日本自動駕駛戰略本部新近政策規劃

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　擁有Lancome、YSL（Yves Saint Laurent）及Garnier等全球知名品牌的法國L'Oreal集團，於2007年9月向於英國、法國、德國、比利時及西班牙等五國的法院提起商標侵權訴訟，控告全球網拍龍頭eBay放任網路使用者於eBay出售仿冒的香水、化妝品及其他L'Oreal集團產品，導致L'Oreal蒙受重大損失，主張eBay應為網路使用者的侵權行為負起連帶責任。   　　但繼2008年8月比利時法院率先判決eBay勝訴後，2009年5月法國及英國法院亦接連判決eBay勝訴。法國巴黎法院於5月14日作成的裁決中，表示eBay已恪遵自身所負義務並以良善態度解決仿冒商品問題，因此eBay毋庸為網路使用者的侵權行為加以負責；法院同時表示eBay與L'Oreal雙方應攜手合作，共同制定打擊侵權行為的策略，以防制仿冒商品繼續透過網路販售流通。   　　法方判決eBay勝訴未久，英國法院緊接於5月22日判決eBay勝訴，對於接連獲勝，eBay仍再三強調本身僅係一單純提供商品交易服務之平台，自無須就使用者侵權行為加以負責；L'Oreal則表示eBay有責採取進一步的措施，以杜絕網路使用者販售仿冒的L'Oreal商品，其並表示未來仍將以eBay助長商標侵權為由，持續於歐洲各國提出訴訟。

　　資料利用之層面越來越廣，且無論是基於商業或公益目的，產生越來越多難題。穿戴式裝置及物聯網的發展，亦使得資料之蒐集利用及界線等問題更顯其重要性。有鑑於此，大倫敦政府（Greater London Authority, GLA）在今（2016）年3月公布「倫敦城市資料策略」（London City Data Strategy），積極推動「城市資料市集」（City Data Market），期將倫敦打造成世界首屈一指的智慧城市。 　　增加大眾對資料市集之信賴並減少疑慮乃「倫敦城市資料策略」之一環，近年在英國有一系列新法上路，除新的歐盟資料保護規範（GDPR）外，英國國內有關「開放銀行」（open banking）之新規範，以及已有能源及電信公司參與之MiData initiative等，上述機制均為促使個人更容易掌握其個資被利用之狀況。 　　大倫敦政府亦推動「倫敦資料交易」（London Data Exchange），大眾可利用此一機制掌握其個資流向。其中有關建置新的數位符號（digital tokens of proof），使民眾未來可利用此等符號證明符合特定資格，例如在道路受檢時，毋須拿出駕照說明個人姓名、地址、出生年月日等資料，利用該等符號，便可判定符合駕駛年齡。 　　近期，大倫敦政府透過資料科學合作夥伴（Data Science Partnership）推動資料科學倫理架構（Framework for Data Science Ethics），著手研究民眾對資料交易新機制的反應，試圖在資料利用與法律和道德問題間尋求平衡。

美國平等就業機會委員會（Equal Employment Opportunity Commission, EEOC）於2023年5月18日發布「根據 1964 年《民權法》第七章評估就業篩選程序中使用軟體、演算法和AI之不利影響」（Assessing Adverse Impact in Software, Algorithms, and Artificial Intelligence Used in Employment Selection Procedures Under Title VII of the Civil Rights Act of 1964）之技術輔助文件（下簡稱「技術輔助文件」），以防止雇主使用自動化系統（automated systems）對求職者及員工做出歧視決定。 該技術輔助文件為EEOC於2021年推動「AI與演算法公平倡議」（Artificial Intelligence and Algorithmic Fairness Initiative）計畫的成果之一，旨在確保招募或其他就業決策軟體符合民權法要求，並根據EEOC 1978年公布之「受僱人篩選程序統一指引」（Uniform Guidelines on Employee Selection Procedures, UGESP），說明雇主將自動化系統納入就業決策所應注意事項。 當雇主對求職者與員工做出是否僱用、晉升、終止僱傭，或採取類似行動之決定，是透過演算法決策工具（algorithmic decision-making tool），對特定種族、膚色、宗教、性別、國籍或特定特徵組合（如亞洲女性），做出篩選並產生不利影響時，除非雇主能證明該決策與職位工作內容有關並符合業務需求，且無其他替代方案，否則此決策將違反《民權法》第七章規定。 針對如何評估不利影響，雇主得依UGESP「五分之四法則」（four-fifths rule），初步判斷演算法決策工具是否對某些族群產生顯著較低的篩選率。惟EEOC提醒五分之四法則推導出之篩選率差異較高時，仍有可能導致不利影響，雇主應依個案考量，使用實務常見的「統計顯著性」（statistical significance）等方法進一步判斷。 其次，當演算法決策工具係由外部供應商所開發，或由雇主授權管理人管理時，雇主不得以信賴供應商或管理人陳述為由規避《民權法》第七章，其仍應為供應商開發與管理人管理演算法決策工具所產生之歧視結果負責。 最後，EEOC鼓勵雇主應對演算法決策工具進行持續性自我評估，若發現該工具將產生不利影響，雇主得採取措施以減少不利影響或選擇不同工具，以避免違反《民權法》第七章。