危機管理 / 事業継続

2023.09.20

米国 GAO 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする

こんにちは、丸山満彦です。

米国GAOが「人工知能の活用と急成長はその可能性と危険性を浮き彫りにする」という、ブログの記事を上げていましたね。。。

 

U.S. GAOWatchBlog 

・2023.09.06 Artificial Intelligence’s Use and Rapid Growth Highlight Its Possibilities and Perils

 

Artificial Intelligence’s Use and Rapid Growth Highlight Its Possibilities and Perils 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする
The rise of artificial intelligence has created growing excitement and much debate about its potential to revolutionize entire industries. At its best, AI could improve medical diagnosis, identify potential national security threats more quickly, and solve crimes. But there are also significant concerns—in areas including education, intellectual property, and privacy. 人工知能の台頭は、産業全体に革命をもたらす可能性について、大きな興奮と多くの議論を巻き起こしている。AIは最高の状態で、医療診断を改善し、潜在的な国家安全保障上の脅威をより迅速に特定し、犯罪を解決する可能性がある。しかし、教育、知的財産、プライバシーなどの分野では大きな懸念もある。
Today’s WatchBlog post looks at our recent work on how Generative AI systems (for example, ChatGPT and Bard) and other forms of AI have the potential to provide new capabilities, but require responsible oversight. 本日のWatchBlogでは、生成的AIシステム(例えば、ChatGPTやBard)や他の形態のAIが、どのように新しい能力を提供する可能性があるかについての我々の最近の研究を紹介する。
1_20230920131901
The promise and perils of current AI use 現在のAI利用がもたらす期待と危険
Our recent work has looked at three major areas of AI advancement. 我々の最近の研究では、AIの進歩の3つの主要分野を見てきた。
Generative AI systems can create text (apps like ChatGPT and Bard, for example), images, audio, video, and other content when prompted by a user. These growing capabilities could be used in a variety of fields such as education, government, law, and entertainment. As of early 2023, some emerging generative AI systems had reached more than 100 million users. Advanced chatbots, virtual assistants, and language translation tools are examples of generative AI systems in widespread use. As news headlines indicate, this technology continues to gain global attention for its benefits. But there are concerns too, such as how it could be used to replicate work from authors and artists, generate code for more effective cyberattacks, and even help produce new chemical warfare compounds, among other things. Our recent Spotlight on Generative AI takes a deeper look at how this technology works. 生成的AIシステムは、テキスト(例えばChatGPTやBardのようなアプリ)、画像、音声、動画、その他のコンテンツを、ユーザーに促されるままに作成することができる。こうした能力の向上は、教育、政府、法律、エンターテインメントなど、さまざまな分野で活用される可能性がある。2023年初頭の時点で、いくつかの新興の生成的AIシステムの利用者は1億人を超えている。高度なチャットボット、バーチャルアシスタント、言語翻訳ツールは、広く使われている生成的AIシステムの一例である。ニュースの見出しが示すように、この技術はその利点から世界的に注目を集め続けている。しかし、作家やアーティストの作品を複製したり、より効果的なサイバー攻撃のコードを生成したり、新たな化学兵器化合物の生産に役立てたりするために使用される可能性があるなど、懸念もある。我々の最近のスポットライト「生成的AI」では、この技術がどのように機能するかについて詳しく見ている。
Machine learning is a second application of AI growing in use. This technology is being used in fields that require advanced imagery analysis, from medical diagnostics to military intelligence. In a report last year, we looked at how machine learning was used to assist the medical diagnostic process. It can be used to identify hidden or complex patterns in data, detect diseases earlier and improve treatments. We found that benefits include more consistent analysis of medical data, and increased access to care, particularly for underserved populations.  However, our work looked at limitations and bias in data used to develop AI tools that can reduce their safety and effectiveness and contribute to inequalities for certain patient populations. 機械学習はAIの第二の応用として利用が拡大している。この技術は、医療診断から軍事情報まで、高度な画像分析を必要とする分野で利用されている。昨年のレポートでは、医療診断プロセスを支援するために機械学習がどのように使用されているかを調べた。機械学習は、データの隠れたパターンや複雑なパターンを特定し、病気の早期発見や治療法の改善に利用できる。我々は、医療データの分析がより一貫性を持ち、特に十分なサービスを受けていない人々のケアへのアクセスが増加するなどの利点があることを発見した。 しかし、我々の研究は、AIツールの安全性と有効性を低下させ、特定の患者集団の不平等を助長する可能性のある、AIツールの開発に使用されるデータの限界とバイアスについて調べた。
Facial recognition is another type of AI technology that has shown both promises and perils in its use. Law enforcement—federal, as well as state and local—have used facial recognition technology to support criminal investigations and video surveillance. It is also used at ports of entry to match travelers to their passports. While this technology can be used to identify potential criminals more quickly, or those who may not have been identified without it, our work has also found some concerns with its use. Despite improvements, inaccuracies and bias in some facial recognition systems could result in more frequent misidentification for certain demographics. There are also concerns about whether the technology violates individuals’ personal privacy. 顔認識もまた、AI技術の一種であり、その利用には期待と危険の両面がある。連邦、州、地方の法執行機関は、犯罪捜査やビデオ監視を支援するために顔認識技術を使用してきた。また、入国港で旅行者とパスポートを照合するためにも使われている。この技術は、潜在的な犯罪者や、この技術がなければ識別できなかったかもしれない人物を、より迅速に識別するために使用されることがあるが、我々の調査では、この技術の使用にはいくつかの懸念もあることがわかった。改善されたとはいえ、一部の顔認識システムには不正確さやバイアスがあり、その結果、特定の層で誤認が頻発する可能性がある。また、この技術が個人のプライバシーを侵害するのではないかという懸念もある。
1_20230920152001
Ensuring accountability and mitigating the risks of AI use 説明責任の確保とAI利用のリスク低減
As AI use continues its rapid expansion, how can we mitigate the risks and ensure these systems are working appropriately for all? AIの利用が急速に拡大する中、どのようにリスクを軽減し、これらのシステムがすべての人に適切に機能するようにすればよいのだろうか。
Appropriate oversight will be critical to ensuring AI technologies remain effective, and keep our data safeguarded. We developed an AI Accountability Framework to help Congress address the complexities, risks, and societal consequences of emerging AI technologies. Our framework lays out key practices to help ensure accountability and responsible AI use by federal agencies and other entities involved in the design, development, deployment, and continuous monitoring of AI systems. It is built around four principles—governance, data, performance, and monitoring—which provide structures and processes to manage, operate, and oversee the implementation of AI systems. AI技術が効果的であり続け、我々のデータが保護され続けるためには、適切な監視が不可欠である。我々は、議会が新たなAI技術の複雑性、リスク、社会的影響に対処するのを支援するため、AI説明責任フレームワークを開発した。我々のフレームワークは、AIシステムの設計、開発、配備、継続的モニタリングに関わる連邦政府機関やその他の事業体による説明責任と責任あるAI利用を確保するための主要な実践方法を示している。ガバナンス、データ、パフォーマンス、モニタリングという4つの原則を中心に構築されており、AIシステムの導入を管理、運用、監督するための仕組みとプロセスを提供する。
AI technologies have enormous potential for good, but much of their power comes from their ability to outperform human abilities and comprehension. From commercial products to strategic competition among world powers, AI is poised to have a dramatic influence on both daily life and global events. This makes accountability critical to its application, and the framework can be employed to ensure that humans run the system—not the other way around. AIテクノロジーは善のために莫大な可能性を秘めているが、そのパワーの多くは、人間の能力や理解力を凌駕する能力に由来する。商業製品から世界大国間の戦略的競争まで、AIは日常生活と世界的出来事の両方に劇的な影響を及ぼす態勢を整えている。そのため、AIの応用にはアカウンタビリティが不可欠であり、このフレームワークは、人間がシステムを動かすのではなく、その逆を確実にするために採用することができる。

 

 

 


 

 

 まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.15 米国 GAO 科学技術スポットライト:生成的AI

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2020.12.02 U.S. GAO 医療における人工知能:患者ケアを強化する技術の利点と課題

 

 

| | Comments (0)

ENISA 2030の脅威の展望 (2023.09.13)

こんにちは、丸山満彦です。

ENISAが、2030のサイバー脅威を展望する報告書の要約書を公表していますね。。。2023.03.29に公表された報告書の要約ですね。。。

 

⚫︎ ENISA

・2023.09.13 Foresight 2030 Threats

・[PDF]

20230920-41501

 

EXECUTIVE DIRECTOR FOREWORD エグゼクティブ・ディレクター まえがき
The cybersecurity threat landscape is a complex ecosystem of threats, threats actors and attack techniques that are also subject to the influence of world events such as pandemics and geopolitics. The best knowledge, and tools we have at hand today to reduce the impact of cyber threats might not fit tomorrow’s threat landscape. サイバーセキュリティの脅威の状況は、脅威、脅威行為者、攻撃手法の複雑なエコシステムであり、パンデミックや地政学などの世界的な出来事の影響も受ける。サイバー脅威の影響を軽減するために今日我々が手にしている最善の知識やツールは、明日の脅威の状況に適合しないかもしれない。
Can we foresee the full extent of the potential use or abuse of our current technological developments? 私たちは、現在の技術開発の潜在的な利用や悪用の全容を予見することができるのだろうか?
Even if we still cannot predict the future, we have the duty to anticipate emerging trends and patterns.  たとえ未来を予測できないとしても、私たちには新たなトレンドやパターンを予測する義務がある。
In 2021, ENISA developed a cybersecurity foresight methodological framework grounded in foresight research and future studies.  The framework was first used in 2022 to devise future scenarios and identify threats and challenges likely to emerge by 2030. This methodology was produced in cooperation with the wider cybersecurity community. 2021年、ENISAは先見研究と未来研究に基づくサイバーセキュリティの先見性の方法論的枠組みを開発した。 このフレームワークは2022年に初めて使用され、将来のシナリオを考案し、2030年までに出現しそうな脅威と課題を特定した。この方法論は、より広範なサイバーセキュリティ・コミュニティと協力して作成された。
This booklet summarises upcoming challenges and provides for an assessment of the risks. We are now ready to design the cyber secure future ahead of us.  この小冊子は、今後の課題を要約し、リスクのアセスメントを提供するものである。我々は今、サイバーセキュアな未来を設計する準備が整った。
Juhan Lepassaar Executive Director ユーハン・レパサール エグゼクティブ・ディレクター
Reference to the report page:   報告書のページを参照する:  
[web] [web]
1. SUPPLY CHAIN COMPROMISE OF SOFTWARE DEPENDENCIES 1. ソフトウェア依存のサプライチェーン侵害
WHAT IF… もしも...
State-sponsored actors insert a backdoor in a well-known and popular open-source library on online code repository. They use this to infiltrate information from most major European corporations and use the information to blackmail leaders, espionage, or otherwise initiate disruptions across the EU. 国家に支援されたアクターが、オンラインコードリポジトリ上の有名で人気のあるオープンソースライブラリにバックドアを挿入する。彼らはこれを利用して、欧州のほとんどの大企業の情報に侵入し、その情報を使ってリーダーを脅迫したり、スパイ活動を行ったり、あるいはEU全域に混乱を引き起こす。
More integrated components and services from third party suppliers and partners could lead to novel and unforeseen vulnerabilities with compromises on the supplier and customer side. サードパーティーのサプライヤーやパートナーから提供されるコンポーネントやサービスがさらに統合されれば、サプライヤー側と顧客側で危殆化し、斬新で予期せぬ脆弱性につながる可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations 国家支援グループ、犯罪組織
POTENTIAL METHODS  潜在的手法 
Sabotage, theft, network reconnaissance, malicious code, abuse of information leakage 妨害工作、窃盗、ネットワーク偵察、悪質コード、情報漏洩の悪用
POTENTIAL IMPACTS  潜在的影響 
Disruption, malfunction, data loss, data leakage 混乱、故障、データ損失、データ漏洩
2. ADVANCED DISINFORMATION CAMPAIGNS  2. 高度な偽情報キャンペーン 
WHAT IF… もし...
A state-sponsored actor may impersonate a political rival by using deepfakes and spoofing the candidate’s digital identity, significantly impacting election results. 国家に支援されたアクターが、ディープフェイクを使用し、候補者のデジタル・アイデンティティを詐称することで、政敵になりすまし、選挙結果に大きな影響を与える可能性がある。
Deepfake attacks can manipulate communities for (geo) political reasons and for monetary gain. ディープフェイク攻撃は、(地理的)政治的理由や金銭的利益のためにコミュニティを操作することができる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations, hackitvists 国家支援グループ、犯罪組織、ハクティビスト
POTENTIAL METHODS  潜在的手法 
Fraud, unauthorised access, session hijacking, identity theft, abuse of personal data 詐欺、不正アクセス、セッションハイジャック、なりすまし、個人データの悪用
POTENTIAL IMPACTS  潜在的影響 
Distrust, disinformation, financial damage, foreign information manipulation and interference (FIMI) 不信、偽情報、金銭的被害、外国による情報操作・妨害(FIMI)
3. RISE OF DIGITAL SURVEILLANCE AUTHORITARIANISM / LOSS OF PRIVACY 3. デジタル監視の権威主義の台頭/プライバシーの喪失
WHAT IF… もし...
An authoritarian regime uses their power to retrieve databases of information about individuals who have visited their country, participated in anti-government protests, put them on a watch list, from both public and private entities. They track all those who and subsequently are able to manipulate those individuals’ access to national services like voting, visits to their healthcare providers, or access to other online services.  権威主義政権が権力を行使して、自国を訪問した個人、反政府デモに参加した個人、監視リストに登録された個人に関する情報を、公的・私的事業体の両方からデータベース化する。そして、投票、医療プロバイダへの訪問、その他のオンラインサービスへのアクセスといった国家サービスへのアクセスを操作することができる。
Facial recognition, digital surveillance on internet platforms or digital identities data stores may become a target for criminal groups. 顔認識、インターネット・プラットフォーム上のデジタル監視、デジタル・アイデンティティ・データ・ストアは、犯罪集団の標的になる可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, criminal organisations 国家支援グループ、犯罪組織
POTENTIAL METHODS  潜在的手法 
Man in the middle, malicious software, use of rogue certificates, abuse of personal data 中間者、悪意のあるソフトウェア、不正な証明書の使用、個人データの悪用
POTENTIAL IMPACTS  潜在的影響 
Privacy breaches, human rights abuses プライバシー侵害、人権侵害
4. HUMAN ERROR AND EXPLOITED LEGACY SYSTEMS WITHIN CYBER PHYSICAL ECOSYSTEMS  4. サイバーフィジカル・エコシステム内のヒューマンエラーと悪用されたレガシーシステム 
WHAT IF… もしも...
Manuals for all legacy OT equipment are available online and studied primarily by state-sponsored groups. Once a vulnerability is found, they target user devices or other IoT products used at the plant. Cyber criminals begin a new form of ransomware in which they bring down important infrastructure and demand payment, given that the operator likely lacks the resources to solve the issue themselves. すべてのレガシーOT機器のマニュアルがオンラインで入手可能で、主に国家支援グループによって研究されている。脆弱性が発見されると、工場で使用されているユーザー機器や他のIoT製品を標的にする。サイバー犯罪者は、重要なインフラをダウンさせ、オペレータが自分で問題を解決するリソースがない可能性が高いことを理由に、支払いを要求する新しい形のランサムウェアを始める。
The fast adoption of IoT, the need to retrofit legacy systems and the ongoing skill shortage could lead to a lack of knowledge, training and understanding of the cyberphysical ecosystem, which can lead to security issues. IoTの急速な普及、レガシーシステムの改修の必要性、継続的なスキル不足は、サイバーフィジカルエコシステムに関する知識、トレーニング、理解の不足につながり、セキュリティ問題に発展する可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored groups, cyber criminals, hacktivists 国家支援グループ、サイバー犯罪者、ハクティビスト
POTENTIAL METHODS  潜在的手法 
Tampering, failure of communication links, denial of service, malicious activity, manipulation of information, targeted attacks, brute force, unauthorised physical access 改ざん、通信回線の障害、サービス拒否、悪意ある活動、情報操作、標的型攻撃、総当たり攻撃、無許可の物理的アクセス
POTENTIAL IMPACTS  潜在的影響 
Malfunction, failures and outages, physical damage 誤動作、故障、停止、物理的損害
5. TARGETED ATTACKS (E.G. RANSOMWARE) ENHANCED BY SMART DEVICE DATA 5. スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど)
WHAT IF… もしも...
Cybercriminals may use the increased amount of available data from smart devices and analyse it with AI to create behavioral models of their victims for spear phishing campaigns or stalking. サイバー犯罪者は、スマートデバイスから得られる利用可能なデータ量の増加を利用し、それをAIで分析して被害者の行動モデルを作成し、スピアフィッシングキャンペーンやストーキングを行う可能性がある。
Through data obtained from internet-connected smart devices, attackers can access information for tailored and more sophisticated attacks. インターネットに接続されたスマートデバイスから得られるデータを通じて、攻撃者は、カスタマイズされたより高度な攻撃のための情報にアクセスすることができる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
Cybercrime actors, hackers-for-hire サイバー犯罪関係者、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Denial of service, interception of information, social engineering, unauthorised activities, data breach サービス拒否、情報傍受、ソーシャル・エンジニアリング、不正行為、データ侵害
POTENTIAL IMPACTS  潜在的影響 
Financial damage, privacy breaches 金銭的被害、プライバシー侵害
6. LACK OF ANALYSIS AND CONTROL OF SPACEBASED INFRASTRUCTURE AND OBJECTS 6. 宇宙を拠点とするインフラや物体の分析と制御の欠如
WHAT IF… もし...
State-sponsored attackers access space infrastructure, build up presence to execute attacks. Their aim may be to create infrastructure their capabilities and knowledge of the technology, and secure their malfunctions as a statecraft tool to sabotage other governments or commercial space operations and systems during geopolitical conflicts. 国家に支援された攻撃者が宇宙インフラにアクセスし、攻撃を実行するためのプレゼンスを構築する。彼らの狙いは、地政学的な対立の中で、他国政府や民間企業の宇宙事業やシステムを妨害するための国家工作ツールとして、その能力や技術に関する知識をインフラに蓄積し、その機能不全を確保することかもしれない。
Due to the intersections between private and public infrastructure in space, the security of these new infrastructures and technologies need to be investigated as a lack of understanding, analysis and control of space-based infrastructure can make it vulnerable to attacks and outages. 宇宙における私的インフラと公的インフラが交錯しているため、宇宙ベースのインフラに対する理解、分析、管理の欠如が攻撃や機能停止に対する脆弱性を生む可能性があるため、これらの新しいインフラや技術の安全性を調査する必要がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, cybercrime actors, hackers-for-hire 国家に支援されたアクター、サイバー犯罪アクター、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Unauthorised use of IPR protected resources, targeted attacks, fraud, sabotage, information leakage, session hijacking, malicious software 知的財産権で保護されたリソースの不正使用、標的型攻撃、詐欺、妨害行為、情報漏洩、セッションハイジャック、悪意のあるソフトウェア
POTENTIAL IMPACTS  潜在的影響 
Damage, outages, malfunctions 損害、停止、不具合
7. RISE OF ADVANCED HYBRID THREATS 7. 高度なハイブリッド型脅威の台頭
WHAT IF… もし...
Hackers are hired by a corporation to investigate the new technology being developed by a competitor. In their quest, they are able to retrieve metadata, view code, and set up a machine learning algorithm that continuously collects changes to the code and then continuously accesses user account to prevent monitoring systems from recognising that the attacker is in the network. In parallel they obfuscate the activity by spreading fake news about insider trading and industrial espionage from a third competitor by dropping fake evidence of physical intrusion. ハッカーが企業に雇われ、競合他社が開発中の新技術を調査する。その調査において、彼らはメタデータを取得し、コードを閲覧し、コードへの変更を継続的に収集する機械学習アルゴリズムをセットアップすることができ、監視システムが攻撃者がネットワーク内にいることを認識できないように、ユーザーアカウントに継続的にアクセスする。並行して、物理的な侵入の偽の証拠を投下することで、インサイダー取引や第三の競争相手からの産業スパイに関する偽ニュースを拡散し、活動を難読化する。
Physical or offline attacks are evolving and becoming often combined with cyberattacks due to the increase of smart devices, cloud usage, online identities and social platforms. 物理的またはオフラインの攻撃は進化しており、スマートデバイス、クラウド利用、オンラインID、ソーシャルプラットフォームの増加により、サイバー攻撃と組み合わされることが多くなっている。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, hackers-for-hire, cyber criminals 国家に支援された行為者、雇われハッカー、サイバー犯罪者
POTENTIAL METHODS  潜在的手法 
Unauthorised access, social engineering, abuse of personal data, remote command execution, malicious activity 不正アクセス、ソーシャルエンジニアリング、個人データの悪用、リモートコマンド実行、悪意のある活動
POTENTIAL IMPACTS  潜在的影響 
Privacy breaches, outages, failures/malfunctions プライバシー侵害、機能停止、故障/誤動作
8. SKILL SHORTAGES 8. スキル不足
WHAT IF… もし...
The skill shortage leads to an increase of online job advertisements that tell attackers the technologies that each organisation is using and the approximate number of empty positions. A state-sponsored actor may use this to their advantage as a part of a larger campaign to tamper with critical infrastructure in another country. スキル不足により、攻撃者に各組織が使用している技術や、おおよその空席数を伝えるオンライン求人広告が増加する。国家の支援を受けた攻撃者が、他国の重要インフラを改ざんする大規模なキャンペーンの一環として、これを利用する可能性がある。
Lack of capacities and competencies could see cybercriminal groups target organisations with the largest skills gap and the least maturity. 能力やコンピテンシーが不足しているため、サイバー犯罪グループは、スキルのギャップが最も大きく、成熟度が最も低い組織を標的にする可能性がある。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
Cybercrime actors, hackers-for-hire, state-sponsored actors サイバー犯罪行為者、雇われハッカー、国家に支援された行為者
POTENTIAL METHODS  潜在的手法 
Spear phishing attacks, social engineering スピアフィッシング攻撃、ソーシャルエンジニアリング
POTENTIAL IMPACTS  潜在的影響 
Financial damage, outages 金銭的被害、障害
9. CROSS-BORDER ICT SERVICE PROVIDERS AS A SINGLE POINT OF FAILURE  9. 単一障害点としての国境を越えたICTサービスプロバイダ 
WHAT IF… もし...
A state-sponsored actor aims to temporarily cripple a region during an active conflict by installing malware that disrupts all critical functions of the ICT provider. Without operational cities, roadways, and communication channels, the region is essentially crippled without the ability for civilians to go about their daily lives and the responsible parties limited in their ability to maintain defense monitoring systems and to collaborate to develop response options and methods for bringing the necessary systems back online.   国家に支援された行為者が、ICTプロバイダのすべての重要な機能を停止させるマルウェアをインストールすることで、活発な紛争中に一時的に地域を機能不全に陥れることを狙う。運用可能な都市、道路、コミュニケーション・チャネルがなければ、その地域は実質的に機能不全に陥り、市民は日常生活を送ることができなくなる。また、責任者は防衛監視システムを維持し、必要なシステムをオンラインに戻すための対応オプションや方法を共同で開発する能力が制限される。 
ICT sector connecting critical services such as transport, electric grids and industry that provide services across borders are likely be to targeted by techniques such as backdoors, physical manipulation, and denials of service and weaponised during a future potential conflict. 輸送、電力網、国境を越えてサービスを提供する産業など、重要なサービスをつなぐICTセクターは、バックドア、物理的操作、サービス拒否などの技術によって標的にされ、将来の潜在的紛争時に武器化される可能性が高い。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, hackers-for-hire 国家に支援されたアクター、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Fraud, theft, corruption, terrorist attack, network traffic manipulation, manipulation of hardware or software, abuse of authorisations 詐欺、窃盗、汚職、テロ攻撃、ネットワークトラフィックの操作、ハードウェアやソフトウェアの操作、権限の乱用
POTENTIAL IMPACTS  潜在的影響 
Outages, damage/loss, unavailable critical infrastructure 障害、損害/損失、重要インフラの利用不能
10. ARTIFICIAL INTELLIGENCE ABUSE 10. AIの悪用
WHAT IF… もし...
A state-sponsored actor wants to sow discord in a population before an election and manipulates the learning data of a law enforcement algorithm to target specific populations, causing widespread protests political opponents themselves by using an AI analysis of the individuals’ and violence. They are also able to deduct information about the whereabouts, health history, and voting history – the correlation of such personal data will likely only be feasible with the use of AI tools. 国家に支援された行為者が、選挙前に住民に不和の種をまきたいと考え、法執行アルゴリズムの学習データを操作して特定の集団を標的にし、個人のAI分析を利用して政治的反対者自身に広範な抗議を引き起こし、暴力を振るう。彼らはまた、居場所、健康履歴、投票履歴に関する情報を差し引くことができる。このような個人データの相関関係は、おそらくAIツールの使用でしか実現できないだろう。
Manipulation of AI algorithms and training data can be used to enhance nefarious activities such as the creation of disinformation and fake content, bias exploitation, collecting biometrics and other sensitive data, military robots and data poisoning. AIアルゴリズムや訓練データの操作は、偽情報や偽コンテンツの作成、バイアスの搾取、生体データやその他の機密データの収集、軍事ロボットやデータポイズニングといった悪質な活動を強化するために利用できる。
POTENTIAL THREAT ACTORS  潜在的脅威行為者 
State-sponsored actors, cyber criminals, hackers-for-hire 国家に支援された行為者、サイバー犯罪者、雇われハッカー
POTENTIAL METHODS  潜在的手法 
Spoofing, denial of service, malicious code, unauthorised access, targeted attacks, misuse of information, man in the middle attack なりすまし、サービス妨害、悪質コード、不正アクセス、標的型攻撃、情報の悪用、中間者攻撃
POTENTIAL IMPACTS  潜在的影響 
Biased decision-making, privacy violations, foreign information manipulation and interference (FIMI) 偏った意思決定、プライバシー侵害、外国人による情報操作と干渉(FIMI)
2030 TOP THREATS CONTINUED 2030年トップレベルの脅威 続き
11. INCREASED DIGITAL CURRENCY-ENABLED CYBERCRIME 11. デジタル通貨を利用したサイバー犯罪の増加
By 2030, digital currency-enabled cybercrime will increase rapidly. Cryptocurrencies, and the broad market adoption of them, already have enabled organised crime to expand their reach. Because digital currencies will be very commonly used as an investment asset and means of payment in European markets, organised crime may be able to expand their targets. This means that cybercrime groups offering professional services (cyber-attacks) will be better funded because of an increase in the efficiency and effectiveness of their efforts.   2030年までに、デジタル通貨を利用したサイバー犯罪が急増する。暗号通貨とその広範な市場導入は、すでに組織犯罪の勢力拡大を可能にしている。デジタル通貨は欧州市場で投資資産や決済手段としてごく一般的に使用されるようになるため、組織犯罪はターゲットを拡大できる可能性がある。つまり、専門的なサービス(サイバー攻撃)を提供するサイバー犯罪グループは、その努力の効率と効果が高まるため、より良い資金を得ることができるようになる。 
12. EXPLOITATION OF E-HEALTH (AND GENETIC) DATA 12. eヘルス(および遺伝子)データの悪用
The amount of genetic and health data increases tremendously by 2030 and is in the hands of many stakeholders in the public and private sectors. Vulnerabilities in e-health devices and databases containing very sensitive and/or genetic information may be exploited or used by criminals to target individuals or by governments to control populations, e.g., using diseases and genetic diversity as a reason for discriminating against individuals. Genetic data may further be abused to aid law enforcement activities like predictive policing or to support a more regimented social credit system.   遺伝子データや健康データは2030年までに途方もなく増加し、官民の多くの利害関係者の手に渡る。非常にセンシティブかつ/または遺伝的な情報を含むe-ヘルス機器やデータベースの脆弱性が悪用されたり、犯罪者が個人を標的にしたり、政府が個人を差別する理由として病気や遺伝的多様性を利用するなど、集団をコントロールするために利用されたりする可能性がある。遺伝子データはさらに、予測的取り締まりのような法執行活動を支援するためや、より統制された社会的信用システムを支援するために悪用されるかもしれない。 
13. TAMPERING WITH DEEPFAKE VERIFICATION SOFTWARE SUPPLY CHAIN 13. ディープフェイク検証ソフトウェアのサプライチェーンの改ざん
By 2030, deepfake technology will be widely used. It may be used as a form of harassment, evidence tampering, and provoking social unrest. Although there will likely be a rapid influx of verification software that analyses videos and voice to verify the identity of individuals , the urgent market demand leads to programmers cutting corners. This software will be highly targeted by anyone wishing to use deepfakes for illegal or unethical purposes. 2030年までに、ディープフェイク技術は広く使われるようになるだろう。嫌がらせ、証拠改ざん、社会不安の誘発といった形で利用されるかもしれない。動画や音声を分析し、個人の身元を確認する検証ソフトウェアが急速に普及するだろうが、市場の需要が急増しているため、プログラマーは手抜きをするようになる。このソフトウェアは、違法または非倫理的な目的のためにディープフェイクを利用しようとする人々から強く狙われることになるだろう。
14. ATTACKS USING QUANTUM COMPUTING 14. 量子コンピューティングを利用した攻撃
In 2030 quantum computing resources will be made more widely available, allowing threat actors to use quantum computing to attack existing deployments of public key cryptography. Likewise, there is a risk that threat actors collect sensitive encrypted data now, aiming to decrypt it once quantum computing is accessible. This is especially relevant for current digital IDs that use asymmetric cryptography to authenticate. 2030年には量子コンピューティング資源がより広く利用できるようになり、脅威行為者が量子コンピューティングを利用して既存の公開鍵暗号を攻撃できるようになる。同様に、脅威行為者が暗号化された機密データを収集し、量子コンピューティングが利用可能になった時点で復号化を狙うリスクもある。これは特に、本人認証に非対称暗号を使用している現在のデジタルIDに関連している。
15. EXPLOITATION OF UNPATCHED AND OUT-OFDATE SYSTEMS WITHIN THE OVERWHELMED CROSSSECTOR TECH ECOSYSTEM  15. 圧倒的なクロスセクター技術エコシステムの中での、パッチ未適用や最新でないシステムの悪用
Everything-as-a-service leads to a multitude of tools and services that require frequent updates and maintenance by both consumers and providers. This combined with the skill shortage presents a difficult to manage surface of vulnerabilities that can be exploited by threat actors. Furthermore, the complexity of the supply chain fosters confusion on where responsibilities for security lie. For governments, this creates more backdoors for espionage while cyber-criminals can exploit the unpatched and outdated services for financial gains. This is especially true when critical infrastructure is in the hands of the private sector or when national security data is reliant on singular private entities.  あらゆるものがサービス化されることで、消費者とプロバイダの両方が頻繁な更新と保守を必要とするツールやサービスが多数存在することになる。これがスキル不足と組み合わさることで、脅威行為者に悪用される可能性のある脆弱性の管理は難しくなる。さらに、サプライチェーンの複雑さは、セキュリティ責任の所在に関する混乱を助長する。ガバナンスの政府にとっては、スパイ活動のためのバックドアが増える一方で、サイバー犯罪者はパッチの適用されていない旧式のサービスを悪用して金銭的利益を得ることができる。これは、重要インフラが民間の手にある場合や、国家セキュリティデータが特異な民間事業体に依存している場合に特に当てはまる。
16. AI DISRUPTING / ENHANCING CYBER ATTACKS 16. AIによるサイバー攻撃の撹乱・強化 
Escalation as a result of AI-based tools. Attackers will use AI-based technologies to launch attacks. In order to defend against those attacks and even to launch counter measures, there must also be defensive AI-based weapons. Behaviour of the AI in these cases is difficult to test, measure and control – if speed of response is valued.  AIベースのツールによるエスカレーション。攻撃者はAIベースのテクノロジーを使って攻撃を仕掛けるだろう。それらの攻撃を防御し、さらには対抗策を打ち出すためには、AIベースの防御兵器も存在しなければならない。このような場合のAIの挙動は、テスト、測定、制御が困難である。
17. MALWARE INSERTION TO DISRUPT FOOD PRODUCTION SUPPLY CHAINE 17. 食品製造のサプライチェーンを混乱させるマルウェアの挿入 
Due to increased automatisation and digitalization of food production, food supply chains  can be disrupted by a range of threat actors with medium-high resources. Denial of service attacks on packaging plants, for example, can prevent continued food operations; processed food manufacturing tools may be manipulated to change the compounds in the food itself. Attacks like these can lead to a food shortage, economic disruptions, and in the worst case, poisoning. 食品生産の自動化とデジタル化の進展により、食品サプライ・チェーンは、中程度の高いリソースを有するさまざまな脅威行為者によっ て混乱させられる可能性がある。例えば包装工場に対するサービス拒否攻撃は、食品の操業の継続を妨げる可能性がある。加工食品製造ツールは、食品自体の化合物を変更するために操作される可能性がある。このような攻撃は、食糧不足、経済的混乱、最悪の場合は中毒につながる可能性がある。
18. TECHNOLOGICAL INCOMPATIBILITY OF BLOCKCHAIN TECHNOLOGIES 18. ブロックチェーン技術の技術的非互換性
Until 2030, several regionally based blockchain technologies are created by different groups of governments to create an international "gold standard". This is driven by a societal lack of trust in blockchain that has accumulated over the last years.  Each technology group aims to gain a competitive advantage. This gives rise to a period of technological incompatibility of blockchain technology which leads to failures, malfunctions, data loss and the exploitation of vulnerabilities at the interfaces of the different blockchains. This creates challenges for ecosystem management and data protection, furthers distrust, and negatively affects trade and GDP growth. 2030年まで、国際的な "ゴールドスタンダード "を作るために、いくつかの地域ベースのブロックチェーン技術が異なる政府グループによって作られる。この背景には、ここ数年で蓄積されたブロックチェーンに対する社会的信頼の欠如がある。 各技術グループは競争上の優位性を獲得することを目指している。このため、ブロックチェーン技術の技術的な互換性がない時期が生じ、故障や誤動作、データ損失、異なるブロックチェーンのインターフェースにおける脆弱性の悪用につながる。これはエコシステム管理とデータ保護に課題をもたらし、不信感を助長し、貿易とGDP成長に悪影響を及ぼす。
19. DISRUPTIONS IN PUBLIC BLOCKCHAINS 19. パブリック・ブロックチェーンにおける混乱
Blockchain has been implemented in nearly all aspects of society in 2030. Unfortunately, security expertise in the area of blockchain did not advance significantly, creating a slew of vulnerabilities that may be exploited in the future. Locally unavailable blockchain technology will, for example, prevent access to voting, legal transactions, and even security systems. Another possible attack vector is exploited by partitioning the bitcoin network by hijacking IP address prefixes. This can cause, for example, duplicated spending and thus economic damage. ブロックチェーンは2030年、社会のほぼすべての側面に導入されている。残念なことに、ブロックチェーンの分野におけるセキュリティの専門知識は大きく進歩しておらず、将来悪用される可能性のある脆弱性が山ほど生まれている。ローカルで利用不可能なブロックチェーン技術は、例えば、投票、法的取引、さらにはセキュリティシステムへのアクセスを妨げるだろう。また、IPアドレスのプレフィックスをハイジャックしてビットコインネットワークを分割することで、攻撃ベクトルが悪用される可能性もある。これは、例えば重複支出を引き起こし、結果として経済的損害をもたらす可能性がある。
20. PHYSICAL IMPACT OF NATURAL / ENVIRONMENTAL DISRUPTIONS ON CRITICAL DIGITAL INFRASTRUCTURE 20. 自然/環境破壊が重要なデジタルインフラに与える物理的影響
The increased severity and frequency of environmental disasters causes several regional outages. Redundant back-up sites that maintain the availability of critical infrastructure will also be affected. 環境災害の深刻さと頻度が増すと、いくつかの地域で停電が発生する。重要インフラの可用性を維持する冗長バックアップサイトも影響を受ける。
21. MANIPULATION OF SYSTEMS NECESSARY FOR EMERGENCY RESPONSE 21. 緊急対応に必要なシステムの操作
Manipulation of sensors with connections to emergency services may overload services like ambulances, police, firefighters, etc. For example, call centres may be overloaded with inauthentic calls or fire alarms may be manipulated to injure specific individuals or to obscure emergency response teams' ability to locate the issue. Similarly, mass panics that overload emergency systems may also be provoked through the use of social media.  緊急サービスにつながるセンサーの操作は、救急車、警察、消防士などのサービスに過負荷をかける可能性がある。例えば、コールセンターが不正なコールで過負荷になったり、火災報知器が特定の個人を傷つけたり、緊急対応チームが問題の場所を特定できないように操作されたりする可能性がある。同様に、緊急システムに過負荷をかけるような大パニックも、ソーシャルメディアの利用によって引き起こされる可能性がある。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.04 ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威 (2023.03.29)

 

| | Comments (0)

2023.09.19

米国 国防総省サイバー戦略 2023(要約)(2023.09.12)

こんにちは、丸山満彦です。

国防総省がサイバー戦略2023の要約を公表していますね。。。フルバージョンは、非公開のようです。これは、2018年の国防総省サイバー戦略に続くもので、2021年に公表された国家安全保障戦略、国家防衛戦略、国家サイバーセキュリティ戦略を国防総省に落としたものという感じですね。。。記載されている対象はあくまでもサイバー領域に限定されています。(つまり、全体の作戦の中でのサイバー領域の話だけ切り出してまとめているという感じのようです。)

防衛のサプラチェーンではないですが、米国も各国と連携して動いていることから、他の国の軍隊、防衛産業企業等がサイバー攻撃で侵入されると米国軍にも影響があるということから、パートナーのサイバー防衛能力の強化に力を入れるということのようです。

また、国家防衛戦略の優先順位が、中国、そしてロシアという順番なので、サイバー戦略でも優先順位は同じなのでしょうね。。。中国は当初はロシアにいろいろと学んでいたようですが、すでに独自にさまざまなサイバー能力を獲得、開発していることから、米国にとっては大きな脅威になってきているという認識だと思います。。。

ハント・フォワード作戦についても触れられていて、攻撃者の戦術・技術・運用 (TTP) を公表し、同盟国とともにレジリエンスを高めるということのようですね。。。

 

U.S. Department of Defence

プレスリリース

・2023.09.12 DOD Releases 2023 Cyber Strategy Summary

DOD Releases 2023 Cyber Strategy Summary 国防総省、2023年サイバー戦略の概要を発表
Today, the Department of Defense (DOD) released an unclassified summary of its classified 2023 Cyber Strategy. 本日、国防総省(DOD)は、機密扱いの2023年サイバー戦略の非機密扱いの要約を発表した。
The 2023 DOD Cyber Strategy, which DOD transmitted to Congress in May, is the baseline document for how the Department is operationalizing the priorities of the 2022 National Security Strategy, 2022 National Defense Strategy, and the 2023 National Cybersecurity Strategy. It builds upon the 2018 DOD Cyber Strategy and will set a new strategic direction for the Department. 国防総省が5月に議会に提出した2023年DODサイバー戦略は、2022年国家安全保障戦略、2022年国家防衛戦略、2023年国家サイバーセキュリティ戦略の優先事項をどのように運用するかの基本文書である。この戦略は、2018年のDODサイバー戦略に基づいており、国防総省の新たな戦略的方向性を示すものである。
"This strategy draws on lessons learned from years of conducting cyber operations and our close observation of how cyber has been used in the Russia-Ukraine war," Assistant Secretary of Defense for Space Policy John Plumb said. "It has driven home the need to work closely with our allies, partners, and industry to make sure we have the right cyber capabilities, cyber security, and cyber resilience to help deter conflict, and to fight and win if deterrence fails." 「ジョン・プラム国防次官補(宇宙政策担当)は、「この戦略は、長年にわたるサイバー作戦の実施から得られた教訓と、ロシア・ウクライナ戦争でサイバーがどのように利用されたかをつぶさに観察した結果に基づいている。「同盟国、パートナー、産業界と緊密に協力し、紛争を抑止し、抑止が失敗した場合に戦い、勝利するために、適切なサイバー能力、サイバーセキュリティ、サイバーレジリエンスを確保する必要性を痛感した。
The United States faces diverse, growing threats in cyberspace and the strategy outlines how DOD is maximizing its cyber capabilities in support of integrated deterrence and employing cyberspace operations in concert with other instruments of national power. 米国はサイバー空間における多様で増大する脅威に直面しており、この戦略では国防総省が統合抑止を支援するためにサイバー能力を最大化し、国力の他の手段と協調してサイバー空間作戦を採用する方法を概説している。
The strategy highlights DOD’s actions to invest in and ensure the defense, availability, reliability, and resilience of its cyber networks and infrastructure to support non-DOD agencies in their related roles and to protect the defense industrial base. この戦略では、国防総省のサイバーネットワークとインフラの防御、可用性、信頼性、レジリエンスを確保し、国防総省以外の機関の関連する役割を支援し、防衛産業基盤を保護するための国防総省の行動を強調している。
"Distinct from previous iterations, the strategy commits to increasing our collective cyber resilience by building the cyber capability of allies and partners." Deputy Assistant Secretary for Cyber Policy Mieke Eoyang said. "It also reflects the department’s approach to defending the homeland through the cyber domain as well as prioritizing the integration of cyber capabilities into our traditional warfighting capabilities." 「この戦略では、同盟国やパートナーのサイバー能力を強化することで、われわれの集団的なサイバー・レジリエンスを高めることにコミットしている。ミーケ・エオヤン副次官補(サイバー政策担当)は言う。「この戦略はまた、サイバー領域を通じて国土を防衛し、サイバー能力を伝統的な戦闘能力に統合することを優先するという、防衛省のアプローチを反映している
The strategy is the fourth iteration for the Department, and the first to be informed by years of significant cyberspace operations. You can read the full summary on Defense.gov. この戦略は、国防総省にとって4回目の改訂であり、長年にわたる重要なサイバー空間での作戦に基づく初めてのものである。サマリーの全文はDefense.govで読むことができる。

 

・2023.09.12 DOD's Cyber Strategy Emphasizes Building Partner Capacity

DOD's Cyber Strategy Emphasizes Building Partner Capacity 国防総省のサイバー戦略はパートナーの能力構築を重視する
In May, the Defense Department released to Congress the classified version of the 2023 Cyber Strategy. Today, the department made public an unclassified summary of that strategy which reveals a new emphasis on helping U.S. partners and allies build their own cyber capacity. 国防総省は5月、2023年サイバー戦略の機密版を議会に公表した。今日、国防総省はこの戦略の非機密版要約を公開し、米国のパートナーや同盟国が独自のサイバー能力を構築するのを支援することに新たに重点を置いていることを明らかにした。
"Distinct from previous iterations of the DOD cyber strategy, this strategy commits to building the cyber capability of global allies and partners and to increase our collective resilience against cyber attack," said Mieke Eoyang, the deputy assistant secretary of defense for cyber policy, during a briefing today at the Pentagon. "Allies and partners are a strategic advantage that no competitor can match."  国防総省のサイバー戦略担当副次官補であるミーケ・エオヤン氏は、本日国防総省で行われたブリーフィングの中で、次のように述べた。「この戦略は、これまでの国防総省のサイバー戦略とは異なり、世界の同盟国やパートナーのサイバー能力を構築し、サイバー攻撃に対する集団的レジリエンスを高めることにコミットしている。同盟国やパートナーは、いかなる競争相手も太刀打ちできない戦略的優位性である。」
According to the now publicly available summary of the 2023 Cyber Strategy, the department plans to prioritize efforts to increase the effectiveness of allies and partners in cyberspace.  現在公開されている2023年サイバー戦略の概要によると、同省はサイバー空間における同盟国やパートナーの有効性を高める努力を優先する計画だ。
Spotlight: Engineering in the DOD スポットライト:DODにおけるエンジニアリング
"In some cases, the department will work toward this goal by augmenting partner capacity, expanding partners' access to cybersecurity infrastructure and maturing their cyber workforce though combined training events and exercises," the summary reads.  「場合によっては、パートナーの能力を増強し、パートナーのサイバーセキュリティ・インフラへのアクセスを拡大し、訓練イベントや演習を組み合わせることでサイバー労働力を成熟させることで、この目標に取り組むだろう。
The summary further states the department has also committed, in some cases, to directly helping develop partner capability by enabling functions a partner needs but does not yet have.  同要約はさらに、場合によっては、パートナーが必要としているがまだ持っていない機能を可能にすることで、パートナーの能力開発を直接支援することも約束したと述べている。
"The department will enhance our relationship with our most cyber-capable allies and partners at the strategic, operational and tactical levels," the policy reads. "We will expand the total number of partners with whom we engage and integrate these efforts with the wider security cooperation enterprise."  「同省は、戦略、作戦、戦術の各レベルにおいて、最もサイバー能力の高い同盟国やパートナーとの関係を強化する。我々は、関与するパートナーの総数を拡大し、これらの取り組みをより広範な安全保障協力エンタープライズと統合する。」
More broadly, the summary reveals that the 2023 Cyber Strategy asks the department to address current and future cyber threats by pursuing four complementary lines of effort. These lines of effort include defending the nation, preparing to fight and win the nation's wars, protecting the cyber domain with allies and partners, and building enduring advantages in cyberspace.  より広義には、2023年サイバー戦略では、4つの補完的な取り組みを進めることで、現在および将来のサイバー脅威に対処することを求めている。これらの取り組みには、国家の防衛、国家の戦争に勝利するための準備、同盟国やパートナーとのサイバー領域の保護、サイバー空間における永続的な優位性の構築が含まれる。
"[This] strategy builds upon the direction set by the 2018 DOD Cyber Strategy and is informed by years of real-world experience of significant DOD cyberspace operations," Eoyang said. "It's the department's fourth cyber strategy and represents the secretary's vision for operationalizing the 2022 National Defense Strategy in cyberspace."  「この戦略は、2018年国防総省サイバー戦略によって設定された方向性の上に構築され、国防総省のサイバー空間における重要な活動に関する長年の実体験に基づくものである。これは国防総省にとって4番目のサイバー戦略であり、2022年国防戦略をサイバー空間で運用するための長官のビジョンを表している。」
Spotlight: National Defense Strategy スポットライト:国家防衛戦略
Like the National Defense Strategy, DOD's cyber strategy identifies China as a pacing threat and Russia as an acute threat, Eoyang said.  国防戦略と同様、国防総省のサイバー戦略は、中国をペースの脅威として、ロシアを急性の脅威として識別している。
She also said that the strategy has been informed by recent activities in Ukraine, following the illegal Russian invasion there.  また、この戦略は、ウクライナにおけるロシアの不法侵攻後の最近の活動からも情報を得ているという。
"I think prior to this conflict, there was a sense that cyber would have a much more decisive impact in warfare than what we experienced," she said. "What this conflict has shown us is the importance of integrated cyber capabilities in and alongside other warfighting capabilities. And that is consistent with the approach in the NDS on integrated deterrence and is an important lesson for us to think about -- that cyber is a capability that is best used in concert with those others and may be of limited utility when used all by itself."  彼女はまた、次のように述べた。「この紛争の前には、サイバー戦は我々が経験したものよりもはるかに決定的な影響を与えるという感覚があったと思う。この紛争が私たちに示したのは、他の戦闘能力とともに、サイバー能力を統合することの重要性である。そしてそれは、統合抑止に関するNDSのアプローチと一致するものであり、私たちが考えるべき重要な教訓である。"サイバー能力は、他の能力と協調して使用するのが最善であり、単独で使用した場合の有用性は限定的かもしれない。」
According to the strategy, cyber capabilities are most effective when used in concert with other instruments of national power.  同戦略によれば、サイバー能力は、他の国力の手段と協調して使用されるときに最も効果的である。
Spotlight: Science & Tech スポットライト:科学技術
"In this way, cyberspace operations represent an indispensable element of U.S. and allied military strength and form a core component of integrated deterrence," the strategy reads. 「このように、サイバー空間での作戦は、米国と同盟国の軍事力にとって不可欠な要素であり、統合抑止の中核をなすものである。」

 

 

・[PDF]

20230918-145737

 

目次的...

INTRODUCTION  序文 
NATIONAL DEFENSE STRATEGY PRIORITIES  国家防衛戦略の優先事項 
A CONTESTED CYBERSPACE  争いの絶えないサイバー空間 
People's Republic of China  中華人民共和国 
Russia  ロシア 
North Korea, Iran, and Violent Extremist Organizations  北朝鮮、イラン、暴力的過激派組織 
Transnational Criminal Organizations  国際犯罪組織 
DEFEND THE NATION  国家を守る 
Generate Insights about Cyber Threats  サイバー脅威に関する洞察の創出 
Disrupt and Degrade Malicious Cyber Actors  悪意のあるサイバー行為者を混乱させ、劣化させる。
Enable Defense of US. Critical Infrastructure  米国の重要インフラの防衛を可能にする。
DOD AUTHORITIES AND HOMELAND DEFENSE  国防総省の権限と国土防衛 
Protect the Defense Industrial Base  防衛産業基盤の防御 
DIB CYBERSECURITY  DIBサイバーセキュリティ 
PREPARE TO FIGHT AND WIN THE NATION'S WARS  国家の戦争を戦い勝利する準備をする 
Advance Joint Force Objectives  統合軍の目標を推進する 
Defend the DODIN  DODINを守る 
DEFINING THE DODIN  DODINの定義 
Build Cyber Resilience in the Joint Force  統合軍におけるサイバー・レジリエンスの構築 
Support Joint Force Plans and Operations  統合軍の計画と作戦を支援する 
PROTECT THE CYBER DOMAIN WITH ALLIES AND PARTNERS  同盟国やパートナーとともにサイバー領域を守る。
Build Cyber Capacity and Develop Capability in Allies and Partners  同盟国およびパートナーにおけるサイバー能力の構築と能力開発 
Expand Avenues of Cyber Cooperation  サイバー協力の手段を拡大する。
Continue Hunt Forward Operations and Bilateral Technical Collaboration  ハント・フォワード・オペレーションと二国間技術協力の継続 
Reinforce Norms of Responsible Behavior in Cyberspace  サイバー空間における責任ある行動の規範を強化する。
BUILD ENDURING ADVANTAGES IN CYBERSPACE  サイバー空間における永続的な優位性を構築する 
Invest in the Cyber Workforce  サイバー人材への投資 
Prioritize Intelligence Support for Cyber Operations  サイバー作戦のための情報支援を優先する。
Develop and Implement New Cyber Capabilities  新たなサイバー能力の開発と導入 
Foster Cyber Awareness  サイバー意識の醸成 
CONCLUSION  結論 

 

仮対訳は関連リンク下につけています。。。

 

 


関連リンク

● まるちゃんの情報セキュリティ気まぐれ日記

国家安全保障戦略

・2022.10.14 米国 国家安全保障戦略

ちなみにロシア...

・2021.07.04 ロシア連邦大統領令第400号「ロシア連邦の国家安全保障戦略」を公表

 

国防総省 国家防衛戦略他

・2022.10.29 米国 国家防衛戦略

その下の計画

・2023.08.09 米国 国防総省 サイバー従事能力戦略実施計画

 

国家情報(インテリジェンス)戦略

・2023.08.11 米国 国家情報戦略 2023

 

国家サイバーセキュリティ戦略

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

人材に関して。。。

・2023.08.02 米国 国家サイバー人材・教育戦略

予算優先事項、実行計画。。。

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

 

CISAのサイバーセキュリティ戦略

・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026

 


 

仮対訳

↓↓↓↓↓





Continue reading "米国 国防総省サイバー戦略 2023(要約)(2023.09.12)"

| | Comments (0)

2023.09.17

米国 NSA FBI CISA 組織に対するディープフェイクの脅威の文脈化

こんにちは、丸山満彦です。

NSA、 FBI、CISAが共同で、ディープフェイクの脅威についての報告書を公表していますね。。。

フェイク対策についてまとまっていて、参考になるところも多いし、これから日本でも取り組んでいくべきこともあるようにも思えます。

 

CISA

・2023.09.12 NSA, FBI, and CISA Release Cybersecurity Information Sheet on Deepfake Threats

NSA, FBI, and CISA Release Cybersecurity Information Sheet on Deepfake Threats< NSA、FBI、CISA、ディープフェイクの脅威に関するサイバーセキュリティ情報シートを発表
Today, the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and the Cybersecurity and Infrastructure Security Agency (CISA) released a Cybersecurity Information Sheet (CSI), Contextualizing Deepfake Threats to Organizations, which provides an overview of synthetic media threats, techniques, and trends. Threats from synthetic media, such as deepfakes, have exponentially increased—presenting a growing challenge for users of modern technology and communications, including the National Security Systems (NSS), the Department of Defense (DoD), the Defense Industrial Base (DIB), and national critical infrastructure owners and operators. Between 2021 and 2022, U.S. Government agencies collaborated to establish a set of employable best practices to take in preparation and response to the growing threat. Public concern around synthetic media includes disinformation operations, designed to influence the public and spread false information about political, social, military, or economic issues to cause confusion, unrest, and uncertainty. 本日、国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、合成メディアの脅威、技術、傾向の概要を示すサイバーセキュリティ情報シート(CSI)「組織に対するディープフェイクの脅威の文脈化」を発表した。ディープフェイクのような合成メディアからの脅威は指数関数的に増加しており、国家安全保障システム(NSS)、国防省(DoD)、防衛産業基盤(DIB)、国家の重要インフラの所有者や運営者など、現代のテクノロジーやコミュニケーションの利用者にとって、ますます大きな課題となっている。2021年から2022年にかけて、米国ガバナンス政府は、増大する脅威への準備と対応において取るべき一連の採用可能なベストプラクティスを確立するために協力した。合成メディアをめぐる社会的関心には偽情報作戦も含まれ、政治、社会、軍事、経済問題に関して、混乱、不安、不確実性を引き起こすために、大衆に影響を与え、偽情報を広めることを目的としている。
The authoring agencies urge organizations review the CSI for recommended steps and best practices to prepare, identify, defend against, and respond to deepfake threats. 作成機関は、組織がディープフェイクの脅威に備え、識別し、防御し、対応するための推奨される手順とベストプラクティスについて、CSIを検討するよう促している。
To report suspicious activity or possible incidents involving deepfakes, contact one of the following agencies: 疑わしい活動やディープフェイクに関わるインシデントの可能性を報告するには、以下のいずれかの機関に連絡すること:

 

 

・[PDF]

20230917-45123

 

・[DOCX] 仮訳

 

エグゼクティブサマリー...

Executive summary 要旨
Threats from synthetic media, such as deepfakes, present a growing challenge for all users of modern technology and communications, including National Security Systems (NSS), the Department of Defense (DoD), the Defense Industrial Base (DIB), and national critical infrastructure owners and operators. ディープフェイクのような合成メディアからの脅威は、国家安全保障システム(NSS)、国防総省(DoD)、防衛産業基盤(DIB)、国家重要インフラの所有者や運用者を含む、現代のテクノロジーとコミュニケーションのすべてのユーザーにとって、増大する課題を提示している。
As with many technologies, synthetic media techniques can be used for both positive and malicious purposes. While there are limited indications of significant use of synthetic media techniques by malicious state-sponsored actors, the increasing availability and efficiency of synthetic media techniques available to less capable malicious cyber actors indicate these types of techniques will likely increase in frequency and sophistication. 多くの技術と同様に、合成メディアの技術は、肯定的な目的にも悪意ある目的にも使用される可能性がある。悪意のある国家に支援された行為者による合成メディア技術の重要な使用の兆候は限られているが、能力の低い悪意のあるサイバー行為者が利用可能な合成メディア技術の可用性と効率性が高まっていることから、この種の技術の頻度と洗練度は増加する可能性が高い。
Synthetic media threats broadly exist across technologies associated with the use of text, video, audio, and images which are used for a variety of purposes online and in conjunction with communications of all types. Deepfakes are a particularly concerning type of synthetic media that utilizes artificial intelligence/machine learning (AI/ML) to create believable and highly realistic media. [1] The most substantial threats from the abuse of synthetic media include techniques that threaten an organization’s brand, impersonate leaders and financial officers, and use fraudulent communications to enable access to an organization’s networks, communications, and sensitive information. 合成メディアの脅威は、テキスト、ビデオ、音声、画像の使用に関連する技術に広く存在し、これらはオンライン上で、またあらゆる種類のコミュニケーションに関連して、さまざまな目的で使用されている。ディープフェイクは、人工知能/機械学習(AI/ML)を利用して、信憑性が高く、非常にリアルなメディアを作成する、特に懸念されるタイプの合成メディアである。[1] 合成メディアの悪用による最も重大な脅威には、組織のブランドを脅かしたり、リーダーや財務責任者になりすましたり、不正なコミュニケーションを利用して組織のネットワーク、コミュニケーション、機密情報へのアクセスを可能にしたりする手法が含まれる。
Organizations can take a variety of steps to identify, defend against, and respond to deepfake threats. They should consider implementing a number of technologies to detect deepfakes and determine media provenance, including real-time verification capabilities, passive detection techniques, and protection of high priority officers and their communications. [2] [3] Organizations can also take steps to minimize the impact of malicious deepfake techniques, including information sharing, planning for and rehearsing responses to exploitation attempts, and personnel training. 組織は、ディープフェイクの脅威を識別し、防御し、対応するために、様々な手段を講じることができる。リアルタイム検証機能、パッシブ検知技術、優先度の高い役員とその通信の保護など、ディープフェイクを検知し、メディアの出所を特定するための多くの技術の導入を検討すべきである。[2] [3] 組織はまた、悪意のあるディープフェイク手法の影響を最小化するために、情報共有、悪用の試みに対する対応計画とリハーサル、要員の訓練などの措置を講じることができる。
In particular, phishing using deepfakes will be an even harder challenge than it is today, and organizations should proactively prepare to identify and counter it. Several public and private consortiums also offer opportunities for organizations to get involved in building resilience to deepfake threats, including the Coalition for Content Provenance and Authenticity and Project Origin. [4] [5] 特に、ディープフェイクを使用したフィッシングは、現在よりもさらに困難な課題となるため、組織は積極的にその識別と対策に備えるべきである。また、「Coalition for Content Provenance and Authenticity」や「Project Origin」など、いくつかの官民のコンソーシアムも、ディープフェイクの脅威に対するレジリエンス構築に関与する機会を組織に提供している。[4] [5]
This cybersecurity information sheet, authored by the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and the Cybersecurity and Infrastructure Security Agency (CISA), provides an overview of synthetic media threats, techniques, and trends. It also offers recommendations for security professionals focused on protecting organizations from these evolving threats through advice on defensive and mitigation strategies. このサイバーセキュリティ情報シートは、国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)が作成したもので、合成メディアの脅威、テクニック、トレンドの概要を提供している。また、防御および低減戦略に関するアドバイスを通じて、これらの進化する脅威から組織を保護することに重点を置くセキュリティ専門家への提言も行っている。

 

 

検知と認証についての官民共同のイニシアチブ

· The DARPA Semantic Forensics program is currently developing advanced semantic capabilities for media forensics and authentication. Program participants include NVIDIA, PAR Government Systems, SRI International, and several research institutions. [30]  · DARPAセマンティック・フォレンジック・プログラムは現在、メディア・フォレンジックと認証のための高度なセマンティック機能を開発している。プログラム参加者には、NVIDIA、PAR Government Systems、SRI International、および複数の研究機関が含まれる。[30] 
· The Air Force Research Lab (AFRL) recently awarded a contract to the small business, DeepMedia, for the development of deepfake detection capabilities. [31]  · 空軍研究所(AFRL)は最近、ディープフェイク検出機能の開発契約を中小企業のDeepMediaに発注した。[31] 
· Deepfake detection tools have been fielded by several companies, including Microsoft, Intel, and Google.   · ディープフェイク検出ツールは、マイクロソフト、インテル、グーグルなど複数の企業によって提供されている。  
o   Prior to the 2020 elections, Microsoft introduced the Microsoft Video Authenticator and in 2023 they rolled out more context for the authenticity of images they may receive. [32]  o   2020年の選挙に先立ち、マイクロソフトはマイクロソフト・ビデオ・オーセンティケータを導入し、2023年には、受信する可能性のある画像の信憑性について、より多くのコンテクストを展開した。[32] 
o   Intel introduced a real-time deepfake detector in late 2022 labeled FakeCatcher which detects fake videos. [33]  o   インテルは2022年後半に、偽の動画を検出するFakeCatcherと名付けられたリアルタイムのディープフェイク検出器を発表した[33]。
o   Google, in collaboration with academic researchers in Europe, contributed a large dataset of visual deepfakes to the FaceForensics Benchmark in 2019. [34] [35]  o   グーグルはヨーロッパの学術研究者と共同で、2019年にFaceForensics Benchmarkに視覚的なディープフェイクの大規模なデータセットを提供した。[34] [35] 
· Adobe launched the Content Authenticity Initiative (CAI) in 2019 to push for provenance of digital content. CAI has several hundred members seeking to develop open content attribution standards. [36] CAI developed the Coalition for Content Providence and Authenticity ( C2PA ) . “C2PA unifi Adobe-led Content Authenticity Initiative (CAI) which focuses on systems to provide context and history for digital media, and Project Origin, a Microsoft- and BBC-led initiative that tackles disinformation in the digital news ecosystem.” [4]  ·        アドビは2019年にContent Authenticity Initiative(CAI)を立ち上げ、デジタルコンテンツの証明性を推進している。CAIには、オープンなコンテンツ帰属基準を開発しようとする数百人のメンバーがいる。[36] CAI は、Coalition for Content Providence and Authenticity (C2PA) を開発した。「C2PAは、アドビが主導するContent Authenticity Initiative (CAI)と、マイクロソフトとBBCが主導するProject Originを統合したもので、デジタル・ニュースのエコシステムにおける偽情報に取り組んでいる。[4] 

 

[4] The Coalition for Content Provenance and Authenticity (C2PA), https://c2pa.org/

[30] Defense Advanced Research Projects Agency, Semantic Forensics (SemaFor), https://www.darpa.mil/program/semantic-forensics

[31] DeepMedia, DeepMedia to Help AFRL Spot Deep Fakes, https://www.deepmedia.ai/press/deepmedia-to-help-afrl-spot-deep-fakes

[32] Google, Get helpful context with About this image, https://blog.google/products/search/about-thisimage-google-search/

[33] Intel, Intel Introduces Real-Time Deepfake Detector, https://www.intel.com/content/www/us/en/newsroom/news/intel-introduces-real-time-deepfakedetector.html#gs.zllvh5

[34] Technical University of Munich, FaceForensics++: Learning to Detect Manipulated Facial Images, https://github.com/ondyari/FaceForensics/

[35] Google Research, Contributing Data to Deepfake Detection Research, https://blog.research.google/2019/09/contributing-data-to-deepfake-detection.htm

[36] Content Authenticity Initiative, https://contentauthenticity.org/

 

 

推奨対策...

1. Select and implement technologies to detect deepfakes and demonstrate media provenance:  1. ディープフェイクを検出し、メディアの証明性を実証する技術を選択し、実装する: 
·        Real-time verification capabilities and procedures: Organizations should implement identity verification capable of operating during real-time communications. Identity verification for real-time communications will now require testing for liveness given the rapid improvements in generative-AI and real-time rendering. Mandatory multi-factor authentication (MFA), using a unique or one-time generated password or PIN, known personal details, or biometrics, can ensure those entering sensitive communication channels or activities are able to prove their identity. These verification steps are especially important when considering procedures for the execution of financial transactions.  ·        リアルタイムの検証機能および手順:組織は、リアルタイム通信中に動作可能な ID 検証機能を実装する必要がある。リアルタイム通信の ID 検証は、ジェネレーティブ AI とリアルタイム・レンダリングの急速な改善を考慮すると、現在では有効性のテストが必要になる。一意または一度だけ生成されるパスワードやPIN、既知の個人情報、またはバイオメトリクスを使用する多要素認証(MFA)を義務化することで、機密性の高い通信チャネルやアクティビティに入る人が身元を証明できるようにすることができる。金融取引の実行手順を考慮する場合、これらの検証手順は特に重要である。 
o   Companies that offer liveness tests powered by virtual injection techniques include ID R&D [44], Facetec [45], IProov [46], and many more.   o   仮想インジェクション技術による活性テストを提供している企業には、ID R&D [44]、Facetec [45]、IProov [46]などがある。  
o   The Center for Identification, Technology Research (CITeR) is a research initiative, funded in part by the National Science Foundation and other partners from the academic, commercial, and government sectors, that conducts research on techniques to achieve these goals. [47]   o   識別技術研究センター(CITeR)は、全米科学財団(National Science Foundation)および学術、商業、政府部門の他のパートナーから一部資金提供を受けている研究イニシアチブであり、これらの目標を達成するための技術に関する研究を行っている。[47]  
o   Passive detection of deepfakes: Passive detection techniques should be used when trying to determine the authenticity of previously created media. In these cases, recommendations for forensic analysis are as follows:  o   ディープフェイクの受動的検知:以前に作成されたメディアの真正性を判断しようとする場合、受動的検知技術を使用すべきである。このような場合、フォレンジック分析の推奨事項は以下の通りである: 
Basic recommendations:  基本的な推奨事項 
o   Make a copy of the media prior to any analysis. o Hash both the original and the copy to verify an exact copy.   o   正確なコピーを確認するために、オリジナルとコピーの両方をハッシュする。 
o   Check the source (i.e., is the organization or person reputable) of the media before drawing conclusions.   o   結論を出す前に、メディアの出典(すなわち、その組織や人物が信頼できるものかどうか)を確認する。  
o   Reverse image searches, like TinEye, [48] Google Image Search, [49] and Bing Visual Search, [50] can be extremely useful if the media is a composition of images.   o   TinEye、[48]Google Image Search、[49]Bing Visual Search、[50]のような逆画像検索は、メディアが画像で構成されている場合、非常に有用である。  
o   Visual/audio examination – look and listen to the media first as there may be obvious signs of manipulation  o   視覚/聴覚検査-明らかな操作の兆候があるかもしれないので、まずメディアをよく見、よく聞く。 
n  Look for physical properties that would not be possible, such as feet not touching the ground.  n  足が地面につかないなど、あり得ないような物理的特性を探す。 
n  Look for presence of audio filters, such as noise added for obfuscation.  n  難読化のために加えられたノイズなど、音声フィルタの存在を探す。 
n  Look for inconsistencies.  n  矛盾点を探す。 
o    Metadata examination tools can sometimes provide additional insights depending on the situation.  o    メタデータ検査ツールは、状況に応じて、さらなる洞察を与えてくれることもある。 
n   All metadata intact is an indication of authenticity.  n   すべてのメタデータが無傷であることは、真正性を示すものである。 
n   Some metadata stripped indicates the media was potentially manipulated, but further investigation is required.  n   剥がされたメタデータの中には、メディアが操作された可能性を示すものもあるが、さらなる調査が必要である。 
n   All metadata stripped may indicate the media was obtained through a social media platform or other process that automatically strips the information.  n   剥奪されたすべてのメタデータは、メディアがソーシャルメディア・プラットフォームまたは自動的に情報を剥奪する他のプロセスを通じて入手されたことを示す場合がある。 
Advanced recommendations:  上級者への勧め 
o   Physics based examinations – complete checks to verify vanishing points, reflections, shadows, and more using ideas from Hany Farid [see Chapter 1 of Fake Photos for more information] [51] and other methods that use Fluid Dynamics. [52]  o   物理学に基づいた試験 - Hany Farid [詳しくはFake Photosの第1章を参照] [51] のアイデアや流体力学を使用した他の方法を使用して、消失点、反射、影などを確認するための完全なチェック。[52] 
o   Compression based examination – Use tools designed to look for compression artifacts, knowing that lossy compression in media will inherently destroy lots of forensic artifacts.  o   圧縮に基づく検査 - メディアの非可逆圧縮は、本質的に多くのフォレンジック・アーティファクトを破壊することを承知の上で、圧縮アーチファクトを探すように設計されたツールを使用する。 
o   Content based examinations (when appropriate) – Use tools designed to look for specific manipulations when suspected. For example:  o   内容に基づく検査(適切な場合) - 疑わしい場合は、特定の操作を探すように設計されたツールを使用する。例えば 
n  Use tools like those available on GitHub [53] if a GAN was suspected for deepfake production.   n  ディープフェイク制作にGANが疑われる場合は、GitHub [53]にあるようなツールを使用する。  
n  Consider plug-ins to detect suspected fake profile pictures. [54]  n  偽のプロフィール写真の疑いを検出するプラグインを検討してください。[54] 
n  Explore the Antispoofing Wiki with various deepfake detection tools and software. [55]  n  様々なディープフェイク検出ツールやソフトウェアが掲載されているAntispoofing Wikiをご覧ください。[55] 
n  Use open source algorithms and papers for various manipulation tasks, such as grip-unina [56] and the deepfake detection challenge. [57]  n  grip-unina [56]やdeepfake detection challenge [57]のような、様々な操作タスクのためのオープンソースのアルゴリズムや論文を利用する。[57] 
n  In addition to the techniques and categories mentioned above, other techniques can be deployed to detect deepfakes of high priority individuals. Such techniques are based off the unique characteristics of the individual and are sometimes referred to as Person of Interest (POI) models. Training these models for a particular person can be time consuming and, in some cases, requires hours of data. However, if the concern is to protect a particular individual, these methods are designed just for that. Some examples include:  n  優先順位の高い個人のディープフェイクを検出するために、上記の技術とカテゴリに加えて、他の技術を導入することができる。このような技術は、個人のユニークな特徴に基づいており、Person of Interest (POI)モデルと呼ばれることもある。特定の人物についてこれらのモデルをトレーニングするには時間がかかり、場合によっては何時間もデータを必要とする。しかし、特定の個人を保護することが目的であれば、これらの方法はまさにそのために設計されている。いくつかの例を挙げる: 
•         ID-Reveal [58] and Audio-Visual Person-of-Interest DeepFake detection; [59]  •         ID-Reveal[58]とAudio-Visual Person-of-Interest DeepFake検出; [59]。 
•         Protecting World Leaders Against Deepfakes [60] and Protecting President Zelenskky; [61] and   •         ディープフェイクから世界の指導者を守る[60]」、「ゼレンスキー大統領を守る[61]」、そして  
•         Person Specific Audio Deepfake Detection. [62]  •         人物固有の音声・ディープフェイク検出。[62] 
•         Note on POI models: if organizations wish to protect their executives with POI models, they should consider actively collecting and curating legitimate video and audio recordings of these individuals. Such collections of data will be necessary to develop detection models.  •         POIモデルに関する注意:もし組織がPOIモデルを使って役員を保護したいのであれば、これらの個人の合法的なビデオや音声の記録を積極的に収集し、管理することを検討すべきである。このようなデータの収集は、検知モデルを開発するために必要である。 
2. Protect public data of high-priority individuals.  2. 優先順位の高い個人の公開データを保護する。 
To protect media that contains the individual from being used or repurposed for disinformation, one should consider beginning to use active authentication techniques such as watermarks and/or CAI standards. This is a good preventative measure to protect media and make it more difficult for an adversary to claim that a fake media asset portraying the individual in these controlled situations is real. Prepare for and take advantage of opportunities to minimize the impact of deepfakes.  個人を含むメディアが偽情報に利用されたり、再利用されたりしないように保護するために、透かしやCAI標準などの能動的認証技術の使用を開始することを検討すべきである。これは、メディアを保護し、敵対者がこのような管理された状況にある個人を描いた偽のメディア資産が本物であると主張することをより困難にするための良い予防策である。ディープフェイクの影響を最小化する機会を準備し、活用する。 
·         Plan and rehearse: Ensure plans are in place among organizational security teams to respond to a variety of deepfake techniques. These should be prioritized by the likelihood and unique vulnerabilities of each organization and their industry. Some organizations will be more susceptible to executive impersonation or misinformation which may impact brand status or public stock shares. Other organizations relying on high volumes of virtual financial transactions may be more vulnerable to financial fraud.  ·         計画を立て、リハーサルを行う:組織のセキュリティチーム間で、様々なディープフェイク手法に対応するための計画が策定されていることを確認する。これらは、各組織とその業界の可能性と固有の脆弱性によって優先順位をつけるべきである。組織によっては、ブランドの地位や株式公開に影響を及ぼす可能性のある経営陣のなりすましや誤情報の影響を受けやすい。また、大量の仮想金融取引に依存している組織では、金融詐欺に対してより脆弱かもしれない。 
·         Once a plan is established, do several tabletop exercises to practice and analyze the execution of the plan. These should involve the most likely targets of deepfakes and include executives who may be prime targets. [63]  計画が確立したら、計画の実行を練習し、分析するために、何度か卓上演習を行う。これらの演習には、ディープフェイクのターゲットとなる可能性が最も高い者を参加させ、主要なターゲットとなり得る経営幹部も参加させるべきである。[63] 
·         Reporting and sharing experiences: Report the details of malicious deepfakes with appropriate U.S. Government partners, including the NSA Cybersecurity Collaboration Center for Department of Defense and Defense Industrial Base Organizations and the FBI (including local offices or CyWatch@fbi.gov), to spread awareness of trending malicious techniques and campaigns.  ·         経験の報告と共有:悪意のあるディープフェイクの詳細を、国防総省および国防産業基盤組織のためのNSAサイバーセキュリティ・コラボレーション・センターやFBI(地方事務所またはCyWatch@fbi.gov)を含む適切な米国政府のパートナーに報告し、トレンドとなっている悪意のある手法やキャンペーンについての認識を広める。 
·         Training personnel: Every organization should incorporate an overview of deepfake techniques into their training program. This should include an overview of potential uses of deepfakes designed to cause reputational damage, executive targeting and BEC attempts for financial gain, and manipulated media used to undermine hiring or operational meetings for malicious purposes. Employees should be familiar with standard procedures for responding to suspected manipulated media and understand the mechanisms for reporting this activity within their organization.  ·         トレーニング担当者:各組織は、ディープフェイク技術の概要を研修プログラムに組み込むべきである。これには、風評被害を引き起こすために設計されたディープフェイクの潜在的な使用法、金銭的利益を目的とした経営幹部ターゲティングやBECの試み、悪意ある目的のために採用や運営会議を弱体化させるために使用される操作メディアの概要が含まれるべきである。従業員は、操作された疑いのあるメディアに対応するための標準的な手順に精通し、組織内でこの活動を報告するための仕組みを理解する必要がある。 
Training resources specific to deepfakes are already available from the following sources:  ディープフェイクに特化したトレーニング・リソースは、すでに以下の情報源から入手可能である: 
n   SANS Institute – “Learna New Survival Skill: Spotting Deepfakes;” [64]  n   SANS Institute - 「新しいサバイバルスキルを身につけよう:ディープフェイクを見破る" [64] 
n   MIT Media Lab – “ Detect Deep Fakes: How to counteract information created by AI” [65] and MIT Media Literacy; [66] and   n   MITメディアラボ - 「ディープフェイクを検知せよ:AIが作り出した情報に対抗する方法」[65]とMITメディアリテラシー、[66]と  
n   Microsoft – “Spot the Deep fake.” [67]  n   マイクロソフト - "ディープフェイクを見破れ"[67] 
·        Leveraging cross-industry partnerships: C2PA is a significant effort launched in 2021 to address the prevalence of misleading information online through the development of technical standards for certifying the provenance of media content. Specifications and principles for ensuring media provenance can be found on the C2PA website. [4] Additional information on issues relating to misinformation and content provenance is available from C2PA associated efforts at CAI [36] and Project Origin. [5]  ·        業界を超えたパートナーシップの活用:C2PAは、メディア・コンテンツの出所を証明するための技術基準の策定を通じて、ネット上に蔓延する誤解を招く情報に対処するために2021年に開始された重要な取り組みである。メディアの出所を保証するための仕様と原則は、C2PAのウェブサイトに掲載されている。[4] 誤情報とコンテンツの出所に関する追加情報は、C2PAに関連するCAI [36]とProject Originの取り組みから入手できる。[5] 
As of 2023, CAI encompassed more than 1,000 private companies across tech, media, news publishers, researchers, and NGOs. CAI offers several free open source tools to implement media provenance, a regular newsletter, and a community channel on Discord.  2023年現在、CAIはハイテク、メディア、ニュース出版社、研究者、NGOなど1,000社以上の民間企業を包含している。CAIは、メディア実証を実施するためのいくつかの無料オープンソースツール、定期的なニュースレター、Discord上のコミュニティチャンネルを提供している。 
Project Origin, a cross industry effort involving Microsoft and several major media producers, aims to similarly establish a chain of content provenance through secure signatures and web browser extensions. Technical background can be found on their website at originproject.info.   プロジェクトOriginは、マイクロソフトといくつかの大手メディア制作会社が参加する業界横断的な取り組みであり、同様に、安全な署名とウェブブラウザの拡張機能を通じて、コンテンツの証明の連鎖を確立することを目指している。技術的な背景は、originproject.infoのウェブサイトに掲載されている。  
·        Understand what private companies are doing to preserve the provenance of online content: Organizations should actively pursue partnerships with media, social media, career networking, and similar companies in order to learn more about how these companies are preserving the provenance of online content. This is especially important considering how they may be working to identify and mitigate the harms of synthetic content, which may be used as a means to exploit organizations and their employees.   ·        オンラインコンテンツの出所を保護するために、民間企業がどのような取り組みを行っているかを理解する:組織は、メディア、ソーシャル・メディア、キャリア・ネットワーキング、および類似の企業との提携を積極的に追求し、これらの企業がオンライン・コンテンツの出所をどのように保全しているかについて詳しく知るべきである。特に、組織とその従業員を搾取する手段として使用される可能性のある合成コンテンツの害を特定し、軽減するために、これらの企業がどのように取り組んでいるかを考慮することは重要である。  

 

| | Comments (0)

2023.09.16

経団連 警察庁サイバー警察局長との懇談会 -デジタル社会におけるサイバー空間の脅威への対応について意見交換

こんにちは、丸山満彦です。

経団連が、警察庁サイバー警察局長の河原さんと懇談会を開催した結果が、経団連タイムズに公表されていますね。。。

日本経済団体連合会 - 2023年9月14日 No.3605 

警察庁サイバー警察局長との懇談会を開催-デジタル社会におけるサイバー空間の脅威への対応について意見交換

 

河原さんのコメント

いいこと言っています。。。


...サプライチェーン全体を俯瞰したサイバーセキュリティの強化は、企業活動における不可欠な投資であることをあらためて認識してほしい。また、サイバーセキュリティへの取り組みに対する意識を醸成することが肝要である。そのうえで、自社だけでなく取り引きなどの相手先企業の対策にも留意してもらいたい。


 

企業への期待についても...


被害情報について警察に相談してもらいたい。警察としても意識改革を進め、被害発生時に通報・相談しやすい環境の整備に努める。企業が負担なく政府に情報共有できるよう、関係省庁とも協力していく


 

ついでに言うと、さらに

警察に連絡をしてくれたら、企業が対応するための適切な情報も提供するので、一緒に被害の拡大の防止をしましょう。あなたの企業にも、社会にも。。。

と言ってくれるとよいのですけど、きっとそうしてくれるでしょうね。。。GIve and Take。。。

 

1_20230617062301


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.17 経団連 サイバー安全保障に関する意見交換会を開催

・2022.12.10 経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

・2022.10.15 経団連 サイバーセキュリティ経営宣言 2.0 (2022.10.11)

・2022.04.07 経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

 

古いですが...(^^)

・2005.03.16 日本経団連 企業の情報セキュリティのあり方に関する提言

 

 

| | Comments (0)

2023.09.15

中国 2022年の西北工業大学へのサイバー攻撃は米国NSAのメンバーと特定

こんにちは、丸山満彦です。

米国をはじめとするFive Eyesは、サイバー攻撃者を逮捕、そこまではいかなくても、誰がやっているのか、アトリビューションを明らかにすることに力をいれていますが、中国もこれからは同様に、サイバー攻撃者のアトリビューションを明らかにしていくのでしょうかね。。。

2022年に西北工業大学 [wikipedia]へのサイバー攻撃について米国国家安全局 (NSA) が関与していたと、CCTVで報道していますね。。。政府機関のウェブページでは見つけられなかったのですが、CCTVで報道していますから、まぁ、そういうことなのでしょう。

西北工業大学は、双一流 (Double First Class University Plan [wikipedia]) 校の中でも上位校のようです。。。

分析をしたのは、「国家コンピュータウイルス緊急対応センター(中国国家计算机病毒应急处理中心)CVERC」[wikipedia] と「360」のようです。彼の分析によると踏み台サーバは、ドイツ、日本、韓国、インド、台湾に存在しているようですね。

 

CCTV

・2023.09.14 新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!

ビデオ...

・2023.09.14 [新闻直播间]“二次约会”间谍软件分析报告发布 

こちらは、SecondDateについての技術的な話もありますね。。。

・2023.09.14 新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!

 

少し追加の情報...

每日经济新闻综合央视新闻

・2023.09.14 再添新证!网攻西工大的神秘黑客身份被锁定,为美国国安局工作人员,“二次约会”间谍软件是关键

 

 

そういえば、今週は中国のサイバーセキュリティ週間となっていて、いろいろなイベントが各地で開催されているようです。。。

 

20230915-114838

 

興味深い内容が並んでいます!!!

 

 

 

 

| | Comments (0)

2023.09.10

カーネギーメロン大学ソフトウェア工学研究所 新たなテクノロジー:国防総省におけるソフトウェアの未来を変える7つのテーマ (2023.08.24)

こんにちは、丸山満彦です。

カーネギーメロン大学ソフトウェア工学研究所が、「新たなテクノロジー:国防総省におけるソフトウェアの未来を変える7つのテーマ」という報告書を公表していますね。。。

7つの分野は

  • 先端コンピューティング
  • 先端材料
  • AI/ML
  • バイオテクノロジー
  • サイバーセキュリティ
  • デジタルトランスフォーメーション
  • 分散コンピューティング

となっていますね。。。

 

Carnegie Mellon University - Software Engineering Institute

・2023.08.24 Emerging Technologies: Seven Themes Changing the Future of Software in the DoD

 

・[PDF]

20230910-92736

・[DOCX] 仮訳

 

 

目次...

Acknowledgments  謝辞 
Executive Summary   エグゼクティブ・サマリー
Introduction はじめに
Advanced Computing 先端コンピューティング
Exponential Intelligence エクスポネンシャル・インテリジェンス
Quantum Computing 量子コンピューティング
Ubiquitous Computing ユビキタス・コンピューティング
Advanced Materials 先端材料
Environmental Sciences 環境科学
Physical Resiliency on the Edge エッジにおける物理的な回復力
Renewable Energy 再生可能エネルギー
AI/ML AI/ML
AI Assisted Software Development AIによるソフトウェア開発
AI Assurance AI保証
Autonomous Operations 自律的オペレーション
Continuous AI 連続AI
Smart Data Curation スマート・データ・キュレーション
Biotechnology バイオテクノロジー
Advanced Bioinformatics 先端バイオ・インフォマティクス
Biometric Privacy バイオメトリック・プライバシー
Genomics ゲノミクス
Cybersecurity サイバーセキュリティ
Cyberwarfare サイバー戦
Post-Quantum Cryptography ポスト量子暗号
Zero Knowledge Proofs 知識ゼロの証明
Zero Trust ゼロトラスト
Digital Transformation デジタルトランスフォーメーション
Deep Data Semantics ディープ・データ・セマンティクス
Extended Reality 拡張現実
Higher Fidelity MBSE より忠実度の高いMBSE
Hyperautomation ハイパーオートメーション
Low-Code Development ローコード開発
Smarter Edge スマーター・エッジ
Distributed Computing 分散コンピューティング
Blockchain Validation ブロックチェーンの検証
Blockchain Verification ブロックチェーン検証
Cloud Native Development クラウドネイティブ開発
Distributed Cyber Physical Systems 分散サイバー物理システム
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
This report summarizes the SEI’s Emerging Technologies Study (ETS), the findings of which are important to the SEI, its DoD sponsors, and the software engineering community. Additionally, this report discusses the Emerging Technology Knowledge Base (ETKB), an internal SEI tool employing a Wikipedia-like structure to codify the data and information gathered during this study. The ETKB enables the identification of relationships among and links between the emerging technology investigated to the overarching goals and objectives of the SEI, its customers, and its sponsors. 本報告書は、SEI、国防総省のスポンサー、およびソフトウェアエンジニアリングコミュニティにとって重要な調査結果をまとめたものである。さらに本報告書では、この調査で収集されたデータと情報を体系化するために、ウィキペディアのような構造を採用したSEI内部ツールである、新興技術知識ベース(Emerging Technology Knowledge Base:ETKB)について説明する。ETKBは、SEI、その顧客、スポンサーの包括的な目標や目的と、調査された新技術との関係やリンクを特定することを可能にする。
This report discusses the following seven emerging technologies, which we have chosen from a purely software engineering perspective (that is, practices and technology). These technologies have evolved in the areas of artificial intelligence and machine learning (AI/ML), cybersecurity, digital transformation, and distributed computing. 本報告書では、純粋にソフトウェアエンジニアリングの観点(つまりプラクティスとテクノロジー)から選んだ、以下の7つの新興テクノロジーについて論じる。これらのテクノロジーは、人工知能と機械学習(AI/ML)、サイバーセキュリティ、デジタルトランスフォーメーション、分散コンピューティングの分野で発展してきた。 
The technologies are presented with particular emphasis on the subtopics (and their technology readiness level [TRL]):  特にサブトピック(およびその技術準備レベル[TRL])に重点を置いて技術を紹介する:
• Advanced Computing • 先進コンピューティング
•  Advanced Materials • 先端材料
•  AI/ML • AI/ML
–  Smart Data Curation (very early TRL): Using AI to establish realistic data sets for largescale testing of software may help address the lack of real-world data sets. – スマート・データ・キュレーション(非常に初期のTRL):ソフトウェアの大規模テストのための現実的なデータセットを確立するためにAIを使用することは、実世界のデータセットの不足を解決するのに役立つ可能性がある。
–  AI-Assisted Software Development (mid-level TRL): Some early production tools such as Amazon’s Code Whisperer and GitHub’s CoPilot are now emerging. – AIによるソフトウェア開発(TRL中位):AmazonのCode WhispererやGitHubのCoPilotのような初期の量産ツールが登場している。
• Biotechnology • バイオテクノロジー
• Cybersecurity • サイバーセキュリティ 
– Zero Trust (early to mid-level TRL): While this topic is getting a lot of publicity, the technology to support zero trust principles remains lacking. - ゼロトラスト(初期から中期レベルのTRL):このトピックは大きな注目を浴びているが、ゼロトラストの原則を支援するテクノロジーはまだ不足している。
• Digital Transformation • デジタルトランスフォーメーション 
– Smarter Edge (mid- to late-TRL) and Digital Transformation: Deep Data Semantics (early TRL) (likely combined with Advanced Computing’s Ubiquitous Computing): Research into these topics is growing and predicted to become more important in emerging technology. – スマーター・エッジ(TRL中期~後期)とデジタルトランスフォーメーション: ディープデータ・セマンティクス(TRL初期)(先端コンピューティングのユビキタス・コンピューティングと統合される可能性が高い): これらのトピックの研究は拡大しており、新興技術においてより重要になると予測される。
– Higher Fidelity Model-Based Software Engineering (MBSE) (early TRL): Building on research previously conducted by the SEI and others in the software engineering community (such as the Architecture Analysis and Design Language [AADL], Predictable Assembly from Certifiable Code [PACC], and Adaptive Quality of Service [AQoS]), this work could advance the state of the practice for MBSE. Prior SEI work, such as PACC, may have been before its time: Some of the subject-matter experts we talked to in the fields of low-code/cloud computing and MBSE described a “nextgeneration” MBSE, in which “models become the software” (i.e., by removing the humanin-the-loop translation of software and system models to running code). – より忠実度の高いモデルベースソフトウェアエンジニアリング(MBSE)(初期 TRL): SEIや他のソフトウェア工学コミュニティが過去に実施した研究(アーキテクチャ分析と設計言語[AADL]、証明可能なコードからの予測可能なアセンブリ[PACC]、適応的サービス品質[AQoS]など)に基づき、この研究はMBSEの実践状況を前進させる可能性がある。PACCのような先行するSEIの研究は、その時代にはまだ早かったかもしれない: ローコード/クラウド・コンピューティングとMBSEの分野で話を聞いた専門家の中には、「モデルがソフトウェアになる」(つまり、ソフトウェアとシステム・モデルを実行コードに変換する人間の作業をなくす)「次世代」MBSEについて説明する人もいた。
• Distributed Computing • 分散コンピューティング
– Comparing the themes and sub-themes from this year’s ETS to those of the prior ETSs, other emerging technologies still prevail, including quantum computing, blockchain, and AI. Interestingly, although still included in this report, some technologies, such as quantum computing, remain more “futuristic,” with timelines that are 10 years out. Not surprising, though, are the DoD’s most pressing and present concerns about post-quantum cryptography (also known as quantum-resistant cryptography), which could invariably compromise traditional (or pre-quantum) cryptographic algorithms. – 今年のETSのテーマとサブテーマを過去のETSのテーマと比較すると、量子コンピューティング、ブロックチェーン、AIなど、他の新興技術が依然として優勢である。興味深いことに、本レポートにはまだ含まれているが、量子コンピューティングのようないくつかの技術は、10年先のタイムラインと、より「未来的」なままである。しかし、驚くことではないが、国防総省が最も緊急かつ現在懸念しているのは、従来の(あるいは量子以前の)暗号アルゴリズムを必ず危険にさらす可能性のあるポスト量子暗号(量子耐性暗号とも呼ばれる)である。

 

 

 

| | Comments (0)

米国 CISA 能力強化ガイド:ウェブサービスに対するDDoS技術ガイダンス

こんにちは、丸山満彦です。

CISAが、連邦政府(軍等を除く)についてのDDoS攻撃に対する対策ガイドを公表していますね。。。

連邦政府(軍等を除く)は5つのポイントでリスクを考えるとよいとしていますね。。。

(1) 公共取引(国民へのサービス)

(2) 情報への一般公開

(3) 政府と業界のパートナーシップ

(4) 省庁内部の運営

(5) レピュテーション

 

CISA

・2023.09.06 CISA Releases Capacity Enhancement Guide to Strengthen Agency Resilience to DDoS Attack

 

CISA Releases Capacity Enhancement Guide to Strengthen Agency Resilience to DDoS Attack CISA、DDoS攻撃に対する省庁のレジリエンスを強化するための能力強化ガイドを発表
CISA has released actionable guidance for Federal Civilian Executive Branch (FCEB) agencies to help them evaluate and mitigate the risk of volumetric distributed denial-of-service (DDoS) attacks against their websites and related web services. The Capacity Enhancement Guide: Volumetric DDoS Against Web Services Technical Guidance CISAは、連邦文民行政機関(FCEB)向けに、ウェブサイトや関連ウェブサービスに対する大規模な分散型サービス妨害(DDoS)攻撃のリスクを評価し、軽減するための実用的なガイダンスを発表した。能力強化ガイドウェブサービスに対するボリュメトリックDDoS技術ガイダンス:  
Helps agencies prioritize DDoS mitigations based on mission and reputational impact.  ミッションと評判への影響に基づいて、機関が DDoS 軽減の優先順位を決定できるよう支援する。
Describes DDoS mitigation services so agencies can make risk-informed tradeoff decisions on how to use available resources most effectively.  機関が利用可能なリソースを最も効果的に使用する方法について、リスク情報に基づいたトレードオフの意思決定を行えるよう、DDoS軽減サービスについて説明する。

 

 

・[PDF] Capacity Enhancement Guide: Volumetric DDoS Against Web Services Technical Guidance

 

20230910-50507

 

 

目次的なもの...

Purpose 目的
AUDIENCE & SCOPE  対象範囲 
RECOMMENDATIONS SECTION 1: IMPACT ANALYSIS  推奨事項 セクション 1: 影響分析 
Step 1: Inventory  ステップ1:目録作成 
Step 2: Analyze  ステップ2:分析 
Step 3: Calculate  ステップ3:計算する 
Step 4: Prioritize  ステップ4:優先順位をつける 
SECTION 2: RISK MITIGATIONS  セクション 2: リスク低減 
Content Delivery Network (CDN)  コンテンツデリバリー・ネットワーク(CDN) 
Internet Service Providers (ISP) & Upstream Providers  インターネット・サービス・プロバイダ(ISP)およびアップストリーム・プロバイダ 
Cloud Service Provider (CSP) Hosted Services  クラウド・サービス・プロバイダ(CSP)のホスティング・サービス 
On-Premises Solutions  オンプレミス・ソリューション 
SUMMARY  概要 
REPORTING  報告 
CONTACT INFO  連絡先 
RESOURCES  参照情報

 

こちら「連邦政府機関向け能力強化ガイド」も参考になります。。。

Capacity Enhancement Guides for Federal Agencies

Volumetric DDoS Against Web Services Technical Guidance ウェブサービスに対するボリュメトリックDDoS技術ガイダンス
Additional DDoS Guidance for Federal Agencies 連邦政府機関向け追加DDoSガイダンス
Counter Phishing Recommendations for Federal Agencies 連邦政府機関向けのフィッシング対策に関する推奨事項
Securing Web Browsers and Defending Against Malvertising for Federal Agencies 連邦政府機関向けウェブブラウザの保護と不正広告からの防御
Implementing Strong Authentication Capacity Enhancement Guide 強力な本人認証の実装 能力向上ガイド
Remote Patch and Vulnerability Management Capacity Enhancement Guide リモートパッチおよび脆弱性管理能力強化ガイド
Printing While Working Remotely Capacity Enhancement Guide リモート作業中の印刷 能力向上ガイド
CEG Mobile Device Cybersecurity Checklist for Organizations 組織向けCEGモバイルデバイス・サイバーセキュリティ・チェックリスト
CEG Mobile Device Cybersecurity for Checklist for Consumers 消費者向けCEGモバイルデバイス・サイバーセキュリティチェックリスト
CEG Social Media Account Protection CEG ソーシャルメディア・アカウント防御

 

ガイドの対仮訳 ↓↓↓



Continue reading "米国 CISA 能力強化ガイド:ウェブサービスに対するDDoS技術ガイダンス"

| | Comments (0)

2023.09.08

NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解

こんにちは、丸山満彦です。

NISTがIR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解を公表しています。。。

ステーブルコイン技術の理解という意味では

  • どのように設計され実装されているのか
  • 説明的な定義
  • 一般的に見られる特性
  • 際立った特徴に加え
  • ステーブルコインの分類法
  • 最も一般的なタイプの説明
  • 時価総額上位のステーブルコインのリスト

といった事項が記載されていて、

セキュリティ的な面では、

  • セキュリティ
  • 安全性
  • 信頼の問題

が記載されていますね。。。

いろいろと勉強になります。。。

 

NIST - ITL 

・2023.09.05 NIST IR 8408 Understanding Stablecoin Technology and Related Security Considerations

NIST IR 8408 Understanding Stablecoin Technology and Related Security Considerations NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解
Abstract 概要
Stablecoins are cryptocurrencies whose price is pegged to that of another asset (typically one with low price volatility). The market for stablecoins has grown tremendously – up to almost $200 billion USD in 2022. These coins are being used extensively in newly developing paradigms for digital money and commerce as well as for decentralized finance technology. This work provides a technical description of stablecoin technology to enable reader understanding of the variety of ways in which stablecoins are architected and implemented. This includes a descriptive definition, commonly found properties, and distinguishing characteristics, as well as an exploration of stablecoin taxonomies, descriptions of the most common types, and examples from a list of top stablecoins by market capitalization. This document also explores related security, safety, and trust issues with an analysis conducted from a computer science and information technology security perspective as opposed to the financial analysis and economics focus of much of the stablecoin literature. ステーブルコインは、価格が他の資産(通常、価格変動が小さい資産)の価格に固定されている暗号通貨である。ステーブルコインの市場は驚異的な成長を遂げており、2022年には約2,000億米ドルに達する。これらのコインは、新たに開発されたデジタルマネーと商取引のパラダイムや、分散型金融技術に幅広く利用されている。この著作では、ステーブルコイン技術の技術的な説明をプロバイダとして提供し、ステーブルコインがどのように設計され実装されているのか、その多様な方法を読者が理解できるようにする。これには、説明的な定義、一般的に見られる特性、際立った特徴に加え、ステーブルコインの分類法の探求、最も一般的なタイプの説明、時価総額上位のステーブルコインのリストからの例が含まれる。本書はまた、ステーブルコインの文献の多くが金融分析や経済学に焦点を当てているのとは対照的に、コンピュータ科学と情報技術セキュリティの観点から分析を行い、関連するセキュリティ、安全性、信頼の問題を探求している。

 

・[PDF] NIST.IR.8408

20230908-61611

・[DOCX] 仮訳

 

 

 

目次...

Executive Summary エグゼクティブ・サマリー
1. Introduction 1. はじめに
1.1. One Year Stability Analysis of Top Stablecoins by Market Capitalization 1.1. 時価総額上位安定コインの1年間の安定性分析
1.2. Note on Regulations 1.2. レギュレーションについて
2. Background Technology 2. 背景技術
2.1. Blockchain 2.1. ブロックチェーン
2.2. Cryptocurrencies 2.2. 暗号通貨
2.3. Smart Contracts 2.3. スマートコントラクト
2.4. Cryptocurrency Tokens 2.4. 暗号通貨トークン
2.5. Centralized Finance (CeFi) 2.5. 集中型金融(CeFi)
2.6. Decentralized Finance (DeFi) 2.6. 分散型金融(DeFi)
3. Stablecoin Definition, Properties, and Characteristics 3. ステーブルコインの定義、特性、特徴
3.1. Stablecoin Definition 3.1. ステーブルコインの定義
3.2. Stablecoin Properties 3.2. ステーブルコインのプロパティ
3.3. Stablecoin Characteristics 3.3. ステーブルコインの特徴
4. Stablecoin Taxonomy 4. ステーブルコイン分類法
4.1. Fiat Currency-Backed 4.1. 不換紙幣担保
4.2. Cryptocurrency-Backed 4.2. 暗号通貨の裏付け
4.2.1. Overcollateralized Debt Position 4.2.1.債務超過の状況
4.2.2. Wrapped Fully Collateralized 4.2.2.完全担保付
4.3. Non-Currency Asset-Backed 4.3. 非通貨資産担保型
4.4. Algorithmic Non-Collateralized 4.4. アルゴリズムによる非担保
4.4.1. Rebasing Coins 4.4.1.コインのリベース
4.4.2. Seigniorage Stablecoins 4.4.2.シニョリッジ安定コイン
4.5. Hybrid 4.5. ハイブリッド
4.6. Private Institutional 4.6. 民間機関
5. Security Issues 5. セキュリティ問題
5.1. Unauthorized or Arbitrary Minting of Stablecoins 5.1. ステーブルコインの不正または恣意的な鋳造
5.2.Collateral Theft 5.2. 担保窃盗
5.3. Malicious Smart Contract Update and Hijack 5.3. 悪意のあるスマート・コントラクトの更新とハイジャック
5.4. Data Oracles 5.4. データ神託
5.5. Exploiting the Underlying Blockchain 5.5. 基盤となるブロックチェーンを悪用する
5.6. Writing Secure Software and Vulnerabilities 5.6. 安全なソフトウェアの記述と脆弱性
6. Stability Issues 6. 安定性の問題
6.1. Dynamic Interest Rates 6.1. ダイナミック金利
6.2. Floating Collateral Requirements 6.2. 浮動担保の要件
6.3. Oracle Responsiveness to Rapid Price Fluctuation 6.3. 急激な価格変動への神託の対応力
6.4. Governance Token Devaluation 6.4. ガバナンス・トークンの切り下げ
6.5. Share and Reward Token Devaluation 6.5. シェアと報酬トークンの切り下げ
6.6. Native Cryptocurrency Devaluation 6.6. ネイティブ暗号通貨の切り下げ
6.7. Transaction Price Increase 6.7. 取引価格の引き上げ
6.8. Trading Curb/Circuit Breaker 6.8. トレーディングカーブ/サーキットブレーカー
7. Trust Issues 7. 信頼の問題
7.1. Stablecoin Manager Deception 7.1. ステーブルコイン・マネージャーの欺瞞
7.1.1. Insufficient Reserves 7.1.1.リザーブの不足
7.1.2. Reserve Type Mismatch 7.1.2.リザーブタイプの不一致
7.2. Stablecoin Manager Actions 7.2.ステーブルコイン・マネージャーの行動
7.2.1. Account Denylisting 7.2.1.アカウントの拒否
7.2.2. Managing Organization Dissolution 7.2.2.組織解散の管理
7.2.3. Mass User Departure 7.2.3.大量利用者の出発
7.2.4. Rug Pulls 7.2.4.ラグの引き手
8. Exchanges and Fund Movement 8. 取引所と資金の動き
8.1. Centralized Exchanges 8.1. 集中型取引所
8.2. Decentralized Exchanges 8.2. 分散型取引所
8.2.1. Liquidity Pools and Yield Farming 8.2.1.流動性プールとイールドファーミング
8.2.2. Automated Market Maker Equations 8.2.2.自動マーケットメーカー方程式
8.2.3. Liquidity Pool Security Concerns 8.2.3. 流動性プールのセキュリティ上の懸念
8.3. Cross Chain Bridges 8.3. クロスチェーンブリッジ
9. Conclusion 9. 結論
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
This publication provides a technical description of stablecoin technology to enable reader understanding of the variety of ways in which stablecoins are architected and implemented. It then uses that technical foundation to explore related security, stability, and trust issues.   本書は、読者が安定コインの設計と実装の多様な方法を理解できるように、安定コイン技術の技術的説明を提供する。そして、その技術的基礎を用いて、関連するセキュリティ、安定性、信頼の問題を探求する。  
The following descriptive definition is intended to help readers understand stablecoin technology:  以下の説明的定義は、読者がステーブルコイン技術を理解する一助となることを意図している: 
A stablecoin is a cryptocurrency token that is a fungible unit of financial value pegged to a currency, some other asset, or index. It can be traded directly between parties and converted to other currencies or the pegged asset.  ステイブルコインは、通貨、他の資産、またはインデックスにペッグされた金融価値のカジタブルな単位である暗号通貨トークンである。当事者間で直接取引したり、他の通貨や固定資産に交換したりすることができる。 
Stablecoins can be further understood by an evaluation of their properties and characteristics. Properties highlight areas of commonality among most stablecoins, while characteristics highlight distinctions between the various architectures. The stablecoins all behave similarly from the perspective of the user who possesses and trades them Stablecoins typically include the following four properties.  ステーブルコインは、その特性と特徴を評価することでさらに理解することができる。特性はほとんどのステーブルコインに共通する部分を強調し、特性は様々なアーキテクチャー間の違いを強調する。ステーブルコインは、それを所有し取引するユーザーの視点から見ると、すべて似たような振る舞いをします。ステーブルコインは通常、以下の4つの特性を含んでいます。 
1. Property 1 (Tokenized): A stablecoin is a cryptocurrency token managed by a smart contract.  1. プロパティ1(トークン化):ステーブルコインは、スマートコントラクトによって管理される暗号通貨トークンである。 
2. Property 2 (Fungible): Stablecoins are fungible units of financial value with little to no pricing volatility relative to their pegged asset or index.  2. 特性2(交換可能):ステーブルコインは、ペッグされた資産やインデックスに対して価格変動がほとんどない、カジタブルな金融価値の単位です。 
3. Property 3 (Tradable): Stablecoins can be traded directly between parties.  3. 性質3(取引可能):ステーブルコインは当事者間で直接取引できる。 
4. Property 4 (Convertible): Stablecoins can be converted to other currencies or the pegged asset.  4. 性質4(転換可能):ステーブルコインは、他の通貨やペッグされた資産に交換することができる。 
Many of the differences between stablecoin implementations and approaches can be understood by considering the following stablecoin characteristics:  ステーブルコインの実装とアプローチの違いの多くは、以下のステーブルコインの特徴を考慮することで理解できる: 
• Characteristic 1 (Number of Coins): A stablecoin architecture may use multiple mutually supportive coins to maintain the peg for its stablecoin.  • 特徴1(コインの数):ステーブルコインのアーキテクチャは、そのステーブルコインのペッグを維持するために、相互に支持し合う複数のコインを使用することができる。 
• Characteristic 2 (Custodial Type): Stablecoins may use a centralized custodial finance model (CeFi) or a decentralized non-custodial finance model (DeFi).  • 特徴2(カストディアル・タイプ):ステーブルコインは、中央集権型のカストディアル・ファイナンス・モデル(CeFi)または分散型の非カストディアル・ファイナンス・モデル(DeFi)を使用することができる。 
• Characteristic 3 (Management Type): Stablecoins may have different management types: no management, a company, a known individual, an anonymous individual, or anonymous group owners who hold governance tokens.  • 特徴3(管理タイプ):管理者なし、企業、既知の個人、匿名の個人、またはガバナンストークンを保有する匿名のグループオーナー。 
• Characteristic 4 (Blockchain Automation): Stablecoins may operate fully on-chain and autonomously, on-chain and autonomously but with control hooks, or mostly off-chain and manually with a smart contract interface.  • 特徴4(ブロックチェーンの自動化):ステーブルコインは、完全にオンチェーンで自律的に動作することもあれば、オンチェーンで自律的に動作するがコントロールフックを使用することもあれば、スマートコントラクトインターフェースを使用して大部分がオフチェーンで手動で動作することもある。 
• Characteristic 5 (Coin Minting and Burning): Stablecoins have different policies for minting (coin creation) and burning (coin deletion).  • 特徴5(コインの鋳造と焼却):ステーブルコインには、鋳造(コインの作成)と焼却(コインの削除)にそれぞれ異なるポリシーがある。 
• Characteristic 6 (Collateral Type): Stablecoins may be collateralized using different types of reserves.  • 特徴6(担保タイプ):ステーブルコインは、様々な種類の準備金を担保とすることができる。 
• Characteristic 7 (Collateralization Level): Stablecoins may be collateralized at different levels.  • 特徴7(担保レベル):ステーブルコインは様々なレベルで担保化される可能性があります。 
• Characteristic 8 (Stabilization Mechanism): Stablecoins may use different mechanisms to promote price stability.  • 特徴8(安定化メカニズム):ステーブルコインは、価格の安定を促進するために様々なメカニズムを使用することができる。 
• Characteristic 9 (Oracle Dependence): Stablecoins may depend on “oracles” to provide on-blockchain data feeds for off-blockchain asset prices.  • 特徴9(神託依存):ステーブルコインは、オフブロックチェーン資産価格のオンブロックチェーンデータフィードを提供する「神託(オラクル)」に依存する可能性がある。 
• Characteristic 10 (Blockchain Independence): Stablecoins may be blockchainindependent and simultaneously instantiated on multiple blockchains.  • 特徴10(ブロックチェーンの独立性):ステーブルコインはブロックチェーンに依存せず、複数のブロックチェーン上で同時にインスタンス化することができる。 
This publication also provides a taxonomy of stablecoin types, which describe commonly used approaches. The taxonomy can be used to understand how groups of settings of characteristics work together to form different architectures. The taxonomy is as follows:   本書はまた、一般的に使用されているアプローチを説明する、ステイブルコインのタイプの分類法も提供している。この分類法は、異なるアーキテクチャを形成するために、どのような特性の設定グループがどのように連携しているかを理解するために使用することができる。分類法は以下の通りである:  
1. Fiat Currency-Backed: A stablecoin whose value is backed through cash-equivalent reserves of a particular fiat currency or index of currencies.  1. 不換紙幣を裏付けとする:特定の不換紙幣または通貨インデックスの現金等価準備金によって価値が裏付けされたステーブルコイン。 
2. Cryptocurrency-Backed: A stablecoin whose value is backed through reserves of volatile cryptocurrencies (i.e., not other stablecoins).  2. 暗号通貨の裏付け:ボラティリティの高い暗号通貨(すなわち、他のステーブルコインではない)の準備によって価値が裏付けられるステーブルコイン。 
3. Non-Currency Asset-Backed: A stablecoin whose value is backed through reserves that are non-currency assets or financial vehicles tracking the price of such assets.  3. 非通貨資産担保型:非通貨資産である準備金、またはそのような資産の価格を追跡する金融ビークルによって価値が裏付けされているステーブルコイン。 
4. Algorithmic Non-Collateralized: A stablecoin whose value is stabilized through an algorithm that shrinks and expands the supply of non-collateralized coins to adjust price.  4. アルゴリズムによる非担保:価格を調整するために非担保コインの供給を縮小・拡大するアルゴリズムによって価値が安定するステーブルコイン。 
5. Hybrid: A stablecoin whose value is stabilized through a combination of methods drawn from fiat, cryptocurrency, non-currency asset, and algorithmic-backed stablecoins (usually a partially cryptocurrency collateralized algorithmic approach).  5. ハイブリッド:フィアット、暗号通貨、非通貨資産、アルゴリズム担保のステーブルコイン(通常、部分的に暗号通貨担保のアルゴリズムアプローチ)から引き出された方法の組み合わせによって価値が安定するステーブルコイン。 
6. Private Institutional: A stablecoin that is issued for use on a private blockchain for the internal account transactions of the stablecoin issuer’s customers.  6. プライベート機関:ステーブルコイン発行者の顧客の内部口座取引用にプライベートブロックチェーン上で使用するために発行されるステーブルコイン。 
The descriptive stablecoin definition, properties, characteristics, and taxonomy are used to evaluate how computer security issues could affect the proper functioning of stablecoins or result in a loss of value to stablecoin users. The three areas investigated are security, stability, and trust.  記述的なステーブルコインの定義、特性、特徴、分類法を用いて、コンピュータセキュリティの問題がステーブルコインの適切な機能にどのような影響を与えうるか、あるいはステーブルコインユーザーの価値の損失にどのような結果をもたらしうるかを評価する。調査対象は、セキュリティ、安定性、信頼の3分野である。 
Security issues include the following:  セキュリティー問題には以下のようなものがある: 
1. Unauthorized or Arbitrary Minting of Stablecoins: there may arise a situation or combination of situations that may allow for the creation of stablecoins outside of the intended process.  1. 不正または恣意的なステーブルコインの鋳造:意図されたプロセス以外でステーブルコインの鋳造を可能にする状況や組み合わせが発生する可能性があります。 
2. Collateral Theft: the stablecoin’s on blockchain collateral (or reserves) may be subject to theft should an attacker discover and leverage a vulnerability in the smart contract code.  2. 担保の盗難:攻撃者がスマートコントラクトコードの脆弱性を発見し、活用した場合、ブロックチェーン上の安定コインの担保(または準備金)は盗難の対象となる可能性がある。 
3. Malicious Smart Contract Update and Hijack: it may be possible for malicious users to engineer a scenario in which they obtain the ability to deploy updated versions of the stablecoin’s smart contract.  3. 悪意のあるスマートコントラクトのアップデートとハイジャック:悪意のあるユーザが、安定コインのスマートコントラクトのアップデートバージョンをデプロイする能力を得るシナリオを設計することが可能かもしれない。 
4. Data Oracles: oracles provide stablecoin smart contracts off-blockchain information (e.g., the price of a currency). An attacker could disrupt the data used as input to the oracle, compromise the oracle itself with a denial-of-service attack, or take advantage of a vulnerability to learn what data the oracle is about to submit.  4. データ神託:神託は、安定コインのスマートコントラクトにブロックチェーン外の情報(通貨の価格など)を提供する。攻撃者は、オラクルへの入力として使用されるデータを混乱させたり、サービス拒否攻撃でオラクル自体を侵害したり、脆弱性を利用してオラクルが送信しようとしているデータを知ることができます。 
5. Exploiting the Underlying Blockchain: it is possible for well-resourced attackers to take over the blockchain underlying a stablecoin implementation. Attackers might do this by controlling a majority of the mining hardware used in a proof-of-work consensus algorithm or stake a majority of funds in a proof-of-stake system. This is unlikely for large blockchain systems given the size of the community that maintains them.  5. 基盤となるブロックチェーンの悪用:十分な資金を持つ攻撃者が ステーブルコインの実装の基盤となるブロックチェーンを乗っ取ることは可能である。攻撃者は、プルーフ・オブ・ワークのコンセンサス・アルゴリズムで使用されるマイニング・ハードウェアの過半数を支配したり、プルーフ・オブ・ステーク・システムで資金の過半数を賭けたりすることでこれを行うかもしれない。大規模なブロックチェーンシステムでは、それを維持するコミュニティの規模を考えると、このようなことは考えにくい。 

| | Comments (0)

2023.09.07

EU 欧州保険・企業年金監督局 (EIOPA) サイバーリスクに関する保険ストレステストの方法論的原則に関する文書 (2023.07.11)

こんにちは、丸山満彦です。

欧州保険・企業年金監督局 (European Insurance and Occupational Pensions Authority; EIOPA) サイバーリスクに関する保険ストレステストの方法論的原則に関するペーパ を2023.07.11に公表していましたね。。。

保険の基本的な知識がないので、よくわからない部分もあるのですが、興味深い文書だと思います。。。

 

European Insurance and Occupational Pensions Authority; EIOPA

・2023.07.11 EIOPA publishes paper on methodological principles of insurance stress testing of cyber risks

EIOPA publishes paper on methodological principles of insurance stress testing of cyber risks EIOPA、サイバーリスクに関する保険ストレステストの方法論的原則に関するペーパーを公表
The European Insurance and Occupational Pensions Authority (EIOPA) published today its fourth paper in a series of papers on methodological principles of insurance stress testing. The paper focuses on the cyber risk component, and it is a further step in enhancing EIOPA’s bottom-up insurance stress testing framework. 欧州保険・職業年金機構(EIOPA)は本日、保険ストレステストの方法論的原則に関する一連のペーパーの4本目となるペーパーを公表した。このペーパーはサイバーリスクの要素に焦点を当てており、EIOPAのボトムアップの保険ストレステストの枠組みを強化するためのさらなる一歩である。
The aim of the paper is to set the ground for an assessment of insurers’ financial resilience under severe but plausible cyber incident scenarios. The methodological principles cover insurers’ own cyber resilience and the vulnerabilities related to cyber underwriting risk. Overall, the principles should help in the design phase of future insurance stress tests with focus on cyber risks. Operational resilience testing, as required under the Digital Operational Resilience Act (DORA), is not in the scope of the current paper. 本稿の目的は、深刻ではあるが、もっともらしいサイバーインシデント・シナリオの下で保険者の財務レジリエンスを評価するための基礎を確立することである。方法論の原則は、保険会社自身のサイバー・レジリエンスとサイバー保険引受リスクに関連する脆弱性をカバーしている。全体として、この原則はサイバー・リスクに焦点を当てた将来の保険ストレステストの設計段階で役立つはずである。デジタル・オペレーショナル・レジリエンス法(DORA)で義務付けられているオペレーショナル・レジリエンス・テストは、今回の論文の範囲には含まれていない。
The principles are built on relevant and still evolving regulation and supervisory experience in this area. Hence, the proposed framework might evolve in the future to reflect developments in the assessment of cyber risks at European and global level. 本原則は、この分野における関連し、かつ現在も発展途上にある規制と監督上の経験に基づき構築されている。したがって、提案されたフレームワークは、欧州および世界レベルでのサイバーリスクのアセスメントの進展を反映し、将来的に進化する可能性がある。
The paper also took into account the feedback provided by stakeholders during the public consultation. また、本ペーパーは、パブリックコンサルテーションにおいて関係者から提供されたフィードバックも考慮に入れている。
Background 背景
In 2019, EIOPA initiated a process to improve its methodology for bottom-up stress testing. The first paper of the series set out the methodological principles of insurance stress testing while the second paper focused specifically on methodological principles that can be used to design exercises assessing insurers’ vulnerability to liquidity shocks. The third paper outlined the methodological principles for stress testing of climate change risk. 2019年、EIOPAはボトムアップストレステストの手法を改善するプロセスを開始した。このシリーズの最初のペーパーは、保険ストレステストの方法論的原則を示したものであり、2番目のペーパーは、流動性ショックに対する保険者の脆弱性を評価するエクササイズを設計するために使用できる方法論的原則に特に焦点を当てたものであった。第3 のペーパーでは、気候変動リスクのストレステストの方法論的原則について概説した。

 

 

・2023.07.11 Methodological principles of insurance stress testing - cyber component

Methodological principles of insurance stress testing - cyber component 保険ストレステストの方法論的原則 - サイバーコンポーネント
Description 説明

This paper aims to set the ground for an assessment of insurers’ resilience under severe but plausible cyber incident scenarios, focusing mostly on the financial consequences of such scenarios. It elaborates on two main aspects:

本稿の目的は、厳しくももっともらしいサイバーインシデント・シナリオの下での保険会社のレジリエンスを評価するための基盤を構築することであり、主にそのようなシナリオがもたらす財務的影響に焦点を当てる。本稿では、主に2 つの側面について詳しく説明する:
Cyber resilience, intended as the capability of an insurance undertaking to sustain the financial effect of an adverse cyber-event. The economic impacts should be informed by more operational oriented data on a firm’s capability to restore its operations at a sufficient level and in a time horizon which do not generate potential systemic effects on the financial sector and eventually on the real economy; サイバー・レジリエンスとは、保険事業者が不利なサイバー事象による財務的影響を維持する能力である。経済的影響は、金融部門、ひいては実体経済にシステミックな影響を及ぼさないような十分な水準と時間軸で業務を復旧させる会社の能力に関する、より業務指向のデータによって知らされるべきである;
Cyber underwriting risk, intended as the capability of an insurance undertaking to sustain by a capital and solvency perspective the financial impact of the materialization of an extreme but plausible adverse cyber scenario impacting the insurance coverages contained in the liability portfolios. サイバー保険引受リスクとは、保険会社が資本と支払能力の観点から、賠償責任ポートフォリオに含まれる保険カバーに影響を与える、極端だがもっともらしい不利なサイバーシナリオの実現による財務的影響を維持する能力を意味する。
The purpose of the paper is two-fold. Firstly, it sets the stage for a discussion on the assessment of the exposure of insurers towards cyber risk. Secondly, it lays down the approaches to design and operationalise a cyber risk assessment in the context of the EIOPA bottom-up stress testing framework. The paper benefits from the engagement with stakeholders during a public consultation that took place between November 2022 and February 2023. 本稿の目的は2つある。第一に、サイバーリスクに対する保険会社のエクスポージャーのアセスメントに関する議論の舞台を整えることである。第二に、EIOPAのボトムアップストレステストフレームワークの文脈におけるサイバーリスクアセスメントを設計し、運用するためのアプローチを示している。本ペーパーは、2022年11月から2023年2月にかけて実施されたパブリックコンサルテーションにおける利害関係者とのエンゲージメントから得られたものである。

 

・[PDF]

20230907-65107

・[DOCX] 仮訳

 

目次...

1  Introduction 1 はじめに
2  Cyber risk for insurers 2 保険会社のサイバーリスク
2.1  Cyber risk: main concepts 2.1 サイバーリスク:主な概念
2.2  Cyber resilience: insurers as direct targets of cyber attacks 2.2 サイバー・レジリエンス:サイバー攻撃の直接の標的としての保険会社
2.2.1  Motivation of cyber attacks against insurers 2.2.1 保険会社に対するサイバー攻撃の動機
2.2.2  Perpetrators of cyber attacks against insurers 2.2.2 保険会社に対するサイバー攻撃の加害者
2.2.3  Types of cyber attacks against insurers 2.2.3 保険会社に対するサイバー攻撃の種類
2.2.4  Impact of cyber attacks against insurers 2.2.4 保険会社に対するサイバー攻撃の影響
2.3  Cyber underwriting: insurers exposed through underwritten products 2.3 サイバー保険引受保険会社は引受商品を通じてリスクにさらされる
2.3.1  Cyber insurance market 2.3.1 サイバー保険市場
2.3.2  Affirmative cyber 2.3.2 明示的サイバー
2.3.3  Silent cyber 2.3.3 黙示的サイバー
2.3.4  Accumulation risk 2.3.4 蓄積リスク
3  Key assumptions 3 主要前提
4  Scope 4 スコープ
4.1  Criteria 4.1 基準
5  Scenarios 5 シナリオ
5.1  Scenario selection 5.1 シナリオ選択
5.2  Scenario narratives and specifications 5.2 シナリオシナリオと仕様
5.2.1  Data Center/Infrastructure Damage (cloud outage) 5.2.1 データセンター/インフラ被害(クラウド停止)
5.2.2  Ransomware 5.2.2 ランサムウェア
5.2.3  Denial of Service (DoS) 5.2.3 サービス拒否
5.2.4  Data Breach 5.2.4 データ漏洩
5.2.5  Power outage 5.2.5 停電
5.3  Scenarios not retained for the purpose of this paper 5.3 本稿の目的のために保持していないシナリオ
6  Cyber underwriting: shocks, specifications and metrics 6 サイバー・アンダーライティングショック、スペック、指標
6.1  General guidance 6.1 一般指導
6.2  Shocks 6.2 ショック
6.3  Metrics 6.3 測定基準
6.4  Examples of applications 6.4 応用例
6.4.1  Ransomware 6.4.1 ランサムウェア
6.4.2  Cloud outage 6.4.2 クラウド停止
6.4.3  Power Outage 6.4.3 停電
6.5  Silent cyber: additional guidance 6.5 黙示的サイバー:追加ガイダンス
6.6  Data elements 6.6 データ要素
7  Cyber resilience: shocks, specifications and metrics 7 サイバー・レジリエンス:ショック、仕様、測定基準
7.1  General guidance 7.1 一般指導
7.2  Shocks 7.2 ショック
7.3  Metrics 7.3 測定基準
7.4  Examples of applications 7.4 応用例
7.4.1  Cloud outage 7.4.1 クラウド停止
7.4.2  Ransomware 7.4.2 ランサムウェア
7.4.3  Denial of Service (DoS) 7.4.3 サービス拒否
7.4.4  Data breach 7.4.4 データ漏洩
7.4.5  Power outage 7.4.5 停電
7.5  Data elements 7.5 データ・エレメント
8  Communication of results 8 結果の伝達
9  Annexes 9 附属書
9.1  ANNEX: Glossary of cyber risk terms 9.1 附属書:サイバーリスク用語集
9.2  ANNEX: MITRE ATT&CK 9.2 附属書:MITREアタック 
9.3  ANNEX: Cyber insurance coverages 9.3 附属書:サイバー保険の補償内容 
9.4  ANNEX: Example of data templates for cyber underwriting 9.4 附属書:サイバー保険引受のためのデータ・テンプレートの例
9.4.1  Example template for impact of cyber scenarios per product 9.4.1 製品ごとのサイバーシナリオの影響に関するテンプレートの例
9.4.2  Example template for impact of cyber scenarios per economic sector 9.4.2 経済分野ごとのサイバーシナリオの影響に関するテンプレートの例
9.4.3  Example template for accumulation exposure cyber insurance per IT service provider 9.4.3 ITサービス・プロバイダーごとの累積エクスポージャー・サイバー保険のテンプレート例

 

関連

ニッセイ基礎研究所

・2023.09.01 サイバーリスクへの保険会社の対応(欧州)-EIOPAのレポートの公表

・[PDF] サイバーリスクへの保険会社の対応(欧州)

 

Munichi Re

サイバー保険:リスクと動向 2021

 

 ・サイバーリスク

Munich Re Global Cyber Risk and Insurance Survey 2022

・[PDF]

20230907-94848

 

 

| | Comments (0)

より以前の記事一覧