日本修訂《教育資訊安全政策指引》以建構安全的校園ICT環境

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　歐盟執委會（European Commission, EC）於2022年4月13日提出欲修正歐盟「地理標示」（Geographical Indication, GI）制度之提案（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on geographical indication protection for craft and industrial products and amending Regulations (EU) 2017/1001 and (EU) 2019/1753 of the European Parliament and of the Council and Council Decision (EU) 2019/1754，下稱本提案），擬在歐盟GI制度原僅保護農產品、食品及葡萄酒、蒸餾酒產品外，新增對於工藝品和工業產品之保護。 　　所謂工藝品和工業產品如義大利的穆拉諾玻璃（Murano glass）、愛爾蘭的多尼戈爾花呢（Donegal tweed）和波蘭陶（Boleslawiec pottery）等，皆係源於特定地區，產品品質和相關特色皆係依於原產地技藝之原創性及傳統作法。儘管此等產品在歐洲或全世界享有不錯聲譽，其製作者一直以來卻未能享有歐盟層級GI的保護，以更可將其原產地名與聲譽、品質相連結。 　　本提案將使消費者更易於辨識該等產品之品質，以可在更得知產品資訊的狀況下，作出消費選擇；亦可宣傳各原產地的技術工藝，使當地技藝被保存，並創造工作機會，達到經濟成長。 　　本提案主要包含： （1）將工藝品和工業產品納入歐盟GI保護： 將為工藝品和工業產品建立一個橫跨全歐盟的GI保護，而非僅目前部分區域或國家所有者，以更保障製作者之智慧財產權。本提案亦將促進打擊仿冒品的行為，包含在網路上所銷售者。 （2）為工藝品和工業產品的GI制度建立經濟的註冊程序： 將建立「兩階段申請程序」，製作者先向其所屬歐盟會員國當局提出申請，再由該當局轉交符合第一階段資格者之資料至歐盟智慧財產局（European Union Intellectual Property Office, EUIPO），以進行評核。 本提案將可使製作者提出「其產品有符合原產地製作特點」的聲明，以使整體註冊程序較簡易且節省成本。 （3）與國際上其它GI保護制度相容： 本提案將使成功取得歐盟GI註冊之工藝品和工業產品製作者可在「關於保護原產地名及GI的日內瓦協定」（Geneva Act on Appellations of Origin and Geographical Indications under the World Intellectual Property Organisation (WIPO)）之簽署國實施和保護其產品的權益；蓋此協定亦有包括工藝品和工業產品。而由於歐盟於2019年簽署該協定，故在歐盟境內亦將保護他簽署國工藝品和工業產品之GI。 （4）保存原產地技藝，並造就歐洲鄉村和其他地區的發展： 藉由提供製作者（尤其是中小企業）誘因，以投資於新的原創產品及創造其他利基市場（niche markets）。本提案並將使歐洲若干地區（尤其是鄉村及較低度開發區域）將失傳的技藝得以被保存，因此將可重振其知名度以吸引遊客或創造其他工作機會，達到經濟復甦。

　　自2001年以來，美國長期無法解決2305-2360MHz頻段上，相鄰之衛星數位音訊廣播服務（Satellite Digital Audio Radio Service, SDARS）業者與無線通訊服務（Wireless Communications Service,WCS）業者雙方相互干擾之疑慮。此一爭議在2012年10月17日美國聯邦通訊委員會（FCC）發布FCC 12-130再審查命令（Order on Reconsideration FCC 12-130，下稱12-130命令）後獲得解決。 　　使用頻段位於2305-2320MHz與2345-2360MHz之無線通訊服務(WCS)與位於2320-2345MHz頻段的衛星數位音訊廣播服務(SDARS)由於個別之訊號傳輸技術差異大，並且長久以來無法在干擾處理的議題上達成共識，而抑制了無線通訊服務(WCS)於該頻譜上之發展。為實現WCS業者得於該頻段發展行動寬頻業務之承諾，並確保美國大眾能繼續享有高品質的衛星廣播服務，FCC本次針對2010年所頒布之命令(FCC10-82)進行再次修訂與檢討 ，以確立位於2.3GHz頻帶WCS所屬之頻段得發展新興寬頻服務，並促進SDARS地面中繼起器(terrestrial repeaters)之佈署及運作更加彈性化。 　　12-130命令之頒布，可視為WCS頻帶發展的重要里程碑。該命令除了確保相鄰頻帶之衛星廣播服務(satellite radio)、航空行動遙測技術(aeronautical mobile telemetry)以及位於美國加州所佈署之深空網路(deep space network)地面站其訊號不受干擾以外，FCC更透過制訂各項參數與管理規則，一方面降低WCS營運時對於SDARS接收者可能產生的潛在干擾，另一方面則幫助位於2.3GHz的WCS業者有能力提供固定或行動寬頻服務，以促進WCS業者與SDARS業者和諧共存。 　　對於FCC最後決定採用修改管制規範方式釋出該頻段以發展行動寬頻服務之舉，FCC主席Genachowski表示，除有助於鞏固美國身為全球發展LTE技術領導者之地位外，更認為命令中的管制障礙排除模式可幫助未來其他頻段的清理或移頻，增加頻譜使用彈性，並有助於達成國家寬頻計畫(National Broadband Plan’s)所設定之「2015年釋出300MHz總頻寬」、「2020年釋出500MHz總頻寬」目標。