IoT

2022.06.29

メタバースのシステム構成論(佐藤一郎教授の資料 at 総務省 情報通信法学研究会AI分科会(令和4年度第1回会合))

こんにちは、丸山満彦です。

昨日は、欧州議会のThink Tankによるメタバース:機会、リスク、政策への影響について載せましたが、今日は総務省情報通信法学研究会AI分科会(令和4年度第1回会合)の佐藤一郎教授(構成員)のメタバースのシステム構成論です。。。

技術進歩とともに、できることが増えることにより、その結果は良い面にも悪い面にも影響を及ぼす、だからどのような政策が必要かというのが昨日の話ですが、そもそも技術の限界はどのようなものかというのが、今回の佐藤先生の資料から見えてくる部分もあるように思います。

これは読む価値があると思います。。。

個人的には、技術進歩により変わってきている一つの要素に没入感があると思います。演算速度、通信速度が高まり、現実に近い画像解像度、音質を3D的に表現しつつ他人とインタラクティブにコミュニケーションができるようになったきたということですね。。。(と言っても、視覚と聴覚だけですが。。。)

それ以外は既に歴史を振り返って検証すればわかることが多いのではないかと思っています。。。(それも佐藤先生の資料にありますが、、、)

そういう意味では、健康や心理的な側面の検討をより進める必要があるのかもしれません。。。

そして当面は、仮想社会ができても、現実社会との紐付けからは逃れられないようにする必要があるようのではないかと思います。つまり、KYC的なものは必要ということになると思います。。。(人類が仮想空間で過ごす時間が現実空間で過ごす時間より増えても、KYC的なものが必要なのは変わらないのであれば、常に必要ということかもしれない。)

ということで、当面の利用は、少人数による管理された環境下(例えば企業内でのコミュニケーション、会員間でのゲームやシミュレーション等)で使われるのが現実的なのかもしれません。。。

とはいえ、プラットフォーマの手数料も含めたシステム開発費、運用費の負担に比した利用のメリットがどれだけあるのか???ということを現実的に突き詰めていく頃には、どのようなものが残っているのかというのは興味があります。。。(もちろん、技術進歩により、同じ性能における開発費や運用費も下がっていくでしょうし。。。)

 

総務省  - 情報通信法学研究会 Fig1_20220629050001

・2022.06.29 情報通信法学研究会AI分科会(令和4年度第1回会合) 

[PDF] 資料1         佐藤構成員発表資料

20220629-45813


[PDF] 資料2         成原構成員解説資料
[PDF] 参考資料1 情報通信法学研究会開催要綱
[PDF] 参考資料2 情報通信法学研究会分科会構成
[PDF] 参考資料3 学術雑誌『情報通信政策研究』第6巻第1号の特集について


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2022.06.09 新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針2022

 

 

| | Comments (0)

2022.06.28

欧州議会 Think Tank メタバース:機会、リスク、政策への影響

こんにちは、丸山満彦です。

欧州議会のThink Tankが、メタバースをめぐる、機会、リスク、政策への影響について考察したレポートを公表していますね。。。

メタバースというか、仮想現実、拡張現実を利用し、没入感を高めたデジタル環境において、人間社会にどのようなチャンスとリスクがあるのか、それを踏まえてどのような政策が必要かを考察している資料ですね。。。

さすが欧州ですね。日本ではここまで踏み込んで検討していないでしょうね。。。

 

European Parliament - Think Tank

・2022.06.24 Metaverse: Opportunities, risks and policy implications

Metaverse: Opportunities, risks and policy implications メタバース:機会、リスク、政策への影響
One of the most talked about concepts in modern technology, the metaverse can be described as an immersive and constant virtual 3D world where people interact by means of an avatar to carry out a wide range of activities. Such activities can range from leisure and gaming to professional and commercial interactions, financial transactions or even health interventions such as surgery. While the exact scope and impact of the metaverse on society and on the economy is still unknown, it can already be seen that the metaverse will open up a range of opportunities but also a number of risks in a variety of policy areas. Major tech companies are scaling up their metaverse activities, including through mergers and acquisitions. This has given impetus to a debate on how merger regulations and antitrust law should apply. Business in the metaverse is expected to be underpinned largely by cryptocurrencies and non-fungible tokens, raising issues of ownership, misuse, interoperability and portability. Furthermore, the huge volume of data used in the metaverse raises a number of data protection and cybersecurity issues (e.g. how to collect user consent or protect avatars against identity theft). There is considerable scope for a wide range of illegal and harmful behaviours and practices in the metaverse environment. This makes it essential to consider how to attribute responsibility, inter alia, for fighting illegal and harmful practices and misleading advertising practices, and for protecting intellectual property rights. Moreover, digital immersion in the metaverse can have severe negative impacts on health, especially for vulnerable groups, such as minors, who may require special protection. Finally, the accessibility and inclusiveness of the metaverse remain areas where progress has still to be made in order to create an environment of equal opportunities. 現代技術で最も話題になっている概念の一つであるメタバースは、人々がアバターによって交流し、様々な活動を行う没入型かつ恒常的な仮想3D世界と表現することができる。このような活動は、レジャーやゲームから、専門家や商人との交流、金融取引、あるいは手術などの健康介入に至るまで、多岐にわたる。メタバースが社会や経済に及ぼす正確な範囲や影響はまだ不明だが、メタバースがさまざまな政策分野において、さまざまな機会をもたらすと同時に、多くのリスクをもたらすことはすでに確認されている。大手ハイテク企業は、M&Aを含め、メタバース活動を拡大している。このため、合併規制や独禁法の適用をどうするかという議論に弾みがついている。メタバースにおけるビジネスは、主に暗号通貨や非ファンジブルトークンに支えられ、所有権、不正使用、相互運用性、ポータビリティの問題が生じると予想される。さらに、メタバースで使用される膨大なデータは、多くのデータ保護とサイバーセキュリティの問題を提起する(例えば、利用者の同意を収集する方法、ID盗難からアバターを保護する方法など)。メタバース環境では、さまざまな違法・有害な行動や行為が行われる可能性がかなりある。このため、特に違法・有害な行為や誤解を招くような広告手法との戦い、および知的財産権の保護について、どのように責任を帰属させるかを検討することが不可欠である。さらに、メタバースにおけるデジタルへの没入は、特に特別な保護を必要とする未成年者などの脆弱な集団にとって、健康に深刻な悪影響を及ぼす可能性がある。最後に、メタバースのアクセシビリティと包摂性は、機会均等の環境を作るために、依然として進展が必要な領域である。

 

検討している内容は、次の7分野で、

o Competition  o 競争
o Data protection o データ保護
o Liabilities o 負債
o Financial transactions o 金融取引
o Cybersecurity  o サイバーセキュリティ 
o Health o 健康
o Accessibility and inclusiveness o アクセシビリティと包摂性

それぞれ、課題、考えられる政策的影響を分析しています。

非常に参考になると思います。

 

・2022.06.24 [PDF] Metaverse - Opportunities, risks and policy implications

20220628-43121

内容は、、、

Continue reading "欧州議会 Think Tank メタバース:機会、リスク、政策への影響"

| | Comments (0)

2022.06.27

ドイツ BSI TR-03161 ヘルスケア分野でのアプリケーション等に対するセキュリティ要求事項

こんにちは、丸山満彦です。

ドイツが、ヘルスケア分野のアプリケーションについてのセキュリティ要求事項を「モバイルアプリケーション (TR-03161-1)」 、「ウェブアプリケーション (TR-03161-2)」 、「バックグラウンドシステム (TR-03161-3)」に分けて公表していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

プレス...

・2022.06.23 Bundesamt für Sicherheit in der Informationstechnik BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen

BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen BSI、デジタルヘルス・アプリケーションのセキュリティに関する技術指針を発表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsanforderungen an Anwendungen im Gesundheitswesen veröffentlicht. Im Rahmen unterschiedlicher explorativer Projekte konnte das BSI in den letzten Jahren Erkenntnisse über den aktuellen Stand der IT-Sicherheit im Gesundheitswesen gewinnen. Um Herstellern und Betreibern mit präventiven Maßnahmen weitere Hilfestellungen geben zu können, wurden Sicherheitsanforderungen für unterschiedliche Teilbereiche von Anwendungen im Gesundheitswesen verfasst. Die Technische Richtlinie (TR) umfasst in mehreren Teilen Anforderungen an mobile Anwendungen (TR-03161-1), Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3). ドイツ連邦情報セキュリティ局 (BSI) は、ヘルスケア分野のアプリケーションに対するセキュリティ要件を発表しました。BSIは、さまざまな探索的プロジェクトの枠組みの中で、近年のヘルスケア分野におけるITセキュリティの現状について知見を得ることができました。メーカーやオペレーターに予防策を提供できるよう、ヘルスケア分野のさまざまなアプリケーションのサブエリアについて、セキュリティ要件が作成されています。本技術指針は、モバイルアプリケーション (TR-03161-1) 、ウェブアプリケーション (TR-03161-2) 、バックグラウンドシステム (TR-03161-3) の要件をいくつかのパートに分けて構成しています。
Die Anforderungen basieren auf dem aktuellen Stand der Technik im Gesundheitswesen und den Erkenntnissen aus unterschiedlichen Projekten des BSI. Darüber hinaus repräsentieren sie aus Sicht des BSI das Ergebnis eines regelmäßigen Austauschs mit der Industrie sowie der Beteiligung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Unter Berücksichtigung der stark fortschreitenden Digitalisierung im Gesundheitswesen und des sich wandelnden Standes der Technik, pflegt das BSI weiterhin einen regelmäßigen Austausch mit Vertretern der Industrie und den zuständigen Behörden. Die sich hieraus ergebenden Erkenntnisse werden im Rahmen einer jährlichen Evaluierung der TR berücksichtigt und in Form von Anpassungen und Erweiterungen mit aufgenommen. 要件は、ヘルスケアにおける現状と、BSIのさまざまなプロジェクトで得られた知見に基づいています。さらに、BSIの観点からは、産業界との定期的な交流や、連邦医薬品・医療機器研究所 (BfArM) 、連邦データ保護・情報自由委員会 (BfDI) の関与の結果であると言えるでしょう。BSIは、急速に進むヘルスケア分野のデジタル化とその状況の変化を考慮し、産業界や所轄官庁の代表者と定期的な交流を続けています。その結果得られた知見は、毎年行われるTRの評価で考慮され、適応や拡張の形で盛り込まれます。
Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an. 記載されたセキュリティ要件に適合していることを証明するために、BSI は TR に従った認証手続きを提供します。
Digitale Gesundheitsanwendungen (DiGA) nach § 33 a SGB V und digitale Pflegeanwendungen (DiPA) nach § 40 a SGB XI können grundsätzlich als Anwendungen im Gesundheitswesen gewertet werden. Eine Anerkennung der Zertifizierung nach TR für DiGA in Bezug auf § 139 e Absatz 10 SGB V und DiPA in Bezug auf § 78 a SGB XI Absatz 7 als Nachweis der einzuhaltenden Sicherheitsanforderungen obliegt dem BfArM. 33 a SGB Vによるデジタルヘルスアプリケーション (DiGA) と40 a SGB XIによるデジタルケアアプリケーション (DiPA) は、基本的にヘルスケア分野におけるアプリケーションとして評価することができる。満たすべき安全要件の証明として、SGB V §139 e 10 項に関する DiGA および SGB XI §78 a 7 項に関する DiPA の TR による認証の承認は、BfArM の責任です。

 

 

・2022.06.23 BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen BSI TR-03161 ヘルスケア分野でのアプリケーションに対する要求事項
Gegenstand der Technischen Richtlinie 技術指針の対象
Nach Einschätzung des Bundesministeriums für Gesundheit stehen die Gesundheitssysteme der westlichen Welt vor großen Herausforderungen. Es gilt immer mehr ältere und chronisch kranke Menschen zu behandeln, teure medizinische Innovationen zu bezahlen und strukturschwache ländliche Gebiete medizinisch zu versorgen [BMG-EHI]. Anwendungen im Gesundheitswesen können helfen, solche und andere Herausforderungen besser zu lösen. Sie haben das allgemeine Ziel bei „der Behandlung und Betreuung von Patientinnen und Patienten“ zu unterstützen und ,,die Möglichkeiten [zu] nutzen, die moderne Informations- und Kommunikationstechnologien (IKT) bieten“ [BMG-EH]. 連邦保健省によると、欧米の医療制度は大きな課題に直面しています。高齢者や慢性疾患患者が増え、高価な医療技術革新に費用がかかり、構造的に弱い地方に医療を提供しなければならないのです[BMG-EHI]。ヘルスケア・アプリケーションは、このような課題をよりよく解決するために役立ちます。これらは、「患者の治療とケア」を支援し、「現代の情報通信技術 (ICT) が提供する可能性を利用する」ことを一般的な目的としています[BMG-EH]。
Die Familie von Technische Richtlinien (TR) richtet sich an Hersteller von Anwendungen im Gesundheitswesen. Zusätzlich kann sie als Richtlinie für Anwendungen betrachtet werden, welche sensible Daten verarbeiten oder speichern. 技術ガイドライン (TR) ファミリーは、ヘルスケア分野のアプリケーションメーカーを対象としています。また、機密性の高いデータを処理・保管するアプリケーションのガイドラインとしても考慮できる。
Zielsetzung der Technischen Richtlinie 技術指針の目的
Die Digitalisierung aller Lebensbereiche, sei es im Beruf, in Heimumgebungen, im Individual- oder im öffentlichen Personenverkehr, schreitet stetig voran. Bereits im Jahr 2018 überschritt die Anzahl der Internetnutzer die Grenze von vier Milliarden Menschen. Zwei Drittel der zurzeit 7,6 Milliarden Menschen zählenden Weltbevölkerung nutzen ein Mobiltelefon. Mehr als drei Milliarden Menschen nutzen soziale Netzwerke und tun dies in neun von zehn Fällen über ihr Smartphone (vgl. [GDR18]). Diese Entwicklung setzt sich im Gesundheitswesen mit dem Trend zum „Self-Tracking“, aber auch mit der zunehmenden Forderung nach der effizienten Nutzung einmal erhobener medizinischer Daten fort. Insbesondere im Gesundheitswesen ist es dabei komfortabel, dass orts- und zeitunabhängig auf die eigenen medizinischen Daten zugegriffen werden kann. Anwendungen speichern in diesem Fall sensible und persönliche Daten - von der Pulsfrequenz, über Aufzeichnungen des Schlafrhythmus bis hin zu Medikationsplänen sowie ärztlichen Verordnungen und Bescheinigungen. Sie verbinden den Nutzer mit entsprechenden Services und fungieren als Kommunikations-Knotenpunkte. Ein kompromittiertes Endgerät kann somit das gesamte digitale Leben des Nutzers ungewollt offenlegen und zu hohem finanziellen Schaden führen. Das Einhalten von geeigneten Sicherheitsstandards kann dies wesentlich erschweren und möglicherweise sogar verhindern. Schon während der Entwicklungsphase sollten Hersteller sehr verantwortungsvoll planen, wie eine Anwendung personenbezogene und andere sensible Daten verarbeitet, speichert und schützt. 職場、家庭環境、個人、公共交通機関など、生活のあらゆる場面でデジタル化が着実に進行しています。すでに2018年には、インターネット利用者が40億人を突破しています。現在、世界の人口76億人のうち、3分の2が携帯電話を使用しています。30億人以上の人々がソーシャルネットワークを利用し、10件中9件はスマートフォンから利用しています ([GDR18]を参照) 。このような動きは、ヘルスケア分野でも続いており、「セルフトラッキング」の流れに加え、一度収集した医療データの効率的な活用が求められています。特に医療分野では、場所や時間に関係なく自分の医療データにアクセスできるのは便利なことです。この場合、アプリケーションには、脈拍や睡眠リズムの記録、投薬計画、医療処方箋や証明書など、機密性の高い個人情報が保存されます。ユーザーを対応するサービスに接続し、通信ノードとして機能する。エンドデバイスが危険にさらされると、意図せずユーザーのデジタルライフ全体が明らかになり、高額な金銭的損害につながる可能性があるのです。適切なセキュリティ基準を遵守することで、このような事態をより困難なものとし、場合によっては防ぐことができます。開発段階であっても、メーカーはアプリケーションが個人情報やその他の機密情報をどのように処理し、保存し、保護するかについて、非常に責任ある計画を立てる必要があります。
Die IT-Sicherheit verfolgt im Wesentlichen drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. ITセキュリティは、基本的に3つの保護目標を追求しています。機密性、完全性、可用性。
Gerade bei Anwendungen im Gesundheitswesen ist die Einhaltung dieser Anforderungen von besonderer Wichtigkeit. Insbesondere im Gesundheitswesen ist die Vertraulichkeit von Gesundheitsdaten, die unwillentlich offenbart werden, für immer verloren. Der Patient könnte hierfür zwar Schadensersatz erhalten, die unwillentliche Offenbarung kann allerdings nicht ungeschehen gemacht werden. Darüber hinaus können durch das ungewollte Bekanntwerden von Gesundheitsdaten unerwünschte Folgen mit erheblichen Auswirkungen im sozialen wie auch im beruflichen Umfeld entstehen. Sollte ein Angreifer in der Lage sein, sensible Daten eines Dritten zu manipulieren und damit deren Integrität zu verletzen, könnte er wesentlichen Einfluss auf Therapieentscheidungen und letztlich die Gesundheit des Betroffenen haben. 特に、ヘルスケア分野のアプリケーションでは、これらの要件への適合が重要です。特に医療分野では、意図せず公開された健康データの機密性は永遠に失われます。この場合、患者は補償を受けることができるが、強制的な開示は元に戻すことができません。また、意図せずして健康データが開示されると、社会的・職業的に大きな影響を及ぼし、好ましくない結果になることもあります。万が一、攻撃者が第三者の機密データを操作し、その完全性を侵害した場合、治療の意思決定、ひいては本人の健康に大きな影響を与える可能性があります。
Diese Familie von Technische Richtlinien soll als Leitfaden dienen, um Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen. この技術ガイドラインファミリーは、アプリケーション開発者が安全なソリューションを作成するためのガイドとして機能することを目的としています。
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート1:モバイルアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート2:ウェブアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme BSI TR-03161 ヘルスケアアプリケーションの要件 - Part 3: バックグラウンドシステム
Biometrie bei mobilen Gesundheitsanwendungen モバイルヘルスアプリケーションにおけるバイオメトリクス
Neue mobile Gesundheitsanwendungen sehen unter anderem auch eine biometrische Benutzerauthentisierung vor. Allerdings weist der Markt eine hohe Zahl an biometrischen Komponenten für mobile Endgeräte auf, welche sich in Performanz und Fälschungssicherheit deutlich unterscheiden. Um sicherzustellen, dass die biometrischen Authentifizierungsverfahren auf Smartphones für mobile Gesundheitsanwendungen ein ausreichendes Vertrauensniveau erreichen, will das BSI biometrische Authentifikationssysteme auf Smartphones prüfen und im Frühjahr 2022 eine initiale Whitelist geeigneter Geräte veröffentlichen, welche danach in regelmäßigen Abständen aktualisiert werden wird. Eine Verwendung biometrischer Authentisierungsmethoden wird nur für Geräte in dieser Whitelist zulässig sein, alle anderen werden sich auf die klassischen PIN/Passwort-Verfahren beschränken müssen. モバイルヘルスの新しいアプリケーションには、バイオメトリクスによるユーザー認証が含まれます。しかし、市場にはモバイル機器用の生体認証部品が数多く存在し、その性能や偽造防止性能は大きく異なっているのが現状です。BSIは、モバイルヘルスアプリケーション用のスマートフォンにおける生体認証手順が十分な信頼性を達成できるよう、スマートフォンにおける生体認証システムのテストを行い、2022年春に適切なデバイスの初期ホワイトリストを公開し、その後定期的に更新する予定です。生体認証の使用は、このホワイトリストに登録された機器にのみ許可され、それ以外の機器では従来のPIN/パスワードによる認証に限定されます。
Die Anforderungen für diese Prüfung ergeben sich aus der - derzeit im Finalisierungs- und Veröffentlichungsprozess befindlichen - Technischen Richtlinie TR-03161-1 (Anhang C). Hersteller von Endgeräten, die an einer Listung ihrer Endgeräte in dieser Whitelist interessiert sind, werden gebeten, sich mit dem BSI in Verbindung zu setzen. In diesem Zuge werden die konkreten Prüfanforderungen sowie nähere Informationen zum Prüfprozess bereitgestellt. Die Prüfung besteht dabei im Wesentlichen aus zwei Komponenten. Zunächst benötigt das BSI eine Herstellererklärung, die dokumentiert, dass das jeweilige Endgerät die näher bezeichneten Anforderungen erfüllt und wie diese Prüfung seitens des Hersteller erfolgt ist. Diese Herstellererklärung wird dann im BSI auf Plausibilität geprüft. Darüber hinaus behält sich das BSI eine stichprobenartige praktische Kontrolle der Endgeräte vor. 本テストの要求事項は、現在最終版として発行されている技術指針 TR-03161-1  (Annex C) から導き出されたものです。このホワイトリストへの掲載を希望するエンドデバイスの製造者は、BSI に連絡することが望まれる。本講座では、具体的なテスト要件に加え、テストプロセスに関するより詳細な情報を提供します。このテストは、基本的に2つの要素で構成されています。まず、BSIは、それぞれのエンドデバイスが指定された要件を満たしていること、そしてこのテストが製造者によってどのように実施されたかを文書化した製造者の宣言を要求しています。この製造者の宣言は、BSIでもっともらしいかどうかチェックされる。さらに、BSI は、エンドデバイスのランダムな実地チェックを行う権利を留保します。
Endgeräte werden in die Whitelist aufgenommen, soweit die Angaben in der Herstellererklärung plausibel sind und - sofern einschlägig - eine etwaige stichprobenartige Prüfung des jeweiligen Endgeräts keine Zweifel an der Herstellererklärung aufgeworfen hat. Erfolgt die stichprobenartige Kontrolle nach der initialen Listung des Endgerätes in der Whitelist, kann ein negatives Prüfergebnis zur Entfernung dieses Gerätes von der Whitelist führen. Jeder Eintrag in der Whitelist beinhaltet die Hersteller- und Modellbezeichnung, die zugelassene biometrische Modalität und die ggf. notwendige Konfiguration für ein als geeignet eingestuftes Gerät. Weitere Informationen werden nicht veröffentlicht. Insbesondere ist nicht geplant, eine Art „Blacklist“ mit solchen Geräten, die die Anforderungen nicht erfüllen, zu veröffentlichen. 端末機器は、製造者の宣言に記載されている情報が妥当であり、かつ (該当する場合) 各端末機器のランダムチェックで製造者の宣言に疑義が生じない場合に、ホワイトリストに掲載されます。ホワイトリストにエンドデバイスを最初に登録した後にランダムチェックを実施した場合、テスト結果がよくなければ、このデバイスをホワイトリストから削除することができます。ホワイトリストの各項目には、メーカー名とモデル名、承認された生体認証モダリティ、適切と判断されたデバイスに必要な設定 (ある場合) が含まれています。それ以外の情報は公開されません。特に、要件を満たさないそのような機器の「ブラックリスト」のようなものを公表する予定はない。
Der gesamte Prüf- und Veröffentlichungsprozess erfolgt seitens des BSI unter Wahrung der Vertraulichkeit. Den Herstellern wird zudem - sowohl im Falle einer Aufnahme ihrer Endgeräte in die Whitelist als auch im Falle einer Ablehnung - unter angemessener Fristsetzung Gelegenheit zur Stellungnahme gegeben werden. テストと公表の全プロセスは、BSIが機密を保持しながら実施します。さらに、製造者は、合理的な期間内に、ホワイトリストにエンドデバイスを含める場合と拒否する場合の両方について、意見を述べる機会を与えられます。
Aufgrund des dargestellten Prüfprozesses erhebt die Whitelist keinen Anspruch auf Vollständigkeit. Aus der fehlenden Listung eines Endgerätes in der Whitelist kann somit nicht zwingend der Schluss gezogen werden, dass dieses Gerät die Prüfanforderungen nicht erfüllt. 上記のような審査のため、ホワイトリストが完全であるとは言えません。ホワイトリストに含まれていないからといって、必ずしもテスト要件を満たしていないとは限りません。

 

モバイル版 T1

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen

20220627-141320

ウェブアプリケーション版 T2

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen

20220627-141339

バックグラウンドシステム版 T3

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme

20220627-141353

 

目次は共通項目が多いので、、、

     -1 -2  -3
1 Einleitung 1 はじめに
1.1 Gegenstand der Technischen Richtlinie 1.1 技術指針の主題
1.2 Zielsetzung der Technischen Richtlinie 1.2 技術指針の目的
1.3 Übersicht der Technischen Richtlinie 1.3 技術指針の概要
1.3.1 Methodik 1.3.1 方法論
1.3.2 Begriffe 1.3.2 用語の説明
2 Überblick der Sicherheitsanforderungen an Anwendungen im Gesundheitswesen 2 ヘルスケアアプリケーションに求められるセキュリティ要件の概要
2.1 Anwendungskonzepte auf mobilen Endgeräten 2.1 モバイル端末におけるアプリケーションの概念
2.1.1 Native-Anwendungen 2.1.1 ネイティブアプリケーション
2.1.2 Hybride Ansätze 2.1.2 ハイブリッド・アプローチ
2.2 Web-Anwendungen 2.2 ウェブアプリケーション
2.3 Hintergrundsysteme 2.3 バックグラウンド・システム
2.3.1 Selbst gehostete Systeme 2.3.1 セルフホストシステム
2.3.2 Extern gehostete Systeme 2.3.2 外部からホストされるシステム
2.3.3 Cloud Computing 2.3.3 クラウドコンピューティング
2.4 Security Problem Definition 2.4 セキュリティ問題の定義
2.4.1 Annahmen 2.4.1 前提条件
2.4.2 Bedrohungen 2.4.2 脅威
2.4.3 Organisatorische Sicherheitspolitiken 2.4.3 組織的なセキュリティポリシー
2.4.4 Restrisiken 2.4.4 残留リスク
3 Prüfaspekte für Anwendungen im Gesundheitswesen 3 ヘルスケアアプリケーションのためのテストの側面
3.1 Prüfaspekte 3.1 テスト面
3.1.1 Prüfaspekt (1): Anwendungszweck 3.1.1 テスト側面  (1) :適用目的
3.1.2 Prüfaspekt (2): Architektur 3.1.2 テスト側面  (2) :アーキテクチャ
3.1.3 Prüfaspekt (3): Quellcode 3.1.3 テスト側面  (3) :ソースコード
3.1.4 Prüfaspekt (4): Drittanbieter-Software 3.1.4 テスト側面  (4) :サードパーティソフトウェア
3.1.5 Prüfaspekt (5): Kryptographische Umsetzung 3.1.5 テスト側面  (5) :暗号化実装
3.1.6 Prüfaspekt (6): Authentifizierung 3.1.6 テスト側面  (6) :認証
3.1.7 Prüfaspekt (7): Datensicherheit 3.1.7 テスト側面  (7) :データセキュリティ
3.1.8 Prüfaspekt (8): Kostenpflichtige Ressourcen 3.1.8 テスト側面  (8) :有償リソース
3.1.9 Prüfaspekt (9): Netzwerkkommunikation 3.1.9 テスト側面  (9)  :ネットワーク通信  
3.1.10 Prüfaspekt (10): Plattformspezifische Interaktionen 3.1.10 テスト側面  (10)  :プラットフォーム固有のインタラクション  
3.1.9 Prüfaspekt (9): Netzwerksicherheit 3.1.9 テスト側面 (9) :ネットワークセキュリティ    
3.1.10 Prüfaspekt (10): Organisatorische Sicherheit
3.1.10 テスト側面 (10) :組織的なセキュリティ    
3.1.11 Prüfaspekt (11): Resilienz 3.1.11 テスト側面  (11)  :回復力  
4 Prüfschritte einer Anwendung im Gesundheitswesen 4. ヘルスケアアプリケーションのテストステップ
4.1 Anforderungen an die Prüfung 4.1 テスト要件
4.2 Protokollierung der Ergebnisse 4.2 結果の記録
4.3 Testcharakteristika 4.3 テスト特性
4.3.1 Testcharakteristik zu Prüfaspekt (1): Anwendungszweck 4.3.1 テスト側面  (1)  に対するテスト特性:適用目的
4.3.2 Testcharakteristik zu Prüfaspekt (2): Architektur 4.3.2 テスト側面  (2)  のテスト特性:アーキテクチャ
4.3.3 Testcharakteristik zu Prüfaspekt (3): Quellcode 4.3.3 テスト側面  (3)  のテスト特性:ソースコード
4.3.4 Testcharakteristik zu Prüfaspekt (4): Drittanbieter-Software 4.3.4 テスト側面  (4)  :サードパーティソフトウェアに関するテスト特性
4.3.5 Testcharakteristik zu Prüfaspekt (5): Kryptographische Umsetzung 4.3.5 テスト側面  (5)  のテスト特性:暗号化実装
4.3.6 Testcharakteristik zu Prüfaspekt (6): Authentifizierung 4.3.6 テスト側面  (6)  のテスト特性:認証
4.3.7 Testcharakteristik zu Prüfaspekt (7): Datensicherheit 4.3.7 テスト側面  (7)  に対するテスト特性:データセキュリティ
4.3.8 Testcharakteristik zu Prüfaspekt (8): Kostenpflichtige Ressourcen 4.3.8 テスト側面  (8)  のテスト特性:有償リソース
4.3.9 Testcharakteristik zu Prüfaspekt (9): Netzwerkkommunikation 4.3.9 テスト側面 (9) のテスト特性:ネットワーク通信
4.3.10 Testcharakteristik zu Prüfaspekt (10): Plattformspezifische Interaktionen 4.3.10 テスト側面 (10) :プラットフォーム固有のインタラクションに関するテスト特性
4.3.11 Testcharakteristik zu Prüfaspekt (11): Resilienz 4.3.11 テスト側面 (11) のテスト特性:弾力性 (Resilience  
5 Sicherheitsstufen und Risikoanalyse 5 セキュリティレベルとリスク分析
Anhang A: Schutzbedarf sensibler Datenelemente 附属書A:機密データ要素の保護要件
Anhang B: Begutachtungsperspektive 附属書B:評価の視点
B.1. Primäres Designziel B.1. 設計の主目的
B.2. Schutzmechanismen B.2. 保護機構
B.3. Sichere Entwicklung B.3. 安全な開発
B.4. Authentifizierung B.4. 認証
B.5. Sicherheit der Kommunikation B.5. 通信セキュリティ
B.6. Weitere Prüfthemen B.6. その他のテストトピック
Anhang C: Anforderungen an biometrische Authentifizierungs- und Verifizierungsverfahren für Anwendungen im Gesundheitswesen 附属書C:ヘルスケアアプリケーションのためのバイオメトリクス認証および検証方法に関する要求事項    
C.1.  Anforderungen an die Leistung und an die Erkennung von Präsentationsangriffen biometrischer Systeme auf mobilen Endgeräten C.1. モバイル機器上の生体認証システムの性能とプレゼンテーション攻撃検知の要件    
C.1.1. Begriffe C.1.1. 用語    
C.1.2. [GEN] Allgemeine Anforderungen C.1.2 [GEN] 一般要求事項    
Abkürzungsverzeichnis 略語一覧
Literaturverzeichnis 参照情報

 

参考になるBSIのページ...

eHealth – Cyber-Sicherheit im Gesundheitswesen

eHealth – Cyber-Sicherheit im Gesundheitswesen eHealth - ヘルスケア分野でのサイバーセキュリティ
Der Bereich eHealth befasst sich mit der Digitalisierung im Gesundheitswesen. Er wird thematisch in verschiedene Abschnitte aufgeteilt. Zum einen geht es um die elektronische Gesundheitskarte (eGK) und die dazugehörige Telematikinfrastruktur (TI) und zum anderen um die Cyber-Sicherheit von in Deutschland eingesetzter Medizintechnik. eHealthの分野では、ヘルスケア分野のデジタル化を扱っています。テーマ別に分かれています。一方では、電子健康保険証 (eGK) と関連するテレマティクスインフラ (TI) を扱い、他方では、ドイツで使用されている医療技術のサイバーセキュリティを扱っています。
Moderne Gesundheitsversorgung: digital und sicher 現代の医療:デジタルとセキュア
Medizinische Versorgung in Deutschland wird allen zu Teil. Sie ist ein Gradmesser für den Wohlstand, die Stärke und Solidarität in einer Gesellschaft. Das Gesundheitswesen in unserem Land gilt weltweit als eines der besten – auch, weil es in vielen Bereichen digitalisiert ist. Die elektronische Patientenakte, die Messung, Speicherung und Auswertung von Gesundheitsdaten per App oder die Video-Sprechstunde sind Beispiele für digitale Technologien, die derzeit die deutsche Gesundheitswirtschaft verändern. Von der Digitalisierung profitieren alle Akteure im Gesundheitswesen – von den Patientinnen und Patienten über die Kliniken und Arztpraxen bis hin zu den Krankenkassen. Digitale Gesundheitsfürsorge kann das Leben der Menschen erleichtern, lange Wege und Wartezeiten minimieren und im Krankheits- oder Notfall schnell helfen. ドイツの医療は誰でも受けられます。社会の繁栄、力強さ、連帯感を測る尺度である。我が国の医療制度は世界でもトップクラスと言われていますが、それは多くの分野でデジタル化されているからです。電子患者ファイル、アプリによる健康データの測定・保存・評価、ビデオ診察などは、現在ドイツの医療業界を変えつつあるデジタル技術の一例です。患者から診療所、医師会、医療保険会社まで、医療システムのすべてのプレーヤーがデジタル化の恩恵を受けています。デジタルヘルスケアは、人々の生活をより快適にし、長時間の移動や待ち時間を最小限に抑え、病気や緊急事態の際には迅速に対応することができます。
Doch alle Vorteile von eHealth sind ohne Informationssicherheit nicht denkbar. Denn die Digitalisierung erhöht auch im Gesundheitswesen das Risiko von IT-Sicherheitsvorfällen und Cyber-Angriffen. Wozu das führen kann, belegen zahlreiche Vorfälle der letzten Monate und Jahre: Krankenhäuser mussten in den Notbetrieb gehen, Millionen sensibler Patientendaten wurden gestohlen oder waren über längere Zeiträume öffentlich ohne Passwortschutz im Internet zugänglich. Hinzu kommen immer wieder Berichte über Schwachstellen in vernetzten Medizingeräten wie Insulinpumpen, Patientenmonitoren oder Beatmungsgeräten. Deren Ausfall oder Manipulation durch unbefugte Dritte kann im Ernstfall unmittelbare Folgen für Gesundheit, Leib und Leben eines Patienten haben. しかし、eヘルスがもたらすすべてのメリットは、情報セキュリティなしには考えられません。また、デジタル化により、医療分野におけるITセキュリティ事故やサイバー攻撃のリスクも高まっています。ここ数カ月、数年にわたる数々の事件は、このことが何をもたらすかを示しています。病院が緊急操業に入らなければならなくなったり、何百万という患者の機密データが盗まれたり、パスワード保護なしで長期間にわたってインターネット上で一般公開されたりしています。また、インスリンポンプ、患者用モニター、人工呼吸器など、ネットワーク接続された医療機器の脆弱性が繰り返し報告されています。その故障や権限のない第三者による操作は、緊急時に患者の健康、生命、身体に対して直ちに影響を与える可能性があります。
Sichere Digitalisierung gestalten 安全なデジタル化の設計
All diese Vorfälle kann sich eine moderne Gesellschaft nicht leisten. Auch deshalb gehören Einrichtungen des Gesundheitswesens zu den Kritischen Infrastrukturen in Deutschland. Als zentrales Kompetenzzentrum für Informationssicherheit in Deutschland übernimmt das BSI Verantwortung als Gestalter einer sicheren Digitalisierung in diesem für die Gesellschaft so wichtigen Bereich. 現代社会は、このような事件ばかりではいられない。ドイツで医療施設が重要インフラとされる理由のひとつがこれです。BSIは、ドイツにおける情報セキュリティの中央コンピテンスセンターとして、社会にとって重要なこの分野の安全なデジタル化の形成者としての責任を担っています。
Mit dem IT-Sicherheitsgesetz von 2015 hat das BSI die Zuständigkeit als Aufsichtsbehörde für Betreiber Kritischer Infrastrukturen (KRITIS) auch im Sektor Gesundheitswesen erhalten. Kritische Infrastrukturen im Gesundheitswesen sind beispielsweise Krankenhäuser und Kliniken mit mehr als 30.000 stationären Behandlungsfällen pro Jahr oder Pharmahersteller mit mehr als 4,65 Millionen in Verkehr gebrachte Packungen pro Jahr. 2015年のITセキュリティ法により、BSIは医療分野でも重要インフラ (CRITIS) の運用者の監督官庁としての責任を担うことになりました。ヘルスケア分野の重要インフラとは、例えば、年間3万件以上の入院患者を抱える病院や診療所、年間465万個以上の医薬品を上市している製薬会社などを指します。
Als Cyber-Sicherheitsbehörde des Bundes leistet das BSI einen wesentlichen Beitrag bei der Gestaltung der großen Digitalisierungsprojekte im Gesundheitswesen. Das BSI befasst sich mit der Weiterentwicklung der elektronischen Gesundheitskarte, mit dem Notfalldatenmanagement und dem elektronischen Medikationsplan im Zusammenhang mit der Arzneimitteltherapiesicherheit, mit der elektronischen Patientenakte, mit der Telematikinfrastruktur sowie der IT-Sicherheit von Medizinprodukten, beispielweise mit dem Projekt ManiMed - Manipulation von Medizinprodukten. Das BSI hat auch dafür gesorgt, dass die Corona-Warn-App des Bundes ein hohes Maß an Informationssicherheit bietet – nicht zuletzt ein wesentlicher Faktor für die hohe Akzeptanz der App in der Bevölkerung. 連邦政府のサイバーセキュリティ当局として、BSIはヘルスケア分野における主要なデジタル化プロジェクトの形成に大きく貢献しています。BSIは、電子健康カード、緊急時データ管理、薬物療法セキュリティに関連した電子投薬計画、電子患者ファイル、テレマティクス・インフラ、医療機器のITセキュリティのさらなる開発に取り組んでおり、例えば、ManiMedプロジェクト (医療機器の操作性) などがあります。BSIは、連邦政府のコロナ警報アプリが高いレベルの情報セキュリティを提供することを保証しており、このことが、同アプリが国民に高いレベルで受け入れられている重要な要因であることは言うまでもありません。
Das BSI leistet einen wesentlichen Beitrag zur sicheren Digitalisierung im Gesundheitswesen. Davon profitieren Kliniken, Ärztinnen und Ärzte ebenso wie die Patientinnen und Patienten. BSIは、ヘルスケア分野における安全なデジタル化に大きく貢献しています。これは、クリニック、医師、患者さんのいずれにもメリットがあります。
ARNE SCHÖNBOHM, PRÄSIDENT DES BSI アルネ・シェーンボーム (BSI会長)
Das BSI unterstützt in den IT-Anwendungsfeldern im Gesundheitsbereich mit Vorgaben, Sicherheitsstandards in Form von Technischen Richtlinien oder IT-Grundschutz-Bausteinen sowie konkreter Hilfestellung und Beratung für Behörden und Unternehmen, um schnell praktikable und zugleich sichere Anwendungen zu realisieren. Wichtig ist dabei die enge Zusammenarbeit des BSI mit Partnern wie der gematik, dem Bundesministerium für Gesundheit (BMG), dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), der Kassenärztlichen Bundesvereinigung (KBV) sowie der Kassenzahnärztlichen Bundesvereinigung (KZBV). BSIは、医療分野のITアプリケーション分野において、実用的であると同時に安全なアプリケーションを迅速に実装するために、仕様、技術ガイドラインやIT-Grundschutzビルディングブロックの形式によるセキュリティ標準、当局や企業に対する具体的な支援やアドバイスなどのサポートを提供しています。ここでは、BSIとgematik、連邦保健省 (BMG) 、連邦データ保護・情報自由委員会 (BfDI) 、連邦医薬品・医療機器研究所 (BfArM) 、全国法定保険医協会 (KBV) 、全国法定保険歯科医協会 (KZBV) といったパートナーとの密接な連携が重要な意味をもっています。

 

 

| | Comments (0)

2022.06.25

SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

こんにちは、丸山満彦です。

NISTが、SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証を公表し、意見募集をしていますね。。。

昨年3月から初期ドラフトを段階的に発表してきたものです。

これの日本政府版を考えることを想定すると、日米の国力の差は歴然ですね。。。日本製品がないですからね。。。

執筆には、NSA、MITREのメンバーに加えてベンダーからは、ArcherDell TechnologiesEclypsiumHewlett Packard EnterpriseHP Inc.IBMIntelSeagateが参加していますね。。。

 

NIST - ITL

2022.06.23 SP 1800-34 (Draft) Validating the Integrity of Computing Devices

SP 1800-34 (Draft) Validating the Integrity of Computing Devices SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
Announcement 発表
What Is This Guide About? このガイドは何について書かれているのか?
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide reusable solutions. Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Managing cyber supply chain risks requires, in part, ensuring the integrity, quality, and resilience of the supply chain and its products and services. This project demonstrates how organizations can verify that the internal components of their computing devices are genuine and have not been altered during the manufacturing or distribution processes. 今日のテクノロジーは、再利用可能なソリューションを提供するために、複雑でグローバルに分散し、相互接続されたサプライチェーンエコシステムに依存している。組織は、意図的であるか否かを問わず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンのリスクを管理するには、サプライチェーンとその製品およびサービスの整合性、品質、および弾力性を確保することが一部で必要とされている。このプロジェクトでは、コンピュータデバイスの内部コンポーネントが本物であり、製造や流通の過程で変更されていないことを組織が確認する方法を紹介する。
Share Your Expertise 専門知識を共有する
Please download the document and share your expertise with us to strengthen the draft practice guide. The public comment period for this draft is now open and will close on July 25th, 2022. You can stay up to date on this project by sending an email to supplychain-nccoe@nist.gov to join our Community of Interest. Also, if you have any project ideas for our team, please let us know by sending an email to the email address above. We look forward to your feedback. 実践ガイドのドラフトを強化するために、ドキュメントをダウンロードし、あなたの専門知識を共有してください。このドラフトに対するパブリックコメント期間は現在開始されており、2022年7月25日に終了する予定である。このプロジェクトに関する最新情報は、supplychain-nccoe@nist.gov までメールをお送りいただき、Community of Interestにご参加ください。また、私たちのチームに対するプロジェクトのアイデアがあれば、上記のメールアドレスにメールを送ってお知らせください。皆様のご意見をお待ちしている。
Additional NIST Supply Chain Work NISTのサプライチェーンに関するその他の作業
NIST is also working on an important effort, the National Initiative for Improving Cybersecurity in Supply Chains (NIICS) with the private sector and others in government to improve cybersecurity in supply chains. This initiative will help organizations to build, evaluate, and assess the cybersecurity of products and services in their supply chains, an area of increasing concern. For more information on this effort, you can click here. NISTは、サプライチェーンにおけるサイバーセキュリティを向上させるために、民間企業や政府関係者とともに「サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアチブ(NIICS)」という重要な取り組みも行っている。このイニシアティブは、組織がサプライチェーンにおける製品やサービスのサイバーセキュリティを構築、評価、査定することを支援するもので、この分野はますます懸念されている。この取り組みの詳細については、こちらをご覧ください。
Abstract 概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire, whether laptops or servers, are genuine and have not been tampered with. This solution relies on device vendors storing information within each device, and organizations using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. This NIST Cybersecurity Practice Guide provides a draft describing the work performed so far to build and test the full solution. 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがある。これらのリスクを管理するには、サイバー・サプライ・チェーンとその製品・サービスの完全性を確保する必要がある。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが、ノートパソコンであれサーバーであれ、本物であり、改ざんされていないことを確認する方法を実証する。このソリューションは、デバイスベンダーが各デバイス内に情報を保存し、組織が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。このNISTサイバーセキュリティ実践ガイドは、完全なソリューションを構築しテストするためにこれまでに行われた作業を説明するドラフトを提供する。

 

NIST SP 1800-34 ipd

・2022.06.23 Validating the Integrity of Computing Devices NIST 1800-34 Practice Guide Draft

・[PDF] NIST SP 1800-34: Complete Guide

 

20220625-24825

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.3  Benefits 1.3 利点
2  How to Use This Guide 2 このガイドの使い方
2.1 Typographic Conventions 2.1 タイポグラフィの規則
3 Approach 3 アプローチ
3.1  Audience 3.1 対象者
3.2  Scope 3.2 スコープ
3.2.1  Scenario 1: Creation of Verifiable Platform Artifacts 3.2.1 シナリオ1:検証可能なプラットフォームアーティファクトの作成
3.2.2  Scenario 2: Verification of Components During Acceptance Testing 3.2.2 シナリオ2:受入テストにおけるコンポーネントの検証
3.2.3  Scenario 3: Verification of Components During Use 3.2.3 シナリオ3:使用時のコンポーネントの検証
3.3  Assumptions 3.3 前提条件
3.4  Risk Assessment 3.4 リスクアセスメント
3.4.1  Threats 3.4.1 脅威
3.4.2  Vulnerabilities 3.4.2 脆弱性
3.4.3  Risk 3.4.3 リスク
3.5  Security Control Map 3.5 セキュリティコントロールマップ
3.6  Technologies 3.6 技術
3.6.1  Trusted Computing Group 3.6.1 トラステッドコンピューティンググループ
4  Architecture 4 アーキテクチャ
4.1  Architecture Description 4.1 アーキテクチャの説明
4.2  Existing Enterprise IT Management Systems 4.2 既存の企業IT管理システム
4.2.1  SIEM Tools 4.2.1 SIEMツール
4.2.2  Asset Discovery and Management System 4.2.2 資産発見・管理システム
4.2.3  Configuration Management System 4.2.3 コンフィギュレーション管理システム
4.2.4  Enterprise Dashboards 4.2.4 エンタープライズダッシュボード
4.3  Supporting Platform Integrity Validation Systems 4.3 サポートするプラットフォーム整合性検証システム
4.3.1  Host Integrity at Runtime and Start-up Attestation Certificate Authority (HIRS ACA)25  4.3.1 ランタイムおよびスタートアップ時のホスト完全性認証局(HIRS ACA)
4.3.2  Network Boot Services 4.3.2 ネットワークブートサービス
4.3.3  Platform Manifest Correlation System 4.3.3 プラットフォームマニフェスト相関システム
4.3.4  Eclypsium Analytic Platform 4.3.4 分析プラットフォーム
4.4  Computing Devices 4.4 コンピューティングデバイス
4.4.1  HP Inc 4.4.1 HP Inc.
4.4.2  Dell Technologies 4.4.2 デル・テクノロジー
4.4.3  Intel 4.4.3 インテル
4.4.4 Hewlett Packard Enterprise (HPE) 4.4.4 ヒューレット・パッカード・エンタープライズ(HPE)
4.4.5 Seagate 4.4.5 シーゲイト
5  Security Characteristic Analysis 5 セキュリティ特性分析
5.1  Assumptions and Limitations 5.1 前提条件と制限事項
5.2  Build Testing 5.2 ビルドテスト
5.2.1  Scenario 1 5.2.1 シナリオ1
5.2.2  Scenario 2 5.2.2 シナリオ2
5.2.3  Scenario 3 5.2.3 シナリオ3
5.3  Scenarios and Findings 5.3 シナリオと調査結果
5.3.1  Supply Chain Risk Management (ID.SC) 5.3.1 サプライチェーンリスクマネジメント(ID.SC)
5.3.2  Asset Management (ID.AM) 5.3.2 アセットマネジメント(ID.AM)
5.3.3  Identity Management, Authentication and Access Control (PR.AC) 5.3.3 アイデンティティ管理、認証、アクセス制御(PR.AC)
5.3.4  Data Security (PR.DS) 5.3.4 データセキュリティ(PR.DS)
5.3.5  Security Continuous Monitoring (DE.CM) 5.3.5 セキュリティ継続監視(DE.CM)
6  Future Build Considerations 6 今後の構築に関する考察
Appendix A List of Acronyms 附属書 A 頭字語(英語)リスト
Appendix B References 附属書 B 参考文献
Appendix C Project Scenario Sequence Diagrams 附属書 C プロジェクトシナリオシーケンスダイアグラム

 


まるちゃんの情報セキュリティティ気まぐれ日記

 

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2021.11.25 NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)

Continue reading "SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証"

| | Comments (0)

2022.06.24

個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催され、資料が公開されていますね。。。

欧州主要国における顔識別機能付カメラの利用に関する法制度の調査と報告書案が示されていますね。。。

個人情報保護委員会

・2022.06.20 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・[PDF] 議事次第 議事次第

・[PDF] 資料1 報告書素案

20220624-33426

・[PDF] 資料2 欧州主要国における顔識別機能付カメラの利用に関する法制度の調査

20220624-33625

 


 

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.06.23

一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)

こんにちは、丸山満彦です。

一般社団法人セキュアドローン協議会が「ドローンセキュリティガイド 第3版」を 2022.06.16に公開していましたね。。。

2018.03.18に第1版、2021.04.01に第2版を出していますが、その後2022.03.31に経済産業省が、「無人航空機を対象としたサイバーセキュリティガイドライン」を策定していまし、機体登録制度も始まっていますし、、、それも踏まえての改訂なんでしょうね。。。

一般社団法人セキュアドローン協議会はBig4ではデロイトが会員ですね。私が関わっていた頃には入会していなかったので、最近なんですかね。。。

 

一般社団法人セキュアドローン協議会

・2022.06.16 セキュアドローン協議会、『ドローンセキュリティガイド 第3版』公開


【本セキュリティガイドの概要】

本セキュリティガイドの策定を通して、信頼できるドローンの安心安全な操作環境とデータ送信環境を確立していくための指標を提言しています。
産業用ドローンが普及していくためには、情報処理においてこれまで配慮されてきた情報セキュリティ対策や、最新のIoT関連のセキュリティ技術との連携が重要になり、ドローンにおけるセキュリティリスク、機体制御、機体管理、ドローン機器、通信、アプリケーションやクラウドなどドローンソリューション全体におけるセキュリティ、ドローン機体メーカー、ドローンサービス提供事業者、ドローン活用ユーザそれぞれのとるべきセキュリティ対策要件など産業利用における指標を記述しています。

【本セキュリティガイドの主な改定内容】

  • クラウドを使用したドローンの認証例
  • リモートIDについて
  • ドローン関連サービス、プロトタイプ開発事例

ドローンセキュリティガイド

ドローンセキュリティガイド第3版 ダウンロードフォーム

20220622-160437

 

変更箇所は、


以下の章の追記ならびに修正。

5.3. クラウドを使用したドローンの認証例
7. リモート ID について
8. ドローン関連サービス、プロトタイプ開発事例
9.業務運用に関する注意点


 


関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.08 NATO CCDCOE 武力紛争時のプライバシーとデータ保護の権利

・2022.05.11 インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.26 米国 White House ドローン対策国家計画

・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

・2022.04.07 経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.09.04 英国 ブレグジット後のグローバルデータ計画 at 2021.08.26

・2021.06.26 欧州委員会 合同サイバーユニットを提案

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.13 米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。


 

 

Continue reading "一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)"

| | Comments (0)

2022.06.21

米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

こんにちは、丸山満彦です。

FBIがドイツ、オランダ、英国の法執行機関や脅威インテリジェンスの民間企業 (Black Echo, LLC) と協力してロシアのボットネットを破壊したようですね。。。

官民連携による、安全なコミュニティを維持するというのは、フィジカル空間でもサイバー空間でも同じですね。。。

Department of Justice (Southern District of California)

・2022.06.16 Russian Botnet Disrupted in International Cyber Operation

 

Russian Botnet Disrupted in International Cyber Operation 国際的なサイバー作戦によるロシアのボットネットの破壊
SAN DIEGO – The U.S. Department of Justice, together with law enforcement partners in Germany, the Netherlands and the United Kingdom, have dismantled the infrastructure of a Russian botnet known as RSOCKS which hacked millions of computers and other electronic devices around the world. サンディエゴ - 米国司法省は、ドイツ、オランダ、英国の法執行機関のパートナーとともに、世界中の数百万台のコンピュータやその他の電子機器をハッキングしたRSOCKSとして知られるロシアのボットネットのインフラストラクチャを解体しました。
A botnet is a group of hacked internet-connected devices that are controlled as a group without the owner’s knowledge and typically used for malicious purposes. Every device that is connected to the internet is assigned an Internet Protocol (IP) address. ボットネットとは、ハッキングされたインターネット接続機器の集団で、所有者が知らないうちに集団として制御され、通常、悪意のある目的に使用されるものです。インターネットに接続されているすべての機器には、インターネットプロトコル(IP)アドレスが割り当てられています。
According to a search warrant affidavit, unsealed today in the Southern District of California, and the operators’ own claims, the RSOCKS botnet, operated by Russian cybercriminals, comprised millions of hacked devices worldwide. The RSOCKS botnet initially targeted Internet of Things (IoT) devices. IoT devices include a broad range of devices—including industrial control systems, time clocks, routers, audio/video streaming devices, and smart garage door openers, which are connected to, and can communicate over, the internet, and therefore, are assigned IP addresses. The RSOCKS botnet expanded into compromising additional types of devices, including Android devices and conventional computers. カリフォルニア州南部地区で本日公開された捜査令状宣誓供述書と運営者自身の主張によると、ロシアのサイバー犯罪者が運営するRSOCKSボットネットは、世界中で数百万台のハッキングされたデバイスで構成されています。RSOCKSボットネットは当初、Internet of Things(IoT)デバイスを標的としていました。IoTデバイスには、産業用制御システム、タイムクロック、ルーター、オーディオ/ビデオストリーミングデバイス、スマートガレージドアオープナーなど、インターネットに接続され、インターネット上で通信できる、したがってIPアドレスが割り当てられたさまざまなデバイスが含まれます。RSOCKSボットネットは、Android端末や従来型のコンピュータなど、さらに多くの種類のデバイスに感染するよう拡大しました。
“The RSOCKS botnet compromised millions of devices throughout the world,” said U.S. Attorney Randy Grossman. “Cyber criminals will not escape justice regardless of where they operate. Working with public and private partners around the globe, we will relentlessly pursue them while using all the tools at our disposal to disrupt their threats and prosecute those responsible.”  Grossman thanked the prosecution team, the FBI and the Department of Justice Criminal Division’s Computer Crimes and Intellectual Property Section for their excellent work on this case. 米国連邦検事のRandy Grossman氏は、次のように述べました。「RSOCKSボットネットは、世界中で数百万台のデバイスを危険にさらしています。サイバー犯罪者は、どこで活動しようとも、裁きを免れることはできません。世界中の公共および民間のパートナーと協力し、私たちは、彼らの脅威を破壊し、責任者を起訴するために、自由に使えるすべてのツールを使用しながら、彼らを容赦なく追及していきます。」  グロスマンは、検察チーム、FBI、司法省刑事局コンピューター犯罪・知的財産課のこの件に関する素晴らしい働きに対して感謝の意を表しました。
“This operation disrupted a highly sophisticated Russia-based cybercrime organization that conducted cyber intrusions in the United States and abroad,” said FBI Special Agent in Charge Stacey Moy. “Our fight against cybercriminal platforms is a critical component in ensuring cybersecurity and safety in the United States. The actions we are announcing today are a testament to the FBI’s ongoing commitment to pursuing foreign threat actors in collaboration with our international and private sector partners.” FBIのステイシー・モイ特別捜査官は次のように述べました。「この作戦は、米国内外でサイバー侵入を行った高度に洗練されたロシアを拠点とするサイバー犯罪組織を崩壊させました。サイバー犯罪のプラットフォームに対する我々の戦いは、米国のサイバーセキュリティと安全を確保するための重要な要素です。本日発表する措置は、海外や民間セクターのパートナーとの協力のもと、海外の脅威要因を追求するFBIの継続的な取り組みを証明するものです。」
A legitimate proxy service provides IP addresses to its clients for a fee. Typically, the proxy service provides access to IP addresses that it leases from internet service providers (ISPs). Rather than offer proxies that RSOCKS had leased, the RSOCKS botnet offered its clients access to IP addresses assigned to devices that had been hacked. The owners of these devices did not give the RSOCKS operator(s) authority to access their devices in order to use their IP addresses and route internet traffic. A cybercriminal who wanted to utilize the RSOCKS platform could use a web browser to navigate to a web-based “storefront” (i.e., a public web site that allows users to purchase access to the botnet), which allowed the customer to pay to rent access to a pool of proxies for a specified daily, weekly, or monthly time period. The cost for access to a pool of RSOCKS proxies ranged from $30 per day for access to 2,000 proxies to $200 per day for access to 90,000 proxies. 正規のプロキシ・サービスは、クライアントに対してIPアドレスを有料で提供します。通常、プロキシ・サービスは、インターネット・サービス・プロバイダー(ISP)から借用したIPアドレスへのアクセスを提供します。RSOCKSボットネットは、RSOCKSがリースしていたプロキシを提供するのではなく、ハッキングされたデバイスに割り当てられたIPアドレスへのアクセスをクライアントに提供していたのです。これらのデバイスの所有者は、IPアドレスを使用してインターネットトラフィックをルーティングするために、RSOCKSオペレータにデバイスにアクセスする権限を与えていませんでした。RSOCKS プラットフォームを利用しようとするサイバー犯罪者は、ウェブブラウザを使用してウェブベースの「ストアフロント」(ユーザーがボットネットへのアクセスを購入できる公開ウェブサイト)に移動し、顧客が指定した日、週、月の期間、プロキシのプールへのアクセスをレンタルするために支払うことができるようにします。RSOCKS プロキシのプールへのアクセス料は、2,000 個のプロキシへのアクセスが 1 日当たり 30 ドル、90,000 個のプロキシへのアクセスが 1 日当たり 200 ドルとなっています。
Once purchased, the customer could download a list of IP addresses and ports associated with one or more of the botnet’s backend servers. The customer could then route malicious internet traffic through the compromised victim devices to mask or hide the true source of the traffic. It is believed that the users of this type of proxy service were conducting large scale attacks against authentication services, also known as credential stuffing, and anonymizing themselves when accessing compromised social media accounts, or sending malicious email, such as phishing messages. 購入後、顧客はボットネットのバックエンドサーバーに関連するIPアドレスとポートのリストをダウンロードすることができます。そして、悪意のあるインターネットトラフィックを、侵害された犠牲者のデバイスを介してルーティングし、トラフィックの真のソースをマスクしたり隠したりすることができるようになります。この種のプロキシサービスのユーザーは、認証サービスに対する大規模な攻撃(クレデンシャル・スタッフィングとも呼ばれる)を行い、侵害されたソーシャルメディアアカウントにアクセスする際や、フィッシングメッセージなどの悪意のあるメールを送信する際に自身を匿名化したと考えられています。
As alleged in the unsealed warrant, FBI investigators used undercover purchases to obtain access to the RSOCKS botnet in order to identify its backend infrastructure and its victims. The initial undercover purchase in early 2017 identified approximately 325,000 compromised victim devices throughout the world with numerous devices located within San Diego County. Through analysis of the victim devices, investigators determined that the RSOCKS botnet compromised the victim device by conducting brute force attacks. The RSOCKS backend servers maintained a persistent connection to the compromised device. Several large public and private entities have been victims of the RSOCKS botnet, including a university, a hotel, a television studio, and an electronics manufacturer, as well as home businesses and individuals. At three of the victim locations, with consent, investigators replaced the compromised devices with government-controlled computers (i.e., honeypots), and all three were subsequently compromised by RSOCKS. The FBI identified at least six victims in San Diego. 公開された令状で主張されているように、FBI捜査官は、RSOCKSボットネットのバックエンドインフラとその被害者を特定するために、覆面購入を利用してアクセス権を取得しました。2017年初めに行われた最初の覆面購入では、世界中にある約32万5000台の感染した被害者デバイスを特定し、サンディエゴ郡内にある多数のデバイスを特定しました。捜査官は、被害者デバイスの分析を通じて、RSOCKSボットネットがブルートフォース攻撃を行うことで被害者デバイスを侵害したことを突き止めました。RSOCKSのバックエンドサーバーは、感染したデバイスとの持続的な接続を維持しました。RSOCKSボットネットの被害者は、大学、ホテル、テレビスタジオ、電子機器メーカーなど、複数の大規模な公共および民間企業、さらに一般家庭や個人も含まれています。被害者のうち 3か所では、同意を得て、捜査官が感染したデバイスを政府管理のコンピュータ(ハニーポットなど)に交換しましたが、3か所ともその後 RSOCKS に感染しました。FBIは、サンディエゴで少なくとも6人の被害者を確認しました。
This case was investigated by the FBI and is being prosecuted by Assistant U.S. Attorney Jonathan I. Shapiro of the Southern District of California and Ryan K.J. Dickey, Senior Counsel for the Department of Justice Criminal Division’s Computer Crimes and Intellectual Property Section.  The Department of Justice extends its appreciation to the authorities of Germany, the Netherlands, and the United Kingdom, the Justice Department’s Office of International Affairs and private sector cybersecurity company Black Echo, LLC for their assistance provided throughout the investigation. この事件は FBI によって捜査され、カリフォルニア州南部地区連邦検事補 Jonathan I. Shapiro と司法省刑事局コンピューター犯罪・知的財産課の上級弁護士 Ryan K.J. Dickey によって起訴されています。  司法省は、捜査を通じて提供されたドイツ、オランダ、英国当局、司法省国際局、民間企業のサイバーセキュリティ企業Black Echo, LLCの支援に感謝の意を表します。
In September 2020, FBI Director Christopher Wray announced the FBI’s new strategy for countering cyber threats. The strategy focuses on imposing risk and consequences on cyber adversaries through the FBI’s unique authorities, world-class capabilities, and enduring partnerships. Victims are encouraged to report the incident online with the Internet Crime Complaint Center (IC3) www.ic3.gov. 2020年9月、FBI長官クリストファー・レイは、サイバー脅威に対抗するためのFBIの新戦略を発表しました。この戦略では、FBI独自の権限、世界最高水準の能力、永続的なパートナーシップを通じて、サイバー敵対者にリスクと結果を課すことに重点を置いています。被害者は、インターネット犯罪苦情センター(IC3)www.ic3.govにオンラインで事件を報告することが推奨されます。

 

Fig1_20220411162001

 


 

参考

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.04 米国 FBI サイバーセキュリティに関するボストン会議2022でのFBI長官の基調講演

・2022.05.19 米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.12.26 2021年のEuropolのハイライト

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2020.09.17 米国 司法省 世界中で100名超の被害者に関連するコンピュータ侵入キャンペーンに関わったとしてApt41のメンバーを含む7名が起訴されたようですね

 

| | Comments (0)

内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)

こんにちは、丸山満彦です。

サイバーセキュリティ戦略本部第34回会合が開催され、サイバーセキュリティ2022(2021年度年次報告・2022年度年次計画)、重要インフラのサイバーセキュリティに係る行動計画が承認されましたね。。。

NISC

サイバーセキュリティ2022

 ・[PDF] 概要

20220621-02726

 

 ・[PDF] 全体

20220621-03935

目次...

はじめに

本編

1部 サイバーセキュリティ2022のポイント(「エグゼクティブ・サマリー」)
1
章 サイバー空間を巡る主な情勢の変化と昨今の状況
2
章 情勢の変化に伴い顕在化している政策課題
 1
サイバー空間上における脅威の高まりに対応するためのインシデントの未然防止
 2 「公共空間化」によるリスクの広がりに対応するための地域・中小企業等のセキュリティ強化・支援、サイバー犯罪への対応強化による安全・安心の確保
 3 厳しさを増す安全保障環境の中での国際協力・連携の強化

3
章 「自由、公正かつ安全なサイバー空間」の実現のために特に強力に取り組む施策
 1
官民連携のオールジャパンの推進体制強化〔ナショナルサート機能の強化〕
 2 重要インフラ事業者を始めとする民間部門のサイバーセキュリティの強化
 3 サイバー空間とフィジカル空間の融合に対応したサイバーセキュリティ対策
 4 地域・中小企業のサイバーセキュリティ対策
 5 サイバー警察局・サイバー特別捜査隊の新設による官民連携・国際連携の推進
 6 インド太平洋地域における能力構築支援の推進

2部 サイバーセキュリティに関する情勢
1
章 経済社会の活力の向上及び持続的発展
2
章 国民が安全で安心して暮らせるデジタル社会の実現
 1
国民・社会を守るためのセキュリティ基盤の構築
 2 経済社会基盤を支える各主体における情勢①(政府機関等)
 3 経済社会基盤を支える各主体における情勢②(重要インフラ)
 4 経済社会基盤を支える各主体における情勢③(大学・教育研究機関等)
 5 東京オリンピック・パラリンピック競技大会に向けた取組から得られた知見等の活用

3
章 国際社会の平和・安定及び我が国の安全保障への寄与
4
章 横断的施策
 1
サイバーセキュリティ分野の研究開発に関する動向
 2 IT・サイバーセキュリティ人材
 3 国民の意識・行動に関する動向

3部 戦略に基づく昨年度の取組実績、評価及び今年度の取組
1
章 経済社会の活力の向上及び持続的発展
 1
経営層の意識改革
 2 地域・中小企業におけるDX with Cybersecurityの推進
 3 新たな価値創出を支えるサプライチェーン等の信頼性確保に向けた基盤づくり
 4 誰も取り残さないデジタル/セキュリティ・リテラシーの向上と定着

2
章 国民が安全で安心して暮らせるデジタル社会の実現
 1
国民・社会を守るためのサイバーセキュリティ環境の提供
 2 デジタル庁を司令塔とするデジタル改革と一体となったサイバーセキュリティの確保
 3 経済社会基盤を支える各主体における取組①(政府機関等)
 4 経済社会基盤を支える各主体における取組②(重要インフラ)
 5 経済社会基盤を支える各主体における取組③(大学・教育研究機関等)
 6 多様な主体によるシームレスな情報共有・連携と東京オリンピック競技大会・東京パラリンピック競技大会に向けた取組から得られた知見等の活用
 7 大規模サイバー攻撃事態等への対処態勢の強化

3
章 国際社会の平和・安定及び我が国の安全保障への寄与
 1
「自由・公正かつ安全なサイバー空間」の確保
 2 我が国の防御力・抑止力・状況把握力の強化
 3 国際協力・連携
4章 横断的施策

 1
研究開発の推進
 2 人材の確保、育成、活躍促進
 3 全員参加による協働、普及啓発

5
章 推進体制

別添1 2022年度のサイバーセキュリティ関連施策
別添2 2021年度のサイバーセキュリティ関連施策の実施状況
別添3 各府省庁における情報セキュリティ対策の総合評価・方針
別添4 政府機関等における情報セキュリティ対策に関する統一的な取組
別添5 重要インフラ事業者等における情報セキュリティ対策に関する取組等
別添6 サイバーセキュリティ関連データ集
別添7 担当府省庁一覧(2022年度年次計画)
別添8 用語解説

 

・2022.06.17 [PDF] 重要インフラのサイバーセキュリティに係る行動計画

20220621-04141

目次

I. 総論
1.
重要インフラ防護の目的
2.
理想とする将来像
3.
サイバーセキュリティ基本法との整合性について
 3.1
サイバーセキュリティ基本法における行動計画の位置付け
 3.2 サイバーセキュリティ基本法におけるサイバーセキュリティの定義
 3.3 サイバーセキュリティ基本法における関係主体の責務

4.
本行動計画における施策群と補強・改善の方向性等

II. 本行動計画の要点(エグゼクティブサマリー)

III. 重要インフラを取り巻く環境変化と行動計画に関する基本的な考え方
1.
重要インフラを取り巻くサイバーセキュリティの環境変化
2.
重要インフラ防護の範囲
3.
組織統治の一部としてのサイバーセキュリティ
4.
自組織に適した防護対策の実現

IV. 計画期間内の取組
1.
障害対応体制の強化
 1.1
組織統治の一部としての障害対応体制 
 1.2 障害対応体制の強化に向けた取組
 1.3 官民一体となった障害対応体制の強化
 1.4 重要インフラに係る防護範囲の見直し

2.
安全基準等の整備及び浸透
 2.1
安全基準等策定指針の継続的改善
 2.2 安全基準等の継続的改善
 2.3 安全基準等の浸透
 2.4 安全基準等の文書の明確化

3.
情報共有体制の強化
 3.1
本行動計画期間における情報共有体制
 3.2 情報共有の更なる促進
 3.3 重要インフラ事業者等の活動の更なる活性化
 3.4 セプター訓練

4.
リスクマネジメントの活用
 4.1
リスクマネジメントの推進
 4.2 環境変化におけるリスク把握

5.
防護基盤の強化
 5.1
障害対応体制の有効性検証
 5.2 人材育成等の推進
 5.3 「セキュリティ・バイ・デザイン」の推進
 5.4 国際連携の推進
 5.5 サイバー犯罪対策等の強化
 5.6 デジタル庁と連携したセキュリティ確保
 5.7 広報広聴活動の推進

V. 関係主体において取り組むべき事項
1.
内閣官房
2.
重要インフラ所管省庁
3.
サイバーセキュリティ関係省庁
4.
事案対処省庁及び防災関係府省庁
5.
重要インフラ事業者等
6.
セプター及びセプター事務局
7.
セプターカウンシル
8.
サイバーセキュリティ関係機関
9.
サイバー空間関連事業者

VI. 評価・検証
1.
本行動計画の評価
 1.1
評価運営
 1.2
補完調査
2.
本行動計画の検証
 2.1
検証運営
 2.2
「重要インフラ事業者等による対策」の検証
 2.3
「政府機関等による施策」の検証

VII. 本行動計画の見直し

別添:情報連絡・情報提供について
1.
システムの不具合等に関する情報
2.
重要インフラ事業者等からの情報連絡
 2.1
情報連絡を行う場合
 2.2
情報連絡の仕組み
 2.3
情報連絡された情報の取扱い
3.
重要インフラ事業者等への情報提供
 3.1
情報提供を行う場合
 3.2
情報提供の仕組み
 3.3
情報提供のための連携体制

別紙1 対象となる重要インフラ事業者等と重要システム例
別紙2 重要インフラサービスとサービス維持レベル
別紙3 情報連絡における事象と原因の類型
別紙4-1 情報共有体制(通常時)
別紙4-2 情報共有体制(大規模重要インフラサービス障害対応時)
別紙4-3 情報共有体制における各関係主体の役割
別紙5 定義・用語集

 

決定文書

提出資料

関連資料

 

過去の資料については、こちら...

● 内閣官房サイバーセキュリティセンター - 政策 - 主要公表資料

歴史が全て詰まっている感じです。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2020.07.23 内閣官房サイバーセキュリティ 2020

...

・2012.07.22 内閣官房(NISC) 情報セキュリティ2012

・2011.06.11 内閣官房 パブコメ 「情報セキュリティ2011」(案)

・2010.07.23 内閣官房 確定 「セキュア・ジャパン2010」改め、「情報セキュリティ2010」を公表

 

 


 

■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリティ2021

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

2022.06.19

NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

こんにちは、丸山満彦です。

NISTが、NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル(ドラフト)を公表し、意見募集をしていますね。。。

NIST -ITL

・2022.06.17 NISTIR 8425 (Draft) Profile of the IoT Core Baseline for Consumer IoT Products

 

消費者プロファイルは次のような項目で考えているようです。。。

IoT Product Capabilities IoT製品の性能
Asset Identification  アセットアイデンティフィケーション 
Product Configuration 製品構成
Data Protection  データ保護 
Interface Access Control  インターフェースアクセス制御 
Software Update ソフトウェアアップデート
Cybersecurity State Awareness サイバーセキュリティの状態認識
IoT Product Non-Technical Supporting Capabilities   IoT製品の非技術的なサポート能力  
Documentation 文書化
Information and Query Reception 情報および問い合わせの受付
Information Dissemination 情報発信
Product and Education Awareness 製品・教育啓発

Fig1_20220619060201

 

NISTIR 8425 (Draft) Profile of the IoT Core Baseline for Consumer IoT Products NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
Abstract 概要
This publication documents the consumer profile of NIST’s IoT core baseline and identifies cybersecurity capabilities commonly needed for the consumer IoT sector (i.e., IoT products for home or personal use). It can also be a starting point for small businesses to consider in the purchase of IoT products. The consumer profile was developed as part of NIST’s response to Executive Order 14028 and was initially published in Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products. The consumer profile capabilities are phrased as cybersecurity outcomes that are intended to apply to the entire IoT product. This document also discusses the foundations to developing the recommended consumer profile and related considerations. NIST reviewed a landscape of relevant source documents to inform the consumer profile and engaged with stakeholders across a year-long effort to develop the recommendations. 本書は、NISTのIoTコアベースラインの消費者プロファイルを文書化し、消費者向けIoT分野(家庭用または個人用のIoT製品)に共通して必要なサイバーセキュリティ能力を特定するものである。また、中小企業がIoT製品を購入する際の検討材料とすることもできる。消費者向けプロファイルは、大統領令14028号へのNISTの対応の一環として開発され、当初は「消費者向けIoT(Internet of Things)製品のサイバーセキュリティラベリングに関する推奨基準」で発表された。消費者プロファイルの能力は、IoT製品全体に適用されることを意図したサイバーセキュリティの成果として表現されています。また、この文書では、推奨される消費者プロファイルを開発するための基礎と、関連する考慮事項についても述べている。NIST は、消費者プロファイルに情報を提供するために関連するソース文書をレビューし、推奨事項を策定するために1 年間の取り組みを通じて利害関係者と協力した。

 

・[PDF] NISTIR 8425 (Draft)

20220619-60444

 

1 Introduction 1 はじめに
2 Consumer Profile of IoT Core Baseline 2 IoT コアベースラインの消費者向けプロファイル
2.1 IoT Product Scope Statement 2.1 IoT製品スコープステートメント
2.2 Consumer Profile 2.2 消費者プロファイル
2.2.1 IoT Product Capabilities 2.2.1 IoT製品の能力
2.2.2 IoT Product Non-Technical Supporting Capabilities . 2.2.2 IoT製品の非技術的なサポート能力.
3 Consumer Sector Considerations Used to Create Profile  3 プロファイル作成に使用した消費者セクターの考慮事項 
3.1 Gathering Source Information about Consumer IoT Product Cybersecurity . 3.1 消費者向けIoT製品のサイバーセキュリティに関する情報源の収集.
3.2 Assessing Consumer IoT Product Cybersecurity Sources  3.2 消費者向けIoT製品のサイバーセキュリティの情報源の評価 
References 参考文献
List of Appendices 附属書一覧
Appendix A— Acronyms 附属書 A- 略語集
Appendix B— Glossary 附属書 B- 用語集
List of Figures 図一覧
Figure 1 – Capabilities Identified for the Consumer Profile. 図1-消費者プロファイルのために特定された能力
List of Tables 表一覧
Table 1 – Example Consumer IoT Vulnerabilities and the Relevant Capabilities from the Consumer Profile. 表1 - 消費者向けIoT脆弱性の例と、消費者プロファイルの関連機能。
Table 2 – Highlighted Insights and Key Takeaways From the Consumer Profiling Process 表2 - 消費者プロファイリングプロセスから得られた注目すべき洞察と主要な要点

 

Introduction  はじめに 
On May 12, 2021, the President issued Executive Order (EO) 14028 which, among other directives, called for NIST to recommend requirements for a consumer IoT product cybersecurity labeling program. As part of NIST’s response to this directive[1], a profile of the IoT core baseline[2] for consumer IoT products was created. This profile served as part of the recommendations that NIST published in response to the EO in February 2022 titled Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products [EO Criteria].  2021年5月12日、大統領は大統領令(EO)14028を発し、他の指令の中で、NISTに消費者向けIoT製品のサイバーセキュリティラベリングプログラムの要件を推奨するよう求めた。この指令[1]に対するNISTの対応の一環として、消費者向けIoT製品のIoTコアベースライン[2]のプロファイルが作成された。このプロファイルは、NISTが2022年2月にEOに対応して発表した「消費者向けIoT(Internet of Things)製品のサイバーセキュリティラベリングに関する推奨基準 [EO Criteria] 」という勧告の一部となったものである。
The profile builds on the NISTIR 8259 series by extending the IoT Core Baseline for consumer  このプロファイルは、NISTIR 8259シリーズをベースに、IoT Core Baselineを消費者向け製品向けに拡張したものである。
IoT products. NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers [IR8259], provides foundational guidance for IoT device manufacturers pertaining to developing IoT devices that can be used securely by customers. NISTIR 8259 does not target any specific IoT sector but discusses how manufacturers can approach cybersecurity for IoT devices in general. NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline [IR8259A], and NISTIR 8295B, IoT Non-Technical Supporting Capability Core Baseline [IR8259B] define the IoT device cybersecurity capability core baseline (also referred to as the core baseline), a starting point for manufacturers to use in identifying the cybersecurity capabilities their customers may expect from the IoT devices they create. NISTIR 8259A discusses device cybersecurity capabilities, which are functions or features implemented by the device through its own hardware and software. For example, NISTIR 8259A discusses concepts such as data protection, access control, and software update, among others. NISTIR 8259B discusses non-technical supporting capabilities, which are actions taken by organizations to support the cybersecurity of the device. For example, NISTIR 8259B discusses concepts such as education and awareness, and information and query reception (by manufacturers).  IoT製品に拡張することで、NISTIR 8259シリーズを構築している。NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers [IR8259]は、顧客が安全に使用できるIoTデバイスの開発に関わるIoTデバイスメーカー向けの基礎的なガイダンスを提供する。NISTIR 8259は、特定のIoT分野を対象としておらず、製造業者がIoTデバイス全般のサイバーセキュリティにどのようにアプローチできるかを論じている。NISTIR 8259A、IoTデバイスサイバーセキュリティ能力コアベースライン [IR8259A]、およびNISTIR 8295B、IoT非技術的支援能力コアベースライン [IR259B] は、IoTデバイスサイバーセキュリティ能力コアベースライン(コアベースラインとも呼ばれる)、製造者がその顧客が作成するIoTデバイスに期待されるサイバーセキュリティ能力を識別するにあたって用いる出発点、を定義している。NISTIR 8259Aは、デバイスが自身のハードウェアとソフトウェアを通じて実装する機能または特徴であるデバイスのサイバーセキュリティ能力について論じている。例えば、NISTIR 8259Aは、データ保護、アクセス制御、ソフトウェア更新などの概念について論じている。NISTIR 8259Bは、非技術的な支援能力について述べており、デバイスのサイバーセキュリティを支援するために組織が取る行動である。例えば、NISTIR 8259Bは、教育や意識向上、(製造業者による)情報や問い合わせの受付といった概念について論じている。
Like NISTIR 8259, these baseline documents do not consider any sector or use case specific considerations, and instead present a starting point for any IoT device. Tailoring the baseline capabilities for a specific sector and/or use case requires a form of profiling. The profiling process using NISTIR 8259/A/B directs a profiler to gather sector-/use case-specific information and interpret the relevant impacts of this information to select the baseline capabilities most applicable to and responsive of the needs and goal of customers for the sector/use case.   NISTIR 8259と同様に、これらのベースライン文書では、セクターやユースケースに特有の考慮事項はなく、代わりにあらゆるIoTデバイスの出発点を提示している。特定のセクターやユースケース向けにベースライン能力を調整するには、一種のプロファイリングが必要である。NISTIR 8259/A/Bを用いたプロファイリングプロセスは、プロファイラーにセクター/ユースケース固有の情報を収集し、この情報の関連する影響を解釈して、セクター/ユースケースの顧客のニーズと目標に最も適用でき、対応するベースライン能力を選択するように指示する。 
The rest of this document describes the results of this profiling process for the consumer sector and is organized as follows:  本書の残りの部分では、消費者セクターに関するこのプロファイリングプロセスの結果について説明し、以下のように構成されている。
•       Section 2 explains the intended applicability of the consumer profile to consumer IoT products and defines the consumer profile.  ・ セクション 2 では、消費者プロファイルの消費者向け IoT 製品への意図された適用性を説明し、消費者向けプロファイルを定義している。
•       Section 3 describes the process used to develop the consumer profile in more depth.  ・ セクション 3 では、消費者プロファイルの開発に使用したプロセスをより深く説明する。
•       Section 4 explores some additional considerations readers should consider when using the consumer profile.  ・ セクション 4 では、読者が消費者プロファイルを使用する際に考慮すべき追加事項を探る。
[1] For more information about NIST’s response to EO 14028’s call for recommendations for a consumer IoT product cybersecurity label, visit [web]. [1] EO 14028 の消費者向け IoT 製品のサイバーセキュリティラベルに関する勧告の募集に対する NIST の回答の詳細については、[web] を参照。 
[2] The terms core baseline, IoT core baseline, and IoT device core capability baseline all refer to the set of capabilities presented in NISTIRs 8259A and 8259B.  [2] コアベースライン、IoT コアベースライン、および IoT デバイスコア能力ベースラインという用語はすべて、NISTIRs 8259A および 8259B に示される一連の能力を指す。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

NIST IoT関連の歴史...

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

 

White Paper

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

 

NISTIR 8259関連

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

その他NIST。。。

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨基準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

 

| | Comments (0)

2022.06.15

英国 健康分野のデータ戦略

こんにちは、丸山満彦です。

英国(正確にはイングランド)の新しい健康分野のデータ戦略が公表されていますね。。。

 

なぜ、健康分野のデータ戦略が重要となるか。。。

We can plan and commission services that provide what each local area needs and support effective integrated care systems. それぞれの地域が必要とするものを提供するサービスを計画し、委託し、効果的な統合ケアシステムをサポートすることができる
We can develop new diagnostics, treatments and insights from analysing information so the public have the best possible care and can improve their overall wellbeing. 情報の分析から新しい診断法、治療法、洞察を開発し、国民が最善のケアを受け、全体的な健康状態を向上させることができる
We can stop asking the public to repeat their information unnecessarily by having it available at the right time. 適切なタイミングで情報を入手できるようにすることで、国民に不必要な情報の繰り返しを求めないようにすることができる
We can assess the safety and quality of care to keep the public safe, both for their individual care and to improve guidance and regulations. 国民が安全でいられるように、ケアの安全性と質を評価し、個々のケアとガイダンスや規制の改善の両方を行うことができる
We can better manage public health issues such as COVID-19, health and care disparities, and sexual health. COVID-19、医療・介護格差、セクシャルヘルスなどの公衆衛生問題をよりよく管理することができる
We can help the public make informed decisions about their care, including choosing clinicians, such as through patient-reported outcome measures (PROMs) that assess the quality of care delivered from a patient’s perspective. 患者の視点から提供されるケアの質を評価する患者報告型成果指標(PROMs)などを通じて、国民が臨床医の選択を含め、ケアに関して十分な情報を得た上で意思決定できるようにすることができる

 

 

ビジョン...

1. Improving trust in the health and care system’s use of data 1. 医療・介護システムのデータ活用に対する信頼性の向上
Our vision: the public have confidence in how their data will be handled, and are happy for their data to be used to improve the care that they and others receive 私たちのビジョン:国民は、自分のデータがどのように扱われるかに信頼を持ち、自分や他の人が受けるケアを改善するために自分のデータが使われることに満足している。
2. Giving health and care professionals the information they need to provide the best possible care 2. 医療・介護の専門家に、最善のケアを提供するために必要な情報の提供
Our vision: staff will have easy access to the right information to provide the best possible care 私たちのビジョン:スタッフは最善のケアを提供するために適切な情報に容易にアクセスできるようになる。
3. Improving data for adult social care 3. 成人の社会的ケアのためのデータの改善
Our vision: members of the public and their care teams will have access to timely, high-quality data to improve care quality and inform choices about their care and support 私たちのビジョン:市民とケアチームは、ケアの質を向上させ、ケアとサポートに関する選択に情報を提供するために、タイムリーで質の高いデータにアクセスできるようになる。
4. Supporting local and national decision-makers with data 4. 地域や国の意思決定者へのデータによる支援
Our vision: leaders and policymakers in every community will have up-to-date sophisticated data to make effective decisions, and help the health and care system run at its best 私たちのビジョン:すべてのコミュニティのリーダーや政策立案者が、効果的な意思決定を行うための最新の洗練されたデータを持ち、医療・介護システムが最高の状態で運営されるよう支援する。
5. Empowering researchers with the data they need to develop life-changing treatments, diagnostics, models of care and insights 5. 人生を変える治療法、診断法、ケアモデル、洞察を開発するために必要なデータによる研究者の支援
Our vision: researchers will be able to safely and easily access data to provide innovative solutions to health and care issues for the benefit of all 私たちのビジョン:研究者が安全かつ容易にデータにアクセスできるようになり、すべての人の利益のために医療とケアの問題に対する革新的な解決策を提供できるようになる。
6. Working with partners to develop innovations that improve health and care 6. パートナーとの協働による医療・介護の改善に向けたイノベーションの開発
Our vision: innovators will be supported to develop and deliver new solutions quickly and safely for the benefit of all citizens, staff and the system 私たちのビジョン: 改革者は、すべての市民、スタッフ、システムの利益のために、新しいソリューションを迅速かつ安全に開発し、提供するために支援される。
7. Developing the right technical infrastructure 7. 適切な技術インフラの開発
Our vision: we will ensure the data architecture underpinning the health and care system can easily work together to make more effective and efficient use of data 私たちのビジョン:医療・介護システムを支えるデータアーキテクチャが容易に連携し、より効果的かつ効率的にデータを活用できるようにする。

 

ということのようです。。。

● Gov U.K. - Government - Cyber security

・2022.06.13 Policy paper Data saves lives: reshaping health and social care with data

 

Policy paper: Data saves lives: reshaping health and social care with data ポリシーペーパー データは命を救う:データで医療と社会保障を再構築する
This final version of the strategy sets out ambitious plans to harness the potential of data in health and care in England, while maintaining the highest standards of privacy and ethics. この戦略の最終版は、プライバシーと倫理の最高水準を維持しながら、イングランドの医療とケアにおけるデータの可能性を活用するための野心的な計画を示しています。
Department of Health and Social Care 保健社会福祉省
Applies to England イングランドに適用
Documents 本文文書
Data saves lives: reshaping health and social care with data データは命を救う:データで医療と社会保障を再構築する
Details 詳細
This strategy sets out the Secretary of State for Health and Social Care’s vision for how data will be used to improve the health and care of the population in a safe, trusted and transparent way. It: この戦略は、安全、信頼、透明な方法で国民の健康とケアを改善するためにデータをどのように利用するかについての保健社会福祉省の国務長官のビジョンを示しています。それは
provides an overarching narrative and action plan to address the current cultural, behavioural and structural barriers in the system, with the ultimate goal of having a health and care system that is underpinned by high-quality and readily available data 高品質で容易に入手可能なデータに支えられた医療・介護システムを持つという最終目標に向けて、システムにおける現在の文化的、行動的、構造的な障壁に対処するための包括的な物語と行動計画を提供する。
marks the next steps of the discussion about how we can best utilise data for the benefit of patients, service users, and the health and care system 患者、サービス利用者、医療・介護システムの利益のために、どのようにデータを最もよく活用できるかについて、次のステップの議論を開始する。
This strategy applies to England only 本戦略はイングランドのみ適用
The strategy covers England only, in line with health as a devolved policy, but also sets out the government’s commitment to continue working collaboratively with the devolved administrations. 本戦略は、保健医療を分権政策としているため、イングランドのみを対象としていますが、分権行政機関との協力関係を継続する政府のコミットメントも示しています。
The strategy was published in draft format in June 2021 to enable full and open engagement. Feedback received during that period has informed this final version of the strategy. この戦略は、完全かつオープンなエンゲージメントを可能にするため、2021年6月にドラフト形式で発表された。この期間中に寄せられたフィードバックが、この戦略の最終版に反映されています。
Read more on why health and care data matters. 医療・介護データが重要な理由については、こちらをご覧ください。

 

本文

Data saves lives: reshaping health and social care with data

目次

Ministerial foreword 大臣序文
NHS England Transformation Director foreword NHSイングランド・トランスフォーメーション・ディレクター序文
1.Improving trust in the health and care system’s use of data 1. 医療・介護システムのデータ活用に対する信頼性の向上
2.Giving health and care professionals the information they need to provide the best possible care 2. 医療・介護の専門家に、最善のケアを提供するために必要な情報の提供
3.Improving data for adult social care 3. 成人の社会的ケアのためのデータの改善
4.Supporting local and national decision-makers with data 4. 地域や国の意思決定者へのデータによる支援
5.Empowering researchers with the data they need to develop life-changing treatments, diagnostics, models of care and insights 5. 人生を変える治療法、診断法、ケアモデル、洞察を開発するために必要なデータによる研究者の支援
6.Working with partners to develop innovations that improve health and care 6. パートナーとの協働による医療・介護の改善に向けたイノベーションの開発
7.Developing the right technical infrastructure 7. 適切な技術インフラの開発
How you can get involved 参加方法
Annex A: legislative changes 附属書A:法改正
Annex B: list of commitments 附属書B:公約のリスト
Annex C: organisations who provided feedback on the draft strategy 附属書C:戦略草案へのフィードバックを行った組織
Annex D: recommendations of the Goldacre review 附属書D:ゴールドエーカーレビューの勧告
Annex E: glossary 附属書E:用語集

 

サジッド・ジャビット大臣のスピーチはこちら。。。

・2022.06.13 Speech Data saves lives: reshaping health and social care with data

Data saves lives: reshaping health and social care with data データは命を救う:データで医療と社会保障を再構築する
The Health and Social Care Secretary spoke at London Tech Week’s HealthTech Summit to launch the new data in health strategy, Data saves lives: reshaping health and social care with data ロンドン・テック・ウィークのヘルステック・サミットで、保健社会福祉長官が講演し、新しい保健分野のデータ戦略「データは命を救う:データで保健・社会福祉を再構築する」を発表しました。
Department of Health and Social Care and The Rt Hon Sajid Javid MP 保健社会福祉省とサジッド・ジャビット議員
13 June 2022 (Transcript of the speech, exactly as it was delivered) 2022年6月13日(スピーチ原稿、配信したもの)
This is my second London Tech Week in this role, and it couldn’t be more different from the last. Last year’s London Tech Week was delayed to September due to Covid, but it was also virtual, and it’s great that we can meet like this face-to-face. It’s brilliant that London Tech Week is back in its rightful place this summer. It’s yet another example of how life is returning back to normal, and it’s our tech pioneers who have helped get us here. 今回で2回目のロンドン・テック・ウィークですが、前回とこれほど違うことはないでしょう。昨年のLondon Tech Weekは、Covidの関係で9月に延期されましたが、バーチャルでもあり、こうして顔を合わせることができるのは、素晴らしいことです。この夏、London Tech Weekが本来の場所に戻ってきたのは、素晴らしいことです。この夏、ロンドンテックウィークが本来の場所に戻ってきたのは素晴らしいことで、これも生活が正常に戻りつつあることの一例です。
Technology is something that I’ve always been very excited about because the story of technology is the story of human progress. When I took my current role, I saw so many opportunities where I could make a difference. The NHS, as many of you will know, is one of the world’s largest employers with some 1.4 million employees, and health and care, it’s fair to say, touches us all – it may be you, it may be your loved one, but we all care about our health and care, especially over the last few years. It’s with us and important to us from our first moments to our last moments. テクノロジーは、私がいつもとても楽しみにしているものです。なぜなら、テクノロジーの物語は人類の進歩の物語でもあるからです。私が現在の職務に就いたとき、自分が貢献できる機会がたくさんあると思いました。NHSは、ご存知のように140万人の従業員を擁する世界最大の雇用者のひとつであり、医療とケアは私たち全員に関わることだと言ってもいいでしょう。私たちの最初の瞬間から最後の瞬間まで、私たちとともにあり、私たちにとって重要なものなのです。
And so I believe we have the scope and the scale to drive some incredible change, especially if we build on what we’ve learned during the pandemic, where you could say we’ve seen at least a decade of change, at least a decade of change, happen in just a couple of years. It’s brilliant to be here with some pioneers that have helped make that change happen. You more than anyone understand the benefits that digital transformation can bring, but we need to keep shouting about it and be unafraid to be ambitious about what we can achieve. 特に、パンデミック時に学んだことを基にすれば、少なくとも10年分の変化が、たった2、3年で起こったと言えるでしょう。その変化の実現に貢献したパイオニアたちと一緒にここにいられることは、素晴らしいことです。皆さんは、デジタルトランスフォーメーションがもたらす利益を誰よりも理解しているはずです。しかし、私たちはそれを叫び続け、何を達成できるかについて臆することなく、野心的になる必要があるのです。
You may have seen a few headlines over the last few days about some comments I made in Cabinet last week, where I talked about the health and care system, and I said it must avoid the curse of Blockbuster. Who remembers Blockbuster? Who was a Blockbuster member? You’ll remember this was a company that fell behind the change that was happening around it, and it never fully recovered. Less than two decades ago, Blockbuster had more than 9000 stores across the globe. Now it has just one. It’s a museum that hosts 1990s-themed sleepovers. That’s true. Meanwhile Netflix, who not so long ago were sending people DVDs in the mail, they adapted, and now they’re one of the world’s most successful media companies. 先週、私が内閣で行ったコメントについて、いくつかの見出しをご覧になったかもしれません。私が医療・介護システムについて語り、ブロックバスターの呪いを回避しなければならないと述べたのです。ブロックバスターを覚えている人はいるだろうか?ブロックバスターのメンバーだった人はいますか?この会社は、周囲で起こっていた変化に遅れをとり、完全に立ち直ることができなかったことを覚えていることでしょう。20年弱前、ブロックバスターは世界中に9000以上の店舗を持っていました。それが今では、たった1店舗になってしまいました。1990年代をテーマにしたお泊まり会を開催する博物館です。その通りです。一方、Netflixは、少し前までは人々にDVDを郵送していましたが、適応し、今では世界で最も成功したメディア企業の一つになっています。
Of course, health and care is far more instrumental and important to our lives than a video store, but the message remains the same. I firmly believe in the founding principles of the NHS: having a world-class health system paid out of general taxation that’s free at the point of use. But we must acknowledge that if health and care doesn’t keep up with the rapidly changing world around us, then we will get stuck in the slow lane, and we won’t be able to deliver the care that people deserve and expect. もちろん、医療や介護はビデオショップよりもはるかに生活に密着した重要なものですが、メッセージは変わりません。私は、NHSの創設の理念を固く信じています。それは、一般税から支払われる世界レベルの医療システムを、利用する時点では無料で提供することです。しかし、私たちを取り巻く世界が急速に変化する中で、医療や介護がそれに追いついていかなければ、私たちは遅い車線から抜け出せなくなり、人々が値する、期待する医療を提供することができなくなることを認識しなければならないのです。
I’m coming up to almost a year in this role, and I remember when I first came into this office, one of my very first decisions was to bring what was NHSX and NHSD, and put that together to merge it with NHS England, convening all of the NHS’s digital bodies under one roof for the very first time. Imagine if any one of your organisations, or indeed any FTSE 100 company for example, allowing responsibility for one of the most important leaders of change, digital transformation, to sit outside their organisation – especially an organisation that is as crucial to the nation’s health and happiness as the NHS. Because digital isn’t an add on. It is something you cannot delegate; it must be owned and driven from the very top. This is something I will do and Amanda Pritchard, head of the NHS, that we both will do for as long as we are responsible. 私はこの役職に就いてもうすぐ1年になりますが、私がこのオフィスに初めて来たとき、最初の決定の1つは、NHSXとNHSDをまとめ、NHSイングランドと合併させ、NHSのすべてのデジタル機関を初めて1つの屋根の下に招集することだったのを覚えています。もし、皆さんの組織、あるいはFTSE100社のような企業が、変革の最も重要なリーダーの1つであるデジタル変革の責任を組織の外に置くことを許していたらと想像してみてください - 特に、NHSのように国民の健康と幸福にとって重要な組織ではなおさらです。なぜなら、デジタルは付加的なものではないからです。なぜなら、デジタルは付加価値ではなく、トップが所有し、推進しなければならないものだからです。これは、私もNHSの責任者であるアマンダ・プリチャードも、責任者である限り、ずっとやっていくことです。
So we are now needing a radical programme of digital reform that will make sure the NHS is set up to meet the challenges of 2048 – not 1948, when it was first established. I have already given the NHS a new target of to ensure 90% coverage of Electronic Patient Records by the end of next year, and we are on track to hit that. Although it’s fantastic that the NHS already has seen 63% of English adults have downloaded the NHS app – last year I understand it was the most-downloaded free iPhone app in England – I’m determined to make sure this number for the app reaches 75% of all adults in England, and we will do this by adding much more functionality to the app. ですから、NHSが設立された1948年ではなく、2048年の課題に対応できるような、抜本的なデジタル改革プログラムが今必要なのです。私はすでにNHSに、来年末までに電子患者記録の普及率を90%にするという新しい目標を与えており、私たちはその達成に向けて順調に進んでいます。すでにNHSでは、英国の成人の63%がNHSアプリをダウンロードしており、昨年は英国で最もダウンロードされた無料のiPhoneアプリだったと聞いており、素晴らしいことだと思います。私は、このアプリのダウンロード数がイングランドの成人の75%に達するよう、アプリの機能をさらに充実させたいと考えています。
We’re also publishing a series of transformative documents showing the changes that we need to see in health and care. Last week, I accepted the recommendations of the independent Health and Care Leadership Review, and we will very soon be publishing the Digital Health and Care Plan, which will put in one single place our overall vision for this digital transformation. 私たちはまた、医療と介護に必要な変化を示す一連の変革のための文書を発表しています。先週、私は独立機関であるヘルス&ケア・リーダーシップ・レビューの勧告を受諾しました。私たちは間もなく、このデジタル変革のための全体的なビジョンを一箇所にまとめた「デジタル・ヘルス&ケア計画」を発表する予定です。
Today, I want to talk to you about another major milestone: the publication of our new Data Strategy. The strapline for this strategy says it all: data saves lives. This landmark document will look at how we can build on the momentum that we’ve seen and apply the lessons of the twin challenges of recovery and reform. It’s a document with something for everyone, whatever part you play in health and care, and today I want to take you through some of the themes that underpin this new strategy. 今日は、もうひとつの大きなマイルストーン、新しいデータ戦略の発表についてお話したいと思います。この戦略のキャッチフレーズは、「データは命を救う」ということをすべて物語っています。この画期的な文書では、これまでの勢いをさらに強め、復興と改革という2つの課題から得た教訓をどのように生かすことができるかを検討します。この文書は、医療と介護に携わるすべての人に役立つものです。今日は、この新戦略を支えるテーマをいくつかご紹介したいと思います。
First, how we will improve trust in data, which is the currency that data-driven technologies need to function. Research from the Open Data Institute says that when it comes to handling personal data, the NHS is already one of the most trusted organisations in the UK, and surveys show that the majority of people are supportive of their health and care data being used to help others. まず、データ駆動型テクノロジーが機能するために必要な通貨であるデータへの信頼をどのように向上させるかです。Open Data Instituteの調査によると、個人データの取り扱いに関して、NHSはすでに英国で最も信頼されている組織の一つであり、調査によると、大多数の人が自分の医療・介護データが他の人を助けるために使われることに賛成しているそうです。
Of course this is a great starting point to build from, but we cannot take public trust for granted, and we haven’t always got this right, so we need to demonstrate that we are a trusted custodian of data. We will work with the public, including people working in health and care, to develop a new pact on data, which will set out how we will use health and care data and what the public has the right to expect. もちろん、これは素晴らしい出発点ですが、私たちは国民の信頼を当然と考えることはできませんし、常にこれを正しく理解してきたわけではありませんから、私たちが信頼されるデータの管理者であることを示す必要があるのです。私たちは、医療・介護に携わる人々を含む国民と協力し、医療・介護データの利用方法と国民が期待する権利について定めた、データに関する新しい協定を策定する予定です。
Second, we must give health and care professionals the information they need to provide the best possible care. Some 27% of doctors who responded to a survey by the BMA said that they lost over four hours a week because of inefficient hardware or systems that they use. We must free up their time to focus on what they do best: giving the best quality care. 第二に、私たちは医療・介護の専門家に、最高のケアを提供するために必要な情報を提供しなければなりません。BMAの調査に回答した医師の約27%は、使用しているハードウェアやシステムが非効率的であるために、週に4時間以上の時間を失っていると回答しています。私たちは、医師の時間を解放し、彼らが最も得意とすること、つまり最高の質の医療を提供することに集中できるようにしなければなりません。
To do this, we need to have shared records so clinicians can make decisions based on all the relevant information, whichever part of the system they have come from, and add to the same shared record in a safe and straightforward way. This means better, more accurate diagnoses, but it will also help to spur the more personalised care that is so important to my plans for reform. Basic shared records are now in place in all Integrated Care Systems, which of course I think is a fantastic start. But as well as putting these systems in place, we need to give people the confidence to use them. そのためには、臨床医がシステムのどの部分から来たにせよ、すべての関連情報に基づいて意思決定を行い、安全でわかりやすい方法で同じ共有記録に追加できるよう、記録の共有化が必要です。これは、より良い、より正確な診断を意味しますが、私の改革計画にとって非常に重要な、より個別化されたケアに拍車をかけることにもつながります。基本的な共有記録は現在、すべての統合ケアシステムで実施されており、これはもちろん素晴らしいスタートだと思います。しかし、このようなシステムを導入するだけでなく、それを利用する自信を人々に与える必要があります。
We hear from many staff that they are hesitant when it comes to using data, as they are worried they might get some things wrong. We need a fundamental shift in culture. The duty of patient confidentiality stretches back to the Hippocratic Oath and is rightly seen as sacred, but the duty to safely use data must be seen as just as important. To do this, guidance to colleagues on how they can use data must be as clear and as simple as possible. We saw some huge steps in this regard during the pandemic, where we simplified vital information, vital guidance onto just one page, and we’ll be applying this approach to guidance across health and care to bring safety and clarity. 多くのスタッフから、データを使うことに躊躇してしまう、何か間違いがあるのではないかと心配してしまうという声を聞きます。私たちは、文化の根本的な転換を図る必要があります。患者の守秘義務はヒポクラテスの誓いにまで遡り、当然ながら神聖視されていますが、データを安全に利用する義務も同様に重要視されなければなりません。そのためには、データの利用方法に関する同僚へのガイダンスが、可能な限り明確でシンプルでなければなりません。私たちは、パンデミックの際に、重要な情報と重要なガイダンスをたった1ページに簡素化することで、この点での大きな一歩を踏み出しました。
I want to move to an approach where safe access to data is the default, because the opportunities that this data can unlock are too important to be left to chance. So, we will introduce a new legal power that means health and care organisations can require anonymous information from each other and from commissioned private providers. This will help us to smash silos, and make sure that anonymous information can be shared more easily across the system. 私は、データへの安全なアクセスをデフォルトとするアプローチに移行したいと考えています。なぜなら、データによって引き出される機会は、偶然に任せるにはあまりにも重要だからです。そこで私たちは、医療・介護機関が互いに、また委託された民間事業者に匿名の情報を要求できる新たな法的権限を導入する予定です。これにより、縦割り行政を打破し、匿名の情報をシステム全体でより簡単に共有できるようにします。
Third, we will place a particular focus on promoting data-driven technologies in adult social care too. We must be open and honest about the fact that social care lags behind the NHS when it comes to digital transformation. Currently, only 45% of social care providers use a digital social care record, the same percentage that has expressed concern that their staff lacked digital skills. Too many staff in social care are spending their days chasing health updates and discharge summaries and dealing with antiquated paper-based systems and we must urgently bring a close to this digital divide. 第三に、大人の社会的養護においても、データ駆動型テクノロジーの推進に特に重点を置くことにしています。デジタル・トランスフォーメーションに関して、ソーシャル・ケアがNHSに遅れをとっているという事実に対して、私たちは率直で正直であるべきです。現在、ソーシャルケア事業者のうち、デジタル・ソーシャルケア記録を使用しているのは45%に過ぎず、この割合は、職員にデジタル技術がないことを懸念しているのと同じです。ソーシャルケアでは、あまりにも多くのスタッフが、健康状態のアップデートや退院サマリーを追いかけ、時代遅れの紙ベースのシステムに対処する日々を送っており、私たちは早急にこのデジタルデバイドに終止符を打つ必要があります。
We have already committed to investing at least £150 million to support digital transformation in adult social care, and the Data Strategy builds on this investment, showing how we will be develop a comprehensive digital training offer for people who work in the sector, and how we will join the gaps that exist when it comes to data sharing between health and social care so it’s only collected once and then flows right across the system. 私たちはすでに、成人社会福祉施設のデジタル変革を支援するために少なくとも1億5000万ポンドを投資することを約束しています。データ戦略はこの投資に基づいており、この部門で働く人々のために包括的なデジタルトレーニングを開発し、医療と社会福祉間のデータ共有に関して存在するギャップにどう対処し、データを一度収集するだけでシステム全体に流れるようにするかについて示しています。
To do this, I want us to be using the NHS number universally across adult social care, and by March 2024 we’ve set a target for at least 80% of all CQC-registered social care providers to have a digitised care record, which will be integrated with the wider shared care record. To back this work, I’m pleased to announce today that we are launching £25 million of funding this year across all Integrated Care Systems in England. また、2024年3月までに、CQCに登録されたソーシャル・ケア提供者の少なくとも80%が、電子化されたケア記録を持ち、より広範な共有ケア記録と統合されるという目標を設定しています。この活動を支援するために、今年、イングランドのすべての統合ケアシステムに対して2500万ポンドの資金提供を開始することを、本日発表できることを嬉しく思います。
This is the first of three years of funding that will allow ICSs to work with partners in social care to scale up adoption of these records. Along with other promising technologies, like for example sensors to detect and prevent falls, I want to see a technology revolution in adult social care. これは、ICSがソーシャルケアのパートナーと協力して、これらの記録の採用を拡大するための3年間の資金提供の第一弾となります。例えば、転倒を検知して予防するセンサーなど、他の有望な技術とともに、私は成人の社会的養護における技術革命を見たいと思います。
Fourth, we will give local and national decision makers better and more sophisticated data to help them to plan services. When it came to making important decisions about our life and liberty during the pandemic, I would depend on platforms like the coronavirus dashboard, some of you might remember, which brought together data sources from across Government in a clear and accessible way. For me and other ministers this was absolutely invaluable. Now that we’re living with Covid and taking forward the important reforms that are essential to health and care, we must take this forward. 第四に、地域や国の意思決定者がサービスを計画するのに役立つ、より良い、より洗練されたデータを提供することです。パンデミック時に私たちの生命と自由に関する重要な決定を下す際には、コロナウイルスダッシュボードのようなプラットフォームに頼ることになります。私や他の大臣にとって、これは本当に貴重なものでした。コビドとともに生き、医療と介護に不可欠な重要な改革を進めている今、私たちはこれをさらに前進させなければなりません。
Running through all these reforms is a population-based approach, which draws on all of the elements that determine our health in a local area. Traditional divisions that may have been created decades ago, like between the NHS and council services, have created deep-seated divisions in data too. Not only has this led to a lack of coordination in care, but it makes it harder for local and national leaders to plan, to develop and to commission policy. これらの改革を貫いているのは、人口ベースのアプローチであり、地方における私たちの健康を決定するすべての要素に注目することです。NHSと自治体サービスのように、何十年も前に作られたかもしれない伝統的な区分は、データ上でも根深い区分を生み出しています。そのため、ケアの連携がうまくいかないだけでなく、地域や国のリーダーが計画を立て、政策を立案し、委託することが難しくなっています。
Now that we are taking forward this more coordinated approach through our new Integrated Care Systems and the Integration White Paper, this is the perfect moment to bring data together and reap the benefits. So, we will develop a federated data platform which will allow Integrated Care Systems to bring together operational data – for example the number of hospital beds in their area, or the availability of medical supplies – to allow for better decision making and a clearer picture of population health. 今、私たちは、新しい統合ケアシステムと統合白書を通じて、より協調的なアプローチを進めています。今こそ、データを統合し、そのメリットを享受する絶好の機会です。そこで私たちは、統合ケアシステムが運用データをまとめられるよう、連携データプラットフォームを開発する予定です。 例えば、地域の病床数や医薬品の在庫状況など、より良い意思決定と住民の健康状態の明確な把握を可能にするためです。
This type of technology, already being piloted by the NHS, will allow organisations to coordinate care between them, ultimately freeing up more clinical time for care, and helping ICSs to share data and learn more quickly from each other. このようなテクノロジーは、すでにNHSで試験的に導入されており、組織間のケアの調整を可能にし、最終的にはより多くの臨床時間をケアのために解放し、ICSがデータを共有し、より迅速に相互に学習することを支援します。
Finally, I want to talk about the work that we are doing for pioneers like you. In this country we have some of the world’s best research institutes and universities, a powerhouse life sciences sector, and a thriving health tech industry. Growth in health tech is nearly six times larger than growth across the rest of the economy, so not only are you making the country healthier, but you are making it more productive and prosperous too. 最後に、皆さんのようなパイオニアのために、私たちが行っている活動についてお話したいと思います。この国には、世界最高の研究機関や大学、強力なライフサイエンス部門、そして盛んなヘルステック産業があります。ヘルステックの成長率は、他の経済全体の成長率の6倍近くにもなります。つまり、この国をより健康にするだけでなく、より生産的で豊かな国にしているのです。
I see my role as making sure this country is seen as the best-possible place for innovators to come and make their breakthroughs here, and to be the natural home for tech talent from right across the world. As we chart a new course after leaving the EU, I am determined to pursue every single opportunity to give ourselves a competitive advantage, and that includes our approach to data. 私の役割は、この国がイノベーターにとって最高の場所であり、世界中から技術系の人材が集まり、飛躍的な進歩を遂げることができる場所だと思われるようにすることだと考えています。EU離脱後の新しい道筋を描くにあたり、私は、競争上の優位性をもたらすあらゆる機会を追求することを決意しており、それはデータへのアプローチも含みます。
We know that when ingenuity in this room meets the insight of health and care data, the opportunities they really are incredible. We saw this through the RECOVERY trial that was held here in the UK using NHS data, and it identified dexamethasone as the first effective coronavirus treatment – a discovery that has saved over a million lives worldwide. I want many more of these breakthroughs to be made right here, especially through emerging technologies like AI and machine learning. We’ve already created the NHS AI lab to promote the safe and ethical use of AI technologies, and we’ve backed some 80 promising AI projects through the AI in health and care award, with funding of over £100 million. この部屋にある創意工夫が医療・介護データの洞察力と出会うとき、そのチャンスは本当に素晴らしいものになることを私たちは知っています。私たちは、ここ英国でNHSのデータを用いて行われたRECOVERY試験でこれを目の当たりにし、デキサメタゾンがコロナウイルスに対する最初の有効な治療法であることを確認しました。私は、このようなブレークスルーを、特にAIや機械学習などの新しいテクノロジーによって、もっとたくさんここで実現させたいと考えています。私たちはすでに、AI技術の安全かつ倫理的な利用を促進するためにNHS AIラボを設立し、AI in health and care awardを通じて80ほどの有望なAIプロジェクトを支援し、1億ポンド以上の資金を提供しています。
Behind all of these products are huge amounts of very, very complex data. And whenever I speak to innovators from across the world, they tell me that what they want are clear standards and guides to help them to innovate, and our new strategy shows how we will do exactly that. これらの製品の背景には、膨大で非常に複雑なデータがあります。そして、世界中のイノベーターと話すたびに、彼らが求めているのは、イノベーションを支援するための明確な基準とガイドであると言いますが、私たちの新戦略は、まさにそれを実現する方法を示しています。
Take for example the secure data environments that allow access to be granted to authorised researchers in a controlled and recorded way. In these environments, identifiable data cannot be removed from the system, and all access to the data is recorded and monitored, massively reducing the risk of data breaches. We will work with expert partners and the public to expand the use of secure data environments right across the NHS. As we break down the organisational silos that hold data, we must rebuild them based on the foundations of openness and interoperability. 例えば、安全なデータ環境は、権限を与えられた研究者に、管理され記録された方法でアクセスを許可するものです。このような環境では、個人を特定できるデータはシステムから削除できず、データへのアクセスはすべて記録・監視されるため、データ侵害のリスクが大幅に軽減されます。私たちは、専門家であるパートナーや一般の人々と協力し、NHS全体で安全なデータ環境の利用を拡大していく予定です。データを保持する組織のサイロを破壊すると同時に、オープン性と相互運用性の基盤に基づいてそれらを再構築する必要があります。
During the pandemic, we openly published the code for our new platforms, like the Covid-19 app and the QCovid predictive tool. We did it in the interests of transparency, and also because it helps data-driven innovators to build systems that can easily work with the health and care systems. We will keep leading the way in this area – after all, the NHS belongs to everyone. The Strategy shows that we will reshape our systems and platforms by allowing data to talk to each other and work together, and I am looking at passing legislation so we can make sure we can get the right structures in place. パンデミックの間、私たちはCovid-19アプリやQCovid予測ツールなどの新しいプラットフォームのコードをオープンに公開しました。これは透明性を高めるためであり、また、データ駆動型のイノベーターが医療・介護システムと容易に連携できるシステムを構築するのに役立つからです。結局のところ、NHSはみんなのものなのです。この戦略では、データ同士が会話し、連携できるようにすることで、システムやプラットフォームを再構築することを示しています。私は、適切な構造を確保できるよう、法律の制定を検討しています。
These are just a few of the commitments in this radical agenda for change. We are at a unique moment in history as we emerge from a crisis that has brought incredible hardship but also phenomenal change. This important document, the new Data Strategy, it shows how we will keep accelerating and innovating, and working with tech innovators like you, to transform health and care for the better. Because quite simply, data saves lives. これらは、この変革のための急進的なアジェンダにおける公約のほんの一部に過ぎません。私たちは、信じられないほどの苦難と同時に驚異的な変化をもたらした危機から脱した、歴史上ユニークな瞬間にいます。この重要な文書、新しいデータ戦略は、私たちがどのように加速し、革新し続け、皆さんのような技術革新者と協力して、医療とケアをより良く変えていくかを示しています。なぜなら、極めてシンプルに、データは命を救うからです。

 

 

Fig1_20211219053501

 

 

 

| | Comments (0)

より以前の記事一覧