危機管理 / 事業継続

2024.07.10

Five Eyes ドイツ 韓国 日本が、共同で、中華人民共和国(PRC)国家安全保障省 APT40 Tradecraft in Actionのガイダンスを公表...

こんにちは、丸山満彦です。

いつものFive Eyesに加えて、ドイツ、韓国、日本も共同署名に加わって、中華人民共和国(PRC)国家安全保障省 APT40に関するガイダンスを公表していますね...

国際連携の良い例が増えてきていますね...

 

Australian Signals Directorate - Australian Cyber Security Centre 

・2024.07.09 APT40 Advisory PRC MSS tradecraft in action

・[PDF

20240710-64105

 

U.S. CISA

・2024.07.08 People’s Republic of China (PRC) Ministry of State Security APT40 Tradecraft in Action AA24-190A

途中までですが...

Background 背景
This advisory, authored by the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), the United States Cybersecurity and Infrastructure Security Agency (CISA), the United States National Security Agency (NSA), the United States Federal Bureau of Investigation (FBI), the United Kingdom National Cyber Security Centre (NCSC-UK), the Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ), the German Federal Intelligence Service (BND) and Federal Office for the Protection of the Constitution (BfV), the Republic of Korea’s National Intelligence Service (NIS) and NIS’ National Cyber Security Center, and Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC) and National Police Agency (NPA)—hereafter referred to as the “authoring agencies”—outlines a People’s Republic of China (PRC) state-sponsored cyber group and their current threat to Australian networks. The advisory draws on the authoring agencies’ shared understanding of the threat as well as ASD’s ACSC incident response investigations. この勧告は、オーストラリア信号総局のオーストラリア・サイバーセキュリティ・センター(ASD's ACSC)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国国家安全保障局(NSA)、米国連邦捜査局(FBI)、英国国家サイバーセキュリティセンター(NCSC-UK)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、 ドイツ連邦情報局(BND)および連邦憲法保護局(BfV)、大韓民国国家情報院(NIS)およびNISの国家サイバーセキュリティセンター、日本の国家サイバーセキュリティセンター(NISC)および警察庁(警察庁)-以下「認可機関」と呼ぶ)によるもので、中華人民共和国(PRC)の国家が支援するサイバー・グループと、オーストラリアのネットワークに対する彼らの現在の脅威について概説している。この勧告は、ASDのACSCインシデント対応調査だけでなく、認可機関が共有する脅威の理解に基づいている。
The PRC state-sponsored cyber group has previously targeted organizations in various countries, including Australia and the United States, and the techniques highlighted below are regularly used by other PRC state-sponsored actors globally. Therefore, the authoring agencies believe the group, and similar techniques remain a threat to their countries’ networks as well. PRCの国家に支援されたサイバーグループは、以前オーストラリアや米国を含む様々な国の組織を標的にしており、以下に強調されているテクニックは、他のPRCの国家に支援されたアクターによって世界的に定期的に使用されている。したがって、認可機関は、このグループと類似の技術は、自国のネットワークにとっても脅威であり続けると信じている。
The authoring agencies assess that this group conduct malicious cyber operations for the PRC Ministry of State Security (MSS). The activity and techniques overlap with the groups tracked as Advanced Persistent Threat (APT) 40 (also known as Kryptonite Panda, GINGHAM TYPHOON, Leviathan and Bronze Mohawk in industry reporting). This group has previously been reported as being based in Haikou, Hainan Province, PRC and receiving tasking from the PRC MSS, Hainan State Security Department.[1] 認可機関は、このグループが中国国家安全部(MSS)のために悪意のあるサイバー作戦を行っていると評価している。その活動や手法は、Advanced Persistent Threat (APT) 40(業界の報告では、Kryptonite Panda、GINGHAM TYPHOON、Leviathan、Bronze Mohawkとしても知られている)として追跡されているグループと重複している。このグループは以前、中国海南省海口市を拠点とし、中国海南省国家安全保障局(MSS)から任務を受けていると報告されている[1]。
The following Advisory provides a sample of significant case studies of this adversary’s techniques in action against two victim networks. The case studies are consequential for cybersecurity practitioners to identify, prevent and remediate APT40 intrusions against their own networks. The selected case studies are those where appropriate remediation has been undertaken reducing the risk of re-exploitation by this threat actor, or others. As such, the case studies are naturally older in nature, to ensure organizations were given the necessary time to remediate. 以下の勧告は、2つの被害者ネットワークに対するこの敵対者のテクニックの重要なケーススタディのサンプルを提供する。これらのケーススタディは、サイバーセキュリティの実務者が自社のネットワークに対する APT40 の侵入を識別し、防止し、是正するために必要なものである。選ばれたケーススタディは、この脅威行為者や他の脅威行為者による再侵略のリスクを低減するために、適切な修復が行われたものである。そのため、組織が修復に必要な時間を確保できるよう、ケーススタディは当然ながら古いものとなっている。
To download the PDF version of this report, visit the following link, APT40 Advisory. 本レポートのPDF版をダウンロードするには、以下のリンク「APT40 Advisory」を参照のこと。
Activity Summary 活動の概要
APT40 has repeatedly targeted Australian networks as well as government and private sector networks in the region, and the threat they pose to our networks is ongoing. The tradecraft described in this advisory is regularly observed against Australian networks. APT40は、オーストラリアのネットワークだけでなく、この地域の政府および民間セクターのネットワークを繰り返し標的にしており、彼らが我々のネットワークに与える脅威は現在も続いている。この勧告に記載されている手口は、オーストラリアのネットワークに対して定期的に観測されている。
Notably, APT40 possesses the capability to rapidly transform and adapt exploit proof-of-concept(s) (POCs) of new vulnerabilities and immediately utilize them against target networks possessing the infrastructure of the associated vulnerability. APT40 regularly conducts reconnaissance against networks of interest, including networks in the authoring agencies’ countries, looking for opportunities to compromise its targets. This regular reconnaissance postures the group to identify vulnerable, end-of-life or no longer maintained devices on networks of interest, and to rapidly deploy exploits. APT40 continues to find success exploiting vulnerabilities from as early as 2017. 特筆すべきは、APT40 が新たな脆弱性の概念実証(POC)を迅速に変換・適応させ、関連する脆弱性のインフラを保有する標的ネットワークに対して即座に利用する能力を有していることである。APT40は、認可機関の国のネットワークを含む関心のあるネットワークに対して定期的に偵察を行い、標的を侵害する機会を狙っている。このような定期的な偵察により、APT40のグループは、対象ネットワーク上の脆弱性、使用済みデバイス、保守が終了したデバイスを特定し、エクスプロイトを迅速に展開できる体制を整えている。APT40は、早ければ2017年から脆弱性を悪用することに成功し続けている。
APT40 rapidly exploits newly public vulnerabilities in widely used software such as Log4J (CVE-2021-44228), Atlassian Confluence (CVE-2021-31207, CVE-2021-26084) and Microsoft Exchange (CVE-2021-31207, CVE-2021-34523, CVE-2021-34473). ASD’s ACSC and the authoring agencies expect the group to continue using POCs for new high-profile vulnerabilities within hours or days of public release. APT40は、Log4J (CVE-2021-44228)、Atlassian Confluence (CVE-2021-31207、CVE-2021-26084)、Microsoft Exchange (CVE-2021-31207、CVE-2021-34523、CVE-2021-34473)など、広く使用されているソフトウェアの新たに公開された脆弱性を迅速に悪用している。ASDのACSCと認可機関は、公開後数時間から数日以内に、新たな注目度の高い脆弱性のPOCを使用し続けることを期待している。
1_20240710065801
Figure 1: TTP Flowchart for APT40 activity 図1:APT40活動のTTPフローチャート
This group appears to prefer exploiting vulnerable, public-facing infrastructure over techniques that require user interaction, such as phishing campaigns, and places a high priority on obtaining valid credentials to enable a range of follow-on activities. APT40 regularly uses web shells [T1505.003] for persistence, particularly early in the life cycle of an intrusion. Typically, after successful initial access APT40 focuses on establishing persistence to maintain access on the victim’s environment. However, as persistence occurs early in an intrusion, it is more likely to be observed in all intrusions—regardless of the extent of compromise or further actions taken. このグループは、フィッシングキャンペーンのようなユーザーとのやり取りを必要とする手法よりも、脆弱性のある一般公開されたインフラを悪用することを好むようで、さまざまな後続の活動を可能にするために有効な認証情報を取得することに高い優先順位を置いている。APT40は、特に侵入のライフサイクルの初期段階において、ウェブシェル[T1505.003]を定期的に使用して持続性を高めている。通常、APT40は初期アクセスに成功した後、被害者の環境へのアクセスを維持するために永続性を確立することに重点を置く。しかし、永続性は侵入の初期に発生するため、侵害の程度やその後の行動に関係なく、すべての侵入で観察される可能性が高い。
Notable Tradecraft 注目すべき手口
Although APT40 has previously used compromised Australian websites as command and control (C2) hosts for its operations, the group have evolved this technique [T1594]. APT40 は以前、侵害されたオーストラリアのウェブサイトをコマンド・アンド・コントロール(C2)ホストとして使用していたが、同グループはこの手法を進化させてきた [T1594]。
APT40 has embraced the global trend of using compromised devices, including small-office/home-office (SOHO) devices, as operational infrastructure and last-hop redirectors [T1584.008] for its operations in Australia. This has enabled the authoring agencies to better characterize and track this group’s movements. APT40 は、小規模オフィス/ホームオフィス(SOHO)デバイスを含む侵害されたデバイスを、運用インフラおよびラストホップリダイレクト [T1584.008] として使用するという世界的な傾向を、オーストラリアでの活動に取り入れている。これによって認可機関は、このグループの動きをよりよく特徴付け、追跡することができるようになった。
Many of these SOHO devices are end-of-life or unpatched and offer a soft target for N-day exploitation. Once compromised, SOHO devices offer a launching point for attacks that is designed to blend in with legitimate traffic and challenge network defenders [T1001.003]. これらのSOHOデバイスの多くは、使用済みであったり、パッチが適用されていなかったりするため、N-dayの悪用の格好の標的となっている。いったん侵害されると、SOHO デバイスは、正当なトラフィックに紛れ込み、ネットワーク防御者に挑戦するように設計された攻撃の出発点を提供する [T1001.003]。
This technique is also regularly used by other PRC state-sponsored actors worldwide, and the authoring agencies consider this to be a shared threat. For additional information, see joint advisories People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices and PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure. このテクニックは、世界中の他のPRC国家支援行為者にも定期的に使用されており、認可機関はこれを共有の脅威とみなしている。追加情報については、共同勧告「中華人民共和国国家支援サイバー行為者がネットワーク・プロバイダおよびデバイスを悪用」および「中華人民共和国国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持」を参照のこと。
APT40 does occasionally use procured or leased infrastructure as victim-facing C2 infrastructure in its operations; however, this tradecraft appears to be in relative decline. APT40は、時折、調達またはリースされたインフラを、被害者向けのC2インフラとして使用することがあるが、この手口は相対的に減少しているようである。

 

● NISC

・2024.07.09 国際アドバイザリー「APT40 Advisory PRC MSS tradecraft in action」に署名しました

[PDF]

20240710-70103

 

警察庁

・2024.07.09 豪州主導のAPT40グループに関する国際アドバイザリーへの共同署名について

・[PDF] 報道発表資料

 

 仮訳が追って公表されるようです...

 

 

 

| | Comments (0)

2024.07.08

米国 MITRE 将来の危機に備える:国家システムの全体的危機管理

こんにちは、丸山満彦です。

MITREが、国家システムの全体的危機管理についての報告書を公表していますね...

目次的なもの...

National Threat Modeling and Criticality Analysis 国家脅威のモデリングと臨界性分析
The Vignettes ヴィネット(短い話)
Terrorism: Existential Crisis テロリズム:存亡の危機
Semiconductors: Growing Crisis 半導体: 高まる危機
Epidemics/Pandemics: Rolling Crisis 伝染病/パンデミック:転がる危機
Pick a Future National Crisis 将来の国家的危機を選ぶ
Not Organized to Optimize 最適化のために組織化されていない
Planning to Avert Future Crises 将来の危機を回避するための計画
Preparing for Specifc Threats 特定の脅威に備える
Building National Criticality Systems 国家の危機管理システムを構築する
Create a process to identify and prioritize future national crises 将来の国家危機を識別し、優先順位をつけるプロセスを構築する
Establish oversight to enforce the requirements and authorities 要件と権限を実施するための監督を確立する
Implement national systems planning 国家システム計画を実施する
Apply rigorous response system testing 厳格な対応システム・テストを実施する
Prevent Future Crises Now 将来の危機を今防ぐ
References 参考文献

 

MITRE

・2024.07.03 Intelligence After Next: Preparing for Future Crises—Holistic Criticality Management of National Systems

Intelligence After Next: Preparing for Future Crises—Holistic Criticality Management of National Systems インテリジェンス・アフター・ネクスト 将来の危機に備える-国家システムのホリスティック・クリティカリティ・マネジメント
National security planning that employs criticality promotes the essential information, human factors, organizations, and technology to improve U.S. readiness and minimize intelligence failures, catastrophic losses, and diminished national power. クリティカリティを採用した国家安全保障計画は、米国の即応性を改善し、情報の失敗、壊滅的な損失、国力の低下を最小限に抑えるために不可欠な情報、人的要因、組織、技術を促進する。
The national security enterprise faces challenges today and into the future that will require greater sharing, creativity, and innovation. Access to essential information and systems interoperability is critical for organizations to build resilience to a national threat or crisis. Yet, we lack both a centralized process to identify threats that may become a national crisis and a planning manager with the authority to manage the process of optimizing information sharing or information management across systems prior to, during, or after a crisis. This paper identifies a repeatable process for implementing national systems crisis planning that will be essential if we are to move more rapidly, coherently, and strategically than ever before. 国家安全保障エンタープライズは、現在そして将来にわたって、より大きな共有、創造性、革新性を必要とする課題に直面している。組織が国家の脅威や危機に対するレジリエンスを構築するためには、重要な情報へのアクセスとシステムの相互運用性が不可欠である。しかし、国家的危機となる可能性のある脅威を特定するための一元的なプロセスと、危機発生前、危機発生中、あるいは危機発生後に、システム間の情報共有や情報管理を最適化するプロセスを管理する認可を持つ計画管理者の両方が欠如している。本稿は、国家システム危機計画を実施するための反復可能なプロセスを明らかにするものであり、これまで以上に迅速かつ首尾一貫した戦略的な行動をとるためには不可欠なものである。

 

・[PDF]

20240708-54845

 

 

Continue reading "米国 MITRE 将来の危機に備える:国家システムの全体的危機管理"

| | Comments (0)

2024.07.07

米国 MITRE AI規制を通じてAIのセキュリティと安全性を確保する

こんにちは、丸山満彦です。

MITREが、今後の政権のために、AIの悪用を防ぎ、AIを効果的に活用するためのガイダンスを公表していますね...政権が大きく変わっても、政策が連続して行われていくようにしようと考えているのかもですね...

 

MITRE

・2024.07.03 Assuring AI Security and Safety through AI Regulation

Assuring AI Security and Safety through AI Regulation AI規制によるAIの安全・安心の確保
This document provides guidance for the incoming administration on establishing a comprehensive and effective regulatory framework for AI security and safety by balancing technological progression, ethical considerations, and public trust in AI. この文書は、今後の政権に対し、AIに対する技術的進歩、倫理的配慮、社会的信頼のバランスをとることにより、AIの安全性と安心のための包括的かつ効果的な規制の枠組みを確立するためのガイダンスを提供するものである。
What’s the issue? The rapid advancement and diverse applications of AI present unique regulatory challenges. There is a need to bridge the gap between policymakers and agency implementation, develop sector-specific AI assurance requirements, and increase transparency in AI applications. 何が問題なのか?AIの急速な進歩と多様な応用は、規制上のユニークな課題を提示している。政策立案者と規制当局の間のギャップを埋め、分野別のAI保証要件を策定し、AIアプリケーションの透明性を高める必要がある。
What did we do? A cross-MITRE team analyzed these issues and leveraged insights from various federal government sectors to develop this guide for the incoming administration. 我々は何をしたのか?MITREの横断的チームは、これらの問題を分析し、連邦政府の様々なセクターからの知見を活用して、次期政権のためのこのガイドを作成した。
What did we find? By enhancing communication between policymakers and those implementing AI strategies, understanding adversary use of AI advancements, and refining regulatory and legal frameworks for AI systems, the incoming administration can ensure the proper application and use of AI. This approach will not only reinforce the United States' international leadership in AI but also unlock its transformative potential to address a wide range of critical challenges. 何を発見したか?政策立案者とAI戦略を実施する人々とのコミュニケーションを強化し、敵対勢力によるAIの進歩の利用を理解し、AIシステムの規制と法的枠組みを洗練させることで、次期政権はAIの適切な適用と利用を確保することができる。このアプローチは、米国がAIにおける国際的リーダーシップを強化するだけでなく、広範な重要課題に対処するための変革の可能性を解き放つことになる。
MITRE’s 2024 presidential transition project leverages our cross-agency insights to develop nonpartisan and evidence-informed policy recommendations to help the next administration succeed. MITREの2024年大統領移行プロジェクトは、省庁横断的な見識を活用し、超党派でエビデンスに基づいた政策提言を作成し、次期政権の成功を支援する。

 

 

・[PDF]

20240707-23559

 

本文...

ASSURING AI SECURITY AND SAFETY THROUGH AI REGULATION  AI規制を通じてAIのセキュリティと安全性を確保する 
Rethinking regulatory and legal frameworks can guide federal funding decisions, advance AI research, and promote responsible AI use while deterring misuse.  規制と法的枠組みを再考することで、連邦政府の資金調達決定を導き、AI研究を促進し、悪用を抑止しつつ責任あるAIの利用を促進することができる。
 By establishing a comprehensive and effective regulatory framework for AI security and safety, the incoming administration can ensure a balanced approach to technological progression, ethical considerations, and public trust. Doing so will not only reinforce the United States’ international leadership in AI but also unlock its transformative potential to address a wide range of critical challenges.  AIのセキュリティと安全性に関する包括的かつ効果的な規制の枠組みを確立することで、今後の政権は、技術の進歩、倫理的配慮、国民の信頼に対するバランスの取れたアプローチを確保することができる。そうすることで、米国はAIにおける国際的なリーダーシップを強化するだけでなく、さまざまな重要課題に対処するための変革の可能性を解き放つことができる。
The Case for Action  行動の事例 
Over the past decade, the field of artificial intelligence (AI) has experienced remarkable advancements, ushering in a new era of technological innovation.These advancements have equipped us with a transformative technology in AI, which can be leveraged to address critical challenges in diverse fields, from healthcare to national security. この10年間で、人工知能(AI)の分野は目覚ましい進歩を遂げ、技術革新の新時代を迎えた。こうした進歩により、AIという変革的なテクノロジーが備わり、ヘルスケアから国家安全保障に至るまで、さまざまな分野の重要な課題に対処するために活用できるようになった。
With each new presidential term comes the opportunity to reassess and enhance our approach to rapidly advancing technologies. In the realm of AI, it will be essential for the administration to stay informed about the current state of AI, its potential impacts, and the importance of advancing a sensible regulatory framework for AI assurance. While current policy and legislative activities have begun to address the need for AI regulation, more progress is needed to ensure the proper application and use of this technology, balancing security, ethical considerations, and public trust. 新しい大統領の任期が始まるたびに、急速に進歩するテクノロジーへのアプローチを見直し、強化する機会が訪れる。AIの領域では、AIの現状、その潜在的影響、AI保証のための賢明な規制枠組みを推進することの重要性について、政権が常に情報を得ることが不可欠となる。現在の政策や立法活動は、AI規制の必要性に取り組み始めているが、安全保障、倫理的配慮、社会的信頼のバランスを取りながら、この技術の適切な適用と利用を確保するためには、さらなる進展が必要である。
Key Challenges and Opportunities  主な課題と機会 
AI regulation presents unique challenges due to the rapid pace of AI advancement and its diverse applications. Bridging the gap between policymakers at the Executive Office of the President (EOP) and agency implementation is a significant hurdle. Ensuring that policies formulated at the executive level are effectively translated into action at the agency level, taking into account the unique needs and contexts of each agency, is crucial. AI規制は、AIの急速な進歩ペースとその多様な応用により、独自の課題を提示している。大統領府(EOP)の政策立案者と各省庁の実施とのギャップを埋めることは重要なハードルである。行政府レベルで策定された政策が、各省庁固有のニーズや状況を考慮しつつ、各省庁レベルで効果的に実行に移されるようにすることが極めて重要である。
Developing sector-specific AI assurance requirements that consider use cases and operationalizing the National Institute of Standards and Technology’s (NIST’s) AI Risk Management Framework (RMF) across sectors present significant challenges. These steps are necessary to ensure AI applications, within their specific contexts, meet safety and performance standards and effectively manage risks. ユースケースを考慮した部門固有のAI保証要件を策定し、国立標準技術研究所(NIST)のAIリスクマネジメントフレームワーク(RMF)を部門横断的に運用することは大きな課題である。これらの措置は、AIアプリケーションが特定の文脈の中で、安全性と性能の標準を満たし、リスクを効果的に管理することを保証するために必要である。
Establishing system auditability and increasing transparency in AI applications are essential for tracking misuse of AI and ensuring accountability within organizations. However, these measures pose challenges due to the complexity of AI systems and the current gap in technical expertise needed to effectively implement and manage these processes. システムの監査可能性を確立し、AIアプリケーションの透明性を高めることは、AIの悪用を追跡し、組織内の説明責任を確保するために不可欠である。しかし、AIシステムの複雑さと、これらのプロセスを効果的に実施・管理するために必要な技術的専門知識のギャップが現状であるため、これらの対策には課題がある。
Despite these challenges, there are significant opportunities. Rethinking regulatory and legal frameworks can guide federal funding decisions, advance AI research, and promote responsible AI use while deterring misuse. Strengthening critical infrastructure plans and promoting continuous regulatory analysis can help secure our critical infrastructure against exploitation by humans, AI-augmented humans, or malicious AI agents. こうした課題にもかかわらず、大きなチャンスもある。規制や法的枠組みを再考することで、連邦政府の資金調達の決定を導き、AI研究を促進し、悪用を抑止しつつ責任あるAIの利用を促進することができる。重要インフラ計画を強化し、継続的な規制分析を促進することで、人間、AIを強化した人間、悪意のあるAIエージェントによる悪用から重要インフラを守ることができる。
Moreover, the diverse needs and requirements of agencies based on their size, organization, budget, mission, and internal AI talent present an opportunity to promote flexibility and adaptability in AI governance. An effective approach to AI regulation should allow for a tailored and effective implementation of AI strategies and policies across agencies. さらに、政府機関の規模、組織、予算、使命、内部のAI人材に基づく多様なニーズと要件は、AIガバナンスにおける柔軟性と適応性を促進する好機となる。AI規制への効果的なアプローチは、各省庁に合わせた効果的なAI戦略・政策の実施を可能にするはずだ。
Data-Driven Recommendations  データ主導の提言 
1. BRIDGE THE GAP BETWEEN POLICYMAKERS AND AGENCY IMPLEMENTATION 1. 政策立案者と政府機関の間のギャップを埋める
Enhance communication and collaboration between policymakers and those implementing AI strategies by ensuring policies formulated at the executive level are effectively translated into action at the agency level, taking into account the unique needs and contexts of each agency. This can be achieved by evaluating existing EOP-interagency committees, expanding their mandates, adjusting their composition, or enhancing their resources, and if necessary, establishing a new dedicated committee that includes representatives from the EOP, various agencies, and industry. This group would help ensure effective communication and collaboration, involving regular meetings, shared resources, and a common platform for exchanging ideas and best practices. 行政レベルで策定された政策が、各省庁固有のニーズやコミュニケーションを考慮しながら、各省庁レベルで効果的に実行に移されるようにすることで、政策立案者とAI戦略を実施する人々との間のコミュニケーションとコラボレーションを強化する。これは、既存のEOP-省庁間委員会を評価し、その任務を拡大し、構成を調整し、あるいはリソースを強化し、必要であれば、EOP、各省庁、産業界の代表者を含む専門委員会を新設することで達成できる。このグループは、定期的な会合、リソースの共有、アイデアやベストプラクティスを交換するための共通のプラットフォームなど、効果的なコミュニケーションと協力を確保するのに役立つだろう。
2. DEVELOP SECTOR-SPECIFIC ASSURANCE REQUIREMENTS AND AI ASSURANCE PLANS  2. 分野別の保証要件とAI保証計画を策定する 
Collaborate with stakeholders in a repeatable AI assurance process to ensure that the use of AI within their specific contexts meets necessary safety and performance standards and manages risks associated with AI. Adoption of safe and secure AI can be achieved through requiring a structured AI assurance process that involves four steps: Discovering Assurance Needs, Characterizing and Prioritizing Risks, Evaluating Risks, and Managing Risks. This risk management process should incorporate the NIST AI RMF, be iterative, and be executed throughout the AI system’s life cycle. A required output of this process is an AI Assurance Plan. 特定の状況におけるAIの利用が、必要な安全・性能基準を満たし、AIに関連するリスクを管理することを保証するため、繰り返し可能なAI保証プロセスにおいて利害関係者と協力する。安全でセキュアなAIの採用は、4つのステップを含む構造化されたAI保証プロセスを要求することで達成できる: 保証ニーズの発見」、「リスクの特性化と優先順位付け」、「リスクの評価」、「リスクのマネジメント」である。このリスクマネジメントプロセスは、NIST AI RMFを取り入れ、反復的であり、AIシステムのライフサイクルを通じて実行されるべきである。このプロセスの必須アウトプットは、AI保証計画である。
This living document outlines the management and technical activities necessary to achieve and maintain assurance of the AI system over its operational lifetime and will require updating as new issues or risks are discovered. この生きた文書は、AIシステムの運用期間を通じて保証を達成し維持するために必要なマネジメント及び技術的活動の概要を示すものであり、新たな問題やリスクが発見された場合には更新が必要となる。
3. SUPPORT AND ENHANCE THE OPERATIONS OF THE AI INFORMATION SHARING AND ANALYSIS CENTER (AI-ISAC)  3. AI情報共有分析センター(AI-ISAC)の運営を支援し、強化する。
Promote the recently established AI-ISAC to accelerate the sharing of real-world assurance incidents. 最近設立されたAI-ISACを推進し、実際の保証インシデントの共有を加速させる。
This is essential to hasten understanding of threats, vulnerabilities, and risks to AI technology adoption for consequential use. The AI-ISAC should work in tandem with a national incident database like the Adversarial Threat Landscape for AI Systems (ATLASTM) to promote safe and anonymous sharing of real-world incidents. AI vulnerabilities and risks arise not only from malicious action but also because of the nature of the algorithms themselves and their susceptibility to misinterpretation, bias, performance drift, and other assurance factors. The AI-ISAC promotes analysis of incidents to identify root causes, and identification and development of mitigations, which can be derived from and/or contributed to the NIST AI RMF. これは、脅威、脆弱性、結果的にAI技術を採用するリスクについての理解を早めるために不可欠である。AI-ISACは、AIシステムのための敵対的脅威情勢(ATLASTM)のような国家インシデント・データベースと連携し、実世界のインシデントの安全かつ匿名での共有を促進すべきである。AIの脆弱性やリスクは、悪意ある行為からだけでなく、アルゴリズム自体の性質や、誤解、バイアス、性能ドリフト、その他の保証要因の影響を受けやすいことから生じる。AI-ISACは、根本原因を特定するためにインシデントの分析を促進し、NIST AI RMFから派生する、あるいはNIST AI RMFに貢献するような低減策の特定と開発を促進する。
4. UNDERSTAND ADVERSARY USE OF AI ADVANCEMENTS  4. 敵の AI 進歩の利用を理解する。
Support an at-scale AI Science and Technology Intelligence (AI S&TI) apparatus to monitor adversarial AI tradecraft from open sources such as research literature and publications, while providing continuous red-teaming of U.S. public and commercial AI infrastructure and operations. Doing so is crucial to understanding how our adversaries are using AI to gain advantage globally and to characterizing the reach of adversary capabilities into the United States, as well as the threat such reach poses to national security. 研究文献や出版物などのオープンソースから敵対的なAIの技術を監視するための大規模なAI科学技術インテリジェンス(AI S&TI)装置を支援する。これは、敵対勢力がどのようにAIを利用して世界的な優位に立とうとしているのかを理解し、敵対勢力の米国への進出状況や、そのような進出が国家安全保障にもたらす脅威を把握する上で極めて重要である。
5. ESTABLISH SYSTEM AUDITABILITY AND INCREASE TRANSPARENCY IN AI APPLICATIONS  5. システムの監査可能性を確立し、AIアプリケーションの透明性を高める。
Issue an executive order that mandates system auditability, developing standards for audit trails, and advocating for policies that increase transparency in AI applications. システムの監査可能性を義務付ける大統領令を出し、監査証跡の標準を開発し、AIアプリケーションの透明性を高める政策を提唱する。
This would include requiring AI developers to disclose what data was used to train their systems as well as the foundation models on which their systems were built. System auditability is vital for tracking misuse of AI and holding individuals accountable, as well as maintaining public trust in AI technologies. これには、AI開発者に対し、システムの訓練にどのようなデータが使用されたのか、またシステムが構築された基盤モデルを開示することを義務付けることも含まれる。システムの監査可能性は、AIの悪用を追跡し、個人に責任を負わせるだけでなく、AI技術に対する社会の信頼を維持するためにも不可欠である。
6. PROMOTE PRACTICES FOR AI PRINCIPLES ALIGNMENT AND REFINE REGULATORY AND LEGAL FRAMEWORKS FOR AI SYSTEMS WITH INCREASING AGENCY  6. AIの原則を整合させるためのプラクティスを推進し、AIシステムに関する規制・法的枠組みを、より多くの機関とともに洗練させる。
Take the following key actions to ensure the safe and responsible development and use of AI. AIの安全で責任ある開発と利用を確保するために、以下の主要な行動をとる。
• Recognize that purpose (an understanding of objectives or goals) is an inherently human quality, and AI systems with agency (having the ability to act independently) will either directly receive purpose from a human (as instruction) or infer purpose through learning from human behaviors and artifacts. - 目的(目的や目標の理解)は本質的に人間の資質であり、エージェンシー(独立して行動する能力)を持つAIシステムは、人間から直接(指示として)目的を受け取るか、人間の行動や人工物からの学習を通じて目的を推測することを認識する。
• For AI principles alignment, create common vocabulary and research frameworks for guiding AI alignment in systems as scientific and engineering advances are made (rather than limiting or regulating advancements toward artificial general intelligence) to mitigate the risk of either humans tasking AI to carry out dangerous actions or AI systems exhibiting dangerous emergent behavior. Resulting guidelines would be similar to those established for research involving human subjects. Such advancements in AI alignment practices will serve to limit emergent, undesirable AI behavior, but research activities will still need safe environments with regulated guidelines like bioresearch and biosafety levels. - AIの原則の調整については、人間がAIに危険な行動を実行させたり、AIシステムが危険な創発的行動を示したりするリスクを軽減するために、(人工的な一般知能に向けた進歩を制限したり規制したりするのではなく)科学的・工学的な進歩に伴い、システムにおけるAIの調整を導くための共通の語彙や研究フレームワークを作成する。その結果生じるガイドラインは、人間を対象とする研究のために確立されたガイドラインと同様のものとなるだろう。AIのアライメントプラクティスにおけるこのような進歩は、創発的で望ましくないAIの行動を制限するのに役立つだろうが、研究活動には依然として、生物研究やバイオセーフティレベルのような規制されたガイドラインを持つ安全な環境が必要である。
• Refine regulatory and legal frameworks to differentiate between appropriate research (with risk mitigations) and bad actors using AI for malintent, establish guidelines that address misuse of AI, and hold all appropriately accountable for harms. - リスク低減を伴う)適切な研究と、悪意を持ってAIを使用する悪質な行為者を区別し、AIの悪用に対処するガイドラインを確立し、すべての人に被害に対する適切な責任を負わせるために、規制と法的枠組みを洗練させる。
7. STRENGTHEN CRITICAL INFRASTRUCTURE PLANS AND PROMOTE CONTINUOUS REGULATORY ANALYSIS  7. 重要インフラ計画を強化し、継続的な規制分析を推進する。
Direct federal agencies to review and strengthen government-critical infrastructure plans, focusing on safety-critical cyber-physical systems vulnerable to increased threats due to the scale and speed AI enables, and establish a dedicated executive task force to propose regulatory updates as needed. 連邦政府機関に対し、AIが可能にする規模と速度により脅威が増大するセーフティ・クリティカルなサイバー・フィジカル・システムを中心に、政府の重要インフラ計画を見直し、強化するようガバナンスを指示し、必要に応じて規制の更新を提案する専門のエグゼクティブ・タスクフォースを設置する。
Such actions are necessary to ensure that our critical infrastructure is secure against exploitation by humans, AI-augmented humans, or malicious AI agents. このような措置は、重要インフラが人間、AIに拡張された人間、悪意のあるAIエージェントによる悪用に対して安全であることを保証するために必要である。
8. PROMOTE FLEXIBILITY AND ADAPTABILITY IN AI GOVERNANCE  8. AIガバナンスにおける柔軟性と適応性を促進する。
Develop guidelines that allow for flexibility in AI governance implementation across different agencies, considering their unique needs and contexts (e.g., size, organization, budget, mission, AI workforce competencies). This involves enabling each agency to set an AI strategy that aligns with its needs and specific level of AI maturity. The guidelines should provide a range of options for AI governance structures, processes, and practices, and allow agencies to choose the ones that best fit their specific circumstances while ensuring minimum standards for consistency and effectiveness. As AI technologies rapidly evolve, these guidelines should also be flexible to accommodate ongoing innovation and shifting expectations about what is possible. 政府独自のニーズや状況(規模、組織、予算、ミッション、AI人材の能力など)を考慮し、異なる政府間でAIガバナンスを柔軟に実施できるガイドラインを策定する。これには、各機関がそのニーズとAI成熟度の特定のレベルに沿ったAI戦略を設定できるようにすることが含まれる。ガイドラインは、AIのガバナンス構造、プロセス、慣行について様々な選択肢を提供し、一貫性と有効性に関する最低限の標準を確保しつつ、各省庁がそれぞれの状況に最も適したものを選択できるようにすべきである。AI技術が急速に進化する中、これらのガイドラインは、継続的なイノベーションと、何が可能かについての期待の移り変わりに柔軟に対応するものでなければならない。
9. BRING IT ALL TOGETHER  9. すべてをまとめる 
Create a National AI Center of Excellence (NAICE) that promotes and coordinates these priorities, drawing on threat and risk assessment from the AI-ISAC and AI S&TI. The NAICE should not only cross-pollinate lessons learned by sector-specific regulatory authorities and build on and advance AI assurance frameworks and best practices, but also lead in conducting cutting-edge applied research and development in AI. This includes developing new AI technologies, methodologies, and tools that can be adopted across different sectors. The Center would facilitate collaboration among industry, government, and academia, thereby accelerating the transition and adoption of cutting-edge AI capabilities that are safe and secure. AI-ISACとAI S&TIの脅威とリスクアセスメントを活用し、これらの優先事項を推進・調整する国家AIセンター・オブ・エクセレンス(NAICE)を創設する。NAICEは、各分野の規制当局が学んだ教訓を相互に提供し、AI保証のフレームワークやベストプラクティスを構築・発展させるだけでなく、AIにおける最先端の応用研究開発の実施を主導すべきである。これには、異なるセクター間で採用可能な新しいAI技術、方法論、ツールの開発も含まれる。センターは産官学の連携を促進し、安全でセキュアな最先端のAI能力の移行と採用を加速する。
 Implementation Considerations   実施に関する検討事項 
Implementing the proposed recommendations will require a blend of expertise, collaboration, funding, infrastructure upgrades, continuous learning resources, and flexibility in AI governance. Here is a suggested timeline and milestones to guide the process:  提案された提言を実施するには、専門知識、コラボレーション、資金、インフラのアップグレード、継続的な学習リソース、AIガバナンスの柔軟性などを組み合わせる必要がある。以下は、そのプロセスを導くためのタイムラインとマイルストーンの提案である: 
FIRST 100 DAYS  最初の100日間 
Evaluate existing EOP-interagency committees and identify opportunities to enhance their role in bridging the gap between policymakers and agency implementation. Initiate collaborations with industry experts, academia, and regulatory bodies. Begin the process of issuing directives for the adoption of the structured AI assurance process and the development of AI Assurance Plans across relevant agencies and departments. 既存のEOP省庁間委員会を評価し、政策立案者と各省庁の実施とのギャップを埋める役割を強化する機会を特定する。産業界の専門家、学界、規制団体との協力を開始する。構造化されたAI保証プロセスの採用と、関連省庁全体におけるAI保証計画の策定に向けた指令の発出プロセスを開始する。
FIRST SIX MONTHS  最初の6ヶ月間 
Monitor the initial implementation of the AI assurance process in sector-specific AI assurance infrastructure such as AI assurance laboratories and testbeds, as well as the development of AI Assurance Plans for use of specific AI-enabled systems in consequential mission spaces. Issue an executive order for system auditability and increased transparency in AI applications. AI保証ラボやテストベッドといった分野別のAI保証インフラにおけるAI保証プロセスの初期導入、および結果的に重要なミッション空間における特定のAI対応システムの使用に関するAI保証計画の策定を監視する。AIアプリケーションにおけるシステムの監査可能性と透明性の向上を求める大統領令を発布する。
Start the process of directing federal agencies to review and strengthen government-critical infrastructure plans. Develop strategies and guidelines that allow for flexibility and adaptability in AI governance across agencies. 政府重要インフラ計画の見直しと強化を連邦政府機関に指示するプロセスを開始する。政府機関におけるAIガバナンスの柔軟性と適応性を可能にする戦略とガイドラインを策定する。
FIRST YEAR  最初の1年間
Secure increased federal funding for AI alignment research and necessary infrastructure upgrades. Implement system auditability and increased transparency in AI applications through executive orders and regulatory guidance. Complete the strengthening of federal government critical infrastructure plans. Establish a dedicated executive task force or enhance existing EOP-interagency committees to monitor the development and use of AI. AIアライメント研究と必要なインフラのアップグレードのための連邦政府の資金増額を確保する。大統領令と規制ガイダンスを通じて、AIアプリケーションのシステム監査可能性と透明性向上を実施する。連邦政府の重要インフラ計画の強化を完了する。AIの開発と利用を監視するため、専門の行政タスクフォースを設置するか、既存のEOP-省庁間委員会を強化する。
ONGOING  継続 
Continuously monitor the development and use of AI and propose regulatory updates as needed, based on the effectiveness of the AI assurance process, AI assurance infrastructure, and AI Assurance Plans. The NAICE should play a key role in this process, not only advancing state-of-the-art AI assurance knowledge and processes to agencies/sectors but also drawing from their practices and integrating insights across sectors. This could be facilitated through a network of AI assurance labs, modeled after MITRE’s AI Assurance and Discovery Lab, that would support each sector and promote transformative insights across the AI R&D and implementation spectrum. Maintain collaborations with industry experts, academia, and regulatory bodies. Ensure access to resources for continuous learning. Regularly assess the effectiveness of implemented measures and make adjustments as necessary. AIの開発と利用を継続的に監視し、AI保証プロセス、AI保証インフラ、AI保証計画の有効性に基づき、必要に応じて規制の更新を提案する。NAICEはこのプロセスにおいて重要な役割を果たすべきであり、最先端のAI保証の知識とプロセスを各省庁・セクターに提供するだけでなく、各省庁・セクターの実践を参考にし、セクターを超えた見識を統合する必要がある。これは、MITREのAI Assurance and Discovery Labに倣ったAI保証ラボのネットワークを通じて促進される可能性があり、各部門を支援し、AIの研究開発および実装の範囲にわたって変革的な洞察を促進する。業界の専門家、学術団体、規制団体との連携を維持する。継続的な学習のためのリソースへのアクセスを確保する。実施した施策の効果を定期的にアセスメントし、必要に応じて調整を行う。
Continue to foster strong relationships with stakeholders and promote continuous learning within the administration and among career staffers. 関係者との強固な関係を継続的に醸成し、行政内部およびキャリア職員間での継続的な学習を促進する。

 

 

 

| | Comments (0)

2024.07.05

IPA 「AI利用時の脅威、リスク調査報告書」

こんにちは、丸山満彦です。

IPAが「AI利用時の脅威、リスク調査報告書」を公表していますね...


一方AIの悪用や誤用により、今まで経験したことのないようなサイバー攻撃、あるいはインシデント被害といったものが懸念されています。欧米各国ではAIを安全に利用するために急速に法制度や評価方法の検討が始まっています。国内においてもAI事業者ガイドラインの整備や推進体制の検討が進んでおり注目されています。

本調査は、新しい技術としてAIが業務利用されつつある状況の中、セキュリティリスクの認識や安全な利用のための組織内の規程や体制がどこまで進んでいるのかの実態を、企業・組織の実務担当者に対してアンケートを実施し取りまとめたものです。


 

アンケートデータとして興味深いですね...

 

IPA

・2024.07.04 IPAテクニカルウォッチ「AI利用時の脅威、リスク調査報告書」

・・[PDF]

20240705-112730

 

・・[PDF]

20240705-113042

 

 


 

20240705-114130

20240705-114334

 

| | Comments (0)

2024.07.04

英国 RUSI ランサムウェア被害者の体験

こんにちは、丸山満彦です。

英国のシンクタンク、英国王立防衛安全保障研究所 (The Royal United Services Institute for Defence and Security Studies; RUSI) が、ランサムウェ被害者等へのインタビューを取りまとめた報告書を公表していますね...

興味深いです...

 

The Royal United Services Institute for Defence and Security Studies; RUSI

・2024.07.02 ‘Your Data is Stolen and Encrypted’: The Ransomware Victim Experience

‘Your Data is Stolen and Encrypted’: The Ransomware Victim Experience 「データが盗まれ、暗号化された」: ランサムウェア被害者の体験
This paper aims to understand the wide range of harm caused by ransomware attacks to individuals, organisations and society at large. 本稿の目的は、ランサムウェア攻撃によって個人、組織、社会全体にもたらされる幅広い被害を理解することである。
More individuals and organisations in the UK and globally are becoming victims of ransomware. However, little is known about their experiences. This paper sheds light on the victim experience and identifies several key factors that typically shape such experiences. These factors are context specific and can either improve or worsen the victim experience. They include the following: ランサムウェアの被害者となる個人や組織は、英国だけでなく世界的に増加している。しかし、彼らの経験についてはほとんど知られていない。本稿では、被害者の経験に光を当て、そのような経験を形成するいくつかの重要な要因を特定する。これらの要因は文脈に固有であり、被害体験を改善することも悪化させることもある。それらには以下のようなものがある:
Timing of an incident, which may happen after a victim has increased their cyber security measures or at an already stressful time for an organisation, such as the beginning of a school year. インシデントが発生したタイミング(被害者がサイバーセキュリティ対策を強化した後や、学年の初めなど、組織にとってすでにストレスの多い時期に発生する可能性がある)。
Level of preparation in the form of strong cyber security measures and contingency plans explicitly tailored to respond to a cyber incident. 強力なサイバーセキュリティ対策や、サイバーインシデントへの対応を明確にしたコンティンジェンシープランなどの準備レベル。
Human factors, such as the workplace environment and pre-existing dynamics which are often reinforced during an incident. Good levels of unity can bring staff together during a moment of crisis, but a lack of leadership or a blame culture are likely to aggravate the harm experienced during the incident. インシデント発生時に強化されることの多い職場環境や既存の力学などの人的要因。良好な団結力は、危機の瞬間にスタッフを団結させることができるが、リーダーシップの欠如や非難文化は、インシデント中に経験した被害を悪化させる可能性が高い。
Engagement with third-party service providers, such as those providing technical incident response or legal services, can alleviate the negative aspects of the victim experience by providing critical legal, technical or other help. However, they may aggravate the harm by providing poor services or losing valuable time in responding to the incident. 技術的なインシデント対応や法的サービスを提供するプロバイダなど、サードパーティーのサービスプロバイダとの関わりは、重要な法的、技術的、その他の支援を提供することによって、被害者の体験の否定的な側面を軽減することができる。しかし、不十分なサービスを提供したり、インシデント対応に貴重な時間を費やしたりすることで、被害を悪化させる可能性もある。
A successful communications campaign is highly context- and victim-specific. It must include external and internal communications with staff members not part of the immediate response to ensure a good workplace culture. コミュニケーション・キャンペーンを成功させるためには、被害者の状況に特化したものでなければならない。良好な職場風土を確保するためには、緊急対応に加わっていないスタッフとの外部および内部コミュニケーションを含めなければならない。
For support, many victims turn to public sector institutions such as law enforcement. Expectations for technical support and expertise from law enforcement are generally low, but victims feel especially unsupported where phone calls are not returned and there is no engagement or feedback loop. The National Cyber Security Centre enjoys a better reputation. However, there is widespread uncertainty about its role and the thresholds that must be met for it to provide support. This poses a reputational risk. 被害者の多くは、法執行機関などの公的機関に支援を求める。法執行機関に対する技術支援や専門知識への期待は一般的に低いが、被害者は、電話がつながらない、関与やフィードバックのループがない場合、特に支援されていないと感じる。国家サイバーセキュリティセンターの評判は良い。しかし、同センターの役割や、同センターが支援を提供するために満たさなければならない基準値については、広く不透明な部分がある。これは風評リスクをもたらす。
Understanding how ransomware attacks are personally felt by victims and what factors aggravate or alleviate the harm they experience is key for policymakers seeking to implement measures to minimise harm as much as possible. ランサムウェア攻撃を受けた被害者が個人的にどのように感じているのか、どのような要因が被害を悪化させたり軽減させたりしているのかを理解することは、被害を可能な限り最小化するための対策を実施しようとする政策立案者にとって重要である。

 

・[PDF

20240703-223516

 

・[DOCX][PDF] 仮訳

 

目次...

Executive Summary エグゼクティブ・サマリー
Summary of Recommendations 提言のまとめ
Introduction はじめに
I. Existing Insights on the Ransomware Victim Experience I.ランサムウェア被害者の経験に関する既存の洞察
II. Factors Affecting the Victim Experience II.被害者体験に影響を与える要因
The Scale, Timing and Context of the Incident インシデントの規模、時期、背景
Size of Organisation 組織の規模
Level of Preparation 準備のレベル
Pre-Existing Workplace Culture 既存の職場文化
Paying (or Not Paying) a Ransom Demand 身代金要求の支払い(あるいは不払い)について
Internal and External Communications 社内外コミュニケーション
Transparency and Information Sharing 透明性と情報共有
The Influence of Regulators 規制当局の影響力
III. The Role of Government, the NCSC and Law Enforcement III.政府、NCSC、法執行機関の役割
Types of Support サポートの種類
How NCSC and Law Enforcement Support is Allocated NCSCと法執行機関の支援の配分方法
The Impact of Police Support: Perspectives from Victims and Stakeholders 警察の支援の影響:被害者と関係者の視点
The Impact of NCSC and NCA Support: Perspectives from Victims and Stakeholders NCSCとNCAの支援の影響:被害者とステークホルダーからの視点
Conclusion and Recommendations 結論と提言
Recommendations for Victims and Victim Organisations 被害者と被害組織への提言
Recommendations for Private Sector Service Providers 民間サービス・プロバイダーへの提言
Recommendations for Policymakers and Public Institutions 政策立案者と公的機関への提言
About the Authors 著者について

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
More individuals and organisations in the UK and globally are becoming victims of ransomware. However, little is known about their experiences. This paper sheds light on the victim experience and identifies several key factors that typically shape such experiences.  ランサムウェアの被害に遭う個人や組織が、英国をはじめ世界的に増えている。しかし、彼らの体験についてはほとんど知られていない。本稿では、被害者の体験に光を当て、そのような体験を形成するいくつかの重要な要因を明らかにする。 
These factors are context-specific and can either improve or worsen the victim experience. They include the following: これらの要因は状況によって異なり、被害者の体験を改善することも悪化させることもある。以下のようなものがある:
• Timing of an incident, which may happen after a victim has increased their cyber security measures or at an already stressful time for an organisation, such as the beginning of a school year. • インシデントが発生するタイミングは、被害者がサイバーセキュリティ対策を強化した後や、年度初めなど組織にとってすでにストレスの多い時期に発生する可能性がある。
• Level of preparation in the form of strong cyber security measures and contingency plans explicitly tailored to respond to a cyber incident. • 強力なサイバーセキュリティ対策と、サイバーインシデントに対応するために明確に調整されたコンティンジェンシープランという形での準備のレベル。
• Human factors, such as the workplace environment and pre-existing dynamics which are often reinforced during an incident. Good levels of unity can bring staff together during a moment of crisis, but a lack of leadership or a blame culture are likely to aggravate the harm experienced during the incident.  • 職場環境や既存の力関係などの人的要因は、インシデント時に強化されることが多い。良好な団結力は、危機の瞬間にスタッフを団結させることができるが、リーダーシップの欠如や非難文化は、インシデント時に経験した被害を悪化させる可能性が高い。 
• Engagement with third-party service providers, such as those providing technical incident response or legal services, can alleviate the negative aspects of the victim experience by providing critical legal, technical or other help. However, they may aggravate the harm by providing poor services or losing valuable time in responding to the incident.  • 技術的なインシデント対応や法的サービスを提供するような第三者サービス・プロバイダーとの関わりは、重要な法的、技術的、またはその他の支援を提供することによって、被害者の経験の否定的な側面を軽減することができる。しかし、不十分なサービスを提供したり、インシデントに対応するために貴重な時間を失ったりすることで、被害を悪化させる可能性もある。 
• A successful communications campaign is highly context and victim specific. It must include external and internal communications with staff members not part of the immediate response to ensure a good workplace culture. • 成功するコミュニケーション・キャンペーンは、非常に文脈や被害者に特化したものである。良好な職場風土を確保するためには、緊急対応に加わっていないスタッフとの外部・内部コミュニケーションを含めなければならない。
For support, many victims turn to public sector institutions such as law enforcement. Expectations for technical support and expertise from law enforcement are generally low, but victims feel especially unsupported where phone calls are not returned and there is no engagement or feedback loop. The National Cyber Security Centre enjoys a better reputation. However, there is widespread uncertainty about its role and the thresholds that must be met for it to provide support. This poses a reputational risk.  被害者の多くは、法執行機関などの公的機関に支援を求めている。法執行機関に対する技術支援や専門知識への期待は一般的に低いが、被害者は、電話がつながらない、関与やフィードバックのループがないなど、特に支援されていないと感じている。国家サイバーセキュリティセンターの評判は良い。しかし、同センターの役割や、同センターが支援を提供するために満たさなければならない基準値については、広く不透明な部分がある。これは風評リスクをもたらしている。 
Understanding how ransomware attacks are personally felt by victims and what factors aggravate or alleviate the harm they experience is key for policymakers seeking to implement measures to minimise harm as much as possible.  ランサムウェア攻撃を受けた被害者が個人的にどのように感じているのか、またどのような要因が被害を悪化させたり軽減させたりしているのかを理解することは、被害を可能な限り最小化するための対策を実施しようとする政策立案者にとって重要な鍵となる。 
Summary of Recommendations 提言のまとめ
• While ransomware causes many kinds of harm, mitigating the psychological impact of ransomware attacks needs to be at the centre of the support given to (potential) victims preparing for and responding to a ransomware incident.  • ランサムウェアは様々な被害をもたらすが、ランサムウェア攻撃による心理的影響を軽減することは、ランサムウェアのインシデントに備え、対応する(潜在的な)被害者へのサポートの中心に据える必要がある。 
ú   Third-party service providers also need to recognise that efforts mitigating the psychological impact of ransomware attacks are critical to improving victims’ experience. They must therefore form part of their technical, legal or other services.  ú   サードパーティのサービスプロバイダーもまた、ランサムウェア攻撃の心理的影響を緩和する取り組みが、被害者の体験を改善するために不可欠であることを認識する必要がある。そのため、技術的、法的、その他のサービスの一部を構成する必要がある。 
ú   Public policy on ransomware must centre on measures that mitigate victims’ harm. This includes acknowledging and mitigating the psychological impact on victims, for example through counselling, compensation or time off in lieu. ú   ランサムウェアに関する公共政策は、被害者の被害を軽減する対策を中心に据える必要がある。これには、例えばカウンセリング、補償、代休などを通じて、被害者の心理的影響を認め、軽減することが含まれる。
• Victims should aim for the right balance of discretion and transparency within their external and internal communications.  • 被害者は、対外的および対内的なコミュニケーションにおいて、慎重さと透明性の適切なバランスを目指すべきである。 
• Third-party service providers should actively enable information sharing, subject to the consent of parties, among past, current and potential victims through their networks. • 第三者サービス・プロバイダーは、当事者の同意を前提に、過去、現在、潜在的な被害者の間で、ネットワークを通じた情報共有を積極的に可能にすべきである。
• Law enforcement and intelligence agencies should establish a positive feedback loop that shares success stories and notifies victims when the information they share has been successfully used for intelligence and law enforcement activities. • 法執行機関と情報機関は、成功事例を共有し、被害者が共有した情報が諜報活動や法執行活動にうまく利用された場合に被害者に通知する、前向きなフィードバック・ループを確立すべきである。
• Government authorities need to clarify the tasks of relevant public institutions and their role in the ransomware response, including who can receive support and under what circumstances.  • 政府当局は、誰がどのような状況で支援を受けることができるかを含め、ランサムウェア対応における関連公的機関の任務とその役割を明確にする必要がある。 
• Given year-on-year increases in the frequency of incidents, the resourcing of the Information Commissioner’s Office should be routinely assessed to enable timely assessments of ransomware breaches.  • インシデントの発生頻度が年々増加していることから、ランサムウェアによる侵害をタイムリーに評価できるよう、情報コミッショナー事務局のリソースを定期的に評価すべきである。 

 

 

| | Comments (0)

2024.06.29

経済産業省 スマートマニュファクチャリング構築ガイドライン

こんにちは、丸山満彦です。

経済産業省とNEDOが、製造事業者各社が直面する経営課題の解決に向けて、経営・業務変革課題の特定を起点としてデジタルソリューションを適用・導入する企画・構想設計に重点を置いた「スマートマニュファクチャリング構築ガイドライン」を共同で策定し、公開していますね...

かなり詳細な資料ですね...

ちなみに、サイバーセキュリティについてはP37に1箇所だけでてきます(^^)

 

NEDO(国立研究開発法人 新エネルギー・産業技術総合開発機構)

・[PDF] スマートマニュファクチャリング構築ガイドライン(令和6年6月初版) (downloaded)

20240629-72245

・[PDF] 別紙_リファレンス1_環境変化項目別変革課題マップの重点 (downloaded)

・[PDF] 別紙_リファレンス2_生産システム類型別変革課題マップの重点 (downloaded)

・[PDF] 別紙_リファレンス3_マニュファクチャリング変革課題マップ (downloaded)

・[PDF] 別紙_リファレンス4_変革課題別実現レベル5段階 (downloaded)

・[PDF] 別紙_リファレンス5_実現レベル別仕組み構築手法 (downloaded)

・[PDF] 別紙_リファレンス6_企画から実装に至るプロジェクト設計 (downloaded)

・[PDF] 別紙_リファレンス7_プロジェクト推進モデル事例集 (downloaded)

・[PDF] 別紙_チーム討議用リファレンス3-5集約版 (downloaded)

 

 

報告書の目次...

1 章 本ガイドラインについて
1.1
本ガイドライン策定の背景とねらい

1.1.1 製造業を取り巻く環境変化
1.1.2 本ガイドラインのねらいと前提

1.2
本ガイドラインの構成
1.2.1
スマート化の道筋を描くための「7 つのリファレンス」
1.2.2 本ガイドライン各章の主な内容

1.3
スマートマニュファクチャリングの概念

2 章 ものづくりの全体プロセスの捉え方
2.1
「マニュファクチャリングチェーン」の全体像
2.1.1 4
つのチェーンで構成するマニュファクチャリングチェーン
2.1.2 チェーン連鎖で描くものづくりの全体プロセス

2.2
4つのチェーンの詳細
2.2.1
エンジニアリングチェーンの詳細
2.2.2 サプライチェーンの詳細
2.2.3 プロダクションチェーンの詳細
2.2.4 サービスチェーンの詳細

3 章 スマート化の思考テンプレート:「変革課題マップ」
3.1
「変革課題マップ」と課題別実現レベル 5 段階

3.1.1
変革に向けた基本スタンス
3.1.2 「マニュファクチャリング変革課題マップ」(リファレンス③抜粋)
3.1.3 「変革課題別実現レベル 5 段階」(リファレンス④抜粋)
3.1.4 「実現レベル別仕組み構築手法」(リファレンス⑤抜粋)

3.2
各チェーンから見た変革課題の位置づけ
3.2.1 エンジニアリングチェーンにおける変革課題マップ
3.2.2 サプライチェーンにおける課題マップ
3.2.3 プロダクションチェーンにおける課題マップ
3.2.4 サービスチェーンにおける課題マップ

3.3
経営目標達成指標(KGI)と変革課題と関連
3.3.1
スマートマニュファクチャリングとKGI
3.3.2 KGI と変革課題との関連

4 章 重点とする変革課題の選定方法
4.1
企業を取り巻く環境変化に基づく重点化(リファレンス抜粋)
4.1.1 企業を取り巻く環境変化
4.1.2 環境変化ごとの重点項目の設定

4.2
生産システム類型に基づく重点化(リファレンス抜粋)
4.2.1
生産システムの特性
4.2.2 生産システム類型区分からの重点項目設定

5 章 スマート化プロジェクトの設計方法
5.1
プロジェクト設計(リファレンス抜粋)
5.1.1 4 つのフェーズによる構成
5.1.2 各フェーズの詳細
5.1.3 各フェーズの実践に向けた補足事項
5.1.4 推進体制の構築
5.1.5 推進スケジュールの設定

5.2
プロジェクト推進モデル事例集(リファレンス抜粋)
5.2.1 モデル事例の構成
5.2.2 モデル事例の内容:タイプ D(抜粋)

あとがき


 

 

| | Comments (0)

2024.06.28

米国 国防総省がIT推進戦略 (FULCRUM) を発表 (2024.06.25)

こんにちは、丸山満彦です。

米国国防総省がIT推進戦略 (FULCRUM) を発表していますね...

戦闘フィールドも含めたIT推進戦略ということだと思います。もちろん、サイバーセキュリティ対応も含まれています。

民間企業にも役立つ気づきがあると思いますので、目を通したらどうかと思います...

(あっ、ここにもデジタル人材 (digital workforce) が!...)

 

ちなみに、Fulcrumとはテコの支点 (pivot point) のことで、ものごとの中心といった感じです...

 

IT推進戦略の概要...

LOE 1: Provide Joint Warfighting IT capabilities to expand strategic dominance of U.S. Forces & mission partners.  LOE 1:米軍とミッション・パートナーの戦略的優位性を拡大するために、統合戦闘IT能力を提供する。 
1.1 Provide an intuitive and adaptive user experience 1.1 直感的で適応力のあるユーザー体験を提供する 
1.2 Treat and secure data as a strategic product 1.2 データを戦略的産物として扱い、保護する 
1.3 Harness advanced technologies for strategic advantage 1.3 戦略的優位性のために先端技術を活用する 
1.4 Outpace adversaries with Global C3 capabilities 1.4 グローバルC3能力で敵に打ち勝つ 
LOE 2: Modernize information networks and compute to rapidly meet mission and business needs.  LOE 2: 情報ネットワークとコンピュートを近代化し、ミッションとビジネスのニーズに迅速に対応する。 
2.1 Optimize the DoD Information Network (DoDIN) foundation 2.1 国防総省情報ネットワーク(DoDIN)の基盤を最適化する
2.2 Enable global dynamic resilience: 2.2 グローバルな動的レジリエンスを可能にする 
2.3 Implement ZT across DoD networks and compute fabric 2.3 国防総省のネットワークとコンピュート・ファブリックにZTを導入する 
LOE 3: Optimize IT governance to gain efficiencies in capability delivery and enable cost savings.  LOE 3: ITガバナンスを最適化し、能力提供の効率化とコスト削減を実現する。 
3.1 Overhaul IT governance process and tools for Department-wide implementation: 3.1 ITガバナンス・プロセスとツールを全面的に見直し、全局的な導入を図る 
3.2 Use trusted and curated data to advance IT Governance 3.2 ITガバナンスを推進するために信頼され管理されたデータを利用する 
3.3 Streamline Defense Business Systems and Enterprise IT 3.3 防衛業務システムとエンタープライズITの合理化 
3.4 Accelerate acquisition, development, and deployment of IT 3.4 ITの獲得、開発、展開を加速する 
LOE 4: Cultivate a premier digital workforce ready to deploy emerging technology to the warfighter.  LOE 4:戦闘員に新たなテクノロジーを配備できる最高のデジタル人材を育成する。 
4.1 Build a top-tier digital workforce 4.1 トップクラスのデジタル人材を構築する
4.2 Prioritize continuous learning for the digital workforce 4.2 デジタルワークフォースのための継続的学習を優先する
4.3 Retain an exceptional digital workforce 4.3 卓越したデジタル人材を維持する
4.4 Foster collaborative partnerships to enhance the digital workforce 4.4 デジタル人材を強化するための協力的パートナーシップを促進する

 

U.S. Department of Defense

・2024.06.25 DoD Releases the Fulcrum: DoD Information Technology (IT) Advancement Strategy

DoD Releases the Fulcrum: DoD Information Technology (IT) Advancement Strategy 国防総省が「Fulcrum」を発表:国防総省の情報技術(IT)推進戦略
Today, the Department of Defense (DoD) releases the Fulcrum: DoD Information Technology (IT) Advancement Strategy. This strategy will continue the transformative change in the Department’s IT; Cyber; Command, Control, and Communications; and digital workforce while setting the foundation for the future. 本日、国防総省は「Fulcrum」を発表した: 国防総省は本日、「フルドラム:国防総省情報技術(IT)推進戦略」を発表した。この戦略は、国防総省のIT、サイバー、指揮・統制・コミュニケーション、デジタル労働力における変革の継続を図るとともに、将来への基盤を確立するものである。
On June 20th, the Deputy Secretary of Defense approved and signed the Fulcrum Strategy, emphasizing the user-centric and a cross cutting approach, it will ensure the Department delivers capabilities aligned with warfighting mission objectives. This new strategy prioritizes user experience and investment in infrastructure that is both agile and scalable to meet the dynamic requirements of operations and opportunities offered by the most modern technologies. 6月20日、国防総省副長官はFulcrum戦略を承認し、署名した。フルクラム戦略は、ユーザー中心、横断的アプローチを強調し、国防総省が戦いの任務目標に沿った能力を提供できるようにする。この新戦略は、ユーザーエクスペリエンスと、機動性と拡張性を兼ね備えたインフラへの投資を優先し、作戦のダイナミックな要件と最新技術によってもたらされる機会を満たすものである。
The Fulcrum Strategy is organized across four integrated lines of effort (LOE) that will ensure the Department continues to connect, protect, and perform for the nation’s warfighters and the personnel that support them. フルクラム戦略は4つの統合されたLine of Effort (LOE) で構成され、国の戦闘員とそれを支援する人員のために、防衛省が接続、保護、遂行を継続できるようにする。
Line of Effort 1 - Provide Joint Warfighting IT Capabilities: This LOE delivers user-centric IT capabilities that are functional, scalable, sustainable, and secure in today’s dynamic and contested global environments. This LOE focuses on improving the information available to the warfighter in order to gain decision and competitive advantage in high-tempo, multi-domain operations. Line of Effort 1 - 統合戦闘 IT 能力のプロバイダ: この LOE は、今日のダイナミックで紛争が絶えないグローバル環境において、機能性、拡張性、持 続可能性、安全性を備えたユーザー中心の IT 能力を提供するものである。この LOE は、ハイテンポでマルチドメインな作戦において意思決定と競争上の優位性を獲得するために、戦闘員が利用できる情報を改善することに重点を置いている。
Line of Effort 2 - Modernize Information Networks and Compute: This LOE focuses on rapidly meeting mission and business needs, leveraging best-in-class technologies and data-centric Zero Trust cybersecurity approach to deliver a secure modernized network that has faster data transfer, lower latency, with improved global dynamic resiliency. Line of Effot 2 - 情報ネットワークとコンピュートの近代化: このLOEは、ミッションとビジネスのニーズを迅速に満たすことに重点を置き、クラス最高の技術とデータ中心のゼロトラスト・サイバーセキュリティ・アプローチを活用して、データ転送の高速化、低遅延化、グローバルな動的レジリエンスの改善を実現する安全な近代化ネットワークを提供する。
Line of Effort 3 - Optimize IT Governance: This LOE will drive efficiencies in capability delivery and enable cost avoidance and savings, transforms governance through streamlined policies from governance to acquisition of systems. This includes the use of robust data capabilities to empower better decision making. Line of Effort 3 - IT ガバナンスの最適化: このLOEは、能力提供の効率化を推進し、コスト回避と節約を可能にする。ガバナンスからシステム取得に至るまで、合理化されたポリシーによってガバナンスを変革する。これには、より良い意思決定を行うための強固なデータ機能の活用も含まれる。
Line of Effort 4 - Cultivate a Premier Digital Workforce: This LOE will ensure that our workforce is ready to deploy emerging technology supporting the warfighter, and DoD continues ongoing efforts to identify, recruit, develop, and retain the best digital talent the country has to offer. It broadens the DoD Cyber Workforce Framework (DCWF) to focus on the greater digital workforce with the inclusion of work roles for data, AI, and software engineering. Line of Effort 4 - 最高のデジタル人材を育成する: このLOEは、戦闘員を支援する新たな技術を展開するための労働力を確保し、国防総省が、この国が提供できる最高のデジタル人材を特定し、採用し、開発し、維持するための継続的な取り組みを継続するものである。これはDoD Cyber Workforce Framework (DCWF)を拡大し、データ、AI、ソフトウェアエンジニアリングの職務を含めることで、より大きなデジタル労働力に焦点を当てるものである。
Fulcrum describes "what" the DoD must achieve with respect to advancing IT for the warfighter and "why" it matters. Each LOE is supported by a series of portfolio spanning strategic objectives that describe the way ahead in greater detail and provide measurable mechanisms to track progress. Fulcrumは、戦闘員のためのITの進歩に関して国防総省が達成しなければならない「こと」と、それが「なぜ」重要なのかを説明している。各LOEは、今後の進め方をより詳細に説明し、進捗を追跡するための測定可能なメカニズムを提供する、一連のポートフォリオにまたがる戦略目標によって支えられている。
This strategy serves as the fulcrum for empowering DoD leaders to drive transformative change and advance technology for the warfighter in an evolving world. The strategy is available at [WEB] この戦略は、国防総省の指導者たちが、進化する世界において変革を推進し、戦闘員のために技術を進歩させるための支点となる。戦略は[WEB]

 

 

・[PDF] Fulcrum: The Department of Defense Information Technology Advancement Strategy

20240628-40326

・[DOCX][PDF] 仮訳

 

 

 

 

 

 

| | Comments (0)

2024.06.27

JPCERT/CC Operation Blotless攻撃キャンペーンに関する注意喚起 (2024.06.25)

こんにちは、丸山満彦です。

JPCERT/CCからOperation Blotless攻撃キャンペーンに関する注意喚起が公表されています。

わかりやすくまとめているので、重要(基幹)インフラ及びその取引先企業等は特に目を通しておくとよいと思います...

Living off the Land戦術の話です...

 

ポイントは、

・将来必要となる時に攻撃できるように準備をするための攻撃が存在する。(例えば、認証情報を取得しておくなど)

・通常の時は活動をしていないので、認証情報等を取得されたことに気づくのが非常に困難

At240013_001

 

 

なので、

・攻撃されている可能性が高い=>「III. 攻撃活動の事例」に示す同グループの攻撃活動時期を踏まえ、
(ベンダー等から)公表されている情報等を参考に侵害の有無の調査をする

・侵害の調査をしておきたい=>「IV. 推奨調査項目」に示す、基本的な調査ポイントについて調査する...

・今後の攻撃に備えておきたい=>「V. 推奨対策」に示す、中長期的な対策の導入する...

 

JPCERT/CC

注意喚起...

・2024.06.25 Operation Blotless攻撃キャンペーンに関する注意喚起

 

ブログ...

佐々木さん作..

・2024.06.26 Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか ~将来の攻撃に備えるThreat Huntingのアプローチについて考える~

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.16 カナダ サイバーセキュリティセンター (CCCS) 中華人民共和国のサイバー脅威活動に対する認識と防御を促す(2024.06.03最終更新)

・2024.03.24 Five Eyes 中国国家主導のサイバー活動: 重要インフラリーダーのための行動 (2024.03.19)

・2024.02.12 Five Eyes 中華人民共和国の支援を受けたサイバーアクターが米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断... (2024.02.07)

・2024.02.03米国 司法省 重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊(だから、IoT認証が重要...)

・2023.09.28 警察庁 NISC 中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について with 米国 NSA, FBI, CISA

・2023.08.20 CISA 官民サイバー防衛共同体 (JCDC) による「遠隔監視・管理 (RMM) システムのサイバー防衛計画」

・2023.06.11 Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)

・2023.01.04 世界経済フォーラム (WEF) サイバー犯罪の取り締まりに国際的なルールが必要な理由

 

このブログで一番最初にLiving off the Landが登場...

・2021.06.24 米国CISA MITRE ATT&CK®をサイバー脅威インテリジェンスに活用するためのガイダンス at 2021.06.02

 

| | Comments (0)

2024.06.25

米国 GAO 高リスク・シリーズ:国家が直面するサイバーセキュリティの重要課題に対処するための緊急行動が必要 (2024.06.13)

こんにちは、丸山満彦です。

GAOの毎年の高リスクシリーズの報告書...

2010年以来1,610件の勧告を報告したが、まだ567件が未実施ということのようです...

 

4つの主要課題と10の重要なアクション

1_20240625003201

Establishing a comprehensive cybersecurity strategy and performing effective oversight 包括的なサイバーセキュリティ戦略を確立し、効果的な監督を行う。
1. Develop and execute a more comprehensive federal strategy for national cybersecurity and global cyberspace. 1. 国家サイバーセキュリティとグローバルサイバースペースのより包括的な連邦戦略を策定し、実行する。
2. Mitigate global supply chain risks (e.g., installation of malicious software or hardware). 2. グローバル・サプライチェーンのリスク(悪意のあるソフトウェアやハードウェアのインストールなど)を低減する。
3. Address cybersecurity workforce management challenges. 3. サイバーセキュリティ人材管理の課題に対処する。
4. Bolster the security of emerging technologies (e.g., artificial intelligence and Internet of Things). 4. 新興技術(人工知能やモノのインターネットなど)のセキュリティを強化する。
Securing federal systems and information 連邦政府のシステムと情報を保護する。
5. Improve implementation of government-wide cybersecurity initiatives. 5. 政府全体のサイバーセキュリティ・イニシアチブの実施を改善する。
6. Address weaknesses in federal agency information security programs. 6. 連邦政府機関の情報セキュリティプログラムの弱点に対処する。
7. Enhance the federal response to cyber incidents. 7. サイバーインシデントへの連邦政府の対応を強化する。
Protecting the cybersecurity of critical infrastructure 重要インフラのサイバーセキュリティを防御する。
8. Strengthen the federal role in protecting the cybersecurity of critical infrastructure (e.g., electricity grid and telecommunications networks). 8. 重要インフラ(送電網や通信網など)のサイバーセキュリティ保護における連邦政府の役割を強化する。
Protecting privacy and sensitive data プライバシー・機密データの防御
9. Improve federal efforts to protect privacy and sensitive data. 9. プライバシーと機密データを保護するための連邦政府の取り組みを改善する。
10. Appropriately limit the collection and use of personal information and ensure that it is obtained with appropriate knowledge or consent. 10. 個人情報の収集と利用を適切に制限し、適切な知識または同意を得た上で取得されるようにする。

 

さて、発表とブログ...

 

GAO

・2024.06.13 High-Risk Series:Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation

High-Risk Series:Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation 高リスクシリーズ:国家が直面するサイバーセキュリティの重要課題に対処するために緊急の行動が必要である
GAO-24-107231 GAO-24-107231
Fast Facts 速報
Federal IT systems and the nation's critical infrastructure are often under threat. Federal agencies reported over 30,000 IT security incidents in FY 2022. 連邦政府のITシステムと国家の重要インフラは、しばしば脅威にさらされている。連邦政府機関は2022年度に3万件を超えるITセキュリティ・インシデントを報告した。
We reported on the government's 4 major cybersecurity challenges: 我々は政府の4つの主要なサイバーセキュリティの課題について報告した:
・Establishing a comprehensive cybersecurity strategy and performing effective oversight ・包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施
・Securing federal systems and information ・連邦政府のシステムと情報の保護
・Protecting the cybersecurity of critical infrastructure ・重要インフラのサイバーセキュリティ防御
・Protecting privacy and sensitive data ・プライバシーと機密データの防御
Since 2010, we've made 1,610 recommendations to address issues in these areas. Federal agencies have implemented 1,043 of our recommendations, but 567 remain unimplemented as of May 2024. 2010年以来、我々はこれらの分野の問題に対処するために1,610件の勧告を行ってきた。連邦政府機関は勧告のうち1,043件を実施したが、2024年5月現在、567件が未実施のままである。
Highlights ハイライト
What GAO Found GAOが発見したこと
Risks to our nation's essential technology systems are increasing. Threats to these systems can come from a variety of sources and vary in terms of the types and capabilities of the actors, their willingness to act, and their motives. Federal agencies reported 30,659 information security incidents to the Department of Homeland Security's United States Computer Emergency Readiness Team in fiscal year 2022. Such attacks could result in serious harm to human safety, national security, the environment, and the economy. わが国の基幹技術システムに対するリスクは増大している。これらのシステムに対する脅威は様々なソースから発生し、脅威行為者のタイプや能力、行動意欲、動機も様々である。連邦政府機関は2022会計年度に、国土安全保障省の米国コンピュータ緊急対応チームに30,659件の情報セキュリティ・インシデントを報告した。このような攻撃は、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性がある。
Concerted action among the federal government and its nonfederal partners is critical to mitigating the risks posted by cyber-based threats. Recognizing the growing threat, the federal government urgently needs to take action to address the four major cybersecurity challenges and 10 associated critical actions (see figure). サイバー脅威がもたらすリスクを低減するためには、連邦政府と連邦政府以外のパートナーとの協調行動が不可欠である。増大する脅威をガバナンスで認識し、連邦政府はサイバーセキュリティに関する4つの主要な課題と、それに関連する10の重要なアクションに取り組むための行動を緊急にとる必要がある(図参照)。
Figure: Four Major Cybersecurity Challenges and 10 Associated Critical Actions 図: サイバーセキュリティの4大課題と関連する10の重要行動
1_20240625003201
Since 2010, GAO has made 1,610 recommendations in public reports that address the four cybersecurity challenge areas. As of May 2024, federal agencies had implemented 1,043 of these recommendations; 567 remain unimplemented. Until these recommendations are fully implemented, federal agencies will be limited in their ability to: 2010年以来、GAOは4つのサイバーセキュリティの課題分野に取り組む1,610件の勧告を公開報告書で行ってきた。2024年5月現在、連邦政府機関はこれらの勧告のうち1,043件を実施しているが、567件は未実施のままである。これらの勧告が完全に実施されるまで、連邦政府機関は以下の能力に制約を受けることになる:
provide effective oversight of critical government-wide initiatives, mitigate global supply chain risks, address challenges with cybersecurity workforce management, and better ensure the security of emerging technologies; 政府全体の重要なイニシアチブを効果的に監督し、グローバル・サプライチェーンのリスクを軽減し、サイバーセキュリティ要員マネジメントの課題に対処し、新興技術のセキュリティをより確実にする;
improve implementation of government-wide cybersecurity initiatives, address weaknesses in federal agency information security programs, and enhance the federal response to cyber incidents; 政府全体のサイバーセキュリティ・イニシアチブの実施を改善し、連邦政府機関の情報セキュリティ・プログラムの弱点に対処し、サイバーインシデントへの連邦政府の対応を強化する;
mitigate cybersecurity risks for key critical infrastructure systems and their data; and 主要な重要インフラ・システムとそのデータのサイバーセキュリティ・リスクを低減する。
protect private and sensitive data entrusted to them. 個人情報や機密データを保護する。
Why GAO Did This Study GAOがこの調査を行った理由
Federal agencies and the nation's critical infrastructures depend on technology systems to carry out fundamental operations and to process, maintain, and report vital information. The security of these systems and data is also important to safeguarding individual privacy and protecting the nation's security, prosperity, and well-being. 連邦政府機関と国家の重要なインフラは、基本的な業務を遂行し、重要な情報を処理、維持、報告するための技術システムに依存している。これらのシステムとデータのセキュリティは、個人のプライバシーを守り、国家の安全、繁栄、幸福を守るためにも重要である。
GAO first designated information security as a government-wide High-Risk area in 1997. This was expanded to include protecting the cybersecurity of critical infrastructure in 2003 and the privacy of personally identifiable information in 2015. GAOは1997年に情報セキュリティを政府全体のハイリスク分野として初めて指定した。2003年には重要インフラのサイバーセキュリティの保護、2015年には個人を特定できる情報のプライバシーの保護に拡大された。
In 2018, GAO reported that the federal government needed to address four major cybersecurity challenges: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting the cybersecurity of critical infrastructure, and (4) protecting privacy and sensitive data. Within these four challenges are 10 actions essential to successfully dealing with the serious cybersecurity threats facing the nation. 2018年、GAOは連邦政府が4つの主要なサイバーセキュリティの課題に取り組む必要があると報告した:(1)包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施、(2)連邦政府のシステムと情報の保護、(3)重要インフラのサイバーセキュリティの保護、(4)プライバシーと機密データの保護。これら4つの課題の中には、国家が直面する深刻なサイバーセキュリティの脅威にうまく対処するために不可欠な10の行動が含まれている。
GAO's objective was to describe the challenges facing the federal government in ensuring the cybersecurity of the nation and the progress it has made in addressing these challenges. To do so, GAO identified its recent public reports related to each challenge and summarized relevant findings from this work. GAO also determined the implementation status of relevant recommendations made in these reports. Further, GAO identified its ongoing and upcoming work covering each of the 10 critical actions needed to address the four major cybersecurity challenges. GAOの目的は、国のサイバーセキュリティを確保する上で連邦政府が直面しているガバナンスの課題と、これらの課題への取り組みの進捗状況を説明することであった。そのためにGAOは、各課題に関連する最近の公開報告書を特定し、この作業から得られた関連所見を要約した。GAOはまた、これらの報告書でなされた関連勧告の実施状況も把握した。さらにGAOは、4つの主要なサイバーセキュリティの課題に対処するために必要な10の重要な行動のそれぞれについて、現在進行中および今後の作業を特定した。

 

 

・[PDF] Highlights Page

20240625-10041

 

Why GAO Did This Study GAOがこの調査を行った理由
Federal agencies and the nation's critical infrastructures depend on technology systems to carry out fundamental operations and to process, maintain, and report vital information. The security of these systems and data is also important to safeguarding individual privacy and protecting the nation's security, prosperity, and well-being. 連邦政府機関と国家の重要なインフラは、基本的な業務を遂行し、重要な情報を処理、維持、報告するための技術システムに依存している。これらのシステムとデータのセキュリティは、個人のプライバシーを守り、国家の安全、繁栄、幸福を守るためにも重要である。
GAO first designated information security as a government-wide High-Risk area in 1997. This was expanded to include protecting the cybersecurity of critical infrastructure in 2003 and the privacy of personally identifiable information in 2015. GAOは1997年に情報セキュリティを政府全体のハイリスク分野として初めて指定した。2003年には重要インフラのサイバーセキュリティの保護、2015年には個人を特定できる情報のプライバシーの保護に拡大された。
In 2018, GAO reported that the federal government needed to address four major cybersecurity challenges: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting the cybersecurity of critical infrastructure, and (4) protecting privacy and sensitive data. Within these four challenges are 10 actions essential to successfully dealing with the serious cybersecurity threats facing the nation. 2018年、GAOは連邦政府が4つの主要なサイバーセキュリティの課題に取り組む必要があると報告した:(1)包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施、(2)連邦政府のシステムと情報の保護、(3)重要インフラのサイバーセキュリティの保護、(4)プライバシーと機密データの保護。これら4つの課題の中には、国家が直面する深刻なサイバーセキュリティの脅威にうまく対処するために不可欠な10の行動が含まれている。
GAO's objective was to describe the challenges facing the federal government in ensuring the cybersecurity of the nation and the progress it has made in addressing these challenges. To do so, GAO identified its recent public reports related to each challenge and summarized relevant findings from this work. GAO also determined the implementation status of relevant recommendations made in these reports. Further, GAO identified its ongoing and upcoming work covering each of the 10 critical actions needed to address the four major cybersecurity challenges. GAOの目的は、国のサイバーセキュリティを確保する上で連邦政府が直面しているガバナンスの課題と、これらの課題への取り組みの進捗状況を説明することであった。そのためにGAOは、各課題に関連する最近の公開報告書を特定し、この作業から得られた関連所見を要約した。GAOはまた、これらの報告書でなされた関連勧告の実施状況も把握した。さらにGAOは、4つの主要なサイバーセキュリティの課題に対処するために必要な10の重要な行動のそれぞれについて、現在進行中および今後の作業を特定した。
For more information, contact Marisol Cruz Cain at (202) 512-5017 or cruzcainm@gao.gov. 詳細については、Marisol Cruz Cain 電話:(202) 512-5017 または cruzcainm@gao.gov まで。
HIGH-RISK SERIES ハイリスクシリーズ
Urgent Action Needed to Address Critical Cybersecurity Challenges Facing the Nation 国家が直面するサイバーセキュリティの重要課題に対処するための緊急行動が必要である。
Risks to our nation’s essential technology systems are increasing. Threats to these systems can come from a variety of sources and vary in terms of the types and capabilities of the actors, their willingness to act, and their motives. Federal agencies reported 30,659 information security incidents to the Department of Homeland Security’s United States Computer Emergency Readiness Team in fiscal year 2022. Such attacks could result in serious harm to human safety, national security, the environment, and the economy. Concerted action among the federal government and its nonfederal partners is critical to mitigating the risks posted by cyber-based threats. Recognizing the growing threat, the federal government urgently needs to take action to address the four major cybersecurity challenges and 10 associated critical actions (see figure 1). わが国の基幹技術システムに対するリスクは増大している。これらのシステムに対する脅威は、さまざまなソースからもたらされる可能性があり、脅威行為者のタイプや能力、行動意欲、動機もさまざまである。連邦政府機関は2022会計年度に、国土安全保障省の米国コンピュータ緊急対応チームに30,659件の情報セキュリティ・インシデントを報告した。このような攻撃は、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性がある。サイバー脅威がもたらすリスクを低減するためには、連邦政府と連邦政府以外のパートナーとの協調行動が不可欠である。脅威の拡大をガバナンスで認識している連邦政府は、サイバーセキュリティの4大課題とそれに関連する10の重要なアクションに取り組むための行動を緊急に取る必要がある(図1を参照)。
Figure 1: Four Major Cybersecurity Challenges and 10 Associated Critical Actions 図1:サイバーセキュリティの4大課題と関連する10の重要行動
1_20240625003201
Since 2010, GAO has made 1,610 recommendations in public reports that address the four cybersecurity challenge areas. As of May 2024, federal agencies had implemented 1,043 of these recommendations; 567 remain unimplemented. Until these recommendations are fully implemented, the federal government will be hindered in ensuring the security of federal systems and critical infrastructure and the privacy of sensitive data. This increases the risk that the nation will be unprepared to respond to the cyber threats that can cause serious damage to public safety, national security, the environment, and economic well-being. 2010年以来、GAOはサイバーセキュリティの4つの課題分野に取り組む1,610件の勧告を公開報告書で行ってきた。2024年5月現在、連邦政府機関はこれらの勧告のうち1,043件を実施しているが、567件は未実施のままである。これらの勧告が完全に実施されるまで、連邦政府は連邦システムおよび重要インフラのセキュリティと機密データのプライバシーの確保に支障をきたすだろう。これは、公共の安全、国家安全保障、環境、経済的福利に深刻な損害を与えうるサイバー脅威に対応する準備ができていないというリスクを増大させる。
Challenge 1:  課題 1: 
Establishing a comprehensive cybersecurity strategy and performing effective oversight 包括的なサイバーセキュリティ戦略を確立し、効果的な監視を行う。
170 of 396 recommendations have NOT been implemented (as of May 2024)  396の勧告のうち170が未実施(2024年5月現在) 
The White House, through the Office of the National Cyber Director, has taken important steps in providing cybersecurity leadership, including developing and publicly releasing the National Cybersecurity Strategy and its accompanying implementation plan. However, in February 2024, GAO reported that the strategy and implementation plan addressed some, but not all, of the desirable characteristics of a national strategy. In particular, the strategy and implementation plan did not fully incorporate outcome-oriented performance measures and estimated resources and costs.  ホワイトハウスは、国家サイバー長官室を通じて、国家サイバーセキュリティ戦略とそれに付随する実施計画を策定・公表するなど、サイバーセキュリティのリーダーシップを発揮する上で重要なステップを踏んできた。しかし、2024年2月、GAOは、戦略と実施計画は国家戦略の望ましい特性の全てではないが、一部に対処していると報告した。特に、戦略と実施計画には、成果志向のパフォーマンス指標と、リソースとコストの見積もりが十分に盛り込まれていなかった。
Additionally, the federal government needs to take actions to perform effective oversight, including monitoring the global supply chain, ensuring a highly skilled cyber workforce, and addressing risks associated with emerging technologies, such as artificial intelligence (AI). For example: さらに連邦政府は、グローバル・サプライチェーンの監視、高度なスキルを持つサイバー人材の確保、人工知能(AI)などの新技術に関連するリスクへの対応など、効果的な監視を行うための行動をとる必要がある。例えば、次のようなことだ:
•   Emerging threats in the supply chain can put federal agencies, including the Department of Defense (DOD), at risk. GAO’s 2023 report showed that DOD had addressed four and partially addressed three practices for managing supply chain risk. However, DOD has not yet implemented GAO’s three recommendations on the partially addressed practices. ・サプライチェーンにおける新たな脅威は、国防総省を含む連邦政府機関をリスクにさらす可能性がある。GAOの2023年報告書によると、DODはサプライチェーン・リスクマネジメントのための4つのプラクティスに取り組み、3つのプラクティスには部分的に取り組んでいた。しかし、DODは、部分的に対処したプラクティスに関するGAOの3つの勧告をまだ実施していない。
•   Regarding the cyber workforce, in July 2023 GAO reported that the National Institute of Standards and Technology (NIST) had not fully addressed nine key performance assessment practices in its efforts to strengthen cybersecurity education, training, and workforce development. GAO’s recommendations to fully address these practices have not yet been implemented. ・サイバー人材に関しては、2023年7月にGAOは、国立標準技術研究所(NIST)がサイバーセキュリティの教育、訓練、人材育成を強化する取り組みにおいて、9つの主要なパフォーマンス・アセスメント・プラクティスに完全に対処していないと報告した。これらのプラクティスに完全に対処するためのGAOの勧告は、まだ実施されていない。
•   GAO’s 2023 government-wide report on AI revealed that 20 federal agencies reported a total of about 1,200 current and planned use cases—specific challenges or opportunities that AI may solve. However, many agencies had not implemented AI requirements, such as preparing an inventory on AI use. GAO made 35 recommendations to address this; however, none of these have yet been implemented. ・AIに関するGAOの2023年政府全体報告書では、20の連邦政府機関が合計約1,200の現在および計画中のユースケースを報告し、AIが解決する可能性のある特定の課題や機会を明らかにした。しかし、多くの機関は、AI利用に関するインベントリーの作成など、AIの要件を実施していなかった。GAOはこれに対処するために35の勧告を行ったが、いずれもまだ実施されていない。
Challenge 2:  課題2: 
Securing federal systems and information 連邦政府のシステムと情報の保護
221 of 839 recommendations have NOT been implemented (as of May 2024) 839の勧告のうち221が未実施(2024年5月現在)
GAO has found that agencies remain limited in their ability to improve implementation of government-wide cybersecurity initiatives, address weaknesses in federal agency information security programs, and enhance the federal response to cyber incidents. For example: GAOは、政府全体のサイバーセキュリティ・イニシアチブの実施を改善し、連邦政府機関の情報セキュリティ・プログラムの弱点に対処し、サイバーインシデントへの連邦政府の対応を強化する能力において、政府機関が依然として制限されていることを明らかにした。例えば
•   In January 2024, GAO reported that Inspectors General at 15 of the 23 civilian agencies subject to the Chief Financial Officers Act of 1990 found their agencies’ information security programs to be ineffective. Out of the 23 agencies, no more than eight received an effective rating in any given year over the last 6 years of reporting (fiscal years 2017 through 2022). ・2024年1月、GAOは、1990年最高財務責任者法(Chief Financial Officers Act of 1990)の対象となる23の民間機関のうち15の監察官室が、各機関の情報セキュリティ・プログラムが効果的でないことを発見したと報告した。23機関のうち、過去6年間(2017会計年度から2022会計年度)の報告で、ある年に効果的と評価されたのは8機関以下であった。
•   GAO’s May 2023 report highlighted that four selected agencies (the Departments of Agriculture, Homeland Security, Labor, and the Treasury) varied in their efforts to implement key security practices for cloud services, which provide on-demand access to shared resources such as networks, servers, and data storage. The practices included having a plan to respond to incidents and continuous monitoring of system security and privacy. GAO made 35 recommendations to the selected agencies, most of which have not been implemented. ・GAOの2023年5月の報告書では、選定された4つの機関(農務省、国土安全保障省、労働省、財務省)が、ネットワーク、サーバー、データストレージなどの共有リソースへのオンデマンドアクセスを提供するクラウドサービスに対して、主要なセキュリティ対策を実施する取り組みにばらつきがあることが強調された。対応には、インシデントへの対応計画の策定や、システムのセキュリティとプライバシーの継続的なモニタリングなどが含まれる。GAOは選定された機関に対し35件の勧告を行ったが、そのほとんどは実施されていない。
In December 2023, GAO reported that 23 federal civilian agencies had made progress in cybersecurity incident response preparedness, but 20 of the 23 agencies had not fully established an event logging capability. A log is a record of the events occurring within an organization’s systems and networks, and maintaining such a record is crucial for responding to incidents. GAO recommended that 19 of the 20 agencies fully implement federal event logging requirements; however, these have not yet been implemented. 2023年12月、GAOは、23の連邦民間機関がサイバーセキュリティ・インシデント対応準備において前進を遂げたが、23機関のうち20機関はイベント・ロギング機能を完全に確立していなかったと報告した。ログは、組織のシステムやネットワーク内で発生したイベントの記録であり、このような記録を維持することは、インシデントに対応する上で極めて重要である。GAOは、20機関のうち19機関に対し、連邦政府のイベント・ロギング要件を完全に実施するよう勧告したが、これらはまだ実施されていない。
Challenge 3:  課題3: 
Protecting the cybersecurity of critical infrastructure 重要インフラのサイバーセキュリティの防御
64 of 126 recommendations have NOT been implemented (as of May 2024) 126の勧告のうち64が未実施(2024年5月現在)
The nation’s 16 critical infrastructure sectors provide the essential services that underpin American society (see figure 2).  国の16の重要インフラ部門は、米国社会を支える重要なサービスを提供している(図2を参照)。
Figure 2: The 16 Critical Infrastructure Sectors 図2:16の重要インフラ部門
20240625-00806
These sectors rely on electronic systems and data to support their missions, including operational technology, which consists of systems that interact with the physical environment. Attacks on these sectors continue to grow and could result in serious harm to human safety, national security, the environment, and the economy. For example, in February 2024, a cyberattack on Change Healthcare, a health payment processor, resulting in estimated losses of $874 million and widespread impacts on providers and patient care.  これらの部門は、物理的環境と相互作用するシステムで構成される運用技術を含め、その使命を支える電子システムとデータに依存している。これらの部門に対する攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害をもたらす可能性がある。例えば、2024年2月、医療費支払い処理会社のチェンジ・ヘルスケア社に対するサイバー攻撃により、推定8億7,400万ドルの損失が発生し、プロバイダと患者ケアに広範な影響が及んだ。
Other entities have also recognized the ongoing challenges of ensuring the cybersecurity of critical infrastructure. For example, the Cyberspace Solarium Commission has conducted studies of risks to critical infrastructure and recommended, for example, that space systems be designated as critical infrastructure.  他の事業体も、重要インフラのサイバーセキュリティを確保するという継続的な課題を認識している。例えば、サイバー空間委員会は、重要インフラに対するリスクに関する研究を行い、例えば、宇宙システムを重要インフラに指定するよう勧告している。
The administration and federal agencies have taken some steps to address challenges in protecting the cybersecurity of critical infrastructure. For example, in April 2024, the White House issued the National Security Memorandum on Critical Infrastructure Security and Resilience (NSM-22), which describes the approach the federal government will take to protect U.S. infrastructure against threats and hazards. Among other things, the memorandum reaffirms the designation of the existing 16 critical infrastructure sectors, while calling for a periodic evaluation of changes to critical infrastructure sectors. The memorandum also requires the Secretary of Homeland Security to develop a biennial National Risk Management Plan summarizing U.S. government efforts to manage risk to the nation’s critical infrastructure.  政権と連邦政府機関は、重要インフラのサイバーセキュリティ保護における課題に対処するため、いくつかの措置を講じている。例えば、2024年4月、ホワイトハウスは「重要インフラのセキュリティとレジリエンスに関する国家安全保障覚書」(NSM-22)を発表した。この覚書は、米国のインフラを脅威やハザードから保護するために連邦政府が取るべきアプローチを記述したものである。この覚書では、特に、既存の16の重要インフラセクターの指定を再確認するとともに、重要インフラセクターの変更を定期的に評価するよう求めている。同覚書はまた、国土安全保障長官に対し、国家の重要インフラに対するリスクマネジメントのための米国政府の取り組みをまとめた国家リスクマネジメント計画を2年ごとに策定するよう求めている。
However, GAO has continued to report shortcomings in efforts to ensure the security of key critical infrastructure sectors. For example:  しかし、GAOは、重要インフラ部門のセキュリティ確保に向けた取り組みには不十分な点があると報告し続けている。例えば、以下のようなものである: 
•   In January 2024, GAO reported that the federal agencies responsible for the four critical infrastructure sectors that reported almost half of all ransomware attacks—critical manufacturing, energy, healthcare and public health, and transportation systems—had not determined the extent of their adoption of leading practices to address ransomware. GAO recommended that these agencies determine their respective sector’s adoption of cybersecurity practices and assess the effectiveness of federal support. None of these recommendations have been implemented. ・2024年1月、GAOは、ランサムウェア攻撃のほぼ半数が報告された4つの重要インフラ部門(重要な製造業、エネルギー、医療・公衆衛生、輸送システム)を担当する連邦政府機関が、ランサムウェアに対処するための先進的なプラクティスの採用範囲を決定していないと報告した。GAOはこれらの機関に対し、各セクターのサイバーセキュリティ慣行の採用状況を把握し、連邦政府の支援の有効性を評価するよう勧告した。これらの勧告はいずれも実施されていない。
•   GAO’s March 2024 report identified challenges in collaboration between the Cybersecurity and Infrastructure Security Agency (CISA) and other federal agencies with responsibilities for mitigating cyber risks to operational technology in their sectors. The challenges were related to ineffective information sharing and a lack of sharing processes. GAO recommended that CISA take steps to address these challenges; however, the recommendations have not yet been implemented. ・GAOの2024年3月の報告書では、サイバーセキュリティ・インフラセキュリティ庁(CISA)と、各分野の運用技術に対するサイバーリスクの軽減を担当する他の連邦政府機関との連携における課題が指摘された。その課題は、非効率な情報共有と共有プロセスの欠如に関連していた。GAOはCISAに対し、これらの課題に対処するための措置を講じるよう勧告したが、勧告はまだ実施されていない。
•   In December 2023, GAO highlighted challenges identified by nonfederal entities in the healthcare sector in accessing federal support to address cybersecurity vulnerabilities in network-connected medical devices. GAO recommended that CISA and the Food and Drug Administration update existing agreements to better facilitate collaboration on these issues. However, the recommendations have not yet been implemented. ・2023年12月、GAOは、ネットワークに接続された医療機器のサイバーセキュリティ脆弱性に対処するための連邦政府の支援にアクセスする際に、ヘルスケア分野の連邦政府以外の事業体が特定した課題を取り上げた。GAOは、CISAと食品医薬品局に対し、これらの問題に関する協力をより円滑に進めるため、既存の協定を更新するよう勧告した。しかし、この勧告はまだ実施されていない。
Challenge 4: 課題4:
Protecting privacy and sensitive data プライバシー・機密データの防御
112 of 249 recommendations have NOT been implemented (as of May 2024) 249の勧告のうち112が未実施(2024年5月現在)
The protection of personal privacy has become a more significant issue in recent years. It is essential that both private and public entities take effective measures to safeguard the sensitive and personal information collected from American citizens. However, incidents threatening the security of this information continue to affect private and public entities. For example, in March 2024, AT&T reported that some of its data, which included sensitive personal information such as Social Security numbers and passcodes, had been released onto the dark web. Analysis revealed that this incident had impacted 7.6 million current AT&T account holders and approximately 65.4 million former account holders. 個人のプライバシー保護は、近年より重要な問題になっている。民間事業体も公的事業体も、米国民から収集した機微で個人的な情報を保護するための効果的な対策を講じることが必須である。しかし、こうした情報のセキュリティを脅かすインシデントが、民間および公的事業体に影響を与え続けている。例えば、2024年3月、AT&Tは、社会保障番号やパスコードなどの機密個人情報を含むデータの一部がダークウェブに流出したことを報告した。分析の結果、このインシデントがAT&Tの現アカウント保有者760万人、元アカウント保有者約6540万人に影響を与えたことが明らかになった。
GAO has also found that federal agencies are limited in their ability to protect private and sensitive data entrusted to them. For example: GAOはまた、連邦政府機関が預託された個人情報や機密データを保護する能力に限界があることも明らかにしている。例えば
•   In August 2023, GAO reported that the Internal Revenue Service’s (IRS) monitoring of efforts to prevent contractors from gaining unauthorized access to sensitive taxpayer information was limited by its incomplete inventory of systems that process or store this information. GAO recommended that IRS maintain a comprehensive inventory of its systems that process or store taxpayer information; however, the recommendation has not been implemented. ・2023年8月、GAOは、内国歳入庁(IRS)の納税者の機密情報への不正アクセスを防止する努力の監視は、この情報を処理または保存するシステムの不完全なインベントリによって制限されていると報告した。GAOはIRSに対し、納税者情報を処理または保存するシステムの包括的なインベントリーを維持するよう勧告したが、この勧告は実施されていない。
•   GAO’s September 2022 report highlighted the risks that the increasing collection and use of personal information pose to consumer privacy and protection. For example, companies collect personal and transactional data to create consumer scores, which businesses and other entities use to predict how consumers will behave in the future. The report further noted that there remains no comprehensive U.S. internet privacy law governing private companies’ collection, use, or sale of internet users’ data, leaving consumers with limited assurance that their privacy will be protected. ・GAOの2022年9月の報告書は,個人情報の収集と利用の増加が消費者のプライバシーと保護にもたらすリスクを強調した。例えば,企業は個人データや取引データを収集して消費者スコアを作成し,企業や他の事業体はそれを使って消費者が将来どのように行動するかを予測している。同報告書はさらに,民間企業によるインターネット・ユーザーのデータ収集,利用,販売についてガバナンスする包括的な米国のインターネット・プライバシー法がまだ存在しないため,消費者のプライバシーが保護される保証が限られていると指摘した。
Federal government’s progress in addressing GAO’s recommendations for the four major cybersecurity challenges サイバーセキュリティの4大課題に対するGAOの提言に対する政府の進捗状況
GAO has made 35% 1,610 recommendations in public reports to each of the four cybersecurity challenge areas (since 2010). GAOは、サイバーセキュリティの4つの課題分野それぞれに対して、35% 1,610件の勧告を公開報告書で行っている(2010年以降)。
Federal government’s progress in addressing GAO’s recommendations for the four major cybersecurity challenges. 4大サイバーセキュリティ課題に対するGAOの提言に対する連邦政府の取り組み状況
While federal agencies have made progress in improving the security of federal and critical infrastructure IT systems, significant effort remains to address the cybersecurity challenges facing the nation. Since 2010, agencies have implemented 1,043 of the recommendations that GAO has made related to the four cybersecurity challenges. However, certain critical actions remain outstanding. For example, the federal government needs to fully establish the national cybersecurity strategy and strengthen efforts to protect the cybersecurity of critical infrastructure. Until these recommendations are fully implemented, federal agencies will be limited in their ability to: 連邦国家機関は、連邦政府および重要インフラのITシステムの安全保障の改善において前進を遂げたが、国家が直面するサイバーセキュリティの課題に対処するための多大な努力が残されている。2010年以降、4つのサイバーセキュリティの課題に関連してGAOが行った勧告のうち、1,043件を各省庁が実施している。しかし、一部の重要な対策は未解決のままである。例えば、連邦政府は国家サイバーセキュリティ戦略を完全に確立し、重要インフラのサイバーセキュリティを保護する取り組みを強化する必要がある。これらの提言が完全に実施されるまでは、連邦政府機関は以下の能力に制限を受けることになる:
•   provide effective oversight of critical government-wide initiatives, mitigate global supply chain risks, address challenges with cybersecurity workforce management, and better ensure the security of emerging technologies; ・政府全体の重要イニシアチブを効果的に監督し、グローバルなサプライチェーンマネジメントのリスクを軽減し、サイバーセキュリティ人材マネジメントの課題に対処し、新興技術のセキュリティをより確実にする;
•   improve implementation of government-wide cybersecurity initiatives, address weaknesses in federal agency information security programs, and enhance the federal response to cyber incidents; ・政府全体のサイバーセキュリティ・イニシアチブの実施を改善し、連邦政府機関の情報セキュリティ・プログラムの弱点に対処し、サイバーインシデントへの連邦政府の対応を強化する;
•   mitigate cybersecurity risks for key critical infrastructure systems and their data; and ・主要な重要インフラ・システムとそのデータのサイバーセキュリティ・リスクを低減する。
•   protect private and sensitive data entrusted to them. ・個人情報や機密データを保護する。

 

報告書

・[PDF]  Full Report

20240625-10920

 

ブログ...

・2024.06.13 

What are the Biggest Challenges to Federal Cybersecurity? (High Risk Update) 連邦サイバーセキュリティの最大の課題は何か?(ハイリスク・アップデート)
Cyberattacks have the power to bring our daily lives to a screeching halt. Nearly everything we use to work, play, and live relies on computer systems that are vulnerable to attacks. For example, an attack on an electrical grid could leave millions without power during hot summer months. An attack on transportation systems could bring traffic to a standstill. If our financial institutions are attacked, bank accounts could be drained and important personal financial records shared online. And if our communications are disrupted at the same time, you could be left with no way to report an emergency or get help. サイバー攻撃は、私たちの日常生活を急停止させる力を持っている。私たちが仕事、遊び、生活に使っているほとんどすべてのものは、攻撃に対して脆弱性のあるコンピューター・システムに依存している。例えば、電力網が攻撃されれば、暑い夏の間、何百万人もの人々が停電に見舞われる可能性がある。交通システムへの攻撃は、交通を停止させる可能性がある。金融機関が攻撃を受ければ、銀行口座から資金が引き出され、個人の重要な財務記録がオンラインで共有される可能性がある。同時にコミュニケーションも途絶えれば、緊急事態を報告することも助けを求めることもできなくなる。
Malicious cyberattacks on the federal government and the nation’s critical infrastructures, like those described above, are growing in number, impact, and sophistication. Today’s WatchBlog post looks at our new report—an update of our High Risk designation for cybersecurity—about the four major challenges facing federal efforts to protect against attacks. 上記のような連邦政府と国家の重要インフラに対する悪質なサイバー攻撃は、その数、影響力、巧妙さを増している。本日のWatchBlogでは、サイバーセキュリティに関するハイリスク指定の更新として、連邦政府による攻撃防御の取り組みが直面している4つの主要な課題について、我々の新しいレポートを紹介する。
Challenge 1: National Cybersecurity Strategy isn’t as strong as it could be 課題1:国家サイバーセキュリティ戦略はそれほど強力ではない
Last year, the White House issued a National Cybersecurity Strategy outlining steps the government is taking to address the longstanding cybersecurity challenges facing the country. But how will the government know if its strategy is working? When we looked at the strategy, we found it needed outcome-oriented performance measures for various cybersecurity initiatives. 昨年、ホワイトハウスは国家サイバーセキュリティ戦略を発表し、政府が国が直面する長年のサイバーセキュリティの課題に対処するためのステップを概説した。しかし、政府はその戦略が機能しているかどうかをどのようにして知るのだろうか?私たちがこの戦略を検討したところ、サイバーセキュリティに関するさまざまな取り組みについて、成果志向の成果指標が必要であることがわかった。
In addition, the federal government needs to take action to ensure it is monitoring the global supply chain, confirm it has the highly skilled cyber workforce it needs, and address risk associated with emerging technologies—such as artificial intelligence. The government and the private sector are at risk when emerging threats aren’t addressed. さらに連邦政府は、グローバル・サプライ・チェーンを確実に監視し、必要とされる高度なスキルを備えたサイバー人材を確保し、人工知能などの新たなテクノロジーに関連するリスクに対処するための措置を講じる必要がある。新たな脅威に対処しない場合、政府と民間部門はリスクにさらされる。
We saw such an attack around January 2019 after a network breach at SolarWinds. The Texas-based network management software company was widely used by the government to monitor network activities and manage network devices on federal systems. A Russian-led attack on SolarWinds resulted in one of the most widespread and sophisticated hacking campaigns ever conducted against the U.S. 2019年1月頃、ソーラーウィンズ社でネットワーク侵害が発生し、そのような攻撃が見られた。テキサスに本社を置くこのネットワーク管理ソフトウェア会社は、政府によってネットワーク活動の監視や連邦政府システム上のネットワークデバイスの管理に広く利用されていた。ロシア主導によるソーラーウィンズへの攻撃は、米国に対してこれまでに行われた中で最も広範かつ洗練されたハッキングキャンペーンの1つとなった。
We’ve made nearly 400 recommendations to strengthen the National Cybersecurity Strategy and agencies’ ability to perform effective oversight. As of May, 170 of our recommendations have not been acted on. 我々は、国家サイバーセキュリティ戦略と各省庁が効果的な監視を行う能力を強化するために、400近くの勧告を行ってきた。5月現在、我々の勧告のうち170件はまだ実行されていない。
Challenge 2: Agencies remain limited in their ability to improve the security of federal systems and information 課題2:連邦政府のシステムと情報のセキュリティを改善する能力が、依然として制限されている。
Federal agencies rely extensively on computerized information systems to conduct day-to-day business, including interactions with the public. Many of these systems house important taxpayer information—including Social Security numbers, income information, tax filing information, loan data, and more. 連邦政府機関は、一般市民とのやり取りを含め、日々の業務を遂行するためにコンピュータ化された情報システムに広く依存している。これらのシステムの多くには、社会保障番号、所得情報、確定申告情報、ローンデータなど、重要な納税者情報が格納されている。
Ineffective security controls could not only leave these systems vulnerable to attack, but also delay the response to attacks. For example, in December 2021, a vulnerability in a piece of open-source software known as “Log4j” was reported. Log4j is used to collect and manage information about system activities and is used in millions of federal and private information systems. A 2013 update of Log4j was intended to make data storage and retrieval easier. But in November 2021 (8 years later), a security engineer reported a vulnerability in the feature. Federal agencies were directed to address this vulnerability. Even though there hasn’t been a known Log4j-based attack on federal IT, the weakness was deemed an “endemic vulnerability”—meaning that vulnerabilities will remain in systems for years despite actions to address them. 効果的でないセキュリティ管理は、これらのシステムを攻撃に対して脆弱なままにしておくだけでなく、攻撃への対応を遅らせることにもなりかねない。例えば、2021年12月、「Log4j」として知られるオープンソースソフトウェアの脆弱性が報告された。Log4jはシステム活動に関する情報を収集・管理するために使用され、何百万もの連邦政府や民間の情報システムで使用されている。Log4jの2013年のアップデートは、データの保存と検索をより簡単にすることを意図したものだった。しかし2021年11月(それから8年後)、あるセキュリティ・エンジニアがこの機能の脆弱性を報告した。連邦政府機関はこの脆弱性に対処するよう指示された。連邦政府ITに対するLog4jベースの攻撃は知られていないにもかかわらず、この脆弱性は「常在脆弱性」、つまり脆弱性への対処にもかかわらず脆弱性が何年もシステムに残るものとみなされた。
We’ve reported on federal efforts to help agencies address weaknesses like these so that systems and information are more secure. We’ve made more than 800 recommendations to improve efforts. But 221 of these recommendations have not been implemented, as of May. Doing so can greatly enhance the federal response to cyber incidents. われわれは、連邦政府機関がこのような脆弱性に対処し、システムや情報の安全性を高めるための連邦政府の取り組みについて報告してきた。我々は、取り組みを改善するために800以上の勧告を行った。しかし、これらの勧告のうち221件は、5月の時点でまだ実施されていない。これを実施することで、サイバーインシデントに対する連邦政府の対応を大幅に強化することができる。
Challenge 3: Critical infrastructure sectors remain vulnerable to disruptive attacks 課題3:重要インフラ部門は依然として破壊的攻撃に対して脆弱である。
A ransomware attack on Change Healthcare, a health payment processor, made headlines. The attack shut down operations, resulting in nearly $874 million in financial losses and widespread disruptions for providers and patient care. Medical procedures were delayed and patients were unable to access medications. 医療費決済処理会社のチェンジ・ヘルスケアに対するランサムウェア攻撃が話題になった。この攻撃により業務が停止し、約8億7400万ドルの金銭的損失が発生したほか、プロバイダや患者のケアに広範な混乱が生じた。医療処置は遅れ、患者は薬にアクセスできなかった。
Health care is just one of our 16 critical infrastructure sectors that is vulnerable to cyberattacks. All of these sectors rely heavily on IT systems to operate. 医療は、サイバー攻撃に脆弱な16の重要インフラ部門のひとつに過ぎない。これらのセクターはすべて、ITシステムに大きく依存している。
Attacks on critical infrastructure sectors continue to grow and could seriously harm human safety, national security, the environment, and the economy. The federal government has taken some steps to address the challenges with protecting these systems from cyberattacks. But we see persistent shortcomings in these efforts. For example: 重要インフラ部門への攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害を与える可能性がある。連邦政府は、これらのシステムをサイバー攻撃から守るという課題に対処するため、いくつかの措置を講じてきた。しかし、こうした取り組みには持続的な欠点が見られる。例えば、次のようなことだ:
In January, we reported that the federal agencies responsible for the four sectors that have reported almost half of all ransomware attacks—health care and public health, critical manufacturing, energy, and transportation—had not determined whether their actions to prevent future attacks include leading practices. 1月、我々は、ランサムウェア攻撃のほぼ半分が報告されている4つのセクター(ヘルスケアと公衆衛生、重要な製造業、エネルギー、輸送)を担当する連邦政府機関が、将来の攻撃を防止するための対策がリーディング・プラクティスを含むかどうかを決定していないことを報告した。
In March, we reported on the challenges agencies face when collaborating with the Cybersecurity and Infrastructure Security Agency (CISA) on mitigating cyber risks in their sectors. These challenges included sharing information about potential threats. 我々は3月、サイバーセキュリティ・インフラセキュリティ庁(CISA)と協力し、各分野におけるサイバーリスクの低減に取り組む際に各機関が直面する課題について報告した。これらの課題には、潜在的な脅威に関する情報の共有も含まれていた。
Last December, we highlighted challenges reported by nonfederal entities in accessing the support they need from the federal government to address vulnerabilities. 昨年12月には、連邦政府以外の事業体が脆弱性に対処するために連邦政府から必要な支援を受ける際に報告された課題を取り上げた。
We’ve made 126 recommendations to better protect the cybersecurity of critical infrastructure. Action is still needed on 64 of them. 我々は、重要インフラのサイバーセキュリティをより良く保護するために、126件の提言を行った。そのうち64件については、まだ対策が必要である。
Challenge 4: Efforts to protect your personal privacy face limitations 課題4:個人のプライバシーを保護する努力は限界に直面している
In March, AT&T reported that some of its data—which included sensitive personal information such as Social Security numbers and passcodes—had been released onto the dark web. As many as 7.6 million current and approximately 65.4 million former AT&T account holders were affected. 3月、AT&Tは、社会保障番号やパスコードなどの機密個人情報を含むデータの一部がダークウェブに流出したことを報告した。現在760万人、元AT&Tのアカウント保有者約6540万人が影響を受けた。
Attacks like these are becoming more common. At the same time, we found that federal agencies are limited in their ability to help prevent and respond to them. In 2022, we reported about the risks posed by the increasing collection and use of personal information from consumers. For example, companies collect personal and transactional data to create consumer scores, which are used to predict how consumers will behave in the future. このような攻撃はより一般的になってきている。同時に、連邦政府機関の予防や対応には限界があることもわかった。2022年、我々は消費者からの個人情報の収集と利用の増加によってもたらされるリスクについて報告した。例えば、企業は個人データや取引データを収集して消費者スコアを作成し、消費者が将来どのように行動するかを予測するために使用している。
While collection and use of personal data increases, there’s still no comprehensive U.S. internet privacy law about companies’ collection, use, or sale of your data. This leaves consumers like you with limited assurances that your privacy will be protected. 個人データの収集と利用が増加する一方で、企業によるデータの収集、利用、販売に関する包括的な米国のインターネット・プライバシー法はまだ存在しない。このため、あなたのような消費者は、プライバシーが保護されるという限られた保証しか得られない。
Data the government collects about you is also at risk. In August 2023, we reported on how the IRS monitors access to sensitive taxpayer information. We found that IRS didn’t have a comprehensive inventory of the systems that store this information, limiting its ability to protect data. 政府が収集するデータもリスクにさらされている。2023年8月、我々はIRSが納税者の機密情報へのアクセスをどのように監視しているかについて報告した。我々は、IRSがこれらの情報を保存するシステムの包括的なインベントリを持っておらず、データを保護する能力を制限していることを発見した。
On the topic of protecting privacy and sensitive data, we have made nearly 250 recommendations—112 still require action. プライバシーと機密データ保護に関して、我々は250近くの勧告を行った。
What needs to happen next? 次に何が必要か?
Our new report provides an update on the federal government’s progress with addressing cybersecurity challenges and our recommendations to tackle them. In total, we’ve identified 567 recommendations that still need action. 我々の新しい報告書は、サイバーセキュリティの課題に対する連邦政府の取り組みの進捗状況と、それらに取り組むための我々の提言について最新情報を提供するものである。合計で567の勧告を特定したが、まだ対策が必要である。
Until actions are taken and our recommendations are implemented, the federal government, the national critical infrastructure, and the personal information of U.S. citizens will be increasingly susceptible to a multitude of cyber-related threats. 対策が講じられ、我々の提言が実施されるまでは、連邦政府、国家の重要インフラ、そして米国民の個人情報は、ますます多くのサイバー関連脅威の影響を受けやすくなるだろう。
・GAO’s fact-based, nonpartisan information helps Congress and federal agencies improve government. The WatchBlog lets us contextualize GAO’s work a little more for the public. Check out more of our posts at GAO.gov/blog. GAOの事実に基づいた超党派の情報は、連邦議会と連邦政府機関のガバナンス改善に役立つ。WatchBlogでは、GAOの仕事を一般向けにもう少し詳しく説明している。GAO.gov/blogで他の投稿をチェックする。

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.05 米国 GAO 高リスクシリーズ 2023 すべての分野に完全に対応するためには、進捗を達成するための努力の維持と拡大が必要である (2023.04.20)

・2023.02.10 米国 GAO サイバーセキュリティ高リスクシリーズ

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

 

 

| | Comments (0)

IPA デジタル人材育成モデル2023年度版

こんにちは、丸山満彦です。

IPAが、デジタル人材育成モデルを公表していますね...

 

IPA

・2024.06.21 デジタル人材育成モデル


デジタルスキル標準の普及により、各企業の実情に沿ったデジタル人材を定義する事例が出ています。
また、教育産業などの取り組みにより、デジタル人材のスキルやマインドを育成する研修なども増加しています。

これらを踏まえつつ、企業でデジタル人材を確保・育成する取り組みが行われていますが、定義と研修以外を含めた確保・育成の全体像は、企業ごとの試行錯誤により進められており、社会全体に共有され顕在知化したとは言えない状況です。

そこで、IPAでは、DXを推進する企業にデジタル人材の確保・育成に関する取り組みの全体像を時系列でインタビューし、その共通性を抽出してモデル化する取り組みを2023年度に行いました。それらを「デジタル人材育成モデル」として公開しています。


 

とのことです...

・[PDF] デジタル人材育成モデル 2023年度版

20240624-225038

 


 

 

デジタル人材の育成というからおかしくなるのだろうと思います。

普通にビジネスをする人が、そのビジネスをするツールとしての情報技術(デジタル技術)を組織としてどのようにうまく活用するのか?という話のように思います。

そう考えると全体を俯瞰して、指揮し、調整をする人が重要となってくるわけです。

これは京都の呉服関係でいうところの悉皆屋に相当するところが重要という感じですかね。。。それぞれの専門職をうまく組み合わせて全体をまとめる...ちなみに悉皆というのは、「ことごとくすべて」ということで、着物のことに関してはすべて悉皆屋にお任せをすれば、あんじょうしてくれます...

なので、会社として最も必要な人材は、悉皆屋さんのような人やね...きっと...

 

 

 

| | Comments (0)

より以前の記事一覧