c Expand All C Collapse All
ビジネスとサービス (44)
2018年8月14日に法律化されたNISTスモールビジネスサイバーセキュリティ法により、NISTは中小企業もつサイバーセキュリティリスクを特定、評価、管理、削減することに対する懸念に対応するのを支援するために、明確かつ簡潔な資源を普及させるよう指示されました。

サイバーセキュリティは、ビジネスの基本として極めて重要です。サイバーセキュリティは、毎年、失われた収益および生産性の損失という観点で、大変規模の大きなビジネスコスになります。評判の悪化および顧客の信頼の喪失は、中小企業に長期的な損害をもたらす可能性があります。

"IT製品の有するセキュリティ機能について、主に政府調達などにおいて調達者が求めるセキュリティの要件を満たしていること、つまり想定される脅威に対し適切な対抗となっていること、またその対抗手段が正確に実装されていることを、第三者が評価・認証を行う制度です。概要については、評価認証制度概要(JISEC)を参照してください。

"

"ISO/IEC 27001は、組織における情報セキュリティマネジメントシステム(ISMS)適合性評価の規格です。ISO/IEC 27001認証機関の審査員が組織におけるセキュリティ管理について規格に基づき審査を行い、認証を行います。
ISO/IEC 15408認証製品を適切に運用することで、セキュリティリスクの低減に寄与することが可能です。
ISO/IEC 15408は、製品のセキュリティ評価基準として定められた規格です。製品のセキュリティ評価において製品の企画・設計・製造・配付・設置・運用といった製品ライフサイクルにわたる評価が行われます。ライフサイクルにおいて、ISO/IEC 27001に適合したマネジメントシステムが安全なセキュリティ製品の提供に寄与することが可能です。"

"評価(機関)は対象となる製品に対し実際の評価を行い、認証(機関)は評価結果に対し認証を行います。
評価では、IT製品のセキュリティ機能の妥当性・正確性をIT及びセキュリティの専門的な知識をもって検査します。認証ではその評価項目が評価基準に沿ってなされたか、つまり特定の側面だけが深くあるいは網羅性のみで技術的に浅い評価が行われることなく、特定された評価保証に見合ったバランスのよい評価が行われたことを確認します。"

"期間は、評価対象の規模や評価保証レベル(EAL)によって異なるため一概には言えませんが、短いもので 4~6ヶ月、長い場合は12ヶ月以上かかることもあります。認証が調達の要件等になっている場合などは、予め期日にむけたスケジュールを評価開始時に調整する必要があります。
特に評価する製品の技術分野について専門的な知識を持つ評価機関を選択することは、評価の期間に大きくかかわってきます。評価機関の選択に当たっては、対象となる技術分野の専門家を伴い評価機関を訪問し、人材や設備の確認をすべきです。
費用は、評価対象の規模や現開発プロセスの状況などに応じて、また評価機関のサービス内容によって異なります。評価費用とそのサービス内容については、各評価機関にお問い合わせください。"

評価の対象となるものは、「保護するべき資産(情報)」、「対抗すべき脅威(攻撃)」、 「適用すべき環境」が具体化できるものでなければなりません。

"セキュリティ評価では、機能テストは一部の側面でしかありません。IT 製品だけではなく、その開発で使用した設計文書やテスト関連の文書、利用者や管理者ガイダンス、実際の開発現場におけるセキュリティ維持のための手順書や実施証拠資料(各種ログや承認書など)も評価の対象となります。また、そのレベルによって評価の範囲や深さが異なりますので、これらの必要な資料類も異なります。
いずれもセキュリティを確保するために必要な資料であり、評価のために別途作成されるものではありません。該当する資料へのインデックスを評価者に示していただければいいものです。もし評価に必要な資料がないとすれば、それは必要とされるべき手順や記録が欠落していたことを意味します。"

"暗号化または復号に使う鍵が何ビットあるかを鍵の長さと言います。鍵を長くすると安全性は向上しますが、暗号化・復号が遅くなるという欠点があります。
また、暗号化の方法によっても鍵の長さが異なります。共通鍵暗号で用いる鍵の長さは、40ビットから 128ビット程度です。公開鍵暗号では 100ビット程度から 2,048ビットまで様々な長さの鍵が用いられます"

"一般的に鍵の選択の余地が多いほど、解読が難しくなります。例えば、鍵の選択が 10個しかないと、総当たりでも 10回試せば必ず解読に成功できるわけです。ですから、鍵の選択の余地が多いことが重要です。一般的に鍵が長いほど暗号の強度が増加します。
また、アルゴリズムによっても暗号の強度が異なります。安全なアルゴリズムは、公開されたアルゴリズムでかつ解読時間を短縮するような欠陥が発見されていないアルゴリズムです。"

暗号とは一定の規則に従って文章・数などを他の表現に変えて、その規則を知らない人には元が何かは判らなくするためのものです。例えば、文章を暗号化するときは、まず始めに文章を数字で表現します。そしてそれを一定の規則に従って変換していくわけですが、規則が皆同じだと誰でも暗号文を復号する(元に戻す)ことが出来てしまいます。それを避けるには、変換するときの規則を変えれば良い訳で、暗号の鍵はそのためのものです。現在の暗号の鍵は通常ビットで表現されています。

1970年代に全く新しい暗号方式が考え出されました。それが、公開鍵暗号方式です。共通鍵暗号方式では暗号化する人と復号する人が同じ鍵を使いましたが、公開鍵暗号方式では暗号化する鍵と復号する鍵が異なっているのが大きな特徴です。この方式は一方の鍵を公開しても、もう一方の鍵が計算できないという画期的なものです。このことにより、共通鍵暗号方式のように当事者間ごとに鍵を作成する必要がなくなり、公開鍵を使うことで多くの鍵を作成したり管理したりしなくてすむという利便性があります。

"DFARS条項252.204-7012は、市販品の獲得のための連邦調達規則(FAR)パート12の手続を使っているものを含めて、すべての約定および契約において必要とされています。なお、本条項は汎用の市販品(COTS)のみの取得に関する約定および契約には必要とされていません。COTSとは、ある程度以上の量が一般市場で販売されており、 仕様変更等がなく、そのままの形態で契約または下請けから政府に提供されるものです。
なお、商用品の中には、一般市場で入手可能ではありますが、政府要件に適合するように変更することもできるようなCOTSもあります。もし、その商用品に対して政府の要件を満たすように変更する必要がある場合は、 注意が必要です。"

"DFARS条項252.204-7012の要件は変更なしに下請事業者に展開することになります。252.204-7012(m)(1)に基づき、主契約事業者は、下請事業者の業務遂行に必要な情報が、引き続き本節に基づく対応を必要とするCDIであるかどうか、を決定しなくてはなりません。DoDの重点は、保護を必要とする情報に対する意図的な管理にあります。主契約事業者は、保護が必要となる情報の下請事業者への提供を最小限に抑えねばなりません。
下請事業者に管理策の徹底を求める(フローダウン)条項は連邦政府との契約上の要件で、これらの契約要件に適合させる結果として主契約事業者によって遂行されるべきものです。下請事業者が、252.204-7012の要件に適合させることに合意しない場合は、CUIはその下請事業者の情報システムに提供することは出来ません。)"

DFARSは一般的に米国の契約事業者のために書かれており、外国のパートナー/下請け関係によって導入される複雑な状況については考慮していません。サイバーインシデントのDoDへの直接的な報告、DoDへのマルウェアとメディアの提出、情報や機器へのアクセスを提供するなどの領域についてはDFARS条項252.204-7012の要件と相手国の既存の合意/国内法との間でいくつかの潜在的な矛盾が確認されています。現在、OUSD(国防次官 Office of the Under Secretary of Defense : A&S)、OUSD(R&E)、およびDoD CIOは、OUSD(政策)のもとで、国防技術セキュリティ管理局(DTSA)と協力し、これらの潜在的な矛盾を国別に解決し、国内法の中でこの規則をどのように実施するかについて、米国の契約事業者に指針を提供すべく作業中です。

"いいえ、本規則による新たな管理監督の枠組みは作成されません。
DFARSの252.204-7012の準拠規定は、契約事業者/下請事業者が本条項のすべての要件に適合することを求めています。契約書に署名することにより、契約事業者は契約条件を遵守することを同意したことになります。もし、これらの要件に関する管理監督が必要であると考えられた場合は、既存のFARおよびDFARSの範囲内で遂行されるか、追加要件を契約条件に追加することもできます。
システムセキュリティ計画書(SSP)およびそれに伴う実装計画あるいは緩和策に関する実施計画書(PoA)がNIST SP 800-171におけるセキュリティ要件の実装または実装計画を実証します。なお、現在整備中のCMMCに基づく調達体制では認証を行うべく現在準備が行われています。"

"第三者評価または認証(certification)は、DoDによる要求も、認定(authorized)も、承認もされていません。契約書に署名することにより、契約事業者は契約条件を遵守することに同意したことになります。
CDIを保護する上で 、サイバーセキュリティに関する専門知識が限られている企業では、自社でNIST SP 800-171の要件にどのように適合させ実装するのが良いかを決定する際に、外部の支援を求めることもありましょう。しかし、企業が要件を一度実装した後は、NIST SP 800-171に準拠しているかどうかについて第三者の評価または認証を受ける必要はありません。これについても、現在準備が進められているCMMCに基づく調達体制では、第三者による認証が必要となります。"

"DFARS規則には、契約事業者が要求されたセキュリティ要件の実装状況を政府が監視するための独自の要件または追加要件を追加していません。これらの要件における契約事業者の適合性については、既存の一般的に適用される契約事業者のコンプライアンス監視メカニズムの対象になります。具体的には
- 契約事業者が適切なシステムセキュリティ計画書(SSP)とそれに伴う実施計画書(PoA)を持っていることを確認します。
- 契約事業者がサイバーインシデント報告するために必要なDoDで承認された外部認証局(ECA)発行の中位保証レベルの公開鍵基盤(PKI)証明書を所持していることを確認します。
- 必要に応じて、管轄政府機関および契約事業責任者との調整の上、政府の外部評価チームを、適用可能な契約事業者施設に送り込みます。"

主契約事業者(プライム(最上位)コントラクター)は、本規則のフローダウン要件を実施する責任があります。主契約事業者は、下請事業者を評価または監査するために通常用いているどのような仕組みを用いることもできます。

発注者側に基本的に責任があります。契約事業者が契約の履行に際して開発したCUIについて、マークするように作業書(契約データ要件リストなどの)によるなどにより、契約書、作業指示書、または物品引き渡し指図書に要件を含むことを保証しなくてはなりません。主契約事業者は、サプライチェーン全体にわたるCUIの保護責任があります。

"CUIは、法、規則、または政府全体のポリシーによって保護または配布管理が求められている情報です。CUIレジストリには承認済のCUI(区分(カテゴリー)および下位区分(サブカテゴリー))が示され、「基本(basic)CUI」と「特定(specified)CUI」に分けて説明されています:
"

「基本CUI」とは、法、規則、または政府全体のポリシーにおいて特別な保護が示されていないすべてのCUIです。この場合、非連邦政府の情報システム上のCUIの秘匿性を保護するために政府機関がセキュリティ要件を定めるにはNIST SP 800-171を用いなければなりません。

特定CUI」は、それを管理する権限者によって要件とされるか、あるいは許可された特定の管理要件を含むCUIのタイプを認めています。「特定CUI」として参照される必須/許可された管理要件は主としては、たとえば、官民間での管理対象非機密技術情報(CTI)の配布管理です。既知の例外の一つはHIPAAデータで、NIST SP800- 171の範囲を超えて拡張する追加的保護(HIPAAセキュリティ規則集第45巻パート160)を要件としています。

CUIレジストリ(www.archives.gov/cui/registry/category-list.html)には承認済のCUI(区分(カテゴリー)および下位区分(サブカテゴリー))が示され、「基本(basic)CUI」と「特定(specified)CUI」に分けて説明されています:

「情報システムおよび/またはその中に存在する情報に対する危殆化または実際のまたは潜在的な悪影響」と定義されている。

潜在的な悪影響の例としては、(例えば、アンチウィルスまたはエンドポイント保護によって)ブロックされていない契約事業者の情報システムまたはネットワーク上におけるマルウェアの発見です。そのケースでは、何らかのメカニズムを介してマルウェアが配信されており、CDIが影響を受けた可能性があるかもしれません

契約事業者が管理対象契約事業者システムまたはその中に存在するCUIに影響を及ぼすサイバーインシデントを発見した場合に報告が必要です 。報告する場合、契約事業者はDIBNetポータル(https://dibnet.dod.mil)にアクセスし、インシデントコレクションフォーマット(ICF:インシデント報告様式)の各項目を完成させることになります。この様式にアクセスするためにはDoDに承認された中位保証レベルの公開鍵基盤(PKI)電子証明書を必要とします。

サイバーインシデントが検出された場合、契約事業者/下請事業者は、検出から72時間以内に、DIBNetポータル(https://dibnet.dod.mil)に報告する必要があります。契約事業者/下請事業者が、報告時にインシデントコレクションフォーム(ICF)で必要とされるすべての情報を持っていない場合、追加情報が入手可能になった時点で、契約事業者/下請事業者は追加された情報に関する継続(follow-on)報告を提出する必要があります。

すべての要件(基本と派生の両方)は個別に満たされなければなりません。NIST SP 800-171のセクション2.2で説明されているように、基本要件はFIPS 200「連邦政府情報と情報システムの最小セキュリティ要件」に、および派生要件はNIST SP 800-53「連邦政府の組織および情報システムのセキュリティおよびプライバシー管理策」に由来しています。FIPS 200の要件は最も基本的な要件であるため、NISTはそれらを基本要件として参照しています。しかしながら、FIPS 200は「最小要件」のセットであるため、CDIの「中位(Moderate)」影響レベルで保護するには不十分であることが多い。したがって、基本要件が「中位」の要件を完全には満たしていない場合、NIST SP 800-53の「中位」ベースラインから関連する管理策が特定され、NIST SP 800-171で派生要件として識別されます

NIST SP 800-171 rev.1の「システム」の定義は語彙上の観点からは「情報システム」の定義と何も変わっていません。rev.1のページⅳにあるグレー表示された枠内の注記のとおり、セキュリティ要件は、汎用情報システムだけでなく、可能であれば、専用の情報システム(例えば、産業制御システム、医療システム、製造システム)にも適用されます。これは変更ではありません。これらの専用システムについては、NIST SP 800-171の最初のバージョン(第3章、第8章の脚注18)でも取り上げられています。

"NIST SP800-171は、CUIを処理、蓄積、通信するために新たなシステムの開発または導入を必要とするのではなく、契約事業者がすでに保有しているシステムおよび運用手続を用いて要件に適合させることを可能にする意図により、実効ベースの要件を用いて作成されました。
NIST SP800-171における大部分の要件は、ポリシー、運用手続き、およびITセキュリティを構成することになっていますが、他はセキュリティ関連のソフトウェアまたは追加のファイアウォールなどハードウェアを必要としています。
多要素認証要件(3.5.3)を除けば、一般的には追加のソフトウェアまたはハードウェアは必要とされていません。"

契約事業者が、求められる管理策が必要でないかあるいは代替的な管理策とすることができるのではないかと提案することを認めています。

可搬型記憶装置(NISTの用語)は情報システムに組み入れたり取り外したりできる情報システムのコンポーネント(構成要素)であり、データまたは情報(例えばテキスト、ビデオ、オーディオ、イメージデータ)を格納するために使われるものです。そのようなコンポーネントは、一般に、磁気、光学式、または半導体の機器(例えば、フロッピーディスク、コンパクト/ディジタルビデオディスク、フラッシュ/サムドライブ、外付けハードディスクドライブ、およびフラッシュメモリカード/ドライブなどの不揮発メモリー)として実装されます。

(情報システムに対する多要素認証では、①あなたが知っているもの(例えば、パスワードなど);②あなたが持っているもの(例えば、フォブのようなワンタイムパスワード生成デバイス、スマートカード、スマートフォンのモバイルアプリなど);および③あなた自身のなにか(例えば、指紋や虹彩のようなバイオメトリック)を含む2つまたはそれ以上の認証方法を使用します。

以前の認証メッセージを再生することにより、認証を成功させることができないならば、認証プロセスはリプレイ攻撃に耐えるといえます。

CMMCは「Cyber​​security Maturity Model Certification」の略です。CMMCは、「基本的なサイバーセキュリティ衛生」から「高度/進歩的」までの範囲の複数の成熟度レベルを網羅します。CMMCを国防連邦調達規制補足(DFARS)に組み込んで、契約裁定の要件として使用することを目的としています。

国防総省は、防衛産業のサイバーセキュリティ態勢を評価および強化するために、新しいCMMCフレームワークへの移行を計画しています。CMMCは、適切なレベルのサイバーセキュリティの実践とプロセスが確実に行われるようにする検証メカニズムとして機能し、基本的なサイバーセキュリティ環境を確保するとともに、業界パートナーのネットワークに存在する管理されたCUIを保護することを目的としています。

CMMCレベル1〜3には、NIST SP 800-171 rev1で指定されている110のセキュリティ要件が含まれています。CMMCは、NIST SP 800-53、Aerospace Industries Association(AIA)National Aerospace Standard(NAS)9933「Cyber​​ Defenseにおける効果的な機能のための重要なセキュリティ管理」、 Computer Emergency Response Team(CERT)Resilience Management Model(RMM)v1.2など、他の標準、リファレンス、ソースからの追加のプラクティスとプロセスを組み込んでいます。

NIST SP 800-171とは異なり、CMMCモデルには5つのレベルがあります。各レベルは、実践とプロセス、および下位レベルで指定されたもので構成されます。企業のサイバーセキュリティ慣行の評価に加えて、CMMCは企業のサイバーセキュリティプロセスの制度化も評価します。

"非営利の独立した組織であるCMMC認定機関(AB)は、CMMC第三者評価機関(C3PAO)と個々の評価者を認定します。CMMC ABは、Webサイト(www.cmmcab.org)で必要な情報と更新を提供します。
CMMC ABは、承認されたC3PAOのリストおよびその他の情報を含むCMMCマーケットプレイスを確立する予定です。その後、防衛産業は承認されたC3PAOの1つを選択し、特定のレベルのCMMC評価をスケジュールすることができます。"

通常、CMMC証明書は3年間有効です。

COTS製品のみを製造している会社でない限り、CMMC証明書を取得する必要があります。CMMC証明書のレベルは、元請業者から流された情報の種類と性質によって異なります。

国防総省が情報要求(RFI)と提案要求(RFP)で必要なCMMCレベルを指定します。

"企業がCUIを扱わずFederal Contract Information (FCI)を扱う場合でも、CMMCレベル1の取得を要求されます
単にCOTS製品を作る会社はCMMC認定を必要としません。"

基礎知識(情報セキュリティABC) (12)

"暗号化または復号に使う鍵が何ビットあるかを鍵の長さと言います。鍵を長くすると安全性は向上しますが、暗号化・復号が遅くなるという欠点があります。
また、暗号化の方法によっても鍵の長さが異なります。共通鍵暗号で用いる鍵の長さは、40ビットから 128ビット程度です。公開鍵暗号では 100ビット程度から 2,048ビットまで様々な長さの鍵が用いられます"

"一般的に鍵の選択の余地が多いほど、解読が難しくなります。例えば、鍵の選択が 10個しかないと、総当たりでも 10回試せば必ず解読に成功できるわけです。ですから、鍵の選択の余地が多いことが重要です。一般的に鍵が長いほど暗号の強度が増加します。
また、アルゴリズムによっても暗号の強度が異なります。安全なアルゴリズムは、公開されたアルゴリズムでかつ解読時間を短縮するような欠陥が発見されていないアルゴリズムです。"

暗号とは一定の規則に従って文章・数などを他の表現に変えて、その規則を知らない人には元が何かは判らなくするためのものです。例えば、文章を暗号化するときは、まず始めに文章を数字で表現します。そしてそれを一定の規則に従って変換していくわけですが、規則が皆同じだと誰でも暗号文を復号する(元に戻す)ことが出来てしまいます。それを避けるには、変換するときの規則を変えれば良い訳で、暗号の鍵はそのためのものです。現在の暗号の鍵は通常ビットで表現されています。

1970年代に全く新しい暗号方式が考え出されました。それが、公開鍵暗号方式です。共通鍵暗号方式では暗号化する人と復号する人が同じ鍵を使いましたが、公開鍵暗号方式では暗号化する鍵と復号する鍵が異なっているのが大きな特徴です。この方式は一方の鍵を公開しても、もう一方の鍵が計算できないという画期的なものです。このことにより、共通鍵暗号方式のように当事者間ごとに鍵を作成する必要がなくなり、公開鍵を使うことで多くの鍵を作成したり管理したりしなくてすむという利便性があります。

「基本CUI」とは、法、規則、または政府全体のポリシーにおいて特別な保護が示されていないすべてのCUIです。この場合、非連邦政府の情報システム上のCUIの秘匿性を保護するために政府機関がセキュリティ要件を定めるにはNIST SP 800-171を用いなければなりません。

「特定CUI」は、それを管理する権限者によって要件とされるか、あるいは許可された特定の管理要件を含むCUIのタイプを認めています。「特定CUI」として参照される必須/許可された管理要件は主としては、たとえば、官民間での管理対象非機密技術情報(CTI)の配布管理です。既知の例外の一つはHIPAAデータで、NIST SP800- 171の範囲を超えて拡張する追加的保護(HIPAAセキュリティ規則集第45巻パート160)を要件としています。

「情報システムおよび/またはその中に存在する情報に対する危殆化または実際のまたは潜在的な悪影響」と定義されている。

潜在的な悪影響の例としては、(例えば、アンチウィルスまたはエンドポイント保護によって)ブロックされていない契約事業者の情報システムまたはネットワーク上におけるマルウェアの発見です。そのケースでは、何らかのメカニズムを介してマルウェアが配信されており、CDIが影響を受けた可能性があるかもしれません

可搬型記憶装置(NISTの用語)は情報システムに組み入れたり取り外したりできる情報システムのコンポーネント(構成要素)であり、データまたは情報(例えばテキスト、ビデオ、オーディオ、イメージデータ)を格納するために使われるものです。そのようなコンポーネントは、一般に、磁気、光学式、または半導体の機器(例えば、フロッピーディスク、コンパクト/ディジタルビデオディスク、フラッシュ/サムドライブ、外付けハードディスクドライブ、およびフラッシュメモリカード/ドライブなどの不揮発メモリー)として実装されます。

(情報システムに対する多要素認証では、①あなたが知っているもの(例えば、パスワードなど);②あなたが持っているもの(例えば、フォブのようなワンタイムパスワード生成デバイス、スマートカード、スマートフォンのモバイルアプリなど);および③あなた自身のなにか(例えば、指紋や虹彩のようなバイオメトリック)を含む2つまたはそれ以上の認証方法を使用します。

以前の認証メッセージを再生することにより、認証を成功させることができないならば、認証プロセスはリプレイ攻撃に耐えるといえます。

CMMCは「Cyber​​security Maturity Model Certification」の略です。CMMCは、「基本的なサイバーセキュリティ衛生」から「高度/進歩的」までの範囲の複数の成熟度レベルを網羅します。CMMCを国防連邦調達規制補足(DFARS)に組み込んで、契約裁定の要件として使用することを目的としています。

Sシリーズ (10)

SX000Hはウェブサイトに掲載されていますが、リンクは張られていないんですね。

 覚えていらっしゃるでしょうか、私はブロックリリースで、用意されているすべての仕様をリストアップしたと言いました。SX000Hはウェブサイトに掲載されていますが、リンクは張られていないんですね。私は、英国の正式な業界団体と、私が知っている人たちの両方に質問しました。私の理解では、SX000Hは10月末に発売されるか、それが予定されています。10月末にはウェブサイトで公開される予定です。私は特にそれに関わっていませんが、関わりたいと申し出ています。それを待っている方は、10月末まで待ってください。

1. Where is SX000H now?

If you remember, I said on the block release that I listed all of the specifications that were available. If you haven't seen that yet, I’ll put a link up above me and you can watch that. So SX000H is listed on the website but there's no link to it. I did ask the question of both the formal industry body here in the UK and those that I know who are aware. As I understand it, SX000H will be made available at the end of October or that is the plan for SX000H. It will be made available off the website at the end of October. I'm not involved with that particularly, though I have offered to get involved. If you're waiting for that, you'll have to wait until the end of October.

実際には、これらのグループはすべてボランティアで運営されていますので・・・

 私はS2000Mのコミュニティに参加していますので、ウェブサイトに載せる責任はありませんが、S2000M Issue 7を見たことがあります。

実は、S2000M Issue 7の新機能についてのチュートリアルを行う予定です。スキーマが更新されて公開されるのを待っているのだと思います。もし、S2000Mを待っているのであれば、ウェブサイトから連絡してみてください。彼らは喜んで仕様書のコピーを送ってくれると思いますので、そこに書かれている内容を見てみてください。実際には、これらのグループはすべてボランティアで運営されていますので、仕様書を入手するには順番待ちをしなければなりませんが、スキーマの準備が整い次第、S2000Mのウェブサイトで公開されると思います。

S2000M.org does not have the download. Where is it?

I am involved in the S2000M community, although I'm not responsible for putting it up on the website. I have seen Issue 7 of S2000M.

In fact, I'm going to be doing a tutorial on what's new in S2000M Issue 7. I believe they're waiting for the schemas to be updated and published. If you're waiting for S2000M, you can contact them via the website. I'm sure they'll be happy to send you a copy of the specification and you can start looking at what's in there. The reality is that all of these groups are volunteer led so you have to wait in line when it comes to getting access to these specifications, but I understand as soon as the schemers are ready, they will be published up on the S2000M website. So, I'm getting some funny looks from a photographer who is clearly looking at me through his lens but trying to make it look like he is actually photographing wildlife. I could be considered wildlife, I guess.

アメリカで採用されるまでにどれだけの時間がかかったでしょうか?

 これは良い質問ですね。S1000Dが広く採用されるまでにどれだけの時間がかかったかを見てみましょう。S1000Dは多くのプロジェクトで成功していましたが、アメリカで採用されるまでにどれだけの時間がかかったでしょうか?オーストラリアが採用するまでにどのくらいの時間がかかったでしょうか?私は今、オーストラリアで多くの人をサポートしていますが、彼らの多くにとってS1000Dは大きなテーマです。では、S1000Dは広く採用されるのでしょうか?他の仕様と同じように、徐々に普及していき、最終的には標準的なものになると考えています。私のキャリアの中ではありませんが、標準的なものになると思います。

 わからないですが、市場が過去に何をしてきたか、そして仕様を採用するのにどれだけ時間がかかったかを見れば、それはわからない。仕様を採用することに実際にメリットがあるかどうかを待つべきではないと思うのです。それには時間がかかると思うのです。組織の名前は挙げませんが、多くの組織がSシリーズとの契約方法について話し始めているのは確かです。これは、トップのグループから下へと伝わっていくものです。ですから、契約要件に要素や部品、あるいはSシリーズ全体が含まれるようになると思いますが、それには時間がかかると思います。

Do you think the S-Series will be widely adopted?

Now this is a good question. Look at how long it took for S1000D to become widely adopted. It was being used quite successfully on many projects but how long it took for the us to adopt it? How long has it taken Australia to adopt it? I'm supporting a lot of people in Australia right now and S1000D is a big subject for many of them. So, do I think it will be widely adopted? I think, like all of these specifications, it will be a slow burn and will eventually become the norm. Not in my employed career time, but I think it will become the norm. I don't know but if we just look at what the market has done in the past and how slow it has been to adopt specifications. I don`t think we should wait to see if there is actually any benefit to adopting the specifications. I think it will take time. I won't name organizations, but we are definitely seeing a lot of organizations start talking about how they're going to be contracting to and for the S-Series. That will only trickle downwards from these groups at the top. So, I'm sure that you're going to start seeing contract requirements calling out elements, parts, or even the entire S-Series, but I think it will take time.

実は、すでにSシリーズの要素を求めるプロジェクトが出始めています。

 実は、すでにSシリーズの要素を求めるプロジェクトが出始めています。私はイギリスでイギリス国防省と仕事をしています。他の組織でもSシリーズの一部を求められているところがありますが、完全ではありませんが、契約要件の中に確実に入ってきています。今ではS1000Dが一般的になっており、多くのプロジェクトでは定型的な要求の一部としてS1000Dを求めていますが、契約書ではより多くのSシリーズが求められるようになると思います。Sシリーズが出てきたかどうか、また求められるようになったかどうか、教えてください。

When do I think projects will start asking for the S-Series?

Actually, we're starting to see projects asking for elements of the S-Series already. I do some work here in the UK with the UK Ministry of Defense. They're already starting to ask for parts of the S-Series and I'm working with some other organizations where they too have been asked for parts of the series, not in its entirety, but we are definitely seeing it trickle down into some contract requirements. S1000D is becoming the norm now and many projects are asking for it as part of a boilerplate requirement, but I think you'll find that in contracts we're going to see more of the S-Series being requested. Let me know if you're starting to see the S-Series coming through and whether you're starting to be asked for it.

実際に実現しているソフトウェアベンダーがいなければ、これらの仕様の採用や実装は不可能です。

 これは本当に良い質問です。というのも、実際に実現しているソフトウェアベンダーがいなければ、これらの仕様の採用や実装は不可能だからです。Sシリーズの仕様の一部または全部の実装に取り組んでいる個々のソフトウェア会社を紹介することはできませんが、Sシリーズを製品ラインに採用する戦略を持っている組織があるため、ベンダー市場が今後数年間でどのように変化していくのかについてチュートリアルを行う予定です。

 繰り返しになりますが、ソフトウェアなしではこのようなことはできません。Sシリーズをやりたいのであれば、ソフトウェア会社と提携し、実際に実現できる人と一緒にやらなければなりません。これは仕様であり、準備してくれるのはソフトウェア会社なのです。

 今年のTDWライブに来ていただければ、Sシリーズをどのようにサポートするか、どうやってすべてをリンクさせるかをすでに話しているソフトウェア会社があります。彼らは実際にお互いに話をしますので、ぜひTDWライブにお越しください。会場に来られない方は、オンラインで参加されてはいかがでしょうか。そうそう、Sシリーズの仕様をサポートしてくれるソフトウェア会社が出てきました。

Are there any software tools available yet to start supporting the S-Series?

This is a really good question because none of these specifications would be made possible in terms of their adoption or implementation if we didn't have the software vendors actually making it happen. Whilst I can't share individual software companies that are working to implement areas or all of the S-Series specifications, I am going to be doing a tutorial on how the vendor market is going to change over the coming years because there are some organizations out there with a strategy for adopting the S-Series into their product line. Again, you aren’t doing any of this without software. If you want to do the S-Series, you're going to have to align yourself with a software company and with somebody who can actually make it happen because these are specifications and the guys that will prepare you are the software companies. Yes, if you come to TDW live this year (I’ll put a link down below) there are some software companies that are going to be there that are already talking about how they are going to be supporting the S-Series and how we can make it all link. They will actually talk to each other so come along to TDW live for that. If you can't make it physically to the event, then why not join us online? But yes, there are software companies starting to make the noises of supporting the S-Series specifications.

あなたの組織はわかりませんが、すぐにSシリーズを求められることになると思います。

 あなたの組織はわかりませんが、すぐにSシリーズを求められることになると思います。S-Seriesのビジョンや戦略があるのか、どうやって導入するのか、プロバイダーと話し合う必要があるでしょう。

 少し前に、SシリーズがCSDBにどのような影響を与えるのか、CSDBは何をしなければならないのかというチュートリアルを行いました。今年のTDWライブでは、IETPがどのように変化していくのか、S-Seriesだけではなく、製品サポートの開発と実装の方法についてお話しする予定です。TDWライブでは、IETPの役割の変化と、市場がIETPソリューションに求めることについてお話しする予定です。

 ですから、私の答えは、あなたが選んだソフトウェアベンダーに、S-Seriesが彼らのレーダーに載っているかどうか聞いてみることです。S-Seriesを使って何かをしようとしているかどうかを聞いてみてください。

How is this going to affect the software that we've already invested in? Will we need to invest in more tools?

Without knowing your specific organization, I think you're going to start being asked for S-Series straight away. You're going to have to have a conversation with your provider to see if they have a vision or a strategy for the S-Series and how they're going to implement them. I did a tutorial a little while back on how the series is going to affect the CSDB and what the CSDB needs to do. For TDW live this year, I'm actually going to be talking about how the IETP is going to change and not just because of S-Series, but because of the way that we are developing and implementing product support. I'm going to be talking at TDW live about the changing role of the IETP and the things that the market is going to be demanding of our IETP solutions. So, my answer is go speak to your software vendor of choice and ask them if S-Series is on their radar. Ask them if they are planning to do something with the S-Series.

近づいてはいるが、まだ準備ができていない」という・・・

 私はILSの専門家ではありませんし、これらの仕様が取り組もうとしていることの多くに精通しているわけでもありませんので、この質問に答えるのに最適な人間ではありません。しかし、私は専門家を知っているので、市場で信頼し、尊敬している人に質問しています。私が受けたいくつかのコメントは、「近づいてはいるが、まだ準備ができていない」というものでした。

 誤解を恐れずに言えば、実際にはこれらのスペックはまだそこまで達していないということです。ギャップや大きな穴があると言う人もいれば、もう少し具体的に言う人もいます。私が信頼している人からのコメントで、共通データモデルはまだ完成していないというものがありました。まだまだ洗練されておらず、少し作業が必要だと思います。しかし、これらの仕様書に注がれている努力とエネルギーのレベルを考えれば、それらがうまく整合して、私たちが使えるようになるまで、そう長くはかからないと思います。

Do I think the S-Series is robust enough? Is it ready?

I've mentioned in some of the past tutorials, I'm just going to turn around and walk back down towards my cameras, that I'm not an ILS expert. I'm not an expert in many of what these specifications are trying to address, so I am not the best person to answer that question. However, I know people who are, so I ask that question to those that I trust and respect in the market. A couple of the comments that I’ve had is that they're close but they're not ready. Putting STE to one side, the reality is that these specs are not quite there yet. Some will tell you that there are gaps and big holes while others will be a little bit more specific. I had one comment from somebody who I know and trust who said the common data model is still not quite there. It's still not quite polished and still needs a little bit of work. But I suspect with the level of effort and energy that's going into these specifications that it won't be long until they are nicely aligned and they're ready for us to use.

いいえ。現在のS1000Dは、単独でも採用して使うことができます。

 いいえ。現在のS1000Dは、単独でも採用して使うことができます。これまで何年も伝統的に使ってきた方法で使うことができます。S2000Mシステムと統合してS2000Mシステムと対話することもできるし、S1000Dをxmlの技術資料を作成するための手法として使うこともできます。すぐにオールオアナッシングになるとは思えません。

 また、「S1000Dを使うなら、他のすべてのSシリーズを使わなければならない」というルールになるとも思えません。S1000Dを使用しても、他のSシリーズの仕様が自分に合わない場合は、あまり気にせずにS1000Dを単独で使用することができるのではないかと思っています。今はまだあまり心配していません。この質問は、私が舞台裏で行われている作業に関わっていることもあり、とても興味深いものでした。

If we're going to use S1000D, does that mean we are going to be expected to use the rest of the S-Series?

No. S1000D as it is today can still be adopted and used in isolation. You can still use it the way that we've been using it traditionally for years. We can use it either integrated with S2000M systems and talking to S2000M systems or we can just use S1000D as a method for creating xml technical publications. I don't see it being an all or nothing anytime soon. I definitely don't see it being a rule that if you use S1000D that you must use and list all the other S-series. I believe that for a long time yet you're still going to be able to use S1000D in isolation without worrying too much about the other S-Series specifications if they're not appropriate to you. I wouldn't be worrying too much just yet. Now this question came in which I thought was really interesting because I am involved in this work that's going on behind the scenes.

それは「CSSTOG」と呼ばれています。

 これは本当に時事的な質問ですが、舞台裏ではS-Seriesのコミュニティによって結成された新しいグループがあり、それは「CSSTOG」と呼ばれています。CSSTOGはイタリアのLeonardoが議長を務めています。私は、世界中のS-Series仕様またはS-Series仕様の要素の主要なトレーナーの多くと同様にこのグループに属しており、このグループの任務の一部は、特定のトレーナーの専門性をどのように認定、認識、承認するかを検討しています。現在、その作業は進行中です。もし詳しい情報が必要であれば、私にご連絡いただければ、喜んでお教えします。

 CSSTOGと呼ばれるこのグループには、25~30人のトレーナーが参加していると思います。シリーズの仕様を採用する際にトレーニングすべき標準的な方法をまとめようとしています。それを見守ってください。まだCSSTOGを知らない方のために、TDWライブで座長が登壇してCSSTOGを紹介してくれることを期待しています。本当に良い人たちが関わっていて、良い頭脳を持った人たちが関わっています。CSSTOGのウェブサイトは現在開発中で、ドイツのある人物が担当しています。それができたら、YouTubeのチャンネルでお届けします。

Is there any formal S-Series certification process right now?

This is a really topical question because behind the scenes there is a new group that has been formed by the S-Series community and it's called the CSSTOG. I can never remember what it stands for, but I’ll put it down below. So, the CSSTOG is actually chaired by Leonardo in Italy. I'm part of that group as are many of the leading trainers of S-Series specifications or elements of the S-Series specifications around the world and part of the remit of that group is looking at how we can certify, recognize, or acknowledge expertise in certain trainers. So that work is going on right now. If you want more information on that, you can contact me, and I’ll be more than happy to share that with you. It`s called the CSSTOG and I think it's probably about 25-30 trainers who are involved in that group. It's about trying to come together on a standardized way of things that should be trained if you are adopting the series specifications. Keep an eye out for that. We're hoping that the chairperson will speak at TDW live and introduce the CSSTOG for those of you who have not heard of it yet. Some really good people are involved with it and some good brains involved with it. The CSSTOG website is in development and that's being driven by a chap out of Germany right now. When it's available I will bring it to you on the YouTube channel. So, the final question actually came in yesterday, today being Sunday, here in the UK.

正直なところ、私はそうは思わないです。その理由はいくつかあります。

 S1000Dユーザーフォーラムの開催が発表されました。メール配信が行われたのはつい数日前だったと思います。私はそこに行く予定ですか?

 正直なところ、私はそうは思わないです。その理由はいくつかあります。1つは、来年ウィーンで開催されるSシリーズのカンファレンスが、私がサポートしているほとんどのプロジェクトにとってより興味深いものになると思います。2つ目は、2022年の初めにアメリカでカンファレンスに参加することです。別の業界のカンファレンスで、統合的な製品サポートに関するプレゼンテーションを頼まれていて、それが2022年の初めに行われる予定です。アメリカに行って、帰国してまたアメリカに行くということは考えていません。もちろん、これはすべてCOVIDに依存しています。そのイベントについては、話してもいいことになったら、またお知らせします。このチャンネルで宣伝することで合意していますので、正式に許可が出たらすぐにお伝えします。

 最後になりますが、現段階では、S1000Dにユーザーフォーラムに参加するほどの大きな進展があったとは思っていません。もし、S1000Dユーザーフォーラムに行ったことがないのであれば、行く価値はあると思いますので、早めに予約するとチケットが割引になると思いますので、申し込まれることをお勧めします。このようなイベントの開催にはかなりの費用がかかるので、十分な参加者がいて、イベントの費用をカバーできるようにしているのだと思います。もしS1000Dのユーザーフォーラムに行ったことがなければ、一度行ってみることをお勧めします。とても楽しいですし、面白い人たちに出会えますよ。それだけではなく、美味しいビールも飲めます。ただ、僕はもう何年ビールを飲んでいないか分からないくらい飲まないんです。何か変化がない限り、アメリカで開催されるS1000Dのユーザーフォーラムに参加する予定はありません。来年後半にウィーンで開催されるIPSユーザーフォーラムやSシリーズユーザーフォーラムには参加する予定です。

Do I plan to be at the S1000D User Forum 2022 in the US in the early part of next year?

If you haven't seen, they announced the S1000D User Forum. I think it was only a couple of days ago that the email blast went out. Do I plan to be there? The honest answer is I don't think so. There's a couple of reasons for that. One is there is going to be an S-Series conference in Vienna next year as well which I think will be more interesting for most of the projects that I support. Secondly, I will be in the States in early 2022 anyways presenting at a conference. I've been asked to do some presentations at another industry conference around integrated product support and that will be happening in the early part of 2022. I don't plan to go to the States and then come home and go back to the States again. This is all COVID dependent of course. I'll bring you more news on that event when I'm allowed to talk about it. We have agreed that I will promote it on this channel, so as soon as I'm given the official green light, I will tell you. Lastly, I do not believe at this stage that there have been significant developments in S1000D that are worth going to a user forum for. Now if you've never been to an S1000D User Forum, it's worthwhile going, so I would suggest that you subscribe because I believe that they've got a discount on tickets if you book early. I guess they're trying to make sure that there's enough interest and they can cover the cost of the event because these events are quite expensive to put on. If you've never been to an S1000D user forum I would suggest you go. They are good fun, and you get to meet some really interesting people. Not only that, but there are some good beers as well. However, I don`t drink anymore because I’ve not touched a beer for I don't know how long. Unless something changes, I do not plan to be at the S1000D user forum in the States. I do plan to be at the IPS User Forum or the S-Series User Forum in Vienna later next year and hopefully I’ll get to see some of you there.

So those are the questions that I’ve had. Again, I am not an official spokesperson for the ASD, AIA, or ATA community. I'm more than happy if you have questions to go and ask the people that I know who the formal spokespeople are. If you want any information on anything that I’ve mentioned during this video, let me know. If you're coming to TDW live, we've got a really good agenda planned. We're talking a lot about the S-Series and how it is going to be implemented in many organizations. We will also talk about the vision for adopting the S-Series. I look forward to seeing you there. Until next time from the beautiful river Aaron here in west Sussex, see you soon.