危機管理 / 事業継続

2022.07.04

英国 商業的なサイバー能力は合法的かつ責任を持って使用されなければならない by 国家サイバーセキュリティセンター長 (2022.06.28)

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティセンター長(National Cyber Security Centre CEO)が、テルアビブで開催されたCyber Weekに登壇し、演説したことが、公表されていますね。。。

次のことが重要なのでしょうかね。。。

・学術界、産業界、政府間の連携

・(ウクライナへのロシア侵攻以後であっても)ランサムウェアは世界最大のサイバー脅威であり続けている

・回復力(レジリエンス)とそのための準備が重要である。

あと、末尾に2022.05.19に英国のSuella Braverman司法長官 [wikipedia] のInternational Law in Future Frontiers に関するスピーチも載せています。。。興味深いです。。。

 

● U.K. Goverment - Natinal Cyber Security Centre 

・2022.06.28 Commercial cyber capabilities must be used legally and responsibly, says UK NCSC CEO

Commercial cyber capabilities must be used legally and responsibly, says UK NCSC CEO 商業的なサイバー能力は合法的かつ責任を持って使用されなければならないと、英国NCSCのCEOは述べました
Lindy Cameron's speech at Tel Aviv Cyber Week emphasised the importance of partnerships and international regulation of sophisticated cyber capabilities. テルアビブ・サイバーウィークでのリンディ・キャメロンのスピーチは、高度なサイバー能力に関するパートナーシップと国際的な規制の重要性を強調しました。
The head of the UK’s National Cyber Security Centre (NCSC) has delivered an international speech emphasising the importance of legal and responsible use of commercial cyber capabilities. 英国の国家サイバーセキュリティセンター(NCSC)のトップは、商業的なサイバー能力を合法的かつ責任を持って使用することの重要性を強調する国際的なスピーチを行いました。
Speaking to an audience at the globally prestigious Cyber Week hosted by Tel Aviv University, Lindy Cameron also discussed how the ties between academia, industry, and governments are key to countering the latest cyber threats. リンディ・キャメロンは、テルアビブ大学主催の世界的に権威のあるサイバーウィークで聴衆を前に、最新のサイバー脅威に対抗するためには、学術界、産業界、政府間の連携がいかに重要であるかについても述べました。
The CEO of the UK NCSC – which is part of the world-leading intelligence agency GCHQ – will say that even following the illegal Russian invasion of Ukraine, ransomware remains the biggest global cyber threat most organisations must manage. 世界をリードする情報機関GCHQの一部である英国NCSCのCEOは、ロシアのウクライナへの不法侵入の後でも、ランサムウェアはほとんどの組織が管理しなければならない世界最大のサイバー脅威であり続けていると述べました。
She will also praised Ukrainian cyber defenders for their response to Russia’s invasion, highlighting the resilience of their networks in repelling many attacks. She said: また、ロシアの侵攻に対するウクライナのサイバー擁護者の対応を称賛し、多くの攻撃を撃退したネットワークの回復力を強調する予定です。彼女は次のように述べました。
“Russia has consistently used cyber pressure to stress its rivals, distract them, and where possible disable them. 「ロシアは一貫して、ライバルにストレスを与え、注意をそらし、可能であれば無力化するために、サイバー圧力を使ってきました。」
“But – just as they have on the battlefield – the Ukrainian cyber defenders have done an incredible job of repelling many of these attacks. They are real heroes. 「しかし、戦場と同じように、ウクライナのサイバー防衛隊は、これらの攻撃の多くを撃退するという信じられないような仕事を成し遂げました。彼らは真の英雄です。」
“And I think resilience and preparation are at the heart of this success.” 「そして、この成功の核心は、回復力と準備にあると思います。」
The main focus of her speech was the international regulation of sophisticated cyber capabilities. Lindy Cameron said: 彼女のスピーチの主な焦点は、高度なサイバー能力の国際的な規制であった。リンディ・キャメロンは次のように述べました。
“If we’re going to maintain a cyberspace which is a safe and prosperous place for everyone, it is vital that such capabilities are produced and used in a way that is legal, responsible and proportionate. 「私たちが誰にとっても安全で豊かなサイバースペースを維持しようとするならば、そのような能力が、合法的で、責任感があり、適切な方法で生産され、使用されることが極めて重要です。
“I am delighted that Israel has tightened export controls around these tools, making it far more difficult for nations with concerning records on privacy and human rights to acquire such intrusive spyware. 「イスラエルがこれらのツールの輸出規制を強化し、プライバシーや人権に問題のある国々がこのような侵入型スパイウェアを入手することをはるかに困難にしたことは喜ばしいことです。」
“It is really important that every actor, from the developer to the end-user of these types of technology and capability acts responsibly, with appropriate safeguards to protect against misuse.” 「この種の技術や能力の開発者からエンドユーザーまで、すべての関係者が悪用から守るための適切な保護措置を講じて、責任ある行動をとることが本当に重要です。」
Describing Israel as a “shining” example of what can be done when a nation takes cyber security seriously, she said: イスラエルは、国家がサイバーセキュリティに真剣に取り組んだときに何ができるかを示す「輝く」例であると、彼女は述べました。
“The technology developed here is truly world class. The talent in the cyber security sector is second to none. And your defences are some of the strongest in the world. 「イスラエルで開発された技術は、まさにワールドクラスです。サイバーセキュリティの分野における才能は、他の追随を許しません。そして、その防御は世界でも最も強固なものです。」
“But making the most of our digital future is too big an issue for any one nation to handle alone. 「しかし、デジタルの未来を最大限に活用することは、一国だけで対処するには大きすぎる問題です。」
“Whether it is drip feed irrigation or health and climate tech, Israel has always been proud to innovate for the benefit of people, well beyond your borders. 「イスラエルは、灌漑や医療、気候変動に関する技術など、国境を越えて人々の役に立つ技術革新を常に誇りとしてきました。」
“So, I hope you will continue to produce cyber security solutions which are safe, strong but also affordable for the whole world.” 「ですから、これからも、安全で、強力で、しかも全世界にとって手頃な価格のサイバーセキュリティ・ソリューションを生み出し続けることを期待します。」
Turning to ransomware and how the upward trend of the commercialisation of such capabilities dramatically lowers the technical knowhow required to conduct criminal operations, she said: ランサムウェアについては、その商業化が進み、犯罪行為に必要な技術的ノウハウが劇的に低下していることを指摘し、次のように述べました。
“But - even with a war raging in Ukraine - the biggest global cyber threat we still face is ransomware. That tells you something of the scale of the problem. 「しかし、ウクライナで戦争が勃発しても、私たちが直面している最大のグローバルなサイバー脅威はランサムウェアなのです。このことが、問題の大きさを物語っています。」
“Ransomware attacks strike hard and fast. They are evolving rapidly, they are all-pervasive, they're increasingly offered by gangs as a service, lowering the bar for entry into cyber crime. 「ランサムウェアの攻撃は激しく、そして速い。ランサムウェアは急速に進化し、あらゆるところに蔓延しており、ギャングがサービスとして提供することも多く、サイバー犯罪への参入のハードルが低くなっています。」
“And that's what makes them such a threat – not just the nationally significant incidents that my team and I we deal with in the NCSC, but also the hundreds of incidents we see that affect the UK more widely every year. 「私たちNCSCのチームが扱う国内での重大事件だけでなく、毎年、英国に広く影響を及ぼす数百の事件もこうした脅威になります。」
“These complex attacks have the potential to affect our societies and economies significantly, if it were not for the expertise of our incident management operators working in collaboration with their counterparts in industry and their international counterparts gathered here today.” 「これらの複雑な攻撃は、今日ここに集まった産業界の関係者や国際的な関係者と協力して活動する事故管理オペレータの専門知識がなければ、私たちの社会や経済に大きな影響を与える可能性があります」。
Returning to the theme of partnerships, Lindy Cameron emphasised that prosperous relationships between different institutions are key to countering the latest cyber threats: リンディ・キャメロンは、「パートナーシップ」というテーマに戻り、最新のサイバー脅威に対抗するためには、異なる機関同士の豊かな関係が重要であることを強調しました。
“To succeed, partnerships are essential. So, we are building stronger ties between academia, industry and government. 「成功するためには、パートナーシップは不可欠です。成功するためには、パートナーシップが不可欠です。ですから、私たちは、学術界、産業界、政府間のより強い結びつきを構築しています。」
“We must come together around our shared values. Each nation bringing its own particular skills and strengths to build a network which is naturally resilient to attack, one which favours innovation, discourse and creativity over control and coercion.” 「私たちは、共通の価値観のもとに団結しなければなりません。各国はそれぞれ固有のスキルや強みを持ち寄り、攻撃に自然に強いネットワークを構築しています。」

 

スピーチ本文

・2022.06.28 Lindy Cameron speech at Tel Aviv Cyber Week

Lindy Cameron speech at Tel Aviv Cyber Week テルアビブ・サイバーウィークでのリンディ・キャメロン長官のスピーチ
The CEO of the NCSC emphasises the ties between academia, industry and government in countering cyber threats. NCSCのCEOは、サイバー脅威に対抗するための学術界、産業界、政府間の結びつきを強調しています。
Good morning everyone. And it’s fantastic to be here again in Tel Aviv. 皆さん、おはようございます。またテルアビブに来ることができ、大変うれしく思います。
Thank you so much for inviting me. And thanks to those of you who are joining us online - thanks for tuning in. It's great to be back here for a 2nd year running despite the challenges of COVID. お招きいただき、本当にありがとうございます。そして、オンラインで参加してくださっている方々にも感謝します。COVIDの挑戦にもかかわらず、2年連続でここに戻ってこられたのは素晴らしいことです。
I would like to start by congratulating Gaby Portnoy on his appointment as Director General of the Israel National Cyber Directorate earlier this year. まず、今年初めにイスラエル国家サイバー総局の局長に就任されたGaby Portnoy氏にお祝いを申し上げたいと思います。
My own organisation - the UK’s National Cyber Security Centre - and the INCD share an awful lot in terms of mission and of outlook. 私の所属する英国の国家サイバーセキュリティセンターとINCDは、その使命と展望において非常に多くのことを共有しています。
Our collaborations over the years have really delivered and I look forward to expanding the partnership in the years ahead. 私たちの長年の協力関係は実を結んでおり、今後数年間でこのパートナーシップを拡大することを楽しみにしています。
Since I was here in Tel Aviv this time last year, the brutal Russian invasion of Ukraine has not only changed the geo-political landscape but transformed the context for our work on cyber security. 昨年の今頃、私はここテルアビブにいましたが、ロシアの残忍なウクライナ侵攻は、地政学的な状況を変えただけでなく、私たちのサイバーセキュリティに関する仕事の文脈も一変させました。
When the first Russian tank crossed into Ukrainian territory, the unthinkable suddenly became a terrifying reality. 最初のロシアの戦車がウクライナの領土を横切ったとき、考えられないことが突然、恐ろしい現実となったのです。
Millions of innocent people have had their lives, homes and families taken from them. 何百万人もの罪のない人々が、その命、家、家族を奪われたのです。
And while Russia inflicted this physical oppression, they were also conducting a cyber campaign. This came as no surprise. Russia has consistently used cyber pressure to stress its rivals, distract them, and where possible disable them. そして、ロシアはこのような物理的な抑圧を加える一方で、サイバーキャンペーンも行っていたのです。これは驚くことではありません。ロシアは一貫して、ライバルにストレスを与え、注意をそらし、可能であれば無力化するためにサイバー圧力を使ってきました。
But – just as they have done on the battlefield – Ukrainian cyber defenders have done an incredible job of repelling many of these attacks. They are real heroes. しかし、戦場と同じように、ウクライナのサイバー防衛隊は、これらの攻撃の多くを撃退するという信じられないような仕事をやってのけた。彼らは真の英雄です。
And I think resilience and preparation are at the heart of this success. I’ll come back to this point shortly. そして、この成功の核心は、回復力と準備にあると思います。この点については、またすぐに触れたいと思います。
But for all the pernicious activity that we have seen from Russia in the last few months in cyber space and beyond, we must not lose sight of the longer-term strategic challenges posed by the continued growth of China as a technological and economic power. しかし、ここ数カ月、サイバー空間やそれ以外の場所でロシアから見られたあらゆる悪質な活動について、私たちは、技術力および経済力として成長を続ける中国がもたらす長期的な戦略的課題を見失ってはなりません。
Because in cyber security this challenge is particularly acute because of the globalised nature of digital technology. なぜなら、サイバーセキュリティにおいては、デジタル技術のグローバル化により、この課題は特に深刻だからです。
The Chinese government’s use of technology is about coercion and control. And the country’s technological and economic power mean they can export this vision very widely. 中国政府によるテクノロジーの利用は、強制と統制を目的としています。そして、この国の技術力と経済力は、このビジョンを非常に広く輸出することができることを意味します。
Once the world relies on technology delivered with an authoritarian bias, it will constrain our choices. いったん世界が権威主義的なバイアスをもって提供されるテクノロジーに依存すれば、それは我々の選択を制約することになります。
As allies…as equals…our more open systems can take time to reach agreement. And when we leave important choices unmade, we leave gaps in our defences which will be rapidly exploited. 同盟国として、対等な立場で、よりオープンなシステムで合意に達するには時間がかかるかもしれません。そして、重要な選択をしないままにしておくと、防御の隙間ができてしまい、それが急速に利用されることになるのです。
So these challenges - from China, Russia and others - make it impossible for us to leave cyber security for another day. 中国、ロシア、その他の国々からのこうした挑戦は、私たちがサイバーセキュリティを別の日に残しておくことを不可能にしています。
So now is the time to innovate, educate and empower our citizens. ですから、今こそイノベーションを起こし、教育し、市民に力を与えるべき時なのです。
The democracies of the world have to challenge themselves to develop technologies and systems which allow us to avoid reliance on products not aligned with our values. 世界の民主主義国家は、我々の価値観に合わない製品に依存しないような技術やシステムの開発に挑戦しなければならないのです。
And I hope that the ‘start-up nation’ of Israel can play an important role in this innovation over the years to come. そして、「新興国」イスラエルが、今後何年にもわたって、このイノベーションにおいて重要な役割を果たすことを期待しています。
But – even with a war raging in Ukraine – the biggest global cyber threat we still face is ransomware. しかし、ウクライナで戦争が勃発しても、私たちが直面している世界的なサイバー脅威の最大のものはランサムウェアです。
That tells you something of the scale of the problem. このことは、問題の規模を物語っています。
Ransomware attacks strike hard and fast. They are evolving rapidly, they are all-pervasive, they're increasingly offered by gangs as a service, lowering the bar for entry into cyber crime. ランサムウェアの攻撃は激しく、速い。ランサムウェアは急速に進化しており、あらゆるところに蔓延しています。また、ギャングがサービスとして提供することも増えており、サイバー犯罪への参入のハードルが低くなっています。
And that's what makes them such a threat – not just the nationally significant incidents that my team and I deal with in the NCSC, but also the hundreds of incidents we see that affect the UK more widely every year. 私やNCSCのチームが扱う国内での重大事件だけでなく、毎年、英国に広く影響を及ぼす何百もの事件も、このような脅威となっています。
These complex attacks have the potential to affect our societies and economies significantly, if it were not for the expertise of our incident management operators working in collaboration with their counterparts in industry and their international counterparts gathered here today. これらの複雑な攻撃は、今日ここに集まった産業界の関係者や国際的な関係者と協力して活動する事故管理オペレータの専門知識なしには、私たちの社会や経済に大きな影響を与える可能性があります。
So, we worked hard over the last year, to really understand, with our law enforcement partners, the criminal system behind ransomware. We want to drive down profits and drive up the risk to the criminals. We continue to work on understanding the scale, nature and evolution of their techniques. 私たちは昨年、法執行機関のパートナーとともに、ランサムウェアの背後にある犯罪システムを理解するために、懸命に取り組みました。私たちは、犯罪者の利益を減少させ、リスクを増加させたいと考えています。私たちは、犯罪者の技術の規模、性質、進化を理解するための努力を続けています。
We want to make ransomware an unprofitable and unattractive business. ランサムウェアを収益性の低い、魅力的でないビジネスにしたいのです。
Russia may dominate the headlines at the moment, but this threat of ransomware has not gone away – and nor have we stopped our relentless focus on it. 今はロシアが話題の中心かもしれませんが、ランサムウェアの脅威は消えていませんし、私たちもランサムウェアへの徹底的な取り組みを止めてはいません。
But it’s not all doom and gloom. しかし、悲観的な話ばかりではありません。
I’ve mentioned Ukraine, and closer to home, just look at the work undertaken by our hosts here in Israel - a shining example of what can be done when a nation takes cyber security seriously. ウクライナについて触れましたが、身近なところでは、ここイスラエルで私たちのホストが行っている活動をご覧になってください。
The technology developed here is truly world class. The talent in the cyber security sector is second to none. And your defences are some of the strongest in the world. この国で開発された技術は、まさにワールドクラスです。サイバーセキュリティの分野では、他の追随を許さないほどの才能があります。そして、その防御は世界でも最も強固なもののひとつです。
But making the most of our digital future is too big an issue for any one nation to handle alone. しかし、デジタルの未来を最大限に活用することは、一国だけで扱うには大きすぎる問題です。
Whether its drip feed irrigation or health and climate tech, Israel has always been proud to innovate for the benefit of people, well beyond your borders. 点滴にせよ、健康・気候技術にせよ、イスラエルは常に、国境を越えて人々のためにイノベーションを起こすことを誇りとしてきました。
So, I hope you will continue to produce cyber security solutions which are safe, strong and affordable for the whole world. ですから、これからも全世界のために、安全で、強く、手頃な価格のサイバーセキュリティ・ソリューションを生み出し続けてほしいと思います。
Because an isolationist stance is just not going to work, long term. I think the war in Ukraine is a case in point there. なぜなら、孤立主義的なスタンスでは、長期的にうまくいかないからです。ウクライナの戦争は、その典型例だと思います。
Technology and tactics developed there won't remain local problems. We've all watched that carefully. そこで開発された技術や戦術は、ローカルな問題として残ることはないでしょう。私たちはそれを注意深く見守ってきました。
An important part of our response to this as an international community is a clearer definition and enforcement of the rules that govern activity in cyberspace. 国際社会としての対応で重要なのは、サイバースペースでの活動を統制するルールをより明確に定義し、実施することです。
If we are to ensure that the digital world remains a place of opportunity, and to avoid it becoming a place of conflict and struggle, we must be clearer about the guidelines and norms that transcend international borders. We must explore innovative new technologies and share lessons learnt. デジタルの世界がチャンスの場であり続け、紛争や闘争の場にならないようにするには、国境を越えたガイドラインや規範をより明確にしなければなりません。革新的な新技術を探求し、学んだ教訓を共有しなければなりません。
Last month, the UK's Attorney-General set out the UK views on how international law applies in cyberspace in peace time. 先月、英国の司法長官は、平時のサイバースペースにおける国際法の適用方法について、英国の見解を示しました。
She focused on providing more detail on the rule on prohibited intervention. Her speech brings this to life by providing examples from key sectors of the sort of cyber behaviour that would be unlawful if conducted in peacetime. 彼女は、禁止された介入に関するルールについて、より詳細な情報を提供することに焦点を当てました。同弁護士は、平時に行われた場合には違法となるようなサイバー行動について、主要なセクターから例を挙げて説明し、これを現実のものとしました。
She stressed that the United Kingdom’s aim is to ensure that future frontiers evolve in a way that reflects our democratic values and interests, as well as those of our allies. また、英国の目的は、将来のフロンティアが、わが国の民主主義的価値と利益、そして同盟国の利益を反映する形で発展していくようにすることだと強調しました。
We need clarity on the points of law if they are to be part of a framework for governing international relations and if they are to rein in irresponsible cyber behaviour. 国際関係を統治する枠組みの一部となり、無責任なサイバー行動を抑制するためには、法律のポイントを明確にする必要があります。
Another very significant element is the international regulation of sophisticated cyber capabilities. Some of which have been pioneered here, in Israel. もう一つの非常に重要な要素は、高度なサイバー能力の国際的な規制です。そのうちのいくつかは、ここイスラエルで先駆的に開発されたものです。
If we’re going to maintain a cyberspace which is a safe and prosperous place for everyone, it is vital that such capabilities are produced and used in a way that is legal, responsible and proportionate. 私たちが誰にとっても安全で豊かなサイバースペースを維持しようとするならば、そのような能力が合法的で、責任感があり、適切な方法で生産され、使用されることが極めて重要です。
I am delighted that Israel has tightened export controls around these tools, making it far more difficult for nations with concerning records on privacy and human rights to acquire such intrusive spyware. イスラエルがこうしたツールの輸出規制を強化し、プライバシーや人権に問題のある国々がこうした侵入型スパイウェアを入手するのをはるかに困難にしたことは喜ばしいことです。
It is really important that every actor, from the developer to the end-user of these types of technology and capability acts responsibly, with appropriate safeguards to protect against misuse. この種の技術や能力の開発者からエンドユーザーまで、すべての関係者が悪用から保護するための適切なセーフガードを用いて、責任ある行動をとることが本当に重要です。
There is a key role here for those of you in the private sector, for our respective cyber industries and technology companies in conducting due diligence and ensuring their products are not deployed in a manner that creates harm or undermines these principles. 民間企業の皆さん、サイバー産業やテクノロジー企業の皆さんは、デューディリジェンスを行い、自社の製品がこれらの原則を損なったり、損害を与えるような形で配備されないようにすることが重要な役割となります。
One of the great benefits of coming to fantastic events like this at Tel Aviv Cyber Week is the opportunity to learn from others and exchange ideas. テルアビブ・サイバーウィークのような素晴らしいイベントに参加する大きなメリットの一つは、他の人から学び、アイデアを交換する機会であることです。
In the UK, we take our ‘whole of society’ approach to cyber security really seriously. We want everyone ‘on the team’, pulling together to present a cohesive and resilient digital face to the world. Every citizen, business and utility, every school, charity and hospital. And I think that is something that we look to you for some real lessons on. 英国では、サイバーセキュリティに対する「社会全体」での取り組みに真摯に取り組んでいます。私たちは、すべての人が「チーム」となり、力を合わせて、結束力のある、弾力的なデジタルの顔を世界に示すことを望んでいます。すべての市民、企業、公共事業、学校、慈善団体、病院がそうです。そのために、私たちは皆さんに本当の意味での教訓を求めたいと考えています。
We want to help create a society that is resilient to cyber attacks, where cyber security is second nature to all of us. 私たちは、サイバー攻撃に強い社会、サイバーセキュリティが当たり前の社会を作りたいと考えています。
Israel is already some way ahead in this process. Your cyber security ecosystem of businesses, education, and research is thoroughly inspirational. I am personally in awe of your cyber education programme – it is something that the UK’s CyberFirst scheme has learnt many lessons from. イスラエルは、このプロセスにおいて、すでにいくつかの点で先を行っています。ビジネス、教育、研究からなるサイバーセキュリティのエコシステムは、非常に刺激的です。個人的には、イスラエルのサイバー教育プログラムに畏敬の念を抱いています。このプログラムは、英国のサイバーファースト計画から多くの教訓を得たものです。
And I appreciate that building this kind of depth of understanding, as Professor Ben-Israel said, takes time. But early investment really pays dividends. ベン・イスラエル教授がおっしゃるように、このような深い理解を得るには時間がかかります。しかし、早期の投資は実に大きな利益をもたらします。
The same is true of organisations around the world as they build resilience to cyber compromises. このことは、世界中の組織がサイバー攻撃への耐性を強化する際にも同じことが言えます。
Which is why my organisation has been encouraging organisations throughout the UK to follow the advice that we give as NCSC to improve their resilience – learning from the lessons we've seen in Ukraine of how to build that resilience in the face of the Russian onslaught. 私の組織では、NCSCとしてのアドバイスに従って回復力を高めるよう、英国内の組織に働きかけています。ロシアの猛攻に直面したときに回復力を高める方法について、ウクライナで見た教訓から学んでいるわけです。
And learning the lessons of Ukrainian cyber security in recent months has been something we've tried to help our companies in the UK to understand. そして、ここ数カ月のウクライナのサイバーセキュリティの教訓を学ぶことは、英国の企業にも理解してもらおうとしたことでした。
But to build this kind of resilience we need to create an environment where people are not too busy putting out the little fires to focus on the longer term. しかし、このようなレジリエンスを構築するためには、人々が小さな火事を消すことに忙しく、長期的な視点に集中できないような環境を作り出す必要があります。
Which is why the NCSC is really proud of our Active Cyber Defence programme, which helps to reduce the volume of low-level commodity attacks. And we’ve had some noteworthy successes. NCSCが、低レベルのコモディティ攻撃の量を減らすのに役立つ「アクティブ・サイバー・ディフェンス」プログラムを高く評価しているのはそのためです。そして、私たちは特筆すべき成功を収めています。
Our ‘Takedown project’, for example, removed 3.1 million malicious URLs in 2021. Which we think saved the UK £223 million. 例えば、私たちの「Takedownプロジェクト」は、2021年に310万件の悪質なURLを削除しました。これにより、英国は2億2,300万ポンドを節約できたと我々は考えています。
In the same period, our  ‘Protective DNS’ service handled more than 600 billion requests. 160 million of which were blocked from accessing known sources of malicious content. 同じ期間に、私たちの「Protective DNS」サービスは6,000億以上のリクエストを処理しました。そのうち1億6000万件は、悪質なコンテンツの既知のソースへのアクセスをブロックしました。
And, one service that I am particularly proud of is our Suspicious Email Reporting Service, because we enlist the great British public to help us. So far, the public have told us about 10.5 million suspicious emails, from which we’ve taken down 76,000 online scams. It's a great example of our “whole of society” approach in action and it helps our citizens feel as if they're helping us as a country, not just to protect themselves, but to protect the nation as a whole. また、私が特に誇りに思っているサービスのひとつに、「疑わしい電子メール報告サービス」があります。これは、英国の優れた一般市民の協力を得ているためです。これまで、1,050万通の不審なメールについて一般の方から情報をいただき、その中から76,000件のオンライン詐欺を取り締まりました。これは、私たちの「社会全体で取り組む」アプローチの好例であり、国民が自分たちを守るためだけでなく、国全体を守るために協力しているのだと実感できるようになります。
So, this ambitious approach to a whole of society approach to cyber. But I think to succeed, partnerships are essential. So, we are building stronger ties between academia, industry and government. つまり、この野心的なアプローチは、サイバーに対する社会全体のアプローチなのです。しかし、成功するためには、パートナーシップが不可欠だと思います。そこで私たちは、学術界、産業界、政府間のより強い結びつきを構築しています。
We’re reaching out to startups, with initiatives designed to spur the development of tools which will protect the UK’s smaller and medium sized businesses. 英国の中小企業を保護するツールの開発に拍車をかけるために、新興企業にも手を差し伸べています。
And we are engaging, as we are here, with our friends and allies. そして、ここにいるように、私たちは友人や同盟国とも関わっています。
We must come together around our shared values. Each nation bringing its own particular skills and strengths to build a network which is naturally resilient to attack, one which favours innovation, discourse and creativity over control and coercion. 私たちは、共通の価値観のもとに団結しなければなりません。各国はそれぞれ固有のスキルと強みを持ち寄り、攻撃に自然に強いネットワークを構築し、支配や強制よりもイノベーションや言論、創造性を優先させます。
They are big challenges, and they point to even larger actions. So, I look forward to discussing them with you here at Cyber Week, and in the months and years to come. これらは大きな挑戦であり、さらに大きな行動を指し示しています。このサイバーウィークで、そしてこれからの数ヶ月、数年の間に、皆さんと一緒にこれらの課題について議論できることを楽しみにしています。
Thank you for your time. お忙しい中、ありがとうございました。

 

1_20220704055101

 

 

Continue reading "英国 商業的なサイバー能力は合法的かつ責任を持って使用されなければならない by 国家サイバーセキュリティセンター長 (2022.06.28)"

| | Comments (0)

2022.07.03

経済産業省 車載用半導体サプライチェーン検討WG 中間報告「自動車サプライチェーンの強靭化に向けた取組」

こんにちは、丸山満彦です。

経済産業省(製造産業局自動車課、商務情報政策局情報産業課)の車載用半導体サプライチェーン検討WGが、中間報告「自動車サプライチェーンの強靭化に向けた取組」を公表していますね。。。

製造においては特定部品の不足が産業全体に影響にするわけですから、それがその国の基幹産業の場合は重要となってきますね。。。

しかし、かつては産業のコメと言われて世界に半導体を供給していた国が、ファブレス、ファウンドリの領域では米国、台湾勢に抑えられてしまい、国としても根本的解決になるような方法を持てなくなってしまったのかもしれませんね。。。

見極めの悪さか、判断力の悪さか、経営の意思決定が遅れ、没落していったのかもしれませんね。。。

経済産業省

・2022.07.01 車載用半導体サプライチェーン検討WG 中間報告「自動車サプライチェーンの強靭化に向けた取組」を公表しました


中間報告「自動車サプライチェーンの強靭化に向けた取組」の概要

(1)車載用半導体の安定調達に向けた取組
〇生産計画の提示方法の改善
半導体メーカーの予見性向上を図るため、自動車メーカーからサプライヤーに提示する生産計画の改善を実施(期間の長期化、情報粒度・提示頻度の向上等)。

〇半導体の製品・工程変更手続の標準化
調達先の複線化や切替えを効率化するため、半導体の素材変更等の際に必要となる製品・工程変更手続において、自動車メーカーごとの品質評価プロセスを標準化し評価期間を短縮。

(2)自動車サプライチェーンの強靭化に向けた方向性
自動車メーカーが平時からサプライチェーンリスクを分析し、コストとリスクのバランスを考慮しつつ、柔軟かつ強固なサプライチェーンの構築を目指す。この際、個社で解決できない課題については、業界横断での取組や政府のサポートを得つつ、進めていく。

〇サプライチェーンリスク評価
・社内外のデータベース・分析ツールの活用を進めることで、サプライチェ-ンの構造把握を効率的に実施。
・一部のサプライヤーは自社の競争情報である等の理由で取引先情報を開示していないという現状を踏まえ、情報開示に理解を得られるよう平時から関係を強化。
・カーボンフットプリントの計算等の社会的要請を背景とした自動車産業の横断的なデータ連携基盤の構築も見据え、情報流通のあり方について検討。

〇サプライチェーンリスク対応
・リスクの高い部素材については、代替調達先の事前評価やコスト面も考慮しつつ在庫の積み増しを検討。
・車両電子プラットフォームの高度化や、旧世代の半導体の生産撤退リスク等を考慮し、中長期的な半導体戦略を構築。
・部素材産業のカーボンニュートラル実現に向けた支援によって国内生産基盤を維持。その上で撤退が避けられない場合には、特定国への依存を回避する形で調達先の複線化について検討。


 

・[PDF] 自動車サプライチェーンの強靱化に向けた取組

20220703-35736

 


 

参考

● 株式会社日立ハイテク - みんなの試作広場

半導体入門講座

| | Comments (0)

2022.06.30

公安調査庁 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示(2022.06.23)

こんにちは、丸山満彦です。

2022.06.23に公安調査庁長官が、公安調査局長・公安調査事務所長会議での訓示が公開されていますね。。。

 

概要は、

1. 経済安全保障に関する取組の強化・推進(経済安全保障特別調査室を設置)
(1)
官民連携の推進
(2)
国内外の関係機関との更なる連携の強化
(3)
機能・体制の強化

2. サイバー空間における脅威に対する取組の強化・推進(サイバー特別調査室を設置等)

3. 我が国の外交・安全保障に関する各種動向の迅速かつ的確な把握
(1)
北朝鮮
(2) 中国は
(3)
ロシア
(4)
インフルエンス・オペレーション(偽情報の流布なども含めた活動)
(5)
国際テロ情勢(ISIL、アルカイダなどの国際テロ組織、アフガニスタン)
(6)
ウクライナ情勢

4. いわゆるオウム真理教に対する観察処分の適正かつ厳格な実施

ということのようです。。。

 

サイバーセキュリティ部分...


第二に、サイバー空間における脅威に対する取組の強化・推進についてです。
 サイバー攻撃が国内外で常態化し、その手口も巧妙化する中で、特に我が国の周辺国等は、その政治的、軍事的、経済的目的を達成するため、サイバー空間を利用した諜報活動や重要インフラの破壊、偽情報の流布などによる情報操作といったサイバー戦能力を強化しており、我が国の安全保障に与える影響等を注視していかなければなりません。
 このような情勢を受け、サイバー攻撃事案等に係る情報収集・分析能力を強化するため、本年4月、サイバー特別調査室を設置しました。サイバー関連情報については、高まる情報ニーズの中、当庁に寄せられる期待にこれまで以上に応える必要があります。各局・事務所においても、サイバー特別調査室と緊密に連携し、同関連調査をより一層推進していただきたいと思います。


 

公安調査庁

・2022.06.23 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示

 

1hroyyh9_400x400

| | Comments (0)

2022.06.29

メタバースのシステム構成論(佐藤一郎教授の資料 at 総務省 情報通信法学研究会AI分科会(令和4年度第1回会合))

こんにちは、丸山満彦です。

昨日は、欧州議会のThink Tankによるメタバース:機会、リスク、政策への影響について載せましたが、今日は総務省情報通信法学研究会AI分科会(令和4年度第1回会合)の佐藤一郎教授(構成員)のメタバースのシステム構成論です。。。

技術進歩とともに、できることが増えることにより、その結果は良い面にも悪い面にも影響を及ぼす、だからどのような政策が必要かというのが昨日の話ですが、そもそも技術の限界はどのようなものかというのが、今回の佐藤先生の資料から見えてくる部分もあるように思います。

これは読む価値があると思います。。。

個人的には、技術進歩により変わってきている一つの要素に没入感があると思います。演算速度、通信速度が高まり、現実に近い画像解像度、音質を3D的に表現しつつ他人とインタラクティブにコミュニケーションができるようになったきたということですね。。。(と言っても、視覚と聴覚だけですが。。。)

それ以外は既に歴史を振り返って検証すればわかることが多いのではないかと思っています。。。(それも佐藤先生の資料にありますが、、、)

そういう意味では、健康や心理的な側面の検討をより進める必要があるのかもしれません。。。

そして当面は、仮想社会ができても、現実社会との紐付けからは逃れられないようにする必要があるようのではないかと思います。つまり、KYC的なものは必要ということになると思います。。。(人類が仮想空間で過ごす時間が現実空間で過ごす時間より増えても、KYC的なものが必要なのは変わらないのであれば、常に必要ということかもしれない。)

ということで、当面の利用は、少人数による管理された環境下(例えば企業内でのコミュニケーション、会員間でのゲームやシミュレーション等)で使われるのが現実的なのかもしれません。。。

とはいえ、プラットフォーマの手数料も含めたシステム開発費、運用費の負担に比した利用のメリットがどれだけあるのか???ということを現実的に突き詰めていく頃には、どのようなものが残っているのかというのは興味があります。。。(もちろん、技術進歩により、同じ性能における開発費や運用費も下がっていくでしょうし。。。)

 

総務省  - 情報通信法学研究会 Fig1_20220629050001

・2022.06.29 情報通信法学研究会AI分科会(令和4年度第1回会合) 

[PDF] 資料1         佐藤構成員発表資料

20220629-45813


[PDF] 資料2         成原構成員解説資料
[PDF] 参考資料1 情報通信法学研究会開催要綱
[PDF] 参考資料2 情報通信法学研究会分科会構成
[PDF] 参考資料3 学術雑誌『情報通信政策研究』第6巻第1号の特集について


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2022.06.09 新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針2022

 

 

| | Comments (0)

2022.06.28

JIPDEC 将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~

こんにちは、丸山満彦です。

一般財団法人 日本情報経済社会推進協会 (JIPDEC) が、情報セキュリティ対策を行うためのエッセンスを紹介したガイドブック「将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~」を新たにまとめ、発行していますね。。。

12ページでコンパクトにまとめられているということですかね。。。

主なポイントは以下のとおりとのことです。。。



■ テレワークによる職場環境やクラウドサービス活用を含むシステム変更等によって変化するリスクにどう対応するかを解説
■ 情報セキュリティにおけるガバナンスの重要性を解説
■ デジタルトランスフォーメーション(DX)推進に即したセキュリティ対策の考え方を紹介


 

● JIPDEC

・2022.06.27 JIPDEC クラウドサービス提供&利用のリスク対応を解説したガイドブックを発行 - 今、そして将来の脅威にどう対応する?ISO規格をもとにISMS構築のエッセンスを解説!

・[PDF] 将来の脅威に対応できるISMS 構築のエッセンス ~クラウドセキュリティに役立つISO 規格~ 

20220628-51355

 

目次...

1 はじめに
2
目的に沿った運用にするには
 2.1
ガバナンス
 2.2
リスクマネジメント
 2.3
運用時の注意事項
3
効果的な仕組みづくりのために ~ISMS 適合性評価制度の活用~
4
おわりに


 

 

| | Comments (0)

欧州議会 Think Tank メタバース:機会、リスク、政策への影響

こんにちは、丸山満彦です。

欧州議会のThink Tankが、メタバースをめぐる、機会、リスク、政策への影響について考察したレポートを公表していますね。。。

メタバースというか、仮想現実、拡張現実を利用し、没入感を高めたデジタル環境において、人間社会にどのようなチャンスとリスクがあるのか、それを踏まえてどのような政策が必要かを考察している資料ですね。。。

さすが欧州ですね。日本ではここまで踏み込んで検討していないでしょうね。。。

 

European Parliament - Think Tank

・2022.06.24 Metaverse: Opportunities, risks and policy implications

Metaverse: Opportunities, risks and policy implications メタバース:機会、リスク、政策への影響
One of the most talked about concepts in modern technology, the metaverse can be described as an immersive and constant virtual 3D world where people interact by means of an avatar to carry out a wide range of activities. Such activities can range from leisure and gaming to professional and commercial interactions, financial transactions or even health interventions such as surgery. While the exact scope and impact of the metaverse on society and on the economy is still unknown, it can already be seen that the metaverse will open up a range of opportunities but also a number of risks in a variety of policy areas. Major tech companies are scaling up their metaverse activities, including through mergers and acquisitions. This has given impetus to a debate on how merger regulations and antitrust law should apply. Business in the metaverse is expected to be underpinned largely by cryptocurrencies and non-fungible tokens, raising issues of ownership, misuse, interoperability and portability. Furthermore, the huge volume of data used in the metaverse raises a number of data protection and cybersecurity issues (e.g. how to collect user consent or protect avatars against identity theft). There is considerable scope for a wide range of illegal and harmful behaviours and practices in the metaverse environment. This makes it essential to consider how to attribute responsibility, inter alia, for fighting illegal and harmful practices and misleading advertising practices, and for protecting intellectual property rights. Moreover, digital immersion in the metaverse can have severe negative impacts on health, especially for vulnerable groups, such as minors, who may require special protection. Finally, the accessibility and inclusiveness of the metaverse remain areas where progress has still to be made in order to create an environment of equal opportunities. 現代技術で最も話題になっている概念の一つであるメタバースは、人々がアバターによって交流し、様々な活動を行う没入型かつ恒常的な仮想3D世界と表現することができる。このような活動は、レジャーやゲームから、専門家や商人との交流、金融取引、あるいは手術などの健康介入に至るまで、多岐にわたる。メタバースが社会や経済に及ぼす正確な範囲や影響はまだ不明だが、メタバースがさまざまな政策分野において、さまざまな機会をもたらすと同時に、多くのリスクをもたらすことはすでに確認されている。大手ハイテク企業は、M&Aを含め、メタバース活動を拡大している。このため、合併規制や独禁法の適用をどうするかという議論に弾みがついている。メタバースにおけるビジネスは、主に暗号通貨や非ファンジブルトークンに支えられ、所有権、不正使用、相互運用性、ポータビリティの問題が生じると予想される。さらに、メタバースで使用される膨大なデータは、多くのデータ保護とサイバーセキュリティの問題を提起する(例えば、利用者の同意を収集する方法、ID盗難からアバターを保護する方法など)。メタバース環境では、さまざまな違法・有害な行動や行為が行われる可能性がかなりある。このため、特に違法・有害な行為や誤解を招くような広告手法との戦い、および知的財産権の保護について、どのように責任を帰属させるかを検討することが不可欠である。さらに、メタバースにおけるデジタルへの没入は、特に特別な保護を必要とする未成年者などの脆弱な集団にとって、健康に深刻な悪影響を及ぼす可能性がある。最後に、メタバースのアクセシビリティと包摂性は、機会均等の環境を作るために、依然として進展が必要な領域である。

 

検討している内容は、次の7分野で、

o Competition  o 競争
o Data protection o データ保護
o Liabilities o 負債
o Financial transactions o 金融取引
o Cybersecurity  o サイバーセキュリティ 
o Health o 健康
o Accessibility and inclusiveness o アクセシビリティと包摂性

それぞれ、課題、考えられる政策的影響を分析しています。

非常に参考になると思います。

 

・2022.06.24 [PDF] Metaverse - Opportunities, risks and policy implications

20220628-43121

内容は、、、

Continue reading "欧州議会 Think Tank メタバース:機会、リスク、政策への影響"

| | Comments (0)

2022.06.27

日本公認会計士協会 経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」を公表

日本公認会計士協会が、経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」を公表していますね。。。

興味深いです!!!

 

日本公認会計士協会 (JICPA)

・2022.06.27 経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」の公表について

・[PDF] 本文

20220627-155943

 

目次


総論
1.本研究資料の作成の背景
2.本研究資料の作成の前提事項

会計不正の動向
1.会計不正の公表会社数
2.会計不正の類型と手口
3.会計不正の主要な業種内訳
4.会計不正の上場市場別の内訳
5.会計不正の発覚経路
6.会計不正の関与者
7.会計不正の発生場所
8.会計不正の不正調査体制の動向
9.会計不正と内部統制報告書の訂正の関係

【参考】会計不正の定義


 

今年+過去分

2022.06.27  経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」 PDF
2021.07.29  経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」 PDF
2020.07.17 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」 PDF
2019.06.19  経営研究調査会研究資料第6号「上場会社等における会計不正の動向(2019年版)」 PDF
2018.05.16  経営研究調査会研究資料第5号「上場会社等における会計不正の動向」 PDF

 


 

まるちゃんの情報セキュリティティ日記

・2021.07.31 日本公認会計士協会 経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」を公表

・2020.07.20 日本公認会計士協会 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」を公表

| | Comments (0)

ドイツ BSI TR-03161 ヘルスケア分野でのアプリケーション等に対するセキュリティ要求事項

こんにちは、丸山満彦です。

ドイツが、ヘルスケア分野のアプリケーションについてのセキュリティ要求事項を「モバイルアプリケーション (TR-03161-1)」 、「ウェブアプリケーション (TR-03161-2)」 、「バックグラウンドシステム (TR-03161-3)」に分けて公表していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

プレス...

・2022.06.23 Bundesamt für Sicherheit in der Informationstechnik BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen

BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen BSI、デジタルヘルス・アプリケーションのセキュリティに関する技術指針を発表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsanforderungen an Anwendungen im Gesundheitswesen veröffentlicht. Im Rahmen unterschiedlicher explorativer Projekte konnte das BSI in den letzten Jahren Erkenntnisse über den aktuellen Stand der IT-Sicherheit im Gesundheitswesen gewinnen. Um Herstellern und Betreibern mit präventiven Maßnahmen weitere Hilfestellungen geben zu können, wurden Sicherheitsanforderungen für unterschiedliche Teilbereiche von Anwendungen im Gesundheitswesen verfasst. Die Technische Richtlinie (TR) umfasst in mehreren Teilen Anforderungen an mobile Anwendungen (TR-03161-1), Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3). ドイツ連邦情報セキュリティ局 (BSI) は、ヘルスケア分野のアプリケーションに対するセキュリティ要件を発表しました。BSIは、さまざまな探索的プロジェクトの枠組みの中で、近年のヘルスケア分野におけるITセキュリティの現状について知見を得ることができました。メーカーやオペレーターに予防策を提供できるよう、ヘルスケア分野のさまざまなアプリケーションのサブエリアについて、セキュリティ要件が作成されています。本技術指針は、モバイルアプリケーション (TR-03161-1) 、ウェブアプリケーション (TR-03161-2) 、バックグラウンドシステム (TR-03161-3) の要件をいくつかのパートに分けて構成しています。
Die Anforderungen basieren auf dem aktuellen Stand der Technik im Gesundheitswesen und den Erkenntnissen aus unterschiedlichen Projekten des BSI. Darüber hinaus repräsentieren sie aus Sicht des BSI das Ergebnis eines regelmäßigen Austauschs mit der Industrie sowie der Beteiligung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Unter Berücksichtigung der stark fortschreitenden Digitalisierung im Gesundheitswesen und des sich wandelnden Standes der Technik, pflegt das BSI weiterhin einen regelmäßigen Austausch mit Vertretern der Industrie und den zuständigen Behörden. Die sich hieraus ergebenden Erkenntnisse werden im Rahmen einer jährlichen Evaluierung der TR berücksichtigt und in Form von Anpassungen und Erweiterungen mit aufgenommen. 要件は、ヘルスケアにおける現状と、BSIのさまざまなプロジェクトで得られた知見に基づいています。さらに、BSIの観点からは、産業界との定期的な交流や、連邦医薬品・医療機器研究所 (BfArM) 、連邦データ保護・情報自由委員会 (BfDI) の関与の結果であると言えるでしょう。BSIは、急速に進むヘルスケア分野のデジタル化とその状況の変化を考慮し、産業界や所轄官庁の代表者と定期的な交流を続けています。その結果得られた知見は、毎年行われるTRの評価で考慮され、適応や拡張の形で盛り込まれます。
Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an. 記載されたセキュリティ要件に適合していることを証明するために、BSI は TR に従った認証手続きを提供します。
Digitale Gesundheitsanwendungen (DiGA) nach § 33 a SGB V und digitale Pflegeanwendungen (DiPA) nach § 40 a SGB XI können grundsätzlich als Anwendungen im Gesundheitswesen gewertet werden. Eine Anerkennung der Zertifizierung nach TR für DiGA in Bezug auf § 139 e Absatz 10 SGB V und DiPA in Bezug auf § 78 a SGB XI Absatz 7 als Nachweis der einzuhaltenden Sicherheitsanforderungen obliegt dem BfArM. 33 a SGB Vによるデジタルヘルスアプリケーション (DiGA) と40 a SGB XIによるデジタルケアアプリケーション (DiPA) は、基本的にヘルスケア分野におけるアプリケーションとして評価することができる。満たすべき安全要件の証明として、SGB V §139 e 10 項に関する DiGA および SGB XI §78 a 7 項に関する DiPA の TR による認証の承認は、BfArM の責任です。

 

 

・2022.06.23 BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen BSI TR-03161 ヘルスケア分野でのアプリケーションに対する要求事項
Gegenstand der Technischen Richtlinie 技術指針の対象
Nach Einschätzung des Bundesministeriums für Gesundheit stehen die Gesundheitssysteme der westlichen Welt vor großen Herausforderungen. Es gilt immer mehr ältere und chronisch kranke Menschen zu behandeln, teure medizinische Innovationen zu bezahlen und strukturschwache ländliche Gebiete medizinisch zu versorgen [BMG-EHI]. Anwendungen im Gesundheitswesen können helfen, solche und andere Herausforderungen besser zu lösen. Sie haben das allgemeine Ziel bei „der Behandlung und Betreuung von Patientinnen und Patienten“ zu unterstützen und ,,die Möglichkeiten [zu] nutzen, die moderne Informations- und Kommunikationstechnologien (IKT) bieten“ [BMG-EH]. 連邦保健省によると、欧米の医療制度は大きな課題に直面しています。高齢者や慢性疾患患者が増え、高価な医療技術革新に費用がかかり、構造的に弱い地方に医療を提供しなければならないのです[BMG-EHI]。ヘルスケア・アプリケーションは、このような課題をよりよく解決するために役立ちます。これらは、「患者の治療とケア」を支援し、「現代の情報通信技術 (ICT) が提供する可能性を利用する」ことを一般的な目的としています[BMG-EH]。
Die Familie von Technische Richtlinien (TR) richtet sich an Hersteller von Anwendungen im Gesundheitswesen. Zusätzlich kann sie als Richtlinie für Anwendungen betrachtet werden, welche sensible Daten verarbeiten oder speichern. 技術ガイドライン (TR) ファミリーは、ヘルスケア分野のアプリケーションメーカーを対象としています。また、機密性の高いデータを処理・保管するアプリケーションのガイドラインとしても考慮できる。
Zielsetzung der Technischen Richtlinie 技術指針の目的
Die Digitalisierung aller Lebensbereiche, sei es im Beruf, in Heimumgebungen, im Individual- oder im öffentlichen Personenverkehr, schreitet stetig voran. Bereits im Jahr 2018 überschritt die Anzahl der Internetnutzer die Grenze von vier Milliarden Menschen. Zwei Drittel der zurzeit 7,6 Milliarden Menschen zählenden Weltbevölkerung nutzen ein Mobiltelefon. Mehr als drei Milliarden Menschen nutzen soziale Netzwerke und tun dies in neun von zehn Fällen über ihr Smartphone (vgl. [GDR18]). Diese Entwicklung setzt sich im Gesundheitswesen mit dem Trend zum „Self-Tracking“, aber auch mit der zunehmenden Forderung nach der effizienten Nutzung einmal erhobener medizinischer Daten fort. Insbesondere im Gesundheitswesen ist es dabei komfortabel, dass orts- und zeitunabhängig auf die eigenen medizinischen Daten zugegriffen werden kann. Anwendungen speichern in diesem Fall sensible und persönliche Daten - von der Pulsfrequenz, über Aufzeichnungen des Schlafrhythmus bis hin zu Medikationsplänen sowie ärztlichen Verordnungen und Bescheinigungen. Sie verbinden den Nutzer mit entsprechenden Services und fungieren als Kommunikations-Knotenpunkte. Ein kompromittiertes Endgerät kann somit das gesamte digitale Leben des Nutzers ungewollt offenlegen und zu hohem finanziellen Schaden führen. Das Einhalten von geeigneten Sicherheitsstandards kann dies wesentlich erschweren und möglicherweise sogar verhindern. Schon während der Entwicklungsphase sollten Hersteller sehr verantwortungsvoll planen, wie eine Anwendung personenbezogene und andere sensible Daten verarbeitet, speichert und schützt. 職場、家庭環境、個人、公共交通機関など、生活のあらゆる場面でデジタル化が着実に進行しています。すでに2018年には、インターネット利用者が40億人を突破しています。現在、世界の人口76億人のうち、3分の2が携帯電話を使用しています。30億人以上の人々がソーシャルネットワークを利用し、10件中9件はスマートフォンから利用しています ([GDR18]を参照) 。このような動きは、ヘルスケア分野でも続いており、「セルフトラッキング」の流れに加え、一度収集した医療データの効率的な活用が求められています。特に医療分野では、場所や時間に関係なく自分の医療データにアクセスできるのは便利なことです。この場合、アプリケーションには、脈拍や睡眠リズムの記録、投薬計画、医療処方箋や証明書など、機密性の高い個人情報が保存されます。ユーザーを対応するサービスに接続し、通信ノードとして機能する。エンドデバイスが危険にさらされると、意図せずユーザーのデジタルライフ全体が明らかになり、高額な金銭的損害につながる可能性があるのです。適切なセキュリティ基準を遵守することで、このような事態をより困難なものとし、場合によっては防ぐことができます。開発段階であっても、メーカーはアプリケーションが個人情報やその他の機密情報をどのように処理し、保存し、保護するかについて、非常に責任ある計画を立てる必要があります。
Die IT-Sicherheit verfolgt im Wesentlichen drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. ITセキュリティは、基本的に3つの保護目標を追求しています。機密性、完全性、可用性。
Gerade bei Anwendungen im Gesundheitswesen ist die Einhaltung dieser Anforderungen von besonderer Wichtigkeit. Insbesondere im Gesundheitswesen ist die Vertraulichkeit von Gesundheitsdaten, die unwillentlich offenbart werden, für immer verloren. Der Patient könnte hierfür zwar Schadensersatz erhalten, die unwillentliche Offenbarung kann allerdings nicht ungeschehen gemacht werden. Darüber hinaus können durch das ungewollte Bekanntwerden von Gesundheitsdaten unerwünschte Folgen mit erheblichen Auswirkungen im sozialen wie auch im beruflichen Umfeld entstehen. Sollte ein Angreifer in der Lage sein, sensible Daten eines Dritten zu manipulieren und damit deren Integrität zu verletzen, könnte er wesentlichen Einfluss auf Therapieentscheidungen und letztlich die Gesundheit des Betroffenen haben. 特に、ヘルスケア分野のアプリケーションでは、これらの要件への適合が重要です。特に医療分野では、意図せず公開された健康データの機密性は永遠に失われます。この場合、患者は補償を受けることができるが、強制的な開示は元に戻すことができません。また、意図せずして健康データが開示されると、社会的・職業的に大きな影響を及ぼし、好ましくない結果になることもあります。万が一、攻撃者が第三者の機密データを操作し、その完全性を侵害した場合、治療の意思決定、ひいては本人の健康に大きな影響を与える可能性があります。
Diese Familie von Technische Richtlinien soll als Leitfaden dienen, um Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen. この技術ガイドラインファミリーは、アプリケーション開発者が安全なソリューションを作成するためのガイドとして機能することを目的としています。
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート1:モバイルアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート2:ウェブアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme BSI TR-03161 ヘルスケアアプリケーションの要件 - Part 3: バックグラウンドシステム
Biometrie bei mobilen Gesundheitsanwendungen モバイルヘルスアプリケーションにおけるバイオメトリクス
Neue mobile Gesundheitsanwendungen sehen unter anderem auch eine biometrische Benutzerauthentisierung vor. Allerdings weist der Markt eine hohe Zahl an biometrischen Komponenten für mobile Endgeräte auf, welche sich in Performanz und Fälschungssicherheit deutlich unterscheiden. Um sicherzustellen, dass die biometrischen Authentifizierungsverfahren auf Smartphones für mobile Gesundheitsanwendungen ein ausreichendes Vertrauensniveau erreichen, will das BSI biometrische Authentifikationssysteme auf Smartphones prüfen und im Frühjahr 2022 eine initiale Whitelist geeigneter Geräte veröffentlichen, welche danach in regelmäßigen Abständen aktualisiert werden wird. Eine Verwendung biometrischer Authentisierungsmethoden wird nur für Geräte in dieser Whitelist zulässig sein, alle anderen werden sich auf die klassischen PIN/Passwort-Verfahren beschränken müssen. モバイルヘルスの新しいアプリケーションには、バイオメトリクスによるユーザー認証が含まれます。しかし、市場にはモバイル機器用の生体認証部品が数多く存在し、その性能や偽造防止性能は大きく異なっているのが現状です。BSIは、モバイルヘルスアプリケーション用のスマートフォンにおける生体認証手順が十分な信頼性を達成できるよう、スマートフォンにおける生体認証システムのテストを行い、2022年春に適切なデバイスの初期ホワイトリストを公開し、その後定期的に更新する予定です。生体認証の使用は、このホワイトリストに登録された機器にのみ許可され、それ以外の機器では従来のPIN/パスワードによる認証に限定されます。
Die Anforderungen für diese Prüfung ergeben sich aus der - derzeit im Finalisierungs- und Veröffentlichungsprozess befindlichen - Technischen Richtlinie TR-03161-1 (Anhang C). Hersteller von Endgeräten, die an einer Listung ihrer Endgeräte in dieser Whitelist interessiert sind, werden gebeten, sich mit dem BSI in Verbindung zu setzen. In diesem Zuge werden die konkreten Prüfanforderungen sowie nähere Informationen zum Prüfprozess bereitgestellt. Die Prüfung besteht dabei im Wesentlichen aus zwei Komponenten. Zunächst benötigt das BSI eine Herstellererklärung, die dokumentiert, dass das jeweilige Endgerät die näher bezeichneten Anforderungen erfüllt und wie diese Prüfung seitens des Hersteller erfolgt ist. Diese Herstellererklärung wird dann im BSI auf Plausibilität geprüft. Darüber hinaus behält sich das BSI eine stichprobenartige praktische Kontrolle der Endgeräte vor. 本テストの要求事項は、現在最終版として発行されている技術指針 TR-03161-1  (Annex C) から導き出されたものです。このホワイトリストへの掲載を希望するエンドデバイスの製造者は、BSI に連絡することが望まれる。本講座では、具体的なテスト要件に加え、テストプロセスに関するより詳細な情報を提供します。このテストは、基本的に2つの要素で構成されています。まず、BSIは、それぞれのエンドデバイスが指定された要件を満たしていること、そしてこのテストが製造者によってどのように実施されたかを文書化した製造者の宣言を要求しています。この製造者の宣言は、BSIでもっともらしいかどうかチェックされる。さらに、BSI は、エンドデバイスのランダムな実地チェックを行う権利を留保します。
Endgeräte werden in die Whitelist aufgenommen, soweit die Angaben in der Herstellererklärung plausibel sind und - sofern einschlägig - eine etwaige stichprobenartige Prüfung des jeweiligen Endgeräts keine Zweifel an der Herstellererklärung aufgeworfen hat. Erfolgt die stichprobenartige Kontrolle nach der initialen Listung des Endgerätes in der Whitelist, kann ein negatives Prüfergebnis zur Entfernung dieses Gerätes von der Whitelist führen. Jeder Eintrag in der Whitelist beinhaltet die Hersteller- und Modellbezeichnung, die zugelassene biometrische Modalität und die ggf. notwendige Konfiguration für ein als geeignet eingestuftes Gerät. Weitere Informationen werden nicht veröffentlicht. Insbesondere ist nicht geplant, eine Art „Blacklist“ mit solchen Geräten, die die Anforderungen nicht erfüllen, zu veröffentlichen. 端末機器は、製造者の宣言に記載されている情報が妥当であり、かつ (該当する場合) 各端末機器のランダムチェックで製造者の宣言に疑義が生じない場合に、ホワイトリストに掲載されます。ホワイトリストにエンドデバイスを最初に登録した後にランダムチェックを実施した場合、テスト結果がよくなければ、このデバイスをホワイトリストから削除することができます。ホワイトリストの各項目には、メーカー名とモデル名、承認された生体認証モダリティ、適切と判断されたデバイスに必要な設定 (ある場合) が含まれています。それ以外の情報は公開されません。特に、要件を満たさないそのような機器の「ブラックリスト」のようなものを公表する予定はない。
Der gesamte Prüf- und Veröffentlichungsprozess erfolgt seitens des BSI unter Wahrung der Vertraulichkeit. Den Herstellern wird zudem - sowohl im Falle einer Aufnahme ihrer Endgeräte in die Whitelist als auch im Falle einer Ablehnung - unter angemessener Fristsetzung Gelegenheit zur Stellungnahme gegeben werden. テストと公表の全プロセスは、BSIが機密を保持しながら実施します。さらに、製造者は、合理的な期間内に、ホワイトリストにエンドデバイスを含める場合と拒否する場合の両方について、意見を述べる機会を与えられます。
Aufgrund des dargestellten Prüfprozesses erhebt die Whitelist keinen Anspruch auf Vollständigkeit. Aus der fehlenden Listung eines Endgerätes in der Whitelist kann somit nicht zwingend der Schluss gezogen werden, dass dieses Gerät die Prüfanforderungen nicht erfüllt. 上記のような審査のため、ホワイトリストが完全であるとは言えません。ホワイトリストに含まれていないからといって、必ずしもテスト要件を満たしていないとは限りません。

 

モバイル版 T1

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen

20220627-141320

ウェブアプリケーション版 T2

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen

20220627-141339

バックグラウンドシステム版 T3

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme

20220627-141353

 

目次は共通項目が多いので、、、

     -1 -2  -3
1 Einleitung 1 はじめに
1.1 Gegenstand der Technischen Richtlinie 1.1 技術指針の主題
1.2 Zielsetzung der Technischen Richtlinie 1.2 技術指針の目的
1.3 Übersicht der Technischen Richtlinie 1.3 技術指針の概要
1.3.1 Methodik 1.3.1 方法論
1.3.2 Begriffe 1.3.2 用語の説明
2 Überblick der Sicherheitsanforderungen an Anwendungen im Gesundheitswesen 2 ヘルスケアアプリケーションに求められるセキュリティ要件の概要
2.1 Anwendungskonzepte auf mobilen Endgeräten 2.1 モバイル端末におけるアプリケーションの概念
2.1.1 Native-Anwendungen 2.1.1 ネイティブアプリケーション
2.1.2 Hybride Ansätze 2.1.2 ハイブリッド・アプローチ
2.2 Web-Anwendungen 2.2 ウェブアプリケーション
2.3 Hintergrundsysteme 2.3 バックグラウンド・システム
2.3.1 Selbst gehostete Systeme 2.3.1 セルフホストシステム
2.3.2 Extern gehostete Systeme 2.3.2 外部からホストされるシステム
2.3.3 Cloud Computing 2.3.3 クラウドコンピューティング
2.4 Security Problem Definition 2.4 セキュリティ問題の定義
2.4.1 Annahmen 2.4.1 前提条件
2.4.2 Bedrohungen 2.4.2 脅威
2.4.3 Organisatorische Sicherheitspolitiken 2.4.3 組織的なセキュリティポリシー
2.4.4 Restrisiken 2.4.4 残留リスク
3 Prüfaspekte für Anwendungen im Gesundheitswesen 3 ヘルスケアアプリケーションのためのテストの側面
3.1 Prüfaspekte 3.1 テスト面
3.1.1 Prüfaspekt (1): Anwendungszweck 3.1.1 テスト側面  (1) :適用目的
3.1.2 Prüfaspekt (2): Architektur 3.1.2 テスト側面  (2) :アーキテクチャ
3.1.3 Prüfaspekt (3): Quellcode 3.1.3 テスト側面  (3) :ソースコード
3.1.4 Prüfaspekt (4): Drittanbieter-Software 3.1.4 テスト側面  (4) :サードパーティソフトウェア
3.1.5 Prüfaspekt (5): Kryptographische Umsetzung 3.1.5 テスト側面  (5) :暗号化実装
3.1.6 Prüfaspekt (6): Authentifizierung 3.1.6 テスト側面  (6) :認証
3.1.7 Prüfaspekt (7): Datensicherheit 3.1.7 テスト側面  (7) :データセキュリティ
3.1.8 Prüfaspekt (8): Kostenpflichtige Ressourcen 3.1.8 テスト側面  (8) :有償リソース
3.1.9 Prüfaspekt (9): Netzwerkkommunikation 3.1.9 テスト側面  (9)  :ネットワーク通信  
3.1.10 Prüfaspekt (10): Plattformspezifische Interaktionen 3.1.10 テスト側面  (10)  :プラットフォーム固有のインタラクション  
3.1.9 Prüfaspekt (9): Netzwerksicherheit 3.1.9 テスト側面 (9) :ネットワークセキュリティ    
3.1.10 Prüfaspekt (10): Organisatorische Sicherheit
3.1.10 テスト側面 (10) :組織的なセキュリティ    
3.1.11 Prüfaspekt (11): Resilienz 3.1.11 テスト側面  (11)  :回復力  
4 Prüfschritte einer Anwendung im Gesundheitswesen 4. ヘルスケアアプリケーションのテストステップ
4.1 Anforderungen an die Prüfung 4.1 テスト要件
4.2 Protokollierung der Ergebnisse 4.2 結果の記録
4.3 Testcharakteristika 4.3 テスト特性
4.3.1 Testcharakteristik zu Prüfaspekt (1): Anwendungszweck 4.3.1 テスト側面  (1)  に対するテスト特性:適用目的
4.3.2 Testcharakteristik zu Prüfaspekt (2): Architektur 4.3.2 テスト側面  (2)  のテスト特性:アーキテクチャ
4.3.3 Testcharakteristik zu Prüfaspekt (3): Quellcode 4.3.3 テスト側面  (3)  のテスト特性:ソースコード
4.3.4 Testcharakteristik zu Prüfaspekt (4): Drittanbieter-Software 4.3.4 テスト側面  (4)  :サードパーティソフトウェアに関するテスト特性
4.3.5 Testcharakteristik zu Prüfaspekt (5): Kryptographische Umsetzung 4.3.5 テスト側面  (5)  のテスト特性:暗号化実装
4.3.6 Testcharakteristik zu Prüfaspekt (6): Authentifizierung 4.3.6 テスト側面  (6)  のテスト特性:認証
4.3.7 Testcharakteristik zu Prüfaspekt (7): Datensicherheit 4.3.7 テスト側面  (7)  に対するテスト特性:データセキュリティ
4.3.8 Testcharakteristik zu Prüfaspekt (8): Kostenpflichtige Ressourcen 4.3.8 テスト側面  (8)  のテスト特性:有償リソース
4.3.9 Testcharakteristik zu Prüfaspekt (9): Netzwerkkommunikation 4.3.9 テスト側面 (9) のテスト特性:ネットワーク通信
4.3.10 Testcharakteristik zu Prüfaspekt (10): Plattformspezifische Interaktionen 4.3.10 テスト側面 (10) :プラットフォーム固有のインタラクションに関するテスト特性
4.3.11 Testcharakteristik zu Prüfaspekt (11): Resilienz 4.3.11 テスト側面 (11) のテスト特性:弾力性 (Resilience  
5 Sicherheitsstufen und Risikoanalyse 5 セキュリティレベルとリスク分析
Anhang A: Schutzbedarf sensibler Datenelemente 附属書A:機密データ要素の保護要件
Anhang B: Begutachtungsperspektive 附属書B:評価の視点
B.1. Primäres Designziel B.1. 設計の主目的
B.2. Schutzmechanismen B.2. 保護機構
B.3. Sichere Entwicklung B.3. 安全な開発
B.4. Authentifizierung B.4. 認証
B.5. Sicherheit der Kommunikation B.5. 通信セキュリティ
B.6. Weitere Prüfthemen B.6. その他のテストトピック
Anhang C: Anforderungen an biometrische Authentifizierungs- und Verifizierungsverfahren für Anwendungen im Gesundheitswesen 附属書C:ヘルスケアアプリケーションのためのバイオメトリクス認証および検証方法に関する要求事項    
C.1.  Anforderungen an die Leistung und an die Erkennung von Präsentationsangriffen biometrischer Systeme auf mobilen Endgeräten C.1. モバイル機器上の生体認証システムの性能とプレゼンテーション攻撃検知の要件    
C.1.1. Begriffe C.1.1. 用語    
C.1.2. [GEN] Allgemeine Anforderungen C.1.2 [GEN] 一般要求事項    
Abkürzungsverzeichnis 略語一覧
Literaturverzeichnis 参照情報

 

参考になるBSIのページ...

eHealth – Cyber-Sicherheit im Gesundheitswesen

eHealth – Cyber-Sicherheit im Gesundheitswesen eHealth - ヘルスケア分野でのサイバーセキュリティ
Der Bereich eHealth befasst sich mit der Digitalisierung im Gesundheitswesen. Er wird thematisch in verschiedene Abschnitte aufgeteilt. Zum einen geht es um die elektronische Gesundheitskarte (eGK) und die dazugehörige Telematikinfrastruktur (TI) und zum anderen um die Cyber-Sicherheit von in Deutschland eingesetzter Medizintechnik. eHealthの分野では、ヘルスケア分野のデジタル化を扱っています。テーマ別に分かれています。一方では、電子健康保険証 (eGK) と関連するテレマティクスインフラ (TI) を扱い、他方では、ドイツで使用されている医療技術のサイバーセキュリティを扱っています。
Moderne Gesundheitsversorgung: digital und sicher 現代の医療:デジタルとセキュア
Medizinische Versorgung in Deutschland wird allen zu Teil. Sie ist ein Gradmesser für den Wohlstand, die Stärke und Solidarität in einer Gesellschaft. Das Gesundheitswesen in unserem Land gilt weltweit als eines der besten – auch, weil es in vielen Bereichen digitalisiert ist. Die elektronische Patientenakte, die Messung, Speicherung und Auswertung von Gesundheitsdaten per App oder die Video-Sprechstunde sind Beispiele für digitale Technologien, die derzeit die deutsche Gesundheitswirtschaft verändern. Von der Digitalisierung profitieren alle Akteure im Gesundheitswesen – von den Patientinnen und Patienten über die Kliniken und Arztpraxen bis hin zu den Krankenkassen. Digitale Gesundheitsfürsorge kann das Leben der Menschen erleichtern, lange Wege und Wartezeiten minimieren und im Krankheits- oder Notfall schnell helfen. ドイツの医療は誰でも受けられます。社会の繁栄、力強さ、連帯感を測る尺度である。我が国の医療制度は世界でもトップクラスと言われていますが、それは多くの分野でデジタル化されているからです。電子患者ファイル、アプリによる健康データの測定・保存・評価、ビデオ診察などは、現在ドイツの医療業界を変えつつあるデジタル技術の一例です。患者から診療所、医師会、医療保険会社まで、医療システムのすべてのプレーヤーがデジタル化の恩恵を受けています。デジタルヘルスケアは、人々の生活をより快適にし、長時間の移動や待ち時間を最小限に抑え、病気や緊急事態の際には迅速に対応することができます。
Doch alle Vorteile von eHealth sind ohne Informationssicherheit nicht denkbar. Denn die Digitalisierung erhöht auch im Gesundheitswesen das Risiko von IT-Sicherheitsvorfällen und Cyber-Angriffen. Wozu das führen kann, belegen zahlreiche Vorfälle der letzten Monate und Jahre: Krankenhäuser mussten in den Notbetrieb gehen, Millionen sensibler Patientendaten wurden gestohlen oder waren über längere Zeiträume öffentlich ohne Passwortschutz im Internet zugänglich. Hinzu kommen immer wieder Berichte über Schwachstellen in vernetzten Medizingeräten wie Insulinpumpen, Patientenmonitoren oder Beatmungsgeräten. Deren Ausfall oder Manipulation durch unbefugte Dritte kann im Ernstfall unmittelbare Folgen für Gesundheit, Leib und Leben eines Patienten haben. しかし、eヘルスがもたらすすべてのメリットは、情報セキュリティなしには考えられません。また、デジタル化により、医療分野におけるITセキュリティ事故やサイバー攻撃のリスクも高まっています。ここ数カ月、数年にわたる数々の事件は、このことが何をもたらすかを示しています。病院が緊急操業に入らなければならなくなったり、何百万という患者の機密データが盗まれたり、パスワード保護なしで長期間にわたってインターネット上で一般公開されたりしています。また、インスリンポンプ、患者用モニター、人工呼吸器など、ネットワーク接続された医療機器の脆弱性が繰り返し報告されています。その故障や権限のない第三者による操作は、緊急時に患者の健康、生命、身体に対して直ちに影響を与える可能性があります。
Sichere Digitalisierung gestalten 安全なデジタル化の設計
All diese Vorfälle kann sich eine moderne Gesellschaft nicht leisten. Auch deshalb gehören Einrichtungen des Gesundheitswesens zu den Kritischen Infrastrukturen in Deutschland. Als zentrales Kompetenzzentrum für Informationssicherheit in Deutschland übernimmt das BSI Verantwortung als Gestalter einer sicheren Digitalisierung in diesem für die Gesellschaft so wichtigen Bereich. 現代社会は、このような事件ばかりではいられない。ドイツで医療施設が重要インフラとされる理由のひとつがこれです。BSIは、ドイツにおける情報セキュリティの中央コンピテンスセンターとして、社会にとって重要なこの分野の安全なデジタル化の形成者としての責任を担っています。
Mit dem IT-Sicherheitsgesetz von 2015 hat das BSI die Zuständigkeit als Aufsichtsbehörde für Betreiber Kritischer Infrastrukturen (KRITIS) auch im Sektor Gesundheitswesen erhalten. Kritische Infrastrukturen im Gesundheitswesen sind beispielsweise Krankenhäuser und Kliniken mit mehr als 30.000 stationären Behandlungsfällen pro Jahr oder Pharmahersteller mit mehr als 4,65 Millionen in Verkehr gebrachte Packungen pro Jahr. 2015年のITセキュリティ法により、BSIは医療分野でも重要インフラ (CRITIS) の運用者の監督官庁としての責任を担うことになりました。ヘルスケア分野の重要インフラとは、例えば、年間3万件以上の入院患者を抱える病院や診療所、年間465万個以上の医薬品を上市している製薬会社などを指します。
Als Cyber-Sicherheitsbehörde des Bundes leistet das BSI einen wesentlichen Beitrag bei der Gestaltung der großen Digitalisierungsprojekte im Gesundheitswesen. Das BSI befasst sich mit der Weiterentwicklung der elektronischen Gesundheitskarte, mit dem Notfalldatenmanagement und dem elektronischen Medikationsplan im Zusammenhang mit der Arzneimitteltherapiesicherheit, mit der elektronischen Patientenakte, mit der Telematikinfrastruktur sowie der IT-Sicherheit von Medizinprodukten, beispielweise mit dem Projekt ManiMed - Manipulation von Medizinprodukten. Das BSI hat auch dafür gesorgt, dass die Corona-Warn-App des Bundes ein hohes Maß an Informationssicherheit bietet – nicht zuletzt ein wesentlicher Faktor für die hohe Akzeptanz der App in der Bevölkerung. 連邦政府のサイバーセキュリティ当局として、BSIはヘルスケア分野における主要なデジタル化プロジェクトの形成に大きく貢献しています。BSIは、電子健康カード、緊急時データ管理、薬物療法セキュリティに関連した電子投薬計画、電子患者ファイル、テレマティクス・インフラ、医療機器のITセキュリティのさらなる開発に取り組んでおり、例えば、ManiMedプロジェクト (医療機器の操作性) などがあります。BSIは、連邦政府のコロナ警報アプリが高いレベルの情報セキュリティを提供することを保証しており、このことが、同アプリが国民に高いレベルで受け入れられている重要な要因であることは言うまでもありません。
Das BSI leistet einen wesentlichen Beitrag zur sicheren Digitalisierung im Gesundheitswesen. Davon profitieren Kliniken, Ärztinnen und Ärzte ebenso wie die Patientinnen und Patienten. BSIは、ヘルスケア分野における安全なデジタル化に大きく貢献しています。これは、クリニック、医師、患者さんのいずれにもメリットがあります。
ARNE SCHÖNBOHM, PRÄSIDENT DES BSI アルネ・シェーンボーム (BSI会長)
Das BSI unterstützt in den IT-Anwendungsfeldern im Gesundheitsbereich mit Vorgaben, Sicherheitsstandards in Form von Technischen Richtlinien oder IT-Grundschutz-Bausteinen sowie konkreter Hilfestellung und Beratung für Behörden und Unternehmen, um schnell praktikable und zugleich sichere Anwendungen zu realisieren. Wichtig ist dabei die enge Zusammenarbeit des BSI mit Partnern wie der gematik, dem Bundesministerium für Gesundheit (BMG), dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), der Kassenärztlichen Bundesvereinigung (KBV) sowie der Kassenzahnärztlichen Bundesvereinigung (KZBV). BSIは、医療分野のITアプリケーション分野において、実用的であると同時に安全なアプリケーションを迅速に実装するために、仕様、技術ガイドラインやIT-Grundschutzビルディングブロックの形式によるセキュリティ標準、当局や企業に対する具体的な支援やアドバイスなどのサポートを提供しています。ここでは、BSIとgematik、連邦保健省 (BMG) 、連邦データ保護・情報自由委員会 (BfDI) 、連邦医薬品・医療機器研究所 (BfArM) 、全国法定保険医協会 (KBV) 、全国法定保険歯科医協会 (KZBV) といったパートナーとの密接な連携が重要な意味をもっています。

 

 

| | Comments (0)

2022.06.26

英国 国防AI戦略 (2022.06.15)

こんにちは、丸山満彦です。

英国国防省が、国防AI戦略を公表していました。。。

よくできているように見えますね。。。

英国は、政策決定の枠組みが決まっているので、品質よく政策が策定、実行されるところもあるのでしょうかね。。。

 

U.K. Government - Defence and armed forces

・2022.06.15 Policy paper Defence Artificial Intelligence Strategy

Defence Artificial Intelligence Strategy

 

国防省のAIについてのビジョンは、

Our vision is that, in terms of AI, we will be the world’s most effective, efficient, trusted and influential Defence organisation for our size. 私たちのビジョン:AIという観点から、私たちの規模で、世界で最も効果的、効率的、信頼され、影響力のある国防組織になること。

4つの目標その具体的な活動...

Objective 1: Transform Defence into an ‘AI ready’ organisation. 目標1:国防を「AIに対応できる」組織へ変革する。
Actions to achieve objective 1: Upskill leaders and workforce, recruit key talent; address policy challenges; modernise digital, data and technology enablers. 目標1を達成するための行動:リーダーと労働力を強化し、重要な人材を採用し、政策の課題に対処し、デジタル、データ、技術のイネーブラを近代化する。
Objective 2: Adopt and exploit AI at pace and scale for Defence advantage. 目標2:国防の優位性のために、ペースと規模に応じてAIを導入し、活用する。
Actions to achieve objective 2: Organise for success; Exploit near and longer-term opportunities; Systematic experimentation; Collaborate internationally. 目標2を達成するための行動:成功のための組織化、短期および長期の機会の活用、体系的な実験、国際的な協力。
Objective 3: Strengthen the UK’s defence and security AI ecosystem. 目標3:英国の防衛・安全保障AIエコシステムを強化する。
Actions to achieve objective 3: Build confidence and clarify requirements; Address commercial barriers; Incentivise engagement and co-creation; Support business growth. 目的3を達成するための行動:信頼を築き、要件を明確にする;商業的障壁に対処する;関与と共同創造にインセンティブを与える;ビジネスの成長を支援する。
Objective 4: Shape global AI developments to promote security, stability and democratic values. 目標4:安全保障、安定、民主主義の価値を促進するために、グローバルなAIの発展を形成する。
Actions to achieve objective 4: Champion responsible global AI development; Promote security and stability; Develop future security policy. 目的4を達成するための行動:責任あるグローバルなAI開発を支持し、安全保障と安定を促進し、将来の安全保障政策を発展させる。

Fig1_20220626050801出典:U.K. Defence Artificial Intelligence Strategy

 

期待される成果とガバナンス

The four outcomes of AI adoption for Defence: Decision Advantage, Efficiency, Unlock New Capabilities, Empower the Whole Force. 国防のためのAI導入の4つの成果:意思決定の優位性、効率性、新しい能力の解放、全軍の能力強化
The Governance of AI in Defence: There is no single overall owner for AI in Defence. Every business unit and Function has an important role to play if we are to achieve our goals. 国防におけるAIのガバナンス:国防におけるAIの全体的な所有者は一人ではありません。目標を達成するためには、すべてのビジネスユニットとファンクションが重要な役割を担っています。
MOD Head Office: Set AI policy and strategy, define capability targets, direct strategic programmes and ensure overall coherence. 国防省 本部:AI政策と戦略を設定し、能力目標を定め、戦略的プログラムを指示し、全体的な一貫性を確保する。
Business units / Functional Leads: Pursue the forms of AI most relevant to them, guided by this Strategy and direction from Head Office. ビジネスユニット/ファンクショナルリード:この戦略と本部の指示に基づき、各自に最も適したAIの形態を追求する。
Strategic Command: Ensure strategic and operational integration across the warfighting domains. 戦略的コマンド:戦域を越えた戦略的・作戦的統合を確保する。
Overall strategic coherence is managed jointly by the Defence AI and Autonomy Unit (DAU) and the Defence AI Centre (DAIC). The DAU sets strategic policy frameworks governing development, adoption and use of AI. The DAIC is the focal point for AI R&D and technical issues. 全体的な戦略の一貫性は、国防AI・自律化ユニット(DAU)と国防AIセンター(DAIC)が共同で管理する。DAUは、AIの開発、採用、使用を管理する戦略的な政策枠組みを設定する。DAICは、AIの研究開発と技術的な問題の中心的な役割を果たす。

Fig2_20220626053101

出典:U.K. Defence Artificial Intelligence Strategy

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 The global technology context 1.1 世界のテクノロジー事情
1.1.1 The significance of Artificial Intelligence 1.1.1 人工知能の重要性
1.1.2 AI threats 1.1.2 AIの脅威
1.1.3 AI Competition 1.1.3 AIとの競争
1.2 Our response 1.2 私たちの対応
1.3 Ambitious, safe and responsible use of AI 1.3 野心的で安全かつ責任あるAIの使用
1.3.1 Our commitment as a responsible AI user 1.3.1 責任あるAIユーザーとしての私たちのコミットメント
1.3.2 Our commitment to our people 1.3.2 私たちの社員に対するコミットメント
2 Transform into an ‘AI Ready’ organisation 2 「AI Ready」な組織への変革
2.1 Culture, skills and policies 2.1 文化、スキル、ポリシー
2.1.1 Strategic planning for Defence AI skills 2.1.1 国防AIスキルのための戦略的計画
2.1.2 Applying the brightest minds to the AI challenge 2.1.2 AIへの挑戦のための優秀な頭脳の適用
2.1.3 AI leadership at all levels 2.1.3 全レベルでのAIリーダーシップ
2.1.4 Upskilling our workforce 2.1.4 労働力のアップスキル
2.1.5 Diversity and Inclusion 2.1.5 多様性と包括性
2.1.6 Policy, process and legislation 2.1.6 政策、プロセス、法規制
2.2 Digital, data and technology enablers 2.2 デジタル、データ、テクノロジーのイネーブラー
2.2.1 Trusted, coherent and reliable data 2.2.1 信頼できる、一貫性のある、信頼できるデータ
2.2.2 Computing power, networks and hardware 2.2.2 コンピューティングパワー、ネットワーク、ハードウェア
2.2.3 The Defence AI Centre (DAIC) 2.2.3 国防AIセンター(DAIC)
2.2.4 Technical assurance, certification and governance 2.2.4 技術保証、認証、ガバナンス
3 Adopt and Exploit AI at Pace and Scale for Defence Advantage 3 防衛の優位性のために、ペースと規模でAIを採用し、利用する
3.1 Organising for success 3.1 成功のための組織化
3.2 Our approach to delivery 3.2 配信へのアプローチ
3.3 Promoting pace, innovation and experimentation 3.3 ペース、イノベーション、実験の促進
3.3.1 Securing our AI operational advantage 3.3.1 AI運用の優位性の確保
3.4 Working across Government 3.4 政府全体との連携
3.5 International capability collaboration 3.5 国際的な能力協力
3.5.1 Key AI partnerships 3.5.1 主要なAIパートナーシップ
4 Strengthen the UK’s Defence and Security AI Ecosystem 4 英国の国防・安全保障AIエコシステムの強化
4.1 The UK’s AI strengths 4.1 英国のAIの強み
4.1.1 Defence’s role in spurring technological innovation 4.1.1 技術革新を促進するための国防の役割
4.2 Partnership on the basis of trust 4.2 信頼を基礎としたパートナーシップ
4.3 Clearly communicating our AI requirements, intent and expectations 4.3 AIの要件、意図、期待を明確に伝えること
4.4 Addressing barriers to frictionless collaboration 4.4 摩擦のないコラボレーションへの障壁に対処する
4.4.1 Information age acquisition and procurement policy 4.4.1 情報化時代の取得・調達政策
4.5 Incentivising engagement and co-creation 4.5 エンゲージメントと共創のインセンティブを与える
4.5.1 Understanding and reflecting market forces 4.5.1 市場の力を理解し反映させる
4.5.2 Talent exchange 4.5.2 タレント交換
4.5.3 Simplifying access to Defence assets 4.5.3 国防資産へのアクセスの簡素化
4.5.4 Promoting co-creation 4.5.4 共同創作の促進
4.5.5 Business support services 4.5.5 ビジネス支援サービス
5 Shape Global AI Developments to Promote Security, Stability and Democratic Values 5 安全保障、安定、民主的価値観を促進するためのグローバルな AI 開発の形成
5.1 Shape the global development of AI in line with UK goals and values 5.1 英国の目標と価値観に沿ったAIの世界的な発展を形作る
5.1.1 Promote safe and responsible military development and use 5.1.1 安全で責任ある軍事開発と利用を促進する
5.1.2 Influence the global development of AI technologies 5.1.2 AI技術の世界的な発展に影響を与える
5.2 Promote security and stability 5.2 安全保障と安定の促進
5.2.1 Counter-proliferation and arms control 5.2.1 拡散対策と軍備管理
5.2.2 Protecting critical technologies 5.2.2 重要技術の保護
5.2.3 Build confidence and minimise risk 5.2.3 信頼の構築とリスクの最小化
5.3 Develop future security policy 5.3 将来の安全保障政策の策定
5.3.1 AI, strategic systems and deterrence 5.3.1 AI、戦略的システム、抑止力
6 Strategy implementation and beyond 6 戦略の実施とその後
6.1 Priorities 6.1 優先順位
6.2 Leadership and governance 6.2 リーダーシップとガバナンス
6.3 Looking ahead 6.3 今後の展望

 

・[PDF] Defence Artificial Intelligence Strategy

20220626-53536

 

ブログの記事も参考になります。

U.K. GovernmentCentre for Data Ethics and Innovation Blog

・2022.06.15 Enabling the responsible use of AI in defence by

 

 

| | Comments (0)

2022.06.25

SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

こんにちは、丸山満彦です。

NISTが、SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証を公表し、意見募集をしていますね。。。

昨年3月から初期ドラフトを段階的に発表してきたものです。

これの日本政府版を考えることを想定すると、日米の国力の差は歴然ですね。。。日本製品がないですからね。。。

執筆には、NSA、MITREのメンバーに加えてベンダーからは、ArcherDell TechnologiesEclypsiumHewlett Packard EnterpriseHP Inc.IBMIntelSeagateが参加していますね。。。

 

NIST - ITL

2022.06.23 SP 1800-34 (Draft) Validating the Integrity of Computing Devices

SP 1800-34 (Draft) Validating the Integrity of Computing Devices SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
Announcement 発表
What Is This Guide About? このガイドは何について書かれているのか?
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide reusable solutions. Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Managing cyber supply chain risks requires, in part, ensuring the integrity, quality, and resilience of the supply chain and its products and services. This project demonstrates how organizations can verify that the internal components of their computing devices are genuine and have not been altered during the manufacturing or distribution processes. 今日のテクノロジーは、再利用可能なソリューションを提供するために、複雑でグローバルに分散し、相互接続されたサプライチェーンエコシステムに依存している。組織は、意図的であるか否かを問わず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンのリスクを管理するには、サプライチェーンとその製品およびサービスの整合性、品質、および弾力性を確保することが一部で必要とされている。このプロジェクトでは、コンピュータデバイスの内部コンポーネントが本物であり、製造や流通の過程で変更されていないことを組織が確認する方法を紹介する。
Share Your Expertise 専門知識を共有する
Please download the document and share your expertise with us to strengthen the draft practice guide. The public comment period for this draft is now open and will close on July 25th, 2022. You can stay up to date on this project by sending an email to supplychain-nccoe@nist.gov to join our Community of Interest. Also, if you have any project ideas for our team, please let us know by sending an email to the email address above. We look forward to your feedback. 実践ガイドのドラフトを強化するために、ドキュメントをダウンロードし、あなたの専門知識を共有してください。このドラフトに対するパブリックコメント期間は現在開始されており、2022年7月25日に終了する予定である。このプロジェクトに関する最新情報は、supplychain-nccoe@nist.gov までメールをお送りいただき、Community of Interestにご参加ください。また、私たちのチームに対するプロジェクトのアイデアがあれば、上記のメールアドレスにメールを送ってお知らせください。皆様のご意見をお待ちしている。
Additional NIST Supply Chain Work NISTのサプライチェーンに関するその他の作業
NIST is also working on an important effort, the National Initiative for Improving Cybersecurity in Supply Chains (NIICS) with the private sector and others in government to improve cybersecurity in supply chains. This initiative will help organizations to build, evaluate, and assess the cybersecurity of products and services in their supply chains, an area of increasing concern. For more information on this effort, you can click here. NISTは、サプライチェーンにおけるサイバーセキュリティを向上させるために、民間企業や政府関係者とともに「サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアチブ(NIICS)」という重要な取り組みも行っている。このイニシアティブは、組織がサプライチェーンにおける製品やサービスのサイバーセキュリティを構築、評価、査定することを支援するもので、この分野はますます懸念されている。この取り組みの詳細については、こちらをご覧ください。
Abstract 概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire, whether laptops or servers, are genuine and have not been tampered with. This solution relies on device vendors storing information within each device, and organizations using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. This NIST Cybersecurity Practice Guide provides a draft describing the work performed so far to build and test the full solution. 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがある。これらのリスクを管理するには、サイバー・サプライ・チェーンとその製品・サービスの完全性を確保する必要がある。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが、ノートパソコンであれサーバーであれ、本物であり、改ざんされていないことを確認する方法を実証する。このソリューションは、デバイスベンダーが各デバイス内に情報を保存し、組織が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。このNISTサイバーセキュリティ実践ガイドは、完全なソリューションを構築しテストするためにこれまでに行われた作業を説明するドラフトを提供する。

 

NIST SP 1800-34 ipd

・2022.06.23 Validating the Integrity of Computing Devices NIST 1800-34 Practice Guide Draft

・[PDF] NIST SP 1800-34: Complete Guide

 

20220625-24825

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.3  Benefits 1.3 利点
2  How to Use This Guide 2 このガイドの使い方
2.1 Typographic Conventions 2.1 タイポグラフィの規則
3 Approach 3 アプローチ
3.1  Audience 3.1 対象者
3.2  Scope 3.2 スコープ
3.2.1  Scenario 1: Creation of Verifiable Platform Artifacts 3.2.1 シナリオ1:検証可能なプラットフォームアーティファクトの作成
3.2.2  Scenario 2: Verification of Components During Acceptance Testing 3.2.2 シナリオ2:受入テストにおけるコンポーネントの検証
3.2.3  Scenario 3: Verification of Components During Use 3.2.3 シナリオ3:使用時のコンポーネントの検証
3.3  Assumptions 3.3 前提条件
3.4  Risk Assessment 3.4 リスクアセスメント
3.4.1  Threats 3.4.1 脅威
3.4.2  Vulnerabilities 3.4.2 脆弱性
3.4.3  Risk 3.4.3 リスク
3.5  Security Control Map 3.5 セキュリティコントロールマップ
3.6  Technologies 3.6 技術
3.6.1  Trusted Computing Group 3.6.1 トラステッドコンピューティンググループ
4  Architecture 4 アーキテクチャ
4.1  Architecture Description 4.1 アーキテクチャの説明
4.2  Existing Enterprise IT Management Systems 4.2 既存の企業IT管理システム
4.2.1  SIEM Tools 4.2.1 SIEMツール
4.2.2  Asset Discovery and Management System 4.2.2 資産発見・管理システム
4.2.3  Configuration Management System 4.2.3 コンフィギュレーション管理システム
4.2.4  Enterprise Dashboards 4.2.4 エンタープライズダッシュボード
4.3  Supporting Platform Integrity Validation Systems 4.3 サポートするプラットフォーム整合性検証システム
4.3.1  Host Integrity at Runtime and Start-up Attestation Certificate Authority (HIRS ACA)25  4.3.1 ランタイムおよびスタートアップ時のホスト完全性認証局(HIRS ACA)
4.3.2  Network Boot Services 4.3.2 ネットワークブートサービス
4.3.3  Platform Manifest Correlation System 4.3.3 プラットフォームマニフェスト相関システム
4.3.4  Eclypsium Analytic Platform 4.3.4 分析プラットフォーム
4.4  Computing Devices 4.4 コンピューティングデバイス
4.4.1  HP Inc 4.4.1 HP Inc.
4.4.2  Dell Technologies 4.4.2 デル・テクノロジー
4.4.3  Intel 4.4.3 インテル
4.4.4 Hewlett Packard Enterprise (HPE) 4.4.4 ヒューレット・パッカード・エンタープライズ(HPE)
4.4.5 Seagate 4.4.5 シーゲイト
5  Security Characteristic Analysis 5 セキュリティ特性分析
5.1  Assumptions and Limitations 5.1 前提条件と制限事項
5.2  Build Testing 5.2 ビルドテスト
5.2.1  Scenario 1 5.2.1 シナリオ1
5.2.2  Scenario 2 5.2.2 シナリオ2
5.2.3  Scenario 3 5.2.3 シナリオ3
5.3  Scenarios and Findings 5.3 シナリオと調査結果
5.3.1  Supply Chain Risk Management (ID.SC) 5.3.1 サプライチェーンリスクマネジメント(ID.SC)
5.3.2  Asset Management (ID.AM) 5.3.2 アセットマネジメント(ID.AM)
5.3.3  Identity Management, Authentication and Access Control (PR.AC) 5.3.3 アイデンティティ管理、認証、アクセス制御(PR.AC)
5.3.4  Data Security (PR.DS) 5.3.4 データセキュリティ(PR.DS)
5.3.5  Security Continuous Monitoring (DE.CM) 5.3.5 セキュリティ継続監視(DE.CM)
6  Future Build Considerations 6 今後の構築に関する考察
Appendix A List of Acronyms 附属書 A 頭字語(英語)リスト
Appendix B References 附属書 B 参考文献
Appendix C Project Scenario Sequence Diagrams 附属書 C プロジェクトシナリオシーケンスダイアグラム

 


まるちゃんの情報セキュリティティ気まぐれ日記

 

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2021.11.25 NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)

Continue reading "SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証"

| | Comments (0)

より以前の記事一覧