サイバーセキュリティ

 ハードウェアはセキュリティの観点から堅牢であると想定されることがよくあります。ただし、チップは両方とも

ソフトウェアで作成され、複雑なエンコーディング (回路設計やファームウェアなど) が含まれています。これ

バグが発生し、その中にはセキュリティが侵害されるものもあります。この出版物では、次のタイプを評価します。

発生する可能性のある脆弱性を発見し、ハードウェアの弱点に対する既存の取り組みを活用します。それぞれについて

タイプの場合、脆弱性がどのように発生するかを説明するセキュリティ障害シナリオが提供されます。

悪用される場所、その弱点が通常どこに発生するか、攻撃によってどのような損害が発生する可能性があるか

アタッカー。提供された 98 の障害シナリオは、広範かつ広範囲に分散された障害を示しています。

ハードウェア関連のセキュリティ障害の可能性。

このポリシーは、電子形式で処理または保存される公式の領土記録、情報、またはデータに対するサイバー セキュリティに関する ACT 政府のフレームワークを確立します。

サイバー セキュリティ ポリシーは、ACT 政府保護セキュリティ ポリシー フレームワーク (PSPF) から権限を派生し、次のポリシーで PSPF を補完します。

• ACT 公共サービスにおけるセキュリティ意識、文化、および実践を開発する。

• 情報通信技術 (ICT) リソースとインフラストラクチャが、OFFICIAL: Sensitive 分類までの公式情報 (OFFICIAL: Sensitive – 個人のプライバシーなどの情報管理マーカー (IMM) を含む) を保護することを保証する。

• 電子形式のすべての情報資産が継続的に利用可能であり、資産の評価されたリスクと機密性/分類に見合ったレベルで保護されていることを保証する。

• 情報資産の不正アクセス、使用、変更、開示、損傷、または破壊に対する防御の基準を定義する (付録 A: 関連文書を参照)。

• ICT システムの中断または障害に関連するリスクを最小限に抑えるプロセスを義務付ける。

ACT 保護セキュリティ フレームワーク (ACT PSF) は、人、情報、資産を保護するための政府のアプローチを定めています。

これは、2019 年に更新された ACT 保護セキュリティ ポリシー フレームワークに代わるものです。ACT PSF は、ACT 政府に対する現在の脅威をより適切に反映し、連邦のオーストラリア政府 PSPF とより整合し、将来のセキュリティ脅威が発生したときにより適切に対応するための幅広い柔軟性を実現するように設計されています。

ACT PSF は、ACT 政府内の組織が、各組織の脅威プロファイルとセキュリティ リスクに対する許容度を考慮しながら、インテリジェンス主導のリスクベースのアプローチで保護セキュリティ リスクに対処するためのフレームワークを提供します。

脆弱性データの役割

サイバーセキュリティの分野は広大で多様です。サイバーセキュリティには、さまざまな問題の解決を目的とした何百ものサブフィールドと専門分野があります。しかし、業界全体のバックボーンとして機能する分野が 1 つあります。それは、脆弱性管理です。これは、デジタル システム全体で発見された多数のエクスプロイトと脆弱性に関連するデータの保存と管理、およびこれらの脆弱性の検出と修復に関係しています。効果的な脆弱性管理がなければ、最新のエクスプロイトの発見とその修正の取り組みに追いつくことはできません。

1990 年代、消費者がより多くのテクノロジーを採用し、これらのシステムのエクスプロイトがより一般的になったため、サイバーセキュリティ業界はまさにこの問題に直面しました。脆弱性を追跡する方法に対するニーズの高まりに応えて、MITRE Corporation は Common Vulnerabilities and Exposures (CVE) プログラムを作成しました。このプログラムでは、発見された各脆弱性に識別子が割り当てられ、基本的に脆弱性のドキュメント化プロセスが標準化されました。消費者向けテクノロジーの台頭とともに脆弱性が一般的になるにつれ、CVE プログラムも成長し、行き詰まりに陥りました。脆弱性が多すぎるのです。脆弱性の中には他の脆弱性よりも危険なものもあり、すべての脆弱性に直接注意を払う必要があるわけではないため、脆弱性に優先順位を付ける方法が必要でした。これを実現するために、共通脆弱性評価システム (CVE) が開発されました。(CVSS) が作成され、各 CVE に 0 から 10 までのスコアが付けられ、10 が最も深刻です。このスコアは、アクセス ベクトルやアクセスの複雑性など、いくつかの要素に基づいて決定されます。

2020 年 10 月に開催された世界プライバシー会議 (GPA) の第 42 回非公開会議で、GPA 加盟国は顔認識技術に関する決議 (決議) を採択しました。

決議では、顔認識技術の潜在的な応用がセキュリティと公共の安全に利益をもたらす可能性があることを認めましたが、この技術には恣意的または違法な監視を可能にする能力があり、非常に侵入的になり、偏った結果をもたらし、データ保護、プライバシー、人権を侵害する可能性があることも強調しました。

公的機関、民間組織、市民社会は、顔認識技術がプライバシー、法的、倫理的な課題を提起しており、対処する必要があると懸念を表明しています。

同時に、GPA は以前、プライバシーに重大な影響を与える問題に関するグローバルなポリシー、標準、モデルに向けて取り組む必要があることを明らかにしました。これにより、規制協力のレベルが向上し、データ保護とプライバシーの問題の効率的な予防、検出、修復が強化され、デジタル経済の監視システムの一貫性と明確性が確保されます。そのため、GPA は、リスクを軽減する方法の推奨を含め、顔認識技術における個人情報の適切な使用に関する合意された原則と期待のセットを作成することを決議しました。この文書はその目的に役立ちます。