危機管理 / 事業継続

2022.12.04

NIST SP 1800-22 (ドラフト) モバイルデバイスセキュリティ:私物端末の持ち込み(BYOD)(2次ドラフト)

こんにちは、丸山満彦です。

NISTが、去年の3月(なので、1年9ヶ月前)にBYOD(私物端末の持ち込み)の実践ガイダンスのドラフトを公表し、意見募集をしていましたが、それを踏まえて第2ドラフトを公表し、意見募集をしています。。。

BYODは、従業員にとっては、携帯二台もちが避けられるのでメリットがありますが、

・情報技術(IT)部門の責任と複雑さの増加、

・保護されていない個人用デバイスから生じる企業のセキュリティ脅威、

・個人データのプライバシーの保護

に関する課題がありますね。。。

エグゼクティブサマリーの次の指摘はなかなか興味深いですね。。。

Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist. 企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。

 

NIST - ITL

・2022.11.29 SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft)

 

SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) (2nd Draft) SP 1800-22 (ドラフト) モバイルデバイスセキュリティ:私物端末の持ち込み(BYOD)(2次ドラフト)
Announcement 発表
Many organizations now support their employees' use of personal mobile devices to remotely perform work-related activities. This increasingly common practice, known as Bring Your Own Device or BYOD, provides employees with increased flexibility to telework and access organizational information resources. Helping ensure that an organization's data is protected when it is accessed from personal devices, while ensuring employee privacy poses unique challenges and threats. 多くの組織では、従業員が個人所有のモバイルデバイスを使用して、業務に関連する活動をリモートで実行できるようになった。BYOD(Bring Your Own Device)と呼ばれるこの一般的な慣行は、テレワークや組織の情報リソースへのアクセスをより柔軟に行えるようにするもので、ますます普及している。しかし、個人所有のデバイスから組織のデータにアクセスする際、従業員のプライバシーを守りながらデータを保護することは、非常に困難な課題であり、脅威でもある。
The goal of the Mobile Device Security: Bring Your Own Device practice guide is to provide an example solution that helps organizations use both a standards-based approach and commercially available technologies to help meet their security and privacy needs when permitting personally-owned mobile devices to access enterprise resources.  モバイルデバイスセキュリティの目標は、「Bring Your Own Device(私物端末の持ち込み)」である。Bring Your Own Deviceの実践ガイドの目的は、標準ベースのアプローチと市販のテクノロジーの両方を使用して、個人所有のモバイルデバイスによるエンタープライズリソースへのアクセスを許可する場合に、セキュリティとプライバシーのニーズを満たすのに役立つソリューションの例を提供することである。 
This second draft includes major updates to the iOS BYOD implementation.  この第 2 ドラフトには、iOS BYOD の実装に関する大幅な更新が含まれている。 
We look forward to receiving your comments and any feedback on the following questions will be very helpful: また、以下の質問に対するご意見もお待ちしている。
Does the guide meet your needs? このガイドはあなたのニーズを満たしているか?
Can you put this solution to practice?  このソリューションを実践できるか? 
Are specific sections more/less helpful? 特定のセクションはより有用であるか/そうではありませんか?
Abstract 概要
Bring Your Own Device (BYOD) refers to the practice of performing work-related activities on personally owned devices. This practice guide provides an example solution demonstrating how to enhance security and privacy in Android and iOS smartphone BYOD deployments. BYOD(Bring Your Own Device)とは、個人所有のデバイスで業務に関連する活動を行うことを指す。この実践ガイドでは、Android および iOS スマートフォンの BYOD 導入におけるセキュリティとプライバシーを強化する方法を示すソリューションの例を示する。
Incorporating BYOD capabilities into an organization can provide greater flexibility in how employees work and increase the opportunities and methods available to access organizational resources. For some organizations, the combination of traditional in-office processes with mobile device technologies enables portable communication approaches and adaptive workflows. For others, it fosters a mobile-first approach in which their employees communicate and collaborate primarily using their mobile devices. BYOD 機能を組織に組み込むことで、従業員の働き方に柔軟性が生まれ、組織のリソースにアクセスする機会や方法が増えます。組織によっては、従来のオフィス内のプロセスとモバイル・デバイス・テクノロジーを組み合わせることで、携帯可能なコミュニケーション・アプローチと適応性のあるワークフローを実現できる。また、従業員が主にモバイルデバイスを使用してコミュニケーションやコラボレーションを行う、モバイルファーストのアプローチを促進する組織もある。
However, some of the features that make BYOD mobile devices increasingly flexible and functional also present unique security and privacy challenges to both work organizations and device owners. The unique nature of these challenges is driven by the diverse range of devices available that vary in type, age, operating system (OS), and the level of risk posed. しかし、BYODモバイル・デバイスの柔軟性と機能性を高めるいくつかの機能は、職場組織とデバイスの所有者の両方に対して、セキュリティとプライバシーに関する独自の課題を提起している。これらの課題は、種類、年齢、オペレーティング・システム(OS)、およびリスクのレベルが異なるさまざまなデバイスが利用可能であることに起因している。
Enabling BYOD capabilities in the enterprise introduces new cybersecurity risks to organizations. Solutions that are designed to secure corporate devices and on-premise data do not provide an effective cybersecurity solution for BYOD. Finding an effective solution can be challenging due to the unique risks that BYOD deployments impose. Additionally, enabling BYOD capabilities introduces new privacy risks to employees by providing their employer a degree of access to their personal devices, thereby opening up the possibility of observation and control that would not otherwise exist. 企業でBYOD機能を実現すると、組織に新たなサイバーセキュリティ・リスクが発生する。企業のデバイスとオンプレミスのデータを保護するために設計されたソリューションでは、BYODのための効果的なサイバーセキュリティ・ソリューションを提供することはできない。BYOD の展開がもたらす独自のリスクにより、効果的なソリューションを見つけることは困難である。さらに、BYOD を実現すると、従業員の個人所有のデバイスに雇用者がアクセスできるようになるため、従業員に新たなプライバシー・リスクが発生し、他の方法では不可能な監視と制御が行われる可能性が出てくる。
To help organizations benefit from BYOD’s flexibility while protecting themselves from many of its critical security and privacy challenges, this Practice Guide provides an example solution using standards-based, commercially available products and step-by-step implementation guidance. この実践ガイドでは、BYOD の柔軟性を活用しながら、セキュリティとプライバシーに関する多くの重要な課題から組織を保護するために、標準ベースの市販製品を使用したソリューションの例と段階的な実装ガイダンスを提供する。

 

・[PDF]  NIST SP 1800-22 2pd

20221203-103740

 

・エグゼクティブサマリー...

 

Executive Summary  要旨 
Many organizations provide employees the flexibility to use their personal mobile devices to perform work-related activities. An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise. Ensuring that an organization’s data is protected when it is accessed from personal devices poses unique challenges and threats.  多くの組織では、従業員が個人所有のモバイルデバイスを使用して業務に関連する活動を行うことができるように柔軟性を提供している。個人所有のモバイルデバイスのセキュリティが不十分な場合、組織や従業員はデータの損失やプライバシーの侵害にさらされる可能性がある。個人所有のモバイルデバイスからアクセスする際に、組織のデータを確実に保護することは、独自の課題と脅威をもたらする。
Allowing employees to use their personal mobile devices for work-related activities is commonly known as a bring your own device (BYOD) deployment. A BYOD deployment offers a convenient way to remotely access organizational resources, while avoiding the alternative of carrying both a work phone and personal phone. This NIST Cybersecurity Practice Guide demonstrates how organizations can use standards-based, commercially available products to help meet their BYOD security and privacy needs.  従業員が個人所有のモバイルデバイスを業務に使用することは、一般的にBYOD(Bring Your Own Device)と呼ばれている。BYOD を導入すると、組織のリソースにリモートでアクセスできるようになる一方で、仕事用の携帯電話と個人用の携帯電話の両方を持ち歩くという選択肢を避けることができる。この NIST サイバーセキュリティ実践ガイドは、組織が標準ベースの市販製品を使用して、BYOD のセキュリティとプライバシーのニーズを満たす方法を示している。
CHALLENGE  課題 
BYOD devices can be used interchangeably for work and personal purposes throughout the day. While flexible and convenient, BYOD can introduce challenges to an enterprise. These challenges can include additional responsibilities and complexity for information technology (IT) departments caused by supporting many types of personal mobile devices used by the employees, enterprise security threats arising from unprotected personal devices, as well as challenges protecting the privacy of employees and their personal data stored on their mobile devices.  BYOD デバイスは、1 日を通して仕事とプライベートの両方の目的で交換可能に使用されます。BYOD は柔軟で便利な反面、エンタープライズに課題をもたらす可能性がある。これらの課題には、従業員が使用する多くの種類の個人用モバイルデバイスをサポートすることによる情報技術(IT)部門の責任と複雑さの増加、保護されていない個人用デバイスから生じる企業のセキュリティ脅威、および従業員とそのモバイルデバイスに保存されている個人データのプライバシーを保護する課題などがある。
An ineffectively secured personal mobile device could expose an organization or employee to data loss or a privacy compromise. 個人用モバイルデバイスのセキュリティが不十分な場合、組織や従業員がデータ損失やプライバシー侵害にさらされる可能性がある。
SOLUTION  解決策 
The National Cybersecurity Center of Excellence (NCCoE) collaborated with the mobile community and cybersecurity technology providers to build a simulated BYOD environment. Using commercially available products, the example solution’s technologies and methodologies can enhance the security  posture of the adopting organization and help protect employee privacy and organizational information assets. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、モバイルコミュニティおよびサイバーセキュリティ技術プロバイダーと協力し、BYOD環境のシミュレーションを構築した。市販の製品を使用することで、このソリューションのテクノロジーと方法論は、採用する組織のセキュリティ姿勢を強化し、従業員のプライバシーと組織の情報資産を保護するのに役立つ。
This practice guide can help your organization:  この実践ガイドでは、以下のことを実現する。
§  protect data from being accessed by unauthorized persons when a device is stolen or misplaced § デバイスの盗難や置き忘れの際に、不正アクセスからデータを保護する。
§  reduce risk to employees through enhanced privacy protections § プライバシー保護の強化により、従業員のリスクを軽減する。
§  improve the security of mobile devices and applications by deploying mobile device technologies   § モバイルデバイス技術の導入によるモバイルデバイスとアプリケーションのセキュリティの向上  
§  reduce risks to organizational data by separating personal and work-related information from each other § 個人情報と業務関連情報を分離することによる組織データへのリスクの低減
§  enhance visibility into mobile device health to facilitate identification of device and data compromise, and permit efficient user notification  § モバイルデバイスの健全性を可視化し、デバイスとデータの侵害を特定し、ユーザーへの通知を効率的に行う。
§  leverage industry best practices to enhance mobile device security and privacy  § モバイルデバイスのセキュリティとプライバシーを強化するために、業界のベストプラクティスを活用する。
§  engage stakeholders to develop an enterprise-wide policy to inform management and employees of acceptable practices § 管理職と従業員に許容されるポリシーを伝えるため、利害関係者を巻き込んでエンタープライズ全体のポリシーを策定する。
The example solution uses technologies and security capabilities (shown below) from our project collaborators. The technologies used in the solution support security and privacy standards and guidelines including the NIST Cybersecurity Framework and NIST Privacy Framework, among others. Both iOS and Android devices are supported by this guide’s example solution.  このソリューションの例では、プロジェクトの協力者が提供するテクノロジーとセキュリティ機能(以下に示す)を使用している。このソリューションで使用されているテクノロジーは、NIST Cybersecurity FrameworkやNIST Privacy Frameworkなどのセキュリティとプライバシーの標準およびガイドラインをサポートしている。このガイドのサンプルソリューションでは、iOSとAndroidの両方のデバイスがサポートされている。
While the NCCoE used a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution. NCCoEはこの課題に対処するために一連の商用製品を使用したが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではありません。組織の情報セキュリティ専門家は、既存のツールや IT システムのインフラと最もよく統合できる製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズし、実装することもできる。
HOW TO USE THIS GUIDE  このガイドの使用方法 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割に応じて、このガイドをさまざまな方法で使用することができる。
Business decision makers, including chief information security and technology officers can use this part of the guide, NIST SP 1800-22a: Executive Summary, to understand the impetus for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  情報セキュリティおよび技術の最高責任者を含むビジネス意思決定者は、本ガイドのこの部分であるNIST SP 1800-22Aを使用できる。エグゼクティブ・サマリーは、本ガイドのきっかけ、当社が取り組むサイバーセキュリティの課題、この課題を解決するための当社のアプローチ、およびこのソリューションが組織にどのような利益をもたらすかを理解するために使用する。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use the following:  リスクを特定、理解、評価、および軽減する方法に関心のある技術、セキュリティ、およびプライバシープログラムマネージャーは、以下を利用することができる。
§  NIST SP 1800-22b: Approach, Architecture, and Security Characteristics, which describes what we built and why, the risk analysis performed, and the security/privacy control mappings.  § NIST SP 1800-22b: NIST SP 1800-22b: アプローチ、アーキテクチャ、およびセキュリティ特性。何をなぜ作ったか、実施したリスク分析、セキュリティ/プライバシー制御のマッピング。 
§  NIST SP 1800-22 Supplement: Example Scenario: Putting Guidance into Practice, which provides an example of a fictional company using this practice guide and other NIST guidance to implement a BYOD deployment with their security and privacy requirements.  § NIST SP 1800-22 Supplement。シナリオの例。この実践ガイドおよび他の NIST ガイダンスを使用して、セキュリティおよびプライバシーの要件を満たす BYOD 展開を行う架空の会社の例を示している。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-22c: How To Guides, which provides specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project.   このようなアプローチを実施したいIT専門家は、NIST SP 1800-22C: How To Guidesを利用できる。このガイドでは、実装例を構築するための具体的な製品のインストール、構成、および統合の手順が提供されており、このプロジェクトのすべてまたは一部を再現することができる。 

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.2.1 Standards and Guidance 1.2.1 標準とガイダンス
1.3 Benefits 1.3 利点
2  How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 タイポグラフィ規則
3 Approach 3 アプローチ
3.1  Audience 3.1 想定読者
3.2  Scope 3.2 対象範囲
3.3 Assumptions 3.3 前提条件
3.4 Risk Assessment 3.4 リスクアセスメント
4 Architecture 4 アーキテクチャ
4.1  Common BYOD Risks and Potential Goals to Remediate Those Risks 4.1 一般的なBYODリスクと、そのリスクを修正するための潜在的な目標
4.1.1  Threat Events 4.1.1 脅威となる事象
4.1.2  Privacy Risks 4.1.2 プライバシー・リスク
4.1.3  Security and Privacy Goals 4.1.3 セキュリティとプライバシーの目標
4.2  Example Scenario: Putting Guidance into Practice 4.2 シナリオの例:ガイダンスの実践
4.3  Technologies that Support the Security and Privacy Goals of the Example Solution 4.3 ソリューション例のセキュリティとプライバシーの目標をサポートする技術
4.3.1  Trusted Execution Environment 4.3.1 信頼された実行環境
4.3.2  Enterprise Mobility Management 4.3.2 エンタープライズモビリティ管理
4.3.3  Virtual Private Network 4.3.3 仮想プライベートネットワーク
4.3.4  Mobile Application Vetting Service 4.3.4 モバイルアプリケーション審査サービス
4.3.5  Mobile Threat Defense 4.3.5 モバイル脅威防御
4.3.6  Mobile Operating System Capabilities 4.3.6 モバイルオペレーティングシステム機能
4.4  Architecture Description 4.4 アーキテクチャの説明
4.5  Enterprise Integration of the Employees’ Personally Owned Mobile Devices 4.5 従業員の個人所有のモバイルデバイスのエンタープライズ統合
4.5.1  Microsoft Active Directory Integration 4.5.1 Microsoft Active Directoryの統合
4.5.2  Mobile Device Enrollment 4.5.2 モバイルデバイスのエンロールメント
4.6  Mobile Components Integration 4.6 モバイルコンポーネントの統合
4.6.1  Zimperium–MaaS360 4.6.1 Zimperium-MaaS360
4.6.2  Kryptowire–MaaS360 4.6.2 Kryptowire-MaaS360
4.6.3  Palo Alto Networks–MaaS360 4.6.3 パロアルトネットワークス-MaaS360
4.6.4  iOS and Android MDM Integration 4.6.4 iOSおよびAndroid MDMの統合
4.7  Privacy Settings: Mobile Device Data Processing 4.7 プライバシー設定。モバイルデバイスのデータ処理
4.7.1  EMM: MaaS360 4.7.1 EMM: MaaS360
4.7.2  MTD: Zimperium 4.7.2 MTD: Zimperium(ジンペリウム
4.7.3  Application Vetting: Kryptowire 4.7.3 アプリケーションベッティング Kryptowire
4.7.4  VPN: Palo Alto Networks 4.7.4 VPN:Palo Alto Networks(パロアルトネットワークス
5  Security and Privacy Analysis 5 セキュリティとプライバシーの分析
5.1  Analysis Assumptions and Limitations 5.1 分析の前提条件と限界
5.2  Build Testing 5.2 ビルドテスト
5.3  Scenarios and Findings 5.3 シナリオと調査結果
5.3.1  Cybersecurity Framework, Privacy Framework, and NICE Framework Work Roles Mappings 5.3.1 サイバーセキュリティフレームワーク、プライバシーフレームワーク、および NICE フレームワークの作業役割マッピング
5.3.2  Threat Events and Findings 5.3.2 脅威イベントと調査結果
5.3.3  Privacy Risk Findings 5.3.3 プライバシーリスクの調査結果
5.4  Security and Privacy Control Mappings 5.4 セキュリティとプライバシーコントロールの対応付け
6  Example Scenario: Putting Guidance into Practice 6 シナリオの例。ガイダンスの実践
7  Conclusion 7 結論
8  Future Build Considerations 8 今後の構築に関する考察
Appendix A List of Acronyms 附属書A 頭字語リスト
Appendix B Glossary 附属書B 用語集
Appendix C References 附属書C 参考文献
Appendix D Standards and Guidance 附属書D 標準とガイダンス
Appendix E Example Security Subcategory and Control Map 附属書E セキュリティサブカテゴリーとコントロールマップの例
Appendix F Example Privacy Subcategory and Control Map 附属書F プライバシーサブカテゴリーとコントロールマップの例

 

 


 

1st ドラフトの時...

まるちゃんの情報セキュリティきまぐれ日記

・2021.03.19 NIST SP 1800-22 (Draft) Mobile Device Security: Bring Your Own Device (BYOD) BYODのセキュリティ

 

| | Comments (0)

2022.12.03

第3期戦略的イノベーション創造プログラム(SIP:エスアイピー)についての経団連の意見...

こんにちは、丸山満彦です。

経団連が、第3期戦略的イノベーション創造プログラム (SIP) についての意見を掲載しています。。。SIPは国の将来を見据えた政策的な研究プログラムで、税金を使った(5年間で1500億円程度...)プログラムで、研究成果が社会に活きるようになるためには官民連携が重要となるわけですが、うまくいっているんでしょうか。。。

日本経済団体連合会

・2022.12.01 次期SIPに対する意見


次期SIPについては産業界からの期待も高く、研究開発への参画について関心を持つ企業も多い。ただし、実際にリソースを提供するにあたっては下記のとおりに具体的にクリアすべき課題がある。

また、社会実装を進めるにあたっては、研究開発の進展のみならず、先端技術の利活用の観点から規制緩和等の制度整備が併せて必要となることにも留意すべきである。


次のようなことで書かれています。。。

  1. 課題設定
  2. 社会実装のレベル
  3. アジャイルな運用による予算・人材の手当
  4. 民間からの人的支援
  5. 企業の利益確保
  6. スタートアップ
  7. ルール形成及び国際標準化
  8. 享受者のリテラシー向上
  9. 研究推進法人
  10. 他の政策等(PRISMなど)との整理
  11. 情報共有のあり方

 


11. 情報共有のあり方

SIPの概要と研究過程の各ステップがまとめられて明示されていると企業側の理解が深まると考えられる。具体的には、全体を把握できる概念図およびスケジュール上の各マイルストンで何を行うかが簡潔にまとめられた資料を求める。特に、RFI、PD候補の公募、研究開発責任者・実施者の公募、マッチングファンド(企業に求められる資金や工数)について説明があると、企業としてどのようなアクション・負担が求められるのかが理解しやすい。

現状ではFSの内容については概要のみ公開されている状態であり、企業としては社内で参入について検討していない段階でFSの具体的な検討内容や状況について問い合わせることは敷居が高いため、途中経過の公表を求める。併せて過去のSIPでの成果についても引き続き周知を図ることで、事業化までのイメージを持ちやすくなる。

第1期、第2期の企業出身PDがSIPを通して得た知識やスキル等の共有もお願いしたい。また、参入を前提としない企業との情報交換の場を設けるなど、既存の役割以外の関わり方の検討をお願いしたい。


 

さて、SIPのウェブページ

内閣府

戦略的イノベーション創造プログラム(SIP:エスアイピー)

第3期SIPの候補

  1. 豊かな食が提供される持続可能なフードチェーンの構築
  2. 統合型ヘルスケアシステムの構築
  3. 包摂的コミュニティプラットフォームの構築
  4. ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築
  5. 海洋安全保障プラットフォームの構築
  6. スマートエネルギーマネジメントシステムの構築
  7. サーキュラーエコノミーシステムの構築
  8. スマート防災ネットワークの構築
  9. スマートインフラマネジメントシステムの構築
  10. スマートモビリティプラットフォームの構築
  11. 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備
  12. バーチャルエコノミー拡大に向けた基盤技術・ルールの整備
  13. 先進的量子技術基盤の社会課題への応用促進
  14. AI・データの安全・安心な利活用のための基盤技術・ルールの整備
  15. マテリアルプロセスイノベーション基盤技術の整備

 

20221203-101732

課題候補 FS実施方針 検討タスクフォース 研究推進法人 コンセプト  PD候補  所属・役職 
1 豊かな食が提供される持続可能なフードチェーンの構築 PDF 豊かな食が提供される持続可能なフードチェーンの構築に係る検討タスクフォース 国立研究開発法人農業・食品産業技術総合研究機構
生物系特定産業技術研究支援センター
食料安全保障やカーボンニュートラル、高齢化社会への対応に向けて、食料の調達、生産、加工・流通、消費の各段階を通じて、豊かさを確保しつつ、生産性向上と環境負荷低減を同時に実現するフードチェーンを構築する。  松本 英三  株式会社 J-オイルミルズ 取締役常務執行役員 
2 統合型ヘルスケアシステムの構築 PDF 統合型ヘルスケアシステムの構築に係る検討タスクフォース 国立研究開発法人 医薬基盤・健康・栄養研究所 患者や消費者のニーズに対し、医療・ヘルスケア等の限られたリソースを、デジタル化や自動化技術で最大限有効かつ迅速にマッチングするシステムを構築する。  永井 良三  自治医科大学 学長 
3 包摂的コミュニティプラットフォームの構築 PDF 包摂的コミュニティプラットフォームの構築に係る検討タスクフォース 国立研究開発法人 医薬基盤・健康・栄養研究所 性別、年齢、障がいなどに関わらず、多様な人々が社会的にも精神的にも豊かで暮らしやすいコミュニティを実現するため、プライバシーを完全に保護しつつ、社会活動への主体的参加を促し、必要なサポートが得られる仕組みを構築する。  久野 譜也  筑波大学大学院人間総合科学学術院 教授 
4 ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築 PDF ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築に係る検討タスクフォース 国立研究開発法人科学技術振興機構 ポストコロナ社会に向けて、オンラインでも対面と変わらない円滑なコミュニケーションができ、地方に住んでいても大都市と変わらない教育や仕事の機会が提供され、さらに、多様な学び方、働き方が可能な社会を実現するためのプラットフォームを構築する。  西村 訓弘  三重大学大学院地域イノベーション学研究科 教授・特命副学長 
5 海洋安全保障プラットフォームの構築 PDF 海洋安全保障プラットフォームの構築に係る検討タスクフォース 国立研究開発法人海洋研究開発機構 世界有数の海洋国家である我が国にとって安全保障上重要な海洋の保全や利活用を進めるため、海洋の各種データを収集し、資源・エネルギーの確保、気候変動への対応などを推進するプラットフォームを構築する。  石井 正一  日本 CCS 調査株式会社 顧問 
6 スマートエネルギーマネジメントシステムの構築


PDF スマートエネルギーマネジメントシステムの構築に係る検討タスクフォース 国立研究開発法人科学技術振興機構 地域におけるエネルギーの生産及び利用に係る技術の更なる高度化に加え、電力利用だけでなく熱利用についても考慮する需給調整に向けたエネルギーマネジメントシステムの構築、エネルギーマネジメントシステムを支える分散型電源関連、エネルギーキャリア関連技術の確立を目指す。  浅野 浩志  東海国立大学機構岐阜大学高等研究院地方創生エネルギーシステム研究センター特任教授
一般財団法人電力中央研究所研究アドバイザー
東京工業大学科学技術創成研究院特任教授
7 サーキュラーエコノミーシステムの構築 PDF サーキュラーエコノミーシステムの構築に係る検討タスクフォース 独立行政法人環境再生保全機構 大量に使用・廃棄されるプラスチック等素材の資源循環を加速するため、原料の調達から、設計・製造段階、販売・消費、分別・回収、リサイクルの段階までのデータを統合し、サプライチェーン全体として産業競争力の向上や環境負荷を最小化するサーキュラーエコノミーシステムの構築を目指し技術開発を行うとともに、消費者の行動変容を促す環境整備も検討する。その際、脱炭素社会の実現や環境配慮が付加価値になる情報開示に関する国際的なルール形成(TCFD、TNFD等)への対応についても併せて検討を行う。  伊藤 耕三  東京大学大学院 新領域創成科学研究科 教授 
8 スマート防災ネットワークの構築 PDF スマート防災ネットワークの構築に係る検討タスクフォース 国立研究開発法人防災科学技術研究所 気候変動等に伴い災害が頻発・激甚化する中で、平時から災害に備える総合的防災対策を強化するとともに、災害時対応として、災害・被災情報をきめ細かく予測・収集・共有し、個人に応じた防災・避難支援、自治体による迅速な救助・物資提供、民間企業と連携した応急対応などを行うネットワークを構築する。  楠 浩一  東北大学大学院 工学研究科教授
9 スマートインフラマネジメントシステムの構築 PDF スマートインフラマネジメントシステムの構築に係る検討タスクフォース 国立研究開発法人土木研究所 インフラ・建築物の老朽化が進む中で、デジタルデータにより設計から施工、点検、補修まで一体的な管理を行い、持続可能で魅力ある国土・都市・地域づくりを推進するシステムを構築する。 久田 真  筑波大学 名誉教授 
10 スマートモビリティプラットフォームの構築 PDF スマートモビリティプラットフォームの構築に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 移動する人・モノの視点から、移動手段(小型モビリティ、自動運転、MaaS、ドローン等)、交通環境のハード、ソフトをダイナミックに一体化し、安全で環境に優しくシームレスな移動を実現するプラットフォームを構築する。  石田 東生  筑波大学 システム情報系 教授
筑波大学 サイバニクス研究センター 研究統括
筑波大学 未来社会工学開発研究センター センター長
11 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備 PDF 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 人の生活空間でのロボティクスの利用拡大が見込まれる中で、ドアを開ける、モノを運ぶ、階段を登るなどのタスクに応じて、マニピュレータなどの必要な機能を提供するためのハード・ソフトのプラットフォームを構築するとともに、人へのリスク評価手法などについて検討を行う。  山海 嘉之  筑波大学 システム情報系 教授
筑波大学 サイバニクス研究センター 研究統括
筑波大学 未来社会工学開発研究センター センター長
CYBERDYNE 株式会社 代表取締役社長/CEO
12 バーチャルエコノミー拡大に向けた基盤技術・ルールの整備 PDF バーチャルエコノミー拡大に向けた基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 バーチャルエコノミーが拡大する中で、バーチャル空間での個人認証・プライバシー等のルール、バーチャル空間とつなぐ技術として5感、BMI( Brain Machine Interface)の標準化、バーチャル社会の心身への影響、社会システム設計等が求められている。 GAFAMやITベンチャー等の取組が急速な中、社会制度の設計、技術標準化、セキュリティ等に官民連携で取り組む。  持丸 正明  国立研究開発法人産業技術総合研究所
人間拡張研究センター 研究センター長 
13 先進的量子技術基盤の社会課題への応用促進 - 先進的量子技術基盤の社会課題への応用促進に係る検討タスクフォース 国立研究開発法人量子科学技術研究開発機構 量子コンピュータ、量子センシング、量子セキュリティ・ネットワークと古典コンピュータ等の従来技術システムが連携・一体化したサービス実現は、我が国の産業競争力の強化・社会課題解決等に貢献することが期待されている。また、量子コンピュータの進展による現代暗号技術の危殆化に対応するため、量子暗号技術の社会実装や、量子コンピュータ・センサを接続可能とする量子ネットワークの実現が期待されている。令和4年4月目途に策定される新たな戦略を踏まえ、取り組むべき課題を具体化する。  寒川 哲臣  日本電信電話株式会社先端技術総合研究所 所長 
14 AI・データの安全・安心な利活用のための基盤技術・ルールの整備 PDF AI・データの安全・安心な利活用のための基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 AIの利活用の拡大に当たっては、データの品質と計算能力を向上させるとともに、プライバシー、セキュリティ、倫理などが課題として挙げられる。 データの安全・安心な流通を確保しつつ、様々なステークホルダーのニーズに柔軟に対応できるデータ連携基盤を構築することが期待されている。 AI戦略の見直しを踏まえ、取り組むべき課題を具体化する。  宮本 恭幸  東京工業大学工学院電気電子系 教授 
15 マテリアルプロセスイノベーション基盤技術の整備 PDF マテリアルプロセスイノベーション基盤技術の整備に係る検討タスクフォース 国立研究開発法人物質・材料研究機構 マテリアル設計、プロセス設計上のデータ、マテリアルズ・インテグレーション技術やプロセスインフォマティクス技術を適用することで、ニーズに応じた材料を迅速に開発できるイノベーション基盤技術を整備する。  木場 祥介  ユニバーサル マテリアルズ インキュベーター株式会社 代表取締役パートナー 

 

 

 

| | Comments (0)

2022.12.02

欧州理事会ミシェル議長と習近平国家主席の会談

こんにちは、丸山満彦です。

欧州理事会 (European Council) [wikipedia] のミシェル議長が中国を訪問し、習近平国家主席と会談をしたようですね。。。

ロシアによるウクライナ侵攻についても話をしたようですね。。。

 

Euchina

欧州は、準備をした発言通りの原稿で、中国は準備した原稿ですね。。。

 

European Council

・2022.12.01 Remarks by President Charles Michel following the meeting with Chinese President Xi Jinping

Remarks by President Charles Michel following the meeting with Chinese President Xi Jinping 習近平国家主席との会談を受けたシャルル・ミシェル議長のコメント
Good afternoon, こんにちは。
First of all I would like to thank President Xi for hosting us in China today. And I would like to  present to the people of China my sincere condolences for the death of your former President Jiang Zemin. まず、今日、私たちを中国に迎えてくださった習近平国家主席に感謝いたします。そして、中国国民の皆さまに、江沢民元国家主席の死去に対する心からの哀悼の意を表したい。
The EU promotes its interests and its values in the world. I have come to Beijing to engage in a candid, in-depth, and face-to-face dialogue with China’s leadership. Today’s meeting with President Xi Jinping took some three hours. I also met with Prime minister Li Keqiang and the chairman of the National People’s Congress, Li Zhanshu. It’s our first in-person meeting since I took office, due to COVID. My last visit to China was as Belgian Prime Minister in November 2016. EUは、世界において自国の利益と価値を促進しています。私は、中国の指導者と率直で綿密な、そして直接の対話を行うために北京に来ました。本日の習近平国家主席との会談は、3時間ほどで終了しました。また、李克強首相、李湛書全国人民代表大会主席とも会談した。COVIDの関係で、私が就任してから初めての直接の会談です。私が最後に中国を訪れたのは、2016年11月にベルギー首相としてでした。
A few weeks ago, I put a discussion on the EU-China relationship on the agenda of the European Council. The 27 leaders agreed on the critical importance of the EU-China relationship. We discussed how to best manage it in Europe’s interest but also in the global interest. 数週間前、私は欧州理事会でEUと中国の関係についての議論を議題にしました。27人の首脳は、EUと中国の関係が極めて重要であることに同意しました。我々は、欧州の利益のためだけでなく、世界の利益のために、それをどのようにうまく管理するかについて議論しました。
Today, we know that the world faces multiple crises. The war in Ukraine, the energy and food crises, and the slow-down of the global economy. On top of climate change and global health. These global issues require dialogue and action. We need to discuss where we can work better together, but also to discuss and manage our differences. I believe in the power of dialogue. 今日、我々は、世界が複数の危機に直面していますことを承知しています。ウクライナ戦争、エネルギー危機と食糧危機、世界経済の減速。その上、気候変動やグローバルヘルス。これらのグローバルな問題には、対話と行動が必要です。私たちは、よりよく協力できるところを話し合うだけでなく、お互いの違いを議論し、管理する必要があります。私は、対話の力を信じています。
Both the EU and China have an interest in a rules-based world with the UN Charter at its core. EUも中国も、国連憲章を中核とするルールベースの世界に関心を持っています。
We had the occasion to discuss Russia’s war against Ukraine. China is a global player and a Permanent Member of the UN Security Council. We all share the responsibility to work for peace and for the respect of the fundamental principles of the United Nations Charter. I urged President Xi — as we did at our EU-China Summit in April — to use his influence on Russia to respect the UN charter. 我々は、ロシアのウクライナに対する戦争について議論する機会がありました。中国はグローバルプレイヤーであり、国連安全保障理事会の常任理事国です。私たちは皆、平和のために、そして国連憲章の基本原則の尊重のために努力する責任を共有しています。私は習主席に-4月のEU・中国首脳会議で行ったように-、ロシアに対して国連憲章を尊重するよう影響力を行使するよう促しました。
The Kremlin’s attack on a sovereign nation blatantly violates international law. President Xi and I agreed that nuclear threats are not acceptable and highly dangerous, and endanger the international community. クレムリンによる主権国家への攻撃は、国際法にあからさまに違反しています。習主席と私は、核による威嚇は容認できるものではなく、非常に危険であり、国際社会を危うくするものであるとの認識で一致しました。
I also raised the issue of human rights, fundamental freedoms and the rights of minorities. 私はまた、人権、基本的自由、少数民族の権利の問題を提起しました。
Human rights are universal. I welcome the readiness to resume the EU-China Human Rights Dialogue. We will follow up on this commitment. This format has not convened for more than three years.  So, this is an important signal. The Dialogue will allow us to focus on wider human rights policy issues and on individual cases. The right of peaceful assembly is a fundamental right enshrined both in the Universal Declaration of Human Rights and in national constitutions. 人権は普遍的なものです。私は、EU・中国人権対話を再開する用意があることを歓迎します。我々は、このコミットメントをフォローしていきます。この形式は3年以上開催されていません。  従って、これは重要な信号です。この対話により、我々はより広範な人権政策上の問題や個別の事例に焦点を当てることができるようになります。平和的な集会の権利は、世界人権宣言にも各国の憲法にも明記されている基本的な権利です。
I also raised the situation of minorities. We discussed for instance at length the situation in Xinjiang. This is not about interfering with internal affairs. It’s about upholding the principles agreed by the UN for decades and this also applies to Hong Kong. It’s essential that we continue to talk. 私はまた、少数派の状況についても提起しました。例えば、新疆ウイグル自治区の状況についてじっくりと話し合いました。これは内政干渉の問題ではありません。国連が何十年にもわたって合意してきた原則を守ることであり、これは香港にも適用されます。私たちが話し合いを続けることは不可欠です。
We also discussed issues related to the wider Asian region. The EU will have a summit with the ASEAN countries in two weeks. We are deeply connected with our ASEAN partners. We are committed to a peaceful Indo-Pacific and Southeast China Sea. We recall the importance of de-escalating tensions in the region. We need to maintain freedom of navigation and overflight in the region and beyond. また、より広いアジア地域に関連する問題についても議論しました。EUは2週間後にASEAN諸国との首脳会議を開催する予定です。私たちはASEANのパートナーたちと深く結びついています。我々は、平和的なインド太平洋および東南アジアの中国海に対してコミットしています。我々は、この地域の緊張を緩和することの重要性を想起します。我々は、この地域とそれ以外の地域における航行と上空飛行の自由を維持する必要があります。
We also discussed Taiwan. The EU is committed to and maintains its One China Policy. I repeated the longstanding position of the EU on Taiwan and the Taiwan strait. 我々は、また、台湾について議論しました。EUは、「一つの中国」政策にコミットし、これを維持しています。私は、台湾と台湾海峡に関するEUの長年の立場を繰り返しました。
The EU has a strong interest in peace and stability across the Taiwan Strait: 40% of our trade passes through it. It is important to promote stability and prosperity in East Asia. We also discussed the situation in the DPRK and Myanmar. EUは、台湾海峡の平和と安定に強い関心を持っており、我々の貿易の40%は台湾海峡を通過しています。東アジアの安定と繁栄を促進することは重要です。我々はまた、北朝鮮とミャンマーにおける状況についても議論しました。
We also had the occasion to address both bilateral and global economic issues, a key topic of my visit here today in China. European leaders insisted on this point. また、今日、私がこの中国を訪問した際の重要なテーマである、二国間および世界経済の問題にも言及する機会を得ました。欧州の指導者たちは、この点を強く主張しました。
China is our top trading partner in goods amounting to almost EUR 2 billion every day and China accounts for over 22% of European imports. China’s growth in recent decades has benefited both China and the EU and has contributed substantially to China’s dramatic economic transformation. 中国は、毎日ほぼ20億ユーロにのぼる商品で我々の最大の貿易相手国であり、欧州の輸入の22%以上を中国が占めています。ここ数十年の中国の成長は、中国とEUの双方に恩恵をもたらし、中国の劇的な経済変革に大きく寄与してきました。
But I also set out the difficulties faced by EU companies and investors. On the European side, market access remains very open, while in China several sectors remain much more closed. We need greater reciprocity, we need a more balanced relationship with no overdependencies, a real level-playing field for our companies. We need to strike the right balance. A shift into ‘self-reliance’ carries dangers not only for China and the EU but also for the world. しかし、EUの企業や投資家が直面しています困難も指摘した。欧州側では、市場アクセスは依然として非常に開放的であるが、中国ではいくつかの分野がより閉鎖的です。我々はより大きな互恵関係を必要とし、過度な依存関係のない、よりバランスのとれた関係を必要とし、我々の企業にとって本当に公平な競争の場が必要です。私たちは適切なバランスをとる必要があるのです。自立」への移行は、中国とEUだけでなく、世界にとっても危険です。
We believe in free trade, in cooperation; but we need balance and fairness. So, we need to work more on the issues hampering our broad trade relationship and there are channels for that. We believe that trade and investment must be governed by rules, by a reformed World Trade Organization. 私たちは自由貿易や協力を信じていますが、バランスと公平性が必要です。ですから、我々の広範な貿易関係を妨げている問題にもっと取り組む必要がありますし、そのためのチャンネルもあります。我々は、貿易と投資は、改革された世界貿易機関(WTO)によって、ルールによって管理されなければならないと考えています。
We also discussed global issues — such as climate change, health, and the Sustainable Development Goals. We can only meet the challenges of climate change globally and this cannot be done without China.  我々はまた、気候変動、健康、持続可能な開発目標などのグローバルな問題についても議論しました。私たちは、気候変動という課題にグローバルに対応することができ、これは中国抜きではできません。 
On health, we are cooperating on the initiative for a Pandemic Treaty. This is a concrete example of international cooperation. 健康問題では、私たちはパンデミック条約に向けたイニシアティブで協力しています。これは国際協力の具体例です。
Finally, China has a key role to play in issues of common interest, especially for developing countries. For example, on debt reduction, food, and energy issues. 最後に、中国は、特に途上国にとって共通の利益となる問題において重要な役割を担っています。例えば、債務削減、食糧問題、エネルギー問題などです。
We also exchanged views about the COVID situation. The recovery from the COVID pandemic remains a shared priority. I stressed that, in Europe, vaccines have proved especially effective in reducing the number of severe COVID cases and fatalities. また、COVIDの状況について意見交換を行いました。COVIDのパンデミックからの復興は、依然として共通の優先事項です。私は、欧州において、ワクチンがCOVIDの重症患者数および死亡者数の減少に特に有効であることが証明されたことを強調しました。
Today I conveyed key messages on geopolitical, economic, and global issues. We need to make sure that communication channels remain open and that they are used effectively. 本日、私は地政学的、経済的、そしてグローバルな問題についての重要なメッセージをお伝えしました。私たちは、コミュニケーション・チャンネルを常にオープンにし、それを効果的に活用する必要があります。
With China, engaging openly on all aspects of our relationship is the only way forward. We agreed to continue our exchanges in light of the next EU-China Summit in 2023. Thank you. 中国とは、我々の関係のあらゆる側面についてオープンに関与することが、前進する唯一の道です。我々は、2023年の次回のEU・中国首脳会議に向け、我々の交流を継続することに合意した。ありがとうございました。

 

 

中国政府

・2022.12.01 习近平同欧洲理事会主席米歇尔举行会谈

习近平同欧洲理事会主席米歇尔举行会谈 習近平、ミシェル欧州理事会議長と会談
新华社北京12月1日电 12月1日上午,国家主席习近平在人民大会堂同欧洲理事会主席米歇尔举行会谈。 北京12月1日:習近平国家主席は1日午前、人民大会堂でミシェル欧州理事会議長と会談しました。
习近平指出,米歇尔主席代表欧盟全体成员国在中共二十大结束后不久访华,体现了欧盟发展对华关系的良好意愿。中欧是维护世界和平的两大力量、促进共同发展的两大市场、推动人类进步的两大文明。中欧关系保持向前向上势头,坚持互利共赢,符合中欧和国际社会的共同利益。国际形势越动荡,全球挑战越突出,中欧关系的世界意义就越凸显。 習近平は、ミシェル議長が全EU加盟国を代表して中国共産党第20回全国代表大会直後に中国を訪問したことは、中国との関係発展に対するEUの善意を反映したものであると指摘しました。 中国とヨーロッパは、世界平和を維持するための2大勢力であり、共同発展を促進するための2大市場であり、人類の進歩を促進するための2大文明です。 中欧関係の上昇気流を維持し、互恵とウィンウィンを主張することは、中国、欧州、国際社会の共通の利益です。 国際情勢が激動し、世界的な課題が顕著になればなるほど、中欧関係の世界的な意義が浮き彫りになります。
习近平说,江泽民同志昨天因病抢救无效在上海逝世。江泽民同志担任中国国家领导人期间,高度重视和关心中欧关系发展,曾多次访问欧洲国家,同欧盟和欧洲国家领导人保持密切交往,推动建立了中国-欧盟领导人会晤机制,促进了双方各领域对话合作。我们将继承他的遗志,继续巩固发展好中欧关系。中方将继续从战略高度和长远角度看待和发展中欧关系,愿同欧方加强战略沟通协调,推动中欧全面战略伙伴关系行稳致远。 習近平は、江沢民同志が昨日、病気のため上海で死去したと発表しました。 江沢民同志は、中国の指導者としての在任中、中国-EU関係の発展を非常に重視し、関心を寄せており、何度も欧州諸国を訪問し、EUおよび欧州の指導者と緊密に連絡を取り、中国-EU首脳会議メカニズムの構築を推進し、両者の各分野における対話と協力を育んできました。 私たちは彼の遺志を受け継ぎ、中国とEUの関係を強固なものにし、発展させていきたいと思います。 中国は引き続き、中国・EU関係を戦略的かつ長期的な観点から捉え、発展させていきます。また、中国・欧州間の安定的かつ遠大な包括的戦略パートナーシップを促進するため、欧州側との戦略的コミュニケーションと協調を強化する用意がある、と述べました。
习近平介绍了中共二十大重要成果和中国式现代化的5个特征。习近平强调,当前,世界之变、时代之变、历史之变加速演进,各国都在思考未来之路,中共二十大给出了中国答案,那就是:对内坚持中国特色社会主义道路,坚持以人民为中心的发展思想,坚持深化改革开放;对外坚定奉行独立自主的和平外交政策,坚持维护世界和平、促进共同发展的外交宗旨,致力于推动构建人类命运共同体。中国的发展是世界和平力量的增长,中国永远不称霸、永远不搞扩张。这是中国共产党的庄严政治承诺,反映了14亿多中国人民的意志。我们有信心有能力以自身制度的稳定、治理的稳定、政策的稳定、发展的稳定,不断为国际社会注入宝贵的确定性稳定性。中国式现代化和欧洲一体化是中欧各自着眼未来做出的选择。双方应该相互理解、相互支持。中方期待欧盟成为中国走中国式现代化道路的重要伙伴,共享中国超大市场机遇、制度型开放机遇、深化国际合作机遇。 習近平は、第20回中国共産党全国代表大会の重要な成果と中国式近代化の5つの特色を発表しました。 習近平氏は、現在、世界、時代、歴史の変化が加速し、各国が進むべき道を考えており、第20回中国共産党全国代表大会は、中国の特色ある社会主義の道を堅持し、人民を中心とする発展思想を貫き、改革開放を深化させ、平和の自主外交政策をしっかりと追求し、世界平和を守り共同発展を促す外交政策を堅持し、人類の運命の構築に尽力するという中国の答えを出したと強調しました。 人間の運命共同体の構築を推進することを目的としています。 中国の発展は、世界の平和のための力の増大であり、中国は決して覇権を主張したり、拡張に関与することはありません。 これは中国共産党の厳粛な政治的コミットメントであり、14億人を超える中国国民の意思を反映したものです。 私たちは、自らのシステム、ガバナンス、政策、発展の安定性をもって、国際社会に価値ある確実性と安定性を継続的に注入する自信と能力をもっています。 中国式近代化と欧州統合は、中国と欧州がそれぞれ将来を見据えて選択したものです。 双方がお互いを理解し、サポートすることが大切です。 中国は、EUが中国式の近代化の道を歩む中国の重要なパートナーとなり、中国の巨大市場、制度的開放性、国際協力の深化の機会を共有することを期待しています。
习近平就中欧关系发展提出四点看法: 習近平は、中国-EU関係の発展について、4つのポイントを提示しました。
一是要秉持正确认知。中欧之间没有根本战略分歧和冲突。中方不想称王称霸,从不搞、今后也不会搞制度输出。中方支持欧盟战略自主,支持欧洲团结繁荣。希望欧盟机构和成员国建立客观正确的对华认知,对华政策坚守和平共处,坚持互利共赢,超越冷战思维和意识形态对立,超越制度对抗,反对各种形式的“新冷战”。 まず、正しい認識を持つことです。 中国と欧州の間には、根本的な戦略的相違や対立はありません。 中国は覇権を主張したいわけではなく、これまでにも、そしてこれからも体制輸出を行うことはないでしょう。 中国は、EUの戦略的自立と欧州の統一と繁栄を支持します。 EUの機関および加盟国が、中国に対する客観的で正しい認識を確立し、対中政策において平和共存と互恵を堅持し、冷戦思考やイデオロギー的対立を超え、制度的対立を超え、あらゆる形態の「新冷戦」に反対することを希望します。
二是要妥善管控分歧。中欧历史文化、发展水平、意识形态存在差异,双方在一些问题上看法不同很正常,应该以建设性态度保持沟通协商,关键是尊重彼此重大关切和核心利益,特别是尊重主权、独立、领土完整,不干涉对方内政,共同维护中欧关系的政治基础。中方愿在平等和相互尊重基础上举行中欧人权对话。 第二に、違いを適切に管理することです。 重要なのは、互いの主要な関心事と核心的利益、特に主権、独立、領土保全を尊重し、互いの内政に干渉せず、中国-ヨーロッパ関係の政治的基礎を共同で維持することです。 中国は、平等と相互尊重を基本として、中国-EU人権対話を開催することを望んでいます。
三是要开展更高水平合作。欧洲是中国快速发展的重要伙伴,也是受益者。中国将实行高水平对外开放,加快构建新发展格局,欢迎欧方继续参与、继续共赢。双方要加强宏观经济政策协调,加强市场、资本、技术优势互补,共同打造数字经济、绿色环保、新能源、人工智能等新增长引擎,共同确保产业链供应链安全稳定可靠,共同反对搞“脱钩断链”、保护主义,共同反对把经贸科技交流政治化武器化。中方将向欧洲企业保持开放,希望欧盟排除干扰,为中国企业提供公平、透明的营商环境。 第三に、より高いレベルの協力が必要です。 欧州は中国の急速な発展にとって重要なパートナーであり、受益者でもあります。 中国は高水準の対外開放を実施し、新たな発展パターンの構築を加速させるとともに、欧州側が引き続き参加し、共に勝利を収めることを歓迎します。 双方はマクロ経済政策の協調を強化し、市場・資本・技術の優位性の補完性を高め、デジタル経済・グリーン環境保護・新エネルギー・人工知能などの新成長エンジンを共同で構築し、産業チェーンのサプライチェーンの安全性と安定性を共同で確保し、「デカップリングと連鎖破壊」と保護主義に共同で反対し、経済・貿易・技術交流の政治化には共同で反対する必要があります。中国は欧州企業に対して引き続き開放的であり、EUが干渉を排除し、中国企業に公正で透明なビジネス環境を提供することを希望しています。
四是要加强国际协调合作。中欧都主张维护以联合国为核心的国际体系,可以共同践行真正的多边主义,合力应对挑战,共同维护世界和平与发展。双方要引领全球应对气候变化和生物多样性保护、能源安全和粮食安全、公共卫生等努力,加强各自优质公共产品和合作平台的对接协作。欢迎欧方参与共建“一带一路”、全球发展倡议,同欧盟“全球门户”战略有机对接,通过现有各种机制,推动各领域对话合作取得更多成果。 第四に、国際的な協調・協力を強化することです。 中国と欧州はともに、国連を中核とする国際システムの維持を提唱しており、真の多国間主義を実践し、課題に取り組む努力を共にし、世界の平和と発展を守るために協力し合うことができます。 双方は、気候変動と生物多様性保全、エネルギー安全保障と食糧安全保障、公衆衛生へのグローバルな取り組みを主導し、それぞれの高品質な公共財と協力プラットフォームのドッキングと連携を強化すべきです。 我々は、欧州側が「一帯一路」やグローバルな開発イニシアティブに参加し、EUの「グローバル・ゲートウェイ」戦略と連携することを歓迎し、既存の様々なメカニズムを通じて様々な分野での対話と協力を推進し、より多くの成果を挙げていきます。
米歇尔祝贺习近平再次连任中共中央总书记,代表欧盟对江泽民同志因病逝世表示沉痛哀悼。他表示,当前国际形势和地缘政治正在经历深刻复杂变化,国际社会面临诸多挑战和危机。中国不搞扩张,是维护联合国宪章宗旨和支持多边主义的重要伙伴。欧方珍惜在中共二十大后不久即同中方进行最高层次面对面会晤的机会,愿本着相互尊重和坦诚的精神,同中方就欧中关系各方面重要问题进行深入讨论,增进相互了解,促进对话合作,妥善处理分歧。欧盟坚持战略自主,致力于加强自身能力建设,推进欧洲一体化。欧盟坚持一个中国政策,尊重中国的主权和领土完整,不会干涉中国内政。欧盟愿做中方可靠、可预期的合作伙伴。欧方愿意同中方办好下阶段高层交往,通过加强直接对话合作,减少误解误判,加强沟通协作,更好共同应对能源危机、气候变化、公共卫生等全球性挑战。欧方愿同中方继续推进欧中投资协定的进程,增强供应链稳定互信,深化欧中各领域互利合作。 ミシェル氏は、習近平氏が中国共産党中央委員会総書記に再選されたことに祝意を表し、欧州連合を代表して、同志江沢民が長い闘病生活の末に亡くなったことへの深い悲しみを表明しました。 現在の国際情勢や地政学は深遠かつ複雑な変化を遂げており、国際社会は多くの課題や危機に直面している、と述べました。 中国は膨張に関与せず、国連憲章の目的を守り、多国間主義を支持する重要なパートナーです。 欧州連合は、中国共産党第20回全国代表大会の直後に中国と最高レベルで直接会う機会を大切にし、相互尊重と率直さの精神の下、欧州と中国の関係のあらゆる側面における重要問題について中国と深く話し合い、相互理解を深め、対話と協力を促進し、相違点を適切に管理する用意があります。 EUは戦略的自治を堅持し、自らの能力開発を強化し、欧州統合を推進することを約束します。 EUは一帯一路の方針を堅持し、中国の主権と領土の一体性を尊重し、中国の内政に干渉することはありません。 EUは中国にとって信頼できる予測可能なパートナーになることを望んでいます。 欧州側は、中国とのハイレベル接触の次の段階を組織し、強化された直接対話と協力を通じて誤解や判断を減らし、コミュニケーションと協力を強化し、エネルギー危機、気候変動、公衆衛生などの地球規模の課題に共によりよく取り組むことに意欲を示しています。 欧州側は、EU・中国投資協定のプロセスを促進し、サプライチェーンの安定性において相互信頼を高め、様々な分野で欧州と中国の互恵的な協力を深めるために、引き続き中国と協力していくことを望んでいます。
双方就乌克兰危机交换意见。习近平阐述了中方的原则立场,指出,中国有句古话,“城门失火,殃及池鱼”。通过政治方式解决乌克兰危机,最符合欧洲利益,最符合亚欧大陆各国共同利益。当前形势下,要避免危机升级扩大,坚持劝和促谈,管控危机外溢影响,警惕阵营对抗风险。中方支持欧盟加大斡旋调解,引领构建均衡、有效、可持续的欧洲安全架构。中方始终站在和平一边,将继续以自己的方式发挥建设性作用。 ウクライナ危機について意見交換を行いました。 習近平は、中国の原則的な立場を詳しく説明し、「城門の火は池の魚に影響する」という中国の古いことわざがあることを指摘しました。 ウクライナの危機を政治的手段で解決することは、欧州の最善の利益であり、アジアと欧州のすべての国の共通の利益です。 現在の状況下では、危機のエスカレーションと拡大を避け、説得と和平交渉の推進を主張し、危機の波及効果を管理し、陣営間の対立のリスクに対して警戒する必要があります。 中国は、欧州連合が調停努力を強化し、バランスのとれた、効果的で持続可能な欧州の安全保障アーキテクチャの構築を主導していますことを支持します。 中国は常に平和の側に立っており、今後も独自の方法で建設的な役割を担っていくでしょう。
王毅、何立峰等参加上述活动。 上記の活動には、Wang YiとHe Lifengが参加しました。

 

 

なお、江沢民元国家主席がなくなったということで、中国政府関係のウェブのトップページは白黒になっていますね。。。

20221201-235251

 

| | Comments (0)

2022.11.30

米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)

こんにちは、丸山満彦です。

米国国防総省がゼロトラスト戦略とロードマップを公表していますね。。。

2027年に向けて。。。と言う感じですね。。。

しかし、CIOの図書館の情報はたくさんありますね。。。

 

U.S. Department of Defense - Chief Information Officer Library

・2022.11.17 [PDF] DoD Zero Trust Strategy

20221130-23312

目次...

Executive Summary エグゼクティブサマリー
Introduction 序文
Vision ビジョン
DoD Zero Trust Approach 国防総省のゼロ・トラスト・アプローチ
Strategic Assumptions 戦略的前提
Strategic Goals and Objectives 戦略的な目標と目的
Execution Approach 実行アプローチ
Summary 概要
APPENDIX A: DoD Zero Trust Capabilities (Target & Advanced Levels) 附属書 A:国防総省のゼロ・トラスト能力(目標レベル、上級レベル)
APPENDIX B: DoD Zero Trust Activities (Target & Advanced Levels) 附属書 B:国防総省のゼロ・トラスト活動(目標レベル、上級レベル)
APPENDIX C: DoD Zero Trust Capability Roadmap (by Fiscal Year) 附属書 C:国防総省のゼロ・トラスト・ケイパビリティ・ロードマップ(年度別)
APPENDIX D: DoD Zero Trust Strategic and Execution Milestones (FY2023 – FY2024) 附属書 D.国防総省のゼロ・トラスト戦略及び実行マイルストーン(2023年度~2024年度)
APPENDIX E: References 附属書 E:参考文献
APPENDIX F: Acronyms / Definitions 附属書 F:略語/定義


エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
"Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life."  「漸進的な改善では、私たちが必要とする安全保障を得ることはできない。連邦政府は、米国の生活様式を支える重要な制度を守るために、大胆な変更と大規模な投資を行う必要がある。」
— Executive Order on Improving the Nation’s Cybersecurity 12 May 2021  ・国家のサイバーセキュリティの改善に関する大統領令 2021年5月12日 
Five Years into the Future  5年後の未来へ 
The Department of Defense's (DoD) risk-based Zero Trust Framework employed across the Joint Force and the defense ecosystem protects our information systems[1] from increasingly sophisticated attacks as our adversaries seek to affect our warfighters and DoD mission success. Zero Trust principles are now integrated into each of the five cybersecurity functions that represent key elements of a successful and holistic cybersecurity program – Identify, Protect, Detect, Respond, and Recover.[2] As a result, DoD will successfully mitigate attempts to deny, degrade, disrupt, deceive, or destroy our information systems. Operators at all levels are confident that the data accessed, the assets deployed, the applications used, and the services provided are secured and resilient.  統合軍と防衛エコシステムに採用されている国防総省(DoD)のリスクベースのゼロ・トラスト・フレームワークは、敵が戦闘員と国防総省のミッションの成功に影響を与えようとする中、ますます巧妙になる攻撃から我々の情報システム[1]を保護する。ゼロ・トラストの原則は、現在、成功した全体的なサイバーセキュリティ・プログラムの重要な要素である、識別、保護、検出、対応、回復の5つのサイバーセキュリティ機能のそれぞれに統合されている。 その結果、国防省は、情報システムを拒否、劣化、混乱、欺瞞、破壊しようとする試みをうまく軽減することができるようになった。あらゆるレベルのオペレーターは、アクセスするデータ、配備された資産、使用するアプリケーション、提供するサービスが安全でレジリエンスに優れていると確信している。
Today  今日 
The Department's Information Enterprise is under wide scale and persistent attack from known and unknown malicious actors. The Department’s most consequential strategic competitor and the pacing challenge for the Department, the People’s Republic of China,[3] as well as other state-sponsored adversaries and individual malicious actors often breach the Department’s defensive perimeter and roam freely within our information systems. The Department must act now.  米国防総省の情報エンタープライズは、既知および未知の悪質な行為者から大規模かつ持続的な攻撃を受けている。米国防省にとって最も重要な戦略的競合相手であり、ペースメーカーでもある中華人民共和国[3]をはじめ、国家が支援する敵対勢力や個人の悪質な行為者が国防総省の防衛境界を突破し、情報システムの中を自由に動き回ることがよくある。国防総省は今すぐ行動を起こさなければならない。
Vulnerabilities exposed by data breaches inside and outside the Department of Defense demonstrate the need for a new, more robust cybersecurity framework that facilitates well-informed risk-based decisions.[4] Zero Trust security eliminates the traditional idea of perimeters, trusted networks, devices, personas, or processes and shifts to multi-attribute-based levels of confidence that enable authentication and authorization policies founded on the concept of least privileged access. Implementing the Zero Trust Framework requires designing a more efficient architecture that enhances security, the user experience, and overall mission performance.   国防総省内外のデータ侵害によって露呈した脆弱性は、十分な情報に基づくリスクベースの意思決定を促進する、より堅牢な新しいサイバーセキュリティの枠組みの必要性を示している[4]。ゼロトラストセキュリティは、従来の境界、信頼できるネットワーク、デバイス、人物、プロセスという考え方を排除し、最小特権アクセスの概念に基づいた認証および承認ポリシーを可能にする複数属性ベースの信頼レベルへとシフトする。Zero Trustフレームワークを導入するには、セキュリティ、ユーザーエクスペリエンス、ミッションパフォーマンス全体を向上させる、より効率的なアーキテクチャを設計する必要がある。 
Zero Trust uses continuous multi-factor authentication, micro-segmentation, advanced encryption, endpoint security, analytics, and robust auditing, among other capabilities, to fortify data,  ゼロ・トラストは、継続的な多要素認証、マイクロセグメンテーション、高度な暗号化、エンドポイントセキュリティ、分析、堅牢な監査などの機能を使って、データを強化する。
applications, assets, and services to deliver cyber resiliency. The Department is evolving to become a more agile, more mobile, cloud-supported workforce, collaborating with the entirety of DoD enterprise, including federal and non-federal organizations and mission partners working on a variety of missions. The Zero Trust Framework will reduce the attack surface, reduce risk, offer opportunities to manage the full range of risks (e.g., policy, programming, budgeting, execution, cybersecurity-specific, and others) and enable more effective data-sharing in partnership environments. It will also ensure that any adversary damage is quickly contained and remediated if a device, network, user, or credential is compromised.   データ、アプリケーション、資産、サービスを強化し、サイバーレジリエンスを実現する。国防総省は、より機敏に、よりモバイルに、クラウドをサポートする労働力となるべく進化しており、さまざまなミッションに取り組む連邦政府と非連邦政府組織、ミッションパートナーを含む国防総省エンタープライズ全体と協働している。ゼロ・トラスト・フレームワークは、攻撃対象領域を減らし、リスクを低減し、あらゆるリスク(政策、計画、予算、実行、サイバーセキュリティ特有のもの、その他)を管理する機会を提供し、パートナーシップ環境においてより効果的なデータ共有を可能にするものである。また、デバイス、ネットワーク、ユーザー、クレデンシャルが侵害された場合、敵の被害を迅速に食い止め、修復できるようにする。 
This strategy lays out the Department's vision for Zero Trust and sets a path to achieve it. It includes the strategic assumptions and principles that will inform and guide the adoption of ZT and the strategic goals and objectives. The four strategic goals outlined in this strategy are: 1. Zero Trust Culture Adoption, 2. DoD Information Systems Secured and Defended, 3. Technology Acceleration, and 4. Zero Trust Enablement. The strategy also refers to the seven DoD Zero Trust Pillars, which is the basis for the strategy's Zero Trust Capability Roadmap, a capabilities-based execution plan, and the DoD Zero Trust and Cybersecurity Reference Architectures. Finally, this strategy provides highlevel guidance on resourcing and acquisition, measurement and metrics, and governance. The appendices include strategic and execution milestones, as well as references and definitions.   この戦略では、ゼロ・トラストに対する省庁のビジョンを示し、それを達成するための道筋を定めている。この戦略には、ZT の導入に情報を提供し導く戦略的前提および原則と、戦略的目標および目的が含まれている。この戦略で概説されている4つの戦略目標は以下の通りである。1. ゼロ・トラスト文化の採用、2. DoD情報システムの安全確保と防衛、3. テクノロジーの加速、4. ゼロ・トラストの実現である。Zero Trust Enablement(ゼロ・トラストの実現)である。また、この戦略では、7つのDoD Zero Trust Pillarsに言及しており、これは、この戦略のZero Trust Capability Roadmap、能力ベースの実行計画、DoD Zero Trust and Cybersecurity Reference Architecturesの基礎になっている。最後に、この戦略は、人材調達と買収、測定とメトリック、およびガバナンスに関するハイレベルなガイダンスを提供する。附属書には、戦略および実行のマイルストーン、参考文献、定義が記載されている。 
To accelerate Zero Trust implementation within the DoD Information Enterprise, the Department must continue to examine how to streamline and enforce resource priorities to meet the requirements envisioned by this strategy. In January 2022, the DoD CIO established a Zero Trust Portfolio Management Office (PfMO) to orchestrate DoD-wide Zero Trust execution, simplify and streamline existing policies and coordinate the prioritization of resources to accelerate Zero Trust adoption within the DODIN enterprise.  国防総省の情報エンタープライズにおけるゼロ・トラストの実施を加速するために、同省は、この戦略で想定される要件を満たすために、リソースの優先順位を合理化して実施する方法を引き続き検討する必要がある。2022年1月、国防総省CIOは、国防総省全体のゼロ・トラスト実行を指揮し、既存のポリシーを簡素化して合理化し、リソースの優先順位を調整して、DODINエンタープライズ内のゼロ・トラスト導入を加速するために、ゼロ・トラスト・ポートフォリオ管理オフィス(PfMO)を設立した。
Figure 1 below depicts a concise view of the vision, goals, and objectives the Department will achieve by implementing the strategy.[5]   以下の図1は、戦略を実施することによって国防総省が達成するビジョン、目標、目的を簡潔に表したものである[5]。 
Figure 1. DoD Zero Trust Strategy-at-a-Glance  図1. DoDゼロトラスト戦略-一覧 
20221130-24246
[1] Information system includes “a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information”. See DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p. 17.   [1] 情報システムには、「情報の収集、処理、維持、使用、共有、普及、または処分のために組織された情報資源の個別の集合」が含まれる。DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p.17 を参照のこと。 
[2] See US National Institute of Standards and Technology (NIST), Special Publication 1271, Getting Started with the NIST Cybersecurity Framework: A Quick Start Guide, 6 August 2021, for descriptions of cybersecurity core functions and a set of guidelines for mitigating organizational cybersecurity risks.   [2] 米国国立標準技術研究所(NIST)、特別刊行物 1271、Getting Started with the NIST Cybersecurity Framework を参照すること。A Quick Start Guide, 6 August 2021, サイバーセキュリティの中核機能の説明と、組織のサイバーセキュリティリスクを軽減するためのガイドライン一式を参照。 
[3] Fact Sheet: 2022 National Defense Strategy, 28 March 2022.  [3] ファクトシート。2022年国家防衛戦略、2022年3月28日。
[4] Risk” refers to probability of an undesired event or condition and 2) the consequences, impact, or severity of the undesired event, were it to occur. See DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p. 3  [4] リスクとは、望ましくない事象や状態の発生確率と、2)望ましくない事象が発生した場合の結果、影響、または重大性のことである。DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p.3 を参照。
21-Oct-22 21-Oct-22
[5] See Figure 4 in this document for an outcome description of each goal and objective.  [5] 各目標と目的の成果の説明については、本書の図 4 を参照のこと。
21-Oct-22 10月21日-22日

 

プレス...

・2022.11.22 Department of Defense Releases Zero Trust Strategy and Roadmap

Department of Defense Releases Zero Trust Strategy and Roadmap 国防総省がゼロ・トラスト戦略とロードマップを発表
Today, the Department of Defense released the Department of Defense Zero Trust Strategy and Roadmap. 本日、国防総省は「国防総省のゼロ・トラスト戦略とロードマップ」を発表した。
Current and future cyber threats and attacks drive the need for a Zero Trust approach that goes beyond the traditional perimeter defense approach. The Department intends to implement distinct Zero Trust capabilities and activities as outlined in the strategy and associated Roadmap by FY27. 現在および将来のサイバー脅威と攻撃は、従来の境界防御のアプローチを超えたゼロ・トラスト・アプローチの必要性を促している。国防総省は、この戦略および関連するロードマップで説明されているように、明確なゼロ・トラスト能力と活動を27年度までに実施する意向である。
The strategy envisions a DoD Information Enterprise secured by a fully implemented, Department-wide Zero Trust cybersecurity framework that will reduce the attack surface, enable risk management and effective data-sharing in partnership environments, and quickly contain and remediate adversary activities. この戦略は、完全に実装された省全体のゼロ・トラスト・サイバーセキュリティの枠組みによって保護された国防総省の情報エンタープライズを想定しており、攻撃対象を減らし、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を迅速に抑制・是正するものである。
The strategy outlines four high-level and integrated strategic goals that define what the Department will do to achieve its vision for ZT: この戦略では、ZT のビジョンを達成するために省が何を行うかを定義する、4 つのハイレベルで統合的な戦略目標が概説されている。
•    Zero Trust Cultural Adoption – All DoD personnel are aware, understand, are trained, and committed to a Zero Trust mindset and culture and support integration of ZT. ・ゼロ・トラスト文化の採用:国防総省の全職員がゼロ・トラストの考え方と文化について認識,理解,訓練され,ZTの統合を支援する。
•    DoD information Systems Secured and Defended – Cybersecurity practices incorporate and operationalize Zero Trust in new and legacy systems.  ・国防総省の情報システムの保護と防御:サイバーセキュリティの実践により、新規およびレガシーシステムにゼロ・トラストが組み込まれ、運用される。 
•    Technology Acceleration – Technologies deploy at a pace equal to or exceeding industry advancements. ・技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。
•    Zero Trust Enablement – Department- and Component-level processes, policies, and funding are synchronized with Zero Trust principles and approaches. ・ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、および資金がゼロ・トラストの原則とアプローチに同期している。
Implementing Zero Trust will be a continuous process in the face of evolving adversary threats and new technologies. Additional Zero Trust enhancements will be incorporated in subsequent years as technology changes and our Nation's adversaries evolve.   ゼロ・トラストの導入は、進化する敵の脅威や新しい技術に直面する継続的なプロセスである。ゼロ・トラストの追加的な強化は、技術の変化や我が国の敵の進化に合わせて、次年度以降に取り入れられる予定である。 
The Department of Defense Zero Trust Strategy and Roadmap can be found at the DoD CIO library. 国防総省のゼロ・トラスト戦略とロードマップは、国防総省CIOライブラリで見ることができる。

 

・ブログ

・2022.11.28 DOD Releases Path to Cyber Security Through Zero Trust Architecture

DOD Releases Path to Cyber Security Through Zero Trust Architecture DOD、ゼロ・トラスト・アーキテクチャーによるサイバーセキュリティへの道筋を発表
The Defense Department on Tuesday released its Zero Trust Strategy and Roadmap, which spells out how it plans to move beyond traditional network security methods to achieve reduced network attack surfaces, enable risk management and effective data-sharing in partnership environments, and contain and remediate adversary activities over the next five years. 国防総省は火曜日、「ゼロ・トラスト戦略およびロードマップ」を発表した。これは、今後5年間で、従来のネットワークセキュリティ手法を越えて、ネットワーク攻撃面の削減を実現し、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を封じ込めて修復する計画について明記しているものである。
"Zero trust is a framework for moving beyond relying on perimeter-based cybersecurity defense tools alone and basically assuming that breach has occurred within our boundary and responding accordingly," David McKeown, the department's acting chief information officer, said.  「ゼロトラストは、境界ベースのサイバーセキュリティ防御ツールだけに頼るのではなく、基本的に我々の境界内で侵害が発生したと仮定し、それに応じて対応するための枠組みである」と、同省の最高情報責任者代理であるデデヴィット・マッキューン氏は述べた。
McKeown said the department has spent a year now developing the plans to get the department to a zero trust architecture by fiscal year 2027. Included in that effort was development of a Zero Trust Portfolio Management Office, which stood up earlier this year.  マッキューンは、同省が2027会計年度までにゼロ・トラスト・アーキテクチャーを実現するための計画を策定するのに1年を費やしたことを明らかにした。その努力に含まれるのが、今年初めに立ち上がったゼロトラスト・ポートフォリオ管理オフィスの開発だ。 
"With the publication of this strategy we have articulated the 'how' that can address clear outcomes of how to get to zero trust — and not only accelerated technology adoption, as discussed, but also a culture of zero trust at DOD and an integrated approach at the department and the component levels."  この戦略の発表により、我々はゼロトラストに到達するための明確な成果、つまり議論されているような技術導入の加速だけでなく、DODにおけるゼロトラストの文化や、部門およびコンポーネントレベルでの統合的アプローチに対応できる「方法」を明確にした。" 
Getting the Defense Department to reach the goals laid out in the Zero Trust Strategy and Roadmap will be an "ambitious undertaking," McKeown said.   国防総省がゼロトラスト戦略とロードマップで示された目標に到達することは、「野心的な事業」になるとマッキューン氏は述べている。 
Ensuring that work will largely be the responsibility of Randy Resnick, who serves as the director of the Zero Trust Portfolio Management Office.  その作業を確実にするのは、ゼロトラスト・ポートフォリオ管理室のディレクターを務めるランディー・レスニック氏の責任が大きい。 
"With zero trust, we are assuming that a network is already compromised," Resnick said. "And through recurring user authentication and authorization, we will thwart and frustrate an adversary from moving through a network and also quickly identify them and mitigate damage and the vulnerability they may have exploited." 「ゼロトラストでは、ネットワークがすでに侵害されていることを想定している。「そして、ユーザー認証と認可を繰り返し行うことで、敵対者がネットワークを通過するのを阻止し、挫折させるとともに、敵対者を迅速に特定し、被害や彼らが悪用した可能性のある脆弱性を軽減するのである」。
Spotlight: Engineering in the DOD スポットライト 国防総省におけるエンジニアリング
Resnick explained the difference between a zero trust architecture and security on the network today, which assumes a level of trust for anybody already inside the network.  レスニック氏は、ゼロ・トラスト・アーキテクチャーと、すでにネットワーク内にいる人をある程度信頼することを前提とした現在のネットワーク・セキュリティの違いを説明した。 
"If we compare this to our home security, we could say that we traditionally lock our windows and doors and that only those with the key can gain access," he said. "With zero trust, we have identified the items of value within the house and we place guards and locks within each one of those items inside the house. This is the level of security that we need to counter sophisticated cyber adversaries."  「これを家庭のセキュリティに例えると、従来は窓やドアに鍵をかけて、鍵を持っている人だけがアクセスできるようにしていたと言えるでしょう」と、同氏は述べた。「ゼロトラストでは、家の中にある価値あるものを特定し、その一つひとつにガードやロックを設置する。これが、高度なサイバー敵に対抗するために必要なセキュリティレベルである。」 
The Zero Trust Strategy and Roadmap outlines four high-level and integrated strategic goals that define what the department will do to achieve that level of security. These include:  ゼロトラスト戦略とロードマップは、そのレベルのセキュリティを達成するために同省が何をするかを定義する、4つのハイレベルで統合的な戦略目標の概要を示している。その内容は以下の通りである。 
Zero Trust Cultural Adoption — All DOD personnel understand and are aware, trained, and committed to a zero trust mindset and culture to support integration of zero trust.  ゼロ・トラスト文化の採用:すべてのDOD職員はゼロ・トラストの統合をサポートするために、ゼロ・トラストの考え方と文化を理解し、認識し、訓練され、コミットされる。 
DOD information Systems Secured and Defended — Cybersecurity practices incorporate and operationalize zero trust in new and legacy systems.  DOD情報システムの保護と防衛:サイバーセキュリティの実践は、新規およびレガシーシステムにゼロトラストを組み込み、運用する。 
Technology Acceleration — Technologies deploy at a pace equal to or exceeding industry advancements.  技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。 
Zero Trust Enablement — Department- and component-level processes, policies, and funding are synchronized with zero trust principles and approaches.  ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、資金が、ゼロ・トラストの原則とアプローチに同期している。 
Resnick said development of the Zero Trust Strategy and Roadmap was done in collaboration with the National Security Agency, the Defense Information Systems Agency, the Defense Manpower Data Center, U.S. Cyber Command and the military services.  レズニック氏によると、ゼロトラスト戦略とロードマップの開発は、国家安全保障局、国防情報システム局、国防人材データセンター、米サイバー司令部、軍サービスとの協力で行われたとのこと。 
The department and its partners worked together to develop a total of 45 capabilities and more than 100 activities derived from those capabilities, many of which the department and components will be expected to be involved in as part of successfully achieving baseline, or "target level" compliance with zero trust architecture within the five-year timeline, Resnick said. レスニック氏によると、同省とそのパートナーは、合計45の能力と、それらの能力から派生する100以上の活動を開発した。これらの多くは、5年間のスケジュール内でゼロトラストアーキテクチャのベースライン、つまり「目標レベル」のコンプライアンスを成功させる一環として、同省とコンポーネントが関与することが期待されるものである。
"Each capability, the 45 capabilities, resides either within what we're calling 'target,' or 'advanced' levels of zero trust," he said. "DOD zero trust target level is deemed to be the required minimum set of zero trust capability outcomes and activities necessary to secure and protect the department's data, applications, assets and services, to manage risks from all cyber threats to the Department of Defense."  各能力(45の能力)は、ゼロ・トラストの「目標」または「高度」レベルと呼ばれる範囲に存在する」と彼は言う。「DODゼロトラスト・ターゲット・レベルは、国防総省に対するあらゆるサイバー脅威のリスクを管理し、同省のデータ、アプリケーション、資産、サービスを安全に保護するために必要なゼロトラスト能力の成果および活動の必要最小限のセットと見なされる。
Across the department, every agency will be expected to comply with the target level implementation outlined in the Zero Trust Strategy and Roadmap. Only a few might be expected to achieve the more advanced level.  国防総省全体では、すべての機関がゼロ・トラスト戦略とロードマップで示された目標レベルの実施に準拠することが期待される。より高度なレベルを達成することが期待されるのは、ほんの一握りかもしれない。 
"If you're a national security system, we may require the advanced level for those systems," McKeown said. "But advanced really isn't necessary for literally every system out there. We have an aggressive goal getting to 'targeted' by 2027. And we want to encourage those who have a greater need to secure their data to adopt this advanced level."  「国家安全保障のシステムであれば、上級レベルを要求することもある」とマッキューン氏は言う。「しかし、アドバンストレベルは、文字通りすべてのシステムに対して必要なものではない。私たちは、2027年までに "Targeted "に到達するという積極的な目標を持っている。そして、データを安全に保護する必要性が高い人たちには、このアドバンスドレベルを採用するよう促したいと考えている」。 
Resnick said achieving the target level of zero trust isn't equivalent to a lower standard for network security.  レズニックは、ゼロトラストの目標レベルを達成することは、ネットワークセキュリティの基準を下げることと等価ではないと述べている。 
"We defined target as that level of ability where we're actually containing, slowing down or stopping the adversary from exploiting our networks," he said. "Compared to today, where an adversary could do an attack and then go laterally through the network, frequently under the noise floor of detection, with zero trust that's not going to be possible."  「私たちは、敵対者が私たちのネットワークを悪用するのを実際に封じ込め、減速させ、阻止する能力のレベルを目標と定義した。「敵対者が攻撃を行い、ネットワーク内を横方向に移動し、頻繁に検出のノイズフロアの下を通過することができる今日と比較すると、信頼ゼロでは、それは不可能になります。 
By 2027, Resnick said, the department will be better poised to prevent adversaries from attacking the DOD network and minimize damage if it does occur.  2027年までには、敵対者がDODネットワークを攻撃するのを防ぎ、万が一攻撃が発生しても被害を最小限に抑える態勢が整うだろうと、レズニックは述べている。 
"The target level of zero trust is going to be that ability to contain the adversary, prevent their freedom of movement, from not only going laterally but being able to even see the network, to enumerate the network, and to even try to exploit the network," he said.  「ゼロ・トラストの目標レベルは、敵対者を封じ込め、敵対者が横方向に移動するだけでなく、ネットワークを見ることも、ネットワークを列挙することも、ネットワークを悪用しようとすることもできないようにすることだ」と彼は言う。 
If later on more is needed, he said, the requirements for meeting the target level of compliance can be adjusted.  もし、後でもっと必要なものが出てくれば、目標レベルのコンプライアンスを満たすための要件を調整することができるという。 
"Target will always remain that level to which we're seeing and stopping the adversary," he said. "And for the majority of the DOD, that's really our goal." 「目標は常に、敵対者を確認し、阻止するレベルであることに変わりはありません。そして、国防総省の大部分にとって、それが我々の本当の目標なのである。」

 


 

・2022.11.15 [PDF] Zero Trust Capability Execution Roadmap

20221130-144954

 

Zero Trust Strategy Placemats

20221130-145326

 

 

・2022.07 [PDF] Department of Defense (DoD) Zero Trust Reference Architecture Version 2.0

20221130-64647

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

 

 

| | Comments (0)

2022.11.29

尼崎市 個人情報を含むUSBメモリーの紛失事案について

こんにちは、丸山満彦です。

尼崎市が契約している事業者の無断再々委託先従業員が、個人情報が入ったUSBメモリーを一時的に紛失した事案についての、尼崎市 USB メモリー紛失事案調査委員会の報告書が公表されていますね。。。

櫻庭先生が委員会のメンバーですね。。。

 

尼崎市

・2022.11.28 個人情報を含むUSBメモリーの紛失事案について

・[PDF] 尼崎市 USB メモリ―紛失事案に関する調査報告書  [downloaded]

20221129-63824

 

・尼崎市 USB メモリー紛失事案調査委員会

 ・小林 孝史(当委員会委員長) 関西大学総合情報学部准教授
 ・櫻庭 信之(当委員会委員・同委員長職務代理) 弁護士
 ・大高 利夫(当委員会委員) 藤沢市総務部情報システム課

結構、読み応えあります。。。

 

| | Comments (0)

英国 国防省 サイバー入門(第3版) (2022.10.04)

こんにちは、丸山満彦です。

英国国防省とサイバースペースとの関わり方、国防省職員にとってのサイバーセキュリティの重要性について、より包括的に認識することを目的として、主に国防の観点から、また職場や家庭における日常生活の観点から、「サイバー」というテーマを紹介する入門書ということで、階級に関わらず、すべての職員に読んでもらいたいということのようです。。。

U.K. Government - Ministry of Defence

Guidance Cyber Primer

・2022.10.04 [PDF] Cyber Primer (Third Edition)

20221129-12446

 

序文...

Preface 序文
We will adopt a comprehensive cyber strategy to maintain the UK’s competitive edge in this rapidly evolving domain. We will build a resilient and prosperous digital UK, and make much more integrated, creative and routine use of the UK’s full spectrum of levers – including the National Cyber Force’s offensive cyber tools – to detect, disrupt and deter our adversaries. 我々は、この急速に発展する領域において英国の競争力を維持するために、包括的なサイバー戦略を採用する。我々は、レジリエンスと繁栄のデジタル英国を構築し、敵対者を検知し、混乱させ、抑止するために、国家サイバー軍の攻撃的サイバーツールを含む英国のあらゆる手段をより統合的、創造的、かつ日常的に活用することになる。
Global Britain in a competitive age: The Integrated Review of Security, Defence, Development and Foreign Policy, 2021 競争時代におけるグローバルな英国:2021年 安全保障、防衛、開発、外交政策の統合的見直し
Purpose 目的
1. The purpose of the Cyber Primer is to introduce the subject of ‘cyber’, primarily within the Defence context, but also encompassing everyday aspects of life both at work and home. It is the foundation to reading UK Defence’s cyber and electromagnetic concepts and doctrine.   1. サイバー入門の目的は、「サイバー」というテーマを、主に国防の文脈で、しかし職場や家庭での日常生活 の側面も含めて紹介することである。これは、英国国防省のサイバーおよび電磁波の概念とドクトリンを読むための基礎となるものである。 
Context コンテキスト
2. Cyber capability is vital to our national security and prosperity, playing an integral role in protecting the UK and our interests against external and internal threats. Cyber activity cannot be the responsibility of one government department or agency alone, each will have their own experiences and expertise; Defence is just one partner in a whole of society effort.  2. サイバー能力は国家の安全と繁栄にとって不可欠であり、外部と内部の脅威から英国とその利益を守るために不可欠な役割を担っている。サイバー活動は、政府の一部門や機関だけが担当することはできず、それぞれが独自の経験や専門知識を持っている。
3. Cybersecurity and resilience are vital within Defence as our Armed Forces depend on digital technology, platforms, data, information and communication systems, both in the UK and on operations around the world. Our adversaries’ activities present a real and rapidly developing threat to these systems and to our operations.  3. 国防軍は、英国内および世界各地での活動において、デジタル技術、プラットフォーム、データ、情報、通信システムに依存しているため、サイバーセキュリティとレジリエンスは国防において極めて重要である。敵対者の活動は、これらのシステムと我々の活動に対して、現実的かつ急速に発展する脅威となっている。
4. Cyberspace, and the associated technologies, are full of opportunities for improving the way we work and live; they contribute substantially to our economy and prosperity, but they also introduce new hazards of which we need to be aware. The impact of cyber activities, positive and negative, on military activity requires Defence personnel, and those associated with Defence, to understand the depth of our dependence on ‘cyber’. 4. サイバースペースとその関連技術は、私たちの仕事や生活を改善する機会に満ちており、私たちの経済と繁栄に大きく貢献しているが、同時に私たちが注意しなければならない新たな危険性ももたらしている。サイバー活動が軍事活動に与える影響は、肯定的であれ否定的であれ、国防関係者とその関係者が「サイバー」への依存の深さを理解することが必要である。
5. The primer has a deliberate cyber focus. Although mention is made of the wider electromagnetic environment, this is to provide contextual reference as necessary.  5. この入門書は意図的にサイバーに焦点を合わせている。より広い電磁環境についても言及しているが、これは必要に応じて文脈を参照できるようにするためである。
Audience 想定読者
6. The Cyber Primer seeks to inform a wide audience. As an introduction to cyber it will be of use to all Defence personnel. 6. このサイバー入門書は、幅広い読者に情報を提供することを目的としている。サイバー入門書として、すべての国防関係者に役立つであろう。
Structure 構成
7. The publication is divided into four chapters and is supported by a lexicon and resources section. A breakdown of the chapter contents is below.  7. 本書は4つの章に分かれており、辞書と資料のセクションでサポートされている。各章の内容の内訳は以下の通りである。
a. Chapter 1 – Cyber fundamentals. Chapter 1 introduces the essential terminology and covers cyber from a national policy and strategy perspective. The chapter explains the nature and characteristics of cyberspace and the cyber and electromagnetic domain. The chapter also highlights applicable laws and concludes by looking at the importance of international engagement. a. 第1章 - サイバーの基礎:第1章では、必要不可欠な用語を紹介し、国家政策と戦略の観点からサイバーを取り上げている。この章では、サイバースペースの性質と特徴、サイバー領域と電磁波領域について説明する。また、本章では適用される法律を強調し、国際的な関与の重要性を見て結論を出している。
b. Chapter 2 – Cyber threats. Chapter 2 outlines: the threats from cyberspace; the range of threat actors; the characteristics of a cyberattack and the different tools and techniques used; and cyber threat mitigation. The chapter concludes with Annex 2A detailing seven case studies.1 b. 第2章 - サイバー脅威:第2章では、サイバースペースからの脅威、脅威の主体の範囲、サイバー攻撃の特徴、使用される様々なツールやテクニック、そしてサイバー脅威の緩和について概説している。この章は、7つのケーススタディを詳述した附属書2Aで締めくくられている1。
c. Chapter 3 – Cyber functions. Chapter 3 looks at the four military cyber operations roles – influence, defend, enable and inform – which are delivered by cyber capabilities through offensive and defensive cyber operations, cybersecurity and cyber threat intelligence.  It also examines information management and finally looks at the relationship between cyber and other closely linked military functions. c. 第3章 - サイバー機能:第3章では、攻撃的・防御的サイバー作戦、サイバーセキュリティ、サイバー脅威インテリジェンスを通じたサイバー能力によって実現される、軍の4つのサイバー作戦の役割(影響、防御、実現、情報提供)を見ている。 また、情報管理についても検討し、最後にサイバーと他の密接に関連する軍事機能との関係についても見ている。
d. Chapter 4 – Cyber operations. Chapter 4 looks at how cyber capability is currently organised and integrated with military operations and provides some detail concerning cyber command and control.  d. 第4章 - サイバーオペレーション:第4章は、サイバー能力が現在どのように組織化され、軍事作戦と統合されているかを調べ、サイバー指揮統制に関するいくつかの詳細について述べている。
Linkages 関連性
8. The Cyber Primer is underpinned by a number of policy, strategy and doctrinal publications. In addition, there are number of other publications that provide further context and greater detail on aspects introduced. Links to these data sources can be found within the resource section at the end of this publication.  8. サイバー・プライマーは、多くの政策、戦略、教義に関する出版物によって支えられている。さらに、紹介された側面についてのより詳細な文脈を提供する他の出版物も多数ある。これらのデータソースへのリンクは、本書末尾のリソースセクションに記載されている。
   
1 The examples and case studies included in this primer contain reports selected from various external sources by the Strategic Command Cyber Reserve, a cadre of cyber-industry experts who are also Tri-Service Reservists. All of this information is publicly available online and provided for understanding only; sources quoted and opinions expressed do not necessarily reflect those of the Ministry of Defence (MOD). Similarly, where alleged perpetrators are identified they have been done so through public sources and not through any investigations or conclusions conducted by the MOD. The names of the operations associated with the examples have been assigned by the international cyber security community. 1 この入門書に含まれる事例とケーススタディは、三軍の予備役でもあるサイバー業界の専門家集団である戦略司令部サイバーリザーブが外部の様々な情報源から選んだレポートを含んでいる。これらの情報はすべてオンラインで一般に公開されており、理解のためにのみ提供されている。引用された情報源や表明された意見は、必ずしも国防省(MOD)のものを反映したものではありません。同様に、加害者とされる人物が特定された場合、それは公的な情報源を通じて行われたものであり、国防省が行った調査や結論によるものではありません。例題に関連する作戦名は、国際的なサイバーセキュリティ・コミュニティによって命名されたものである。
2 Full details of these roles and the activities that are conducted within them are detailed within Joint Doctrine Publication 0-50, UK Defence Cyber and Electromagnetic Doctrine, 2nd Edition, which is due to publish in 2023. 2 これらの役割とその中で行われる活動の詳細は、2023年に発行予定の統合ドクトリンパブリケーション0-50「英国国防サイバー及び電磁波ドクトリン第2版」に詳述されている。

 

20221129-15952

 

10 top tips for staying secure online オンラインを安全に利用するための10のアドバイス
01 Protect your personal email by using a strong and unique password 01 強力でユニークなパスワードを使用して、個人的な電子メールを保護する
02 Report if things go wrong or do not look right, such as a suspicious email or link 02 不審なメールやリンクなど、おかしいと感じたら報告する
03 Create a long and strong password by combining three random words 03 3つのランダムな単語を組み合わせて、長くて強力なパスワードを作成する
04 Ensure defences such as antivirus software and firewalls are installed 04 アンチウイルスソフトやファイアウォールなどの防御策を確実に導入する
05 Activate two-step verification to protect your online accounts 05 オンラインアカウントを保護するために、2段階認証機能を有効にする
06 Backup your data to safeguard your most important documents 06 データをバックアップし、重要なドキュメントを保護する
07 Use a password manager to help create and recall passwords 07 パスワードを作成し、思い出すのにパスワードマネージャーを使用する
08 Check your internet footprint - searches, online history and social media accounts 08 検索、オンライン履歴、ソーシャルメディアアカウントなど、インターネットの足跡をチェックする
09 Set up automatic security updates to make sure all your devices are patched 09 自動セキュリティ更新を設定し、すべてのデバイスにパッチが適用されていることを確認する
10 Install the latest software and application updates 10 最新のソフトウェアとアプリケーションのアップデートをインストールする

 

・関連

 

 

| | Comments (0)

EU連合理事会 NIS2成立

こんにちは、丸山満彦です。

NIS2がEU連合理事会で可決されたようですね。。。

 

● European Council/Council of the European Union

・2022.11.28 EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation

EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation EU、サイバーセキュリティとレジリエンスをEU全域で強化することを決定。理事会、新たな法案を採択
The Council adopted legislation for a high common level of cybersecurity across the Union, to further improve the resilience and incident response capacities of both the public and private sector and the EU as a whole. 欧州連合(EU)理事会は、官民およびEU全体のレジリエンスとインシデント対応能力をさらに向上させるため、EU全体で高い共通レベルのサイバーセキュリティを実現するための法案を採択した。
The new directive, called ‘NIS2’, will replace the current directive on security of network and information systems (the NIS directive). 「NIS2」と呼ばれるこの新しい指令は、ネットワークと情報システムのセキュリティに関する現行の指令(NIS指令)に取って代わるものである。
There is no doubt that cybersecurity will remain a key challenge for the years to come. The stakes for our economies and our citizens are enormous. Today, we took another step to improve our capacity to counter this threat. サイバーセキュリティが今後数年間、重要な課題であり続けることに疑いの余地はない。私たちの経済と市民にとって、そのリスクは計り知れない。今日、私たちはこの脅威に対抗する能力を向上させるための新たな一歩を踏み出した。
Ivan Bartoš, Czech Deputy Prime Minister for Digitalization and Minister of Regional Development チェコ共和国デジタル化担当副首相兼地域開発大臣 イワン・バルトシュ氏
Stronger risk and incident management and cooperation リスクマネジメント、インシデントマネジメント、協力体制の強化
NIS2 will set the baseline for cybersecurity risk management measures and reporting obligations across all sectors that are covered by the directive, such as energy, transport, health and digital infrastructure. NIS2は、エネルギー、運輸、健康、デジタルインフラなど、指令の対象となるすべてのセクターにおけるサイバーセキュリティのリスクマネジメント対策と報告義務のベースラインを設定することになる。
The revised directive aims to harmonise cybersecurity requirements and implementation of cybersecurity measures in different member states. To achieve this, it sets out minimum rules for a regulatory framework and lays down mechanisms for effective cooperation among relevant authorities in each member state. It updates the list of sectors and activities subject to cybersecurity obligations and provides for remedies and sanctions to ensure enforcement. 改正指令は、異なる加盟国でのサイバーセキュリティ要件とサイバーセキュリティ対策の実施を調和させることを目的としている。これを実現するために、規制の枠組みに関する最低限のルールを定め、各加盟国の関係当局間の効果的な協力のためのメカニズムを定めている。また、サイバーセキュリティの義務の対象となる部門と活動のリストを更新し、強制力を確保するための救済措置と制裁措置を規定している。
The directive will formally establish the European Cyber Crises Liaison Organisation Network, EU-CyCLONe, which will support the coordinated management of large-scale cybersecurity incidents and crises. この指令は、大規模なサイバーセキュリティ事件や危機の協調的管理を支援する欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)を正式に設立する予定である。
Widening of the scope of the rules 規則の適用範囲の拡大
While under the old NIS directive member states were responsible for determining which entities would meet the criteria to qualify as operators of essential services, the new NIS2 directive introduces a size-cap rule as a general rule for identification of regulated entities. This means that all medium-sized and large entities operating within the sectors or providing services covered by the directive will fall within its scope. 旧NIS指令では、加盟国はどの事業者が必須サービスの事業者として認定される基準を満たすかを決定する責任を負っていたが、新NIS2指令では、規制対象事業者の特定に関する一般規則として、規模制限規則を導入している。これは、この指令の対象となる分野で活動する、あるいはサービスを提供するすべての中堅・大企業がその範囲に含まれることを意味する。
While the revised directive maintains this general rule, its text includes additional provisions to ensure proportionality, a higher level of risk management and clear-cut criticality criteria for allowing national authorities to determine further entities covered. 改正指令はこの一般規則を維持する一方で、その条文には、国家当局がさらに対象企業を決定できるように、比例性、より高いレベルのリスクマネジメント、明確な重要性の基準を確保するための追加条項が含まれている。
The text also clarifies that the directive will not apply to entities carrying out activities in areas such as defence or national security, public security, and law enforcement. Judiciary, parliaments, and central banks are also excluded from the scope. また、防衛や国家安全保障、公安、法執行といった分野での活動には、この指令は適用されないことも明確化されている。司法、議会、中央銀行も対象から外されている。
NIS2 will also apply to public administrations at central and regional level. In addition, member states may decide that it applies to such entities at local level too. NIS2は、中央および地域レベルの行政機関にも適用される。さらに、加盟国は、地方レベルの行政機関にも適用することを決定することができる。
Other changes introduced by the new law 新法が導入するその他の変更点
Moreover, the new directive has been aligned with sector-specific legislation, in particular the regulation on digital operational resilience for the financial sector (DORA) and the directive on the resilience of critical entities (CER), to provide legal clarity and ensure coherence between NIS2 and these acts. さらに、この新しい指令は、特に金融セクターのデジタル運用のレジリエンスに関する規則(DORA)や重要な事業体のレジリエンスに関する指令(CER)といったセクター固有の法律と整合され、法的明確性を提供し、NIS2とこれらの法律間の一貫性を確保するようになっている。
A voluntary peer-learning mechanism will increase mutual trust and learning from good practices and experiences in the Union, thereby contributing to achieving a high common level of cybersecurity. 自主的なピアラーニングの仕組みは、相互信頼を高め、EUにおける優れた実践や経験から学ぶことで、高い共通レベルのサイバーセキュリティの達成に貢献する。
The new legislation also streamlines the reporting obligations in order to avoid causing over-reporting and creating an excessive burden on the entities covered. また、新法は、過剰な報告や対象事業者の過度な負担を避けるために、報告義務を合理化している。
Next steps 次のステップ
The directive will be published in the Official Journal of the European Union in the coming days and will enter into force on the twentieth day following this publication. この指令は、近日中に欧州連合官報に掲載され、掲載後20日目に発効する予定である。
Member states will have 21 months from the entry into force of the directive in which to incorporate the provisions into their national law. 加盟国は、指令の発効から21カ月以内に、この規定を自国の国内法に組み込む必要がある。
Directive on measures for a high common level of cybersecurity across the Union (PE-CONS 32/22) 欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(PE-CONS 32/22)
20221129-03247
[DOCX]

仮訳

 

Draft directive on measures for a high common level of cybersecurity across the Union – Council general approach EU全域で共通レベルの高いサイバーセキュリティのための措置に関する指令案 - 理事会一般的アプローチ
Cybersecurity: how the EU tackles cyber threats (background information) サイバーセキュリティ:EUはどのようにサイバー脅威に対処しているか(背景情報)
A digital future for Europe (background information) 欧州のデジタルな未来(背景情報)
How the EU responds to crises and builds resilience EUはどのように危機に対処し、レジリエンスを構築しているか?
Visit the meeting page 会議のページ

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16


| | Comments (0)

2022.11.28

防衛省 防衛研究所 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

こんにちは、丸山満彦です。

防衛省 防衛研究所が 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ― を公表していますね。。。

日本語版のみならず、英語版、 もあります。。。

 

防衛省 防衛研究所

・2022.11.25 中国安全保障レポート『中国安全保障レポート2023』を掲載しました

・中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―本文要約)·(表紙·奥付

20221128-62030

 

目次... 

中国安全保障レポート2023

目次
要約
略語表

はじめに

第 1 章  中国の軍事組織再編と非軍事的手段の強化
1.
 改革前の軍事組織の問題点
1)改革前の党軍関係の基本構造
2)問題点

2. 習近平の軍事改革における党軍関係の強化
1)中央軍事委員会主席責任制の再確立
2)強調される党委員会の指導
3)軍内監察部門の独立
4)巡視制度の導入
5)政治工作部の役割の縮小

3. 戦略支援部隊の設置

4. 人民武装警察部隊と海警の改編がもたらすもの
1)中央軍事委員会の一元指導を受ける武警
2)警種部隊、公安系統部隊を切り捨ててスリム化した武警
3 14個機動師団の解体と機動総隊の新設
4)人民解放軍に倣った武警総部の再編
5)武警隷下に入った海警
6)共産党統治のための武警

第 2 章  活発化する中国の影響力工作
1.
 中国の影響力工作

2. 中国共産党の心理・認知領域をめぐる闘争
1)宣伝工作
2)統一戦線工作
3)ソーシャルメディアにおける活動
4)秘密裏の活動
5)組織

3. 人民解放軍の心理・認知領域における闘争
1)人民解放軍の情報化戦争における心理・認知領域
2)三戦(輿論戦、心理戦、法律戦)
3)認知領域作戦

4. 事例研究 : 台湾における中国の影響力工作の展開
1)サイバー攻撃の事例
2)メディアの報道を利用した圧力
3)台湾人を利用した影響力工作の展開
4)多国籍企業や軍関係者への工作

第 3 章  海上で展開される中国のグレーゾーン事態
1.
 中国が展開するグレーゾーン事態

2. 進展する海上民兵の組織化
1)海上民兵の組織、指揮命令系統、党との関係
2)海上民兵の役割

3. 海警と海上民兵の活動の積極化
1)海警の装備強化と活動拡大
2)海上民兵に対する支援・組織化
3)海洋アクターの協調

4. 東シナ海と南シナ海におけるグレーゾーン作戦の相違点

おわりに


要約 第 1 章  中国の軍事組織再編と非軍事的手段の強化

習近平の軍事改革によって中国の軍事組織の再編が進み、その中で党の指導が強化されてきた。中国共産党 による直接的コントロールがより強調され、特に中央軍委主席責任制の徹底と軍内党委員会が重視されており、 また軍内における法やルールによる統治も強調されている。党の指導は人民解放軍だけでなく、その他の軍事組 織においても強化されており、軍とそのほかの政府アクターの協調メカニズムが発展しつつある。これは非軍事 的手段を積極的に活用するという現代的な紛争形態への対応でもある。

影響力工作については、戦略支援部隊が設置された。戦略支援部隊はサイバー、電磁スペクトラム、宇宙に関 わる機能を統合するだけでなく、心理・認知領域の戦いにも深く関与しているとみられる。

グレーゾーン作戦については、武警と海警の再編が行われた。武警が中央軍事委員会の単独指導下に置かれるとともに、海警が武警隷下となることで、海警も軍の指導下に置かれた。武警再編によって武警の機能を平時 における治安維持に特化すると同時に、有事における人民解放軍の統合作戦に寄与しやすい組織へと改編した。

20221128-94925

 


要約 第2章 活発化する中国の影響力工作

中国は、心理・認知領域における闘争として党全体の影響力工作と関連する軍の活動を活発化させている。中国にとって、情報と影響力をめぐる争いは、米欧とのイデオロギー上の安全と優位性をめぐるものである。中国に とって、欧米の「誤った見方」を正すだけでなく、中国の観点、中国側のナラティブを内外に積極的に広めること が重要となっている。中国のナラティブが国内外の議論を支配することで、米欧のイデオロギー浸透の試みに対 抗できる。こうして中国は、国内と国外の両方に向けて影響力工作を強化している。そのために、宣伝工作や統 一戦線工作、さらにソーシャルメディアにおける活動が活発化している。

党の影響力工作が主に戦略レベルの活動であるのに対して、軍の活動は戦略レベルにも作戦レベルにもまたが るものである。人民解放軍は、心理戦を重視する伝統を持っており、さらに近年では輿論(よろん)戦、心理戦、法律戦の「三 戦」を重視している。現在、三戦は、さまざまなレベルのさまざまな軍関連組織において実施されると考えられる。 三戦専門の基地もあれば、各部隊において実施されるものもある。近年では党の活動と軍の活動は、重複する 部分が増えている。近年では、人工知能など新興技術の発展に伴い、これを駆使した知能化戦争への移行が模 索される中で、心理戦の延長として認知領域における作戦という概念が登場している。

こうした心理・認知領域における闘争が最も顕著に表れているのが、台湾に対する影響力工作である。サイバー 空間や人脈を通じたフェイクニュース拡散、軍関係者を含む台湾人への働きかけなど、党・人民解放軍による影 響力工作が幅広く行われており、台湾にとって大きな脅威となっている。

 

20221128-95618


 

 

年度 副題 テーマ
2023


認知領域とグレーゾーン事態の掌握を目指す中国


1 中国の軍事組織再編と非軍事的手段の強化
2 活発化する中国の影響力工作
3 海上で展開される中国のグレーゾーン事態
2022


統合作戦能力の深化を目指す中国人民解放軍
1 中国人民解放軍の統合作戦構想の変遷
2 改編された中国人民解放軍の統合作戦体制
3 軍改革における統合作戦訓練・人材育成体制の発展と党軍関係強化の模索
2021 新時代における中国の軍事戦略 1 情報化戦争の準備を進める中国
2 中国のサイバー戦略
3 中国における宇宙の軍事利用
4 中国の軍民融合発展戦略
2020 ユーラシアに向かう中国 1 中国のユーラシア外交
2 中央アジア・ロシアから見た中国の影響力拡大
3 ユーラシアにおけるエネルギー・アーキテクチャ
2019 アジアの秩序をめぐる戦略とその波紋 1 既存秩序と摩擦を起こす中国の対外戦略
2 中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
3 「一帯一路」と南アジア――不透明さを増す中印関係
4 太平洋島嶼国 ――「一帯一路」の南端
2018 岐路に立つ米中関係 1 中国の対米政策
2 米国の対中政策
3 地域における米中関係の争点
2017 変容を続ける中台関係 1 中国の台湾政策の変遷
2 台湾から見た中台関係
3 米国にとっての台湾問題
4 中台関係の変容と「現状維持」
2016 拡大する人民解放軍の活動範囲とその戦略 1 遠海での作戦能力強化を図る中国海軍
2 空軍の戦略的概念の転換と能力の増大
3 ミサイル戦力の拡充
4 統合的な作戦能力の強化
2014 多様化する人民解放軍・人民武装警察部隊の役割 1 中央国家安全委員会創設とその背景
2 人民武装警察部隊の歴史と将来像
3 人民解放軍による災害救援活動
4 軍事外交としての国連平和維持活動
5 ソマリア沖・アデン湾における海賊対処活動
2013   1 中国の対外危機管理体制
2 中国の危機管理概念
3 危機の中の対外対応
2012   1 「党軍」としての性格を堅持する人民解放軍
2 深化する軍と政府の政策調整
3 軍と政府が連携を深める安全保証政策
4 政策調整の制度化を求める人民解放軍
2011   1 海洋に向かう中国
2 南シナ海で摩擦を起こす中国
3 外洋に進出する中国海軍
4 対外園で発言力を増す人民解放軍
創刊号   1 中国の対外姿勢
2 拡大する活動範囲
3 役割を増す軍事外交
4 進む装備の近代化

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.28 防衛省 防衛研究所 中国安全保障レポート2022 ― 統合作戦能力の深化を目指す中国人民解放軍 ―

・2020.11.14 防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

 

| | Comments (0)

NIST サイバーセキュリティ50周年 - NISTサイバーセキュリティプログラムの歴史と年表

こんにちは、丸山満彦です。

NIST(1988年までは旧NBS)は1972年から50年にわたり、サイバーセキュリティの研究を行い、産官学のためのサイバーセキュリティ・ガイダンスを開発してきていますが、主要な研究プロジェクト、プログラム、そして最終的にはNISTのサイバーセキュリティの歴史をざっと見るための年表を公表していますね。。。

興味深いです。。。

 

NIST - NIST Cybersecurity Program History and Timeline

米国標準局 (NBS) のコンピュータ科学技術研究所が、コンピュータ セキュリティ プログラムを確立したところから始まります...

1973年11月に発行された、

・[PDF] NBS Technical Note 809 Government Looks at Privacy and Security in Computer Systems

20221127-45130

 

・[PDF] NBS Special Publication 404 Approaches to Privacy and Security in Computer Systems

20221127-45947

 

1974年には、Privacy Act of 1974

そして、1976年は、

・1976.02.15 [PDF] FIPIS PUB 39 Glossary for Computer Sysytems Security

20221127-50714

用語ですが、あまり大きな違いはないのかもしれません。。。

 

・・・と続いていきます。。。

 


古い話であれば、私のブログにも。。。最近、サイバーセキュリティ業界に入ってきたかたは過去の歴史を知ることが意外と重要かもしれないので、、、

まるちゃんの情報セキュリティ気まぐれ日記

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2006.04.25 米国 30年前のIT適用業務処理統制の項目

・2006.04.24 米国 30年前のIT全般統制の項目

 

| | Comments (0)

2022.11.26

中国 パブコメ 重要情報インフラ サイバーセキュリティ対応システムフレームワーク (2022.11.17)

こんにちは、丸山満彦です。

中国の全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)、いわゆるTC260が重要情報インフラ事業者のサイバーセキュリティ対応システムフレームワークについての標準案を公表し、意見募集をしていますね。。。

データセンタ事業者や通信事業者に適用されるものだろうと思うのですが、日本の事業者にとっても参考になる部分はあるのだろうと思います。もちろん、伝統的な対策がほとんどなので、対策済みの項目がほとんどだろうとは思いますが...

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2022.11.17 关于国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》征求意见稿征求意见的通知

 

・[DOC] 信息安全技术 关键信息基础设施网络安全应急体系框架-标准文本.doc

・[PDF]

20221126-62418

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
本文件给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。 本書は、重要情報インフラに対するサイバーセキュリティ緊急対応体制について、組織の設立、分析・識別、緊急対応計画、監視・早期警戒、緊急対応、事後復旧・総括、事故報告・情報共有、緊急防護、演習・訓練などの枠組みを示したものである。
本文件适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,也可供关键信息基础设施安全保护的其他相关方参考。 本書は、重要情報インフラの運用者が、健全なサイバーセキュリティ緊急対応体制を構築し、サイバーセキュリティ緊急対応活動を行う際に適用できるとともに、重要情報インフラのセキュリティ保護に関わるその他の関係者にとっても参考となるものである。
2 规范性引用文件 2 規範となる引用文献
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 以下の文書の内容は、本文中の規範的な参照を通じて、この文書の本質的な規定を構成している。 このうち、日付のある文献については、その日付に対応するバージョンのみが本書に適用され、日付のない文献については、最新バージョン(すべての改訂シートを含む)が本書に適用される。
GB/Z 20986 信息安全技术 信息安全事件分类分级指南 GB/Z 20986 情報セキュリティ技術 情報セキュリティインシデントの分類および等級付けガイド
GB/T 25069—2022 信息安全技术 术语 GB/T 25069-2022 情報セキュリティ技術用語集
GB/T 39204—2022  信息安全技术  关键信息基础设施安全保护要求 GB/T 39204-2022 情報セキュリティ技術 重要情報インフラのセキュリティ保護に関する要求事項
GB/T AAAAA—XXXX 信息安全技术 网络安全信息共享指南 GB/T AAAAA-XXXX 情報セキュリティ技術 サイバーセキュリティに関する情報共有のためのガイドライン

 

 

目次的なもの。。。

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
2 规范性引用文件 2 規範となる引用文献
3 术语和定义 3 用語の説明と定義
3.1 关键信息基础设施  critical information infrastructure 3.1 重要情報インフラ
3.2 网络安全事件  cybersecurity incident 3.2 サイバーセキュリティインシデント
3.3 应急响应  emergency response 3.3 緊急対応
3.4 应急预案  emergency plan 3.4 緊急対応計画 
3.5 网络安全应急相关方  cybersecurity emergency relevant party 3.5 サイバーセキュリティ緊急事態関連当事者
3.6 供应链  supply chain 3.6 サプライチェーン
3.7 关键业务链  critical business chain 3.7 主要事業チェーン
4 缩略语 4 略語
5 总体架构 5 一般的なアーキテクチャ
6 机构设立 6 機関の設立
7 分析识别 7 分析・識別
8 应急预案 8 緊急対応計画
9 监测预警 9 監視と早期警告
9.1 风险发现 9.1 リスクの検出
9.2 风险分析 9.2 リスク分析
9.3 风险预警 9.3 リスク早期警告
10 应急处置 10 緊急対応
10.1 概述 10.1 概要
10.2 应急处置机制 10.2 緊急対応メカニズム
10.3 业务应急处置 10.3 業務上の緊急対応
10.4 数据应急处置 10.4 データ緊急対応
10.5 供应链应急处置 10.5 サプライチェーンでの緊急対応
11 事后恢复与总结 11 事故後の復旧と棚卸し
12 事件报告与信息共享 12 インシデント報告および情報共有
12.1 事件报告 12.1 インシデント報告
12.2 信息共享 12.2 情報共有
12.2.1 信息共享机制 12.2.1 情報共有の仕組み
12.2.2 信息共享内容 12.2.2 情報共有の内容
13 应急保障 13 緊急時のセキュリティ
13.1 基础保障 13.1 基本的なセキュリティ
13.2 协同保障 13.2 協働セキュリティ
13.3 业务保障 13.3 オペレーショナルセキュリティ
13.4 数据保障 13.4 データセキュリティ
13.5 供应链保障 13.5 サプライチェーンセキュリティ
14 演练与培训 14 演習と訓練
14.1 演练 14.1 演習
14.2 培训 14.2 訓練

 

1_20221126064301

 

図1:CIIのサイバーセキュリティ緊急対応システムフレームワークの全体アーキテクチャ

・[DOCX] 仮対訳

 


 

意見募集の一覧

全国信息安全标准化技术委员会

标准征求意见(100件単位)

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2022.05.31 中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

 

 

| | Comments (0)

より以前の記事一覧