成コンテンツは、課題を悪化させる可能性がある。このようなコンテンツは、生成的AIモデルの学習に使用されるデジタル空間で拡散し、結果としてオンライン情報の質に悪循環をもたらす。また、自動化されパーソナライズされたサイバー攻撃、監視と検閲、欠陥があるにもかかわらず生成システムに過度に依存すること、学術的不正、権力と資源の集中といった懸念も生じている。  
Agency, power-seeking, non-aligned sub-goals and other potential emergent behaviours require attention  主体性、権力追求、非同一的なサブゴール、その他の潜在的な出現行動には注意が必要である。 
Over the longer term, emergent behaviours, of which the existence is debated in the AI community, suggest additional risks. These behaviours include increased agency, power-seeking, and developing unknown sub-goals determined by machines to achieve core objectives programmed by a human but that might not be aligned with human values and intent. Some deem that if these risks are not addressed, they could lead to systemic harms and the collective disempowerment of humans.   長期的に見れば、AIコミュニティでその存在が議論されている創発的行動は、さらなるリスクを示唆している。これらの行動には、主体性の増大、権力追求、人間の価値観や意図とは一致しないかもしれないが、人間によってプログラムされた中核的な目標を達成するために機械が決定する未知の副目標の開発などが含まれる。これらのリスクに対処しなければ、体系的な損害や人間の集団的な権限剥奪につながりかねないという意見もある。  
The growing impact and capability of generative AI systems has led to reflection and debates among researchers and members of the OECD.AI Expert Group on AI Futures about whether these types of models could eventually lead to artificial general intelligence (AGI), the stage at which autonomous machines could have human-level capabilities in a wide variety of use cases. Due to its potential broad societal impacts, AGI’s potential benefits and risks deserve attention, as do the potentially imminent impacts of narrow generative AI systems that may be just as significant as AGI.   生成的AIシステムの影響力と能力の高まりは、研究者やOECDのAI専門家グループのメンバーの間で、この種のモデルが最終的に人工的な一般知能(AGI)につながるかどうか、つまり自律的な機械が様々なユースケースにおいて人間レベルの能力を持つ段階に至るかどうかについての考察や議論を引き起こしている。AGIは幅広い社会的影響をもたらす可能性があるため、AGIの潜在的な利益とリスクは注目に値する。また、AGIと同様に重要な意味を持つ可能性のある、狭い範囲の生成的AIシステムの差し迫った影響も注目に値する。  
The longer-term benefits and risks of generative AI could demand solutions on a larger, more systemic scale than the risk mitigation approaches already underway. These measures and others are the topic of ongoing OECD work, including work of the OECD.AI Expert Group on AI Futures.  生成的AIの長期的なメリットとリスクは、すでに進行中のリスク軽減アプローチよりも大規模で体系的な規模の解決策を要求する可能性がある。これらの対策やその他の対策は、AI未来に関するOECD.AI専門家グループの作業を含む、現在進行中のOECD作業のテーマである。 

 

 

| | Comments (0)

米国 AICPA SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと

こんにちは、丸山満彦です。

サイバーセキュリティに関するSECの開示ルールが2023年12月15日以降に終了する事業年度の年次報告書から義務付けられ、2023年12月18日(小規模報告企業は2024年6月15日)以降、企業はサイバーセキュリティに関する重要なインシデントが発生したと判断した場合、4営業日以内に開示することが求められるわけですが、、、

AICPA & CIMAからSECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきことという文書が公表されていますね。。。

AICPA & CIMA

・2023.09.18 What Management Needs to Know About the New SEC Cybersecurity Disclosure Rules

 

・[PDF]

20230924-55300

 

What Management Needs to Know About the New SEC Cybersecurity Disclosure Rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
Contents 目次
What management needs to know about the new SEC cybersecurity disclosure rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
Certifications regarding disclosure controls and procedures 開示の統制と手続に関する証明
Disclosing material cybersecurity incidents 重要なサイバーセキュリティインシデントの開示
Disclosing cybersecurity risk management and strategy サイバーセキュリティのリスクマネジメントと戦略の開示
Cybersecurity governance and board oversight サイバーセキュリティガバナンスと取締役会の監督
Additional resources その他のリソース
Endnotes 巻末資料
What management needs to know about the new SEC cybersecurity disclosure rules SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
In July of 2023, the SEC adopted rules requiring registrants that are subject to the reporting requirements of the Securities Exchange Act of 1934 to make timely disclosure of material cybersecurity incidents as well as annual disclosure of information regarding their cybersecurity risk management, strategy, and governance. The new annual disclosures will be required starting with annual reports for fiscal years ending on or after December 15, 2023, and will be subject to CEO and CFO Section 302(a) certifications, meaning the assessment of the design and effectiveness of disclosure controls and procedures will need to incorporate the new cybersecurity disclosures. These disclosures cover topics in which the CEO and CFO may not have a high level of expertise. Those responsible for managing cybersecurity (e.g., chief information officer [CIO] or chief information security officer [CISO]) will be providing information for disclosure in SEC filings, requiring a new level of responsibility and accountability. Boards and their relevant committees should also be aware that these new rules require disclosures regarding oversight of cybersecurity risks and consider whether they need to enhance their oversight of the entity’s cybersecurity program in light of the new disclosure requirements. 2023年7月、SECは、1934年証券取引法の報告義務の対象となる登録企業に対し、サイバーセキュリティに関する重要なインシデントの適時開示に加え、サイバーセキュリティのリスクマネジメント、戦略、ガバナンスに関する情報の年次開示を義務付ける規則を採択した。この新しい年次開示は、2023年12月15日以降に終了する事業年度の年次報告書から義務付けられ、最高経営責任者(CEO)および最高財務責任者(CFO)の第302条(a)証明書の対象となる。これらの開示は、最高経営責任者(CEO)や最高財務責任者(CFO)が高度な専門知識を有していない可能性のあるトピックをカバーしている。サイバーセキュリティの管理責任者(最高情報責任者(CIO)や最高情報セキュリティ責任者(CISO)など)は、SEC提出書類で開示する情報を提供することになり、新たなレベルの責任と説明責任が求められる。また、取締役会とその関連委員会は、これらの新規則がサイバーセキュリティリスクの監督に関する開示を要求していることを認識し、新たな開示要件に照らして事業体のサイバーセキュリティプログラムの監督を強化する必要があるかどうかを検討する必要がある。
Cybersecurity information disclosed in SEC filings, including information about material cybersecurity incidents and the company’s risk management, strategy, and governance, is likely to invite scrutiny by the SEC, investors and others. Inconsistencies between the required cybersecurity disclosures and communications on company websites or other public forums could lead to unwanted negative attention or action by regulators and others. 重要なサイバーセキュリティインシデントや企業のリスクマネジメント戦略、ガバナンスに関する情報など、SEC提出書類で開示されるサイバーセキュリティ情報は、SECや投資家などによる精査を招く可能性が高い。必要とされるサイバーセキュリティの開示と、企業のウェブサイトやその他の公的な場でのコミュニケーションとの間に矛盾があれば、規制当局などによる不本意な否定的注目や行動につながる可能性がある。
THE IMPORTANCE OF ACCURATE COMMUNICATIONS 正確なコミュニケーションの重要性
Companies have been subject to SEC enforcement actions regarding cybersecurity disclosures that were inconsistent with facts revealed as a result of cybersecurity events. For example, in 2001 Pearson plc agreed to pay $1 million to settle charges that it misled investors about a 2018 cyber intrusion and had inadequate disclosure controls and procedures when they referred to a data privacy incident as a hypothetical risk, when, in fact, the 2018 cyber intrusion had already occurred.1 サイバーセキュリティの開示が、サイバーセキュリティの事象の結果として明らかになった事実と矛盾していたとして、企業がSECの強制措置の対象となったことがある。例えば、2001年にピアソン・ピーエルシーは、2018年のサイバー侵入について投資家に誤解を与え、実際には2018年のサイバー侵入がすでに発生していたにもかかわらず、データ・プライバシー・インシデントを仮定のリスクとして言及し、開示統制と手続が不十分であったとして、100万ドルの支払いに合意した1。
Certifications regarding disclosure controls and procedures 開示の統制と手続に関する証明
Section 302(a) of the Sarbanes-Oxley Act of 2002 requires the CEO and CFO (or their equivalent) to certify the financial and other information contained in the registrant’s forms 10-K. Among other things, these executives certify that they have designed disclosure controls and procedures (DC&P) to ensure that they are made aware of material information.2 The controls and processes the entity has in place to manage its cybersecurity disclosures are part of DC&P and should be considered when making certifications.  2002年サーベンス・オクスリー法第302条(a)は、最高経営責任者(CEO)および最高財務責任者(CFO)(またはそれに相当する者)に対し、登録者のフォーム10-Kに含まれる財務情報およびその他の情報を証明するよう求めている。とりわけ、これらの経営幹部は、重要な情報を確実に把握するための開示の統制と手続(DC&P) を設計していることを証明する2 。事業体がサイバーセキュリティの開示を管理するために導入している統制とプロセ スは、DC&P の一部であり、証明書を作成する際に考慮すべきである。
Although there are no certification requirements for the 8-K, SEC rules require that DC&P be designed, maintained and evaluated to ensure full and timely disclosure in current reports.3 In other words, even though the CEO and CFO do not have to certify DC&P on form 8-K, they are still responsible for establishing controls and procedures to ensure proper disclosure of material cybersecurity incidents and should be comfortable that they are getting complete and accurate information on a timely basis in order to appropriately disclose material cybersecurity incidents. 8-K には証明要件はないが、SEC 規則は、最新の報告書において完全かつタイムリーな開示を確実にするために、 DC&P を設計し、維持し、評価することを求めている3。言い換えれば、CEO と CFO は、フォーム 8-K 上で DC&P を証明する必要はないとしても、重要なサイバーセキュリティインシデントを適切に開示の統制と手続を確立する責任があり、重要なサイバーセキュリティインシデントを適切に開示するために、完全かつ正確な情報を適時に入手していることに安心すべきなのである。
The information necessary for cyber-related disclosures generally originates with those responsible for managing cybersecurity risks. CEOs and CFOs will need to work with that individual or group of individuals to determine whether current disclosure procedures adequately address information that is required to be disclosed for material cyber incidents as well as cybersecurity risk management strategies and oversight. Some companies may simply need to incorporate existing informal or ad hoc controls and procedures for communicating cyber-related information into the system of disclosure controls and procedures. Other companies may need to build out their existing system of disclosure controls and procedures to include required cybersecurity information. サイバー関連の開示に必要な情報は、一般的にサイバーセキュリティ・リスクのマネジメント責任者から発信される。最高経営責任者(CEO)や最高財務責任者(CFO)は、重要なサイバーインシデントやサイバーセキュリティ・リスクマネジメント戦略・監督について、現在の開示手続が開示すべき情報に適切に対応しているかどうかを判断するために、その個人やグループと協力する必要がある。企業によっては、サイバー関連情報を伝達するための既存の非公式または場当たり的な統制及び手続を開示統制及び手続の体系に組み込むだけでよい場合もある。また、必要なサイバーセキュリティ情報を含めるために、既存の開示統制・手続システムを構築する必要がある企業もあるだろう。
The information necessary for cyber-related disclosures generally originates with those responsible for managing cybersecurity risks. サイバー関連の開示に必要な情報は、一般的にサイバーセキュリティリスクマネジメントの責任者から発信される。
Disclosing material cybersecurity incidents 重要なサイバーセキュリティインシデントの開示
Starting December 18, 2023 (June 15, 2024 for smaller reporting companies) companies will be required to disclose material cybersecurity incidents within four business days of determining that they are material. Although those responsible for managing cybersecurity risks should have already been communicating information about cybersecurity incidents internally or externally due to laws or regulations (including existing SEC requirements), the specificity associated with the new requirements may result in additional scrutiny and responsibility. If information about material incidents is not disclosed, or these disclosures are insufficient, inaccurate, or not timely, the company and individuals within the company may be subject to SEC inquiries or enforcement actions. 2023年12月18日(小規模報告企業は2024年6月15日)以降、企業はサイバーセキュリティに関する重要なインシデントが発生したと判断した場合、4営業日以内に開示することが求められる。サイバーセキュリティ・リスクをマネジメントする責任者は、法律や規制(既存のSECの要件を含む)により、サイバーセキュリティ・インシデントに関する情報をすでに社内外に伝達しているはずであるが、新たな要件に関連する具体性により、さらなる精査と責任が生じる可能性がある。重要なインシデントに関する情報が開示されなかったり、開示が不十分であったり、不正確であったり、タイムリーでなかったりした場合、会社や会社内の個人はSECの照会や強制措置の対象となる可能性がある。
As noted above, processes should be in place to ensure those in charge of cybersecurity risk management communicate events to those in charge of SEC disclosures in a timely manner so that the need for disclosure can be evaluated and, if needed, disclosures made. Guidance may be needed to help those who manage cybersecurity risk understand the type of information that needs to be provided to those preparing the disclosures so that those incidents determined to be material for reporting can be appropriately reported.  上述のように、サイバーセキュリティリスクマネジメントの担当者が、開示の必要性を評価し、必要であれば開示を行うことができるように、SECの開示担当者にタイムリーに事象を伝達するプロセスを確保すべきである。報告にとって重要であると判断されたインシデントが適切に報告されるように、サイバーセキュリティ・リスクを管理する担当者が、開示を準備する担当者に提供する必要がある情報の種類を理解できるようにするためのガイダンスが必要かもしれない。
Determining materiality is key to knowing which cybersecurity incidents need to be disclosed. Both executive management and those responsible for managing cybersecurity risks should be informed and involved in evaluations regarding materiality and whether an incident needs to be disclosed. Various parties (e.g., CISO, CIO, CEO, CFO, legal, board) may have different frames of reference that are relevant for determining whether an incident should be communicated. For example, the SEC’s materiality threshold5 may be different than other thresholds currently used to communicate incidents to other regulatory agencies and affected parties as required by law.6 It is also important to note that the SEC definition of a cybersecurity incident includes a series of related unauthorized occurrences. This means that disclosure requirements apply if related occurrences are material as a whole, even if each individual occurrence is immaterial.  重要性の判断は、どのサイバーセキュリティインシデントを開示する必要があるかを知るための鍵である。経営幹部とサイバーセキュリティリスクを管理する責任者の両方が、重要性とインシデントが開示される必要があるかどうかに関する評価に情報を提供し、関与する必要がある。様々な関係者(例えば、CISO、CIO、CEO、CFO、法務部、取締役会)が、インシデントを伝達すべきかどうかを判断するために関連する異なる参照枠を持っている可能性がある。例えば、SEC の重要性の閾値5 は、法律で義務付けられているように、インシデントを他の規制 機関や影響を受ける関係者に伝達するために現在使用されている他の閾値とは異なる可能性がある6。これは、関連する発生が全体として重要であれば、個々の発生が重要でなくても、開示要件が適用されることを意味する。
Companies must make their materiality determinations “without unreasonable delay.” For example, the SEC has noted that if the materiality determination is to be made by a board committee, intentionally deferring the committee meeting past the normal time it would take to convene members may constitute an unreasonable delay.7 Management may want to document who is ultimately responsible for making the materiality determination and criteria for determining what would constitute an unreasonable delay before they identify an incident that could be material.  企業は、重要性の決定を「不合理な遅延なく」行わなければならない。例えば、SECは、重要性の判断が取締役会の委員会により行われる場合、委員を招集するために通常要する時間を超えて委員会の開催を意図的に延期することは、不合理な遅延に該当する可能性があると指摘している7。経営者は、重要性の可能性があるインシデントを特定する前に、誰が重要性の判断の最終責任者であるか、また何が不合理な遅延に該当するかを判断する基準を文書化しておくとよいであろう。
CYBERSECURITY INCIDENT DISCLOSURES (8-K)4 サイバーセキュリティインシデントの開示(8-K)4
+ Disclose any cybersecurity  incident the registrant experiences that is determined to be material, describing: ・重要であると判断されたサイバーセキュリティインシデントを開示する:
 ·  The material aspects of the nature, scope, and timing of the incident; and  - インシデントの性質、範囲、および時期に関する重要な側面。
 ·  The material impact or reasonably likely material impact of the incident on the registrant, including its financial condition and results of operations.  - インシデントの性質、範囲、タイミングの重要な側面、および財務状況や経営成績など、インシデントが登録者に及ぼす重大な影響または合理的に起こりうる重大な影響。
+ Form 8-K must be filed  within four business days of determining that an incident is material. ・フォーム8-Kは,インシデントが重要であると判断してから4営業日以内に提出しなければならない。
+ A filing may be delayed if  the U.S. Attorney General determines immediate disclosure would pose a substantial risk to national security or public safety. ・米国司法長官が,即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断した場合は,提出を延期することができる。
+ Information is material  if there is a substantial likelihood that a reasonable shareholder would consider it important in making an investment decision, or if it would have significantly altered the total mix of information made available. ・合理的な株主が投資判断をする際にその情報を重要視する可能性が高い場合,またはその情報が入手可能な情報の組み合わせを大きく変える可能性がある場合,その情報は重要である。
Comparable disclosures are required by foreign private issuers on Form 6-K. 外国の非公開発行体には、Form 6-Kで同等の開示が求められている。
Disclosing cybersecurity risk management and strategy サイバーセキュリティのリスクマネジメントと戦略の開示
In addition to disclosing material cybersecurity incidents, the rules require companies to disclose information about their cybersecurity risk management processes and strategy, beginning with the annual report for any period ending on or after December 15, 2023. Management and the SEC disclosure team should work with those responsible for managing cybersecurity risks to ensure they have an adequate understanding of the company’s process for identifying, managing, and overseeing cybersecurity risks so that proper disclosure can be made in the 10-K.  重要なサイバーセキュリティインシデントの開示に加え、2023年12月15日以降に終了する期間の年次報告書から、企業はサイバーセキュリティリスクマネジメントのプロセスと戦略に関する情報を開示することが規則で義務付けられている。経営陣とSECのディスクロージャー・チームは、サイバーセキュリティ・リスクの管理責任者と協力して、サイバーセキュリティ・リスクを特定、管理、監督するための会社のプロセスを十分に理解し、10-Kで適切な開示ができるようにすべきである。
While the new rules provide some specific information that should be disclosed when describing the company’s processes for assessing, identifying, and managing material risks from cybersecurity threats, it also notes that the specific information is not all-inclusive and that registrants should also disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. The AICPA’s Description Criteria for Management’s Description of the Entity’s Cybersecurity Risk Management Program presents multiple criteria that management may consider when determining what information a reasonable investor may find useful in understanding the company’s cybersecurity processes. This framework may also be useful in determining what to communicate with the board or other stakeholders. 新規則は、サイバーセキュリティの脅威による重大なリスクをアセスメントし、特定し、マネジメントするための会社のプロセスを説明する際に開示すべきいくつかの具体的な情報を提供しているが、具体的な情報はすべてを網羅するものではなく、登録者は、合理的な投資家が自社のサイバーセキュリティ・プロセスを理解するために、自社の事実と状況に基づいて必要なあらゆる情報も開示すべきであると指摘している。AICPAの「事業体のサイバーセキュリティ・リスクマネジメント・プログラムに関するマネジメントの説明のための記述基準(Description Criteria for Management's Description of the Entity's Cybersecurity Risk Management Program)」は、合理的な投資家が会社のサイバーセキュリティ・プロセスを理解する上で有用と思われる情報を決定する際に、マネジメントが考慮しうる複数の基準を提示している。このフレームワークは、取締役会やその他の利害関係者と何をコミュニケーションすべきかを決定する際にも有用であろう。
RISK MANAGEMENT AND STRATEGY DISCLOSURES (10-K)8 リスクマネジメントと戦略の開示(10-K)8
+ The registrant’s processes, if any, for  assessing, identifying, and managing material risks from cybersecurity threats in sufficient detail for a reasonable investor to understand those process. 
・サイバーセキュリティの脅威による重大なリスクをアセスメントし、識別し、マネジメントするための登録者のプロセスがある場合は、合理的な投資家がそれらのプロセスを理解できるよう十分に詳細に記載する。
Including whether: 以下を含む:
 ·  The described cybersecurity processes have been integrated into the registrant’s overall risk management system or process, and if so, how;   - 説明されているサイバーセキュリティプロセスが、登録者の全体的なリスクマネジメントシステムまたはプロセスに統合されているかどうか、統合されている場合はその方法; 
 ·  The registrant engages assessors, consultants, auditors, or other third parties in connection with any such processes; and  - 登録者は、そのようなプロセスに関連して、評価者、コンサルタント、監査人、またはその他のサードパーティを雇用しているか。
 ·  The registrant has processes to oversee and identify material risks from cybersecurity threats associated with its use of any third- party service provider   - 登録者は、サードパーティ・サービス・プロバイダの使用に関連するサイバーセキュリティの脅威による重大なリスクを監督し、識別するプロセスを有している。
The above list is not all-inclusive. Registrants should additionally disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. 上記のリストはすべてを網羅するものではない。登録者は、合理的な投資家が自社のサイバーセキュリティプロセスを理解するために、自社の事実と状況に基づき必要な情報を追加的に開示すべきである。
+ Whether any risks from cybersecurity  threats, including as a result of any previous cybersecurity incidents, have materially affected or are reasonably likely to materially affect the registrant, including its business strategy, results of operations, or financial conditions and if so, how. ・サイバーセキュリティの脅威によるリスク(過去のサイバーセキュリティインシデントの結果を含む)が、事業戦略、経営成績、財務状況など、登録者に重大な影響を与えたか、または与える可能性があるかどうか、また与える可能性がある場合はどのように与えるか。
Comparable disclosures are required by foreign private issuers on Form 20-F. 外国の非公開発行体には、Form 20-Fで同等の開示が義務付けられている。
Managing Risk from Service Providers  サービスプロバイダーからのリスクマネジメント 
The SEC has noted an increasing number of cybersecurity incidents pertain to service providers.9 Because of the associated risk, the rules require disclosure of whether the company has processes to oversee and identify the cybersecurity risks associated with its use of any third-party service providers. A System and Organization Controls (SOC) 2® report from a service provider can be an important component of an effective strategy for managing the cybersecurity risks of service providers. While similar in structure and content to the SOC 1® reports used in evaluating internal control over financial reporting, SOC 2 reports provide information for evaluating the internal control of service providers on other matters. The culmination of an examination performed by an independent CPA, a SOC 2 report can address controls relevant to the security, availability and processing integrity of the systems used to provide services to its users and the confidentiality and privacy of the information these systems process. Management can use a SOC 2 report in its evaluation of certain risks associated with doing business with the service provider.  SECは、サービス・プロバイダに関するサイバーセキュリティ・インシデントが増加していることを指摘している9 。このようなインシデントにはリスクが伴うため、SECは、サードパーティ・サービス・プロバイダの利用に関連するサイバーセキュリティ・リスクを監督・特定するプロセスを会社が有しているかどうかの開示を義務付けている。サービス・プロバイダからのSOC(System and Organization Controls)2®報告書は、サービス・プロバイダのサイバーセキュリティ・リスクをマネージするための効果的な戦略の重要な構成要素となり得る。SOC 2報告書は、財務報告に係る内部統制の評価に使用されるSOC 1®報告書と同様の構成および内容であるが、その他の事項に関するサービス・プロバイダの内部統制を評価するための情報を提供するものである。独立した公認会計士による検査の集大成であるSOC 2報告書は、ユーザーへのサービス提供に使用されるシステムのセキュリティ、可用性、処理の完全性、およびこれらのシステムが処理する情報の機密性とプライバシーに関連する統制を取り上げることができる。マネジメントは、サービス・プロバイダとの取引に関連する特定のリスクの評価にSOC 2報告書を利用することができる。
Cybersecurity governance and board oversight サイバーセキュリティガバナンスと取締役会の監督
The new SEC requirements include disclosure about both management and the board’s oversight of cybersecurity risk. As part of their oversight, the board may evaluate whether the company’s cybersecurity risk management program is sufficiently robust, or if there are gaps that should be filled. Management related disclosures include a discussion of the relevant expertise of those members of management responsible for measuring and managing cybersecurity risk. SEC の新しい要件には、サイバーセキュリティリスクに関するマネジメントと取締役会の監督に関する開示が含まれている。取締役会は、その監督の一環として、会社のサイバーセキュリティ・リスクマネジメント・プログラムが十分に強固であるかどうか、あるいは埋めるべきギャップがあるかどうかを評価することができる。マネジメントに関連する開示には、サイバーセキュリティリスクの測定と管理を担当するマネジメントメンバーの関連する専門知識についての議論が含まれる。
Management should be prepared to provide support as board members exercise their oversight responsibilities. An open and frequently utilized line of communication between the board and those responsible for managing cybersecuirty risk will make it easier to address cybersecurity concerns real-time and before an incident occurs. 経営陣は、取締役会のメンバーが監督責任を行使する際にサポートを提供できるように準備しておく必要がある。取締役会とサイバーセキュリティリスクマネジメントの責任者との間にオープンで頻繁に利用されるコミュニケーションラインがあれば、サイバーセキュリティに関する懸念にリアルタイムで、インシデントが発生する前に対処することが容易になる。
Management may expect questions from the board, such as the following,11 as the board obtains an understanding of the company’s cybersecurity risk management process: 取締役会が会社のサイバーセキュリティ・リスク管理プロセスを理解するために、マネジメントは取締役会から以下のような質問11 を受けることがある:
What framework, if any, does management use in designing their cybersecurity risk management program (e.g., NIST CSF, ISO/IEC 27001/27002, SEC cybersecurity guidelines, AICPA Trust Services Criteria)? 経営陣は、サイバーセキュリティリスクマネジメントプログラムの設計にどのようなフレームワーク(NIST CSF、ISO/IEC 27001/27002、SEC サイバーセキュリティガイドライン、AICPA トラストサービス基準など)を使用しているか。
+  What framework, if any, does management use in communicating pertinent information about its cybersecurity management program? ・経営陣は、サイバーセキュリティ管理プログラムに関する適切な情報をコミュニケーショ ンする際に、どのようなフレームワークを使用しているか(もしあれば)。
+  What processes and programs are in place to periodically evaluate the cybersecurity risk management program and related controls? ・サイバーセキュリティリスクマネジメントプログラムと関連する統制を定期的に評価するために,どのようなプロセスとプログラムがあるか。
+  What cybersecurity policies, processes, and controls are in place to detect, respond to, mitigate, and recover from – on a timely basis – cybersecurity events that are not prevented? ・防止できなかったサイバーセキュリティ事象をタイムリーに検知,対応,軽減,回復するために,どのようなサイバーセキュリティポリシー,プロセス,統制が整備されているか。
+  In the event of a cybersecurity breach, what controls are in place to help ensure that the IT department and appropriate senior management (including board members charged with governance) are informed and engaged on a timely basis—and that other appropriate responses and communications take place?  ・サイバーセキュリティ侵害が発生した場合、IT 部門および適切な上級管理職(ガバナンスを担 当する取締役会メンバーを含む)にタイムリーに情報を提供し、関与させ、その他の適切な対応とコ ミュニケーションを実施するために、どのような統制が整備されているか。
+  What policies, processes and controls are in place to address the impact to the company of a cybersecurity breach at significant/relevant vendors and business partners with whom the company shares sensitive information? Do those policies include risk identification and mitigation procedures?  ・重要/関連性の高いベンダーや,機密情報を共有するビジネス・パートナーにおけるサイバーセキュリティ侵害が会社に与える影響に対処するために,どのような方針,プロセス,統制が整備されているか。それらのポリシーには,リスクの特定と低減の手順が含まれているか。
+  Has the company conducted a cyber event simulation as part of its approach to enterprise risk management? ・エンタープライズリスクマネジメントの一環として,サイバーイベントのシミュレーショ ンを実施したか。
 +  Has the company considered cost mitigation/risk transfer options in the form of cyber insurance coverage in the event of a cybersecurity breach?   ・サイバーセキュリティ侵害が発生した場合に、サイバー保険の適用という形でコスト低減/リスク移転の選択肢を検討したか。
+  Does the company have adequate staff with appropriate skills to design and operate an effective cybersecurity risk management program? ・会社は,効果的なサイバーセキュリティリスクマネジメントプログラムを設計し,運用するための適切なスキルを持つ適切なスタッフを有しているか。
Given the emphasis on materiality, the board may also ask questions such as the following to understand how materiality of a cybersecurity incident is being evaluated: 重要性が重視されていることから、取締役会は、サイバーセキュリティインシデントの重要性がどのように評 価されているかを理解するために、次のような質問をすることもある:
+  How do we validate that the process for determining materiality is sound and thoroughly documented? ・重要性を決定するプロセスが健全であり,十分に文書化されていることをどのように検証するか。
+  Has the company created a method to track related occurrences to see if they qualify as being material? ・会社は,関連する発生を追跡して,それらが重要であると認定されるかどうかを確認する方法を作成したか?
INLINE EXTENSIBLE BUSINESS REPORTING LANGUAGE (XBRL)10 インライン拡張ビジネス報告言語(XBRL)10
All registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement. すべての登録会社は、関連する開示要件の初回遵守から1年後に、最終規則に基づき要求される開示をインラインXBRLでタグ付けしなければならない。
DISCLOSING CYBERSECURITY RISK GOVERNANCE (10-K)12 サイバーセキュリティリスクガバナンスの開示(10-K)12
+ Description of the board’s  oversight of risks from cybersecurity threats and: ・サイバーセキュリティの脅威とリスクに対する取締役会の監督についての説明:
 ·  Identification of any board committee or subcommittee responsible for such oversight (if applicable); and  - サイバーセキュリティの脅威によるリスクに対する取締役会の監視の説明と、そのような監視を担当する取締役会の委員会または分科委員会の特定(該当する場合)。
 ·  Description of the process by which the board (or committee) is informed about such risks.  - 取締役会(または委員会)がそのようなリスクについて報告を受けるプロセスの説明。
+ Management’s role in  assessing and managing material risks from cybersecurity threats.   ・サイバーセキュリティの脅威による重大リスクのアセスメントと管理におけるマネジメントの役割。
Including: 以下を含む:
 ·  Whether and which management positions or committees are responsible for assessing and managing such risks, and the relevant expertise of such persons or members in such detail as necessary to fully describe the nature of the expertise;  - そのようなリスクのアセスメントと管理に責任を負うマネジメントの役職または委員会の有無と、そのような役職または委員会のメンバーの関連する専門知識を、その専門知識の性質を十分に説明するために必要な限り詳細に記載する;
 ·  The processes by which such persons or committees are informed about and monitor the prevention, mitigation, detection, and remediation of cybersecurity incidents; and
 - そのような担当者または委員会が、サイバーセキュリティインシデントの予防、低減、検知、および是正について通知を受け、監視するプロセス。
 ·  Whether such persons or committees report information about such risks to the board of directors or a committee or subcommittee of the board of directors  - そのような担当者または委員会が、そのようなリスクに関する情報を取締役会または取締役会の委員会もしくは小委員会に報告するかどうか。
The above list is not all-inclusive. Registrants should additionally disclose whatever information is necessary, based on their facts and circumstances, for a reasonable investor to understand their cybersecurity processes. 上記のリストはすべてを網羅するものではない。登録者は、合理的な投資家が自社のサイバーセキュリティプロセスを理解するために、自社の事実と状況に基づいて必要な情報を追加的に開示すべきである。
Comparable disclosures are required by foreign private issuers on Form 20-F. 同様の開示は、外国の非公開発行体がフォーム20-Fで要求している。
CPAs CAN HELP! 公認会計士も協力できる!
Start a conversation with your CPA. In addition to being well versed in SEC disclosure, CPAs understand business and financial risk. Cybersecurity is another type of risk that a business must manage, and CPAs are able to put cybersecurity risks in perspective against other business risks that their clients may be facing. CPAs understand the environment in which businesses operate, and can use their knowledge of the client’s industry and local market influences to help offer perspective about how cybersecurity considerations fit with other business risks. In addition to providing insights regarding cybersecurity disclosures, CPAs can assess and report on cybersecurity processes and disclosures. Obtaining any level of assurance by a CPA involves obtaining an understanding of the processes, systems, and data, as appropriate, and then assessing the findings in order to support an opinion or conclusion. Further, CPAs: 公認会計士と話を始めよう。公認会計士はSECの情報開示に精通しているだけでなく、ビジネスリスクや財務リスクを理解している。サイバーセキュリティは、ビジネスがマネジメントしなければならないもう一つのタイプのリスクであり、CPAは、クライアントが直面しているかもしれない他のビジネスリスクと照らし合わせてサイバーセキュリティのリスクを考えることができる。公認会計士はビジネス環境を理解しており、クライアントの業界や地域市場の影響に関する知識を活用して、サイバーセキュリティへの配慮が他のビジネスリスクとどのように適合するかという視点を提供することができる。サイバーセキュリティの開示に関する見識を提供するだけでなく、公認会計士はサイバーセキュリティのプロセスと開示に関する評価と報告も行うことができる。公認会計士がどのようなレベルの保証を取得する場合でも、プロセス、システム、データについて適宜理解を深め、意見または結論を裏付けるために所見を評価することが含まれる。さらに、公認会計士は次のような能力を有している:
+  Have a long history of and are highly experienced at independently gathering evidence to assess internal controls and the reliability and accuracy of data and information that is used to make decisions and is reported externally. ・内部統制や、意思決定に使用され外部に報告されるデータおよび情報の信頼性と正確性を評価するための証拠を独自に収集することに長い歴史があり、その経験も豊富である。

+  Are required by professional standards to plan and perform assurance engagements with professional skepticism. ・専門家として懐疑的に保証業務を計画し,実施することが標準によって要求されている。
+  Are experienced in reporting on compliance with various established standards and frameworks. ・様々な標準やフレームワークへの準拠を報告する経験を有する。
+  Are required to maintain a system of quality control that is designed to provide the CPA firm with confidence that its engagement partners and staff complied with applicable standards and the reports issued by the CPA firm are appropriate. ・公認会計士事務所には、その業務執行社員及びスタッフが適用される基準を遵守し、公認会計士事務所が発行する報告書が適切であるとの確信を提供するように設計された品質管理システムを維持することを求められている。
+  Are required to adhere to continuing professional education, independence, ethics and experience requirements, including specialized training. ・継続的な専門教育、独立性、倫理及び経験(専門教育を含む)の遵守が求められる。
Additional resources その他のリソース
+  Helping Companies Meet the Challenges of Managing Cybersecurity Risk ・サイバーセキュリティリスクマネジメントの課題への企業の対応を支援する。
+ Cybersecurity Risk Management Oversight: A Tool for Board Members ・サイバーセキュリティ・リスクマネジメントの監督: 取締役会メンバーのためのツール
+ SOC for Cybersecurity: Information for organizations ・サイバーセキュリティのためのSOC: 組織のための情報
+ CGMA Cybersecurity Tool ・CGMAのサイバーセキュリティツール
+ AICPA’s Description Criteria for Management’s Description of the Entity’s Cybersecurity Risk Management Program ・事業体のサイバーセキュリティ・リスク管理プログラムに関するマネジメントの説明のための AICPA の説明基準
+ AICPA’s Trust Services Criteria ・AICPA のトラストサービス基準

 

Endnotes
1   Source: https://www.sec.gov/news/press-release/2021-154
2   Source: https://www.sec.gov/rules/final/33-8124.htm Exchange Act Rules 13a-14 and 15d-14 
3   Source: https://www.sec.gov/rules/final/33-8124.htm
4   Source: https://www.sec.gov/rules/final/2023/33-11216.pdf
5   According to the SEC’s discussion of the final amendments , “information is material if ‘there is a substantial likelihood that a reasonable shareholder would  consider it important in making an investment decision, or if it would have ‘significantly altered the ‘total mix’ of information made available.’” Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Final Rule (pg 80)
SECの最終改正に関する議論によると、「合理的な株主が投資判断を行う際に重要視する可能性が相当程度ある場合、または入手可能な情報の "総合的な組み合わせ "を大幅に変更する可能性がある場合、その情報は重要である」とされている。
https://www.sec.gov/rules/final/2023/33-11216.pdf
6   The proposed rule discussion materials noted several cybersecurity incident disclosure requirements adopted by various industry regulators and contractual counterparties and stated that “All of the aforementioned data breach disclosure requirements may cover some of the material incidents that companies would need to report under the proposed amendments, but not all incidents.” Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Proposed Rule (pg 58)
規則案の討議資料では、様々な業界規制当局や契約相手先が採用しているサイバーセキュリティインシデント開示要件がいくつかあることに言及し、"前述のデータ漏洩開示要件はすべて、改正案に基づき企業が報告する必要がある重要なインシデントの一部をカバーする可能性はあるが、すべてのインシデントをカバーするわけではない "と述べている。
https://www.sec.gov/files/rules/proposed/2022/33-11038.pdf
7   Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Final Rule (pg 37) 
SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示 提案規則 SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示 最終規則
https://www.sec.gov/rules/final/2023/33-11216.pdf
8   Source: https://www.sec.gov/rules/final/2023/33-11216.pdf
9   Source: SEC Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Proposed Rule (pg 8) 
SECサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示規則案
https://www.sec.gov/files/rules/ proposed/2022/33-11038.pdf
10 Source: https://www.sec.gov/rules/final/2023/33-11216.pdf 
11 Cybersecurity Risk Management Oversight: A Tool for Board Members
サイバーセキュリティ・リスクマネジメントの監督: 取締役会メンバーのためのツール
https://thecaqprod.wpengine.com/wp-content/uploads/2019/03/caq_cybersecurity_ risk_management_oversight_tool_2018-04.pdf
Source: https://www.sec.gov/rules/final/2023/33-11216.pdf

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

採択後...

・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。

 

これが採択された段階...

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択



案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

 

| | Comments (0)

2023.09.23

個人情報保護委員会 デジタル庁の公金受取口座誤登録事案、富士通 Japanが開発したシステムが複数自治体で申請者以外の証明書を交付した事案について行政上の対応を公表 (2023.09.20)

こんにちは、丸山満彦です。

個人情報保護委員会が、第254回個人情報保護委員会を開催し、デジタル庁の公金受取口座誤登録事案、富士通 Japanが開発したシステムが複数自治体で申請者以外の証明書を交付した事案について行政上の対応を公表していますね。。。

ニュースでは、個人情報保護委員会が、デジタル庁と国税庁に行政指導をしたことが話題になっていたりしますね。。。個人情報保護員会は、行政委員会で、)内閣府設置法49条・64条に基づき設置される内閣府の外局で、国家公務員法3条に基づき内閣に設置されるいわゆる第三条委員会に準じた独立性をもっている組織ですね。。。個人情報保護委員長は、衆参両議院の同意を得て内閣総理大臣が任命することになっています。。。これは個人情報保護委員会の前身の特定個人情報保護委員会の設置を検討するときに、政府機関も含めて監督できるようにしないと国民の信頼も得にくいし、EUを意識しても当然そうすべきだよ、、、という話をしていました。。。

 

1_20230923062201

 

まずは、公金受取口座誤登録事案...

 

個人情報保護委員会

・2023.09.20 公金受取口座誤登録事案に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について

・[PDF] 公金受取口座誤登録事案に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について 

20230923-60715

・[PDF] デジタル庁に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について 

20230923-62407

・[PDF] 国税庁に対する特定の個人を識別するための番号の利用等に関する法律に基づく行政上の対応について 

20230923-62418

 

デジタル庁側の発表...

セキュアバイデザインをちゃんとしますと言っております。。。

 

デジタル庁

・2023.09.20 個人情報保護の更なる強化について

・[PDF] 個人情報保護の更なる強化について

20230923-62610

国税庁は特段発表していませんね。。。

 


 

つぎは、富士通Japanの案件...

・2023.09.20 コンビニ交付サービスにおける住民票等誤交付事案に対する個人情報の保護に関する法律に基づく行政上の対応について

・[PDF] コンビニ交付サービスにおける住民票等誤交付事案に対する個人情報の保護に関する法律に基づく行政上の対応について


20230923-62455

参考

piyolog

富士通JapanのMICJETで相次ぎ発生した証明書誤交付についてまとめてみた

| | Comments (0)

2023.09.22

カーネギーメロン大学 ソフトウェア工学研究所 ソフトウェアコストの見積もりが時間とともに変化する理由と、DevSecOpsデータがコストリスクの低減に役立つ方法

こんにちは、丸山満彦です。

システム開発に不確実性はつきもので、それをうまくコントロールすることで、システム開発プログラムは成功したり、失敗したりするわけですが、、、

まずは、不確実性が伴うものですよ。。。というのは、すべての利害関係者が理解しておくべきことで、それがどの程度あるのか、というのをタイムリーに共有しておくことがいろいろなトラブルを防ぐ上でも重要なのでしょうね。。。

とはいえ、いろいろと背景を背負っているので、頭の中ではわかっていても、言葉や文字に落とせないこともあり、そういうことがトラブルの原因となっているのでしょうね。。。しらんけど。。。

カーネギーメロン大学のソフトウェア工学研究所に次の文書は興味深いですね。。。

 

Carnegie Mellon UniversitySoftware Engineering Institute

・ 2023.09.21 Why Your Software Cost Estimates Change Over Time and How DevSecOps Data Can Help Reduce Cost Risk

 

・[PDF]

20230922-105812

 

Introduction  序文 
Program managers (PMs) must realize that early estimates are likely to be off by over 40 percent and that programs need to continually update estimates as additional information becomes available. It is important to understand how program risks can impact cost estimates. Tracking items—such as the decisions that have not yet been made, stability of the top capabilities needed, and measurements derived from the DevSecOps pipeline—can all help program management offices (PMOs) better understand program uncertainties that can impact estimates and help increase confidence in estimates over time.  プログラムマネージャ(PM)は、初期の見積もりは40%以上外れる可能性があり、追加情報が入手可能になるにつれて、プログラムは継続的に見積もりを更新する必要があることを認識しなければならない。プログラムのリスクがコスト見積もりにどのような影響を与えるかを理解することが重要である。まだ決定されていない事項、必要とされる上位の能力の安定性、DevSecOpsパイプラインから得られる測定値などの追跡項目はすべて、プログラム管理オフィス(PMO)が見積もりに影響を与える可能性のあるプログラムの不確実性をよりよく理解し、時間の経過とともに見積もりの信頼性を高めるのに役立つ。
DoD Program Estimation Background  国防総省のプログラム見積もりの背景 
Department of Defense (DoD) programs are required to perform cost analyses at various stages of the program lifecycle. For Acquisition Category I (ACAT I) programs, an independent cost estimate is required for each milestone review. These estimates must be approved by the director, Cost Assessment and Program Evaluation (DCAPE), and their fidelity should increase at each successive review as program uncertainties resolve over time. New uncertainties may unfold as the program progresses, but in general, overall uncertainty should progressively be reduced.   国防総省(DoD)のプログラムでは、プログラムライフサイクルの様々な段階でコスト分析を行うことが求められている。取得カテゴリーI(ACAT I)プログラムでは、各マイルストーンのレビューにおいて、独立したコスト見積りが要求される。これらの見積もりは、DCAPE(Cost Assessment and Program Evaluation:コスト評価・プログラム評価)ディレクターの承認を得なければならない。プログラムの進行に伴い、新たな不確実性が発生する可能性はあるが、 一般的には、全体的な不確実性は徐々に低減していくはずである。 
When discussing software cost estimates, it is important to remember this quote by Steve McConnell: “The primary purpose of software estimation is not to predict a project’s outcome; it is to determine whether a project’s targets are realistic enough to allow the project to be controlled to meet them.” A project should not be a “random walk;” instead, it should be a walk with a sequence of course corrections. A sound estimate assures that the outcome is achievable with the available time and resources.   ソフトウエアのコスト見積もりについて議論するとき、スティーブ・マッコー ネル(Steve McConnell)の次の言葉を思い出すことが重要である。"ソフトウ ェア見積もりの主な目的は、プロジェクトの結果を予測することではない。プロジェクトは "ランダムウォーク "であってはならない。健全な見積もりは、結果が利用可能な時間と資源で達成可能であることを保証する。 
The cost estimation process typically starts during an analysis of alternatives (AoA), which is performed during the Materiel Solution Analysis phase leading up to Milestone A. An AoA includes a lifecycle cost baseline for each alternative, the lifecycle cost per unit system, and the lifecycle cost per specified quantity of systems. The AoA is typically performed under contract. The program office typically has a cost section staffed by a combination of military, civilian, and contactors. The program office is ultimately responsible for the program office estimate (POE).  AoAには、各代替案のライフサイクルコスト・ベースライン、単位システム当たりのライフサイクルコスト、特定数量のシステム当たりのライフサイクルコストが含まれる。AoA は通常、契約に基づいて実施される。プログラムオフィスには、通常、軍、民間、コンタクターが組み合わされたコストセクションがある。プログラム事務局は、プログラム事務局見積もり(POE)の最終責任を負う。
Design: REV-03.18.2016.0 | Template: 01.26.2023 設計を行う: REV-03.18.2016.0 | テンプレート 01.26.2023
Typically, multiple contractors submit proposals for the Technology Maturation and Risk Reduction phase. Estimates derived from these proposals are often used to further refine the POE.  通常、複数の契約者が技術熟成とリスク低減フェーズに提案書を提出する。これらの提案から得られた見積もりは、POEをさらに精緻化するために使用されることが多い。
All the POEs should follow the guidance from the DoD Cost Estimation Guide  [DoD 2020]. This guide calls for the estimation to account for risk:  すべての POE は、国防総省コスト見積もりガイド[DoD 2020]のガイダンスに従うべきである。このガイドでは、リスクを考慮した見積りを行うよう求めている: 
A risk is a potential future event or condition that may have a negative effect on cost, schedule, and/or performance. An opportunity is a potential future event or condition that may have a positive effect on cost, schedule, and/or performance. Risk/opportunities have three characteristics: a triggering event or condition, the probability that event or condition will occur, and the consequence of the event or condition should it occur. Analysts often use the terms risk and uncertainty interchangeably. In fact, they are distinct from one another. Uncertainty is the indefiniteness of the outcome of a situation. Uncertainty captures the entire range of possible positive and negative outcomes associated with a given value or calculated result. In a cost estimating model, an analyst generally addresses uncertainty first. The analyst then addresses risks/opportunities if and only if the uncertainty assessment has not already captured them.  リスクとは、コスト、スケジュール、および/またはパフォーマンスに悪影響を及ぼす可能性のある、将来の潜在的な事象または状態のことである。リスクとは、コスト、スケジュール及び/又はパフォーマンスにマイナスの影響を及ぼす可能性のある潜在的な将来の事象又は状態である。リスク/機会には3つの特徴がある:引き金となる事象や条件、その事象や条件が発生する確率、万が一発生した場合の結果である。アナリストは、リスクと不確実性という用語をしばしば同じ意味で使用する。実際には、両者は別物である。不確実性とは、ある状況の結果が確定できないことである。不確実性は、所与の値や計算結果に関連する正負の結果の可能性の全範囲を捉える。コスト見積もりモデルでは、分析者は一般的にまず不確実性に対処する。次に、不確実性アセスメントがまだリスク/機会を捕捉していない場合にのみ、リスク/機会に対処する。
Another way to look at risk in cost estimates and the changes in estimates as a program progresses is using a framework called the Cone of Uncertainty. The first use of the actual term Cone of  コスト見積りにおけるリスクと、プログラムの進行に 伴う見積りの変化を見るもう一つの方法は、不確実性コーン と呼ばれるフレームワークを使用することである。コーン・オブ・アン ケラティという実際の用語が初めて使用されたのは、ソフ トウェアの開発者であった。
Uncertainty for software was by Steve McConnell is his book, Software Project Survival Guide [McConnell 1997]. Chris Adams provides a good summary of this concept on the web [Adams 2023]; we discuss this concept in the next section.  Uncertainty (不確実性コーン)という実際の用語をソフトウェアに初めて使用したのは、スティーブ・マコーネル(Steve McConnell)の著書「ソフトウェア・プロジェクト・サバイバル・ガイド」[McConnell 1997]である。クリス・アダムスは、ウェブ上でこの概念の良い要約を提供している[Adams 2023]。
The Cone of Uncertainty Background  不確実性コーンの背景 
The Cone of Uncertainty is a term often used in project management that describes the phenomenon by which project unknowns decrease over time. The Cone of Uncertainty framework is used in software estimation to determine the most likely outcome; Chris Adams describes it as follows [Adams 2023]:  不確実性コーンとは、プロジェクトマネジメントでよく使われる用語で、プロジェクトの未知数が時間とともに減少する現象を表す。不確実性コーンのフレームワークは、最も可能性の高い結果を決定するためにソフトウェアの見積もりで使用される。Chris Adamsはそれを次のように説明している[Adams 2023]: 
As the project proceeds and more research and development is completed the amount of uncertainty decreases, eventually approaching zero. Project unknowns, or uncertainty, largely correlate to variances in project estimates.  Plotting these variances over time creates a cone or funnel shape (variance percentages shown are only examples, values may vary).  プロジェクトが進行し、より多くの研究開発が完了するにつれて、不確実性の量は減少し、最終的にはゼロに近づく。プロジェクトの未知数、つまり不確実性は、プロジェクトの見積もりにおける差異と大きく相関している。 これらのばらつきを経時的にプロットすると、円錐形または漏斗形になる(示されているばらつきのパーセンテージはあくまで例であり、値は異なる場合がある)。
1_20230922110201
Figure: Cone of Uncertainty (This file is made available under the Creative Commons CC0 1.0 Universal Public Domain Dedication File:Cone of Uncertainty.jpg - Wikimedia Commons)  図: 不確実性コーン形(このファイルは、クリエイティブ・コモンズ CC0 1.0 Universal Public Domain Dedication File:Cone of Uncertainty.jpg - Wikimedia Commonsの下で利用可能である。) 
The Cone of Uncertainty and Iterative Development  不確実性コーンと反復開発 
Applying the Cone of Uncertainty to iterative projects is somewhat more involved than applying it to sequential projects.  不確実性コーン」を反復プロジェクトに適用するのは、逐次プロジェクトに適用するよりもやや複雑である。
If you are working on a project that completes a full development cycle in each iteration (i.e., requirements definition through release), then you will go through a miniature cone during each iteration. Before you do the requirements work for the iteration, you will be at the Approved Product Definition part of the cone, which is subject to 4x the variability from high to low estimates.   各反復(すなわち、要件定義からリリースまで)で完全な開発サイクルを完了するプロジェクトに取り組んでいる場合、各反復の間にミニチュアコーンを通過することになる。イテレーションの要件作業を行う前に、あなたは円錐の承認済み製品定義の部分にいることになり、この部分は、高い見積もりから低い見積もりまで、4倍の変動の影響を受ける。 
In short iterations (less than a month), you can move from Approved Product Definition to Requirements Complete and User Interface Design Complete in a few days, which reduces your variability from 4x to 1.6x. If your schedule is fixed, the 1.6x variability applies to the specific features you can deliver in the time available rather than to the effort or schedule.  短いイテレーション(1ヶ月未満)では、数日で承認済み製品定義から要件完了とユーザーインターフェイス設計完了に移行できるため、変動は4倍から1.6倍に減少する。スケジュールが固定されている場合、1.6倍の変動は、労力やスケジュールではなく、利用可能な時間で提供できる特定の機能に適用される。
Although there are many uncertainties that affect predictability, requirements flow down to design and implementation decisions. Approaches that delay a full requirements specification until the beginning of each iteration also delay narrowing the cone of uncertainty—with respect to cost, schedule, and feature delivery—several iterations down the road. It is difficult, after all, to know when your project will be done if you do not at least specify what done looks like. Your program might highly prioritize flexibility, or it might prefer projects with more predictability.  予測可能性に影響する不確定要素はたくさんあるが、要件は設計と実装の決定に流れ込む。各反復の開始まで完全な要求仕様を遅らせるアプローチは、コスト、スケジュール、および機能の提供に関して、不確実性コーンを数回先の反復まで狭めることも遅らせる。結局のところ、少なくとも完了がどのようなものかを特定しなければ、プロジェクトがいつ完了するかを知ることは難しい。あなたのプログラムは、柔軟性を非常に優先するかもしれないし、より予測可能なプロジェクトを好むかもしれない。
Many development teams settle on a middle ground between flexibility and predictability in which a majority of requirements are defined at the front end of the project, but design, construction, test, and release are performed in short iterations. In other words, the project moves sequentially through the User Interface Design Complete milestone about 30% of the calendar time into the project, and then shifts to a more iterative approach from that point forward. This approach drives down the variability from the cone to about ±25 percent, which allows for project control that is good enough to hit targets while still tapping into the major benefits of iterative development.   多くの開発チームは、柔軟性と予測可能性の中間点に落ち着き、プロジェクトのフロントエンドで要件の大部分を定義するが、設計、構築、テスト、リリースは短いイテレーションで実行する。言い換えれば、プロジェクトは、ユーザーインターフェイス設計完了のマイルストーンを、プロジェクト開始の約30%のカレンダータイムで順次通過し、その時点から、より反復的なアプローチに移行する。このアプローチでは、コーンからの変動幅を±25%程度に抑えることができ、反復型開発の主なメリットを活用しながらも、目標を達成するのに十分なプロジェクトコントロールが可能になる。 
Project teams can leave some amount of planned time for as-yet-to-be-determined requirements at the end of the project. Doing that introduces some minor variability related to the feature set, which, in this case, is positive variability because you will exercise it only if you identify new desirable features to implement. This middle ground supports long-range predictability of cost and schedule as well as a moderate amount of requirements flexibility [Construx 2023]. Even when using this method, unless there is a large user-driven change in the capability needed for the project, the requirements volatility should decrease over time.   プロジェクトチームは、プロジェクトの最後に、まだ決定していない要件のために、ある程度の計画時間を残すことができる。そうすることで、機能セットに関する若干の変動性が生じるが、この場合は、実装すべき新しい望ましい機能を特定した場合にのみ行使することになるので、プラスの変動性である。この中間領域は、コストとスケジュールの長期的な予測可能性と、要件の適度な柔軟性をサポートする[Construx 2023]。この方法を使用する場合でも、プロジェクトに必要な能力にユーザー主導の大きな変更がない限り、要件の変動性は時間の経過とともに減少するはずである。 
Risk and Uncertainty  リスクと不確実性 
Glen Alleman stated the following about uncertainty [Alleman 2018]:   グレン・アレマンは不確実性について次のように述べている[Alleman 2018]:  
Uncertainty comes from the lack information to describe a current state or to predict future states, preferred outcomes, or the actions needed to achieve them. This uncertainty can originate from random naturally occurring processes of the program (Aleatory Uncertainty). Or it can originate from the lack of knowledge about the range of future outcomes from the work on the program (Epistemic Uncertainty).  不確実性は、現在の状態を説明したり、将来の状態、望ましい結果、またはそれらを達成するために必要な行動を予測したりするための情報が不足していることから生じる。この不確実性は、プログラムで自然に発生するランダムなプロセス(Aleatory Uncertainty)に由来することがある。あるいは、プログラムの作業から得られる将来の結果の範囲に関する知識の欠如に起因することもある(認識論的不確実性)。
Aleatory uncertainty can be thought of as common cause variation that is natural to the system. Epistemic uncertainty results from an incomplete understanding or characterization (e.g., a lack of understanding the range of natural variation or incomplete requirements). Finally, ontological uncertainty can be thought of as unknown-unknowns. Whereas epistemic uncertainty represents an incomplete understanding of something we know of, an ontological uncertainty appears as a complete surprise. Ontological uncertainty is often a form of special cause variation that was not anticipated or precedented.   Aleatory Unertaintyは、システムにとって自然な共通の原因による変動と考えることができる。認識論的不確実性は、不完全な理解や特徴付け(例えば、自然変動の範囲や不完全な要件の理解不足)から生じる。最後に、存在論的不確実性は、未知の未知と考えることができる。認識論的不確実性が、我々が知っている何かについての不完全な理解を代表するのに対して、存在論的不確実性は、完全な驚きとして現れる。存在論的不確実性は、多くの場合、予期されていなかったり先行していなかったりする特別な原因による変動である。 
Common cause variation cannot be specifically reduced through management action; instead, it requires technical change. However, in Agile development, several approaches are commonly used to reduce epistemic uncertainty (incomplete knowledge). Frequent increments and product demonstrations allow feedback from both the users and the development process. Feedback with an incomplete product allows unforeseen uses, requirements, or component interactions to be discovered. Development spikes are designed to uncover information (e.g., about performance).   一般的な原因によるばらつきは、マネジメントの行動によって特に減らすことはできない。しかし、アジャイル開発では、認識論的不確実性(不完全な知識)を低減するために、いくつかのアプローチが一般的に使用される。頻繁なインクリメントと製品のデモンストレーションは、ユーザーと開発プロセスの両方からのフィードバックを可能にする。不完全な製品でのフィードバックにより、予期しない用途、要件、またはコンポーネントの相互作用が発見される。開発スパイクは、情報(性能など)を発見するために設計される。 
Sequencing work such that important but uncertain features and capabilities start earlier, not only enables using what was learned in refining and developing those capabilities to “buy down” overall uncertainty, but it also reduces the remaining uncertainty later in the program when there is less opportunity to recover. Taking any or all of these actions early in a program can help improve the accuracy of the overall cost estimate and reduce risk exposure.  重要だが不確実な機能や能力をより早い段階から開始するような作業の順序を決めることで、それらの能力を洗練し開発する際に学んだことを使用して、全体的な不確実性を「買い取る」ことができるだけでなく、回復する機会が少ないプログラムの後半に残る不確実性を低減することもできる。プログラムの初期段階で、これらの措置のいずれか、またはす べてを講じることは、全体的なコスト見積もりの精度を改善し、リ スクエクスポージャーを低減するのに役立つ。
The level of risk and cost estimation uncertainty can also be viewed from the perspective of the lifecycle phases of a system’s development. Even in agile development, it is important to understand the top-level capabilities needed at the start of the program. In the Software Acquisition Pathway, these are described in a capability needs statement [DAU 2023]. These capabilities may change based on operational needs, but requirements changes may increase risk and can lead to increased cost if other capabilities are not swapped out.   リスクとコスト見積もりの不確実性のレベルは、システム開 発のライフサイクルフェーズの観点から見ることもできる。アジャイル開発においても、プログラム開始時に必要とされるトップレベルの能力を理解することが重要である。ソフトウェア取得経路では、これらは能力ニーズ記述書[DAU 2023]に記述される。これらの能力は運用上のニーズに基づいて変更される可能性があるが、要件の変更はリスクを増大させる可能性があり、他の能力を入れ替えなければコスト増につながる可能性がある。 
Another important aspect to consider for reducing risk is to focus on the architecture early in the program. Ensuring the architecture is suitable for both the functional and non-functional requirements can help ensure that large-scale architecture changes will not be required later in the program. A facet of DevSecOps that can reduce risk is early integration and automated testing. The earlier you start integrating and testing code, the sooner any issues or defects can be found. This approach can also reduce overall risks and increase the confidence in cost estimates.  リスクを低減するために考慮すべきもう一つの重要な点は、プログラムの早い段階でアーキテクチャーに焦点を当てることである。アーキテクチャーが機能要件と非機能要件の両方に適していることを確認することで、プログラムの後半で大規模なアーキテクチャー変更が必要にならないようにすることができる。リスクを低減できるDevSecOpsの一面は、早期の統合と自動テストである。コードの統合とテストの開始が早ければ早いほど、問題や不具合を早期に発見することができる。このアプローチは、全体的なリスクを低減し、コスト見積もりの信頼性を高めることもできる。
Some areas to consider when determining your estimation uncertainty include  見積もりの不確実性を判断する際に考慮すべき領域には、次のようなものがある。
1. the decisions that have been made (e.g., reuse, computer languages, architecture)  1. 決定したこと(再利用、コンピュータ言語、アーキテクチャなど)。
2. what has been discovered (i.e., known unknowns and unknown unknowns)  2. 発見されたこと(すなわち、既知の未知と未知の未知)。
3. the overall scope and amount of requirements growth  3. 要件の全体的な範囲と増加量 
4. what can be measured to help understand how much uncertainty remains  4. 不確実性がどの程度残っているかを理解するために測定できるもの 
How Metrics from DevSecOps Pipeline Data Can Help Reduce Estimation Risk  DevSecOpsのパイプラインデータから得られるメトリクスは、見積もりリスクの低減にどのように役立つか 
Metrics can help the program management team better understand and estimate program status and risks. Although measurement does not by itself reduce risk, measurement informs decisions that can reduce risk. Some metrics can originate from contract data requirements list (CDRL) deliveries, such as an earned value management (EVM) report or a metrics report. CDRLs typically provide data from the last one or two months. In modern software development, data obtained from the DevSecOps environment can provide real-time, helpful information.   メトリクスは、プログラムマネジメントチームがプログラムのステータスとリスクをよりよく理解し、見積もるのに役立つ。測定自体がリスクを低減するわけではないが、測定はリスクを低減する意思決定に役立つ。メトリクスの中には、アーンド・バリュー・マネジメント(EVM)レポートやメトリックス・レポートなど、契約データ要件リスト(CDRL)から得られるものもある。CDRLは通常、直近1~2ヶ月のデータを提供する。最新のソフトウェア開発では、DevSecOps環境から得られるデータは、リアルタイムの有益な情報を提供することができる。 
A few metrics you can obtain through the pipeline to better understand and reduce estimation uncertainty include the following:  見積もりの不確実性をよりよく理解し、低減するために、パイプラインを通じて取得できるメトリクスには、次のようなものがある: 
1. Completion Rate Volatility: An example of measuring completion rate volatility is measuring changes in sprint velocity to detect uncertainty. If teams properly estimate their sprint velocity and consistently work at the estimated rate, then overall uncertainty can be reduced because you have more confidence that the epistemic uncertainty has been quantified as a common cause variation and special cause (ontological uncertainty) variations can be identified and addressed. Likewise, teams that start with “low hanging fruit” may gain a false sense of confidence unless they recognize that completion rates closely match the actual progress for easier tasks.    1. 完了率のボラティリティ: 完了率のボラティリティを測定する例として、スプリント・ベロシティの変化を測定して不確実性を検知する方法がある。チームがスプリントベロシティを適切に見積もり、一貫して見積もりレートで作業していれば、認識的不確実性が共通原因の変動として定量化され、特別な原因(識別的不確実性)の変動を特定して対処できるという確信が持てるため、全体的な不確実性を低減できる。同様に、「低くぶら下がった果実」から始めるチームは、完了率がより簡単なタスクの実際の進捗と密接に一致していることを認識しない限り、誤った自信感を得る可能性がある。  
2. Capability Development Progress: Your pipeline can provide data on how many capabilities are fully developed, how many are in progress, and how many remain in the backlog. When working in program increments, it is possible for capabilities to remain incomplete and for predecessors to create dependencies in other areas. Understanding how capability development compares to the plan can help reprioritize work so that key capabilities reach completion. This approach can also help you better understand what uncertainty may remain in your estimates.  2. 能力開発の進捗: パイプラインは、いくつの能力が完全に開発され、いくつの能力が進行中で、いくつの能力がバックログに残っているかについてのデータを提供することができる。プログラムインクリメントで作業する場合、ケイパビリティが未完成のままであったり、前任者が他の領域で依存関係を作成したりする可能性がある。ケイパビリティの開発が計画と比較してどうなっているかを理解することは、重要なケイパビリティが完成に達するように作業の優先順位をつけ直すのに役立つ。また、このアプローチは、見積もりにどのような不確実性が残っているかをよりよく理解するのにも役立つ。
3. Software Quality: Your DevSecOps pipeline should include static and dynamic code scanning tools. These tools, along with counts of defects discovered during testing, allow the PMO to better understand aspects of quality that can cause (1) delays in testing, (2) rework, or (3) operational failures. Good quality software not only requires less time to correct errors rather than produce a new product, but it also increases confidence in the estimates’ accuracy and precision.  3. ソフトウェアの品質: DevSecOpsパイプラインには、静的および動的コードスキャンツールを含めるべきである。これらのツールは、テスト中に発見された不具合の数とともに、PMOが(1)テストの遅延、(2)手戻り、(3)運用上の不具合の原因となる品質の側面をよりよく理解することを可能にする。良質なソフトウエアは、新しい製品を生産するよりも、エラーを修正する時間の方が短いだけでなく、見積もりの正確さと精度の信頼性を高める。
4. User Acceptance: One of the main tenets of agile development is user involvement. If users are regularly involved in end-of-sprint and/or end-of-increment demonstrations, then the PMO can gain an early understanding of how users are reacting to the capabilities being developed. If the user reaction is positive and the number of changes requested is in line with the estimated work, then this can also increase confidence in the initial estimate. On the other hand, unplanned rework can result in additional costs and delays, unless other work is removed to allow the new work requested by the user to take priority within the schedule and budget.   4. ユーザー受容: アジャイル開発の主な考え方の1つは、ユーザーの参加である。ユーザが定期的にスプリント終了時やインプリメント終了時のデモに参加すれば、PMOは開発中の機能に対するユーザの反応を早期に理解することができる。ユーザーの反応が肯定的で、要求された変更の数が見積もり作業と一致している場合、これは初期見積もりの信頼性を高めることにもなる。一方、ユーザーから要求された新しい作業がスケジュールと予算内で優先されるように、他の作業が削除されない限り、計画外の手戻りは追加コストと遅延をもたらす可能性がある。 
5. Organization and Staffing: Using data from tools such as Confluence and Jira, a PMO should be able to see the development organizational structure and the number of people on each team to help understand if the project is fully staffed. Changes can also be tracked to understand staffing volatility. Staffing volatility, in turn, leads to a need to recalibrate team velocity estimates, thus increasing uncertainty until new baseline data is available. If the project is fully staffed with an organizational structure that supports it, then this can reduce estimation risks. If the project is slow to staff up or never reaches the full staffing profile, the estimate must be adjusted to reflect this.  5. 組織と人員配置: ConfluenceやJiraのようなツールのデータを使って、PMOは開発組織構造と各チームの人数を見ることができ、プロジェクトに十分な人員が配置されているかどうかを理解することができる。また、変更を追跡することで、人員配置の変動を把握することもできる。人員配置の変動は、チームベロシティの見積もりを再調整する必要性につながり、新しいベースラインデータが利用可能になるまで、不確実性を増大させる。もし、プロジェクトに十分な人員が配置され、それをサポートする組織体制が整っていれば、見積もりリスクを低減することができる。もし、プロジェクトの人員配置が遅かったり、完全な人員配置に達しなかったりする場合は、それを反映するように見積もりを調整しなければならない。
More information about using data from the DevSecOps pipeline is available in the white paper Program Managers—The DevSecOps Pipeline Can Provide Actionable Data [Cohen 2023].  DevSecOpsパイプラインからのデータの使用に関する詳細は、ホワイトペーパー「Program Managers-The DevSecOps Pipeline Can Provide Actionable Data」[Cohen 2023]に掲載されている。
The Bottom Line  結論 
The primary takeaway from this paper is that early estimates are likely to be off by over 40 percent, and programs need to continually update estimates as additional information is available. Tracking items, such as what decisions have not yet been made, the stability of the top capabilities needed, and measurements derived from the DevSecOps pipeline, can all help the PMO better understand program uncertainties that impact estimates and help increase the confidence in estimates over time.  この論文から得られる主な教訓は、初期の見積もりは40%以上外れる可能性が高く、プログラムは追加情報が入手可能になるにつれて継続的に見積もりを更新する必要があるということである。どのような決定がまだなされていないか、必要とされる上位の能力の安定性、DevSecOpsパイプラインから得られる測定値などの項目を追跡することは、PMOが見積もりに影響を与えるプログラムの不確実性をよりよく理解し、時間の経過とともに見積もりの信頼性を高めるのに役立つ。

 

 

 

 

| | Comments (0)

NIST SP 800-188 政府データセットの非識別化 (2023.09.14)

こんにちは、丸山満彦です。

NISTが、SP 800-188(政府データセットの非識別化を公表していますね。ドラフト第2版から、6年の時を経て、昨年の11月に第三ドラフトが公開され、今回確定しましたね。。。

差分プライバシーは今後ということで、非識別の話が中心です。。。

 

NIST - ITL

・2023.09.14 De-Identifying Government Datasets: Techniques and Governance | NIST Publishes SP 800-188

De-Identifying Government Datasets: Techniques and Governance | NIST Publishes SP 800-188 政府データセットの非識別化: 技術とガバナンス|NIST、SP 800-188を発表
NIST has published Special Publication (SP) 800-188, De-Identifying Government Datasets: Techniques and Governance. NISTは特別刊行物(SP)800-188「政府データセットの非識別化: 技術とガバナンス」を発行した。
De-identification removes identifying information from a data set so that the remaining data cannot be linked to specific individuals. Government agencies can use de-identification to reduce the privacy risks associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST published NIST Internal Report (IR) 8053, De-Identification of Personal Information, which provided a survey of de-identification and re-identification techniques. SP 800-188 provides specific guidance to government agencies that wish to use de-identification. 非識別化は、データセットから識別情報を削除し、残りのデータが特定の個人にリンクできないようにするものである。政府機関は、政府データの収集、処理、保管、配布、公表に関連するプライバシ ー・リスクを軽減するために、非識別化を使用することができる。以前、NIST は NIST 内部報告書(IR)8053「個人情報の非識別化(De-Identification of Personal Information)」を発行し、非識別化および再識別化技術のサーベイを提供した。SP 800-188は、非識別化の利用を希望する政府機関に具体的なガイダンスを提供する。
This final document was authored by experts at NIST and the U.S. Census Bureau and references up-to-date research and practices for both traditional de-identification approaches as well as the use of formal privacy methods, such as differential privacy to create de-identified datasets. This document also addresses other approaches for making datasets that contain sensitive information available to researchers and for public transparency. Where appropriate, this document cautions users about the inherent limitations of traditional de-identification approaches when compared to formal privacy methods, such as differential privacy. この最終文書は、NISTと米国国勢調査局の専門家によって作成され、従来の非識別化アプローチと、非識別化データセットを作成するための差分プライバシーなどの正式なプライバシー手法の両方について、最新の研究と実践を参照している。この文書では、機密情報を含むデータセットを研究者に提供し、一般に公開するための他のアプローチも取り上げている。適切な場合、本文書は、差分プライバシーなどの正式なプライバシ ー手法と比較した場合の、従来の非識別化アプローチ固有の限界について利用者に注意を促す。

 

 

・2023.09.14 NIST SP 800-188 De-Identifying Government Datasets: Techniques and Governance

NIST SP 800-188 De-Identifying Government Datasets: Techniques and Governance NIST SP 800-188 De-Identifying Government Datasets: 技術とガバナンス
Abstract 概要
De-identification is a general term for any process of removing the association between a set of identifying data and the data subject. This document describes the use of deidentification with the goal of preventing or limiting disclosure risks to individuals and establishments while still allowing for the production of meaningful statistical analysis. Government agencies can use de-identification to reduce the privacy risk associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST IR 8053, "De-Identification of Personal Information," provided a detailed survey of deidentification and re-identification techniques. This document provides specific guidance to government agencies that wish to use de-identification. Before using de-identification, agencies should evaluate their goals for using de-identification and the potential risks that releasing de-identified data might create. Agencies should decide upon a data-sharing model, such as publishing de-identified data, publishing synthetic data based on identified data, providing a query interface that incorporates de-identification, or sharing data in non-public protected enclaves. Agencies can create a Disclosure Review Board to oversee the process of de-identification. They can also adopt a de-identification standard with measurable performance levels and perform re-identification studies to gauge the risk associated with de-identification. Several specific techniques for de-identification are available, including de-identification by removing identifiers, transforming quasi-identifiers, and generating synthetic data using models. People who perform de-identification generally use special-purpose software tools to perform the data manipulation and calculate the likely risk of re-identification. However, not all tools that merely mask personal information provide sufficient functionality for performing de-identification. This document also includes an extensive list of references, a glossary, and a list of specific de-identification tools, which is only included to convey the range of tools currently available and is not intended to imply a recommendation or endorsement by NIST. 非識別化(De-identification)とは、一連の識別データとデータ主体との関連性を除去するあらゆる プロセスの総称である。本文書は、個人および事業所に対する開示リスクを防止または制限する一方で、意味のある統計 分析を可能にすることを目的とした非識別化の使用について説明する。ガバナンスは、政府データの収集、処理、保管、配布、または公表に関連するプライバシー・リスクを低減するために非識別化を使用することができる。以前、NIST IR 8053「個人情報の非識別化(De-Identification of Personal Information)」は、非識別化および再識別化技術の詳細なサーベイを提供した。本文書は、非識別化の使用を希望する政府機関に具体的なガイダンスを提供する。非識別化を使用する前に、政府機関は非識別化を使用する目的と、非識別化されたデータを公開することで生じる可能性のあるリスクを評価する必要がある。機関は、非識別化データの公開、識別されたデータに基づく合成データの公開、非識別化を組み込んだクエリ・インターフェースの提供、非公開の保護されたエンクレーブでのデータ共有など、データ共有モデルを決定する必要がある。各機関は、非識別化のプロセスを監督するために、情報開示審査委員会(Disclosure Review Board)を設置することができる。また、測定可能なパフォーマンス・レベルを持つ非識別化標準を採用し、非識別化に関連するリスクを測定するために再識別化調査を実施することもできる。識別子の除去による非識別化、準識別子の変換、モデルを使用した合成データの生成など、非識別化のためのいくつかの具体的な技術が利用可能である。非識別化を実行する人々は、一般に、データ操作を実行し、再識別化の可能性の高いリスクを計算するために、特別な目的のソフトウェア・ツールを使用する。しかし、個人情報をマスキングするだけのツールのすべてが、非識別化の実行に十分な機能を提供するわけではない。本文書には、広範な参考文献のリスト、用語集、および特定の非識別化ツールのリストも含まれているが、これは現在利用可能なツールの範囲を伝えるために含まれているに過ぎず、NISTによる推奨または推奨を意味するものではない。

 

・[PDF] NIST.SP.800-188

20230922-60430

 

エグゼクティブサマリー...

Executive Summary  要旨 
Every federal agency creates and maintains internal datasets that are vital for fulflling its mission. The Foundation for Evidence-based Policymaking Act of 2018 [2] and its Phase 1 implementation memorandum M-19-23 [168] mandate that agencies also collect and publish their government data in open, machine-readable formats when it is appropriate to do so. Agencies can use de-identifcation to make government datasets available while protecting the privacy of the individuals whose data are contained within those datasets.  すべての連邦政府機関は、その使命を果たすために不可欠な内部データセットを作成し、維持している。2018年のFoundation for Evidence-based Policymaking Act [2]とそのフェーズ1実施覚書M-19-23 [168]は、政府データも収集し、そうすることが適切な場合には、オープンで機械可読なフォーマットで公開することを義務付けている。政府は、データセットに含まれる個人のプライバシーを保護しつつ、政府データセットを利用可能にするために、個人識別の解除を利用することができる。
The U.S. Government defnes personally identifable information (PII) as “information that can be used to distinguish or trace an individual’s identity, either alone or when combined with other information that is linked or linkable to a specifc individual.”[4]  米国政府は、個人を特定できる情報(PII)を「単独で、または特定の個人に結びついたり結びつけたりできる他の情報と組み合わされた場合に、個人の身元を識別したり追跡したりするために使用できる情報」と定義している[4]。
For decades, de-identifcation based on simply removing identifying information was thought to be suffcient to prevent the re-identifcation of individuals in large datasets. Since the mid 1990s, a growing body of research has demonstrated the reverse, resulting in new pri- vacy attacks that are capable of re-identifying individuals in “de-identifed” data releases. For several years, the goals of such attacks appeared to be embarrassing the publishing agency and achieving academic distinction for the privacy researcher [65]. More recently, as high-resolution de-identifed geolocation data have become commercially available, re- identifcation techniques have been used by journalists, activists, and malicious actors [130, 170, 90] to learn information about individuals that was intended to be kept confdential. These attacks highlight the defciencies in traditional approaches to de-identifcation.  何十年もの間、単に識別情報を除去することに基づく非識別化は、大規模なデータセッ トにおける個人の再識別化を防止するのに十分であると考えられていた。1990年代半ば以降、その逆を実証する研究が増え、その結果、「非識別化」されたデータ公開の個人を再識別することができる新たなプライバシ攻撃が生まれた。数年間、このような攻撃の目的は、出版機関を困惑させ、プライバシー研究者の学術的な名誉を獲得することであったようだ[65]。より最近では、高解像度の非識別化されたジオロケーションデータが商業的に利用できるようになったため、再識別化技術がジャーナリスト、活動家、悪意のある行為者[130, 170, 90]によって利用され、秘密にしておくつもりだった個人に関する情報を知るようになっている。このような攻撃は、従来の非識別化アプローチの欠陥を浮き彫りにしている。
Formal models of privacy, like k-anonymity [151] and differential privacy [52], use mathe- matically rigorous approaches that are designed to allow for the controlled use of confden- tial data while minimizing the privacy loss suffered by the data subjects.1 Because there is an inherent trade-off between the accuracy of published data and the amount of privacy protection afforded to data subjects, most formal methods have some kind of parameter that can be adjusted to control the “privacy cost” of a particular data release. Informally, a data release with a low privacy cost causes little additional privacy risk to the participants, while a higher privacy cost results in more privacy risk. When they are available and have suffcient functionality for the task at hand, formal privacy methods should be preferred over informal ad hoc methods.  k-匿名性[151]や差分プライバシー[52]のようなプライバシーの形式的モデルは、データ主体が被るプライバシー損失を最小限に抑えながら、秘匿データの制御された使用を可能にするように設計された、数学的に厳密なアプローチを使用している。非公式には、プライバシーコストが低いデータ公開は参加者にプライバシーリスクをほとんど与えないが、プライバシーコストが高い場合はプライバシーリスクが高くなる。それらが利用可能で、手元のタスクに十分な機能を持つ場合、正式なプライバシー手法は、非公式なアドホック手法よりも優先されるべきである。
Decisions and practices regarding the de-identifcation and release of government data can be integral to the mission and proper functioning of a government agency. As such, an agency’s leadership should manage these activities in a way that ensures performance and  政府データの非識別化と公開に関する決定と機能は、政府機関の使命と適切な機能にとって 不可欠な場合がある。そのため、政府機関の指導者は、政府機関のパフォーマンスと結果を保証する方法で、これらの活動を管理する必要がある。
results in a manner that is consistent with the agency’s mission and legal authority. One way that agencies can manage this risk is by creating a formal Disclosure Review Board (DRB) that consists of legal and technical privacy experts, stakeholders within the organization, and representatives of the organization’s leadership. The DRB evaluates applications for data release that describe the confdential data, the techniques that will be used to minimize the risk of disclosure, the resulting protected data, and how the effectiveness of those tech- niques will be evaluated. The DRB’s work complements other parts of the organization, such as the Chief Information Security Offcer (CISO), who is responsible for technical controls, as well as the parts of the organization responsible for adopting administrative or organizational controls and written data-sharing agreements.  このようなリスクを管理するための一つの方法として、政府機関はこのようなリスク を管理することができる。政府機関がこのリスクをマネジメントする一つの方法は、法的および技術的なプライバシーの専門家、組織内の利害関係者、および組織のリーダーシップの代表者で構成される正式な情報開示審査委員会(Disclosure Review Board:DRB)を設置することである。DRBは、機密データ、開示リスクを最小化するために使用される技術、結果として得られる保護データ、およびそれらの技術の有効性がどのように評価されるかを記述したデータ公開申請書を評価する。DRBの活動は、技術的管理を担当する最高情報セキュリティ責任者(CISO)や、管理的または組織的管理や書面によるデータ共有契約の採用を担当する組織の他の部分を補完するものである。
Establishing a DRB may seem like an expensive and complicated administrative under- taking for some agencies. However, a properly constituted DRB and the development of consistent procedures regarding data release should enable agencies to lower the risks as- sociated with each data release, which is likely to save agency resources in the long term. Agencies can create or adopt standards to guide those performing de-identifcation and re- garding the accuracy of de-identifed data. If accuracy goals exist, then techniques such as differential privacy can be used to make the data suffciently accurate for the intended purpose but not unnecessarily more accurate, which can limit the amount of privacy loss. However, agencies must carefully choose and implement accuracy requirements. If data accuracy and privacy goals cannot be well-maintained, then releases of data that are not suffciently accurate can result in incorrect scientifc conclusions and policy decisions.  DRBを設立するのは、高価で複雑な管理作業に思える機関もあるかもしれない。しかし、適切に構成されたDRBとデータ公開に関する一貫した手順の開発により、各機関は各データ公開に伴うリスクを下げることができ、長期的には機関のリソースを節約できる可能性が高い。各機関は、非識別化の実施者および非識別化されたデータの正確性を再保持するための指針 となる標準を作成または採用することができる。精度の目標が存在する場合、差分プライバシーのような技法を使用することで、意図した目的には十分な精度を持つが、不必要に精度を上げないデータにすることができ、プライバシーの損失量を抑えることができる。しかし、機関は精度の要件を慎重に選択し、実施しなければならない。データの正確性とプライバシーの目標が十分に維持できない場合、十分に正確でないデータを公表することで、誤った科学的結論や政策決定がなされる可能性がある。
Agencies should consider performing de-identifcation with trained individuals using soft- ware specifcally designed for that purpose. While it is possible to perform de-identifcation with off-the-shelf software like a commercial spreadsheet or fnancial planning program, such programs typically lack the key functions required for sophisticated de-identifcation. As a result, they may encourage the use of simplistic de-identifcation methods, such as deleting columns that contain sensitive data categories and manually searching and removing individual data cells that appear sensitive.2 This may result in a dataset that appears de-identifed but still contains signifcant disclosure risks.  機関は、その目的のために特別に設計されたソフトウエアを使用し、訓練を受けた個人によって個人識別の解除を行うことを検討すべきである。市販の表計算ソフトや財務計画プログラムのような既製のソフトウェアで個人識別の 解除を実行することは可能であるが、そのようなプログラムには通常、高度な個人識別の 解除に必要な主要機能が欠けている。その結果、機密性の高いデータ・カテゴリーを含む列を削除したり、機密性が高いと思われる個々のデータ・セルを手作業で検索して削除したりするような、単純化された非識別化手法の使用が助長される可能性がある2 。
Finally, different countries have different standards and policies regarding the defnition and use of de-identifed data. Information that is regarded as de-identifed in one jurisdiction may be regarded as being identifable in another. This may be especially relevant in the case of international scientifc collaborations and illustrates the need for agencies that perform de-identifcation to create mechanisms for data scientists, attorneys, and policymakers to coordinate on these topics.  最後に、国によって非識別化データの定義と使用に関する標準や方針が異なる。ある法域では非識別化とみなされる情報が、別の法域では識別可能とみなされる場合がある。このことは、国際的な科学共同研究の場合に特に関連する可能性があり、データ科学者、弁護士、政策立案者がこのようなトピックについて協調するための仕組みを、非識別化を実施する機関が構築する必要性を示している。
1. While k-anonymity and differential privacy are both mathematically rigorous formal models, k-anonymity is a privacy framework based on the content of the published data, while differential privacy places bounds on the amount of information that can be learned about the confdential data from the published data.  1. k-匿名性と差分プライバシーはどちらも数学的に厳密な形式モデルであるが、k-匿名性は公開データの内容に基づくプライバシーの枠組みであり、差分プライバシーは公開データから機密データについて知ることができる情報量に境界を設けるものである。
2. For information on characterizing the sensitivity of information, see NIST SP 800-60 Volume I, Revision 1 [147].  2. 情報の機密性の特徴については、NIST SP 800-60 Volume I, Revision 1 [147]を参照のこと。

 

[2] 115th Congress (2017–2018). Public Law 115-435: The Foundations for Evidence- Based Policymaking Act of 2018. 2018. URL: https://www.congress.gov/bill/115th- congress/house-bill/4174. 第115議会(2017-2018年)。公法115-435: The Foundations for Evidence- Based Policymaking Act of 2018. 2018. URL: https://www.congress.gov/bill/115th- congress/house-bill/4174.
[4] 81 FR 49689: Revision of OMB Circular No. A-130, “Managing Information as a Strategic Resource. July 28, 2016. URL: https://www.cio.gov/policies-and- priorities/circular-a-130/. 81 FR 49689: OMB Circular No.A-130「戦略的資源としての情報の管理」の改訂。2016年7月28日。URL: https://www.cio.gov/policies-and- priorities/circular-a-130/.
[52] Cynthia Dwork et al. “Calibrating Noise to Sensitivity in Private Data Analysis”. In: Theory of Cryptography. Ed. by Shai Halevi and Tal Rabin. Berlin, Heidelberg: Springer Berlin Heidelberg, 2006, pp. 265–284. ISBN: 978-3-540-32732-5.  Cynthia Dwork et al. "Calibrating Noise to Sensitivity in Private Data Analysis". In: Theory of Cryptography. Shai Halevi and Tal Rabin. ベルリン、ハイデルベルク: Springer Berlin Heidelberg, 2006, pp.265-284. ISBN: 978-3-540-32732-5. 
[65] Simson Garfnkel. De-Identifcation of Personally Identifable Information. Tech. rep. NIST IR 8053. National Institute of Science and Technology, Nov. 2015. URL: http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf. Simson Garfnkel. 個人を特定できる情報の非識別化。技術報告書。NIST IR 8053. 国立科学技術研究所、2015年11月。URL: http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf.
[90] Leah Krehling. De-Identifcation Guideline. Tech. rep. WL-2020-01. Department of Electrical and Computer Engineering, Western University, 2020, p. 45. Leah Krehling. 非識別化ガイドライン。Tech. rep. WL-2020-01. Western University, Electrical and Computer Engineering, 2020, p. 45.
[130] “Pillar Investigates: USCCB gen sec Burrill resigns after sexual misconduct alle- gations”. In: The Pillar (July 2021). URL: https://www.pillarcatholic.com/p/pillar- investigates-usccb-gen-sec. 「Pillar Investigates: "Pillar Investigates: USCCB gen sec Burrill resigns after sexual misconduct alle- gates". In: The Pillar (July 2021). URL: https://www.pillarcatholic.com/p/pillar- investigates-usccb-gen-sec.
[147] Kevin Stine et al. Volume I: guide for mapping types of information and infor- mation systems to security categories. Gaithersburg, MD, 2008. DOI: 10.6028/ NIST.SP.800-60v1r1. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-60v1r1.pdf. Kevin Stine et al. Volume I: Guide for mapping types of information and infor- mation systems to security categories. Gaithersburg, MD, 2008. DOI: 10.6028/ NIST.SP.800-60v1r1. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-60v1r1.pdf.
[151] Latanya Sweeney. “k-anonymity: a model for protecting privacy”. In: International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10 (5 2002), pp. 557–570. Latanya Sweeney. 「k-anonymity: a model for protecting privacy". In: International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10 (5 2002), pp.
[168] Russell T. Vought. Phase 1 Implementation of the Foundations for Evidence-Based Policymaking Act of 2018: Learning Agendas, Personnel, and Planning Guidance. URL: https://www.whitehouse.gov/wp-content/uploads/2019/07/M-19-23.pdf. ラッセル・T・ヴォート Evidence-Based Policymaking Act of 2018の第1段階実施: Learning Agendas, Personnel, and Planning Guidance. URL: https://www.whitehouse.gov/wp-content/uploads/2019/07/M-19-23.pdf.
[170] Charlie Warzel and Stuart A. Thompson. “How Your Phone Betrays Democracy”. In: The New York Times (Dec. 2019). URL: https://www.nytimes.com/interactive/ 2019/12/21/opinion/location-data-democracy-protests.html. Charlie Warzel and Stuart A. Thompson. 「How Your Phone Betrays Democracy". In: The New York Times (Dec. 2019). URL: https://www.nytimes.com/interactive/ 2019/12/21/opinion/location-data-democracy-protests.html.

 

目次...

ExecutiveSummary 要旨
1. Introduction 1. 序文
1.1. DocumentPurposeandScope 1.1. 文書の目的と範囲
1.2. IntendedAudience 1.2. 想定読者
1.3. Organization 1.3. 組織
2. Introducing De-Identifcation 2. 非識別化について
2.1. Historical Context 2.1. 歴史的背景
2.2. Terminology 2.2. 用語
3. Governance and Management of Data De-Identifcation 3. データ非識別についてのガバナンスと管理
3.1. Identifying the Goals and Intended Uses of De-Identifcation 3.1. 非識別化の目的と用途を特定する。
3.2. Evaluating the Risks and Benefts That Arise from De-Identifed Data Releases 3.2. 非識別化データの公開から生じるリスクと便益の評価
3.2.1. ProbabilityofRe-Identifcation 3.2.1. 再識別の確率
3.2.2. Adverse Impacts of Re-Identifcation 3.2.2. 再識別による悪影響
3.2.3. Impacts Other Than Re-Identifcation 3.2.3. 再識別以外の影響
3.2.4. Remediation 3.2.4. 修復
3.3. Data LifeCycle. 3.3. データライフサイクル
3.4. Data-Sharing Models 3.4. データ共有モデル
3.5. The Five Safes 3.5. 5つの安全
3.6. Disclosure Review Boards 3.6. 情報開示審査委員会
3.7. De-Identifcation and Standards 3.7. 非識別化と標準
3.7.1. Benefts of Standards 3.7.1. 標準の恩恵
3.7.2. Prescriptive De-Identifcation Standards 3.7.2. 規定的な非識別化標準
3.7.3. Risk-Based De-Identifcation Standards 3.7.3. リスクベースの非識別化標準
3.8. Education, Training, and Research 3.8. 教育、訓練、研究
3.9. Alternative Approaches for Computing Statistics on Confdential Information 3.9. 機密情報の統計計算の代替アプローチ
3.9.1. Encryption and Access Control 3.9.1. 暗号化とアクセス制御
3.9.2. Secure Computation 3.9.2. 安全な計算
3.9.3. Trusted Execution Environments 3.9.3. 信頼された実行環境
3.9.4. Physical Enclaves 3.9.4. 物理的飛び地
4. Technical Steps for Data De-Identifcation 4. データ識別の技術的ステップ
4.1. Determine the Privacy, Data Usability, and Access Objectives 4.1. プライバシー、データの有用性、およびアクセスの目的を決定する。
4.2. Conducting a Data Survey 4.2. データ調査の実施
4.3. De-Identifcation by Removing Identifers and Transforming Quasi-Identifers 4.3. 識別子の削除と準識別子の変換による非識別化
4.3.1. Removing or Transforming of Direct Identifers 4.3.1. 直接識別子の除去または変換
4.3.2. Special Security Note Regarding the Encryption or Hashing of Direct Identifers 4.3.2. 直接識別子の暗号化またはハッシュ化に関する特別なセキュリティ上の注意事項
4.3.3. De-Identifying Numeric Quasi-Identifers 4.3.3. 数値的な準識別子の非識別化
4.3.4. De-Identifying Dates 4.3.4. 日付の非識別化
4.3.5. De-Identifying Geographical Locations and Geolocation Data 4.3.5. 地理的位置と地理的位置データの非識別化
4.3.6. De-Identifying Genomic Information 4.3.6. ゲノム情報の非識別化
4.3.7. De-Identifying Text Narratives and Qualitative Information 4.3.7. テキストナレーションと質的情報の非識別化
4.3.8. Challenges Posed by Aggregation Techniques. 4.3.8. 集約技術がもたらす課題。
4.3.8.1. Example 4.3.8.1. 例
4.3.9. Challenges Posed by High-Dimensiona lData 4.3.9. 高次元データによる課題
4.3.10.Challenges Posed by LinkedData 4.3.10.リンクデータによる課題
4.3.11.Challenges Posed by Composition 4.3.11.合成による課題
4.3.12.Potential Failures of De-Identifcation 4.3.12.識別の失敗の可能性
4.3.13.Post-Release Monitoring 4.3.13.公開後のモニタリング
4.4. Synthetic Data 4.4. 合成データ
4.4.1. Partially Synthetic Data 4.4.1. 部分合成データ
4.4.2. Test Data 4.4.2. テストデータ
4.4.3. Realistic Test Data 4.4.3. 現実的なテストデータ
4.4.4. Fully Synthetic Data 4.4.4. 完全合成データ
4.4.5. Synthetic Data with Validation 4.4.5. 検証付き合成データ
4.4.6. Synthetic Data and Open Data Policy 4.4.6. 合成データとオープンデータポリシー
4.4.7. Creating a Synthetic Dataset with Diferential Privacy 4.4.7. 差分プライバシーを持つ合成データセットの作成
4.5. De-Identifying with an Interactive Query Interface 4.5. 対話型クエリー・インターフェースによる非識別化
4.6. Validatinga De-Identifed Dataset 4.6. 非識別化データセットの検証
4.6.1. Validating Data Usefulness 4.6.1. データの有用性を検証する
4.6.2. Validating Privacy Protection 4.6.2. プライバシー保護の検証
4.6.3. Re-Identifcation Studies 4.6.3. 再識別の調査
5.  Software Requirements, Evaluation, and Validation 5. ソフトウェア要件、評価、検証
5.1. EvaluatethePrivacy-PreservingTechniques 5.1. プライバシー保護技術の評価
5.2. De-IdentifcationTools 5.2. 非識別化ツール
5.2.1. De-IdentifcationToolFeatures. 5.2.1. 非識別化ツールの特徴。
5.2.2. Data Provenance and File Formats 5.2.2. データ証明とファイルフォーマット。
5.2.3. Data Masking Tools 5.2.3. データ・マスキング・ツール
5.3. Evaluating De-Identifcation Software 5.3. 非識別化ソフトウェアの評価
5.4. Evaluating Data Accuracy 5.4. データ精度の評価
6. Conclusion 6.結論
References 参考文献
A.Standards A.標準
A.1.NIST Publications A.1.NISTP出版物
A.2.Other U.S. Government Publications A.2.その他の米国政府刊行物
Selected Publications by Other Governments その他の政府刊行物。
Reports and Books 報告書および書籍
How-To Articles ハウツー記事
B. List of Symbols, Abbreviations, and Acronyms B.記号、略語、頭字語のリスト
C. Glossary C.用語集

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.20 NIST SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)(2022.11.15)

| | Comments (0)

2023.09.21

JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項

こんにちは、丸山満彦です。

JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護—情報セキュリティマネジメントシステム—要求事項が公開されましたね。。。

一般社団法人情報セキュリティマネジメント認定センター (ISMS-AC) から発表がされていますね。。。

初版は2006.05.20 に制定され、2014.03.20 に改正され、今回二度目の改正ということですね。。。

 

ISMS-AC

・2023.09.20 ISMSの要求事項 JIS Q 27001:2023発行のお知らせ

認証取得については、こちらの注意も。。。

・2023.02.23 ISMS適合性評価制度 ISO/IEC 27001:2022 への対応について(更新版)

 

規格は日本規格協会 (JSA) で購入できます。。。

JSA

・2023.09.20 JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護―情報セキュリティマネジメントシステム―要求事項 Information security, cybersecurity and privacy protection -- Information security management systems -- Requirements

プレビュー...

・[PDF

20230921-52404

 

ちなみにその前は、JIS X 5080でしたね。。。

● JIPDEC(電子商取引推進協議会 セキュリティWG)

・2002.03 [PDF] 情報セキュリティ対策マネジメント標準 (JIS X 5080:IEC/IEC 17799) の解説


20230921-54050



 


古い話も...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.21 JIS Q 15001:2023 個人情報保護マネジメントシステム―要求事項

 

・2006.05.22 JISの制定及び改定 Q13335-1, Q27001, Q27002, Q15001

・2006.04.11 JISQ15001とJISQ27001&27002の説明会



 

| | Comments (0)

2023.09.20

米国 GAO 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする

こんにちは、丸山満彦です。

米国GAOが「人工知能の活用と急成長はその可能性と危険性を浮き彫りにする」という、ブログの記事を上げていましたね。。。

 

U.S. GAOWatchBlog 

・2023.09.06 Artificial Intelligence’s Use and Rapid Growth Highlight Its Possibilities and Perils

 

Artificial Intelligence’s Use and Rapid Growth Highlight Its Possibilities and Perils 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする
The rise of artificial intelligence has created growing excitement and much debate about its potential to revolutionize entire industries. At its best, AI could improve medical diagnosis, identify potential national security threats more quickly, and solve crimes. But there are also significant concerns—in areas including education, intellectual property, and privacy. 人工知能の台頭は、産業全体に革命をもたらす可能性について、大きな興奮と多くの議論を巻き起こしている。AIは最高の状態で、医療診断を改善し、潜在的な国家安全保障上の脅威をより迅速に特定し、犯罪を解決する可能性がある。しかし、教育、知的財産、プライバシーなどの分野では大きな懸念もある。
Today’s WatchBlog post looks at our recent work on how Generative AI systems (for example, ChatGPT and Bard) and other forms of AI have the potential to provide new capabilities, but require responsible oversight. 本日のWatchBlogでは、生成的AIシステム(例えば、ChatGPTやBard)や他の形態のAIが、どのように新しい能力を提供する可能性があるかについての我々の最近の研究を紹介する。
1_20230920131901
The promise and perils of current AI use 現在のAI利用がもたらす期待と危険
Our recent work has looked at three major areas of AI advancement. 我々の最近の研究では、AIの進歩の3つの主要分野を見てきた。
Generative AI systems can create text (apps like ChatGPT and Bard, for example), images, audio, video, and other content when prompted by a user. These growing capabilities could be used in a variety of fields such as education, government, law, and entertainment. As of early 2023, some emerging generative AI systems had reached more than 100 million users. Advanced chatbots, virtual assistants, and language translation tools are examples of generative AI systems in widespread use. As news headlines indicate, this technology continues to gain global attention for its benefits. But there are concerns too, such as how it could be used to replicate work from authors and artists, generate code for more effective cyberattacks, and even help produce new chemical warfare compounds, among other things. Our recent Spotlight on Generative AI takes a deeper look at how this technology works. 生成的AIシステムは、テキスト(例えばChatGPTやBardのようなアプリ)、画像、音声、動画、その他のコンテンツを、ユーザーに促されるままに作成することができる。こうした能力の向上は、教育、政府、法律、エンターテインメントなど、さまざまな分野で活用される可能性がある。2023年初頭の時点で、いくつかの新興の生成的AIシステムの利用者は1億人を超えている。高度なチャットボット、バーチャルアシスタント、言語翻訳ツールは、広く使われている生成的AIシステムの一例である。ニュースの見出しが示すように、この技術はその利点から世界的に注目を集め続けている。しかし、作家やアーティストの作品を複製したり、より効果的なサイバー攻撃のコードを生成したり、新たな化学兵器化合物の生産に役立てたりするために使用される可能性があるなど、懸念もある。我々の最近のスポットライト「生成的AI」では、この技術がどのように機能するかについて詳しく見ている。
Machine learning is a second application of AI growing in use. This technology is being used in fields that require advanced imagery analysis, from medical diagnostics to military intelligence. In a report last year, we looked at how machine learning was used to assist the medical diagnostic process. It can be used to identify hidden or complex patterns in data, detect diseases earlier and improve treatments. We found that benefits include more consistent analysis of medical data, and increased access to care, particularly for underserved populations.  However, our work looked at limitations and bias in data used to develop AI tools that can reduce their safety and effectiveness and contribute to inequalities for certain patient populations. 機械学習はAIの第二の応用として利用が拡大している。この技術は、医療診断から軍事情報まで、高度な画像分析を必要とする分野で利用されている。昨年のレポートでは、医療診断プロセスを支援するために機械学習がどのように使用されているかを調べた。機械学習は、データの隠れたパターンや複雑なパターンを特定し、病気の早期発見や治療法の改善に利用できる。我々は、医療データの分析がより一貫性を持ち、特に十分なサービスを受けていない人々のケアへのアクセスが増加するなどの利点があることを発見した。 しかし、我々の研究は、AIツールの安全性と有効性を低下させ、特定の患者集団の不平等を助長する可能性のある、AIツールの開発に使用されるデータの限界とバイアスについて調べた。
Facial recognition is another type of AI technology that has shown both promises and perils in its use. Law enforcement—federal, as well as state and local—have used facial recognition technology to support criminal investigations and video surveillance. It is also used at ports of entry to match travelers to their passports. While this technology can be used to identify potential criminals more quickly, or those who may not have been identified without it, our work has also found some concerns with its use. Despite improvements, inaccuracies and bias in some facial recognition systems could result in more frequent misidentification for certain demographics. There are also concerns about whether the technology violates individuals’ personal privacy. 顔認識もまた、AI技術の一種であり、その利用には期待と危険の両面がある。連邦、州、地方の法執行機関は、犯罪捜査やビデオ監視を支援するために顔認識技術を使用してきた。また、入国港で旅行者とパスポートを照合するためにも使われている。この技術は、潜在的な犯罪者や、この技術がなければ識別できなかったかもしれない人物を、より迅速に識別するために使用されることがあるが、我々の調査では、この技術の使用にはいくつかの懸念もあることがわかった。改善されたとはいえ、一部の顔認識システムには不正確さやバイアスがあり、その結果、特定の層で誤認が頻発する可能性がある。また、この技術が個人のプライバシーを侵害するのではないかという懸念もある。
1_20230920152001
Ensuring accountability and mitigating the risks of AI use 説明責任の確保とAI利用のリスク低減
As AI use continues its rapid expansion, how can we mitigate the risks and ensure these systems are working appropriately for all? AIの利用が急速に拡大する中、どのようにリスクを軽減し、これらのシステムがすべての人に適切に機能するようにすればよいのだろうか。
Appropriate oversight will be critical to ensuring AI technologies remain effective, and keep our data safeguarded. We developed an AI Accountability Framework to help Congress address the complexities, risks, and societal consequences of emerging AI technologies. Our framework lays out key practices to help ensure accountability and responsible AI use by federal agencies and other entities involved in the design, development, deployment, and continuous monitoring of AI systems. It is built around four principles—governance, data, performance, and monitoring—which provide structures and processes to manage, operate, and oversee the implementation of AI systems. AI技術が効果的であり続け、我々のデータが保護され続けるためには、適切な監視が不可欠である。我々は、議会が新たなAI技術の複雑性、リスク、社会的影響に対処するのを支援するため、AI説明責任フレームワークを開発した。我々のフレームワークは、AIシステムの設計、開発、配備、継続的モニタリングに関わる連邦政府機関やその他の事業体による説明責任と責任あるAI利用を確保するための主要な実践方法を示している。ガバナンス、データ、パフォーマンス、モニタリングという4つの原則を中心に構築されており、AIシステムの導入を管理、運用、監督するための仕組みとプロセスを提供する。
AI technologies have enormous potential for good, but much of their power comes from their ability to outperform human abilities and comprehension. From commercial products to strategic competition among world powers, AI is poised to have a dramatic influence on both daily life and global events. This makes accountability critical to its application, and the framework can be employed to ensure that humans run the system—not the other way around. AIテクノロジーは善のために莫大な可能性を秘めているが、そのパワーの多くは、人間の能力や理解力を凌駕する能力に由来する。商業製品から世界大国間の戦略的競争まで、AIは日常生活と世界的出来事の両方に劇的な影響を及ぼす態勢を整えている。そのため、AIの応用にはアカウンタビリティが不可欠であり、このフレームワークは、人間がシステムを動かすのではなく、その逆を確実にするために採用することができる。

 

 

 


 

 

 まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.15 米国 GAO 科学技術スポットライト:生成的AI

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2020.12.02 U.S. GAO 医療における人工知能:患者ケアを強化する技術の利点と課題

 

 

| | Comments (0)

ENISA 2030の脅威の展望 (2023.09.13)

こんにちは、丸山満彦です。

ENISAが、2030のサイバー脅威を展望する報告書の要約書を公表していますね。。。2023.03.29に公表された報告書の要約ですね。。。

 

⚫︎ ENISA

・2023.09.13 Foresight 2030 Threats

・[PDF]

20230920-41501

 

EXECUTIVE DIRECTOR FOREWORD エグゼクティブ・ディレクター まえがき
The cybersecurity threat landscape is a complex ecosystem of threats, threats actors and attack techniques that are also subject to the influence of world events such as pandemics and geopolitics. The best knowledge, and tools we have at hand today to reduce the impact of cyber threats might not fit tomorrow’s threat landscape. サイバーセキュリティの脅威の状況は、脅威、脅威行為者、攻撃手法の複雑なエコシステムであり、パンデミックや地政学などの世界的な出来事の影響も受ける。サイバー脅威の影響を軽減するために今日我々が手にしている最善の知識やツールは、明日の脅威の状況に適合しないかもしれない。
Can we foresee the full extent of the potential use or abuse of our current technological developments? 私たちは、現在の技術開発の潜在的な利用や悪用の全容を予見することができるのだろうか?
Even if we still cannot predict the future, we have the duty to anticipate emerging trends and patterns.  たとえ未来を予測できないとしても、私たちには新たなトレンドやパターンを予測する義務がある。
In 2021, ENISA developed a cybersecurity foresight methodological framework grounded in foresight research and future studies.  The framework was first used in 2022 to devise future scenarios and identify threats and challenges likely to emerge by 2030. This methodology was produced in cooperation with the wider cybersecurity community. 2021年、ENISAは先見研究と未来研究に基づくサイバーセキュリティの先見性の方法論的枠組みを開発した。 このフレームワークは2022年に初めて使用され、将来のシナリオを考案し、2030年までに出現しそうな脅威と課題を特定した。この方法論は、より広範なサイバーセキュリティ・コミュニティと協力して作成された。
This booklet summarises upcoming challenges and provides for an assessment of the risks. We are now ready to design the cyber secure future ahead of us.  この小冊子は、今後の課題を要約し、リスクのアセスメントを提供するものである。我々は今、サイバーセキュアな未来を設計する準備が整った。
Juhan Lepassaar Executive Director ユーハン・レパサール エグゼクティブ・ディレクター
Reference to the report page:   報告書のページを参照する:  
[web] [web]
1. SUPPLY CHAIN COMPROMISE OF SOFTWARE DEPENDENCIES 1. ソフトウェア依存のサプライチェーン侵害
WHAT IF… もしも...
State-sponsored actors insert a backdoor in a well-known and popular open-source library on online code repository. They use this to infiltrate information from most major European corporations and use the information to blackmail leaders, espionage, or otherwise initiate disruptions across the EU. 国家に支援されたアクターが、オンラインコードリポジトリ上の有名で人気のあるオープンソースライブラリにバックドアを挿入する。彼らはこれを利用して、欧州のほとんどの大企業の情報に侵入し、その情報を使ってリーダーを脅迫したり、スパイ活動を行ったり、あるいはEU全域に混乱を引き起こす。
More integrated components and services from third party suppliers and partners could lead to novel and unforeseen vulnerabilities with compromises on the supplier and customer side. サードパーティーのサプライヤーやパートナーから提供されるコンポーネントやサービスがさらに統合されれば、サプライヤー側と顧客側で危殆化し、斬新で予期せぬ脆弱性につながる可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations 国家支援グループ、犯罪組織
POTENTIAL METHODS  潜在的手法 
Sabotage, theft, network reconnaissance, malicious code, abuse of information leakage 妨害工作、窃盗、ネットワーク偵察、悪質コード、情報漏洩の悪用
POTENTIAL IMPACTS  潜在的影響 
Disruption, malfunction, data loss, data leakage 混乱、故障、データ損失、データ漏洩
2. ADVANCED DISINFORMATION CAMPAIGNS  2. 高度な偽情報キャンペーン 
WHAT IF… もし...
A state-sponsored actor may impersonate a political rival by using deepfakes and spoofing the candidate’s digital identity, significantly impacting election results. 国家に支援されたアクターが、ディープフェイクを使用し、候補者のデジタル・アイデンティティを詐称することで、政敵になりすまし、選挙結果に大きな影響を与える可能性がある。
Deepfake attacks can manipulate communities for (geo) political reasons and for monetary gain. ディープフェイク攻撃は、(地理的)政治的理由や金銭的利益のためにコミュニティを操作することができる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations, hackitvists 国家支援グループ、犯罪組織、ハクティビスト
POTENTIAL METHODS  潜在的手法 
Fraud, unauthorised access, session hijacking, identity theft, abuse of personal data 詐欺、不正アクセス、セッションハイジャック、なりすまし、個人データの悪用
POTENTIAL IMPACTS  潜在的影響 
Distrust, disinformation, financial damage, foreign information manipulation and interference (FIMI) 不信、偽情報、金銭的被害、外国による情報操作・妨害(FIMI)
3. RISE OF DIGITAL SURVEILLANCE AUTHORITARIANISM / LOSS OF PRIVACY 3. デジタル監視の権威主義の台頭/プライバシーの喪失
WHAT IF… もし...
An authoritarian regime uses their power to retrieve databases of information about individuals who have visited their country, participated in anti-government protests, put them on a watch list, from both public and private entities. They track all those who and subsequently are able to manipulate those individuals’ access to national services like voting, visits to their healthcare providers, or access to other online services.  権威主義政権が権力を行使して、自国を訪問した個人、反政府デモに参加した個人、監視リストに登録された個人に関する情報を、公的・私的事業体の両方からデータベース化する。そして、投票、医療プロバイダへの訪問、その他のオンラインサービスへのアクセスといった国家サービスへのアクセスを操作することができる。
Facial recognition, digital surveillance on internet platforms or digital identities data stores may become a target for criminal groups. 顔認識、インターネット・プラットフォーム上のデジタル監視、デジタル・アイデンティティ・データ・ストアは、犯罪集団の標的になる可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations 国家支援グループ、犯罪組織
POTENTIAL METHODS  潜在的手法 
Man in the middle, malicious software, use of rogue certificates, abuse of personal data 中間者、悪意のあるソフトウェア、不正な証明書の使用、個人データの悪用
POTENTIAL IMPACTS  潜在的影響 
Privacy breaches, human rights abuses プライバシー侵害、人権侵害
4. HUMAN ERROR AND EXPLOITED LEGACY SYSTEMS WITHIN CYBER PHYSICAL ECOSYSTEMS  4. サイバーフィジカル・エコシステム内のヒューマンエラーと悪用されたレガシーシステム 
WHAT IF… もしも...
Manuals for all legacy OT equipment are available online and studied primarily by state-sponsored groups. Once a vulnerability is found, they target user devices or other IoT products used at the plant. Cyber criminals begin a new form of ransomware in which they bring down important infrastructure and demand payment, given that the operator likely lacks the resources to solve the issue themselves. すべてのレガシーOT機器のマニュアルがオンラインで入手可能で、主に国家支援グループによって研究されている。脆弱性が発見されると、工場で使用されているユーザー機器や他のIoT製品を標的にする。サイバー犯罪者は、重要なインフラをダウンさせ、オペレータが自分で問題を解決するリソースがない可能性が高いことを理由に、支払いを要求する新しい形のランサムウェアを始める。
The fast adoption of IoT, the need to retrofit legacy systems and the ongoing skill shortage could lead to a lack of knowledge, training and understanding of the cyberphysical ecosystem, which can lead to security issues. IoTの急速な普及、レガシーシステムの改修の必要性、継続的なスキル不足は、サイバーフィジカルエコシステムに関する知識、トレーニング、理解の不足につながり、セキュリティ問題に発展する可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, cyber criminals, hacktivists 国家支援グループ、サイバー犯罪者、ハクティビスト
POTENTIAL METHODS  潜在的手法 
Tampering, failure of communication links, denial of service, malicious activity, manipulation of information, targeted attacks, brute force, unauthorised physical access 改ざん、通信回線の障害、サービス拒否、悪意ある活動、情報操作、標的型攻撃、総当たり攻撃、無許可の物理的アクセス
POTENTIAL IMPACTS  潜在的影響 
Malfunction, failures and outages, physical damage 誤動作、故障、停止、物理的損害
5. TARGETED ATTACKS (E.G. RANSOMWARE) ENHANCED BY SMART DEVICE DATA 5. スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど)
WHAT IF… もしも...
Cybercriminals may use the increased amount of available data from smart devices and analyse it with AI to create behavioral models of their victims for spear phishing campaigns or stalking. サイバー犯罪者は、スマートデバイスから得られる利用可能なデータ量の増加を利用し、それをAIで分析して被害者の行動モデルを作成し、スピアフィッシングキャンペーンやストーキングを行う可能性がある。
Through data obtained from internet-connected smart devices, attackers can access information for tailored and more sophisticated attacks. インターネットに接続されたスマートデバイスから得られるデータを通じて、攻撃者は、カスタマイズされたより高度な攻撃のための情報にアクセスすることができる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
Cybercrime actors, hackers-for-hire サイバー犯罪関係者、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Denial of service, interception of information, social engineering, unauthorised activities, data breach サービス拒否、情報傍受、ソーシャル・エンジニアリング、不正行為、データ侵害
POTENTIAL IMPACTS  潜在的影響 
Financial damage, privacy breaches 金銭的被害、プライバシー侵害
6. LACK OF ANALYSIS AND CONTROL OF SPACEBASED INFRASTRUCTURE AND OBJECTS 6. 宇宙を拠点とするインフラや物体の分析と制御の欠如
WHAT IF… もし...
State-sponsored attackers access space infrastructure, build up presence to execute attacks. Their aim may be to create infrastructure their capabilities and knowledge of the technology, and secure their malfunctions as a statecraft tool to sabotage other governments or commercial space operations and systems during geopolitical conflicts. 国家に支援された攻撃者が宇宙インフラにアクセスし、攻撃を実行するためのプレゼンスを構築する。彼らの狙いは、地政学的な対立の中で、他国政府や民間企業の宇宙事業やシステムを妨害するための国家工作ツールとして、その能力や技術に関する知識をインフラに蓄積し、その機能不全を確保することかもしれない。
Due to the intersections between private and public infrastructure in space, the security of these new infrastructures and technologies need to be investigated as a lack of understanding, analysis and control of space-based infrastructure can make it vulnerable to attacks and outages. 宇宙における私的インフラと公的インフラが交錯しているため、宇宙ベースのインフラに対する理解、分析、管理の欠如が攻撃や機能停止に対する脆弱性を生む可能性があるため、これらの新しいインフラや技術の安全性を調査する必要がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, cybercrime actors, hackers-for-hire 国家に支援されたアクター、サイバー犯罪アクター、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Unauthorised use of IPR protected resources, targeted attacks, fraud, sabotage, information leakage, session hijacking, malicious software 知的財産権で保護されたリソースの不正使用、標的型攻撃、詐欺、妨害行為、情報漏洩、セッションハイジャック、悪意のあるソフトウェア
POTENTIAL IMPACTS  潜在的影響 
Damage, outages, malfunctions 損害、停止、不具合
7. RISE OF ADVANCED HYBRID THREATS 7. 高度なハイブリッド型脅威の台頭
WHAT IF… もし...
Hackers are hired by a corporation to investigate the new technology being developed by a competitor. In their quest, they are able to retrieve metadata, view code, and set up a machine learning algorithm that continuously collects changes to the code and then continuously accesses user account to prevent monitoring systems from recognising that the attacker is in the network. In parallel they obfuscate the activity by spreading fake news about insider trading and industrial espionage from a third competitor by dropping fake evidence of physical intrusion. ハッカーが企業に雇われ、競合他社が開発中の新技術を調査する。その調査において、彼らはメタデータを取得し、コードを閲覧し、コードへの変更を継続的に収集する機械学習アルゴリズムをセットアップすることができ、監視システムが攻撃者がネットワーク内にいることを認識できないように、ユーザーアカウントに継続的にアクセスする。並行して、物理的な侵入の偽の証拠を投下することで、インサイダー取引や第三の競争相手からの産業スパイに関する偽ニュースを拡散し、活動を難読化する。
Physical or offline attacks are evolving and becoming often combined with cyberattacks due to the increase of smart devices, cloud usage, online identities and social platforms. 物理的またはオフラインの攻撃は進化しており、スマートデバイス、クラウド利用、オンラインID、ソーシャルプラットフォームの増加により、サイバー攻撃と組み合わされることが多くなっている。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, hackers-for-hire, cyber criminals 国家に支援された行為者、雇われハッカー、サイバー犯罪者
POTENTIAL METHODS  潜在的手法 
Unauthorised access, social engineering, abuse of personal data, remote command execution, malicious activity 不正アクセス、ソーシャルエンジニアリング、個人データの悪用、リモートコマンド実行、悪意のある活動
POTENTIAL IMPACTS  潜在的影響 
Privacy breaches, outages, failures/malfunctions プライバシー侵害、機能停止、故障/誤動作
8. SKILL SHORTAGES 8. スキル不足
WHAT IF… もし...
The skill shortage leads to an increase of online job advertisements that tell attackers the technologies that each organisation is using and the approximate number of empty positions. A state-sponsored actor may use this to their advantage as a part of a larger campaign to tamper with critical infrastructure in another country. スキル不足により、攻撃者に各組織が使用している技術や、おおよその空席数を伝えるオンライン求人広告が増加する。国家の支援を受けた攻撃者が、他国の重要インフラを改ざんする大規模なキャンペーンの一環として、これを利用する可能性がある。
Lack of capacities and competencies could see cybercriminal groups target organisations with the largest skills gap and the least maturity. 能力やコンピテンシーが不足しているため、サイバー犯罪グループは、スキルのギャップが最も大きく、成熟度が最も低い組織を標的にする可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
Cybercrime actors, hackers-for-hire, state-sponsored actors サイバー犯罪行為者、雇われハッカー、国家に支援された行為者
POTENTIAL METHODS  潜在的手法 
Spear phishing attacks, social engineering スピアフィッシング攻撃、ソーシャルエンジニアリング
POTENTIAL IMPACTS  潜在的影響 
Financial damage, outages 金銭的被害、障害
9. CROSS-BORDER ICT SERVICE PROVIDERS AS A SINGLE POINT OF FAILURE  9. 単一障害点としての国境を越えたICTサービスプロバイダ 
WHAT IF… もし...
A state-sponsored actor aims to temporarily cripple a region during an active conflict by installing malware that disrupts all critical functions of the ICT provider. Without operational cities, roadways, and communication channels, the region is essentially crippled without the ability for civilians to go about their daily lives and the responsible parties limited in their ability to maintain defense monitoring systems and to collaborate to develop response options and methods for bringing the necessary systems back online.   国家に支援された行為者が、ICTプロバイダのすべての重要な機能を停止させるマルウェアをインストールすることで、活発な紛争中に一時的に地域を機能不全に陥れることを狙う。運用可能な都市、道路、コミュニケーション・チャネルがなければ、その地域は実質的に機能不全に陥り、市民は日常生活を送ることができなくなる。また、責任者は防衛監視システムを維持し、必要なシステムをオンラインに戻すための対応オプションや方法を共同で開発する能力が制限される。 
ICT sector connecting critical services such as transport, electric grids and industry that provide services across borders are likely be to targeted by techniques such as backdoors, physical manipulation, and denials of service and weaponised during a future potential conflict. 輸送、電力網、国境を越えてサービスを提供する産業など、重要なサービスをつなぐICTセクターは、バックドア、物理的操作、サービス拒否などの技術によって標的にされ、将来の潜在的紛争時に武器化される可能性が高い。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, hackers-for-hire 国家に支援されたアクター、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Fraud, theft, corruption, terrorist attack, network traffic manipulation, manipulation of hardware or software, abuse of authorisations 詐欺、窃盗、汚職、テロ攻撃、ネットワークトラフィックの操作、ハードウェアやソフトウェアの操作、権限の乱用
POTENTIAL IMPACTS  潜在的影響 
Outages, damage/loss, unavailable critical infrastructure 障害、損害/損失、重要インフラの利用不能
10. ARTIFICIAL INTELLIGENCE ABUSE 10. AIの悪用
WHAT IF… もし...
A state-sponsored actor wants to sow discord in a population before an election and manipulates the learning data of a law enforcement algorithm to target specific populations, causing widespread protests political opponents themselves by using an AI analysis of the individuals’ and violence. They are also able to deduct information about the whereabouts, health history, and voting history – the correlation of such personal data will likely only be feasible with the use of AI tools. 国家に支援された行為者が、選挙前に住民に不和の種をまきたいと考え、法執行アルゴリズムの学習データを操作して特定の集団を標的にし、個人のAI分析を利用して政治的反対者自身に広範な抗議を引き起こし、暴力を振るう。彼らはまた、居場所、健康履歴、投票履歴に関する情報を差し引くことができる。このような個人データの相関関係は、おそらくAIツールの使用でしか実現できないだろう。
Manipulation of AI algorithms and training data can be used to enhance nefarious activities such as the creation of disinformation and fake content, bias exploitation, collecting biometrics and other sensitive data, military robots and data poisoning. AIアルゴリズムや訓練データの操作は、偽情報や偽コンテンツの作成、バイアスの搾取、生体データやその他の機密データの収集、軍事ロボットやデータポイズニングといった悪質な活動を強化するために利用できる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, cyber criminals, hackers-for-hire 国家に支援された行為者、サイバー犯罪者、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Spoofing, denial of service, malicious code, unauthorised access, targeted attacks, misuse of information, man in the middle attack なりすまし、サービス妨害、悪質コード、不正アクセス、標的型攻撃、情報の悪用、中間者攻撃
POTENTIAL IMPACTS  潜在的影響 
Biased decision-making, privacy violations, foreign information manipulation and interference (FIMI) 偏った意思決定、プライバシー侵害、外国人による情報操作と干渉(FIMI)
2030 TOP THREATS CONTINUED 2030年トップレベルの脅威 続き
11. INCREASED DIGITAL CURRENCY-ENABLED CYBERCRIME 11. デジタル通貨を利用したサイバー犯罪の増加
By 2030, digital currency-enabled cybercrime will increase rapidly. Cryptocurrencies, and the broad market adoption of them, already have enabled organised crime to expand their reach. Because digital currencies will be very commonly used as an investment asset and means of payment in European markets, organised crime may be able to expand their targets. This means that cybercrime groups offering professional services (cyber-attacks) will be better funded because of an increase in the efficiency and effectiveness of their efforts.   2030年までに、デジタル通貨を利用したサイバー犯罪が急増する。暗号通貨とその広範な市場導入は、すでに組織犯罪の勢力拡大を可能にしている。デジタル通貨は欧州市場で投資資産や決済手段としてごく一般的に使用されるようになるため、組織犯罪はターゲットを拡大できる可能性がある。つまり、専門的なサービス(サイバー攻撃)を提供するサイバー犯罪グループは、その努力の効率と効果が高まるため、より良い資金を得ることができるようになる。 
12. EXPLOITATION OF E-HEALTH (AND GENETIC) DATA 12. eヘルス(および遺伝子)データの悪用
The amount of genetic and health data increases tremendously by 2030 and is in the hands of many stakeholders in the public and private sectors. Vulnerabilities in e-health devices and databases containing very sensitive and/or genetic information may be exploited or used by criminals to target individuals or by governments to control populations, e.g., using diseases and genetic diversity as a reason for discriminating against individuals. Genetic data may further be abused to aid law enforcement activities like predictive policing or to support a more regimented social credit system.   遺伝子データや健康データは2030年までに途方もなく増加し、官民の多くの利害関係者の手に渡る。非常にセンシティブかつ/または遺伝的な情報を含むe-ヘルス機器やデータベースの脆弱性が悪用されたり、犯罪者が個人を標的にしたり、政府が個人を差別する理由として病気や遺伝的多様性を利用するなど、集団をコントロールするために利用されたりする可能性がある。遺伝子データはさらに、予測的取り締まりのような法執行活動を支援するためや、より統制された社会的信用システムを支援するために悪用されるかもしれない。 
13. TAMPERING WITH DEEPFAKE VERIFICATION SOFTWARE SUPPLY CHAIN 13. ディープフェイク検証ソフトウェアのサプライチェーンの改ざん
By 2030, deepfake technology will be widely used. It may be used as a form of harassment, evidence tampering, and provoking social unrest. Although there will likely be a rapid influx of verification software that analyses videos and voice to verify the identity of individuals , the urgent market demand leads to programmers cutting corners. This software will be highly targeted by anyone wishing to use deepfakes for illegal or unethical purposes. 2030年までに、ディープフェイク技術は広く使われるようになるだろう。嫌がらせ、証拠改ざん、社会不安の誘発といった形で利用されるかもしれない。動画や音声を分析し、個人の身元を確認する検証ソフトウェアが急速に普及するだろうが、市場の需要が急増しているため、プログラマーは手抜きをするようになる。このソフトウェアは、違法または非倫理的な目的のためにディープフェイクを利用しようとする人々から強く狙われることになるだろう。
14. ATTACKS USING QUANTUM COMPUTING 14. 量子コンピューティングを利用した攻撃
In 2030 quantum computing resources will be made more widely available, allowing threat actors to use quantum computing to attack existing deployments of public key cryptography. Likewise, there is a risk that threat actors collect sensitive encrypted data now, aiming to decrypt it once quantum computing is accessible. This is especially relevant for current digital IDs that use asymmetric cryptography to authenticate. 2030年には量子コンピューティング資源がより広く利用できるようになり、脅威行為者が量子コンピューティングを利用して既存の公開鍵暗号を攻撃できるようになる。同様に、脅威行為者が暗号化された機密データを収集し、量子コンピューティングが利用可能になった時点で復号化を狙うリスクもある。これは特に、本人認証に非対称暗号を使用している現在のデジタルIDに関連している。
15. EXPLOITATION OF UNPATCHED AND OUT-OFDATE SYSTEMS WITHIN THE OVERWHELMED CROSSSECTOR TECH ECOSYSTEM  15. 圧倒的なクロスセクター技術エコシステムの中での、パッチ未適用や最新でないシステムの悪用
Everything-as-a-service leads to a multitude of tools and services that require frequent updates and maintenance by both consumers and providers. This combined with the skill shortage presents a difficult to manage surface of vulnerabilities that can be exploited by threat actors. Furthermore, the complexity of the supply chain fosters confusion on where responsibilities for security lie. For governments, this creates more backdoors for espionage while cyber-criminals can exploit the unpatched and outdated services for financial gains. This is especially true when critical infrastructure is in the hands of the private sector or when national security data is reliant on singular private entities.  あらゆるものがサービス化されることで、消費者とプロバイダの両方が頻繁な更新と保守を必要とするツールやサービスが多数存在することになる。これがスキル不足と組み合わさることで、脅威行為者に悪用される可能性のある脆弱性の管理は難しくなる。さらに、サプライチェーンの複雑さは、セキュリティ責任の所在に関する混乱を助長する。ガバナンスの政府にとっては、スパイ活動のためのバックドアが増える一方で、サイバー犯罪者はパッチの適用されていない旧式のサービスを悪用して金銭的利益を得ることができる。これは、重要インフラが民間の手にある場合や、国家セキュリティデータが特異な民間事業体に依存している場合に特に当てはまる。
16. AI DISRUPTING / ENHANCING CYBER ATTACKS 16. AIによるサイバー攻撃の撹乱・強化 
Escalation as a result of AI-based tools. Attackers will use AI-based technologies to launch attacks. In order to defend against those attacks and even to launch counter measures, there must also be defensive AI-based weapons. Behaviour of the AI in these cases is difficult to test, measure and control – if speed of response is valued.  AIベースのツールによるエスカレーション。攻撃者はAIベースのテクノロジーを使って攻撃を仕掛けるだろう。それらの攻撃を防御し、さらには対抗策を打ち出すためには、AIベースの防御兵器も存在しなければならない。このような場合のAIの挙動は、テスト、測定、制御が困難である。
17. MALWARE INSERTION TO DISRUPT FOOD PRODUCTION SUPPLY CHAINE 17. 食品製造のサプライチェーンを混乱させるマルウェアの挿入 
Due to increased automatisation and digitalization of food production, food supply chains  can be disrupted by a range of threat actors with medium-high resources. Denial of service attacks on packaging plants, for example, can prevent continued food operations; processed food manufacturing tools may be manipulated to change the compounds in the food itself. Attacks like these can lead to a food shortage, economic disruptions, and in the worst case, poisoning. 食品生産の自動化とデジタル化の進展により、食品サプライ・チェーンは、中程度の高いリソースを有するさまざまな脅威行為者によっ て混乱させられる可能性がある。例えば包装工場に対するサービス拒否攻撃は、食品の操業の継続を妨げる可能性がある。加工食品製造ツールは、食品自体の化合物を変更するために操作される可能性がある。このような攻撃は、食糧不足、経済的混乱、最悪の場合は中毒につながる可能性がある。
18. TECHNOLOGICAL INCOMPATIBILITY OF BLOCKCHAIN TECHNOLOGIES 18. ブロックチェーン技術の技術的非互換性
Until 2030, several regionally based blockchain technologies are created by different groups of governments to create an international "gold standard". This is driven by a societal lack of trust in blockchain that has accumulated over the last years.  Each technology group aims to gain a competitive advantage. This gives rise to a period of technological incompatibility of blockchain technology which leads to failures, malfunctions, data loss and the exploitation of vulnerabilities at the interfaces of the different blockchains. This creates challenges for ecosystem management and data protection, furthers distrust, and negatively affects trade and GDP growth. 2030年まで、国際的な "ゴールドスタンダード "を作るために、いくつかの地域ベースのブロックチェーン技術が異なる政府グループによって作られる。この背景には、ここ数年で蓄積されたブロックチェーンに対する社会的信頼の欠如がある。 各技術グループは競争上の優位性を獲得することを目指している。このため、ブロックチェーン技術の技術的な互換性がない時期が生じ、故障や誤動作、データ損失、異なるブロックチェーンのインターフェースにおける脆弱性の悪用につながる。これはエコシステム管理とデータ保護に課題をもたらし、不信感を助長し、貿易とGDP成長に悪影響を及ぼす。
19. DISRUPTIONS IN PUBLIC BLOCKCHAINS 19. パブリック・ブロックチェーンにおける混乱
Blockchain has been implemented in nearly all aspects of society in 2030. Unfortunately, security expertise in the area of blockchain did not advance significantly, creating a slew of vulnerabilities that may be exploited in the future. Locally unavailable blockchain technology will, for example, prevent access to voting, legal transactions, and even security systems. Another possible attack vector is exploited by partitioning the bitcoin network by hijacking IP address prefixes. This can cause, for example, duplicated spending and thus economic damage. ブロックチェーンは2030年、社会のほぼすべての側面に導入されている。残念なことに、ブロックチェーンの分野におけるセキュリティの専門知識は大きく進歩しておらず、将来悪用される可能性のある脆弱性が山ほど生まれている。ローカルで利用不可能なブロックチェーン技術は、例えば、投票、法的取引、さらにはセキュリティシステムへのアクセスを妨げるだろう。また、IPアドレスのプレフィックスをハイジャックしてビットコインネットワークを分割することで、攻撃ベクトルが悪用される可能性もある。これは、例えば重複支出を引き起こし、結果として経済的損害をもたらす可能性がある。
20. PHYSICAL IMPACT OF NATURAL / ENVIRONMENTAL DISRUPTIONS ON CRITICAL DIGITAL INFRASTRUCTURE 20. 自然/環境破壊が重要なデジタルインフラに与える物理的影響
The increased severity and frequency of environmental disasters causes several regional outages. Redundant back-up sites that maintain the availability of critical infrastructure will also be affected. 環境災害の深刻さと頻度が増すと、いくつかの地域で停電が発生する。重要インフラの可用性を維持する冗長バックアップサイトも影響を受ける。
21. MANIPULATION OF SYSTEMS NECESSARY FOR EMERGENCY RESPONSE 21. 緊急対応に必要なシステムの操作
Manipulation of sensors with connections to emergency services may overload services like ambulances, police, firefighters, etc. For example, call centres may be overloaded with inauthentic calls or fire alarms may be manipulated to injure specific individuals or to obscure emergency response teams' ability to locate the issue. Similarly, mass panics that overload emergency systems may also be provoked through the use of social media.  緊急サービスにつながるセンサーの操作は、救急車、警察、消防士などのサービスに過負荷をかける可能性がある。例えば、コールセンターが不正なコールで過負荷になったり、火災報知器が特定の個人を傷つけたり、緊急対応チームが問題の場所を特定できないように操作されたりする可能性がある。同様に、緊急システムに過負荷をかけるような大パニックも、ソーシャルメディアの利用によって引き起こされる可能性がある。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.04 ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威 (2023.03.29)

 

| | Comments (0)

2023.09.19

米国 国防総省サイバー戦略 2023(要約)(2023.09.12)

こんにちは、丸山満彦です。

国防総省がサイバー戦略2023の要約を公表していますね。。。フルバージョンは、非公開のようです。これは、2018年の国防総省サイバー戦略に続くもので、2021年に公表された国家安全保障戦略、国家防衛戦略、国家サイバーセキュリティ戦略を国防総省に落としたものという感じですね。。。記載されている対象はあくまでもサイバー領域に限定されています。(つまり、全体の作戦の中でのサイバー領域の話だけ切り出してまとめているという感じのようです。)

防衛のサプラチェーンではないですが、米国も各国と連携して動いていることから、他の国の軍隊、防衛産業企業等がサイバー攻撃で侵入されると米国軍にも影響があるということから、パートナーのサイバー防衛能力の強化に力を入れるということのようです。

また、国家防衛戦略の優先順位が、中国、そしてロシアという順番なので、サイバー戦略でも優先順位は同じなのでしょうね。。。中国は当初はロシアにいろいろと学んでいたようですが、すでに独自にさまざまなサイバー能力を獲得、開発していることから、米国にとっては大きな脅威になってきているという認識だと思います。。。

ハント・フォワード作戦についても触れられていて、攻撃者の戦術・技術・運用 (TTP) を公表し、同盟国とともにレジリエンスを高めるということのようですね。。。

 

U.S. Department of Defence

プレスリリース

・2023.09.12 DOD Releases 2023 Cyber Strategy Summary

DOD Releases 2023 Cyber Strategy Summary 国防総省、2023年サイバー戦略の概要を発表
Today, the Department of Defense (DOD) released an unclassified summary of its classified 2023 Cyber Strategy. 本日、国防総省(DOD)は、機密扱いの2023年サイバー戦略の非機密扱いの要約を発表した。
The 2023 DOD Cyber Strategy, which DOD transmitted to Congress in May, is the baseline document for how the Department is operationalizing the priorities of the 2022 National Security Strategy, 2022 National Defense Strategy, and the 2023 National Cybersecurity Strategy. It builds upon the 2018 DOD Cyber Strategy and will set a new strategic direction for the Department. 国防総省が5月に議会に提出した2023年DODサイバー戦略は、2022年国家安全保障戦略、2022年国家防衛戦略、2023年国家サイバーセキュリティ戦略の優先事項をどのように運用するかの基本文書である。この戦略は、2018年のDODサイバー戦略に基づいており、国防総省の新たな戦略的方向性を示すものである。
"This strategy draws on lessons learned from years of conducting cyber operations and our close observation of how cyber has been used in the Russia-Ukraine war," Assistant Secretary of Defense for Space Policy John Plumb said. "It has driven home the need to work closely with our allies, partners, and industry to make sure we have the right cyber capabilities, cyber security, and cyber resilience to help deter conflict, and to fight and win if deterrence fails." 「ジョン・プラム国防次官補(宇宙政策担当)は、「この戦略は、長年にわたるサイバー作戦の実施から得られた教訓と、ロシア・ウクライナ戦争でサイバーがどのように利用されたかをつぶさに観察した結果に基づいている。「同盟国、パートナー、産業界と緊密に協力し、紛争を抑止し、抑止が失敗した場合に戦い、勝利するために、適切なサイバー能力、サイバーセキュリティ、サイバーレジリエンスを確保する必要性を痛感した。
The United States faces diverse, growing threats in cyberspace and the strategy outlines how DOD is maximizing its cyber capabilities in support of integrated deterrence and employing cyberspace operations in concert with other instruments of national power. 米国はサイバー空間における多様で増大する脅威に直面しており、この戦略では国防総省が統合抑止を支援するためにサイバー能力を最大化し、国力の他の手段と協調してサイバー空間作戦を採用する方法を概説している。
The strategy highlights DOD’s actions to invest in and ensure the defense, availability, reliability, and resilience of its cyber networks and infrastructure to support non-DOD agencies in their related roles and to protect the defense industrial base. この戦略では、国防総省のサイバーネットワークとインフラの防御、可用性、信頼性、レジリエンスを確保し、国防総省以外の機関の関連する役割を支援し、防衛産業基盤を保護するための国防総省の行動を強調している。
"Distinct from previous iterations, the strategy commits to increasing our collective cyber resilience by building the cyber capability of allies and partners." Deputy Assistant Secretary for Cyber Policy Mieke Eoyang said. "It also reflects the department’s approach to defending the homeland through the cyber domain as well as prioritizing the integration of cyber capabilities into our traditional warfighting capabilities." 「この戦略では、同盟国やパートナーのサイバー能力を強化することで、われわれの集団的なサイバー・レジリエンスを高めることにコミットしている。ミーケ・エオヤン副次官補(サイバー政策担当)は言う。「この戦略はまた、サイバー領域を通じて国土を防衛し、サイバー能力を伝統的な戦闘能力に統合することを優先するという、防衛省のアプローチを反映している
The strategy is the fourth iteration for the Department, and the first to be informed by years of significant cyberspace operations. You can read the full summary on Defense.gov. この戦略は、国防総省にとって4回目の改訂であり、長年にわたる重要なサイバー空間での作戦に基づく初めてのものである。サマリーの全文はDefense.govで読むことができる。

 

・2023.09.12 DOD's Cyber Strategy Emphasizes Building Partner Capacity

DOD's Cyber Strategy Emphasizes Building Partner Capacity 国防総省のサイバー戦略はパートナーの能力構築を重視する
In May, the Defense Department released to Congress the classified version of the 2023 Cyber Strategy. Today, the department made public an unclassified summary of that strategy which reveals a new emphasis on helping U.S. partners and allies build their own cyber capacity. 国防総省は5月、2023年サイバー戦略の機密版を議会に公表した。今日、国防総省はこの戦略の非機密版要約を公開し、米国のパートナーや同盟国が独自のサイバー能力を構築するのを支援することに新たに重点を置いていることを明らかにした。
"Distinct from previous iterations of the DOD cyber strategy, this strategy commits to building the cyber capability of global allies and partners and to increase our collective resilience against cyber attack," said Mieke Eoyang, the deputy assistant secretary of defense for cyber policy, during a briefing today at the Pentagon. "Allies and partners are a strategic advantage that no competitor can match."  国防総省のサイバー戦略担当副次官補であるミーケ・エオヤン氏は、本日国防総省で行われたブリーフィングの中で、次のように述べた。「この戦略は、これまでの国防総省のサイバー戦略とは異なり、世界の同盟国やパートナーのサイバー能力を構築し、サイバー攻撃に対する集団的レジリエンスを高めることにコミットしている。同盟国やパートナーは、いかなる競争相手も太刀打ちできない戦略的優位性である。」
According to the now publicly available summary of the 2023 Cyber Strategy, the department plans to prioritize efforts to increase the effectiveness of allies and partners in cyberspace.  現在公開されている2023年サイバー戦略の概要によると、同省はサイバー空間における同盟国やパートナーの有効性を高める努力を優先する計画だ。
Spotlight: Engineering in the DOD スポットライト:DODにおけるエンジニアリング
"In some cases, the department will work toward this goal by augmenting partner capacity, expanding partners' access to cybersecurity infrastructure and maturing their cyber workforce though combined training events and exercises," the summary reads.  「場合によっては、パートナーの能力を増強し、パートナーのサイバーセキュリティ・インフラへのアクセスを拡大し、訓練イベントや演習を組み合わせることでサイバー労働力を成熟させることで、この目標に取り組むだろう。
The summary further states the department has also committed, in some cases, to directly helping develop partner capability by enabling functions a partner needs but does not yet have.  同要約はさらに、場合によっては、パートナーが必要としているがまだ持っていない機能を可能にすることで、パートナーの能力開発を直接支援することも約束したと述べている。
"The department will enhance our relationship with our most cyber-capable allies and partners at the strategic, operational and tactical levels," the policy reads. "We will expand the total number of partners with whom we engage and integrate these efforts with the wider security cooperation enterprise."  「同省は、戦略、作戦、戦術の各レベルにおいて、最もサイバー能力の高い同盟国やパートナーとの関係を強化する。我々は、関与するパートナーの総数を拡大し、これらの取り組みをより広範な安全保障協力エンタープライズと統合する。」
More broadly, the summary reveals that the 2023 Cyber Strategy asks the department to address current and future cyber threats by pursuing four complementary lines of effort. These lines of effort include defending the nation, preparing to fight and win the nation's wars, protecting the cyber domain with allies and partners, and building enduring advantages in cyberspace.  より広義には、2023年サイバー戦略では、4つの補完的な取り組みを進めることで、現在および将来のサイバー脅威に対処することを求めている。これらの取り組みには、国家の防衛、国家の戦争に勝利するための準備、同盟国やパートナーとのサイバー領域の保護、サイバー空間における永続的な優位性の構築が含まれる。
"[This] strategy builds upon the direction set by the 2018 DOD Cyber Strategy and is informed by years of real-world experience of significant DOD cyberspace operations," Eoyang said. "It's the department's fourth cyber strategy and represents the secretary's vision for operationalizing the 2022 National Defense Strategy in cyberspace."  「この戦略は、2018年国防総省サイバー戦略によって設定された方向性の上に構築され、国防総省のサイバー空間における重要な活動に関する長年の実体験に基づくものである。これは国防総省にとって4番目のサイバー戦略であり、2022年国防戦略をサイバー空間で運用するための長官のビジョンを表している。」
Spotlight: National Defense Strategy スポットライト:国家防衛戦略
Like the National Defense Strategy, DOD's cyber strategy identifies China as a pacing threat and Russia as an acute threat, Eoyang said.  国防戦略と同様、国防総省のサイバー戦略は、中国をペースの脅威として、ロシアを急性の脅威として識別している。
She also said that the strategy has been informed by recent activities in Ukraine, following the illegal Russian invasion there.  また、この戦略は、ウクライナにおけるロシアの不法侵攻後の最近の活動からも情報を得ているという。
"I think prior to this conflict, there was a sense that cyber would have a much more decisive impact in warfare than what we experienced," she said. "What this conflict has shown us is the importance of integrated cyber capabilities in and alongside other warfighting capabilities. And that is consistent with the approach in the NDS on integrated deterrence and is an important lesson for us to think about -- that cyber is a capability that is best used in concert with those others and may be of limited utility when used all by itself."  彼女はまた、次のように述べた。「この紛争の前には、サイバー戦は我々が経験したものよりもはるかに決定的な影響を与えるという感覚があったと思う。この紛争が私たちに示したのは、他の戦闘能力とともに、サイバー能力を統合することの重要性である。そしてそれは、統合抑止に関するNDSのアプローチと一致するものであり、私たちが考えるべき重要な教訓である。"サイバー能力は、他の能力と協調して使用するのが最善であり、単独で使用した場合の有用性は限定的かもしれない。」
According to the strategy, cyber capabilities are most effective when used in concert with other instruments of national power.  同戦略によれば、サイバー能力は、他の国力の手段と協調して使用されるときに最も効果的である。
Spotlight: Science & Tech スポットライト:科学技術
"In this way, cyberspace operations represent an indispensable element of U.S. and allied military strength and form a core component of integrated deterrence," the strategy reads. 「このように、サイバー空間での作戦は、米国と同盟国の軍事力にとって不可欠な要素であり、統合抑止の中核をなすものである。」

 

 

・[PDF]

20230918-145737

 

目次的...

INTRODUCTION  序文 
NATIONAL DEFENSE STRATEGY PRIORITIES  国家防衛戦略の優先事項 
A CONTESTED CYBERSPACE  争いの絶えないサイバー空間 
People's Republic of China  中華人民共和国 
Russia  ロシア 
North Korea, Iran, and Violent Extremist Organizations  北朝鮮、イラン、暴力的過激派組織 
Transnational Criminal Organizations  国際犯罪組織 
DEFEND THE NATION  国家を守る 
Generate Insights about Cyber Threats  サイバー脅威に関する洞察の創出 
Disrupt and Degrade Malicious Cyber Actors  悪意のあるサイバー行為者を混乱させ、劣化させる。
Enable Defense of US. Critical Infrastructure  米国の重要インフラの防衛を可能にする。
DOD AUTHORITIES AND HOMELAND DEFENSE  国防総省の権限と国土防衛 
Protect the Defense Industrial Base  防衛産業基盤の防御 
DIB CYBERSECURITY  DIBサイバーセキュリティ 
PREPARE TO FIGHT AND WIN THE NATION'S WARS  国家の戦争を戦い勝利する準備をする 
Advance Joint Force Objectives  統合軍の目標を推進する 
Defend the DODIN  DODINを守る 
DEFINING THE DODIN  DODINの定義 
Build Cyber Resilience in the Joint Force  統合軍におけるサイバー・レジリエンスの構築 
Support Joint Force Plans and Operations  統合軍の計画と作戦を支援する 
PROTECT THE CYBER DOMAIN WITH ALLIES AND PARTNERS  同盟国やパートナーとともにサイバー領域を守る。
Build Cyber Capacity and Develop Capability in Allies and Partners  同盟国およびパートナーにおけるサイバー能力の構築と能力開発 
Expand Avenues of Cyber Cooperation  サイバー協力の手段を拡大する。
Continue Hunt Forward Operations and Bilateral Technical Collaboration  ハント・フォワード・オペレーションと二国間技術協力の継続 
Reinforce Norms of Responsible Behavior in Cyberspace  サイバー空間における責任ある行動の規範を強化する。
BUILD ENDURING ADVANTAGES IN CYBERSPACE  サイバー空間における永続的な優位性を構築する 
Invest in the Cyber Workforce  サイバー人材への投資 
Prioritize Intelligence Support for Cyber Operations  サイバー作戦のための情報支援を優先する。
Develop and Implement New Cyber Capabilities  新たなサイバー能力の開発と導入 
Foster Cyber Awareness  サイバー意識の醸成 
CONCLUSION  結論 

 

仮対訳は関連リンク下につけています。。。

 

 


関連リンク

● まるちゃんの情報セキュリティ気まぐれ日記

国家安全保障戦略

・2022.10.14 米国 国家安全保障戦略

ちなみにロシア...

・2021.07.04 ロシア連邦大統領令第400号「ロシア連邦の国家安全保障戦略」を公表

 

国防総省 国家防衛戦略他

・2022.10.29 米国 国家防衛戦略

その下の計画

・2023.08.09 米国 国防総省 サイバー従事能力戦略実施計画

 

国家情報(インテリジェンス)戦略

・2023.08.11 米国 国家情報戦略 2023

 

国家サイバーセキュリティ戦略

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

人材に関して。。。

・2023.08.02 米国 国家サイバー人材・教育戦略

予算優先事項、実行計画。。。

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

 

CISAのサイバーセキュリティ戦略

・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026

 


 

仮対訳

↓↓↓↓↓





Continue reading "米国 国防総省サイバー戦略 2023(要約)(2023.09.12)"

| | Comments (0)

2023.09.18

米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

こんにちは、丸山満彦です。

CISAがオープンソース・ソフトウェア・セキュリティ・ロードマップを公開していますね。。。

優先事項は、、、

(1) オープンソースソフトウェアのセキュリティ支援におけるCISAの役割の確立

(2) オープンソースソフトウェアの使用状況とリスクの可視化の推進

(3) 連邦政府に対するリスクの低減

(4) オープンソースエコシステムの強化

 

CISA

・2023.09.12 CISA Open Source Software Security Roadmap

 

CISA Open Source Software Security Roadmap CISAオープンソース・ソフトウェア・セキュリティ・ロードマップ
CISA’s Open Source Software Security Roadmap lays out CISA’s path forward to help ensure a secure open source software ecosystem.  CISAのオープンソース・ソフトウェア・セキュリティ・ロードマップは、安全なオープンソース・ソフトウェアのエコシステムを確保するためのCISAの進むべき道を示している。
Open source software is software that anyone can access, modify, and distribute, which can lead to greater collaboration and higher-quality code. At the same time, vulnerabilities like Log4shell have illustrated the downstream impact for flaws in widely used open source code.  オープンソースソフトウェアは、誰もがアクセスし、変更し、配布できるソフトウェアであり、より大きなコラボレーションとより高い品質のコードをもたらすことができる。同時に、Log4shellのような脆弱性は、広く使われているオープンソース・コードの欠陥が下流に与える影響を示している。
The roadmap lays out four key priorities to help secure the open source software ecosystem: (1) establishing CISA’s role in supporting the security of open source software, (2) driving visibility into open source software usage and risks, (3) reducing risks to the federal government, and (4) hardening the open source ecosystem.  ロードマップは、オープンソースソフトウェアのエコシステムの安全確保を支援するための4つの重要な優先事項を示している。(1) オープンソースソフトウェアのセキュリティ支援におけるCISAの役割の確立、(2) オープンソースソフトウェアの使用状況とリスクの可視化の推進、(3) 連邦政府に対するリスクの低減、(4) オープンソースエコシステムの強化である。

 

・[PDF

20230918-53634

 

 

Overview  概要 
The federal government, critical infrastructure, and state, local, tribal, and territorial (SLTT) governments greatly depend upon open source software (OSS). OSS is software for which the humanreadable source code[1] is made available to the public for use, study, re-use, modification, enhancement, and re-distribution. OSS is part of the foundation of software used across critical infrastructure, supporting every single critical infrastructure sector and every National Critical Function: one study[2] found that 96% of studied codebases across various sectors contain open source code, and 76% of code in studied codebases was open source. Therefore, to fulfill CISA’s mission of understanding, managing, and reducing risks to the federal government and critical infrastructure, we must understand and protect the open source software that we rely upon. 連邦政府、重要インフラ、州・地方・部族・準州(SLTT)政府は、オープンソースソフトウェア(OSS)に大きく依存している。OSSとは、人間が読み取り可能なソースコード[1]が、利用、研究、再利用、修正、拡張、再配布のために一般に公開されているソフトウェアのことである。ある調査[2]によると、さまざまな部門で調査されたコードベースの96%がオープンソースコードを含み、調査されたコードベースのコードの76%がオープンソースであった。したがって、連邦政府と重要インフラに対するリスクを理解し、管理し、削減するというCISAの使命を果たすためには、われわれが依存しているオープンソース・ソフトウェアを理解し、保護しなければならない。
As a public good, open-source software is supported by diverse and wide-ranging communities—which are composed of individual maintainers, non-profit software foundations, and corporate stewards. CISA must integrate into and support these communities, with a particular focus on the critical OSS components that the federal government and critical infrastructure systems rely upon.  公共財であるオープンソースソフトウェアは、個人のメンテナ、非営利ソフトウェア財団、企業のスチュワードで構成される多様で広範なコミュニティによって支えられている。CISAは、連邦政府と重要インフラ・システムが依存する重要なOSSコンポーネントに特に重点を置いて、これらのコミュニティに統合し、支援しなければならない。
CISA recognizes the immense benefits of open source software, which enables software developers to work at an accelerated pace and fosters significant innovation and collaboration. With these benefits in mind, this roadmap lays out how CISA will help enable the secure usage and development of OSS, both within and outside the federal government. As detailed below, the roadmap centers on four key goals: 1) establishing CISA’s role in supporting the security of OSS, 2) understanding the prevalence of key open source dependencies, 3) reducing risks to the federal government, and 4) hardening the broader OSS ecosystem.  CISAは、オープンソースソフトウェアがソフトウェア開発者に加速度的なペースでの作業を可能にし、多大なイノベーションとコラボレーションを促進するという、計り知れないメリットを認識している。こうした利点を念頭に、このロードマップは、連邦政府内外でOSSの安全な利用と開発を可能にするためにCISAがどのような支援を行うかを示している。以下に詳述するように、ロードマップは4つの重要な目標を中心に据えている: 1)OSSのセキュリティ支援におけるCISAの役割の確立、2)主要なオープンソース依存関係の普及状況の把握、3)連邦政府に対するリスクの低減、4)広範なOSSエコシステムの強化である。
Vision  ビジョン 
Aligning with the National Cybersecurity Strategy’s goal of a “more resilient, equitable, and defensible cyberspace,” CISA envisions a prosperous future where secure, resilient technology is the backbone of our world. Open source software, fostering significant growth as part of the foundation on which technology is built, is key to this future. We envision a world in which every critical OSS project is not only secure but sustainable and resilient, supported by a healthy, diverse, and vibrant community. In this world, OSS developers are empowered to make their software as secure as possible. Further, the incredible growth fostered by OSS is coupled with action from those who capitalize on OSS to be good stewards of the projects they depend on. In this world, OSS consumers responsibly use it, contributing back to the extent they can to the community and code they depend on. Similarly, consumers and integrators of these OSS projects are given the tools to ensure the packages they use are secure and well curated. 国家サイバーセキュリティ戦略の目標である「よりレジリエンスに優れ、公平で、防衛可能なサイバー空間」に沿って、CISAは、安全でレジリエンスに優れた技術が私たちの世界を支える豊かな未来を構想している。オープンソースソフトウェアは、技術が構築される基盤の一部として大きな成長を促進し、この未来への鍵となる。私たちは、すべての重要なOSSプロジェクトが安全であるだけでなく、持続可能でレジリエンスに富み、健全で多様性に富み、活気に満ちたコミュニティに支えられている世界を思い描いている。この世界では、OSS開発者は自分たちのソフトウェアを可能な限り安全にする力を与えられる。さらに、OSSによって育まれた驚異的な成長は、OSSを活用する人々が、彼らが依存するプロジェクトの良きスチュワードであるための行動と結びついている。この世界では、OSSの消費者は責任を持ってOSSを利用し、彼らが依存するコミュニティやコードにできる範囲で貢献する。同様に、OSSプロジェクトの消費者とインテグレーターは、自分たちが使うパッケージが安全で、よく管理されていることを保証するためのツールを与えられる。
To achieve such a future, the federal government must take strong action towards maintaining and securing OSS infrastructure as reflected in the National Cybersecurity Strategy. CISA, given its responsibilities to defend and secure federal government information systems and coordinate a national effort to secure and protect against critical infrastructure risks, has a key role to play in OSS security, grounded in partnership with federal agencies, OSS consumers, and the OSS community.  そのような未来を実現するために、連邦政府は国家サイバーセキュリティ戦略に反映されているように、OSSインフラの維持と安全確保に向けて強力な行動を取らなければならない。CISAは、連邦政府の情報システムを防御・安全化し、重要インフラのリスクから安全かつ保護するための国家的取り組みを調整するガバナンスを持つことから、連邦国家安全保障局、OSS消費者、OSSコミュニティとのパートナーシップに基づき、OSSセキュリティで果たすべき重要な役割を担っている。
Threat Model  脅威モデル 
In order to secure OSS, we must understand the relevant attacks and vulnerabilities. CISA is broadly concerned about two distinct classes of OSS vulnerabilities and attacks:  OSSのセキュリティを確保するためには、関連する攻撃と脆弱性を理解しなければならない。CISAは、OSSの脆弱性と攻撃について、大きく2つに分類して懸念している: 
1.     The cascading effects of vulnerabilities in widely used OSS.  1.     広く使われているOSSの脆弱性の連鎖的影響。
As evidenced by the Log4Shell vulnerability, the ubiquity of OSS can cause vulnerabilities to have particularly widespread consequences. Given the prevalence of OSS across the federal government and critical infrastructure, any widespread vulnerability represents risk that CISA should seek to reduce. Similar to the potentially large impact of vulnerabilities in widely used closed-source software, the widespread and distributed nature of OSS can magnify the impact of OSS vulnerabilities. Hence, CISA should contribute to reducing the prevalence of exploitable vulnerabilities and aiding in response when vulnerabilities occur.  Log4Shellの脆弱性で証明されているように、OSSのユビキタス性は脆弱性が特に広範囲に影響を及ぼす原因となる。連邦政府と重要インフラにOSSが普及していることを考えると、脆弱性が広範囲に及ぶことは、CISAが削減を目指すべきリスクに相当する。広く使用されているクローズド・ソース・ソフトウェアの脆弱性が潜在的に大きな影響を及ぼすのと同様に、OSSの広範で分散した性質は、OSSの脆弱性の影響を拡大する可能性がある。したがって、CISAは、悪用可能な脆弱性の蔓延を減らし、脆弱性が発生した場合の対応を支援することに貢献すべきである。
2.     Supply-chain attacks on open source repositories leading to compromise of downstream software.  2.     オープンソース・リポジトリに対するサプライチェーン攻撃は、ダウンストリームソフトウェアの侵害につながる。
The second category of risks is the malicious compromise of OSS components, leading to downstream compromises. Examples include an attacker compromising a developer’s account and committing malicious code, or a developer intentionally inserting a backdoor into their package. Real-world examples include embedding cryptominers[3] in open source packages, modifying source code with protestware[4] that deletes a user’s files, and employing typosquatting[5] attacks that take advantage of developer errors.[6]   リスクの第二のカテゴリーは、OSS コンポーネントの悪意ある侵害であり、下流の侵害につながる。例としては、攻撃者が開発者のアカウントを侵害し、悪意のあるコードを実行することや、開発者が意図的にパッケージにバックドアを挿入することなどがある。実際の例としては、オープンソースパッケージにクリプトマイナー[3]を埋め込む、ユーザのファイルを削除するプロテストウェア[4]でソースコードを変更する、開発者のミスにつけ込むタイポスクワッティング[5]攻撃を採用する、などがある[6]。 
Strategic Alignment  戦略的整合性 
This OSS roadmap aligns to the National Cybersecurity Strategy, including Strategic Objective 4.1, which states that the federal government will “develop and drive adoption of solutions that will improve the security of the Internet ecosystem,” and Strategic Objective 3.3, which states that the federal government will collaborate with the private sector and OSS community to “invest in the development of secure software, including memory-safe languages.” CISA’s work in this roadmap is in fulfillment of Initiative 4.1.2 of the National Cybersecurity Strategy Implementation Plan, to “Promote open-source software security and the adoption of memory safe programming languages” via the Open Source Software Security Initiative (OS3I). このOSSロードマップは、連邦政府が「インターネットのエコシステムのセキュリティを向上させるソリューションを開発し、採用を推進する」とする戦略目標4.1や、連邦政府が民間セクターやOSSコミュニティと協力して「メモリセーフ言語を含む安全なソフトウェアの開発に投資する」とする戦略目標3.3を含む国家サイバーセキュリティ戦略と整合している。このロードマップにおけるCISAの活動は、国家サイバーセキュリティ戦略実施計画のイニシアティブ4.1.2を実現するものであり、オープンソースソフトウェアセキュリティイニシアティブ(OS3I)を通じて「オープンソースソフトウェアセキュリティとメモリ安全プログラミング言語の採用を促進する」ものである。
This roadmap also advances Objective 1.4 of the CISA Strategic Plan for 2023-2025, which aims to achieve a cyberspace ecosystem that is secure-by-design and secure-by-default, and helps achieve  priority areas addressed through the OS3I interagency working group convened by the Office of the National Cyber Director, which include memory safety, Common Vulnerabilities and Exposures (CVE) reform, and education.
 
また、このロードマップは、2023-2025年のCISA戦略計画の目標1.4を推進するものであり、セキュア・バイ・デザインおよびセキュア・バイ・デフォルトのサイバースペース・エコシステムを実現することを目指すものであり、国家サイバー長官室が招集したOS3I省庁間作業部会で取り上げられた優先分野(メモリ安全性、共通脆弱性・エクスポージャー(CVE)改革、教育など)の達成を支援するものである。 
Lastly, this roadmap aims to align, where possible, to existing OSS community efforts. Objective 1.1 below specifically speaks to integrating into community initiatives to further align CISA and OSS community work.  最後に、このロードマップは、可能な限り、既存のOSSコミュニティの取り組みと整合させることを目指している。以下の目標 1.1 では、CISA と OSS コミュニティの活動をさらに連携させるため、コミュニティ・イニシアティ ブへの統合について特に言及している。
FY24-26 Open Source Goals & Objectives  FY24-26 オープンソースの目標と目標 
Goal 1: Establish CISA’s Role in Supporting the Security of OSS  目標1: OSSのセキュリティ支援におけるCISAの役割を確立する。
It is crucial that CISA matures its working relationship with the OSS community to build a secure and resilient open source ecosystem. In line with CISA’s mission, this means identifying and reducing risks to the federal government and critical infrastructure and contributing back to help improve the security of the broader OSS ecosystem.  CISAがOSSコミュニティとの協力関係を成熟させ、安全でレジリエンスに優れたオープンソースのエコシステムを構築することは極めて重要である。CISAの使命に沿えば、これは連邦政府と重要インフラに対するリスクを特定して削減し、より広範なOSSエコシステムのセキュリティ改善を支援するために貢献することを意味する。
To achieve this, CISA must have the capabilities to understand the OSS ecosystem and collaborate with the OSS community. CISA recognizes that the open source community is not starting from scratch and already has many initiatives underway focused on security. CISA strives to align with and amplify these initiatives with the goal of channeling the federal government’s authorities and capabilities to foster greater OSS security.  これを達成するために、CISAはOSSエコシステムを理解し、OSSコミュニティと協力する能力を持たなければならない。CISAは、オープンソースコミュニティがゼロから出発しているわけではなく、すでにセキュリティに焦点を当てた多くの取り組みが進行中であることを認識している。CISAは、連邦政府の権限と能力を活用し、OSSセキュリティの向上を促進することを目標に、こうした取り組みと連携し、これを増幅するよう努める。
Objective 1.1. Partner With OSS Communities  目標 1.1. OSSコミュニティと提携する 
CISA will show up as an OSS community member, working hand-in-hand with OSS communities. Similar to how CISA has formed partnership groups with companies across various sectors, CISA will establish partnerships with OSS communities. CISA will establish a real-time collaboration channel with OSS community members (including OSS foundations and community organizations, code hosting services, and package managers). This channel will allow the OSS community members to provide individual input on actions CISA is taking, individually participate in roadmap planning sessions, and allow CISA to identify additional ways to support OSS community efforts. CISA will also contribute to broader community efforts that work to strengthen the security and resiliency of the OSS ecosystem by participating in relevant community working groups on OSS security.  CISAはOSSコミュニティの一員として、OSSコミュニティと手を携えて活動する。CISAが様々な分野の企業とパートナーシップ・グループを形成してきたのと同様に、CISAはOSSコミュニティとのパートナーシップを確立する。CISAは、OSSコミュニティ・メンバー(OSS財団やコミュニティ組織、コード・ホスティング・サービス、パッケージ・マネージャーを含む)とのリアルタイム・コラボレーション・チャネルを確立する。このチャネルにより、OSSコミュニティ・メンバーはCISAが取っている行動について個別に意見を提供し、ロードマップ計画セッションに個別に参加し、CISAがOSSコミュニティの取り組みを支援する追加的な方法を特定できるようになる。CISAはまた、OSSセキュリティに関する関連コミュニティのワーキンググループに参加することで、OSSエコシステムのセキュリティとレジリエンスの強化に取り組む、より広範なコミュニティの取り組みに貢献する。
In addition, CISA will continue its ongoing collaborative planning effort with industry, OSS communities, and interagency partners to better understand the role OSS components currently play in industrial control system (ICS) products and develop a plan to improve those components’ maintenance and security.  さらに、CISAは、産業制御システム(ICS)製品においてOSSコンポーネントが現在果たしている役割をよりよく理解し、これらのコンポーネントの保守とセキュリティを改善する計画を策定するために、産業界、OSSコミュニティ、省庁間パートナーとの現在進行中の共同計画策定作業を継続する。
Objective 1.2. Encourage Collective Action From Centralized OSS Entities  目標1.2. 集中型OSS事業体の集団行動を奨励する。
Recognizing that centralized OSS entities such as package managers and code hosting services can help drive systemic security improvements, CISA will encourage collective action from and greater accountability by these entities. CISA will participate in relevant working groups on securing these centralized entities, with the goal of working collaboratively to develop security principles for package managers and other centralized platforms in the OSS ecosystem.  パッケージマネージャやコードホスティングサービスなどの中央集権的な OSS 事業体が、体系的なセキュリ ティ改善の推進に役立つことを認識し、CISA は、これらの事業体による集団的行動と説明責任 の強化を奨励する。CISA は、パッケージマネージャや OSS エコシステム内の他の集中型プラットフォー ムのセキュリティ原則を共同で策定することを目標に、これらの集中型事業体のセキュリ ティ確保に関する関連作業部会に参加する。
Objective 1.3. Expand Engagement and Collaboration With International Partners   目標 1.3. 国際的パートナーとの関与と協力の拡大  
OSS is a public good, providing benefits for governments and private sector organizations around the world. This makes it crucial for the federal government to engage with its international partners and allies to bolster OSS security and resilience. In coordination with interagency partners, CISA will conduct engagements with international partners and allies and identify opportunities to collaborate on areas of shared interest, including the adoption of practices laid out in this roadmap.  OSSは公共財であり、世界中の政府や民間組織に利益をプロバイダとして提供している。このため連邦政府は、OSS のセキュリティとレジリエンスを強化するために、国際的なパートナーや同盟国と連携することが極めて重要である。省庁間のパートナーと連携して、CISA は国際的なパートナーや同盟国との連携を実施し、このロードマップに記載されたプラクティスの採用を含め、共通の関心分野で協力する機会を特定する。
Objective 1.4. Establish and Organize CISA’s OSS Work  目標1.4. CISAのOSS業務の確立と組織化 
CISA must be organizationally structured to execute on the open source efforts described in this roadmap. To that end, CISA will increase our breadth and depth of OSS security expertise and will establish an internal CISA Open Source Software Security Working Group to coordinate CISA’s work on OSS security.  CISAは、このロードマップに記載されているオープンソースへの取り組みを実行するために、組織的に構造化されなければならない。そのため、CISA は、OSS セキュリティの専門知識の幅と深さを拡大し、CISA 内部にオープンソースソフトウェア・セキュリティ作業部会を設置して、OSS セキュリティに関する CISA の作業を調整する。
Goal 2: Drive Visibility into OSS Usage and Risks  目標2:OSSの利用状況とリスクの可視化を推進する。
To understand where CISA can best support the security of the OSS ecosystem, we must understand where the greatest dependencies lie for the federal government and critical infrastructure. To that end, CISA will identify the OSS libraries that are most used to support critical functions across the federal government and critical infrastructure. CISA will utilize this information to understand where the greatest risks lie and prioritize activities to mitigate and reduce these risks.  CISAがOSSエコシステムのセキュリティを最も支援できる分野を理解するためには、連邦政府と重要インフラにとって最も依存度の高い分野を理解する必要がある。そのため、CISAは連邦政府と重要インフラ全体の重要機能をサポートするために最も使用されているOSSライブラリを識別する。CISAはこの情報を活用して、最大のリスクがどこにあるかを理解し、これらのリスクを低減・軽減するための活動に優先順位を付ける。
Objective 2.1. Understand OSS Software Prevalence  目的2.1. OSSソフトウェアの普及状況を把握する。
CISA will develop a capability for assessing OSS software prevalence in the federal government and will engage federal and critical infrastructure partners to improve CISA’s awareness of OSS software prevalence in critical infrastructure. For the federal government, this will involve aggregating readily available data on software prevalence from existing data sources, such as CISA’s Continuous Diagnostics and Mitigation (CDM) program. For areas where data is not as readily available, such as operational technology (OT) and ICS, CISA will work to advance our capability for assessing software prevalence and underlying OSS components. The goal is to understand all software prevalence including prevalence of software that is end-of-life, end-of-support, various versions, OSS, as well as unique software that may require additional resources to secure and maintain. For critical infrastructure, CISA will work with Sector Risk Management Agencies and critical infrastructure owners and operators to identify opportunities for voluntary sharing of data.
CISAは、連邦政府におけるOSSソフトウェアの普及状況を評価する能力を開発し、連邦政府および重要インフラのパートナーを関与させて、重要インフラにおけるOSSソフトウェアの普及状況に関するCISAの認識を向上させる。連邦政府については、CISAの継続的診断・低減(CDM)プログラムなどの既存のデータソースから、ソフトウェアの普及状況に関する入手しやすいデータを集約する。運用技術(OT)や ICS など、データが入手しにくい分野については、CISA は、ソフトウェアの普及状況や OSS コンポーネントの基礎を評価する能力の向上に取り組む。その目標は、使用期限切れ、サポート終了、各種バージョン、OSSのほか、安全確保と保守に追加リソースを必要とする可能性のある固有のソフトウェアの普及を含む、すべてのソフトウェアの普及状況を把握することである。重要インフラについては、CISAは、セクター・リスクマネジメント機関および重要インフラ所有者・運営者と協力して、自主的なデータ共有の機会を特定する。
Objective 2.2. Develop a Framework for OSS Risk Prioritization  目標2.2. OSSリスク優先順位付けの枠組みを開発する。
CISA will develop a framework to conduct a risk prioritization of OSS components discovered in Objective 2.1. The framework will recommend importance criteria and prioritization factors, such as an OSS component’s level of usage, level of maintenance, build process security, and code security properties—like memory safety and. The framework will leverage existing work where possible and will be released to the public.  CISAは、目的2.1で発見されたOSS構成要素のリスク優先順位付けを実施するための枠組みを開発する。このフレームワークでは、OSSコンポーネントの使用レベル、保守レベル、ビルドプロセスのセキュリティ、コードセキュリティ特性(メモリ安全性など)などの重要度基準や優先順位付け要因を推奨する。フレームワークは、可能な限り既存の作業を活用し、一般に公開する。
The framework will identify various categorizations of OSS components, such as components that:  このフレームワークは、OSSコンポーネントの様々な分類を識別する: 
•       Due to their level of usage and existing support, the federal government should directly support.   ・その利用レベルと既存のサポートにより,連邦政府は直接サポートすべきである。
•       Are malicious, which the federal government should stop using; or   ・悪質であり,連邦政府は使用を中止すべきである。
•       Are well supported and the government may continue using.   ・十分にサポートされており,政府が使用を継続してもよい。
Objective 2.3. Conduct Risk-Informed Prioritization of OSS Projects in Federal Government and Critical Infrastructure  目的2.3. 連邦政府および重要インフラにおけるOSSプロジェクトのリスク情報に基づく優先順位付けを実施する。
CISA will apply the framework described above to the repositories identified in 2.1, generating a riskinformed prioritization of OSS dependencies in the federal government and, to the degree possible, critical infrastructure. This prioritization may group OSS dependencies into various categories, as described in Objective 2.2. CISA will use this list to ensure that the federal government’s OSS efforts focus on the most critical and relevant OSS dependencies. Additionally, CISA will leverage this prevalence list to further understand vulnerabilities present in OSS used by the federal government and critical infrastructure.  CISAは、上記のフレームワークを2.1で特定したリポジトリに適用し、連邦政府および可能な限り重要インフラにおけるOSS依存関係のリスク情報に基づく優先順位付けを行う。この優先順位付けは、目的2.2で説明するように、OSS依存性を様々なカテゴリーに分類することができる。CISAはこのリストを使用して、連邦政府のOSSへの取り組みが最も重要で関連性の高いOSS依存関係に集中するようにする。さらに、CISAはこの普及リストを活用して、連邦政府と重要インフラが使用するOSSに存在する脆弱性をさらに理解する。
Objective 2.4. Understand Threats to Critical OSS Dependencies  目標2.4. 重要なOSS依存性に対する脅威を理解する。
CISA will develop a process to continuously assess threats to critical OSS dependencies, including, when available, the prioritized list of OSS dependencies generated in 2.3. When relevant, CISA will publish alerts about targeting of key OSS dependencies.  CISAは、重要なOSS依存性に対する脅威を継続的に評価するプロセスを開発し、利用可能な場合は、2.3で作成したOSS依存性の優先順位付けリストを含む。関連する場合、CISAは、重要なOSS依存関係を標的とした警告を公表する。
Goal 3: Reduce Risks to the Federal Government  目標3:連邦政府に対するリスクの削減 
This goal focuses specifically on securing the federal government’s usage of OSS. Similar to companies that responsibly engage with OSS, the federal government must establish processes to manage our usage of OSS and means of contributing back to the OSS we depend upon.  この目標は、特に連邦政府のOSS利用の安全確保に焦点を当てる。責任を持ってOSSに関与する企業と同様に、連邦政府もOSSの利用を管理するプロセスと、依存するOSSに貢献する手段を確立しなければならない。
Objective 3.1. Evaluate Solutions to Aid in Secure Usage of OSS  目標3.1. OSSの安全な利用を支援するソリューションを評価する。
CISA will evaluate the feasibility and efficacy of offering future capabilities or services to aid federal agencies in addressing gaps around managing their OSS. Such services may include tools that integrate into the continuous integration and continuous delivery (CI/CD) process to assess OSS risks (e.g., flagging vulnerable/outdated dependencies) and tools that facilitate support back to open source dependencies.  CISAは、連邦機関がOSSを管理する際のギャップに対処するのを支援する機能またはサービスを将来的に提供することの実現可能性と有効性を評価する。そのようなサービスには、継続的インテグレーションおよび継続的デリバリー(CI/CD)プロセスに統合してOSSのリスクを評価するツール(脆弱性/期限切れの依存関係にフラグを立てるなど)や、オープンソースの依存関係に戻ってサポートを促進するツールが含まれる可能性がある。
Objective 3.2. Develop Open Source Program Office Guidance For Federal Agencies.  目標 3.2. 連邦政府機関向けオープンソース・プログラム・オフィス・ガイダンスを策定する。
Open source program offices (OSPOs)[7] have emerged in industry, civil society, and academia as a way to manage an organization’s OSS operations, including supporting the responsible usage of OSS and facilitating contributions back to OSS. CISA will develop open source program office (OSPO) best practice guidance for federal agencies and other entities who wish to implement OSPOs. CISA will support federal agencies who are interested in piloting OSPOs. オープンソース・プログラム・オフィス(OSPO)[7]は、OSS の責任ある利用を支援し、OSS への貢献を促進することを含め、組織の OSS 運用を管理する方法として、産業界、市民社会、および学界で出現している。CISAは、OSPOの導入を希望する連邦政府機関やその他の事業体のために、オープンソースプログラムオフィス(OSPO)のベストプラクティス・ガイダンスを策定する。CISAは、OSPOの試験的導入に関心を持つ連邦政府機関を支援する。
Objective 3.3. Drive Prioritization of Federal Actions in OSS Security  目標3.3. OSSセキュリティにおける連邦政府の行動の優先順位付けを推進する。
The Office of the National Cyber Director (ONCD) established the OS3I with the goal of advancing government policy and resources to foster greater OSS security. Working with ONCD and government partners, CISA will continue to contribute to OS3I to identify policies and resources that can be utilized to bolster OSS security and resilience.  国家サイバー長官室(ONCD)は、OSSセキュリティの向上を促進するために政府の政策とリソースを推進する目的でOS3Iを設立した。CISAは、ONCDおよび政府パートナーと協力して、OSSのセキュリティとレジリエンスを強化するために利用できる政策とリソースを特定するためにOS3Iに貢献し続ける。
CISA, through OS3I, will drive prioritization of federal actions that promote security and resilience within the OSS ecosystem. CISA, ONCD, the National Science Foundation (NSF), the Defense Advanced Research Projects Agency (DARPA), and the Office of Management and Budget (OMB) initiated this effort by publishing a Request for Information (RFI) on open-source software security and memory safe programming languages. Following the RFI, the authoring agencies will work to publish a report summarizing responses and identifying key areas for government action.  CISAは、OS3Iを通じて、OSSエコシステム内のセキュリティとレジリエンスを促進する連邦政府の行動の優先順位付けを推進する。CISA、ONCD、国家安全保障局(NSF)、国防高等研究計画局(DARPA)、および行政管理予算局(OMB)は、オープンソースソフトウェアのセキュリティとメモリ安全プログラミング言語に関する情報提供要請(RFI)を公表することにより、この取り組みを開始した。RFIの後、作成機関は、回答をまとめた報告書を発行し、政府が取り組むべき主要分野を特定する。
Goal 4: Harden the OSS Ecosystem  目標4:OSSエコシステムの強化 
Recognizing the public-good nature of OSS and that any efforts to secure the broader OSS ecosystem will increase the security and resilience of the federal government and critical infrastructure, CISA will advance efforts to harden the broader OSS ecosystem. This effort will focus on OSS components identified in Goal 2 as being particularly critical for the federal government and critical infrastructure.  CISAは、OSSの公益的な性質と、より広範なOSSエコシステムを保護するための取り組みが連邦政府と重要インフラのセキュリティとレジリエンスを向上させることをガバナンスして、より広範なOSSエコシステムを強化する取り組みを進める。この取り組みは、ガバナンス2で連邦政府と重要インフラにとって特に重要であると識別されたOSSコンポーネントに焦点を当てる。
Objective 4.1. Continue to Advance SBOM Within OSS Supply Chains  目標4.1. OSSサプライチェーン内でSBOMを推進し続ける 
Although the value of software bill of materials (SBOM) is broader than OSS, there are unique challenges to achieving comprehensive SBOM generation throughout open source supply chains. In addition to continuing its work to drive SBOM standardization, CISA will also focus on the requirements, challenges, and opportunities of automatically generating dependency data within the open source ecosystem. The broader SBOM work will continue to engage with the OSS community and CISA will propose collaborations as appropriate with stakeholders identified in the initiatives above.   ソフトウェア部品表(SBOM)の価値は OSS よりも広範であるが、オープンソース・サプライチェーン全体で包括的な SBOM 生成を達成するには、独自の課題がある。CISAは、SBOM標準化を推進する作業の継続に加えて、オープンソースのエコシステム内で依存関係データを自動的に生成するための要件、課題、機会にも焦点を当てる。より広範なSBOM作業はOSSコミュニティとの関わりを継続し、CISAは、上記の取り組みで識別された利害関係者との適切な連携を提案する。 
Objective 4.2. Foster Security Education for Open Source Developers  目標 4.2. オープンソース開発者に対するセキュリティ教育を促進する。
In coordination with relevant federal agencies, including the NSF, CISA will support security education for current and future open source developers. As part of this effort, CISA, consulting with the open source community, will publish open source security toolkits that collect best practices and resources for open source security. This will include a toolkit for OSS maintainers with resources on secure software development and vulnerability disclosure,   CISA は、NSF を含む関連連邦機関と連携して、現在及び将来のオープンソース開発者向けのセ キュリティ教育を支援する。この取り組みの一環として、CISA はオープンソースコミュニティと協議しながら、オープンソースセキュリティのベストプラクティスとリソースを集めたオープンソースセキュリティツールキットを発行する。これには、安全なソフトウエア開発と脆弱性開示に関するリソースを含む、OSS メンテナ向けのツールキットが含まれる、  
Objective 4.3. Publish Guidance on OSS Security Usage Best Practices  目標 4.3. OSS セキュリティ利用のベストプラクティスに関するガイダンスを公表する。
CISA will publish best practices on securely incorporating OSS for entities including federal agencies, critical infrastructure organizations, and SLTT. This will include guidance for open source consumers on how to responsibly use OSS, as well as resources to understand OSS basics, a description of how OSS contributes to critical infrastructure, and OSS security basics.  CISAは、連邦機関、重要インフラ組織、SLTTを含む事業体向けに、OSSを安全に組み込むためのベスト・プラクティスを公表する。これには、責任を持ってOSSを利用する方法に関するオープンソース利用者向けのガイダンスのほか、OSSの基本、OSSが重要インフラにどのように貢献するかの説明、OSSセキュリティの基本を理解するためのリソースを含める。
Objective 4.4. Foster OSS Vulnerability Disclosure and Response  目標 4.4. OSS 脆弱性の開示と対応の促進 
CISA will continue to coordinate vulnerability disclosure and response for OSS vulnerabilities by leveraging relationships with the OSS community. This coordination may include establishing processes to specifically look for upstream issues in open source packages that critical infrastructure organizations depend on and quickly notify affected users of the identified vulnerabilities.  CISAは、OSSコミュニティとの関係を活用することにより、OSSの脆弱性の開示と対応を引き続き調整する。この調整には、重要インフラ組織が依存するオープン・ソース・パッケージの上流の問題を特に調査し、識別された脆弱性について影響を受けるユーザーに迅速に通知するプロセスを確立することも含まれる。

 

[1] Source code is the human-readable formal language that software developers use to specify the actions a computer will take.  [1] ソースコードとは、ソフトウェア開発者がコンピュータが実行する動作を指定するために使用する、人間が読める形式言語である。
[2] Synopsys. “2023 Open Source Security and Risk Analysis Report.” Last modified April 2023. https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-riskanalysis.html   [2] シノプシス。"2023 Open Source Security and Risk Analysis Report". 最終更新2023年4月。https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-riskanalysis.html  
[3] Gershon, Aviad and Folkman, Tal. “‘CuteBoi’ Detected Preparing a Large-Scale Crypto Mining Campaign on NPM Users.” Checkmarx Blog. July 6, 2022. https://checkmarx.com/blog/cuteboi-detected-preparing-a-largescale-crypto-mining-campaign-on-npm-users/.  [3] Gershon, Aviad and Folkman, Tal. "「CuteBoi」がNPMユーザーに対して大規模な暗号マイニングキャンペーンを準備していることを検知". Checkmarx Blog. https://checkmarx.com/blog/cuteboi-detected-preparing-a-largescale-crypto-mining-campaign-on-npm-users/。
[4] Trend Micro Research. “How Shady Code Commits Compromise the Security of the Open-Source Ecosystem.” Trend Micro Blog. July 11, 2022. https://www.trendmicro.com/en_us/research/22/g/how-shady-codecommits-compromise-the-security-of-the-open-sourc.html.  [4] Trend Micro Research. "How Shady Code Commits Compromise the Security of the Open-Source Ecosystem". トレンドマイクロブログ. https://www.trendmicro.com/en_us/research/22/g/how-shady-codecommits-compromise-the-security-of-the-open-sourc.html. 
[5] Tal, Liran. “What is typosquatting and how typosquatting attacks are responsible for malicious modules in npm.” Snyk Blog. January 12, 2021. https://snyk.io/blog/typosquatting-attacks/.   [5] Tal, Liran. "typosquattingとは何か、そしてtyposquatting攻撃がどのようにnpmの悪意のあるモジュールの原因となっているか". Snyk Blog. https://snyk.io/blog/typosquatting-attacks/。 
[6] These types of OSS supply chain attacks are described in more detail in Ladisa et al. See Ladisa, P., Plate, H., Martinez, M., and O. Barais. 2023. SoK: Taxonomy of Attacks on Open Source Software Supply Chains. Proceedings of the 2023 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, pp. 167-184. doi: 10.1109/SP46215.2023.00010.  [6] これらのタイプのOSSサプライチェーン攻撃については、Ladisa et al. 2023. SoK: Taxonomy of Attacks on Open Source Software Supply Chains. Proceedings of the 2023 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, pp.167-184. 
[7] TODO (OSPO) Group. “Open Source Program Office (OSPO) Definition and Guide.” May 31, 2023. https://github.com/todogroup/ospodefinition.org.  [7] TODO (OSPO) Group. "オープンソースプログラムオフィス(OSPO)の定義とガイド". https://github.com/todogroup/ospodefinition.org. 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.14 米国 CISA他 情報提供依頼: オープンソースソフトウェア・セキュリティ: 長期的な重点分野と優先順位付け

 

| | Comments (0)

より以前の記事一覧