IoT

2024.04.17

IPA サプライチェーン上のデータ連携の仕組みに関するガイドラインβ版(蓄電池CFP・DD関係)

こんにちは、丸山満彦です。

IPAがサプライチェーン上のデータ連携の仕組みに関するガイドラインβ版、用語集、API仕様書を公表していますね...

● 独立行政法人 情報処理推進機構;IPA

サプライチェーン上のデータ連携の仕組みに関するガイドライン(蓄電池CFP・DD関係)

・2024.04.15 [PDF] サプライチェーン上のデータ連携の仕組みに関するガイドラインβ版(蓄電池CFP・DD関係)

20240417-62832

目次...

第1章 はじめに
1.1 背景と目的
1.2 本ガイドラインの位置付け
1.3 用語定義

第2章 ルール
2.1 欧州電池規則条文の概要
2.2 トレーサビリティの確保

第3章 業務要件
3.1 想定される具体的な商流パターン
3.2 想定される業務フロー

第4章 システムアーキテクチャ
4.1 データ連携基盤のシステムアーキテクチャ
4.2 機能要件(分野共通)
  4.2.1 データ流通システムの機能
  4.2.2 ユーザ認証システムの機能
4.3 機能要件(分野別)
  4.3.1 トレーサビリティ管理システムの機能
  4.3.2 アプリケーションが備えるべきデータ連携関連機能
4.4 システム化業務フロー
4.5 非機能要件

第5章 システム仕様
5.1 インタフェース仕様
5.2 データ設計

 

・2024.04.15 [PDF] サプライチェーン上のデータ連携の仕組みに関するガイドラインβ版(蓄電池CFP・DD関係)

20240417-63301

 

・2024.04.15 [ZIP] サプライチェーン上のデータ連携の仕組みに関するガイドラインβ版(蓄電池CFP・DD関係)

 

 


参考...

・2024.03.21 企業間取引将来ビジョン検討会 最終報告書(2024年3月21日)

・・[PDF] 企業間取引将来ビジョン検討会 最終報告書

20240417-100019

 

・・[PDF] 企業間取引将来ビジョン検討会報告書 付録 アーキテクチャ設計詳細

20240417-63756

 

・・[PDF] 企業間取引将来ビジョン検討会報告書 付録 アーキテクチャ設計詳細 4.(3)連携基盤層 補足資料

20240417-100305

 

・・[PDF] 企業間取引将来ビジョン検討会報告書 付録 ユースケース検討詳細

20240417-100340

 

 

| | Comments (0)

2024.04.06

経済産業省 第8回「産業サイバーセキュリティ研究会」

こんにちは、丸山満彦です。

経済産業省で第8回「産業サイバーセキュリティ研究会」が開催されましたね...

・政策のフォローアップ状況とともに、

・新たなサイバーセキュリティ政策の方向性を提示し

・「産業界へのメッセージ」を発出

していますね...

 

経済産業省

1_20230808063201

・2024.04.05 第8回「産業サイバーセキュリティ研究会」を開催しました


<新たなサイバーセキュリティ政策の方向性>

(1)サイバーセキュリティ対策の実効性強化

  • 規模や業種等サプライチェーンの実態に応じて企業の適切なセキュリティ対策レベルを評価し可視化する仕組みを検討していく。
  • 一定のセキュリティ基準を満たすIoT製品を認証する制度や、ソフトウェア部品構成表(SBOM)について、政府調達等の要件化に向けて関係省庁との議論を進めるとともに、安全なソフトウェアの自己適合宣言の仕組みを検討する。
  • 中小企業向け補助的施策の一層の強化を図るため、セキュリティ人材の活用促進やサイバーセキュリティお助け隊サービスの拡充・普及等に取り組む。

(2)サイバーセキュリティ市場の拡大に向けたエコシステム構築

  • 我が国にとって重要な領域を中心に高品質な国産セキュリティ製品・サービスの供給が強化される状況を目指し、今年度中に、我が国サイバーセキュリティ産業の振興に向けた強化策のパッケージを提示する。
  • サイバーセキュリティ人材の確保・育成に向けて、ユーザー企業における情報処理安全確保支援士(登録セキスペ)の活用促進や制度の見直しなどを検討していく。登録セキスペの登録人数(2024年4月現在、約2.3万人)として、2030年までに5万人を目指す。

(3)官民の状況把握力・対処能力向上

  • 産業界と様々なチャネルを有する独立行政法人情報処理推進機構(IPA)におけるサイバー情報の集約・分析機能を更に強化し、国家の安全保障・経済安全保障の確保に貢献していく。

<「産業界へのメッセージ」>

  • 急速に普及しつつある生成AIをはじめとするデジタル化の進展や世界的な地政学リスクの高まり、サイバー攻撃の深刻化・巧妙化などにより、サイバーリスクは高まっている。このようなサイバー攻撃が、国民生活、社会経済活動及び安全保障環境に重大な影響を及ぼす可能性も大きくなっている。また、米欧等においても産業界におけるサイバーセキュリティ対策強化に向けた制度整備の動きなどが活発化しており、我が国においても一層の対策強化が求められる状況。
  • こうした状況を踏まえ、まずは、経済産業省として、デジタル時代の社会インフラを守るとの観点から、NISC等関係省庁との連携の下、これまでの施策の一層の普及・啓発などに取り組みながら、政府調達等への要件化を通じたサイバーセキュリティ対策の実効性強化や、サイバーセキュリティ供給力の強化、官民の状況把握力・対処能力向上に向けた新たな取組も進める。今後も産業界からの御意見を聴くなど、官民の協力関係を維持・発展させつつ、不断に取組を見直していく。
  • 各企業・団体においては、こうした状況も踏まえ、各種ガイドラインや随時の「注意喚起」に沿った対応を前提として、組織幹部のリーダーシップの下、必要な人材の育成や確保・体制の構築を進めながら、以下の対応をお願いしたい。
  1. サイバーセキュリティに対する投資を、中長期的な企業価値向上に向けた取組の一環として位置付ける(DX、BCP、サステナビリティ等に紐付ける。)。その上で、その関連性について、投資家を含む利害関係者から理解を得るための活動(対話・情報開示等)を積極的に行う。
  2. 自組織のシステム運用に係るリスク管理についてITサービス等提供事業者との役割分担を明確化するとともに、「セキュア・バイ・デザイン」( ※1)や「セキュア・バイ・デフォルト」(※2)の製品の購入を優先するなど、ITサービス等提供事業者に対してセキュリティ慣行を求める。併せて、委託元として自組織で判断や調整を行わなければならない事項を把握するとともに、ITサービス等提供事業者に委託した業務の結果の品質を自社で評価できる体制を整備する。
  3. サプライチェーン全体での対策強化に向けた意識を徹底する(ASM(※3)の活用や、 サプライチェーンに参加する中小企業等への共助(取引先からの要請対応への負担配慮や脆弱性診断などの支援等))。中小企業においては、「サイバーセキュリティお助け隊サービス」などの支援パッケージの活用も検討する。
  4. 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照し、有事(サイバー攻撃の被害に遭った場合等)には、適時の専門組織への相談及び所管省庁等への報告等を行う。
  • ITサービス等提供事業者においては、自らの製品・サービスのセキュリティ対策に責任を持ち、「セキュア・バイ・デザイン」や「セキュア・バイ・デフォルト」の考え方に沿った一層の対応( 「顧客だけにセキュリティの責任を負わせない」等の基本原則の遵守、SBOMの採用、メモリに安全なプログラミング言語の採用等)をお願いしたい。
  • セキュリティベンダや調査ベンダ、情報共有活動のハブ組織等のサイバー被害組織を直接支援する専門組織においては、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書」に沿って、専門組織間で必要な情報を共有することの意義等について被害組織と共通の認識を醸成する努力をお願いしたい。

※1 「セキュア・バイ・デザイン」:IT 製品(特にソフトウェア)が、設計段階から安全性を確保されていること。前提となるサイバー脅威の特定、リスク評価が不可欠。
※2 「セキュア・バイ・デフォルト」:ユーザー(顧客)が、追加コストや手間をかけることなく、購入後すぐに IT 製品(特にソフトウェア)を安全に利用できること。
※3 ASM(Attack Surface Management):組織の外部(インターネット)からアクセス可能なIT資産(=攻撃面)を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスをいう。


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.29 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2024.03.16 経済産業省 サイバーセキュリティお助け隊サービスの新たな類型(2類)の創設に係るサービス基準の改定版の公開

・2024.03.16 経済産業省 クレジットカード・セキュリティガイドライン 5.0版 (2024.03.15)

・2024.03.16 経済産業省 「攻撃技術情報の取扱い・活用手引き」及び「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」

・2023.11.27 経済産業省 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書

・2023.08.08 経済産業省 「経済安全保障」を切り口とした産業政策の検討体制を強化します

・2023.08.07 経済産業省 第32回 産業構造審議会総会

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.29 経済産業省 令和4年度委託調査報告書(サイバーセキュリティ関係) 2023.07.29現在

・2023.07.04 経済産業省 警察庁 サイバー攻撃によるクレジットカード番号等の漏えい事案に関する対策の推進に関する覚書の締結 (2023.06.30)

・2023.06.11 経済産業省 「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(2023.05.29)

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2023.05.01 経済産業省 「システム監査基準」及び「システム管理基準」の改訂 (2023.04.26)

・2023.04.26 経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版 (2022.04.20)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

 

・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

・2023.03.16 経済産業省 クレジットカード・セキュリティガイドライン【4.0版】 

・2023.03.09 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

・2023.02.20 経済産業省 クレジットカード決済システムのセキュリティ対策強化検討会報告書 (2023.02.02)

...

 

| | Comments (0)

2024.04.05

欧州 ENISA サイバーレジリエンス法要件標準マッピング - 共同研究センター&ENISA共同分析

こんにちは、丸山満彦です。

ENISAが、サイバーレジリエンス法の要件と標準のマッピングを試行してみたいです...

 

 

・[PDF

20240405-62215

 

目次...

Abstract  要旨 
1 Introduction  1 序文 
2 Methodology  2 方法論 
3 Requirements-Standards mapping and analysis  3 要件と標準の対応付けと分析 
3.1 Security requirements relating to the properties of products with digital elements  3.1 デジタル要素を含む製品の特性に関するセキュリティ要件 
3.1.1 (1) Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks; 3.1.1 (1) デジタル要素を含む製品は、リスクに応じた適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されなければならない;
3.1.2 (2) Products with digital elements shall be delivered without any known exploitable vulnerabilities;  3.1.2 (2) デジタル要素を含む製品は、悪用可能な既知の脆弱性なしに提供されなければならない; 
3.1.3 (3) On the basis of the risk assessment referred to in Article 10(2) and where applicable, products with digital elements shall:  3.1.3 (3) 第10条(2)で言及されたリスクアセスメントに基づき、該当する場合、デジタル要素を含む製品は、次のことを行わなければならない: 
(a) be delivered with a secure by default configuration, including the possibility to reset the product to its original state;  (a) 製品を元の状態にリセットする可能性を含め、デフォルトで安全な構成で提供されること; 
3.1.4 (3b) ensure protection from unauthorised access by appropriate control mechanisms, including but not limited to authentication, identity or access management systems;  3.1.4 (3b) 認証、本人認証、アクセス管理システムを含むがこれに限定されない、適切な管理メカニズ ムによる不正アクセスからの保護を確保すること; 
3.1.5 (3c) protect the confidentiality of stored, transmitted or otherwise processed data, personal or other, such as by encrypting relevant data at rest or in transit by state of the art mechanisms;  3.1.5 (3c) 保存、送信、またはその他の方法で処理された個人データまたはその他のデータの機密性 を、最新のメカニズムにより、静止中または転送中の関連データを暗号化するなどして保護すること; 
3.1.6 (3d) protect the integrity of stored, transmitted or otherwise processed data, personal or other, commands, programs and configuration against any manipulation or modification not authorised by the user, as well as report on corruptions;  3.1.6 (3d) 保存、送信、またはその他の方法で処理された個人またはその他のデータ、コマン ド、プログラム、設定の完全性を、ユーザが許可していない操作や変更から保護するとともに、 破損について報告すること; 
3.1.7 (3e) process only data, personal or other, that are adequate, relevant and limited to what is necessary in relation to the intended use of the product (‘minimisation of data’);  3.1.7 (3e) 適切かつ関連性があり、製品の意図された使用に関して必要なものに限定された、個人 またはその他のデータのみを処理すること(「データの最小化」); 
3.1.8 (3f) protect the availability of essential functions, including the resilience against and mitigation of denial of service attacks;  3.1.8 (3f) サービス妨害(DoS)攻撃に対するレジリエンスと低減を含め、必須機能の可用性を保護する; 
3.1.9 (3g) minimise their own negative impact on the availability of services provided by other devices or networks;  3.1.9 (3g) 他のデバイスまたはネットワークによって提供されるサービスの可用性に対す る悪影響を最小限に抑えること; 
3.1.10 (3h) be designed, developed and produced to limit attack surfaces, including external interfaces;  3.1.10 (3h) 外部インタフェースを含む攻撃面を制限するように設計、開発、製造されること; 
3.1.11 (3i) be designed, developed and produced to reduce the impact of an incident using appropriate exploitation mitigation mechanisms and techniques;  3.1.11 (3i) 適切な悪用低減メカニズム及び技術を用いて、インシデントの影響を低減するように設計、開発、製造されること; 
3.1.12 (3j) provide security related information by recording and/or monitoring relevant internal activity, including the access to or modification of data, services or functions;  3.1.12 (3j) データ、サービス又は機能へのアクセス又は変更を含む、関連する内部活動を記録及び/又は監視することにより、セキュリティ関連情報を提供すること。
3.1.13 (3k) ensure that vulnerabilities can be addressed through security updates, including, where applicable, through automatic updates and the notification of available updates to users 3.1.13 (3k) 該当する場合、自動更新や利用可能な更新のユーザーへの通知など、セキュ リティ更新を通じて脆弱性に対処できるようにすること。
3.2 Vulnerability handling requirements  3.2 脆弱性対応要件 
3.2.1 Manufacturers of the products with digital elements shall: (1) identify and document vulnerabilities and components contained in the product, including by drawing up a software bill of materials in a commonly used and machine-readable format covering at the very least the top-level dependencies of the product;  3.2.1 デジタル要素を含む製品の製造事業者は、次のことを行わなければならない: (1) 製品に含まれる脆弱性及びコンポーネントを特定し、文書化する。これには、一般的に使用され、機械が読み取り可能な形式で、少なくとも製品のトップレベルの依存関係を網羅するソフトウェア部品表を作成することを含む; 
3.2.2 (2) in relation to the risks posed to the products with digital elements, address and remediate vulnerabilities without delay, including by providing security updates;  3.2.2 (2) デジタル要素を含む製品にもたらされるリスクに関連して、セキュリティ更新を提供することを含め、脆弱性に遅滞なく対処し、是正すること; 
3.2.3 (3) apply effective and regular tests and reviews of the security of the product with digital elements;   3.2.3 (3) デジタル要素を含む製品のセキュリティについて、効果的かつ定期的なテストとレ ビューを適用する;  
3.2.4 (4) once a security update has been made available, publically disclose information about fixed vulnerabilities, including a description of the vulnerabilities, information allowing users to identify the product with digital elements affected, the impacs of the vulnerabilities, their severity and information helping users to remediate the vulnerabilities;  3.2.4 (4) セキュリティアップデートが利用可能になったら、修正された脆弱性に関する情報(脆弱性の説明、影響を受けるデジタル要素を含む製品をユーザが識別できる情報、脆弱性の影響、深刻度、ユーザが脆弱性を修正するのに役立つ情報を含む)を公に開示すること; 
3.2.5 (5) put in place and enforce a policy on coordinated vulnerability disclosure;   3.2.5 (5) 協調的な脆弱性の開示に関するポリシーを定め、実施すること;  
3.2.6 (6) take measures to facilitate the sharing of information about potential vulnerabilities in their product with digital elements as well as in third party components contained in that product, including by providing a contact address for the reporting of the vulnerabilities discovered in the product with digital elements;  3.2.6 (6) デジタル要素を含む製品に発見された脆弱性を報告するための連絡先をプロバイダ に提供するなど、デジタル要素を含む製品およびその製品に含まれるサードパーティ製コンポーネ ントに潜在する脆弱性に関する情報の共有を促進するための手段を講じること; 
3.2.7 (7) provide for mechanisms to securely distribute updates for products with digital elements to ensure that exploitable vulnerabilities are fixed or mitigated in a timely manner;  3.2.7 (7) 悪用可能な脆弱性が適時に修正または低減されるよう、デジタル要素を含む製品の更新を安全に配布する仕組みを提供すること; 
3.2.8 (8) ensure that, where security patches or updates are available to address identified security issues, they are disseminated without delay and free of charge, accompanied by advisory messages providing users with the relevant information, including on potential action to be taken 3.2.8 (8)特定されたセキュリティ問題に対処するためのセキュリティパッチ又はアップデー トが利用可能な場合、それらのパッチ又はアップデートが遅滞なく、かつ無償で配布され、 取るべき潜在的な措置を含め、関連情報をユーザに提供する勧告メッセージを伴うことを 確実にする。
4 Summary of the identified standards and overall remarks  4 識別された標準の概要と総論 
5 Conclusion  5 まとめ 
References  参考文献 
List of abbreviations and definitions  略語と定義のリスト 
List of figures  図表一覧 
Annexes  附属書 
Annex 1. High level pre-screening of standardisation activities with potential relevance for the CRA requirements  附属書 1. CRA の要求事項に関連する可能性のある標準化活動の高度な事前審査 

 

 


 

サイバーレジリエンス法 (CRA)

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

 

| | Comments (0)

米国 意見募集 NIST CSWP 33(初公開ドラフト) 製品開発サイバーセキュリティハンドブック: IoT製品製造者のための概念と考慮事項

こんにちは、丸山満彦です。

米国では、消費者向けIoT製品について認証制度(サイバートラストマーク制度)が始まろうとしていますが、その参考になる文書ですかね...

 

NIST - ITL

プレス...

・2024.04.03 NIST Releases a Draft Product Development Cybersecurity Handbook for IoT Product Manufacturers for Public Comment

 

文書...

・2024.04.03 NIST CSWP 33 (Initial Public Draft) Product Development Cybersecurity Handbook: Concepts and Considerations for IoT Product Manufacturers

 

NIST CSWP 33 (Initial Public Draft) Product Development Cybersecurity Handbook: Concepts and Considerations for IoT Product Manufacturers NIST CSWP 33(初公開ドラフト) 製品開発サイバーセキュリティハンドブック: IoT製品製造者のための概念と考慮事項
Announcement 発表
This Product Development Cybersecurity Handbook describes broadly applicable considerations for developing and deploying secure IoT products across sectors and use cases. This handbook extends NIST’s work to consider the cybersecurity of IoT product components beyond the IoT device. Significant risks can be introduced by vulnerable IoT product components even if the IoT device itself is hardened since these additional components will likely have privileged access to the IoT device and related data. この製品開発サイバーセキュリティハンドブックは、セクターやユースケースを問わず、安全なIoT製品を開発・展開するための広範に適用可能な考慮事項について説明している。本ハンドブックは、IoTデバイスを超えたIoT製品コンポーネントのサイバーセキュリティを検討するために、NISTの作業を拡張したものである。これらの追加コンポーネントは、IoT デバイスと関連データに特権的にアクセスできる可能性が高いため、IoT デバイス自体が堅牢化されていても、脆弱性のある IoT製品コンポーネントによって重大なリスクがもたらされる可能性がある。
The Product Development Cybersecurity Handbook includes the following topics: 製品開発サイバーセキュリティハンドブックには、以下のトピックが含まれている:
・How IoT product components can vary and be assembled into IoT products ・IoT製品のコンポーネントはどのように変化し、IoT製品に組み立てられるか。
・Cybersecurity considerations for IoT product component hardware and software ・IoT製品コンポーネントのハードウェアとソフトウェアに関するサイバーセキュリティの考慮事項
・How IoT product components use internet infrastructure and other equipment to communicate ・IoT製品コンポーネントがインターネットインフラや他の機器を使用してどのようにコミュニケーションするか
・The multiple parties that may have a role in supporting a secure IoT product life cycle ・安全な IoT製品のライフサイクルをサポートする役割を担う複数の関係者
・Standards and guidance related to cybersecurity outcomes for IoT products ・IoT製品のサイバーセキュリティの成果に関連する標準とガイダンス
・IoT product architecture, deployment, roles, and cybersecurity perspectives ・IoT製品のアーキテクチャ、実装、役割、サイバーセキュリティの観点
・Approaches to cybersecurity in IoT products, including several IoT product deployment and instantiation examples with related informative references ・IoT製品におけるサイバーセキュリティへのアプローチ(IoT製品の配備とインスタンス化の例と関連する参考文献を含む
Abstract 概要
As interest in Internet of Things (IoT) technologies has grown, so have concerns and attention to cybersecurity of the newly network-connected products and services offered in many sectors, including energy services, water/waste-water services, automobiles, consumer electronics, and government. This Product Development Cybersecurity Handbook will describe concepts important to developing and deploying secure IoT products for any sector or use case, including discussion of IoT Product architecture, deployment, roles and cybersecurity perspectives. This publication extends and elaborates on NIST’s prior work related to development of IoT products. In addition to discussing the concepts, this publication also demonstrates their application and discusses how satisfaction of cybersecurity in IoT products can be approached. モノのインターネット(IoT)技術への関心が高まるにつれ、エネルギーサービス、上下水道サービス、自動車、家電製品、政府など、多くの分野で新たに提供されるネットワーク接続製品やサービスのサイバーセキュリティに対する懸念や関心も高まっている。この「製品開発サイバーセキュリティハンドブック」では、IoT製品のアーキテクチャ、展開、役割、サイバーセキュリティの観点など、あらゆる分野やユースケースにおいて安全な IoT製品を開発・展開するために重要な概念を説明する。本書は、IoT製品の開発に関連するNISTの先行研究を拡張し、精緻化したものである。本書では、概念について説明するだけでなく、その適用例を示し、IoT製品におけるサイバーセキュリティの満足度をどのように高めるかについても論じている。

 

・[PDF] NIST.CSWP.33.ipd

20240405-42921

 

目次...

Introduction 序文
IoT Product-System Architecture Considerations IoT製品-システムアーキテクチャに関する考察
IoT Product Deployment Considerations IoT製品の展開に関する考慮事項
Roles Supporting IoT Product Cybersecurity Outcomes IoT製品のサイバーセキュリティの成果を支える役割
IoT Product Cybersecurity Perspectives IoT製品のサイバーセキュリティの観点
IoT Product Components vs. Network Infrastructure, Etc. IoT製品コンポーネントとネットワークインフラ等の比較
IoT Product Component Hardware, Platforms, and Software IoT製品コンポーネントのハードウェア、プラットフォーム、ソフトウェア
Locally vs. Remotely Managed ローカル管理かリモート管理か
Cybersecurity Outcomes and Requirements サイバーセキュリティの成果と要件
Technical Cybersecurity Outcome Considerations サイバーセキュリティの技術的成果に関する考慮事項
Local Device Only IoT Products ローカルデバイスのみのIoT製品
Local Management of IoT products IoT製品のローカル管理
Variety of Local Product-System Architectures 多様なローカル製品-システム・アーキテクチャ
Third-Party Local Management Tools サードパーティ製ローカル管理ツール
Remote Backends リモート・バックエンド
Shared Cloud Backends 共有クラウド・バックエンド
Cloud Backend Interoperability クラウド・バックエンドの相互運用性
Non-technical Cybersecurity Outcome Considerations サイバーセキュリティの非技術的成果に関する考慮事項
Documentation ドキュメンテーション
Information and Query Reception 情報と問い合わせの受信
Information Dissemination 情報発信
Education and Awareness 教育と意識向上
References 参考文献

 

IoT製品のためのサイバーセキュリティの基本コンセプト - ハードウェアから成果まで
20240405-51431

 

 

サイバーセキュリティ成果の満足度評価に関する考慮事項 - 技術的成果と非技術的成果

20240405-51618

 

環境の前提...

1_20240405053701 2_20240405053701 3_20240405053701 4_20240405053701 5_20240405053701 6_20240405053701 7_20240405053701

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

| | Comments (0)

2024.04.02

ENISA 2030年のサイバーセキュリティ脅威の展望- 2024年更新版のエグゼクティブサマリー

こんにちは、丸山満彦です。

2030年のサイバーセキュリティ脅威の展望- 2024年更新版のエグゼクティブサマリーです...

この前のバージョンは、1年前の公表されていて、このブログでも紹介しています...

1年前に比べて、

4. 膨大なクロスセクターの技術エコシステムにおけるパッチ未適用・時代遅れのシステムの悪用

10. 重要なデジタル・インフラに対する自然/環境破壊の物理的影響

が新たにトップ10入りしていますね...

 

ENISA

 ・2024.03.27 Foresight Cybersecurity Threats For 2030 - Update 2024: Executive Summary

 

Foresight Cybersecurity Threats For 2030 - Update 2024: Executive Summary 2030年のサイバーセキュリティ脅威の展望- 2024年最新版: エグゼクティブサマリー
This is the executive summary of the second iteration of The “ENISA Foresight Cybersecurity Threats for 2030” study that represents a comprehensive analysis and assessment of emerging cybersecurity threats projected for the year 2030. The report reassesses the previously identified top ten threats and respective trends whilst exploring the developments over the course of a year. 本書は、2030年に予測される新たなサイバーセキュリティの脅威を包括的に分析・評価した「ENISA Foresight Cybersecurity Threats for 2030」調査の第2回目のエグゼクティブサマリーである。本報告書では、1年間の動向を探りつつ、前回特定した脅威のトップ10とそれぞれの傾向を再評価している。

 

・[PDF]

20240402-50322

 

・[DOCX] 仮訳

 

 

ことしのトップ21

  THREAT 
1 Supply Chain Compromise of Software Dependencies   ソフトウェア依存のサプライチェーンの侵害  
2 Skill Shortage   スキル不足  
3 Human Error and Exploited Legacy Systems within Cyber-Physical Ecosystems   サイバー・フィジカル・エコシステムにおけるヒューマンエラーと悪用されたレガシーシステム  
4 Exploitation of Unpatched and Out-of-date Systems within the Overwhelmed Crosssector Tech Ecosystem [Optional]   膨大なクロスセクターの技術エコシステムにおけるパッチ未適用・時代遅れのシステムの悪用【新規】  
5 Rise of Digital Surveillance Authoritarianism / Loss of Privacy   デジタル監視の台頭 権威主義/プライバシーの喪失  
6 Cross-border ICT Service Providers as Single Point of Failure   単一障害点としての国境を越えたICTサービスプロバイダ  
7 Advanced Disinformation / Influence Operations (IO) Campaigns   高度な偽情報/影響力作戦(IO)キャンペーン  
8 Rise of Advanced Hybrid Threats   高度なハイブリッド型脅威の台頭  
9 Abuse of AI   AIの乱用  
10 Physical Impact of Natural/Environmental Disruptions on Critical Digital Infrastructure [Optional]   重要なデジタル・インフラに対する自然/環境破壊の物理的影響【新規】
11 Lack of Analysis and Control of Space-based Infrastructure and Objects   宇宙を拠点とするインフラと物体の分析と管理の欠如  
12 Targeted Attacks (e.g. Ransomware) Enhanced by Smart Device Data   スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど  
13 Increased Digital Currency-enabled Cybercrime [Optional]   デジタル通貨を利用したサイバー犯罪の増加【新規】
14 Manipulation of Systems Necessary for Emergency Response [Optional]   緊急対応に必要なシステムの操作【新規】
15 Tampering with Deepfake Verification Software Supply Chain [Optional]   Deepfake検証ソフトウェアのサプライチェーンを改ざんする【新規】
16 AI Disrupting/Enhancing Cyber Attacks [Optional]   サイバー攻撃を妨害/強化するAI【新規】
17 Malware Insertion to Disrupt Food Production Supply Chain [Optional]   食品製造のサプライチェーンを混乱させるマルウェアの挿入【新規】
18 Exploitation of E-health (and Genetic) Data [Optional]   Eヘルス(および遺伝子)データの活用【新規】
19 Attacks Using Quantum Computing [Optional]   量子コンピューティングを利用した攻撃【新規】
20 Disruptions in Public Blockchains [Optional]   パブリック・ブロックチェーンの混乱【新規】
21 Technological Incompatibility of Blockchain Technologies [Optional]   ブロックチェーン技術の技術的非互換性【新規】

 

2023年当時のトップ21

1. SUPPLY CHAIN COMPROMISE OF SOFTWARE DEPENDENCIES 1. ソフトウェア依存のサプライチェーン侵害
2. ADVANCED DISINFORMATION CAMPAIGNS  2. 高度な偽情報キャンペーン 
3. RISE OF DIGITAL SURVEILLANCE AUTHORITARIANISM / LOSS OF PRIVACY 3. デジタル監視の権威主義の台頭/プライバシーの喪失
4. HUMAN ERROR AND EXPLOITED LEGACY SYSTEMS WITHIN CYBER PHYSICAL ECOSYSTEMS  4. サイバーフィジカル・エコシステム内のヒューマンエラーと悪用されたレガシーシステム 
5. TARGETED ATTACKS (E.G. RANSOMWARE) ENHANCED BY SMART DEVICE DATA 5. スマートデバイスのデータによって強化される標的型攻撃(ランサムウェアなど)
6. LACK OF ANALYSIS AND CONTROL OF SPACEBASED INFRASTRUCTURE AND OBJECTS 6. 宇宙を拠点とするインフラや物体の分析と制御の欠如
7. RISE OF ADVANCED HYBRID THREATS 7. 高度なハイブリッド型脅威の台頭
8. SKILL SHORTAGES 8. スキル不足
9. CROSS-BORDER ICT SERVICE PROVIDERS AS A SINGLE POINT OF FAILURE  9. 単一障害点としての国境を越えたICTサービスプロバイダ 
10. ARTIFICIAL INTELLIGENCE ABUSE 10. AIの悪用
11. INCREASED DIGITAL CURRENCY-ENABLED CYBERCRIME 11. デジタル通貨を利用したサイバー犯罪の増加
12. EXPLOITATION OF E-HEALTH (AND GENETIC) DATA 12. eヘルス(および遺伝子)データの悪用
13. TAMPERING WITH DEEPFAKE VERIFICATION SOFTWARE SUPPLY CHAIN 13. ディープフェイク検証ソフトウェアのサプライチェーンの改ざん
14. ATTACKS USING QUANTUM COMPUTING 14. 量子コンピューティングを利用した攻撃
15. EXPLOITATION OF UNPATCHED AND OUT-OFDATE SYSTEMS WITHIN THE OVERWHELMED CROSSSECTOR TECH ECOSYSTEM  15. 圧倒的なクロスセクター技術エコシステムの中での、パッチ未適用や最新でないシステムの悪用
16. AI DISRUPTING / ENHANCING CYBER ATTACKS 16. AIによるサイバー攻撃の撹乱・強化 
17. MALWARE INSERTION TO DISRUPT FOOD PRODUCTION SUPPLY CHAINE 17. 食品製造のサプライチェーンを混乱させるマルウェアの挿入 
18. TECHNOLOGICAL INCOMPATIBILITY OF BLOCKCHAIN TECHNOLOGIES 18. ブロックチェーン技術の技術的非互換性
19. DISRUPTIONS IN PUBLIC BLOCKCHAINS 19. パブリック・ブロックチェーンにおける混乱
20. PHYSICAL IMPACT OF NATURAL / ENVIRONMENTAL DISRUPTIONS ON CRITICAL DIGITAL INFRASTRUCTURE 20. 自然/環境破壊が重要なデジタルインフラに与える物理的影響
21. MANIPULATION OF SYSTEMS NECESSARY FOR EMERGENCY RESPONSE 21. 緊急対応に必要なシステムの操作

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)

・2023.04.04 ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威 (2023.03.29)



 

 

| | Comments (0)

2024.03.29

経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0

こんにちは、丸山満彦です。

経済産業省が、「産業サイバーセキュリティ研究会 ワーキンググループ1(制度・技術・標準化)宇宙産業サブワーキンググループ 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0」を公表していますね...

私も委員をしていますが、気になるところがあれば、意見をお願いいたしますね...

システム全体イメージ..

20240329-123102

 

経済産業省 - 審議会・研究会 - ものづくり/情報/流通・サービス - 産業サイバーセキュリティ研究会 - ワーキンググループ1(制度・技術・標準化) - ワーキンググループ1(宇宙産業サブワーキンググループ)

・ 2024.03.28  産業サイバーセキュリティ研究会 ワーキンググループ1(制度・技術・標準化)宇宙産業サブワーキンググループ 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0

このガイドラインの作成、公表の目的...


民間宇宙事業者のビジネス振興及びサイバー攻撃による倒産等の経営リスク軽減の観点から、

  • 宇宙システムに係るセキュリティ上のリスク
  • 宇宙システムに関わる各ステークホルダーが検討すべき基本的セキュリティ対策
  • 対策の検討に当たり参考になる参考文献、活用可能な既存施策 等

について分かりやすく整理して示し、民間事業者における自主的な対策を促すこと...


 

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver2.0

20240329-122731

 

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 2.0 概要資料

20240329-122845

 

・[ELSX] 【添付資料1】対策要求事項チェックリスト

・[ELSX] 【添付資料2】NIST CSFと宇宙システム特有の対策との対応関係

・[DOCX] 【添付資料3】情報セキュリティ関連規程(サンプル)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.19 ENISA 低軌道(LEO)衛星通信のサイバーセキュリティ評価

・2023.09.26 NIST IR 8441 ハイブリッド衛星ネットワーク(HSN)のサイバーセキュリティフレームワーク・プロファイル

・2023.08.01 NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.04.02 経済産業省 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver1.1

・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。



 

| | Comments (0)

2024.03.28

米国 国防総省 国防高等研究計画局(DARPA)の重要な目標は、国防総省にとって信頼できる人工知能を開発することである。

こんにちは、丸山満彦です。

技術倫理の領域でその適用が難しいのは軍事分野でしょうね...

例えば、ダイナマイトの戦争への適用、飛行機の戦争への適用、原子力技術の戦争への適用、そして今は、AIの戦争への適用...

そういう議論は必要で、すすめているのだろうとは思いますが、

一方、その利用についても同時並行的に進んでいくのだろうと思います...

2023年8月にこのブログで紹介したAIサイバーチャレンジも参考に...

 

U.S. Department of Defense

・2024.03.27  DARPA Aims to Develop AI, Autonomy Applications Warfighters Can Trust

 

DARPA Aims to Develop AI, Autonomy Applications Warfighters Can Trust 国防高等研究計画局(DARPA)の重要な目標は、国防総省にとって信頼できる人工知能を開発することである。
An important goal of the Defense Advanced Research Projects Agency is developing artificial intelligence that is trustworthy for the Defense Department — particularly for making life-or-death recommendations to warfighters, said Matt Turek, deputy director of DARPA's Information Innovation Office. 国防高等研究計画局の重要な目標は、国防省にとって信頼できる人工知能を開発することであり、特に戦闘員に対して生死を分けるような勧告を行うことだと、DARPAの情報革新局のマット・トゥレック副局長は語った。
AI, machine learning and autonomy are being used by about 70% of DARPA's programs in some form or another, Turek said today at a Center for Strategic and International Studies event. AI、機械学習、自律性は、DARPAのプログラムの約70%が何らかの形で利用している、とトゥレックは本日、戦略国際問題研究センターのイベントで語った。
Another reason AI development is such a priority is to prevent an unexpected breakthrough in technology, or "strategic surprise," by adversaries who might also be developing advanced capabilities, he said, adding that DARPA also aims to create its own strategic surprise. AI開発がこれほど優先されるもう一つの理由は、同じく高度な能力を開発しているかもしれない敵対国による予期せぬ技術の飛躍的進歩、すなわち「戦略的奇襲」を防ぐためであり、DARPAは独自の戦略的奇襲を起こすことも目指していると同氏は付け加えた。
Spotlight: Science & Tech スポットライト 科学技術
To accomplish those goals, DARPA is looking for transformative capabilities and ideas from industry and academia, Turek said.  こうした目標を達成するため、DARPAは産業界や学界から革新的な能力やアイデアを求めている、とトゥレック氏は言う。
One of the many ways the agency gets these capabilities and ideas is to hold various types of challenges where teams from the private sector can win prizes worth millions of dollars, he said.  DARPAがこのような能力やアイデアを得る多くの方法の一つは、民間部門のチームが数百万ドル相当の賞金を獲得できる様々な種類のチャレンジを開催することである、と同氏は言う。
An example of that, he said, is DARPA's Artificial Intelligence Cyber Challenge, which uses generative AI technologies — like large language models — to automatically find and fix vulnerabilities in open-source software, particularly software that underlies critical infrastructure
.
DARPAの人工知能サイバー・チャレンジは、生成的AI技術(大規模言語モデルなど)を使って、オープンソースソフトウェア、特に重要なインフラを支えるソフトウェアの脆弱性を自動的に発見し、修正するものだ。
Large language models involve processing and manipulating human language to perform such tasks as secure computer coding, decision-making, speech recognition and making predictions. 大規模言語モデルは、人間の言語を処理・操作して、安全なコンピューター・コーディング、意思決定、音声認識、予測などのタスクを実行する。
Turek said a unique feature of this challenge is the partnership between DARPA and state-of-the-art large language model providers that are participating in the challenges, including Google, Microsoft, OpenAI and Anthropic.  トゥレック氏によると、このチャレンジの特徴は、DARPAと、グーグル、マイクロソフト、OpenAI、Anthropicなど、チャレンジに参加している最先端の大規模言語モデルプロバイダーとのパートナーシップにあるという。
Most likely, large language model improvements will also benefit the commercial sector, as well as DOD, Turek said. おそらく、大規模言語モデルの改善は、DODだけでなく、商業部門にも利益をもたらすだろう、とトゥレック氏は語った。
Spotlight: Engineering in DOD スポットライト DODにおけるエンジニアリング
An example of the use of autonomy and of AI that DARPA has been testing with the Air Force involves its F-16 fighter jets, he said. DARPAが空軍とテストしている自律性とAIの使用例として、F-16戦闘機が挙げられるという。
Turek said DARPA has four areas of AI research involving industry and academia partners: トゥレック氏によると、DARPAは産学パートナーが関与する4つのAI研究分野を持っている:
1. Proficient artificial intelligence; 1. 熟練した人工知能
2. Confidence in the information domain, which includes tools that detect things like manipulated media; 2. 情報領域における検知(操作されたメディアなどを検知するツールを含む);
3. Secure and resilient systems; and 3. 安全でレジリエンスに優れたシステム。
4. Defensive and offensive cyber tools. 4. 防御的・攻撃的サイバーツール。
Turek noted that there's a lot of synergy across those four areas. トゥレックは、これら4つの分野には多くの相乗効果があると指摘した。

 

スポットライトAI

SPOTLIGHT Artificial Intelligence

AIサイバーチャレンジ

・2023.08.09 DARPA AI Cyber Challenge Aims to Secure Nation’s Most Critical Software

 

1_20240328154601

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.11 米国 AIサイバーチャレンジ DEF CON32-33 (2024-2025) by DARPA (2023.08.08)

 

 

 

| | Comments (0)

2024.03.27

ドイツ 政治選挙以外の選挙向けオンライン投票製品の認証を開始...

こんにちは、丸山満彦です。

IoT製品というか、普通にCC認証のための 政治選挙以外の選挙向けオンライン投票製品向けプロテクション・プロファイルを公表し、制度として始めるということなんでしょうかね...

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.03.25 BSI ermöglicht Zertifizierung für Online-Wahlprodukte für nichtpolitische Wahlen

BSI ermöglicht Zertifizierung für Online-Wahlprodukte für nichtpolitische Wahlen BSI、非政治選挙向けオンライン投票製品の認証を可能にする
Online-Wahlen können Barrieren zur Teilnahme an einer nichtpolitischen Wahl senken und damit die mögliche Beteiligung erhöhen. Dabei sind zertifizierte Wahlprodukte wichtig, um das Vertrauen von Wählerinnen und Wählern in die digitale Durchführung von Wahlen zu stärken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher nun das Schutzprofil BSI-CC-PP-0121-2024 („Protection Profile for E-Voting Systems for non-political Elections“) veröffentlicht. Damit ist eine Zertifizierung für Online-Wahlprodukte für nichtpolitische Wahlen ab sofort möglich
.
オンライン選挙は、非政治選挙への参加障壁を下げ、潜在的な参加者を増やすことができる。認証された選挙用製品は、選挙のデジタル組織に対する有権者の信頼を強化するために重要である。そこでドイツ連邦情報セキュリティ局(BSI)はこのたび、保護プロファイルBSI-CC-PP-0121-2024(「非政治選挙用電子投票システムの保護プロファイル」)を発表した。これは、非政治選挙用のオンライン投票製品の認証が可能になったことを意味する。
Das Schutzprofil BSI-CC-PP-0121-2024 legt Funktionalitäten und Anforderungen fest, die beispielsweise zur Erpressungsresistenz beitragen sollen. Gleichermaßen werden Maßnahmen für die Umsetzung von Ende-zu-Ende-Verifizierbarkeit gefordert, die die Transparenz und damit den Öffentlichkeitsgrundsatz in einer Wahl adressieren. Das Schutzprofil stellt zudem Anforderungen an die Umsetzung kryptografischer Wahlverfahren durch ein Online-Wahlprodukt. Die im Schutzprofil definierten Anforderungen haben eine gleichmäßige Gewichtung der drei im Rahmen einer Online-Wahl besonders relevanten Wahlrechtsgrundsätze – geheim, frei und öffentlich – zum Ziel. BSI-CC-PP-0121-2024の保護プロファイルは、例えば、恐喝に対する抵抗力に貢献することを意図した機能性と要件を定義している。また、エンド・ツー・エンドの検証可能性を実装するための対策も要求しており、これは透明性、ひいては選挙における公共性の原則に対処するものである。保護プロファイルはまた、オンライン投票製品による暗号化された投票手続きの実装に関する要件も定めている。保護プロファイルで定義されている要件は、オンライン選挙の文脈で特に関連性の高い選挙法の3原則(秘密、自由、公開)の重みを均等にすることを目的としている。

 

コモンクライテリア・プロテクション・プロファイル - 非政治選挙用電子投票システム用、バージョン1.0

BSI-CC-PP-0121-2024 Common Criteria Protection Profile — for E-Voting Systems for non-political Elections, Version 1.0


BSI-CC-PP-0121-2024 BSI-CC-pp-0121-2024
Common Criteria Protection Profile — for E-Voting Systems for non-political Elections, Version 1.0 コモンクライテリア・プロテクション・プロファイル - 非政治選挙用電子投票システム用、バージョン1.0
Herausgeber / Issuer Bundesamt für Sicherheit in der Informationstechnik 発行者 連邦情報セキュリティ局
Prüfstelle / Evaluation Facility Deutsche Telekom Security GmbH 評価機関 Deutsche Telekom Security GmbH
Prüftiefe des Produktes / Assurance of the TOE EAL4+, ALC_FLR.2 製品保証 / TOEの保証 EAL4+、ALC_FLR.2
Version der CC / CC Version CC:2022 R1 CC バージョン / CC バージョン CC:2022 R1
Ausstellungsdatum / Certification Date 20.02.2024 発行日 / 認証日 20.02.2024
gültig bis / valid until 19.02.2034 有効期限 / 2034年2月19日まで有効
Zertifizierungsreport / Certification Report 認証報告書 / 認証報告書
20240327-92938
Schutzprofil / Protection Profile プロテクションプロファイル
20240327-92958
Zertifikat / Certificate 証明書
20240327-93038
Das Schutzprofil „Protection Profile for E-Voting Systems for non-political Elections“, Version 1.0, vom 01. Dezember 2023, beschreibt den EVG-Typ als Server-Software zur Durchführung geheimer nicht-politischer elektronische Wahlen. Das Schutzprofil definiert einen Basissatz von Sicherheitsanforderungen, den jedes elektronisches Wahlprodukt mindestens erfüllen muss, um elektronische Wahlen sicher auszuführen. Der EVG muss spezifische Funktionalitäten für die Durchführung von elektronische Wahlen in Bezug auf die verschiedenen Wahlphasen implementieren, wie z. B. die Verarbeitung der wahlbezogenen Daten (in der Vorbereitungsphase), die Registrierung der Wahldaten (in der Ausführungsphase), die Auszählung der Stimmen und die Ermittlung des Wahlergebnisses (in der Bewertungsphase) und der Export der Wahlausführungsdaten (in der Nachverarbeitungsphase). Das Schutzprofil adressiert nicht-politische Wahlen wie z. B. Gremienwahlen oder die Wahl zur oder zum Gleichstellungsbeauftragten. Das Schutzprofil ist modular aufgebaut und enthält ein Basisschutzprofil sowie ein zusätzliches Funktionales Paket: „Multi-component Server-Architecture Package“, Version 1.0 vom 01. Dezember 2023. Während das Basisschutzprofil festlegt, dass der EVG aus einer Serverkomponente besteht, beschreibt das Funktionale Paket die Multi-Komponenten-Serverarchitektur Serverarchitektur. Dieses Paket definiert Anforderungen für die Implementierung des vertrauenswürdigen Kanals, über den der EVG Daten zwischen den einzelnen Komponenten austauscht. 2023年12月1日付の保護プロファイル「非政治選挙用電子投票システムの保護プロファイル」バージョン1.0は、非政治的な秘密電子選挙を実施するためのサーバーソフトウェアとしてのTOEタイプを記述している。保護プロファイルは、電子選挙を安全に実施するために、すべての電子投票製品が最低限満たさなければならないセキュリティ要件の基本セットを定義している。TOEは、選挙関連データの処理(準備段階)、選挙データの登録(実行段階)、票の集計と選挙結果の決定(評価段階)、選挙実行データのエクスポート(後処理段階)など、さまざまな選挙段階に関連する電子選挙の実行のための特定の機能を実装しなければならない。この保護プロファイルは、委員会選挙や機会均等役員選挙などの非政治選挙に対応している。保護プロファイルはモジュール構造になっており、基本保護プロファイルと追加機能パッケージ「マルチコンポーネント・サーバ・アーキテクチャ・パッケージ」(2023年12月1日バージョン1.0)が含まれている。 基本保護プロファイルではTOEが1つのサーバ・コンポーネントで構成されることが規定されているが、機能パッケージではマルチコンポーネント・サーバ・アーキテクチャが記述されている。このパッケージは、TOE が各コンポーネント間でデータを交換する信頼されたチャネルの実装に関する要件を定義している。

The “Protection Profile for E-Voting Systems for non-political Elections”, Version 1.0, from 1 December 2023, describes as a TOE type a server software for conducting secret non-political E-Votings, which implements the process of conducting the election. The Protection Profile defines a basic set of security requirements to be fulfilled by a product for E-Voting in order to perform elections in a secure way. The TOE shall implement specific functionalities for conducting E-Votings related to the different electoral phases such as processing of the election data (in the preparation phase), registering of electoral data (in the execution phase), counting of votes and determination of the election result (in the evaluation phase) and exporting the election execution data (in the post-processing phase). The Protection Profile addresses non-political elections, for example, elections within committees or election of an equal opportunities officer. The PP utilizes a modular structure and specifies a base Protection Profile and one additional Functional Package. The base Protection Profile describes as a TOE type a server software consisting of one single server component. The Functional Package “Multi-component Server Architecture Package”, Version 1.0, from 1 December 2023, describes as a TOE type a server software which consist of more than one server component. The Functional Package defines requirements for establishment of a trusted channel for secure communication between the TOE components.

2023年12月1日からの "非政治選挙用電子投票システムの保護プロファイル "バージョン1.0は、TOEのタイプとして、選挙の実施プロセスを実装する非政治的な秘密電子投票を実施するためのサーバーソフトウェアを記述している。プロテクション・プロファイルは、安全な方法で選挙を実施するために、電子投票のための製品が満たすべきセキュリティ要件の基本セットを定義している。TOEは、選挙データの処理(準備段階)、選挙データの登録(実行段階)、開票と選挙結果の決定(評価段階)、選挙実行データのエクスポート(後処理段階)など、さまざまな選挙段階に関連する電子投票を実施するための特定の機能を実装しなければならない。プロテクション・プロファイルは、例えば委員会内の選挙や機会均等役員の選挙など、非政治的な選挙に対応している。PP はモジュール構造を採用し、基本的な保護プロファイルと 1 つの追加機能パッケージを規定している。ベースとなる保護プロファイルでは、TOE タイプとして 1 つの単一サーバコンポーネントから構成されるサー バソフトウェアを記述している。2023 年 12 月 1 日からの機能パッケージ "Multi-component Server Architecture Package"(バージョン 1.0)は、TOE タイプとして、複数のサーバコンポーネントから構成されるサーバソフトウェアを記述する。この機能パッケージは、TOE コンポーネント間の安全な通信のための信頼されたチャネルの確立に関する要件を定義している。

 

 

| | Comments (0)

2024.03.24

フランス ANSSI サイバー脅威概観2023 (2024.02.23)

こんにちは、丸山満彦です。

1ヶ月前の話ですが...フランスの国家情報システムセキュリティ庁 (ANSSI) がサイバー脅威概観2023を発表していました...

そういえば、今年はフランスのパリでオリンピック・パラリンピックが開催されますよね...

 

Agence nationale de la sécurité des systèmes d'information; ANSSI

・2024.02.23 L'ANSSI publie le Panorama de la cybermenace 2023

L'ANSSI publie le Panorama de la cybermenace 2023 ANSSIがサイバー脅威概観2023を発表
Dans cette édition du Panorama de la cybermenace, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) revient sur les grandes tendances de la menace cyber en 2023. 今回のサイバー脅威概観では、フランスの情報システム・セキュリティ国家機関(ANSSI)が2023年のサイバー脅威の主な傾向を振り返っている。
Dans le Panorama de la cybermenace 2023, l'agence fait état d’un niveau de la menace informatique en constante augmentation, dans un contexte marqué par de nouvelles tensions géopolitiques et la tenue d’événements internationaux sur le sol français. À l’heure où les attaquants ne cessent de s’améliorer et de saisir toutes les opportunités, l’ANSSI appelle plus que jamais à une meilleure application des recommandations de première nécessité. ANSSIは、「サイバー脅威概観2023」において、新たな地政学的緊張とフランス国内で開催される国際的イベントを背景に、サイバー脅威のレベルが絶えず上昇していることを報告している。攻撃者が絶え間なく改良を重ね、あらゆる機会を捉えている現在、ANSSIは最も基本的な勧告をよりよく適用することをこれまで以上に呼びかけている。
Un regain du niveau de la menace cyber  サイバー脅威のレベルの上昇 
En 2023, l’espionnage s’est maintenu à un niveau élevé avec une augmentation significative du ciblage des individus et des structures non gouvernementales qui créent, hébergent ou transmettent des données sensibles. Parmi les tendances nouvelles de l’espionnage, l’ANSSI a constaté une augmentation des attaques contre des téléphones portables professionnels et personnels visant des individus ciblés, ainsi qu’une recrudescence de celles réalisées au moyen de modes opératoires associés publiquement au gouvernement russe contre des organisations situées en France. 2023年もスパイ活動は高水準で推移し、機密データの作成、ホスティング、送信を行う個人や非政府組織への標的が大幅に増加した。スパイ活動の新たな傾向として、ANSSIは、標的とされた個人を狙った業務用および個人の携帯電話に対する攻撃の増加や、フランスに所在する組織に対してロシア政府に関連する手口で行われた攻撃の急増を指摘している。
Les attaques informatiques à des fins d’extorsion se sont également maintenues à un niveau élevé en 2023, comme en témoigne le nombre total d’attaques par rançongiciel portées à la connaissance de l’ANSSI, supérieur de 30 % à celui relevé sur la même période en 2022. Une recrudescence qui rompt avec la diminution observée par l’agence dans le précédent Panorama de la cybermenace. ANSSIに報告されたランサムウェア攻撃の総数が2022年の同時期を30%上回ったことからもわかるように、恐喝目的のコンピューター攻撃も2023年は高水準を維持した。この急増は、前回のサイバー脅威パノラマでANSSIが観測した減少とは対照的である。
Par ailleurs, dans un contexte géopolitique tendu, l’agence a constaté de nouvelles opérations de déstabilisation visant principalement à promouvoir un discours politique, à entraver l’accès à des contenus en ligne ou à porter atteinte à l’image d’une organisation. Si les attaques par déni de service distribué (DDoS) menées par des hacktivistes pro-russes, aux impacts souvent limités, ont été les plus courantes, des activités de prépositionnement visant plusieurs infrastructures critiques situées en Europe, en Amérique du Nord et en Asie ont également été détectées. Ces dernières, plus discrètes, peuvent néanmoins avoir pour objectif la conduite d’opérations de plus grande envergure menées par des acteurs étatiques attendant le moment opportun pour agir. さらに、緊迫した地政学的状況の中で、同機関は、主に政治的言説の促進、オンラインコンテンツへのアクセスの妨害、組織のイメージダウンを目的とした新たな不安定化作戦を観測している。親ロシア派のハクティビストによる分散型サービス妨害(DDoS)攻撃が最も一般的で、その影響力は限定的であることが多いが、ヨーロッパ、北米、アジアのいくつかの重要インフラを標的とした事前配置活動も検出された。このような控えめな活動は、それでもなお、行動を起こすタイミングを待っている国家主体によって実行される、より大規模な作戦を目的としている可能性がある。
Des attaquants qui s’améliorent et profitent des faiblesses techniques  攻撃者の技術的弱点の改善と活用 
De manière générale, l’année 2023 a montré des évolutions notables dans la structure et les méthodes des attaquants. Ces derniers perfectionnent leurs techniques afin d’éviter d’être détectés et suivis, voire identifiés. Il apparaît notamment que des modes opératoires cybercriminels pourraient être instrumentalisés par des acteurs étatiques pour conduire des opérations d’espionnage. De plus, l’écosystème cybercriminel profite aujourd’hui d’outils et de méthodes diffusés largement pour cibler des secteurs particulièrement vulnérables. 一般的に言って、2023年は攻撃者の構造と手法に大きな変化が見られた。彼らは、検知や追跡、あるいは特定されることを避けるために、そのテクニックを完成させている。特に、サイバー犯罪者の手口は、国家主体がスパイ活動を行うために利用される可能性があるようだ。さらに、サイバー犯罪のエコシステムは現在、広く利用可能なツールや手法を活用し、特に脆弱なセクターを標的としている。
Malgré les efforts de sécurisation engagés dans certains secteurs, les attaquants continuent de tirer profit des mêmes faiblesses techniques pour s’introduire sur les réseaux. Ainsi, l’exploitation de vulnérabilités « jour-zéro » et « jour-un » reste une porte d’entrée de choix pour les attaquants, qui profitent encore trop souvent de mauvaises pratiques d’administration, de retards dans l’application de correctifs et de l’absence de mécanismes de chiffrement. 特定の分野ではセキュリティ向上の努力がなされているにもかかわらず、攻撃者は同じ技術的弱点を悪用してネットワークにアクセスし続けている。day-zero」や「day-one」の脆弱性を悪用することは、依然として攻撃者にとって格好の入り口であり、彼らは、管理体制の不備、パッチ適用の遅れ、暗号化メカニズムの不在を利用することがあまりにも多い。
Enfin, les grands événements prévus en France en 2024, et en premier lieu les Jeux olympiques et paralympiques (JOP) de Paris, pourraient offrir aux attaquants des opportunités supplémentaires d’agir. De même, des attaquants pourraient également être incités à s’introduire et à se maintenir sur des réseaux d’importance critique, dans le cadre de tensions internationales. Un risque d’affrontement stratégique entre grandes puissances n’est également pas à exclure. 最後に、パリオリンピック・パラリンピック競技大会(JOP)を皮切りに、2024年にフランスで開催が予定されている大規模イベントは、攻撃者にさらなる行動機会を提供する可能性がある。同様に、攻撃者は、国際的な緊張の中で、重要なネットワークに侵入し、それを維持することを奨励される可能性もある。大国間の戦略的対立のリスクも排除できない。
L’ANSSI toujours plus mobilisée pour élever le niveau de cybersécurité  ANSSIはサイバーセキュリティのレベルを上げるためにますます動員されている。
L’ANSSI appelle les organisations françaises à une meilleure application des recommandations indispensables telles que le développement de capacités de détection, la mise en place d’une stratégie de sauvegarde des systèmes d’information, ou bien encore l’élaboration de plans de continuité et de reprise d’activité. Par ailleurs, le suivi régulier des publications du CERT-FR sur les menaces et les vulnérabilités les plus courantes s’impose comme une ressource indispensable pour atteindre le bon niveau de cybersécurité. ANSSIはフランスの組織に対し、検知能力の開発、情報システムのバックアップ戦略の実施、事業継続・復旧計画の立案など、必要不可欠な勧告をよりよく適用するよう呼びかけている。さらに、最も一般的な脅威と脆弱性に関するCERT-FRの出版物を定期的に監視することは、適切なレベルのサイバーセキュリティを達成するために不可欠なリソースである。
En 2024, l’ANSSI sera en grande partie mobilisée sur la cybersécurité des JOP, pour lesquels l’agence a défini, en coopération avec les différents services de l’État impliqués, un dispositif renforcé de veille, d’alerte et de traitement des incidents de sécurité informatique. 2024年、ANSSIはオリンピックのサイバーセキュリティに大きく動員される予定であり、そのためにANSSIは、関係するさまざまな政府部門と協力して、ITセキュリティ・インシデントの監視、警告、対処のための強化されたシステムを定義した。
Enfin, pour assurer la protection de la Nation dans les années à venir et faire face à la recrudescence constante des menaces et à l’amélioration continue des attaquants, l’ANSSI entend s’appuyer sur l’entrée en vigueur cette année de la directive NIS 2, qui permettra de réguler plusieurs milliers de nouvelles entités et de renforcer progressivement leur niveau de sécurité informatique. De plus, l’agence entend continuer à apporter son soutien aux opérations internationales visant à démanteler des réseaux cybercriminels, à l’image de celle menée à l’encontre du groupe QakBot en 2023. ANSSIは、今後数年間、国家を確実に保護し、脅威の絶え間ない増大と攻撃者の絶え間ない改良に対処するため、今年発効するNIS 2指令に頼るつもりである。さらにANSSIは、2023年のQakBotグループに対する活動のように、サイバー犯罪ネットワークの解体を目的とした国際的な活動を支援し続けるつもりである。
Retrouvez toutes les éditions du Panorama de la cybermenace. サイバー脅威の展望のすべての版を読む。
« Le développement constant de la menace et des attaquants démontre la nécessité pour l’ANSSI de faire évoluer sa manière de travailler, en collaborant notamment avec de nouveaux acteurs, afin de mieux organiser et de renforcer la cybersécurité française. » 脅威と攻撃者の絶え間ない発展は、フランスのサイバーセキュリティをよりよく組織し強化するために、ANSSIがその活動方法を進化させる必要性、特に新しいプレーヤーと協力する必要性を示している。

 

Panorama de la cybermenace 2023 サイバー脅威概観 2023
Cette troisième édition du Panorama de la cybermenace décrit les principales tendances constatées en 2023 par l’ANSSI. Ce document se concentre sur les intentions des attaquants, leurs capacités et les opportunités exploitées pour compromettre des systèmes d’information (SI), en fournissant des exemples concrets d’incidents traités par l’ANSSI durant l’année. Le niveau de la menace informatique continue d’augmenter, dans un contexte marqué par de nouvelles tensions géopolitiques et la tenue d’évènements internationaux sur le sol français. このサイバー脅威概観の第3版は、ANSSIが2023年に観測した主な傾向を説明している。本書は、攻撃者の意図、その能力、情報システム(IS)を侵害するために悪用される機会に焦点を当て、ANSSIが1年間に対処したインシデントの具体例を示している。新たな地政学的緊張やフランス国内で開催される国際イベントを背景に、サイバー脅威のレベルは上昇し続けている。

 

・[PDF]

20240324-13517

 

目次...

1 → ÉVOLUTION DES INTENTIONS DES ACTEURS MALVEILLANTS 1 → 悪意ある行為者の意図の変化
A → Espionnage stratégique et industriel  A → 戦略的および産業スパイ 
B → Attaques à but lucratif  B → 営利目的の攻撃 
C → Opérations de déstabilisation  C → 不安定化作戦 
2 → AMÉLIORATION DES CAPACITÉS OFFENSIVES 2 → 攻撃能力の向上
A → Une recherche constante de furtivité  A → 絶え間ないステルスの追求 
B → Diversification de l’écosystème et des méthodes cybercriminelles B → サイバー犯罪のエコシステムと手法の多様化
C → Ciblage croissant de périphériques mobiles à des fins d’espionnage C → スパイ活動目的でモバイル機器を標的とする増加
3 → OPPORTUNITÉS SAISIES PAR LES ATTAQUANTS  3 → 攻撃者がつかむ機会 
A → De nombreuses faiblesses exploitées  A → 多数の弱点が悪用されている 
B → Vulnérabilités logicielles B → ソフトウェアの脆弱性
C → Organisation de grands événements C → 主要なイベントの組織化
CONCLUSION 結論
BIBLIOGRAPHIE  参考文献 

 

 


 

サイバー脅威概観

サイバー脅威概観 2022

Panorama de la cybermenace 2022 サイバー脅威概観 2022
La menace informatique n'a pas connu d'évolution majeure, les tendances identifiées en 2021 s'étant confirmées en 2022, et ce malgré l'intensification du conflit russo-ukrainien et de ses effets dans le cyberespace. Toujours élevée, cette menace touche de moins en moins d'opérateurs régulés et se déporte sur des entités moins bien protégées. L'espionnage informatique, toujours prégnant, a fortement mobilisé les équipes de l'agence ロシア・ウクライナ紛争の激化とサイバー空間におけるその影響にもかかわらず、サイバー脅威には大きな変化はなく、2021年に確認された傾向は2022年にも確認された。この脅威は依然として高いが、規制を受ける事業者に影響を及ぼすものは少なくなっており、より保護が行き届いていない事業者に移りつつある。コンピュータ・スパイは引き続き大きな懸念事項であり、同庁のチームを大いに動員している。

 

・[PDF]

20240324-20205

 

 

 

IT脅威概観 2021

Panorama de la menace informatique 2021 IT脅威概観 2021
Dans ce panorama de la menace informatique, l’ANSSI revient sur les grandes tendances ayant marqué le paysage cyber sur l’année 2020-2021 et en propose des perspectives d’évolution à court terme. L’évolution de l’écosystème cybercriminel est marquée par une professionnalisation et une spécialisation constante des capacités des acteurs malveillants, dont les principales intentions sont le gain financier, l’espionnage et la déstabilisation. このサイバー脅威の概観において、ANSSIは2020年から2021年にかけてのサイバー情勢を特徴づけた主要な傾向を振り返り、短期的な展望を提案している。サイバー犯罪のエコシステムの進化は、経済的利益、スパイ活動、不安定化を主な目的とする悪意ある行為者の能力の絶え間ない専門化と専門化によって特徴づけられる。

 

・[PDF]

20240324-20242

 

| | Comments (0)

2024.03.20

米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

こんにちは、丸山満彦です。

連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム、サイバートラストマークの規則を採択していますね。。。大統領令EO 14028で消費者向けIoT製品のセキュリティ認証制度をすることになり、サイバートラストマークまで決まりましたからね...

ということで、FCCから最終規則が公表されています...

内容が細かく、まだよく理解できていませんが...

評価基準はNISTが作ることになっていますよね...

 

Federal Communications Commission; FCC

1_20240320044401

・2024.03.15 FCC Adopts Rules for IoT Cybersecurity Labeling Program

    DOC PDF TXT
R&O/Notice of Proposed Rulemaking; NPRM:  R&O/規則制定提案公告
News Releaseabout:  ニュースリリース
Rosenworcel Statement:  ローゼンウォーセルの声明
Starks Statement:   スタークスの声明 
Simington Statement:  シミントンの声明
Gomez Statement:   ゴメスの声明 

 

ニュースリリース...

FCC CREATES VOLUNTARY CYBERSECURITY LABELING PROGRAM FOR SMART PRODUCTS FCC、スマート製品のサイバーセキュリティ自主表示プログラムを創設
‘U.S. Cyber Trust Mark’ Program Will Help Consumers Make Informed Purchasing Decisions and Encourage Manufacturers to Meet Higher Cybersecurity Standards  U.S. Cyber Trust Mark」プログラムは、消費者が十分な情報を得た上で購入を決定することを支援し、製造事業者により高いサイバーセキュリティ標準を満たすよう促すものである。
WASHINGTON, March 14, 2024— The Federal Communications Commission today voted to create a voluntary cybersecurity labeling program for wireless consumer Internet of Things (“IoT”) products.  Under the program, qualifying consumer smart products that meet robust cybersecurity standards will bear a label—including a new “U.S Cyber Trust Mark”—that will help consumers make informed purchasing decisions, differentiate trustworthy products in the marketplace, and create incentives for manufacturers to meet higher cybersecurity standards.  ワシントン、2024年3月14日- 連邦通信委員会は本日、消費者向け無線モノのインターネット(「IoT」)製品を対象とした、サイバーセキュリティに関する自主的な表示プログラムの創設を決定した。 このプログラムでは、消費者が十分な情報を得た上で購入の意思決定を行い、市場で信頼できる製品を差別化し、製造事業者がより高いサイバーセキュリティ基準を満たすためのインセンティブを生み出すのに役立つ、強固なサイバーセキュリティ標準を満たした適格な消費者向けスマート製品にラベル(新しい "U.S. Cyber Trust Mark "を含む)が付けられる。
With today’s action, the Commission has adopted the rules and framework for the program to move forward.  Among program highlights:     本日の決定により、欧州委員会はこのプログラムを推進するための規則と枠組みを採択した。 プログラムのハイライトは以下の通りである:    
· The U.S. Cyber Trust Mark logo will initially appear on wireless consumer IoT products that meet the program’s cybersecurity standards.   ・U.S. Cyber Trust Markのロゴはまず,同プログラムのサイバーセキュリティ標準を満たした消費者向けワイヤレスIoT製品に表示される。
· The logo will be accompanied by a QR code that consumers can scan for easy-to-understand details about the security of the product, such as the support period for the product and whether software patches and security updates are automatic. ・このロゴにはQRコードが添付され、消費者はこれをスキャンすることで、製品のサポート期間、ソフトウェア・パッチやセキュリティ・アップデートの自動更新の有無など、製品のセキュリティに関する詳細をわかりやすく確認することができる。
· The voluntary program will rely on public-private collaboration, with the FCC providing oversight and approved third-party label administrators managing activities such as evaluating product applications, authorizing use of the label, and consumer education. ・この自主プログラムは、FCCが監督をし、承認された第三者管理者が製品申請の評価、ラベル使用の認可、消費者教育などの活動を管理するという、官民協力に頼ることになる。
· Compliance testing will be handled by accredited labs.  ・適合試験は、認定された研究所が担当する。
· Examples of eligible products may include home security cameras, voice-activated shopping devices, internet-connected appliances, fitness trackers, garage door openers, and baby monitors.  ・対象となる製品の例としては、ホームセキュリティカメラ、音声機能付きショッピング機器、インターネットに接続された家電製品、フィットネストラッカー、ガレージドアオープナー、ベビーモニターなどが挙げられる。
The Commission is also seeking public comment on additional potential disclosure requirements, including whether software or firmware for a product is developed or deployed by a company located in a country that presents national security concerns and whether customer data collected by the product will be sent to servers located in such a country. 欧州委員会はまた、製品のソフトウェアやファームウェアが、国家安全保障上の懸念がある国に所在する企業によって開発または導入されているかどうか、製品によって収集された顧客データがそのような国に所在するサーバーに送信されるかどうかなど、追加的な情報開示要件の可能性についてもパブリックコメントを求めている。
There are a wide range of consumer IoT products on the market that communicate over wireless networks.  These products are made up of various devices, and are based on many technologies, each of which presents its own set of security challenges.  Last August, the Commission proposed and sought comment on developing the voluntary cybersecurity labeling program for IoT.  The rules adopted today are based on that record.   市場には、無線ネットワークを介してコミュニケーションする消費者向けIoT製品が幅広く存在する。 これらの製品は様々なデバイスで構成され、多くの技術に基づいており、それぞれが独自のセキュリティ上の課題を提示している。 委員会は昨年8月、IoT向けのサイバーセキュリティ自主表示プログラムの策定を提案し、意見を求めた。 本日採択された規則は、その記録に基づいている。 
According to one third party estimate, there were more than 1.5 billion attacks against IoT devices in the first six months of 2021 alone.  Others estimate that there will be more than 25 billion connected IoT devices in operation by 2030.  The cybersecurity labeling program builds on the significant public and private sector work already underway on IoT cybersecurity and labeling, emphasizing the importance of continued partnership so that consumers can enjoy the benefits of this technology with greater confidence and trust. あるサードパーティーの試算によると、IoT機器に対する攻撃は2021年の最初の6カ月間だけで15億件以上あったという。 また、2030年までに250億台以上のコネクテッドIoTデバイスが稼動するとの予測もある。 サイバーセキュリティの表示プログラムは、IoTサイバーセキュリティと表示に関してすでに進められている官民の重要な取り組みを土台とするもので、消費者がこの技術の恩恵をより大きな自信と信頼をもって享受できるよう、継続的なパートナーシップの重要性を強調するものである。
Action by the Commission March 14, 2024 by Report and Order (FCC 24-26).  Chairwoman Rosenworcel, Commissioners Carr, Starks, Simington, and Gomez approving.  Chairwoman Rosenworcel, Commissioners Starks, Simington, and Gomez issuing separate statements. 2024年3月14日、報告および命令(FCC 24-26)による委員会の措置。 Rosenworcel委員長、Carr委員、Starks委員、Simington委員、Gomez委員が承認した。 Rosenworcel委員長、Starks委員、Simington委員、およびGomez委員は、個別に声明を発表した。

 

R&O/Notice of Proposed Rulemaking; NPRM

目次...

I.      INTRODUCTION I. 序文
II.     BACKGROUND II. 背景
A.      The Internet of Things (IoT) Landscape  A. モノのインターネット(IoT)の展望
B.      Public and Private IoT Security Efforts  B. 官民のIoTセキュリティへの取り組み
III.    REPORT AND ORDER  III. 報告と要求
A.      Voluntary IoT Labeling Program A. IoTラベリング・プログラム
B.      Eligible Devices or Products  B. 対象となる機器または製品
C.      Oversight and Management of the IoT Labeling Program  C. IoTラベリング・プログラムの監督と管理
1.      Fostering Close Public-Private Collaboration 1 緊密な官民協働を育む
2.      Cybersecurity Label Administrators (CLAs)    2 サイバーセキュリティラベル管理者 (CLA)
3.      Responsibilities of the Lead Administrator and CLAs  3 主管理者とCLAの責務
4.      Selecting CLAs and Revoking Authority to Grant Applications to Use the FCC IoT Label  4 CLA の選定と FCC IoT ラベルの使用申請を許可する認可の取り消し
D.      CyberLABs, CLA-Run Labs, and In-House Testing Labs   D. サイバーラボ、CLA運営ラボ、社内テストラボ
E.      Two-Step Process for Obtaining Authority to Use the FCC IoT Label  E. FCC IoTラベルを使用する認可を得るための2段階のプロセス
1.      Product Testing by an Accredited and Recognized Lab   1 認定ラボによる製品テスト
2.      Filing an Application with a CLA   2 CLAへの申請
F.      Consumer IoT Product Cybersecurity Criteria and Standards  F. 消費者向けIoT製品のサイバーセキュリティ基準と標準
G.      The FCC IoT Label (Cyber Trust Mark and QR Code)    G. FCC IoTラベル(サイバートラストマークとQRコード)
H.      Registry   H. レジストリ
I.      Continuing Obligations of Entities Authorized to Use the FCC IoT Label  I. FCC IoTラベルの使用を認可された事業体の継続義務
J.      Audits, Post-Market Surveillance, and Enforcement    J. 監査、市販後調査、執行
K.      International Reciprocal Recognition of the Cyber Trust Mark  K. サイバートラストマークの国際相互承認
L.      Consumer Education   L. 消費者教育
M.      Cost/Benefit Analysis  M. コスト/便益分析
IV.     LEGAL AUTHORITY IV. 法的認可
V.      FURTHER NOTICE OF PROPOSED RULEMAKING   V. 規則制定案の追加通知
VI.     PROCEDURAL MATTERS    VI. 手続き的マトリックス
VII.    ORDERING CLAUSES  VII. 要求条項
APPENDIX A – FINAL RULES 附属書A 最終規則 
APPENDIX B – FINAL REGULATORY FLEXIBILITY ANALYSIS 附属書B 最終規制柔軟性分析 
APPENDIX C – INITIAL REGULATORY FLEXIBILITY ANALYSIS 附属書C 初回規制柔軟性分析 

 

・[DOCX] 仮訳

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

 

 

| | Comments (0)

より以前の記事一覧