日本國交省公布「基礎建設之數位轉型政策」，期望建構更有效率、安全之社會環境

　　亞太經濟合作組織（Asia-Pacific Economic Cooperation, APEC）糧食安全政策夥伴關係機制（Policy Partnership on Food Security, ＰＰＦＳ）成員國、APEC秘書處、APEC工商諮詢理事會秘書處、糧農組織代表在北京召開全體成員會議，就亞太糧食安全相關議題與糧食安全政策夥伴關係機制（ＰＰＦＳ）建構進行討論。PPFS為政府部門與民間組織、企業溝通對話之平台，係APEC解決亞太糧食安全所建構之機制，茲就本次會議作成之重點分述如下： 1.亞太經濟合作組織（ＡＰＥＣ）糧食安全政策夥伴關係機制（ＰＰＦＳ）全於會中作成3項倡議：第一，加強APEC成員糧農政策對話與交流，協商區域合作的規劃和措施。第二，降低貿易和投資成本，消除貿易壁壘促進糧農貿易。第三，加強各政府、產業與個體農民交流，促進私部門參與糧食安全之商業模式，以利亞太糧食安全之永續。相關糧食安全議題及合作方向包括：糧食生產與技術移轉跨國合作；糧食儲備、供應鏈及降低糧損技術之交流與合作和貿易合作、投資與基礎建設等。 2.本次會議除作成前述宣示性倡議外， 另通過「ＡＰＥＣ減少糧食損失和浪費行動計畫」、「ＡＰＥＣ糧食安全商業計畫」、「ＡＰＥＣ增強糧食標準與質量安全互通行動計畫」、「２０２０糧食安全路線圖」等修訂文件。其中，「２０２０糧食安全路線圖」，提及PPFS將致力於降低亞太區域之糧食農損失，並宣示於2020年降低農損總量１０％之具體目標（以2011-2012年度之農損總量為比較基準）。

　　今年(2014)3月6日美國號稱蕃茄醬巨人的H.J. Heinz Co. (以下簡稱Heinz)於美國德州聯邦法院向一家德州公司Figueroa Brothers Inc. (以下簡稱Figueroa)提起商標侵權訴訟，主張Figueroa製造販售的蕃茄醬採用與其設計幾近相同的瓶身(ketchup bottle)，侵害其極具識別性、代表性的商業表徵(trade dress)。 　　Heinz目前針對該玻璃瓶設計已註冊取得3個聯邦商標，其除了主張聯邦商標法保護外，亦基於普通法(common law)提起商標侵權主張。然而，Heinz表示，在提起訴訟前，已數次嘗試與Figueroa私下解決此爭議，但未果，所以最後才會訴諸法律途徑，提起訴訟。 　　Heinz於訴狀中表示從1890年代開始，便開始行銷販售有名的蕃茄醬產品，該產品的包裝即為系爭具有高度識別性的玻璃瓶設計。Heinz認為被告Figueroa未經同意擅自使用此瓶身設計的行為會造成消費者混淆，搭便車利用Heinz花費大量心力、時間和費用所累積的良好商譽來牟利。此外，Heinz並注意到Figueroa其他醬料產品例如莎莎醬、辣醬皆使用不相似的包裝，惟獨蕃茄醬產品包裝跟其有名的玻璃瓶設計幾乎完全相同。 　　自Heinz提起訴訟過了近一個禮拜，案情有了變化，Figueroa於4月初與Heinz和解，雖然Figueroa並未承認其侵害Heinz商標權，但同意從今年12月開始停止使用該玻璃瓶設計，並從此不再侵害Heinz的商業表徵(玻璃瓶設計)。然而，和解金額相關條款並未揭露。 　　此案之後，對於其他欲仿冒或剽竊Heinz的玻璃瓶設計者，是否會有遏阻影響，值得後續觀察。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　美國近期通過「外國情報偵察法」（Foreign Intelligence Surveillance Act, FISA）之修正案，其中，原先於１月份到期的第七章（Title VII）702條款（Section 702），重新延長授權6年，直至2023年12月31日。 　　此法案於1978年生效，為美國第一個要求政府須先獲得法院許可，始能進行電子監視的法律。法案宗旨係為平衡國家安全以及人民權利，基於憲法第四修正案對人民的保障，使身處美國領土內的人民免於被恣意監視，國家在通常情況下，須獲得外國情報偵察法院（Foreign Intelligence Surveillance Court, FISC）搜索票（warrant）才可對人民進行搜查。 　　本次法案修正通過後，使聯邦調查局能夠持續使用情報數據資料庫，以獲取有關美國人的信息，但法案新增要求聯邦調查局在預測性刑事調查中（predicated criminal investigation）如要索取與國家安全無關的內容，必須事先經FISC法院審查許可（court order）。 　　因911恐攻事件後出現的反恐需要，2008年增訂第七章702條款為FISA的正式條款，原本在今年1月到期，法案修正通過後，此條款延長授權6年。目的為美國公民提供隱私保護，禁止政府針對美國公民和位於美國境內的外國人為監視對象；僅處於國外的外國人，涉及外國情報資訊才可被列為本條進行監視的目標。允許情報部門，在三個政府部門（外國情報偵察法院，行政部門和國會）的監督下，收集關於國際恐怖分子，武器散布者以及其他位於美國境外的重要外國情報。 　　此項修正案保留702條款的操作靈活性，並加入了一些增強隱私措施及要求。惟，受質疑且具爭議的是，702條款條文內容規範，允許美國政府的情報機構--國家安全局（National Security Agency, NSA）基於該條款，例外不需法院搜索票，可向Google、Apple、微軟、Facebook或電信業者等美國企業蒐集、調閱國外非美國人用戶的海外通訊內容（包含電子郵件、電話、其他私人信息等），當這些被監聽的國外用戶之通訊對象係涉及美國人時亦同；意即，若美國人曾接觸被鎖定的國外對象，也會被納入調查並取得通訊紀錄等個資，且禁止業者通知受影響的用戶。曾有國會參議員試圖修改此法案，加入隱私保護條款，但最終並未獲多數同意。