危機管理 / 事業継続

2025.05.18

欧州 ENISA サイバー・ストレステストのためのハンドブック (2025.05.15)

こんにちは、丸山満彦です。

ENISAが、サイバー・ストレステストのためのハンドブックを公表していますね...

EUでは、サイバーレジリエンス関係でいえば、NIS2指令により、重要インフラに対する包括的(水平的)な規制がかかっていることに加え、金融セクターに対するDORAのようなセクター毎の規制の2階建ての規制が特徴ですね。。。

このような背景もあって、ENISAがサイバーレジリエンス強化のためサイバー・ストレステストのハンドブックを作成し、公表していますね...

 

ストレステストは金融機関では10年以上前から行われていると思います。ストレステストは、極端な変動等のストレスが生じた場合、個別の組織、業界全体等がそのストレスに耐えられるかを確認するための演習という感じですかね...

例えば、リーマンショックのような大規模な株価の下落とそれに続く景気後退や、広域大規模災害、世界的なパンデミックと景気後退が同時に生じた場合に、個別の金融機関、国の金融システム全体がもつか?ということを個別企業ごとに、あるいは国として、演習を行うというかんじだと思います。

それを、サイバー起因のストレスが生じた場合に適用しようというのが、サイバー・ストレステストという感じでしょうかね...

この文書では、次のように説明していますね...

cyber stress test サイバー・ストレステスト
a cyber stress test is a targeted assessment of the resilience of individual entities and their ability to withstand and recover from significant cybersecurity incidents, ensuring the provision of critical services, in different risk scenarios.   サイバー・ストレステストは、個々の事業体のレジリエンスと、さまざまなリスクシナリオにおいて、重要なサービスの提供を確保しつつ、重大なサイバーセキュリティインシデントに耐え、そこから回復する能力に関する的を絞ったアセスメントである。

金融機関や一部の重要インフラ業界においては、すでに実施がされているかもしれませんが、他の業界、事業体において、実施する際の参考になりそうですね...

 

ENISA

・2025.05.15 Handbook for Cyber Stress Tests

20250518-62110

・[DOCX][PDF] 仮訳

 

 

目次...

1. INTRODUCTION 1. 序論
1.1 SCOPE AND TARGET AUDIENCE 1.1 スコープと対象読者
1.2 POLICY CONTEXT 1.2 政策の背景
2. STRESS TESTING FOR CYBERSECURITY AND RESILIENCE 2. サイバーセキュリティとレジリエンスのためのストレステスト
2.1 DEFINING CYBER STRESS TESTS 2.1 サイバー・ストレステストの定義
2.2 CYBER STRESS TESTS AS PART OF THE SUPERVISION TOOLKIT 2.2 監督ツールキットの一部としてのサイバー・ストレステスト
3. STEP-BY-STEP GUIDE FOR CYBER STRESS TESTING 3. サイバー・ストレステストのためのステップバイステップ・ガイド
4. NATIONAL, REGIONAL AND UNION CYBER STRESS TESTS 4. 国、地域、連合のサイバー・ストレステスト
5. CONCLUSIONS 5. 結論
ANNEX A: HEALTH SECTOR EXAMPLE 附属書A:医療セクターの例
ANNEX B: CASE STUDIES – FINANCE AND ENERGY 附属書B:ケーススタディ-金融とエネルギー
FINANCIAL SECTOR – ECB’S 2024 CYBER RESILIENCE STRESS TEST 金融セクター - 欧州中央銀行(ECB)の2024年サイバーレジリエンス・ストレス・テスト
ENERGY SECTOR – 2024 HYBRID THREAT STRESS TEST エネルギーセクター - 2024年ハイブリッド脅威ストレステスト
REFERENCES 参考文献

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー
Stress tests became well-known in the wake of the global financial crisis of 2007–2009, when banking regulators, under the Basel Committee on Banking Supervision, wanted to supervise the asset portfolios of banks more closely and analyse if they were sufficiently strong to withstand financial shock scenarios.  ストレステストが有名になったのは、2007年から2009年にかけての世界的な金融危機の後である。バーゼル銀行監督委員会の下、銀行規制当局が銀行の資産ポートフォリオをより綿密に監督し、金融ショックシナリオに耐えるだけの十分な強度があるかどうかを分析しようと考えたからである。
Stress tests have been recently used to test cybersecurity, offering a new, lightweight and targeted method for assessing cybersecurity and resilience. For example, in 2022 the Bank of England did a cyber stress test of retail payment services in the United Kingdom and, in 2024, the European Central Bank (ECB) carried out a large cyber resilience stress test of EU banks. Last year the European Commission supported the EU Member States in conducting an EU coordinated stress test of the resilience of the EU’s energy sector focusing on physical threats in scope of the Critical Entities Resilience (CER) Directive.  ストレステストは最近、サイバーセキュリティのテストに利用されるようになり、サイバーセキュリティとレジリエンスを評価するための軽量で的を絞った新しい手法を提供している。例えば、2022年にはイングランド銀行が英国のリテール決済サービスのサイバー・ストレステストを実施し、2024年には欧州中央銀行(ECB)がEUの銀行の大規模なサイバーレジリエンスストレステストを実施した。昨年、欧州委員会はEU加盟国を支援し、重要事業体レジリエンス(CER)指令の範囲内で、物理的脅威に焦点を当てたEUのエネルギー部門のレジリエンスに関するEU協調ストレステストを実施した。
In this handbook, we define a cyber stress test as ‘a targeted assessment of the resilience of individual organisations and their ability to withstand and recover from significant cybersecurity incidents, ensuring the provision of critical services, in different risk scenarios.’ Stress tests focus on resilience, use resilience metrics and can be used to test both preparedness measures and responsive recovery measures.  本ハンドブックでは、サイバー・ストレステストを「個々の組織のレジリエンスと、さまざまなリスクシナリオにおいて、重要なサービスの提供を確保しつつ、重大なサイバーセキュリティインシデントに耐え、そこから回復する能力を対象としたアセスメント」と定義している。ストレステストはレジリエンスに焦点を当て、レジリエンスの評価指標を使用し、準備対策と対 応回復対策の両方をテストするために使用できる。
This handbook contains a simple, five step guide to cyber stress testing (see illustration):  本ハンドブックには、サイバー・ストレステストの簡単な5ステップガイドが含まれている(図参照):
1. defining the test scope and objectives, engaging with stakeholders;  1. テスト範囲と目的を定義し、利害関係者と関わる
2. designing the test, choosing the methodology, refining the scenarios;  2. テストの設計、手法の選択、シナリオの洗練
3. execution of the cyber stress test;  3. 実施
4. analysing results and identifying gaps;  4. 結果を分析し、ギャップを特定
5. following up on gaps and issues identified in the stress test.  5. ストレステストで特定されたギャップや問題をフォローアップする。
We also apply this step-by-step guide to a practical example, explaining how a cyber stress test could be done in the health sector. We also explain how cyber stress tests can be carried out at the national, regional and EU levels.  また、このステップバイステップのガイドを実際の例に当てはめ、医療セクタ ーでどのようにサイバー・ストレステストを実施できるかを説明する。また、国、地域、EUレベルでどのようにサイバー・ストレステストを実施できるかも説明する。
For authorities, cyber stress tests can be a good way to start a dialogue with the sector, about both strategic and systemic risks, as well as more technical issues. Gaps revealed by stress tests can be discussed openly in collaborative and voluntary settings, but can also be followed up in a stricter supervision context.  監督機関にとって、サイバー・ストレステストは、より技術的な問題だけでなく、戦略的リスクとシステミックリスクの両方について、セクターとの対話を開始する良い方法となり得る。ストレステストによって明らかになったギャップは、協調的かつ自主的な場においてオープンに議論することができるが、より厳格な監督の状況においてもフォローアップすることができる。
Considering the current EU policy context – with the European Union focusing more on preparedness and resilience, and with the transposition of the NIS2 Directive  concluding – cyber stress tests can become an important new tool in the toolkit of the NIS authorities in the coming years. At ENISA, we look forward to supporting national authorities and agencies, at the national and EU levels, with carrying out national-, regional- and EU-level cyber stress tests.  EUが準備態勢とレジリエンスにより重点を置き、NIS2指令(  )の移管が完了しつつある現在のEUの政策状況を考慮すると、サイバー・ストレステストは今後数年間、NIS当局のツールキットにおける重要な新たなツールとなる可能性がある。ENISAでは、国レベル、地域レベル、EUレベルのサイバー・ストレステストの実施において、国およびEUレベルの監督機関や機関を支援することを楽しみにしている。

 

1_20250518063401

 


 

参考文献は役立ちそうなので...

  1. ストレステスト・ベストプラクティス:https://www.hvst.com/posts/stresstesting-best-practices-X7QTObdl
  2. イングランド銀行、2024年英国銀行システムのストレステストに対するイングランド銀行のアプローチ。https://www.bankofengland.co.uk/stress-testing/2024/boes-approach-tostress-testing-the-uk-banking-system

  3. バーゼル銀行監督委員会、2018年。サイバーレジリエンス:実践の範囲。https://www.bis.org/bcbs/qis/biiiimplmoninstr_oct18.pdf

  4. 連邦準備制度理事会、2021 年。ドッド・フランク法ストレステスト2021:Supervisory Stress Test Methodology. https://www.federalreserve.gov/publications/files/2021-april-supervisory-stress-testpdf

  5. 中央計画局、2020年オランダ中小企業のストレステスト。https://www.cpb.nl/sites/default/files/omnidownload/CPB-Background-Document-June2020-Astress-test-of-Dutch-pdf

  6. サイバーセキュリティ・インフラセキュリティ庁(CISA), 2024.インフラレジリエンス計画枠組み(IRPF) https://www.cisa.gov/resourcestools/resources/infrastructure-resilience-planning-framework-irpf

  7. デンマーク金融監督庁、2024年サイバー・ストレステストは金融セクターのオペレーショナル・レジリエンスを強化する。https://www.dfsa.dk/news/2024/nov/cyber-stress-testing

  8. 国防総省、2018年。サイバーセキュリティ試験評価ガイドブック。https://www.dau.edu/sites/default/files/Migrated/CopDocuments/Cybersecurity-Test-and-Evaluation-Guidebook-Version2-change-1.pdf

  9. ESMA - 欧州証券市場庁、2017年。Methodological Framework - 2017 EU-Wide CCP Stress Test Exercise. https://www.esma.europa.eu/document/methodological-framework-2017-ccp-stress-testexercise

  10. Esposito, S., Stojadinovic, B., Babic, A., Dolsek, M., Iqbal, S., Selva, J., Broccardo, M., Mignan, A., Giardini, D., 2018.A Risk-Based Multi-Level Methodology to Stress Test Critical Infrastructure Systems. https://www.earth-org/server/api/core/bitstreams/b5ca3c77-578d-4a2d-a70f-030765db93fb/content

  11. 欧州銀行監督機構、2020年。2023 EU 全体のストレステスト。https://www.eba.europa.eu/risk-and-data-analysis/risk-analysis/eu-wide-stress-testing

  12. 欧州中央銀行(ECB)、2024年。「ECB to Stress Tests Banks' Ability to Recover from Cyberattack" - プレスリリース.https://www.bankingsupervision.europa.eu/press/pr/date/2024/html/ssm.pr240103~a26e1930 。 ja.

  13. 欧州中央銀行(ECB)、2023年。2023年ユーロ圏銀行のストレステスト-最終結果。https://www.bankingsupervision.europa.eu/ecb/pub/pdf/ssm.Report_2023_Stress_Test~96bb5 en. 

  14. 欧州中央銀行(ECB)、2023年。Supervisory Review and Evaluation Process (SREP) available at: https://www.bankingsupervision.europa.eu/banking/srep/2023/html/ssm.srep202302_supervis ja.

  15. 欧州中央銀行(ECB)、2021年。コロナウイルス(COVID-19)パンデミックにおけるユーロ圏銀行システムのマクロプルーデンス・ストレステスト。https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4112397

  16. 欧州中央銀行(ECB)、2021年。ECBエコノミーワイド気候ストレステスト。https://www.ecb.europa.eu/pub/pdf/other/castmanual201408en.pdf

  17. 欧州中央銀行、2018年TIBER-EU枠組み。https://www.ecb.europa.eu/pub/pdf/other/ecb.tiber_eu_framework.en.pdf

  18. 欧州中央銀行(ECB)、2015年。包括的アセスメントストレステストマニュアル。https://www.ecb.europa.eu/pub/pdf/other/castmanual201408en.pdf

  19. 欧州委員会共同研究センター(JRC), 2016.Harmonized approach to stress tests for critical infrastructural 重要インフラに対するストレステストのための調和されたアプローチ Available at: https://publications.jrc.ec.europa.eu/repository/bitstream/JRC104663/jrc104663_online_05_01

  20. 欧州委員会、2016年自然災害に対する重要インフラのストレステストの調和されたアプローチ https://op.europa.eu/en/publicationdetail/-/publication/aa009c90-d6ff-11e6-ad7c-01aa75ed71a1/language-en

  21. 欧州委員会、2014年重要インフラのレジリエンス改善のためのストレステストの開発:A Feasibility Analysis.https://ec.europa.eu/jrc/en/publication/developing-stress-tests-improve-resilience-criticalinfrastructures-feasibility-analysis

  22. 欧州保険・職業年金機構、2019年。2019 年職業年金ストレステスト。https://www.eiopa.europa.eu/browse/financialstability/occupational-pensions-stress-test/occupational-pensions-stress-test-2019_en

  23. 欧州原子力安全規制機関グループ(ENSREG)、2011年。EU「ストレステスト」仕様書。https://www.ensreg.eu/sites/default/files/EU 。 %20Stress %20Test %20Peer %20Review %20Final %20Report_0.

  24. 欧州システミック・リスク委員会、2025年。金融セクターにおけるサイバーレジリエンスのシナリオテストに関するハンドブック。

  25. 欧州連合(EU)、2019年。高度道路交通システムのセキュリティに関する規則(C-ITS)。https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=PI_COM %3AC %282019 %

  26. 欧州連合(EU)、2022年デジタルサービス法(DSA)。https://eurlex.europa.eu/legal-content/EN/TXT/?uri=CELEX

  27. 欧州連合(EU)、2019年サイバーセキュリティ法(CSA)。https://eurlex.europa.eu/EN/legal-content/summary/the-eu-cybersecurity-act.html

  28. 金融安定理事会、2020年。Cyber Incident Response and Recovery Toolkit. https://www.fsb.org/2020/10/cyber-incident-response-and-recovery-toolkit/

  29. 国際通貨基金(IMF)、2023年。マクロ・プルデンシャル・ストレス・テスト・モデル:A Survey. https://www.imf.org/en/Publications/WP/Issues/2023/08/25/Macro-PrudentialStress-Test-Models-A-Survey-537990

  30. KPMG、2024年。Cyber Resilience Stress Test (CRST). https://kpmg.com/xx/en/ourinsights/ecb-office/hacking-the-2024-ecb-cyber-stress-html

  31. Linkov, I., Trump, B. D., Trump, J., Pescaroli, G., Hynes, W., Mavrodieva, A., Panda, A., 2022.重要インフラのレジリエンス・ストレス・テスト。 https://www.sciencedirect.com/science/article/abs/pii/S2212420922005428?via %3Dihub
    https://doi.org/10.1016/j.ijdrr.2022.103323

  32. 国立標準技術研究所、2020年。情報システムと組織のためのセキュリティとプライバシー管理。https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

  33. Pendleton, J., Levite, A., Kolasky, B., 2024.クラウドの安心感:レジリエンスと信頼を強化する枠組み。https://carnegieendowment.org/research/2024/01/cloudreassurance-a-framework-to-enhance-resilience-and-trust?lang=en

  34. リスクビジネス、2024年備え続ける:ストレステストの世界の動向。https://riskbusiness.com/wp-content/uploads/2024/01/Stress-Testing-Report-Janpdf

  35. Seðlabanki Íslands, 2023.TIBER-IS 実施ガイド。https://www.sedlabanki.is/library/Skraarsafn/Fjarmalainnvidir/TIBER-IS-Implementationpdf

  36. パキスタン国立銀行、2020年ストレステストに関するガイドライン2020(FSD Circular No 01 of 2020の付属書A)。https://lsecentralbanking.medium.com/anintroduction-to-stress-testing-15d7e933dfc1

  37. Tan, M., Sung Jae, P., Hazarudin, H. A., 2021.LSE SU Central Banking Society - ストレステスト序論.

  38. De, R., Taft, J. P., Webster, M. S., Forrester, J. P., Bisanz, M., 2020.米国の銀行規制当局が発表した「オペレーショナル・レジリエンスのための健全な慣行」。https://lsecentralbanking.medium.com/anintroduction-to-stress-testing-15d7e933dfc1

  39. 投資協会、2021年シナリオテスト:シビアだが可能性はある。https://www.theia.org/node/32166

 

 

| | Comments (0)

2025.05.17

「重要電子計算機に対する不正な行為による被害の防止に関する法律」とその法律の施行に伴う関係法律の整備等に関する法律が成立しましたね...そして、クリアランス制度がはじまりましたね...(2025.05.16)

こんにちは、丸山満彦です。

そういえば、2025.05.16からセキュリティクリアランス制度がはじまりましたね...

 

そして、いわゆる能動的サイバー防御を認めることも含むサイバー対処能力強化法といわれる

  • 重要電子計算機に対する不正な行為による被害の防止に関する法律案
  • 重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案

が参議院で可決されましたね...

参議院の本会議は、押しボタンでの投票となりますので、個人別に賛成したかどうかがわかりますね...



個人的にはなかなか緻密に作られている法律と感じました...法案を書いた人はすごい...

 

 

参議院

まずは、サイバー対処能力強化法

・2025.05.16 議案情報

・・[PDF] 要旨

参議院で可決された法律案は

・・[PDF] 提出法案

20250517-54026

 

・・[PDF] 衆議院内閣委員会の修正案(可決)

20250517-54115

 

次に整備法案

・2025.05.16 議案情報

・・[PDF] 要旨

参議院で可決された法律案は

・・[PDF] 提出法案

 

サイバー能力対処法を理解した上でということになると思いますが、セットとなっている整備法についてもざっとその概要を

要旨...


一、警察官職務執行法を改正し、警察庁長官が指名する警察官は、サイバーセキュリティを害することその他情報技術を用いた不正な行為に用いられる電気通信等又はその疑いがある電気通信等を認めた場合であって、そのまま放置すれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるため緊急の必要があるときは、そのいとまがないと認める特段の事由がある場合を除いてサイバー通信情報監理委員会の承認を得た上で、当該電気通信等の送信元等である電子計算機の管理者その他関係者に対し、危害防止のため通常必要と認められる措置であって電気通信回線を介して行う電子計算機の動作に係るものをとることを命じ、又は自らその措置をとることができるものとする。

二、自衛隊法を改正し、内閣総理大臣は、重要電子計算機のうち一定のものに対する特定不正行為であって、本邦外にある者による特に高度に組織的かつ計画的な行為と認められるものが行われた場合において、これにより重大な支障が生ずるおそれが大きいと認められ、かつ、その発生を防止するために自衛隊が有する特別の技術又は情報が必要不可欠であること等により自衛隊が対処を行う特別の必要があると認めるときは、自衛隊の部隊等に当該特定不正行為による当該重要電子計算機への被害を防止するために必要な電子計算機の動作に係る措置であって電気通信回線を介して行うもの(通信防護措置)をとるべき旨を命ずることができるものとする。また、当該措置をとるべき旨を命ぜられた部隊等の職務の執行及び自衛隊又は日本国にあるアメリカ合衆国の軍隊が使用する一定の電子計算機をサイバーセキュリティを害することその他情報技術を用いた不正な行為から職務上警護する自衛官の職務の執行について、警察官職務執行法の必要な規定を準用するものとする。

三、サイバーセキュリティ基本法を改正し、サイバーセキュリティ戦略本部について、内閣総理大臣を本部長、全ての国務大臣を本部員とする組織に改めるとともに、その所掌事務について見直しを行う。

四、内閣法を改正し、内閣官房に内閣サイバー官一人を置く

五、この法律は、一部の規定を除き、重要電子計算機に対する不正な行為による被害の防止に関する法律の施行の日から施行する。


 

法案


第二一七回閣第五号

重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律案

(国家公務員法の一部改正)

第一条 国家公務員法(昭和二十二年法律第百二十号)の一部を次のように改正する。

第二条第三項第五号の四中「及び内閣情報官」を「、内閣情報官及び内閣サイバー官」に改める。

(警察官職務執行法の一部改正)

第二条 警察官職務執行法(昭和二十三年法律第百三十六号)の一部を次のように改正する。

第六条の次に次の一条を加える。

(サイバー危害防止措置執行官による措置)

第六条の二 警察庁長官は、警察庁又は都道府県警察の警察官のうちから、次項の規定による処置を適正にとるために必要な知識及び能力を有すると認められる警察官をサイバー危害防止措置執行官として指名するものとする。

2 サイバー危害防止措置執行官は、サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を害することその他情報技術を用いた不正な行為(以下この項において「情報技術利用不正行為」という。)に用いられる電気通信若しくはその疑いがある電気通信(以下この項及び第四項ただし書において「加害関係電気通信」という。)又は情報技術利用不正行為に用いられる電磁的記録(電子的方式、磁気的方式その他人の知覚によつては認識することができない方式で作られる記録であつて、電子計算機による情報処理の用に供されるものをいう。以下この項において同じ。)若しくはその疑いがある電磁的記録(以下この項において「加害関係電磁的記録」という。)を認めた場合であつて、そのまま放置すれば人の生命、身体又は財産に対する重大な危害が発生するおそれがあるため緊急の必要があるときは、加害関係電気通信の送信元若しくは送信先である電子計算機又は加害関係電磁的記録が記録された電子計算機(以下この条において「加害関係電子計算機」と総称する。)の管理者その他関係者に対し、加害関係電子計算機に記録されている加害関係電磁的記録の消去その他の危害防止のため通常必要と認められる措置であつて電気通信回線を介して行う加害関係電子計算機の動作に係るもの(適切に危害防止を図るために通常必要と認められる限度において、電気通信回線を介して当該加害関係電子計算機に接続して当該加害関係電子計算機に記録されたその動作に係る電磁的記録を確認することを含む。)をとることを命じ、又は自らその措置をとることができる。

3 加害関係電子計算機が国内に設置されていると認める相当な理由がない場合における当該加害関係電子計算機の動作に係る前項の規定による処置は、警察庁の警察官であるサイバー危害防止措置執行官に限り、とることができるものとする。この場合において、当該サイバー危害防止措置執行官は、あらかじめ、警察庁長官を通じて、外務大臣に協議しなければならない。

4 サイバー危害防止措置執行官は、第二項の規定による処置をとる場合には、あらかじめ、サイバー通信情報監理委員会の承認を得なければならない。ただし、当該加害関係電子計算機から重要電子計算機(重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼号)第二条第二項に規定する重要電子計算機をいう。)に対してその機能に重大な障害を生じさせ、又は生じさせるおそれのある加害関係電気通信が現に送信されている場合その他の当該危害防止のためにはサイバー通信情報監理委員会の承認を得るいとまがないと認める特段の事由がある場合は、この限りでない。

5 第三項に規定する場合における前項の承認の求めは、第三項の規定による協議の結果を添えて行わなければならない。

6 サイバー通信情報監理委員会は、第四項の承認の求めがあつた場合において、当該求めが第二項及び第三項の規定に照らして適切であると認めるときは、当該承認をするものとする。

7 サイバー危害防止措置執行官は、第二項の規定による処置をとるに際しては、みだりに関係者の正当な業務を妨害してはならない。

8 サイバー危害防止措置執行官は、第二項の規定による処置をとつたときは、当該加害関係電子計算機の管理者に同項に規定する措置をとることを命じた場合を除き、国家公安委員会規則で定めるところにより、遅滞なく、その旨を当該管理者に通知するものとする。ただし、当該加害関係電子計算機に関係する危害の防止に支障がある場合及び当該管理者の所在が不明である場合は、この限りでない。

9 サイバー危害防止措置執行官は、第四項ただし書の規定によりサイバー通信情報監理委員会の承認を得ないで第二項の規定による処置をとつたときは、速やかに、当該処置についてサイバー通信情報監理委員会に通知しなければならない。

10 前項の規定による通知を受けたサイバー通信情報監理委員会は、当該通知に係る処置が第二項、第三項及び第四項ただし書の規定に照らして適切に行われたかどうかを確認し、第二項の規定による処置に係る事務の適正な実施を確保するため必要があると認めるときは、当該確認の結果に基づき、当該通知を行つたサイバー危害防止措置執行官が所属する警察庁又は都道府県警察の警察庁長官又は警視総監若しくは道府県警察本部長(次項において「警察庁長官等」という。)に対し、必要な措置をとるべきことを勧告するものとする。

11 サイバー危害防止措置執行官は、この条の規定による措置の実施について、警察庁長官等(第三項に規定する場合にあつては、警察庁長官)の指揮を受けなければならない。

(特別職の職員の給与に関する法律の一部改正)

第三条 特別職の職員の給与に関する法律(昭和二十四年法律第二百五十二号)の一部を次のように改正する。

第一条第八号中「及び内閣情報官」を「、内閣情報官及び内閣サイバー官」に改め、同条第十四号の三の次に次の一号を加える。

十四の四 サイバー通信情報監理委員会の委員長及び常勤の委員 第一条第四十七号の三の次に次の一号を加える。

四十七の四 サイバー通信情報監理委員会の非常勤の委員 別表第一官職名の欄中「カジノ管理委員会委員長」を

「 カジノ管理委員会委員長

サイバー通信情報監理委員会委員長 」

に、「及び内閣情報官」を「、内閣情報官及び内閣サイバー官」に、「カジノ管理委員

会の常勤の委員」を

「 カジノ管理委員会の常勤の委員

サイバー通信情報監理委員会の常勤の委員 」 に改める。

(自衛隊法の一部改正)

第四条 自衛隊法(昭和二十九年法律第百六十五号)の一部を次のように改正する。

第二十二条第一項中「又は第八十一条の二第一項」を「、第八十一条の二第一項又は第八十一条の三第一項」に改め、「出動」の下に「その他の行動」を加える。

第八十一条の二の次に次の一条を加える。 (重要電子計算機に対する通信防護措置)

第八十一条の三 内閣総理大臣は、重要電子計算機に対する特定不正行為(重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼号)第二条第四項に規定する特定不正行為をいい、電気通信回線を介して行われるものに限る。以下この項及び第四項第一号において同じ。)であつて、本邦外にある者による特に高度に組織的かつ計画的な行為と認められるものが行われた場合において、次の各号のいずれにも該当することにより自衛隊が対処を行う特別の必要があると認めるときは、部隊等に当該特定不正行為(当該特定不正行為を行つた者による同種の特定不正行為を含む。第一号において同じ。)による当該重要電子計算機への被害を防止するために必要な電子計算機の動作に係る措置であつて電気通信回線を介して行うもの(以下この条及び第九十一条の三において「通信防護措置」という。)をとるべき旨を命ずることができる。

一 当該特定不正行為により重要電子計算機に特定重大支障(重要電子計算機の機能の停止又は低下であつて、当該機能の停止又は低下が生じた場合に、当該重要電子計算機に係る事務又は事業の安定的な遂行に容易に回復することができない支障が生じ、これによつて国家及び国民の安全を著しく損なう事態が生ずるものをいう。次号において同じ。)が生ずるおそれが大きいと認めること。

二 特定重大支障の発生を防止するために自衛隊が有する特別の技術又は情報が必要不可欠であること。

三 国家公安委員会からの要請又はその同意があること。

2 前項の「重要電子計算機」とは、重要電子計算機に対する不正な行為による被害の防止に関する法律第二条第二項に規定する重要電子計算機(同項第三号に該当するものにあつては、防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律(令和五年法律第五十四号)第二十七条第一項に規定する契約事業者である者が次に掲げる情報を取り扱うために使用するものに限る。)をいう。

一 日米相互防衛援助協定等に伴う秘密保護法(昭和二十九年法律第百六十六号)第一条第三項に規定する特別防衛秘密である情報

二 特定秘密の保護に関する法律(平成二十五年法律第百八号)第三条第一項に規定する特定秘密(同法第五条第四項の規定により防衛大臣が保有させ、又は同法第八条第一項の規定により防衛大臣が提供したものに限る。)である情報

三 防衛省が調達する装備品等の開発及び生産のための基盤の強化に関する法律第二十七条第一項に規定する装備品等秘密である情報

四 重要経済安保情報の保護及び活用に関する法律(令和六年法律第二十七号)第三条第一項に規定する重要経済安保情報(同法第十条第一項の規定により防衛大臣が提供し、又は同条第二項の規定により防衛大臣が保有させたものに限る。)である情報

3 第一項の規定により通信防護措置をとるべき旨を命ぜられた部隊等は、警察庁又は都道府県警察(次項第四号において「警察庁等」という。)と共同して当該通信防護措置を実施するものとする。

4 内閣総理大臣は、第一項の規定により部隊等に通信防護措置をとるべき旨を命ずる場合には、あらかじめ、防衛大臣と国家公安委員会との間で協議をさせた上で、次に掲げる事項を指定しなければならない。

一 通信防護措置により対処を行う特定不正行為及び防護の対象となる第二項に規定する重要電子計算機

二 通信防護措置として実施すべき措置に関する事項

三 通信防護措置の期間

四 警察庁等と共同して通信防護措置を実施する要領その他の警察庁等との連携に関する事項

五 その他必要な事項

5 内閣総理大臣は、前項第三号の期間内であつても、通信防護措置の必要がなくなつたと認める場合には、速やかに、部隊等に通信防護措置の終了を命じなければならない。

第八十六条中「第八十一条の二第一項」の下に「、第八十一条の三第一項」を加える。 第八十九条第一項中「)の規定は、」を「。第六条の二を除く。)の規定は」に改め、「ついて」の下に「、同法第六条の二第二項から第十一項までの規定は当該自衛官のうちこの項において準用する同条第二項の規定による処置を適正にとるために必要な能力を有する部隊等として防衛大臣が指定する部隊等に属するものの職務の執行について、それぞれ」を加え、「あるのは、」を「あるのは」に改め、「者」と」の下に「、同法第六条の二第三項中「処置は、警察庁の警察官であるサイバー危害防止措置執行官に限り、とることができるものとする。この場合において、当該」とあるのは「処置をとる」と、「警察庁長官」とあるのは「防衛大臣」と、同条第四項中「あらかじめ」とあるのは「あらかじめ、防衛大臣を通じて」と、同条第八項中「国家公安委員会規則」とあるのは「防衛省令」と、「その旨を」とあるのは「その旨を部隊等の長を通じて」と、同条第九項中「サイバー通信情報監理委員会に」とあるのは「防衛大臣を通じてサイバー通信情報監理委員会に」と、同条第十項中「当該通知を行つたサイバー危害防止措置執行官が所属する警察庁又は都道府県警察の警察庁長官又は警視総監若しくは道府県警察本部長(次項において「警察庁長官等」という。)」とあり、及び同条第十一項中「警察庁長官等(第三項に規定する場合にあつては、警察庁長官)」とあるのは「防衛大臣」と」を加える。

第九十一条の二の次に次の一条を加える。

(重要電子計算機に対する通信防護措置の際の権限)

第九十一条の三 警察官職務執行法第六条の二第二項から第十一項までの規定は、第八十一条の三第一項の規定により通信防護措置をとるべき旨を命ぜられた部隊等の自衛官の職務の執行について準用する。この場合において、同法第六条の二第二項中「サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を害することその他情報技術を用いた不正な行為(以下この項において「情報技術利用不正行為」という。)」とあるのは「重要電子計算機(自衛隊法(昭和二十九年法律第百六十五号)第八十一条の三第二項に規定する重要電子計算機をいう。第四項において同じ。)に対する特定不正行為(同条第一項に規定する特定不正行為をいう。以下この項において同じ。)」と、「情報技術利用不正行為に」とあるのは「当該特定不正行為に」と、同条第三項中「処置は、警察庁の警察官であるサイバー危害防止措置執行官に限り、とることができるものとする。この場合において、当該」とあるのは「処置をとる」と、「警察庁長官」とあるのは「防衛大臣」と、同条第四項中「あらかじめ」とあるのは「あらかじめ、防衛大臣を通じて」と、同項ただし書中「重要電子計算機(重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼号)第二条第二項に規定する重要電子計算機をいう。)」とあるのは「重要電子計算機」と、同条第八項中「国家公安委員会規則」とあるのは「防衛省令」と、「その旨を」とあるのは「その旨を部隊等の長を通じて」と、同条第九項中「サイバー通信情報監理委員会に」とあるのは「防衛大臣を通じてサイバー通信情報監理委員会に」と、同条第十項中「当該通知を行つたサイバー危害防止措置執行官が所属する警察庁又は都道府県警察の警察庁長官又は警視総監若しくは道府県警察本部長(次項において「警察庁長官等」という。)」とあり、及び同条第十一項中「警察庁長官等(第三項に規定する場合にあつては、警察庁長官)」とあるのは「防衛大臣」と読み替えるものとする。

第九十二条第二項中「及び第九十条第一項」を「(第六条の二を除く。)及び第九十条第一項」に、「規定は、」を「規定は」に、「海上保安庁法第十六条」を「同法第六条の二第二項から第十一項までの規定は当該自衛官のうちこの項において準用する同条第二項の規定による処置を適正にとるために必要な能力を有する部隊等として防衛大臣が指定する部隊等に属するものが前項の規定により公共の秩序の維持のため行う職務の執行について、海上保安庁法第十六条」に、「準用する。」を「、それぞれ準用する。」に改め、「者」と」の下に「、同法第六条の二第三項中「処置は、警察庁の警察官であるサイバー危害防止措置執行官に限り、とることができるものとする。この場合において、当該」とあるのは「処置をとる」と、「警察庁長官」とあるのは「防衛大臣」と、同条第四項中「あらかじめ」とあるのは「あらかじめ、防衛大臣を通じて」と、同条第八項中「国家公安委員会規則」とあるのは「防衛省令」と、「その旨を」とあるのは「その旨を部隊等の長を通じて」と、同条第九項中「サイバー通信情報監理委員会に」とあるのは「防衛大臣を通じてサイバー通信情報監理委員会に」と、同条第十項中「当該通知を行つたサイバー危害防止措置執行官が所属する警察庁又は都道府県警察の警察庁長官又は警視総監若しくは道府県警察本部長(次項において「警察庁長官等」という。)」とあり、及び同条第十一項中「警察庁長官等(第三項に規定する場合にあつては、警察庁長官)」とあるのは「防衛大臣」と」を加え、「この項において準用する警察官職務執行法第七条及びこの法律」を「自衛隊法(昭和二十九年法律第百六十五号)第九十二条第二項において準用する警察官職務執行法第七条及び自衛隊法」に、「この項において準用する海上保安庁法」を「同法第九十二条第二項において準用する」に改め、「、「海上保安官又は海上保安官補の職務」とあるのは「第七十六条第一項(第一号に係る部分に限る。)の規定により出動を命ぜられた自衛隊の自衛官が公共の秩序の維持のため行う職務」と」を削る。

第九十五条の四を第九十五条の五とし、第九十五条の三の次に次の一条を加える。

(自衛隊等が使用する特定電子計算機の警護のための権限)

第九十五条の四 警察官職務執行法第六条の二第二項から第十一項までの規定は、次に掲げる特定電子計算機(不正アクセス行為の禁止等に関する法律(平成十一年法律第百二十八号)第二条第一項に規定する特定電子計算機をいう。)をサイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を害することその他情報技術を用いた不正な行為から職務上警護する自衛官の職務の執行について準用する。この場合において、警察官職務執行法第六条の二第二項中「、サイバーセキュリティ」とあるのは「、自衛隊法(昭和二十九年法律第百六十五号)第九十五条の四第一項各号に掲げる特定電子計算機(第四項ただし書において「特定電子計算機」という。)に対するサイバーセキュリティ」と、「情報技術利用不正行為に」とあるのは「当該情報技術利用不正行為に」と、同条第三項中「処置は、警察庁の警察官であるサイバー危害防止措置執行官に限り、とることができるものとする。この場合において、当該」とあるのは「処置をとる」と、「警察庁長官」とあるのは「防衛大臣」と、同条第四項中「あらかじめ」とあるのは「あらかじめ、防衛大臣を通じて」と、同項ただし書中「に対し」とあるのは「である特定電子計算機に対し」と、同条第八項中「国家公安委員会規則」とあるのは「防衛省令」と、「その旨を」とあるのは「その旨を部隊等の長を通じて」と、同条第九項中「サイバー通信情報監理委員会に」とあるのは「防衛大臣を通じてサイバー通信情報監理委員会に」と、同条第十項中「当該通知を行つたサイバー危害防止措置執行官が所属する警察庁又は都道府県警察の警察庁長官又は警視総監若しくは道府県警察本部長(次項において「警察庁長官等」という。)」とあり、及び同条第十一項中「警察庁長官等(第三項に規定する場合にあつては、警察庁長官)」とあるのは「防衛大臣」と読み替えるものとする。

一 自衛隊が使用する特定電子計算機

二 日本国とアメリカ合衆国との間の相互協力及び安全保障条約に基づき日本国にあるアメリカ合衆国の軍隊が使用する特定電子計算機

2 前項第二号に掲げる特定電子計算機に対する同項の警護は、アメリカ合衆国の軍隊から要請があつた場合であつて、防衛大臣が必要と認めるときに限り、自衛官が行うものとする。

(情報処理の促進に関する法律の一部改正)

第五条 情報処理の促進に関する法律(昭和四十五年法律第九十号)の一部を次のように改正する。

第五十一条第二項中「第一号」の下に「又は第二号」を加える。

第六条 情報処理の促進に関する法律の一部を次のように改正する。

第五十一条第二項中「(第一号又は第二号に係る部分に限る。)」を「若しくは重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼ 号)第七十二条第一項若しくは第二項」に改める。

(国立研究開発法人情報通信研究機構法の一部改正)

第七条 国立研究開発法人情報通信研究機構法(平成十一年法律第百六十二号)の一部を次のように改正する。

第十四条に次の一項を加える。

3 機構は、前二項の業務のほか、サイバーセキュリティ基本法第三十一条第一項(第二号に係る部分に限る。)の規定による事務を行う。 (行政機関が行う政策の評価に関する法律の一部改正)

第八条 行政機関が行う政策の評価に関する法律(平成十三年法律第八十六号)の一部を次のように改正する。

第六条第一項中「カジノ管理委員会」の下に「、サイバー通信情報監理委員会」を加える。

(情報通信技術を活用した行政の推進等に関する法律の一部改正)

第九条 情報通信技術を活用した行政の推進等に関する法律(平成十四年法律第百五十一号)の一部を次のように改正する。

第二十七条本文中「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加え、同条ただし書中「カジノ管理委員会、」の下に「サイバー通信情報監理委員会、」を、「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加える。

(民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律の一部改正)

第十条 民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律(平成十六年法律第百四十九号)の一部を次のように改正する。

第九条本文中「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加え、同条ただし書中「カジノ管理委員会、」の下に「サイバー通信情報監理委員会、」を、「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加える。

(産業競争力強化法の一部改正)

第十一条 産業競争力強化法(平成二十五年法律第九十八号)の一部を次のように改正する。

第百四十七条第三項本文中「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加え、同項ただし書中「カジノ管理委員会、」の下に「サイバー通信情報監理委員会、」を、「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加える。

(サイバーセキュリティ基本法の一部改正)

第十二条 サイバーセキュリティ基本法(平成二十六年法律第百四号)の一部を次のように改正する。

第七条に次の一項を加える。

2 情報システム若しくはその一部を構成する電子計算機若しくはプログラム、情報通信ネットワーク又は電磁的記録媒体(以下この項において「情報システム等」という。)の供給者は、サイバーセキュリティに対する脅威により自らが供給した情報システム等に被害が生ずることを防ぐため、情報システム等の利用者がその安全性及び信頼性の確保のために講ずる措置に配慮した設計及び開発、適切な維持管理に必要な情報の継続的な提供その他の情報システム等の利用者がサイバーセキュリティの確保のために講ずる措置を支援する取組を行うよう努めるものとする。

第十七条第五項中「命を受けて内閣官房副長官補」を「内閣サイバー官」に改める。

第二十六条第一項中第五号を第六号とし、第四号を第五号とし、同項第三号中「又は」を「及び」に、「で発生した」を「におけるサイバーセキュリティの確保の状況の評価(情報システムに対する不正な活動であって情報通信ネットワーク又は電磁的記録媒体を通じて行われるものの監視及び分析並びに」に改め、「を含む。)」の下に「を含む。)」を加え、同号を同項第四号とし、同項第二号の次に次の一号を加える。

三 重要社会基盤事業者等におけるサイバーセキュリティの確保に関して国の行政機関が実施する施策の基準の作成(当該基準の作成のための重要社会基盤事業者等におけるサイバーセキュリティの確保の状況の調査を含む。)及び当該基準に基づく施策の評価その他の当該基準に基づく施策の実施の推進に関すること。

第二十六条中第三項を第四項とし、第二項の次に次の一項を加える。

3 本部は、次に掲げる場合には、あらかじめ、サイバーセキュリティ推進専門家会議の意見を聴かなければならない。

一 サイバーセキュリティ戦略の案を作成しようとするとき。

二 第一項第二号又は第三号の基準を作成しようとするとき。

三 第一項第二号又は第三号の評価について、その結果の取りまとめを行おうとするとき。

第二十八条第一項中「内閣官房長官」を「内閣総理大臣」に改め、同条第三項中「、第三号及び第五号」を「から第四号まで及び第六号」に改め、同条第五項を削る。

第三十条第二項中「次に掲げる者(第一号から第六号までに掲げる者にあっては、副本部長に充てられたものを除く。)」を「本部長及び副本部長以外の全ての国務大臣」に改め、同項各号を削り、同条の次に次の一条を加える。

(サイバーセキュリティ推進専門家会議)

第三十条の二 本部に、サイバーセキュリティ推進専門家会議(以下この条において「専門家会議」という。)を置く。

2 専門家会議は、次に掲げる事務をつかさどる。

一 第二十六条第三項の規定により本部長に意見を述べること。

二 前号に掲げるもののほか、サイバーセキュリティに関する施策で重要なものについて調査審議し、必要があると認めるときは、本部長に意見を述べること。

3 専門家会議の委員は、サイバーセキュリティに関し優れた識見を有する者のうちから、内閣総理大臣が任命する。

第三十一条第一項第一号中「独立行政法人及び指定法人におけるサイバーセキュリティに関する対策の基準に基づく監査」を「同号に規定する監査(独立行政法人及び指定法人に係るものに限る。)」に、「又は同項第三号」を「、同項第三号に掲げる事務(同号に規定する調査に係るものに限る。)又は同項第四号」に、「独立行政法人又は指定法人で発生したサイバーセキュリティに関する重大な事象の原因究明のための調査」を「同号に規定する調査(独立行政法人及び指定法人に係るものに限る。)」に改め、同項第二号中「第二十六条第一項第四号」を「第二十六条第一項第五号」に改め、同号を同項第三号とし、同項第一号の次に次の一号を加える。

二 第二十六条第一項第四号に掲げる事務(同号に規定する活動の監視及び分析に係るものに限る。) 国立研究開発法人情報通信研究機構、独立行政法人情報処理推進機構その他当該活動の監視及び分析について十分な技術的能力及び専門的な知識経験を有するとともに、当該事務を確実に実施することができるものとして政令で定める法人

第三十三条第二項中「前項」を「前二項」に、「同項」を「第一項」に改め、同項を同条第三項とし、同条第一項の次に次の一項を加える。

2 本部は、その所掌事務を遂行するため必要があると認めるときは、重要社会基盤事業者及びその組織する団体の代表者に対して、前項の協力を求めることができる。この場合において、当該求めを受けた者は、その求めに応じるよう努めるものとする。

第三十五条中「命を受けて内閣官房副長官補」を「内閣サイバー官」に改める。

第三十六条中「内閣法」の下に「(昭和二十二年法律第五号)」を加える。

第十三条 サイバーセキュリティ基本法の一部を次のように改正する。

目次中「第二十四条」を「第二十三条」に、「第二十五条」を「第二十四条」に改める。

第十二条第二項第三号中「の促進」を削る。

第十四条の見出し中「の促進」を削り、同条中「関し」の下に「、重要な設備に係る電子計算機の被害の防止のための情報の整理及び分析を行うとともに」を加える。

第十七条を削り、第十八条を第十七条とし、第十九条から第二十四条までを一条ずつ繰り上げ、第四章中第二十五条を第二十四条とする。

第二十六条第一項中第五号を削り、第六号を第五号とし、同条を第二十五条とし、第二十七条を第二十六条とする。

第二十八条第三項中「第二十六条第一項第二号から第四号まで及び第六号」を「第二十五条第一項第二号から第五号まで」に改め、同条を第二十七条とし、第二十九条を第二十八条とし、第三十条を第二十九条とする。

第三十条の二第二項第一号中「第二十六条第三項」を「第二十五条第三項」に改め、同条を第三十条とする。

第三十一条第一項第一号中「第二十六条第一項第二号」を「第二十五条第一項第二号」に改め、同項第二号中「第二十六条第一項第四号」を「第二十五条第一項第四号」に改め、同項第三号を削る。

第三十八条中「第十七条第四項又は」を削る。

(情報通信技術を利用する方法による国の歳入等の納付に関する法律の一部改正)

第十四条 情報通信技術を利用する方法による国の歳入等の納付に関する法律(令和四年法律第三十九号)の一部を次のように改正する。

第十四条本文中「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加え、同条ただし書中「カジノ管理委員会、」の下に「サイバー通信情報監理委員会、」を、「カジノ管理委員会規則」の下に「、サイバー通信情報監理委員会規則」を加える。

(内閣法の一部改正)

第十五条 内閣法(昭和二十二年法律第五号)の一部を次のように改正する。

第十五条の二第二項第四号中「及び内閣情報官」を「、内閣情報官及び内閣サイバー官」に改める。

第十六条第六項中「二人」を「三人」に改め、同条第七項中「者」の下に「及び内閣サイバー官」を加える。

第十七条第二項中「内閣情報官」の下に「、内閣サイバー官」を加える。

第十九条の次に次の一条を加える。

第十九条の二 内閣官房に、内閣サイバー官一人を置く。

内閣サイバー官は、内閣官房長官、内閣官房副長官及び内閣危機管理監を助け、次に掲げる事務を掌理する。

第十二条第二項第二号から第五号までに掲げる事務のうちサイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)の確保に関するもの(国家安全保障局、内閣広報官及び内閣情報官の所掌に属するものを除く。)

サイバーセキュリティ基本法第十七条第五項の規定により内閣官房において処理することとされたサイバーセキュリティ協議会の庶務

サイバーセキュリティ基本法第三十五条の規定により内閣官房において処理することとされたサイバーセキュリティ戦略本部に関する事務

第十五条第四項から第六項までの規定は、内閣サイバー官について準用する。

第十六条 内閣法の一部を次のように改正する。

第十九条の二第二項中第二号を削り、第三号を第二号とする。

(内閣府設置法の一部改正)

第十七条 内閣府設置法(平成十一年法律第八十九号)の一部を次のように改正する。

第三条第二項中「安全の確保」の下に「、国等の重要な電子計算機等に対する不正な行為による被害の防止のための措置の適正な実施を確保するための審査及び検査の遂行」を加える。

第四条第一項に次の一号を加える。

三十七 重要電子計算機(重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼号)第二条第二項に規定するものをいう。第三項第二十七号の七において同じ。)に対する特定不正行為(同条第四項に規定するものをいう。同号において同じ。)による被害の防止のための基本的な政策に関する事項 第四条第三項第二十七号の六の次に次の一号を加える。

二十七の七 重要電子計算機に対する不正な行為による被害の防止に関する法律に基づく重要電子計算機に対する特定不正行為による被害の防止に関する事務に関すること(他省及び金融庁の所掌に属するものを除く。)。

第四条第三項第五十九号の三の次に次の一号を加える。

五十九の四 重要電子計算機に対する不正な行為による被害の防止に関する法律第四十八条に規定する事務

第十六条第二項中「カジノ管理委員会」の下に「、サイバー通信情報監理委員会」を加える。

第六十四条の表カジノ管理委員会の項の次に次のように加える。


サイバー通信情報監理委員会


重要電子計算機に対する不正な行為による被害の防止に関する法律

 

附 則

(施行期日)

第一条 この法律は、重要電子計算機に対する不正な行為による被害の防止に関する法律(令和七年法律第▼▼▼号)の施行の日から施行する。ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。

一 附則第四条の規定 公布の日

二 第一条の規定、第三条中特別職の職員の給与に関する法律第一条第八号の改正規定及び同法別表第一の改正規定(「及び内閣情報官」を「、内閣情報官及び内閣サイバー官」に改める部分に限る。)、第五条、第七条、第十二条及び第十五条の規定並びに第十七条中内閣府設置法第四条第一項に一号を加える改正規定及び同条第三項第二十七号の六の次に一号を加える改正規定 重要電子計算機に対する不正な行為による被害の防止に関する法律附則第一条第二号に掲げる規定の施行の日

三 第三条の規定(前号に掲げる改正規定を除く。)、第八条から第十一条まで及び第十四条の規定並びに第十七条の規定(同号に掲げる改正規定を除く。) 重要電子計算機に対する不正な行為による被害の防止に関する法律附則第一条第三号に掲げる規定の施行の日

(サイバーセキュリティ基本法の一部改正に伴う経過措置)

第二条 この法律の施行の日(以下この条及び次条において「施行日」という。)前に第十三条の規定による改正前のサイバーセキュリティ基本法第十七条第一項のサイバーセキュリティ協議会の事務に従事していた者に係る当該事務に関して知り得た秘密を漏らし、又は盗用してはならない義務及び施行日前に同法第三十一条第一項第三号に掲げる事務の委託を受けた法人の役員又は職員であった者に係る当該委託に係る事務に関して知り得た秘密を漏らし、又は盗用してはならない義務については、施行日以後も、なお従前の例による。

(罰則の適用に関する経過措置)

第三条 施行日前にした行為及び前条の規定によりなお従前の例によることとされる場合における施行日以後にした行為に対する罰則の適用については、なお従前の例による。

(政令への委任)

第四条 前二条に定めるもののほか、この法律の施行に関し必要な経過措置(罰則に関する経過措置を含む。)は、政令で定める。

(デジタル庁設置法の一部改正)

第五条 デジタル庁設置法(令和三年法律第三十六号)の一部を次のように改正する。

第四条第一項第二号中「第二十六条第一項」を「第二十五条第一項」に改める。  

 

理 由

重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴い、重大な危害を防止するための一定の警察官又は自衛官による電子計算機の動作に係る措置に関する規定を整備するとともに、サイバーセキュリティ基本法その他の関係法律について所要の規定の整備等を行う必要がある。これが、この法律案を提出する理由である。

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

 

能動的サイバー防御・サイバー対処能力強化法関係...

・2025.02.08 内閣官房 サイバー対処能力強化法案及び同整備法案 (2025.02.07)

・2025.01.29 自民党 能動的サイバー防御の導入へ 関係会議が法案概要を了承 (2025.01.24)

 

・2024.12.28 内閣官房 内閣サイバー官(特別職、次官級)・国家サイバー統括室の新設と【内閣府】防災監(次官級)の新設(政府の災害対応の司令塔機能の抜本的強化)(2024.12.27)

 

・2024.12.02 内閣官房 サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29)

 

・2024.10.22 参議院常任委員会調査室・特別調査室 「能動的サイバー防御に係る制度構築の方向性と課題」

 

・2024.09.13 自民党 サイバー安全保障分野での対応能力向上に向けた提言 (2024.09.11)

 

・2024.08.29 内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理 (2024.08.07)

・2024.07.13 防衛白書(2024年)

・2024.03.23 国立国会図書館 調査及び立法考査局 サイバーセキュリティの確保と通信の秘密の保護―この 20年の議論と能動的サイバー防御導入等に向けた課題―

・2023.09.23 サイバー領域への軍事的適応の課題:オランダの事例研究 (2023.07.13)

・2023.07.28 防衛白書(2023年) (+ 能動的サイバー防衛...)

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2023.06.17 経団連 サイバー安全保障に関する意見交換会を開催

・2023.05.24 米国 国防総合大学 「統合抑止力とサイバー空間 - 国益追求のためのサイバー作戦の役割を探る論文選集」(2023.05.15)

・2023.04.03 米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.08.23 米国 サイバー司令部:クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

・2021.04.07 ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

 

 

クリアランス制度(経済安保情報活用及び保護法)

・2025.02.25 特定秘密の保護に関する法律と重要経済安保情報の保護及び活用に関する法律の比較...

・2025.02.06 内閣府 重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準 (2025.01.31)

・2024.05.11 日本でもセキュリティクリアランス制度が本格的に導入されることになりましたね...

・2024.02.28 内閣 重要経済安保情報の保護及び活用に関する法律案が閣議決定

・2024.02.20 経団連 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する提言 (2024.02.15)

・2024.01.30 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終取りまとめ (2024.01.19)

・2023.12.22 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第9回)

・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第7回)

・2023.08.27 参議院常任委員会調査室・特別調査室:セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.10.19 自民党 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~ (2022.10.04)

 

 

米国...

・2024.02.26 米国 GAO 国防総省インテリジェンス:プログラムの監督を強化しリスクを管理するために必要な行動

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2023.11.20 NIST 意見募集 IR8496 NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察

・2023.11.05 RAND研究所 多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証

・2023.07.24 Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

 

その他...

・2024.08.08 英国 政府のセキュリティ格付

・2024.07.30 オーストラリア会計検査院 (ANAO) 国防省によるマイクリアランス・システムの調達と導入 (2024.07.11)

 

 

| | Comments (0)

2025.05.14

英国 内閣府 アンバー・ブック:中央政府における危機管理 Ver.3(2025.04.28)

こんにちは、丸山満彦です。

英国政府の危機管理の指針である、Amber Bookが12振りに改訂されていますね...政府の危機管理体制の進展を踏まえて、構成と内容を大幅に変更したとのことです...

これはあくまでも英国の政治体制を踏まえたもので、イングランドにおける中央政府、地域政府、地方政府間の関係や、英国中央政府とスコットランド、ウェールズ、北アイルランドの地方分権政府との関係を踏まえた、役割と責任についての話でもあるので、状況が異なる日本にそのまま持ってくることはできないでしょうが、考え方など参考になる部分はあるとは思います。

 

 

UK Cabinet Office

・2025.04.28 Guidance The Amber Book - Managing Crisis in Central Government

 

エグゼクティブサマリー...

・[PDF] [HTMLThe Little Amber Book: Executive Summary 

 

本文

・[PDF] [HTMLThe Amber Book: Managing crisis in central government

20250514-55354

 

附属書

・[PDF] [HTML] The Amber Book: Appendices

 


 

エグゼクティブサマリー 目次...  
Introduction and purpose 序論と目的
UK’s emergency management system 英国の緊急事態管理システム
Amber Book governance アンバーブックのガバナンス
Amber Book roles and responsibilities アンバーブックの役割と責任
Lifecycle of a crisis 危機のライフサイクル
Organisational resilience 組織のレジリエンス
TRAFFORD Model TRAFFORDモデル
   
本文 目次…  
Revision history of the Amber Book: Managing crisis in central government アンバー・ブックの改訂履歴 中央政府における危機ガバナンス
Foreword まえがき
Chapter 1: Introduction 第1章 序論
Chapter 2: The UK’s emergency management system 第2章 英国の緊急事態管理システム
Chapter 3: Governance playbook 第3章 ガバナンス・プレイブック
Chapter 4: Roles and responsibilities 第4章 役割と責任
Chapter 5: Pre-crisis 第5章 危機前
Chapter 6: During the acute crisis 第6章 危機発生時
Chapter 7: Post-acute crisis 第7章 危機発生後
Chapter 8: Organisational resilience 第8章 組織のレジリエンス
   
附属書 目次…  
Appendix A: Resilience Cycle 附属書A:レジリエンス・サイクル
Appendix B: Overview of the Civil Contingencies Act 2004 附属書B:2004 年民間非常事態法の概要
Appendix C: Default COBR response assumptions 附属書C:デフォルトの COBR 対応の想定
Appendix D: TRAFFORD Model 附属書D:TRAFFORDモデル
Appendix E: Emergency management arrangements in England 附属書E:イングランドにおける緊急事態管理の取り決め
Appendix F: Emergency management arrangements in the devolved governments 附属書F:分権政府における緊急事態管理の取り決め
Appendix G Working with the devolved governments in crisis response 附属書G:危機対応における分権政府との協力
Appendix H: Arrangements in the Overseas Territories and Crown Dependencies 附属書H:海外領土および王室属領における取り決め
Glossary of terms 用語集
Bibliography 参考文献

 

Resilience Cycle

1_20250514062401

 

TRAFFORD Moedl

1_20250514060701

 

Tracking: The prior identification of emerging trends, risks and issues 追跡:新たなトレンド、リスク、問題の事前特定
Risk reduction: Intervention ahead of crisis to prevent or mitigate リスクの軽減:危機を未然に防ぎ、緩和する。
Activation: Timely and organised acceleration of effort to achieve a response tempo 活性化:対応テンポを達成するために、タイムリーかつ組織的に取り組みを加速させる。
Framing: The establishment of strategic objectives, crisis pathways and delivery models フレーミング:戦略目標、危機の道筋、提供モデルの確立
Facts: Data driven situational awareness and insight 事実:データによる状況認識と洞察
Operations: Maintenance of effective decision-making, resourcing and information flows 運用:効果的な意思決定、リソースの確保、情報の流れの保守
Response: The identification and implementation of policy and operational recovery routes 対応:政策および業務上の復旧ルートの特定と実施
Development: The transition back to BAU, or bespoke structures, and learning lessons 開発:BAU、または特注の構造への移行、および教訓の学習

 

 

中央政府と地方政府間の分担関係

1_20250514062801

 

 

Chapter 2: The UK’s emergency management system 第2章 英国の緊急事態管理システム Chapter 2 defines the underpinning principles and models of response which govern crisis response in the UK. 第2章では、英国の危機対応を統治する基本原則と対応モデルを定義している。
Chapter 3: Governance playbook 第3章 ガバナンス・プレイブック Chapter 3 sets out the primary governance structures within the Amber Book to co-ordinate the response to both acute and enduring crises, and support wider civil contingency activities. 第3章では、急迫した危機と永続的な危機の両方への対応を調整し、より広範な有事活動を支援するため の、アンバー・ブックにおける主要なガバナンス構造を示している。
Chapter 4: Roles and responsibilities 第4章 役割と責任 Chapter 4 sets out the core roles and responsibilities of an organisation’s ministers and officials within the central government response. 第4章は、中央政府の対応における組織の閣僚や役人の中核的な役割と責任を定めている。
Chapter 5: Pre-crisis 第5章 危機前 Chapter 5 details the phase prior to a crisis arising and central government’s activities for maintaining oversight of its risk profile, and the steps taken to prepare for, prevent and mitigate crises. 第5章では、危機が発生する前の段階と、中央政府のリスクプロファイルの監視を維持するための活動、および危機の準備、予防、緩和のためにとられた措置について詳述する。
Chapter 6: During the acute crisis 第6章 危機発生時 Chapter 6 outlines government’s arrangements and structures when responding to an acute crisis. 第6章では、急迫した危機に対応する際の政府の体制と仕組みについて概説している。
Chapter 7: Post-acute crisis 第7章 危機発生後 Chapter 7 outlines how UK government transitions from the response to an acute crisis to business-as-usual, enduring response, and/or recovery structures to oversee the next phase of crisis management. 第7章では、英国政府がどのように急性危機への対応から、通常の業務、永続的な対応、そして/または危機管理の次の段階を監督するための復旧体制へと移行していくのかについて概説している。
Chapter 8: Organisational resilience 第8章 組織のレジリエンス Chapter 8 details arrangements for maintaining the organisational resilience of COBR crisis management arrangements so that it is able to deliver as intended through uncertainty and disruption. 第8章は、COBR危機管理体制が不確実性や混乱を通じて意図したとおりの成果を上げられるよう、その組織的レジリエンスを維持するための取り決めについて詳述する。

 

1_20250514063601

 

 

 

 


 

2004年 民間緊急事態法

U.K. Legislation.govCivil Contingencies Act 2004

 

教訓管理(Lessons Management)...

・2024.09.30 Lessons Management Best Practice Guidance

 

共同ドクトリン:相互運用性の枠組み

・2024.04 Joint Doctrine: the interoperability framework 2024

 

危機管理コミュニケーション:運用モデル

・2023 Crisis Communications: Operating Model

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.05.12 英国 レジリエンスアカデミー 演習ベストプラクティス・ガイダンスと教訓管理ベストプラクティス・ガイダンス (2024.09.30)

 

| | Comments (0)

2025.05.12

英国 レジリエンスアカデミー 演習ベストプラクティス・ガイダンスと教訓管理ベストプラクティス・ガイダンス (2024.09.30)

こんにちは、丸山満彦です。

昨年の9月に英国政府のレジリエンスアカデミーが「演習のベストプラクティス・ガイダンス」とその附属書、「教訓管理ベストプラクティス・ガイダンス」とその附属書を公表していました(^^;;...

 

・[PDF] Exercising Best Practice Guidance

20250512-42404

 

これは2020年に公表された「地域レジリエンスフォーラムのための国家レジリエンス標準」の補完文書となるもののようです。このガイダンスは、英国政府の省庁、ALB(Arms-Length Bodies:独立行政法人)、分権行政機関、およびより広範なレジリエンス専門家が、それぞれのレジリエンス能力をテストする際の支援となるよう、演習における優れた先進的な実践方法を提供するものという位置付けですね...

2013年に公表されていた「緊急時の計画と準備:演習と訓練ガイダンス」に代わるもので、地域レジリエンスフォーラムのための国家レジリエンス標準(National Resilience Standard for Local Resilience Forums)No 8: 演習(Exercising)に沿ったものであり、これを強化するもので、LRFが一貫して優れた先進的な実践を特定し、その能力と準備態勢の全体的なレベルを自己保証するための個別基準ということのようです。

 

次に、「教訓管理ベストプラクティス・ガイダンス」。

・[PDF] Lessons Management Best Practice Guidance 

20250512-44823

こちらは、教訓管理をレジリエンス・フレームワークの3つの基本原則に位置づけるものということのようです。。。

振り返りの重要性を忘れがちな組織の方は、特に目を通した方が良いのではと思ったりします...

 

英国政府のためのガイダンスですが、おそらく民間企業でも参考になることが多いと思い、備忘録...

そして、サイバーレジリエンスの分野にも参考になることがあると思います...Read Teamingなどの記述もありますしね...

 

最初に関連しそうなものを...

 

2004年 民間緊急事態法

U.K. Legislation.govCivil Contingencies Act 2004

 

レジリエンスフレームワーク

・2022.12 [PDF] Resilience Framework

20250512-42747

 

地域レジリエンスフォーラムのための国家レジリエンス標準

・2020.08 [PDF] National Resilience Standards for Local Resilience Forums (LRFs) Version 3.0

20250512-42631

 

・国防省

・[PDF] 2021.06 Red Teaming Handbook Third Edition

20250512-54727

 

 

 

 


 

UK Resilience Academy

・2024.09.30 Exercising Best Practice Guidance

 

本文...

・・[HTML] Exercising Best Practice Guidance 

・・[PDF] Exercising Best Practice Guidance 

20250512-42404

 

Exercising Best Practice Guidance 演習ベストプラクティス・ガイダンス
This guidance provides good and leading practice in exercising to support UK Government departments, agencies, Arms-Length Bodies (ALBs), devolved administrations and wider resilience professionals in testing their resilience capabilities. このガイダンスは、英国政府の各省庁、機関、独立行政法人(ALB)、分権行政機関、および広くレジリエンス の専門家が、それぞれのレジリエンス能力をテストする際の支援となるよう、演習の優れた実践方法と 先導的な実践方法を提供するものである。
Introduction 序論
Preface 序文
Part One: Purpose and Principles of Exercising 第1部:演習の目的と原則
The Purpose of Exercising 演習の目的
Exercise Planning Fundamentals 演習計画の基礎
Exercise Planning: The Planning Cycle 演習計画: 計画サイクル
Part Two: Types of Exercises 第2部:演習の種類
Tabletop Exercises (TTX) 卓上演習(TTX)
Stress Test Exercising ストレステスト演習
Live play exercises 実演演習
Part Three: Evaluation 第3部:評価 はじめに 2022年に発行される: 評価
Evaluation 評価
Introduction 序論
Published in 2022, the Resilience Framework focuses on the foundational building blocks of resilience. The framework uses ‘resilience’ to refer to an ability to withstand or quickly recover from a difficult situation, but also to get ahead of those risks and tackle challenges before they manifest. It sets out the plan to 2030 to strengthen the systems and capabilities that underpin the UK’s resilience to all civil contingencies risks. Planning and preparation for risks cannot be considered reliable until they have been exercised and shown to be workable. This is why exercises play an essential role in strengthening resilience, enabling us to test and validate the structures, plans, procedures and skills required to deliver an effective response when needed[footnote 1]. Importantly, there must also be a system in place to learn from exercises, to evidence and understand areas of good practice, or identify areas for refinement and improvement. 2022年に発表されたレジリエンス・フレームワークは、レジリエンスの基礎となる構成要素に焦点を当て ている。この枠組みでは、「レジリエンス」とは、困難な状況に耐えたり、困難な状況から速やかに回復したりする能力を指すだけでなく、そのようなリスクに先回りして、課題が顕在化する前にそれに対処することも意味している。この枠組みは、あらゆる民間偶発リスクに対する英国のレジリエンスを支えるシステムと能力を強化するための2030年までの計画を定めている。リスクに対する計画と備えは、演習を行い、実行可能であることが示されない限り、信頼できるものとは言えない。このため、演習はレジリエンスを強化する上で不可欠な役割を果たし、必要なときに効果的な対応を行うために必要な体制、計画、手順、スキルをテストし、妥当性を確認することができる[脚注 1]。また、重要なことは、演習から学び、優れた事例を実証し、理解し、改善・改良すべき分野を特定するためのシステムが整備されていなければならないということである。
This highlights both the importance of the commitment to a reinvigorated National Exercising Programme (NEP), and of the many and varied exercises carried out within sectors and local settings, to test preparedness throughout the resilience system[footnote 2]. Exercising is a critical tool for building resilience, enhancing civil protection capabilities, and contributing to wider national strategic goals. The Cabinet Office, through the National Exercising Programme (NEP), directs and coordinates the delivery of coherent exercising activity to meet national resilience objectives.
このことは、国家演習プログラム(NEP)の再活性化に対するコミットメントと、レジリエンシー・システム全体を通じて準備態勢をテストするために、各部門や地域の環境の中で実施される多種多様な演習の重要性を浮き彫りにしている[脚注2]。演習は、レジリエンスを構築し、市民保護能力を高め、より広範な国家戦略目標に貢献するための重要な手段である。内閣府は、国家演習プログラム(NEP)を通じて、国家のレジリエンス目標を達成するための首尾一貫した演習活動の実施を指示・調整している。
This first publication of the Exercising Best Practice Guidance (2024) has been jointly developed by the Cabinet Office and its Emergency Planning College (EPC), primarily for all those working in the public sector on civil contingency risks and resilience. この最初の「演習ベストプラクティスガイダンス(2024年版)」は、内閣府とその緊急時計画カレッジ(EPC)が共同で作成したもので、主に公共部門で民間不測事態のリスクとレジリエンスに取り組むすべての人々を対象としている。
This includes: those with duties and responsibilities under the Civil Contingencies Act (2004) whether national, regional, devolved or local; Government Departments and Arm’s Length Bodies; Local Resilience Forum partners and agencies; and other resilience players such as the Voluntary and Community Sector (VCS). For the purpose of this guidance we define an exercise as a process to train for, assess, practice and improve performance in an organisation.’[footnote 3] This guidance is non-statutory and non-mandatory. It acknowledges that a range of existing exercise guidance is in use across Departments, Devolved Administrations and across the resilience community and it has been designed to complement it all. これには、国、地域、分権、地方を問わず、市民非常事態法(2004年)の下で義務と責任を負う者、政府省庁や独立行政法人(Arm's Length Bodies)、地域レジリエンス・フォーラムのパートナーや機関、ボランティア・コミュニティ・セクターなどのその他のレジリエンス関係者が含まれる。本ガイダンスの目的上、演習とは、組織のパフォーマンスを訓練、アセスメント、実践、改善するためのプロセスと定義する。このガイダンスは、既存のさまざまな演習ガイダンスが、各省庁、分権行政機関、そしてレジリエンスコミュニティ全体で使用されていることを認め、それらをすべて補完するために作成された。
To support that process this Exercising Best Practice Guidance has been split into three parts: そのプロセスを支援するため、この「演習ベストプラクティスガイダンス」は3部に分かれている:
Part 1 covers the purpose and principles of exercising. This includes the fundamentals of exercise planning, types of exercises and an overview of the planning cycle. It aims to support all aspects of exercising, from framing activity in the wider context of resilience strategy, through to scoping, planning, designing, delivering and evaluating high quality exercises. It provides a categorisation of the types of exercise to provide coherence and understanding across all stakeholders. 第1部では、演習の目的と原則を取り上げる。これには、演習計画の基本、演習の種類、計画サイクルの概要が含まれる。このガイダンスは、レジリエンス戦略のより広範な文脈における活動の枠組みから、質の高い演習のスコーピング、計画、設計、実施、評価に至るまで、演習のあらゆる側面を支援することを目的としている。また、すべての利害関係者に一貫性と理解を提供するために、演習の種類を分類している。
Part 2 details the ‘common to all’ aspects of a comprehensive and effective exercise planning process. This includes an overview of different types of exercises used in resilience building, and helpful templates and examples to support those engaged in exercise work. 第2部では、包括的で効果的な演習計画プロセスの「すべてに共通する」側面について詳述する。これには、レジリエンス構築に用いられるさまざまなタイプの演習の概要や、演習業務に携わる人々を支援するための有用なテンプレートや事例が含まれている。
Part 3 focuses on the importance of exercise evaluation. It includes applicable methodologies, techniques, and processes that can be used across exercise types, to deliver effective and appropriate evaluation of the exercise cycle. Further guidance and tools for effective lesson capture and identification and management can be found in the Lessons Management Best Practice Guidance 2024. 第3部では、演習評価の重要性に焦点を当てている。演習サイクルの効果的かつ適切な評価を行うために、演習の種類を問わず適用可能な方法論、技術、プロセスが含まれている。効果的な教訓の収集、特定、管理のためのさらなるガイダンスやツールは、「教訓管理ベストプラクティスガイダンス2024」に記載されている。
Combined, these areas will not only inform the quality of our exercising in practice, but also help to ensure that our planning and preparedness for the risks we face are continually reviewed and strengthened. これらの分野を組み合わせることで、実際の訓練の質を高めるだけでなく、直面するリスクに対する計画と備えを継続的に見直し、強化することができる。
Preface 序文
Purpose 目的
1. The purpose of the Exercising Best Practice Guidance is to provide a practical guide for individuals and teams who plan, prepare and deliver exercises in a civil contingency resilience setting. It is designed as a ‘hands on’ reference source for practitioners, and is not therefore intended to deliver an academic examination of the subject. 1. 演習のベストプラクティス・ガイダンスの目的は、民間の有事のレジリエンスの場で演習を計画、準備、 実施する個人やチームのための実践的なガイドを提供することである。このガイダンスは、実務者のための「実践的な」参考資料として作成されたものであり、このテーマについて学術的な検討を行うことを意図したものではない。
Context 背景
2. This Guidance is written to support the commitment in the Resilience Framework (PDF, 6MB) to reinvigorate the ‘National Exercising Programme (NEP) to test plans, structures and skills’. It aligns with and reinforces the outcome and the good practice statements in ‘National Resilience Standard for Local Resilience Forums No 8: Exercising’. 2. このガイダンスは、レジリエンス・フレームワーク(PDF, 6MB)にある、「計画、構造、スキルをテストするための全国演習プログラム(NEP)」を再活性化するという公約を支援するために書かれたものである。このガイダンスは、「地域レジリエンス・フォーラムのための国家レジリエンス標準No.8:演習」の成果およびグッドプラクティスに関する記述と整合し、これを強化するものである。
Scope 範囲
3. This Guidance focuses directly on enabling individuals and teams to plan, prepare and deliver exercises across the whole resilience landscape and through the resilience cycle. It directly supports the implementation of the NEP objective to ‘inform the future of high-quality resilience training.’ 3. このガイダンスは、個人やチームがレジリエンスの全体像とレジリエンス・サイクル全体を通じて演習を計画、準備、実施できるようにすることに直接焦点を当てている。このガイダンスは、「質の高いレジリエンス訓練の未来に情報を提供する」という NEP の目標の実施を直接支援するものである。
4. The first part of the guide seeks to establish a shared understanding of the approach to exercising resilience in a national risk context. It provides a baseline for those tasked with or responsible for integrating an exercise or programme of exercises into their organisation’s resilience activity. 4. このガイドの最初の部分は、国家的リスクの状況におけるレジリエンス演習のアプローチについての共通理解を確立することを目的としている。このガイドは、組織のレジリエンス活動に演習や演習プログラムを組み込むことを任務とする者、あるいはその責任を負う者に、基本的な考え方を提供するものである。
5. The second and third parts are aimed at practitioners who are tasked to plan, prepare and deliver specific types of exercising to meet the direction of the NEP, and in accordance with relevant standards (such as Local Resilience Forum (‘LRF’) National Standards). 5. 第 2 部と第 3 部は、NEP の方向性を満たし、関連する標準(ローカル・レジリエンス・フォーラム (LRF)の全国標準など)に従って、特定の種類の演習を計画、準備、実施することを任務とする実務者を対象としている。
Other Relevant Documents その他の関連文書
6. The Exercising Best Practice Guidance is linked with the Resilience Framework (PDF, 6MB), the Managing Lessons Best Practice Guidance (2024) and the Ministry of Defence Red Teaming Handbook (PDF< 4MB) (2021). 6. 演習ベストプラクティスガイダンスは、レジリエンス・フレームワーク(PDF, 6MB)、to(2024)、国防省レッドチームハンドブック(PDF< 4MB)(2021)とリンクしている。

以下、略...


演習実施の原則(Principles of exercising)...

1_20250512055801

 

演習計画サイクル(The Planning Cycle)

1_20250512060001

 

 

 

附属書...

・・[HTML] Exercising Best Practice: Annexes and Resources 

・・[PDF] Exercising Best Practice: Annexes and Resources 

20250512-43507

 

 

 


 

教訓管理(Lessons Management)...

・2024.09.30 Lessons Management Best Practice Guidance

 

エグゼエクティブサマリー...

・・「HTML] Lessons Management Best Practice Guidance: Executive Summary

・・[PDF] Lessons Management Best Practice Guidance: Executive Summary

20250512-50333

Structure: In line with these objectives, the guidance comprises the following sections: 構成:これらの目的に沿って、ガイダンスは以下のセクションで構成されている:
Lessons Management 教訓管理
Lesson Identification 教訓の識別
Lesson Prioritisation 教訓の優先順位付け
Lesson Implementation 教訓の実施
Embedding Learning and Change 教訓と変革の定着
Process 1: Lesson Identification プロセス1:教訓の識別
Capture キャプチャー
Analyse 分析
Identify 特定
Validate 妥当性確認
Report 報告
Share 共有
Process 2: Lesson Prioritisation プロセス2:教訓の優先順位付け
Organise 整理
Appraise 評価
Assess アセスメント
Prioritise 優先順位付け
Assign 割り当て
Review レビュー
Process 3: Lesson Implementation プロセス 3: 教訓実施
Lead 指導
Plan 計画
Act 行動
Monitor 監視
Evaluate 評価
Report 報告
Process 4: Embedding Change プロセス4:変革の定着
Plan 計画
Integrate 統合
Monitor 監視
Assure 保証
Review レビュー
Mature 成熟

1_20250512054401

 

 

本文...

・・[HTML] Lessons Management Best Practice Guidance

・・[PDF] Lessons Management Best Practice Guidance

20250512-44823

 

附属書...

・・[HTML] Lessons Management Best Practice Guidance: Annexes

・・[PDF] Lessons Management Best Practice Guidance: Annexes 

20250512-51042

 

 

 

 

 

| | Comments (0)

2025.05.08

英国 NCSC 英国政府はパスキーに移行

こんにちは、丸山満彦です。

NCSCが英国政府は今年の後半にデジタルサービス全体にパスキーを導入する予定であると発表していますね...また、NCSCがFIDOアライアンス[wikipedia]に参加するようです...

セキュリティの強化とともにコスト削減も考えていますね...

 

NCSC

1_20250121060101

・2025.05.07 UK pioneering global move away from passwords

UK pioneering global move away from passwords 英国、パスワードからの脱却を世界先駆けて推進
Government to roll out passkey technology across digital services as an alternative to SMS-based verification. 政府は、SMS ベースの認証に代わるものとして、デジタルサービス全体にパスキー技術を導入する。
・Government set to roll out passkey technology across digital services later this year. ・政府は、今年後半にデジタルサービス全体にパスキー技術を導入する予定。
・SMS-based verification to be replaced by more secure, cost-effective solution. ・SMS ベースの認証は、より安全でコスト効率の高いソリューションに置き換えられる。
・NCSC joins FIDO Alliance to shape international passkey standards. ・NCSC は、国際的なパスキーの標準策定のために FIDO アライアンスに参加。
The UK government is set to roll out passkey technology for its digital services later this year as an alternative to the current SMS-based verification system, offering a more secure and cost-effective solution that could save several million pounds annually. 英国政府は、現在の SMS ベースの検証システムの代替手段として、今年後半にデジタルサービスにパスキー技術を導入する予定だ。これにより、より安全でコスト効率の高いソリューションが実現し、年間数百万ポンドのコスト削減が見込まれる。
Announced on the first day of the government’s flagship cyber security event, CYBERUK, the move to implement passkey technology for the government’s GOV.UK services marks a major step forward in strengthening the nation’s digital security. 政府のサイバーセキュリティに関する主要イベント「CYBERUK」の初日に発表された、政府の GOV.UK サービスにパスキー技術を導入する動きは、英国のデジタルセキュリティ強化における大きな前進となる。
Passkeys are unique digital keys that are today tied to specific devices, such as a phone or a laptop, that help users log in safely without needing an additional text message or other code. When a user logs in to a website or app, their device uses this digital key to prove the user’s identity without needing to send a code to a secondary device or to receive user input. パスキーは、スマートフォンやノートパソコンなどの特定のデバイスに紐付けられた一意のデジタルキーで、ユーザーが追加のテキストメッセージやコードを入力せずに安全にログインできるようにする。ユーザーがウェブサイトやアプリにログインする際、デバイスはこのデジタルキーを使用してユーザーの身分を証明し、二次デバイスにコードを送信したり、ユーザー入力を受け取ったりする必要がない。
This method is more secure because the key remains stored on the device and cannot be easily intercepted or stolen, making them phishing-resistant by design. As a result, even if someone attempts to steal a password or intercept a code, they would be unable to gain access without the physical device that contains the passkey. この方法は、鍵がデバイスに保存されたままになるため、容易に傍受や盗難のリスクがなく、設計上フィッシング攻撃に耐性がある。その結果、パスワードを盗んだりコードを傍受したりしても、パスキーを含む物理的なデバイスがなければアクセスできない。
The NCSC considers passkey adoption as vital for transforming cyber resilience at a national scale, and the UK is already leading internationally with the NHS becoming one of the first government organisations in the world to offer passkeys to users. NCSC は、パスキーの採用は国家規模のサイバーレジリエンスの変革に不可欠であると考えており、英国はすでに国際的に先駆的な取り組みを進めており、NHS はパスキーをユーザーに提供する世界初の政府機関のひとつとなっている。
In addition to enhanced security and cost savings, passkeys offer users a faster login experience, saving approximately one minute per login when compared to entering a username, password, and SMS code. セキュリティの強化とコスト削減に加え、パスキーはユーザーにログインの高速化をもたらし、ユーザー名、パスワード、SMS コードを入力する場合に比べ、1 回のログインあたり約 1 分の時間を節約できる。
AI and Digital Government Minister Feryal Clark said: AI およびデジタル政府担当大臣のフェリアル・クラーク氏は、次のように述べている。
“The rollout of passkeys across GOV.UK services marks another major step forward in strengthening the UK’s digital defences while improving the user experience for millions. 「GOV.UK サービス全体にパスキーを導入することは、英国のデジタル防御を強化すると同時に、何百万人ものユーザーのユーザーエクスペリエンスを向上させる、もう一つの大きな前進だ。
“Replacing older methods like SMS verification with modern, secure passkeys will make it quicker and easier for people to access essential services — without needing to remember complex passwords or wait for text messages. SMS による検証などの旧式の方法を、現代的で安全なパスキーに置き換えることで、複雑なパスワードを覚えたり、テキストメッセージを待ったりすることなく、人々はより迅速かつ簡単に重要なサービスにアクセスできるようになる。
“This shift will not only save users valuable time when interacting with government online, but it will reduce fraud and phishing risks that damage our economic growth.” この移行により、ユーザーはオンラインで政府とやり取りする際に貴重な時間を節約できるだけでなく、経済成長を損なう詐欺やフィッシングのリスクも軽減される」。
NCSC Chief Technical Officer Ollie Whitehouse said: NCSC の最高技術責任者、オリー・ホワイトハウス氏は次のように述べている。
“The NCSC has a stated objective for the UK to move beyond passwords in favour of passkeys, as they are secure against common cyber threats such as phishing and credential stuffing.  「NCSC は、フィッシングやクレデンシャルスタッフィングなどの一般的なサイバー脅威に対して安全であるパスキーを、パスワードに代わるものとして英国で普及させることを目標としている。
“By adopting passkey technology, government is not only leading by example by strengthening the security of its services but also making it easier and faster for citizens to access them.  パスキー技術を採用することで、政府はサービスのセキュリティを強化するだけでなく、市民がサービスにアクセスしやすくなり、アクセス時間も短縮されるという、模範的な取り組みを先導することになる。
“We strongly advise all organisations to implement passkeys wherever possible to enhance security, provide users with faster, frictionless logins and to save significant costs on SMS authentication.” すべての組織は、セキュリティを強化し、ユーザーに迅速でスムーズなログインを提供し、SMS 認証にかかる大幅なコストを削減するために、可能な限りパスキーを導入することを強く推奨する。
The NCSC has also today announced that it has joined the FIDO Alliance, the global body shaping the future of password-free authentication. This step will allow the UK to play an active role in the evolution of passkey standards. NCSC は本日、パスワード不要の認証の未来を形作るグローバル団体である FIDO アライアンスに参加したことを発表した。この措置により、英国はパスキーの標準化の進化において積極的な役割を果たすことができる。」
Executive Director and CEO of the FIDO Alliance Andrew Shikiar said: FIDO アライアンスのエグゼクティブディレクター兼 CEO であるアンドリュー・シキアル氏は、次のように述べている。
“The UK Government’s adoption of passkeys across its digital services reflects a profound decision that stands to protect UK citizens’ while providing the government with greater security and operational efficiency.  By prioritising modern, phishing-resistant authentication, the UK is setting a strong example for both the public and private sectors in the UK and beyond. 「英国政府がデジタルサービス全体にパスキーを採用したことは、英国国民を保護すると同時に、政府にセキュリティと業務効率の向上をもたらすという、深い決断を反映したものだ。フィッシングに強い最新の認証を優先することで、英国は英国およびその他の国の公共部門と民間部門の両方に強力な手本を示している。
“We’re also very pleased that the NCSC has joined the FIDO Alliance, which allows agencies across the UK government to collaborate with other thought leaders in the Alliance to advance the development and deployment of foundational technologies that will strengthen our collective cyber resilience.”  また、NCSC が FIDO アライアンスに参加したことを大変嬉しく思う。これにより、英国政府の機関は、アライアンスの他のオピニオンリーダーと協力し、私たちのサイバーレジリエンスを強化する基盤技術の開発と展開を推進することができる」と述べた。
As described in a recent blog, the NCSC views passkeys as the future of online authentication, and is working with vendors and organisations to make passkeys widely available as an option for users.  最近のブログでも述べたように、NCSC はパスキーをオンライン認証の未来と捉え、パスキーをユーザーに広く利用可能なオプションとして提供するために、ベンダーや組織と協力している。

 

 


 

上でいわれているブログ記事については、こちら...

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.21 英国 NCSC ブログ パスキー:完璧ではないが、改善されつつある (2025.01.15)

 

| | Comments (0)

2025.05.07

中国 「AI技術の濫用を是正する」特別措置を3ヶ月間、2段階にわけて実施 (2025.04.30)

こんにちは、丸山満彦です。

生成AIを含むAI技術が社会にもたらす負の側面と中国共産党が考えることの取り締まり強化を3ヶ月間、2段階に分けて実施するようです。

第1段階:AI技術の源流管理を強化し、違法なAIアプリケーションを整理・整備し、AI生成合成技術とコンテンツの識別管理を強化し、ウェブサイトやプラットフォームの検出・偽装防止能力の向上を推進

  1. 違反AI製品の取り締まり強化
  2. 違反AI製品の使い方の伝授、宣伝等の取り締まり強化
  3. トレーニングデータの管理強化
  4. 事業者の安全管理の強化
  5. コンテンツの表示要件違反の取り締まり強化
  6. 重点分野(医療、金融、未成年者など)のセキュリティリスクへの対応強化

第2段階:AI技術を利用して、風説、虚偽の情報、わいせつで下品なコンテンツを制作・発信したり、他人になりすましたり、ネット工作活動に従事したりするなどの顕著な問題に着目し、関連する違法・有害な情報を集中的に整理し、違反アカウント、MCN機関、ウェブサイトプラットフォームを処分・処罰。

  1. AIを利用して風説を流布に対する処分・処罰
  2. AIを利用して虚偽の情報を制作・発信に対する処分・処罰
  3. AIを利用して、わいせつで低俗なコンテンツを作成・発信に対する処分・処罰
  4. AIを利用して他人を偽装し、著作権侵害や違法行為に対する処分・処罰
  5. AIを利用してネット工作活動に対する処分・処罰
  6. AI製品サービスおよびアプリケーションの違反行為に対する処分・処罰
  7. 未成年者の権利侵害に対する処分・処罰

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2025.04.30 中央网信办部署开展“清朗·整治AI技术滥用”专项行动

中央网信办部署开展“清朗·整治AI技术滥用”专项行动 中央ネット情報弁公室、「清朗・AI技術の乱用取り締まり」特別措置の実施を指示
为规范AI服务和应用,促进行业健康有序发展,保障公民合法权益,近日,中央网信办印发通知,在全国范围内部署开展为期3个月的“清朗·整治AI技术滥用”专项行动。 AIサービスおよびアプリケーションの規範化、業界の健全かつ秩序ある発展の促進、および国民の合法的権利の保護を目的として、中央ネット情報弁公室は先日、全国規模で3カ月にわたる「清朗・AI技術の乱用取り締まり」特別措置の実施を指示する通知を発行した。
中央网信办有关负责人表示,本次专项行动分两个阶段开展。第一阶段强化AI技术源头治理,清理整治违规AI应用程序,加强AI生成合成技术和内容标识管理,推动网站平台提升检测鉴伪能力。第二阶段聚焦利用AI技术制作发布谣言、不实信息、色情低俗内容,假冒他人、从事网络水军活动等突出问题,集中清理相关违法不良信息,处置处罚违规账号、MCN机构和网站平台。 中央ネット情報弁公室の担当者は、今回の特別措置は2段階に分けて実施されると述べた。第1段階では、AI技術の源流管理を強化し、違法なAIアプリケーションを整理・整備し、AI生成合成技術とコンテンツの識別管理を強化し、ウェブサイトやプラットフォームの検出・偽装防止能力の向上を推進する。 第2段階では、AI技術を利用して、風説、虚偽の情報、わいせつで下品なコンテンツを制作・発信したり、他人になりすましたり、ネット工作活動に従事したりするなどの顕著な問題に着目し、関連する違法・有害な情報を集中的に整理し、違反アカウント、MCN機関、ウェブサイトプラットフォームを処分・処罰する。
第一阶段重点整治6类突出问题:一是违规AI产品。利用生成式人工智能技术向公众提供内容服务,但未履行大模型备案或登记程序。提供“一键脱衣”等违背法律、伦理的功能。在未经授权同意情况下,克隆、编辑他人声音、人脸等生物特征信息,侵犯他人隐私。二是传授、售卖违规AI产品教程和商品。传授利用违规AI产品伪造换脸视频、换声音频等教程信息。售卖违规“语音合成器”“换脸工具”等商品信息。营销、炒作、推广违规AI产品信息。三是训练语料管理不严。使用侵犯他人知识产权、隐私权等权益的信息。使用网上爬取的虚假、无效、不实内容。使用非法来源数据。未建立训练语料管理机制,未定期排查清理违规语料。四是安全管理措施薄弱。未建立与业务规模相适应的内容审核、意图识别等安全措施。未建立有效的违规账号管理机制。未定期开展安全自评估。社交平台对通过API接口接入的AI自动回复等服务底数不清、把关不严。五是未落实内容标识要求。服务提供者未对深度合成内容添加隐式、显式内容标识,未向使用者提供或提示显式内容标识功能。内容传播平台未开展生成合成内容监测甄别,导致虚假信息误导公众。六是重点领域安全风险。已备案AI产品提供医疗、金融、未成年人等重点领域问答服务的,未针对性设置行业领域安全审核和控制措施,出现“AI开处方”“诱导投资”“AI幻觉”等问题,误导学生、患者,扰乱金融市场秩序。 第1段階では、6つの顕著な問題を取り締まる。1つ目は、違反AI製品だ。生成型AI技術を利用してコンテンツサービスを一般に提供しているが、大規模モデルに関する届出や登録手続きを行っていない。 法律や倫理に反する「ワンクリックで服を脱がせる」などの機能を提供している。他人の音声や顔などの生体情報を、許可なく複製・編集し、プライバシーを侵害している。2つ目は、違反AI製品の教程や商品の販売・伝授。違反AI製品を利用して顔交換動画や音声交換動画を作成する方法を教える教程情報を伝授している。違反「音声合成器」「顔交換ツール」などの商品情報を販売している。 違法なAI製品に関する情報をマーケティング、宣伝、普及している。3つ目は、トレーニング用データ管理の厳格化不足だ。他人の知的財産権、プライバシー権などの権利を侵害する情報を使用している。インターネットから収集した虚偽、無効、不実の内容を使用している。違法な出所のデータを使用している。トレーニング用データ管理メカニズムを構築しておらず、違法なデータを定期的に調査・削除していない。4つ目は、安全管理措置の脆弱さだ。事業規模に見合ったコンテンツの審査、意図の識別などの安全対策が確立されていない。効果的な違法アカウントの管理メカニズムが確立されていない。 定期的なセキュリティ自己評価を実施していない。ソーシャルプラットフォームは、APIインターフェースを介してアクセスするAI自動返信などのサービスの基盤が不明確であり、管理が厳格ではない。5つ目は、コンテンツの表示要件が実施されていないこと。サービス提供者は、深層合成コンテンツに暗示的または明示的なコンテンツ表示を追加しておらず、ユーザーに明示的なコンテンツ表示機能を提供または提示していない。コンテンツ配信プラットフォームは、合成コンテンツの監視・選別を実施していないため、虚偽の情報が一般市民を誤解させる原因となっている。 6つ目は、重点分野のセキュリティリスクだ。医療、金融、未成年者などの重点分野における質問応答サービスを提供するAI製品が登録されているにもかかわらず、業界分野のセキュリティ審査および管理措置が適切に設定されておらず、「AIによる処方箋」や「投資誘導」、「AIの幻覚」などの問題が発生し、学生や患者を誤導し、金融市場の秩序を乱している。
第二阶段重点整治7类突出问题:一是利用AI制作发布谣言。无中生有、凭空捏造涉时事政治、公共政策、社会民生、国际关系、突发事件等各类谣言信息,或擅自妄测、恶意解读重大方针政策。借突发案事件、灾难事故等,编造、捏造原因、进展、细节等。冒充官方新闻发布会或新闻报道,发布谣言信息。利用AI认知偏差生成的内容进行恶意引导。二是利用AI制作发布不实信息。将无关图文、视频拼凑剪辑,生成虚实混杂、半真半假的信息。模糊修改事件发生的时间、地点、人物等要素,翻炒旧闻。制作发布涉财经、教育、司法、医疗卫生等专业领域的夸大、伪科学等不实内容。借助AI算命、AI占卜等误导欺骗网民,传播迷信思想。三是利用AI制作发布色情低俗内容。利用AI脱衣、AI绘图等功能生成合成色情内容或他人不雅图片、视频,衣着暴露、搔首弄姿等软色情、二次元擦边形象,或扮丑风等导向不良内容。制作发布血腥暴力场景,人体扭曲变形、超现实怪物等恐怖诡谲画面。生成合成“小黄文”“荤段子”等性暗示意味明显的小说、帖文、笔记。四是利用AI假冒他人实施侵权违法行为。通过AI换脸、声音克隆等深度伪造技术,假冒专家、企业家、明星等公众人物,欺骗网民,甚至营销牟利。借AI对公众人物或历史人物进行恶搞、抹黑、歪曲、异化。利用AI冒充亲友,从事网络诈骗等违法活动。不当使用AI“复活逝者”,滥用逝者信息。五是利用AI从事网络水军活动。利用AI技术“养号”,模拟真人批量注册、运营社交账号。利用AI内容农场或AI洗稿,批量生成发布低质同质化文案,博取流量。使用AI群控软件、社交机器人批量点赞跟帖评论,刷量控评,制造热点话题上榜。六是AI产品服务和应用程序违规。制作和传播仿冒、套壳AI网站和应用程序。AI应用程序提供违规功能服务,例如创作类工具提供“热搜热榜热点扩写成文”等功能,AI社交、陪聊软件等提供低俗软色情对话服务等。提供违规AI应用程序、生成合成服务或课程的售卖、推广引流等。七是侵害未成年人权益。AI应用程序诱导未成年人沉迷、在未成年人模式下存在影响未成年人身心健康的内容等。 第2段階では、7つの顕著な問題の改善に重点的に取り組む。1つ目は、AIを利用して風説を流布することだ。 時事政治、公共政策、社会民生、国際関係、突発事件などに関する虚偽の情報をでっち上げたり、重大な方針政策を勝手に推測・悪意を持って解釈したりする。突発事件や災害事故などを利用し、原因、進展、詳細などをでっち上げたり捏造したりする。公式の記者会見やニュース報道を装って虚偽の情報を発信する。AIの認知バイアスを利用して生成されたコンテンツで悪意を持って誘導する。 2つ目は、AIを利用して虚偽の情報を制作・発信すること。無関係な画像や動画を切り貼りして編集し、虚実混在の半真実の情報を生成する。事件の発生日時、場所、人物などの要素を曖昧に改変し、過去のニュースを再利用する。金融、教育、司法、医療など専門分野に関する誇張や偽科学的な虚偽の内容を制作・発信する。AI占いやAI占いを利用してネットユーザーを誤導・欺瞞し、迷信思想を拡散する。3つ目は、AIを利用して、わいせつで低俗なコンテンツを作成・発信すること。AIの脱衣機能やAI絵作成機能を利用して、わいせつなコンテンツや他人のわいせつな画像・動画を合成し、露出度の高い服装や挑発的なポーズなどのソフトポルノや二次元キャラクターの境界線を越えた画像、醜悪な風貌のキャラクターなど、不健全なコンテンツを作成・発信する。血生臭い暴力シーンや、人体が歪曲変形した超現実的な怪物など、恐怖や不気味さを誘う画面を作成・発信する。 性的な暗示が明らかな小説、投稿、メモなどの「小黄文」「荤段子」を生成合成する。4つ目は、AIを利用して他人を偽装し、著作権侵害や違法行為を行うこと。AIによる顔交換、音声クローンなどの高度な偽造技術を利用して、専門家、企業家、芸能人などの公人を偽装し、ネットユーザーを欺く行為。AIを利用して公人や歴史的人物を悪ふざけ、中傷、歪曲、変形する行為。 AIを利用して親族や友人を装い、ネット詐欺などの違法行為を行う。AIを不適切に利用して「故人を蘇らせる」行為や、故人の情報を濫用する。5つ目は、AIを利用してネット工作活動である。AI技術で「アカウント育成」を行い、本物の人間を模倣して大量のソーシャルメディアアカウントを登録・運営。AIコンテンツファームやAIリライトツールを利用して、低品質で同質的な文案を大量生成・投稿し、アクセス数を稼ぐ。 AI群制御ソフトウェアやソーシャルロボットを利用して、大量に「いいね!」やコメントを投稿し、アクセス数を水増しして話題を作り出す。6つ目は、AI製品サービスおよびアプリケーションの違反行為。偽造、偽装したAIウェブサイトやアプリケーションを作成、拡散する。AIアプリケーションが違反機能を提供する。例えば、創作ツールが「トレンドワードや人気ランキングの話題を文章に展開」する機能を提供したり、AIソーシャル、チャットアプリが低俗なソフトポルノ会話サービスを提供したりする。 違法なAIアプリケーション、生成合成サービス、またはコースの販売、宣伝、誘導など。7つ目は、未成年者の権利侵害。AIアプリケーションが未成年者を依存に誘導したり、未成年者モードで未成年者の心身健康に悪影響を及ぼすコンテンツを含むなど。
中央网信办有关负责人强调,各地网信部门要充分认识专项行动对于防范AI技术滥用风险,维护网民合法权益的重要意义。切实履行属地管理责任,督导网站平台对照专项行动有关要求,健全AI生成合成内容审核机制,提升技术检测能力,做好整改落实。加强人工智能相关政策的宣传推广和人工智能素养的科普教育,引导各方正确认识和应用人工智能技术,不断凝聚治理共识。 中央ネット情報弁公室の担当者は、各地のネット情報部門は、AI技術の乱用リスクの防止とネットユーザーの合法的な権利の保護における特別措置の重要性を十分に認識すべきだと強調した。管轄区域の管理責任を確実に履行し、ウェブサイトプラットフォームが特別措置の関連要件を遵守するよう監督し、AI生成合成コンテンツの審査メカニズムを整備し、技術検査能力を向上させ、改善措置を確実に実施すること。人工知能関連政策の広報・普及と人工知能リテラシーの科学教育を強化し、各関係者に人工知能技術の正しい理解と活用を促し、ガバナンスに関するコンセンサスを継続的に形成すること。

 

 

1_20210612030101


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.16 中国 人工知能生成合成コンテンツ識別弁法 (2025.03.14)

・2024.09.23 中国 「人工知能生成の合成コンテンツ識別に関する措置(意見募集稿)」と国家標準 「人工知能が生成したコンテンツのラベル付け方法」に対する意見募集

・2023.09.11 中国 生成的AIについての専門家の解釈 (2023.08.29)

・2023.07.14 中国 国家サイバースペース管理局他 生成的AIサービス管理暫定弁法 施行は2023.08.15

・2023.04.12 中国 意見募集 生成的人工知能サービス管理弁法

・2023.01.18 中国 サイバー法制白書 2022 (2023.01.12)

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

 

 

| | Comments (0)

2025.05.06

デジタル庁 地方公共団体の基幹業務システムの統一・標準化 「先行団体の事例から得られた移行作業における留意事項」(2025.05.02)

こんにちは、丸山満彦です。

デジタル庁が進めている地方公共団体の基幹業務システムの統一・標準化について、このブログではあまり話題にしてこなかったのですが、

大規模なシステム移行ということで、大変な作業ということはみなさま理解はしていると思いますが、どれほど大変なのかについて、現場の方、デジタル庁側で議論を進めている方と、大きな旗を振っている方の間で(大きな?)隙間があるような気もして、少し心配になってきました...

ということで、少し紹介です...

基幹システムの移行ということで最近でも、お菓子製造業でも物流が止まり、「プリンがない!」とトラブルになった事例は記憶にあるかもしれません。

それほど大規模なシステム移行でなくても、機能追加といったよう比較すると規模が大きくないシステム開発や保守作業であっても、ATMが止まったり、ETCが使えなくなったりとトラブルがありますよね(ほとんどの場合はうまくいっているのですが...)

自治体の場合は、20+αの業務について、理論的には1,700余の自治体を対象とする移行の話となるので、それだけ聞いても大変ですよね...もちろん、各自治体で独自の政策も行っているわけですしね...2025年度末の移行完了に向けて進められていますね...

過去、大規模システムの移行に伴うシステム開発の開発過程監査や、システム開発の失敗に関わる訴訟等に関わった経験からいうと、システム移行等の大規模開発の失敗の原因はそんなに多くはないです。

大体は、最初から無理な計画をごり押しして進めたら案の定、うまくいかなかった。現場は、うまくいかないのはわかっていたが、上からは必達だと言われるので仕方なく進めていた。内心はうまくいかないのはわかっているので、早くプロジェクトから抜け出したいと思っている。上は、さらに上が決めたことなので、メンツを保つためにもなんとかしなければならないと、檄だけ飛ばす。。。(失敗しても上は責任を有耶無耶にするケースが多いかも...)

次に多いと思うのは、途中で問題が発生し、現場が上に報告したが、上がさらに上に上げずに握りつぶして(リソースの手当て等をせずに)、そのままプロジェクトが破綻していく...

もう一つ追加しておくべきは、十分なテスト時間をとらずに本番移行し、トラブルが発生し、大きな損害を出す。(これは表にでるので目立ちます...)

 

このようなプロジェクトの失敗をしないためには、次の5つの理解(腹落ち)が重要なのだろうと思います。

 

1. 理論的に無理なことは、根性を持ち出したり、忖度してもどうしようもない。諦めるものは諦める。(大和で沖縄に突っ込む計画をたてても、途中で沈められる)

2. リソース(人、金、時間を含む)を十分に与えられれないのに、命令しても開発はすすまない。(十分な食料を与えずに戦場に兵をだしても、飢え死にして成果は上がらない)

3.「 万に一つの成功の可能性がある」からと進むのはよいが、その場合、重要なのはうまくいかなかった場合の代替策を念入りに立てる(代替策になる可能性が高いので)

4. 想定外のことは必ず起こるので、リソース(人、金、時間を含む)には余裕を持たせる(余裕がないと臨機応変な対応ができず、想定通りの目的を完遂できない)

5. 忖度せず、情報は正直にすべて適切な粒度で全体に共有されること(特にネガティブな情報ほど)

 

この5つのポイントで重要なのは、判断する層(経営層、政治家や省庁の幹部)と作業をする層(現場)の間の信頼関係だと思います。正しい情報を適切に伝えると、理論的に適切な対応がされる。という当たり前の状況を作ることだと思います。。。

あと、大規模プロジェクトは、走りながら考えるではかなり無理な部分もあるので、最初にきっちりと計画を立てるのが重要かと思います。。。最初の計画が重要!

 

ということを頭の片隅にいれながら...

 

デジタル庁地方公共団体の基幹業務システムの統一・標準化

・2025.05.02 [PDF] 先行団体の事例から得られた移行作業における留意事項

20250506-70327

 

業務に関する留意事項

  1. 業務視点でのチェックは所管課が自ら行う必要がある。
  2. 仕様の変更により窓口運用が大きく変わる可能性がある。
  3. 機能追加等による効率化を踏まえた業務フローを検討する。

スケジュールに関する留意事項

  1. リカバリ・リスケを想定したスケジュールを組む。
  2. 十分な確認時間の確保の必要性

帳票に関する留意事項

  1. 帳票が変わることに伴い住民への案内も変更になる場合がある。
  2. 帳票要件以外の帳票も確認する。
  3. 帳票の出力テストをどこまで本番と同じ環境で行うか。

データに関する留意事項

  1. 同一ベンダでの移行であっても、データが原因で想定外の動きをすることがある。

データ連携に関する留意事項

  1. 連携方法が変わる場合は、どのような変更があるか理解する。
  2. 過渡期連携の調整は入念に行う。

ガバメントクラウド・ネットワークに関する留意事項

  1. ネットワーク構成の検討は、庁内環境とクラウド環境の全体像を捉えて行う。

ベンダに関する留意事項

  1. 対面での調整が少ない場合は、よりコミュニケーションを密にする。
  2. Gapの代替案についてはベンダにも協力してもらう。

テスト・本稼働に関する留意事項

  1. パターンの数だけ確認する必要性
  2. 検証環境の構築は、利便性を優先するか事故防止を優先するか検討する。
  3. 本番稼働時の処理時間を意識して確認を行う。
  4. 障害の切り分けをどこまで自分で行う必要があるか、事前に確認を行う。
  5. 特異なケースの確認

 

大規模システム開発、基幹業務のシステム移行については、金融機関は経験が豊富で、いろいろ参考になることが多いと思いますので、

こちらは是非参考に...

 

● 金融庁

・2019.06.21 「システム統合・更改に関するモニタリングレポート」の公表について

・[PDF] システム統合・更改に関するモニタリングレポート

20250506-71510

 

 

で、標準仕様書は...

・2025.04.30 [XLSX] 地方公共団体の基幹業務システムの標準仕様書改定状況一覧(令和7年4月30日時点)

20250506-70757

全体をみるとそこそこ変更がありますね...

 


 

地方公共団体の基幹業務システムの統一・標準化

・・標準準拠システムへの移行が令和8年度(2026年度)以降とならざるを得ないことが具体化した場合の措置


標準準拠システムへの移行が令和8年度(2026年度)以降とならざるを得ないことが具体化した場合の措置

以下のような理由により令和8年度(2026年度)以降の移行とならざるを得ないことが具体化したシステムを「特定移行支援システム※」としています。

  • 現行システムがメインフレームで運用されているもの
  • 現行システムがパッケージシステムではない個別開発システムで運用されているもの
  • 現行事業者が標準準拠システムの開発を行わないとしているシステムであり、かつ代替システム調達の見込みが立たないもの
  • 事業者のリソースひっ迫による開発又は移行作業等の遅延の影響を受けるものなど

このような特定移行支援システムについてデジタル庁、総務省及び制度所管省庁は、地方公共団体から把握した当該システムの状況及び移行スケジュールも踏まえて、標準化基準を定める主務省令において、所要の移行完了の期限を設定することとし、概ね5年以内に標準準拠システムへ移行できるよう積極的に支援することとしています。

※地方公共団体情報システム標準化基本方針(令和6年12月24日閣議決定)において、従来の移行困難システムが特定移行支援システムと改められました。

特定移行支援システムの状況とその対応

2023年10月に全団体に対し、移行困難システムの把握に関する調査を実施し、2024年3月に調査結果の公表を行いました。その後も継続して調査を行い、デジタル庁と総務省において標準準拠システムへの移行が令和8年度(2026年度)以降とならざるを得ないことが具体化したシステムの申し出があった団体にヒアリング等を行ったうえで、結果の精査等を実施しました。
その結果、標準化の対象となる全34,592システムのうち、2025年1月末時点で2,989システム(8.6%)が特定移行支援システムに該当する見込みであることが判明しました。団体数では1,788団体のうち554団体(31.0%)が特定移行支援システムを有します。9システム(6団体)については、特定移行支援システムに該当せず、判定を保留とし、引き続き状況を調査していきます。
今後も調査を継続して行い、移行状況予定に変更が生じた時点で速やかに、各団体へ調査票の提出を求め、必要に応じてデジタル庁と総務省においてヒアリングを実施する予定です。

また、特定移行支援システムを有する地方公共団体のうち、現行システム提供事業者の撤退等により、次期事業者の選定に至っていない地方公共団体へのフォローアップとして、地方公共団体が次期事業者を選定する際の参考となるよう、事業者に関する情報提供を実施していきます。

  • デジタル庁において、事業者協議会を通じて、事業者における特定移行支援システムを有する地方公共団体への対応可否を確認し、対応が可能な場合には、その受け入れ検討条件をアンケート調査により収集
  • 地方公共団体に対して、次期事業者を選定する際の参考情報として収集した情報を提供

 

 

こちらも参考に...

地方公共団体の基幹業務等システムの統一・標準化に関する関係省庁会議

 

 

失敗しているのに成功したことにした政策とならないように(^^::

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.09 デジタル庁 地方公共団体におけるアナログ規制の見直しに係る課題調査事業の報告書 (2023.12.04)

・2023.06.25 デジタル庁 デジタル社会の実現に向けた重点計画 (2023.06.09)

・2022.06.13 デジタル庁 デジタル社会の実現に向けた重点計画 (2022.06.08)

・2021.12.30 総務省 デジタル時代における住民基本台帳制度のあり方に関する検討会報告書

・2021.06.28 「デジタル社会の実現に向けた重点計画」 at 2021.06.18

・2021.05.13 参議院 デジタル社会形成基本法案等を議決 デジタル庁設置、個人情報保護法改正、地方自治体システム標準化等。。。

・2021.02.10 内閣官房 IT総合戦略室が「デジタル社会形成基本法案」「デジタル庁設置法案」「デジタル社会の形成を図るための関係法律の整備に関する法律案」を国会に提出しましたね。。。

・2020.12.31 自民党デジタル社会推進本部 デジタル庁創設に向けた中間提言 at 2020.12.22 (小林史明議員公式サイト)

 

 

| | Comments (0)

2025.05.05

米国 NIST SP 800-234(初期公開ドラフト) ハイパフォーマンス・コンピューティング(HPC)セキュリティオーバーレイ (2025.05.01)

こんにちは、丸山満彦です。

NISTがSP 800-234(初期公開ドラフト) ハイパフォーマンス・コンピューティング(HPC)セキュリティオーバーレイを公表し、意見募集をしていますね...

AI開発にもHPCは重要で、そのためのセキュリティも重要となりますよね...

SP 800-53Bで定義された中程度のベースラインをベースに、HPCのコンテキストでの適用性を高めるために、60のセキュリティ対策に補足的なガイダンスや考察を加えたものということです...

ちなみに、NISTのHPCについての文書

Release Date Series Number Title Status
2025.05.01 SP 800-234 High-Performance Computing (HPC) Security Overlay Draft
2024.02.09 SP 800-223 High-Performance Computing Security: Architecture, Threat Analysis, and Security Posture Final
2023.09.26 IR 8476 3rd High-Performance Computing Security Workshop: Joint NIST-NSF Workshop Report Final
2023.02.06 SP 800-223 High-Performance Computing (HPC) Security: Architecture, Threat Analysis, and Security Posture Draft (Obsolete)

 

● NIST - ITL

・2025.05.01 NIST SP 800-234 (Initial Public Draft) High-Performance Computing (HPC) Security Overlay

NIST SP 800-234 (Initial Public Draft) High-Performance Computing (HPC) Security Overlay NIST SP 800-234(初期公開ドラフト) ハイパフォーマンス・コンピューティング(HPC)セキュリティオーバーレイ
Announcement 発表
High-performance computing (HPC) systems provide fundamental computing infrastructure for large-scale artificial intelligence (AI) and machine learning (ML) model training, big data analysis, and complex simulations at exceptional speeds. Securing HPC systems is essential for safeguarding AI models, protecting sensitive data, and realizing the full benefits of HPC capabilities. ハイパフォーマンス・コンピューティング(HPC)システムは、大規模な人工知能(AI)や機械学習(ML)モデルのトレーニング、ビッグデータ分析、複雑なシミュレーションを卓越した速度で行うための基本的なコンピューティングインフラを提供する。HPCシステムの防御は、AIモデルの保護、機密データの保護、HPC機能のメリットをフルに発揮するために不可欠である。
This NIST Special Publication introduces an HPC security overlay that is designed to address the unique characteristics and requirements of HPC systems. Built upon the moderate baseline defined in SP 800-53B, the overlay tailors 60 security controls with supplemental guidance and/or discussions to enhance their applicability in HPC contexts. This overlay aims to provide practical, performance-conscious security guidance that can be readily adopted. For many organizations, it offers a robust foundation for securing HPC environments while also allowing for further customization to meet specific operational or mission needs. このNIST特別刊行物は、HPCシステム特有の特性と要件に対応するように設計されたHPCセキュリティ・オーバーレイを紹介している。このオーバーレイは、SP 800-53Bで定義された中程度のベースラインをベースに、HPCのコンテキストでの適用性を高めるために、60のセキュリティ対策に補足的なガイダンスや考察を加えたものである。このオーバーレイは、すぐに採用できる実用的でパフォーマンスに配慮したセキュリティガイダンスを提供することを目的としている。多くの組織にとって、HPC 環境の安全性を確保するための強固な基盤を提供すると同時に、特定の運用やミッションのニーズに合わせてさらにカスタマイズすることも可能である。
The public comment period is open through July 3rd, 2025.  パブリックコメント期間は2025年7月3日までである。
Additional information can be found at the NIST HPC Security Working Group website. 追加情報はNIST HPCセキュリティ・ワーキンググループのウェブサイトを参照のこと。
Abstract 要旨
High-performance computing (HPC) systems provide fundamental computing infrastructure for large-scale artificial intelligence (AI) and machine learning (ML) model training, big data analysis, and complex simulations at exceptional speeds. Securing HPC systems is essential for safeguarding AI models, protecting sensitive data, and realizing the full benefits of HPC capabilities. This NIST Special Publication introduces an HPC security overlay that is designed to address the unique characteristics and requirements of HPC systems. Built upon the moderate baseline defined in SP 800-53B, the overlay tailors 60 security controls with supplemental guidance and/or discussions to enhance their applicability in HPC contexts. This overlay aims to provide practical, performance-conscious security guidance that can be readily adopted. For many organizations, it offers a robust foundation for securing HPC environments while also allowing for further customization to meet specific operational or mission needs. ハイパフォーマンス・コンピューティング(HPC)システムは、大規模な人工知能(AI)や機械学習(ML)モデルのトレーニング、ビッグデータ分析、複雑なシミュレーションを卓越した速度で行うための基本的なコンピューティング・インフラを提供する。HPCシステムの防御は、AIモデルの保護、機密データの保護、およびHPC機能のメリットをフルに発揮するために不可欠である。このNIST特別刊行物は、HPCシステム特有の特性と要件に対応するように設計されたHPCセキュリティ・オーバーレイを紹介している。このオーバーレイは、SP 800-53Bで定義された中程度のベースラインをベースに、HPCのコンテキストでの適用性を高めるために、60のセキュリティ対策に補足的なガイダンスや考察を加えたものである。このオーバーレイは、すぐに採用できる実用的でパフォーマンスに配慮したセキュリティガイダンスを提供することを目的としている。多くの組織にとって、HPC 環境の安全性を確保するための強固な基盤を提供すると同時に、特定の運用やミッションのニーズに合わせてさらにカスタマイズすることも可能である。

 

・[PDF] NIST.SP.800-234.ipd

20250503-233131

 

目次...

1. Introduction 1. 序文
2. HPC Security Overlay Summary 2. HPC セキュリティ・オーバーレイの概要
3. Tailored Security Control Specifications 3. カスタマイズされたセキュリティ制御仕様
3.1. Role-Based Access Control 3.1. 役割ベースのアクセス管理
3.2. HPC Logging 3.2. HPCログ
3.3. User Sessions 3.3. ユーザーセッション
3.4. HPC Backup 3.4. HPCバックアップ
3.5. HPC Network Connections 3.5. HPCネットワーク接続
3.6. Identification and Authentication 3.6. 識別と認証
3.7. Emergency Handling 3.7. 緊急時の対応
3.8. User-Developed Software 3.8. ユーザー開発ソフトウェア
3.9. Impact on HPC Performance and Scalability 3.9. HPCパフォーマンスとスケーラビリティへの影響
3.10. Inapplicable to HPC 3.10. HPC には適用できない
3.11. Shared GPUs and Accelerators 3.11. 共有GPUとアクセラレータ
3.12. HPC-Specific Training and Security Overlay Tailoring 3.12. HPC特有のトレーニングとセキュリティ・オーバーレイの調整
3.13. HPC Management, Operation, and Maintenance 3.13. HPCの管理、運用、保守
3.14. Access to HIPC 3.14. HIPCへのアクセス
4. Summary 4. まとめ
References 参考文献
List of Tables 表一覧
Table 1. A Summary of Security Controls in the HPC Control Overlay 表1. HPC制御オーバレイにおけるセキュリティ制御の概要
List of Figures 図一覧
Fig. 1. HPC system reference aarchitectuur 図1. HPCシステム・リファレンス・アーキテクチャ

 

 

1_20240212065501

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.13 NIST SP 800-223 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

・2023.09.30 NIST IR 8476 第3回 高性能コンピューティングセキュリティワークショップ: NIST-NSF合同ワークショップ報告書

・2023.07.21 CSA ハイパフォーマンス・コンピューティング机上演習ガイド

・2023.02.08 NIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

 

 

| | Comments (0)

2025.05.04

米国 NIST IR 7621 Rev.2(初期公開ドラフト)中小企業のサイバーセキュリティ: 非雇用企業

こんにちは、丸山満彦です。

NISTが、中小企業向けのサイバーセキュリティの内部文書、IR 7621の改訂2版のドラフトが公開され、意見募集がされています。

これは2009年に最初の文書が、2016年に現在の改訂1版が確定しています。今回は10年ぶり?の改訂に向けてのドラフトとなります。

今回のドラフトでは、対象範囲を絞って、より明確にしているところがポイントです。

まず、

・「情報セキュリティ」からそのサブセットの「サイバーセキュリティ」に

次に

・「中小企業一般」から「個人事業主」に

絞っています。

そして、CSF 2.0を利用したものになっているのがポイントですね。。。

・個人事業主を対象としているという点と、

・にもかかわらず、ガバナンスの観点を強化したCSF2.0を使っている点

が非常に興味深い...

日本の零細企業のセキュリティ対策にも参考となるかもですね...

 

 

● NIST - ITL

・2025.05.01 NIST IR 7621 Rev. 2 (Initial Public Draft) Small Business Cybersecurity: Non-Employer Firms

NIST IR 7621 Rev. 2 (Initial Public Draft) S%mall Business Cybersecurity: Non-Employer Firms NIST IR 7621 Rev.2(初期公開ドラフト)中小企業のサイバーセキュリティ: Non-Employer Firms
Announcement 発表
According to the U.S. Small Business Administration Office of Advocacy, there are 34.8 million small businesses in the United States, comprising 99% of all U.S. businesses. Of those, 81.7% are non-employer firms with no paid employees other than the owners of the business. These businesses, though small in size, are represented in every industry and sector of the economy and contribute significantly to the Nation’s innovation and industrial competitiveness. This publication specifically addresses cybersecurity basics for non-employer firms with no paid employees other than the owners of the business, helping them to use the NIST Cybersecurity Framework 2.0 to begin managing their cybersecurity risks. The actions included within this publication are ones that small businesses can take on their own with limited technical knowledge or with minimal budget to implement. To make these guidelines applicable to a broader audience, cybersecurity risk management considerations are included for businesses as they grow and hire employees, if they decide to do so. 米国中小企業局によると、米国には3,480万社の中小企業があり、全米企業の99%を占めている。そのうち81.7%は、経営者以外に有給の従業員を持たない非雇用企業である。これらの企業は、規模こそ小さいが、経済のあらゆる産業や部門に代表者を擁し、米国のイノベーションと産業競争力に大きく貢献している。本書では、事業主以外に有給の従業員を持たない非雇用型企業のサイバーセキュリティの基本を特に取り上げ、NIST サイバーセキュリティフレームワーク 2.0 を活用してサイバーセキュリティリスクのマネジメントを開始できるように支援する。本書に含まれるアクションは、技術的な知識が乏しかったり、実施するための予算が最小限であったりしても、中小企業が独自に実施できるものである。このガイドラインをより幅広い読者に適用できるようにするため、企業が成長し、従業員を雇用することになった場合のサイバーセキュリティ・リスクマネジメントに関する考慮事項が含まれている。
One of the most significant changes to this revision is its narrowed scope. The previous versions of this publication discussed the broader topic of information security. To simplify and focus the content, this revised publication is now focused specifically on cybersecurity, which is a subset of information security. Based on community input, the audience has also been narrowed. Whereas prior versions were focused generally on “small business,” which is a very broad and diverse population, this revision is tailored to a more specific population—non-employer firms. Subsequent publications within this series may address other business populations. Revision 2 of this publication also reflects changes in technology and recent updates to NIST publications, including the Cybersecurity Framework (CSF) 2.0 and the NIST IR 8286 series. Another major update is that the information is presented in tabular format to enhance readability. 今回の改訂で最も大きな変更点の一つは、対象範囲を狭めたことである。本書の旧版では、情報セキュリティという広範なトピックを取り上げていた。内容を簡素化し、焦点を絞るため、今回の改訂版では、情報セキュリティのサブセットであるサイバーセキュリティに特化した。コミュニティからの意見に基づき、対象者も絞られた。旧版では、非常に広範で多様な人々である「中小企業」に全般的に焦点を当てていたのに対し、今回の改訂では、より特定の人々、すなわち非雇用者企業に合わせたものとなっている。本シリーズの後続刊行物では、他の企業集団を取り上げる可能性がある。本書の改訂 2 は、技術の変化や、サイバーセキュリティ枠組み(CSF)2.0 や NIST IR 8286 シリーズを含む NIST 出版物の最近の更新も反映している。もう一つの大きな更新点は、読みやすさを高めるために情報を表形式で示したことである。
Abstract 概要
This report is designed to help small firms use the NIST Cybersecurity Framework (CSF) 2.0 to begin managing their cybersecurity risks. The document is tailored to the smallest of businesses—those with no employees, or “non-employer” firms. These firms are also often colloquially referred to as “solopreneurs.” The goal of the publication is to introduce fundamentals of a small business cybersecurity program in non-technical language at the earliest stage of a business to set a solid cybersecurity risk management foundation. Considerations for maturing cybersecurity risk management as the business scales are included to make the document useful for entities of varying sizes. This publication is not all-encompassing, and implementation of a cybersecurity risk management strategy will vary based on the organization’s sector, size, resources, and contractual or regulatory requirements. 本レポートは、小規模企業が NIST サイバーセキュリティフレームワーク(CSF)2.0 を使用してサイバーセキュリティリスクのマネジメントを開始できるように設計されている。本書は、従業員のいない企業、つまり「非雇用」企業といった、最も小規模な企業向けに作成されている。このような企業は、俗に「個人事業主」とも呼ばれる。本書の目的は、事業の初期段階において、中小企業のサイバーセキュリティ・プログラムの基礎を非技術的な言葉で紹介し、サイバーセキュリティ・リスクマネジメントの基礎を固めることである。事業規模に応じてサイバーセキュリティ・リスクマネジメントを成熟させるための考察も含まれており、様々な規模の事業体にとって有用な文書となっている。本書はすべてを網羅するものではなく、サイバーセキュリティリスクマネジメント戦略の実施は、組織の業種、規模、リソース、契約上または規制上の要件によって異なる。

 

・[PDF] NIST.IR.7621r2.ipd

20250503-163636

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
2. The NIST Cybersecurity Framework 2. NIST サイバーセキュリティ枠組み
Govern Function (GV) ガバナンス機能(GV)
Identify Function (ID) 識別機能(ID)
Protect Function (PR) 保護機能(PR)
Detect Function (DE) 検知機能(DE)
Respond Function (RS) 対応機能(RS)
Recover Function (RC) 回復機能(RC)
3. Conclusion 3.結論
References 参考文献
Appendix A. Glossary 附属書 A. 用語集 
Appendix B. Acronyms 附属書 B. 頭字語
Appendix C. Calculating, Documenting, Categorizing, and Prioritizing Cybersecurity Assets and Risks Worksheet 附属書 C. サイバーセキュリティ資産とリスクの計算、文書化、分類、優先順位付けワークシート
Appendix D. Respond and Recover Worksheet 附属書 D. 対応と回復ワークシート
Appendix E. Authentication Worksheet 附属書 E. 認証ワークシート
Appendix F. Change Log 附属書 F. 変更履歴
List of Tables 表一覧
Table 1: Cybersecurity Risk Management Lifecycle 表 1:サイバーセキュリティリスクマネジメントのライフサイクル
Table 2: Getting Started with an Asset Inventory 表 2:資産インベントリの開始
Table 3: The Six Functions of the CSF 表 3:CSF の 6 つの機能
Table 4: Column Headings with Descriptions 表 4:列見出しと説明
Table 5: Documenting Legal, Regulatory, and Contractual Cybersecurity Requirements  表 5:法的、規制的、および契約上のサイバーセキュリティ要件の文書化 
Table 6: MFA Starter Checklist  表 6:MFA スターターチェックリスト
Table 7: Sample Response Contact Table 表 7:対応連絡先表のサンプル
Table 8: Sample Asset Categorization-Appendix 表 8:資産分類のサンプル-附属書
Table 9: Sample Potential Events and Risks to Assets-Appendix 表 9:想定される出来事と資産に対するリスクの例-附属書
Table 10: Sample Contact Table-Appendi 表 10:サンプル連絡先表-附属書
Table 11: Sample Reporting Requirements Table-Appendix 表 11:サンプル報告要件表-附属書
Table 12: Sample MFA Table-Appendix 表 12:サンプル MFA 表-附属書
Table 13: Sample Default Manufacturer Passwords Table-Appendix 表 13:サンプルデフォルト製造事業者パスワード表-附属書
List of Figures 図一覧
Figure 1: Notional Architecture for Non-Employer Firm 図 1:非雇用企業の想定アーキテクチャ
Figure 2: The Cybersecurity Framework Functions 図 2:サイバーセキュリティ枠組みの機能

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー
Small businesses are a substantial and critical part of the U.S. and global economy. According to the U.S. Small Business Administration Office of Advocacy [3], there are 34.8 million small businesses in the United States, comprising 99% of all U.S. businesses. Of those, 81.7% are nonemployer firms with no paid employees other than the owners of the business. These businesses, though small in size, are represented in every industry and sector of the economy and contribute significantly to the Nation’s innovation and industrial competitiveness.   中小企業は、米国経済および世界経済において重要かつ重要な役割を担っている。 米国および世界経済にとって重要かつ重要な役割を担っている。米国中小企業局(U.S. Small Business Administration Office of Advocacy)[3]によると、米国には 3,480 万の中小企業があり、米国企業全体の 99%を占めている。そのうち81.7%は、経営者以外に有給の従業員を持たない非雇用企業である。これらの企業は、規模こそ小さいものの、経済のあらゆる産業と部門に代表者を擁し、国の技術革新と産業競争力に大きく貢献している。 
As small businesses have become more reliant upon data and technology to operate and scale a modern business, cybersecurity has become a fundamental risk that must be addressed alongside other business risks (e.g., financial risks, natural disasters, competitors) as part of broader enterprise risk management (ERM) planning. A cybersecurity incident can be devastating to a small business and can negatively impact its ability to deliver goods and services, with effects cascading to customers, employees, business partners, and potentially the community. Establishing a strong cybersecurity culture early in the business’ development, even before employees are hired, creates a foundation from which to build a resilient business in the face of ever-increasing cybersecurity risks. No business - of any size - can prevent every cybersecurity incident from occurring. But it can implement a cybersecurity plan that will enhance security while achieving business objectives.   中小企業が近代的なビジネスを運営し、規模を拡大するためにデータやテクノロジーへの依存度が高まるにつれ、サイバーセキュリティは、より広範なエンタープライズ・リスク・マネジメント(ERM)計画の一環として、他のビジネスリスク(財務リスク、自然災害、競合他社など)と並んで対処しなければならない基本的なリスクとなっている。サイバーセキュリティのインシデントは、中小企業に壊滅的な打撃を与え、商品やサービスを提供する能力に悪影響を及ぼし、その影響は顧客、従業員、ビジネス・パートナー、そして潜在的には地域社会にまで連鎖する可能性がある。従業員を雇用する前の早い段階から、強力なサイバーセキュリティ文化を確立することで、増大し続けるサイバーセキュリティ・リスクに直面してレジリエンスに優れたビジネスを構築する基盤が構築される。どのような規模の企業であっても、すべてのサイバーセキュリティ・インシデントの発生を防ぐことはできない。しかし、ビジネス目標を達成しながらセキュリティを強化するサイバーセキュリティ計画を実施することはできる。 
NIST IR 7621, Revision 2 Updates  NIST IR 7621改訂第2版 更新箇所
One of the most significant changes to this revision is its narrowed scope. The previous versions of this publication discussed the broader topic of information security. To simplify and focus the content, this revised publication is now focused specifically on cybersecurity, which is a subset of information security. Based on community input, the audience has also been narrowed. Whereas prior versions were focused generally on “small business,” which is a very broad and diverse population, this revision is tailored to a more specific population—non-employer firms [2]. Subsequent publications within this series may address other business populations. Revision 2 of this publication also reflects changes in technology and recent updates to NIST publications, including the Cybersecurity Framework (CSF) 2.0 and the NIST IR 8286 series. Another major update is that the information is presented in tabular format to enhance readability.  今回の改訂の最も大きな変更点の一つは、対象範囲を狭めたことである。本書の以前のバージョンでは、情報セキュリティという広範なトピックについて論じていた。内容を簡素化し、焦点を絞るために、この改訂版では、情報セキュリティのサブセットであるサイバーセキュリティに特化した。コミュニティからの意見に基づき、対象者も絞られた。旧版では、非常に広範で多様な「中小企業」を対象としていたのに対し、本改訂版では、より具体的な「非雇用者企業」を対象としている[2]。本シリーズの後続刊行物では、他の企業集団を取り上げる可能性がある。本書の改訂 2 は、技術の変化や、サイバーセキュリティ枠組み(CSF)2.0 や NIST IR 8286 シリーズを含む NIST 出版物の最近の更新も反映している。もう一つの大きな更新点は、情報が表形式で表示され、読みやすくなったことである。
Relationship to the CSF 2.0 and Other NIST Publications  CSF 2.0 および他の NIST 出版物との関係
This publication uses the CSF 2.0 [1] and the CSF 2.0 Small Business (SMB) Quick Start Guide (QSG) as a foundation from which to address cybersecurity for a specific audience—nonemployer firms. This publication goes into significantly more detail than the SMB QSG and brings in additional NIST publications as reference material to connect and demonstrate important concepts through graphics, tables, and appendices.   本書は、CSF 2.0 [1]および CSF 2.0 小規模企業(SMB)クイックスタートガイド(QSG)を基礎として、特定の対象者(非雇用者企業)向けのサイバーセキュリティに取り組んでいる。本書は、SMB QSG よりも大幅に詳細な内容となっており、NIST の追加刊行物を参考資料として取り入れ、図、表、附属書を通じて重要な概念を結びつけ、実証している。 
“No business - of any size - can prevent every cybersecurity incident from occurring. But it can implement a cybersecurity plan that will enhance security while delivering business objectives.” 「どのような規模の企業であっても、すべてのサイバーセキュリティインシデントの発生を防ぐことはできない。しかし、ビジネス目標を達成しながらセキュリティを強化するサイバーセキュリティ計画を実施することはできる。

 

 

IR7621の履歴...

2025.05.01 IR 7621 Rev. 2 Small Business Cybersecurity: Non-Employer Firms
Draft
2024.03.18 IR 7621 Rev. 2 PRE-DRAFT Call for Comments | Small Business Information Security: The Fundamentals Draft (Obsolete)
2016.11.03 IR 7621 Rev. 1 Small Business Information Security: The Fundamentals Final
2014.12.16 IR 7621 Rev. 1 Small Business Information Security: the Fundamentals Draft (Obsolete)
2009.10.01 IR 7621 Small Business Information Security: the Fundamentals Withdrawn

 

 


 

中小企業、小事業向けのサイバーセキュリティ対策関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.04 英国 サイバーエッセンシャルズ 小規模の弁護士事務所・新興技術企業への助成

・2024.12.23 英国 Cyber Essentials 2025.04.28以降の要求事項等について...

・2024.10.23 英国 全学校にオンライン脅威に対する防御として無料のサイバーサービスを提供

・2024.08.20 英国 サイバーエッセンシャル発行数 (2023.07-2024.06)

・2024.05.02 英国 サイバーエッセンシャル発行数 (2023.01-2023.12)

・2024.03.27 ドイツ CyberRisikoCheck:中小企業向けITセキュリティ

・2024.03.25 米国 NIST NIST IR 7621 Rev. 2(初期ドラフト)プレドラフト意見募集|「小事業の情報セキュリティ: 基礎編」

・2024.03.16 経済産業省 サイバーセキュリティお助け隊サービスの新たな類型(2類)の創設に係るサービス基準の改定版の公開

・2024.03.07 米国 NSIT サイバーセキュリティ・フレームワーク(CSF)2.0 関連 SP 1299, 1300, 1301, 1302, 1303, 1305 (2024.02.26)

 (SP1300が中小企業向けです...)

・2023.10.24 米国 CISA 中小企業向け:強靭なサプライチェーンリスクマネジメント計画策定のためのリソースガイド

・2023.07.13 英国 小規模企業のサイバーセキュリティをサポート:サイバーアドバイザリー制度 (2023.04.17)

・2020.10.11 UK National Cyber Security Centreがスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。(Cyber Essentials認定も意識して)

 

| | Comments (0)

2025.05.03

米国 NIST SP 800-236 2024会計年度サイバーセキュリティ・プライバシー年次報告書 (2025.04.28)

こんにちは、丸山満彦です。

米国のNISTのサイバー&プライバシー分野の年次報告です...

予算獲得のためかもしれませんが...年度(2023.10.01-2024.09.30) の出来事を振り返る上で参考になりますね。。。もう少し早くだせばよいのにね...

 

● NIST - ITL

・2025.04.28 NIST SP 800-236 Fiscal Year 2024 Cybersecurity and Privacy Annual Report

NIST SP 800-236 Fiscal Year 2024 Annual Report for NIST Cybersecurity and Privacy Program NIST SP 800-236 2024 年度 NIST サイバーセキュリティ・プライバシープログラム年次報告書
Abstract 概要
Throughout Fiscal Year 2024 (FY 2024) — from October 1, 2023, through September 30, 2024 — the NIST Information Technology Laboratory (ITL) Cybersecurity and Privacy Program successfully responded to numerous challenges and opportunities in security and privacy. This Annual Report highlights the ITL Cybersecurity and Privacy Program’s FY 2024 research activities, including the ongoing participation and development of international standards, research, and practical applications in several key priority areas (e.g., post-quantum cryptography, NIST Cybersecurity Framework [CSF 2.0], and new CSF profiles), improved software and supply chain cybersecurity, work on IoT cybersecurity guidelines, National Cybersecurity Center of Excellence (NCCoE) projects, a new comment site for NIST’s Risk Management Framework, the release of a Phish scale, progress in the Identity and Access Management program, and Strategic and Emerging Research Initiatives (SERI) for autonomous vehicles.  2023 年 10 月 1 日から 2024 年 9 月 30 日までの 2024 会計年度(FY2024)を通して、NIST 情報技術研究所(ITL)のサイバーセキュリティ・プライバシープログラムは、セキュリティとプライバシーにおける数多くの課題と機会に成功裏に対応した。本年次報告書では、ITLサイバーセキュリティ・プライバシープログラムの2024年度の研究活動に焦点を当て、いくつかの重要な優先分野(例.耐量子暗号、NISTサイバーセキュリティ・フレームワーク[CSF 2.0]、新しいCSFプロファイル)、ソフトウェアとサプライチェーンのサイバーセキュリティの改善、IoTサイバーセキュリティ・ガイドラインの作成、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)プロジェクト、NISTのリスクマネジメント・フレームワークの新しいコメントサイト、フィッシュ・スケールのリリース、アイデンティティ・アンド・アクセス・マネジメント・プログラムの進展、自律走行車の戦略的・新興研究イニシアチブ(SERI)などである。

 

・[PDF] NIST.SP.800-236

20250503-55128

 

目次...

Foreword まえがき
PRIORITY AREAS 重点分野
Cryptography 暗号
Education & Workforce  教育・人材
Emerging Technology  新興技術
Human-Centered Cybersecurity  人間中心のサイバーセキュリティ
Identity & Access Management  アイデンティティとアクセス管理
Privacy  プライバシー
Risk Management  リスクマネジメント
Trusted Networks & Platforms  信頼されるネットワークとプラットフォーム
National Cybersecurity Center of Excellence (NCCoE)  国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)
Stakeholder Engagement & Events ステークホルダー・エンゲージメントとイベント

 

過去分を含めた目次...

2024 2023 2022 2021 2020 2019 2018 2017
SP800-236 SP 800-229 SP 800-225 SP 800-220 SP 800-214 SP 800-211 SP 800-206  SP 800-203
暗号 暗号 暗号 暗号の標準と検証 サイバーセキュリティの啓発と教育  サイバーセキュリティとプライバシーの標準化の進化 サイバーセキュリティとプライバシー基準の推進 国際ITセキュリティ標準へのITLの関与
教育・人材 教育、トレーニング、人材開発  教育、トレーニング、人材開発 サイバーセキュリティの測定 アイデンティティとアクセス管理 リスク管理の強化 リスクマネジメントの強化 リスク管理
新興技術 新興技術  アイデンティティとアクセス管理 教育と労働力 測定基準と測定 暗号標準と検証の強化 暗号の標準と検証の強化 バイオメトリクス標準と関連する適合性評価試験ツール
人間中心のサイバーセキュリティ 人間中心のサイバーセキュリティ プライバシー アイデンティティとアクセス管理 リスクマネジメント 先端サイバーセキュリティ研究・応用開発 サイバーセキュリティの研究・応用開発の推進 サイバーセキュリティアプリケーション
アイデンティティとアクセス管理 アイデンティティとアクセス管理 リスクマネジメントと計測 プライバシーエンジニアリング プライバシーエンジニアリング  サイバーセキュリティについての意識向上、トレーニング、教育、人材育成 サイバーセキュリティの意識向上、トレーニング、教育、人材開発 ソフトウェアの保証と品質
プライバシー プライバシー 信頼できるネットワークとプラットフォーム リスクマネジメント 新規技術 アイデンティティとアクセス管理の強化 アイデンティティとアクセス管理の強化 連邦サイバーセキュリティ調査研究
リスクマネジメント リスクマネジメント 利用可能なサイバーセキュリティ 信頼できるネットワーク 暗号の標準化と検証 通信・インフラ保護の強化 必インフラストラクチャの保護強化  コンピュータ・フォレンジック
信頼されるネットワークとプラットフォーム 信頼できるネットワークとプラットフォーム   信頼できるプラットフォーム 信頼性の高いネットワーク 新技術の確保 新規技術の保護 サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE) NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス     信頼性の高いプラットフォーム セキュリティテストと測定ツールの進化 セキュリティのテストと測定ツールの推進 暗号標準化プログラム
              バリデーションプログラム
              ID ・アクセス管理
              新規技術の研究
              ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
              インターネットインフラ保護
              高度なセキュリティ試験と測定
              技術的な安全性の指標
              利便性とセキュリティ

 

本文部分...

Foreword まえがき
Back to the future. As we look back on our past fiscal year’s work in cybersecurity and privacy, we can see the fruition of many long-standing efforts that will position us well in the changing times ahead.  未来に戻る。サイバーセキュリティとプライバシーの分野における昨年度の取り組みを振り返ると、これからの変化する時代に対応するための長年の取り組みが結実したことがわかる。
NIST has set foundations to ensure our security and privacy now and into the future with new quantum- resistant encryption algorithms, updates to the NIST Cybersecurity Framework, and the establishment of Artificial Intelligence programs, testbeds, and research agendas. Our research has also demonstrated practical applications of our work that spans several key priority areas that are outlined in this report with hyperlinked pointers to help you dig deeper and learn more.  NISTは、新しい量子耐性暗号アルゴリズム、NISTサイバーセキュリティ枠組みの更新、人工知能プログラム、テストベッド、研究課題の確立など、現在そして将来にわたって私たちのセキュリティとプライバシーを確保するための基盤を整えてきた。また、NISTの研究は、いくつかの重要な優先分野にわたって、その実用的な応用を実証してきた。この報告書では、さらに深く掘り下げて学ぶのに役立つハイパーリンク付きのポインタとともに、その概要を紹介している。
NIST’s work aligns with and supports many national initiatives to protect our Nation, including the National Cybersecurity Strategy and its related Implementation Plan, new policies for federal agencies from the Office of Management and Budget, initiatives from the Office of the National Cyber Director, and response actions directed by the National Security Council. NIST leads many standards- setting organizations around the world and ensures that U.S. priorities, requirements, and technologies are at the forefront of standards activities. This enables the development of products and services that meet our needs and are unquestionably secure. We are proud of and excited about the relevance and impact of our work as we continue to protect our information, economy, and way of life.  NIST の業務は、国家サイバーセキュリティ戦略とそれに関連する実施計画、行政管理予算局による連邦政府機関向けの新政策、国家サイバー長官室によるイニシアティブ、国家安全保障会議が指示する対応措置など、国家を保護するための多くの国家的イニシアティブと連携し、これを支援している。NISTは世界中の多くの標準策定組織をリードし、米国の優先事項、要件、技術が標準化活動の最前線にあることを保証している。これにより、我々のニーズを満たし、疑いなく安全な製品やサービスの開発が可能になる。われわれは、情報、経済、生活様式を守り続けているわれわれの活動の妥当性と影響力に誇りを持ち、また興奮している。
We hope that you will take the time to review some of the key highlights of our cybersecurity and privacy accomplishments from FY 2024 and to explore some of our priorities, programs, and projects. You can learn about the many conferences and workshops we had in the last fiscal year by viewing the recordings or reading the event proceedings, and we invite you to participate directly with us in our upcoming events.  2024 年度のサイバーセキュリティとプライバシーの成果の主なハイライトをご覧いただき、私たちの優先事項、プログラム、プロジェクトのいくつかを探っていただければ幸いである。昨年度に開催された多くの会議やワークショップについては、録画をご覧になるか、イベントの議事録をお読みになればお分かりになると思う。
Most importantly, we look forward to learning more from you as we work together to address the challenges of today and journey into the future. As ever, we appreciate your support and hope that you are making the best possible use of NIST’s work.  最も重要なことは、私たちが協力して今日の課題に取り組み、未来に向かって歩んでいく中で、皆さんからさらに多くのことを学べることを楽しみにしているということだ。これまで同様、皆様のご支援に感謝するとともに、皆様がNISTの活動を最大限に活用されることを願っている。
Matthew Scholl  Matthew Scholl
Chief, Computer Security Division, NIST  Chief, Computer Security Division, NIST
Rodney Petersen  Rodney Petersen
Interim Chief, Applied Cybersecurity Division, NIST Interim Chief, Applied Cybersecurity Division, NIST
Cryptography 暗号
Cryptography is foundational to our security and data protection needs. The standards, guidelines, recommendations, and tools provided by NIST’s Cryptography priority area enable the trustworthy assurance of integrity and confidentiality in all types of information and technology — now and in the future. 暗号は我々のセキュリティとデータ保護のニーズにとって基礎となるものである。NISTの暗号技術優先領域が提供する標準、ガイドライン、勧告、およびツールは、現在および将来のあらゆる種類の情報と技術における完全性と機密性の信頼できる保証を可能にする。
Major Accomplishments in FY 2024: 2024年度の主な成果
• NIST published the first three Federal Information Processing Standards (FIPS) for postquantum cryptography. These standards specify key-establishment and digital signature schemes that are designed to resist future attacks by quantum computers, which threaten the security of current standards. The three algorithms specified in these standards are each derived from different submissions to the NIST Post-Quantum Cryptography (PQC) Standardization Project ・NIST は、ポスト量子暗号に関する最初の 3 つの連邦情報処理標準(FIPS)を発行した。これらの標準は、現在の標準の安全性を脅かす量子コンピュータによる将来的な攻撃に耐えるように設計された鍵確立およびデジタル署名方式を規定している。これらの標準に規定されている3つのアルゴリズムは、それぞれNISTの耐量子暗号(PQC)標準化プロジェクトに提出された異なるアルゴリズムから派生したものである。
• The PQC team hosted the Fifth PQC Standardization Conference in April 2024. This conference discussed the finalization of the initial PQC FIPS and the ongoing evaluation of the Round 4 Public-Key Encryption and Key-Establishment Algorithms and the Additional Digital Signature Schemes that are being considered for future standardization. ・PQCチームは2024年4月に第5回PQC標準化会議を開催した。この会議では、初期 PQC FIPS の最終化、および将来の標準化を検討しているラウンド 4 公開鍵暗号化アルゴリズムと鍵確立アルゴリズム、および追加電子署名方式の進行中の評価について議論された。
• The Multi-Party Threshold Cryptography (MPTC) and Privacy-Enhancing Cryptography (PEC) projects jointly released the initial public draft of NIST Internal Report (IR) 8214C, NIST First Call for Multi-Party Threshold Schemes (MPTS). The document’s scope includes advanced techniques, such as fully homomorphic encryption, zero-knowledge proofs, and the building blocks of secure multi-party computation. As part of an effort to obtain public comments, NIST hosted the MPTS 2023 workshop and three events of the Special Topics on Privacy and Public Auditability (STPPA). ・マルチパーティ閾値暗号(MPTC)プロジェクトとプライバシー拡張暗号(PEC)プロジェクトは共同で、NIST内部報告書(IR)8214C「NIST First Call for Multi-Party Threshold Schemes(MPTS)」の初公開ドラフトを発表した。この文書の範囲には、準同型暗号、ゼロ知識証明、安全なマルチパーティ計算の構成要素などの高度な技術が含まれている。パブリックコメントを得るための取り組みの一環として、NISTはMPTS 2023ワークショップと、プライバシーと公開監査可能性に関する特別刊行物(STPPA)の3つのイベントを開催した。
NIST’s Crypto Publication Review Board completed seven publication reviews, and five reviews are in progress to update and modernize the portfolio of cryptographic standards. ・NISTの暗号出版審査委員会は7件の出版審査を完了し、5件の審査が暗号標準のポートフォリオの更新と近代化のために進行中である。
Learn more about this priority area この優先分野の詳細
Education & Workforce 教育・人材
The Education and Workforce priority area energizes, promotes, and coordinates a robust community that works together to advance an integrated ecosystem of cybersecurity education, training, and workforce development. 教育・人材優先分野は、サイバーセキュリティの教育、訓練、労働力開発の統合されたエコシステムを推進するために協働する強固なコミュニティを活性化、促進、調整する。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• A major update to the NICE Framework was released as the Version 1.0.0 Components, which incorporated changes to almost every level of the NICE Framework’s structure and includes a list of 11 learner-focused Competency Areas. The new Components were released in multiple data formats, including as part of NIST’s Cybersecurity and Privacy Reference Tool ・NICE フレームワークの大幅な更新が行われ、バージョン 1.0.0 コンポーネントが発表された。新しいコンポーネントは、NISTのサイバーセキュリティ及びプライバシー・リファレンス・ツールの一部など、複数のデータ形式でリリースされた。
• NIST released two new resources in support of the NICE Strategic Plan Goal 4.6: “Expand international outreach to promote the NICE Framework and document approaches being used in other countries.” The new NICE Framework components have been translated into five languages, and a list of international Cybersecurity Skills and Workforce Frameworks is now available. The list includes a representative sample of cybersecurity, cyber-related, digital literacy skills, and workforce frameworks from countries around the world. ・NICE戦略計画の目標4.6 「NICEフレームワークを普及させるために国際的なアウトリーチを拡大し、他国で使用されているアプローチを文書化する 」を支援するために、NISTは2つの新しいリソースをリリースした。新しい NICE フレームワークの構成要素は 5 つの言語に翻訳され、国際的なサイバーセキュリティ技能・人材フレームワークのリストが利用可能になった。このリストには、世界各国のサイバーセキュリティ、サイバー関連、デジタルリテラシースキル、労働力の枠組みの代表例が含まれている。
• The NICE Community Coordinating Council’s Promote Career Discovery Working Group launched the Cybersecurity Career Ambassador Program. The Transform Learning Process Working Group published the Landscape of Performance-Based Assessments in Cybersecurity. ・NICE コミュニティー調整カウンシルの「サイバーセキュリティキャリア大使プログラム」を開始した。学習プロセス変革作業部会は、「サイバーセキュリティにおけるパフォーマンスベースのアセスメントの展望」を発表した。
• The Cybersecurity Education and Workforce Group published an update to NIST Special Publication (SP) 800-50r1 (Revision 1), Building a Cybersecurity and Privacy Learning Program. ・サイバーセキュリティ教育・人材育成グループは、NIST 特別刊行物(SP)800-50r1(改訂 1)「サイバーセキュリティおよびプライバシー学習プログラムの構築」の最新版を発表した。
• The Regional Alliances and Multistakeholder Partnerships to Stimulate (RAMPS) Cybersecurity Education and Workforce Development Program awarded cooperative agreements totaling nearly $6.6 million aimed at building the workforce needed to safeguard enterprises from cybersecurity risks. The grants of roughly $200,000 apiece were distributed to 33 education and community organizations in 22 states that are working to address the nation’s shortage of skilled cybersecurity employees. Learn more about the RAMPS Communities. ・サイバーセキュリティ教育・人材育成プログラム(RAMPS)を活性化するための地域連合とマルチステークホルダー・パートナーシップは、サイバーセキュリティリスクからエンタープライズを守るために必要な人材育成を目的とした、総額約660万ドルの協力協定を締結した。1件あたり約20万ドルの助成金は、サイバーセキュリティの熟練従業員不足に取り組む22州の33の教育および地域団体に配布された。RAMPSコミュニティについての詳細はこちら。
• Several events were held throughout FY 2024, including the NICE Conference, K12 Conference, RICET, webinars, and FISSEA.   ・2024年度を通して、NICE会議、K12会議、RICET、ウェビナー、FISSEAなど、いくつかのイベントが開催された。 
Learn more about this priority area この優先分野についての詳細はこちら
Emerging Technology 新興技術
The rapid evolution of technology brings extraordinary opportunities and unavoidable challenges. NIST’s cybersecurity researchers study these emerging technologies to understand their security and privacy capabilities, vulnerabilities, configurations, and overall structures to develop standards, guidelines, and references for improving their approaches before they are deployed. テクノロジーの急速な進化は、並外れた機会と避けられない課題をもたらす。NISTのサイバーセキュリティ研究者は、これらの新技術を研究し、そのセキュリティとプライバシーの能力、脆弱性、構成、全体的な構造を理解することで、それらが展開される前にそのアプローチを改善するための標準、ガイドライン、リファレンスを開発している。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• NIST released the final version of AI 100-2 E2023, Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations. ・NIST は、AI 100-2 E2023 の最終版である「敵対的機械学習」を公表した。
SP 800-218A, Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Profile, augments the secure software development practices identified in SP 800-218, Secure Software Development Framework (SSDF) with recommendations, considerations, notes, and informative references that are specific to generative AI and dual-use foundation model development. ・SP 800-218A「生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス」を発表した: An SSDF Profile」は、SP 800-218「安全なソフトウェア開発枠組み(SSDF)」で特定された安全なソフトウェア開発プラクティスを、生成的AIとデュアルユースファウンデーションモデル開発に特化した推奨事項、考慮事項、注釈、参考文献で補強したものである。
• NIST launched a project to investigate immersive technologies and their potential cybersecurity and privacy considerations. The findings will inform a possible roadmap for NIST competencies around these technologies, focusing on cybersecurity and privacy risk management. ・NISTは、没入型技術とその潜在的なサイバーセキュリティおよびプライバシーに関する検討事項を調査するプロジェクトを開始した。調査結果は、サイバーセキュリティとプライバシーのリスクマネジメントに焦点を当てた、これらの技術に関するNISTコンピテンシーのロードマップとなる可能性がある。
NIST IR 8425A, Recommended Cybersecurity Requirements for Consumer-Grade Router Products, comprehensively maps router cybersecurity standards provisions to the NIST baseline.  ・NIST IR 8425A「一般消費者向けルータ製品に対する推奨サイバーセキュリティ要件」は、ルータのサイバーセキュリティ標準規定をNISTのベースラインに包括的にマッピングしたものである。
• NIST held an open discussion forum and released the initial public draft of Cybersecurity White Paper (CSWP) 33, Product Development Cybersecurity Handbook for IoT Product Manufacturers, which describes considerations for developing and deploying secure IoT products across sectors and use cases and extends NIST’s work to consider the cybersecurity of IoT product component configurations. ・NISTはオープンディスカッションフォーラムを開催し、サイバーセキュリティ白書(CSWP)33「IoT製品製造者のための製品開発サイバーセキュリティハンドブック」の初期公開草案を発表した。このハンドブックは、セクターやユースケースを超えて安全なIoT製品を開発・展開するための考慮事項を記述し、IoT製品のコンポーネント構成のサイバーセキュリティを考慮するためにNISTの作業を拡張したものである。
•NIST led the IoT Interagency Federal Working Group and collaborated with the IoT Advisory Board as it developed findings and recommendations on how the U.S. can reduce barriers to adopting IoT technologies. The findings were documented in a September 2024 report. ・NISTは、IoT省庁間連邦作業部会を主導し、IoT諮問委員会と協力して、米国がIoT技術を採用する際の障壁を低減する方法に関する調査結果と勧告を作成した。調査結果は2024年9月の報告書にまとめられている。
Learn more about this priority area この優先分野についての詳細はこちら
Human-Centered Cybersecurity 人間中心のサイバーセキュリティ
The mission of the Human-Centered Cybersecurity priority area is to “champion the human in cybersecurity.” Through research and other human-centered projects, the program team seeks to better understand and improve people’s cybersecurity interactions, perceptions, and behaviors to empower them to be active, informed participants in cybersecurity. 人間中心のサイバーセキュリティ優先分野の使命は、「サイバーセキュリティにおいて人間を支持する」ことである。研究およびその他の人間中心のプロジェクトを通じて、プログラム・チームは、サイバーセキュリティにおける人々の相互作用、認識、行動をよりよく理解し、改善することで、サイバーセキュリティに積極的かつ十分な情報を得た上で参加できるようにすることを目指している。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• The phishing project team published theNIST Phish Scale User Guide handbook on applying the Phish Scale — a novel method for measuring socially engineered email attacks. The guide has been downloaded over 20,000 times since its release. The Phish Scale is used in public- and private-sector organizations around the world to aid those who manage phishing awareness training programs in enhancing training effectiveness and strengthening organizations’ security postures.  ・フィッシング・プロジェクト・チームは、社会的に操作された電子メール攻撃を測定する新しい手法であるフィッシュ・スケールの適用に関するハンドブック「NISTフィッシュ・スケール・ユーザー・ガイド」を発行した。このガイドブックは公開以来20,000回以上ダウンロードされている。フィッシング・スケールは世界中の公共および民間の組織で使用されており、フィッシング意識向上およびトレーニング・プログラムを管理する人々がトレーニングの効果を高め、組織のセキュリティ体制を強化するのに役立っている。
• The youth security and privacy project team continued participation in the White House Kids Online Health and Safety (KOHS) Task Force. NIST provided technical expertise and worked with multi-agency colleagues in three task force working groups to deliver a first-of-its-kind report, Best Practices for Families and Guiddlines for Industry. This report includes: (1) best practices for parents and caregivers to promote youth online health, safety, and privacy; (2) recommended industry practices; (3) a research agenda that identifies domains of further inquiry; and (4) recommended next steps for policymakers. ・青少年のセキュリティとプライバシー・プロジェクト・チームは、ホワイトハウスのKids Online Health and Safety(KOHS)タスクフォースへの参加を継続した。NISTは技術的な専門知識を提供し、3つのタスクフォース・ワーキンググループで複数の省庁の同僚と協力して、これまでにない報告書「家族のためのベストプラクティスと産業界のためのガイドライン」を作成した。この報告書には以下の内容が含まれている: (1)青少年のオンライン上の健康、安全、プライバシーを促進するための保護者や介護者のためのベストプラクティス、(2)推奨される産業界のプラクティス、(3)さらなる調査の必要性を特定する研究課題、(4)政策立案者のための推奨される次のステップ。
• NIST published results from practitioner and researcher survey studies that explored how human-centered cybersecurity concepts can be better integrated into practice and how practitioners can better inform human-centered cybersecurity research. To address some of the challenges identified in the studies, NIST launched the Human-Centered Cybersecurity Community of Interest, an online forum that brings practitioners and researchers together to share perspectives and facilitate collaboration. NIST also co-sponsored and served on the organizing committee for ConnectCon, an interactive workshop that brings together cybersecurity experts from academia, industry, and government to identify and discuss the most pressing human-centered cybersecurity challenges that organizations face today. ・NIST は、人間中心のサイバーセキュリティの概念をどのように実践にうまく取り入れることができるか、また、人間中心のサイバーセキュリティの研究をどのように実践者にうまく伝えることができるかについて調査した、実務者および研究者の調査研究の結果を発表した。この調査で明らかになった課題のいくつかに対処するため、NISTは「人間中心のサイバーセキュリティ・コミュニティ・オブ・インタレスト」を立ち上げ、実務者と研究者が一堂に会して視点を共有し、協力を促進するオンラインフォーラムを開設した。NISTはまた、学術界、産業界、政府からサイバーセキュリティの専門家を集め、組織が今日直面している最も差し迫った人間中心のサイバーセキュリティの課題を特定し、議論する対話型ワークショップであるConnectConを共催し、組織委員会のメンバーも務めた。
Learn more about this priority area この優先分野の詳細
Identity & Access Management アイデンティティとアクセス管理
Identity and Access Management (IAM) is the cornerstone of data protection, privacy, and security. NIST’s IAM priority area provides research, guidelines, and technology transition activities to help ensure that the right humans, devices, data, and processes have the right access to the right resources at the right time. ID & アクセス管理(IAM)は、データ保護、プライバシー、セキュリティの要である。NISTのIAM優先分野は、適切な人、デバイス、データ、プロセスが適切なリソースに適切なタイミングでアクセスできるようにするための研究、ガイドライン、技術移行活動を提供する。
Major Accomplishments in FY 2024: 2024年度の主な成果
• After adjudicating nearly 4,000 comments, NIST published a second public draft of all four volumes of SP 800-63-4, Digital Identity Guidelines, which provide a foundation for the inclusion of new techniques and technologies into federal IAM programs. ・NIST は、4,000 件近いコメントを審査した後、SP 800-63-4「デジタル・アイデンティティ・ ガイドライン」全 4 巻の第 2 次公開ドラフトを公表した。
• NIST’s IAM team published updates to the suite of SP 800-73-5 documents, which specify the Interfaces of Personal Identity Verification (PIV) Credentials (Part 1), (Part 2), and (Part 3), and completed updates to SP 800-78-5, Cryptographic Algorithms and Key Sizes for Personal Identity Verification. ・NIST の IAM チームは、個人 ID 検証(PIV)クレデンシャルのインタフェース(パート 1)、(パート 2)、(パート 3)を規定する一連の SP 800-73-5 文書の更新を発表し、SP 800-78-5 「個人 ID 検証の暗号アルゴリズムおよび鍵サイズ」の更新を完了した。
• NIST continuously updates the Face Recognition/Analysis Technology Evaluation (FRTE/FATE) to provide critical benchmarking for emerging applications of facial recognition and analysis. NIST IR 8525: Face Analysis Technology Evaluation: Age Estimation and Verification, was also released to evaluate the ability of face analysis to estimate age based on a subject’s face image, which is something essential to emerging age verification schemes. ・NISTは顔認識/分析技術評価(FRTE/FATE)を継続的に更新し、顔認識と分析の新たなアプリケーションに重要なベンチマークを提供している。NIST IR 8525:顔分析技術評価: 年齢推定と検証」もまた、新しい年齢検証スキームに不可欠な、被験者の顔画像に基づいて年齢を推定する顔分析の能力を評価するためにリリースされた。

• NIST established an NCCoE project and Cooperative Research and Development Agreement (CRADA) consortium comprised of over 20 commercial and government partners to focus on creating implementation guidelines for the use of Cryptographically Verifiable Digital Credentials for online services. ・NIST は、NCCoE プロジェクトと、20 を超える商業および政府のパートナーで構成される CRADA(Cooperative Research and Development Agreement)コンソーシアムを設立し、オンラインサービスにおける暗号的に検証可能なデジタル・クレデンシャルの使用に関する実装ガイドラインの作成に注力した。
• NIST’s IAM team contributed to the final version of the Mobile Driving License Application standard (ISO/IEC 18013-7) and updated their reference implementation for the standard to facilitate testing and the certification of products. ・NISTのIAMチームは、モバイル運転免許証アプリケーション標準(ISO/IEC 18013-7)の最終版に貢献し、標準のリファレンス実装を更新して、テストと製品の認証を容易にした。
Learn more about this priority area この優先分野の詳細
PRIVACY プライバシー
Privacy is integral to the trust that supports the growth of the digital economy and improves our quality of life. NIST has prioritized Privacy Engineering to support measurement science and system engineering principles through frameworks, risk models, and guidelines that protect privacy and civil liberties. プライバシーは、デジタル経済の成長を支え、私たちの生活の質を改善する信頼に不可欠である。NISTは、プライバシーと市民的自由を保護する枠組み、リスクモデル、ガイドラインを通じて、計測科学とシステム工学の原則をサポートするために、プライバシー工学を優先している。
Major Accomplishments in FY 2024: 2024年度の主な成果
• NIST released the initial public draft of SP 800-226, Guidelines for Evaluating Differential Privacy Guarantees. This publication focuses on differential privacy — a privacy-enhancing technology that quantifies privacy risks to individuals when their information appears in a dataset.  ・NISTは、SP800-226「差分プライバシー保証の評価のためのガイドライン」の最初の公開草案を公表した。この出版物は、差分プライバシーに焦点を当てたものである。差分プライバシーとは、個人情報がデータセットに含まれる場合に、個人に対するプライバシーリスクを定量化するプライバシー強化技術である。
• NIST held the Ready, Set, Update! Privacy Framework 1.1 + Data Governance and Management (DGM) Profile Workshop to inform an update of the NIST Privacy Framework to Version 1.1 and the development of the DGM Profile. NIST also released concept papers for the Privacy Framework, Version 1.1 and the DGM Profile in advance of the workshop. 
・NISTはReady, Set, Updateを開催した!Privacy Framework 1.1 + Data Governance and Management (DGM) Profile Workshopを開催し、NISTプライバシー・フレームワークのバージョン1.1への更新とDGMプロファイルの開発に関する情報を提供した。NISTはワークショップに先立ち、プライバシーフレームワークバージョン1.1とDGMプロファイルのコンセプトペーパーも発表した。
• NIST published Diverse Community Data for Benchmarking Data Privacy Algorithms to disseminate major findings from the Collaborative Research Cycle (CRC) — a community challenge to evaluate de-identification algorithms. ・NISTは、データ・プライバシー・アルゴリズムのベンチマークのための多様なコミュニティ・データを公表し、共同研究サイクル(CRC)から得られた主要な知見を広めた。
• NIST released the Collaborative Research Cycle (CRC) Data and Metrics Archive, which is the largest global synthetic data evaluation ever performed—and an ongoing program that leads advancements in synthetic data technology. The program has over a dozen citations and has been featured in multiple conferences and workshops. ・NISTは、これまでに実施された世界最大の合成データ評価であり、合成データ技術の進歩をリードする継続的なプログラムであるCollaborative Research Cycle (CRC) Data and Metrics Archiveをリリースした。このプログラムは十数件の引用を受け、複数の会議やワークショップで取り上げられている。
62,214 NIST Privacy Framework downloads in FY24 (Approx 29% increase from FY23) Top 10 Countries – Privacy Framework Total Downloads NIST プライバシーフレームワークの 24 年度ダウンロード数 62,214 件(23 年度比約 29%増) 上位 10 カ国 ・プライバシーフレームワーク 総ダウンロード数
Learn more about this priority area この優先分野の詳細
Risk Management リスクマネジメント
Enabling effective risk management is the foundation and goal of the entire NIST cybersecurity and privacy portfolio — from cryptographic algorithm standards to enterprise risk management guidelines. Using NIST risk management resources, organizations can better understand risks, select and implement appropriate countermeasures, measure effectiveness, and implement continuous monitoring and improvement. 効果的なリスクマネジメントを可能にすることは、暗号アルゴリズム標準からエンタープライズリスクマネジメントガイドラインに至るまで、NIST のサイバーセキュリティとプライバシーのポートフォリオ全体の基盤であり目標である。NISTのリスクマネジメントリソースを利用することで、組織はリスクをよりよく理解し、適切な対策を選択・実施し、有効性を測定し、継続的な監視と改善を実施することができる。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• NIST published the Cybersecurity Framework (CSF) Version 2.0 in February 2024 after a process of extensive stakeholder collaboration. New implementation resources were published to accompany the Framework, including profiles, quick start guides, and informative references. NIST also worked with stakeholders around the world to translate and verify international translations of the CSF and associated resources. ・NIST は、広範な関係者の協力のプロセスを経て、2024 年 2 月にサイバーセキュリティ枠組み(CSF)バージョン 2.0 を公表した。枠組みに合わせて、プロファイル、クイックスタートガイド、参考文献など、新たな実装リソースが公表された。NIST はまた、世界中の利害関係者と協力して、CSF と関連リソースの国際的な翻訳と検証を行った。
• NIST used the SP 800-53 Public Comment Site to propose new controls, hold a public comment period, and issue revised controls and assessment procedures within 30 days in response to a gap in the control catalog. ・NIST は、SP800-53 パブリックコメントサイトを利用して、新たな管理策を提案し、パブリックコメント期間を設け、管理策カタログのギャップに対応して、30 日以内に改訂された管理策とアセスメント手順を発行した。
• Additional resources for implementers were released, including a series of free, self-paced online introductory courses on security and privacy controls, assessment procedures, control baselines, and the NIST Risk Management Framework for Small Enterprises Quick Start Guide (QSG). ・セキュリティとプライバシーのコントロール、アセスメント手順、コントロール・ベースライン、小規模企業向けNISTリスクマネジメントフレームワーク・クイックスタートガイド(QSG)に関する一連の無料オンライン入門コースなど、実装者向けの追加リソースがリリースされた。
• NIST continued to lead and support community engagement on cybersecurity supply chain risk management (C-SCRM) through the Software and Supply Chain Assurance (SSCA) Forum and Engineering Biology Research Consortium Workshops, support the Federal Acquisition Security Council, and issued two QSGs on establishing a C-SCRM capability using the CSF 2.0 and conducting due diligence on potential suppliers before procurement. ・NIST は、ソフトウェアとサプライチェーン保証(SSCA)フォーラム や エンジニアリング・バイオロジー・リサーチ・コンソーシアム・ワークショップを通じて、サイバーセキュリティ・サプライチェーン・リスクマネジメント(C-SCRM)に関するコミュニティ参画を主導・支援し、連邦調達安全評議会を支援し、CSF 2.0 を用いた C-SCRM 能力の確立と調達前の潜在的サプライヤに対するデューデリジェンスの実施に関する 2 つの QSG を発行した。
• NIST released beta prototypes of the Cyber Incident Data Analysis Repository and Cyber Supply Chain Survey Tool for stakeholder feedback and improvement. The prototypes are designed to anonymously collect and share cybersecurity incident and supply chain data for measurement and metrics analytics and to provide users with educational and informative resources to improve their C-SCRM. ・NIST は、関係者のフィードバックと改善のために、サイバーインシデントデータ分析レポジトリとサイ バーサプライチェーン調査ツールのベータ版プロトタイプを公開した。このプロトタイプは、サイバーセキュリティインシデントとサプライチェーンデータを匿名で収集・共有し、測定とメトリクス分析を行うとともに、C-SCRMを改善するための教育的・有益なリソースをユーザに提供することを目的としている。
Learn more about this priority area この優先分野の詳細
TRUSTED NETWORKS & PLATFORMS 信頼されるネットワークとプラットフォーム
We all rely on the hardware, software, and networks that form the fabric of our digital ecosystems. NIST’s Trusted Networks and Platforms priority area supports foundational and applied research and practical implementation guidelines and standards to ensure secure, reliable, and resilient technology across industry sectors. 私たちは皆、デジタル・エコシステムの基盤を形成するハードウェア、ソフトウェア、ネットワークに依存している。NISTのTrusted Networks and Platforms優先分野は、産業部門全体で安全で信頼性が高く、レジリエンスに優れた技術を確保するための基礎研究、応用研究、実用的な実装ガイドラインと標準を支援している。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• NIST launched the hardware security program to identify existing and emerging cybersecurity threats and develop mitigation techniques for semiconductors, including cybersecurity and supply chain standards, guidelines, and recommended practices in collaboration with the semiconductor community. NIST also hosted a Supply Chain workshop and published NIST IR 8540, Report on Secure Hardware Assurance Reference Dataset Program. ・NIST は、半導体コミュニティと協力して、サイバーセキュリティとサプライチェーンの標準、ガイドライン、推奨プラクティスなど、既存および新たなサイバーセキュリティの脅威を特定し、半導体の緩和技術を開発するハードウェアセキュリティプログラムを開始した。NIST はまた、サプライチェーンワークショップを開催し、NIST IR 8540「安全なハードウェア保証参照データセットプログラムに関する報告書」を発行した。
• To support data safeguarding, NIST released NIST IR 8432, Cybersecurity of Genomic Data; SP 1800-28, Data Confidentiality: Identifying and Protecting Assets Against Data Breaches; SP 180029, Data Confidentiality: Detect, Respond to, and Recover from Data Breaches; and NIST IR 8496, Data Classification Concepts and Considerations for Improving Data Protection.
・データ保護を支援するため、NISTはNIST IR 8432「ゲノムデータのサイバーセキュリティ」、SP1800-28「データの機密性」を発表した: SP 1800-28「データの機密性:データ侵害に対する資産の識別と防御」、SP 180029「データの機密性」である: NIST IR 8496「データ保護を改善するためのデータ分類の概念と考察」である。
• NIST published SP 1800-38B, Migration to Post-Quantum Cryptography (PQC) Quantum Readiness: Cryptographic Discovery, and SP 1800-38C, Migration to PQC Quantum Readiness: Testing Draft Standards. ・NISTは、SP1800-38B「ポスト量子暗号(PQC)量子対応への移行:暗号発見」とSP1800-38C「ポスト量子暗号(PQC)量子対応への移行」を発表した。
• NIST published SP 800-231, Bugs Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities; SP 800-204D, Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines; SP 800-218A, Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile; and enhanced the Software Assurance Reference Dataset (SARD) with four test suites from the Static Analysis Tool Exposition (SATE) VI. NIST also improved the AI Bug Finder, and the National Software Reference Database added data from 10,000+ new or updated applications (totaling over 42 million files) to assist with computer security and digital forensics analysis. ・NISTは、SP 800-231「Bugs Framework(BF)」を発表した: SP 800-204D「DevSecOps CI/CDパイプラインにおけるソフトウェアサプライチェーンセキュリティの統合のための戦略」、SP 800-218A「生成的AIおよびデュアルユース基盤モデルのための安全なソフトウェア開発の実践」を発表した: SSDF コミュニティプロファイル)、ソフトウェア保証リファレンスデータセット(SARD)を静的分析ツール解説(SATE)VIの4つのテスト・スイートで強化した。NISTはまた、AIバグファインダーを改善し、ナショナルソフトウェアリファレンスデータベースには、コンピュータセキュリティとデジタルフォレンジック分析を支援するために、10,000以上の新規または更新されたアプリケーション(合計4,200万ファイル以上)のデータを追加した。
• NIST published CSWP 36, Applying 5G Cybersecurity and Privacy Capabilities: Introduction to the White Paper Series; CSWP 36A, Protecting Subscriber Identifiers with Subscription Concealed Identifier (SUCI): Applying 5G Cybersecurity and Privacy Capabilities; CSWP 36B, Using Hardware-Enabled Security to Ensure 5G System Platform Integrity: Applying 5G Cybersecurity and Privacy Capabilities; and CSWP 36C, Reallocation of Temporary Identities: Applying 5G Cybersecurity and Privacy Capabilities.
・ NIST は、CSWP 36「5G サイバーセキュリティおよびプライバシー機能の適用:ホワイトペーパーシリーズ序文」、CSWP 36A「加入者識別情報を加入者非公開識別情報(SUCI)で保護:5G サイバーセキュリティおよびプライバシー機能の適用」、CSWP 36B「ハードウェアによるセキュリティを使用して 5G システムプラットフォームの整合性を確保: 5G サイバーセキュリティおよびプライバシー機能の適用」、および「CSWP 36C、一時的な ID の再割り当て:5G サイバーセキュリティおよびプライバシー機能の適用」を発表した。
Learn more about this priority area この優先分野の詳細
NATIONAL CYBERSECURITY CENTER OF EXCELLENCE ACTIVITIES 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE
The mission of the National Cybersecurity Center of Excellence (NCCoE) is to accelerate the adoption of secure technologies. The NCCoE works collaboratively with industry and other government agencies to address cybersecurity challenges facing the nation by demonstrating the use of commercial technologies and standards. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)の使命は、安全な技術の採用を加速することである。NCCoE は産業界や他の政府機関と協力し、商用技術や標準の利用を実証することで、国家が直面するサイバーセキュリティの課題に取り組んでいる。
Major Accomplishments in FY 2024: 2024 年度の主な成果
• NIST received approval to continue sponsorship of the National Cybersecurity Federally Funded Research and Development Center (FFRDC), which is now in its tenth year. ・NIST は、10 年目を迎える国立サイバーセキュリティ連邦資金研究開発センター(FFRDC)のスポンサー継続の承認を得た。
• The NCCoE held 167 active Cooperative Research and Development Agreements (CRADAs) in 2024 with industry, government, and academic organizations to provide in-kind contributions of technology and expertise toward NCCoE projects. New consortia were established for water cybersecurity and mobile driver’s license projects, and the migration to postquantum cryptography consortium grew to over 40 organizations. The NCCoE announced new collaborations with SEMI on semiconductor manufacturing cybersecurity and Hudson Alpha and the University of Alabama in Huntsville on the cybersecurity and privacy of genomic data. NCCoE had a cumulative total of 758 collaborators working on NCCoE projects, with 26,714 companies and organizations producing cybersecurity guides and other products. ・NCCoE は、NCCoE のプロジェクトに技術や専門知識を現物で提供するため、産業界、政府、学術機関との間で、2024 年に 167 件の有効な協力研究開発契約(CRADA)を締結した。水サイバーセキュリティとモバイル運転免許証プロジェクトのために新しいコンソーシアムが設立され、ポスト量子暗号への移行コンソーシアムは40以上の組織に成長した。NCCoEは、半導体製造のサイバーセキュリティに関するSEMI、ゲノムデータのサイバーセキュリティとプライバシーに関するハドソンアルファとアラバマ大学ハンツビル校との新たな協力関係を発表した。NCCoEのプロジェクトに携わる協力者は累計758人で、26,714の企業や組織がサイバーセキュリティガイドやその他の製品を作成した。
• The NCCoE partnered with 39 National Cybersecurity Excellence Partners (NCEPs) and led U.S. organizations to provide insights into emerging cybersecurity and privacy technology issues. Joint meetings of the NCEPs were hosted by the NCCoE, Dell, and Cloudflare. The NCCoE also held Interagency Agreements with the Department of State, the U.S. Navy, and the U.S. Space Force. ・NCCoEは、39の全米サイバーセキュリティ・エクセレンス・パートナー(NCEPs)と提携し、米国の組織を率いて、サイバーセキュリティとプライバシー技術の新たな問題についての洞察を提供した。NCEPの合同会議は、NCCoE、デル、クラウドフレアが主催した。NCCoEはまた、国務省、米海軍、米宇宙軍とも省庁間協定を結んだ。
• The NCCoE released 25 publications — including NIST 1800-Series Special Publications, Interagency Reports, Cybersecurity White Papers, and new GitHub publications — to provide guidelines for data security, genomic data cybersecurity and privacy, zero trust architectures, 5G cybersecurity, post-quantum cryptography migration, data classification practices, supply chain traceability, smart inverters, water cybersecurity, and more. ・NCCoEは、NIST 1800シリーズ特別刊行物、省庁間報告書、サイバーセキュリティ白書、および新しいGitHub刊行物を含む25の刊行物を発表し、データセキュリティ、ゲノムデータのサイバーセキュリティとプライバシー、ゼロトラストアーキテクチャ、5Gサイバーセキュリティ、ポスト量子暗号移行、データ格付実務、サプライチェーントレーサビリティ、スマートインバータ、水サイバーセキュリティなどのガイドラインを提供した。
1_20250503061701
• The NCCoE introduced a new series of 5G Cybersecurity White Papers to offer short-form content that is easy to digest for a broader audience. Other outputs included the NIST Dioptra AI open-source test platform and GitHub Pages for several projects.  ・NCCoEは、5Gサイバーセキュリティ・ホワイトペーパーの新シリーズを導入し、幅広い読者に向けて消化しやすい短編コンテンツを提供した。その他の成果としては、NIST Dioptra AIオープンソース・テスト・プラットフォームや、いくつかのプロジェクトのGitHubページがある。
• The NCCoE increased its efforts on CSF 2.0 Community Profiles to help organizations implement the new CSF. ・NCCoE は、組織が新しい CSF を実施するのを支援するために、CSF 2.0 Community Profiles への取り組みを強化した。
• The NCCoE held 17 events and webinars in FY 2024, including CSF 2.0 Community Profile webinars, and continued to host quarterly Cybersecurity Connections networking events for the small business community in partnership with the State of Maryland (MD) and Montgomery County, MD. The NCCoE also launched a new LinkedIn page and the NCCoE Speakers Corner to increase awareness of the Center. ・NCCoE は、2024 年度に、CSF 2.0 コミュニティ・プロファイルのウェビナーを含む 17 のイベントとウェビナーを開催し、メリーランド州(MD)およびメリーランド州モントゴメリー郡と連携して、中小企業コミュニティ向けのネットワーキング・イベント「サイバーセキュリティ・コネクションズ」を四半期ごとに継続して開催した。NCCoEはまた、LinkedInの新しいページとNCCoEスピーカー・コーナーを開設し、センターの認知度を高めた。
• The NCCoE continued its summer internship program for undergraduate and graduate students for the 14th year. The NCCoE also participated in NIST’s Summer Institute to provide cybersecurity resources to middle school teachers. ・NCCoEは、学部生および大学院生を対象とした夏季インターンシップ・プログラムを14年目も継続した。NCCoEはまた、NISTのサマー・インスティテュートに参加し、中学校の教師にサイバーセキュリティのリソースを提供した。
• The NCCoE continued to expand its cybersecurity and privacy topics, including post-quantum cryptography, natural language processing, trusted IoT, resilience for critical infrastructure and supply chains, and NIST Framework resources and tools ・NCCoEは、ポスト量子暗号、自然言語処理、信頼されるIoT、重要インフラとサプライチェーンのレジリエンス、NISTフレームワークのリソースとツールなど、サイバーセキュリティとプライバシーに関するトピックの拡大を継続した。
Learn more about this priority area この優先分野についての詳細はこちら
Events & Stakeholder Engagement イベント&ステークホルダー・エンゲージメント
NIST cybersecurity and privacy events are rooted in collaboration, information sharing, and transparency. By hosting events, NIST can directly interact with broad audiences and share information about a wide range of topics on a continuous basis. NISTのサイバーセキュリティとプライバシーのイベントは、コラボレーション、情報共有、透明性に根ざしている。イベントを開催することで、NISTは幅広い聴衆と直接交流し、幅広いトピックに関する情報を継続的に共有することができる。
• The NIST Cybersecurity and Privacy Program hosted over 80 events in FY 2024, including conferences, workshops, collaborative meetings, webinars, panel discussions, forums, and working groups.  ・NISTサイバーセキュリティ・プライバシープログラムは、2024年度に、会議、ワークショップ、共同会議、ウェビナー、パネルディスカッション、フォーラム、ワーキンググループなど、80以上のイベントを開催した。
• NIST worked closely with event attendees to share information, collaborate with the public, and hold active discussions with cybersecurity and privacy experts across sectors and industries. These open discussions and collaborative interactions helped inform NIST’s work, and the events streamlined NIST’s information-sharing abilities with key audiences. ・NISTはイベント参加者と緊密に連携し、情報を共有し、一般市民と協力し、セクターや業界を超えたサイバーセキュリティやプライバシーの専門家と活発な議論を行った。こうしたオープンな議論や協力的な交流はNISTの業務に情報を提供するのに役立ち、イベントはNISTの主要な聴衆との情報共有能力を効率化した。
• NIST’s cybersecurity and privacy event details are located on websites across our NCCoE events page, CSRC events Page, and our NIST events overview page. ・NISTのサイバーセキュリティとプライバシーに関するイベントの詳細は、NCCoEイベントページ、CSRCイベントページ、NISTイベント概要ページに掲載されている。
FY 2024 event topics included: 2024年度のイベントのトピックは以下の通りである:
Cryptography  暗号技術
Education and Workforce  教育と人材
Identity and Access Management   アイデンティティとアクセスマネジメント
Internet of Things  モノのインターネット
NIST Frameworks NISTの枠組み
Privacy  プライバシー
Risk Management  リスクマネジメント
Securing Emerging Technologies  新興技術のセキュリティ
Small Businesses   中小企業
Software ソフトウェア
Learn more about this priority area この優先分野の詳細
OPPORTUNITIES TO ENGAGE WITH NIST ON CYBERSECURITY & PRIVACY サイバーセキュリティとプライバシーに関してNISTと関わる機会
NIST depends on developers, researchers, and everyday users of technologies and information to guide cybersecurity and privacy focus areas. NISTは、サイバーセキュリティとプライバシーの重点分野を導くために、技術や情報の開発者、研究者、日常的な利用者に依存している。
• Details on engaging with NIST are available here. ・NISTとの関わり方についての詳細はこちらをご覧いただきたい。
• Many NIST projects are supported by guest researchers, both foreign and domestic. ・NISTのプロジェクトの多くは、国内外のゲスト研究者によって支えられている。
The Pathways Program supports Federal Government internships for students and recent graduates. ・パスウェイ・プログラムは、学生や新卒者を対象とした連邦政府インターンシップを支援している。
• NIST funds industrial and academic research in several ways: ・NISTはいくつかの方法で産業および学術研究に資金を提供している:
The Small Business Innovation Research Program (SBIR) funds research and development proposal. ・中小企業技術革新研究プログラム(SBIR)は、研究開発提案に資金を提供する。
• NIST offers grants to encourage work in the fields of precision measurement, fire research, and materials science. For general information on NIST’s grant programs, please contact Christopher Hunton at grants@nist.gov. ・NISTは精密測定、火災研究、材料科学の分野での研究を奨励する助成金を提供している。NISTの助成金プログラムに関する一般的な情報については、クリストファー・ハントン(grants@nist.gov)までお問い合わせいただきたい。
• The Information Technology Laboratory (ITL) Speakers Bureau enables engagement with universities and colleges to raise student and faculty awareness about the exciting work going on at NIST and motivate them to consider pursuing opportunities to work with IT. ・情報技術研究所(ITL)スピーカー・ビューローは、大学やカレッジとの連携を可能にし、NISTで行われているエキサイティングな研究に対する学生や教員の認識を高め、ITLとの共同研究の機会を追求することを検討する意欲を高める。
• More information about NIST’s research, projects, publications, and events can be found on the NIST Computer Security Resource Center (CSRC) website and the NIST Cybersecurity website. ・NISTの研究、プロジェクト、出版物、イベントに関する詳細は、NISTコンピュータセキュリティリソースセンター(CSRC)のウェブサイトおよびNISTサイバーセキュリティのウェブサイトを参照のこと。

 

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティ・プライバシー年次報告書

・2023.06.09 NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)

・2022.10.02 NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)

・2021.10.01 NIST SP 800-214 2020年度サイバーセキュリティ・プライバシー年次報告書

・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019

・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

 

| | Comments (0)

より以前の記事一覧