バックプリント Tシャツ オーバーシルエット☆2色

バックプリント Tシャツ オーバーシルエット☆2色

3269円

バックプリント Tシャツ オーバーシルエット☆2色

バックプリント Tシャツ オーバーシルエット☆2色:私たちの焦点は、卓越したサービスを通じて究極の体験を提供することです。 【2022正規激安】,福袋,【99%off!】バックプリント Tシャツ オーバーシルエット☆2色

2022.05.14

NIST SP 800-140B Rev.1 (Draft) CMVP セキュリティポリシー要件:ISO/IEC 24759 及び ISO/IEC 19790 附属書Bに対する CMVP検証権限の更新

こんにちは、丸山満彦です。

NISTが、SP 800-140B CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B (Draft)
を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.05.12 SP 800-140F Rev. 1 (Draft) CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759

SP 800-140B Rev. 1 (Draft) CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B SP 800-140B Rev.1 (Draft) CMVP セキュリティポリシー要件:ISO/IEC 24759 及び ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新
Announcement 発表
This draft introduces four significant changes to NIST SP 800-140B: このドラフトでは、NIST SP 800-140B に 4 つの重要な変更が加えられています。
1. Defines a more detailed structure and organization for the Security Policy 1. セキュリティポリシーのより詳細な構造と組織を定義している。
2. Captures Security Policy requirements that are defined outside of ISO/IEC 19790 and ISO/IEC 24759 2. ISO/IEC 19790及びISO/IEC 24759以外で定義されたセキュリティポリシーの要求事項を取り入れる。
3. Builds the Security Policy document as a combination of the subsection information 3. サブセクションの情報を組み合わせて、セキュリティポリシー文書を作成する。
4. Generates the approved algorithm table based on lab/vendor selections from the algorithm tests 4. アルゴリズムテストによるラボ/ベンダーの選択に基づいて、承認されたアルゴリズム表を生成する。
The NIST SP 800-140x series supports Federal Information Processing Standards (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules, and its associated validation testing program, the Cryptographic Module Validation Program (CMVP). The series specifies modifications to ISO/IEC 19790 Annexes and ISO/IEC 24759 as permitted by the validation authority. NIST SP 800-140x シリーズは、連邦情報処理規格(FIPS)Publication 140-3「暗号モジュールに対するセキュリティ要件」と、それに関連する検証テストプログラム「暗号モジュール検証プログラム(CMVP)」をサポートしています。このシリーズは、検証機関の許可に基づく ISO/IEC 19790 Annexes と ISO/IEC 24759 の修正について規定しています。
Abstract 概要
NIST Special Publication (SP) 800-140Br1 is to be used in conjunction with ISO/IEC 19790 Annex B and ISO/IEC 24759 section 6.14. The special publication modifies only those requirements identified in this document. SP 800-140Br1 also specifies the content of the information required in ISO/IEC 19790 Annex B. As a validation authority, the Cryptographic Module Validation Program (CMVP) may modify, add, or delete Vendor Evidence (VE) and/or Test Evidence (TE) specified under paragraph 6.14 of the ISO/IEC 24759 and specify the order of the security policy as specified in ISO/IEC 19790:2012 B.1. NIST Special Publication (SP) 800-140Br1 は、ISO/IEC 19790 Annex B および ISO/IEC 24759 のセクション 6.14 と共に使用されるものである。この特別刊行物は、この文書で特定された要件のみを変更する。SP 800-140Br1 は、ISO/IEC 19790 Annex B で要求される情報の内容も規定する。暗号モジュール検証プログラム(CMVP)は、検証機関として、ISO/IEC 24759 6.14 項で規定されたベンダエビデンス(VE)及び/又はテストエビデンス(TE)を修正、追加、削除し、ISO/IEC 19790:2012 B.1 で規定するセキュリティポリシーの順序を指定することができる。

 

・[PDF] SP 800-140B Rev. 1 (Draft)

20220513-223938

 

SP 800-140シリーズがどのような状況か...

SP 800-140 Final 2020.03.20 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140A Final 2020.03.20 CMVP Documentation Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140B Final 2020.03.20 CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B [PDF]
SP 800-140B Rev. 1 Draft 2022.05.12 CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B [PDF]
SP 800-140C Final 2020.03.20 CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140C Rev. 1 Draft 2022.02.10 CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 (2nd Draft) [PDF]
SP 800-140D Final 2020.03.20 CMVP Approved Sensitive Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140D Rev. 1 Draft 2022.02.10 CMVP Approved Sensitive Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 (2nd Draft) [PDF]
SP 800-140E Final 2020.03.20 CMVP Approved Authentication Mechanisms: CMVP Validation Authority Requirements for ISO/IEC 19790 Annex E and ISO/IEC 24579 Section 6.17 [PDF]
SP 800-140F Final 2020.03.20 CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140F Rev. 1 Draft 2021.08.20 CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]

 

【参考】

● FIPS140-3 Security Requirements for Cryptographic Modules [PDF]

● ISO/IEC 19790:2012 Information technology — Security techniques — Security requirements for cryptographic modules

● ISO/IEC 24759:2017 Information technology — Security techniques — Test requirements for cryptographic modules

  

【参考 日本】

● IPA 暗号モジュール試験及び認証制度(JCMVP):規程集

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.12 NIST SP 800-140D Rev.1(ドラフト)CMVP認定済みのセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿)

・2022.02.12 NIST SP 800-140C Rev.1(ドラフト)CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿)

・2020.03.21 NIST SP 800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759

 

 

 

 

| | Comments (0)

2022.05.13

















☆サイズ:
【M】着丈:64cm 肩幅:42cm 胸囲:102cm 袖丈:19cm
【L】着丈:66cm 肩幅:43cm 胸囲:106cm 袖丈:19cm
【XL】着丈:68cm 肩幅:44cm 胸囲:110cm 袖丈:20cm
※測り方によっては、若干誤差がある場合がございます。

☆カラー:ブラック/ホワイト

☆季節感:春/夏/秋/冬

☆商品番号:tb165

バックプリント Tシャツ オーバーシルエット☆2色 (60922604)


大人気の韓国ファッションです。
大きめのプリント柄がおしゃれなTシャツです。
オーバーシルエットのルーズ感がおしゃれです♪

Cloud Security Alliance: ヘルスケアサプライチェーンのサイバーセキュリティリスク管理

こんにちは、丸山満彦です。

Cloud Security Allianceが、ヘルスケアサプライチェーンのサイバーセキュリティリスク管理についての文書を公表していますね。。。医療関係は命にも関係する関係で、バリデーション等の規制もありますから、このような取り組みは重要でしょうね。。。

Cloud Security Alliance (CSA)

・2022.05.11 Healthcare Supply Chain Cybersecurity Risk Management


Healthcare Supply Chain Cybersecurity Risk Management ヘルスケアサプライチェーンのサイバーセキュリティリスク管理
It is essential for Healthcare Delivery Organizations to conduct proper risk management practices and risk assessments of suppliers and third-party service partners to minimize the risk of a supply chain exploitation. Internal security policies of a HDO need to be upheld to include external supply chain risk and vendor assessments, as a compromised network can put systems at risk. Many global factors may potentially disrupt a supply chain, so risk monitoring and response are critical for an HDO to mitigate vulnerability exposure threats across their supply chain infrastructure. A formal risk rating process for suppliers provides an effective way to evaluate the risk tolerance and appetite of its supply chain. ヘルスケアデリバリーオーガニゼーションは、サプライチェーンが悪用されるリスクを最小限に抑えるために、供給先や委託先に対して適切なリスク管理の実践とリスクアセスメントを行うことが必要不可欠です。ネットワークが侵害されるとシステムが危険にさらされる可能性があるため、HDOの内部セキュリティポリシーは、外部のサプライチェーンのリスクとベンダーの評価を含めて維持される必要があります。多くのグローバルな要因がサプライチェーンを混乱させる可能性があるため、HDOがサプライチェーン・インフラ全体の脆弱性暴露の脅威を軽減するためには、リスクの監視と対応が重要である。サプライヤーを対象とした正式なリスク評価プロセスは、サプライチェーンのリスク許容度とリスク選好度を評価する効果的な方法となります。

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220513-42429

目次...

Acknowledgments 謝辞
Abstract 概要
Introduction はじめに
Risks リスク
Risk Assessment リスクアセスメント
Risk Treatment リスクの処置
Risk Monitoring and Risk Response リスクモニタリングとリスク対応
Recommendations 推奨事項
Conclusion 結論
References 参考文献

 

 

| | Comments (0)

Cloud Security Alliance: Software-Defined Perimeter (SDP) 仕様書 V2 - 日本語版です...(2022.05.04)

こんにちは、丸山満彦です。

Cloud Security Allianceが、Software-Defined Perimeter (SDP) 仕様書 V2 の日本語版を公表していますね。。。これから重要となってくる概念ですから、日本語版があると理解が進みやすくなり、助かりますね。。。

 

Cloud Security Alliance (CSA)

・2022.05.04 Software-Defined Perimeter (SDP) Specification v2.0 - Japanese Translation

・[PDF] 簡単な質問に答えるとダウンロードできます

20220513-51214

 

目次...

はじめに
目的
スコープ
想定する読者

SDPのデザイン
SDP
のコンセプト
SDP
のアーキテクチャと構成要素
 SDP
コントローラ
 SDP Initiating Host (SDPクライアント
)
 SDP Accepting Host  (AH)
SDP
の配備モデル
SDP
のワークフロー
 コントローラのオンボーディングワークフロー
 Accepting Host (AH) のオンボーディングワークフロー
 Initiating Host (IH)のオンボーディングワークフロー
 アクセスワークフロー

IH
オンボーディングのワークフロー例
Single Packet Authorization
SPA
 SPA
メッセージのフォーマット
 安全な自己完結型コネクションレス型メッセージ伝送プロトコルとしてのSPA
 SPAの代替品

コンポーネント間のトランスポートレイヤの相互認証
デバイスの検証
SDP
IoTデバイス
アクセスポリシー

SDPプロトコル
AH-
コントローラプロトコル
 AH to
コントローラシーケンス図
 a. SPA
 b. TCPコネクションと相互認証された通信路(mTLS)の確立
 c. ログイン(SDP参加)要求メッセージ
 d. ログイン(SDP参加)応答メッセージ
 e. ログアウト要求メッセージ
 f. キープアライブメッセージ
 g. AHサービスメッセージ
 h. ユーザ定義メッセージ

IH-
コントローラプロトコル
 IH to Controller
シーケンス図
 a. SPA
 b. TCP
コネクションと相互認証された通信路(mTLS)の確立
 c. ログイン(SDP参加)要求メッセージ
 d. ログイン応答メッセージ
 e. キープアライブメッセージ
 f. IHサービスメッセージ
 g. IH認証メッセージ
 h. ログアウト要求メッセージ
 z. ユーザ定義メッセージ

IH-AH
プロトコル
 IH
からAHへのシーケンス図
 a. SPA
 b. コネクションを開き、相互に認証された通信を確立
 c. オープン接続リクエストメッセージ
 d. 適切なコネクションタイプを開く
 e. オープンコネクションレスポンスメッセージ
 f. データメッセージ
 g. 接続終了メッセージ
 z.ユーザー定義メッセージ

ロギング
 ログメッセージのフィールド
 オペレーションログ
 セキュリティ/接続ログ

まとめ

参考文献

付録ASDPSDNNFV
付録BOSI/SDP コンポーネントマッピング

 


 

まるちゃんの情報セキュリティ気まぐれ日記

SDPについて...

・2022.04.19 Cloud Security Alliance ソフトウェア定義境界 (SDP) とドメインネームシステム (DNS) の統合:強化されたゼロトラストポリシーの適用 (2022.04.12)

・2020.05.28 CSAがソフトウェア定義の境界(SDP)を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

| | Comments (0)

Cloud Security Alliance: IoT Controls Matrix v3とそのガイド (2022.04.25)

こんにちは、丸山満彦です。

Cloud Security Allianceが IoT Controls Matrix v3そのガイドを発表していますね。。。

IoT Controls Matrix v3自体は、エクセルです。。。

 

Cloud Security Alliance (CSA)

IoT Controls Matrix自体はこちらから...

・2022.04.25 IoT Controls Matrix v3

・[ELSX] 簡単な質問に答えるとダウンロードできます

 

で、そのガイドはこちらから...

・2022.04.25 Guide to the IoT Controls Matrix v3

・[PDF] 簡単な質問に答えるとダウンロードできます

20220513-42500

Acknowledgments 謝辞
Introduction はじめに
Tailoring the Matrix マトリックスの調整
Industry Profiles 産業別プロファイル
Goal 目標
Audience 視聴者層
Versioning バージョン管理
Using the IoT Security Controls Framework IoTセキュリティコントロールフレームワークの使用
 Security Control Objectives (Columns A, B, C, D, E, F)  セキュリティコントロールの目的(A、B、C、D、E、F列)
 IoT System Risk Impact Levels (Columns G, H, I)  IoTシステムリスク影響度(G、H、I列)
 Supplemental Control Guidance (Columns J, K)  補足的なコントロールのガイダンス(J、K列)
 Implementation Guidance (Columns L, M, N)  実装ガイダンス(L、M、N列)
  Types of Security Controls (Column L)   セキュリティコントロールの種類(L列)
  Control Implementation Guidance (Column M)   コントロールの実装ガイダンス(M列)
  Control Frequency (Column N)   コントロールの頻度(N列)
 Device, Network, Gateway, and Cloud Services (O, P, Q, R)  デバイス、ネットワーク、ゲートウェイ、クラウドサービス(O、P、Q、R列)
  Device (Column O)   デバイス(O列)
  Network (Column P)   ネットワーク(P列)
  Gateway (Column Q)   ゲートウェイ(Q列)
  Cloud Services (Column R)   クラウドサービス(R列)
Additional Resources 追加参考情報

 

 

| | Comments (0)

Cloud Security Alliance: サーバーレスアーキテクチャの安全性を確保するためのCレベル向けガイダンス (2022.04.19)

こんにちは、丸山満彦です。

色々とバタバタしている中で、Cloud Security Allianceのウェブページの確認を忘れてました。。。

この、C-Level Guidance to Securing Serverless Architecturesは利点と課題のポイントがよくまとまっていて良いのかもですね。。。

CSA-JAPANは、色々と翻訳版も出しているので、ぜひこれも翻訳されると良いですね。。。

 

Cloud Security Alliance (CSA)

・2022.04.13 C-Level Guidance to Securing Serverless Architectures

・[PDF] 簡単な質問に答えるとダウンロードできます

20220513-43813

 

目次

Acknowledgments 謝辞
1. Introduction - Executive Summary 1. はじめに - エグゼクティブサマリー
Purpose and Scope 目的と範囲
Audience 想定読者
2.  Business benefit 2.  ビジネス上の利点
2.1 Innovation 2.1 革新
2.2 Agility 2.2 俊敏性
2.3 CapEx/OpEx 2.3 設備投資/運用コスト
2.4 Speed to Market 2.4 市場投入までのスピード
2.5 Automation 2.5 自動化
3. Security and risk management for serverless 3. サーバーレスのためのセキュリティとリスク管理
3.1 Elevation of inherited security with Serverless 3.1 サーバーレスで継承されるセキュリティの高度化
3.2 Serverless on the CIA security Triad 3.2 CIAのセキュリティトライアドにおけるサーバーレス
3.3 Reshaping the CIO and CISO relationship 3.3 CIOとCISOの関係の再構築
3.4 Threat Model and Serverless Best Practices 3.4 脅威モデルとサーバーレスのベストプラクティス
4. Conclusion 4. 結論
5. References 5. 参考文献
Appendix: Acronyms 附属書 頭字語
Appendix 2: Glossary 附属書 2: 用語解説

 

エグゼクティブサマリーの部分...

1. Introduction - Executive Summary 1. はじめに - エグゼクティブサマリー
Serverless computing enables developers to develop and deploy faster, allowing a more effective way to move to Cloud-native services without managing infrastructures like container clusters or virtual machines. As businesses work to bring technology value to market faster, serverless platforms are gaining adoption with developers.  サーバーレスコンピューティングは、コンテナクラスタや仮想マシンのようなインフラを管理することなく、開発者がより迅速に開発・実装し、より効率的にクラウドネイティブサービスに移行することを可能にします。企業が技術的価値をより早く市場に投入するために、サーバーレス・プラットフォームは開発者の間で採用が進んでいます。
Like any emerging technology, Serverless brings with it a variety of cyber risks. This paper in its first part covers the business benefits of Serverless architecture like agility, cost, speed to market etc. which are all correlated. The second part of the paper focuses on security for serverless applications, describing the industry-wide best practices and recommendations. In its conclusion, it summarizes how executive management should look at serverless architectures and what factors they should consider when adopting them.  他の新興技術と同様に、サーバーレスにはさまざまなサイバーリスクが伴います。本文書の第1部では、俊敏性、コスト、市場投入までのスピードなど、サーバーレスアーキテクチャのビジネス上の利点について説明します。第2部では、サーバーレスアプリケーションのセキュリティに焦点を当て、業界全体のベストプラクティスや推奨事項を解説しています。結論では、経営幹部がサーバーレスアーキテクチャをどのように見るべきか、採用する際にどのような要因を考慮すべきかをまとめています。
The information is intended for readers who are getting introduced to  serverless computing and need to understand its business and security implications. この情報は、サーバーレスコンピューティングを導入し、そのビジネスとセキュリティの意味を理解する必要がある読者を対象としています。
Purpose and Scope 目的と範囲
The purpose of this document is to provide a high level business overview of Serverless computing, along with the risks and the security concerns when implementing a secure serverless computing solution.  本書の目的は、サーバーレス・コンピューティングのハイレベルなビジネス概要を、安全なサーバーレス・コンピューティング・ソリューションを実装する際のリスクとセキュリティの懸念事項とともに提供することです。
Two players are involved in a Serverless service:  サーバーレス・サービスには、2つのプレーヤーが関与しています。
・The Service/Platform Provider - the provider of the serverless platform on which serverless applications are built.  サービス/プラットフォーム・プロバイダ - サーバーレスアプリケーションを構築するサーバーレス・プラットフォームのプロバイダ 
・The Application Owner - the user of the serverless solution/service whose applications run on the platform.  アプリケーションオーナー:サーバーレスソリューション/サービスのユーザーで、そのプラットフォーム上でアプリケーションを実行する。
Under a serverless solution/service (or serverless platform), a service provider offers compute resources that are elastically auto-allocated to serve the needs of different customers. This way, customers are charged based on usage and not on a fixed amount of bandwidth or number of servers.  サーバーレスソリューション/サービス(またはサーバーレスプラットフォーム)の下では、サービスプロバイダは、異なる顧客のニーズに合わせて弾力的に自動割り当てされたコンピューティングリソースを提供します。この方法では、顧客は固定量の帯域幅やサーバーの数ではなく、使用量に基づいて課金されます。
The designation ‘serverless’ reflects the fact that although physical servers are still used, a customer does not need to be in charge or aware of them, as they are only the provider’s responsibility. In other words, although there are technical executions on server hardware, only the cloud service provider is responsible for the compilation of the functions or the successful delivery of the service provided.  サーバーレス」という呼称は、物理的なサーバーは依然として使用されているものの、それらはあくまでプロバイダーの責任であるため、顧客はそれを担当したり意識したりする必要がないことを反映している。つまり、サーバーハードウェア上での技術的な実行はあるものの、機能の取りまとめや提供するサービスの正常な提供については、クラウドサービス提供者のみが責任を負うということである。
Examples of serverless services include Functions as a Service and Database as a Service. サーバーレス・サービスの例としては、Functions as a ServiceやDatabase as a Serviceなどがあります。
The scope of this document is limited at the perspective of implemented workloads on top of Serverless platforms offered by platform providers.  本文書の範囲は、プラットフォームプロバイダーが提供するサーバーレスプラットフォームの上に実装されたワークロードの観点に限定されています。
The primary goal is to present and promote serverless computing as a secure cloud computing execution model. 主な目的は、安全なクラウドコンピューティングの実行モデルとして、サーバーレスコンピューティングを提示し、推進することです。
For a more detailed overview of Serverless Computing, the paper “How to design a Secure Serverless architecture”  by Cloud Security Alliance is recommended. サーバーレスコンピューティングの詳細な概要については、Cloud Security Allianceによる論文「How to design a Secure Serverless architecture」が推奨されます。
Audience 想定読者
The intended audience of this document are Chief Information Security Officers (CISOs), Chief Information Officers (CIOs), Security Professionals, application and Security Engineers, risk management professionals, and other security business functions like product managers, marketing managers and business development managers, interested in serverless computing and its security.  本書の対象者は、サーバーレスコンピューティングとそのセキュリティに関心のある、最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、セキュリティ専門家、アプリケーションおよびセキュリティエンジニア、リスク管理専門家、プロダクトマネージャー、マーケティングマネージャー、事業開発マネージャーなどのセキュリティビジネス部門です。
Owing to the constantly changing nature of technologies in the serverless space, readers are encouraged to take advantage of the other resources, including those listed in this document, for current and more detailed information.  サーバーレス分野の技術は常に変化しているため、読者の皆様には、最新の、より詳細な情報を得るために、本書に記載されているものを含む他のリソースを活用されることをお勧めします。

 

 

 

| | Comments (0)

2022.05.12

米国 ITI SECのサイバーセキュリティに関する規則案の延期を要請 - セキュリティリスクの分散と軽減のために

こんにちは、丸山満彦です。

Information Technology Industry Council (ITI) [wikipedia]、日本語で言えば、IT産業協議会ですかね、、、が、SECが公表した、セキュリティインシデントの開示を含む規則案に対するコメントを公表していますね。。。

概要で言うと、

投資家のリスクを低減すると言う意味では賛成するものの、以下の懸念事項等があるので、もう少し良く考えたら???と言うことのようですね。。。

・開示内容次第では、かえってリスクを高め、ひいては投資家保護に繋がらないので、開示内容については慎重なガイドが必要

・CISAの要求事項との調整をちゃんと図り、連邦政府全体としての整合性を保つことが重要

・法執行、国家安全保障上の観点を踏まえたセーフハーバー条項を設けるべき

・報告要件は従前の重要性の概念との整合性を考えると不要ではないか?

・開示スケジュールを4営業日とすることは、短い場合もあるのではないか?

・取引先等の第三者によるセキュリティインシデントは開示対象から外すべき

・投資家の意識向上につながる面もあるが、杓子定規な規定はかえって良くない場合もある

 

 

Information Technology Industry Council (ITI) 

・2022.05.09 ITI Urges SEC to Delay Proposed Rule on Cybersecurity to Deconflict, Mitigate Security Risks

 

ITI Urges SEC to Delay Proposed Rule on Cybersecurity to Deconflict, Mitigate Security Risks ITI SECに対して、セキュリティリスクの回避、低減のためにサイバーセキュリティに関する規則案の延期を要請
WASHINGTON – Today, global tech trade association ITI urged the Securities and Exchange Commission (SEC) to delay implementation of its Proposed Rule on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure to ensure the rule does not undermine cybersecurity and create additional security risks. In comments to the SEC, ITI cautions that the proposed rule could inadvertently expose unmitigated vulnerabilities and conflict with the Cybersecurity and Infrastructure Security Agency (CISA) rulemaking to implement the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). Delaying the implementation of the proposed rule would provide the SEC and stakeholders the opportunity to work through these challenges and allow the SEC the time to coordinate with CISA to deconflict the proposed rule with CIRCIA. ワシントン - 本日、世界的な技術業界団体であるITIは、証券取引委員会(SEC)に対し、サイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント開示に関する規則案の実施を延期し、この規則がサイバーセキュリティを損ない、さらなるセキュリティリスクをもたらさないことを確保するよう要請しました。ITIはSECへのコメントで、この規則案が不用意に未処理の脆弱性を露出させ、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)を実施するためのサイバーセキュリティ・インフラセキュリティ庁(CISA)の規則制定と矛盾する恐れがあると注意を呼びかけています。規則案の実施を延期することで、SECと利害関係者にこれらの課題を解決する機会を提供し、SECがCISAと調整して規則案とCIRCIAとの軋轢を解消する時間を確保することができます。
“ITI supports the Commission’s intent to improve investors’ awareness of material cybersecurity incidents and believe that in many instances offering information about cybersecurity incidents and governance procedures can help to improve transparency,” ITI wrote in the comments. “While we understand the objectives of the rule are to improve investor awareness of cybersecurity-related factors, we are concerned that it may in fact serve to undermine cybersecurity if not appropriately calibrated. We encourage the SEC to delay implementation of the proposed rule until CISA has further implemented its own rulemaking pursuant to CIRCIA 2021, so as to have a more fulsome understanding of the cyber incident reporting landscape.” ITIは次のように述べています。「ITIは、サイバーセキュリティに関する重要なインシデントに対する投資家の認識を向上させるという委員会の意図を支持し、多くの場合、サイバーセキュリティインシデントとガバナンス手順に関する情報を提供することが透明性の向上に役立つと信じています。この規則の目的は、サイバーセキュリティ関連要因に対する投資家の認識を向上させることであると理解していますが、適切に調整されなければ、かえってサイバーセキュリティを弱体化させることになりかねないことを懸念しています。我々は、CISAがCIRCIA 2021に従って独自のルールメイキングをさらに実施し、サイバーインシデント報告の状況をより十分に理解できるようになるまで、このルール案の実施を延期するようSECに奨励します。」
In the comments, ITI offers perspectives on and recommendations to improve the SEC’s proposed rule, including highlighting its overarching concerns that the rule could serve to undermine cybersecurity and the relevance of “materiality.” In addition to its recommendation to work with CISA to ensure federal coordination to the extent possible, ITI urges the SEC to avoid requiring disclosure of incidents experienced by third-party vendors and include safe harbor provisions for law enforcement, national security, and cybersecurity interests. 意見書の中で、ITIは、この規則がサイバーセキュリティと 「重要性」の関連性を弱めることになりかねないという包括的な懸念を強調するなど、SECの規則案に対する見解と改善のための提言を提供しています。ITIは、CISAと連携して可能な限り連邦政府の協調を確保するという提言に加え、SECに対し、第三者ベンダーが経験した事故の開示を義務付けることを避け、法執行、国家安全保障、サイバーセキュリティの利益のためのセーフハーバー規定を設けるよう要請しています。

 

意見は、

・[PDF] Re: ITI Comments on Securities and Exchange Commission Proposed Rule on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure (RIN 3235-AM89; File Number S7-09-22)

20220512-154335

・[DOCX] 仮訳

 

 

I.  The SEC’s proposed rule could result in the disclosure of Incidents prior to the mitigation of vulnerabilities, resulting in increased cybersecurity risks  I.  SECの提案するルールは、脆弱性を緩和する前にインシデントを開示することになり、結果としてサイバーセキュリティのリスクを増大させる可能性がある。
II.  The SEC should delay implementation of this proposed rule and work with CISA to ensure federal coordination to the extent possible  II.  SECは本規則案の実施を延期し、CISAと連携して可能な限り連邦政府の協調を確保すべきである。
III. The SEC’s proposed rule should include safe harbor provisions for law enforcement, national security, and cybersecurity interests  III.  SECの規則案は、法執行、国家安全保障、サイバーセキュリティの利益に対するセーフハーバー規定を含むべきである。
IV. The SEC’s proposed cyber incident reporting requirements undermine the relevance of “materiality” and are unnecessary given its own substantial existing cybersecurity guidance IV.  SECが提案したサイバーインシデント報告要件は、「重要性」の関連性を損なうものであり、SEC自身が既存のサイバーセキュリティに関するガイダンスを充実させていることを考えると、不要なものであると言える。
V. The SEC’s proposed “four business days” reporting timeline is unreasonable because it is likely to harm registrants’ cybersecurity and unlikely to yield useful information to investors V.  SECが提案した「4営業日」という報告スケジュールは、上場登録者のサイバーセキュリティを害する可能性が高く、投資家に有用な情報をもたらす可能性が低いため、不合理である。
VI. The SEC’s proposed rule should not require the disclosure of incidents experienced by third-party technology vendors or service providers VI.  SECの規則案では、第三者の技術ベンダーやサービスプロバイダーが経験したインシデントの開示を義務付けるべきではない。
VII. While we believe several of the proposed disclosure requirements related to cyber risk management processes will help to improve investors’ awareness, we also have concerns about the prescriptive nature of some of the disclosure requirements VII.  サイバーリスク管理プロセスに関する開示要求のいくつかは、投資家の意識向上に役立つと考えるが、一部の開示要求の杓子定規な性質には懸念を抱いている。

 

 

 


まるちゃんの情報セキュリティ気まぐれ日記

SECの開示関係

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則

 

SECのセキュリティ関係

・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 

米国:インシデント報告関係

・2022.04.13 米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。 (2022.04.07)

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

インド:インシデント報告関係

・2022.05.11 インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

 

日本:インシデント情報共有関係

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

 

 

| | Comments (0)

世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる:実装からのインサイト

 こんにちは、丸山満彦です。

世界経済フォーラム (World Economic Forum)がAIの調達(特に政府調達)についてのAI Procurment in a Boxのプロジェクトに関連した文書を公表しています。。。著者はブラジルのメンバーです。。。

については

World Economic Forum

・2022.05.09 [PDF] Unpacking AI Procurement in a Box: Insights from Implementation

 

20220512-52144

 

Foreword 序文
Executive summary エグゼクティブサマリー
Introduction はじめに
1 Phase zero: Prerequisites for the widespread adoption of AI/ML in the public sector  1 フェーズゼロ:公共部門におけるAI/MLの普及のための前提条件 
2 Leveraging public trust in AI through accountability structures  2 アカウンタビリティ構造によるAIへの国民の信頼の活用 
3 Human beyond-the-loop? Mitigating risks arising from human oversight 3 人間はこのループを超えられるか?人間の監視に起因するリスクの軽減
4 What does success look like for AI Procurement in a Box? Indicators for   monitoring and evaluation 4 AI調達の解明について成功とは何か?モニタリングと評価のための指標
Conclusion まとめ
Contributors 貢献者
Endnotes 巻末資料

 

エグゼクティブサマリー

Executive summary エグゼクティブサマリー
Revisiting the AI Procurement in a Box toolkit with new themes to guide the widespread adoption of AI in the public sector. AI Procurement in a Boxツールキットを新たなテーマで再検討し、公共部門におけるAIの普及を進めます。
In 2021, the Centre for the Fourth Industrial Revolution Brazil implemented the AI Procurement in a Box Guidelines in two unprecedented pilots, one with the Metrô de São Paulo and the other with the Hospital das Clínicas of the University of São Paulo. Both pilots reaffirmed the importance of guidance on how to procure safe and ethical artificial intelligence and machine learning (AI/ ML) tools, exploring additional challenges for their widespread use in the public sector.  2021年、第四次産業革命ブラジルセンターは、Metrô de São Pauloとサンパウロ大学Hospital das Clínicasとの2つの前例のないパイロットでAI Procurement in a Boxガイドラインを実施しました。どちらのパイロット版でも、安全で倫理的な人工知能や機械学習(AI/ML)ツールの調達方法に関するガイダンスの重要性が再確認され、公共部門での普及に向けたさらなる課題が探求されました。
These pilots have brought insights into and understanding of the cross-cutting challenges in implementing the toolkit in other countries, especially in the Global South. These countries often lag in terms of AI governance frameworks, institutional and technical maturity, and skills for developing and deploying these technologies. Therefore, new topics and mechanisms are needed to make AI Procurement in a Box accessible to nations in the Global South. これらのパイロット版は、他の国、特に「南半球」の国々でツールキットを実施する際の横断的な課題に対する洞察と理解をもたらしてくれました。これらの国々は、AIガバナンスの枠組み、制度的・技術的成熟度、これらの技術を開発・展開するためのスキルの面で遅れていることが多いです。したがって、AI Procurement in a Boxを南半球の国々が利用できるようにするためには、新しいトピックやメカニズムが必要です。
– Before acquiring AI, governments must selfassess their access to information technology (IT) infrastructure and appropriate data, as well as their levels of institutional maturity and internal skillsets.   - AIを取得する前に、政府は情報技術(IT)インフラや適切なデータへのアクセス、制度的成熟度や内部のスキルセットのレベルを自己評価する必要があります。
– Governments should consider a mix of policy instruments, such as algorithmic impact evaluations and certifications, to ensure the responsible use of AI within their organization and expand these policies to internally developed AI models and systems that do not go through traditional procurement processes.   - 政府は,組織内でのAIの責任ある利用を確保するために,アルゴリズムによる影響評価や認証などの政策手段を組み合わせて検討し,これらの政策を従来の調達プロセスを経ない内部開発のAIモデルやシステムにも拡大する必要がある。
– Governments should carefully consider the interactions between humans and AI models to mitigate both algorithmic bias and humanbased bias.   - 政府は,アルゴリズムによる偏りと人間による偏りの両方を緩和するために,人間とAIモデルとの相互作用を慎重に検討する必要があります。
In addition, a monitoring and evaluation framework should be adopted globally to guide the deployment of future AI Procurement in a Box pilots and allow for cross-country and regional comparisons by looking at success metrics for project implementation and the wider dissemination of best practices in the public sector. さらに、今後のAI Procurement in a Boxパイロット版の展開を導くために、モニタリングと評価の枠組みをグローバルに採用し、プロジェクト実施の成功指標を見ることで国や地域を超えた比較を可能にし、公共部門におけるベストプラクティスを広く普及させる必要があります。

 

参考

・2020.06.11 AI Procurement in a Box

AI Procurement in a Box AI Procurement in a Box
The promises of artificial intelligence (AI) technologies lie beyond our imaginations and the risks accompanying them remain impossible to forecast. Government officials working in procurement can’t be expected to possess the most up-to-date knowledge in this increasingly specialized field. As a result, safeguarding the responsible use of AI technologies requires a multistakeholder effort. 人工知能(AI)技術の将来性は我々の想像をはるかに超えており、それに伴うリスクは依然として予測不可能です。調達に携わる政府職員が、このますます専門化する分野で最新の知識を持つことは期待できません。そのため、AI技術の責任ある利用を守るためには、マルチステークホルダーによる取り組みが必要です。

 

・AI調達ガイドライン

AI Procurement Guidelines

ツールキット

・[PDF] AI Procurement in a Box: AI Government Procurement Guidelines

20220512-53248

What is artificial intelligence (AI)? 人工知能(AI)とは何か?
Why do we need guidelines for public procurement of AI? なぜAIの公共調達のためのガイドラインが必要なのか?
How were these guidelines developed? このガイドラインはどのように作成されたのか?
How to use the guidelines ガイドラインの活用方法
Guidelines overview ガイドラインの概要
Detailed explanation of guidelines ガイドラインの詳細説明
Acknowledgements 謝辞
Endnotes 巻末資料

 

 

 

| | Comments (0)

2022.05.11

インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

こんにちは、丸山満彦です。

インドのCERT-Inがインシデントが発生したら6時間以内にCERT-Inに報告しなければならないと指示をしていますね。。。

CERT-In

・2022.04.28 Directions by CERT-In under Section 70B. Information Technology Act 2000

・[PDF] Directions under sub-section (6) of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet

 

20220511-52423

本文...

 

Subject: Directions under sub-section (6) of section 70B of the Information Technology Act, 2000 relating to information security practices, procedure, prevention, response and reporting of cyber incidents for Safe & Trusted Internet.   件名:安全で信頼できるインターネットのための情報セキュリティの実践、手順、予防、対応、サイバーインシデントの報告に関する2000年情報技術法第70B条(6)の規定に基づく指示
Whereas, the Central Government in terms of the provisions of sub-section (1) of section 70B of Information Technology (IT) Act, 2000 (IT Act, 2000) has appointed “Indian Computer Emergency Response Team (CERT-In)” vide notification dated 27th October 2009 published in the official Gazette and as per provisions of sub-section (4) of section 70B of IT Act, 2000 The Indian Computer Emergency Response Team shall serve as the national agency for performing the following functions in the area of cyber security:-  2000年情報技術(IT)法(IT Act, 2000)の第70B条(1)の規定に基づき、中央政府は、官報に掲載された2009年10月27日付通知により「インドコンピュータ緊急対応チーム(CERT-In)」を任命し、2000年IT法第70B条(4)の規定に基づき、インドコンピュータ緊急対応チームがサイバーセキュリティの分野において以下の機能を果たす国家機関として機能するものとしている。
a) collection, analysis and dissemination of information on cyber incidents;  a) サイバーインシデントに関する情報の収集、分析、普及
b) forecast and alerts of cyber security incidents;  b) サイバーセキュリティインシデントの予測・警告
c) emergency measures for handling cyber security incidents;  c) サイバー・セキュリティ・インシデントに対処するための緊急措置
d) coordination of cyber incidents response activities;  d) サイバーインシデント対応活動の調整
e) issue guidelines, advisories, vulnerability notes and whitepapers relating to information security practices, procedures, prevention, response and reporting of cyber incidents;  e) 情報セキュリティの実践、手順、予防、対応及びサイバーインシデントの報告に関するガイドライン、勧告、脆弱性ノート及びホワイトペーパーの発行
f) such other functions relating to cyber security as may be prescribed.  f) サイバーセキュリティに関連するその他の機能で、規定されるもの
And whereas, “The Information Technology (The Indian Computer Emergency Response Team and Manner of performing functions and duties) Rules, 2013” were notified and published vide notification dated 16.01.2014 by the Central Government in exercise of the powers conferred by clause (zf) of sub-section (2) of section 87 read with sub-section (5) of section 70B of the IT Act, 2000.   2000年IT法第87条(2)と第70B条(5)により付与された権限を行使し、中央政府が2014年1月16日付通知により「情報技術(インドコンピュータ緊急対応チームと機能および義務の実行方法)規則2013」を通知・公表した。
And whereas, as per provisions of sub-section (6) of section 70B of the IT Act, 2000, CERT-In is empowered and competent to call for information and give directions to the service providers, intermediaries, data centres, body corporate and any other person for carrying out the activities enshrined in sub-section (4) of section 70B of the IT Act, 2000.   2000年IT法第70B条(6)の規定により、CERT-Inは、2000年IT法第70B条(4)に規定された活動を行うために、サービスプロバイダー、仲介業者、データセンター、法人、その他の者に情報を求め、指示を与える権限と能力を有している。
And whereas, various instances of cyber incidents and cyber security incidents have been and continue to be reported from time to time and in order to coordinate response activities as well as emergency measures with respect to cyber security incidents, the requisite information is either sometime not found available or readily not available with service providers/data centres/body corporate and the said primary information is essential to carry out the analysis, investigation and coordination as per the process of law.    サイバーセキュリティインシデントに関する対応活動や緊急措置を調整するために、必要な情報がサービスプロバイダー、データセンター、団体から入手できなかったり、容易に入手できなかったりすることがあり、法の手続きに従って分析、調査、調整を行うためには、上記の主要情報が不可欠である。
And whereas, it is considered expedient in the interest of the sovereignty or integrity of India, defence of India, security of the state, friendly relations with foreign states or public order or for preventing incitement to the commission of any cognizable offence using computer resource or for handling of any cyber incident, that following directions are issued to augment and strengthen the cyber security in the country:   インドの主権や一体性、防衛、国家の安全保障、外国との友好関係、公序良俗、コンピュータ資源を用いた認知可能な犯罪の実行の扇動防止、サイバー事件の処理のために、国内のサイバーセキュリティを増強し強化するために以下の指示が出されることが望ましいと考えられる。
(i) All service providers, intermediaries, data centres, body corporate and Government organisations shall connect to the Network Time Protocol (NTP) Server of National Informatics Centre (NIC) or National Physical Laboratory (NPL) or with NTP servers traceable to these NTP servers, for synchronisation of all their ICT systems clocks. Entities having ICT infrastructure spanning multiple geographies may also use accurate and standard time source other than NPL and NIC, however it is to be ensured that their time source shall not deviate from NPL and NIC.  (i) すべてのサービスプロバイダー、仲介業者、データセンター、企業、政府機関は、すべてのICTシステムの時計を同期させるために、国家情報学センター(NIC)または国家物理研究所(NPL)のネットワークタイムプロトコル(NTP)サーバーに接続するか、これらのNTPサーバーに追跡できるNTPサーバーに接続しなければならない。複数の地域にまたがるICTインフラを有する事業者は、NPLおよびNIC以外の正確かつ標準的な時刻情報源を使用することもできるが、その時刻情報源がNPLおよびNICから逸脱しないことが確保されなければならない。
(ii) Any service provider, intermediary, data centre, body corporate and Government organisation shall mandatorily report cyber incidents as mentioned in Annexure I to CERT-In within 6 hours of noticing such incidents or being brought to notice about such incidents. The incidents can be reported to CERT-In via email (incident@cert-in.org.in), Phone (180011-4949) and Fax (1800-11-6969). The details regarding methods and formats of reporting cyber security incidents is also published on the website of CERT-In www.cert-in.org.in and will be updated from time to time.  (ii) サービスプロバイダ、仲介業者、データセンター、法人および政府機関は、附属書Iに記載されたサイバーインシデントを、当該インシデントに気付いた時または当該インシデントについて知らされた時から6時間以内にCERT-Inに報告することを義務とする。インシデントは、電子メール(incident@cert-in.org.in)、電話(180011-4949)、ファクス(1800-11-6969)を通じてCERT-Inに報告することができる。サイバーセキュリティインシデントの報告方法とフォーマットに関する詳細は、CERT-Inのウェブサイト(www.cert-in.org.in)でも公開されており、随時更新される。
(iii)When required by order/direction of CERT-In, for the purposes of cyber incident response, protective and preventive actions related to cyber incidents, the service provider/intermediary/data centre/body corporate is mandated to take action or provide information or any such assistance to CERT-In, which may contribute towards cyber security mitigation actions and enhanced cyber security situational awareness. The order / direction may include the format of the information that is required (up to and including near real-time), and a specified timeframe in which it is required, which should be adhered to and compliance provided to CERT-In, else it would be treated as non-compliance of this direction. The service providers, intermediaries, data centres, body corporate and Government organisations shall designate a Point of Contact to interface with CERT-In. The Information relating to a Point of Contact shall be sent to CERT-In in the format specified at Annexure II and shall be updated from time to time. All communications from CERT-In seeking information and providing directions for compliance shall be sent to the said Point of Contact.  (iii) サイバーインシデント対応、サイバーインシデントに関する保護・予防措置を目的として、CERT-Inの命令・指示により要求された場合、サービスプロバイダー、仲介業者、データセンター、法人は、サイバーセキュリティ軽減措置とサイバーセキュリティ状況認識強化に寄与する可能性のある措置、情報、またはそのような援助をCERT-Inに行うことが義務づけられている。命令/指示は、要求される情報の形式(準リアルタイムまで含む)、および要求される特定の時間枠を含むことができ、これを遵守し、CERT-Inに遵守を提供しなければならず、そうしなければ、この指示の非遵守として扱われる。サービスプロバイダー、仲介業者、データセンター、法人および政府機関は、CERT-Inと連絡を取るための連絡窓口を指定するものとする。連絡先に関する情報は、附属書Ⅱで指定された形式でCERT-Inに送付され、随時更新されるものとする。情報を求め、準拠のための指示を提供するCERT-Inからの全ての通信は、当該連絡先に送られるものとする。
(iv) All service providers, intermediaries, data centres, body corporate and Government organisations shall mandatorily enable logs of all their ICT systems and maintain them securely for a rolling period of 180 days and the same shall be maintained within the Indian jurisdiction. These should be provided to CERT-In along with reporting of any incident or when ordered / directed by CERT-In.  (iv) すべてのサービスプロバイダー、仲介業者、データセンター、法人および政府機関は、すべてのICTシステムのログを有効にし、180日間安全に維持することを義務付けられ、同じものがインドの管轄内に維持されるものとする。これらは、あらゆる事故の報告とともに、またはCERT-Inの命令/指示により、CERT-Inに提供されなければならない。
(v) Data Centres, Virtual Private Server (VPS) providers, Cloud Service providers and Virtual Private Network Service (VPN Service) providers, shall be required to register the following accurate information which  must be maintained by them for a period of 5 years or longer duration as mandated by the law after any cancellation or withdrawal of the registration as the case may be:  (v) データセンター、仮想専用サーバー(VPS)プロバイダー、クラウドサービスプロバイダー、仮想専用ネットワークサービス(VPNサービス)プロバイダーは、以下の正確な情報を登録する必要があり、場合によっては登録の取消または撤回後、5年間または法律で義務付けられた期間以上維持しなければならない。
a. Validated names of subscribers/customers hiring the services  a. サービスを利用する加入者/顧客の有効な氏名
b. Period of hire including dates  b. 日付を含む利用期間
c. IPs allotted to / being used by the members  c. 会員に割り当てられた/使用されているIPアドレス
d. Email address and IP address and time stamp used at the time of registration / on-boarding  d. 登録時/利用開始時に使用した電子メールアドレス、IPアドレス、タイムスタンプ
e. Purpose for hiring services  e. サービスを利用する目的
f. Validated address and contact numbers  f. 有効な住所と連絡先
g. Ownership pattern of the subscribers / customers hiring services   g. サービスを利用する加入者/顧客の所有形態
(vi) The virtual asset service providers, virtual asset exchange providers and custodian wallet providers (as defined by Ministry of Finance from time to time) shall mandatorily maintain all information obtained as part of Know Your Customer (KYC) and records of financial transactions for a period of five years so as to ensure cyber security in the area of payments and financial markets for citizens while protecting their data, fundamental rights and economic freedom in view of the growth of virtual assets.   (vi) 仮想資産サービスプロバイダー、仮想資産交換プロバイダー、カストディアンウォレットプロバイダー(財務省が適宜定義)は、仮想資産の成長に鑑み、国民のデータ、基本的権利、経済的自由を保護しつつ、決済及び金融市場の分野におけるサイバーセキュリティを確保するため、顧客確認(KYC)の一環として取得したすべての情報及び金融取引記録を5年間にわたり強制的に保持しなければならない。
For the purpose of KYC, the Reserve Bank of India (RBI) Directions 2016 / Securities and Exchange Board of India (SEBI) circular dated April 24, 2020 / Department of Telecom (DoT) notice September 21, 2021 mandated procedures as amended from time to time may be referred to as per Annexure III.  KYCの目的のために、インド準備銀行(RBI)指令2016/インド証券取引所(SEBI)2020年4月24日付回覧/電気通信省(DoT)2021年9月21日通知で義務付けられた手続きは、随時改正されるため、附属書Ⅲを参照することができる。
With respect to transaction records, accurate information shall be maintained in such a way that individual transaction can be reconstructed along with the relevant elements comprising of, but not limited to, information relating to the identification of the relevant parties including IP addresses along with timestamps and time zones, transaction ID, the public keys (or equivalent identifiers), addresses or accounts involved (or equivalent identifiers), the nature and date of the transaction, and the amount transferred.  取引記録に関しては、正確な情報が、タイムスタンプと時間帯を伴うIPアドレス、取引ID、公開鍵(または同等の識別子)、関係する住所または口座(または同等の識別子)、取引の性質と日付、送金額などの関連当事者の識別に関する情報を含むが、これらに限らず、個々の取引を再構築できるような方法で維持されなければならない。
And whereas, the meaning to the terms ‘cyber incident’ or ‘cyber security incident’ or ‘computer resource’ or other terms may be ascribed as defined in the IT Act, 2000 or “The Information Technology (The Indian Computer Emergency Response Team and Manner of performing functions and duties) Rules, 2013” as the case may be.   サイバーインシデント」、「サイバーセキュリティインシデント」、「コンピュータリソース」等の用語の意味は、2000年IT法又は2013年情報技術(インドコンピュータ緊急対応チーム及び機能及び義務の履行方法)規則で定義されたとおりに解釈される場合がある。
And whereas, in case of any incident, the above-referred entities must furnish the details as called for by CERT-In. The failure to furnish the information or non-compliance with the ibid. directions, may invite punitive action under subsection (7) of the section 70B of the IT Act, 2000 and other laws as applicable.  また、何らかのインシデントが発生した場合、上記の事業者は、CERT-Inの求めに応じて詳細を提出しなければならない。情報を提供しないこと、または上記の指示に従わないことは、2000年IT法第70B条(7)および適用される他の法律に基づく懲罰的措置を求めることができる。
This direction will become effective after 60 days from the date on which it is issued. この指示は、発行された日から60日後に有効となる。

 

ちなみに報告義務があるインシデントは、附属書Iに記載があります。。。

Annexure I  附属書 I 
Types of cyber security incidents mandatorily to be reported by service providers, intermediaries, data centres, body corporate and Government organisations to CERT-In:  サービスプロバイダ、仲介業者、データセンター、企業、政府組織が CERT-In に報告することが義務付けられているサイバーセキュリティインシデントの種類。
[Refer Rule 12(1)(a) of The Information Technology (The Indian Computer Emergency Response Team and Manner of Performing Functions and Duties) Rules, 2013]  [2013 年情報技術(インドコンピュータ緊急対応チームおよび機能・職務の遂行方法)規則 12(1)(a) 参照] 
i. Targeted scanning/probing of critical networks/systems  i. 重要なネットワーク/システムの標的型スキャン/プロービング 
ii. Compromise of critical systems/information  ii. 重要なシステム/情報の危殆化 
iii. Unauthorised access of IT systems/data  iii. ITシステム/データへの不正アクセス 
iv. Defacement of website or intrusion into a website and unauthorised changes such as inserting malicious code, links to external websites etc.  iv. ウェブサイトの改ざん、ウェブサイトへの侵入、悪質なコードの挿入や外部ウェブサイトへのリンクなどの不正な変更。
v. Malicious code attacks such as spreading of virus/worm/Trojan/Bots/ Spyware/Ransomware/Cryptominers  v. ウイルス/ワーム/トロイの木馬/ボット/スパイウェア/ランサムウェア/クリプトマインダーの蔓延などの悪質なコード攻撃 
vi. Attack on servers such as Database, Mail and DNS and network devices such as Routers  vi. データベース、メール、DNSなどのサーバーやルーターなどのネットワーク機器への攻撃 
vii. Identity Theft, spoofing and phishing attacks  vii. 個人情報窃盗、なりすまし、フィッシング攻撃 
viii. Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks  viii. サービス妨害(DoS)および分散型サービス妨害(DDoS)攻撃 
ix. Attacks on Critical infrastructure, SCADA and operational technology systems and Wireless networks  ix. 重要インフラ、SCADA、運用技術システム及び無線ネットワークに対する攻撃 
x. Attacks on Application such as E-Governance, E-Commerce etc. xi. Data Breach  x. 電子政府、電子商取引等のアプリケーションに対する攻撃 xi. データ漏洩 
xii. Data Leak  xii. データ漏洩 
xiii. Attacks on Internet of Things (IoT) devices and associated systems, networks, software, servers  xiii. IoT機器および関連するシステム、ネットワーク、ソフトウェア、サーバに対する攻撃 
xiv. Attacks or incident affecting Digital Payment systems  xiv. デジタル決済システムに影響を及ぼす攻撃または事件 
xv. Attacks through Malicious mobile Apps  xv. 悪意のあるモバイルアプリを通じた攻撃 
xvi. Fake mobile Apps  xvi. 偽モバイルアプリ 
xvii. Unauthorised access to social media accounts  xvii. ソーシャルメディアアカウントへの不正アクセス 
xviii. Attacks or malicious/ suspicious activities affecting Cloud computing systems/servers/software/applications  xviii. クラウドコンピューティングシステム/サーバー/ソフトウェア/アプリケーションに影響を与える攻撃または悪意ある/疑わしい活動 
xix. Attacks or malicious/suspicious activities affecting systems/ servers/ networks/ software/ applications related to Big Data, Block chain, virtual assets, virtual asset exchanges, custodian wallets, Robotics, 3D and 4D Printing, additive manufacturing, Drones  xix. ビッグデータ、ブロックチェーン、仮想資産、仮想資産取引所、カストディアンウォレット、ロボット、3D・4Dプリンティング、積層造形、ドローンに関連するシステム/サーバ/ネットワーク/ソフトウェア/アプリケーションに影響を与える攻撃または悪意ある/不審な行為。
xx. Attacks or malicious/ suspicious activities affecting systems/ servers/software/ applications related to Artificial Intelligence and Machine Learning  xx. 人工知能や機械学習に関連するシステム/サーバー/ソフトウェア/アプリケーションに影響を与える攻撃や悪意ある/不審な活動 
The incidents can be reported to CERT-In via email (incident@cert-in.org.in), Phone (1800-11-4949) and Fax (1800-11-6969). The details regarding methods and formats of reporting cyber security incidents is also published on the website of CERT-In www.cert-in.org.in and will be updated from time to time. インシデントは、メール(incident@cert-in.org.in)、電話(1800-11-4949)、ファックス(1800-11-6969)でCERT-Inに報告することができる。サイバーセキュリティインシデントの報告方法とフォーマットに関する詳細は、CERT-Inのウェブサイト(www.cert-in.org.in)でも公開されており、随時更新される予定である。

 

報告時の記載項目は、附属書IIに記載されています。

といっても、、、住所とか法人名、連絡窓口を書けという内容です。。。

 

附属書IIIにKYCのルールが参考として記載されています。。。


 

これに関しては、米国に本部があるThe Information Technology Industry Council (ITI)がコメントをだしています。。。

早急に報告するように義務付けても、企業に負担がいくだけで、企業の対応を遅らせかえって良くないということだと思います。インシデント報告を受け取ったCERT-Inが何をしてくれるのか?ということだと思います。きっとファイルするだけでしょう。。。

なので、まずは適用開始時期を遅らせ、内容を再考してくださいという要望ですかね。。。

 

The Information Technology Industry Council (ITI)

・2022.05.06 ITI Raises Concerns that India’s Proposed Cybersecurity Directive Could Undermine Security Goals

 

 

| | Comments (0)

2022.05.10

英国 意見募集 消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04)

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)が、消費者ほごのためにアプリストアへの政府の介入は必要かについて意見募集をしていますね。。。

PCでは、誰でもソフトを作ることができるようなっていたので、インターネットにつながると各自が作ったソフトを自由にダウンロードできるようになり、ダウンロードするソフト、ダウンロードをしたソフトを各自が責任を持って確認をすることが必要となりましたが、スマホ、タブレットについては、アプリストアからダウンロードできるようにすることにより、アプリストアについて規制をかければ、社会的には効率的に安全なサイバー空間を作ることができるかも知れませんね、ということでしょうかね。。。

サイバー空間のビジネスについては、寡占が進んでいくような気がします(規模の経済が働きやすいこともあり、最初にある一定の規模までビジネスを広げてしまうと、後発事業者がそのマーケットを覆すのが難しいところがあるのかも知れません)。

そうなると、完全競争市場から離れていくので、資源の最適配分に近づけるためには、政府等の介入が必要となるのかも知れませんね。。。もちろん政府の政策は、国民の意見を聞いて民主的に決めていくのが、民主主義です。。。(そういう意味では、国民がスマートでないと、いけないということなのでしょうね。。。)

 

GOV.UK

プレスリリース

・2022.05.04 Tougher consumer protections against malicious apps

Tougher consumer protections against malicious apps 悪質なアプリに対する消費者保護を強化
Tech industry asked for views on measures to make app market safer and more secure アプリ市場をより安全・安心なものにするための施策について、技術業界から意見募集
・Proposals include a world-first code of practice to set minimum security and privacy requirements for app store operators and developers ・提案はアプリストアの運営者と開発者に対し、セキュリティとプライバシーの最低要件を設定する世界初の実践規範を含みます。
New report published today reveals malicious apps downloaded by hundreds of thousands of users put people’s data and money at risk ・数十万人のユーザーがダウンロードした悪質なアプリが、人々のデータと金銭を危険にさらしていることが本日発表された新しい報告書で明らかにな理ました。
・People downloading apps to smartphones, games consoles and TVs will be better protected from hackers under new government plans to boost security standards. ・スマートフォン、ゲーム機、テレビにアプリをダウンロードする人々は、セキュリティ基準を強化する政府の新しい計画により、ハッカーからより安全に保護されるようになります。
Millions of people use apps every day to shop, bank and make video calls and the UK app market is worth £18.6 billion. But there are few rules governing the security of the technology or the online stores where they are sold. 何百万人もの人々が、買い物や銀行、ビデオ通話をするために毎日アプリを使用しており、英国のアプリ市場は186億ポンドの規模があります。しかし、その技術や販売するオンラインストアのセキュリティを管理するルールはほとんどありません。
new report on the threats in app stores published today by the National Cyber Security Centre (NCSC) shows people’s data and money are at risk because of fraudulent apps containing malicious malware created by cyber criminals or poorly developed apps which can be compromised by hackers exploiting weaknesses in software. ナショナル・サイバー・セキュリティ・センター(NCSC)が本日発表したアプリストアにおける脅威に関する新しいレポートによると、サイバー犯罪者が作成した悪質なマルウェアを含む詐欺アプリや、ソフトウェアの弱点を突いたハッカーによって危険にさらされる可能性のある低開発アプリによって、人々のデータとお金が危険にさらされていることが示されています。
To provide better protection for consumers, the government is launching a call for views from the tech industry on enhanced security and privacy requirements for firms running app stores and developers making apps. 消費者保護を強化するため、政府は、アプリストアを運営する企業およびアプリを開発する開発者に対するセキュリティとプライバシーの要件強化について、技術業界から意見募集を開始します。
Under new proposals, app stores for smartphones, game consoles, TVs and other smart devices could be asked to commit to a new code of practice setting out baseline security and privacy requirements. This would be the first such measure in the world. 新しい提案では、スマートフォン、ゲーム機、テレビ、その他のスマートデバイス向けのアプリストアは、セキュリティとプライバシーの基本要件を定めた新しい実践規範を約束するよう求められる可能性があります。このような措置は世界初となります。
Developers and store operators making apps available to UK users would be covered. This includes Apple, Google, Amazon, Huawei, Microsoft and Samsung. 英国のユーザーが利用できるアプリケーションの開発者とストアオペレーターが対象となります。これには、Apple、Google、Amazon、Huawei、Microsoft、Samsungが含まれます。
The proposed code would require stores to have a vulnerability reporting process for each app so flaws can be found and fixed quicker. They would need to share more security and privacy information in an accessible way including why an app needs access to users’ contacts and location. 提案されている規約では、店舗は各アプリの脆弱性報告プロセスを持ち、欠陥をより早く発見して修正できるようにすることが求められています。また、アプリがユーザーの連絡先や位置情報にアクセスする必要がある理由を含め、より多くのセキュリティおよびプライバシー情報をアクセス可能な方法で共有する必要があるとしています。
Cyber Security Minister Julia Lopez said: ジュリア・ロペス サイバーセキュリティ相は次のように述べています。
"Apps on our smartphones and tablets have improved our lives immensely - making it easier to bank and shop online and stay connected with friends." 「スマートフォンやタブレット端末のアプリは、銀行やオンラインショッピング、友人との連絡などを容易にし、私たちの生活を大きく向上させました。」
"But no app should put our money and data at risk. That’s why the Government is taking action to ensure app stores and developers raise their security standards and better protect UK consumers in the digital age." 「しかし、どのアプリも私たちのお金やデータを危険にさらしてはなりません。そのため、政府は、アプリストアや開発者がセキュリティ基準を高め、デジタル時代における英国の消費者をよりよく保護するための措置をとっています。」
The NCSC report found all types of app stores face similar cyber threats and the most prominent problem is malware: corrupted software which can steal data and money and mislead users. NCSCの報告書によると、あらゆる種類のアプリストアが同様のサイバー脅威に直面しており、最も顕著な問題は、データや金銭を盗んだり、ユーザーを欺いたりする不正ソフトウェアであることが判明しました。
For example, last year some Android phone users downloaded apps which contained the Triada and Escobar malware on various third-party app stores. This resulted in cyber criminals remotely taking control of people’s phones and stealing their data and money by signing them up for premium subscription services without the individual’s knowledge. 例えば、昨年、一部のAndroid携帯電話ユーザーは、さまざまなサードパーティのアプリストアで、マルウェア「Triada」や「Escobar」を含むアプリをダウンロードしました。この結果、サイバー犯罪者は遠隔操作で人々の携帯電話をコントロールし、本人が知らないうちにプレミアムサブスクリプションサービスに加入させ、データや金銭を盗みました。
The NCSC report concludes the government’s proposed code of practice will have a positive impact and reduce the chances of malicious apps reaching consumers across different devices. NCSCの報告書は、政府が提案する実践規範が好影響を与え、悪意のあるアプリがさまざまなデバイスの消費者に届く可能性を減らすだろうと結論づけています。
NCSC Technical Director Ian Levy said: NCSCのテクニカルディレクターであるイアン・レヴィは、次のように述べています。
"Our devices and the apps that make them useful are increasingly essential to people and businesses and app stores have a responsibility to protect users and maintain their trust." 「私たちのデバイスとそれを便利にするアプリは、人々や企業にとってますます不可欠なものとなっており、アプリストアはユーザーを保護し、その信頼を維持する責任を負っています。」
"Our threat report shows there is more for app stores to do, with cyber criminals currently using weaknesses in app stores on all types of connected devices to cause harm." 「我々の脅威レポートでは、アプリストアにもっとやるべきことがあることを示しています。現在、サイバー犯罪者は、あらゆる種類の接続デバイスのアプリストアの弱点を利用して、被害を及ぼしているのです。」
"I support the proposed Code of Practice, which demonstrates the UK’s continued intent to fix systemic cybersecurity issues." 「私は、体系的なサイバーセキュリティの問題を解決しようとする英国の継続的な意思を示す、この実施規範の提案を支持します。」
The code follows a government review of app stores launched in December 2020 which found some developers are not following best practice in developing apps, while well-known app stores do not share clear security requirements with developers. このコードは、2020年12月に開始されたアプリストアに関する政府のレビューを受けたもので、一部の開発者がアプリの開発においてベストプラクティスに従っていないこと、また有名なアプリストアが明確なセキュリティ要件を開発者と共有していないことが判明しました。
The app stores call for views is part of the government’s £2.6 billion National Cyber Strategy to ensure UK citizens are more secure online and is alongside other tough UK safeguards for people using internet-connected devices. アプリストアの意見募集は、英国市民のオンラインセキュリティを確保するための政府の26億ポンドの国家サイバー戦略の一部であり、インターネット接続機器を使用する人々のための他の厳しい英国のセーフガードと並ぶものです。
It is also part of the government’s work leading international efforts to raise awareness on the need for security and privacy requirements for apps to protect users. また、アプリのセキュリティとプライバシーの要件に対する認識を高め、ユーザーを保護するための国際的な取り組みを主導している政府の活動の一部でもあります。
There are already tough data protection laws in the UK to protect people’s data and these are enforced by the Information Commissioner’s Office. 英国にはすでに、人々のデータを保護するための厳しいデータ保護法があり、これらは情報コミッショナー事務局によって施行されています。
A new product security law making its way through parliament will place new requirements on manufacturers, importers and distributors of consumer tech. They will have to ban easy-to-guess default passwords in devices and make manufacturers transparent about the length of time products will receive security updates alongside providing a vulnerability disclosure policy. 議会で審議中の新しい製品セキュリティ法は、消費者向け技術のメーカー、輸入業者、販売業者に新たな要件を課すことになります。製造業者は、推測しやすいデフォルトパスワードの使用を禁止し、製品にセキュリティアップデートが適用される期間や脆弱性の開示方針について透明性を確保しなければならない。
People should also follow the National Cyber Security Centre guidance to help secure smart devices. また、ナショナル・サイバー・セキュリティ・センターのガイダンスに従って、スマートデバイスの安全性を確保する必要があります。
Ends 以上
Notes to Editors: 編集後記
The eight-week call for views will run until 29 June 2022. App developers, app store operators and security and privacy experts are encouraged to provide feedback to inform the government’s work in this area. 8週間にわたる意見募集は、2022年6月29日まで実施される予定です。アプリ開発者、アプリストア運営者、セキュリティおよびプライバシーの専門家は、この分野での政府の取り組みに情報を提供するために、フィードバックを提供することが推奨されます。
Following the call for views, we will review the feedback provided and will publish a response later this year. The review complements the government’s upcoming digital markets pro-competition regime, including the Competition and Market Authority’s market study into mobile ecosystems, which will create a more vibrant and innovative digital economy across the UK. 意見募集の後、提供されたフィードバックを検討し、本年末に回答を発表する予定です。このレビューは、モバイルエコシステムに関する競争市場庁の市場調査など、政府が今後予定しているデジタル市場の競争促進体制を補完するもので、英国全体でより活発で革新的なデジタル経済を実現するものです。

 

意見募集関係

・2022.05.04 App security and privacy interventions

App security and privacy interventions アプリのセキュリティとプライバシーへの介入
Summary 概要
The government is holding a call for views on plans to improve the security and privacy of apps and app stores. 政府は、アプリとアプリストアのセキュリティとプライバシーを改善する計画に関する意見募集を実施しています。
Consultation description コンサルテーション内容
Apps are increasingly essential to everyday life as they provide users with the ability to access important services using various devices, such as smartphones, game consoles, fitness devices and smart TVs. They can be downloaded through various methods, including from app stores operated by either the official software supplier or manufacturer of a device and those operated by third parties. It’s vital that apps are built to security and privacy best practice to protect the data and privacy of individuals and organisations. スマートフォン、ゲーム機、フィットネス機器、スマートテレビなど、さまざまなデバイスを使用して重要なサービスにアクセスできるアプリは、日常生活においてますます欠かせないものとなっています。アプリは、デバイスの公式ソフトウェアサプライヤーやメーカーが運営するアプリストア、サードパーティーが運営するアプリストアなど、様々な方法でダウンロードすることができる。アプリケーションは、個人と組織のデータとプライバシーを保護するために、セキュリティとプライバシーのベストプラクティスに則って構築されることが極めて重要です。
The UK government conducted a review into the app store ecosystem from December 2020 to March 2022. The review found that malicious and poorly developed apps continue to be accessible to users, therefore it is evident that some developers are not following best practice when creating apps. All app stores share a common threat profile with malware contained within apps the most prevalent risk. Additionally, prominent app store operators are not adequately signposting app requirements to developers and providing detailed feedback if an app or update is rejected. 英国政府は、2020年12月から2022年3月にかけて、アプリストアのエコシステムに対するレビューを実施しました。このレビューでは、悪意のあるアプリや開発不十分なアプリが引き続きユーザーからアクセス可能であることが判明し、したがって、一部の開発者がアプリの作成時にベストプラクティスに従っていないことが明らかとなりました。すべてのアプリストアに共通の脅威プロファイルがあり、アプリに含まれるマルウェアが最も一般的なリスクとなっています。また、著名なアプリストアの運営者は、アプリの要件を開発者に適切に通知しておらず、アプリやアップデートが拒否された場合に詳細なフィードバックを提供していません。
This government’s intention is to ensure consumers are protected from online threats by taking forward a robust set of interventions which are proportionate, pro-innovation and future-facing. The review therefore explored various options to address these challenges. The main intervention the government is proposing at this initial stage is a voluntary Code of Practice for all app store operators and developers. This is because we recognise that the most effective current way of protecting users at scale from malicious and insecure apps, and ensuring that developers improve their practices, is through app stores. 政府の意図は、消費者がオンラインの脅威から確実に保護されるように、適切でイノベーションを促進し、将来を見据えた一連の強固な介入策を講じることにあります。このため、レビューでは、これらの課題に対処するためのさまざまなオプションが検討された。この初期段階において政府が提案している主な介入策は、すべてのアプリストアの運営者と開発者を対象とした自主的な行動規範です。これは、悪意のある安全でないアプリから大規模なユーザーを保護し、開発者の業務改善を確保するための現在の最も効果的な方法が、アプリストアであると認識しているためです。
Read more in the press notice. 詳しくは、プレスリリースをご覧ください。
We are holding a call for views on this approach for eight weeks until Wednesday 29 June 2022 to help gather feedback on the proposed interventions, including the draft Code of Practice. Stakeholders are encouraged to provide their views on the proposed interventions, including the content of the proposed Code and whether additional proposals should be taken forward. The government would also welcome views, particularly from developers, on the review and feedback processes they have encountered when creating apps on different app stores. Moreover, we would welcome any data which illustrates the financial and wider impact of implementing the Code of Practice. Participants will have the opportunity to identify themselves when they submit their responses, or be anonymous. このアプローチについて、2022年6月29日(水)までの8週間、意見募集を行い、実施規範のドラフトを含む介入案に関する意見を収集するのに役立てています。ステークホルダーの皆様には、提案されている規範の内容や追加提案を進めるべきかどうかなど、提案されている介入策についてご意見をお寄せいただくようお願いします。また、特に開発者が様々なアプリストアでアプリを作成する際に遭遇するレビューやフィードバックのプロセスに関する意見も歓迎する。さらに、実践規範の導入による財務的影響やより広範な影響を示すデータがあれば歓迎します。参加者は、回答時に名乗るか、または匿名にすることができます。
The feedback will inform UK government policy and our next steps. Depending on the feedback received, we may look to publish the Code later in the year, alongside exploring and taking further other interventions outlined in this report. フィードバックは、英国政府の政策と私たちの次のステップに反映されます。受け取ったフィードバックによっては、本報告書に記載された他の介入策を検討し、実施することに加え、年内に行動規範を公表することも検討されます。
There are a number of other documents being published to support this call for views: この意見募集をサポートするために、他にも多くの文書が発行されています。
A literature review on security and privacy policies in apps and app stores (see document below) アプリとアプリストアのセキュリティとプライバシーポリシーに関する文献レビュー(下記参照)
A National Cyber Security Centre threat report on application stores アプリケーションストアに関するナショナル・サイバー・セキュリティ・センターの脅威に関する報告書
A report by Apadmi on security and privacy in app development across different app stores Apadmiによる、さまざまなアプリストアでのアプリ開発におけるセキュリティとプライバシーに関する報告書
This work is part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK online, and ensure citizens are secure and confident their data is protected. この作業は、オンライン上で英国を保護・促進し、市民が安全かつ自信を持ってデータを保護できるようにするための、政府の26億ポンドの「国家サイバー戦略」の一部です。

 

・2022.05.04 App security and privacy interventions

Literature review on security and privacy policies in apps and app stores アプリとアプリストアにおけるセキュリティとプライバシーポリシーに関する文献レビュー
Contents 内容紹介
Executive summary エグゼクティブサマリー
1.Introduction 1.はじめに
2.Background 2.背景
3.The user perspective 3.ユーザーの視点
4.Supporting developers 4.開発者支援
5.Vulnerability reporting and bug bounty 5.脆弱性レポートとバグバウンティ
6.Malware and risky behaviour 6.マルウェアと危険な行動
7.Recommendations 7.推奨事項
This literature review was carried out by: この文献レビューは、以下のメンバーによって実施されました。
Prof. Steven Furnell スティーブン・ファーネル(Prof. Steven Furnell
School of Computer Science コンピュータサイエンス学部
University of Nottingham ノッティンガム大学
17-Feb-21 2021.02.17
Executive summary エグゼクティブサマリー
This report investigates issues of cyber security and privacy in relation to apps and app stores. The objective of the review is to provide recommendations for improving the security of applications (apps) delivered via app stores, and to identify issues that may be of relevance to DCMS’s future work on the cyber security in these contexts. Specific attention was given towards app stores and apps intended for mobile devices such as smartphones and tablets. この報告書は、アプリとアプリストアに関連するサイバーセキュリティとプライバシーの問題を調査しています。レビューの目的は、アプリストアを介して配信されるアプリケーション(アプリ)のセキュリティを改善するための推奨事項を提供し、これらのコンテキストにおけるサイバーセキュリティに関するDCMSの将来の作業に関連する可能性がある問題を特定することです。特に、スマートフォンやタブレット端末などのモバイル機器を対象としたアプリストアとアプリに注目しました。
The current mobile app marketplace is focused around two main app ecosystems – Android and iOS – and there are a range of app store sources from which users can install apps. These include official app stores from the platform providers, as well as a range of further stores offered by device manufacturers and other third parties. While the underlying objective of all stores is the same, in terms of offering the distribution channel for the hosted apps, they can vary considerably in terms of their associated security and privacy provisions. This includes both the guidance and controls provided to safeguard app users, as well as the policies and procedures in place to guide and review developer activities. 現在のモバイルアプリ市場は、AndroidとiOSという2つの主要なアプリエコシステムに集中しており、ユーザーがアプリをインストールできるアプリストアのソースも多岐にわたります。この中には、プラットフォームプロバイダーが提供する公式アプリストアや、デバイスメーカーやその他のサードパーティが提供する様々なストアがあります。すべてのストアの基本的な目的は、ホストされたアプリの流通経路を提供するという点で同じですが、関連するセキュリティとプライバシー規定の点でかなり異なる可能性があります。これには、アプリのユーザーを保護するために提供されるガイダンスとコントロール、および開発者の活動を指導しレビューするために設けられたポリシーと手続きの両方が含まれます。
Evidence suggests that many users have concerns regarding the ability to trust apps and their associated use of data. As such, they find themselves very much reliant upon the processes put in place by app stores to check the credibility of the apps they host. In reality, however, practices vary significantly across providers – ranging from stores having clear review processes and attempting to ensure that developers communicate the ways in which their apps collect and use user data, through to situations in which apps are made available in spite of having known characteristics that could put users’ devices and data at risk. 多くのユーザが、アプリを信頼できるかどうか、またアプリによるデータの利用について懸念を抱いていることが、証拠によって示されています。そのため、アプリストアがホストするアプリの信頼性を確認するためのプロセスに非常に依存していることがわかります。しかし、実際には、アプリストアが明確な審査プロセスを持ち、アプリがユーザーデータを収集・使用する方法を開発者に伝えるよう努めるところから、ユーザーのデバイスやデータを危険にさらす可能性がある特性があることが分かっているにもかかわらずアプリが提供されている状況まで、プロバイダによって業務内容は大きく異なっています。
When it comes to supporting users, this review reveals that the app stores have varying approaches with correspondingly variable levels of information and clarity. This is observed in terms of both the presence and content of related policies, as well as in relation to supporting users’ understanding when downloading specific apps. The latter is particularly notable in terms of the presence and clarity of messaging about app permissions and handling of personal data, with some stores providing fairly extensive details and others providing nothing that most users would find meaningful. ユーザーサポートに関しては、アプリストアのアプローチは様々であり、それに応じて情報のレベルや明確さも様々であることが、このレビューで明らかにされました。これは、関連ポリシーの有無と内容、および特定のアプリをダウンロードする際のユーザーの理解支援との関連で観察される。後者は、アプリの使用許諾や個人情報の取り扱いに関するメッセージの有無と明確さにおいて特に顕著であり、かなり広範な詳細を提供しているストアもあれば、ほとんどのユーザーが有意義と感じるような内容を提供していないストアもあります。
There are also notable variations in how different app stores guide and support app developers, including the level of expectation that appears to be placed upon providing safe and reliable apps, that incorporate appropriate protections and behaviours in relation to users’ personal data. While some stores include formal review and screening processes, and scan apps to prevent malware, others offer a more permissive environment that enables threats and risky app behaviours to pass through without identification. また、ユーザーの個人データに関する適切な保護と行動を組み込んだ、安全で信頼できるアプリを提供することへの期待度など、アプリ開発者を指導・支援する方法についても、ストアによって顕著な違いが見られます。アプリ開発者の中には、正式な審査やスクリーニングを行い、マルウェアを防ぐためにアプリをスキャンするストアがある一方で、脅威やリスクの高いアプリの挙動を識別せずに通過させる、より寛容な環境を提供するストアがあります。
Linked to their stance on maintaining security and resolving issues, the larger providers support vulnerability reporting and offer bug bounty schemes. The latter incentivise the responsible disclosure of vulnerabilities rather than allowing them to persist and risking their exploitation in malicious activities. The large rewards available through these schemes is in notable contrast with other app store environments, where such provisions are not offered. セキュリティの維持と問題解決に取り組む姿勢と関連して、大手プロバイダは脆弱性の報告をサポートし、バグバウンティ制度を提供しています。後者は、脆弱性を放置して悪意ある行為に悪用されるリスクを冒すよりも、責任を持って脆弱性を開示することにインセンティブを与えるものです。これらの制度を通じて得られる多額の報奨金は、このような規定がない他のアプリストア環境とは顕著な対照をなしています。
The discussion also gives specific attention to malicious and risky behaviours that can be exhibited by apps, with overall evidence suggesting that the problem is on the increase and that Android users are the most exposed to the risks. This underlying evidence includes clear examples of apps that are overtly malicious (representing traditional malware categories such as viruses, worms, Trojans and spyware), as well as apps whose behaviour (while not directly hostile) could be regarded as risky through factors such as requesting excessive permissions or leading to data leakage. また、この議論では、アプリが示す可能性のある悪質で危険な行為に具体的な注意を向けており、この問題が増加傾向にあり、Androidユーザがそのリスクに最もさらされていることを示唆する全体的な証拠が示されています。この基本的な証拠には、あからさまに悪意のあるアプリ(ウイルス、ワーム、トロイの木馬、スパイウェアなど、従来のマルウェアのカテゴリに相当)の明確な例と、(直接敵対しないものの)過剰な権限を要求したりデータ漏洩につながるなどの要因によって危険と見なされる動作のアプリの例が含まれます。
A series of recommendations are made in relation to operating app stores, guiding developers and supporting users: アプリストアの運営、開発者の指導、ユーザーのサポートに関して、一連の提言がなされています。
Ensuring a more credible and consistent level of information to app store users and app developers regarding security and privacy provisions and expectations, supported by mechanisms to enable more informed decisions and control over the apps that are installed. アプリストアの利用者とアプリ開発者に対し、セキュリティとプライバシーの規定と期待について、より信頼できる一貫したレベルの情報を提供し、インストールされるアプリについて、より多くの情報に基づいた決定と制御を可能にするメカニズムによって支援すること。
Increasing the opportunity and expectation for app developers to learn and adopt appropriate security- and privacy-aware practices. アプリ開発者が、セキュリティとプライバシーを意識した適切な手法を学び、採用する機会と期待を高めること。
Increasing the efforts to raise user awareness of app security and privacy risks, and supporting this with better communication of the issues within apps and app stores. アプリのセキュリティとプライバシーのリスクに対するユーザの意識を高める取り組みを強化し、アプリとアプリストアにおける問題のより良いコミュニケーションによってこれを支援すること。
This in turn could lead to initiatives across the app store ecosystem more widely, including a community-adopted code of practice in order to support responsible app development and resulting confidence among users. これは、責任あるアプリ開発とその結果としてのユーザーの信頼を支援するために、コミュニティが採択した実践規範を含む、より広くアプリストアのエコシステム全体にわたる取り組みにつながる可能性があります。
The summary is supported by extensive reference to sources, encompassing both relevant research and findings, and recent developments in the app sector. It should be noted that the review was completed in early 2021 and therefore further research could have been published that may further inform this topic. この要約は、関連する研究および調査結果、ならびにアプリセクターにおける最近の開発の両方を網羅する、広範な参照情報によってサポートされています。このレビューは2021年初頭に完了したため、このトピックにさらに情報を提供する可能性のある研究がさらに発表されている可能性があることに留意すべきです。

 

・2022.05.04 App security and privacy interventions

App security and privacy interventions アプリのセキュリティとプライバシーへの介入
Contents 目次
Foreword 序文
Executive summary エグゼクティブサマリー
1.DCMS review into app security and privacy 1.アプリのセキュリティとプライバシーに関するDCMSのレビュー
2.Relevant wider government activities 2.関連する広範な政府の活動
3.Benefits and risks associated with the app ecosystem 3.アプリのエコシステムに関連するメリットとリスク
4.The regulatory landscape and relevant antitrust cases 4.規制の状況および関連する独占禁止法上の事例
5.Review findings 5.レビューの結果
6.Proposed interventions 6.提案された介入策
7.Next steps 7.次のステップ
Annex A: Glossary of terms 附属書A:用語集
Annex B: Options analysis summary 附属書B:選択肢分析の概要
Annex C: Call for views survey questions 附属書C:意見募集の調査質問
Foreword 序文
Julia Lopez MP, Minister of State for Media, Data and Digital Infrastructure ジュリア・ロペス メディア・データ・デジタルインフラ担当国務大臣
Apps play an increasingly important role in everyday life, from managing your finances to catching up with friends and family. Thanks to apps, a world of functionality can be accessed from a single device, anywhere and at any time: whether from a mobile phone out in public or on a smart TV in the comfort of your home. Apps have helped us stay connected with our loved ones and continue working during the COVID-19 pandemic. In a time of great uncertainty, apps have allowed businesses to continue functioning as well as opening the virtual doors for new enterprises. This has increased our reliance on apps, as well as the app stores where we access them. アプリは、家計の管理から友人や家族との連絡まで、日常生活においてますます重要な役割を果たしています。アプリのおかげで、1つのデバイスから、いつでもどこでも、さまざまな機能にアクセスできるようになりました。公共の場では携帯電話から、自宅ではスマートテレビから。COVID-19の大流行時にも、アプリのおかげで大切な人とのつながりを保ち、仕事を続けることができました。大きな不安の中で、アプリはビジネスの機能継続を可能にし、また新しい企業への仮想的な扉を開いてくれました。そのため、私たちはアプリやアプリを利用するアプリストアへの依存度を高めています。
Given this reliance, it’s vital that apps are secure, to protect the data and privacy of individuals and organisations. Developers therefore have a responsibility to ensure that they are creating apps with appropriate security and privacy. App stores can also serve as trusted digital marketplaces, as long as they have the right processes to check that apps are not a risk to users’ security and privacy. While many app stores have vetting and review processes, malicious and insecure apps continue to make it onto some stores. Given our growing reliance on apps, we need to ensure that we are managing the risks if we are to securely reap the many benefits of apps and app stores. このような信頼性を考えると、個人と組織のデータとプライバシーを保護するために、アプリが安全であることが極めて重要です。したがって、開発者は、適切なセキュリティとプライバシーを備えたアプリケーションを作成する責任を負っています。アプリストアは、アプリがユーザーのセキュリティやプライバシーを侵害しないことを確認する適切なプロセスを備えていれば、信頼できるデジタルマーケットプレイスとして機能することも可能です。多くのアプリストアが審査やレビューのプロセスを備えている一方で、悪質で安全でないアプリが一部のストアに出回り続けています。アプリへの依存度が高まる中、アプリやアプリストアから得られる多くのメリットを安全に享受するためには、リスク管理を徹底する必要があります。
A key ambition of our new National Cyber Strategy published in December 2021, is to ensure citizens are more secure online and confident their data is protected. This work will help deliver this through improving the practices of major providers of digital services, specifically app store operators (as well as developers). Additionally, as set out in the Plan for Digital Regulation, we will ensure our overall approach to governing digital technologies is proportionate and supports growth and innovation within the sector. The Government will also ensure that developments in this area coordinate and mutually reinforce other work associated with app security and privacy. 2021年12月に発表された新しい国家サイバー戦略の主要な野望は、市民がオンラインでより安全に、自分のデータが保護されていると確信できるようにすることです。今回の取り組みは、デジタルサービスの主要なプロバイダー、特にアプリストアの運営者(および開発者)の業務慣行を改善することで、これを実現するのに役立ちます。さらに、「デジタル規制のための計画」に示されているように、デジタル技術を管理するための全体的なアプローチが適切であり、この分野での成長とイノベーションを支援することを確認します。また、政府は、この分野の開発が、アプリのセキュリティとプライバシーに関連する他の作業を調整し、相互に強化することを確保する。
The interventions suggested in this document include a voluntary Code of Practice for App Store Operators and Developers that is intended as a first step. Other options we could take forward if needed in the future, include certification for app store operators and regulating aspects of the Code to help protect users. These proposals link into the National Cyber Strategy through requiring providers of digital services to meet appropriate standards of cyber security and developing frameworks to secure future technologies. この文書で提案された介入策には、最初のステップとして意図された、アプリストアの運営者と開発者のための自主的な実践規範が含まれています。将来的に必要であれば、アプリストア運営者の認証や、ユーザー保護に役立つ規範の側面の規制など、他の選択肢も考えられます。これらの提案は、デジタルサービスのプロバイダーが適切なサイバーセキュリティの基準を満たすことを要求し、将来の技術を保護するための枠組みを開発することを通じて、国家サイバー戦略にリンクしています。
Guided by the Plan for Digital Regulation’s focus on coherence, these proposals complement work that is already happening across Government to help protect users that rely on various digital services and technology. This includes the Online Safety Bill which will ensure that the UK is the safest place in the world to be online while defending free expression and the Product Security and Telecommunications Infrastructure Bill, which will protect the security of consumer connectable products, and their users. 「デジタル規制のための計画」の一貫性に重点を置くことにより、これらの提案は、様々なデジタルサービスや技術に依存するユーザーを保護するために、政府全体で既に行われている作業を補完するものです。これには、表現の自由を守りながら、英国が世界で最も安全なオンラインプレイスであることを保証するOnline Safety Billや、消費者が接続できる製品やそのユーザーのセキュリティを保護するProduct Security and Telecommunications Infrastructure Billが含まれます。
The Government is also creating the pro-competition regime for digital markets, which will introduce new rules to ensure digital consumers and businesses are treated fairly and level the playing field so that new and innovative tech firms can flourish. The Competition & Market Authority’s market study into Apple and Google’s mobile ecosystems and their interim report published on 14 December 2021 will inform the design of the new pro-competition regime for digital markets. また、政府はデジタル市場のための競争促進体制を構築しており、デジタル消費者と企業が公平に扱われるよう新たなルールを導入し、新しい革新的なハイテク企業が繁栄できるよう、競争の場を公平にします。競争・市場庁によるアップルとグーグルのモバイル・エコシステムに関する市場調査と2021年12月14日に発表されたその中間報告書は、デジタル市場のための新しい競争促進制度の設計に情報を提供しています。
I welcome your views on the proposed interventions set out in this document. Your views will help shape UK Government policy over the coming years and allow both consumers and businesses to reap the many benefits from apps. This will help make the UK a stronger and more secure place for people and businesses. この文書に示された介入案について、皆様のご意見をお待ちしています。皆様のご意見は、今後数年間にわたる英国政府の政策の形成に役立ち、消費者と企業の両方がアプリから多くの利益を享受できるようになります。これは、英国を人々や企業にとってより強く安全な場所にすることにつながるでしょう。
Julia Lopez MP ジュリア・ロペス議員
Minister of State for Media, Data and Digital Infrastructure メディア・データ・デジタルインフラ担当国務大臣
Department for Digital, Culture, Media and Sport デジタル・文化・メディア・スポーツ省
Executive summary エグゼクティブサマリー
Apps are increasingly essential to everyday life as they provide users with the ability to access important services using various devices, such as smartphones, game consoles, fitness devices and smart TVs. They can be downloaded through various methods, including from app stores operated by either the official software supplier or manufacturer of a device and those operated by third parties. It’s vital that apps are built to security and privacy best practice to protect the data and privacy of individuals and organisations. スマートフォン、ゲーム機、フィットネス機器、スマートテレビなど、さまざまなデバイスを使用して重要なサービスにアクセスできるアプリは、日常生活においてますます欠かせないものとなっています。アプリは、デバイスの公式ソフトウェアサプライヤーやメーカーが運営するアプリストア、サードパーティーが運営するアプリストアなど、様々な方法でダウンロードすることができる。アプリケーションは、個人と組織のデータとプライバシーを保護するために、セキュリティとプライバシーのベストプラクティスに則って構築されることが極めて重要です。
Developers therefore have a clear responsibility to ensure that the apps they create are built with appropriate security and privacy. App stores can play an important role through the checks they put in place to help protect users from malicious and poorly developed apps. They also can act as a trusted digital marketplace, where steps are taken to ensure that users can benefit from the extensive variety of apps, which range from banking to games to health-related apps. Their role is equally important because the vast majority of users, particularly on mobile platforms, download apps via these app stores. したがって、開発者は、作成するアプリケーションが適切なセキュリティとプライバシーを考慮して構築されていることを保証する明確な責任を負っています。アプリストアは、悪意のあるアプリや不十分な開発のアプリからユーザーを保護するためのチェックを通じて、重要な役割を果たすことができます。また、銀行、ゲーム、健康関連アプリなど、多種多様なアプリからユーザが確実に利益を得られるような措置が取られた、信頼できるデジタル市場としても機能します。特にモバイルプラットフォームでは、ユーザーの大半がこうしたアプリストアを経由してアプリをダウンロードしているため、その役割は同様に重要です。
Across the globe, there are a growing number of regulatory initiatives focusing on mobile app stores which could result in third party app stores being obtainable on iOS devices and more accessible on Android devices. The above activities may increase the risk to app users if third party app stores do not have robust processes, such as on vetting or transparency around permission requests. There have also been significant instances where malicious apps have been available to download on app stores thereby putting users’ security and privacy at risk. 世界各地で、モバイル・アプリ・ストアに関する規制強化の動きが活発化しており、その結果、iOS端末ではサードパーティ製アプリ・ストア、Android端末ではよりアクセスしやすいアプリ・ストアとなる可能性があります。サードパーティアプリストアが、審査や許可要求の透明性などの堅牢なプロセスを有していない場合、上記の活動はアプリ利用者のリスクを増大させる可能性があります。また、悪意のあるアプリがアプリストアからダウンロードできるようになり、ユーザーのセキュリティとプライバシーが危険にさらされる事例も少なくありません。
The UK government therefore conducted a review from December 2020 to March 2022 into the app store ecosystem, with the aim of reducing the threat of malicious and insecure apps to protect users whilst helping developers meet security and privacy best practice. This review sits alongside broader efforts across government focused around creating an innovative and thriving digital economy in the UK while ensuring that users are able to securely benefit from any potential changes to the app store ecosystem. そこで英国政府は、2020年12月から2022年3月にかけて、悪質で安全でないアプリの脅威を低減してユーザーを保護する一方で、開発者がセキュリティとプライバシーのベストプラクティスを満たせるようにすることを目的に、アプリストアのエコシステムの見直しを実施しました。この見直しは、英国における革新的で活気あるデジタル経済の創出に焦点を当てた政府全体の幅広い取り組みと同時に、アプリストアのエコシステムに変更が生じた場合、ユーザーが安全にその恩恵を受けることができるようにすることを目的としています。
Our recent consultation on the pro-competition regime for digital markets proposed new rules for the most powerful firms to ensure consumers and businesses are treated fairly, and a level playing field where innovative tech firms can flourish. The design of this regime will also be informed by the Competition & Market Authority’s market study into Apple and Google’s mobile ecosystems and their recent interim report published on 14 December 2021. デジタル市場の競争促進体制に関する最近の協議では、消費者と企業が公平に扱われ、革新的なハイテク企業が活躍できる公平な競争の場を確保するため、最も強力な企業に対する新しい規則を提案しました。この制度の設計は、競争・市場庁によるアップルとグーグルのモバイル・エコシステムへの市場調査と、2021年12月14日に発表された最近の中間報告からも情報を得ることができます。
The review found that malicious and poorly developed apps continue to be accessible to users, therefore it is evident that some developers are not following best practice when creating apps. All app stores share a common threat profile with malware contained within apps the most prevalent risk. Additionally, prominent app store operators are not adequately signposting app requirements to developers and providing detailed feedback if an app or update is rejected. このレビューでは、悪意のあるアプリや開発不十分なアプリが引き続きユーザーにアクセス可能であることが判明し、したがって、一部の開発者がアプリを作成する際にベストプラクティスに従っていないことが明らかになりました。すべてのアプリストアに共通する脅威プロファイルは、アプリに含まれるマルウェアが最も一般的なリスクであることです。また、著名なアプリストアの運営者は、アプリの要件を開発者に適切に通知しておらず、アプリやアップデートが拒否された場合に詳細なフィードバックを提供していません。
This government’s intention is to take forward a robust set of interventions to ensure consumers are protected from online threats which are proportionate, pro-innovation and future-facing - in alignment with the principles set out in the Plan for Digital Regulation. The review therefore explored various options to address the above challenges. The main intervention we are proposing at this initial stage is a voluntary Code of Practice for all app store operators and developers. This is because we recognise that currently the most effective way of protecting users at scale from malicious and insecure apps, and ensuring that developers improve their practices is through app stores. 政府の意図は、消費者をオンラインの脅威から確実に保護するために、デジタル規制のための計画で定められた原則に沿った、適切でイノベーションを促進し、将来を見据えた一連の強固な介入策を実施することです。このため、レビューでは、上記の課題に対処するための様々な選択肢を検討しました。この初期段階で私たちが提案している主な介入策は、すべてのアプリストアの運営者と開発者を対象とした自主的な行動規範です。これは、現在、悪意のある安全でないアプリからユーザーを大規模に保護し、開発者の業務改善を保証する最も効果的な方法は、アプリストアであると私たちが認識しているからです。
A Code would provide the government with an opportunity to mandate the requirements in the future should the risks arising from malicious and insecure apps not be mitigated through stakeholder action, or should the risk and threat landscape evolve such that this is necessary. A full draft of the proposed Code is provided in Chapter 6. This section also outlines other interventions we have identified that may help drive adoption among operators and developers. We will continue to keep these under review. 悪意のある安全でないアプリから生じるリスクが関係者の行動によって軽減されない場合、またはリスクと脅威の状況が変化してそれが必要になった場合、コードは将来的に政府に要件を義務付ける機会を提供することになるのです。提案されているコードの完全な草案は、第6章に記載されています。本章では、事業者と開発者の間で採用を促進するのに役立つと思われる、私たちが特定したその他の介入策についても概説します。これらは引き続き検討される予定です。
This publication is intended as the starting point of a much more extensive dialogue with our stakeholders, including industry and international partners. We are now holding a Call for Views for eight weeks until Wednesday 29 June 2022 to help gather feedback on the proposed interventions, including the draft Code of Practice. The feedback will be used to help inform UK government policy and our next steps. Depending on the feedback received, we may look to publish the Code later in the year, alongside exploring and taking further other interventions outlined in this report. 本書は、業界や国際的なパートナーを含むステークホルダーとの、より広範な対話の出発点となることを意図しています。現在、2022年6月29日(水)までの8週間、「意見募集」を実施し、実施基準案を含む介入案に関する意見収集に役立てています。いただいたご意見は、英国政府の政策や私たちの次のステップへの情報提供に役立てられる予定です。受け取ったフィードバックによっては、本報告書に概説されている他の介入策を検討し、さらに実施するのと並行して、年内にコードを公開することを検討する可能性があります。
Protecting users from malicious and insecure apps is a global concern. We have engaged with our international partners as part of this review to share evidence, and we will continue to do so as part of efforts to create international alignment in this area. 悪質で安全でないアプリからユーザーを保護することは、世界的な関心事です。私たちは、このレビューの一環として、エビデンスを共有するために国際的なパートナーと関わってきましたが、この分野における国際的な連携を構築する努力の一環として、今後もそうしていきます。

 

参考

・2022.05.04 Threat report on application stores

Threat report on application stores アプリケーションストアに関する脅威レポート
This report outlines the risks associated with the use of official and third party app stores. このレポートでは、公式およびサードパーティのアプリケーションストアの使用に関連するリスクについて概説しています。
Over the last decade there has been an enormous increase in the availability and use of smartphones and smart devices. Many of these devices feature application stores ('app stores'), which allow users to download additional applications and content. The vast majority of users, particularly on mobile platforms, download apps via these app stores. 過去10年間で、スマートフォンやスマートデバイスの普及と利用が非常に進みました。これらのデバイスの多くは、アプリケーションストア(以下、アプリストア)を備えており、ユーザーは、追加のアプリケーションやコンテンツをダウンロードすることができます。特にモバイル端末のユーザーの大半は、このアプリストアを通じてアプリをダウンロードしています。
There's also been increased demand for apps, primarily as a result of the COVID-19 pandemic as more people work, shop, and stay in touch online. また、主にCOVID-19の大流行により、オンラインで仕事や買い物、連絡を取る人が増えているため、アプリに対する需要が高まっています。
Since there is a great variety of devices (and supporting app stores), there are a number of disparate and complex security issues that that can expose consumers and enterprises to online threats. This report summarises the risks associated with the use of official and third party app stores. It includes links to detailed guidance that describe how to mitigate the main threats. デバイス(および対応するアプリストア)は多種多様であるため、消費者や企業がオンラインの脅威にさらされる可能性のある、異種かつ複雑なセキュリティ問題が多数存在します。このレポートでは、公式およびサードパーティのアプリストアの使用に関連するリスクについてまとめています。また、主な脅威を軽減する方法を説明した詳細なガイダンスへのリンクも掲載しています。
This report was compiled to inform Department for Digital, Culture, Media & Sport's (DCMS) review on current threats associated with app stores. The report will aid in the development of policy interventions that will seek to improve app stores' security and privacy controls to protect both UK consumers and enterprises.  本レポートは、デジタル・文化・メディア・スポーツ省(DCMS)によるアプリストアに関連する現在の脅威に関するレビューに情報を提供するために作成されたものです。このレポートは、英国の消費者と企業の両方を保護するために、アプリストアのセキュリティとプライバシー管理を改善しようとする政策介入の開発を支援するものです。 

 

・[PDF]

20220510-61306

Introduction はじめに
Related NCSC guidance NCSCの関連ガイダンス
Use of apps and app stores in the UK  英国におけるアプリとアプリストアの利用について 
UK app developers 英国のアプリ開発者
What is the risk? リスクとは?
Cyber attacks on compromised apps 危険なアプリへのサイバー攻撃
Systemic vulnerabilities of app store developer submission checks アプリストアの開発者提出チェックのシステム的脆弱性
Overview of app stores アプリストアの概要
Mobile app stores モバイルアプリストア
Third party app stores  サードパーティアプリストア 
IoT voice assistant stores  IoT音声アシスタントストア 
IoT smart device stores  IoTスマートデバイスストア 
Gaming stores ゲームストア
Case studies 事例
Offificial mobile app stores  モバイルアプリストア 
Third party mobile app stores  サードパーティーモバイルアプリストア 
Voice assistant stores 音声アシスタントストア
IoT smart device stores  IoTスマートデバイスストア 
Gaming stores ゲームストア
Summary まとめ

 

 

| | Comments (0)

2022.05.09

フィッシング対策協議会をかたるフィッシング

こんにちは、丸山満彦です。

サイバー攻撃の糸口が、フィッシングメールであることも多く、フィッシングに関する啓発活動は重要で、フィッシング対策協議会が、フィッシングに関する情報収集・提供、注意喚起等の活動を中心に啓発活動を行なっていますね。。。

そのフィッシング対策協議会を語るフィッシングについてフィッシング対策協議会が注意喚起しています。。。

 

フィッシングメールの中には巧妙なものも増えてきていますので、注意が必要ですね。。。 

 

フィッシング対策協議会

・2022.05.06 フィッシング対策協議会をかたるフィッシング (2022/05/06)

 

Ap

 

| | Comments (0)

ドイツ ITセキュリティラベル for 消費者向けスマート製品

こんにちは、丸山満彦です。

ドイツでは、ITセキュリティ法2.0の施行により、ITセキュリティラベル制度を電子メールサービスと、IoT機器について始めていますが、消費者向けスマート製品(スマートカメラ、スマートスピーカー、スマート掃除機・園芸用ロボット、スマートトイ、スマートテレビ)のメーカも申請できるようになるようですね。。。

Criteriaとして利用する標準は、消費者向け製品のIoTセキュリティについての欧州規格である[PDF] ETSI EN 303 645 – Cyber Security for Consumer Internet of Things: Baseline Requirements, Version 2.1.1ですね。。。

 

● Bundesamt für Sicherheit in der Informationstechnik: BSI

発表

・2022.05.06 IT-Sicherheitskennzeichen jetzt auch für smarte Verbraucherprodukte

IT-Sicherheitskennzeichen jetzt auch für smarte Verbraucherprodukte ITセキュリティ・マークがスマートコンシューマ製品にも対応
Produktkennzeichnung des BSI um fünf neue Produktkategorien erweitert BSIの製品ラベリングが新たに5つの製品カテゴリーに拡大
Ab Mai 2022 können Hersteller von smarten Kameras, smarten Lautsprechern, smarten Reinigungs- und Gartenrobotern, smarten Spielzeugen sowie smarten Fernsehprodukten das IT-Sicherheitskennzeichen beim Bundesamt für Sicherheit in der Informationstechnik (BSIbeantragen. 2022年5月より、スマートカメラ、スマートスピーカー、スマート掃除機・園芸ロボット、スマートトイ、スマートテレビのメーカは、連邦情報セキュリティ局(BSI)のITセキュリティマークを申請できるようになる予定です。
In den kommenden Monaten plant das BSI, weitere Produktkategorien des IT-Sicherheitskennzeichens zu veröffentlichen. Zunächst aus dem Bereich Smart Home Automation. Das BSI arbeitet kontinuierlich daran, den Anwendungsbereich des IT-Sicherheitskennzeichens auszuweiten. BSIは今後数ヶ月のうちに、ITセキュリティ・マークのさらなる製品カテゴリーを公表する予定です。当初はスマートホームオートメーションの領域から始めます。BSIは、ITセキュリティマークの適用範囲を拡大するための活動を継続的に行っています。
Mit dem IT-Sicherheitskennzeichen macht das BSI das Versprechen von Herstellern und Diensteanbietern in die IT-Sicherheit ihrer Produkte gegenüber Verbraucherinnen und Verbrauchern transparent. Die neue Produktkennzeichnung des BSI schafft damit Orientierung auf dem Verbrauchermarkt und trägt zu einer informierten Kaufentscheidung beim Einkauf von IT-Produkten bei. ITセキュリティ・マークにより、BSIは、製品のITセキュリティにおけるメーカーやサービスプロバイダの約束を消費者に透明化することができます。BSIの新しい製品ラベルは、消費者市場での方向性を示し、IT製品を購入する際に十分な情報を得た上での購入判断に貢献します。
Über einen QR-Code kann online eine individuelle Produktinformationsseite des BSI aufgerufen werden, die über das Herstellerversprechen, die zugrundeliegenden Standards und aktuelle Sicherheitserkenntnisse des BSI zum Produkt informiert. BSIの個々の製品情報ページは、QRコードを介してオンラインで呼び出すことができ、製造者の約束、基礎となる規格、製品に関するBSIの現在のセキュリティ所見に関する情報を提供しています。
Seit Dezember 2021 kann das IT-Sicherheitskennzeichen in den ersten beiden Produktkategorien „Breitbandrouter“ und „E-Mail-Dienste“ beantragt werden. Schon im Februar 2022 wurden im Rahmen des 18. Deutschen IT-Sicherheitskongresses die ersten vier Kennzeichen an einen E-Mail-Anbieter übergeben. Mit der Einführung fünf weiterer Produktkategorien wird der nächste Meilenstein erreicht. 2021年12月以降、ITセキュリティマークは、まず「ブロードバンドルーター」と「メールサービス」の2つの製品カテゴリーで申請することができます。2022年2月には、第18回ドイツITセキュリティ会議で、最初の4つのマークが電子メールプロバイダーに手渡されました。さらに5つの製品カテゴリーの導入で、次のマイルストーンに到達することになります。
Arne Schönbohm, Präsident des BSI„Das IT-Sicherheitskennzeichen schafft nun auch Transparenz in den Bereichen Smart Home Multimedia und intelligentes Spielzeug, gibt dabei Orientierung für informierte Kaufentscheidungen und fördert den Schutz vor Cyber-Kriminalität. Mit dem IT-Sicherheitskennzeichen für smartes Spielzeug profitiert hiervon auch die besonders vulnerable Nutzergruppe der Kinder und Jugendlichen. Wir geben damit ein deutliches Signal an den Verbrauchermarkt, dass Informationssicherheit ein wichtiges Argument für die Kauf- und Nutzungsentscheidung bei IT-Produkten ist. Mit der ETSI EN 303 645 haben wir einen europäischen Sicherheitsstandard als Grundlage ausgewählt, den wir gemeinsam mit Branchenvertretern und Partnern der europäischen Standardisierungsarbeit entwickelt haben. Wir liefern damit einen wertvollen Beitrag für die europäische Debatte um die Cyber-Sicherheit bei Verbrauchergeräten und sind überzeugt, dass das IT-Sicherheitskennzeichen einen wesentlichen Schritt zu mehr Sicherheit und Transparenz in diesen Bereichen darstellt.“ BSI会長のアルネ・シェーンボムは、次のように述べています。「ITセキュリティマークは、スマートホームマルチメディアやスマートトイの分野でも透明性を高め、十分な情報に基づいた購買決定とサイバー犯罪からの保護を促進するものです。スマートトイにITセキュリティラベルをつけることで、特に弱い立場のユーザーである子供や若者もその恩恵を受けることができます。このように、情報セキュリティがIT製品の購入や使用を決定する際の重要な論拠となることを、消費者市場に明確に発信しています。ETSI EN 303 645は、ヨーロッパのセキュリティ規格をベースに、業界代表や欧州標準化活動のパートナーと共に開発しました。このように、私たちは、消費者向け機器のサイバーセキュリティに関する欧州の議論に貴重な貢献をしており、ITセキュリティマークは、これらの分野におけるセキュリティと透明性の向上に不可欠なステップであると確信しています。」
Erfolgreiche Standardisierungsarbeit als Grundlage der Produktkennzeichnung 製品ラベルの基礎となる標準化作業の成功
Die neuen Produktkategorien des IT-Sicherheitskennzeichens stützen sich auf den etablierten europäischen Sicherheitsstandard ETSI EN 303 645. Der Standard wurde im Rahmen der europäischen Standardisierungsarbeit durch Expertinnen und Experten des BSI mitentwickelt. In einem Pilotprojekt wurde dieser mit einem Produktanbieter und einer Prüfstelle für IT-Sicherheit auf praktische Anwendbarkeit geprüft. Er adressiert IoT-Geräte, die ein Risiko für die Informationssicherheit und Privatsphäre von Nutzerinnen und Nutzern darstellen können. Smarte IT-Produkte sind ein beliebtes Ziel von Cyber-Angreifern und können missbraucht werden, um an persönliche Daten der Besitzer zu gelangen oder großflächige Cyber-Angriffe auf Infrastrukturen Dritter durchzuführen. Um diesen Bedrohungen zu begegnen, beinhaltet der Standard verpflichtend umzusetzende Sicherheitsanforderungen. Hierzu gehören sichere Authentisierungsmechanismen, ein angemessenes Updatemanagement und die Absicherung der Kommunikation. ITセキュリティラベルの新しい製品カテゴリーは、欧州の標準化作業の一環としてBSIの専門家が共同開発した、確立された欧州セキュリティ規格ETSI EN 303 645をベースにしています。パイロットプロジェクトでは、製品プロバイダーとITセキュリティのテストセンターで実用性のテストが行われました。この規格は、ユーザーの情報セキュリティとプライバシーにリスクをもたらす可能性のあるIoT機器に対応しています。スマートIT製品はサイバー攻撃者の格好の標的であり、悪用されて所有者の個人情報を取得されたり、第三者のインフラに大規模なサイバー攻撃を仕掛けられたりする可能性があります。このような脅威に対抗するため、規格にはセキュリティに関する必須要件が含まれています。このような脅威に対して、認証の仕組みや適切な更新管理、通信の安全確保などのセキュリティ要件が必須となっています。

 

制度説明

IT-Sicherheitskennzeichen

こちらを参照してください...


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。


 

申請

Beantragung eines IT-Sicherheitskennzeichens

製品カテゴリー ITセキュリティ要件 申請書類
ブロードバンドルータ BSI TR-03148 ブロードバンドルータ用
メールサービス BSI TR-03108 メールサービス用
スマートテレビ ETSI EN 303 645 消費者向け製品用
スマートスピーカー ETSI EN 303 645 消費者向け製品用
スマートカメラ ETSI EN 303 645 消費者向け製品用
スマートトイ ETSI EN 303 645 消費者向け製品用
スマート掃除機・園芸用ロボット ETSI EN 303 645 消費者向け製品用

 

標準と認証

Standards und Zertifizierung

消費者向けIoT向けITセキュリティラベルで利用される標準

Consumer IoT

Criteriaとして、、、

・[PDF] ETSI EN 303 645 – Cyber Security for Consumer Internet of Things: Baseline Requirements, Version 2.1.1

20220509-61018

 

評価基準として、、、

・[PDF] ETSI TS 103 701 – Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements, Version 1.1.1

20220509-61204

 

ガイドラインとして

・[PDF] ETSI TR 103 621 – Guide to Cyber Security for Consumer Internet of Things, Version 1.1.1

20220509-61428

 

補足文書

・[PDF] Technical Guideline BSI TR-03173 Amendments for Conformance Assessments based on ETSI EN 303 645/TS 103 701

・[EXLX] Assessment Template for Identification of the DUT, ICS and Assessment Results (Excel), Version 1.1.1

・[DOCX] Assessment Template for IXIT (Word), Version 1.1.1

 

 


参考

まるちゃんの情報セキュリティ気まぐれ日記

BSIのITセキュリティラベル

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

| | Comments (0)

2022.05.08

NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド

こんにちは、丸山満彦です。

NISTが、ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイドを公表していますね。。。

 

 

White Paper NIST CSWP 20 Planning for a Zero Trust Architecture: A Planning Guide for Federal Administrators ホワイトペーパー NIST CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド
Abstract 概要
NIST Special Publication 800-207 defines zero trust as a set of cybersecurity principles used when planning and implementing an enterprise architecture. These principles apply to endpoints, services, and data flows. Input and cooperation from various stakeholders in an enterprise is needed for a zero trust architecture to succeed in improving the enterprise security posture. Some of these stakeholders may not be familiar with risk analysis and management. This document provides an overview of the NIST Risk Management Framework (NIST RMF) and how the NIST RMF can be applied when developing and implementing a zero trust architecture. NIST Special Publication 800-207 は、ゼロトラストを、エンタープライズアーキテクチャを計画し実装する際に使用する一連のサイバーセキュリティの原則と定義しています。これらの原則は、エンドポイント、サービス、およびデータの流れに適用されます。ゼロトラストアーキテクチャが組織体のセキュリティ態勢を向上させるためには、組織体内のさまざまな利害関係者からの意見と協力が必要です。これらの利害関係者の中には、リスク分析および管理に精通していない人もいるかもしれません。この文書では、NIST リスクマネジメントフレームワーク(NIST RMF)の概要と、ゼロトラストアーキテクチャを開発・実装する際に NIST RMF をどのように適用できるかを説明します。


・[PDF]

20220508-53427

 

目次的なもの...

1 Zero Trust 1 ゼロ・トラスト
1.1 Tenets of Zero Trust 1.1 ゼロ・トラストの基本的な考え方
1.1.1 Tenets that Deal with Network Identity Governance 1.1.1 ネットワーク・アイデンティティ・ガバナンスに関する基本的な考え方
1.1.2 Tenets that Deal with Endpoints 1.1.2 エンドポイントに適用される基本的な考え方
1.1.3 Tenets that Apply to Data Flows 1.1.3 データフローに適用される基本的な考え方
2 Getting Started on the Journey 2 旅の始まり
2.1 The Process 2.1 プロセス
2.1.1 Prepare 2.1.1 準備
2.1.2 Categorize 2.1.2 分類
2.1.3 Select 2.1.3 選択
2.1.4 Implement 2.1.4 実行
2.1.5 Assess 2.1.5 評価
2.1.6 Authorize 2.1.6 権限付与
2.1.7 Monitor 2.1.7 監視
2.1.8 RMF Operational Loops 2.1.8 RMFの運用ループ
3 Conclusion 3 まとめ
References
参考文献

 

参考

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.08 NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2022.03.28 米国 上院 S.3894 - 継続的診断・軽減 (CDM) を通じたサイバーセキュリティの推進に関する法律案

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.05.28 CSAがソフトウェア定義の境界(SDP)を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

・2020.04.01 NIST White Paper [Project Description] Critical Cybersecurity Hygiene: Patching the Enterprise

・2020.04.02 NIST White Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

 

| | Comments (0)

【関税送料込】 J BRAND Halpern パテントレザー トレンチコート【ALEXANDER MCQUEEN】SKULL tracollina バッグ◆Puma◆ロゴ クルーネック 半袖Tシャツ*White* 1018★Stuart Weitzman★ パール サンダル ★ かわいい4色 ♪Swarovski Glam Rock スマホケース iPhone 12 Pro Max 5616362可愛い★【MM6 Maison Margiela】PVC ハンドバッグ 大 関/料込みASOS♡送料込 ASOS DESIGN cable knit lambswool half zip[Cole Haan] Grand Crosscourt II ブラックレザー スニーカー
★完売必至★【GIVENCHY】リバース コットン スウェットシャツ【関税/送料込み】IENKI IENKI / SHEARLING MICHLIN MINTBRUNELLO CUCINELLI ニットウェア M28502300CHH54新作★日本未入荷【UGG】正規店買付☆大人気★MIRANDAローブスペイン発Sfera◆オンオフ使えるラフィア太目シンプルベルト2色【CELINE】Medium ボックス レザー ショルダーバッグ セリーヌSALE★国内発送 DIESEL ロゴ トートバッグ ブラック★大人気VIP価格☆HARSHCRUELミルクティーカラーセーター

NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

こんにちは、丸山満彦です。

2回の意見募集を経て、NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践が最終化しましたね。。。

日本でも経済安全保障的に?盛り上がっている分野かもしれませんが、基礎的な検討がこのレベルまでされての発言なのかどうかは気になるところです。

NIST - ITL

プレス

・2022.05.05 NIST Updates Cybersecurity Guidance for Supply Chain Risk Management

NIST Updates Cybersecurity Guidance for Supply Chain Risk Management NIST、サプライチェーンリスクマネジメントのためのサイバーセキュリティガイダンスを更新
The publication’s revisions form part of NIST’s response to an executive order regarding cybersecurity. 本書の改訂は、サイバーセキュリティに関する大統領令への NIST の対応の一環となるものです。
The global supply chain places companies and consumers at cybersecurity risk because of the many sources of components and software that often compose a finished product: A device may have been designed in one country and built in another using multiple components manufactured in various parts of the world. グローバルなサプライチェーンでは、完成品を構成するコンポーネントやソフトウェアの供給元が多数あるため、企業や消費者がサイバーセキュリティのリスクにさらされることがよくあります。あるデバイスがある国で設計され、世界のさまざまな地域で製造された複数のコンポーネントを使用して別の国で製造されている可能性があります。
A vulnerable spot in global commerce is the supply chain: It enables technology developers and vendors to create and deliver innovative products but can leave businesses, their finished wares, and ultimately their consumers open to cyberattacks. A new update to the National Institute of Standards and Technology’s (NIST’s) foundational cybersecurity supply chain risk management (C-SCRM) guidance aims to help organizations protect themselves as they acquire and use technology products and services. グローバルな商取引において脆弱なのは、サプライチェーンです。サプライチェーンは、技術開発者やベンダーが革新的な製品を生み出し、提供することを可能にしますが、企業や完成品、ひいては消費者をサイバー攻撃の危険にさらす可能性があります。米国標準技術局(NIST)の基本的なサイバーセキュリティ・サプライチェーン・リスク管理(C-SCRM)ガイダンスの新しい更新版は、企業がテクノロジー製品やサービスを取得・使用する際に、自らを守ることを目的としています。
The revised publication, formally titled Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST Special Publication 800-161 Revision 1), provides guidance on identifying, assessing and responding to cybersecurity risks throughout the supply chain at all levels of an organization. It forms part of NIST’s response to Executive Order 14028Improving the Nation’s Cybersecurity, specifically Sections 4(c) and (d), which concern enhancing the security of the software supply chain.   この改訂版は、正式名称を「Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST Special Publication 800-161 Revision 1)」といい、組織のあらゆるレベルのサプライチェーンにおけるサイバーセキュリティリスクの特定、評価、対応に関する指針を提供するものです。これは、大統領令14028「国家のサイバーセキュリティの改善」、特にソフトウェアのサプライチェーンのセキュリティ強化に関する第4条(c)および(d)項に対するNISTの対応の一部を形成しています。 
Released today after a multiyear development process that included two draft versions, the publication now offers key practices for organizations to adopt as they develop their capability to manage cybersecurity risks within and across their supply chains. It encourages organizations to consider the vulnerabilities not only of a finished product they are considering using, but also of its components — which may have been developed elsewhere — and the journey those components took to reach their destination.  2つのドラフト版を含む数年にわたる開発プロセスを経て本日発表された本書は、組織がサプライチェーン内およびサプライチェーン全体のサイバーセキュリティリスクを管理する能力を開発する際に採用すべき重要な実践方法を提示しています。本書では、使用を検討している完成品だけでなく、他の場所で開発された可能性のある部品の脆弱性や、それらの部品が目的地に到達するまでの道のりを考慮するよう、組織に促しています。 
“Managing the cybersecurity of the supply chain is a need that is here to stay,” said NIST’s Jon Boyens, one of the publication’s authors. “If your agency or organization hasn’t started on it, this is a comprehensive tool that can take you from crawl to walk to run, and it can help you do so immediately.” 本書の著者の一人であるNISTのJon Boyensは、次のように述べています。「サプライチェーンのサイバーセキュリティを管理することは、今後も必要なことです。あなたの機関や組織がまだ着手していないのであれば、これは這うから歩く、走るに至るまで、すぐに役立つ包括的なツールです。」
Modern products and services depend on their supply chains, which connect a worldwide network of manufacturers, software developers and other service providers. Though they enable the global economy, supply chains also place companies and consumers at risk because of the many sources of components and software that often compose a finished product: A device may have been designed in one country and built in another using multiple components from various parts of the world that have themselves been assembled of parts from disparate manufacturers. Not only might the resulting product contain malicious software or be susceptible to cyberattack, but the vulnerability of the supply chain itself can affect a company’s bottom line. 現代の製品やサービスは、製造業者、ソフトウェア開発業者、その他のサービス提供者の世界的なネットワークを結ぶサプライチェーンに依存しています。サプライチェーンはグローバル経済を支えていますが、完成品を構成する部品やソフトウェアの供給元が多岐にわたるため、企業や消費者を危険にさらしているのも事実です。あるデバイスがある国で設計され、世界各地の複数のコンポーネントを使用して別の国で製造されたとしても、そのコンポーネント自体が異なるメーカーの部品を組み合わせて作られている可能性があります。その結果、製品に悪意のあるソフトウェアが含まれたり、サイバー攻撃を受けたりする可能性があるだけでなく、サプライチェーンそのものの脆弱性が企業の収益に影響を与える可能性があります。
“A manufacturer might experience a supply disruption for critical manufacturing components due to a ransomware attack at one of its suppliers, or a retail chain might experience a data breach because the company that maintains its air conditioning systems has access to the store’s data sharing portal,” Boyens said.  Boyensは、また、次のように述べています。「製造業では、サプライヤーの1社がランサムウェア攻撃を受けたために、重要な製造部品の供給が途絶えるかもしれませんし、小売チェーンでは、空調システムを保守する会社が店舗のデータ共有ポータルにアクセスしたためにデータ侵害が発生するかもしれません。」
The primary audience for the revised publication is acquirers and end users of products, software and services. The guidance helps organizations build cybersecurity supply chain risk considerations and requirements into their acquisition processes and highlights the importance of monitoring for risks. Because cybersecurity risks can arise at any point in the life cycle or any link in the supply chain, the guidance now considers potential vulnerabilities such as the sources of code within a product, for example, or retailers that carry it. この改訂版の主な読者は、製品、ソフトウェア、サービスの取得者とエンドユーザーです。このガイダンスは、組織が取得プロセスにサイバーセキュリティのサプライチェーンリスクの考慮と要件を組み込むことを支援し、リスクに対する監視の重要性を強調しています。サイバーセキュリティのリスクは、ライフサイクルのどの時点でも、またサプライチェーンのどのリンクでも発生し得るため、このガイダンスでは、例えば製品内のコードのソースやそれを扱う小売業者などの潜在的な脆弱性を考慮するようになっています。
“If your agency or organization hasn’t started on [C-SCRM], this is a comprehensive tool that can take you from crawl to walk to run, and it can help you do so immediately.” —NIST's Jon Boyens 「もしあなたの機関や組織が[C-SCRM]に着手していないなら、これは、這うから歩く、走るに至るまで、すぐに役立つ総合ツールです。 」NIST、Jon Boyens
“It has to do with trust and confidence,” said NIST’s Angela Smith, an information security specialist and another of the publication’s authors. “Organizations need to have greater assurance that what they are purchasing and using is trustworthy. This new guidance can help you understand what risks to look for and what actions to consider taking in response.” 情報セキュリティの専門家であり、この出版物の著者の一人であるNISTのAngela Smithは、次のように述べています。「組織は、自分たちが購入し使用しているものが信頼に足るものであることを、より確実にする必要があります。この新しいガイダンスは、どのようなリスクに目を向けるべきか、それに対してどのような行動を取ることを検討すべきかを理解するのに役立ちます。」
Before providing specific guidance — called cybersecurity controls, which are listed in Appendix A — the publication offers help to the varied groups in its intended audience, which ranges from cybersecurity specialists and risk managers to systems engineers and procurement officials. Each group is offered a “user profile” in Section 1.4, which advises what parts of the publication are most relevant to the group.  具体的なガイダンス(サイバーセキュリティ対策と呼ばれ、附属書Aに掲載)を提供する前に、この出版物は、サイバーセキュリティの専門家やリスク管理者からシステムエンジニアや調達担当者に至るまで、想定読者の様々なグループに支援を提供しています。各グループは、セクション1.4で「ユーザプロファイル」を提供され、本書のどの部分がそのグループに最も関連しているかを助言しています。 
The publication’s Sections 1.6 and 1.7 specify how it integrates guidance promoted within other NIST publications and tailors that guidance for C-SCRM. These other publications include NIST’s Cybersecurity Framework and Risk Management Framework, as well as Security and Privacy Controls for Information Systems and Organizations, or SP 800-53 Rev. 5, its flagship catalog of information system safeguards. Organizations that are already using SP 800-53 Rev. 5’s safeguards may find useful perspective in Appendix B, which details how SP 800-161 Rev. 1’s cybersecurity controls map onto them. 本書のセクション1.6と1.7では、NISTの他の出版物で推進されているガイダンスを統合し、C-SCRM用にそのガイダンスを調整する方法を明記しています。これらの他の出版物には、NISTのサイバーセキュリティフレームワークとリスク管理フレームワーク、情報システムおよび組織のためのセキュリティおよびプライバシーコントロール、または情報システムのセーフガードの主要カタログであるSP 800-53 Rev. 5が含まれます。SP 800-53 Rev. 5 のセーフガードを既に使用している組織は、SP 800-161 Rev. 1 のサイバーセキュリティ対策がどのようにそれらに対応しているかを詳述した附属書B に有用な視点を見出すことができるでしょう。
Organizations seeking to implement C-SCRM in accordance with Executive Order 14028 should visit NIST's dedicated web-based portal, as Appendix F now indicates. This information has been moved online, in part to reflect evolving guidance without directly affecting the published version of SP 800-161 Rev. 1. 大統領令 14028 に従って C-SCRM を実施しようとする組織は、附属書F にあるように、NIST の専用のウェブベースのポータルを訪問する必要があります。この情報は、SP 800-161 Rev. 1 の公開版に直接影響を与えることなく、進化するガイダンスを反映するために、一部オンラインに移行されました。
In part because of the complexity of the subject, the authors are planning a quick-start guide to help readers who may be just beginning their organization’s C-SCRM effort. Boyens said they also plan to offer the main publication as a user-friendly webpage.  このテーマは複雑であるため、著者らは、組織のC-SCRMの取り組みを始めたばかりの読者を支援するためのクイックスタートガイドを計画しています。Boyensは、この出版物をユーザーフレンドリーなウェブページとして提供することも計画していると述べています。 
“We plan to augment the document’s current PDF format with a clickable web version,” he said. “Depending on what group of users you fall into, it will allow you to click on a link and find the sections you need.” また、彼は次のように述べています。「現在のPDF版に加え、クリックしやすいウェブ版も作成する予定です。どのようなユーザーグループに属するかにもよりますが、リンクをクリックして必要なセクションを見つけることができるようになるでしょう。」

 

文書は。。。

・2022.05.05 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations

 

SP 800-161 Rev. 1 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践
The guidance from Appendix F, "Response to Executive Order 14028's Call to Publish Guidelines for Enhancing Software Supply Chain Security," is available at NIST's dedicated EO 14028 website. 附属書Fのガイダンス「ソフトウェアサプライチェーンセキュリティ強化のためのガイドライン発行の大統領令14028の呼びかけへの対応」は、NISTの大統領令14028専用ウェブサイトで公開されています。
Abstract 概要
Organizations are concerned about the risks associated with products and services that may potentially contain malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the supply chain. These risks are associated with an enterprise’s decreased visibility into and understanding of how the technology they acquire is developed, integrated, and deployed or the processes, procedures, standards, and practices used to ensure the security, resilience, reliability, safety, integrity, and quality of the products and services. 企業は、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサプライ・チェーン内の不適切な製造・開発方法による脆弱性に関連するリスクを懸念しています。このようなリスクは、企業が取得した技術がどのように開発、統合、展開されているか、また、製品やサービスのセキュリティ、回復力、信頼性、安全性、完全性、品質を保証するために使用されるプロセス、手順、および実践に対する企業の可視性や理解が低下していることに関連しています。
This publication provides guidance to organizations on identifying, assessing, and mitigating cybersecurity risks throughout the supply chain at all levels of their organizations. The publication integrates cybersecurity supply chain risk management (C-SCRM) into risk management activities by applying a multilevel, C-SCRM-specific approach, including guidance on the development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and risk assessments for products and services. 本書は、組織のあらゆる階層におけるサプライチェーン全体のサイバーセキュリティリスクを特定、評価、および軽減するためのガイダンスを提供するものである。本書は、C-SCRM戦略実施計画、C-SCRM方針、C-SCRM計画、製品及びサービスのリスク評価の策定に関する指針を含む、多階層のC-SCRM特有のアプローチを適用することにより、サイバーセキュリティサプライチェーンリスク管理(C-SCRM)をリスク管理活動に統合するものです。

 

・[PDF] SP 800-161 Rev. 1

20220507-120444

 

目次...

1. INTRODUCTION 1. はじめに
1.1. Purpose 1.1. 目的
1.2. Target Audience 1.2. 対象読者
1.3. Guidance for Cloud Service Providers 1.3. クラウドサービスプロバイダのためのガイダンス
1.4. Audience Profiles and Document Use Guidance 1.4. 対象者プロファイルと文書利用ガイダンス
 1.4.1. Enterprise Risk Management and C-SCRM Owners and Operators  1.4.1. エンタープライズリスクマネジメント及びC-SCRMのオーナー及びオペレーター
 1.4.2. Enterprise, Agency, and Mission and Business Process Owners and Operators  1.4.2. エンタープライズ、機関、ミッション及びビジネスプロセスのオーナー及びオペレーター
 1.4.3. Acquisition and Procurement Owners and Operators  1.4.3. 取得と調達のオーナーとオペレーター
 1.4.4. Information Security, Privacy, or Cybersecurity Operators  1.4.4. 情報セキュリティ、プライバシー、またはサイバーセキュリティオペレーター
 1.4.5. System Development, System Engineering, and System Implementation Personnel  1.4.5. システム開発、システムエンジニアリング、およびシステム実装オペレーター
1.5. Background 1.5. 背景
 1.5.1. Enterprise’s Supply Chain  1.5.1. エンタープライズのサプライチェーン
 1.5.2. Supplier Relationships Within Enterprises  1.5.2. エンタープライズ内サプライヤーとの関係
1.6. Methodology for Building C-SCRM Guidance Using NIST SP 800-39; NIST SP 800-37, Rev 2; and NIST SP 800-53, Rev 5 1.6. NIST SP 800-39; NIST SP 800-37, Rev 2; 及び NIST SP 800-53, Rev 5 を用いた C-SCRM ガイダンス構築のための方法論
1.7. Relationship to Other Publications and Publication Summary 1.7. 他の出版物との関係及び出版物の概要
2. INTEGRATION OF C-SCRM INTO ENTERPRISE-WIDE RISK MANAGEMENT 2. エンタープライズ全体のリスクマネジメントへのC-SCRMの統合
2.1. The Business Case for C-SCRM 2.1. C-SCRMのビジネスケース
2.2. Cybersecurity Risks Throughout Supply Chains 2.2. サプライチェーンを通じたサイバーセキュリティリスク
2.3. Multilevel Risk Management 2.3. マルチレベルのリスクマネジメント
 2.3.1. Roles and Responsibilities Across the Three Levels  2.3.1. 3 つのレベルにわたる役割と責任
 2.3.2. Level 1 – Enterprise  2.3.2. レベル1 - エンタープライズ
 2.3.3. Level 2 – Mission and Business Process  2.3.3. レベル2 - ミッションとビジネスプロセス
 2.3.4. Level 3 – Operational  2.3.4. レベル3 - 運用
 2.3.5. C-SCRM PMO  2.3.5. C-SCRM PMO
3. CRITICAL SUCCESS FACTORS 3. 重要成功要因
3.1. C-SCRM in Acquisition 3.1. 取得における C-SCRM
 3.1.1. Acquisition in the C-SCRM Strategy and Implementation Plan  3.1.1. C-SCRM戦略及び実施計画における取得
 3.1.2. The Role of C-SCRM in the Acquisition Process  3.1.2. 取得プロセスにおけるC-SCRMの役割
3.2. Supply Chain Information Sharing 3.2. サプライチェーン情報の共有
3.3. C-SCRM Training and Awareness 3.3. C-SCRMの訓練と意識向上
3.4. C-SCRM Key Practices 3.4. C-SCRMの主要実施事項
 3.4.1. Foundational Practices  3.4.1. 基礎的な実践
 3.4.2. Sustaining Practices  3.4.2. 持続的な実践
 3.4.3. Enhancing Practices  3.4.3. 強化された実践
3.5. Capability Implementation Measurement and C-SCRM Measures 3.5. 能力発揮の測定とC-SCRM対策
 3.5.1. Measuring C-SCRM Through Performance Measures  3.5.1. パフォーマンス指標によるC-SCRMの測定
3.6. Dedicated Resources 3.6. 専用リソース
4. REFERENCES 4. 参考文献
APPENDIX A: C-SCRM SECURITY CONTROLS 附属書A:C-SCRMのセキュリティ管理策
C-SCRM CONTROLS INTRODUCTION C-SCRM管理策の紹介
C-SCRM CONTROLS SUMMARY C-SCRM管理策の概要
C-SCRM CONTROLS THROUGHOUT THE ENTERPRISE エンタープライズ全体にわたるC-SCRM管理策
APPLYING C-SCRM CONTROLS TO ACQUIRING PRODUCTS AND SERVICES 製品及びサービスの取得に対するC-SCRM管理策の適用
SELECTING, TAILORING, AND IMPLEMENTING C-SCRM SECURITY CONTROLS C-SCRMセキュリティ管理策の選択、調整、及び実施
C-SCRM SECURITY CONTROLS C-SCRMセキュリティ管理策
FAMILY: ACCESS CONTROL ファミリー: アクセスコントロール
FAMILY: AWARENESS AND TRAINING ファミリー: 認識とトレーニング
FAMILY: AUDIT AND ACCOUNTABILITY ファミリー: 監査と説明責任
FAMILY: ASSESSMENT, AUTHORIZATION, AND MONITORING ファミリー: 評価、承認、および監視
FAMILY: CONFIGURATION MANAGEMENT ファミリー: 構成管理
FAMILY: CONTINGENCY PLANNING ファミリー: コンティンジェンシー・プランニング
FAMILY: IDENTIFICATION AND AUTHENTICATION ファミリー: 識別と認証
FAMILY: INCIDENT RESPONSE ファミリー: インシデント対応
FAMILY: MAINTENANCE ファミリー: 保守
FAMILY: MEDIA PROTECTION ファミリー: 媒体保護
FAMILY: PHYSICAL AND ENVIRONMENTAL PROTECTION ファミリー: 物理的および環境的保護
FAMILY: PLANNING ファミリー: 計画
FAMILY: PROGRAM MANAGEMENT ファミリー: プログラム管理
FAMILY: PERSONNEL SECURITY ファミリー: 人事セキュリティ
FAMILY: PERSONALLY IDENTIFIABLE INFORMATION PROCESSING AND TRANSPARENCY ファミリー: 個人を特定できる情報の処理と透明性
FAMILY: RISK ASSESSMENT ファミリー: リスクアセスメント
FAMILY: SYSTEM AND SERVICES ACQUISITION ファミリー: システム・サービス取得
FAMILY: SYSTEM AND COMMUNICATIONS PROTECTION ファミリー: システムと通信の保護
FAMILY: SYSTEM AND INFORMATION INTEGRITY ファミリー: システムと情報の完全性
FAMILY: SUPPLY CHAIN RISK MANAGEMENT ファミリー: サプライチェーン・リスクマネジメント
APPENDIX B: C-SCRM CONTROL SUMMARY 附属書B:C-SCRMコントロールの概要
APPENDIX C: RISK EXPOSURE FRAMEWORK 附属書C:リスクエクスポージャーフレームワーク
SAMPLE SCENARIOS サンプルシナリオ
SCENARIO 1: Influence or Control by Foreign Governments Over Suppliers シナリオ 1:外国政府によるサプライヤーへの影響・支配
SCENARIO 2: Telecommunications Counterfeits シナリオ 2:電気通信の偽造
SCENARIO 3: Industrial Espionage シナリオ 3:産業スパイ
SCENARIO 4: Malicious Code Insertion シナリオ 4:悪意のあるコードの挿入
SCENARIO 5: Unintentional Compromise シナリオ 5:意図しないコンプロマイズ
SCENARIO 6: Vulnerable Reused Components Within Systems シナリオ 6:システム内の脆弱な再利用コンポーネント
APPENDIX D: C-SCRM TEMPLATES 附属書D: C-SCRM テンプレート
1. C-SCRM STRATEGY AND IMPLEMENTATION PLAN 1. C-SCRM戦略及び実施計画
1.1. C-SCRM Strategy and Implementation Plan Template 1.1. C-SCRM戦略及び実施計画のテンプレート
2. C-SCRM POLICY 2. C-SCRM方針
2.1. C-SCRM Policy Template 2.1. C-SCRM方針のテンプレート
3. C-SCRM PLAN 3. C-SCRM計画
3.1. C-SCRM Plan Template 3.1. C-SCRM計画テンプレート
4. CYBERSECURITY SUPPLY CHAIN RISK ASSESSMENT TEMPLATE 4. サイバーセキュリティサプライチェーンリスクアセスメントテンプレート
4.1. C-SCRM Template 4.1. C-SCRMテンプレート
APPENDIX E: FASCSA 附属書E:FASCSA
INTRODUCTION はじめに
Purpose, Audience, and Background 目的、想定読者、背景
Scope 適用範囲
Relationship to NIST SP 800-161, Rev. 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations NIST SP 800-161 改訂1版「システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメント実施要領」との関係
SUPPLY CHAIN RISK ASSESSMENTS (SCRAs) サプライチェーンリスクアセスメント(SCRA)
General Information 一般的な情報
Baseline Risk Factors (Common, Minimal) ベースラインリスク要因(共通、最低限)
Risk Severity Schema リスク深刻度スキーマ
Risk Response Guidance リスク対応ガイダンス
ASSESSMENT DOCUMENTATION AND RECORDS MANAGEMENT アセスメント文書と記録管理
Content Documentation Guidance コンテンツ文書ガイダンス
Assessment Record アセスメント記録
APPENDIX F: RESPONSE TO EXECUTIVE ORDER 14028’s CALL TO PUBLISH GUIDELINES FOR ENHANCING SOFTWARE SUPPLY CHAIN SECURITY 附属書F:ソフトウェアサプライチェーンセキュリティ強化のためのガイドライン発行の大統領令14028号の要求への対応
APPENDIX G: C-SCRM ACTIVITIES IN THE RISK MANAGEMENT PROCESS 附属書G:リスクマネジメントプロセスにおけるC-SCRM活動
TARGET AUDIENCE 対象者
ENTERPRISE-WIDE RISK MANAGEMENT AND THE RMF エンタープライズ全体のリスクマネジメントとRMF
Frame フレーム
Assess 評価
Respond 対応
Monitor 監視
APPENDIX H: GLOSSARY 附属書H:用語集
APPENDIX I: ACRONYMS 附属書I:頭字語
APPENDIX J: RESOURCES 附属書J:リソース
RELATIONSHIP TO OTHER PROGRAMS AND PUBLICATIONS 他のプログラムや出版物との関係
NIST Publications NIST出版物
Regulatory and Legislative Guidance 規制・立法ガイダンス
Other U.S. Government Reports その他の米国政府報告書
Standards, Guidelines, and Best Practices 標準、ガイドライン、ベストプラクティス

 

関連:

 


関連

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性を検証する(暫定ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2021.02.13 NIST NISTIR 8276 サイバーサプライチェーンのリスク管理における鍵となる実践:産業からの観察

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

 

| | Comments (0)

2022.05.07

NISTIR 8320 ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

こんにちは、丸山満彦です。

2回の意見募集を経て、NISTIR 8320 ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現が最終化しましたね。。。

Attestationの訳はどうしますかね、、、ほんと、、

 

NIST - ITL

・2022.05.04 NISTIR 8320 Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases

NISTIR 8320 Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases NISTIR 8320 ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現
Abstract 概要
In today’s cloud data centers and edge computing, attack surfaces have shifted and, in some cases, significantly increased. At the same time, hacking has become industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the first layer for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains hardware-enabled security techniques and technologies that can improve platform security and data protection for cloud data centers and edge computing. 今日のクラウドデータセンターやエッジコンピューティングでは、攻撃対象が変化し、場合によっては大幅に増加しています。同時に、ハッキングは産業化され、ほとんどのセキュリティ制御の実装は首尾一貫したものではありません。データセンターとエッジコンピューティングのセキュリティ戦略の基本は、データとワークロードが実行され、アクセスされるプラットフォームを保護することです。物理プラットフォームは、階層化されたセキュリティ手法の最初の層であり、上位層のセキュリティ制御を信頼できるものにするための最初の保護となります。本レポートでは、クラウドデータセンターとエッジコンピューティングのプラットフォームセキュリティとデータ保護を向上させる、ハードウェア対応のセキュリティ技術やテクノロジーについて解説しています。

 

・[PDF] NISTIR 8320

20220507-63218

 

 

目次...

1 Introduction 1 はじめに
2 Hardware Platform Security Overview 2 ハードウェア・プラットフォーム・セキュリティの概要
3 Platform Integrity Verification 3 プラットフォームの完全性検証
3.1 Hardware Security Module (HSM) 3.1 ハードウェア・セキュリティ・モジュール (HSM)
3.2 The Chain of Trust (CoT) 3.2 信頼の連鎖(CoT)
3.3 Supply Chain Protection 3.3 サプライチェーンの保護
4 Software Runtime Protection Mechanisms 4 ソフトウェア・ランタイムの保護機構
4.1 Return Oriented Programming (ROP) and Call/Jump Oriented Programming (COP/JOP) Attacks 4.1 ROP(Return Oriented Programming)攻撃とCOP/JOP(Call/Jump Oriented Programming)攻撃
4.2 Address Translation Attacks 4.2 アドレス変換攻撃
4.3 Memory Safety Violations 4.3 メモリ安全性の侵害 
4.4 Side-Channel Attacks 4.4 サイドチャネル攻撃
5 Data Protection and Confidential Computing 5 データ保護とコンフィデンシャル・コンピューティング
5.1 Memory Isolation 5.1 メモリ隔離
5.2 Application Isolation 5.2 アプリケーション隔離
5.3 VM Isolation 5.3 VM隔離
5.4 Cryptographic Acceleration 5.4 暗号アクセラレーション
6 Remote Attestation Services 6 リモート認証サービス
6.1 Platform Attestation 6.1 プラットフォーム証明
6.2 Remote TEE Attestation 6.2 リモートTEE証明
7 Cloud Use Case Scenarios Leveraging Hardware-Enabled Security 7 ハードウェアベースのセキュリティを活用したクラウド利用のシナリオ
7.1 Visibility to Security Infrastructure 7.1 セキュリティインフラの可視化
7.2 Workload Placement on Trusted Platforms 7.2 信頼できるプラットフォームへのワークロードの配置
7.3 Asset Tagging and Trusted Location 7.3 資産のタグ付けと信頼できる場所への配置
7.4 Workload Confidentiality 7.4 ワークロードの機密性の確保
7.5 Protecting Keys and Secrets 7.5 鍵と秘密の保護
8 Next Steps 8 次のステップ
References 参考文献
List of Appendices 附属書の一覧
Appendix A— Vendor-Agnostic Technology Examples 附属書A- ベンダーに依存しない技術例
A.1 Platform Integrity Verification A.1 プラットフォームの完全性検証
A.1.1 UEFI Secure Boot (SB) A.1.1 UEFIセキュアブート(SB)
A.2 Keylime A.2 キーライム
Appendix B— Intel Technology Examples 附属書B- インテルの技術例
B.1 Platform Integrity Verification B.1 プラットフォームの完全性検証
B.1.1 The Chain of Trust (CoT) B.1.1 信頼の連鎖(CoT)
B.1.2 Supply Chain Protection B.1.2 サプライチェーンの保護
B.2 Software Runtime Protection Mechanisms B.2 ソフトウェア・ランタイムの保護機構
B.2.1 Return Oriented Programming (ROP) and Call/Jump Oriented Programming (COP/JOP) Attacks B.2.1 リターン指向プログラミング (ROP) 攻撃および コール/ジャンプ指向プログラミング (COP/JOP) 攻撃
B.2.2 Address Translation Attacks B.2.2 アドレス変換攻撃
B.3 Data Protection and Confidential Computing B.3 データ保護とコンフィデンシャル・コンピューティング
B.3.1 Memory Isolation B.3.1 メモリ隔離
B.3.2 Application Isolation B.3.2 アプリケーション隔離
B.3.3 VM Isolation B.3.3 VM分離
B.3.4 Cryptographic Acceleration B.3.4 暗号アクセラレーション
B.3.5 Technology Example Summary B.3.5 技術例のまとめ
B.4 Remote Attestation Services B.4 リモート証明サービス
B.4.1 Intel Security Libraries for the Data Center (ISecL-DC) B.4.1 インテル・セキュリティ・ライブラリー・フォー・ザ・データセンター(ISecL-DC)
B.4.2 Technology Summary B.4.2 技術例のまとめ
Appendix C— AMD Technology Examples 附属書C- AMDの技術例
C.1 Platform Integrity Verification C.1 プラットフォームの完全性検証
C.1.1 AMD Platform Secure Boot (AMD PSB) C.1.1 AMDプラットフォーム・セキュアブート(AMD PSB)
C.2 Data Protection and Confidential Computing C.2 データ保護とコンフィデンシャル・コンピューティング
C.2.1 Memory Isolation C.2.1 メモリー隔離
C.2.2 VM Isolation C.2.2 VM隔離
Appendix D— Arm Technology Examples 附属書D- Armの技術例
D.1 Platform Integrity Verification D.1 プラットフォームの完全性検証 
D.1.1 Arm TrustZone Trusted Execution Environment (TEE) for Armv8-A D.1.1 Armv8-A用Arm TrustZone TEE
D.1.2 Arm Secure Boot and the Chain of Trust (CoT) D.1.2 Armセキュアブートと信頼の連鎖(CoT)
D.1.3 Platform Security Architecture (PSA) Functional APIs D.1.3 プラットフォーム・セキュリティ・アーキテクチャ(PSA)機能API
D.1.4 Platform AbstRaction for SECurity (Parsec) D.1.4 Platform AbstRaction for SECurity(Parsec)について
D.2 Software Runtime Protection Mechanisms D.2 ソフトウェアランタイムの保護機構
D.2.1 Return Oriented Programming (ROP) and Jump Oriented Programming (JOP) Attacks D.2.1 リターン指向プログラミング (ROP) 攻撃とジャンプ指向プログラミング(JOP) 攻撃
D.2.2 Memory Safety Violations D.2.2 メモリ安全性の侵害
D.2.3 Arm Mitigations Against Side-Channel Attacks D.2.3 サイドチャネル攻撃に対するArmの緩和策
D.3 Data Protection and Confidential Computing D.3 データ保護とコンフィデンシャル・コンピューティング 
D.3.1 Arm Confidential Compute Architecture (CCA) D.3.1 Arm コンフィデンシャル・コンピュート・アーキテクチャ(CCA)
D.3.2 Arm Cryptographic Acceleration D.3.2 Arm 暗号アクセラレーション
Appendix E— Cisco Technology Examples 附属書E シスコの技術例 
E.1 Platform Integrity Verification E.1 プラットフォームの完全性検証 
E.1.1 Cisco Platform Roots of Trust E.1.1 シスコ プラットフォームの信頼の根源
E.1.2 Cisco Chain of Trust (CoT) E.1.2 シスコ 信頼の連鎖(CoT)
E.2 Cisco Supply Chain Protection E.2 シスコ サプライチェーンの保護 
E.3 Cisco Software Runtime Protections E.3 シスコ ソフトウェアランタイムの保護 
E.4 Cisco Data Protection and Confidential Computing E.4 シスコ データ保護と機密性の高いコンピューティング 
E.5 Cisco Platform Attestation E.5 シスコ プラットフォームの認証
E.6 Cisco Visibility to Security Infrastructure E.6 シスコ セキュリティインフラストラクチャの可視化
E.7 Cisco Workload Placement on Trusted Platforms E.7 シスコ 信頼できるプラットフォームへのワークロードの配置
Appendix F— IBM Technology Examples 附属書F-IBMの技術例
F.1 Platform Integrity Verification F.1 プラットフォーム完全性検証 
F.1.1 Hardware Security Module (HSM) F.1.1 ハードウェア・セキュリティ・モジュール (HSM)
F.1.2 IBM Chain of Trust (CoT) F.1.2 IBM 信頼の連鎖 (CoT) 
F.2 Software Runtime Protection Mechanisms F.2 ソフトウェア・ランタイムの保護機構
F.2.1 IBM ROP and COP/JOP Attack Defenses F.2.1 IBM ROPおよびCOP/JOP攻撃に対する防御策
F.3 Data Protection and Confidential Computing F.3 データ保護とコンフィデンシャル・コンピューティング 
F.3.1 IBM Memory Isolation Technology F.3.1 IBM メモリ隔離技術
F.3.2 IBM Application Isolation Technology F.3.2 IBM アプリケーション隔離技術
F.3.3 IBM VM Isolation Technology F.3.3 IBM VM 隔離技術
F.3.4 IBM Cryptographic Acceleration Technology F.3.4 IBM 暗号アクセラレーション技術
F.4 Remote Attestation Services F.4 リモート証明サービス
F.4.1 IBM Platform Attestation Tooling F.4.1 IBM プラットフォーム証明サービス
F.4.2 IBM Continuous Runtime Attestation F.4.2 IBM 継続的ランタイム証明
Appendix G— Acronyms and Abbreviations 附属書G- 頭字語と略語
Appendix H— Glossary 附属書H- 用語集

 

 

 

 

 


2022.05.04現在の状況...

NISTIR 8320 Hardware-Enabled Security:
Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases 
ハードウェア対応セキュリティ:
クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現
Final 2022.05.04
NISTIR 8320A Hardware-Enabled Security:
Container Platform Security Prototype
ハードウェア対応セキュリティ:
コンテナ・プラットフォーム・セキュリティ・プロトタイプ
Final 2021.06.17
NISTIR 8320B Hardware-Enabled Security:
Policy-Based Governance in Trusted Container Platforms
ハードウェア対応セキュリティ:
信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
Final 2022.04.20
NISTIR 8320C Hardware-Enabled Security:
Machine Identity Management and Protection
ハードウェア対応セキュリティ:
マシン・アイデンティティの管理と保護
Draft 2022.04.20

 

National Cybersecurity Center of Excellence: NCCoE

・2021.04.21 The NCCoE Releases Three Publications on Trusted Cloud and Hardware-Enabled Security

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

» Continue reading

| | Comments (0)

2022.05.06

NATO CCDCOE インシデント対応の自動化/自律化

こんにちは、丸山満彦です。

NATO CCDCOEが、インシデント対応の自動化/自律化についての報告書を公表していますね。。。

攻撃がある程度自動化されてき、これからは人工知能等の利用も進み、ますます自動化されてくることが予想される中、人手にだけに頼った対応では処理量が追いつかなくなってくるだろうということで、インシデント対応も自動化/自律化できるところを見つけて、それらを進めていくことが重要となっていくのでしょうね。。。

 

NATO CCDCOE

・2022 Automated/Autonomous Incident Response


・[PDF]

20220506-60931

Research Methodology 研究方法論
1. Introduction 1. はじめに
2. Incident Response 2. インシデント対応
3. Artificial Intelligence 3. 人工知能
4. Artificial Intelligence Applications on Incident Response 4. インシデント対応における人工知能の応用
5. Artificial Intelligence Challenges 5. 人工知能の課題
6. Artificial Intelligence's Legal Implications 6. 人工知能の法的意義
 Decision-making transparency  意思決定の透明性
 Civil liability  民事責任
 Criminal responsibility  刑事責任
7. Conclusions 7. 結論
References 参考文献

・[DOCX] 仮訳

 

 

 

 

 

| | Comments (0)

2022.05.05

米国 国家量子推進諮問委員会の強化に関する大統領令

こんにちは、丸山満彦です。

米国は、国家量子推進諮問委員会 (quantum.gov) を強化するための大統領令を出しましたね。。。

Quantumseal

安全保障のために、世界のリーダーとして、競争力強化のために、、という理由で、量子情報科学分野の投資を強化していくということですかね。。。

 

White House

・2022.05.04 FACT SHEET: President Biden Announces Two Presidential Directives Advancing Quantum Technologies

FACT SHEET: President Biden Announces Two Presidential Directives Advancing Quantum Technologies ファクトシート:バイデン大統領が量子技術を推進する2つの大統領令を発表
Today, President Biden will sign two Presidential directives that will advance national initiatives in quantum information science (QIS), signaling the Biden-Harris Administration’s commitment to this critical and emerging technology. Together, the two directives lay the groundwork for continued American leadership in an enormously promising field of science and technology, while mitigating the risks that quantum computers pose to America’s national and economic security. 本日、バイデン大統領は、量子情報科学(QIS)の国家的イニシアチブを推進する2つの大統領令に署名し、この重要かつ新たな技術に対するバイデン-ハリス政権のコミットメントを示すものである。この 2 つの指令は、量子コンピュータが米国の国家および経済安全保障にもたらすリスクを軽減しつつ、非常に有望な科学技術分野で米国がリーダーシップを取り続けるための土台となるものである。
The United States has long been a global leader in the development of new technologies, like QIS. QIS is a broad field of science and engineering. Quantum computers, one of the many promising applications of QIS, are not a replacement to traditional computers. Rather, they are a fundamentally different kind of computer, with the ability to analyze information in ways that traditional computers cannot. While QIS itself is not new, recent breakthroughs in QIS have shown the potential to drive innovations across the American economy, from energy to medicine, through advancements in computation, networking and sensing. Breakthroughs in QIS are poised to generate entirely new industries, good-paying jobs, and economic opportunities for all Americans. 米国は長年にわたり、量子コンピュータのような新技術の開発において、世界をリードしてきました。量子情報科学は、科学と工学の幅広い分野である。 量子情報科学の有望なアプリケーションの一つである量子コンピュータは、従来のコンピュータに取って代わるものではありません。むしろ、従来のコンピュータにはない情報解析能力を持つ、根本的に異なる種類のコンピュータなのである。 量子情報科学自体は新しいものではありませんが、最近の量子情報科学のブレークスルーは、計算、ネットワーキング、センシングの進歩を通じて、エネルギーから医療まで、アメリカ経済全体のイノベーションを推進する可能性があることを示している。 量子情報科学のブレークスルーは、全く新しい産業、高収入の仕事、そしてすべてのアメリカ人のための経済的機会を生み出す態勢を整えているのである。
President Biden will sign an Executive Order to foster these advances by furthering the President’s commitment to promoting breakthroughs in cutting-edge science and technology. It does so by enhancing the National Quantum Initiative Advisory Committee, the Federal Government’s principal independent expert advisory body for quantum information science and technology. The EO places the advisory committee directly under the authority of the White House, ensuring that the President, Congress, Federal departments and agencies, and the general public receive the most current, accurate, and relevant information on quantum information science and technology to drive forward U.S. policymaking and advance our technological edge. バイデン大統領は、最先端の科学技術におけるブレークスルーを促進するという大統領のコミットメントをさらに強化することにより、こうした進歩を促進するための大統領令に署名する予定である。 これは、量子情報の科学と技術に関する連邦政府の主要な独立した専門家の諮問機関である国家量子推進諮問委員会を強化することによって行われるものである。EOは、諮問委員会をホワイトハウスの直轄とし、大統領、議会、連邦省庁、一般市民が、量子情報科学技術に関する最新かつ正確で適切な情報を受け取り、米国の政策決定を推進し、技術的優位性を高めることを確実にするものである。
The President will also sign a National Security Memorandum outlining the Administration’s plan to address the risks posed by quantum computers to America’s cybersecurity. Research shows that at some point in the not-too-distant future, when quantum computers reach a sufficient size and level of sophistication, they will be capable of breaking much of the cryptography that currently secures our digital communications on the Internet. To address this risk, the National Institute of Standards and Technology (NIST) will publish new quantum-resistant cryptographic standards that can protect against these future attacks. However, the process to transition America’s most vulnerable IT systems to these new standards will take time, resources, and commitment. America must start the lengthy process of updating our IT infrastructure today to protect against this quantum computing threat tomorrow. NSM-X lays out a plan to get us there.  また、大統領は、量子コンピュータが米国のサイバーセキュリティにもたらすリスクに対処するための行政計画を概説した国家安全保障覚書にも署名する予定である。 研究によると、そう遠くない将来のある時点で、量子コンピュータが十分な大きさと高度なレベルに達すると、現在インターネット上のデジタル通信を保護している暗号の多くを解読することが可能になるとのことである。 このリスクに対処するため、米国標準技術局(NIST)は、こうした将来の攻撃から保護することができる新しい量子耐性暗号の標準を発表する予定である。しかし、米国の最も脆弱なITシステムをこれらの新しい標準に移行するプロセスには、時間、リソース、およびコミットメントが必要である。米国は、量子コンピュータの脅威から明日を守るために、ITインフラストラクチャの更新という長いプロセスを今日から開始しなければならないのである。国家安全保障に関する覚書-Xは、そのための計画を示している。 
Specifically, the National Security Memorandum: 具体的には、国家安全保障に関する覚書は以下の通りである。
Positions the United States to remain a global leader in technology development, and Quantum Information Science in particular. The NSM directs Federal agencies to pursue a whole-of-government and whole-of-society approach to harness the economic and scientific benefits of QIS for all Americans, as well as the security enhancements of new cryptographic systems. It sets forth a policy to promote quantum-relevant education programs and workforce development initiatives, emphasizes a coordinated approach to foundational scientific research, and encourages the strengthening of partnerships with industry, academic institutions, and allies and partners overseas. 米国が技術開発、特に量子情報科学においてグローバルリーダーであり続けるための位置づけ。 国家安全保障に関する覚書は連邦政府機関に対し、量子情報科学がもたらす経済的・科学的利益をすべての国民に活用し、新しい暗号システムのセキュリティ強化を図るために、政府全体および社会全体のアプローチを追求するよう指示している。 量子関連教育プログラムと人材開発推進を推進する方針を示し、基礎科学研究への協調的アプローチを強調し、産業界、学術機関、海外の同盟国やパートナーとのパートナーシップの強化を奨励するものである。
Initiates collaboration between the Federal Government and the private sector. It directs NIST to establish a “Migration to Post-Quantum Cryptography Project” at the National Cybersecurity Center of Excellence, as well as an open working group with industry to generate research on, and encourage widespread, equitable adoption of, quantum-resilient cryptographic standards and technologies. 連邦政府と民間企業間の協力を開始する。 NISTに対して、国家サイバーセキュリティセンターオブエクセレンスに「Migration to Post-Quantum Cryptography Project」を設置するとともに、産業界とのオープンワーキンググループを設置し、量子暗号に強い標準と技術の研究を行い、広く公平な採用を奨励することを指示する。
Sets requirements for Federal agencies to update cryptographic systems. Given the complexity, costs, and time required to fully transition to quantum-resistant cryptographic standards, the NSM provides a roadmap for agencies to inventory their IT systems, with a requirement to set and meet specific milestones. Doing so will help ensure that Federal agencies get the support they need to fully and effectively protect their networks from future exploitation. 連邦政府機関に対し、暗号システムの更新要件を設定する。 量子耐力暗号標準への完全移行には、複雑さ、コスト、時間がかかることから、国家安全保障に関する覚書は、各機関がITシステムのインベントリーを作成し、特定のマイルストーンを設定し、それを達成するためのロードマップを提供する。 そうすることで、連邦政府機関が将来の悪用からネットワークを完全かつ効果的に保護するために必要なサポートを受けることができるようになるのである。
Protects United States technology. The NSM recognizes the importance of protecting critical technology from theft and abuse. To this end, the NSM directs Federal agencies to develop comprehensive plans to safeguard American intellectual property, research and development, and other sensitive technology from acquisition by America’s adversaries, and to educate industry and academia on the threats they face. It encourages engagement with international partners to ensure a competitive and fair global marketplace that fosters innovation and continued growth in the field. 米国の技術を保護する。国家安全保障に関する覚書は、重要な技術を盗難や乱用から保護することの重要性を認識している。このため、国家安全保障に関する覚書は連邦政府機関に対し、米国の知的財産、研究開発、その他の機密技術を敵対勢力による取得から保護するための包括的計画を策定し、産業界や学界が直面する脅威を教育するよう指示している。また、この分野のイノベーションと継続的な成長を促進する競争力のある公正なグローバル市場を確保するために、国際的なパートナーとの連携を奨励している。

 

大統領令。。。

・2022.05.04 Executive Order on Enhancing the National Quantum Initiative Advisory Committee

Executive Order on Enhancing the National Quantum Initiative Advisory Committee 国家量子推進諮問委員会の強化に関する大統領令
By the authority vested in me as President by the Constitution and the laws of the United States of America, including section 104(a) of the National Quantum Initiative Act (Public Law 115-368) (NQI Act), and section 301 of title 3, United States Code, and in order to ensure continued American leadership in quantum information science and its technology applications, it is hereby ordered as follows: 国家量子推進法(公法115-368)(NQI法)104条(a)、合衆国法典第3編301条を含む憲法および合衆国法によって大統領として私に与えられた権限により、また、量子情報科学およびその技術応用における米国の継続的リーダーシップを確保するため、以下のように命ずる。
Section 1.  Purpose.  Quantum information science (QIS) can enable transformative advances in knowledge and technology for industry, academia, and government.  Accordingly, the National Quantum Initiative (NQI), which aims to ensure the continued leadership of the United States in QIS and its technology applications, is a substantial and sustained national priority.  The NQI Program, established pursuant to section 101 of the NQI Act, encompasses contributions from across the Federal Government, as exemplified by the QIS research, development, demonstration, and training activities pursued by executive departments and agencies (agencies) with membership on either the National Science and Technology Council (NSTC) Subcommittee on Quantum Information Science (SCQIS) or the NSTC Subcommittee on Economic and Security Implications of Quantum Science (ESIX). 第1条 目的  目的  量子情報科学(量子情報科学)は、産業界、学術界、および政府にとって、知識と技術における変革的な進歩を可能にすることができる。  従って、量子情報科学とその応用技術における米国の継続的なリーダーシップを確保することを目的とした国家量子推進(NQI)は、実質的かつ持続的な国家優先事項である。  NQI プログラムは、NQI 法の第 101 条に従って設立され、国家科学技術会議(NSTC)の量子情報科学(SC量子情報科学)小委員会または量子科学の経済・安全保障への影響に関する NSTC 小委員会(ESIX)の委員である行政部門および機関(エージェンシー)が推進する 量子情報科学 研究、開発、実証および訓練活動に例えられるように、連邦政府全体からの貢献を包含するものである。
Sec. 2.  Establishment.  (a)  To ensure that the NQI Program and the Nation are informed by evidence, data, and perspectives from a diverse group of experts and stakeholders, the National Quantum Initiative Advisory Committee (Committee) is hereby established.  Consistent with the NQI Act, the Committee shall advise the President, the SCQIS, and the ESIX on the NQI Program. 第2条  設立  (a) NQIプログラム及び国家が、多様な専門家及び利害関係者のグループからの証拠、データ及び視点によって情報を得られるようにするため、国家量子推進諮問委員会(委員会)をここに設立する。  委員会は、NQI法に基づき、大統領、SC量子情報科学、及びESIXに対し、NQIプログラムに関する助言を行う。
(b)  The Committee shall consist of the Director of the Office of Science and Technology Policy (Director) or the Director’s designee and not more than 26 members, appointed by the President, who are United States citizens representative of industry, universities, and Federal laboratories, and who are qualified to provide advice and information on QIS and technology research, development, demonstrations, standards, education, technology transfer, commercial application, or national security and economic concerns. (b) 委員会は、科学技術政策局局長(Director)または局長が指名する者、および産業界、大学、連邦研究所を代表する米国市民で、量子情報科学および技術の研究、開発、実証、標準、教育、技術移転、商業利用、または国家安全保障および経済に関する助言および情報を提供する資格を有する大統領によって任命された26名以下の委員で構成するものとする。
(c)  The Committee shall have two Co-Chairs.  The Director or the Director’s designee shall serve as one Co-Chair of the Committee.  The President shall designate another Co-Chair from among the appointed members to serve as Co-Chair with the Director. (c) 委員会は、2名の共同委員長を有するものとする。  ディレクター又はディレクターが指名する者が、委員会の共同委員長を務めるものとする。  社長は、任命されたメンバーの中からもう一人の共同委員長を指名し、ディレクターと共に共同委員長を務めるものとする。
Sec. 3.  Functions.  (a)  The Committee shall advise the President and the SCQIS and the ESIX (Subcommittees) and make recommendations for the President to consider when reviewing and revising the NQI Program.  The Committee shall also carry out all responsibilities set forth in section 104 of the NQI Act. 第3条  機能  (a) 委員会は、会長、SC量子情報科学及びESIX(小委員会)に助言し、NQIプログラムの見直し及び改訂の際に会長が考慮すべき事項を勧告するものとする。  また、委員会は、NQI法第104条に規定する全ての責務を遂行する。
(b)  The Committee shall meet at least twice a year and shall: (b) 委員会は、少なくとも年2回会合を開き、以下の事項を行う。
(i)    respond to requests from the President or the Co-Chairs of the Committee for information, analysis, evaluation, or advice relating to QIS and its technology applications; (i) 量子情報科学及びその技術応用に関する情報、分析、評価、又は助言について、大統領又は委員会の共同議長からの要請に応じること。
(ii)   solicit information and ideas from a broad range of stakeholders on QIS, including the research community, the private sector, academia, national laboratories, agencies, State and local governments, foundations, and nonprofit organizations; (ii) 研究コミュニティ、民間企業、学界、国立研究所、政府機関、州・地方政府、財団、非営利団体を含む量子情報科学に関する幅広い関係者から情報やアイデアを募る。
(iii)  review the national strategy for QIS; and (iii) 量子情報科学に関する国家戦略を検討する。
(iv)   respond to requests from the Subcommittees. (iv) 各小委員会からの要請に対応する。
Sec. 4.  Administration.  (a)  The heads of agencies shall, to the extent permitted by law, provide the Committee with information concerning QIS and its technology applications when requested by a Committee Co-Chair. 第4条  運営  (a) 各政府機関の長は、法律で認められている範囲内で、委員会共同議長から要請があった場合、量子情報科学及びその技術応用に関する情報を委員会に提供するものとする。
(b)  The Co-Chairs of the Committee may establish standing subcommittees and ad hoc groups, including technical advisory groups, to assist and provide information to the Committee. (b) 委員会の共同議長は、委員会を支援し情報を提供するために、技術諮問グループを含む常設分科委員会及びアドホックグ ループを設置することができる。
(c)  The Director may request that members of the Committee, standing subcommittees, or ad hoc groups who do not hold a current clearance for access to classified information receive appropriate clearances and access determinations pursuant to Executive Order 13526 of December 29, 2009 (Classified National Security Information), as amended, or any successor order. (c) 局長は、委員会、常設分科委員会、またはアドホックグループのメンバーで、機密情報へのアクセス許可を現在持っていない者に対し、2009年12月29日の大統領令13526(機密国家安全情報)、またはその改正、またはその後継命令に従って適切な許可とアクセス判定を受けるよう要請できるものとする。
(d)  The National Quantum Coordination Office shall provide technical and administrative support to the Committee, pursuant to section 102(b) of the NQI Act. (d) 国家量子調整室は、NQI法第102条(b)に従い、委員会に技術的及び管理的支援を提供するものとする。
(e)  Committee members shall serve without any compensation for their work on the Committee, but may receive travel expenses, including per diem in lieu of subsistence, as authorized by law for persons serving intermittently in the Government service (5 U.S.C. 5701-5707). (e)委員会の委員は、委員会における業務に対していかなる報酬も受けずに勤務するものとするが、政府機関において断続的に勤務する者に対して法律で認められている日当を含む旅費を受け取ることができる(5 U.S.C. 5701~5707)。
Sec. 5.  Revocation.  Executive Order 13885 of August 30, 2019 (Establishing the National Quantum Initiative Advisory Committee), is hereby revoked. 第5条  第5項 撤回  2019年8月30日の大統領令13885(国家量子イニシアチブ諮問委員会の設立)は、ここに撤回される。
Sec. 6.  General Provisions.  (a)  Insofar as the Federal Advisory Committee Act, as amended (5 U.S.C. App.) (FACA), may apply to the Committee, any functions of the President under the FACA, except for those in section 6 of the FACA, shall be performed by the Secretary of Energy, in consultation with the Director, in accordance with the guidelines and procedures established by the Administrator of General Services. 第6条  一般規定。  (a) 連邦諮問委員会法改正(5 U.S.C. App.)(FACA)が委員会に適用され得る限り、FACAに基づく大統領の機能は、FACA第6項のものを除き、エネルギー長官が長官と協議し、総務長官が定める指針および手続きに従って実施するものとする。
(b)  Nothing in this order shall be construed to impair or otherwise affect: (b) 本命令のいかなる内容も、損なわれる、あるいはその他の影響を及ぼすと解釈されてはならない。
(i)   the authority granted by law to an executive department or agency, or the head thereof; or (i) 行政機関またはその長に法律で与えられた権限。
(ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals. (ii) 予算、行政、または立法案に関する行政管理予算局局長の職務。
(c)  This order shall be implemented consistent with applicable law and subject to the availability of appropriations. (c) 本命令は、適用される法律と一致し、充当が可能であることを条件として実施されるものとする。
(d)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. (d) 本命令は、米国、その省庁、団体、その役員、職員、代理人、またはその他の人物に対して、当事者が法律上または衡平法上強制できる、実体的または手続き上の権利または利益を生み出すことを意図したものではなく、またそうするものでもない。
JOSEPH R. BIDEN JR. ジョセフ・R・バイデン・ジュニア
THE WHITE HOUSE, ホワイトハウス,
May 4, 2022. 2022年5月4日

 

・2022.05.04 National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems

 

National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems 脆弱な暗号システムに対するリスクを軽減しつつ、量子コンピューティングにおける米国のリーダーシップを促進することに関する国家安全保障覚書
NATIONAL SECURITY MEMORANDUM/NSM-10 国家安全保障に関する覚書-10
MEMORANDUM FOR THE VICE PRESIDENT 副大統領のための覚書
THE SECRETARY OF STATE 国務長官
THE SECRETARY OF THE TREASURY 国庫長官
THE SECRETARY OF DEFENSE 国防長官
THE ATTORNEY GENERAL 司法長官
THE SECRETARY OF COMMERCE 商務長官
THE SECRETARY OF ENERGY エネルギー省長官
THE SECRETARY OF HOMELAND SECURITY 国土安全保障長官
THE ASSISTANT TO THE PRESIDENT AND CHIEF OF STAFF 大統領補佐官・首席補佐官
THE DIRECTOR OF THE OFFICE OF MANAGEMENT BUDGET 経営予算局局長
THE DIRECTOR OF NATIONAL INTELLIGENCE 国家情報長官
THE DIRECTOR OF THE CENTRAL INTELLIGENCE AGENCY 中央情報局長官
THE ASSISTANT TO THE PRESIDENT FOR NATIONAL 国家安全保障問題担当大統領補佐官
SECURITY AFFAIRS 安全保障問題担当
THE COUNSEL TO THE PRESIDENT 大統領補佐官
THE ASSISTANT TO THE PRESIDENT FOR ECONOMIC  大統領補佐官(経済政策担当
POLICY AND DIRECTOR OF THE NATIONAL ECONOMIC 経済政策担当大統領補佐官兼国家経済会議議長
COUNCIL 経済政策担当大統領補佐官兼国家経済会議議長
THE DIRECTOR OF THE OFFICE OF SCIENCE AND 科学技術政策室長
TECHNOLOGY POLICY 科学技術政策室長
THE NATIONAL CYBER DIRECTOR 国家サイバーディレクター
THE CHAIRMAN OF THE JOINT CHIEFS OF STAFF 統合参謀本部議長
THE DIRECTOR OF THE FEDERAL BUREAU OF INVESTIGATION 連邦捜査局局長
THE DIRECTOR OF THE NATIONAL SECURITY AGENCY 国家安全保障局長官
THE DIRECTOR OF THE NATIONAL INSTITUTE OF 国立標準技術研究所所長
STANDARDS AND TECHNOLOGY 標準技術研究所所長
 THE DIRECTOR OF THE CYBERSECURITY AND  INFRASTRUCTURE SECURITY AGENCY  サイバーセキュリティ・インフラセキュリティ局局長
SUBJECT: Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems
件名:脆弱な暗号システムに対するリスクを軽減しながら、量子コンピューティングにおける米国のリーダーシップの促進

This memorandum outlines my Administration’s policies and initiatives related to quantum computing.  It identifies key steps needed to maintain the Nation’s competitive advantage in quantum information science (QIS), while mitigating the risks of quantum computers to the Nation’s cyber, economic, and national security.  It directs specific actions for agencies to take as the United States begins the multi-year process of migrating vulnerable computer systems to quantum-resistant cryptography.  A classified annex to this memorandum addresses sensitive national security issues. この覚書は、量子コンピューティングに関する私の政権の政策と推進を概説するものである。  この覚書は、量子情報科学(量子情報科学)における米国の競争優位性を維持するために必要な主要なステップを明らかにする一方、量子コンピュータが国家のサイバー、経済、国家安全保障に及ぼすリスクを軽減するものである。  この覚書は、米国が脆弱なコンピュータシステムを量子暗号に移行するための数年がかりのプロセスを開始するにあたり、各機関が取るべき具体的な行動を指示している。  このメモの機密付録は、国家安全保障上の機密事項を扱っている。
Section 1.  Policy.  (a)  Quantum computers hold the potential to drive innovations across the American economy, from fields as diverse as materials science and pharmaceuticals to finance and energy.  While the full range of applications of quantum computers is still unknown, it is nevertheless clear that America’s continued technological and scientific leadership will depend, at least in part, on the Nation’s ability to maintain a competitive advantage in quantum computing and QIS.  第1条 方針  (a) 量子コンピュータは、材料科学や製薬から金融やエネルギーに至るまで、米国経済全体のイノベーションを推進する可能性を持っている。  量子コンピュータの応用範囲はまだ未知数であるが、それでも米国が技術的・科学的にリーダーシップを取り続けることができるかどうかは、少なくとも部分的には量子コンピュータと量子情報科学において競争優位を保てるかどうかにかかっていることは明らかである。 
(b)  Yet alongside its potential benefits, quantum computing also poses significant risks to the economic and national security of the United States.  Most notably, a quantum computer of sufficient size and sophistication — also known as a cryptanalytically relevant quantum computer (CRQC) — will be capable of breaking much of the public-key cryptography used on digital systems across the United States and around the world.  When it becomes available, a CRQC could jeopardize civilian and military communications, undermine supervisory and control systems for critical infrastructure, and defeat security protocols for most Internet-based financial transactions. (b) しかし、量子コンピュータは、その潜在的な利益と同時に、米国の経済および国家安全保障に重大なリスクをもたらすものである。  特に、十分な規模と機能を備えた量子コンピュータ(CRQC:cryptanalytically relevant quantum computer)は、米国および世界中のデジタルシステムで使用されている公開鍵暗号の多くを解読することが可能であると考えられる。  CRQCが利用可能になれば、民間や軍の通信を危険にさらし、重要インフラの監視・制御システムを弱体化させ、インターネットベースの金融取引のほとんどのセキュリティプロトコルを破壊する可能性がある。
(c)  In order to balance the competing opportunities and risks of quantum computers, it is the policy of my Administration:  (1) to maintain United States leadership in QIS, through continued investment, partnerships, and a balanced approach to technology promotion and protection; and (2) to mitigate the threat of CRQCs through a timely and equitable transition of the Nation’s cryptographic systems to interoperable quantum‑resistant cryptography. (c) 量子コンピュータの競合する機会とリスクのバランスをとるために、私の政権の方針は次の通りである。  (1) 継続的な投資、パートナーシップ、技術の普及と保護に対するバランスの取れたアプローチを通じて、量子情報科学における米国のリーダーシップを維持すること、 (2) 国家の暗号システムを相互運用可能な耐量子暗号に適時かつ公平に移行することにより、CRQCの脅威を軽減すること。
(d)  Additional guidance and directives may be required in the future as quantum computing technologies and their associated risks mature. (d) 量子コンピューティング技術とその関連リスクの成熟に伴い、将来的に追加のガイダンスと指令が必要となる可能性がある。
Sec. 2.  Promoting United States Leadership.  (a)  The United States must pursue a whole-of-government and whole‑of‑society strategy to harness the economic and scientific benefits of QIS, and the security enhancements provided by quantum-resistant cryptography.  This strategy will require a coordinated, proactive approach to QIS research and development (R&D), an expansion of education and workforce programs, and a focus on developing and strengthening partnerships with industry, academic institutions, allies, and like-minded nations. 第2条  米国のリーダーシップを促進する。  (a) 米国は、量子情報科学 の経済的・科学的利益と耐量子暗号によるセキュリティ強化を活用するため、政府全体及び社会全体の戦略を追求する必要がある。  この戦略には、量子情報科学研究開発(R&D)に対する協調的かつ積極的なアプローチ、教育・労働力プログラムの拡大、産業界、学術機関、同盟国、および同様の考えを持つ国とのパートナーシップの開発・強化に重点を置くことが必要である。
(b)  The United States must seek to encourage transformative and fundamental scientific discoveries through investments in core QIS research programs.  Investments should target the discovery of new quantum applications, new approaches to quantum-component manufacturing, and advances in quantum‑enabling technologies, such as photonics, nanofabrication, and cryogenic and semiconductor systems. (b) 米国は、中核的な 量子情報科学研究プログラムへの投資を通じて、変革的かつ基礎的な科学的発見を奨励するよう努めなければならない。  この投資は、新しい量子応用の発見、量子コンポーネント製造の新しいアプローチ、フォトニクス、ナノ加工、極低温・半導体システムなどの量子実現技術の進歩をターゲットとするものでなければならない。
(c)  The United States must seek to foster the next generation of scientists and engineers with quantum-relevant skill sets, including those relevant to quantum-resistant cryptography.  Education in QIS and related cybersecurity principles should be incorporated into academic curricula at all levels of schooling to support the growth of a diverse domestic workforce.  Furthermore, it is vital that we attract and retain talent and encourage career opportunities that keep quantum experts employed domestically. (c) 米国は、耐量子暗号に関連する技術を含む、量子関連技術を持つ次世代の科学者や技術者の育成に努めなければならない。  量子情報科学 および関連するサイバーセキュリティの原理に関する教育は、多様な国内労働力の成長を支援するために、あらゆるレベルの学校教育のカリキュラムに組み込まれるべきである。  さらに、量子専門家の国内雇用を維持するために、人材を引きつけ、キャリア機会を促進することが不可欠である。
(d)  To promote the development of quantum technology and the effective deployment of quantum-resistant cryptography, the United States must establish partnerships with industry; academia; and State, local, Tribal, and territorial (SLTT) governments.  These partnerships should advance joint R&D initiatives and streamline mechanisms for technology transfer between industry and government. (d) 量子技術の開発と耐量子暗号の効果的な展開を促進するために、米国は産業界、学術界、州・地方・部族・準州政府(SLTT)とパートナーシップを確立する必要がある。  これらのパートナーシップは、共同研究開発推進を推進し、産業界と政府間の技術移転のメカニズムを合理化する必要がある。
(e)  The United States must promote professional and academic collaborations with overseas allies and partners.  This international engagement is essential for identifying and following global QIS trends and for harmonizing quantum security and protection programs. (e)米国は、海外の同盟国およびパートナーとの専門的・学術的な協力関係を促進しなければならない。  このような国際的な関与は、世界の 量子情報科学 の動向を把握・追従し、量子安全保障・保護プログラムを調和させるために不可欠である。
(f)  In support of these goals, within 90 days of the date of this memorandum, agencies that fund research in, develop, or acquire quantum computers shall coordinate with the Director of the Office of Science and Technology Policy to ensure a coherent national strategy for QIS promotion and technology protection, including for workforce issues.  To facilitate this coordination, all such agencies shall identify a liaison to the National Quantum Coordination Office to share information and best practices, consistent with section 102(b)(3) of the National Quantum Initiative Act (Public Law 115-368) and section 6606 of the National Defense Authorization Act for Fiscal Year 2022 (Public Law 117-81).  All coordination efforts shall be undertaken with appropriate protections for sensitive and classified information and intelligence sources and methods. (f) これらの目標を支援するため、本覚書の日付から90日以内に、量子コンピュータの研究、開発、取得に資金を提供する機関は、科学技術政策室長と調整し、労働力の問題を含め、量子情報科学推進と技術保護に関する一貫した国家戦略を確保するものとする。  この調整を促進するため、かかる機関はすべて、国家量子推進法(公法115-368)の第102条(b)(3)および2022会計年度国防権限法(公法117-81)の第6606条と一致する、情報とベストプラクティスを共有するための国家量子調整室との連絡係を特定するものとする。  すべての調整努力は、機密かつ分類された情報および情報源と方法に対する適切な保護をもって実施されるものとする。
Sec. 3.  Mitigating the Risks to Encryption.  (a)  Any digital system that uses existing public standards for public‑key cryptography, or that is planning to transition to such cryptography, could be vulnerable to an attack by a CRQC.  To mitigate this risk, the United States must prioritize the timely and equitable transition of cryptographic systems to quantum-resistant cryptography, with the goal of mitigating as much of the quantum risk as is feasible by 2035.  Currently, the Director of the National Institute of Standards and Technology (NIST) and the Director of the National Security Agency (NSA), in their capacity as the National Manager for National Security Systems (National Manager), are each developing technical standards for quantum‑resistant cryptography for their respective jurisdictions.  The first sets of these standards are expected to be released publicly by 2024.    第3条  暗号化のリスクを軽減すること。  (a) 公開鍵暗号の既存の公的標準を使用するデジタル・システム、またはそのような暗号への移行を計画しているデジタル・システムは、CRQCによる攻撃に対して脆弱である可能性がある。  このリスクを軽減するために、米国は暗号システムの量子耐性暗号への適時かつ公平な移行を優先し、2035年までに実現可能な限り量子リスクを軽減することを目標としなければならない。  現在、米国標準技術局(NIST)長官と国家安全保障局(NSA)長官が、国家安全保障システム担当の国家管理者として、それぞれの管轄区域において耐量子暗号の技術標準を策定中である。  これらの標準の最初のセットは、2024年までに一般に公開される予定である。   
(b)  Central to this migration effort will be an emphasis on cryptographic agility, both to reduce the time required to transition and to allow for seamless updates for future cryptographic standards.  This effort is an imperative across all sectors of the United States economy, from government to critical infrastructure, commercial services to cloud providers, and everywhere else that vulnerable public-key cryptography is used. (b) この移行作業の中心は、移行に要する時間を短縮し、将来の暗号標準のシームレスな更新を可能にするために、暗号の俊敏性を強調することである。  この取り組みは、政府から重要インフラ、商業サービス、クラウドプロバイダーなど、脆弱な公開鍵暗号が使用されているあらゆる場所で、米国経済のあらゆるセクターで必須となるものである。
(c)  Consistent with these goals: (c) これらの目標に沿う形で
(i)     Within 90 days of the date of this memorandum, the Secretary of Commerce, through the Director of NIST, shall initiate an open working group with industry, including critical infrastructure owners and operators, and other stakeholders, as determined by the Director of NIST, to further advance adoption of quantum-resistant cryptography.  This working group shall identify needed tools and data sets, and other considerations to inform the development by NIST of guidance and best practices to assist with quantum‑resistant cryptography planning and prioritization.  Findings of this working group shall be provided, on an ongoing basis, to the Director of the Office of Management and Budget (OMB), the Assistant to the President for National Security Affairs (APNSA), and the National Cyber Director to incorporate into planning efforts.  (i) 商務長官は、このメモの日付から90日以内に、NIST長官を通じて、量子耐性暗号の採用をさらに進めるために、重要インフラの所有者および運営者を含む産業界、およびNIST長官が決定するその他の関係者との公開ワーキンググループを開始するものとする。  本ワーキンググループは、量子耐性暗号の計画と優先順位付けを支援するガイダンスとベストプラクティスをNISTが開発するために、必要なツールやデータセット、その他の検討事項を特定するものとする。  このワーキンググループの結果は、継続的に、管理予算局(OMB)長官、国家安全保障問題担当大統領補佐官(APNSA)、および国家サイバー局長に提供され、計画策定に反映させるものとする。 
(ii)    Within 90 days of the date of this memorandum, the Secretary of Commerce, through the Director of NIST, shall establish a “Migration to Post-Quantum Cryptography Project” at the National Cybersecurity Center of Excellence to work with the private sector to address cybersecurity challenges posed by the transition to quantum-resistant cryptography.  This project shall develop programs for discovery and remediation of any system that does not use quantum-resistant cryptography or that remains dependent on vulnerable systems. (ii) 商務長官は、この覚書の日付から90日以内に、NIST長官を通じて、国家サイバーセキュリティセンターオブエクセレンスに「ポスト量子暗号への移行プロジェクト」を設立し、民間部門と協力して、量子耐性暗号への移行によってもたらされるサイバーセキュリティ上の課題に取り組むものとする。  このプロジェクトは、量子耐性暗号を使用していない、または脆弱なシステムに依存したままのシステムの発見と是正のためのプログラムを開発するものとする。
(iii)   Within 180 days of the date of this memorandum, and annually thereafter, the Secretary of Homeland Security, through the Director of the Cybersecurity and Infrastructure Security Agency (CISA), and in coordination with Sector Risk Management Agencies, shall engage with critical infrastructure and SLTT partners regarding the risks posed by quantum computers, and shall provide an annual report to the Director of OMB, the APNSA, and the National Cyber Director that includes recommendations for accelerating those entities’ migration to quantum-resistant cryptography. (iii) この覚書の日付から180日以内に、そしてその後毎年、国土安全保障長官は、サイバーセキュリティおよびインフラセキュリティ庁(CISA)長官を通じて、セクターリスク管理機関と連携して、量子コンピュータがもたらすリスクについて重要インフラおよびSLTTパートナーと協力し、OMB長官、APNSAおよび国家サイバー局長に、これらの機関の量子耐性暗号への移行促進に関する提案を含む年次報告書を提供しなければならない。
(iv)    Within 180 days of the date of this memorandum, and on an ongoing basis, the Director of OMB, in consultation with the Director of CISA, the Director of NIST, the National Cyber Director, and the Director of NSA, shall establish requirements for inventorying all currently deployed cryptographic systems, excluding National Security Systems (NSS).  These requirements shall include a list of key information technology (IT) assets to prioritize, interim benchmarks, and a common (and preferably automated) assessment process for evaluating progress on quantum-resistant cryptographic migration in IT systems. (iv) 本覚書の日付から180日以内に、継続的に、OMB長官は、CISA長官、NIST長官、国家サイバー長官、NSA長官と協議して、国家安全保障システム(NSS)を除く、現在配備されているすべての暗号システムの目録作成の要件を確立するものとする。  これらの要件には、優先順位をつけるべき主要な情報技術(IT)資産のリスト、暫定的なベンチマーク、ITシステムにおける量子抵抗暗号移行の進捗を評価するための共通の(できれば自動化された)評価プロセスが含まれるものとする。
(v)     Within 1 year of the date of this memorandum, and on an annual basis thereafter, the heads of all Federal Civilian Executive Branch (FCEB) Agencies shall deliver to the Director of CISA and the National Cyber Director an inventory of their IT systems that remain vulnerable to CRQCs, with a particular focus on High Value Assets and High Impact Systems.  Inventories should include current cryptographic methods used on IT systems, including system administrator protocols, non-security software and firmware that require upgraded digital signatures, and information on other key assets. (v) この覚書の日付から1年以内に、またその後は毎年、すべての連邦公務員行政部門(FCEB)機関の長は、CISA長官と国家サイバー長官に対して、CRQCに対して脆弱なままのITシステムのインベントリーを、特に高額資産と高インパクトシステムに焦点を当てて提供するものとする。  インベントリには、システム管理者プロトコル、アップグレードされたデジタル署名を必要とする非セキュリティ・ソフトウェア及びファームウェア、並びにその他の重要な資産に関する情報など、ITシステムで使用されている現在の暗号化方式を含めるべきである。
(vi)    By October 18, 2023, and on an annual basis thereafter, the National Cyber Director shall, based on the inventories described in subsection 3(c)(v) of this memorandum and in coordination with the Director of CISA and the Director of NIST, deliver a status report to the APNSA and the Director of OMB on progress made by FCEB Agencies on their migration of non-NSS IT systems to quantum-resistant cryptography.  This status report shall include an assessment of the funding necessary to secure vulnerable IT systems from the threat posed by adversarial access to quantum computers, a description and analysis of ongoing coordination efforts, and a strategy and timeline for meeting proposed milestones. (vi) 2023年10月18日までに、そしてその後毎年、国家サイバー長官は、本覚書のサブセクション3(c)(v)に記載された目録に基づき、CISA長官及びNIST長官と協力して、FCEB機関による非NSS ITシステムの量子抵抗暗号への移行の進捗状況について、APNSA及びOMB長官に状況報告書を提出しなければならない。  この状況報告には、敵対的な量子コンピュータへのアクセスがもたらす脅威から脆弱なITシステムを守るために必要な資金の評価、進行中の調整努力の説明と分析、提案されたマイルストーンを達成するための戦略とタイムラインを含めるものとする。
(vii)   Within 90 days of the release of the first set of NIST standards for quantum-resistant cryptography referenced in subsection 3(a) of this memorandum, and on an annual basis thereafter, as needed, the Secretary of Commerce, through the Director of NIST, shall release a proposed timeline for the deprecation of quantum-vulnerable cryptography in standards, with the goal of moving the maximum number of systems off quantum-vulnerable cryptography within a decade of the publication of the initial set of standards.  The Director of NIST shall work with the appropriate technical standards bodies to encourage interoperability of commercial cryptographic approaches. (vii) 商務長官は、本覚書の第3項(a)で言及した量子脆弱性暗号に関するNIST標準の最初のセットの公開から90日以内に、またその後は必要に応じて毎年、NIST長官を通じて、標準における量子脆弱性暗号の非推奨に関するスケジュール案を公開し、最初の標準セットの公開から10年以内に最大数のシステムを量子脆弱性暗号から移行することを目標とするものとする。  NIST長官は、適切な技術標準化団体と協力して、商用暗号手法の相互運用性を奨励するものとする。
(viii)  Within 1 year of the release of the first set of NIST standards for quantum-resistant cryptography referenced in subsection 3(a) of this memorandum, the Director of OMB, in coordination with the Director of CISA and the Director of NIST, shall issue a policy memorandum requiring FCEB Agencies to develop a plan to upgrade their non-NSS IT systems to quantum-resistant cryptography.  These plans shall be expeditiously developed and be designed to address the most significant risks first.  The Director of OMB shall work with the head of each FCEB Agency to estimate the costs to upgrade vulnerable systems beyond already planned expenditures, ensure that each plan is coordinated and shared among relevant agencies to assess interoperability between solutions, and coordinate with the National Cyber Director to ensure plans are updated accordingly. (viii) 本覚書のサブセクション3(a)で言及されている量子脆弱性暗号に関する最初のNIST標準の公表から1年以内に、OMB長官は、CISA長官及びNIST長官と連携して、FCEB機関に対して、非NSS ITシステムの量子脆弱性暗号へのアップグレード計画の策定を求める政策メモを発表するものとする。  これらの計画は迅速に策定され、最も重大なリスクに最初に対処するよう設計されるものとする。  OMB長官は、各FCEB機関の長と協力して、脆弱なシステムのアップグレードにかかる費用を既に計画されている支出以上に見積もり、各計画が関連機関間で調整・共有されてソリューション間の相互運用性を評価し、国家サイバー長官と調整して、計画が適宜更新されるよう確保するものとする。
(ix)    Until the release of the first set of NIST standards for quantum-resistant cryptography referenced in subsection 3(a) of this memorandum, the heads of FCEB Agencies shall not procure any commercial quantum-resistant cryptographic solutions for use in IT systems supporting enterprise and mission operations.  However, to assist with anticipating potential compatibility issues, the heads of such FCEB Agencies should conduct tests of commercial solutions that have implemented pre-standardized quantum-resistant cryptographic algorithms.  These tests will help identify interoperability or performance issues that may occur in Federal environments at an early stage and will contribute to the mitigation of those issues.  The heads of such FCEB Agencies should continue to implement and, where needed, upgrade existing cryptographic implementations, but should transition to quantum-resistant cryptography only once the first set of NIST standards for quantum-resistant cryptography is complete and implemented in commercial products.  Conformance with international standards should be encouraged, and may be required for interoperability. (ix) 本覚書のサブセクション3(a)で言及されている耐量子暗号に関する最初のNIST標準が発表されるまで、FCEB機関の長は、企業やミッションの運営をサポートするITシステムで使用するための商用耐量子暗号ソリューションを調達しないこととする。  しかし、潜在的な互換性の問題を予測するために、FCEB機関の長は、あらかじめ標準化された量子耐性暗号アルゴリズムを実装した商用ソリューションのテストを実施する必要がある。  これらのテストは、連邦環境において発生しうる相互運用性や性能の問題を早期に特定し、それらの問題の軽減に寄与するものである。  このようなFCEB機関の長は、既存の暗号実装を継続し、必要に応じてアップグレードを行うべきであるが、量子耐性暗号に関する最初のNIST標準が完成し、商用製品に実装された後、量子耐性暗号に移行すべきである。  国際標準への準拠を推奨し、相互運用のために必要となる場合もある。
(x)     Within 1 year of the date of this memorandum, and annually thereafter, the Director of NSA, serving in its capacity as the National Manager, in consultation with the Secretary of Defense and the Director of National Intelligence, shall provide guidance on quantum-resistant cryptography migration, implementation, and oversight for NSS.  This guidance shall be consistent with National Security Memorandum/NSM-8 (Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems).  The National Manager shall share best practices and lessons learned with the Director of OMB and the National Cyber Director, as appropriate. (x) この覚書の日付から 1 年以内、及びその後毎年、国家管理者としての NSA 長官は、国防長官及び 国家情報長官と協議の上、NSS に対する量子耐性暗号の移行、実装及び監視に関するガイダンスを提供 するものとする。  このガイダンスは、国家安全保障に関する覚書/国家安全保障に関する覚書-8(Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems)と整合的であるものとする。  国家管理者は、ベストプラクティス及び得られた教訓を、適宜、OMB長官及び国家サイバー・ ディレクターと共有するものとする。
(xi)    Within 1 year of the date of this memorandum, and on an ongoing basis, and consistent with section 1 of NSM-8, the heads of agencies operating NSS shall identify and document all instances where quantum-vulnerable cryptography is used by NSS and shall provide this information to the National Manager. (xi) この覚書の日付から1年以内に、また継続的に、国家安全保障に関する覚書-8の第1項と整合性をとりながら、NSSを運用する機関の長は、NSSによって量子脆弱性暗号が使用されている全ての事例を特定し、文書化し、この情報を国家管理者に提供するものとする。
(xii)   Within 180 days of issuance by the National Manager of its standards on quantum-resistant cryptography referenced in section 3(a) of this memorandum, and annually thereafter, the National Manager shall release an official timeline for the deprecation of vulnerable cryptography in NSS, until the migration to quantum-resistant cryptography is completed. (xii) 全国管理者は、本覚書の第 3 節(a)で言及した量子脆弱性暗号に関する基準の発行から 180 日以内、 及びその後毎年、量子脆弱性暗号への移行が完了するまでの NSS における脆弱性暗号の非推奨に 関する公式なタイムラインを発表すること。
(xiii)  Within 1 year of issuance by the National Manager of its standards on quantum-resistant cryptography for referenced in subsection 3(a) of this memorandum, and annually thereafter, the heads of agencies operating or maintaining NSS shall submit to the National Manager, and, as appropriate, the Department of Defense Chief Information Officer or the Intelligence Community Chief Information Officer, depending on their respective jurisdictions, an initial plan to transition to quantum‑resistant cryptography in all NSS.  These plans shall be updated annually and shall include relevant milestones, schedules, authorities, impediments, funding requirements, and exceptions authorized by the head of the agency in accordance with section 3 of NSM-8 and guidance from the National Manager.   (xiii) 国家管理者が、本覚書のサブセクション3(a)で言及された耐量子暗号に関する基準を発行してから1年以内、 及びその後毎年、NSSを運用又は維持する機関の長は、国家管理者に提出し、必要に応じて、それぞれの管轄に 応じて、国防省最高情報責任者又は情報コミュニティ最高情報責任者が、全てのNSSにおいて耐量子暗号への 移行に関する初期の計画を提出するものとする。  これらの計画は毎年更新され、関連するマイルストーン、スケジュール、権限、障害、資金需要、及び国家安全保障に関する覚書-8第3項と国家管理者の指導に従って機関の長が許可した例外を含むものとする。 
(xiv)   By December 31, 2023, agencies maintaining NSS shall implement symmetric-key protections (e.g., High Assurance Internet Protocol Encryptor (HAIPE) exclusion keys or VPN symmetric key solutions) to provide additional protection for quantum-vulnerable key exchanges, where appropriate and in consultation with the National Manager.  Implementation should seek to avoid interference with interoperability or other cryptographic modernization efforts. (xiv) 2023年12月31日までに、NSSを維持する機関は、量子脆弱性鍵交換の追加的な保護を提供するた めに、適切な場合には、国家管理者と協議の上、対称鍵保護(例えば、高保証インターネットプロトコルエン クリプター(HAIPE)排除鍵やVPN対称鍵ソリューション)を実装しなければならない。  実装は、相互運用性または他の暗号近代化の努力との干渉を避けるよう努めるべきである。
(xv)    By December 31, 2023, the Secretary of Defense shall deliver to the APNSA and the Director of OMB an assessment of the risks of quantum computing to the defense industrial base and to defense supply chains, along with a plan to engage with key commercial entities to upgrade their IT systems to achieve quantum resistance. (xv) 2023年12月31日までに、国防長官はAPNSAとOMB長官に、防衛産業基盤および防衛サプライチェーンに対する量子コンピューティングのリスクの評価と、主要な商業団体と協力してITシステムを量子耐性にアップグレードする計画を提出すること。
Sec. 4.  Protecting United States Technology.  (a)  In addition to promoting quantum leadership and mitigating the risks of CRQCs, the United States Government must work to safeguard relevant quantum R&D and intellectual property (IP) and to protect relevant enabling technologies and materials.  Protection mechanisms will vary, but may include counterintelligence measures, well-targeted export controls, and campaigns to educate industry and academia on the threat of cybercrime and IP theft. 第4条  米国技術の保護。  (a) 量子リーダーシップの推進とCRQCのリスク軽減に加え、米国政府は、関連する量子研究開発と知的財産(IP)を保護し、関連する実現技術や材料を保護するよう努めなければならない。  保護メカニズムは様々であるが、防諜対策、的確な輸出規制、サイバー犯罪やIP盗難の脅威について産業界や学術界を教育するキャンペーンなどが考えられる。
(b)  All agencies responsible for either promoting or protecting QIS and related technologies should understand the security implications of adversarial use and consider those security implications when implementing new policies, programs, and projects. (b) 量子情報科学 と関連技術の推進または保護に責任を負うすべての機関は、敵対的利用の安全保障上の意味を理解し、新たな政策、プログラム、プロジェクトを実施する際にその安全保障上の意味を検討する必要がある。
(c)  The United States should ensure the protection of U.S.‑developed quantum technologies from theft by our adversaries.  This will require campaigns to educate industry, academia, and SLTT partners on the threat of IP theft and on the importance of strong compliance, insider threat detection, and cybersecurity programs for quantum technologies.  As appropriate, Federal law enforcement agencies and other relevant agencies should investigate and prosecute actors who engage in the theft of quantum trade secrets or who violate United States export control laws.  To support efforts to safeguard sensitive information, Federal law enforcement agencies should exchange relevant threat information with agencies responsible for developing and promoting quantum technologies.   (c) 米国は、米国が開発した量子技術を敵対勢力による盗用から確実に保護する必要がある。  このためには、産業界、学術界、SLTT パートナーを対象に、IP 盗難の脅威、量子技術に関する強力なコンプライアンス、内部脅威の検知、サイバーセキュリティプログラムの重要性について教育するキャンペーンを実施する必要がある。  適切な場合、連邦法執行機関やその他の関連機関は、量子の企業秘密の窃盗に関与したり、米国の輸出管理法に違反したりする行為者を調査し、起訴する必要がある。  機密情報を保護する取り組みを支援するため、連邦法執行機関は、量子技術の開発および推進を担当する機関と関連する脅威情報を交換する必要がある。 
(d)  Consistent with these goals, by December 31, 2022, the heads of agencies that fund research in, develop, or acquire quantum computers or related QIS technologies shall develop comprehensive technology protection plans to safeguard QIS R&D, acquisition, and user access.  Plans shall be coordinated across agencies, including with Federal law enforcement, to safeguard quantum computing R&D and IP, acquisition, and user access.  These plans shall be updated annually and provided to the APNSA, the Director of OMB, and the Co-Chairs of the National Science and Technology Council Subcommittee on Economic and Security Implications of Quantum Science. (d) これらの目標に沿って、2022年12月31日までに、量子コンピュータまたは関連する量子情報科学技術の研究、開発、取得に資金を提供する機関の長は、量子情報科学の研究開発、取得、ユーザ・アクセスを保護するための包括的技術保護計画を策定するものとする。  計画は、量子コンピュータの研究開発、IP、取得、ユーザ・アクセスを保護するために、連邦法執行機関を含む、機関間で調整されるものとする。  これらの計画は毎年更新され、APNSA、OMB長官、および国家科学技術会議量子科学の経済的および安全保障上の意義に関する小委員会の共同議長に提出される。
Sec. 5.  Definitions.  For purposes of this memorandum: 第5条 定義  本覚書の目的上
(a)  the term “agency” has the meaning ascribed to it under 44 U.S.C. 3502; (a) 「機関」という用語は、44 U.S.C. 3502に規定されている意味を有する。
(b)  the term “critical infrastructure” means systems and assets, whether physical or virtual, so vital to the United States that their incapacitation or destruction would have a debilitating effect on the Nation’s security, economy, public health and safety, or any combination thereof; (b) 「重要インフラ」という用語は、物理的か仮想的かを問わず、米国にとって極めて重要なシステムおよび資産で、その機能停止または破壊が国家の安全保障、経済、公衆衛生および安全、またはそれらの組み合わせに衰弱させる影響を与えるものを意味する。
(c)  the term “cryptographic agility” means a design feature that enables future updates to cryptographic algorithms and standards without the need to modify or replace the surrounding infrastructure; (c) 「暗号の敏捷性」という用語は、周囲のインフラストラクチャを修正または交換する必要なく、暗号アル ゴリズムおよび標準の将来の更新を可能にする設計上の特徴を意味する。
(d)  the term “cryptanalytically relevant quantum computer” or “CRQC” means a quantum computer capable of undermining current public-key cryptographic algorithms; (d) 「暗号解読関連量子コンピュータ」または「CRQC」という用語は、現行の公開鍵暗号アルゴリズムを弱体化させることができる量子コンピュータを意味する。
(e)  the term “Federal Civilian Executive Branch Agency” or “FCEB Agency” means any agency except the Department of Defense or agencies in the Intelligence Community; (e) 「連邦民間行政機関」または「FCEB機関」とは、国防総省または情報コミュニティ内の機関を除 くすべての機関を意味する。
(f)  the term “high value asset” means information or an information system that is so critical to an organization that the loss or corruption of this information, or loss of access to the system, would have serious impacts on the organization’s ability to perform its mission or conduct business; (f) 「高価値資産」とは、組織にとって非常に重要な情報または情報システムであって、その情報の損失もしくは破損、またはシステムへのアクセスの喪失が、組織の任務遂行または事業遂行の能力に重大な影響を及ぼすものをいう。
(g)  the term “high impact system” means an information system in which at least one security objective (i.e., confidentiality, integrity, or availability) is assigned a Federal Information Processing Standards (FIPS) 199 potential impact value of “high”; (g)「高影響度システム」とは、少なくとも一つのセキュリティ目的(すなわち、機密性、完全性又は可用性)が連邦情報処理規格(FIPS)199の潜在的影響度の値が「高」と割り当てられた情報システムを意味する。
(h)  the term “information technology” or “IT” has the meaning ascribed to it under 44 U.S.C. 3502; (h) 「情報技術」または「IT」という用語は、44 U.S.C. 3502に基づき付与された意味を有する。
(i)  the term “National Security Systems” or “NSS” has the meaning ascribed to it in 44 U.S.C 3552(b)(6) and shall also include other Department of Defense and Intelligence Community systems, as described in 44 U.S.C. 3553(e)(2) and 44 U.S.C. 3553(e)(3); (i) 「国家安全保障システム」または「NSS」という用語は、44 U.S.C. 3552(b)(6)に規定される意味を有し、44 U.S.C. 3553(e)(2)および44 U.S.C. 3553(e)(3)に記載される他の防衛省および情報機関のシステムも含むものとする。
(j)  the term “quantum computer” means a computer utilizing the collective properties of quantum states, such as superposition, interference and entanglement, to perform calculations.  The foundations in quantum physics give a quantum computer the ability to solve a subset of hard mathematical problems at a much faster rate than a classical (i.e., non‑quantum) computer; (j)「量子コンピュータ」という用語は、重ね合わせ、干渉、もつれなどの量子状態の集合的な性質を利用して計算を行うコンピュータを意味する。  量子物理学の基礎は、量子コンピュータが古典的(すなわち非量子)コンピュータよりもはるかに速い速度で難しい数学的問題の一部を解決する能力を与えるものである。
(k)  the term “quantum information sciences” or “QIS” has the meaning ascribed to it under 15 U.S.C. 8801(6) and means the study and application of the laws of quantum physics for the storage, transmission, manipulation, computing, or measurement of information; and (k) 「量子情報科学」または「量子情報科学」という用語は、15 U.S.C. 8801(6)に規定される意味を有し、情報の記憶、伝送、操作、計算または測定のための量子物理学の法則の研究および適用を意味する。
(l)  the term “quantum-resistant cryptography” means those cryptographic algorithms or methods that are assessed not to be specifically vulnerable to attack by either a CRQC or classical computer.  This is also referred to as post-quantum cryptography. (l) 「量子耐性暗号」とは、CRQC または古典コンピュータのいずれによる攻撃にも特に脆弱でないと評価される暗号アルゴリズムまたは方式を意味する。  これは、ポスト量子暗号とも呼ばれる。
Sec. 6.  General Provisions.  (a)  Nothing in this memorandum shall be construed to impair or otherwise affect: 第6条  一般規定  (a) 本覚書のいかなる内容も、以下の内容を損ない、またはその他の影響を与えるものと解釈してはならない。
(i)   the authority granted by law to an executive department or agency, or the head thereof, to include the protection of intelligence sources and methods; or (i) 情報源および方法の保護を含む、行政機関またはその長に法律で与えられた権限。
(ii)  the functions of the Director of OMB relating to budgetary, administrative, or legislative proposals. (ii) 予算、行政、または立法案に関するOMB長官の職務。
(b)  This memorandum shall be implemented consistent with applicable law and subject to the availability of appropriations. (b) この覚書は、適用される法律と一致し、充当が可能であることを条件として、実施されるものとする。
(c)  This memorandum shall also be implemented without impeding the conduct or support of intelligence activities, and all implementation measures shall be designed to be consistent with appropriate protections for sensitive information and intelligence sources and methods.  (c) この覚書はまた、情報活動の実施または支援を妨げることなく実施されなければならず、すべての実施措置は、機密情報および情報源と方法に対する適切な保護と整合するように設計されなければならない。 
(d)  This memorandum is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.    (d) この覚書は、米国、その省庁、団体、その役員、職員、代理人、またはその他の者に対し、当事者が法律上または衡平法上強制できる、実体的または手続き上の権利または利益を創出することを意図したものではなく、またそうすることもない。   
JOSEPH R. BIDEN JR.  ジョセフ・R・バイデン・ジュニア

 

 

Fig1_20210802074601

 


 

参考

国家量子推進諮問会議

quantum.gov

 

国家量子推進法

Congress.gov

・2018.06.27 H.R.6227 - National Quantum Initiative Act

 

日本の場合?...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.02 内閣府 量子未来社会ビジョン (2022.04.22)

 


 

» Continue reading

| | Comments (0)

フランス CNIL AIについてのリンク集 (2022.04.05)

こんにちは、丸山満彦です。

備忘録です。。。CNILのAIについてのリンク集...

リンク先のコンテンツのほとんどはフランス語でして、私には理解がなかなかできないのですが、、、この取り組みについては、日本の個人情報保護委員会においても参考になるのかなと思いました。。。

「規制があるから産業革新が世の中に実装されない。故に規制は撤廃すべきだ」という議論がなされる場合があります。確かに環境変化によって、必要性が薄れている規制や内容を変えていく必要のある規制もあると思います。が、外部経済等が大きく、資源の最適配分がされないような場合には、それを是正するための規制は必要な場合があるでしょう。特に新しい分野においては、社会に実装後に大きな問題となりうるようなことについては、実装前に適切な制度設計が重要となる場合もあるでしょう(ある意味、シフトレフト...)

そういう意味では、新技術を使ったビジネス開発というのは、技術をよく知っているだけでなく、それが社会に与える正負両方の影響も踏まえて行う必要があり、負の影響を是正するための規制についても予測しながら進めることが重要なのかもしれません。

ということであれば、規制当局側が、新技術と規制の関係についての様々な情報を国民に提供していくことは、新技術の社会実装を助けることになるのではないかと思うんですよね。。。

 

CNIL

・2022.04.05 Intelligence artificielle : la CNIL publie un ensemble de ressources pour le grand public et les professionnels

Intelligence artificielle : la CNIL publie un ensemble de ressources pour le grand public et les professionnels 人工知能:CNIL、一般市民および専門家向けのリソース一式を公開
Afin d’apporter un éclairage sur les enjeux de l’intelligence artificielle (IA) liés à la protection de la vie privée et d’accompagner les professionnels dans leur mise en conformité, la CNIL propose un ensemble de ressources dédiées. Elle invite chacun à contribuer à ces travaux, qui ont vocation à être enrichis par la suite. プライバシー保護に関する人工知能(AI)の課題に光を当て、専門家のコンプライアンスを支援するために、CNILは一連の専用リソースを提供しています。この作品は、後に充実したものにするために、皆様からのご協力をお願いしているのです。
Pourquoi la CNIL souhaite-t-elle communiquer sur l’IA ? なぜCNILはAIに関するコミュニケーションを取りたいのですか?
Les systèmes utilisant l’intelligence artificielle (IA) se développent depuis plusieurs années et, avec eux, de nouveaux enjeux en matière de protection des données. Dans le cadre de ses missions d’information et de protection des droitsd’accompagnement vers la conformité et d’anticipation et d’innovation, la CNIL propose un ensemble de contenus consacrés à l’IA. 数年前から人工知能(AI)を利用したシステムが開発され、それに伴い、新たなデータ保護の問題が発生しています。CNILは、情報提供と権利保護、コンプライアンス支援、予見と革新の使命の一環として、AIに特化した一連のコンテンツを提供しています。
Ces ressources s’inscrivent ainsi dans une stratégie européenne visant à stimuler l’excellence dans le domaine de l’intelligence artificielle, ainsi que des règles destinées à garantir la fiabilité de ces technologies. Il s’agit en particulier d’élaborer un cadre réglementaire solide pour l’IA fondé sur les droits de l’Homme et les valeurs fondamentales et ainsi instaurer la confiance des citoyens européens. これらのリソースは、人工知能の分野での卓越性を刺激することを目的とした欧州戦略の一部であり、また、これらの技術の信頼性を保証するために設計されたルールでもあります。特に、人権や基本的価値観に基づいたAIに対する強力な規制の枠組みを構築することで、欧州市民の信頼を築くことを目指しています。
À qui s’adressent ces contenus ? このコンテンツは誰に向けて発信しているのか?
Les éléments proposés s’adressent à trois publics distincts : 提案する教材は、3つの異なる読者層を対象としています。
le grand public intéressé par le fonctionnement des systèmes d’IA, leurs implications dans nos vies quotidiennes ou encore souhaitant tester leur fonctionnement ; ・AIシステムの仕組みや日常生活への影響に関心があり、動作検証を希望する一般の方
les professionnels (responsables de traitement ou sous-traitants) mettant en œuvre des traitements de données personnelles reposant sur des systèmes d’IA, ou le souhaitant et qui s’interrogent sur la façon d’assurer leur conformité au RGPD ; ・AIシステムに基づく個人データ処理を実施している、または実施したいが、GDPRの遵守をどのように確認すればよいか悩んでいる実務家(データ管理者または処理者)の方。
les spécialistes (chercheur en IA, expert en science des données, ingénieur en apprentissage automatique, etc.) : pour les personnes manipulant l’intelligence artificielle au quotidien, curieuses des enjeux que fait peser l’intelligence artificielle sur la protection des données et qui s’intéressent à l’état de la technique sur ces questions. 専門家(AI研究者、データサイエンティスト、機械学習エンジニアなど):日常的に人工知能を扱っている方、人工知能がデータ保護にもたらす問題に興味がある方、これらの問題の現状に関心がある方が対象です。
Quelles sont ces ressources ? このリソースとは何でしょうか?
Pour le grand public 一般の方向け
IA, de quoi parle-t-on ? ・AI、何の話?
Courte présentation des enjeux de l’intelligence artificielle pour la protection des données, illustrée par des exemples du quotidien. データ保護における人工知能の課題について、日常的な事例を交えて短く紹介します。
Quelques ressources accessibles à tous pour comprendre l’intelligence artificielle (IA) ・人工知能(AI)を理解するために、誰でもアクセス可能ないくつかのリソース
Sélection non-exhaustive de livres, films ou ressources en ligne à destination des curieux comme des initiés pour comprendre le fonctionnement de l’intelligence artificielle, la démystifier et appréhender ses enjeux. 人工知能の仕組みを理解し、その謎を解き、課題を把握するための書籍、映画、オンラインリソースを網羅的にご紹介しています。
Petit glossaire de l’intelligence artificielle ・人工知能の簡易用語集
Des définitions relatives aux domaines de l’intelligence artificielle et de l’apprentissage automatique qu’il est indispensable de bien comprendre pour pouvoir en appréhender les enjeux. 人工知能や機械学習の分野で、課題を把握するために理解しておくべき定義について。
Pour les professionnels プロフェッショナル向け
IA : Comment être en conformité avec le RGPD AI:RGPDに対応する方法
Un rappel des grands principes de la loi Informatique et Libertés et du RGPD à suivre dans la mise en œuvre de traitements de données personnelles reposant sur des systèmes d’IA, ainsi que des positions de la CNIL sur certains aspects plus spécifiques. AIシステムに基づく個人データ処理を実施する際に従うべきデータ保護法およびRGPDの主要原則と、より具体的な側面に関するCNILの見解についての注意喚起です。
Guide d’auto-évaluation pour les systèmes d'intelligence artificielle 人工知能システムのためのセルフアセスメントガイド
Un outil d'analyse permettant aux organismes d'évaluer par eux-mêmes la maturité de leurs systèmes d’IA au regard du RGPD et des bonnes pratiques dans le domaine, dans la perspective du futur règlement européen. 今後の欧州規制を見据え、GDPRやグッドプラクティスに関するAIシステムの成熟度を組織自らが評価できる分析ツールです。
Pour les spécialistes 専門家向け
Des études concernant les technologies d’IA prometteuses pour la protection de la vie privée,par exemple l’apprentissage fédéré. 連合学習など、プライバシー保護のための有望なAI技術に関する研究。
Des présentations de l’état des connaissances sur des questions fondamentales posées par l’IA, par exemple sur la sécurité des systèmes d’IA. AIが提起する基本的な問題、例えばAIシステムの安全性などに関する最新技術の発表。
Des paroles d’experts reconnus du domaine de l’intelligence artificielle, par exemple Nicolas Papernot ou Aurélien Bellet et Marc Tommasi Nicolas Papernot、Aurélien Bellet、Marc Tommasiなど、人工知能の分野で著名な専門家による言葉
Où les retrouver ? どこにあるのでしょうか?
Déclinées en fonction des différents publics, les ressources mises à disposition par la CNIL sont accessibles à partir des espaces « Particuliers » et « Professionnels » du site cnil.fr ainsi que sur le site du Laboratoire d’innovation numérique de la CNIL (LINC) linc.cnil.fr. CNILが提供する、さまざまな対象者に合わせたリソースは、cnil.frウェブサイトの「個人」「専門家」エリア、およびCNILのデジタルイノベーション研究所(LINC)のウェブサイト linc.cnil.fr からアクセスすることが可能です。
Texte reference 参考テキスト
Pour approfondir 詳細の参照先
> Intelligence artificielle (IA)  > 人工知能(AI) 

 

人工知能(AI)を理解するために役立つ、わかりやすい資料のリンク集

・2022.04.05 Quelques ressources utiles et accessibles à tous pour comprendre l’intelligence artificielle (IA)

 

 

1_20220505035301

 

| | Comments (0)

2022.05.04

CISA, FBI, NSA, ACSC, CCCS, NZ NCSC, NCSC-UK 2021年に頻繁に悪用された脆弱性 (2022.04.27)

こんにちは、丸山満彦です。

米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリア・サイバーセキュリティセンター(ACSC)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド・国家サイバーセキュリティセンター(NZ NCSC)、および英国・国家サイバーセキュリティセンター(NCSC-UK)が共同で、2021年に頻繁に悪用された脆弱性を公表していますね。。。

数ある脆弱性についての対応を検討する際の優先順位付けに活用してくださいということです。。。

 

CISA

・2022.04.27 CISA, FBI, NSA, AND INTERNATIONAL PARTNERS WARN ORGANIZATIONS OF TOP ROUTINELY EXPLOITED CYBERSECURITY VULNERABILITIES 

CISA, FBI, NSA, AND INTERNATIONAL PARTNERS WARN ORGANIZATIONS OF TOP ROUTINELY EXPLOITED CYBERSECURITY VULNERABILITIES    CISA、FBI、NSA、および国際的なパートナーが、頻繁に悪用されたサイバーセキュリティ脆弱性について組織に警告を発する
WASHINGTON –  The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC), and the United Kingdom’s National Cyber Security Centre (NCSC-UK) issued a joint Cybersecurity Advisory today on the common vulnerabilities and exposures (CVEs) frequently exploited by malicious cyber actors, including the 15 most commonly exploited of 2021.    ワシントン - サイバーセキュリティおよびインフラストラクチャ セキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリア サイバーセキュリティセンター(ACSC)、カナダ サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NZ NCSC)、英国国家サイバーセキュリティセンター(NCSC-UK)は、本日共同サイバーセキュリティアドバイザリーを発表し、2021年に最も悪用された15件を含む悪質サイバー行為者によって頻繁に利用される共通脆弱性識別子(CVEs)を明らかにしました。   
Malicious cyber actors continue to aggressively target disclosed critical software vulnerabilities against broad target sets in both the public and private sectors. While the top 15 vulnerabilities have previously been made public, this Advisory is meant to help organizations prioritize their mitigation strategies. 悪意のあるサイバー行為者は、公共部門と民間部門の両方の幅広いターゲットセットに対して、開示された重要なソフトウェアの脆弱性を積極的に狙い続けています。上位15件の脆弱性は以前から公開されていますが、本アドバイザリーは、組織が緩和戦略の優先順位を決定するのに役立つことを目的としています。
The cybersecurity authorities recommend the following prioritized mitigation measures:     サイバーセキュリティ当局は、以下の優先的な緩和策を推奨しています。    
・Vulnerability and configuration management, including updating software, operating systems, applications, and firmware, with a prioritization on patching known exploited vulnerabilities; implementing a centralized patch management system; and replacing end-of-life software.    ・脆弱性管理と構成管理:ソフトウェア、OS、アプリケーション、ファームウェアのアップデート(既知の脆弱性を突くパッチを優先的に適用)、集中パッチ管理システムの導入、使用済みソフトウェアの交換などが含まれます。
・Identity and access management, including enforcing multi-factor authentication (MFA) for all users; if MFA is unavailable, require employees engaging in remote work to use strong passwords; and regularly reviewing, validating, or removing privileged accounts.     ・アイデンティティとアクセス管理:すべてのユーザーに対する多要素認証(MFA)の実施。MFAが利用できない場合は、リモートワークに従事する従業員に強力なパスワードの使用を義務付ける、特権アカウントを定期的に見直し、検証し、または削除することなどが含まれます。    
・Protective controls and architecture, including properly configuring and secure internet-facing network devices, disabling unused or unnecessary network ports and protocols, encrypting network traffic, and disabling unused network services and devices.     ・保護的コントロールとアーキテクチャ:インターネットに接続するネットワーク機器の適切な設定、不要なネットワークポートやプロトコルの無効化、ネットワークトラフィックの暗号化、使用しないネットワークサービスや機器の無効化などが含まれます。 
“We know that malicious cyber actors go back to what works, which means they target these same critical software vulnerabilities and will continue to do so until companies and organizations address them,” said CISA Director Jen Easterly. “CISA and our partners are releasing this advisory to highlight the risk that the most commonly exploited vulnerabilities pose to both public and private sector networks. We urge all organizations to assess their vulnerability management practices and take action to mitigate risk to the known exploited vulnerabilities.”    CISA のディレクターである Jen Easterly は、次のように述べています。「悪意のあるサイバー攻撃者は、有効なものから手を付けるということが分かっています。CISAと我々のパートナーは、最も一般的に悪用される脆弱性が公共部門と民間部門の両方のネットワークにもたらすリスクを強調するために、この勧告を発表します。私たちは、すべての組織が脆弱性管理の実践を評価し、既知の悪用される脆弱性に対するリスクを軽減するための行動を取ることを強く勧めます。」  
"This report should be a reminder to organizations that bad actors don't need to develop sophisticated tools when they can just exploit publicly known vulnerabilities," said NSA Cybersecurity Director Rob Joyce. "Get a handle on mitigations or patches as these CVEs are actively exploited.”  NSA のサイバーセキュリティディレクターである Rob Joyce は、次のように述べています。「このレポートは、悪質な行為者は、公に知られている脆弱性を悪用するだけなら、高度なツールを開発する必要はないことを組織に思い起こさせるものです。これらの CVE が活発に悪用されているため、緩和策やパッチを入手する必要があります。」
"The FBI, together with our federal and international partners, is providing this information to better arm our private sector partners and the public to defend their systems from adversarial cyber threats," said FBI's Cyber Division Assistant Director Bryan Vorndran. "Though the FBI will continue to pursue and disrupt this type of malicious cyber activity, we need your help. We strongly encourage private sector organizations and the public to implement these steps to mitigate threats from known vulnerabilities, and if you believe you are a victim of a cyber incident, contact your local FBI field office."   FBIのサイバー部門アシスタントディレクターであるBryan Vorndranは、次のように述べています。「FBIは、連邦政府や国際的なパートナーとともに、民間部門のパートナーや一般市民が敵対的なサイバー脅威からシステムを守るためのより良い武装をするために、この情報を提供しています。 FBIは今後もこのような悪質なサイバー行為を追及し、阻止していきますが、皆さんの協力が必要です。民間企業や一般市民が、既知の脆弱性からの脅威を軽減するために、これらの手段を実行することを強くお勧めします。もし、自分がサイバー事件の被害者だと思ったら、最寄りのFBI支局に連絡してください。 」
“Malicious cyber actors continue to exploit known and dated software vulnerabilities to attack private and public networks globally,” said Abigail Bradshaw, Head of the Australian Cyber Security Centre. “The ACSC is committed to providing cyber security advice and sharing threat information with our partners, to ensure a safer online environment for everyone. Organisations can implement the effective mitigations highlighted in this advisory to protect themselves.”   オーストラリア・サイバー・セキュリティ・センターの責任者であるアビAbigail Bradshawは、次のように述べています。「悪意のあるサイバー行為者は、既知のソフトウェア脆弱性や年代物のソフトウェア脆弱性を悪用して、世界中の民間および公共ネットワークを攻撃し続けています。 ACSCは、すべての人にとってより安全なオンライン環境を確保するために、サイバーセキュリティに関するアドバイスを提供し、脅威に関する情報をパートナーと共有することに尽力しています。組織は、この勧告で強調されている効果的な緩和策を実施し、自らを守ることができます。 」
“Cyber security best practices, including patch management, are essential tools for organizations to better protect themselves against malicious threat actors,” said Sami Khoury, Head of the Canadian Centre for Cyber Security. “We encourage all organizations to take action and follow the appropriate mitigations in this report against known and routinely exploited vulnerabilities, and make themselves more secure.”   カナダ・サイバー・セキュリティ・センターの責任者であるSami Khouryは、次のように述べています。「パッチ管理を含むサイバーセキュリティのベストプラクティスは、組織が悪意のある脅威行為者からよりよく身を守るために必要不可欠なツールです。私たちは、すべての組織が既知の、そして日常的に悪用される脆弱性に対して、本レポートにある適切な緩和策を講じ、自らをより安全にすることを推奨します。」
“We are seeing an increase in the speed and scale of malicious actors taking advantage of newly disclosed vulnerabilities,” said Lisa Fong, Director of the New Zealand Government Communications Security Bureau’s National Cyber Security Centre (NCSC). “The NCSC works with international partners to provide timely access to critical cyber threat information. This joint advisory underscores the importance of addressing vulnerabilities as they are disclosed and better equips New Zealand organisations to secure their information and systems.”   ニュージーランド政府通信セキュリティ局国家サイバーセキュリティセンター(NCSC)のディレクターであるLisa Fongは、次のように述べています。「新たに公開された脆弱性を利用する悪意のある行為者のスピードと規模が拡大しています。NCSCは国際的なパートナーと協力し、重要なサイバー脅威の情報をタイムリーに提供しています。この共同勧告は、脆弱性が公表されたときに対処することの重要性を強調し、ニュージーランドの組織が情報とシステムを保護するための体制をより良く整えるものです。」  
“The NCSC and our allies are committed to raising awareness of global cyber vulnerabilities and presenting actionable solutions to mitigate them,” said Lindy Cameron, CEO of NCSC. “This advisory places the power in the hands of network defenders to fix the most common cyber weaknesses within the public and private sector ecosystem. Working with our international partners, we will continue to raise awareness of the threats posed by those which seek to harm us.”  NCSCのCEOであるLindy Cameronは次のように述べています。「NCSCと私たちの同盟国は、世界的なサイバー脆弱性に対する認識を高め、それを軽減するための実行可能な解決策を提示することに尽力しています。この勧告は、官民のエコシステムの中で最も一般的なサイバー脆弱性を修正する力をネットワーク防御者の手に委ねるものです。国際的なパートナーと協力しながら、私たちに危害を加えようとする者たちがもたらす脅威に対する認識を高めていきます。」
All organizations are encouraged to review and implement the recommended mitigations in this detailed joint CSA.     すべての組織は、この詳細な共同CSAの推奨される緩和策を検討し、実施することが推奨されます。    

 

・2022.04.27 Alert (AA22-117A) 2021 Top Routinely Exploited Vulnerabilities

Alert (AA22-117A): 2021 Top Routinely Exploited Vulnerabilities Alert (AA22-117A): 2021年に頻繁に悪用された脆弱性
Summary 概要
This joint Cybersecurity Advisory (CSA) was coauthored by cybersecurity authorities of the United States, Australia, Canada, New Zealand, and the United Kingdom: the Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC), and United Kingdom’s National Cyber Security Centre (NCSC-UK). This advisory provides details on the top 15 Common Vulnerabilities and Exposures (CVEs) routinely exploited by malicious cyber actors in 2021, as well as other CVEs frequently exploited. この共同サイバーセキュリティ勧告(CSA)は、米国、オーストラリア、カナダ、ニュージーランド、および英国:サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリア・サイバーセキュリティセンター(ACSC)、カナダのサイバーセキュリティセンター(CCCS)、ニュージーランドの国家サイバーセキュリティセンター(NZ NCSC)、および英国の国家サイバーセキュリティセンター(NCSC-UK)が共同作成したものであります。本アドバイザリでは、2021年に悪意のあるサイバー行為者によって頻繁に悪用された上位15個の共通脆弱性識別子(CVE)と、その他頻繁に悪用されるCVEについて詳細を説明します。
U.S., Australian, Canadian, New Zealand, and UK cybersecurity authorities assess, in 2021, malicious cyber actors aggressively targeted newly disclosed critical software vulnerabilities against broad target sets, including public and private sector organizations worldwide. To a lesser extent, malicious cyber actors continued to exploit publicly known, dated software vulnerabilities across a broad spectrum of targets.  米国、オーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティ当局は、2021年に悪意のあるサイバー行為者が、世界中の公共および民間組織を含む幅広いターゲットセットに対して、新たに公開された重要なソフトウェア脆弱性を積極的に狙ったと評価しています。また、悪意のあるサイバー攻撃者は、広範なターゲットに対して、公表されている日付の古いソフトウェアの脆弱性を悪用し続けました。 
The cybersecurity authorities encourage organizations to apply the recommendations in the Mitigations section of this CSA. These mitigations include applying timely patches to systems and implementing a centralized patch management system to reduce the risk of compromise by malicious cyber actors. サイバーセキュリティ当局は、本 CSA の「緩和策」のセクションにある推奨事項を適用するよう組織に促しています。これらの緩和策には、悪意のあるサイバー行為者による侵害のリスクを低減するために、システムに適時パッチを適用すること、集中パッチ管理システムを導入することが含まれます。

 

・[PDF]

20220504-63108

 

 

 

 

| | Comments (0)

日本銀行 経済的視点からみた個人情報の利活用 ―デジタルプラットフォーマーと決済サービスー

こんにちは、丸山満彦です。

日本銀行が、「経済的視点からみた個人情報の利活用―デジタルプラットフォーマーと決済サービスー」という文書を公開していますね。。。

興味深い内容ですね。。。情報銀行が成功や、プロットフォーマによる独占的な地位を背景とした情報の取得による社会的な資源配分の不均等を是正することにつながるヒントがあるかもしれませんね。。。



日本銀行 - 調査・研究 - ワーキングペーパー・日銀レビュー・日銀リサーチラボ - 日銀レビュー・シリーズ 2022年 

・2022.04.26 経済的視点からみた個人情報の利活用―デジタルプラットフォーマーと決済サービスー


個人情報は、近年の経済・社会活動のデジタル化や人工知能・機械学習等のデータ分析手法の発展を背景に活発に収集・利活用されているが、利活用を通じた成果を個人と社会全体が適切に享受するには、個人のプライバシーに十分配慮したうえで、利活用の機会が幅広い主体に対して過不足なく提供されることが重要である。これには、個人情報の自己マネジメントがまず肝要だが、「市場の失敗」や「負の外部性」に起因する様々な課題は残る。本稿では、経済的視点からそうした課題について、国際的に、学会や政策当局者から指摘されている論点を概観する。特に、「デジタルプラットフォーマー」の独占化のメカニズムや、決済サービスが特定企業に独占されている場合、現金より高い利便性を持つ公的デジタル決済手段の導入が資源配分の非効率性の緩和等に効果を発揮しうるという議論を紹介する。


個人情報の自己マネジメントと競争的市場メカニズム下の個人情報の供給の仕組み

20220504-53044

出典:経済的視点からみた個人情報の利活用―デジタルプラットフォーマーと決済サービスー

“Data-Network-Activity”ループによる寡占化

20220504-53113

出典:経済的視点からみた個人情報の利活用―デジタルプラットフォーマーと決済サービスー

独占的な民間デジタル決済サービスと公的決済手段

20220504-53313出典:経済的視点からみた個人情報の利活用―デジタルプラットフォーマーと決済サービスー

負の外部性による個人情報の過剰供給メカニズム

20220504-55328

出典:経済的視点からみた個人情報の利活用―デジタルプラットフォーマーと決済サービスー

・[PDF]

20220504-54951

目次的なもの。。。

  • はじめに
  • 個人情報の利活用の在り方:個人情報の自己マネジメントとその限界
  • プラットフォーマーによる独占のメカニズムと個人情報の過剰供給:DNA(Data-Network-Activity)ループ
  • プラットフォーマーのデジタル決済サービス参入と公的デジタル決済手段
  • 負の外部性による個人情報の過剰供給
  • おわりに

 

 

 

 

| | Comments (0)

2022.05.03

総務省 経済産業省 「情報信託機能の認定に係る指針Ver2.2(案)」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)」

こんにちは、丸山満彦です。

総務省 経済産業省 「情報信託機能の認定に係る指針Ver2.2(案)」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)」についての意見募集がされていますね。。。今回はプロファイリングや仮名加工情報が論点になっていますね。。。

20220503-60601

出典:総務省 情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)(別紙2)

 

情報銀行自体の普及がなかなか進んでいないのではないかという気もしますが、どうなんでしょうかね。。。

 

総務省

・2022.04.26 「情報信託機能の認定に係る指針Ver2.2(案)」及び「情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)」に対する意見募集

意見募集対象

・[PDF] 情報信託機能の認定に係る指針Ver2.2(案)(別紙1)

20220503-61007

・[PDF] 情報銀行におけるプロファイリングの取扱いに関する議論の整理(案)(別紙2)

20220503-60813

議論の過程は、

総務省 - 情報信託機能の認定スキームの在り方に関する検討会

特に、次の回の資料もなのですが、議事概要が特に参考になるかもですね。。。特に森先生の意見とか...

・2021.11.14 第20回

・2022.01.26 第21回

・2022.03.23 第22回

| | Comments (0)

経済産業省 技術情報管理認証制度 技術等情報漏えい防止措置認証業務の実施の方法及び技術等情報漏えい防止措置の実施の促進に関する指針の改正告示案

こんにちは、丸山満彦です。

経済産業省が、技術等情報漏えい防止措置認証業務の実施の方法及び技術等情報漏えい防止措置の実施の促進に関する指針の改正告示案について意見募集をしていますね。。。

技術情報管理認証制度は、産業競争力強化法に基づき、企業の技術等の情報の管理について、国で示した「守り方」に即して守られているかどうかを、国の認定を受けた機関による認証を受けられる制度で、2018年から始まっています。経済産業省も制度説明のパンフレットを策定していますね。。。

いわゆる監査をする認証機関としては、ISMSの認証機関の一部と業界団体等(併せて6団体)が現在は登録されています。

認証を受けた事業者は、日経新聞の記事では32社のようです。

1_20220503043301

経済産業省 - 技術情報管理認証制度 (TICS(Technology Information Control System))

 

さて、本題ですが、その際の認証業務の実施方法(つまり、監査方法)についての改訂案が意見募集にかかっているということのようです。

現在の審査の仕方(第一次審査、第二次審査、現地審査)という進め方を、ISOのマネジメントシステムの認証の仕方に近づけるという感じの変更のように見えます。。。

● e-Gov

・2022.04.27 技術等情報漏えい防止措置認証業務の実施の方法及び技術等情報漏えい防止措置の実施の促進に関する指針の改正告示案に対する意見公募について

命令などの案

関連資料、その他

 

情報セキュリティ監査制度を作る時の議論でもそうだったのですが、

XXX監査制度の普及のためには次の2つのバランスを取る必要があります。

・監査を受けるメリットが監査コストを上回る

・監査制度の信頼性を高める

しかし、これが相反するので、難しいのですよね。。。

監査制度の信頼性が高くなければならない=監査は厳格にしなければならない=監査コストがかかる=監査コストを払うだけのメリットがないと監査を受けない=監査コストを払うメリットが少ない場合は監査制度の普及が進まない。。。あれっ。。。

となりますよね。。。

いわゆるレモン市場になっているなかでは、経済不経済を是正する外部統制が必要で、ルール化(法制化、取引規制等)が必要となりますよね。。。

ただ、そのバランスを決めるのが難しい。監査結果に基づく意思決定の社会的な重要性によりますよね。。。社会的な重要性が高い場合は、監査制度の信頼性により重きが置かれる。例えば、財務諸表監査がこれに該当するでしょうね。。。

一方、それほどでもない場合は、監査コストが低くても良いモデルになるでしょうね。例えば、ISOマネジメントシステム認証がこれに該当するでしょうね。。。

今回の制度はどのあたりに置くかというかということでしょうが、ISOマネジメントシステム認証あたりに置くのがまずは良さそうですよね。。。であれば、制度設計もISOマネジメント認証と同じにしてしまえば、すでにある基盤を活用できるので、社会的な導入コスト(制度認知、制度説明等も含む)が少なくて済むのではないかと思いますが、どうでしょうかね。。。

 

 


 

日本経済新聞

・2022.04.26 海外へ技術流出防止、中小の体制強化 認証制度を見直し

 

産経新聞

・2022.04.08 〈独自〉経産省、情報管理認証制度見直し 技術流出を防止

 

 

| | Comments (0)

2022.05.02

内閣府 量子未来社会ビジョン (2022.04.22)

こんにちは、丸山満彦です。

内閣府が[PDF] 量子未来社会ビジョンを公表していましたね。。。

 

内閣府 - 内閣府の政策 - 科学技術・イノベーション - 量子技術イノベーション

・2022.04.22 [PDF] 量子未来社会ビジョン

20220502-130854

目次...


1. はじめに

2. 量子技術を取り巻く環境変化等
(1)量子産業の国際競争の激化
(2)コロナ禍による DX の急速な進展
(3)カーボンニュートラル社会/SDGs 等への貢献
(4)量子コンピュータを支える基盤技術の進展
(5)量子技術の経済安全保障

3. 基本的考え方
(1)量子技術を社会経済システム全体に取り込み、従来型(古典)技術システムとの融合により(ハイブリッド)、我が国の産業の成長機会の創出・社会課題の解決
(2)最先端の量子技術の利活用促進(量子コンピュータ・通信等のテストベッド整備等)
(3)量子技術を活用した新産業/スタートアップ企業の創出・活性化

4. 未来社会ビジョン(未来社会像)
(1)量子技術により目指すべき未来社会ビジョン(未来社会像)
(2)未来社会における量子技術によって創出される価値(量子技術活用イメージ)
(3)未来社会ビジョンに向けた 2030 年に目指すべき状況

5. 今後の取組
Ⅰ.各技術領域の取組
(1)量子コンピュータに関する取組
(2)量子ソフトウェアに関する取組
(3)量子セキュリティ・量子ネットワークに関する取組
(4)量子計測・センシング/量子マテリアル等に関する取組
Ⅱ.イノベーション創出のための基盤的取組
(1)スタートアップ企業の創出・活性化
(2)量子技術イノベーション拠点の体制強化
(3)人材の育成・確保
(4)量子技術の知財化・標準化
(5)国際連携/産学官連携
(6)アウトリーチ活動の推進
(7)経済安全保障/ビジネス環境整備等

6. さいごに

・2022.04.22 [PDF] 量子未来社会ビジョン(概要)

20220502-130643_20220502131001

 

・2022.04.22 [PDF] 量子技術イノベーション戦略 ロードマップ改訂

20220502-132152

 

内閣府 - 内閣府の政策 - 科学技術・イノベーション - 統合イノベーション戦略 - 統合イノベーション戦略推進会議

 

 

| | Comments (0)

内閣官房 サイバー攻撃を受けた組織における対応事例集(実事例における学びと気づきに関する調査研究)

こんにちは、丸山満彦です。

NISCが、サイバー攻撃を受けた組織における対応事例集(実事例における学びと気づきに関する調査研究)を公表していますね。。。

事例を構造化して比較しやすいようにしているのですが、、、コピー等ができないので、なかなかうまく紹介できません。一応デジタル化しているので、これもDXですかね(^^)

NISCの発注の仕方の問題ですかね。。。内容が良さそうなだけに残念。。。でも、まぁ、紙芝居と思ってみれば良いかもです。。。

(できれば、データ形式のままでも良いくらいかもしれません。。。表現は利用者が自由にすれば良いかもですね。。。)

 

NISC

・2022.04 [PDF] サイバー攻撃を受けた組織における対応事例集(実事例における学びと気づきに関する調査研究)

20220502-124425

 

 

| | Comments (0)

自民党 新たな国家安全保障戦略等の策定に向けた提言 (2022.04.27)

こんにちは、丸山満彦です。

自由民主党政務調査会、安全保障調査会が、「新たな国家安全保障戦略等の策定に向けた提言~より深刻化する国際情勢下におけるわが国及び国際社会の平和と安全を確保するための防衛力の抜本的強化の実現に向けて~」を公表していますね。。。

政府が国民の協力を得ようとする際に、重要となるのが政府に対する国民の信頼なのだと思うんです。。。その信頼を得るための重要なことは、情報開示だと思うんですよね。。。

マイナンバーの導入がなかなか進まないことも含めて、国家安全保障の強化のために政府の権限を強化する必要性があるというのであれば、合わせて国民に対する情報開示も同時に進めないとうまく進まないのではないかなぁと思うんですよね。。。

どうでしょうかね。。。

 

自由民主党

・2022.04.27 新たな国家安全保障戦略等の策定に向けた提言~より深刻化する国際情勢下におけるわが国及び国際社会の平和と安全を確保するための防衛力の抜本的強化の実現に向けて~

・[PDF

20220502-63713

 

目次的なもの。。。もう少しまとめてもよかったかもですね。。。

はじめに
3文書のあり方
情勢認識(中国)
情勢認識(北朝鮮)
情勢認識(ロシア)
防衛関係費
戦い方の変化
(1)AI、無人機、量子技術等の先端技術
(2)ハイブリッド戦
(3)情報戦への対応能力(戦略的コミュニケーションの強化を含む。)
(4)サイバー
(5)海上保安能力
(6)インテリジェンス(人的情報(HUMINT)の強化を含む)
(7)宇宙
弾道ミサイル攻撃を含むわが国への武力攻撃に対する反撃能力の保有
専守防衛
「自由で開かれたインド太平洋(FOIP)」の推進及び同盟国・同志国等との連携強化
日米同盟の強化と拡大抑止
防衛生産・技術基盤、研究開発(防衛装備移転を含む)
人的基盤
地域コミュニティーとの連携
持続性・強靭性の強化
国民保護の一層の強化(重要インフラ防護、空港・港湾の整備、邦人保護に関する在外公館の体制強化等を含む)
気候変動
おわりに


» Continue reading

| | Comments (0)

内閣府 AI戦略2022 (2022.04.22)

こんにちは、丸山満彦です。

内閣府の「イノベーション政策強化推進のための有識者会議「AI戦略」(AI戦略実行会議)」で議論されていたAI戦略2022が確定していました。。。

戦略目標は5つありますね。。。

差し迫った危機への対処能力を準備するもの

戦略目標0
我が国が、パンデミックや大規模災害などの差し迫った危機に対して、そこに住む人々の生命と財産を 大限に守ることができる体制と技術基盤を構築し、それを適正かつ持続的に運用するための仕組みが構築されること。

我が国の持続可能な産業・社会の基盤づくりとなるもの

戦略目標1
我が国が、世界で もAI時代に対応した人材の育成を行い、世界から人材を呼び込む国となること。さらに、それを持続的に実現するための仕組みが構築されること。

戦略目標2
我が国が、実世界産業におけるAIの応用でトップ・ランナーとなり、産業競争力の強化が実現されること。 サイバースペース内で完結することがなく、人、自然、ハードウェアなどとの相互作用を通じて初めて価値が生み出される、「実世界産業 」 領域には、未だに系統的に取得されていない膨大な情報が含まれている。

戦略目標3
我が国で、「多様性を内包した持続可能な社会」を実現するための一連の技術体系が確立され、それらを運用するための仕組みが実現されること。 女性、外国人、高齢者など、多様な背景を有する多様な人々が、多様なライフスタイルを実現しつつ、社会に十分に参加できるようになることが極めて重要である。AI関連の多様な技術体系の確立とそれを活用するための社会の制度・仕組み作りを進め、国民一人一人が、具体的にAIの便益を受けることができることを目指す。

戦略目標4
我が国がリーダーシップを取って、AI分野の国際的な研究・教育・社会基盤ネットワークを構築し、AIの研究開発、人材育成、SDGsの達成などを加速すること。

 

良いことが書いていると思うのですが、問題は実行力ですよね。。。声が大きいマイノリティー(少数ではあるが強い意見を持っている人たち)の声に流されたりしないように注意しないといけないかもですね。。。例えば「多様性を内包した」とありますが、社会における役割を性別で考えたり、日本人最高(外国人いまいち)、定年後の高齢者の時間はタダみたいな考え方などを実行しているケースはないのか?みたいなことも含めて社会実装しないといけないように感じています。最も大きなものは、既存利権の保護によりすぎないようにすることなのでしょうが、、、

2000年頃に言われていた電子政府みたいなことをいまだに言わなければならない現状を見ていると、既存概念、既存利権を乗り越えて新しい社会にどのように変えていくのかということが、本当は重要なのかもしれませんね。。。

 

内閣府内閣府の政策 - 科学技術・イノベーション - AI戦略

AI戦略2022:

 ・[PDF] 本文

20220502-61119

 ・[PDF] 別紙

20220502-61132

 ・[PDF] 概要

20220502-61206]

 

過去分...

・AI戦略2021:

 ・[PDF] 本文

 ・[PDF] 別紙

 ・[PDF] 概要

 

・AI 戦略 2019フォローアップ:

 ・[PDF] 本文

 ・[PDF] 別紙

 ・[PDF] 概要

 ・[PDF] 参考資料:AI 戦略 2019(2020.06 フォローアップ版)

 

・AI 戦略 2019:

 ・[PDF] 本文

 


 

内閣府 - 内閣府の政策 - 科学技術・イノベーション - 統合イノベーション戦略 - 統合イノベーション戦略推進会議

 


 

» Continue reading

| | Comments (0)

«経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(案)」に対する意見募集

 

バックプリント Tシャツ オーバーシルエット☆2色

バックプリント Tシャツ オーバーシルエット☆2色:私たちの焦点は、卓越したサービスを通じて究極の体験を提供することです。 【2022正規激安】,福袋,【99%off!】バックプリント Tシャツ オーバーシルエット☆2色