★☆★JNSAメールマガジン 第258号 2023.3.17☆★☆
2023/03/17 (Fri) 15:30
★☆★JNSAメールマガジン 第258号 2023.3.17☆★☆
こんにちは
JNSAメールマガジン 第258号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
アレシア国際法律事務所 弁護士 有本真由様にご寄稿いただきました。
【連載リレーコラム】
セキュリティクリアランス:
米国制度のご紹介と日本導入にあたっての諸論点(1)
アレシア国際法律事務所 弁護士 有本真由
我が国では、昨今、セキュリティクリアランス(以下、クリアランス)の
民間への拡充に向けた議論がなされています。
そこで、2回にわたり、米国の制度をご紹介した後、日本で導入する際の
諸論点を考察していきます。
【米国の制度】
クリアランスは、ある個人が国家安全保障上の機密情報にアクセスする
適格性があるという政府による行政判断です。すなわち、政府の機密情報は
原則非開示であるところ、クリアランスを有する個人は例外的にアクセス
できる、とすることで情報を保全する制度です。
クリアランスは情報の機密指定を前提とし、米国では、機密度の高い順に、
「機密(Top Secret)」、「極秘(Secret)」、「秘(Confidential)」と
いう3つの機密区分があります。クリアランスも同様に3つに区分され、付与
されると、同等以下の区分の機密情報にアクセスできます。
クリアランスは、付与対象者(以下、対象者)のために行政機関のみが申請
できます。機密情報へのアクセスを要する地位を離れるときは、原則として
クリアランスは取り消されます。この意味で、個人ではなく、職位ベースです。
米国市民権のない者には原則付与されません。
申請の際には、対象者は、所定の質問票に回答することで、国家安全保障
裁定ガイドラインに列挙された検討項目((1)米国に対する忠誠心、(2)外国の
影響、(3)外国の利益を優先する傾向、(4)性行動、(5)個人の行状、(6)経済的
信用状況、(7)アルコールについての節度、(8)薬物濫用、(9)精神疾患、
(10)犯罪行為、(11)保護情報の取扱い、(12)外部活動、(13)ITの不正使用)に
関する事情の開示が求められます。また、調査機関による諸情報へのアクセス
に同意します。
質問票への回答内容を受けて、身上調査(background check)が行われます。
公的データの照会、書類審査の他、クリアランスの区分や職種によっては、
面談やポリグラフ検査が実施されます。この調査費用はほぼすべて政府が負担
します(2021年度は15億ドル超)。
クリアランスの付与は、身上調査で現れた事実に基づき、前記ガイドライン
に従って裁定されます。同ガイドラインには、各検討項目について、懸念事情
及びその懸念を緩和する事情が列挙されています。注目すべきは、外国との
関係性について問う項目が13項目中3項目((1)(2)(12))もある、という点です。
クリアランス取得後も、一定期間で定期的な再審査を受ける必要があります。
もっとも、定期的再審査では、再審査時までに生じた事情の変更を適時に補足
できません。そこで、2023年10月から本格始動するTrusted Workforce 2.0
(全米連邦職員対象の身上調査改革)では、ワンストップITシステムに、
対象者の犯歴等のデータを集約し、身上調査事項を継続的自動的にチェック
するというCE/CV(Continuous Evaluation / Continuous Vetting)プログラム
が導入されます。
クリアランス保有者は約400万人、そのうち実際に機密情報にアクセスして
いる者は約300万人です。付与に要する期間は、「機密」で平均170日、
「極秘」で平均125日です(2019年データ)。
米国制度の詳細については、CISTECジャーナル2022年11月号291頁、拙著
「セキュリティクリアランス~米国の制度紹介と我が国における制度導入に
関する若干の考察」をご覧ください。
https://www.cistec.or.jp/journal/journal.html
<次号、セキュリティクリアランス:
米国制度のご紹介と日本導入にあたっての諸論点(2)へ続く>
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/4k84jzd2
※googleアンケートフォームを利用しています。
【事務局からのお知らせ】
★2023年度みんなの「サイバーセキュリティコミック」ご協賛企業募集中!!
詳しくは事務局までお問い合わせください。
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
○●--------------------------●○
Stellar Cyber Open XDR
▲AI次世代サイバー攻撃対策プラットフォーム▼
https://jp.stellarcyber.ai/
○●--------------------------●○
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▲ Open XDRなら Stellar Cyber(ステラサイバー) ▼
世界初のOpen XDRプラットフォームのイノベーター
攻撃対象領域全体を360度リアルタイム可視化・効果的・効率的に保護
SOCの生産性を大幅に改善
AI主導で 脅威検知~脅威対処
洗練されたマルチテナンシー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
△ 下記、無料トライアル実施中 ▽
https://jp.stellarcyber.ai/cybersecurity-risk-assessment-service-new/
==============================================================
★セキュリティ教育
企業は最新のセキュリティシステムを導入する等の技術的な
セキュリティ対策を進めていますが、システムの設定ミスによる情
報漏えいのインシデントが引き続き発生しています。網羅的に対策
するためには技術的な対策だけではなく、セキュリティ教育による
人材育成も重要です。アビームコンサルティングでは、4つの観点
「人・組織」「規範・法律」「プロセス」「テクノロジー」から
セキュリティ教育に必要な要素を整理しています。
職務に必要なセキュリティの知識やスキルに応じた専門性の高い
セキュリティ教育を企業の人材育成計画や個々の企業文化に応じて
実務に役立てるかたちで学ぶことができる教育を提供し、企業の
セキュリティリスク低減に貢献します。
https://www.abeam.com/jp/ja/expertise/SL373
【アビームコンサルティング株式会社】
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
プロ品質で使いやすい!
\脆弱性検査ツール「Vex」/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
国内の各診断ベンダー様にご愛用頂いている
プロ品質のWebアプリケーション脆弱性検査ツール「Vex」。
分かりやすいUI、豊富なサポートメニュー等
初心者も使いやすいツールです。
目的や利用者に合わせた解りやすい多種多様なレポートも充実、
OWASP TOP10やPCIDSS、ASVSなどのガイドラインにも対応して
おります。
■製品詳細
⇒ https://hubs.ly/Q01GXmYv0
【株式会社ユービーセキュア】
==============================================================
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
【早割申込み受付中】2023年5月CISSPトレーニングのご案内
2023年度CISSPトレーニング受付を開始いたしました。
早割申込期間は、4/7まででございます。
さらにJNSA会員様向けの特別優待価格でのご提供となりますので、
ぜひこの機会をお見逃しのないようご検討くださいませ。
■□■CISSPトレーニング■□■
日程:2023年5月22-26日(5日間)
時間:9:30~19:00
会場:オンライン
トレーニング受講料 税込・試験込み
早割:539,000円⇒JNSA会員特別価格:499,400円
詳細:https://www.nri-secure.co.jp/service/learning/cissp_training?
utm_source=jnsamail&utm_medium=mail&utm_campaign=20230315jnsa
【NRIセキュアテクノロジーズ】
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
==============================================================
\\Webセキュリティの専門知識がなくてもできる!//
【Webアプリ・WebAPI診断自動化】ウェビナーのご案内
・診断ベンダを外注しているが診断レベルやサービス品質が異なる
・利用している脆弱性診断サービスはコストがかさんでいる
・API診断できるツールが少ない、プロ向けで使い方が難しい
そんなお悩みに「AI」を活用し、低リソース、低コスト、しかも
超スピーディーに自動化する手法をお届けします。
わかりやすいデモと活発な質疑で理解が深まる内容です!
3月23日(木)11:00~11:45
詳細はこちら:https://www.aeyescan.jp/event-seminar/webinar20230323
株式会社エーアイセキュリティラボ
==============================================================
テレワークの業務管理・情報漏えい対策ができるクラウドサービス
株式会社フーバーブレイン
『Eye"247" Work Smart Cloud』サービスは、
「誰が・どこで・いつ・どのくらい・どんなPC操作をしたか」を
記録し、業務状況を可視化するクラウドサービスです。
記録したデータをもとに勤務状況・業務効率・セキュリティ対策
など、あらゆる角度(全社、部署単位、個人)から分析すること
ができます。
利用者ひとりひとりの業務活動を日報機能(ダッシュボード)を
使って自身の振り返りにも活用可能です。
また、個人情報を持つPC端末の特定やファイル操作の記録、
USBメモリ等の記憶媒体や印刷の使用記録が制御ができます。
用途にあわせて設定をすることで上長やシステム管理者に様々な
アラートを送信。テレワークでも活用しやすいサービスです。
==============================================================
===(ISC)2 - SSCP資格紹介セミナーを開催===
3月20日(月)15:00~16:30、(ISC)2はグローバル情報セキュリティ
資格「SSCP」紹介セミナーを開催します。
SSCPは、国際的に認められた情報セキュリティ資格であり、
サイバー攻撃から防御する能力があることを証明します。
システムやネットワーク、ITインフラの開発、構築、運用に従事
するエンジニアがSSCP資格を取得することによって、組織において
重要な資産を保護し、組織のミッション達成をサポートするために
必要となるサイバーセキュリティのスキルセットを獲得することが
できます。
本セミナーでは、SSCP資格についてご紹介した後、
(ISC)2認定講師によるドメインレビューを開催します。
視聴登録:http://bit.ly/3lff0gQ
※BrightTalkアカウント登録の必要があります。
【(ISC)2】
==============================================================
*************************************
JNSAメールマガジン 第258号
発信日:2023年3月17日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第258号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
アレシア国際法律事務所 弁護士 有本真由様にご寄稿いただきました。
【連載リレーコラム】
セキュリティクリアランス:
米国制度のご紹介と日本導入にあたっての諸論点(1)
アレシア国際法律事務所 弁護士 有本真由
我が国では、昨今、セキュリティクリアランス(以下、クリアランス)の
民間への拡充に向けた議論がなされています。
そこで、2回にわたり、米国の制度をご紹介した後、日本で導入する際の
諸論点を考察していきます。
【米国の制度】
クリアランスは、ある個人が国家安全保障上の機密情報にアクセスする
適格性があるという政府による行政判断です。すなわち、政府の機密情報は
原則非開示であるところ、クリアランスを有する個人は例外的にアクセス
できる、とすることで情報を保全する制度です。
クリアランスは情報の機密指定を前提とし、米国では、機密度の高い順に、
「機密(Top Secret)」、「極秘(Secret)」、「秘(Confidential)」と
いう3つの機密区分があります。クリアランスも同様に3つに区分され、付与
されると、同等以下の区分の機密情報にアクセスできます。
クリアランスは、付与対象者(以下、対象者)のために行政機関のみが申請
できます。機密情報へのアクセスを要する地位を離れるときは、原則として
クリアランスは取り消されます。この意味で、個人ではなく、職位ベースです。
米国市民権のない者には原則付与されません。
申請の際には、対象者は、所定の質問票に回答することで、国家安全保障
裁定ガイドラインに列挙された検討項目((1)米国に対する忠誠心、(2)外国の
影響、(3)外国の利益を優先する傾向、(4)性行動、(5)個人の行状、(6)経済的
信用状況、(7)アルコールについての節度、(8)薬物濫用、(9)精神疾患、
(10)犯罪行為、(11)保護情報の取扱い、(12)外部活動、(13)ITの不正使用)に
関する事情の開示が求められます。また、調査機関による諸情報へのアクセス
に同意します。
質問票への回答内容を受けて、身上調査(background check)が行われます。
公的データの照会、書類審査の他、クリアランスの区分や職種によっては、
面談やポリグラフ検査が実施されます。この調査費用はほぼすべて政府が負担
します(2021年度は15億ドル超)。
クリアランスの付与は、身上調査で現れた事実に基づき、前記ガイドライン
に従って裁定されます。同ガイドラインには、各検討項目について、懸念事情
及びその懸念を緩和する事情が列挙されています。注目すべきは、外国との
関係性について問う項目が13項目中3項目((1)(2)(12))もある、という点です。
クリアランス取得後も、一定期間で定期的な再審査を受ける必要があります。
もっとも、定期的再審査では、再審査時までに生じた事情の変更を適時に補足
できません。そこで、2023年10月から本格始動するTrusted Workforce 2.0
(全米連邦職員対象の身上調査改革)では、ワンストップITシステムに、
対象者の犯歴等のデータを集約し、身上調査事項を継続的自動的にチェック
するというCE/CV(Continuous Evaluation / Continuous Vetting)プログラム
が導入されます。
クリアランス保有者は約400万人、そのうち実際に機密情報にアクセスして
いる者は約300万人です。付与に要する期間は、「機密」で平均170日、
「極秘」で平均125日です(2019年データ)。
米国制度の詳細については、CISTECジャーナル2022年11月号291頁、拙著
「セキュリティクリアランス~米国の制度紹介と我が国における制度導入に
関する若干の考察」をご覧ください。
https://www.cistec.or.jp/journal/journal.html
<次号、セキュリティクリアランス:
米国制度のご紹介と日本導入にあたっての諸論点(2)へ続く>
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/4k84jzd2
※googleアンケートフォームを利用しています。
【事務局からのお知らせ】
★2023年度みんなの「サイバーセキュリティコミック」ご協賛企業募集中!!
詳しくは事務局までお問い合わせください。
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
○●--------------------------●○
Stellar Cyber Open XDR
▲AI次世代サイバー攻撃対策プラットフォーム▼
https://jp.stellarcyber.ai/
○●--------------------------●○
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▲ Open XDRなら Stellar Cyber(ステラサイバー) ▼
世界初のOpen XDRプラットフォームのイノベーター
攻撃対象領域全体を360度リアルタイム可視化・効果的・効率的に保護
SOCの生産性を大幅に改善
AI主導で 脅威検知~脅威対処
洗練されたマルチテナンシー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
△ 下記、無料トライアル実施中 ▽
https://jp.stellarcyber.ai/cybersecurity-risk-assessment-service-new/
==============================================================
★セキュリティ教育
企業は最新のセキュリティシステムを導入する等の技術的な
セキュリティ対策を進めていますが、システムの設定ミスによる情
報漏えいのインシデントが引き続き発生しています。網羅的に対策
するためには技術的な対策だけではなく、セキュリティ教育による
人材育成も重要です。アビームコンサルティングでは、4つの観点
「人・組織」「規範・法律」「プロセス」「テクノロジー」から
セキュリティ教育に必要な要素を整理しています。
職務に必要なセキュリティの知識やスキルに応じた専門性の高い
セキュリティ教育を企業の人材育成計画や個々の企業文化に応じて
実務に役立てるかたちで学ぶことができる教育を提供し、企業の
セキュリティリスク低減に貢献します。
https://www.abeam.com/jp/ja/expertise/SL373
【アビームコンサルティング株式会社】
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
プロ品質で使いやすい!
\脆弱性検査ツール「Vex」/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
国内の各診断ベンダー様にご愛用頂いている
プロ品質のWebアプリケーション脆弱性検査ツール「Vex」。
分かりやすいUI、豊富なサポートメニュー等
初心者も使いやすいツールです。
目的や利用者に合わせた解りやすい多種多様なレポートも充実、
OWASP TOP10やPCIDSS、ASVSなどのガイドラインにも対応して
おります。
■製品詳細
⇒ https://hubs.ly/Q01GXmYv0
【株式会社ユービーセキュア】
==============================================================
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
【早割申込み受付中】2023年5月CISSPトレーニングのご案内
2023年度CISSPトレーニング受付を開始いたしました。
早割申込期間は、4/7まででございます。
さらにJNSA会員様向けの特別優待価格でのご提供となりますので、
ぜひこの機会をお見逃しのないようご検討くださいませ。
■□■CISSPトレーニング■□■
日程:2023年5月22-26日(5日間)
時間:9:30~19:00
会場:オンライン
トレーニング受講料 税込・試験込み
早割:539,000円⇒JNSA会員特別価格:499,400円
詳細:https://www.nri-secure.co.jp/service/learning/cissp_training?
utm_source=jnsamail&utm_medium=mail&utm_campaign=20230315jnsa
【NRIセキュアテクノロジーズ】
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
==============================================================
\\Webセキュリティの専門知識がなくてもできる!//
【Webアプリ・WebAPI診断自動化】ウェビナーのご案内
・診断ベンダを外注しているが診断レベルやサービス品質が異なる
・利用している脆弱性診断サービスはコストがかさんでいる
・API診断できるツールが少ない、プロ向けで使い方が難しい
そんなお悩みに「AI」を活用し、低リソース、低コスト、しかも
超スピーディーに自動化する手法をお届けします。
わかりやすいデモと活発な質疑で理解が深まる内容です!
3月23日(木)11:00~11:45
詳細はこちら:https://www.aeyescan.jp/event-seminar/webinar20230323
株式会社エーアイセキュリティラボ
==============================================================
テレワークの業務管理・情報漏えい対策ができるクラウドサービス
株式会社フーバーブレイン
『Eye"247" Work Smart Cloud』サービスは、
「誰が・どこで・いつ・どのくらい・どんなPC操作をしたか」を
記録し、業務状況を可視化するクラウドサービスです。
記録したデータをもとに勤務状況・業務効率・セキュリティ対策
など、あらゆる角度(全社、部署単位、個人)から分析すること
ができます。
利用者ひとりひとりの業務活動を日報機能(ダッシュボード)を
使って自身の振り返りにも活用可能です。
また、個人情報を持つPC端末の特定やファイル操作の記録、
USBメモリ等の記憶媒体や印刷の使用記録が制御ができます。
用途にあわせて設定をすることで上長やシステム管理者に様々な
アラートを送信。テレワークでも活用しやすいサービスです。
==============================================================
===(ISC)2 - SSCP資格紹介セミナーを開催===
3月20日(月)15:00~16:30、(ISC)2はグローバル情報セキュリティ
資格「SSCP」紹介セミナーを開催します。
SSCPは、国際的に認められた情報セキュリティ資格であり、
サイバー攻撃から防御する能力があることを証明します。
システムやネットワーク、ITインフラの開発、構築、運用に従事
するエンジニアがSSCP資格を取得することによって、組織において
重要な資産を保護し、組織のミッション達成をサポートするために
必要となるサイバーセキュリティのスキルセットを獲得することが
できます。
本セミナーでは、SSCP資格についてご紹介した後、
(ISC)2認定講師によるドメインレビューを開催します。
視聴登録:http://bit.ly/3lff0gQ
※BrightTalkアカウント登録の必要があります。
【(ISC)2】
==============================================================
*************************************
JNSAメールマガジン 第258号
発信日:2023年3月17日
発 行:JNSA事務局 sec@jnsa.org
*************************************