中國大陸科技部開始進行首批國家科技成果轉移轉化示範區建設計畫

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

美國猶他州州長柯克斯（Spencer Cox）於2023年3月23日簽署參議院152號法案（社群媒體規則修正案，Social Media Regulation Amendments）與眾議院311號法案（社群媒體使用修正案，Social Media Usage Amendments）等兩項法案，此舉是為了因應美國青少年日益沉迷社群媒體的問題，降低網路霸凌、剝削與未成年人個資外洩之風險。新法預計於2024年3月1日生效，兩項法案所提列之重點如下： 一、參議院152號法案針對社群媒體業者，要求其對於社群媒體應用程式之用戶，應採取以下措施： 1. 對於想要創設或持有社群媒體帳號之猶他州居民，須驗證其年齡。 2. 未滿18歲的用戶，須獲得父母或監護人的同意。 3. 允許家長有查看未滿18歲子女帳號內容之權限。 4. 訂定宵禁機制，於夜間（晚上10：30至早上6：30）禁止未成年登入使用帳號，但家長可視情形調整。 5. 禁止未成年用戶，向未曾關注或加好友的陌生人直接發送訊息。 6. 須於搜尋引擎中隱藏未成年人帳號。 7. 若違反上述內容，每項違反處以業者2,500美元之民事罰款。 二、眾議院311號法案針對「有使用導致未成年人成癮（Addiction）於社群媒體之設計或功能」之業者，訂定以下相關裁罰： 1. 經證明會導致未成年人對社群媒體成癮之行為、設計或功能，針對每項行為、設計或功能，處以業者25萬美元之民事罰款。 2. 若使未成年人接觸而致其成癮者，依未成年人數計算，每位最高可罰款2,500美元。 3. 允許父母得以其未成年子女因成癮致其身體、情感與財產上之損害為由，起訴社群媒體業者。 4. 若為未滿16歲之用戶依本法請求損害賠償者，媒體業者將推定過失責任，亦即由業者負舉證責任。 兩項法案皆是為保護美國18歲以下的未成年人，要求IG、TikTok、Twitter、Facebook等社群媒體一定作為與不作為之義務，若有違反情形，猶他州商務部消費者保護司（DCP）有權限對其違規行為處以民事罰款。上述美國法案針對未成年之保護，以透過規定使平臺業者設計出更優質、更完善的程式介面之觀點，可作為我國未來針對社群媒體監管措施之借鏡與觀察。

日本近年來對於線上遊戲對戰之電子競技活動的觀戰人數逐漸上升，而由於職業電競選手在赴日參加比賽時，會因為獎金收入而面臨申請簽證上的困擾，為了能更有效吸引世界一流選手前日本參賽，實有必要對相關行政程序進行修正。 　　而根據日本權威經財經媒體「日本經濟新聞」之報導，日本法務省將針對以參加線上遊戲比賽賺取獎金為業的電子競技選手，在入境日本以核發「娛樂類簽證」之方式解決前揭問題，同時透過審查國外選手在母國參與電競活動的實際成績，以防止出現利用此漏洞不法滯留日本之問題。 　　對於法務省此項決定，日本電玩遊戲相關媒體多以「電競選手待遇將比照運動選手」為題進行報導。然而經查日本法務省針對外國人之入境簽證，依其入境之目的區分為高度專門職、教授教育、藝術文化、宗教、採訪、經營、留學等十六種，而職業運動員簽證事實上並非單一獨立類別，而係與歌唱、舞蹈、演奏、電影製作、商業攝影、商業錄音等共通歸類為「娛樂類簽證」之下，因此日本法務省此一作法是否果真代表在簽證核發一事，已將職業電競選手視為職業運動員，尚難有具體結論。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」

　　Eolas，一家由加州大學資助成立的軟體技術研發公司，於1999年控告微軟侵犯了一個關於瀏覽器技術的專利 – US 5,838,906。該專利所揭露的技術讓微軟的IE瀏覽器得以嵌入互動式內容的外掛(plug-in)程式。2003年，美國芝加哥法院認定微軟侵犯906專利，並判決微軟必需賠償Eolas及加州大學5.21億美元。2007年，微軟終於暫時與Eolas達成和解，但兩家公司都不願透漏和解的內容。   　　美西時間2009年10月6日上午，Eolas大動作地控告包含科技業的Adobe、Amazon、Apple、eBay、Google、Sun Microsystems、Texas Instruments、Yahoo、YouTube，以及非科技業的Citigroup、JPMorgan Chase …等共22家公司，侵犯上述906專利以及其所衍生的US 7,599,985專利。Eolas表示：「985專利是 906專利的延續，其所揭露的技術能讓網站透過附加元件和Ajax網頁開發技術的使用，為其線上服務加入完全互動式的嵌入應用軟體。」   　　此外，Eolas總裁Michael Doyle博士也表示：「我們只想獲得公平的對待。本公司在15年前就已經研發並廣泛的展示這些技術。使用本公司的技術來營利且未付出合理報酬的情形對本公司並不公平。」 至於被控告的大多數公司目前都尚未做出正式的回應。