IoT

2022.01.17

中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。

こんにちは、丸山満彦です。

中国の中国 電気通信端末産業協会 (TAF) が「スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」等、9つの文書を公表していますね。。。

电信终端产业协会 (TAF)(電気通信端末産業協会)

2022.01.14 《智能终端侧业务风险防控安全指南》等9项团体标准报批公示 スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」など9つのグループ標準が承認申請されました。

 

1、《智能终端侧业务风险防控安全指南 1. スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド
2、《智能可穿戴设备安全  医疗健康可穿戴设备安全技术要求与测试方法 2. スマート・ウェアラブル・デバイスの安全性 ヘルスケア・ウェアラブル・デバイスの安全性に関する技術的要求事項と試験方法
3、《移动终端应用软件列表权限实施指南 3. 携帯端末アプリケーションソフトウェア一覧の許可に関する実装ガイド
4、《移动应用分发平台:APP开发者信用评价体系 4. 携帯アプリケーション配信プラットフォーム:APP開発者のための信用評価システム
5、《移动应用分发平台信用评价细则 5. 携帯アプリケーション配信プラットフォームの信用評価細則
6、《移动智能终端应用软件调用行为记录能力要求  第3部分:API接口 6. スマート携帯端末アプリケーション・ソフトウェアの呼び出し動作記録機能に関する要求事項 Part3: API インターフェース
7、《APP收集使用个人信息最小必要评估规范  第3部分:图片信息 7. APPが収集・利用する個人情報の必要最小限の評価に関する仕様書 Part3:画像情報
8、《APP收集使用个人信息最小必要评估规范  第9部分:短信信息 8. APPによる個人情報の収集と使用に関する必要最小限の評価仕様 Part9:SMS情報
9、《物联网终端可信上链技术要求 9. IoT端末の信頼できるアップリンクのための技術要件

 

代表して(^^) 《智能终端侧业务风险防控安全指南》スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイドの目次。。。
 
20220117-61225

 

前言 前文
1 范围 1 適用範囲
2 规范性引用文件 2 引用文献
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 业务风险防控安全框架 5 オペレーショナル・リスクの予防・管理 セキュリティ・フレームワーク
6 业务风险防控模型输入和策略 6 オペレーショナル・リスクの予防・管理モデルの入力と戦略
6.1 概述 6.1 概要
6.2 系统风控模型输入 6.2 システムリスクコントロールモデルの入力
6.3 应用风控模型输入 6.3 アプリケーションリスクコントロールモデルの入力
6.4 身份风控模型输入 6.4 IDリスクコントロールモデルの入力
6.5 业务风险防控策略 6.5 ビジネスリスクの予防・管理戦略
7 业务风险定级 7 オペレーショナル・リスクの分類
7.1 业务风险定级原则和方法 7.1 ビジネスリスク分類の原則と方法
7.2 通用风险评估方法示例 7.2 一般的なリスク評価手法の例
8 业务风险防控安全要求 8 ビジネスリスクの予防と管理 セキュリティ要件
附录 A(资料性)业务风险防控接口 附属書A (情報) オペレーショナルリスクの予防・管理のインターフェース

| | Comments (0)

2022.01.15

総務省 意見募集 電気通信事業ガバナンス検討会 報告書(案)

こんにちは、丸山満彦です。

総務省が電気通信事業ガバナンス検討会報告書(案)について意見募集をしていますね。。。

総務省

・2022.01.14 電気通信事業ガバナンス検討会 報告書(案)に対する意見募集


1 概要


 総務省では、「電気通信事業ガバナンス検討会」を開催し、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、令和3年5月から検討を行ってきました。
 今般、本検討会において、報告書(案)が取りまとめられましたので、令和4年1月15日(土)から同年2月4日(金)までの間、本案に対する意見募集を行います。

・[PDF] 別紙1「電気通信事業ガバナンス検討会 報告書(案)」

20220114-233059

 

目次

はじめに

第1章 電気通信事業を取り巻く環境の変化
1.1
電気通信サービスの現状
 1.1.1
電気通信サービス市場の概要
 1.1.2 電気通信サービスの重要度の向上

1.2
電気通信サービスを提供する電気通信事業者の多様化
1.3
電気通信サービスを提供するネットワークの多様化

第2章 電気通信事業におけるガバナンスの現状と課題
2.1
電気通信サービスに対するリスクの高まり
 2.1.1
サイバー攻撃の複雑化・巧妙化によるリスク
 2.1.2 サプライチェーンや外国の法的環境による影響等のリスク
 2.1.3 電気通信サービスに係る情報の漏えい等のリスク
 2.1.4 電気通信サービスの停止等のリスク
 2.1.5 情報の外部送信や収集に関連したリスク
 2.1.6 利用者による不安
 2.1.7 今後の方向性

2.2
電気通信事業におけるガバナンスの現状
 2.2.1
国内の電気通信事業におけるガバナンスの現状
  2.2.1.1 電気通信事業の公共性及び電気通信事業法における規律の対象
  2.2.1.3 通信の秘密の漏えいに関する制度の現状
  2.2.1.4 電気通信事業者における自主的な取組の現状
  2.2.1.5 総合的なサイバーセキュリティ対策
  2.2.1.6 政府情報システムのためのセキュリティ評価制度
 2.2.2 ガバナンスに関する国際標準・諸外国の制度等
  2.2.2.1 情報セキュリティに関する国際標準・規格等
  2.2.2.2 ガバナンスに関する諸外国の制度

2.3
利用者が安心できる電気通信サービスの円滑な提供に向けた課題
 2.3.1
情報の漏えい・不適正な取扱い等や電気通信サービスの停止のリスクへの対応
 2.3.2 電気通信事業におけるリスク対策の必要性
 2.3.3 課題と検討の方向性

第3章 電気通信事業ガバナンスの在り方と実施すべき措置
3.1
電気通信事業におけるガバナンス強化に係る基本的な考え方
 3.1.1
電気通信事業における多様な保護法益の確保
 3.1.2 電気通信事業の円滑・適切な運営の確保
 3.1.3 電気通信事業ガバナンスの在り方の検討

3.2
実施すべき措置
 3.2.1
電気通信事業に係る情報の漏えい・不適正な取扱い等に対するリスク対策
  3.2.1.1
適正な取扱いを行うべき情報
  3.2.1.2 利用者情報の適正な取扱いの促進
  3.2.1.3 利用者に関する情報の外部送信の際に講じるべき措置

 3.2.2
通信ネットワークの多様化等を踏まえた電気通信サービスの停止に対するリスク対策
  3.2.2.1
設備の多様化に対応した規律の見直し
  3.2.2.2 事業者間連携によるサイバー攻撃対策
  3.2.2.3 重大事故等のおそれのある事態の報告制度
  3.2.2.4 災害時における考慮事項

 3.2.3
利用者への情報提供
  3.2.3.1
利用者への情報提供の現状
  3.2.3.2 情報の適正な取扱い等に係る利用者への情報提供の強化に向けて

第4章 今後の検討課題

おわりに


 

 

参考

電気通信ガバナンス検討会

 ・2021.04.27 「電気通信事業ガバナンス検討会」の開催


総務省は、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保に向けて、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について検討するため、「電気通信事業ガバナンス検討会」を開催します。
1 目的


 「デジタル社会」の実現のためには、その中枢基盤として、サイバー空間とフィジカル空間を繋ぐ神経網である通信サービス・ネットワークが安心・安全で信頼され、継続的・安定的かつ確実・円滑に提供されることが不可欠です。
 しかし、最近、通信サービス・ネットワークを司る電気通信事業者において、利用者の個人情報や通信の秘密の漏えい事案が発生するとともに、海外の委託先等を通じ、これらのデータにアクセス可能な状態にあることに関するリスク等が顕在化しています。さらに、電気通信事業者に対するサイバー攻撃により、通信サービスの提供の停止に至る事案や通信設備に関するデータが外部に漏えいしたおそれのある事案が発生するなど、サイバー攻撃のリスク等も深刻化しています。
 以上を踏まえ、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、検討を行います。
2 検討事項

(1)電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方
(2)上記を踏まえた、政策的な対応の在り方
(3)その他

| | Comments (0)

2022.01.11

EU議会 2022年に注目すべき10の課題

こんにちは、丸山満彦です。

EU議会のThink Tankが2022年に注目すべき10の課題を公表していますね。。。

この報告書は、今後1年間に欧州連合(EU)の政治課題として公の場で議論されるであろう重要な課題や政策分野を特定し、その概要を明らかにするために作られているようですね。。。

この報告書や関連文書に目を通すと、EUがどういう背景やデータをもとに議論をしてくるかの一部が見えてくるような気もしますね。。。

1. Radical decoupling: Achieving zero greenhouse gas emissions while maintaining economic growth 1. 根本的な分離:経済成長を維持しつつ、温室効果ガス排出量をゼロにする
2. Securing Europe's supply of semiconductors 2. 欧州における半導体供給の確保
3. Sustainable agriculture: Mission possible?  3. 持続可能な農業:実現可能か? 
4. A new push for nuclear non-proliferation? 4. 核不拡散のための新たな取り組み?
5. Shaping the economic recovery 5. 景気回復
6. ECB monetary policy: Caught between a rock and a hard place 6. 欧州中央銀行の金融政策:岩と岩盤に挟まれて
7. Internet of things: Securing the uptake of connected devices in the EU 7. IoT:EUにおける接続機器の普及の確保
8. Uncharted waters: What to expect after the Conference on the Future of Europe 8. 未知の領域:欧州の未来に関する会議後の展開
9. LGBTIQ equality: Somewhere over the rainbow 9. LGBTIQの平等:虹の向こうに
10. Forward with EU defence  10. EU防衛の推進 

 

European Parliament - Think Tank

・2022.01.10 Ten issues to watch in 2022

・[PDF

20220111-52822


 

 

「2. 欧州における半導体供給の確保」に示されている2つの図は参考になるかもですね。。。

 

20220111-62554

20220111-62808

 

| | Comments (0)

2022.01.10

IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析

こんにちは、丸山満彦です。

IEEEが、Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents(産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析)を公表していますね。。。参考になる部分もあるかと思います。。。

攻撃者の分類法について3つのCriteria(フィンガープリント、能力、動機)を用いていていますが、わかりやすいですね。。。

20220110-61203

Fig2. 3つの主要な規準に基づく重要インフラ攻撃者の特徴の分類法

で、攻撃者の例示として次のようなものをあげていますね。。。

  • 外部者
  • 内部関係者
  • 犯罪者/ハクティビスト/スクリプトキディ
  • 産業スパイのアクター
  • サイバーテロリスト
  • 国家背景のアクター

 

取り上げている事例の時系列も改めて見ると良いですね。。。

 

20220110-62800

 

IEEE - IEEE Access

Year: 2021 | Volume: 9  - Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents

・[HTML]

・[PDF]

20220110-55745

概要は、

概要

Abstract 概要
Critical infrastructures and industrial organizations aggressively move towards integrating elements of modern Information Technology (IT) into their monolithic Operational Technology (OT) architectures. Yet, as OT systems progressively become more and more interconnected, they silently have turned into alluring targets for diverse groups of adversaries. Meanwhile, the inherent complexity of these systems, along with their advanced-in-age nature, prevents defenders from fully applying contemporary security controls in a timely manner. Forsooth, the combination of these hindering factors has led to some of the most severe cybersecurity incidents of the past years. This work contributes a full-fledged and up-to-date survey of the most prominent threats and attacks against Industrial Control Systems and critical infrastructures, along with the communication protocols and devices adopted in these environments. Our study highlights that threats against critical infrastructure follow an upward spiral due to the mushrooming of commodity tools and techniques that can facilitate either the early or late stages of attacks. Furthermore, our survey exposes that existing vulnerabilities in the design and implementation of several of the OT-specific network protocols and devices may easily grant adversaries the ability to decisively impact physical processes. We provide a categorization of such threats and the corresponding vulnerabilities based on various criteria. The selection of the discussed incidents and identified vulnerabilities aims to provide a holistic view of the specific threats that target Industrial Control Systems and critical infrastructures. As far as we are aware, this is the first time an exhaustive and detailed survey of this kind is attempted. 重要なインフラストラクチャや産業組織は,最新の情報技術(IT)の要素を一枚岩の運用技術(OT)アーキテクチャに統合しようと積極的に取り組んでいます。しかし,OT システムの相互接続が進むにつれ,様々な敵対者にとって魅力的な標的となっています。一方で、これらのシステムに内在する複雑さと、時代遅れの性質のために、防御側は現代のセキュリティ対策をタイムリーに適用することができません。そのため、これらの障害要因が重なり、過去数年間で最も深刻なサイバーセキュリティ事件が発生しています。本研究では、産業用制御システムや重要インフラに対する最も重要な脅威や攻撃について、これらの環境で採用されている通信プロトコルやデバイスを含めて、本格的な最新の調査を行いました。今回の調査では、攻撃の初期段階または後期段階のいずれかを促進することができる汎用ツールや技術が急増しているため、重要インフラに対する脅威が上昇スパイラルを描くことが明らかになりました。さらに、今回の調査では、OTに特化したネットワークプロトコルやデバイスの設計と実装に存在する脆弱性が、物理的なプロセスに決定的な影響を与える能力を容易に敵に与えていることが明らかになりました。このような脅威とそれに対応する脆弱性を、様々な基準に基づいて分類しています。議論されたインシデントと特定された脆弱性を選択することで、産業用制御システムと重要なインフラを標的とする特定の脅威の全体像を示すことを目的としています。この種の包括的かつ詳細な調査を試みたのは、我々の知る限り、今回が初めてです。

 

章立てです。。。

 ABSTRACT 概略
I. INTRODUCTION I.イントロダクション
II. BACKGROUND II.背景
A. ICS ARCHITECTURE A. ICSアーキテクチャ
B. ICS HARDWARE B. ICSハードウエア
C. ICS PROTOCOLS C. ICSプロトコル
D. ICS SECURITY D. ICSセキュリティ
E. CRITICAL INFRASTRUCTURES E. 重要インフラ
III. RELATED WORK III.関連研究
IV. ADVERSARIAL MODEL IV.敵対的モデル
A. FINGERPRINTING A. フィンガープリンティング
B. CAPABILITIES B. 能力
C. MOTIVES C. 動機
V. INDUSTRIAL CONTROL SYSTEMS AND CRITICAL INFRASTRUCTURE INCIDENTS V.産業用制御システムと重要インフラのインシデント
A. STUXNET A. STUXNET
B. DUQU B. DUQU
C. SHAMOON C. SHAMOON
D. HAVEX D. HAVEX
E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK
F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK
G. TRITON/TRISIS/HatMan G. TRITON/TRISIS/HatMan
H. VPNFilter H.VPNフィルタ
I. WannaCry I. WannaCry
J. NotPetya J. NotPetya
K. COLONIAL PIPELINE K. コロニアルパイプライン
L. OTHER INCIDENTS L. その他のインシデント
1) GERMAN STEEL MILL 1) ドイツの製鉄所
2) MAROOCHY WATER SERVICES 2) マルーチー・ウォーター・サービス
3) NEW YORK DAM 3) ニューヨーク・ダム
4) ‘‘KEMURI’’ WATER COMPANY 4) ''Kemuri''ウォーター・カンパニー
5) SLAMMER WORM 5) スラマーワーム
6) SoBig VIRUS 6) SoBig VIRUS
7) TEHAMA COLUSA CANAL 7) テハマ・コルサ・キャナル
8) U.S. POWER GRID INTRUSION 8)米国の電力網への侵入
M. DISCUSSION M. DISCUSSION
1) COMMON TOOLS AND APPROACHES 1) 共通のツールとアプローチ
2) VULNERABILITIES CATEGORIZATION 2) 脆弱性の分類
3) AFFECTED PURDUE LEVELS 3)影響を受けたパデュー・レベル
4) MITIGATION 4) 低減
VI. ICS PROTOCOLS VULNERABILITIES VI.ICSプロトコルの脆弱性
A. DNP3 A. DNP3
B. MODBUS B. MODBUS
C. PROFINET C. PROFINET
D. OTHER PROTOCOLS D. その他のプロトコル
VII. ICS DEVICE VULNERABILITIES VII. ICデバイスの脆弱性
A. REVERSE ENGINEERING A. リバースエンジニアリング
B. CONTROL LOGIC INJECTION & MODIFICATIONATTACKS B. 制御ロジックのインジェクションと修正攻撃
C. LADDER LOGIC BASED ATTACKS C. ラダーロジックによる攻撃
D. NATIVE ICS MALWARE D. ネイティブICSマルウェア
E. UNAUTHORIZED ACCESS E. 不正アクセス
F. SIDE CHANNEL ANALYSIS F. サイドチャネル分析
VIII. CONCLUSION VIII. 結論
REFERENCES 参考文献

 

 

Continue reading "IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析"

| | Comments (0)

2021.12.31

中国 ロボット産業発展のための第14次5ヵ年計画

こんにちは、丸山満彦です。

中国 工業情報化部が「ロボット産業発展のための第14次5ヵ年計画 」を発表していますね。。。

工业和信息化部(工業情報化部)

2021.12.28 十五部门关于印发《“十四五”机器人产业发展规划》的通知 工信部联规〔2021〕206号 ロボット産業発展のための「第14次5ヵ年計画」発行に関する15省庁の通知
工業情報化部共同規則[2021]第206号
2021.12.28 《“十四五”机器人产业发展规划》解读
ロボット産業発展のための「第14次5ヵ年計画」の解釈について

 

《“十四五”机器人产业发展规划》解读 ロボット産業発展のための「第14次5ヵ年計画」の解釈について
近日,工业和信息化部、国家发展和改革委员会、科学技术部、公安部、民政部、住房和城乡建设部、农业农村部、国家卫生健康委员会、应急管理部、中国人民银行、国家市场监督管理总局、中国银行保险监督管理委员会、中国证券监督管理委员会、国家国防科技工业局、国家矿山安全监察局等十五部门正式印发《“十四五”机器人产业发展规划》。(下称《规划》),为便于理解《规划》内容,做好贯彻实施工作,现就相关问题解读如下。 最近では、工業情報化省、国家発展改革委員会、科学技術省、公安部、民政部、住宅都市農村開発省、農業農村部、国家医療委員会、危機管理部、中国人民銀行、国家市場監督管理総局、中国銀行保険監督管理委員会、中国証券監督管理委員会、国家国防科学技術産業局、国家鉱山安全監督管理局の15の省庁がロボット産業発展のための「第14次5ヵ年計画」(以下、「本計画」という)を正式に発表しました。本計画の内容の理解を容易にし、業務の遂行に支障をきたさないために、現在、関連する事項について以下のように説明します。

一、《规划》编制背景 1. 計画の背景
机器人被誉为“制造业皇冠顶端的明珠”,其研发、制造、应用是衡量一个国家科技创新和高端制造业水平的重要标志。党中央、国务院高度重视机器人产业发展,将机器人纳入国家科技创新重点领域,大力推动机器人研发创新和产业化应用。“十三五”期间,在多方的共同努力下,我国机器人产业蓬勃发展,产业规模快速增长,技术水平持续提升,集成应用大幅拓展,骨干企业加速壮大,重点产业集群优势逐步显现。但与国外先进水平相比,依然存在技术积累不足、产业基础薄弱、高端供给缺乏等问题。 ロボティクスは「製造業の至宝」と呼ばれ、その研究開発、製造、応用は、その国の技術革新とハイエンド製造レベルの重要なシンボルとなっています。 党中央委員会と国務院は、ロボット産業の発展を非常に重視しており、ロボットを国家科学技術革新の重点分野に組み入れ、ロボットの研究開発イノベーションと産業化応用を強力に推進しています。 「第13次5カ年計画」期間中、多くの関係者の共同努力により、中国のロボット産業は、産業規模の急速な拡大、技術レベルの継続的な向上、統合アプリケーションの大幅な拡大、基幹企業の加速的な成長、重要な産業クラスターの優位性の漸進的な出現など、繁栄を遂げてきました。 しかし、海外の先進レベルと比較すると、技術蓄積の不足、産業基盤の弱さ、ハイエンドの供給不足などの問題が残っています。
当前新一轮科技革命和产业变革加速演进,新一代信息技术、生物技术、新能源、新材料等与机器人技术深度融合,机器人产业迎来升级换代、跨越发展的窗口期。世界主要工业发达国家均将机器人作为抢占科技产业竞争的前沿和焦点,加紧谋划布局。我国已转向高质量发展阶段,建设现代化经济体系,构筑美好生活新图景,迫切需要新兴产业和技术的强力支撑。机器人作为新兴技术的重要载体和现代产业的关键装备,引领产业数字化发展、智能化升级,不断孕育新产业新模式新业态。机器人作为人类生产生活的重要工具和应对人口老龄化的得力助手,持续推动生产水平提高、生活品质提升,有力促进经济社会可持续发展。面对新形势新要求,为推动我国机器人产业迈向中高端,加快实现高质量发展,工业和信息化部会同国家发展和改革委员会、科学技术部等共十五个部门,联合编制了《规划》。 科学技術革命と産業変化の新ラウンドが加速しており、新世代の情報技術、バイオテクノロジー、新エネルギー、新素材などがロボットと深く融合し、ロボット産業はアップグレードと飛躍的発展の窓を開けています。 世界の主要先進国では、ロボットを科学技術産業のフロンティアであり、競争の焦点であると捉え、計画やレイアウトを強化しています。 中国は高品質な発展の段階に移行し、近代的な経済システムを構築し、より良い生活のための新しい絵を構築していますが、そのためには新しい産業や技術の強力なサポートが緊急に必要です。 新技術の重要な担い手であり、現代産業のキーとなる機器であるロボットは、産業のデジタル開発とインテリジェントなアップグレードをリードし、常に新しい産業と新しいモデル、新しいビジネスモデルを生み出しています。 人間の生産や生活のための重要なツールとして、また高齢化社会に対応するための強力なアシスタントとして、ロボットは生産レベルや生活の質の向上を促進し、持続可能な経済・社会の発展に貢献し続けています。 新たな状況、新たな要求に直面し、中国のロボット産業のミドルエンド、ハイエンド化を促進し、高品質な発展の実現を加速するため、工業・情報化省は、国家発展改革委員会、科学技術省、その他計15の部門と共同で本計画をまとめました。
二、《规划》总体思路和目标 2. 本計画の一般的な考え方と目的
当前,机器人产业蓬勃发展,正极大改变着人类生产和生活方式,为经济社会发展注入强劲动能。“十四五”时期是我国开启全面建设社会主义现代化国家新征程、向第二个百年奋斗目标进军的第一个五年。《规划》以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届历次全会精神,立足新发展阶段,完整、准确、全面贯彻新发展理念,构建新发展格局,统筹发展和安全,以高端化智能化发展为导向,面向产业转型和消费升级需求,坚持“创新驱动、应用牵引、基础提升、融合发展”,着力突破核心技术,着力夯实产业基础,着力增强有效供给,着力拓展市场应用,提升产业链供应链稳定性和竞争力,持续完善产业发展生态,推动机器人产业高质量发展,为建设制造强国、健康中国,创造美好生活提供有力支撑。 現在、ロボット産業は活況を呈しており、人間の生産や生活のあり方を大きく変え、経済や社会の発展に強い勢いを与えています。 「第14次5カ年計画」期間は、中国が近代的な社会主義国を建設するという新たな旅を始め、第2の100年目標に向かって邁進する最初の5年間です。 計画は、新時代の中国の特色ある社会主義という習近平の思想に導かれ、第19回党大会と第19回全体会議の精神を全面的に実施し、新発展段階に基づき、新発展概念を完全に、正確に、全面的に実施し、新発展パターンを構築し、発展と安全を協調させ、ハイエンドのインテリジェントな発展を志向し、産業の転換と消費者のアップグレードのニーズに直面し、「革新」の原則を堅持します。 新しい開発段階のコンセプトは、完全に、正確に、そして総合的に実施することを基本としています。 この計画は、中国のさまざまな分野の高い品質に基づいています。
《规划》立足我国各领域高质量发展需求和人民向往美好生活的需要,把握机器人产业发展趋势,提出“到2025年,我国成为全球机器人技术创新策源地、高端制造集聚地和集成应用新高地”。并提出了2025年的具体目标:一批机器人核心技术和高端产品取得突破,整机综合指标达到国际先进水平,关键零部件性能和可靠性达到国际同类产品水平;机器人产业营业收入年均增速超过20%;形成一批具有国际竞争力的领军企业及一大批创新能力强、成长性好的专精特新“小巨人”企业,建成3-5个有国际影响力的产业集群;制造业机器人密度实现翻番。 同計画は、中国の各分野における高品質な発展と、より良い生活を求める国民のニーズに基づき、ロボット産業の発展傾向を把握し、「2025年までに、中国は世界のロボット技術革新の源、ハイエンド製造クラスター、統合アプリケーションの新高地となる」と提案しています。 2025年の具体的な目標は、多くのロボットのコア技術とハイエンド製品が躍進し、機械全体の総合指数が国際的な先進レベルに達し、主要部品の性能と信頼性が国際的な同類製品のレベルに達すること、ロボット産業の事業収入の年平均成長率が20%を超えること、国際的な競争力を持つ多くの一流企業と、強い革新能力と良好な成長を持つ多くの特別新興企業が形成されること、などである。 "計画 "では、2035年までに、ロボット産業が以下の目標を達成できるようにすることを提案しています。
《规划》提出到2035年,我国机器人产业综合实力达到国际领先水平,机器人成为经济发展、人民生活、社会治理的重要组成。 この計画では、2035年までに中国のロボット産業の総合力が国際的にもトップレベルに達し、ロボットが経済発展や人々の生活、社会統治の重要な構成要素になることを提案しています。
三、《规划》部署的主要任务 3. 本計画で展開する主なタスク
为推动“十四五”发展目标落实落地,《规划》部署了提高产业创新能力、夯实产业发展基础、增加高端产品供给、拓展应用深度广度、优化产业组织结构等五项主要任务。 第14次5カ年計画」の発展目標の実施を促進するために、産業革新能力の向上、産業発展の基礎固め、ハイエンド製品の供給拡大、アプリケーションの深さと幅の拡大、産業組織の構造の最適化など、5つの主要課題を展開しています。
一是提高产业创新能力。加强核心技术攻关,突破机器人系统开发、操作系统等共性技术,研发仿生感知与认知、生机电融合等前沿技术,推进人工智能、5G、大数据、云计算等新技术与机器人技术的融合应用。建立健全创新体系,推动重点研发机构加强技术研究和成果转化,鼓励骨干企业协同推动软硬件系统标准化和模块化,支持企业加强技术中心建设。 第一は、産業イノベーション能力の向上です。 コア技術の研究開発を強化し、ロボットのシステム開発やOSなどの共通技術を突破し、バイオニック知覚・認知、生体・機械・電気の融合などの先端技術を開発し、人工知能、5G、ビッグデータ、クラウドコンピューティングなどの新技術とロボットの融合・応用を推進します。 健全なイノベーションシステムを確立し、主要な研究開発機関が技術研究と成果の変換を強化することを促進し、基幹企業が協力してソフトウェアとハードウェアシステムの標準化とモジュール化を推進することを奨励し、企業がテクノロジーセンターの建設を強化することを支援します。
二是夯实产业发展基础。补齐专用材料、核心元器件、加工工艺等短板,开发机器人控制软件、核心算法等。建立全国机器人标准化组织,健全机器人标准体系,加快急需标准研究制定及应用,积极参与国际标准化工作。鼓励企业加强试验验证能力建设,增强机器人检测与评定中心检测能力,推进中国机器人认证体系建设。 第二は、産業発展の基盤を固めることです。 特殊素材、コアコンポーネント、加工プロセスの欠点を補い、ロボット制御ソフトやコアアルゴリズムを開発する。 国家ロボット標準化組織を設立し、ロボット標準システムを改善し、必要性の高い標準とその応用の研究開発を加速し、国際標準化作業に積極的に参加します。 企業に対し、試験・検証能力の構築を強化し、ロボット試験・評価センターの試験能力を強化し、中国のロボット認証システムの構築を促進することを奨励します。
三是增加高端产品供给。面向制造业、采矿业、建筑业、农业等行业,以及家庭服务、公共服务、医疗健康、养老助残、特殊环境作业等领域需求,集聚优势资源,重点推进工业机器人、服务机器人、特种机器人重点产品的研制及应用,拓展机器人产品系列,提升性能、质量和安全性,推动产品高端化智能化发展。 第三は、ハイエンド製品の供給拡大です。 製造業、鉱業、建設業、農業などの産業や、家庭サービス、公共サービス、医療・健康、高齢者介護・障害者支援、特殊環境作業などの分野のニーズに応えるために、有利な資源を集め、産業用ロボット、サービス用ロボット、特殊ロボットの開発と応用の促進に注力し、ロボット製品シリーズの拡大、性能・品質・安全性の向上、ハイエンドのインテリジェント製品の開発を推進していきます。
四是拓展应用深度广度。鼓励用户单位和机器人企业、整机企业和零部件企业联合开展技术试验验证。推动机器人系统集成商开发细分领域解决方案。支持搭建应用推广平台,组织产需对接。推进机器人应用场景开发和产品示范推广。加快医疗、养老、电力、矿山、建筑等领域机器人准入标准制订、产品认证或注册,鼓励企业建立产品体验中心。探索建立新型租赁服务平台,发展智能云服务等新型商业模式。 第四は、アプリケーションの深さと幅の拡大です。 ユーザーユニットとロボット企業、完成機企業と部品企業が共同で技術テストと検証を行うことを奨励する。 ニッチな分野でのソリューションを開発するロボットシステムインテグレーターを推進する。 アプリケーション・プロモーション・プラットフォームの構築を支援し、生産と需要のドッキングを整理する。 ロボットの活用シーンの開発や製品のデモンストレーション・プロモーションを推進する。 ヘルスケア、高齢者介護、電力、鉱業、建設などの分野におけるロボットの参入基準や製品認証・登録の開発を加速し、企業が製品体験センターを設立することを奨励する。 新たなレンタルサービスプラットフォームの構築や、インテリジェントクラウドサービスなどの新たなビジネスモデルの開発を模索する。
五是优化产业组织结构。培育壮大优质企业,推动企业成长为具有生态主导力和核心竞争力的领航企业,打造一批专精特新“小巨人”企业和单项冠军企业。推进强链固链稳链,支持产业链上中下游协同创新,加快短板产品的研发、验证和迭代,推动机器人产业链供应链多元化。打造优势特色集群,推动合理区域布局,培育创新能力强、产业环境好的优势集群,支持集群聚焦细分领域塑造特色集群品牌。 第五は、産業組織の最適化です。 質の高い企業を育成・強化し、企業が生態的優位性とコア競争力を備えた一流企業に成長することを促進し、多くの専門的・特殊な「小巨人」企業と単一のチャンピオン企業を創出する。 チェーンの強化と安定化を促進し、産業チェーンの上・中・下層部の共同イノベーションを支援し、ショートカット製品の研究開発・検証・反復を加速し、ロボット産業チェーンのサプライチェーンの多様化を促進する。 特別な特徴を持つ有利なクラスターを作り、合理的な地域レイアウトを推進し、強いイノベーション能力と良好な産業環境を持つ有利なクラスターを育成し、クラスターがニッチな分野に集中して特別なクラスターブランドを形成することを支援します。
四、推动《规划》贯彻实施的保障措施 4. 計画の実施を促進するためのセーフガード対策
为强化贯彻实施,《规划》提出了五项保障措施。 計画の実施を強化するために、計画では5つのセーフガード対策を打ち出しています。
一是强化统筹协调推进。统筹各部门资源和力量,支持产业创新发展。鼓励各地制定针对性政策措施,指导产业健康发展。发挥行业协会、中介组织作用,加强产业动态监测并及时反馈问题建议。 第一は、調整と促進の強化です。 産業の革新的な発展をサポートするために、様々な部門の資源と力を調整する。 産業の健全な発展を導くために、各地域が目標とする政策や措置を策定することを奨励します。 業界団体や中間組織の役割を果たし、業界のダイナミクスのモニタリングを強化し、問題や提案をタイムリーにフィードバックします。
二是加大财税金融支持。加强国家重大科技项目、国家重点研发计划等对机器人研发应用的支持。优化首台(套)重大技术装备保险补偿机制试点工作,发挥政府采购作用,促进机器人创新产品应用。落实好研发费用加计扣除等税收政策。推动各类产业基金投入,支持符合条件的企业上市。鼓励产融合作试点城市加大对机器人企业的投入,引导金融机构创新服务模式。 第二は、財政・金融支援の強化です。 国家の主要な科学技術プロジェクトや国家の重要な研究開発プログラムによるロボットの研究開発と応用への支援を強化します。 最初の(一連の)主要技術設備に対する保険補償メカニズムのパイロット作業を最適化し、革新的なロボット製品の適用を促進するために政府調達の役割を果たします。 研究開発費の控除などの税制上の施策を実施する。 各種産業ファンドの投資を促進し、対象となる企業の上場を支援します。 ロボット企業への投資を増やすために、産業統合のパイロット都市を奨励し、金融機関がサービスモデルを革新するよう指導します。
三是营造良好市场环境。完善行业规范条件,加大实施和采信力度。支持第三方检测认证机构能力建设。加强知识产权保护,加大知识产权侵权行为惩治力度。规范市场招标采购,禁止设立歧视性条款。开展机器人伦理道德和法律法规研究。 第三は、良好な市場環境の構築です。 業界の仕様条件を改善し、導入・採用の取り組みを強化します。 第三者検証・認証機関の能力向上を支援します。 知的財産権の保護を強化し、知的財産権侵害に対する罰則を強化します。 市場での入札・調達を規制し、差別的な条件の設定を禁止します。 ロボットの倫理や法規制に関する調査を行います。
四是健全人才保障体系。支持高校和科研院所培养专业技术和复合型高端人才。推进新工科建设,鼓励校企联合开展产学合作协同育人项目,共建现代产业学院,推行订单培养、现代学徒制等模式,培养产业发展急需人才。实施职业技能提升行动,支持开展企业职工技能提升和转岗转业培训。支持举办各类机器人大赛,加大青少年科普工作力度。 第四は、健全な人材育成システムの改善です。 大学や研究機関が専門的・技術的・複合的なハイエンド人材を育成することを支援します。 新しい工学分野の構築を促進し、学校と企業が共同で産学連携・共同教育プロジェクトを実施することを奨励し、近代工業大学を共同で建設し、オーダートレーニングや近代的な徒弟制度などのモデルを実施し、産業の発展に緊急に必要な人材を育成します。 職業技能向上アクションを実施し、企業の労働者のための技能向上および職業転換トレーニングの開発を支援します。 様々なロボット競技会の開催を支援し、若者に科学を普及させる取り組みを強化します。
五是深化国际交流合作。在技术、标准、检测认证、知识产权、人才培养等领域开展国际交流合作。鼓励国外企业与机构在华设立研发机构、教育培训中心等,支持国内企业在发达国家设立研发机构。充分利用多双边合作机制,推进机器人产品和解决方案“走出去”。 第五は、国際交流・協力の進化です。 技術、規格、試験・認証、知的財産権、人材育成などの分野で、国際的な交流・協力が行われます。 海外の企業や機関が中国に研究開発機関や教育訓練センターなどを設立することを奨励し、国内の企業が先進国に研究開発機関を設立することを支援します。 多国間協力の仕組みを活用し、ロボット製品やソリューションの「外への発信」を促進します。

 

計画本文...

・[PDF] “十四五”机器人产业发展规划 [downloaded]

20211230-72046

目次です。。。

一、现状与形势 1. 現状と状況
二、总体要求 2. 一般要求事項
(一)指导思想 (1) 指導原則
(二)发展目标 (2) 開発目標
三、主要任务 3. 主なタスク
(一)提高产业创新能力 (1) 産業イノベーション能力の向上
(二)夯实产业发展基础 (2) 産業発展の基盤を固める
(三)增加高端产品供给 (3) ハイエンド製品の供給拡大
(四)拓展应用深度广度 (4) アプリケーションの深さと幅の拡大
(五)优化产业组织结构 (5) 産業組織の最適化
四、保障措施 4. セーフガード対策
(一)强化统筹协调推进 (1) 調整と促進の強化
(二)加大财税金融支持 (2) 財政・金融支援の強化
(三)营造良好市场环境 (3) 良好な市場環境の構築
(四)健全人才保障体系 (4) 健全な人材育成システム
(五)深化国际交流合作 (5) 国際交流・協力の深化

 

 ・[DOCX] 仮訳

 

人民日報

2022.12.29 工信部:2035年,机器人成为人民生活重要组成部分 ネットワークセキュリティ・情報化中央委員会が「第14次5ヵ年国家情報化計画」を発表

 

工信部:2035年,机器人成为人民生活重要组成部分 工業情報化部: 2035年までに、ロボットは人々の生活の重要な一部になるだろう
28日,《“十四五”机器人产业发展规划》(以下简称《规划》)发布,工信部举行新闻发布会对其进行了介绍。工信部装备工业一司司长王卫明称,我国已经成为支撑世界机器人产业发展的一支重要力量。 産業・情報技術省は、28日に発表した「ロボット産業発展のための第14次5ヵ年計画」(以下、本計画)を紹介する記者会見を行いました。 工業情報化部機器産業部の王偉明部長は、「中国は世界のロボット産業の発展を支える重要な力になっている」と語りました。
据介绍,我国机器人产业总体规模快速增长,2020年营业收入首次突破1000亿元;技术水平稳步提升,核心部件加速突破,整机性能持续增强;行业应用深入拓展,工业机器人已在国民经济52个行业大类、143个行业中类广泛应用,服务机器人在教育、医疗、农业等领域大显身手,特别是在疫情防控和复工复产过程当中,机器人发挥了重要作用。 それによると、中国のロボット産業の全体的な規模は急速に拡大しており、2020年には事業収益が初めて1,000億元を超え、技術レベルは着実に向上しており、中核部品の躍進が加速し、完成した機械の性能が継続的に向上しています。産業用途は深く拡大しており、産業用ロボットは国民経済の52の産業カテゴリー、143の産業で広く使用されており、サービスロボットは教育、医療、農業などの分野で登場しています。 特に、疫病の予防や制御、仕事や生産の再開の過程では、ロボットが重要な役割を果たしています。
《规划》立足机器人产业高质量发展,从技术、规模、应用、生态等角度提出了未来5年至15年的发展目标,也就是到2025年,我国成为全球机器人技术创新策源地、高端制造集聚地和集成应用新高地。到2035年,我国机器人产业综合实力达到国际领先水平,机器人成为经济发展、人民生活、社会治理的重要组成。 この計画は、ロボット産業の質の高い発展を前提とし、技術、規模、応用、生態の観点から、今後5~15年の発展目標を定めています。すなわち、2025年までに、中国がロボット技術革新の世界的な発信地、ハイエンド製造拠点の集積地、統合的な応用のための新たな高地となることを目指しています。 2035年には、中国のロボット産業の総合力は国際的にも有数のレベルに達し、ロボットは経済発展、人々の生活、社会統治の重要な構成要素となるでしょう。
“到2025年,一批机器人核心技术和高端产品取得突破,整机综合指标达到国际先进水平,关键零部件性能和可靠性达到国际同类产品水平。机器人产业营业收入年均增速超过20%。形成一批具有国际竞争力的领军企业及一大批创新能力强、成长性好的专精特新‘小巨人’企业,建成3个至5个有国际影响力的产业集群。制造业机器人密度实现翻番。”王卫明介绍。 王偉明部長は、「2025年までに、多くのコア・ロボット技術とハイエンド製品が躍進し、機械全体の総合指数が国際的な先進レベルに達し、主要部品の性能と信頼性が類似製品の国際的なレベルに達するでしょう。 ロボット産業の営業利益の年平均成長率は20%を超える。 国際的な競争力を持つ多数の有力企業と、強いイノベーション能力を持ち、良好な成長を遂げている多数の特化した新しい「小さな巨人」企業が形成され、国際的な影響力を持つ3~5の産業クラスターが構築されることになる。 製造業におけるロボットの密度は2倍になる」と述べました。
中国机器人产业联盟执行理事长兼秘书长宋晓刚称,未来机器人应用广泛。例如在特种机器人方面,重点研制水下探测、作业、深海矿产资源开发等水下机器人,安保巡逻、反恐防暴、交通管理、边防管理等安防机器人,消防、应急救援、安全巡检、核工业操作等危险环境作业机器人,检验采样、消毒清洁、辅助巡诊查房、重症护理辅助操作等卫生防疫机器人。 中国ロボット産業アライアンスのエグゼクティブ・ディレクター兼事務局長であるSong Xiaogang氏は、今後のロボットの応用範囲は多岐にわたると述べています。 例えば、特殊ロボットでは、水中探査・作業、深海鉱物資源開発、警備パトロール、反テロ・暴動取締り、交通管理、国境管理などのセキュリティロボット、消防・救急救命、安全検査、原子力産業作業などの危険環境作業ロボット、検査・サンプリング、消毒・洗浄、補助巡回・室内点検、集中治療補助作業などの健康予防ロボットの開発に重点が置かれています。
不过王卫明也指出,与国外先进水平相比,我国机器人产业仍存在着技术积累不足、产业基础薄弱、高端供给缺乏等问题。“比如原创性研究、理论研究、正向设计能力欠缺;关键零部件质量稳定性、可靠性等还不能满足高性能整机的需求;高速、高精、重载等高性能整机产品供给缺乏等。” しかし、王偉明部長は、海外の先進レベルと比較して、中国のロボット産業はまだ技術の蓄積が不十分で、産業基盤が弱く、ハイエンドの供給が不足しているとも指摘しています。 「例えば、独創的な研究、理論的な研究、積極的な設計能力が不足していること、主要部品の品質安定性、信頼性などが高性能完成機のニーズを満たすことができていないこと、高速、高精度、ヘビーデューティーなどの高性能完成機の製品供給が不足していることなどが挙げられる。」
针对我国机器人产业的不足,王卫明称,“十四五”时期为加快提升机器人产业基础能力,《规划》从三个方面作出相关部署。一是补齐产业发展短板。重点补齐专用材料、核心元器件、加工工艺等短板,提升机器人关键零部件的功能、性能和可靠性;开发机器人控制软件、核心算法等,提高机器人控制系统的功能和智能化水平。 中国のロボット産業の欠点を受けて、王維明部長は、「第14次5カ年計画」期間中にロボット産業の基礎能力の向上を加速するために、3つの側面から「計画」を関連して展開すると述べました。 第一に、産業発展の欠点の補完です。 具体的には、特殊素材やコア部品、加工技術の欠点を補い、ロボットの主要部品の機能・性能・信頼性を向上させることや、ロボット制御ソフトウェアやコアアルゴリズムを開発し、ロボット制御システムの機能・知能を向上させることなどが挙げられます。
二是加强标准体系建设。建立全国机器人标准化组织,发挥国家技术标准创新基地(机器人)的技术标准创新作用,持续推进机器人标准化工作;健全机器人标准体系,加快急需标准研究制定,加强标准应用推广;积极参与国际标准化工作。 第二に、標準システムの構築強化です。 国家ロボット標準化組織を設立し、国家技術標準革新基地(ロボット)の技術標準革新の役割を果たし、ロボット標準化を継続的に推進する;ロボット標準システムを改善し、必要性の高い標準の研究開発を加速し、標準の適用と普及を強化する;国際標準化作業に積極的に参加します。
三是提升检测认证能力。鼓励企业加强试验验证能力建设,强化产品检测,提高质量与可靠性;增强机器人检测与评定中心检测能力,满足企业检测认证服务需求;推进中国机器人认证体系建设。 第三に、検査・認証機能の強化です。 企業に対し、試験・検証能力の構築、製品試験の強化、品質・信頼性の向上を促し、ロボット試験・評価センターの試験能力を強化して企業の試験・認証サービスのニーズに応え、中国のロボット認証システムの構築を促進します。 

 

| | Comments (0)

2021.12.21

NIST 意見募集 NISTIR 8403(ドラフト)アクセス制御システムのためのブロックチェーン

こんにちは、丸山満彦です。

NISTが NISTIR 8403(ドラフト)アクセス制御システムのためのブロックチェーンを公表し、意見募集をしていますね。。。

NIST - ITL

・2021.12.20 NISTIR 8403 (Draft) Blockchain for Access Control Systems

NISTIR 8403 (Draft) Blockchain for Access Control Systems NISTIR 8403(ドラフト)アクセス制御システムのためのブロックチェーン
Announcement 発表内容
Protecting system resources against unauthorized access is the primary objective of an access control system. As information systems rapidly evolve, the need for advanced access control mechanisms that support decentralization, scalability, and trust–all major challenges for traditional mechanisms–has grown. 不正なアクセスからシステムリソースを保護することは、アクセス制御システムの主要な目的です。情報システムが急速に進化する中で、分散性、拡張性、信頼性をサポートする高度なアクセス制御メカニズムの必要性が高まっていますが、これは従来のメカニズムにとって大きな課題でした。
Blockchain technology offers high confidence and tamper resistance implemented in a distributed fashion without a central authority, which means that it can be a trustable alternative for enforcing access control policies. This document presents analyses of blockchain access control systems from the perspectives of properties, components, architectures, and model supports, as well as discussions on considerations for implementation. ブロックチェーン技術は、中央機関を介さずに分散して実装され、高い信頼性と耐タンパ性を備えているため、アクセス制御ポリシーを実施するための信頼できる代替手段となり得ます。本報告書では、ブロックチェーンのアクセス制御システムについて、特性、コンポーネント、アーキテクチャ、モデルサポートの観点から分析を行い、実装上の考慮点についても考察しています。
Abstract 概要
The rapid development and wide application of distributed network systems have made network security – especially access control and data privacy – ever more important. Blockchain technology offers features such as decentralization, high confidence, and tamper-resistance, which are advantages to solving auditability, resource consumption, scalability, central authority, and trust issues – all of which are challenges for network access control by traditional mechanisms. This document presents general information for blockchain access control systems from the views of blockchain system properties, components, functions, and supports for access control policy models. Considerations for implementing blockchain AC systems are also included. 分散型ネットワークシステムの急速な発展と幅広い応用により、ネットワークセキュリティ、特にアクセス制御とデータプライバシーの重要性が高まっています。ブロックチェーン技術は、分散性、高い信頼性、耐タンパ性などの特徴を持ち、従来のメカニズムによるネットワークアクセス制御の課題である、監査可能性、リソース消費、拡張性、中央機関、信頼性の問題を解決する上で有利な技術です。本資料では、ブロックチェーンシステムの特性、コンポーネント、機能、アクセス制御ポリシーモデルのサポートなどの観点から、ブロックチェーンアクセス制御システムの一般的な情報を紹介しています。また、ブロックチェーンアクセス制御システムを実装する際の考慮点も記載しています。
 
20211221-50402
Executive Summary エグゼクティブ・サマリー
1. Introduction 1. 序文
2. Blockchain System Components and Advantages for Access Control Systems 2. ブロックチェーンシステムの構成要素とアクセス制御システムの利点
3. Access Control Functions of Blockchain AC Systems 3. ブロックチェーンアクセス制御システムのアクセス制御機能
4. Access Control Model Support 4. アクセス制御モデルのサポート
5. Considerations 5. 考察
6. Conclusion 6. 結論
References 参考文献
List of Figures 図の一覧
Figure 1 – XACML Architecture 図1 - XACMLアーキテクチャ
Figure 2 – Examples of access control function points implemented in blockchain systems 図2 - ブロックチェーンシステムに実装されているアクセス制御ファンクションポイントの例
Figure 3 – Examples of Figure 2d with attribute source options 図3 - 図2dの属性ソースオプションの例
List of Tables 表の一覧
Table 1 Comparison of IoT AC system capabilities for general access control requirements by blockchain and traditional mechanisms enforcing RBAC, ABAC, and CBAC policy models 表1 RBAC、ABAC、CBACのポリシーモデルを実施するブロックチェーンと従来のメカニズムによる一般的なアクセス制御要件に対するIoT アクセス制御システムの機能の比較
Executive Summary  エグゼクティブ・サマリー
Access control is concerned with determining the allowed activities of legitimate users and mediating every attempt by a user to access a resource in the system. The objectives of an access control system are often described in terms of protecting system resources against inappropriate or undesired user access. From a business perspective, this objective could just as well be described in terms of the optimal sharing of information. As current information systems evolve to be more lightweight, pervasive, and interactive network architectures such as Cloud and Internet of Things (IoT), there is need for an access control mechanism to support the requirements of decentralization, scalability, and trust for accessing objects, which is challenging for traditional mechanisms.    アクセス制御とは,正当なユーザの許可された活動を決定し,ユーザがシステム内のリソースにアクセスしようとするすべての試みを仲介することである.アクセス制御システムの目的は、不適切または望ましくないユーザーのアクセスからシステムリソースを保護するという観点から説明されることが多い。ビジネスの観点からは、この目的は、情報の最適な共有という観点からも説明できます。現在の情報システムが、クラウドやIoT(Internet of Things)のように、より軽量で、広汎で、インタラクティブなネットワーク・アーキテクチャに進化するにつれ、従来のメカニズムでは困難な、オブジェクトへのアクセスに対する分散化、拡張性、および信頼性の要件をサポートするアクセス制御メカニズムが必要とされています。  
Blockchains are tamper evident and tamper resistant blocks (digital ledgers) implemented in a distributed fashion (i.e., without a central repository) and usually without a central authority (i.e., a bank, company, or government). It uses replicated, shared, and synchronized digital blocks between the users of a private or public distributed computer network located in different sites or organizations. Blockchain can be utilized for access control systems as a trustable alternative for a single entity/organization or a member of a large-scale system to enforce access control policies. The robust, distributed nature of blockchain technology can address issues in overcoming the limitations of traditional access control systems in a more decentralized and efficient way. It is supported by the following infrastructural properties that are not included in traditional access control mechanisms unless specifically implemented:  ブロックチェーンは、(中央のリポジトリを持たない)分散型で実装され、通常は中央機関(銀行、企業、政府など)を持たない、改ざん防止されたブロック(デジタル台帳)です。ブロックチェーンは、異なるサイトや組織にあるプライベートまたはパブリックの分散型コンピューターネットワークのユーザー間で、複製、共有、同期されたデジタルブロックを使用します。ブロックチェーンは、単一のエンティティ/組織または大規模システムのメンバーがアクセス制御ポリシーを実施するための信頼できる代替手段として、アクセス制御システムに活用することができます。ブロックチェーン技術の堅牢で分散された性質は、従来のアクセス制御システムの限界を克服する上での問題に、より分散された効率的な方法で対処することができます。これは、特別に実装されていない限り、従来のアクセス制御メカニズムには含まれていない以下のインフラ特性によって支えられています。
• Tamper evident and tamper resistant design prevents access control data (i.e., attributes, policy rules, environment conditions, and access request) and access control logs (i.e., request permissions, and previous access control data) from alternation and reduces the probability of frauds.  ・不正開封の跡が明らかになる(Tamper evident)および不正開封に対抗しえる(Tamper resistant)設計により、アクセス制御データ(属性、ポリシールール、環境条件、アクセス要求など)とアクセス制御ログ(要求許可、過去のアクセス制御データなど)の改竄を防ぎ、不正の可能性を低減することができる。
• Decentralized control of authorization processing and the storage of access control data/logs has no single point of failure, thus providing more system tolerance and availability.  ・認証処理とアクセス制御データ/ログの保存を分散制御することで単一障害点がないため、システムの耐性と可用性が向上する。
• The traceability of blocks allows access control data/logs and system states to be seen and tracked.   ・ブロックのトレーサビリティーによりアクセスコントロールデータ/ログやシステムの状態を見て追跡することができる。
• The execution of arbitrary programs in smart contracts allows for controls on distributed access control data and authorization processes.   ・スマートコントラクトで任意のプログラムを実行することにより、分散したアクセス制御データや認可プロセスの制御が可能になる。 
• Consensus mechanisms and protocols regulate the participating access control entities/organizations jointly in determining policy rules through blocks or smart contracts.   ・コンセンサス機構やコンセンサス・プロトコルはブロックやスマートコントラクトを通じてポリシー・ルールを決定する際に参加するアクセス・コントロール・エンティティ/組織を共同で規制する。

| | Comments (0)

2021.12.09

英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

こんにちは、丸山満彦です。

英国は、スマートフォン、スマート◯◯◯といった、インターネットに接続する製品(PCは対象外)について

1. デフォルトパスワードの禁止

2. 脆弱性開示ポリシーの義務付け

3. セキュリティアップデートを受ける期間に関する情報開示の義務付け

を要求する製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案を提出していますね。。。

メーカーだけでなく、輸入業者も対象のようです。。。

違反者には、最高1000万ポンドまたは世界売上の4%の罰金が課されるという感じですね。。。

 

法案はこちら。。。

● U.K. Parliament

Product Security and Telecommunications Infrastructure Bill

・2021.11.24 [PDF]

20211209-55728

 

英国政府のプレス発表等

U.K. Government - Department for Digital, Culture, Media & Sport

・2021.11.24 (Press) New cyber laws to protect people’s personal tech from hackers

New cyber laws to protect people’s personal tech from hackers ハッカーから個人所有の機器を守る新しいサイバー法の制定について
Consumers will be better protected from attacks by hackers on their phones, tablets, smart TVs, fitness trackers and other internet-connectable devices thanks to a new world-leading law introduced today by the government. 本日、政府が発表した世界最先端の新法により、消費者は、携帯電話、タブレット、スマートテレビ、フィットネストラッカー、その他のインターネット接続可能な機器に対するハッカーの攻撃から、よりよく保護されることになります。
・Bill to better protect people’s smartphones, TVs, speakers, toys and other digital devices from hackers ・スマートフォン、テレビ、スピーカー、玩具などのデジタル機器をハッカーから守るための法案です。
・Will prevent the sale of consumer connectable products in the UK that do not meet baseline security requirements ・基本的なセキュリティ要件を満たしていない消費者向けの接続可能な製品の英国内での販売を阻止する。
・Comes as research shows four in five manufacturers of connectable products do not implement appropriate security measures ・調査によると、接続可能な製品のメーカーの5社中4社が適切なセキュリティ対策を実施していません。
・Includes plans for fines up to £10 million or up to 4 per cent of global revenue for firms failing to comply ・コンプライアンスに違反した企業には、最高1,000万ポンドまたは全世界の売上高の4%までの罰金が科せられる予定です。
A new law will require manufacturers, importers and distributors of digital tech which connects to the internet or other products to make sure they meet tough new cyber security standards - with heavy fines for those who fail to comply. インターネットに接続するデジタル機器やその他の製品の製造業者、輸入業者、販売業者に対して、厳しいサイバーセキュリティ基準を満たすことを義務付ける法律が新たに制定され、これに従わない企業には重い罰金が科せられます。
The Product Security and Telecommunications Infrastructure Bill (PSTI), introduced to Parliament today, will allow the government to ban universal default passwords, force firms to be transparent to customers about what they are doing to fix security flaws in connectable products, and create a better public reporting system for vulnerabilities found in those products. 本日、国会に提出された「製品セキュリティおよび通信インフラ法案」(PSTI)により、政府は、ユニバーサルデフォルトパスワードの禁止、接続可能な製品のセキュリティ上の欠陥を修正するために企業が行っていることの顧客への透明性の確保、およびこれらの製品に発見された脆弱性のより良い公開報告システムの構築を行うことができます。
The Bill will also speed up the roll out of faster and more reliable broadband and mobile networks by making it easier for operators to upgrade and share infrastructure. The reforms will encourage quicker and more collaborative negotiations with landowners hosting the equipment, to reduce instances of lengthy court action which are holding up improvements in digital connectivity. また、事業者によるインフラのアップグレードや共有を容易にすることで、より高速で信頼性の高いブロードバンドおよびモバイルネットワークの展開を加速させます。この改革により、機器を設置している土地所有者との交渉が迅速かつ協力的に行われるようになり、デジタル接続の改善を妨げている長引く裁判の事例を減らすことができます。
Minister for Media, Data and Digital Infrastructure Julia Lopez said: ジュリア・ロペス メディア・データ・デジタルインフラ担当大臣は次のように述べています。
”Every day hackers attempt to break into people’s smart devices. Most of us assume if a product is for sale, it’s safe and secure. Yet many are not, putting too many of us at risk of fraud and theft.” 「ハッカーは毎日のように人々のスマートデバイスへの侵入を試みています。私たちの多くは、製品が販売されていれば、それは安全でセキュアなものだと思っています。しかし、多くの製品は安全ではなく、多くの人々が詐欺や窃盗の危険にさらされています。」
”Our Bill will put a firewall around everyday tech from phones and thermostats to dishwashers, baby monitors and doorbells, and see huge fines for those who fall foul of tough new security standards.” 「私たちの法案は、電話、サーモスタット、食器洗浄機、ベビーモニター、ドアベルなど、日常的に使われているハイテク製品にファイアウォールを設置し、厳しい新セキュリティ基準に違反した者には巨額の罰金を科すものです。」
The ownership and use of connected tech products has increased dramatically in recent years. On average there are nine in every UK household, with forecasts suggesting there could be up to 50 billion worldwide by 2030. People overwhelmingly assume these products are secure, but only one in five manufacturers have appropriate security measures in place for their connectable products. 近年、コネクテッドテクノロジー製品の所有と使用は劇的に増加しています。英国の各家庭には平均して9台が設置されており、2030年には世界で500億台に上ると予測されています。人々はこれらの製品が安全であると考えていますが、接続可能な製品に適切なセキュリティ対策を施しているメーカーは5社に1社しかありません。
Cyber criminals are increasingly targeting these products. A recent investigation by Which? found a home filled with smart devices could be exposed to more than 12,000 hacking or unknown scanning attacks from across the world in a single week. サイバー犯罪者がこれらの製品を狙うケースも増えています。Which? が最近行った調査によると、スマートデバイスで満たされた家庭は、1週間で世界中から12,000以上のハッキングや未知のスキャン攻撃にさらされる可能性があります。
And, in the first half of 2021, there were 1.5 billion attempted compromises of Internet of Things (IoT) devices, double the 2020 figure. The UK’s National Cyber Security Centre last week revealed it had dealt with an unprecedented number of cyber incidents over the past year. また、2021年上半期には、モノのインターネット(IoT)機器への危害の試みが15億件あり、2020年の2倍となっています。英国の国立サイバーセキュリティセンターは先週、過去1年間で前例のない数のサイバーインシデントに対処したことを明らかにしました。
Currently the makers of digital tech products must comply with rules to stop them causing people physical harm from issues such as overheating, sharp components or electric shock. But there is no regulation to protect consumers from harm caused by cyber breaches, which can include fraud and theft of personal data. 現在、デジタル技術製品のメーカーは、過熱、鋭利な部品、感電などの問題によって人々に物理的な損害を与えることを防止するための規則を遵守しなければなりません。しかし、詐欺や個人情報の窃盗など、サイバー犯罪による被害から消費者を守るための規制はありません。
The PSTI Bill will counter this threat by giving ministers new powers to bring in tougher security standards for device makers. This includes: PSTI法案は、このような脅威に対抗するため、機器メーカーに対してより厳しいセキュリティ基準を導入するための新たな権限を閣僚に与えるものです。これには以下が含まれます。
・A ban on easy-to-guess default passports that come preloaded on devices - such as ‘password’ or ‘admin’ - which are a target for hackers. All passwords that come with new devices will need to be unique and not resettable to any universal factory setting. ・ハッカーの標的となる「password」や「admin」など、デバイスにあらかじめ設定されている推測しやすいデフォルトのパスポートを禁止すること。新しい機器に搭載されるすべてのパスワードは一意でなければならず、工場出荷時の普遍的な設定にリセットすることはできません。
・A requirement for connectable product manufacturers to tell customers at the point of sale, and keep them updated, about the minimum amount of time a product will receive vital security updates and patches. If a product does not come with security updates that must be disclosed. This will increase people’s awareness about when the products they buy could become vulnerable so they can make better informed purchasing decisions. Nearly 80 per cent of these firms do not have any such system in place. ・接続可能な製品のメーカーは、製品が重要なセキュリティアップデートやパッチを受け取る最低期間を販売時に顧客に伝え、常に最新の情報を提供する必要があります。また、セキュリティアップデートが提供されない製品については、その旨を開示すること。これにより、購入した製品にいつ脆弱性が生じるかについて人々の意識が高まり、より多くの情報を得た上で購入の意思決定を行うことができるようになります。これらの企業の約80%は、そのようなシステムを導入していません。
・New rules that require manufacturers to provide a public point of contact to make it simpler for security researchers and others to report when they discover flaws and bugs in products ・セキュリティ研究者やその他の人々が製品の欠陥やバグを発見した際の報告を容易にするために、メーカーに公的な連絡先を提供することを義務付ける新規則
The Bill places duties on in-scope businesses to investigate compliance failures, produce statements of compliance, and maintain appropriate records of this. 法案では、対象となる企業に対して、コンプライアンス違反を調査し、コンプライアンスに関する声明を作成し、これに関する適切な記録を維持する義務を課しています。
This new cyber security regime will be overseen by a regulator, which will be designated once the Bill comes into force, and will have the power to fine companies for non-compliance up to £10 million or four per cent of their global turnover, as well as up to £20,000 a day in the case of an ongoing contravention. この新たなサイバーセキュリティ体制は、法案の施行後に指定される規制当局によって監督され、コンプライアンス違反を犯した企業に対して、最高1,000万ポンドまたは全世界の売上高の4%、継続的に違反している場合は1日あたり最高2万ポンドの罰金を科す権限を有します。
The regulator will also be able to issue notices to companies requiring that they comply with the security requirements, recall their products, or stop selling or supplying them altogether. As new threats emerge or standards develop, ministers will have the power to mandate further security requirements for companies to follow via secondary legislation. また、規制当局は、企業に対して、セキュリティ要件の遵守、製品の回収、または製品の販売・供給の全面的な停止を求める通知を発行することができるようになります。新たな脅威の発生や基準の策定に伴い、大臣は二次的な法律によって企業にさらなるセキュリティ要件を義務付ける権限を有します。
The new laws will apply not only to manufacturers, but also to other businesses including both physical shops and online retailers which enable the sale of millions of cheap tech imports into the UK. この新しい法律は、メーカーだけでなく、英国で何百万もの安価な輸入技術製品の販売を可能にしている実店舗やオンライン小売店など、その他の企業にも適用されます。
Retailers will be forbidden from selling products to UK customers unless they meet the security requirements and will be required to pass important information about security updates on to customers. 小売業者は、セキュリティ要件を満たしていない製品を英国の顧客に販売することを禁じられ、セキュリティアップデートに関する重要な情報を顧客に提供することが求められることになります。
The Bill applies to ‘connectable’ products, which includes all devices that can access the internet - such as smartphones, smart TVs, games consoles, security cameras and alarm systems, smart toys and baby monitors, smart home hubs and voice-activated assistants and smart home appliances such as washing machines and fridges. この法案は、スマートフォン、スマートテレビ、ゲーム機、防犯カメラやアラームシステム、スマートトイやベビーモニター、スマートホームハブや音声認識アシスタント、洗濯機や冷蔵庫などのスマート家電など、インターネットにアクセスできるすべての機器を含む「接続可能な」製品に適用されます。
It also applies to products that can connect to multiple other devices but not directly to the internet. Examples include smart light bulbs, smart thermostats and wearable fitness trackers. また、他の複数の機器に接続できるが、インターネットには直接接続できない製品にも適用されます。例えば、スマート電球、スマートサーモスタット、ウェアラブル・フィットネストラッカーなどです。
NCSC Technical Director Dr Ian Levy, said: NCSCテクニカルディレクターのイアン・レヴィ博士は次のように述べています。
"I am delighted by the introduction of this bill which will ensure the security of connected consumer devices and hold device manufacturers to account for upholding basic cyber security." 「この法案が導入されたことで、接続された消費者機器のセキュリティを確保し、機器メーカーに基本的なサイバーセキュリティを守る責任を負わせることができるようになり、大変嬉しく思います。」
"The requirements this bill introduces – which were developed jointly by DCMS and the NCSC with industry consultation – mark the start of the journey to ensure that connected devices on the market meet a security standard that’s recognised as good practice." 「本法案が導入する要件は、DCMSとNCSCが業界の協議を経て共同で策定したもので、市場に流通するコネクテッドデバイスがグッドプラクティスと認められるセキュリティ基準を満たすようにするための第一歩となります。」
Just one vulnerable device can put a user’s network at risk. In 2017, attackers infamously succeeded in stealing data from a North American casino via an internet-connected fish tank. In extreme cases hostile groups have taken advantage of poor security features to access people’s webcams. 脆弱なデバイスが1台あるだけで、ユーザーのネットワークは危険にさらされます。2017年には、インターネットに接続された水槽を経由して北米のカジノからデータを盗み出すことに成功した攻撃者が有名です。極端な例では、敵対的なグループがセキュリティ機能の低さを利用して人々のウェブカムにアクセスしたこともあります。
The government intends to exempt some products - for instance, where it would subject them to double regulation or not lead to material improvements in product or user security. This includes vehicles, smart meters, electric vehicle charging points and medical devices. 政府は、二重規制の対象となる場合や、製品やユーザーのセキュリティの実質的な向上につながらない場合など、一部の製品を除外する方針です。対象となるのは、自動車、スマートメーター、電気自動車用充電ポイント、医療機器などです。
Desktop and laptop computers are not in scope because they are served by a mature antivirus software market, unlike smart speakers and other emerging consumer tech. Operating systems on laptops and PCs already include security features which means they are not subject to the same threats and risks. デスクトップPCやラップトップPCは、スマートスピーカーなどの新興消費財とは異なり、成熟したウイルス対策ソフトウェア市場で提供されているため、対象外となります。ノートパソコンのOSにはすでにセキュリティ機能が搭載されているため、同じような脅威やリスクにさらされることはありません。
Second-hand connectable products will be exempt due to the impractical obligations that including them would put on consumers and businesses disproportionate to the likely benefits. However, the Bill gives ministers powers to extend the scope of the Bill as cyber threats and risks change in future. 中古の接続可能な製品については、それらを含めることで消費者や企業に課せられる義務が非現実的であり、想定される利益と釣り合わないため、除外されます。ただし、本法案は、サイバー脅威やリスクの変化に応じて、法案の範囲を拡大する権限を閣僚に与えています。
Owners of consumer connectable products are encouraged to take action to ensure that they are using their devices safely, including following Cyber Aware guidance on improving online security. NCSC has also published guidance on using smart devices safely in the home. 消費者向けの接続可能な製品の所有者は、オンラインセキュリティの向上に関するCyber Aware社のガイダンスに従うなど、機器を安全に使用するための行動をとることが推奨されます。NCSCは、家庭内でのスマートデバイスの安全な使用に関するガイダンスも発表しています。
Rocio Concha, Which? Director of Policy and Advocacy, said: 政策・支持担当ディレクターのロシオ・コンチャは次のように述べています。
"Which? has worked with successive governments on how to crack down on a flood of poorly-designed and insecure products that leave consumers vulnerable to cyber-criminals – so it is positive that this Bill is being introduced to parliament." 「Which? は歴代政府と協力して、サイバー犯罪者に対して消費者を無防備にするような、デザイン性に欠けた安全性の低い製品の氾濫を取り締まる方法を検討してきましたので、今回の法案が議会に提出されることは喜ばしいことです。」
"The government needs to ensure these new laws apply to online marketplaces, where Which? has frequently found security-risk products being sold at scale, to prevent people from buying smart devices that leave them exposed to scams and data breaches." 「政府は、この新しい法律をオンラインマーケットプレイスにも適用し、人々が詐欺やデータ侵害にさらされるスマートデバイスを購入しないようにする必要があります。」
Telecoms infrastructure reforms 電気通信インフラの改革
Today the government also published its response to a consultation on proposed changes to the Electronic Communications Code (ECC). 本日、政府は、Electronic Communications Code (ECC)の変更案に関するコンサルテーションへの回答も発表しました。
Telecoms operators and landowners are experiencing difficulties when negotiating requests for rights to install, use and upgrade telecoms infrastructure. These issues have slowed down the roll out of better mobile and broadband coverage for some homes and businesses, with negotiations taking longer than they should and some cases ending up tangled in lengthy and costly court proceedings. 通信事業者と土地所有者は、通信インフラの設置、使用、アップグレードのための権利要求について交渉する際に困難を感じています。これらの問題は、一部の家庭や企業における携帯電話やブロードバンドの普及を遅らせる原因となっており、交渉には必要以上の時間がかかり、中には時間と費用のかかる裁判にまで発展してしまうケースもあります。
Further problems include landowners failing to reply to requests to access land for network deployment, and strict limitations on operators’ ability to upgrade and share their equipment which are stopping existing networks being used as efficiently as possible. さらに、土地所有者がネットワーク展開のための土地への立ち入りを要求しても応じてくれないことや、事業者が機器をアップグレードしたり共有したりすることを厳しく制限していることなどが、既存のネットワークを可能な限り効率的に利用することを妨げています。
The PSTI Bill will tackle many of these issues through a range of measures designed to foster more collaborative and quicker negotiations, and better working relationships between mobile network operators and landowners. This includes: PSTI法案は、携帯電話事業者と土地所有者がより協力的で迅速な交渉を行い、より良い関係を築くことを目的とした様々な措置を講じることで、これらの問題の多くに対処します。これには以下が含まれます。
・A new requirement for telecoms operators to consider the use of Alternative Dispute Resolution (ADR) - a way of resolving disputes that does not involve going to court such as mediation or arbitration - in cases where there are difficulties in agreeing terms. Operators will also be required to explain the availability of ADR as an option in their notices to landowners. ・通信事業者は、条件の合意が困難な場合、ADR(Alternative Dispute Resolution:調停や仲裁などの裁判によらない紛争解決方法)の利用を検討することを新たに義務付ける。また、事業者は土地所有者への通知の中で、オプションとしてADRの利用が可能であることを説明することが求められます。
・New automatic rights for operators to upgrade and share underground infrastructure - such as fibre optic cables - which were installed prior to the 2017 Code reforms and are not currently covered. This is in cases where there will be no impact on private land or burden on the site provider. ・2017年のコード改革以前に設置され、現在はカバーされていない光ファイバーケーブルなどの地下インフラをアップグレードしたり共有したりする事業者の新たな自動権利。これは、私有地への影響やサイト提供者への負担がない場合のものです。
・New rules to allow operators to apply for time-limited access to certain types of land more quickly where a landowner does not respond to repeated requests for permission. ・土地所有者が何度も許可を求めても応じない場合に、事業者が特定の種類の土地への期間限定のアクセスをより迅速に申請できるようにする新規定。
・New provisions to speed-up negotiations for renewal agreements. Operators who already have infrastructure installed under an expired agreement will have the right to either renew it on similar terms to those for new agreements, or request a new one. ・更新契約の交渉を迅速に行うための新たな規定。期限切れの契約に基づいて既にインフラを設置している事業者は、新規契約と同様の条件で契約を更新するか、新たな契約を要求する権利を有します。
The measures are vital for the government-led £1 billion Shared Rural Network which will roll out fast and reliable 4G coverage to 95 per cent of UK landmass, as well as hitting the government’s target of 85 per cent gigabit-capable broadband coverage by 2025 and for the majority of the population to be in reach of a 5G network by 2027. 今回の措置は、政府が主導する10億ポンド規模の「Shared Rural Network」にとって不可欠なものです。このネットワークは、英国の国土の95%に高速で信頼性の高い4Gサービスを提供するほか、2025年までに85%のギガビット対応ブロードバンドサービスを提供し、2027年までに人口の大部分が5Gネットワークに接続できるようにするという政府の目標を達成するためにも必要です。
ENDS ENDS
Notes to Editors: 編集者への注釈
The government has also today published its response to a Call for Evidence on the Access to Infrastructure Regulations which includes measures to make existing regulations easier to use and amend in future. また、政府は本日、インフラアクセス規制に関する意見募集への回答を発表しました。この回答には、既存の規制をより使いやすくし、将来的に修正しやすくするための方策が含まれています。
The security requirements that relate to the powers set out in Part 1 of the Bill are to be introduced in regulations and are based on the 2018 Code of Practice for Consumer Internet of Things Security and the European Standard on Internet of Things Security, ETSI EN 303 645, which include thirteen outcome-focused guidelines that are widely considered good practice in IoT security. 法案の第1部で定められた権限に関連するセキュリティ要件は、規制で導入される予定であり、IoTセキュリティのグッドプラクティスとして広く考えられている13のアウトカムに焦点を当てたガイドラインを含む「2018 Code of Practice for Consumer Internet of Things Security」と「European Standard on Internet of Things Security, ETSI EN 303 645」に基づいています。

 

・2021.11.24 Collection The Product Security and Telecommunications Infrastructure (PSTI) Bill - factsheets

・2021.11.24 Guidance The Product Security and Telecommunications Infrastructure (PSTI) Bill – product security factsheet

・2021.11.24 Guidance The Product Security and Telecommunications Infrastructure (PSTI) Bill - telecoms infrastructure factsheet

 

| | Comments (0)

カナダ プライバシー保護委員会 「インターネットつながったおもちゃ」による遊びをより安全に

こんにちは、丸山です。

カナダのプライバシー保護委員会がクリスマスのシーズンにあわせて、「インターネットつながったおもちゃ」による遊びをより安全にするためのヒントを公開していますね。。。

 

1. あなた自身でプライバシーについての設定がどのようになっているのか調べる

2. おもちゃのセキュリティを保護する設定にする

3. パスワード等を共有しない

4. おもちゃを使わないときはWiFiやBlue Toothを切る

5. プライバシー保護の重要性について子供と話す

という感じですかね。。。まぁ、インターネットにつながったおもちゃは、IoTですからね。。。

 

Office of the Privacy Commissoner of Canada

・2021.12.02 Making playtime safer in the Internet of Toys

 

Making playtime safer in the Internet of Toys 「インターネットつながったおもちゃ」による遊びをより安全に
Santa’s elves are pretty tech-savvy these days. Many of the toys on children’s wish lists this year, from dolls and trucks to robots and building blocks require a connection to the internet to operate certain features. Connected toys are marketed as offering an interactive world of opportunity for growth, education, and, yes, play. 最近のサンタの妖精はかなりハイテクに精通しています。人形やトラック、ロボットや積み木など、今年の子どもたちの欲しいものリストに載っているおもちゃの多くは、特定の機能を動かすためにインターネットへの接続を必要としています。インターネットにつながったおもちゃは、成長、教育、そしてもちろん遊びの機会を提供するインタラクティブな世界を提供するものとして販売されています。
This means toy safety is now about more than whether they break too easily or are age-appropriate. Connected toys raise new risks including the possibility that hackers could collect sensitive information your child has shared with the toy – such as their name, their school or location. Unsecured cameras or microphones could allow bad actors to watch or listen to your child – or to gather information about your family’s location and movements. つまり、おもちゃの安全性は、簡単に壊れるかどうか、年齢に合っているかどうかだけではないということです。インターネットにつながったおもちゃには新たなリスクがあります。たとえば、子どもがおもちゃと共有した名前、学校、所在地などの機密情報がハッカーに収集される可能性があります。保護されていないカメラやマイクによって、悪意のある人が子どもを見たり聞いたり、家族の居場所や行動に関する情報を収集する可能性もあります。
The connected toy market had sales of $7.6 billion US in 2020. It is expected to grow over the next five years, according to a report from Mordor Intelligence. These tech toys are part of the Internet of Things – which describes the physical devices that collect and share data to the internet, from gadgets like fitness trackers to the increasing number of security cameras and home digital assistants. インターネットにつながったおもちゃ市場は、2020年に76億米ドルの売上を記録しました。Mordor Intelligence社のレポートによると、今後5年間で成長が見込まれています。これらのハイテク玩具は、Internet of Things(IoT)の一部です。IoTとは、データを収集してインターネットに共有する物理的なデバイスのことで、フィットネストラッカーのようなガジェットから、増加しているセキュリティカメラや家庭用デジタルアシスタントまでを指します。
As with the Internet of Things, there are relatively simple steps you can take to safeguard your child’s and your family’s privacy on the Internet of Toys. IoTと同様に、「インターネットにつながったおもちゃ」における子供や家族のプライバシーを守るために、比較的簡単な方法があります。
Here are some tips: 以下にそのヒントを示します。
1. Do your research – Read the manufacturer’s privacy policy to find out what information will be collected and how it will be used, as well as who will see it. Are there ways to limit the information that is collected – and will you be able to delete any of that information? Be wary of companies offering products and services with incomplete information, or none at all. If you aren’t comfortable with the information you find, contact the company for further information. If you are still not satisfied, don’t purchase or use the product or service. Also, look for reviews of the product – what are people saying about it? 1. あなた自身で調べる - メーカーのプライバシーポリシーを読み、どのような情報が収集され、どのように使用されるのか、また誰がそれを見るのかを確認する。収集される情報を制限する方法はあるのか、また、その情報を削除することはできるのか。情報が不完全なまま、あるいはまったくない状態で製品やサービスを提供する企業には注意が必要です。見つけた情報に納得がいかない場合は、その会社に連絡して詳細を確認してください。それでも満足できない場合は、その製品やサービスを購入したり使用したりしないようにしましょう。また、その製品についてのレビューを探してみてください - 人々はそれについてどのように言っているのでしょうか?
2. Secure the device – Check online for directions on how to create a guest network on your router for Internet of Things devices to reduce the impact if you are hacked. If the guest network has additional options for “isolate,” ensure that this option is checked (and conversely, if there is an option for sharing, such as “Permit Access,” ensure that it is unchecked). Change the default password on the device if there is one – these are often widely known and easily accessed by hackers. Add a password if the device doesn’t have one, and change the device’s default user name and PIN whenever possible. If you need to create an online account to use the toy, use a unique password, and only share the information that’s required. (See our Tips for creating and managing passwords.) Finally, ensure your router’s firmware is up-to-date. This can be accomplished in the configuration page of the router, and/or by visiting the manufacturer’s website. 2. デバイスのセキュリティを確保する - ハッキングされた場合の影響を軽減するために、IoTデバイス用のルーターにゲストネットワークを作成する方法をオンラインで確認してください。ゲストネットワークに「隔離」の追加オプションがある場合は、このオプションがチェックされていることを確認してください(逆に「アクセスを許可」などの共有のオプションがある場合は、チェックが外れていることを確認してください)。デバイスにデフォルトのパスワードがある場合は、それを変更しましょう。これらのパスワードは広く知られていることが多く、ハッカーが容易にアクセスできます。パスワードが設定されていない場合は、パスワードを追加し、デバイスのデフォルトのユーザー名とPINを可能な限り変更します。おもちゃを使うためにオンラインアカウントを作成する必要がある場合は、固有のパスワードを使用し、必要な情報のみを共有してください。(最後に、ルーターのファームウェアが最新のものであることを確認してください。)これは、ルーターの設定ページやメーカーのウェブサイトで確認することができます。
3. Don’t share identifying information: Use a pseudonym for your child and don’t provide his or her real birth date. Disable location trackers if possible. 3. 識別情報を共有しない。子供の名前は偽名にして、実際の生年月日は教えないようにしましょう。可能であれば、位置情報トラッカーを無効にしましょう。
4. Turn off WiFi and Bluetooth when you’re not using the toys. Turn off cameras and microphones when the toys are not in use. 4. おもちゃを使用しないときは、WiFiとBluetoothをオフにします。おもちゃを使用していないときは、カメラやマイクをオフにします。
5. Talk to your kids about privacy and the importance of not sharing too much information. 5. プライバシーと、情報を共有しすぎないことの重要性について、子供と話をしてください。
For more detailed information, read our tips for using smart devices, and check out our tips for talking with your child about online privacy. より詳しい情報は、スマートデバイスを使用する際のヒントをご覧ください。また、オンラインプライバシーについてお子さまと話す際のヒントもご覧ください。

 

1_20210814024401

| | Comments (0)

2021.12.08

自動車業界のセキュリティ PwC Japan J-Auto-ISAC サポートセンター長 中島氏に聞く「自動車業界全体のセキュリティ意識向上にむけて」

こんにちは、丸山満彦です。

このブログは、商業的と思われたくないので、営利団体の記事の紹介はあまりしてこなかったのですが、(気づいた範囲で)気になったものは紹介したいなと思いました。企業にこだわりなく。。。

ということで、、、

J-Auto-ISAC サポートセンター長 中島さんとの対談です。。。

● PwC Japan

・2021.12.07 J-Auto-ISAC サポートセンター長 中島氏に聞く「自動車業界全体のセキュリティ意識向上にむけて」

 ・日本版「Auto-ISAC」が不可欠だった理由

 ・車両サイバーセキュリティは自動車業界全体で取り組む課題

 ・MaaS事業者にもサイバーセキュリティ意識は不可欠

 ・「Bean to Bar」に学ぶトレーサビリディの重要性

 

参考になることがあればうれしいです(^^)

 

Fig1_20211208050401

 

ーーーーーー

特別対談シリーズ

・2021.08.02 慶應義塾大学土屋教授と語る「サイバー空間における国家安全保障」

・2021.05.13 経団連 梶浦氏と語る サプライチェーンセキュリティにどう取り組むか―今こそ求められるサイバーインテリジェンス

・2021.02.03 経済産業省 奥家氏が語る 「Society 5.0」時代のセキュリティリスクと対策の今【後編】

・2021.01.27 経済産業省 奥家氏が語る 「Society5.0」時代のセキュリティリスクと対策の今【前編】

・2021.01.19 電事連 大友氏に聞く、新時代の電力業界とサイバーセキュリティ【後編】

・2021.01.12 電事連 大友氏に聞く、新時代の電力業界とサイバーセキュリティ【前編】

 

カメラマンがよく、みなさんとても表情がよいですよね。。。

 

| | Comments (0)

2021.12.07

日本企業のセキュリティの状況の調査 PwC 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換

こんにちは、丸山満彦です。

PwCジャパンが日本企業のセキュリティの状況の調査をしています。。。

 

● PwC Japan

・2021.12.07 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換


日本のセキュリティリーダーを対象に実施した2021年のCyber IQ調査では、セキュリティ戦略・計画、体制、投資、サプライチェーン、脅威インテリジェンス、プライバシーなどの分野に関して、現在と3年後について実態を探りました。


という話です。。。

NTTのCISOの横浜執行役員、MS&ADの松田部長、経済産業省サイバーセキュリティ課の奥田課長等のコメントも興味深いです。。。

 


「機先を制する」ためには、テクニカル、ノンテクニカルの両方の情報をベースにし、いずれ求められることを先読みし「ready」にしておくということが求められるのではないでしょうか。レベルを一段あげるわけですから、当然投資やリソースが必要になります。経営の意思がないとできません。リーダーがどれだけ引っ張っていけるかが鍵を握るでしょう。

横浜 信一 氏NTT執行役員 Chief Information Security Officer セキュリティ・アンド・トラスト室長
...

経営層は攻撃者の狙いを把握し、「自社にとっての脅威は何か」を見極め、予算の配分や対策の最終的な判断を実施しなければなりません。セキュリティ担当者は、経営層が攻撃ターゲットの違いや脅威トレンドの変化を理解し、「どこにどれだけの予算を配分するか、どのような対策を講じるか」を判断できる情報を提供する必要があると考えます。

松澤 寿典 氏MS&ADインシュアランスグループホールディングス データマネジメント部長/三井住友海上 データマネジメント部長
...

技術的な観点からサイバー脅威を解説し、どのような対策を講じるべきか注意喚起を促す情報は多く存在します。しかし、経営者が知りたいのは、サイバー攻撃の手法や技術的な詳細ではありません。経営者にとって重要なのは、サイバー脅威が自社のビジネス継続性や信用、知的財産に対してどの程度のダメージを与え、どう対応するかなのです。

奥田 修司 氏経済産業省 商務情報政策局 サイバーセキュリティ課長

 

参考になるところがあると思います。。。

・[PDF]  

20211207-173738

 

目次はこんな感じ...

はじめに

1. 日本企業のサイバーセキュリティを取り巻く変化の潮流
 デジタル化されたビジネスとITのサプライチェーンのつながり
 コロナをきっかけに加速したゼロトラスト
 「多重恐喝型のランサムウェア」の台頭
 成熟化するサイバー攻撃ビジネス
 レジリエンス志向が進むも道半ば

2. 機先を制するセキュリティへの転換
 機先を制するセキュリティの実現に向けた具体的なアクション
 先進企業インタビュー

3. 2021年 日本企業セキュリティ実態

おわりに

 


| | Comments (0)

より以前の記事一覧