内部統制 / リスクマネジメント

2025.04.23

米国 国防総省内部監察官室 管理勧告:国防総省の2024年度の2014年連邦情報セキュリティ近代化法の遵守状況 (2025.04.16)

こんにちは、丸山満彦です。

米国の国防総省の内部監察官室 (Inspector General) がFISMAに基づいて監査を実施し、管理勧告 (Management Advisory) を公表していますね...(とはいえ、FISMAの実施状況に対する総合意見をだしているわけではなく、検出された指摘事項を挙げているいう状況です...)

今回は12の勧告がだされていますね。。。

米国の場合は、公文書は原則公開し、段落毎に機密性を判断し、管理対象非機密情報 (Controlled Unclassified Information: CUI) が含まれている部分は、本当に機密性が求められる部分のみを黒塗りするということが行われていますよね。。。

こういう米国の運用については、経済安全保障で政府が取り扱う機密性のある情報が細かく区分管理されるようになる日本でも取り入れるべきなのだろうと思います。

開示請求したら「のり弁当」みたいな開示だと、国民、市民が政府の活動を確認できなくなり、民主主義が果たせなくなりますからね。。。

 

Department of Defense Office of Inspector General:DoD OIG

・2025.04.16 Management Advisory: The DoD’s FY 2024 Compliance with the Federal Information Security Modernization Act of 2014 (Report No. DODIG-2025-086)

 

Management Advisory: The DoD’s FY 2024 Compliance with the Federal Information Security Modernization Act of 2014 (Report No. DODIG-2025-086) 管理勧告 DoD's FY2024 Compliance with the Federal Information Security Modernization Act of 2014 (Report No. DODIG-2025-086)
Audit 監査
This management advisory provides recommendations related to the DoD Office of Inspector General’s review of the DoD’s compliance with the Federal Information Security Modernization Act of 2014 (FISMA), which we announced on December 11, 2023 (Project No. D2024‑D000CP‑0043.000). However, the results in this management advisory do not fully represent all the requirements for each metric or the DoD’s overall FISMA rating. We conducted work on this management advisory from December 2023 through January 2025 with integrity, objectivity, and independence, as required by the Council of the Inspectors General on Integrity and Efficiency’s Quality Standards for Federal Offices of Inspector General. 本管理勧告は、2023年12月11日に発表した2014年連邦情報セキュリティ近代化法(FISMA)のDoDの遵守に関する監察官室のレビュー(プロジェクト番号D2024-D000CP-0043.000)に関連する勧告を提供するものである。しかし、本管理勧告の結果は、各指標のすべての要件や国防総省のFISMA総合評価を完全に代表するものではない。我々は 2023 年 12 月から 2025 年 1 月にかけて、誠実性・効率性に関する監察官会議の連邦監察 官室の品質基準で義務付けられている通り、誠実性、客観性、独立性をもって本管理勧告の作業を実施した。

 

・[PDF]

20250422-60945

 

勧告と対応...

(U) Recommendations, Management Comments, and Our Response (U) 勧告、マネジメントのコメントおよび我々の回答
(U) Recommendation 1 (U) 勧告1
(U) We recommend that the DoD Chief Information Officer direct DoD Components, including the Coast Guard, in coordination with the DoD Component Chief Information Security Officers, Chief Information Officers, and Authorizing Officials, to: (U) 国防総省の最高情報責任者は、国防総省の情報セキュリティ責任者、最高情報責任者、認可担当官と連携して、沿岸警備隊を含む国防総省の各部門に対して、以下のことを指示するよう勧告する:
a.     (U) Identify all critical and non-critical software on the DoD Information Network that is subject to Office of Management and Budget-required selfattestation requirements. a.  (U) 行政管理予算局が要求する自己認証要件の対象となる、国防総省情報ネットワーク上のすべての重要および非重要ソフトウェアを識別する。
b.    (U) Obtain Office of Management and Budget-required self-attestations from software providers or implement an Office of Management and Budget-approved alternative solution for all identified third-party software on the DoD Information Network. b.  (U) 国防総省情報ネットワーク上のすべての特定されたサードパーティ・ソフトウェアについて、ソフトウェア・プロバイダから行政管理予算局が要求する自己証明を取得するか、または行政管理予算局が承認した代替ソリューションを導入する。
c.     (U) Establish a plan of action and milestones to obtain all remaining Office of Management and Budget-required third-party provider self-attestations and request an extension from the Office of Management and Budget deadline. c.  (U)行政管理予算局が要求する残りのすべてのサードパーティ・プロバイダーの自己証明を取得し、行政管理予算局の期限延長を要請するための行動計画とマイルストーンを確立する。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) Although the official Performing the Duties of the DoD CIO disagreed with (U)国防総省CIOの職務を遂行する職員は、以下の意見に同意しなかった。
Recommendation 1.a, they agreed with Recommendations 1.b and 1.c.  The DoD CIO stated that a binary classification of software as “critical” or “non-critical” for public disclosure offers minimal benefit and may inadvertently increase the attack surface by highlighting the DoD’s critical assets to adversaries.  They also stated that the OMB did not intend to grant extensions for collecting secure software development self-attestations as part of a May 2024 communication.  However, the DoD CIO stated that the DoD remains committed to ensuring the secure development and deployment of third-party software on the DODIN, which is critical to the DoD’s cybersecurity posture. 国防総省のCIOは、ソフトウェアを「クリティカル」または「ノンクリティカル」に二元的に分類して公開することは、最小限の利益しかもたらさないだけでなく、国防総省の重要な資産を敵対者に強調することによって、攻撃対象領域を不注意に拡大する可能性があると述べた。  また、OMB は、2024 年 5 月のコミュニケーションの一環として、安全なソフトウェア開発の自己証明書を収集するための延長を認めるつもりはないと述べた。  しかし、国防総省の CIO は、国防総省のサイバーセキュリティ態勢にとって重要である DODIN 上でのサードパーティ・ソフトウェアの安全な開発と展開を確保することに、国防総省は引き続き尽力すると述べた。
(U) The DoD CIO also stated that the DoD attempted a few approaches to implement the OMB M-23-16 requirements but encountered potential contractual conflicts and cybersecurity policy limitations that would require the need for expanded criteria, independent verification, and continuous monitoring.  The DoD CIO stated that these challenges led to the development of an emerging and more comprehensive SCRM program to strengthen software supply chain security that will address the limitations of relying solely on self-attestations from third-party software providers.  This software SCRM program will be risk-based and incorporate expanded assessment criteria, independent verification mechanisms, and continuous monitoring throughout the software lifecycle to meet the intent of the OMB M-22-18 and OMB M-23-16 requirements.  According to the DoD CIO, this risk-based approach will provide a more robust and adaptable framework for managing software supply chain risks for all DoD systems and applications.  The DoD CIO also stated that they will continue to refine and implement the program to ensure a secure and resilient software ecosystem. (U)DoD CIO はまた、DoD が OMB M-23-16 要件を実施するためにいくつかのアプローチを試みたが、規準の拡大、独立した検証、および継続的な監視が必要となる潜在的な契約上の矛盾やサイバーセキュリティ政策の限界に直面したと述べた。  国防総省の CIO は、このような課題から、サードパーティーのソフトウエアプロバイダの自己証明のみに頼ることの限界に対処する、ソフトウエアのサプライチェーンセキュリティを強化するための、より包括的な SCRM プログラムを新たに開発することになったと述べている。  このソフトウェア SCRM プログラムはリスクベースであり、OMB M-22-18 および OMB M-23-16 の要件の意図を満たすために、拡大されたアセスメント規準、独立した検証メカニズム、およびソフトウェアライフサイクル全体にわたる継続的な監視が組み込まれる。  国防総省CIOによると、このリスクベースのアプローチは、すべての国防総省のシステムとアプリケーションのソフトウェアサプライチェーンリスクをマネジメントするための、より強固で適応可能な枠組みを提供する。  国防総省CIOはまた、安全でレジリエンスに優れたソフトウェア・エコシステムを確保するため、このプログラムの改良と実施を継続すると述べている。
(U) Our Response (U)我々の対応
(U) Although the official Performing the Duties of the DoD CIO disagreed with Recommendation 1.a but agreed with Recommendations 1.b and 1.c, their comments addressed all specifics of the recommendations.  Therefore, the recommendations are resolved but open.  We will close the recommendations once the DoD CIO provides documentation demonstrating that the OMB has approved the DoD’s alternative solution to strengthen its software supply chain security instead of obtaining the OMB-required self-attestations from software producers.  The DoD CIO should also provide documentation demonstrating that they directed the DoD Components to implement the DoD’s OMB-approved, alternative approach that meets the intent of the OMB M-22-18 and OMB M-23-16 requirements, including the:  (1) identification of all applicable software on the DODIN; (2) procedures to ensure that third-party software providers followed NIST software development guidance for all applicable software on the DODIN; and (3) development of a plan of action and milestones to implement the DoD’s OMB-approved, alternative approach. (U)DoD CIOの職務を遂行する職員は勧告1.aには同意しなかったが、勧告1.bと1.cには同意した。  したがって、勧告は解決されたが未解決である。  国防総省CIOが、OMBが要求するソフトウェア製造者の自己証明書を取得する代わりに、国防総省のソフトウェア・サプライチェーンのセキュリティを強化する代替ソリューションをOMBが承認したことを証明する文書を提出した時点で、勧告を終了する。  国防総省CIOはまた、OMB M-22-18およびOMB M-23-16の要件の趣旨を満たす、国防総省のOMB承認代替アプローチを実施するよう国防総省の構成員に指示したことを証明する文書も提出しなければならない:  (1)DODIN上の該当するすべてのソフトウェアの識別、(2)DODIN上の該当するすべてのソフトウェアについて、サードパーティ・ソフトウェア・プロバイダがNISTソフトウェア開発ガイダンスに従うことを保証する手順、(3)国防総省のOMB承認代替アプローチを実施するための行動計画およびマイルストーンの策定。
d. (U) Implement a process, such as periodic reviews of the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are accurately reporting the system authorization status for non-national security systems in accordance with DoD guidance. d.  (U) 国防総省のガイダンスに従って、職員が非国家安全保障シス テムのシステム認可状況を正確に報告していることを確 認するために、エンタープライズ・ミッション保証サポート・サービス又は同等のシステムの定期的なレビューなどのプロセスを導入する。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) The official Performing the Duties of the DoD CIO agreed, stating that they intend to release a memorandum directing the DoD Components to review the proper guidelines for reporting the system authorization status and update the status for any miscategorized systems. (U)国防総省CIOの職務を遂行する職員はこれに同意し、システム認可状況を報告するための適切なガイドラインを検討し、誤って分類されたシステムの状況を更新するよう国防総省の構成員に指示する覚書を発表するつもりであると述べた。
(U) Our Response (U)我々の対応
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open.  We will close the recommendation once the DoD CIO provides documentation demonstrating that they directed the DoD Components to implement a process, such as performing periodic reviews in eMASS or an equivalent system, to ensure that officials are accurately reporting the system ATO status for non-national security systems in accordance with DoD guidance. (U)国防総省 CIO の職務を遂行する職員からのコメントでは、勧告のすべての具体的な内容に対処しているため、勧告は解決されたが未解決である。  国防総省CIOが、国防総省のガイダンスに従って、職員が非国家安全保障システムのシステムATOステータスを正確に報告していることを確認するために、eMASSまたは同等のシステムで定期的なレビューを実施するなどのプロセスを実施するよう国防総省の構成員に指示したことを示す文書を提出した時点で、勧告を終了する。
e. (U) Update the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that it captures compliance information for all controls associated with Inspector General Federal Information Security Modernization Act of 2014 reporting metrics for their non-national security systems. e.  (U) エンタープライズ・ミッション保証サポート・サービス又は同等のシステムを更新し、監察官による 2014 年連邦情報セキュリ ティ近代化法の非国家セキュリティシステムの報告指標に関連する全ての統制の遵守情報を確実に取得する。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) The official Performing the Duties of the DoD CIO agreed with the recommendation, stating that they will update the Cyber Scorecard to include controls associated with the IG FISMA reporting metrics for non-national security systems. (U)DoD CIO の職務を遂行する職員は勧告に同意し、サイバースコアカードを更新して、非国家安全保障システムの IG FISMA 報告指標に関連する管理を含めると述べた。
(U) Our Response (U)我々の対応
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open.  We will close the recommendation once the DoD CIO provides documentation demonstrating that they updated the Cyber Scorecard to ensure that it captures the status of the controls associated with the IG FISMA reporting metrics for non-national security systems. (U)国防総省 CIO の職務を遂行する職員からのコメントでは、勧告のすべての具体的な内容に対処しているため、勧告は解決されたが未解決である。  国防総省 CIO がサイバースコアカードを更新し、非国家安全保障システムの IG FISMA 報告指標に関連する管理状況を確実に把握できるようにしたことを証明する文書を提出した時点で、勧告を終了する。
f. (U) Develop and implement a process, such as periodic reviews of the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials implemented the necessary National Institute of Standards and Technology information system controls and accurately reported the status for all non-national security systems. f.  (U) 職員が国立標準技術研究所 (NIST) の必要な情報システム管理を実施し、すべての非国家安全保障シス テムの状況を正確に報告していることを確認するため、エンタープライズ・ミッション保証支援サー ビス又は同等のシステムの定期的なレビューなどのプロセスを開発し、実施する。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) The official Performing the Duties of the DoD CIO agreed, stating that they will track the implementation of the necessary security controls in the Cyber Scorecard for the non-national security systems and add a statement to the Cyber Scorecard requiring that the DoD Components verify the accuracy of their submitted data. (U) 国防総省の CIO の職務を遂行する職員は、国防総省の非国家安全保障シス テムに関するサイバー・スコアカードに必要なデータ管理者の実施状況を記 入し、サイバー・スコアカードに国防総省の各部門が提出したデータの正確性 を検証することを求める記述を追加すると述べ、これに同意した。
(U) Our Response (U)我々の対応
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open.  We will close the recommendation once the DoD CIO provides documentation demonstrating that they updated the Cyber Scorecard to track the status of the NIST system controls for non-national security systems and added a statement to the Cyber Scorecard requiring that the DoD Components verify the accuracy of their submitted data. (U)国防総省CIOの職務を遂行する職員からのコメントは、勧告のすべての具体的な内容に対応している。  国防総省CIOが、非国家セキュリティシステムのNISTシステム管理者の状況を追跡するためにサイバースコアカードを更新し、国防総省構成機関が提出されたデータの正確性を検証することを要求する記述をサイバースコアカードに追加したことを証明する文書を提出した時点で、勧告を終了する。
g. (U) Require officials to develop a plan of action and milestones for non-national security systems that have not implemented all Inspector General Federal Information Security Modernization Act of 2014 reporting metrics-related controls or those systems with a low implementation percentage (for example, below 75 percent), and track the completion of the plans until such controls are implemented or have elevated to an acceptable level and are reported in the Enterprise Mission Assurance Support Service, or an equivalent system. g.  (U) 2014 年連邦情報セキュリティ近代化法(監察官)報告指標に関連する統制をすべて実施していない非国家セキュリティシステム、または実施割合が低い(例えば 75%未満)シス テムについて、行動計画とマイルストーンを策定し、当該統制が実施されるか、許容可能なレベルまで上昇し、エンタープライズ・ミッション保証支援サービス(Enterprise Mission Assurance Support Service)または同等のシステムで報告されるまで、計画の完 了を追跡することを担当者に義務付ける。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) The official Performing the Duties of the DoD CIO agreed, stating that they will add a metric to the Cyber Scorecard for tracking the status of non-compliant controls that are missing plan of action and milestones.  The Scorecard will also track other controls associated with the IG FISMA reporting metrics that do not have a plan of action and milestones items. (U)DoD CIO の職務を遂行する職員は、行動計画やマイルストーンが欠如している非準拠管理 の状況を追跡するための指標をサイバー・スコアカードに追加すると述べ、これに同意した。  スコアカードは、IG FISMA の報告指標に関連する、行動計画とマイルストーンの項目がないその他の管理も追跡する。
(U) Our Response (U)我々の対応
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendation; therefore, the recommendation is resolved but open.  We will close the recommendation once the DoD CIO provides documentation demonstrating that they added a metric to the Cyber Scorecard for tracking the status of non-compliant controls associated with the IG FISMA reporting metrics for non-national security systems, including whether the corresponding plan of action and milestones are reported in eMASS, or an equivalent system. (U)DoD CIO の職務を遂行する役人からのコメントは、勧告のすべての具体的な内容に対応している。  国防総省 CIO が、非国家安全保障システムの IG FISMA 報告指標に関連する非準拠の管理状況を追跡するための指標をサイバースコアカードに追加したことを証明する文書(対応する行動計画とマイルストーンが eMASS または同等のシステムで報告されているかどうかを含む)を提出した時点で、 の勧告を終了する。
(U) Recommendation 2 (U) 勧告2
(U) We recommend that the DoD Chief Information Officer direct the Army Chief (U) 国防総省の最高情報責任者(CIO)が、陸軍の最高情報責任者(CIO)に次のことを指示するよう勧告する。
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告して いることを確認し、誤って分類されたシステムの状況を更新する。
(U) Recommendation 3 (U) 勧告3
(U) We recommend that the DoD Chief Information Officer direct the Navy Chief (U) 国防総省の最高情報責任者(CIO)が、海軍の最高情報責任者(CIO)に次のことを指示するよう勧告する。
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告していることを確認し、誤って分類されたシステムの 状況を更新する。
(U) Recommendation 4 (U) 勧告4
(U) We recommend that the DoD Chief Information Officer direct the Air Force Chief (U) 国防総省の最高情報責任者(CIO)が、空軍の最高情報責任者(CIO)に次のことを指示するよう勧告する。
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告して いることを確認し、誤って分類されたシステムの 状況を更新する。
(U) Recommendation 5 (U) 勧告5
(U) We recommend that the DoD Chief Information Officer direct the Coast Guard Chief (U) 国防総省の最高情報責任者(CIO)が、沿岸警備隊の最高情報責任者(CIO)に次のことを指示するよう勧告する。
Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. 情報責任者は、最高情報セキュリ ティ責任者及び認可担当者と連携して、エンタープライズ・ミッション保証サポート・サービス又はこれに相当するシステ ムをレビューし、担当者が非国家安全保障シス テムのシステム認可状況を正しく報告して いることを確認し、誤って分類されたシステムの状況を更新する。
(U) Recommendation 6 (U) 勧告6
(U) We recommend that the DoD Chief Information Officer direct the Defense (U) 国防総省の最高情報責任者(CIO)に対し、以下のことを指示するよう勧告する。
Security Cooperation Agency Chief Information Officer, in coordination with their Chief Information Security Officer and Authorizing Officials, to review the Enterprise Mission Assurance Support Service, or an equivalent system, to ensure that officials are correctly reporting the system authorization status for their non-national security systems and update the status for any miscategorized systems. 安全保障協力局最高情報責任者は、最高情報セキュリ ティ責任者及び作成機関と連携して、エンタープライズ・ ミッション保証支援サービス又は同等のシス テムをレビューし、担当者が国家安全保障以外のシス テムのシステム認可状況を正しく報告していること を確認し、誤って分類されたシステムの状況を更新す る。
(U) DoD Chief Information Officer Comments (U) 国防総省最高情報責任者のコメント
(U) The official Performing the Duties of the DoD CIO agreed with Recommendations 2, 3, 4, 5, and 6, stating that they will release a memorandum directing the DoD Components to review the proper guidelines for reporting the system authorization status and update the status for any miscategorized systems. (U) 国防総省CIOの職務を遂行する職員は、勧告2、3、4、5、6に同意し、システム認可状況を報告するための適切なガイドラインを検討し、誤って分類されたシステムの状況を更新するよう国防総省の構成員に指示する覚書を発表すると述べた。
(U) Our Response (U)我々の対応
(U) Comments from the official Performing the Duties of the DoD CIO addressed all specifics of the recommendations; therefore, the recommendations are resolved but will remain open. We will close the recommendations once the DoD CIO provides documentation demonstrating that they directed the DoD Components to review the proper guidelines for reporting the system ATO status and update the status for any miscategorized systems in eMASS or their equivalent system. (U)国防総省 CIO の職務を遂行する職員からのコメントは、勧告のすべての具体的な内容に対処している。国防総省CIOが国防総省の各部門に対し、システムのATOステータスを報告するための適切なガイドラインを検討し、eMASSまたは同等のシステムで誤って分類されたシステムのステータスを更新するよう指示したことを証明する文書を提出した時点で、この勧告は終了する。

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

 

DoD Inpector General

2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2023.08.04 米国 国防総省監察官室 米軍情報センターおよび米サイバー軍による分析標準の適用に関する統制の評価 (+情報コミュニティ指令203 分析標準)

・2023.02.14 米国 国防総省 国防総省のサイバーセキュリティに関する報告および証言の概要(2020年7月1日〜2022年6月30日) (2023.02.01)

・2022.10.01 国防総省 監察官室 国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査

・2021.04.03 U.S. Office of Inspectors General(連邦監察官室)

・2020.07.05 米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。

 

FISMA Report

 

FISMA関係...

・2022.09.30 米国 OMB FISMA Report 2021

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.03.17 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

| | Comments (0)

2025.04.22

米国 下院国土安全保障委員会と監視・政府改革委員会の共和党議員が、OMBに対し、重複するサイバー規制を削減するよう要請 (2025.04.08)

こんにちは、丸山満彦です。

米国の連邦下院議会の国土安全保障委員会と監視・政府改革委員会の共和党議員が、OMBに対し、重複するサイバー規制を削減するよう要請していますね...

連邦政府が民間部門に対して約50ものセキュリティに対する政府等への報告要件を課しているが、それを合理化するように要請しています。これは、確かに重用な話ですね。。。

政府機関に一定の情報を報告する必要性(目的)というのはゼロではないですが、複数の政府機関が(それぞれの目的があるのでしょうが)、それぞれの必要に応じてそれぞれ要請すると、いろいろな情報をそれぞれに提供しなければならなくなり、企業側の負担が重くなりますよね。。。そのためのリソースが、セキュリティ対策の向上に利用される方がよっぽど良いわけです。

日本でも同じようなことが起こっているのであれば、是正する必要があるでしょうし、将来的にそういうことが起こらないようにすることは(サイバーセキュリティに限らず)重要なのだろうと思います。日本では、政府への報告は様式(提供する情報だけでなく、形式も決まっている)が決まっている場合もありますからね。。。例えば、ウェブ画面等に、事業者名、関連する法令を入力、選択すれば、自動的に報告内容が表示され、入力またはファイル添付すればOKという、デジタル庁が推進している(デジタルファースト、ワンスオンリー、コネクテッドワンス)が実現されると良いですよね。。。

 

Homeland Security Committee | Republican 

・2025.04.08 House Homeland, Oversight Republicans Urge OMB to Cut Burdensome, Duplicative Cyber Regulations

House Homeland, Oversight Republicans Urge OMB to Cut Burdensome, Duplicative Cyber Regulations 下院国土安全保障委員会と監視・政府改革委員会の共和党議員は、OMBに対し、負担が大きく重複するサイバー規制を削減するよう要請した。
WASHINGTON, D.C. — This week, members of the House Committee on Homeland Security and House Committee on Oversight and Government Reform sent a letter to Office of Management and Budget (OMB) Director Russell Vought, urging OMB to streamline unnecessarily duplicative and resource-intensive cybersecurity regulations, which force critical infrastructure owners and operators to devote resources to complying with burdensome compliance standards instead of defending their networks. Cosigners of the letter include House Committee on Homeland Security Chairman Mark E. Green, MD (R-TN), Committee on Oversight and Government Reform Chairman James Comer (R-KY), Subcommittee on Federal Law Enforcement Chairman Clay Higgins (R-LA), Subcommittee on Cybersecurity, Information Technology, and Government Innovation Chairwoman Nancy Mace (R-SC), and Committee on Oversight and Government Reform member Andy Biggs (R-AZ)
.
ワシントンD.C.-今週、下院国土安全保障委員会と下院監視・政府改革委員会のメンバーは、行政管理予算局(OMB)のラッセル・ヴォート局長に書簡を送り、不必要に重複し、リソースを集中させるサイバーセキュリティ規制を合理化するよう求めた。これらの規制は、重要インフラの所有者や運営者に、ネットワークの防衛ではなく、負担の大きいコンプライアンス基準の遵守にリソースを割くことを強いている。この書簡の賛同者には、マーク・E・グリーン下院国土安全保障委員長(テネシー州選出)、ジェームズ・コマー監視・政府改革委員会委員長(カンザス州選出)、クレイ・ヒギンズ連邦法執行小委員会委員長(ルイジアナ州選出)、ナンシー・メイス・サイバーセキュリティ・情報技術・政府革新小委員会委員長(サウスカロライナ州選出)、アンディ・ビッグス監視・政府改革委員会委員(アリゾナ州選出)が含まれる。
In March 2024, the Cybersecurity and Infrastructure Security Agency (CISA) issued a proposed rule for the bipartisan Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). If implemented as written, the rule would undermine congressional intent by imposing duplicative incident reporting requirements and covering more entities than necessary. This is just one example of the redundant and counterproductive cyber regulatory landscape
2024年3月、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、超党派の「2022年重要インフラ向けサイバーインシデント報告法」(CIRCIA)の規則案を発表した。この規則がそのまま実施されれば、重複するインシデント報告要件を課し、必要以上に多くの事業体を対象とすることで、議会の意図を損なうことになる。これは、冗長で逆効果なサイバー規制の一例に過ぎない。
In the letter, members ask OMB to reduce compliance burdens by reviewing existing and future cyber regulations, identifying opportunities for harmonization within and across agencies, and thoroughly examining the existing cyber regulatory landscape for redundancy in coordination with the Office of the National Cyber Director (ONCD) and CISA. The letter also requests a briefing on OMB’s plans to streamline cyber regulations by April 28, 2025. Read the full letter here
.
書簡の中で、メンバーはOMBに対し、既存および将来のサイバー規制を見直し、省庁内および省庁間の調和の機会を特定し、国家サイバー長官室(ONCD)およびCISAと連携して既存のサイバー規制の冗長性を徹底的に調査することにより、コンプライアンス負担を軽減するよう求めている。この書簡はまた、2025年4月28日までにサイバー規制を合理化するためのOMBの計画に関するブリーフィングを要求している。書簡全文はこちら。
Read more in the Washington Reporter. 詳しくはワシントン・リポーターを参照のこと。
In the letter, the members wrote, “Such oppressive requirements force entities of all sizes to choose between spending precious resources on security or on compliance. This unnecessary tradeoff puts entities at risk. The U.S. cyber regulatory regime should facilitate valuable and actionable information sharing that reinforces the security measures companies undertake to defend against, and respond to, cyber incidents. As nation-state and criminal actors increasingly target U.S. networks and critical infrastructure in cyberspace, we can no longer allow compliance burdens to hinder the agility of U.S.-based companies to respond to threats in a timely manner.” このような抑圧的な要求は、あらゆる規模の事業体に、貴重な資源をセキュリティに費やすか、コンプライアンスに費やすかの選択を迫るものである。この不必要なトレードオフは事業体をリスクにさらす。米国のサイバー規制体制は、サイバーインシデントに対する防御と対応のために企業が行っているセキュリティ対策を強化する、価値ある実用的な情報共有を促進すべきである。国民国家や犯罪アクターがサイバー空間における米国のネットワークや重要インフラをますます標的とするようになる中、コンプライアンス上の負担が、米国を拠点とする企業が脅威にタイムリーに対応する機敏性を阻害することは、もはや許されない。
The members continued, “Compliance burdens imposed on companies can be reduced by streamlining cybersecurity requirements, which multiple stakeholders have testified as being unnecessarily duplicative. For example, in 2020, four federal agencies established cybersecurity requirements for states aimed at securing data. According to the U.S. Government Accountability Office (GAO), the percentage of conflicting parameters for these requirements ranged from 49 to 79 percent. Entities subject to these requirements should not bear the brunt of the federal government’s lack of coordination.” 複数の関係者が不必要に重複していると証言しているサイバーセキュリティ要件を合理化することで、企業に課されるコンプライアンス負担を軽減することができる。例えば、2020年には、4つの連邦政府機関がデータの安全性を確保することを目的としたサイバーセキュリティ要件を州に対して制定した。米国政府アカウンタビリティ室(GAO)によると、これらの要件のパラメータが矛盾している割合は49~79%であった。これらの要件の対象となる事業体は、連邦政府の調整不足の矢面に立たされるべきではない。
The members concluded, “Specifically, OMB could use existing authority granted under Executive Order (EO) 12866: Regulatory Planning and Review. This EO enables OMB’s Office of Information and Regulatory Affairs (OIRA) to periodically review existing significant regulations ‘to confirm that regulations are both compatible with each other and not duplicative or inappropriately burdensome in the aggregate’… in line with President Trump’s 10-to-1 deregulation initiative, OMB must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero. As Congress continues its work to streamline cyber regulations, we urge OMB to take these steps to rein in the cyber regulatory landscape to dramatically improve the security and resiliency of U.S. networks and critical infrastructure. Eliminating the duplicative landscape of cyber regulations is the fastest, most cost-effective way to materially improve the nation’s cybersecurity.” 具体的には、OMBは大統領令(EO)12866の下で与えられた既存の認可を使用することができる: このEOにより、OMBは規制の計画と見直しを行うことができる。このEOにより、OMBの情報規制局(OIRA)は、既存の重要な規制を定期的に見直し、『規制が互いに互換性があり、全体として重複していないか、不適切な負担になっていないかを確認する』ことができる。トランプ大統領の10対1の規制緩和イニシアチブに沿って、OMBは、少なくとも10の既存規則を廃止することなく、新たなサイバー規制を発行してはならず、新規制と廃止された規制の正味コストの合計がゼロ以下になるようにしなければならない。議会がサイバー規制の合理化作業を続ける中、我々はOMBに対し、米国のネットワークと重要インフラのセキュリティとレジリエンスを劇的に改善するために、サイバー規制の状況を抑制するためのこれらの措置を講じるよう強く要請する。サイバー規制の重複を改善することは、国家のサイバーセキュリティを大幅に改善する最も迅速で費用対効果の高い方法である。
Background:  背景 
In a hearing on cyber regulatory harmonization last month, House Homeland members examined opportunities to improve the cyber regulatory regime, including the role CISA should play in cyber regulatory harmonization moving forward. In his opening statement, Chairman Green highlighted the need to streamline, saying: “There are now at least 50 cyber incident reporting requirements in effect across the federal government… This patchwork of conflicting and complex regulations places a significant burden on reporting entities. Let’s be clear: improving our nation’s cyber regulatory regime will bolster our national security. Current cyber incident reporting regulations require too much of the private sector, drawing their attention away from securing their networks.
先月行われたサイバー規制の調和に関する公聴会で、国土安全保障省の下院議員は、今後のサイバー規制の調和においてCISAが果たすべき役割など、サイバー規制体制を改善する機会を検討した。グリーン委員長は冒頭の発言で、合理化の必要性を強調し、次のように述べた: 「現在、連邦政府全体で少なくとも50のサイバーインシデント報告要件が施行されている......この矛盾した複雑な規制のパッチワークは、報告事業体に大きな負担を強いている。はっきりさせておこう。わが国のサイバー規制体制を改善することは、わが国の国家安全保障を強化することになる。現在のサイバーインシデント報告規制は、民間部門に多くのことを要求し、彼らの注意をネットワークの安全確保から遠ざけている。
Last month, Homeland Republicans sent a letter to Transportation Security Administration (TSA) Acting Administrator Adam Stahl, highlighting the evolving cyber threats facing our nation’s transportation infrastructure and the urgent need for an adaptive cybersecurity posture that does not add to the already complex cybersecurity regulatory landscape 先月、国土安全保障省は運輸保安庁(TSA)のアダム・スタール長官代理に書簡を送り、わが国の交通インフラが直面するサイバー脅威の進化と、すでに複雑なサイバーセキュリティ規制の状況をこれ以上増やさない、適応力のあるサイバーセキュリティ態勢の緊急の必要性を強調した。
In 2023, Chairman Green and Subcommittee on Cybersecurity and Infrastructure Protection Chairman Andrew Garbarino (R-NY) were joined by Congressman Zach Nunn (R-IA) on a letter to Securities and Exchange Commission (SEC) Chair Gary Gensler, which sounded off on the agency’s duplicative cyber rules that increase bureaucratic burden for public companies, risk compromising their confidentiality, and run contrary to CIRCIA 2023年、グリーン委員長とサイバーセキュリティ・インフラ防護小委員会のアンドリュー・ガルバリノ委員長(ニューヨーク州選出)は、ザック・ナン下院議員(アイア州選出)とともに、証券取引委員会(SEC)のゲーリー・ゲンスラー委員長に書簡を送り、上場企業の官僚的負担を増大させ、機密性を損なうリスクや、CIRCIAに反する同委員会の重複するサイバー規制について非難した。

 

 

OMB長官への書簡

・[PDF

20250421-55700

 

Dear Director Vought:  親愛なるヴォート長官: 
We write to urge you to use the existing authorities of the Office of Management and Budget (OMB) to address the burdensome and conflicting cyber regulatory landscape. There is ample evidence that cybersecurity regulatory compliance is unnecessarily sprawling and resource-intensive. The Cybersecurity and Infrastructure Security Agency (CISA) estimates there are more than three dozen federal requirements for cyber incident reporting alone—a number that does not capture specific state, local, Tribal, territorial, or international requirements.[1]   我々は、行政管理予算局(OMB)の既存の認可を利用して、負担が重く矛盾したサイバー規制の状況に対処するよう、強く要望する。サイバーセキュリティ規制の遵守が不必要に拡大し、リソースを集約しているという証拠は十分にある。サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、サイバーインシデント報告に関する連邦政府の要件だけでも 3 ダース以上あると推定しているが、この数には州、地方、部族、地域、または国際的な特定の要件は含まれていない[1]
The resources required for regulated entities to comply are immense. For example, a proposed change to the Health Insurance Portability and Accountability Act of 1996 (HIPAA) Security Rule aimed to improve cybersecurity would cost regulated entities and health-plan sponsors an astounding $9 billion combined in just the first year.[2] According to testimony before the Subcommittee on Cybersecurity and Infrastructure Protection, “bank Chief Information Security Officers [CISOs] now spend 30-50 percent of their time on compliance and examiner management. The cyber teams they oversee spend as much as 70 percent of their time on those same functions.”[3] Additionally, a quarter of the requests for information banks receive are duplicative, uncoordinated agency requests.[4] Again, in testimony before the Subcommittee on Cybersecurity, Information Technology, and Government Innovation, an energy sector witness explained “managing compliance obligations with disparate regulations and across agencies may in fact harm the cybersecurity posture of organizations, particularly where limited resources are allocated to compliance activities over managing risk, maturing capabilities, and creating effective security programs.”[5]  規制対象事業体が遵守するために必要なリソースは膨大である。例えば、サイバーセキュリティの改善を目的とした1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ・ルールの変更案では、規制対象事業体と医療保険プランのスポンサーを合わせると、初年度だけで90億ドルという驚異的なコストがかかるとされている[2]。 サイバーセキュリティとインフラ保護に関する小委員会での証言によると、「銀行の最高情報セキュリティ責任者(CISO)は現在、時間の30~50%をコンプライアンスと審査官の管理に費やしている。さらに、銀行が受ける情報提供要請の4分の1は、重複し、連携していない機関からの要請である。 4]また、サイバーセキュリティ・情報技術・政府イノベーション小委員会における証言の中で、あるエネルギー部門の証人は、「異なる規制や省庁間のコンプライアンス義務を管理することは、特に、限られたリソースがリスク管理や能力の成熟、効果的なセキュリティ・プログラムの構築よりもコンプライアンス活動に割り当てられている場合、組織のサイバーセキュリティ態勢に悪影響を及ぼす可能性がある」と説明している[5][6] 。
Such oppressive requirements force entities of all sizes to choose between spending precious resources on security or on compliance. This unnecessary tradeoff puts entities at risk. The U.S. cyber regulatory regime should facilitate valuable and actionable information sharing that reinforces the security measures companies undertake to defend against, and respond to, cyber incidents. As nation-state and criminal actors increasingly target U.S. networks and critical infrastructure in cyberspace, we can no longer allow compliance burdens to hinder the agility of U.S.-based companies to respond to threats in a timely manner.   このような抑圧的な要件は、あらゆる規模の事業体に、貴重なリソースをセキュリティに費やすか、コンプライアンスに費やすかの二者択一を迫る。この不必要なトレードオフは事業体をリスクにさらす。米国のサイバー規制体制は、サイバーインシデントに対する防御と対応のために企業が実施するセキュリティ対策を強化する、価値ある実用的な情報共有を促進すべきである。国家や犯罪アクターがサイバー空間における米国のネットワークや重要インフラをますます標的とするようになる中、米国に拠点を置く企業がタイムリーに脅威に対応する機敏性を、コンプライアンス上の負担が妨げることはもはや許されない。 
Compliance burdens imposed on companies can be reduced by streamlining cybersecurity requirements, which multiple stakeholders have testified as being unnecessarily duplicative.[6] For example, in 2020, four federal agencies established cybersecurity requirements for states aimed at securing data. According to the U.S. Government Accountability Office (GAO), the percentage of conflicting parameters for these requirements ranged from 49 to 79 percent.[7] Entities subject to these requirements should not bear the brunt of the federal government’s lack of coordination.   企業に課されるコンプライアンス負担は、複数の関係者が不必要に重複していると証言しているサイバーセキュリティ要件を合理化することで軽減することができる[6]。例えば、2020年には、4つの連邦政府機関がデータの安全確保を目的としたサイバーセキュリティ要件を州に対して制定した。米国政府アカウンタビリティ室(GAO)によると、これらの要件のパラメータが矛盾する割合は49~79%であった[7]。 
For several years, Congress has recognized the importance of streamlining cybersecurity requirements and took steps to address it. In 2022, Congress passed the bipartisan Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA), which required CISA to develop a new regulation to set the standard for cyber incident reporting.[8] Additionally, the Streamlining Federal Cybersecurity Regulations Act introduced in both the Senate and House in the 118th Congress establishes an interagency committee within the Office of the National Cyber Director (ONCD) to harmonize regulatory regimes.[9] However, CISA’s proposed CIRCIA rule, if enacted as written, undermines Congressional intent by imposing another layer of duplication by increasing compliance costs and capturing more entities than envisioned by lawmakers.[10]  数年前から、議会はサイバーセキュリティ要件の合理化の重要性を認識し、それに取り組むための措置を講じてきた。2022年、議会は超党派の「2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)」を可決し、CISAにサイバーインシデント報告の標準を定める新規制の策定を義務付けた[8]。さらに、第118議会に上下両院で提出された「連邦サイバーセキュリティ規制合理化法」は、規制体制を調和させるために国家サイバー長官室(ONCD)内に省庁間委員会を設置するものである。 [しかし、CISAの提案するCIRCIA規則は、もし文書通りに制定されれば、法令遵守コストを増加させ、議員たちが想定していたよりも多くの事業体を捕捉することによって、重複の新たなレイヤーを課すことにより、議会の意図を損なうことになる[10]
As the agency tasked with overseeing regulations across the federal government, we recognize the crucial role OMB can and will play in improving our nation’s cyber posture. Therefore, we urge OMB to act now by prioritizing the review of existing and future federal cyber regulations. OMB, in coordination with ONCD and CISA, must thoroughly examine the existing cyber regulatory landscape for duplication and redundancy across the federal government, and identify opportunities for reciprocity within and between agencies.   連邦政府全体の規制を監督する任務を負う機関として、我々は、OMBが我が国のサイバー態勢の改善において重要な役割を果たすことができ、また果たすであろうことを認識している。従って、我々はOMBに対し、既存および将来の連邦サイバー規制の見直しを優先することで、今すぐ行動を起こすよう求める。OMBは、ONCDおよびCISAと連携して、連邦政府全体の重複や冗長性について既存のサイバー規制の状況を徹底的に調査し、政府機関内および政府機関間の相互主義の機会を特定しなければならない。 
Specifically, OMB could use existing authority granted under Executive Order (EO) 12866: Regulatory Planning and Review. This EO enables OMB’s Office of Information and Regulatory Affairs (OIRA) to periodically review existing significant regulations[11] “to confirm that regulations are both compatible with each other and not duplicative or inappropriately burdensome in the aggregate.”[12] The process set forth in EO 12866 has spanned administrations,[13] and forms the basis of two EOs issued by President Trump.[14] Additionally, in line with President Trump’s 10-to-1 deregulation initiative,[15] OMB must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero.   具体的には、OMBは大統領令(EO)12866の下で与えられた既存の認可を使用することができる: このEOにより、OMBの情報規制局(OIRA)は既存の重要な規制[11]を定期的に見直すことができる。このEOにより、OMBの情報規制局(OIRA)は、既存の重要な規制[11]を定期的に見直し、「規制が互いに互換性があり、全体として重複していないか、不適切な負担になっていないかを確認する」ことができる[12]。 「12] EO 12866で規定されたプロセスは政権をまたぎ[13]、トランプ大統領が出した2つのEOの基礎となっている[14]。さらに、トランプ大統領の10対1規制緩和イニシアチブ[15]に沿って、OMBは、少なくとも10個の既存規則を廃止し、新規制と廃止規制の正味総コストがゼロ以下であることを確認しない限り、新たなサイバー規制を発行してはならない。
As Congress continues its work to streamline cyber regulations, we urge OMB to take these steps to rein in the cyber regulatory landscape to dramatically improve the security and resiliency of U.S. networks and critical infrastructure. Eliminating the duplicative landscape of cyber regulations is the fastest, most cost-effective way to materially improve the nation’s cybersecurity.   議会がサイバー規制の合理化作業を続ける中、我々はOMBに対し、米国のネットワークと重要インフラのセキュリティとレジリエンスを劇的に改善するために、サイバー規制の状況を抑制するためのこれらの措置を講じるよう強く求める。サイバー規制の重複を改善することは、国家のサイバーセキュリティを大幅に改善する最も迅速で費用対効果の高い方法である。 
To support Congress’s continued efforts to streamline cyber regulations and the oversight responsibilities of our Committees over issues related to cybersecurity and regulatory matters, including the identification of any legal barriers that Congress must address through legislation, we request a briefing on OMB’s plans to streamline cyber regulations by April 28, 2025.   サイバー規制を合理化するための議会の継続的な努力と、議会が立法を通じて対処しなければならない法的障壁の特定を含め、サイバーセキュリティと規制事項に関する問題に対する当委員会の監督責任を支援するため、2025年4月28日までにサイバー規制を合理化するためのOMBの計画に関するブリーフィングを要請する。 
Per Rule X of the U.S. House of Representatives, the Committee on Homeland Security is the principal committee of jurisdiction for overall homeland security policy and has special oversight of “all Government activities relating to homeland security, including the interaction of all departments and agencies with the Department of Homeland Security.” Additionally, under House Rule X, the Committee on Oversight and Government Reform is the principal oversight committee of the U.S. House of Representatives and has broad authority to investigate “any matter” at “any time”.  米国下院の規則Xにより、国土安全保障委員会は国土安全保障政策全般を管轄する主要委員会であり、「国土安全保障省とのすべての省庁の相互作用を含む、国土安全保障に関するすべての政府活動」を特別に監督する代表者である。さらに、下院規則Xに基づき、監視・政府改革委員会は米国下院の主要な監視委員会であり、「いつでも」「どのような問題でも」調査できる広範な権限を有している。
We appreciate your prompt attention to this matter and look forward to working with you to enhance our nation’s cyber resiliency and security.  私たちは、この件への迅速なご配慮に感謝するとともに、わが国のサイバー・レジリエンスとセキュリティを強化するために、皆様と協力できることを楽しみにしている。

 

[1] Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting
Requirements, 89 FR 23644, Apr. 4, 2024, https://www.federalregister.gov/documents/2024/04/04/2024-06526/cyber-incident-reporting-for-criticalinfrastructure-act-circia-reporting-requirements.

[2] HIPAA Security Rule To Strengthen the Cybersecurity of Electronic Protected Health Information, 90 FR 898, Jan. 6, 2025, https://www.federalregister.gov/documents/2025/01/06/2024-30983/hipaa-security-rule-to-strengthenthe-cybersecurity-of-electronic-protected-health-information.

[3] “Regulatory Harm or Harmonization? Examining the Opportunity to Improve the Cyber Regulatory Regime”, 119th Cong. (2025), Testimony of Heather Hogsett, https://bpi.com/wp-content/uploads/2025/03/Testimony-ofHeather-Hogsett-Regulatory-Harm-or-Harmonization-Examining-the-Opportunity-to-Improve-the-CyberRegulatory-Regime.pdf.

[4] Id.

[5] “Enhancing Cybersecurity by Eliminating Inconsistent Regulations”, 118th Cong. (2024), Testimony of Maggie O’Connell, https://oversight.house.gov/wp-content/uploads/2024/07/OConnell-Testimony.pdf.

[6] See “Surveying CIRCIA: Sector Perspectives on the Notice of Proposed Rulemaking”, 118th Cong. (2024). and “Regulatory Harm or Harmonization? Examining the Opportunity to Improve the Cyber Regulatory Regime”, 119th Cong. (2025).

[7] “Efforts Initiated to Harmonize Regulations, but Significant Work Remains”, U.S. Government Accountability Office, Testimony of David B. Hinchman before the U.S. Homeland Security and Government Affairs Committee of the U.S. Senate, June 5, 2024, https://www.gao.gov/assets/gao-24-107602.pdf.

[8] Text - H.R.2471 - 117th Congress (2021-2022): Consolidated Appropriations Act, 2022. (2022, March 15). https://www.congress.gov/bill/117th-congress/house-bill/2471/text.

[9] Text -S.4630 - 118th Congress (2023-2024): Streamlining Federal Cybersecurity Regulations Act. (2024, December 2). https://www.congress.gov/bill/118th-congress/senate-bill/4630/text.

[10] Congressman Andrew R. Garbarino, Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) Reporting Requirements, 89 FR 23644, Apr. 4, 2024, https://www.regulations.gov/comment/CISA-2022-0010-0464.

[11] A “significant regulatory action” is defined by EO 12866 as “any regulatory action that is likely to result in a rule that may: (1) Have an annual effect on the economy of $100 million or more or adversely affect in a material way the economy, a sector of the economy, productivity, competition, jobs, the environment, public health or safety, or State, local, or tribal governments or communities; (2) Create a serious inconsistency or otherwise interfere with an action taken or planned by another agency; (3) Materially alter the budgetary impact of entitlements, grants, user fees, or loan programs or the rights and obligations of recipients thereof; or (4) Raise novel legal or policy issues arising out of legal mandates, the President’s priorities, or the principles set forth in this Executive order.”

[12] Exec. Order No. 12866, Regulatory Planning and Review, 58 FR 51735, Sept. 30,
1993, https://www.archives.gov/files/federal-register/executive-orders/pdf/12866.pdf.

[13] Office of Management and Budget (OMB): An Overview. (2025, March 23). https://www.congress.gov/crsproduct/RS21665.

[14] See Exec. Order No. 13771, Reducing Regulation and Controlling Regulatory Costs (2017) and Exec. Order No. 14192, Unleashing Prosperity Through Deregulation (2025).

[15] “Fact Sheet: President Donald J. Trump Launches Massive 10-to-1 Deregulation Initiative”, The White House, Jan. 31, 2025, https://www.whitehouse.gov/fact-sheets/2025/01/fact-sheet-president-donald-j-trump-launches-massive-10-to-1deregulation-initiative/.

 

 

報道...

中道右派のようです...

Washington Reporter

・2025.04.09 EXCLUSIVE: Top Republicans want OMB to streamline America's cyber security - by Matthew Foldi

EXCLUSIVE: Top Republicans want OMB to streamline America's cyber security 概要: 共和党トップ、OMBに米国のサイバーセキュリティの合理化を求める
THE LOWDOWN: THE LOWDOWN:
・Top Republicans in Congress are eager to see the Trump administration’s Office of Management and Budget (OMB) roll back Biden-era regulations that leaders in the private sector have said are both duplicative and counterproductive, the Washington Reporter can reveal. ・議会の共和党トップは、トランプ政権の行政管理予算局(OMB)が、民間セクターのリーダーたちが重複的で逆効果だと指摘しているバイデン時代の規制を撤廃することを熱望していることが、ワシントン・レポーターの取材で明らかになった。
・The Reporter exclusively obtained a letter from House Homeland Security and Oversight Committees chairmen Mark Green and James Comer calling on OMB Director Russ Vought to “address the burdensome and conflicting cyber regulatory landscape.” ・The Reporter紙が独占的に入手した、下院の国土安全保障委員会と監視委員会のマーク・グリーン委員長とジェームズ・コマー委員長からの書簡は、OMBのラス・ヴォート長官に「負担が大きく、矛盾したサイバー規制の状況に対処する」よう求めている。
・Reps. Clay Higgins (R., La.), Nancy Mace (R., S.C.), and Andy Biggs (R., Ariz.) joined the chairmen on the letter. ・クレイ・ヒギンズ議員 クレイ・ヒギンズ議員(共和党、ラオス)、ナンシー・メイス議員(共和党、サウスカロライナ州)、アンディ・ビッグス議員(共和党、アリゾナ州)も、この書簡に加わった。
・According to President Donald Trump’s 10-to-1 deregulation initiative, OMB “must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero.” ・ドナルド・トランプ大統領の「10対1規制緩和イニシアチブ」によると、OMBは「少なくとも10個の既存規則を廃止し、新規制と廃止規制の純コスト合計がゼロ以下であることを保証しない限り、いかなる新規サイバー規制も発行してはならない」となっている。
Top Republicans in Congress are eager to see the Trump administration’s Office of Management and Budget (OMB) roll back Biden-era regulations that leaders in the private sector have said are both duplicative and counterproductive, the Washington Reporter can reveal. 議会の共和党トップは、トランプ政権の行政管理予算局(OMB)が、民間セクターのリーダーたちが重複的で逆効果だと指摘するバイデン時代の規制を撤廃することを熱望していることが、ワシントン・レポーターの取材で明らかになった。
In a letter exclusively obtained by the Reporter, House Homeland Security Committee Chairman Mark Green (R., Tenn.) and House Oversight Committee Chairman James Comer (R., Ky.) wrote to OMB Director Russ Vought urging his agency to “address the burdensome and conflicting cyber regulatory landscape.” Reps. Clay Higgins (R., La.), Nancy Mace (R., S.C.), and Andy Biggs (R., Ariz.) joined the chairmen on the letter. リポーターが独占入手した書簡の中で、マーク・グリーン下院国土安全保障委員長(テネシー州選出)とジェームズ・コーマー下院監視委員長(キース州選出)は、OMBのラス・ヴォート長官に宛てて、「負担が大きく、矛盾したサイバー規制の状況に対処する」よう求めている。クレイ・ヒギンズ議員 クレイ・ヒギンズ議員(共和党、ラオス)、ナンシー・メイス議員(共和党、サウスカロライナ州)、アンディ・ビッグス議員(共和党、アリゾナ州)も議長に加わった。
“As nation-state and criminal actors increasingly target U.S. networks and critical infrastructure in cyberspace, we can no longer allow compliance burdens to hinder the agility of U.S.-based companies to respond to threats in a timely manner,” they wrote, adding that the dichotomy between spending on security and compliance is an “unnecessary tradeoff.” 「国家や犯罪アクターがサイバー空間における米国のネットワークや重要インフラをますます標的とするようになる中、米国を拠点とする企業が脅威に対してタイムリーに対応する機敏性を、コンプライアンスの負担が妨げることはもはや許されない。
“The U.S. cyber regulatory regime should facilitate valuable and actionable information sharing that reinforces the security measures companies undertake to defend against, and respond to, cyber incidents,” the lawmakers wrote. 「米国のサイバー規制体制は、企業がサイバーインシデントに対する防御と対応のために実施するセキュリティ対策を強化する、価値ある実用的な情報共有を促進すべきである。
The lawmakers wrote that there “is ample evidence that cybersecurity regulatory compliance is unnecessarily sprawling and resource-intensive,” and that the “Cybersecurity and Infrastructure Security Agency (CISA) estimates there are more than three dozen federal requirements for cyber incident reporting alone — a number that does not capture specific state, local, Tribal, territorial, or international requirements.” 議員らは、「サイバーセキュリティ規制の遵守が不必要に広範で資源集約的であることを示す十分な証拠がある」とし、「サイバーセキュリティ・インフラセキュリティ庁(CISA)は、サイバーインシデント報告に関する連邦政府の要件だけでも3ダース以上あると推定している」と記している。これには、州、地方、部族、地域、国際的な要件は含まれていない。
One example the lawmakers point to is “a proposed change to the Health Insurance Portability and Accountability Act of 1996 (HIPAA) Security Rule aimed to improve cybersecurity [which] would cost regulated entities and health-plan sponsors an astounding $9 billion combined in just the first year.” 議員たちが指摘する一例は、「サイバーセキュリティの改善を目的とした1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ・ルールの変更案」である。 [これは)規制対象となる事業体と医療保険プランのスポンサーを合わせると、初年度に90億ドルという驚異的なコストがかかることになる」。
While Congress has passed numerous bipartisan measures to attempt to streamline cybersecurity requirements, the lawmakers note that Vought’s OMB can play a critical role too. 議会はサイバーセキュリティの要件を合理化しようとする数多くの超党派の法案を可決したが、議員たちは、ヴォートのOMBも重要な役割を果たすことができると指摘している。
“We urge OMB to act now by prioritizing the review of existing and future federal cyber regulations,” the letter reads. “OMB, in coordination with [the Office of the National Cyber Director] and [the Cybersecurity and Infrastructure Security Agency], must thoroughly examine the existing cyber regulatory landscape for duplication and redundancy across the federal government, and identify opportunities for reciprocity within and between agencies.” 「我々はOMBに対し、既存および将来の連邦サイバー規制の見直しを優先させることで、今すぐ行動を起こすよう求める。「OMBは、[国家サイバー長官室]および[サイバーセキュリティ・インフラセキュリティ庁]と連携して、連邦政府全体の重複や冗長性について既存のサイバー規制の状況を徹底的に調査し、政府機関内および政府機関間の相互主義の機会を特定しなければならない。
According to President Donald Trump’s 10-to-1 deregulation initiative, OMB “must not issue any new cyber regulations without repealing at least ten existing rules and ensuring the net total cost of new and repealed regulation are less than zero,” they note. ドナルド・トランプ大統領の10対1規制緩和イニシアチブによると、OMBは「少なくとも10の既存規則を廃止し、新規制と廃止規制の正味総コストがゼロ以下であることを保証することなく、いかなる新規サイバー規制も発表してはならない」と彼らは指摘している。
However, OMB has the ability and authority to “periodically review existing significant regulations ‘to confirm that regulations are both compatible with each other and not duplicative or inappropriately burdensome in the aggregate,’” and the Republicans on the Green-led letter hope Vought exercises that authority. しかし、OMBは「既存の重要な規制を定期的に見直し、『規制が互いに互換性があり、全体として重複していないか、不適切な負担になっていないかを確認する』能力と認可機関を持っており、グリーン主導の書簡の共和党議員は、ヴォートがその権限を行使することを望んでいる」と述べている。
Following this letter, the lawmakers wrote to Vought that they would like to be briefing on OMB’s plans no later than April 28th. この書簡を受け、議員たちはヴォートに対し、遅くとも4月28日までにOMBの計画について説明を受けたいと書簡を送った。
“The Trump administration is rightfully working to roll back the burdensome, bureaucratic red tape across industries that ballooned under the Biden-Harris administration,” Green told the Reporter. “In line with that mission, Chairman Comer and I urge Director Vought to use OMB’s existing authorities to closely examine the cyber regulatory regime, which is now forcing the private sector to spend more time meeting duplicative compliance standards than securing their networks from growing cyber threats.” 「トランプ政権は、バイデン-ハリス政権下で膨れ上がった、業界全体にまたがる負担の大きい官僚主義的なお役所仕事を縮小するために、当然取り組んでいる」とグリーンは記者に語った。「その使命に沿って、コマー委員長と私は、ヴォート局長に対し、OMBの既存の認可を利用して、サイバー規制体制を綿密に検討するよう強く要請する。この規制体制は現在、民間企業に、増大するサイバー脅威からネットワークを守ることよりも、重複するコンプライアンス基準を満たすことに多くの時間を費やすことを強いている。
“Harmonizing and streamlining cyber requirements throughout the federal government will enable America’s cyber defenders to focus on network security,” he added. 「連邦政府全体のサイバー要件を調和させ、合理化することで、アメリカのサイバー防衛者はネットワークセキュリティに集中できるようになる。
The Trump administration has placed a priority on rolling back unnecessary regulations, which these Republicans think aligns squarely with reforming America’s cybersecurity infrastructure. Under the status quo, they note, “the resources required for regulated entities to comply are immense.” トランプ政権は不要な規制の撤廃を優先しており、これはアメリカのサイバーセキュリティ・インフラの改革と正面から一致していると共和党員は考えている。現状では、「規制対象事業体が遵守するために必要なリソースは膨大だ」と彼らは指摘する。
Testimony heard by both committees has shown the extent of the problems. 両委員会が聴取した証言は、問題の大きさを示している。
“Bank Chief Information Security Officers [CISOs] now spend 30-50 percent of their time on compliance and examiner management,” one witness told the Subcommittee on Cybersecurity and Infrastructure Protection. “The cyber teams they oversee spend as much as 70 percent of their time on those same functions.” 「銀行の最高情報セキュリティ責任者(CISO)は現在、時間の30~50%をコンプライアンスと審査官の管理に費やしている」と、ある証人はサイバーセキュリティ・インフラ保護小委員会で語った。「彼らが監督するサイバーチームは、同じ機能に70パーセントもの時間を費やしている。
Another witness told the Subcommittee on Cybersecurity, Information Technology, and Government Innovation that “managing compliance obligations with disparate regulations and across agencies may in fact harm the cybersecurity posture of organizations, particularly where limited resources are allocated to compliance activities over managing risk, maturing capabilities, and creating effective security programs.” 別の証人は、サイバーセキュリティ・情報技術・政府イノベーション小委員会に対し、「異なる規制や省庁間のコンプライアンス義務を管理することは、実際に組織のサイバーセキュリティ態勢に悪影響を及ぼす可能性がある。特に、限られたリソースがリスク管理、能力の成熟、効果的なセキュリティプログラムの作成よりもコンプライアンス活動に割り当てられている場合だ」と述べた。
Comer told the Reporter that the findings by the two GOP-led committees should lead to plenty of opportunities for collaboration with the administration. コマー氏は、共和党が主導する2つの委員会の調査結果は、政権との協力の機会を多くもたらすはずだと記者団に語った。
“Cyberattacks against our government and U.S.-based companies pose a serious threat to our national security and critical infrastructure,” he said. “We must ensure that cybersecurity regulations help prevent these attacks, not enable them.” 「政府や米国企業に対するサイバー攻撃は、国家安全保障と重要インフラに対する深刻な脅威である。「サイバーセキュリティ規制が、こうした攻撃を可能にするのではなく、未然に防ぐことを確実にしなければならない。
“We look forward to working with the Trump Administration to streamline and harmonize duplicative and bureaucratic regulations so they are effective and efficient,” Comer added. 「重複した官僚的な規制を合理化し、調和させ、効果的かつ効率的なものにするために、トランプ政権と協力することを楽しみにしている。

 

 

 


 

インシデント報告の重複を減らそうというのはどこも同じですね...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.17 金融安定理事会 (FSB) サイバーインシデント報告におけるより大きな収束を実現するための提言

 

 

 

| | Comments (0)

2025.04.18

IPA 一般企業(中小企業)と医療機関向けセキュリティインシデント対応机上演習教材 (2025.04.15)

こんにちは、丸山満彦です。

IPAが、一般企業(中小企業)と医療機関向けの「セキュリティインシデント対応机上演習教材」を公表していますね...

ランサムウェア感染のインシデントシナリオを使用して、インシデント対応の一連の流れを机上で演習する教材(パワーポイント)とその実施マニュアルですね...

 

阪神大震災を経験した後、東日本大震災を経験したのですが、やはり感じたのは、1回の経験でも、経験がないのとは全然違うということですね...

そして、おそらく経験値を積めば詰むほど的確に対応できるようになると思います。

ただし、実際はなん度も経験をするわけにはいきませんから、実際は訓練を積み重ねていくのが重要なのだろうと思います。まちでも、消防士は火事がない時は訓練していますし、自衛隊もずーっと訓練ですよね...

ということで、参考にしてください。

ちなみに、

  • Practice(練習)
  • Drill(訓練)
  • Exercise(訓練・演習)
  • Simulation(模擬演習)
  • Rehearsal(リハーサル、本番前の練習)
  • Workshop(ワークショップ、実習)
  • Trial(試行、試験)

という用語の違いが感覚的にわかるとより深い演習等ができるようになるかもですね...

 

● IPA

・2025.04.15 セキュリティインシデント対応机上演習教材

 

・[PDF] 中小企業のためのセキュリティインシデント対応手引き

20250418-132959

 

教材...

・[ZIP]セキュリティインシデント対応机上演習_ランサムウェア感染シナリオ

 

 

 

| | Comments (0)

米国 AI政策戦略研究所(IAPS)AIエージェントのガバナンス: フィールドガイド (2025.04.17)

こんにちは、丸山満彦です。

米国のAI政策戦略研究所(IAPS)が、AIエージェントのガバナンス: フィールドガイドを公表していますね...

AI政策戦略研究所 (the Institute for AI Policy and Strategy: IAPS) は、国家安全保障と国際安定の観点からAI政策を考える団体ですね...

多くの組織に影響を与えるという意味では、AIの開発に関するガバナンスも重要ですが、多くの組織が利用するという意味では、AIの利用に関するガバナンスも重要ですよね...

政策としてはAI開発、提供、利用と一体で考えるべきですが、細かい点では、開発、提供、利用をそれぞれ分けても良いかもですね...対象者が異なってくるケースが多いでしょうし...

AIエージェントのリスクについて次の4つをあげていますね...

1 Malicious use 1 悪意のある利用
2 Accidents and loss of control 2 事故と制御不能
3 Security risks 3 セキュリティリスク
4 Other systemic risks 4 その他のシステミックリスク

 

 

the Institute for AI Policy and Strategy: IAPS

・2025.04.17 AI Agent Governance: A Field Guide

AI Agent Governance: A Field Guide AIエージェントのガバナンス: フィールドガイド
This report serves as an accessible guide to the emerging field of AI agent governance. Agents—AI systems that can autonomously achieve goals in the world, with little to no explicit human instruction about how to do so—are a major focus of leading tech companies, AI start-ups, and investors. If these development efforts are successful, some industry leaders claim we could soon see a world where millions or billions of agents autonomously perform complex tasks across society. Society is largely unprepared for this development. 本レポートは、AIエージェント・ガバナンスという新たな分野についてわかりやすく解説したものである。エージェントとは、人間の明示的な指示をほとんど受けることなく、自律的に目標を達成するAIシステムのことで、大手ハイテク企業やAIベンチャー企業、投資家たちが大きな関心を寄せている。こうした開発努力が成功すれば、何百万、何十億というエージェントが社会全体で複雑なタスクを自律的にこなす世界がまもなく実現すると主張する業界リーダーもいる。社会はこのような発展に対する備えをほとんどしていない。
A future where capable agents are deployed en masse could see transformative benefits to society but also profound and novel risks. Currently, the exploration of agent governance questions and the development of associated interventions remain in their infancy. Only a few researchers, primarily in civil society organizations, public research institutes, and frontier AI companies, are actively working on these challenges. 有能なエージェントが大量に展開される未来は、社会に変革的な利益をもたらすかもしれないが、同時に重大で斬新なリスクもはらんでいる。現在、エージェント・ガバナンスに関する問題の探求と、それに関連する介入策の開発は、まだ初期段階にある。これらの課題に積極的に取り組んでいるのは、主に市民社会組織、公的研究機構、フロンティアAI企業など、ごく少数の研究者に限られている。
Highlights from the report include: 報告書のハイライトは以下の通りである:
What’s coming: Vivid scenarios show what life with millions of AI agents could look like. これから起こること: 何百万ものAIエージェントがいる生活がどのようなものになるのか、生き生きとしたシナリオで示す。
The pace of change: Today’s AI agents struggle with tasks over an hour, but that limit has been doubling every few months. 変化のペース: 現在のAIエージェントは1時間以上のタスクに苦戦しているが、その限界は数カ月ごとに倍増している。
The governance gap: We map out the biggest unsolved challenges and introduce a new framework for understanding agent governance solutions. ガバナンスのギャップ: 最大の未解決課題を明らかにし、エージェント・ガバナンス・ソリューションを理解するための新しい枠組みを紹介する。

 

・[PDF] AI Agent Governance: A Field Guide

20250418-52829

 

エグゼクティブサマリー...

 

Executive Summary  エグゼクティブサマリー
Agents—AI systems that can autonomously achieve goals in the world, with little to no explicit human instruction about how to do so—are a major focus of leading tech companies, AI start-ups, and investors. If these development efforts are successful, some industry leaders claim we could soon see a world where millions or billions of agents are autonomously performing complex tasks across society. Society is largely unprepared for this development.[1]  エージェントとは、人間の明示的な指示をほとんど受けずに、自律的に目標を達成するAIシステムのことである。こうした開発努力が成功すれば、何百万、何十億ものエージェントが社会全体で複雑なタスクを自律的にこなす世界がまもなく実現すると主張する業界リーダーもいる。
Today, the leading approach for developing agents leverages recent advances in foundation models like ChatGPT and Claude. Scaffolding software is built around these models which allow them to interact with various tools and services—enabling them to have long-term memory, plan and interact with other agents, and take actions in the world.  今日、エージェントを開発するための主要なアプローチは、ChatGPTやClaudeのような基盤モデルの最近の進歩を活用している。スキャフォールディング・ソフトウェアは、エージェントが様々なツールやサービスと相互作用することを可能にするこれらのモデルを中心に構築され、長期記憶を持ち、計画を立て、他のエージェントと相互作用し、世界で行動を起こすことを可能にする。
While today’s agents can do a variety of things—from identifying critical vulnerabilities in software to ordering books on Amazon—they still face serious limitations in completing more complex, open-ended, longer time-horizon tasks.[2] Agents have major issues with reliability, as well as limitations in reasoning and digital tool use. There are also potential barriers to adoption if the processing power needed to run agents is cost-prohibitive. For example, newer AI systems that can 'think through' complex problems step-by-step (like the recently developed 'reasoning models') require much more processing power when answering questions or performing tasks, which can substantially drive up the energy and server costs needed to operate these systems.   今日のエージェントは、ソフトウェアの重大な脆弱性の特定からAmazonでの本の注文まで、様々なことができる一方で、より複雑で、オープンエンドで、時間軸の長いタスクを完了するには、まだ深刻な限界に直面している。また、エージェントを実行するために必要な処理能力がコスト高になる場合、採用の障壁となる可能性もある。例えば、最近開発された「推論モデル」のように、複雑な問題を段階的に「考え抜く」ことができる新しいAIシステムは、質問に答えたり、タスクを実行したりする際に、より多くの処理能力を必要とする。 
Benchmarks designed to evaluate the performance of agents on real-world tasks consistently find that while current agents perform comparably to humans on shorter tasks, they tend to perform considerably worse than humans on tasks that would take an equivalent human one or more hours to complete.  実世界のタスクにおけるエージェントのパフォーマンスを評価するために設計されたベンチマークでは、現在のエージェントは、短時間のタスクでは人間と同等のパフォーマンスを発揮するものの、人間が同等のタスクを完了するのに1時間以上かかるようなタスクでは、人間よりもかなりパフォーマンスが低下する傾向があることが一貫して判明している。
Table 1: Agent performance on various benchmarks representing real-world tasks (as of December 2024)[3]  表1:実世界のタスクを表す様々なベンチマークにおけるエージェントのパフォーマンス(2024年12月現在)[3]
Agent benchmark  エージェントベンチマーク
Performance  パフォーマンス
General AI Assistants (GAIA)  一般的なAIアシスタント(GAIA)
Tests real-world assistant capabilities across personal tasks, science, and general knowledge. Human accuracy (92%) far exceeds best agent performance (15%), with agents completely failing on complex multi-step tasks.  個人タスク、科学、一般知識にわたる実世界のアシスタント能力をテスト。人間の精度(92%)はエージェントの最高性能(15%)をはるかに上回り、複雑な複数ステップのタスクではエージェントは完全に失敗する。
METR Autonomy  METR Autonomy
Evaluates skills in cybersecurity, software engineering, and machine learning.  サイバーセキュリティ、ソフトウェアエンジニアリング、機械学習のスキルを評価する。
Capability Evals  Capability Evals
Agents perform comparably to humans on tasks taking ~30 minutes, but complete less than 20% of tasks requiring 1+ hours of human time.  エージェントは、30分程度のタスクでは人間と同等のパフォーマンスを発揮するが、人間の時間を1時間以上必要とするタスクの完了率は20%未満である。
RE-Bench  RE-Bench
A benchmark for evaluating the AI agents' ability to automate the work of experienced AI R&D researchers. Agents outperform humans in 2-hour tasks (4× better scores), but humans excel with longer timeframes—slightly better at 8 hours and doubling agent performance when given 32 hours.  経験豊富なAI研究開発者の作業を自動化するAIエージェントの能力を評価するためのベンチマーク。エージェントは2時間のタスクでは人間を上回るが(スコアは4倍)、人間はより長い時間枠で優れており、8時間ではわずかに上回り、32時間ではエージェントのパフォーマンスは2倍になる。
CyBench  CyBench
Assesses cybersecurity capabilities through professional-level Capture the Flag challenges. Agents struggled with tasks that take human teams more than 11 minutes to complete.  プロレベルのCapture the Flag課題を通じてサイバーセキュリティ能力をアセスメントする。エージェントは、人間のチームが11分以上かかるタスクに苦戦した。
SWE-bench Verified  SWE-bench Verified
Features real-world software engineering problems from GitHub issues. Agent performance drops dramatically for problems taking humans 1+ hour to resolve (20.8% → 4.8% → 0% as task complexity increases).  GitHubの課題から実世界のソフトウェアエンジニアリングの問題を取り上げる。人間が解決するのに1時間以上かかる問題では、エージェントのパフォーマンスは劇的に低下する(タスクの複雑さが増すにつれ、20.8% → 4.8% → 0%)。
WebArena  WebArena
Evaluates how agents navigate and extract information from websites. The best agent achieved only 14.41% success rate compared to human performance of 78.24%.  エージェントがどのようにウェブサイトをナビゲートし、情報を抽出するかを評価。人間の78.24%の成功率に対し、最高のエージェントは14.41%の成功率しか達成できなかった。
However, despite these limitations, today's agents are already providing economic value in a variety of early-adoption fields such as customer service, AI R&D, and cybersecurity. For instance, a fintech company, Klarna, claims it has agents performing the customer service work of ~700 FTE human employees with no reduction in customer satisfaction (Klarna 2024), and Google's CEO has stated over a quarter of all new code at Google is now generated by coding assistants (Pichai 2024). Researchers found that for specific tasks that both humans and agents perform well at, “the average cost of using a foundation model-based agent is around 1/30th of the median hourly wage of a US bachelor’s degree holder” (METR 2024). Also, researchers have found that the length of tasks that AIs can complete is doubling every 7 months (Kwa et al. 2025).  しかし、このような限界にもかかわらず、今日のエージェントは、カスタマーサービス、AIの研究開発、サイバーセキュリティなど、さまざまな初期採用分野ですでに経済的価値を提供している。例えば、フィンテック企業のKlarnaは、顧客満足度を下げることなく、人間の従業員700人分のカスタマーサービスをエージェントが行っていると主張している(Klarna 2024)。研究者たちは、人間とエージェントの両方が得意とする特定のタスクについて、「基礎モデルベースのエージェントを使用する平均コストは、米国の学士号取得者の時給中央値の約30分の1」であることを発見した(METR 2024)。また、研究者たちは、AIがこなせるタスクの長さが7ヶ月ごとに倍増していることを発見している(Kwa et al.2025)。
Some researchers have claimed that widespread deployment of agents as digital workers could lead to ‘explosive economic growth,’ i.e., an acceleration of growth rates by an order of magnitude, similar to the impact of the Industrial Revolution (Erdil and Besiroglu 2024). However, skeptics argue that significant bottlenecks remain, including AI systems' limited ability to perform physical tasks, the challenges of integrating digital and physical production processes, and the possibility that AI capabilities might plateau before reaching the level needed to perform most if not all tasks currently performed by humans (Clancy and Besiroglu 2023).  一部の研究者は、デジタルワーカーとしてのエージェントの広範な展開は、「爆発的な経済成長」、すなわち産業革命の影響に似た、成長率の桁違いの加速につながる可能性があると主張している(Erdil and Besiroglu 2024)。しかし、懐疑論者たちは、AIシステムが物理的なタスクを実行する能力が限られていること、デジタルと物理的な生産プロセスを統合する際の課題、現在人間が行っているタスクのすべてではないにせよ、そのほとんどを実行するのに必要なレベルに達する前にAIの能力が頭打ちになる可能性など、重大なボトルネックが残っていると主張している(Clancy and Besiroglu 2023)。
Additionally, there are several promising pathways to improve agent performance and strengthen institutional capacity to deploy AI systems safely—which means that leading AI companies expect many of these limitations to be overcome over the coming months and years.[4] One promising development is the emergence of the “test-time compute” paradigm. These models, such as Open AI’s o1 and o3, are able to dynamically allocate compute during inference to essentially think longer and harder about any given task . An o3-based agent reportedly scored 71.7% on SWE-bench Verified, a widely used benchmark for testing software engineering capabilities (Franzen and David 2024). This far outperformed the next highest-ranking agent, which scored 48.9%.[5] 
さらに、エージェントのパフォーマンスを改善し、AIシステムを安全に展開するための機構能力を強化するための有望な道筋がいくつかある。オープンAIのo1やo3のようなこれらのモデルは、推論中に動的に計算能力を割り当てることができ、基本的に与えられたタスクについてより長く、より難しく考えることができる。o3ベースのエージェントは、ソフトウェアエンジニアリング能力をテストするために広く使われているベンチマークであるSWE-bench Verifiedで71.7%のスコアを出したと報告されている(Franzen and David 2024)。これは、48.9%という次に高いスコアを出したエージェントをはるかに凌駕している[5]
A future where capable agents are deployed en masse could see transformative benefits to society, but also profound and novel risks:  能力のあるエージェントが大量に展開される未来は、社会に変革的な利益をもたらす可能性がある一方で、重大で斬新なリスクもはらんでいる: 
● Malicious use: AI agents can amplify malicious activities, such as spreading disinformation, automating cyberattacks, or advancing dual-use scientific research like bioweapon development. Their ability to execute multi-step plans autonomously heightens the potential for abuse by lowering barriers to entry and costs involved in these activities.  ● 悪意のある利用:AIエージェントは、偽情報の拡散、サイバー攻撃の自動化、生物兵器開発のような二重使用の科学研究の推進など、悪意のある活動を増幅させる可能性がある。多段階の計画を自律的に実行できるAIエージェントは、こうした活動への参入障壁やコストを引き下げることで、悪用の可能性を高める。
● Accidents and loss of control: Failures in agent systems range from mundane errors (e.g., incorrect outputs or navigation mishaps) to severe “loss of control” scenarios, where humans lose visibility into the operation of agents, the ability to identify and redirect harmful behaviors, and the ability to re-implement control of AI-driven systems in society. This includes risks like rogue replication or agents pursuing goals that are not aligned with human values.  ● 事故と制御不能: エージェント・システムにおける失敗は、ありふれたエラー(誤った出力やナビゲーションの誤作動など)から、深刻な「制御不能」シナリオにまで及ぶ。これには、不正な複製や、人間の価値観と一致しない目標を追求するエージェントなどのリスクが含まれる。
● Security risks: Agents, with their expanded access to tools and external systems, face vulnerabilities such as memory manipulation, exploitation through weak integrations, and cascading effects in multi-agent environments. These risks make them more susceptible to severe breaches compared to conventional AI.  ● セキュリティリスク: ツールや外部システムへのアクセスが拡大したエージェントは、メモリ操作、脆弱な統合による搾取、マルチエージェント環境におけるカスケード効果などの脆弱性に直面する。これらのリスクは、従来のAIに比べて深刻な侵害を受けやすくする。
● Other systemic risks: Large-scale agent deployment could lead to labor displacement and extreme power concentration among technological and political elites, and potential erosion of democratic accountability. Agents could exacerbate inequality or be leveraged for societal control.  ● その他のシステムリスク: その他のシステミック・リスク:大規模なエージェント展開は、技術的・政治的エリート層における労働力の移動と極端な権力集中を引き起こし、民主的説明責任を侵食する可能性がある。エージェントは不平等を悪化させたり、社会支配のために活用される可能性がある。
Agent governance is a nascent field focused on preparing for a world in which AI agents can carry out a wide array of tasks with human-level-or-above proficiency. Some of the major areas in agent governance include:  エージェント・ガバナンスは、AIエージェントが人間並みかそれ以上の熟練度で様々なタスクを遂行できる世界に備えることに焦点を当てた、まだ始まったばかりの分野である。エージェントガバナンスの主な分野には、以下のようなものがある: 
Monitoring and evaluating agent performance and risks: How can we effectively monitor and evaluate the performance and associated risks of increasingly autonomous and complex agents over time?   エージェントのパフォーマンスとリスクのモニタリングと評価: エージェントのパフォーマンスとリスクの監視と評価:自律的で複雑さを増すエージェントのパフォーマンスと関連リスクを、どのように効果的に監視・評価できるか? 
Develop mechanisms and structures for managing risks from agents across their lifecycle: What technical, legal, and policy-based interventions should be implemented to ensure agents operate safely and transparently, while maintaining accountability? What are the systemic risks and consequences of widespread agent adoption on political and economic structures? The ‘Agent interventions taxonomy’ table below outlines governance outcomes interventions can help achieve.   エージェントのライフサイクル全般にわたるリスクマネジメントの仕組みと構造を構築する: エージェントの安全性と透明性を確保し、説明責任を果たすために、どのような技術的、法的、政策的介入を行うべきか?エージェントの普及が政治・経済構造に及ぼすシステミックなリスクと影響とは何か?以下の「エージェント介入分類表」は、介入が達成するのに役立つガバナンスの成果を概説している。 
Incentivizing beneficial uses of agents: What beneficial use cases of agents should be prioritized and how?  エージェントの有益な利用を奨励する: エージェントのどのような有益な利用事例を、どのように優先させるべきか?
Adapting existing policy and legal frameworks and developing new instruments for agent governance: Anticipating what policy and legal instruments will be needed in a world with mass deployment of advanced agent systems.  既存の政策や法的枠組みを適応させ、エージェントガバナンスのための新たな手段を開発する: 高度なエージェントシステムが大量に展開する世界で、どのような政策や法的手段が必要になるかを予測する。
Agents for governance: To what extent should agents themselves participate in governance tasks? Advanced agents could potentially act as monitors, mediators, or enforcers within governance frameworks.  ガバナンスのためのエージェント: エージェント自身はどの程度までガバナンスに参加すべきか?先進的エージェントは、ガバナンスの枠組みの中で、監視者、調停者、執行者として機能する可能性がある。
One of the pressing needs in agent governance is to develop agent interventions, i.e., measures, practices, or mechanisms designed to prevent, mitigate, or manage the risks associated with agents. These aim to ensure that agents operate safely, ethically, and in alignment with human values and intentions. We have developed an outcomes-based taxonomy of agent interventions[6]:  エージェントガバナンスにおける緊急のニーズの一つは、エージェント介入、すなわちエージェントに関連するリスクを予防、緩和、管理するために設計された対策、実践、メカニズムを開発することである。これらの目的は、エージェントが安全に、倫理的に、人間の価値観や意図に沿った形で活動することを保証することである。我々は、エージェントの介入に関する成果ベースの分類法を開発した[6]: 
Currently, exploration of agent governance questions and development of associated interventions remains in its infancy. Only a small number of researchers, primarily in civil society organizations, public research institutes, and frontier AI companies, are actively working on these challenges. Many proposed interventions exist primarily as theoretical concepts rather than tested solutions, and there are significant gaps in our understanding of how to implement them effectively. While some organizations have begun providing targeted funding for agent governance research, and the topic is gaining increased attention at academic conferences, the field remains relatively neglected compared to other areas of AI governance.   現在、エージェントのガバナンスに関する疑問の探求と、関連する介入の開発は、まだ初期段階にとどまっている。主に市民社会組織、公的研究機構、フロンティアAI企業など、少数の研究者だけがこれらの課題に積極的に取り組んでいる。提案されている介入策の多くは、検証された解決策ではなく、主に理論的な概念として存在しており、それらを効果的に実施する方法についての理解には大きなギャップがある。エージェント・ガバナンスの研究に的を絞った資金を提供する政府も出てきており、学会での注目度も高まっているが、AIガバナンスの他の分野と比べると、この分野は相対的に軽視されたままである。 
The pace of progress in developing agent capabilities is rapidly outstripping our advancement in governance solutions—we lack robust answers to fundamental questions about how to ensure safe agents or manage their broader societal impacts. There is tremendous opportunity and need for researchers and technologists from civil, industry, and government to help progress the field, from fleshing out and testing theoretical proposals to creating solutions that can be implemented by AI developers and policymakers.  エージェントの能力開発の進歩のペースは、ガバナンス・ソリューションの進歩を急速に上回っており、エージェントの安全性をどのように確保し、より広範な社会的影響をどのように管理するかという基本的な疑問に対する確かな答えが得られていない。理論的な提案を具体化し、テストすることから、AI開発者や政策立案者が実行できる解決策を生み出すことまで、民間、産業、政府の研究者や技術者がこの分野の進展を支援する絶好の機会とニーズがある。
   
[1] Meta’s CEO, Mark Zuckerberg, told investors he wants to “introduce AI agents to billions of people” (Heath 2023) and Salesforce CEO Marc Benioff predicted there would be one billion AI agents in service by the end of FY2026 (Sozzi 2024).  [1] メタ社のCEOであるマーク・ザッカーバーグは、「AIエージェントを数十億の人々に紹介したい」と投資家たちに語っており(ヒース 2023年)、セールスフォース社のCEOであるマーク・ベニオフも、2026年度末までに10億のAIエージェントがサービスを開始すると予測している(ソッツィ 2024年)。
[2] For an example of an agent identifying critical vulnerabilities in real-world code, see Google’s Project Zero blog on Big Sleep (Project Zero 2024). For a visual demo of a browser agent being used to make an online shopping purchase, see this demo (AI Digest 2024).  [2] 実世界のコードに存在する重大な脆弱性を識別するエージェントの例については、Big Sleepに関するGoogleのProject Zeroブログを参照のこと(Project Zero 2024)。ブラウザ・エージェントがオンライン・ショッピングの購入に使われる視覚的なデモについては、このデモを参照のこと(AI Digest 2024)。
[3] See Appendix for more detailed breakdown of agent performance across various agentic benchmarks  [3] 様々なエージェントのベンチマークにおけるエージェントのパフォーマンスのより詳細な内訳については附属書を参照
[4] For example, the CEO of OpenAI, Sam Altman stated that “In 2025, we may see the first AI agents join the workforce and materially change the output of companies” (Altman 2025).  [4] 例えば、OpenAIのCEOであるサム・アルトマンは、「2025年には、最初のAIエージェントが労働力に加わり、企業のアウトプットを大きく変えるかもしれない」と述べている(Altman 2025)。
[5] SWE-bench Verified is an evaluation suite composed of realistic software engineering tasks (OpenAI 2024a).  [5] SWE-bench Verifiedは、現実的なソフトウェア工学タスクで構成された評価スイートである(OpenAI 2024a)
[6] A majority of these interventions have been proposed by civil society or industry researchers, but many have not been developed or implemented at scale.  [6] こうした介入策の大半は、市民社会や産業界の研究者によって提案されてきたが、その多くは開発されておらず、大規模に実施されてもいない。

 

目次...

Executive Summary エグゼクティブサマリー
Table of Contents 目次
1. Introduction 1. 序文
1.1 Two visions of an agent-filled future 1.1 エージェントに満ちた未来についての2つのビジョン
2. What are AI agents? 2. AIエージェントとは何か?
2.1 How capable are agents today? 2.1 現在のエージェントの能力は?
2.2 Pathways to better agents 2.2 より優れたエージェントへの道
2.3 AI agent adoption 2.3 AIエージェントの採用
3. Risks from AI agents 3. AIエージェントがもたらすリスク
3.1 Malicious use 3.1 悪意のある利用
3.2 Accidents and loss of control 3.2 事故と制御不能
3.3 Security risks 3.3 セキュリティリスク
3.4 Other systemic risks 3.4 その他のシステミックリスク
4. What is agent governance? 4. エージェントガバナンスとは何か?
5. Agent interventions 5. エージェントの介入
5.1 Alignment 5.1 アライメント
5.2 Control 5.2 コントロール
5.3 Visibility 5.3 可視性
5.4 Security and robustness 5.4 セキュリティと堅牢性
5.5 Societal integration 5.5 社会的統合
6. Conclusion 6. 結論
Acknowledgements 謝辞
Appendix 附属書
Bibliography 参考文献

 

| | Comments (0)

2025.04.17

PCI ガイドライン PCIアセスメントへのAIの統合 (2025.03.17)

こんにちは、丸山満彦です。

PCI/DSSが、PCI アセスメントにおける AI の責任ある使用を支援するための新しいガイダンスを発表していましたね...

  • AIはツールであり、評価者ではない。
  • AIの役割は専門知識の強化であり、人間の代替ではない。
  • 人間の評価者は、すべての調査結果と最終決定について責任を負う

会計監査を含め、あらゆる場面で同じことでしょうね...

 

・2025.03.1 New Guidance: Integrating Artificial Intelligence into PCI Assessments

 

New Guidance: Integrating Artificial Intelligence into PCI Assessments 新しいガイダンス:PCI アセスメントへの人工知能の統合
Artificial intelligence (AI) is transforming industries, and the PCI Security Standards Council (PCI SSC) has introduced new guidance to support the responsible use of AI in PCI assessments. The guidance provides a balance between leveraging the benefits of AI while maintaining the high standards of security that protect payment card data worldwide. 人工知能(AI)は業界を変革しており、PCI セキュリティ基準協議会(PCI SSC)は、PCI アセスメントにおける AI の責任ある使用を支援するための新しいガイダンスを発表しました。このガイダンスは、AI のメリットを活用しながら、世界中で決済カードデータを保護する高いセキュリティ基準を維持するバランスを保っています。
AI has the potential to enhance the efficiency, accuracy, and consistency of PCI assessments. When properly implemented, AI can automate key aspects of the assessment process, from document reviews, to creating work papers and PCI reports. By reducing manual effort and minimizing human error, AI can streamline workflows. However, AI can also introduce false positives, incorrect assumptions, and biases, requiring additional considerations and human oversight to prevent these issues. AI は、PCI 評価の効率、正確性、一貫性を高める可能性を秘めています。適切に導入された場合、AI は、文書のレビューから作業書類や PCI 報告書の作成に至るまで、評価プロセスの重要な側面を自動化することができます。手作業を減らし、人為的ミスを最小限に抑えることで、AI はワークフローを効率化することができます。しかし、AI は誤検知、誤った仮定、バイアスをもたらす可能性もあり、これらの問題を防ぐためには追加の考慮事項と人間の監督が必要となります。
The new guidance emphasizes that AI is a tool, not an assessor. Human assessors remain responsible for all findings and final decisions, ensuring that AI’s role is to enhance expertise, rather than replace it. 新しいガイダンスでは、AI はツールであり、評価者ではないことを強調しています。人間の評価者は、すべての調査結果と最終決定について引き続き責任を負い、AI の役割は専門知識の強化であり、その代替ではないことを確保します。
The new guidance document, “Integrating Artificial Intelligence in PCI Assessments – Guidelines, Version 1.0,” provides a framework for payment security assessors on best practices for using AI responsibly during assessments. The document covers key points, including: 新しいガイダンス文書「PCI 評価への人工知能の統合 – ガイドライン、バージョン 1.0」は、評価中に AI を責任を持って使用するためのベストプラクティスに関する、決済セキュリティ評価者向けの枠組みを提供しています。この文書では、以下の重要なポイントを取り上げています。
・Informing clients of AI involvement, obtaining their consent, and providing assurances about the security of client data and the accuracy of assessment results. ・AI の使用について顧客に通知し、同意を得るとともに、顧客データのセキュリティと評価結果の正確性について保証すること。
・Using AI in reviewing artifacts, creating work papers, conducting remote interviews, and generating final assessment reports. ・成果物のレビュー、作業書類の作成、リモートインタビューの実施、および最終評価レポートの作成に AI を使用すること。
・The importance of data handling protocols, AI system validation, ethical use, and regular updates to ensure the security and accuracy of outputs.  ・出力のセキュリティと正確性を確保するための、データ取り扱いプロトコル、AI システムの妥当性確認、倫理的な使用、および定期的な更新の重要性。
As AI technologies continue to evolve, these guidelines provide a strong foundation for their responsible integration into PCI assessments. These guidelines will support assessors as they modernize assessment processes while maintaining rigorous standards that protect payment card data worldwide.   AI テクノロジーは進化し続けているため、このガイドラインは、PCI アセスメントに AI を責任を持って統合するための強固な基盤となります。このガイドラインは、世界中でペイメントカードデータを保護する厳格な標準を維持しながら、アセスメントプロセスの近代化を進めるアセスメント事業者をサポートします。

 

 

・[PDF] Payment Card Industry (PCI) Integrating Artificial Intelligence in PCI Assessments

20250417-53627

 

目次...

1 Introduction 1 序文
1.1 Purpose and Intended Use 1.1 目的と使用目的
2 AI is a Tool, not an Assessor 2 AI は評価者ではなくツールです
3 Transparent Client Communication 3 クライアントとの透明性の高いコミュニケーション
3.1 Declaring AI Usage 3.1 AI の使用の開示
4 AI Use in PCI Assessments 4 PCI アセスメントにおける AI の使用
4.1 Review of Artifacts 4.1 成果物のレビュー
4.2 Creation of Work Papers 4.2 作業書類の作成
4.3 Conducting Remote Interviews 4.3 リモートインタビューの実施
5 AI Use in Creating Suggested Wording for Final Assessment Reports 5 最終アセスメントレポートの推奨文言の作成における AI の使用
5.1 Final Assessment Reports 5.1 最終アセスメントレポート
5.2 Addressing AI Challenges 5.2 AI の課題への対応
5.3 Validation Process 5.3 妥当性確認プロセス
5.4 Keep AI Policies and Procedures Current 5.4 AI ポリシーおよび手順の最新の状態の維持
5.5 Limitations and Risks 5.5 制限およびリスク
5.6 Integration with Templates 5.6 テンプレートとの統合
5.7 Ethical and Legal Considerations 5.7 倫理的および法的考慮事項
6 Responsibility and Accountability 6 責任および説明責任
7 Documented Policies and Procedures for AI Use 7 AI 使用に関する文書化されたポリシーおよび手順
7.1 How AI is to be Used and Validated 7.1 AI の使用方法および妥当性確認の方法
7.2 Selection and Qualification of AI Systems 7.2 AI システムの選択および認定
7.3 Types of Evidence AI Can Process 7.3 AI が処理できる証拠の種類
7.4 Data Handling and Security 7.4 データの取り扱いおよびセキュリティ
8 PCI SSC Non-Endorsement of AI Products or Services 8 PCI SSC による AI 製品またはサービスの非承認
About the PCI Security Standards Council PCI セキュリティ基準協議会について

 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.01 PCI Data Security Standard v4.0

 

・2010.10.30 PCI Security Standards Council Releases PCI DSS 2.0 and PA-DSS 2.0

・2009.10.13 JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”(PCI DSS/ISMS準拠のためのガイド)を公開

・2008.06.06 「どこまで情報セキュリティ対策をすればよいのかわからない」という不満について

・2006.08.13 対策強度×保証強度

・2005.06.27 米国カード情報流出と情報セキュリティ監査

・2005.04.27 ビザとマスターカード、大手販売業者にセキュリティ対策を義務付け

・2006.07.05 クレジットカード業界のセキュリティ

 

 

| | Comments (0)

2025.04.16

米国 NIST CSWP 40(初期公開ドラフト) NISTプライバシー枠組み 1.1 (2025.04.14)

こんにちは、丸山満彦です。

NISTが、CSWP 40(初期公開ドラフト) NISTプライバシー枠組み 1.1 を公表し、意見募集をしていますね...

 

NIST - ITL

NIST CSWP 40 (Initial Public Draft) NIST Privacy Framework 1.1

 

NIST CSWP 40 (Initial Public Draft) NIST Privacy Framework 1.1 NIST CSWP 40(初期公開ドラフト) NISTプライバシー枠組み 1.1
Announcement 発表
The NIST Privacy Framework is a “living” tool meant to evolve to meet stakeholder needs, and the time has come to update to Version 1.1. This update builds on the success of Privacy Framework 1.0 by responding to current privacy risk management needs, realigning with NIST Cybersecurity Framework (CSF) 2.0, and enhancing usability. NISTプライバシーフレームワークは、ステークホルダーのニーズに応えるべく進化する「生きた」ツールであり、バージョン1.1への更新の時期が到来した。今回の更新は、プライバシーリスクマネジメントの現在のニーズへの対応、NISTサイバーセキュリティフレームワーク(CSF)2.0との再調整、およびユーザビリティの向上により、プライバシーフレームワーク1.0の成功を基盤としている。
The following resources are included with the Privacy Framework 1.1 IPD release: プライバシーフレームワーク1.1 IPDリリースには、以下のリソースが含まれている。
Privacy Framework 1.1 IPD Highlights video that summarizes the development process and reviews key updates ・開発プロセスを要約し、主な更新内容をレビューする「プライバシーフレームワーク1.1 IPDハイライト」ビデオ
Mapping of Privacy Framework 1.0 Core to Privacy Framework 1.1 Core to help organizations trace changes to Core Categories and Subcategories between Framework versions ・フレームワークのバージョン間でコアカテゴリーおよびサブカテゴリーの変更点を追跡するのに役立つ「プライバシーフレームワーク1.0コアからプライバシーフレームワーク1.1コアへのマッピング
NIST welcomes stakeholder feedback on the Privacy Framework 1.1 IPD by June 13, 2025. NISTは、2025年6月13日までにプライバシーフレームワーク1.1 IPDに関する利害関係者のフィードバックを歓迎する。
Abstract 要約
The NIST Privacy Framework 1.1 is a voluntary tool developed in collaboration with stakeholders intended to help organizations identify and manage privacy risk to build innovative products and services while protecting individuals’ privacy. It provides high-level privacy risk management outcomes that can be used by any organization to better understand, assess, prioritize, and communicate its privacy activities. This document introduces the Privacy Framework and privacy risk management practices, highlights the Framework’s basic elements, and offers examples of how it can be used. NISTプライバシーフレームワーク1.1は、ステークホルダーとの協働により開発された自主的なツールであり、個人のプライバシーを防御しながら革新的な製品やサービスを構築するために、組織がプライバシーリスクを識別および管理することを支援することを目的としている。このフレームワークは、プライバシー活動の理解、アセスメント、優先順位付け、およびコミュニケーションを改善するために、あらゆる組織が利用できるプライバシーリスクマネジメントの成果を提供する。本書では、プライバシーフレームワークとプライバシーリスクマネジメントの実践を紹介し、フレームワークの基本要素を強調し、その使用方法の例を示す。

 

・[PDF] CSWP.40.ipd

20250416-61640

 

目次の図表一覧

Executive Summary エグゼクティブサマリー
1. Privacy Framework Introduction 1. プライバシー枠組みの序文
1.1. Overview of the Privacy Framework 1.1. プライバシー枠組みの概要
1.2. Privacy Risk Management 1.2. プライバシーリスクマネジメント
1.2.1. Cybersecurity and Privacy Risk Management 1.2.1. サイバーセキュリティとプライバシーリスクマネジメント
1.2.2. Artificial Intelligence and Privacy Risk Management 1.2.2. 人工知能とプライバシーリスクマネジメント
1.2.3. Privacy Risk Assessment 1.2.3. プライバシーリスクアセスメント
1.3. Document Overview 1.3. 文書概要
2. Privacy Framework Basics 2. プライバシー枠組みの基本
2.1. Core 2.1. コア
2.2. Profiles 2.2. プロファイル
2.3. Tiers 2.3. ティア
3. How to Use the Privacy Framework 3. プライバシーフレームワークの利用方法
References 参考文献
Appendix A. Privacy Framework Core 附属書 A. プライバシーフレームワークのコア
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Acronyms 附属書 C. 略語
Appendix D. Privacy Risk Management Practices 附属書 D. プライバシーリスクマネジメントの実践
Appendix E. Tiers Definitions. 附属書 E. ティアの定義
List of Tables 表の一覧
Table 1: Privacy Framework 1.1 Function and Category Unique Identifiers 表 1: プライバシーフレームワーク 1.1 機能とカテゴリー 固有の識別子
Table 2: Privacy Framework Core 表 2: プライバシーフレームワークのコア
Table 3: Privacy Engineering and Security Objectives 表 3: プライバシーエンジニアリングとセキュリティの目標
List of Figures 図の一覧
Figure 1: Core, Organizational Profiles, and Tiers 図1:コア、組織プロファイル、およびティア
Figure 2: Cybersecurity and Privacy Risk Relationship 図2:サイバーセキュリティとプライバシーリスクの関係
Figure 3: Relationship Between Privacy Risk and Enterprise Risk 図3:プライバシーリスクとエンタープライズリスクの関係
Figure 4: Privacy Framework Core Structure 図4:プライバシー枠組みのコア構造
Figure 5: Relationship Between Core and Profiles 図5:コアとプロファイルの関係
Figure 6: Privacy Framework Tiers 図6:プライバシー枠組みのティア

 

Executive Summary  エグゼクティブサマリー
For more than two decades, the Internet and associated information technologies have driven unprecedented innovation, economic value, and improvement in social services. Many of these benefits are fueled by data about individuals that flow through a complex ecosystem. As a result, individuals may not realize the potential consequences for their privacy as they interact with systems, products, and services. At the same time, organizations may not realize the full extent of these consequences for individuals, for society, or for their enterprises, which can affect their brands, their finances, and their future prospects for growth.  インターネットと関連情報技術は、過去20年以上にわたり、かつてない革新、経済的価値、社会サービスの改善を推進してきた。これらの恩恵の多くは、複雑なエコシステムを通じて流れる個人に関するデータによってもたらされている。その結果、個人にとっては、システム、製品、サービスとやりとりする際に、プライバシーに潜在する影響について認識していない可能性がある。同時に、組織は、個人、社会、またはエンタープライズに及ぼす影響の全容を把握していない可能性があり、それはブランド、財務、および将来の成長見通しに影響を及ぼす可能性がある。
Following a transparent, consensus-based process including both private and public stakeholders, the National Institute of Standards and Technology (NIST) has updated the Privacy Framework to Version 1.1 (Privacy Framework 1.1), to meet stakeholder privacy risk management needs, maintain alignment with the NIST Cybersecurity Framework 2.0  国立標準技術研究所(NIST)は、民間および公共の利害関係者を含む透明性のある合意に基づくプロセスを経て、プライバシーフレームワークをバージョン1.1(プライバシーフレームワーク1.1)に更新した。これは、利害関係者のプライバシーリスクマネジメントのニーズに応えるとともに、NISTサイバーセキュリティフレームワーク2.0( 
(Cybersecurity Framework or CSF 2.0), and provide information on artificial intelligence (AI) and privacy risk management. Privacy Framework 1.1 updates include:  (サイバーセキュリティ枠組みまたは CSF 2.0)との整合性を維持し、人工知能(AI)とプライバシーリスクマネジメントに関する情報を提供することを目的としている。プライバシー枠組み 1.1 の更新内容は以下の通りである。
• Targeted revisions and restructuring of the Core  • コアの改訂と再構成
• A new Section (1.2.2) on AI and privacy risk management  • AI とプライバシーリスクマネジメントに関する新しいセクション(1.2.2)
• Relocation of Section 3 guidelines from front matter to the NIST Privacy Framework website[1]   • 第 3 項のガイドラインを前文から NIST プライバシー枠組みウェブサイト[1] に移行 
The Privacy Framework can support organizations in:  プライバシー・フレームワークは、以下のような形で組織を支援することができる。
• Building customers’ trust by supporting ethical decision-making in product and service design or deployment that optimizes beneficial uses of data while minimizing adverse consequences for individuals’ privacy and society as a whole;[2]  • 個人プライバシーや社会全体に及ぼす悪影響を最小限に抑えつつ、データの有益な利用を最適化する製品やサービスの設計や展開における倫理的な意思決定を支援することで、顧客の信頼を構築する。[2]
• Fulfilling current compliance obligations, as well as future-proofing products and services to meet these obligations in a changing technological and policy environment; and  • 現在のコンプライアンス義務を満たし、また、技術や政策環境の変化に応じて、これらの義務を満たすための製品やサービスを将来にわたって保証する。
• Facilitating communication about privacy practices with individuals, business partners, assessors, and regulators. 
個人、ビジネスパートナー、評価者、規制当局とのプライバシー慣行に関するコミュニケーションを促進する。
Deriving benefits from data while simultaneously managing risks to individuals’ privacy is not well-suited to one-size-fits-all solutions. Like building a house, where homeowners make layout and design choices while relying on a well-engineered foundation, privacy protection should allow for individual choices, as long as effective privacy risk mitigations are already engineered into products and services. The Privacy Framework—through a risk- and outcome-based approach—is flexible enough to address diverse privacy needs, enable more innovative and effective solutions that can lead to better outcomes for individuals and organizations, and stay current with technology trends.  データから利益を引き出すと同時に、個人のプライバシーに対するリスクを管理することは、画一的なソリューションには適していない。住宅建設と同様に、住宅所有者が設計やレイアウトを選択する際に、しっかりと設計された基礎に頼るように、プライバシー保護は、効果的なプライバシーリスク緩和策がすでに製品やサービスに組み込まれている限り、個人の選択を可能にするべきである。プライバシーフレームワークは、リスクおよび成果に基づくアプローチにより、多様なプライバシーニーズに対応できる柔軟性を備え、個人および組織により良い成果をもたらすより革新的で効果的なソリューションを実現し、テクノロジーのトレンドに追随することができる。
Privacy Framework 1.1 follows the structure of CSF 2.0 [1] to facilitate the use of both frameworks together. Like the Cybersecurity Framework, the Privacy Framework is composed of three components: Core, Organizational Profiles, and Tiers. Each component reinforces privacy risk management through the connection between business and mission drivers, organizational roles and responsibilities, and privacy protection activities.  プライバシーフレームワーク1.1は、CSF 2.0 [1] の構造に従っており、両方のフレームワークを併用しやすくしている。プライバシー枠組みは、サイバーセキュリティ枠組みと同様に、コア、組織プロファイル、ティアの3つの要素で構成されている。各要素は、ビジネスとミッション推進要因、組織の役割と責任、プライバシー保護活動の関連性を通じて、プライバシーリスクマネジメントを強化する。
• The Core enables a dialogue—from the executive level to the implementation/operations level—about important privacy protection activities and desired outcomes. 
コアは、経営レベルから実装/運用レベルまで、重要なプライバシー保護活動と期待される成果について対話することを可能にする。
• Organizational Profiles enable the prioritization of the outcomes and activities that best meet organizational privacy values, mission or business needs, and risks. 
組織プロファイルは、組織のプライバシー価値、ミッション、ビジネスニーズ、リスクに最も適した成果と活動の優先順位付けを可能にする。
• Tiers support decision-making and communication about the sufficiency of organizational processes and resources to manage privacy risk. 
プライバシーリスクを管理するための組織プロセスとリソースの十分性に関する意思決定とコミュニケーションを支援する。
In summary, the Privacy Framework is intended to help organizations build better privacy foundations by bringing privacy risk into parity with their broader enterprise risk portfolio.  まとめると、プライバシーフレームワークは、プライバシーリスクをより広範なエンタープライズリスクポートフォリオと同等に扱うことで、組織がより優れたプライバシー基盤を構築するのを支援することを目的としている。
   
[1] For more information on using the Privacy Framework 1.1, visit https://www.nist.gov/privacy-framework/using-privacy-framework-11.  [1] プライバシー枠組み1.1の使用に関する詳細情報については、https://www.nist.gov/privacy-framework/using-privacy-framework-11を参照のこと。
[2] There is no objective standard for ethical decision-making; it is grounded in the norms, values, and legal expectations in a given society. [2] 倫理的な意思決定のための客観的な標準は存在しない。それは、特定の社会における規範、価値観、法的期待に基づいている。

 

追加情報

 Comment Template

 Privacy Framework homepage

 Guide for Using NIST PF 1.1

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.10 米国 NIST IR 8286 Rev. 1(初期公開草案) サイバーセキュリティとエンタープライズリスクマネジメント(ERM)の統合他 (2025.02.26)

・2024.12.26 米国 NIST IR 8467 (第2次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワーク コミュニティプロファイル (2024.12.16)

・2024.11.14 米国 NIST CSWP 34(初公開ドラフト)テレヘルス・スマートホーム統合におけるサイバーセキュリティとプライバシーリスクの低減: ヘルスケア及び公衆衛生部門のリスクマネジメントのアプローチ

・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書

・2024.03.07 米国 NSIT サイバーセキュリティ・フレームワーク(CSF)2.0 関連 SP 1299, 1300, 1301, 1302, 1303, 1305 (2024.02.26)

・2024.03.06 米国 NIST CSWP 32(初期公開ドラフト)サイバーセキュリティフレームワーク 2.0: コミュニティプロファイル作成ガイド (2024.02.26)

・2024.01.28 米国 NIST Privacy Framework 1.1への改定に向けて活動を開始...

・2023.08.19 米国 NIST IR 8477(初公開ドラフト):文書標準、規制、フレームワーク、ガイドライン間の関係をマッピングする: サイバーセキュリティとプライバシーの概念マッピングの開発

・2023.08.19 米国 NIST サイバーセキュリティフレームワーク 2.0リファレンスツール

 

| | Comments (0)

2025.04.15

経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ (2024.04.14)

こんにちは、丸山満彦です。

経済産業省、NISCが、「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表していますね...

 

経済産業省

・2025.04.14 「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました

・・[PDF] サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ(概要)

20250415-54258

 

・・[PDF] サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ

20250415-54346

 

・・[PDF] 【参考資料】★3・★4要求事項案・評価基準案

20250415-54510

 

NISC

・2025.04.14 [PDF]「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました

20250415-63904

 

 


「中間取りまとめの概要」の概要...

  1. 制度趣旨
  2. 目指す効果
  3. 基準の考え方
  4. 制度において設ける段階の考え方
  5. 国内外の関連制度等との連携・整合

これは、取引をする際に業務継続、情報漏えいの観点からセキュリティリスクを把握し、対処することが重要となるのですが、それを把握するための一助となる制度についての中間とりまとめ...

サプライチェーンを構成する企業等のIT基盤(オンプレミス環境で運用されるものに加え、クラウド環境で運用するものも含む)を対象と考えています(OT、製品セキュリティも対象外。まずはITから。OTができそうであれば、OTもだけれども、環境差が大きいことも想定され、標準的なものが馴染むかどうか、別途検討が必要と考え、今回は後回し...実証事業で検討してみるというのもありかもですね...)

ここの企業がそれぞれバラバラに評価するのではなく、国として一定のセキュリティ対策の標準のようなものを作り、それに従って評価していく。そういう制度を考えています。1段階ではなく、数段階を考えています。いわゆる★制度です(^^)

もちろん、One size fit allにはならないのは当然なので、ここの組織は必要に応じて追加の確認が必要となることは想定されます(取引をする上では、情報セキュリティ対策以外にも、与信、SDGの観点から総合判断することでしょうし、確認の一部が楽になるという感じ...)。

大掛かりな制度ですから、今回発表されたのは、中間とりまとめ。

 

ちなみに経済産業省は下請法の対象となる親事業者・下請事業者の取引の実態について定量的な調査・分析として「令和6年度中小企業取引対策事業(企業間取引に関する研究分析等調査事業)調査報告書」(2025.01.29)を公表していますが、下請け法に関連する取引関係だけでも相当あることがわかります...

 

今年度に実証実験をし、現場の負担感、制度の効果、課題を把握し、改善をした上で、来年度以降の制度開始を想定していますね。

私も委員として関わっているわけですが、論理的には国の多くの企業に影響を与えることになる制度ですから、効果が高ければ日本企業等の成長に大きく貢献することになるのですが、逆に不適切な制度設計となると、日本企業の足を引っ張ることになりかねません。あるいは、使われずに、税金の無駄遣いとなる...

ということで、2002年頃、ISMS制度の立ち上げの時に、いろいろと考え、実施してきた経験というのが、役立つわけなのですが、その当時を一緒に経験した人がほとんど残っていないので、頑張ります...

 

で、最大の課題は何か...それは「普及」です。(良い制度を使っても使ってもらえなかったら意味がない。良い制度でなければ、普及しない)

まずは、良い制度にすることが重要ですね。で、そのために一部の人たちが頭で考えただけでは社会制度としてはうまく行かないだろうと思うので、実証事業への参加は是非、検討してもらいたいと思っています...

実証事業の際に特に確かめて欲しいなぁと今のところ個人的に思っているのは、

 

委託元(発注側)の企業としては、

・適切な評価項目となっているのか?(評価結果の違いが取引の開始・継続に影響を及ぼしそうか?現在、自分たちが個々に評価している項目と今回の制度で上がってきた評価項目との差分等の把握を通じてわかるのではと思います)

・評価の対象をどのように考えるべきか?(小規模な会社であれば、法人単位で問題ないが、ある程度の企業になると、事業所単位でセキュリティ対策にばらつきがある場合、評価単位を事業部門等の管理単位でわけるべきか?)

 

委託先(受注側)の企業としては、

・評価項目の意味がわかるか?

・評価項目が現実に実施可能か?(費用面、技術面、実装・運用する人のリソース面)

 

評価する企業(自己評価する場合は委託先の企業となる)としては、

・評価をする時に悩んだ点

・・何をもって「できている」(OK)というのか?

・・全てがOKでないとOKにできないのか、少しでもできているところがあればOKとするのか、8割くらいできているOKにするのか?、半分以上できている(できていると思った)らOKにするのか?

・評価コストや課題(費用、技術面、人的リソースの面など)

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

 

Cyber Essentials

・2025.03.04 英国 サイバーエッセンシャルズ 小規模の弁護士事務所・新興技術企業への助成

・2024.12.23 英国 Cyber Essentials 2025.04.28以降の要求事項等について...

・2024.08.20 英国 サイバーエッセンシャル発行数 (2023.07-2024.06)

・2023.08.17 英国 国家サイバー戦略 2022 の進捗報告 (2022-2023)

・2023.07.13 英国 小規模企業のサイバーセキュリティをサポート:サイバーアドバイザリー制度 (2023.04.17)

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2020.10.11 UK National Cyber Security Centreがスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。(Cyber Essentials認定も意識して

 

サプライチェーン強化

・2025.01.02 米国 ホワイトハウス バイデン=ハリス政権は、米国のサプライチェーン強化に向けた進展を遂げている (2024.12.19)

・2024.06.17 米国 White House ファクトシート:2024年 イタリアのプーリアでのG7サミット

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...

 

 

 

| | Comments (0)

2025.04.14

JALがIATAの航空保安管理の国際認証(Operating Leve2)取得 (2025.04.10)

こんにちは、丸山満彦です。

国際航空運送協会(International Air Transport Association; IATA)[wikipedia] が航空保安管理の国際認証制度(Security Management System; SeMS)を策定しています。2024年10月に認証制度がはじまりましたね...

認証制度は3段階あるのですが、Levle1とLevel2の2つの認証制度が始まっています。というところ日本航空が世界で初めてのLevel2を取得したということですね...Level3の運用がはじまれば、その認証もしていくということのようですね...

 

20250414-93050

Level1 Suitable  
Structure, plans and processes are identified and established  構造、計画、プロセスが識別され、確立されている。
Fit-for-purpose policies and procedures are documented 目的に適合した方針および手順が文書化されている
Appropriate resources are allocated  適切なリソースが割り当てられている
Roles, responsibilities and accountabilities are assigned  役割、責任および説明責任が割り当てられている
Evidence is documented エビデンスが文書化されている
Level2 Operating  
People are trained and competent  人材が訓練され、有能である
There is regular communication  定期的なコミュニケーションが行われている
The system is applied and integrated throughout the organization and incorporated into business as usual 組織全体にシステムが適用され、統合され、通常業務に組み込まれている
The system is continuously monitored and evaluated to improve performance  パフォーマンスを改善するために、システムが継続的に監視および評価されている
Evidence is functioning エビデンスが機能している
Level3 Effective  
Employees and managers actively engage and comply with system requirements and documentation  従業員およびマネジャーが積極的に関与し、システム要件および文書化を遵守している
The system is operating as expected  システムが期待通りに機能している
Objectives are consistently achieved  目標が一貫して達成されている
Evidence is comprehensive エビデンスが包括的である

 

 

認証制度

International Air Transport Association; IATA

認証制度が始まったことについてのプレス...

・2024.10.03 IATA Launches SeMS Certification to Enhance Aviation Security Risk Management

IATA Launches SeMS Certification to Enhance Aviation Security Risk Management IATA、航空セキュリティリスク・マネジメント強化のためのSeMS認証を開始
Marrakech – The International Air Transport Association (IATA) has launched the IATA Security Management System (SeMS) Certification Program to strengthen aviation security. The SeMS Certification Program is open to airlines, airports, cargo handling facilities, freight forwarders, ground handling service providers, and security service providers. マラケシュ発-国際航空運送協会(IATA)は航空セキュリティ強化のため、IATAセキュリティ・マネジメント・システム(SeMS)認証プログラムを開始した。SeMS認証プログラムは航空会社、空港、貨物取扱施設、貨物輸送業者、地上ハンドリングサービスプロバイダー、セキュリティサービスプロバイダーを対象としている。
“SeMS is key to transforming global aviation security from a compliance mentality to one that is proactive in identifying and mitigating security risks and driving continuous improvements. This is vital for a much-needed modernization of aviation security built on dynamic, risk-based, and outcome-focused solutions. This is a major transition that must involve the entire sector. For that reason, the SeMS Certification is an independent assessment that will be available industry-wide, offering support and recognition to organizations at every phase of SeMS implementation,” said Nick Careen, IATA’s Senior Vice President for Operations, Safety, and Security. 「SeMSは、世界の航空保安をコンプライアンス(法令順守)の考え方から、保安リスクの特定と緩和、継続的改善を推進する積極的な考え方へと変革する鍵である。これは、ダイナミックで、リスクベースで、成果に焦点を当てたソリューションを基盤とする、航空セキュリティの近代化にとって不可欠なものである。これは、航空業界全体を巻き込まなければならない大きな転換である。そのため、SeMS認証は業界全体で利用できる独立したアセスメントであり、SeMS導入のあらゆる段階にある組織に対してサポートと評価を提供する」とIATAのオペレーション・安全・セキュリティ担当上級副会長であるニック・カレンは述べた。
SeMS provides an entity with a framework of operating principles and guidance which enable it to enhance security performance by proactively managing risks, threats, and areas where there are gaps and challenges, which may have a negative impact on that performance. While SeMS is not yet an ICAO Annex 17 requirement, it has been for IOSA registered airlines since 2007 and its implementation is supported by IATA, ICAO, and key aviation regulators around the world. SeMSは事業体に対し、リスク、脅威、パフォーマンスに悪影響を及ぼす可能性のあるギャップや課題のある領域を積極的にマネジメントすることにより、セキュリティ・パフォーマンスを向上させることを可能にする運営原則とガイダンスの枠組みを提供する。SeMSはまだICAO附属書17の要件ではないが、2007年以来、IOSA登録航空会社を対象としており、その実施はIATA、ICAO、および世界中の主要な航空規制当局によって支援されている。
To develop a certification program that can support various industry participants, an extensive case study was conducted, involving Japan Airlines, Brisbane Airport Corporation, CACC Cargolinx, Worldwide Flight Services Inc and Mozambique Airport Handling Services (MAHS). 様々な業界参加者をサポートできる認証プログラムを開発するため、日本航空、ブリスベン空港公団、CACC Cargolinx、Worldwide Flight Services Incおよびモザンビーク空港ハンドリングサービス(MAHS)が参加する大規模なケーススタディが実施された。
A Tiered Approach to Security Maturity セキュリティ成熟度の段階的アプローチ
The SeMS Certification Program follows a tiered approach, to meet the needs of organizations at varying levels of SeMS maturity: SeMS認証プログラムは、SeMS成熟度のさまざまなレベルにある組織のニーズに応えるため、段階的アプローチに従っている:
Level 1: SeMS procedures are in the early stages of development, with foundational elements established and ongoing progress toward formal documentation and consistent application. レベル1:SeMS手順は開発の初期段階にあり、基盤となる要素が確立され、正式な文書化と一貫した適用に向けて進行中である。
Level 2: SeMS procedures fully align with the SeMS Manual, are comprehensively documented, and consistently applied across all relevant areas. レベル2:SeMS手順がSeMSマニュアルと完全に整合し、包括的に文書化され、関連するすべての領域で一貫して適用されている。
Level 3: SeMS procedures are implemented at an advanced level, achieving the highest standards. These procedures proactively identify, mitigate, and manage security risks while fostering a culture of continuous improvement. レベル3:SeMS手順が上級レベルで実施され、最高標準を達成している。これらの手順は、継続的改善の文化を醸成しながら、セキュリティリスクを積極的に特定、緩和、管理している。
A Shift to Proactive Security Management プロアクティブなセキュリティ管理へのシフト
IATA’s SeMS Certification program is part of a comprehensive IATA SeMS adoption strategy that also includes: IATAのSeMS認証プログラムは、以下を含む包括的なIATA SeMS導入戦略の一環である:
A SeMS Community, where individuals can learn and receive insights about SeMS principles and test their knowledge. SeMSコミュニティ:SeMSの原則について学び、見識を深め、知識を試すことができる。
Self-Assessment Tools, to help organizations evaluate how well they understand and apply SeMS principles, ensuring they are prepared for the certification process. 自己アセスメントツール:組織がSeMSの原則をどの程度理解し、適用しているかを評価するのに役立ち、認証プロセスへの準備を確実にする。
Expanded Security Management Requirements, requiring IOSA-registered airlines, starting in January 2025, to oversee that their external service providers—including ground handling, security, and catering—implement SeMS in accordance with the updated IOSA Standards Manual Edition 17. IOSA登録航空会社は2025年1月から、グランドハンドリング、セキュリティー、ケータリングを含む外部サービス・プロバイダーが、更新されたIOSAスタンダード・マニュアル第17版に従ってSeMSを導入していることを監督することを義務付けられる。
"IATA’s SeMS Certification, education initiatives, self-assessment tools and expanded security management requirements are part of a comprehensive strategy to improve security with a proactive and risk-based approach. This is a step beyond compliance to create a culture of continuous improvement across the entire supply chain," said Careen. 「IATAのSeMS認証、教育イニシアティブ、自己アセスメントツール、セキュリティマネジメント要件の拡大は、プロアクティブかつリスクベースのアプローチでセキュリティを改善する包括的な戦略の一環である。これは、コンプライアンスを超えて、サプライチェーン全体で継続的に改善する文化を創造するための一歩である。
> Talk to an IATA Certification expert and learn more about SeMS > IATA認証の専門家に相談し、SeMSの詳細を学ぶ

 

全体...

 

Security Management System (SeMS)

 

マニュアル(第8版:有料)

Security Management System Manual (SeMS)

 

認証制度

Security Management System (SeMS) - Empowering security within your organization: Unlock the potential of SeMS

 

情報...

・[PDF] Security Management Systems (SeMS) Key Information for Industry

 

 

日本航空株式会社

・2025.04.10 JAL、 IATAから航空保安管理の国際認証を取得

・2025.04.10 JAL Achieves International Certification for Aviation Security Management System from IATA

・[PDF] JP EN

20250414-8592120250414-90039

 

 

 

 

 

| | Comments (0)

2025.04.12

CSA STAR for AI 関係...

こんにちは、丸山満彦です。

Cloud Security Allianceが、AIのための監査プログラム(STAR for AI)を検討していますが、検討参加の締め切りが近づいているので...

検討に参加したい人は4月28日までに...

ちなみに、STARは Security, Trust, Assurance & Risk (セキュリティ、信頼、保証、リスク)の略ですね...、

 

考えることはだいたい似ています(^^)...

 

Cluod Security Alliance

An Urgent Need for AI Security Assurance

STAR Program for AI STAR Program for AI
Building AI trust upon STAR’s proven foundations STARの実証された基盤の上にAIの信頼を築く
An Urgent Need for AI Security Assurance AIセキュリティ保証の緊急ニーズ
“We all know we are playing with fire - everyone is trapped in this prisoner’s dilemma. Nobody is willing to stop the race to Superintelligence. Some believe that regulations are premature and potentially harmful. Others believe that in the absence of them, we’ll quickly lose control of society as we know it and go down the path of a dystopian future.”  「我々は皆、火遊びをしていることを知っている。誰もがこの囚人のジレンマに陥っている。誰も超知能への競争を止めようとはしない。規制は時期尚早であり、潜在的に有害であるという意見もある。ある者は、規制は時期尚早であり、有害である可能性があると考え、またある者は、規制がなければ、われわれが知っているような社会の制御をたちまち失い、ディストピア的な未来への道を歩むことになると考えている。
- Daniele Catteddu, CTO, CSA - CSA、CTO、Daniele Catteddu
We have firmly embedded generative AI technologies into our organizations and personal lives, and adoption is only increasing from there. However, at the same time, people face uncertainty and distrust with AI. No common standard exists. Various groups are slowly building AI frameworks, but their pace clashes with the light-speed progress of AI. 私たちは生成的AI技術を組織や個人生活にしっかりと組み込んでおり、そこから採用は増える一方だ。しかし同時に、人々はAIに対する不確実性と不信感に直面している。共通の標準は存在しない。様々なグループがAIの枠組みを少しずつ構築しているが、そのペースはAIの光速の進歩と衝突している。
Launched in 2011, CSA’s Security, Trust, Assurance & Risk (STAR) program is the industry’s most powerful program for security assurance, listing over 3,400 cloud provider security assessments in its publicly-available registry. Worldwide, organizations rely on STAR entries as an indicator of cloud service trustworthiness. This framework is the perfect medium for bringing stability to the chaotic realm of AI. 2011年に開始されたCSAのセキュリティ、トラスト、アセスメント&リスク(STAR)プログラムは、セキュリティ保証のための業界で最も強力なプログラムであり、一般公開されているレジストリに3400以上のクラウドプロバイダのセキュリティ評価が登録されている。世界中の企業が、クラウドサービスの信頼性を示す指標としてSTARのエントリーを信頼している。この枠組みは、AIという混沌とした領域に安定性をもたらすのに最適な媒体である。
CSA is expanding the STAR program to include assurance for AI. STAR for AI will pull from the Cloud Controls Matrix (CCM) and other existing auditing standards to deliver a security framework and certification program for AI services, as soon as possible. This will provide AI companies, cloud providers, and enterprise users with an authoritative mechanism to measure AI trustworthiness. CSAはSTARプログラムを拡張し、AIの保証を含める。STAR for AIは、Cloud Controls Matrix(CCM)やその他の既存の監査標準を活用し、AIサービス向けのセキュリティフレームワークと認証プログラムを早急に提供する。これにより、AI企業、クラウドプロバイダー、エンタープライズユーザーに、AIの信頼性を測定する権威あるメカニズムを提供する。
What Are We Building? 何を構築するのか?
AI Controls Matrix AI Controls Matrix
A framework of control objectives to support the secure and responsible development, management, and use of AI technologies. Draws from the Cloud Controls Matrix (CCM), ISO/IEC 42001, ISO 27001, and more.  AI技術の安全で責任ある開発、管理、利用をサポートするための管理目標の枠組み。クラウドコントロールマトリックス(CCM)、ISO/IEC 42001、ISO 27001などから引用している。
AI Safety Pledge AI Safety Pledge
A list of high-level AI safety principles for companies to pledge to support. Serves as a stepping stone to the broader certification program and draws from the AI Controls Matrix. 企業が支持を表明するためのハイレベルなAI安全原則のリスト。より広範な認証プログラムへの足がかりとなるもので、AI Controls Matrixを活用している。
AI Auditing Scheme AI Auditing Scheme
Conformity assessment mechanisms to evaluate the adherence of AI services to the AI Controls Matrix. Possible approaches include self-assessment, third-party audit, continuous controls monitoring, and AI auditing. AIサービスのAIコントロール・マトリックスへの準拠を評価するための適合性評価メカニズム。自己アセスメント、サードパーティ監査、継続的管理モニタリング、AI監査などのアプローチが考えられる。
AI Safety Certification Program AI Safety Certification Program
A certification service delivered via the cloud that will leverage the AI Controls Matrix and live on the CSA STAR Registry. AI Controls Matrixを活用し、CSA STAR Registry上で稼働するクラウド経由で提供される認証サービス。
Stay Informed 情報提供
People around the world are calling for the prompt regulation of AI services. CSA has taken up the mantle to deliver.  世界中の人々がAIサービスの迅速な規制を求めている。CSAはそれを実現するためにマントルを引き受けた。
Fill out this form to stay updated as we develop STAR for AI. Be the first to hear about new calls for participation, peer reviews, and releases. After submitting, you’ll get access to additional resources to explore the initiative further. このフォームに入力すると、AI向けSTARの開発に関する最新情報を入手できる。新しい参加募集、ピアレビュー、リリースに関する情報をいち早くお届けする。送信すると、このイニシアチブをさらに探求するための追加リソースにアクセスできるようになる。

 

ブログ...

・2025.01.29 Can GenAI Services Be Trusted? | At the Discovery of STAR for AI

 

Can GenAI Services Be Trusted? | At the Discovery of STAR for AI GenAIサービスは信頼できるか?| GenAIのサービスは信頼できるのか|AIのためのSTARの発見
Written by Daniele Catteddu, Chief Technology Officer, CSA. CSA最高技術責任者、Daniele Cattedduが書いた。
Whenever new technologies are introduced into our personal lives, organizations, or even society as a whole, we always ask the same question: Can I trust it? 新しいテクノロジーが私たちの個人生活や組織、あるいは社会全体に導入されるとき、私たちはいつも同じ質問をする: それは信頼できるのか?
Most recently, how many of us have asked ourselves whether, how, and within which limits we can trust LLM/GenAI services and their providers? This is a legitimate question, given that we are faced with an innovation that holds the potential to transform our lives profoundly. Policymakers and regulators seem to be grappling with similar concerns. Meanwhile, GenAI service providers are asking: How can we earn the trust of our customers, policymakers, regulators, and markets? 最近では、LLM/GenAIのサービスやそのプロバイダを信頼できるのか、どのように、どの範囲内で信頼できるのか、どれだけの人が自問しているだろうか。私たちの生活を大きく変える可能性を秘めたイノベーションに直面していることを考えれば、これは正当な疑問である。政策立案者や規制当局も同様の懸念に取り組んでいるようだ。一方、GenAIサービス・プロバイダは、「どうすれば顧客、政策立案者、規制当局、市場のトラストを獲得できるのか?
The same question was posed during the early days of cloud computing: Can I trust the cloud? Back then, the Cloud Security Alliance (CSA) brought together the expertise of providers, customers, auditors, and regulators to address the complex matters of trust and assurance in cloud computing, and we created the STAR Program. Building on that experience, CSA has introduced STAR for AI—a pioneering initiative inspired by those early days of cloud computing. クラウド・コンピューティングの黎明期にも同じ問いが投げかけられた: クラウドは信頼できるのか?当時、クラウド・セキュリティ・アライアンス(CSA)は、プロバイダ、顧客、監査人、規制当局の専門知識を結集して、クラウド・コンピューティングにおける信頼と保証の複雑な問題に取り組み、STARプログラムを創設した。その経験に基づき、CSAは、クラウド・コンピューティングの黎明期に着想を得た先駆的な取り組みであるSTAR for AIを導入した。
I’m Daniele Catteddu, CTO at CSA and Co-Founder of the STAR Program. In this blog, I will discuss current GenAI services governance, trust, risk management, and compliance challenges and will introduce the STAR for AI initiative that aims to establish a standard for GenAI services assurance. 私はCSAのCTOであり、STARプログラムの共同創設者であるDaniele Cattedduだ。このブログでは、現在のGenAIサービスのガバナンス、トラスト、リスクマネジメント、コンプライアンスの課題について説明し、GenAIサービス保証の標準確立を目指すSTAR for AIイニシアチブについて紹介する。
What does it mean for a GenAI service provider to be trustworthy? GenAIサービスプロバイダが信頼に足るとはどういうことか?
Or even better, what does it mean for a GenAI service to be trustworthy? あるいはそれ以上に、GenAIサービスが信頼に足るとはどういうことか?
For our purpose, we’ll define a Trustworthy GenAI Service as one that is committed to serving humanity responsibly and ethically via safe technologies. 我々の目的のために、信頼できるGenAIサービスとは、安全なテクノロジーを通じて、責任を持って倫理的に人類に奉仕することにコミットしているものと定義する。
It is offered by a system that is robust, reliable, resilient, explainable, controllable, transparent, accountable, protects privacy, fosters fairness, and complies with all applicable laws and regulations. それは、堅牢で、信頼性があり、レジリエンシーがあり、説明可能で、制御可能で、透明性があり、説明責任を果たし、プライバシーを保護し、公平性を育み、適用法および規制を遵守するシステムによって提供される。
Back in the early days of cloud computing, the challenges were: クラウド・コンピューティングの黎明期には、次のような課題があった:
・The introduction of a new business and technological paradigm (someone else’s computer syndrome) ・新しいビジネスと技術のパラダイムの序文(他人のコンピューター症候群)
・Confusion on how to govern data (where is my data in the cloud obsession) ・データをどのようにガバナンスするかについての混乱(クラウドの中の私のデータはどこにあるのかという強迫観念)
・Confusion on how to govern new categories of services (SaaS Governance nightmare) ・新しいカテゴリーのサービスをどのようにガバナンスするかについての混乱(SaaSガバナンスの悪夢)
・Confusion about how to use and integrate the new technology and services into existing platforms and whether to revolutionize existing habits, systems, and platforms based on the new technology ・新しいテクノロジーとサービスをどのように利用し、既存のプラットフォームに統合するか、また既存の習慣を変革するかどうかについての混乱、 
・Confusion in the legal and regulatory landscape ・法規制の混乱
・Lack of standards (both technical and assurance/quality standards) and need to retrofit existing ones ・標準(技術標準と保証・品質標準の両方)の欠如と既存標準の改修の必要性
For AI, the situation appears to be similar in many ways, with a few notable differences. The paradigm shift does not only affect businesses and technologies; it goes deeper into the very fabric of our society and personal lives. The new syndrome is not someone else’s computer but someone else’s (else’s) brain. The risk of over-reliance on the AI Oracle did not exist with the cloud. AIについては、いくつかの顕著な違いはあるものの、状況は多くの点で類似しているようだ。パラダイムシフトは、ビジネスやテクノロジーに影響を与えるだけでなく、私たちの社会や個人生活そのものに深く入り込んでいる。新しい症候群は、他人のコンピューターではなく、他人の(他人の)脳である。AIオラクルに過度に依存するリスクは、クラウドには存在しなかった。
We have the same confusion regarding data governance (the obsession with “who is using my data for training?”) and service governance (How to prevent errors, abuses, and unwanted uses? How to understand what is real and what is fake? What is human vs. AI-generated? Shadow-AI paranoia, Evil-GTP fear, soon-to-be Evil AI Agent fear). データガバナンス(「誰が私のデータをトレーニングに使っているのか」というこだわり)やサービスガバナンス(エラーや乱用、望まない利用をどう防ぐか)に関しても、同じような混乱がある。何が本物で何が偽物かを理解するにはどうすればいいか?人間対AI生成的とは何か?シャドーAIパラノイア、Evil-GTPの恐怖、もうすぐ登場するEvil AI Agentの恐怖)。
Similarly, many organizations face uncertainty, ranging between full embracement, timid acceptance, refusal, and complete denial. 同様に、多くの組織は、完全な受け入れ、臆病な受け入れ、拒否、完全な否定の間の不確実性に直面している。
Should I stay or should I go? The same old-school human resistance to change and legacy problem, exacerbated by the much stronger disruptive potential of GenAI compared to the cloud and mitigated by the substantially more advanced capabilities offered by GenAI. 残るべきか、去るべきか?変化やレガシー問題に対する昔ながらの人間の抵抗は、クラウドと比較してGenAIの破壊的潜在力がはるかに強いために悪化し、GenAIが提供する実質的により高度な機能によって緩和される。
What’s the current state of AI security assurance and trust? AIのセキュリティ保証と信頼の現状は?
The political, legal and regulatory landscape is tough. The geo-strategic interests at stake are at a scale humanity has seen only during the nuclear race during WW2. Acknowledging GenAI as a potential existential threat underscores the urgency of robust governance. However, I recognize that framing it in terms of the nuclear race may hinder productive dialogue by evoking a zero-sum, adversarial mindset. Instead, GenAI's risks should be addressed through a combination of cooperative international agreements, transparent development practices, and enforceable safety standards. 政治、法律、規制の状況は厳しい。地政学的な利害が絡んでおり、人類が第2次世界大戦中の核開発競争でしか見たことのない規模だ。GenAIを潜在的な脅威と認識することは、強固なガバナンスの緊急性を強調する。しかし、核開発競争という観点からこの問題をとらえることは、ゼロサム的で敵対的な考え方を想起させ、生産的な対話を妨げる可能性があることを私は認識している。その代わりに、GENAIのリスクは、協力的な国際協定、透明性のある開発慣行、強制力のある安全標準の組み合わせを通じて対処されるべきである。
We all know we are playing with fire - everyone is trapped in this prisoner’s dilemma. Nobody is willing to stop the race to Superintelligence. Some believe that regulations are premature and potentially harmful. Others believe that in the absence of them, we’ll quickly lose control of society as we know it and go down the path of a dystopian future. 囚人のジレンマに陥っているのだ。誰もがこの囚人のジレンマに陥っているのだ。誰も超知能への競争を止めようとはしない。規制は時期尚早であり、潜在的に有害だと考える者もいる。また、規制がなければ、私たちが知っているような社会のコントロールはたちまち失われ、ディストピア的な未来への道を歩むことになると考える人もいる。
The EU, China, and Brazil have already adopted regulations: the EU AI Act, Generative AI Regulations (e.g. Measures for the Administration of Generative Artificial Intelligence Services) and Brazilian AI Bill, respectively. The EU AI Act, which I know a bit better, aims to strike a good balance between innovation, safety, and accountability. At the same time, the USA government appears to espouse a self-regulatory approach. In between, there are several other countries in the process of figuring out the principles and laws to rule and guide the transition toward a new AI-driven society. EU、中国、ブラジルはすでに、それぞれEU AI法、生成的AI規則(生成的人工知能サービス管理措置など)、ブラジルAI法案という規制を採用している。EUのAI法は、イノベーション、安全性、説明責任のバランスを取ることを目的としている。同時に、アメリカ政府は自主規制的なアプローチを支持しているようだ。その中間には、新しいAI駆動型社会への移行をルール化し導くための原則や法律を見つけ出そうとしている国がいくつかある。
In the background, there is also a battle between parts of the scientific community. One side has the urge to slow down, or even pause, the exponential progress of AI until we have more solid solutions to the alignment problem. Others firmly believe we need to immediately commercialize these new technologies to build an AI-aware society and favor the embracement of the positive effect of GenAI. その背景には、科学界の一部による争いもある。一方は、アライメント問題に対するより確かな解決策が得られるまで、AIの指数関数的な進歩を遅らせたい、あるいは一時停止させたいという衝動に駆られている。他方では、AIを意識した社会を構築するためには、これらの新技術を直ちに商業化する必要があると固く信じており、GenAIのポジティブな効果を受け入れることを支持している。
The standards are clearly in their infancy. We are slowly building the vocabularies and taxonomies to understand each other. However, we can anticipate that the consensus-building exercise that stands behind the standard creation seems to clash with the light-speed progress of AI technologies and the continuous release of solutions. 標準は明らかに初期段階にある。互いを理解するための語彙や分類法が徐々に構築されつつある。しかし、標準作成の背後にある合意形成の運動は、AI技術の光速の進歩や継続的なソリューションのリリースと衝突するように思えることが予想される。
Someone could summarize the situation as a bit chaotic... この状況を、ちょっと混沌としている......と表現する人がいるかもしれない。
What is CSA going to do about it? CSAはどうするのか?
In this chaos, at CSA, we decided to use the same principles, tips, and tricks that proved useful for cloud computing assurance to build an approach that can offer a solid, robust, understandable, and measurable “something” —a starting point— to reiterate and improve continuously. Over time, CSA hopes to achieve a better approximation of the measure of trustworthiness of the AI services that we’ll consume. この混沌の中で、CSAでは、クラウド・コンピューティングの保証に有用であることが証明されたのと同じ原則、ヒント、トリックを使用して、反復し、継続的に改善するための、堅実で、強固で、理解可能で、測定可能な「何か」(出発点)を提供できるアプローチを構築することにした。時間をかけて、CSAは、我々が利用するAIサービスの信頼性の尺度のより良い近似値を達成したいと考えている。
This little “something” we are building is called STAR for AI. For those not familiar with CSA, STAR is the acronym for Security, Trust, Assurance, and Risk. STAR is CSA’s program for cybersecurity assurance, governance, and compliance, and its initial focus and scope was cloud computing. 我々が構築しているこの小さな「何か」は、STAR for AIと呼ばれている。CSAをよく知らない人のために説明すると、STARはSecurity(セキュリティ)、Trust(信頼)、Assurance(保証)、Risk(リスク)の頭文字をとったものだ。STARはサイバーセキュリティの保証、ガバナンス、コンプライアンスのためのCSAのプログラムで、当初はクラウド・コンピューティングに焦点を当てていた。
In the cloud computing industry, the STAR program is widely used as an indicator of cloud service trustworthiness, both in the private and public sector domains. For instance, some countries like Italy officially use it as a mechanism of adherence to national requirements for the public sector and critical infrastructures. クラウド・コンピューティング業界では、STARプログラムはクラウド・サービスの信頼性を示す指標として、民間・公共セクターを問わず広く利用されている。例えば、イタリアのように、公的部門や重要インフラに対する国家要件の遵守を示すメカニズムとして公式に使用している国もある。
And we hope to achieve the same success with our latest initiative. そして我々は、最新のイニシアチブでも同様の成功を収めたいと考えている。
STAR for AI will focus on Multimodal GenAI services and consider their overall value chain. This means the evaluation will have within its scope one or more of the following components: STAR for AIは、マルチモーダルなGenAIサービスに焦点を当て、そのバリューチェーン全体を検討する。これは、評価の範囲に以下の構成要素の1つ以上が含まれることを意味する:
1) Cloud / Processing Infra / GenAI Operations, 2) Models, 3) Orchestrated Services, 4) Applications, and 5) Data (for reference please read the CSA LLM Threat Taxonomy). 1) クラウド/処理インフラ/GenAIオペレーション、2) モデル、3) オーケストレーテッド・サービス、4) アプリケーション、5) データ(参考のため、CSA LLM脅威分類法をお読みください)。
Additionally, the program will evaluate the security of AI service usage. さらに、このプログラムでは、AIサービス利用のセキュリティを評価する。
Our goal is to create a trustworthy framework for key stakeholders to demonstrate safety and security, whether they are a Gen-AI frontier model owner, (added-value) AI service developers and providers, or AI services business users. 我々の目標は、主要なステークホルダーが、Gen-AIフロンティアモデルオーナー、(付加価値のある)AIサービス開発者やプロバイダ、AIサービスビジネスユーザーのいずれであっても、安全性とセキュリティを実証するための信頼できる枠組みを構築することである。
The program will focus on technical and governance aspects related to cybersecurity. Additionally, it will cover aspects of safety, privacy, transparency, accountability, and explainability as far as they relate to cybersecurity. このプログラムは、サイバーセキュリティに関連する技術的側面とガバナンスの側面に焦点を当てる。さらに、サイバーセキュリティに関連する限りにおいて、安全性、プライバシー、透明性、説明責任、説明可能性の側面もカバーする。
The audit and evaluation approach will be risk-based, i.e., the suitability of the controls in place will be established based on the risks to which the service is exposed. The risk-based approach will ensure the audit and evaluation process is relevant to the context and use case. 監査と評価のアプローチは、リスクベース、すなわち、サービスがさらされているリスクに基づいて、実施されているコントロールの適切性が確立される。リスクベースのアプローチは、監査・評価プロセスがコンテキストとユースケースに関連していることを保証する。
The program will leverage existing auditing and accreditation standards, which might be AI-specific (e.g., ISO/IEC 42001-2023) or more general (ISO27001, ISO17021, 17065, etc.). It will include both point-in-time and continuous auditing. このプログラムは、AIに特化した標準(ISO/IEC 42001-2023など)またはより一般的な標準(ISO27001、ISO17021、17065など)の既存の監査・認定標準を活用する。これには、ポイント・イン・タイム監査と継続的監査の両方が含まれる。
Introducing the AI Controls Matrix AIコントロール・マトリックスの導入
As a first step, we are establishing a control framework for GenAI service security. The framework is open, expert-driven, consensus-based, and vendor-agnostic. Its ambition is to repeat and improve on the success of the Cloud Controls Matrix and become an industry de facto standard. 第一段階として、GenAIサービス・セキュリティのためのコントロール・フレームワークを確立する。この枠組みは、オープンで、専門家主導で、コンセンサスに基づき、ベンダーにとらわれない。このフレームワークは、クラウドコントロールマトリックスの成功を繰り返し、改善し、業界のデファクトスタンダードとなることを目指している。
The framework is called the CSA AI Controls Matrix (AICM). この枠組みはCSA AI Controls Matrix(AICM)と呼ばれている。
We released it for peer review just before the end of 2024, hoping to offer our community a present for the beginning of the new year. 我々は、2024年末の直前にピアレビューのためにこのフレームワークをリリースした。
The initial version of AICM was designed to follow common sense principles of trustworthiness. We defined a taxonomy, created threat scenarios, and identified control objectives to mitigate the threats. The AI control objectives were framed in the CSA Cloud Control Matrix’s template and structure. We leveraged the strengths of the CCM model, and customized and improved where necessary. The team of volunteers contributing includes experts from industry, academia, and governmental bodies. Needless to say we also used the support of GenAI tools. AICMの初期バージョンは、信頼性の常識的な原則に従って設計された。我々は分類法を定義し、脅威シナリオを作成し、脅威を緩和するための制御目標を特定した。AIの管理目標は、CSAクラウド・コントロール・マトリックスのテンプレートと構造で組み立てられた。我々はCCMモデルの長所を活用し、必要に応じてカスタマイズと改善を行った。貢献したボランティアチームには、産業界、学界、政府団体の専門家が含まれている。GenAIツールのサポートも活用したことは言うまでもない。
The current version of the AICM is structured in 18 domains. 17 are in common with the CCM, plus the addition of the Model Security Domain. There are 242 control objectives (37 of them AI-specific, 183 relevant to both AI and cloud, and 22 cloud-specific). AICMの現在のバージョンは、18のドメインで構成されている。17はCCMと共通で、加えてモデル・セキュリティ・ドメインが追加されている。242の管理目標がある(そのうち37はAI固有、183はAIとクラウドの両方に関連、22はクラウド固有)。
This is our first call for action. If you care about AI service trustworthiness and/or are a subject expert on the matter, you should review the current draft of the AICM and contribute to improving it. It might seem like a hyperbole, but having your name on the standard that will design the boundaries of GenAI service trustworthiness, means leaving a legacy in history. これは、私たちが最初に呼びかける行動である。もしあなたがAIサービスの信頼性に関心があり、かつ/またはこの問題の専門家であるならば、AICMの現在のドラフトを見直し、改善に貢献すべきである。大げさに思えるかもしれないが、GenAIサービスの信頼性の境界を設計する標準にあなたの名前を載せることは、歴史に遺産を残すことを意味する。
Determining assessment mechanisms アセスメントメカニズムの決定
The other foundational component of STAR for AI is the auditing scheme, the conformity assessment mechanisms that will be used to evaluate the adherence of a given GenAI service to the AICM requirements. STAR for AIのもう一つの基礎となるコンポーネントは、監査スキームであり、与えられたGenAIサービスがAICM要件に準拠しているかどうかを評価するために使用される適合性評価メカニズムである。
With the support of the auditing and assurance community, in 2024 we started to reason about the mechanisms fit for GenAI service cyber assurance evaluation. More in general, we started a discussion on the impact of AI on auditing and the future of assurance and trustworthiness. 監査・保証コミュニティの支援により、2024年に我々はGenAIサービスのサイバー保証評価に適したメカニズムについて推論を開始した。より一般的には、AIが監査に与える影響、保証と信頼性の将来についての議論を開始した。
We are exploring options. Several possible approaches are considered for use. Some are already existing and standardized (self-assessment, third-party audit, etc.), others are under development (continuous controls monitoring/auditing), and others might be introduced as a result of new technologies or new technical needs (e.g., Gen AI Auditing/Assessment). 我々は選択肢を模索している。いくつかの可能性のあるアプローチを使用することを検討している。すでに存在し標準化されているもの(自己評価、サードパーティ監査など)、開発中のもの(継続的な統制モニタリング/監査)、新技術や新たな技術的ニーズの結果として導入される可能性のあるもの(Gen AI Auditing/Assessmentなど)などがある。
Here comes our second call for action, and once again, it involves you taking a step forward, being a thought leader, and contributing to shaping the future of cyber assurance. If you would like to be involved in the creation of the auditing scheme, please get in touch. また、新技術や新たな技術的ニーズの結果として導入される可能性のあるものもある(例:Gen AI監査/評価)。ここでもまた、あなたが一歩を踏み出し、オピニオンリーダーとして、サイバーアシュアランスの未来を形作ることに貢献することが求められている。監査スキームの構築に関わりたい方は、ぜひご連絡いただきたい。
An urgent call to action 緊急の呼びかけ
Why are we building STAR for AI? Simple: Within our community, there’s a background voice that is increasing in volume by the second. It quickly became a scream. What we hear is a request to support the controlled adoption of GenAI services and the governance of its cybersecurity and safety. We need a mechanism to measure trustworthiness, and CSA is strategically committed to delivering such a solution. なぜ我々はAIのためのSTARを構築しているのか?単純なことだ: 我々のコミュニティーの中で、刻一刻とそのボリュームを増している背景の声がある。それはすぐに悲鳴となった。私たちが耳にするのは、GenAIサービスの制御された導入と、そのサイバーセキュリティと安全性のガバナンスをサポートしてほしいという要望だ。信頼性を測定するメカニズムが必要であり、CSAはそのようなソリューションを提供することに戦略的にコミットしている。
To conclude, there is growing urgency in the market to establish reliable assurance and compliance mechanisms for governing GenAI services. This challenge is particularly complex as it intersects with broader ethical considerations and complex technology. 結論として、GenAIサービスをガバナンスするための信頼できる保証とコンプライアンスのメカニズムを確立することが市場で急務となっている。この課題は、より広範な倫理的考察や複雑なテクノロジーと交差するため、特に複雑である。
We face a notable paradox: even as we work to define parameters and metrics for GenAI trustworthiness, these technologies are already embedded in our organizations and personal lives. Adoption is only accelerating as organizations recognize the opportunities GenAI creates. Moreover, we are increasingly relying on GenAI tools for assessment and auditing processes, including autonomous decision-making. This creates the potential situation where we might depend on a technology to evaluate its own trustworthiness before we have established reliable methods to measure the integrity of the decisions the technology may take without human intervention. 我々がGenAIの信頼性のパラメータと測定基準を定義しようと努力している間にも、これらのテクノロジーは既に我々の組織や個人生活に組み込まれている。GenAIが生み出す機会を組織が認識するにつれ、採用は加速する一方だ。さらに、自律的な意思決定を含むアセスメントや監査プロセスにおいて、GenAIツールへの依存度が高まっている。このことは、人間の介入なしにテクノロジーが行う意思決定の完全性を測定する信頼できる方法が確立される前に、テクノロジー自身の信頼性を評価するためにテクノロジーに依存する可能性があるという状況を生み出す。
While this situation doesn't call for panic, it does demand urgent attention. I encourage all of you to contribute your expertise to the STAR for AI initiative to help address these critical challenges. この状況はパニックを引き起こすものではないが、緊急の注意が必要である。このような重大な課題に対処するため、STAR for AIイニシアティブに専門知識を提供していただきたい。

 

・2025.02.17 AI Controls Matrix

公開期間がおわったので、今はみられません...

 

20250412-63724

 

 

 

| | Comments (0)

2025.04.10

英国 NCSC 取締役会のためのサイバーガバナンス(サイバーガバナンス実践規範)(2025.04.08)

こんにちは、丸山満彦です。

英国のNCSCが取締役会のためのサイバーガバナンスのウェブページを作成し、サイバーガバナンス実践規範を公表していますね...

これは、2024.01.27 に意見募集されていたものが確定したものです。

2023.03.30に公表されたToolkitも改訂されましたね...

 

先を越されてしまいましたね...

日本は経営ガイドラインまでは作っているのですが、取締役会のためのコードまでは作れていません...

むかーし、情報セキュリティガバナンスについての研究会というのを経済産業省で大木先生が座長で開催したことがあり、私もメンバーとして「情報セキュリティガバナンス導入ガイダンス」を作成したことがあるのですが、それは会社のガバナンスの中の情報セキュリティではなく、情報セキュリティをどのようにガバナンスするか?という話で、CISOの話でしたね...

 

National Cyber Security Centre: NCSC

Cyber Governance for Boards

 

Overview 

 

 

Code of Practice

・・2025.04.08 Cyber Governance Code of Practice

 

・・・[HTML][PDF] Cyber Governance Code of Practice 

20250410-60957

 

・・・[PDFCyber Governance Code of Practice - one page summary

20250410-60936

Cyber Governance Code of Practice  サイバーガバナンス実践規範
A: Risk management  A: リスクマネジメント 
Gain assurance that the technology processes, information and services critical to the organisation’s objectives have been identified, prioritised and agreed.  組織の目標にとって重要なテクノロジープロセス、情報、サービスが識別、優先順位付け、合意されていることを確認する。 
Agree senior ownership of cyber security risks and gain assurance that they are integrated into the organisation’s wider enterprise risk management and internal controls.  サイバーセキュリティリスクに対する上級管理者の責任を合意し、それらが組織のエンタープライズリスクマネジメントおよび内部統制に統合されていることを確認する。
Define and clearly communicate the organisation’s cyber security risk appetite and gain assurance that the organisation has an action plan to meet these risk expectations.  組織のサイバーセキュリティリスク許容度を定義し、明確にコミュニケーションを行い、これらのリスク期待値を満たすための行動計画が組織にあることを保証する。
Gain assurance that supplier information is routinely assessed, proportionate to their level of risk and that the organisation is resilient to cyber security risks from its supply chain and business partners.  サプライヤー情報をリスクレベルに応じて定期的にアセスメントし、組織がサプライチェーンやビジネスパートナーからのサイバーセキュリティリスクに対してレジリエンスであることを保証する。
Gain assurance that risk assessments are conducted regularly and that risk mitigations account for recent, or expected, changes in the organisation, technology, regulations or wider threat landscape.  リスクアセスメントが定期的に実施され、リスク緩和策が組織、テクノロジー、規制、またはより広範な脅威の状況における最近の変化、または予想される変化を考慮していることを保証する。 
B: Strategy  B: 戦略 
Gain assurance that the organisation has developed a cyber strategy and this is aligned with, and embedded within, the wider organisational strategy.  組織がサイバー戦略を策定し、それがより広範な組織戦略と整合し、その中に組み込まれていることを保証する。
Gain assurance that the cyber strategy aligns with the agreed cyber risk appetite (Action A3), meets relevant regulatory obligations, and accounts for current or expected changes (Action A5).  サイバー戦略が合意されたサイバーリスク選好度(行動 A3)に沿っており、関連する規制上の義務を満たし、現在または予想される変更(行動 A5)を考慮していることを保証する。
Gain assurance that resources are allocated effectively to manage the agreed cyber risks (Action A3 and A5).  合意されたサイバーリスクを管理するためにリソースが効果的に割り当てられていることを保証する(行動 A3 および A5)。
Gain assurance that the cyber strategy is being delivered effectively and is achieving the intended outcomes.  サイバー戦略が効果的に実施され、意図した成果を達成していることを保証する。
C: People  C: 人材 
Promote a cyber security culture that encourages positive behaviours and accountability across all levels. This should be aligned with the organisation’s strategy (Action B1).  あらゆるレベルにおいて、積極的な行動と説明責任を促すサイバーセキュリティ文化を推進する。これは組織の戦略と整合性が取れているべきである(行動 B1)。
Gain assurance that there are clear policies that support a positive cyber security culture.  積極的なサイバーセキュリティ文化を支える明確な方針があることを保証する。
Undertake training to improve your own cyber literacy and take responsibility for the security of the data and digital assets that you use.  自身のサイバーリテラシーを改善し、使用するデータおよびデジタル資産のセキュリティに責任を持つためのトレーニングを実施する。
Gain assurance, using suitable metrics, that the organisation has an effective cyber security training, education and awareness programme.  適切な評価基準を使用して、組織が効果的なサイバーセキュリティトレーニング、教育、および意識向上プログラムを実施していることを保証する。
D: Incident planning, response and recovery  D: インシデント計画、対応、および復旧
Gain assurance that the organisation has a plan to respond to and recover from a cyber incident impacting business critical technology processes, information and services.  ビジネスに不可欠な技術プロセス、情報、およびサービスに影響を及ぼすサイバーインシデントへの対応および復旧計画を組織が策定していることを保証する。
Gain assurance that there is at least annual exercising of the plan involving relevant internal and external stakeholders and that lessons from the exercise are reflected in the incident plan (Action D1) and risk assessments (Action A5).  少なくとも年1回は、関連する内部および外部の利害関係者を巻き込んだ計画の演習を実施し、その演習から得られた教訓をインシデント計画(行動D1)およびリスクアセスメント(行動A5)に反映させていることを保証する。
In the event of an incident, take responsibility for individual regulatory obligations, such as reporting, and support the organisation in critical decision making and external communications.  インシデントが発生した場合は、報告義務など個別の規制上の義務を履行し、重要な意思決定や外部コミュニケーションにおいて組織を支援する。
Gain assurance that a post incident review process is in place to incorporate lessons learned into future risk assessments (Action A5), response and recovery plans (Action D1) and exercising (Action D2).  インシデント後のレビュープロセスが、将来のリスクアセスメント(アクションA5)、対応計画(アクションD1)、演習(アクションD2)に教訓を組み込むために実施されていることを確認する。
E: Assurance and oversight  E: 保証と監督
Establish a cyber governance structure which is embedded within the wider governance structure of the organisation. This should include clear definition of roles and responsibilities, including ownership of cyber at executive and non-executive director level.  組織のより広範なガバナンス構造に組み込まれたサイバーガバナンス構造を確立する。これには、経営陣および非経営陣の取締役レベルにおけるサイバーセキュリティの責任者を含む、役割と責任の明確な定義が含まれるべきである。
Require formal reporting on at least a quarterly basis, set suitable metrics to track, and agree tolerances for each. These should be aligned to the cyber strategy (Action B1) and based on the agreed cyber risk appetite (Action A3).  少なくとも四半期ごとに正式な報告を義務付け、追跡に適した評価基準を設定し、それぞれについて許容範囲を合意する。これらはサイバー戦略(行動 B1)と整合性を保ち、合意されたサイバーリスク許容度(行動 A3)に基づくべきである。
Establish regular two-way dialogue with relevant senior executives, including but not limited to, the chief information security officer (or equivalent).  最高情報セキュリティ責任者(または同等の役職者)を含むが、それに限定されない関連する上級経営陣との定期的な双方向の対話を確立する。
Gain assurance that cyber security considerations (including the actions in this code) are integrated and consistent with existing internal and external audit and assurance mechanisms.  サイバーセキュリティに関する考慮事項(本規範の行動を含む)が、既存の内部および外部監査ならびに保証メカニズムに統合され、整合していることを保証する。
Gain assurance that senior executives are aware of relevant regulatory obligations, as well as best practice contained within other Codes of Practice.  経営幹部が関連する規制上の義務、および他の行動規範に含まれるベストプラクティスを認識していることを保証する。

 

Training

 

Toolkit

・・Cyber Security Toolkit for Boards

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.28 英国 NCSC ガイダンス「サイバーセキュリティリスクマネジメントを改善するための取締役会との協力」とブログ記事「取締役会にサイバーについてどう話すか」 (2024.10.07)

・2024.02.05 英国 意見募集 サイバー・ガバナンス実践規範 (2024.01.23)

・2023.06.27 英国 NSCS (サイバーセキュリティ向け)リスクマネジメントガイドの改訂 (2023.06.23) + 取締役会向けサイバーセキュリティ・ツールキット (2023.03.30)

 

| | Comments (0)

より以前の記事一覧