ロボット

2022.09.26

米国 GAO 情報環境:DODの国家安全保障ミッションに対する機会および脅威 (2022.09.21)

こんにちは、丸山満彦です。

米国のGAOが国防総省の国家安全保障ミッションに対する機会および脅威に関する報告書を公表していますね。。。

● U.S. Government Accountability Office; GAO

・2022.09.21 Information Environment:Opportunities and Threats to DOD's National Security Mission

 

Information Environment:Opportunities and Threats to DOD's National Security Mission 情報環境:DODの国家安全保障ミッションに対する機会および脅威
GAO-22-104714 GAO-22-104714
Fast Facts 概要
To offset U.S. conventional warfighting advantages, opponents try to use the information environment, including information technology and social media. Actions can range from trying to plant malware in weapons to spreading disinformation on social media. 米国の通常戦の優位性を相殺するために、敵対勢力はITやソーシャルメディアなどの情報環境を利用しようとする。その行動は、兵器にマルウェアを仕掛けるものから、ソーシャルメディア上での偽情報の拡散に至るまで、多岐にわたる。
This report describes DOD's use and protection of the information environment. We profile 6 areas—such as threats and emerging technologies—and offer questions for further oversight. For example, DOD components identified threats like collecting intelligence, influencing decision-making, degrading electromagnetic spectrum capabilities, and cyberattacks. 本報告書は、DODの情報環境の利用と保護について記述している。脅威や新技術など6つの分野を取り上げ、さらなる監視のための質問を提示する。例えば、DODの構成要素は、情報収集、意思決定への影響、電磁波スペクトル能力の低下、サイバー攻撃などの脅威を特定した。
Information Environment Threats 情報環境の脅威
01_20220926142201
Highlights ハイライト
What GAO Found GAOの発見事項
Given the ubiquitous nature of the information environment, both DOD and adversaries can conduct operations and activities in the information environment from anywhere in the world. Additionally, with DOD capabilities dependent on IT and the electromagnetic spectrum (EMS), its ability to conduct operations and activities in any of the physical domains (land, maritime, air, and space) is reliant on protecting the information environment. Based on a review of DOD strategies, questionnaires, interviews, and guidance documents, GAO found: 情報環境のユビキタス性を考えると、DODも敵対者も世界のどこからでも情報環境での作戦や活動を行うことができる。さらに、DODの能力がITと電磁スペクトル(EMS)に依存しているため、物理的領域(陸、海、空、宇宙)のいずれでも作戦や活動を行う能力は、情報環境の保護に依存している。DODの戦略、アンケート、インタビュー、ガイダンス文書のレビューに基づき、GAOは以下のことを明らかにした。
Ubiquitous and Malign Information. The fusion of ubiquitous information and technology has granted individuals, organizations, and nation-states the ability to target the cognitive foundations of individuals—beliefs, emotions, and experiences—for purposes either benign or malign. The proliferation of ubiquitous information, misinformation, disinformation, and malinformation has prompted defense experts to begin examining the concept of cognitive security. ユビキタス情報と有害情報。 ユビキタス情報とテクノロジーの融合は、個人、組織、国家に、個人の認知的基盤-信念、感情、経験-を良性または悪性の目的のために標的とする能力を与えている。ユビキタス情報、誤情報、偽情報、悪意ある情報の急増は、防衛専門家に認知的安全保障の概念の検討を促した。
Relationship between Misinformation, Disinformation, and Malinformation 誤情報、偽情報、悪意ある情報の関係
02
DOD Missions and Functions. Technology, the EMS, and the sharing of data are integral to accomplishing DOD's missions in the information environment. DOD components consistently identified the conduct of military operations, communications, command and control decision-making, and others, as missions and functions affected by the information environment. DODの任務と機能 技術、EMS、データの共有は、情報環境におけるDODの任務達成に不可欠である。DODの各部門は一貫して、軍事作戦の実施、通信、指揮統制の意思決定、その他を、情報環境の影響を受ける任務と機能として挙げている。
Threat Actors. National and DOD strategies recognize that nation-states—such as China, Russia, Iran, and North Korea—have demonstrated that they are threat actors in the information environment, employing malicious cyber, EMS, and influence activities against DOD interests. Additionally, nonstate actors—such as insider threats, foreign terrorists, transnational criminal organizations, and others—pose a threat to DOD personnel at home and abroad. 脅威の主体。 国家と国防省の戦略は、中国、ロシア、イラン、北朝鮮のような国家が、国防省の利益に対して悪意のあるサイバー、EMS、影響力活動を採用し、情報環境における脅威行為者であることを示してきたと認識している。さらに、非国家主体-内部脅威、外国人テロリスト、多国籍犯罪組織、その他-は国内外の国防総省職員に脅威を与えている。
Threat Actions. DOD components highlighted a variety of cyberspace threats, information or intelligence collection threats, influence threats, and EMS threats that adversely affect DOD personnel and capabilities (see figure below). 脅威の行動 DOD の構成要素は DOD の人員と能力に悪影響を与える様々なサイバースペースの脅威、情報または情報収集の脅威、影響の脅威、EMS の脅威を強調した(下図を参照)。
Institutional Challenges. National and DOD strategies and documents identify a number of institutional challenges that DOD must address. The challenges include a lack of leadership emphasis, lack of resources, the implications of new technologies, and dated processes. DOD components identified personnel, funding, IT, organization, and training as the most important institutional challenges they face related to the information environment. 制度的な課題。 国家と国防総省の戦略や文書は、国防総省が対処しなければならない多くの制度的課題を明らかにしている。その課題とは、指導者の強調不足、資源の不足、新技術の影響、そして時代遅れのプロセスなどである。DODの構成要素は、情報環境に関連して直面する最も重要な組織的課題として、人材、資金、IT、組織、およびトレーニングを挙げている。
Emerging Technologies. DOD components identified a variety of technologies that may present either opportunities for or threats to DOD in the information environment: artificial intelligence and machine learning, quantum computing, social media platforms, and bots. Additionally, relevant reports and subject matter experts have identified extended reality, fifth-generation wireless telecommunications, and the Internet of Things as technologies that could have either positive benefits or negative consequences for DOD. 新たなテクノロジー DODの構成要素は、情報環境においてDODに機会または脅威を与える可能性のある様々な技術を特定した:人工知能と機械学習、量子コンピューティング、ソーシャルメディアプラットフォーム、およびボット。さらに、関連するレポートや主題専門家は、拡張現実、第5世代無線通信、およびモノのインターネットを、DODにプラスの利益またはマイナスの結果のいずれかをもたらす可能性のある技術として認識している。
Past and Planned DOD Actions. Achieving and sustaining an advantage requires DOD to undertake and plan actions across multiple areas, including doctrine, organization, and training. For example, DOD elevated the concept of "information" and has been revising its doctrine publications to reflect the fundamental nature of information in joint operations. 過去および計画されたDODの行動。 優位性を達成し維持するためには、DOD は教義、組織、訓練を含む複数の領域で行動を起こし、計画することが必要である。例えば、DODは「情報」の概念を高め、統合作戦における情報の基本的な性質を反映するために、教義書の改訂を進めている。
Threat Actions in the Information Environment 情報環境における脅威の行動
03
Why GAO Did This Study GAOがこの調査を行った理由
Today's information environment poses new and complex challenges for national security as the world has shifted from an industrial age to an information age. Advances in information technology, wireless communications, and social media have increased the speed and range of information, diffused power over information, and shifted socio-cultural norms. The United States' competitors and adversaries are taking advantage of these advances and the subsequent effects in the information environment to offset the U.S.'s conventional warfighting advantages. 今日の情報環境は、世界が工業化時代から情報化時代へと移行したため、国家安全保障に新たな複雑な課題を突きつけている。情報技術、無線通信、ソーシャルメディアの進歩は、情報の速度と範囲を拡大し、情報に対する力を拡散させ、社会文化的規範を変化させた。米国の競争相手や敵対勢力は、これらの進歩とそれに伴う情報環境の影響を利用し、米国の通常戦の優位性を相殺しようとしている。
The Department of Defense (DOD) defines the information environment as the aggregate of individuals, organizations, and systems that collect, process, disseminate, or act on information— consisting of physical, informational, and cognitive dimensions, as shown in the figure below. 国防総省(DOD)は、情報環境を、情報を収集、処理、普及、行動する個人、組織、システムの集合体として定義しており、下図に示すように、物理的、情報的、認知的側面から構成されている。
Three Dimensions of the Information Environment 情報環境の3つの次元
04
To illustrate and better inform Congress and DOD officials, this report describes DOD's use and protection of the information environment through the following six key elements—ubiquitous and malign information, effects on DOD's mission, threat actors, threat actions, institutional challenges, and emerging technologies that can enable or adversely affect DOD's missions. This report also describes DOD actions taken and planned to use and protect the information environment. 議会とDOD職員に説明し、より良く伝えるために、この報告書はDODの情報環境の利用と保護を次の6つの主要要素-偏在する悪意ある情報、DODの任務への影響、脅威の行為者、制度的課題、DODの任務に有効または悪影響を与える新技術-を通じて説明する。本報告書はまた、情報環境を利用し保護するためにとられたDODの行動と計画についても記述している。
To prepare this report, among other things, GAO administered questionnaires to 25 DOD organizations involved in the information environment. GAO staff also interviewed officials and subject matter experts; reviewed 35 documents on strategy, policy, doctrine, and other guidance from DOD and other federal agencies; and reviewed studies and other documents. この報告書を作成するために、GAOは特に、情報環境に関与する25のDOD組織にアンケートを実施した。また、GAOスタッフは関係者や主題専門家にインタビューを行い、DODや他の連邦機関の戦略、政策、ドクトリン、その他のガイダンスに関する35の文書を検討し、研究およびその他の文書も検討した。

 

情報環境の脅威

コンポーネントの情報システムに対する悪質なサイバー行為 意思決定を低下させることを目的とした指揮統制情報システムの操作
構成員の任務、業務、または人員を理解するための情報または諜報活動の収集 DODロジスティクス請負業者の活動や軍人のソーシャルメディアや携帯電話の使用状況の変化から配備スケジュールを特定する。
軍人や職員の士気や意思決定を標的としたり、影響を与えようとしたりすること。 ソーシャルメディア上の誤報や偽情報により、士気や即応性を低下させる。
DODの能力を低下させたり、損害を与えるための電磁スペクトル(EMS)の悪意ある使用。 GPS 信号または通信の EMS 妨害

 

誤情報、偽情報、悪意ある情報

誤情報 偽情報 悪意ある情報
写真のキャプション、日付、統計、翻訳、または風刺を真に受けた場合など、意図しない間違い。 捏造された、または意図的に操作されたオーディオ/ビジュアルコンテンツ、意図的に作られた陰謀論や風説。 非常に正確な情報であり、現実に即しているが、個人、組織、または国に損害を与えるために、文脈にそぐわない形で提示される可能性のある情報。

 

情報環境の3つの次元

認知的次元 情報的次元 物理的次元
人間中心 データ中心 有形物、現実にあるもの
信念、規範、脆弱性、動機、経験、モラル、教育、メンタルヘルス、アイデンティティ、イデオロギーなど 指揮統制が行われ、指揮官の意図が伝達される場所と方法に関する情報の収集、処理、保管、伝達、および保護 人間、指揮統制施設、新聞、書籍、通信塔、コンピュータ・サーバー、ノートパソコン、スマートフォン、タブレット端末

 

・[PDF] Hilights Pages

20220926-152844

 

・[PDF] Full Report

20220926-152901

 

| | Comments (0)

2022.09.23

経済産業研究所 人工知能への信頼-リハビリテーション・ロボットを例に

こんにちは、丸山満彦です。

独立行政法人経済産業研究所が、「人工知能への信頼-リハビリテーション・ロボットを例に」という報告書を公表していますね。。。

その要旨から。。。


要旨

...本稿では、利用に際して複数の当事者がかかわる医療機器であるリハビリテーション・ロボットを取り上げ、その信頼について論じる。医師、療法士、ロボット開発者、患者の四者関係を踏まえ、それぞれの立場からみた信頼できる AI の要素をアンケート調査から分析した結果を報告する。結論として、患者・医師・療法士が求める「低費用」を技術者は求めていないなど、「信頼できるロボット」の要素には四者間で相違があり、また、新型コロナウイルスなどの疫病が流行している時点とそうでない平常時において、それぞれが求める要素にも違いが出ることが示された。少子高齢化に歯止めがかからず、医療分野の人手不足を補うために必要不可欠となるリハビリテーション・ロボットの今後の技術開発に際して、日本ではこのような齟齬を政策的に埋めていく必要があろう。


患者、医師、療法士、技術者に対するサンプル調査をしていてなかなか面白い研究だと思いました。

Trustという言葉について、Relianceと比較した説明があります。。。


倫理学においては、 Trust は、日本語で信頼と訳されることがある Relianceとは異なるとされる(Baier, 1986)。人は、Trust が失われたときには「裏切られた」と感じるが、Reliance が失われたときには「失望した」だけで済む、という差異があるという。Reliance より Trust のほうがより強い期待を伴う信頼であると考えられる。


財務諸表監査においては、「内部統制に依拠する」という言葉を使うことがあるが、その場合の依拠は、"rely on"と言います。Relianceの動詞ですね。。。確かに、内部統制に依拠しようとして、実は依拠できないと分かった時、監査人は「失望」はしますが、「裏切られた」とまでは思わないですね。。。なるほどです。。。

 

独立行政法人経済産業研究所

・2022.09.21 人工知能への信頼-リハビリテーション・ロボットを例に

・[PDF] 人工知能への信頼-リハビリテーション・ロボットを例に

20220923-01010

 

| | Comments (0)

2022.09.14

米国 MITRE Web3のセキュリティ確保とインターネットの未来への挑戦

こんにちは、丸山満彦です。

MITREが、Web3のセキュリティ確保とインターネットの未来への挑戦という論文を公表していますね。。。

中国等が中央集権的なインターネットガバナンスに対する対抗としてWeb3ということも考えられなくもないですが、どうなんでしょうかね。。。

 

MITRE

・2022.09.09 Securing Web3 and Winning the Battle for the Future of the Internet

政府が検討すべき3つの政策を提言していますね。。。

  1. Web3 に関する国家的なサイバーセキュリティのフレームワーク、標準、ベストプラクティスを開発する。
  2. サイバーセキュリティと金融犯罪の両側面における不利益を軽減するために、サイバー脅威の情報共有のための官民パートナーシップを確立する。
  3. 標準を支持し、監査に参加し、金融とサイバーセキュリティの要素の監視と報告を遵守する Web3 事業体に対してインセンティブを提供する。

 

Securing Web3 and Winning the Battle for the Future of the Internet Web3のセキュリティ確保とインターネットの未来への挑戦
The next generation of the internet, known as Web3, has the potential to revolutionize the role the internet plays in our personal and professional lives. And the reverberations of that transformation will be felt globally, disrupting our social, economic, and national security paradigms.  Web3と呼ばれる次世代インターネットは、インターネットが私たちの個人生活や職業生活に果たす役割を大きく変える可能性を秘めている。そして、その変革の余波は、社会、経済、国家安全保障のパラダイムを破壊し、グローバルに感じられるようになるだろう。 
Web3 transforms the architecture on which our current financial systems, telecommunications systems, and other foundational institutions operate. Web3 will bring together new networking technologies and economic infrastructure in a way that blurs the traditional boundaries of telecommunications and finance.  Web3は、現在の金融システム、通信システム、その他の基礎的な制度が運用されているアーキテクチャを変革する。Web3は、従来の通信と金融の境界を曖昧にするような形で、新しいネットワーク技術と経済インフラを融合させるだろう。 
The impact of such outcomes cannot be overstated, nor can the implications of who controls the internet. China seeks to dominate ever-larger portions of the world’s digital infrastructure and reshape internet governance around centralized authoritarian models. If such autocratic standards become the dominant force behind the internet of tomorrow, the world will likely become a less stable, more dangerous place, including efforts to compromise confidentiality, commit financial crimes, and deny or disrupt services, any of which can easily undermine Web3’s capabilities—and wreak havoc on our way of life. このような成果がもたらすインパクトは、誰がインターネットを支配するかという点においても、過大評価することはできない。中国は、世界のデジタル・インフラをこれまで以上に大規模に支配し、中央集権的な権威主義モデルを中心にインターネット・ガバナンスを再構築しようとしている。このような独裁的な基準が明日のインターネットを支える支配的な力となった場合、世界はおそらく安定性を欠き、より危険な場所となるだろう。機密性の侵害、金融犯罪、サービスの拒否や妨害など、Web3 の能力を容易に損ない、我々の生活に大打撃を与える可能性のあるあらゆる取り組みが行われるだろう。
The security of Web3 depends on a robust, government-led national strategy to maintain U.S. S&T leadership and ensure a democratic future for the internet. We need a national strategy to address the risks and opportunities a decentralized web brings.  Web3 のセキュリティは、米国の科学技術におけるリーダーシップを維持し、インターネットの民主的な未来を確保するための、政府主導の強固な国家戦略にかかっている。分散型ウェブがもたらすリスクとチャンスに対処するための国家戦略が必要である。 
MITRE’s call for a national strategy for securing Web3 offers three policy recommendations for government to consider:  MITRE の Web3 安全化のための国家戦略の呼びかけは、政府が検討すべき 3 つの政策提言を示している。 
1. Develop national cybersecurity frameworks, standards, and best practices for Web3  1. Web3 に関する国家的なサイバーセキュリティのフレームワーク、標準、ベストプラクティスを開発する。 
2. Establish a public-private partnership for cyber-threat information sharing to help mitigate detrimental outcomes for both cybersecurity and financial crimes aspects  2. サイバーセキュリティと金融犯罪の両側面における不利益を軽減するために、サイバー脅威の情報共有のための官民パートナーシップを確立する。 
3. Offer incentives to Web3 entities that support standards, participate in audits, and comply with monitoring and reporting of financial and cybersecurity components 3. 標準を支持し、監査に参加し、金融とサイバーセキュリティの要素の監視と報告を遵守する Web3 事業体に対してインセンティブを提供する。
This paper series offers an approach to developing this important strategy. MITRE provides key insights based on our experience working with federal agencies across the government on the generational arc of web technologies and the new, unique features of Web3. Additionally, these papers emphasize the critical need for individual privacy protections as the government considers assuming a leadership role in the Web3 community. 本論文シリーズは、この重要な戦略を策定するためのアプローチを提供する。MITRE は、Web 技術の世代交代と Web3 の新しいユニークな機能について、政府内の連邦機関と協力してきた経験に基づく重要な洞察を提供している。 さらに、これらの論文では、政府が Web3 コミュニティでリーダーシップをとることを検討する際に、個人のプライバシー保護が極めて重要であることを強調している。
This is exactly the type of problem MITRE takes on. Through our federally funded R&D centers and public-private partnerships, we work across the government and in collaboration with academic institutions and industry to tackle challenges to our nation’s safety, stability, and well-being.  Novel Web3 technologies must be secured against attackers who want to exploit this new internet architecture. Engineering such security cannot be an afterthought. If we can do more to engineer security into the web of tomorrow, we can better manage the threats and position Web3 for success as a powerful tool for economic growth and innovation. The time to start is now. これはまさに、MITREが取り組んでいる問題の一種である。連邦政府が出資する研究開発センターと官民パートナーシップを通じて、私たちは政府全体、学術機関、産業界と協力し、わが国の安全、安定、福祉に対する課題に取り組んでいる。  新しいWeb3テクノロジーは、この新しいインターネット・アーキテクチャを悪用しようとする攻撃者から保護されなければならない。このようなセキュリティの設計は、後回しにすることはできない。明日のウェブにセキュリティを組み込むことができれば、脅威をよりよく管理し、経済成長とイノベーションのための強力なツールとして Web3 を成功させることができる。今こそ始めるべき時である。

 

・2022.09.09 [PDF] Securing Web3 and Winning the Battle for the Future of the Internet

20220913-235616

 

Contents 目次
Executive Summary   エグゼクティブサマリー  
Introduction  はじめに 
Threat Model  脅威モデル 
Cybersecurity Framework and Standards  サイバーセキュリティ・フレームワークと標準 
Infrastructure Entities  インフラ事業者 
Financial Institutions and Centralized Exchanges  金融機関および中央集権的な取引所 
Decentralized Autonomous Organizations  分散型自律組織 
Interaction Layer and Endpoint Devices  インタラクションレイヤーとエンドポイントデバイス 
Threat Informed Defense and Information Sharing  脅威を考慮した防御と情報共有 
Threat Informed Defense for Web3  Web3のための脅威情報による防御 
Cyber Threat Information Sharing for Web3  Web3におけるサイバー脅威の情報共有 
Policy Recommendations  政策提言 
Recommendation 1: Develop cybersecurity frameworks, standards, and best practices  提言1:サイバーセキュリティのフレームワーク、標準、ベストプラクティスを開発する
Recommendation 2: Establish FinCEN threat-sharing partnership  提言2:FinCENの脅威共有パートナーシップを確立する 
Recommendation 3: Incentivize cybersecurity audits and compliance  提言3:サイバーセキュリティの監査とコンプライアンスを奨励する 
Conclusion  まとめ 
About the Authors  著者について 
Acknowledgements  謝辞 
Endnotes  巻末資料 

 

エグゼクティブサマリー

Executive Summary エグゼクティブサマリー
A battle is underway for the future of the Internet, with Chinese technology firms and the Chinese Communist Party actively seeking to dominate ever-larger portions of the world’s digital infrastructure and reshape Internet governance around centralized authoritarian models. There may be, however, elegant technical answers to some of these challenges: answers that could permit the next generation of web connectivity to operate in ways that both help catalyze another era of connectivity-facilitated growth and innovation and revolve around decentralized and “democratized” dynamics that would undermine the power and influence of the authoritarian Chinese technology stack. 中国のテクノロジー企業と中国共産党は、世界のデジタルインフラをより大きく支配し、中央集権的な権威主義モデルを中心にインターネットガバナンスを再構築しようと積極的に動いており、インターネットの未来をめぐる戦いが始まっている。それは、次世代のウェブ接続が、接続によって促進される新たな時代の成長と革新を促進し、権威主義的な中国のテクノロジー・スタックのパワーと影響力を弱める分散型「民主化」ダイナミクスを軸とした方法で動作することを可能にする答えである。
Web3 is the next generation of the Internet and will bring together new networking technologies and financial infrastructure in a way that blurs the traditional boundaries of telecommunications and finance, creating new decentralized and democratized models of network interaction built around the cryptographically secured autonomy of web users. For this to work, however, these novel web3 technologies need to be made secure against a range of non-state and state-level attackers, and engineering such security into web3 cannot be approached merely as an afterthought. Web3は次世代のインターネットであり、新しいネットワーキング技術と金融インフラを、従来の通信と金融の境界を曖昧にする方法で融合させ、暗号的に保護されたウェブユーザーの自治を中心に構築されたネットワーク交流の新しい分散化・民主化モデルを作り上げるだろう。しかし、このような新しいWeb3技術が機能するためには、非国家や国家レベルの攻撃者に対して安全である必要があり、Web3にそのようなセキュリティを工学的に組み込むことは、単に後付のアプローチとして行うことはできない。
This paper suggests how to approach the critical task of securing web3 against such adversaries. The web3 threat model must account for efforts to compromise confidentiality, such as mass surveillance by authoritarian governments of their populations’ financial transactions, exploitation of web3 infrastructure and services to enable fraud and illicit finance, and attacks against availability that deny or degrade web3 service access. Web3 must be resilient against organized crime and nation-state actors with vast resources and access to infrastructure. この論文では、このような敵対者からWeb3を保護するという重要なタスクにどのようにアプローチするかを提案する。Web3の脅威モデルは、権威主義的な政府による国民の金融取引の大規模な監視、詐欺や不正な金融を可能にするWeb3のインフラとサービスの悪用、Web3サービスへのアクセスを拒否または低下させる可用性に対する攻撃など、機密性を損なう取り組みを考慮しなければならない。Web3 は、膨大なリソースとインフラへのアクセスを持つ組織犯罪や国民国家のアクターに対するレジリエンスを備えている必要がある。
This will require new cybersecurity frameworks, standards, and best practices, and ones that will apply differently to different layers of the emerging web3 ecosystem: そのためには、新しいサイバーセキュリティのフレームワーク、標準、ベストプラクティス、そして新興のWeb3エコシステムの異なるレイヤーに異なる形で適用されるものが必要となる。
・ Blockchain infrastructure entities face both traditional and emerging cybersecurity threats and must securely provision, deploy, and manage their systems. ・ ブロックチェーンインフラストラクチャのエンティティは、従来のサイバーセキュリティの脅威と新たなサイバーセキュリティの脅威の両方に直面し、システムを安全にプロビジョニング、展開、管理する必要がある。
・ Financial services and centralized exchanges should comply with existing cybersecurity requirements for their industry and support existing threat finance requirements, such as know-your-customer (KYC), antimoney laundering (AML), and countering the financing of terrorism (CFT) policies. ・ 金融サービスと集中型取引所は、その業界の既存のサイバーセキュリティ要件に準拠し、KYC(本人確認)、資金洗浄防止(AML)、テロリストへの金融対抗(CFT)ポリシーなど、既存の脅威金融要件を支援する必要がある。
・ The web3 design must accommodate Decentralized Autonomous Organizations (DAOs), which are unique entities in the web3 space, and will need a growing set of smart contract cybersecurity audit and monitoring services, as well as emerging standards in contract design. ・ web3のデザインは、web3空間におけるユニークなエンティティである分散型自律組織(DAO)に対応しなければならず、契約デザインにおける新しい標準と同様に、スマート契約のサイバーセキュリティ監査および監視サービスの増大セットを必要とすることになる。
・ Endpoint devices and web3 platforms should meet existing web2 cybersecurity expectations. ・ エンドポイントデバイスとweb3プラットフォームは、既存のweb2サイバーセキュリティの期待に応える必要がある。
Advancing the ecosystem further necessitates cyber threat information (CTI) sharing in support of a broader threat-informed defense. Web3-specific extensions to frameworks such as STIX and MITRE ATT&CK® can help capture these ontologies. New and existing information-sharing partnerships can then take advantage of these interoperable formats to tackle cybersecurity and financial threats. エコシステムをさらに進化させるには、より広範な脅威情報に基づく防御を支援するサイバー脅威情報(CTI)の共有が必要である。STIX™ や MITRE ATT&CK® などのフレームワークに対する Web3 固有の拡張機能は、これらのオントロジーの取得を支援する。新規および既存の情報共有パートナーシップは、サイバーセキュリティと金融の脅威に取り組むために、これらの相互運用可能な形式を活用することができる。
As new policy is considered for web3, this paper offers the following specific policy recommendations: web3に関する新たな政策が検討されるにあたり、本論文では以下のような具体的な政策提言を行う。
・ The National Institute for Standards and Technology (NIST) should develop cybersecurity frameworks, standards, and best practices for web3. ・ 米国標準技術局(NIST)は、web3のためのサイバーセキュリティフレームワーク、標準、ベストプラクティスを開発する必要がある。
・ The U.S. Treasury’s Financial Crimes Enforcement Network (FinCEN) and the broader counter-threatfinance ecosystem should launch a new public-private partnership for CTI sharing that can help mitigate detrimental security and financial outcomes. ・ 米国財務省の金融犯罪取締ネットワーク(FinCEN)と広範な対脅威金融エコシステムは、セキュリティと金融の有害な結果を軽減するのに役立つCTI共有のための新しい官民パートナーシップを開始する必要がある。
・ Regulators and sector-specific agencies should incentivize web3 entities to support and participate in independent performance standards and associated audits covering financial transparency and reliability and cybersecurity, as well as transparent compliance mechanisms across the ecosystem through monitoring and reporting. ・ 規制当局とセクター固有の機関は、ウェブ3エンティティが、金融の透明性と信頼性、サイバーセキュリティ、および監視と報告によるエコシステム全体の透明なコンプライアンスメカニズムをカバーする独立したパフォーマンス基準と関連する監査を支援し、参加するようにインセンティブを与える必要がある。
For the U.S. government to take a leadership role in the web3 community, it is important to also implement appropriate protections for individual privacy while advancing these security objectives. 米国政府がweb3コミュニティにおいてリーダーシップを発揮するためには、これらのセキュリティ目標を推進する一方で、個人のプライバシーに対する適切な保護も実施することが重要である。

 

提言...

Policy Recommendations 政策提言
This section summaries a few key policy recommendations that can help energize the web3 cybersecurity community and get the ecosystem started off on the right foot. このセクションでは、Web3 のサイバーセキュリティコミュニティを活性化し、エコシステムを正しい方向に導くのに役立つ、いくつかの重要な政策提言を要約しています。
Recommendation 1: Develop cybersecurity frameworks, standards, and best practices  提言1:サイバーセキュリティのフレームワーク、標準、およびベストプラクティスを開発する 
NIST should develop a detailed cybersecurity framework for web3 technologies that focuses on building, deploying, and operating various aspects of the web3 stack. NIST は、web3 スタックの様々な側面の構築、展開、運用に焦点を当てた、web3 技術のための詳細なサイバーセキュリティフレームワークを開発すべきである。
NIST should develop standards for cybersecurity of blockchain infrastructure, through its Special Publication 800-series. NISTは、Special Publication 800シリーズを通じて、ブロックチェーンインフラストラクチャのサイバーセキュリティのための基準を開発する必要がある。
Through the National Cybersecurity Center of Excellence, NIST should partner with industry to prototype current and emerging web3 use cases and develop best practice guides for their secure deployment and operation. NISTは、ナショナル・サイバーセキュリティ・センター・オブ・エクセレンスを通じて、産業界と提携し、現在および新興のweb3のユースケースをプロトタイプ化し、その安全な展開と運用のためのベストプラクティス・ガイドを開発すべきである。
The NIST Privacy Framework should be extended to include guidelines on implementing decentralized identity protocols that allow citizens to port their identity credentials across application service providers and mitigate theft of personally identifiable information from security breaches. NIST プライバシーフレームワークを拡張して、国民がアプリケーションサービスプロバイダ間で ID クレデンシャルを移植し、セキュリティ侵害から個人を特定できる情報の盗難を軽減できるような分散型 ID プロトコルの実装に関するガイドラインを含める必要がある。
Recommendation 2: Establish FinCEN threat-sharing partnership 提言 2:FinCEN 脅威共有パートナーシップの確立
The U.S. Treasury Department’s FinCEN, in partnership with relevant federal law enforcement agencies, the Office of Cybersecurity and Critical Infrastructure Protection, and financial regulators, should launch a new public-private partnership focused on building out the CTI sharing ecosystem for web3, including both the cybersecurity and financial crimes aspects. This new partnership should work closely with the relevant ISACs and other stakeholders to develop the data sharing standards, processes, and tools to support real-time sharing and analysis of web3-related CTI. Opportunities to engage with international law enforcement agencies should also be explored here to help address the transnational dimensions of the threat landscape. 米国財務省の FinCEN は、関連する連邦法執行機関、サイバーセキュリティ・重要インフラ保護室、および金融規制当局と連携して、サイバーセキュリティと金融犯罪の両方の側面を含む、Web3 の CTI 共有エコシステムの構築に焦点を当てた新しい官民パートナーシップを立ち上げる必要がある。この新しいパートナーシップは、関連する ISAC や他の利害関係者と緊密に連携し、Web3 関連の CTI のリアルタイムの共有と分析をサポートするデータ共有基準、プロセス、ツールを開発する必要がある。また、脅威の状況の国境を越えた次元に対処するために、国際的な法執行機関と協力する機会も検討されるべきである。
Recommendation 3: Incentivize cybersecurity audits and compliance 提言3:サイバーセキュリティの監査とコンプライアンスを奨励する
DHS, in partnership with the Department of the Treasury, should develop a program to monitor infrastructure security for major blockchains and core web3 infrastructure. By publishing this data, infrastructure operators can be motivated to ensure their systems are up to date and secure. DHSは財務省との協力の下、主要なブロックチェーンとコアWeb3インフラのインフラセキュリティを監視するプログラムを開発すべきである。このデータを公表することで、インフラ事業者はシステムを最新の状態にし、安全性を確保するよう動機付けることができる。
As the CFTC and SEC pick up the regulatory reins for the cryptocurrency infrastructure within web3, they should incentivize normalization of smart contract security auditing by requiring it as part of mandatory disclosures and periodic reporting. CFTCとSECがweb3内の暗号通貨インフラに対する規制の手綱を握ると、開示義務や定期報告の一部として義務付けることで、スマートコントラクトのセキュリティ監査の正常化を奨励すべきである。
Regulated entities under CFTC and SEC should be covered entities under the Cyber Incident Reporting for Critical Infrastructure Act of 2022 and be required to report breaches. CFTCとSECの規制対象団体は、重要インフラ・サイバーインシデント報告法2022年法の対象団体とし、違反の報告を義務付けるべきである。

 

 


インターネットガバナンス論については、以下も参考になります。。。きっと。。。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.07 デジタル政策フォーラム 「インターネットを巡る”国家主権”と”サイバー主権”」 by 谷脇さん

・2022.07.30 インターネットガバナンスに関する論文と中国の世界インターネット会議

・2022.05.24 バイデン大統領の訪日に伴う一連のホワイトハウスの発表

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2020.08.20 ロシアからインターネットを見たら、インターネットの国際的な枠組みを作りたくなりますよね。。。

 

ぐっと遡って...

・2005.09.29 経団連 インターネットガバナンスのあり方について

・2005.03.19 インターネットの管理体制、災害対策などめぐり議論 GIIC年次総会

・2004.12.01 インターネットガバナンスって何だ

 

Web3については、、、

・2022.07.27 米国 FBIによるNFT取引の留意事項... (2022.07.22)

インドのこのガイドは興味深いです。。。

・2022.07.19 インド データセキュリティ評議会 Web 3.0 - The Internet of the New Era (2022.07.06)

・2022.07.14 総務省 「Web3時代に向けたメタバース等の利活用に関する研究会」の開催

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

 

 

 

| | Comments (0)

2022.09.08

中国 デジタル村標準システム構築ガイド (2022.0901)

こんにちは、丸山満彦です。

中国のサイバースペース管理局がデジタル村標準システム構築ガイドを公表していましたね。。。デジタルの力を使って国をまとめるというチャレンジなんでしょうね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.09.01 中央网信办等四部门关于印发《数字乡村标准体系建设指南》的通知

中央网信办等四部门关于印发《数字乡村标准体系建设指南》的通知 中央インターネット情報室など4部門による「デジタル村標準システム構築ガイド」の発行に関する通知

 

 ・[PDF] 数字乡村标准体系建设指南

20220908-44827

 

・[DOCX] 仮訳

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.04 中国 デジタルチャイナ開発報告書(2021年)

・2022.04.27 中国 デジタル村開発業務の要点 (2022.04.20)

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表していますね。。。

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

・2021.09.06 中国 デジタル村建設ガイド1.0

 

 

 

| | Comments (0)

2022.08.22

英国政府 データ倫理・イノベーションセンター「自動運転車における責任あるイノベーション」

こんにちは、丸山満彦です。

英国政府のコネクティッド・自動運転車センター (Centre for Connected and Autonomous Vehicles: CCAV) は2022.08.19に「コネクティッド・自動運転車 2025:自動運転車のベネフィットの実現 ([PDF] Connected and automated mobility 2025: realising the benefits of self-driving vehicles) 」を発表し、同時にデータ倫理・イノベーションセンター (Centre for Data Ethics and Innovation’s: CDEI) が、「自動運転車における責任あるイノベーション  (Responsible Innovation in Self-Driving Vehicles report
) 」を発表しています。。。

自動運転車・無人運転車の社会実装に向けての英国の取り組みで、参考になりますね。。。EUから離脱して、大変な面もあるとは思うのですが、英国のような実力のある国の場合は、むしろスピード感を持って規制のあり方も含めてグローバルな方向性を決めることもできるので、色々とやりやすくなったのかもしれませんね。。。

さて、、、データ倫理・イノベーションセンターの「自動運転車における責任あるイノベーション」の文書はこちら...

● Centre for Data Ethics and Innovation

・2022.08.19 

・2022.08.19 Policy paper Responsible Innovation in Self-Driving Vehicles

Responsible Innovation in Self-Driving Vehicles 自動運転車における責任あるイノベーション
The CDEI has published a report that sets out proposals for a trustworthy approach to the regulation and governance of self-driving vehicles. CDEIは、自動運転車の規制とガバナンスに対する信頼性の高いアプローチに関する提案を示した報告書を発表した。
Documents 文書
[HTML] 自動運転車における責任あるイノベーション
[PDF] Responsible Innovation in Self-Driving Vehicles: Annex - Regulatory ecosystem 自動運転車の責任あるイノベーション 附属書:規制のエコシステム
Details 詳細
The CDEI was commissioned by the Centre for Connected and Autonomous Vehicles (a joint policy unit within  the Department for Transport and the Department for Business, Energy & Industrial Strategy), to provide expert advice to inform the future regulation and governance of self-driving vehicles. The CDEI’s recommendations in this report directly support, the government’s ‘Connected and Automated Mobility 2025: Realising the benefits of self-driving vehicles in the UK’ - a roadmap which commits to developing a new legislative framework to build trust in self-driving vehicles while enabling innovation. データ倫理・イノベーションセンター (CDEI) は、コネクティッド・自動運転車センター (CCAV) (運輸省とビジネス・エネルギー・産業戦略省の共同政策ユニット)の委託を受け、自動運転車の将来の規制とガバナンスに情報を提供するために専門家の助言を得ている。本報告書におけるCDEIの提言は、政府の「コネクッティッド・自動移動 2025」を直接的にサポートする。このロードマップは、イノベーションを可能にしながら自動運転車に対する信頼を築くための新たな法的枠組みの開発を約束する。
Next steps 次のステップ
This report will inform the work of the Centre for Connected and Autonomous Vehicles as they develop primary and secondary legislation in this area.  As they start to implement the new legislative and regulatory frameworks for self-driving vehicles, we will continue to support their development. 本報告書は、コネクティッド・ 自動運転車センターがこの分野の一次法および二次法を策定する際の参考となる。  自動運転車に関する新たな法規制の枠組みの導入が始まれば、我々はその発展を引き続き支援していく。

 

で、推奨事項要約は、、、

  政策立案者への提言 認定自動運転事業者(ASDE)、無人運転運用者 (NUiC operator) 、および試行組織に対する推奨要件
交通安全 認可当局は、規制当局と連携して、自動運転車に関する道路規則(RR)のガイダンスを開発し、公表すること。 運用設計領域(ODD)は、関連する道路規則と整合性があり、運用設計領域内で合理的に予想される交通弱者を含むすべてのクラスの道路利用者をカバーするすべきである。
認可機関は、認定自動運転事業者が配備された自動運転車の更新を供給する前に、自動運転車性能のどのような変更が再認可を必要とするほど重要であるかを決定するスキームを定義すること。 認定自動運転事業者は、自動運転車の設計と挙動を支配するハイレベルな原則を定めた「安全かつ倫理的な運用概念」(SEOC)を定義すべきである。
データプライバシー 自動運転車規制当局は、情報コミッショナーオフィスと協議の上、認定自動運転事業者と無人運転運用者に対して、データ保護義務が自動運転車にどのように適用されるかを明確にするガイダンスを発行すべきである。 英国のGDPRに従い、認定自動運転事業者と無人運転運用者は、自動運転車の周囲のビデオに不可避的に写り込む顔画像データを収集した時点で、さらに処理する前に匿名化するなど、「設計およびデフォルトによるデータ保護」対策が自動運転車開発プロセス全体に組み込まれることを保証すること。
内務省は、捜査権法2016が認定自動運転事業者と無人運転運用者にどのように適用されるかを明確にするガイダンスを発行すべきである。  
公平性 自動運転車倫理・安全合同委員会の助言を受けた規制当局は、運用者へのフィードバックと集団学習を可能にするために、公正さと安全性の結果に関するデータを収集すべきである。 認定自動運転事業者は、アルゴリズムによるバイアスのリスクを最小化するために、トレーニングデータと運用設計領域の適合性を、認可プロセスで提出される平等影響評価とセーフティケースレポートの一部として報告すべきである。
認可当局と免許当局は、認可と免許の決定の一部として、自動運転車サービスがアクセスの点で非差別的であることを保証すべきである(例:誰が乗客になれるか、誰がサービスにアクセスできるか)。 認定自動運転事業者 は、リスクとバイアスの独立した精査を促進し、リスクの分布を評価できるようにすべきである。
説明可能性 自動運転車倫理・安全合同委員会(後述)は、規制監督に必要な説明可能性の度合いを見直すべきである。 認定自動運転事業者は、動的運転タスク(DDT)中に行われた重要な決定について、通知される事象に至るまでの説明を構築できるように自動運転車を設計するべきである。
衝突、ニアミス、その他の通知すべき事象については、その事象に至るまでの自動運転車の主要な判断について、どのように発生したかを説明できるように、認定自動運転事業者は自動運転車を設計すべきである。
データ共有 安全関連データの開示は、認定自動運転事業者間で標準化されるべきである。使用中の規制当局は、認定自動運転事業者、認可当局、衝突調査ユニット間の共有を容易にするため、安全関連データの一貫した形式を定義すべきである。 認定自動運転事業者 は、認可当局と協議の上、「安全かつ倫理的な運用コンセプト」 の概要を公表し、車両の自動運転が認可された時点で一般に自由に入手できるようにすること。
認定自動運転事業者 と 無人運転運用者は、交通安全に寄与する場合、他の 認定自動運転事業者、使用中の規制当局、認可当局、衝突調査部門など、自動運転車 エコシステムの他の組織から要請があれば、合意されたデータ形式を用いて安全関連データを伝達すべきである。
社会的信頼 コネクティッド・自動運転車センターは、以下のことについて一般市民の意見を求めるために、公開対話と社会調査を継続的に委託すべきである。自動運転車のリスクと利益の配分、インフラや交通ルールの将来の変更とそれに伴うコスト、自動運転車による意思決定の説明可能性、車両のラベリング。 認定自動運転事業者 と 無人運転運用者は、特定の地域で 自動運転車 の試行が計画されている場合、自治体を含む地域社会と連携すべきである。[脚注 10] この連携は、試験や配備に反映されるべきである(例:時間、場所、公共情報、最高速度などに関する条件の設定など)。
公道での試験が事実上の配備となった場合、例えば安全運転者の排除、車両数の大幅な増加、顧客輸送の開始などにより、監視を強化し、安全評価を更新すべきである。 自動運転車は明確にラベル付けされるべきである。車両が自走する能力と従来通りの運転が異なる場合、信号で運転状態を示すべきである。この外部ラベリングは、運転モードを明確に示す車内情報に加えられるべきである。
ガバナンス 認可当局と使用規制当局は、自動運転車倫理・安全合同委員会(CAVES)を設立し、自動運転車の安全性に関する政策と倫理的問題について、議論のあるアドバイスと勧告を提供するべきである。 自動運転車倫理・安全合同委員会は、多様な視点を持つ専門家と一般会員で構成されるべきである。  

 

・[DOCX] 仮訳

 

 

 

でも、上記文書に関連するニュースリリース

U.K. Government -:Department for Transport, Department for Business, Energy & Industrial Strategy, Centre for Connected and Autonomous Vehicles , Centre for Data Ethics and Innovation, The Rt Hon Kwasi Kwarteng MP, and The Rt Hon Grant Shapps MP

 

・2022.08.19 Self-driving revolution to boost economy and improve road safety

Self-driving revolution to boost economy and improve road safety 自動運転革命が経済を活性化し、交通安全を向上させる
New plan for self-driving vehicles plus a consultation on a safety ambition. 自動運転車の新計画に加え、安全性の追求に関する意見募集も実施
・government unveils plan to rollout self-driving vehicles on UK roads, sparking a transport revolution to improve road safety and better connect communities ・政府は、英国の道路に自動運転車を導入する計画を発表し、交通安全を向上させ、コミュニティをより良くつなげるための交通革命を呼び起こす。
・estimated 38,000 new jobs could be created in the UK from predicted £42 billion industry ・推定420億ポンドになる産業から、英国で38,000人の新規雇用が創出される可能性があると試算。
・backed by £100 million to support industry investment and fund research on safety developments ・産業界への投資と安全性向上のための研究資金として、1億ポンドを拠出。
UK roads could see self-driving vehicles rolled out by 2025 thanks to new government plans – backed by £100 million – which prioritise safety through new laws and create thousands of new jobs in the industry. 英国の道路では、1億ポンドの支援を受けた政府の新計画により、2025年までに自動運転車が普及する可能性がある。この計画は、新しい法律により安全を優先させ、業界で数千の新規雇用を創出する。
Some vehicles, including cars, coaches and lorries, with self-driving features could be operating on motorways in the next year, and today’s (19 August 2022) plans set out new legislation which will allow for the safe wider rollout of self-driving vehicles by 2025. This enables the UK to take full advantage of the emerging market of self-driving vehicles – which could create up to 38,000 jobs and could be worth an estimated £42 billion. 自動車、コーチ、ローリーなど、自動運転機能を搭載した一部の車両は、来年には高速道路で走行できるようになる。本日(2022年8月19日)の計画では、2025年までに自動運転車を安全に広く普及させるための新しい規則が定められた。これにより、英国は、最大38,000人の雇用を創出し、推定420億ポンドの価値があるとされる自動運転車の新興市場を最大限に活用することができる。
The government’s vision for self-driving vehicles is backed by a total of £100 million, with £34 million confirmed today for research to support safety developments and inform more detailed legislation. This could include researching the performance of self-driving cars in poor weather conditions and how they interact with pedestrians, other vehicles, and cyclists. 自動運転車に関する政府のビジョンは、総額1億ポンドで支援され、安全性の開発を支援し、より詳細な法律に反映させるための研究に対して、本日3,400万ポンドを拠出することが確定した。これには、悪天候下での自動運転車の性能や、歩行者、他の車両、自転車との相互作用の研究などが含まれるだろう。
The government is also today confirming £20 million, as part of the overall £100 million, to help kick-start commercial self-driving services and enable businesses to grow and create jobs in the UK, following an existing £40 million investment. Successful projects could help see, for example, groceries delivered to customers by self-driving vehicles, or shuttle pods assisting passengers when moving through airports. £6 million will also be used for further market research and to support commercialisation of the technology. また、政府は本日、1億ポンドのうち、既存の4,000万ポンドに続き、自動運転の商用サービスを開始し、英国でのビジネスの成長と雇用創出を可能にするための2,000万ポンドを確定した。プロジェクトが成功すれば、例えば、自動運転車による食料品の配達や、空港での移動時に乗客をサポートするシャトルポッドなどが実現する可能性がある。また、600万ポンドはさらなる市場調査や技術の商業化を支援するために使用される予定である。
Self-driving vehicles could revolutionise public transport and passenger travel, especially for those who don’t drive, better connect rural communities and reduce road collisions caused by human error. Further in the future, they could, for example, provide tailored on-demand links from rural towns and villages to existing public transport options nearby. They could also provide more direct and timely services that enable people to better access vital services such as schools and medical appointments. 自動運転車は、公共交通機関や乗客の移動、特に運転しない人の移動に革命をもたらし、地方のコミュニティをより良く結び、ヒューマンエラーによる道路衝突事故を減らすことができる。さらに将来的には、例えば、地方の町や村から近隣の既存の公共交通機関へのオンデマンドな接続を提供できるようになるかもしれません。また、学校や医療機関などの重要なサービスをよりダイレクトに、よりタイムリーに利用できるようになる可能性もある。
Vehicles that can drive themselves on motorways could be available to purchase within the next year, which users would need a valid driving licence for, so they can drive on other roads. Other self-driving vehicles, for example used for public transport or delivery, expected on the roads by 2025, would not need anyone onboard with a driving licence because they would be able to drive themselves for the whole journey. 高速道路を自動運転する車両は、来年中に購入できるようになる可能性があり、この利用者は有効な運転免許証を取得して、他の道路を運転できるようになる。 その他の自動運転車、例えば公共交通機関や配達に使用される車両は、2025年までに道路上で使用される予定だが、全行程を自分で運転することができるため、運転免許証を持つ人を乗せる必要はない。
Transport Secretary Grant Shapps said: グラント・シャップス運輸大臣は次のように述べている。
The benefits of self-driving vehicles have the potential to be huge. Not only can they improve people’s access to education and other vital services, but the industry itself can create tens of thousands of job opportunities throughout the country. 自動運転車のメリットは非常に大きい。教育やその他の重要なサービスへのアクセスを改善できるだけでなく、この産業自体が国内全域で何万もの雇用機会を創出することができる。
Most importantly, they’re expected to make our roads safer by reducing the dangers of driver error in road collisions. 最も重要なのは、運転手のミスによる交通事故の危険性を減らすことで、道路をより安全にすることが期待されている。
We want the UK to be at the forefront of developing and using this fantastic technology, and that is why we are investing millions in vital research into safety and setting the legislation to ensure we gain the full benefits that this technology promises. 我々は、英国がこの素晴らしい技術の開発と利用の最前線に立つことを望んでいる。そのために、安全性に関する重要な研究に数百万ドルを投資し、この技術が約束する利益を完全に得られるように法整備を進めている。
The government is today consulting on a ‘safety ambition’ for self-driving vehicles to be as safe as a competent and careful human driver. This ambition would inform standards that vehicles need to meet to be allowed to ‘self-drive’ on the roads, and organisations, such as manufacturers, could face sanctions if standards are not met. 政府は本日、自動運転車が有能で慎重な人間のドライバーと同等の安全性を確保するための「安全性の追求」について意見募集をしている。この追求は、道路での「自動運転」を許可するために車両が満たすべき基準を示すものであり、基準を満たさない場合、メーカーなどの組織は制裁を受ける可能性がある。
The new laws for the safe rollout of self-driving vehicles by 2025 will be brought forward when parliamentary time allows. 2025年までに自動運転車を安全に普及させるための新しい法律は、国会の時間が許す限り、前倒しで制定される予定である。
The legislation will build on existing laws, and state that manufacturers are responsible for the vehicle’s actions when self-driving, meaning a human driver would not be liable for incidents related to driving while the vehicle is in control of driving. この法律は、既存の法律をベースに、メーカーが自動運転時の車両の行動に責任を持つことを明記し、車両が運転を制御している間の運転に関する事故について、人間のドライバーは責任を負わないことを意味する。
Business Secretary Kwasi Kwarteng said: クワシー・クワルテン商務長官は次のように述べている。
Self-driving vehicles have the potential to revolutionise people’s lives, particularly by helping those who have mobility issues or rely on public transport to access the jobs, local shops and vital services we all depend on. 自動運転車は、人々の生活に革命をもたらす可能性がある。特に、移動に問題を抱えている人や公共交通機関に依存している人が、仕事や地元の店、我々全員が依存している重要なサービスにアクセスするのを助けることで、人々の生活を向上させることができる。
This funding will help unlock the incredible potential of this industry, attracting investment, developing the UK’s growing self-driving vehicle supply chain, and supporting high-skill jobs as these new means of transport are rolled out. この資金は、この産業の驚くべき可能性を解き放ち、投資を呼び込み、英国で成長する自動運転車のサプライチェーンを発展させ、これらの新しい交通手段が展開される中で高い技能を持つ雇用を支援する。
AA president, Edmund King, said: AA会長のエドモンド・キングは、次のように述べている。
The automotive world is changing rapidly and so the government is right to embrace the positive changes offered by this new technology and back it by funding research and putting forward legislation. Assisted driving systems, for example, autonomous emergency braking and adaptive cruise control, are already helping millions of drivers stay safe on the roads. 自動車業界は急速に変化しているため、政府がこの新技術がもたらす前向きな変化を受け入れ、研究に資金を提供し、法律を制定して支援することは正しいことである。運転支援システム、例えば自律型緊急ブレーキやアダプティブ・クルーズ・コントロールは、すでに何百万人ものドライバーの道路での安全確保に役立っている。
It is still quite a big leap from assisted driving, where the driver is still in control, to self-driving, where the car takes control. It is important that the government does study how these vehicles would interact with other road users on different roads and changing weather conditions. However the ultimate prize, in terms of saving thousands of lives and improving the mobility of the elderly and the less mobile, is well worth pursuing. しかし、運転手がコントロールする運転支援から、クルマがコントロールする自動運転への飛躍は、まだまだこれからである。政府は、さまざまな道路や天候の変化の中で、これらの車が他の道路利用者とどのように相互作用するかを研究することが重要である。しかし、何千人もの命を救い、高齢者や体の不自由な人の移動を改善するという点で、究極の賞は追求する価値がある。
Today also sees the publication of the Centre for Data Ethics and Innovation’s (CDEIResponsible Innovation in Self-Driving Vehicles report, which sets out proposals for a trustworthy approach to the regulation and governance of self-driving vehicles. また、本日、データ倫理・イノベーションセンター(CDEI)のレポート「自動運転車における責任あるイノベーション」が発表され、自動運転車の規制とガバナンスに対する信頼できるアプローチについての提案が示された。

 

で、意見募集(コンサルテーション)をしているのは、こちら・・・

・[PDF] Connected & Automated Mobility 2025: Realising the benefits of self-driving vehicles in the UK

20220821-162126

Foreword 序文
1. Introduction 1. はじめに
1.1 Government’s vision for CAM 1.1 コネクテッド ・自動運転モビリティ (CAM) に対する政府のビジョン
1.2 Why is CAM Important? 1.2 なぜCAMが重要なのか?
1.3 A Note on Language 1.3 言語に関する注意
1.4 Territorial Extent 1.4 領域の範囲
1.5 Consultation – What We’re Asking 1.5 意見募集 - 私たちが求めるもの
1.6 Consultation Principles 1.6 意見語集の原則
1.7 Freedom of Information 1.7 情報の自由
1.8 Privacy Notice 1.8 プライバシーに関する通知
2. Ensuring Safety and Security 2. 安全・安心の確保
2.1 Building the Evidence Base 2.1 証拠ベースの構築
2.2 A new safety framework 2.2 新しい安全性の枠組み
3. Securing the industrial and economic benefits of CAM 3. CAMの産業・経済的メリットの確保
3.1 Responding to the call for evidence on the future of connected and automated mobility in the UK 3.1 英国におけるCAMの未来に関する証拠収集への対応
3.2 Supporting industry’s transition to commercialisation 3.2 産業界の商業化への移行を支援する
3.3 CAM Trade & Investment 3.3 CAMの貿易と投資
4. Delivering the Societal Benefits of CAM 4. CAMの社会的便益の実現
4.1 Future of Transport 4.1 トランスポートの未来
4.2 Developing CAM with the public 4.2 一般市民とのCAMの発展
4.3 Integrating with Wider Networks 4.3 より広いネットワークとの統合
4.4 Environment 4.4 環境
Annex  附属書
A: Government Departments and Agencies A: 政府部局と機関
B: Glossary & Abbreviations B: 用語集と略語
C: Full list of Law Commissions' Recommendations C: 法制委員会の推奨事項全リスト
D: Detailed comment on the Law Commissions' Recommendations D: 法制委員会勧告の詳細コメント
E: The self-driving story so far E: 自動運転に関するこれまでの経緯
F: Summary of findings for the BEIS call for evidence on the future of UK CAM F: 英国CAMの将来に関するビジネス・エネルギー・産業戦略省 (BEIS) の証拠収集のための調査結果の概要

 

2019年に公表された、[PDF] Future of Mobility: Urbam Strategy に示された9つの原則が再掲されていますね。。。英国の場合は、この原則をベースに議論が進んでいるということは理解しておく必要があると思います。

Nine key principles from the Future of Mobility: Urban Strategy モビリティの未来に向けた9つの重要な原則:都市戦略
In facilitating innovation in urban mobility for freight, passengers and services, the Government’s approach will be underpinned as far as possible by the following Principles: 貨物、旅客、サービスのための都市型モビリティの革新を促進する上で、政府のアプローチは、可能な限り以下の原則に裏打ちされたものとする。
1. New modes of transport and new mobility services must be safe and secure by design. 1. 新しい輸送手段と新しいモビリティサービスは、設計上、安全かつ確実でなければならない。
2. The benefits of innovation in mobility must be available to all parts of the UK and all segments of society. 2. モビリティにおけるイノベーションの恩恵は、英国のすべての地域と社会のすべての層が享受できるものでなければならない。
3. Walking, cycling and active travel must remain the best options for short urban journeys. 3. 歩行、自転車、アクティブ・トラベル(人力による移動)は、都市の短距離移動のための最良の選択肢であり続けなければならない。
4. Mass transit must remain fundamental to an efficient transport system. 4. 大量輸送は効率的な交通システムの基本であり続けなければならない。
5. New mobility services must lead the transition to zero emissions. 5. 新しいモビリティサービスがゼロエミッションへの移行をリードしなければならない。
6. Mobility innovation must help to reduce congestion through more efficient use of limited road space, for example through sharing rides, increasing occupancy or consolidating freight. 6. モビリティの革新は、限られた道路空間をより効率的に利用することで渋滞を緩和するものでなければならない。例えば、乗り物の共有、占有率の向上、貨物の集約化などである。
7. The marketplace for mobility must be open to stimulate innovation and give the best deal to consumers. 7. モビリティの市場は、イノベーションを刺激し、消費者に最良の取引をするために、オープンでなければならない。
8. New mobility services must be designed to operate as part of an integrated transport system combining public, private and multiple modes for transport users. 8. 新しいモビリティサービスは、公共交通機関、民間交通機関、複数の交通手段を組み合わせた統合交通システムの一部として運用されるように設計されなければならない。
9. Data from new mobility services must be shared where appropriate to improve choice and the operation of the transport system. 9. 新しいモビリティサービスからのデータは、選択肢と交通システムの運用を改善するために、適切な場合には共有されなければならない。

 

 

・2019.03.16 Future of mobility: urban strategy

・[PDF

20220821-225402

 


 

法制委員会による自動運転車についての発表

U.K. Law Commission

Law-commission

・2022.01.26 Legal reforms to allow safe introduction of automated vehicles announced

・2021.07.02 Responses to Automated Vehicles consultation paper 3

・2020.12.18 Comprehensive regulatory framework for self-driving vehicles proposed to Government

・2020.05.20 Responses to Automated Vehicles consultation paper 2

・2020.05.20 Responses to consultation show future for self-driving passenger vehicles

・2019.10.16 Law Commissions looks to future with self-driving vehicles

・2019.06.19 Law Commissions’ analysis of responses to automated vehicle consultation points to the way forward

・2019.06.18 Responses to the Automated Vehicles consultation 2018-19

Project: Automated Vehicles

| | Comments (0)

2022.07.12

IPA 情報セキュリティ白書2022

こんにちは、丸山満彦です。

2022.07.15から書籍版が販売ということのようです。。。

情報セキュリティ白書は2008年から続いていますから、今年で15周年ですね。。。

サブタイトルが、「ゆらぐ常識、強まる脅威:想定外に立ち向かえ」となっていますね。。。

 

IPA

・2022.07.11 情報セキュリティ白書2022 7月15日発売(予定)

20220711-214649

 


情報セキュリティ分野の動向を反映した最新刊のおすすめトピックは以下の通りです。

  • 内部不正防止対策の動向
  • 個人情報保護法改正
  • クラウドの情報セキュリティ
  • 中小企業に向けた情報セキュリティ支援策
  • 米国の政策(重要インフラに対する脅威動向、情報発信の規制と課題など)
  • 欧州の政策(サイバーセキュリティおよびセキュリティガバナンスに関する政策、GDPRの運用状況など)

 

目次...

序章 2021年度の情報セキュリティの概況
第1章 情報セキュリティインシデント・脆弱性の現状と対策
1.1 2021年度に観測されたインシデント状況
1.2 情報セキュリティインシデント別の手口と対策
1.3 情報システムの脆弱性の動向
第2章 情報セキュリティを支える基盤の動向
2.1 国内の情報セキュリティ政策の状況
2.2 国外の情報セキュリティ政策の状況
2.3 情報セキュリティ人材の現状と育成
2.4 組織・個人における情報セキュリティの取り組み
2.5 情報セキュリティの普及啓発活動
2.6 国際標準化活動
2.7 安全な政府調達に向けて
2.8 その他の情報セキュリティ動向
第3章 個別テーマ
3.1 制御システムの情報セキュリティ
3.2 IoTの情報セキュリティ
3.3 クラウドの情報セキュリティ
3.4 米国・欧州の情報セキュリティ政策
付録 資料・ツール
資料A 2021年のコンピュータウイルス届出状況
資料B 2021年のコンピュータ不正アクセス届出状況
資料C ソフトウェア等の脆弱性関連情報に関する届出状況
資料D 2021年の情報セキュリティ安心相談窓口の相談状況
IPAの便利なセキュリティツール
第17回 IPA「ひろげよう情報モラル・セキュリティコンクール」2021 受賞作品

 

情報セキュリティ白書

過去のバックアップ

年度 サブタイトル 全文
2022 ゆらぐ常識、強まる脅威:想定外に立ち向かえ  
2021 進むデジタル、広がるリスク:守りの基本を見直そう PDF
2020 変わる生活、変わらぬ脅威:自らリスクを考え新しい行動を PDF
2019 新しい基盤、巧妙化する攻撃:未知のリスクに対応する力 PDF
2018 深刻化する事業への影響:つながる社会で立ち向かえ PDF
2017 広がる利用、見えてきた脅威:つながる社会へ着実な備えを  
2016 今そこにある脅威:意識を高め実践的な取り組みを  
2015 サイバーセキュリティ新時代:あらゆる変化へ柔軟な対応を  
2014 もはや安全ではない:高めようリスク感度  
2013 つながる機器に広がる脅威:求められる一人ひとりの意識の向上  
2012 狙われる機密情報:求められる情報共有体制の整備  
2011 広がるサイバー攻撃の脅威:求められる国際的な対応  
2010 広まる脅威・多様化する攻撃:求められる新たな情報セキュリティ対策  
2009 岐路に立つ情報セキュリティ対策:求められるIT活用との両立  
2008 脅威が見えない脅威-求められるプロアクティブな対策  

 

Continue reading "IPA 情報セキュリティ白書2022"

| | Comments (0)

2022.06.23

自己保存欲を学習したAIの行く末

こんにちは、丸山満彦です。

ちょっと、朝起きて思いついたことを文献調査もせずに忘れないようにと思い、書いているだけです。。。すみません。。。

AIが自動的に自己保存 (self-preservation) 欲を得るというのは難しいかもしれませんが、AIを搭載したロボットのようなものに、自己保存欲を学習させることは可能かもしれません。。。もちろん、自己保存欲をどのようにして学習させるのか?という問題はあります。。。(例えば、ロボットに何かの事象を与え、そのロボットの機能が減ればマイナスのポイントを与え、ロボットが自分で減った機能を復元あるいは強化すればプラスのポイントを与え、、、というようなことをシミュレーションさせ続けるような感じかなぁ、、、。でも、計算量が多すぎて電力足らないか、、、)

でももし、自己保存欲を持った自律型ロボットのようなものができ、複数種類のそのようなロボットを、自己再生が十分にできる環境に置いた場合、どのようなことが起こるのかということをシミュレーションとかはできるような気がしました。。。

どういうことが起こるのですかね。。。

Fig1_20220623060901

| | Comments (0)

一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)

こんにちは、丸山満彦です。

一般社団法人セキュアドローン協議会が「ドローンセキュリティガイド 第3版」を 2022.06.16に公開していましたね。。。

2018.03.18に第1版、2021.04.01に第2版を出していますが、その後2022.03.31に経済産業省が、「無人航空機を対象としたサイバーセキュリティガイドライン」を策定していまし、機体登録制度も始まっていますし、、、それも踏まえての改訂なんでしょうね。。。

一般社団法人セキュアドローン協議会はBig4ではデロイトが会員ですね。私が関わっていた頃には入会していなかったので、最近なんですかね。。。

 

一般社団法人セキュアドローン協議会

・2022.06.16 セキュアドローン協議会、『ドローンセキュリティガイド 第3版』公開


【本セキュリティガイドの概要】

本セキュリティガイドの策定を通して、信頼できるドローンの安心安全な操作環境とデータ送信環境を確立していくための指標を提言しています。
産業用ドローンが普及していくためには、情報処理においてこれまで配慮されてきた情報セキュリティ対策や、最新のIoT関連のセキュリティ技術との連携が重要になり、ドローンにおけるセキュリティリスク、機体制御、機体管理、ドローン機器、通信、アプリケーションやクラウドなどドローンソリューション全体におけるセキュリティ、ドローン機体メーカー、ドローンサービス提供事業者、ドローン活用ユーザそれぞれのとるべきセキュリティ対策要件など産業利用における指標を記述しています。

【本セキュリティガイドの主な改定内容】

  • クラウドを使用したドローンの認証例
  • リモートIDについて
  • ドローン関連サービス、プロトタイプ開発事例

ドローンセキュリティガイド

ドローンセキュリティガイド第3版 ダウンロードフォーム

20220622-160437

 

変更箇所は、


以下の章の追記ならびに修正。

5.3. クラウドを使用したドローンの認証例
7. リモート ID について
8. ドローン関連サービス、プロトタイプ開発事例
9.業務運用に関する注意点


 


関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.08 NATO CCDCOE 武力紛争時のプライバシーとデータ保護の権利

・2022.05.11 インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.26 米国 White House ドローン対策国家計画

・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

・2022.04.07 経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.09.04 英国 ブレグジット後のグローバルデータ計画 at 2021.08.26

・2021.06.26 欧州委員会 合同サイバーユニットを提案

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.13 米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。


 

 

Continue reading "一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)"

| | Comments (0)

2022.05.09

ドイツ ITセキュリティラベル for 消費者向けスマート製品

こんにちは、丸山満彦です。

ドイツでは、ITセキュリティ法2.0の施行により、ITセキュリティラベル制度を電子メールサービスと、IoT機器について始めていますが、消費者向けスマート製品(スマートカメラ、スマートスピーカー、スマート掃除機・園芸用ロボット、スマートトイ、スマートテレビ)のメーカも申請できるようになるようですね。。。

Criteriaとして利用する標準は、消費者向け製品のIoTセキュリティについての欧州規格である[PDF] ETSI EN 303 645 – Cyber Security for Consumer Internet of Things: Baseline Requirements, Version 2.1.1ですね。。。

 

● Bundesamt für Sicherheit in der Informationstechnik: BSI

発表

・2022.05.06 IT-Sicherheitskennzeichen jetzt auch für smarte Verbraucherprodukte

IT-Sicherheitskennzeichen jetzt auch für smarte Verbraucherprodukte ITセキュリティ・マークがスマートコンシューマ製品にも対応
Produktkennzeichnung des BSI um fünf neue Produktkategorien erweitert BSIの製品ラベリングが新たに5つの製品カテゴリーに拡大
Ab Mai 2022 können Hersteller von smarten Kameras, smarten Lautsprechern, smarten Reinigungs- und Gartenrobotern, smarten Spielzeugen sowie smarten Fernsehprodukten das IT-Sicherheitskennzeichen beim Bundesamt für Sicherheit in der Informationstechnik (BSIbeantragen. 2022年5月より、スマートカメラ、スマートスピーカー、スマート掃除機・園芸ロボット、スマートトイ、スマートテレビのメーカは、連邦情報セキュリティ局(BSI)のITセキュリティマークを申請できるようになる予定です。
In den kommenden Monaten plant das BSI, weitere Produktkategorien des IT-Sicherheitskennzeichens zu veröffentlichen. Zunächst aus dem Bereich Smart Home Automation. Das BSI arbeitet kontinuierlich daran, den Anwendungsbereich des IT-Sicherheitskennzeichens auszuweiten. BSIは今後数ヶ月のうちに、ITセキュリティ・マークのさらなる製品カテゴリーを公表する予定です。当初はスマートホームオートメーションの領域から始めます。BSIは、ITセキュリティマークの適用範囲を拡大するための活動を継続的に行っています。
Mit dem IT-Sicherheitskennzeichen macht das BSI das Versprechen von Herstellern und Diensteanbietern in die IT-Sicherheit ihrer Produkte gegenüber Verbraucherinnen und Verbrauchern transparent. Die neue Produktkennzeichnung des BSI schafft damit Orientierung auf dem Verbrauchermarkt und trägt zu einer informierten Kaufentscheidung beim Einkauf von IT-Produkten bei. ITセキュリティ・マークにより、BSIは、製品のITセキュリティにおけるメーカーやサービスプロバイダの約束を消費者に透明化することができます。BSIの新しい製品ラベルは、消費者市場での方向性を示し、IT製品を購入する際に十分な情報を得た上での購入判断に貢献します。
Über einen QR-Code kann online eine individuelle Produktinformationsseite des BSI aufgerufen werden, die über das Herstellerversprechen, die zugrundeliegenden Standards und aktuelle Sicherheitserkenntnisse des BSI zum Produkt informiert. BSIの個々の製品情報ページは、QRコードを介してオンラインで呼び出すことができ、製造者の約束、基礎となる規格、製品に関するBSIの現在のセキュリティ所見に関する情報を提供しています。
Seit Dezember 2021 kann das IT-Sicherheitskennzeichen in den ersten beiden Produktkategorien „Breitbandrouter“ und „E-Mail-Dienste“ beantragt werden. Schon im Februar 2022 wurden im Rahmen des 18. Deutschen IT-Sicherheitskongresses die ersten vier Kennzeichen an einen E-Mail-Anbieter übergeben. Mit der Einführung fünf weiterer Produktkategorien wird der nächste Meilenstein erreicht. 2021年12月以降、ITセキュリティマークは、まず「ブロードバンドルーター」と「メールサービス」の2つの製品カテゴリーで申請することができます。2022年2月には、第18回ドイツITセキュリティ会議で、最初の4つのマークが電子メールプロバイダーに手渡されました。さらに5つの製品カテゴリーの導入で、次のマイルストーンに到達することになります。
Arne Schönbohm, Präsident des BSI„Das IT-Sicherheitskennzeichen schafft nun auch Transparenz in den Bereichen Smart Home Multimedia und intelligentes Spielzeug, gibt dabei Orientierung für informierte Kaufentscheidungen und fördert den Schutz vor Cyber-Kriminalität. Mit dem IT-Sicherheitskennzeichen für smartes Spielzeug profitiert hiervon auch die besonders vulnerable Nutzergruppe der Kinder und Jugendlichen. Wir geben damit ein deutliches Signal an den Verbrauchermarkt, dass Informationssicherheit ein wichtiges Argument für die Kauf- und Nutzungsentscheidung bei IT-Produkten ist. Mit der ETSI EN 303 645 haben wir einen europäischen Sicherheitsstandard als Grundlage ausgewählt, den wir gemeinsam mit Branchenvertretern und Partnern der europäischen Standardisierungsarbeit entwickelt haben. Wir liefern damit einen wertvollen Beitrag für die europäische Debatte um die Cyber-Sicherheit bei Verbrauchergeräten und sind überzeugt, dass das IT-Sicherheitskennzeichen einen wesentlichen Schritt zu mehr Sicherheit und Transparenz in diesen Bereichen darstellt.“ BSI会長のアルネ・シェーンボムは、次のように述べています。「ITセキュリティマークは、スマートホームマルチメディアやスマートトイの分野でも透明性を高め、十分な情報に基づいた購買決定とサイバー犯罪からの保護を促進するものです。スマートトイにITセキュリティラベルをつけることで、特に弱い立場のユーザーである子供や若者もその恩恵を受けることができます。このように、情報セキュリティがIT製品の購入や使用を決定する際の重要な論拠となることを、消費者市場に明確に発信しています。ETSI EN 303 645は、ヨーロッパのセキュリティ規格をベースに、業界代表や欧州標準化活動のパートナーと共に開発しました。このように、私たちは、消費者向け機器のサイバーセキュリティに関する欧州の議論に貴重な貢献をしており、ITセキュリティマークは、これらの分野におけるセキュリティと透明性の向上に不可欠なステップであると確信しています。」
Erfolgreiche Standardisierungsarbeit als Grundlage der Produktkennzeichnung 製品ラベルの基礎となる標準化作業の成功
Die neuen Produktkategorien des IT-Sicherheitskennzeichens stützen sich auf den etablierten europäischen Sicherheitsstandard ETSI EN 303 645. Der Standard wurde im Rahmen der europäischen Standardisierungsarbeit durch Expertinnen und Experten des BSI mitentwickelt. In einem Pilotprojekt wurde dieser mit einem Produktanbieter und einer Prüfstelle für IT-Sicherheit auf praktische Anwendbarkeit geprüft. Er adressiert IoT-Geräte, die ein Risiko für die Informationssicherheit und Privatsphäre von Nutzerinnen und Nutzern darstellen können. Smarte IT-Produkte sind ein beliebtes Ziel von Cyber-Angreifern und können missbraucht werden, um an persönliche Daten der Besitzer zu gelangen oder großflächige Cyber-Angriffe auf Infrastrukturen Dritter durchzuführen. Um diesen Bedrohungen zu begegnen, beinhaltet der Standard verpflichtend umzusetzende Sicherheitsanforderungen. Hierzu gehören sichere Authentisierungsmechanismen, ein angemessenes Updatemanagement und die Absicherung der Kommunikation. ITセキュリティラベルの新しい製品カテゴリーは、欧州の標準化作業の一環としてBSIの専門家が共同開発した、確立された欧州セキュリティ規格ETSI EN 303 645をベースにしています。パイロットプロジェクトでは、製品プロバイダーとITセキュリティのテストセンターで実用性のテストが行われました。この規格は、ユーザーの情報セキュリティとプライバシーにリスクをもたらす可能性のあるIoT機器に対応しています。スマートIT製品はサイバー攻撃者の格好の標的であり、悪用されて所有者の個人情報を取得されたり、第三者のインフラに大規模なサイバー攻撃を仕掛けられたりする可能性があります。このような脅威に対抗するため、規格にはセキュリティに関する必須要件が含まれています。このような脅威に対して、認証の仕組みや適切な更新管理、通信の安全確保などのセキュリティ要件が必須となっています。

 

制度説明

IT-Sicherheitskennzeichen

こちらを参照してください...


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。


 

申請

Beantragung eines IT-Sicherheitskennzeichens

製品カテゴリー ITセキュリティ要件 申請書類
ブロードバンドルータ BSI TR-03148 ブロードバンドルータ用
メールサービス BSI TR-03108 メールサービス用
スマートテレビ ETSI EN 303 645 消費者向け製品用
スマートスピーカー ETSI EN 303 645 消費者向け製品用
スマートカメラ ETSI EN 303 645 消費者向け製品用
スマートトイ ETSI EN 303 645 消費者向け製品用
スマート掃除機・園芸用ロボット ETSI EN 303 645 消費者向け製品用

 

標準と認証

Standards und Zertifizierung

消費者向けIoT向けITセキュリティラベルで利用される標準

Consumer IoT

Criteriaとして、、、

・[PDF] ETSI EN 303 645 – Cyber Security for Consumer Internet of Things: Baseline Requirements, Version 2.1.1

20220509-61018

 

評価基準として、、、

・[PDF] ETSI TS 103 701 – Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements, Version 1.1.1

20220509-61204

 

ガイドラインとして

・[PDF] ETSI TR 103 621 – Guide to Cyber Security for Consumer Internet of Things, Version 1.1.1

20220509-61428

 

補足文書

・[PDF] Technical Guideline BSI TR-03173 Amendments for Conformance Assessments based on ETSI EN 303 645/TS 103 701

・[EXLX] Assessment Template for Identification of the DUT, ICS and Assessment Results (Excel), Version 1.1.1

・[DOCX] Assessment Template for IXIT (Word), Version 1.1.1

 

 


参考

まるちゃんの情報セキュリティ気まぐれ日記

BSIのITセキュリティラベル

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

| | Comments (0)

2022.04.26

米国 White House ドローン対策国家計画

こんにちは、丸山満彦です。

米国が、無人航空機システム (unmanned aircraft systems: UAS, or "drones") 対策についての国家計画を発表していますね。。。

2015年には、ホワイトハウス敷地内にドローンが墜落したり、日本でも官邸にドローンが墜落し、所有者が逮捕されたりしましたね。。。

そんなこともあり、日本でも、ドローンの利用と規制についての議論が起こり、委員会等も立ち上がって、安全な普及に向けた活動が続いていますね。。。

 

U.S. White House

・2022.04.25 FACT SHEET: The Domestic Counter-Unmanned Aircraft Systems National Action Plan

FACT SHEET: The Domestic Counter-Unmanned Aircraft Systems National Action Plan ファクトシート:国内無人航空機システム対策国家行動計画
Over the last decade, unmanned aircraft systems (UAS or “drones”) have become a regular feature of American life. We use them for recreation, for research, and for commerce. But the proliferation of this new technology has also introduced new risks to public safety, privacy, and homeland security.  Malicious actors have increasingly used UAS domestically to commit crimes, conduct illegal surveillance and industrial espionage, and thwart law enforcement efforts at the local, state and Federal level. 過去10年間で、無人航空機システム(UASまたは「ドローン」)はアメリカ人の生活の中で日常的に使われるようになりました。私たちは、レクリエーション、研究、そして商業のために無人航空機を使用しています。しかし、この新しい技術の普及は、公共の安全、プライバシー、国土安全保障に新たなリスクをもたらしています。  悪意のある行為者が、国内でUASを使用して犯罪を犯し、違法な監視や産業スパイを行い、地方、州、連邦レベルでの法執行努力を妨害するケースが増加しています。
Today, the Biden Administration is releasing the first whole-of-government plan to address UAS threats in the Homeland. Through the Domestic Counter-Unmanned Aircraft Systems National Action Plan, the Administration is working to expand where we can protect against nefarious UAS activity, who is authorized to take action, and how it can be accomplished lawfully. The Plan seeks to achieve this legitimate expansion while safeguarding the airspace, communications spectrums, individual privacy, civil liberties and civil rights. To achieve this balance, the Administration is calling on Congress to adopt legislation to close critical gaps in existing law and policy that currently impede government and law enforcement from protecting the American people and our vital security interests. 本日、バイデン政権は、国土におけるUASの脅威に対処するための初の政府全体計画を発表します。国内無人航空機システム対策国家行動計画を通じて、政権は、悪質なUAS活動から保護できる場所、行動を起こす権限を持つ人、そしてそれを合法的に達成する方法を拡大するために取り組んでいる。この計画は、空域、通信スペクトル、個人のプライバシー、市民的自由、市民権を保護しながら、この合法的な拡大を達成することを目指している。このバランスを達成するために、行政は議会に対し、現在政府と法執行機関が米国民と重要な安全保障上の利益を保護することを妨げている既存の法律と政策の重大なギャップを埋めるための法律を採択するよう求めている。
UAS serve many beneficial commercial and recreational purposes.  As has been the case with many technological advances, they can also be exploited for pernicious purposes.  To protect our Homeland and prevent their growing use from threatening the safety and security of our people, our communities, and our institutions, this Counter-UAS National Action Plan will set new ground rules for the expanding uses of UAS and improve our defenses against the exploitation of UAS for inappropriate or dangerous purposes. UASは、多くの有益な商業的および娯楽的な目的に役立っている。  多くの技術的進歩がそうであったように、UASもまた悪意のある目的のために利用される可能性がある。  国土を守り、その利用の拡大が国民、地域社会、組織の安全と安心を脅かすことを防ぐために、このUAS対策国家行動計画は、UASの利用拡大のための新しい基本ルールを定め、不適切または危険な目的でのUASの利用に対する防御を向上させるものである。
Recommendations 推奨事項
The Plan provides eight key recommendations for action: 本計画では、行動に関する8つの重要な推奨事項を提示します。
1. Work with Congress to enact a new legislative proposal to expand the set of tools and actors who can protect against UAS by reauthorizing and expanding existing counter‑UAS authorities for the Departments of Homeland Security, Justice, Defense, State, as well as the Central Intelligence Agency and NASA in limited situations. The proposal also seeks to expand UAS detection authorities for state, local, territorial and Tribal (SLTT) law enforcement agencies and critical infrastructure owners and operators.  The proposal would also create a Federally-sponsored pilot program for selected SLTT law enforcement agency participants to perform UAS mitigation activities and permit critical infrastructure owners and operators to purchase authorized equipment to be used by appropriate Federal or SLTT law enforcement agencies to protect their facilities; 1. 国土安全保障省、司法省、国防省、国務省、および中央情報局、NASAの既存のUAS対策権限を再承認し、限定的に拡大することにより、UASから保護できる手段および行為者を拡大する新しい法律案の制定に議会と協力すること。また、州、地方、地域、部族(SLTT)の法執行機関や重要インフラの所有者・運営者のためのUAS検知権限を拡大することも目指すこと。  この提案はまた、選ばれたSLTT法執行機関参加者がUAS緩和活動を行うための連邦政府主催のパイロット・プログラムを創設し、重要インフラの所有者およびオペレーターが、適切な連邦政府またはSLTT法執行機関がその施設を保護するために使用する認定機器を購入することを許可するものである。
2. Establish a list of U.S. Government authorized detection equipment, approved by Federal security and regulatory agencies, to guide authorized entities in purchasing UAS detection systems in order to avoid the risks of inadvertent disruption to airspace or the communications spectrum;  2. 連邦安全保障・規制機関によって承認された米国政府公認の探知装置のリストを確立し、空域または通信スペクトルへの不注意な破壊のリスクを回避するために、公認団体がUAS探知システムを購入する際の指針とすること。 
3. Establish oversight and enablement mechanisms to support critical infrastructure owners and operators in purchasing counter-UAS equipment for use by authorized Federal entities or SLTT law enforcement agencies; 3 .重要インフラの所有者および運営者が、認可された連邦機関またはSLTT法執行機関による使用のために、対UAS機器を購入することを支援するための監視および実現機構を確立すること。
4. Establish a National Counter-UAS Training Center to increase training accessibility and promote interagency cross-training and collaboration; 4. 訓練へのアクセス性を高め、省庁間の横断的な訓練と協力を促進するために、国家UAS対策訓練センターを設立すること。
5. Create a Federal UAS incident tracking database as a government-wide repository for departments and agencies to have a better understanding of the overall domestic threat; 5. 国内全体の脅威をよりよく理解するために、各省庁のための政府全体のリポジトリとして、連邦UAS事故追跡データベースを作成すること。
6. Establish a mechanism to coordinate research, development, testing, and evaluation on UAS detection and mitigation technology across the Federal government; 6. 連邦政府全体でUASの探知・緩和技術に関する研究、開発、試験、評価を調整する仕組みを構築すること。
7. Work with Congress to enact a comprehensive criminal statute that sets clear standards for legal and illegal uses, closes loopholes in existing Federal law, and establishes adequate penalties to deter the most serious UAS-related crimes; and  7. 議会と協力して、合法・違法使用の明確な基準を設定し、既存の連邦法の抜け穴を塞ぎ、最も深刻なUAS関連犯罪を抑止するための適切な刑罰を定めた包括的な刑事法の制定を行うこと。 
8. Enhance cooperation with the international community on counter‑UAS technologies, as well as the systems designed to defeat them. 8. 対UAS技術およびそれを破るために設計されたシステムに関する国際社会との協力を強化すること。

 

Department of Justice

・2022.04.25 Justice Department Issues Statement on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal

Justice Department Issues Statement on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal 司法省は、政府の無人航空機システム対策(C-UAS)国家行動計画および立法案について声明を発表
For almost four years, the Department of Justice has responsibly used the authority Congress granted it in the Preventing Emerging Threats Act of 2018 to protect critical department missions and the public, such as high-profile sporting events like the Super Bowl and the World Series, from the threat posed by unmanned aircraft systems (UAS), commonly referred to as “drones.” The department uses the authority to keep our communities safe while ensuring full respect for the Constitution, privacy, civil rights and civil liberties, and the safety of the national airspace system. But the threat posed by the criminal use of drones is increasing and evolving, and department components cannot protect everyone, everywhere, all the time.  司法省は約4年間、2018年新興脅威防止法で議会から与えられた権限を責任を持って活用し、一般に "ドローン "と呼ばれる無人航空機システム(UAS)がもたらす脅威から、スーパーボウルやワールドシリーズなどの注目を集めるスポーツイベントなど、省の重要任務と一般市民を守ってきました。本省は、憲法、プライバシー、市民権、市民的自由の完全な尊重、および国土空域システムの安全を確保しながら、コミュニティの安全を保つためにこの権限を使用しています。しかし、ドローンの犯罪利用がもたらす脅威は増大し、進化しており、同省の構成員が、いつでも、どこでも、すべての人を保護することはできません。 
The department strongly supports the Administration’s Counter-UAS National Action Plan and comprehensive legislative proposal transmitted to Congress on April 19 seeking the reauthorization of the department’s authority. Additionally, the department strongly supports the element of the National Action Plan incrementally extending relief from federal criminal laws to state, local, territorial and tribal (SLTT) law enforcement entities to use technology to detect, and in limited circumstances, mitigate UAS threats under appropriate controls and Federal oversight. A third critical component of the plan is endorsement of the department’s legislative proposal that would fill a gap in federal criminal laws to prosecute the most malicious and dangerous uses of drones. 本省は、本省の権限の再承認を求めて4月19日に議会に提出された政権の対UAS国家行動計画および包括的な立法案を強く支持します。さらに本省は、国家行動計画のうち、州・地方・準州・部族(SLTT)法執行機関が適切な管理と連邦監視の下で技術を利用してUASの脅威を検知し、限られた状況下で緩和するために連邦刑法からの救済を段階的に拡大する要素を強く支持します。この計画の第三の重要な要素は、ドローンの最も悪質で危険な使用を訴追するための連邦刑法におけるギャップを埋める、本省の立法提案への支持です。
The department is grateful to the Administration for recognizing the increasing risk and for involving federal departments and agencies in crafting a thoughtful approach. The Counter-UAS plan is a whole-of-government measured proposal that builds off existing authorities to address the threat that simultaneously protects privacy and civil liberties of the American people, the safety of the national airspace and the communications spectrum.  本省は、リスクが高まっていることを認識し、連邦政府各省庁を巻き込んで思慮深いアプローチを構築した行政府に感謝しています。対UAS計画は、米国民のプライバシーと市民的自由、国土空域の安全、通信スペクトルを同時に保護する脅威に対処するために、既存の権限を基にした政府全体の対策案です。 
In the coming weeks, the department and interagency will engage with the Congress and key stakeholders across the government, private sector, law enforcement and society on the plan and legislative proposal.  今後数週間、同省と省庁間機関は、計画および立法案について、議会および政府、民間企業、法執行機関、社会にわたる主要な利害関係者と意見を交わす予定です。 

 

Department of Homeland Security

・2022.04.25 Statement by Secretary Mayorkas on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal

 

Statement by Secretary Mayorkas on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal 無人航空機システム対策(C-UAS)国家行動計画および立法案に関するマヨルカス長官の声明
Secretary of Homeland Security Alejandro N. Mayorkas released the following statement on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and legislative proposal released today. アレハンドロ・N・マヨルカス国土安全保障長官は、本日発表された政府の無人航空機システム(C-UAS)対策国家行動計画および立法案について、以下の声明を発表しました。
“The Biden-Harris Administration’s C-UAS National Action Plan and legislative proposal are vital to enabling DHS and our partners to have the necessary authorities and tools to protect the public, the President and other senior officials, federal facilities, and U.S. critical infrastructure from threats posed by the malicious and illicit use of unmanned aircraft systems. These threats are increasing at home and abroad, and the Plan and legislative proposal call for the reauthorization and expansion of DHS’s C-UAS authority to help keep our communities safe. The Plan and legislative proposal also support the safe integration of unmanned aircraft systems for recreational and commercial use.” 「バイデン=ハリス政権のC-UAS国家行動計画と立法提案は、無人航空機システムの悪意ある不正使用による脅威から、DHSと我々のパートナーが国民、大統領やその他の高官、連邦施設、米国の重要インフラを守るために必要な権限と手段を持つために不可欠なものです。このような脅威は国内外で増加しており、本計画と立法案は、DHSのUAS対策権限の再承認と拡大を求め、我々のコミュニティの安全確保を支援するものです。また、本計画と立法案は、レクリエーションや商業利用のための無人航空機システムの安全な統合を支援するものです。
“DHS will continue to judiciously implement its C-UAS authorities, while protecting privacy, civil rights, and civil liberties. We look forward to working with Congress and key stakeholders across every level of government, in the private sector, and civil society on this critical Plan and related legislation.” DHSは、プライバシー、市民権、市民的自由を保護しながら、C-UAS権限を引き続き慎重に実施する。この重要なプランと関連法案について、議会や政府の各レベル、民間企業、市民社会の主要なステークホルダーと協力することを楽しみにしています。

 

U.S. Congress.gov

U.S. House of Representatives

U.S. Senate

 

Fig1_20220426061901

 


■ 日本のドローンについての検討

小型無人機に関する関係府省庁連絡会議

 


■ ドローン墜落...

● The New York Times

・2015.01.26 A Drone, Too Small for Radar to Detect, Rattles the White House

● 日本経済新聞

・2015.04.22 首相官邸にドローン落下 けが人はなし

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

・2022.04.07 経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.09.04 英国 ブレグジット後のグローバルデータ計画 at 2021.08.26

・2021.06.26 欧州委員会 合同サイバーユニットを提案

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.13 米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。

 

 

| | Comments (0)

より以前の記事一覧