Loading...
Loading...
------------------------------------------------------------------------
JCIC海外動向ニュースクリップ(2019/7/2)
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】米国防衛調達の重要情報(CUI)管理、2020年から第三者認証へ
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・NIST SP 800-171の準拠評価が、自己証明から第三者認証へ移行予定
・米国CISA、イランのサイバーセキュリティの脅威に関する声明を発表
・仮想通貨取引所ビットゥルーで500万USドル(約5.4億円)分の仮想通貨が流出
------------------------------------------------------------------------
【2】米国防衛調達の重要情報(CUI)管理、2020年から第三者認証へ
------------------------------------------------------------------------
防衛関連の調達に関して、米国政府機関が調達先組織の重要情報(CUI)管理水準を評価するために、第三者による認証制度を採用する見通しだ。現行制度の下では、調達先事業者はDFARS(国防省調達規則)に基づきNIST SP 800-171に準拠した体制を自己証明することとされている。
米国国防省(DoD)の担当官が6月中旬に講演し、認証制度の概要を紹介した。講演資料によると、新たにCybersecurity Maturity Model Certification制度を設け、民間の第三者機関が調達先組織のサイバーセキュリティ対策水準を5段階で評価する。評価用フレームワークは現在開発中で、手動措置に過度に依存せず(semi-automated)、コスト効率を重視した認証制度を設計することで、中小規模の事業者も最低要件(レベル1)を充足できる制度を目指す。同制度の導入と同時にサイバーセキュリティに関する教育訓練センターも設けるとしている。
Cybersecurity Maturity Model Certification始動後は、調達案件ごとに必要なレベルが設定され、それを充足する組織が調達に参加できる仕組みになる。6月時点の計画によれば、DoDは評価用フレームワームの開発を2019年7月までに完了し、初版を2020年1月に公開する。2020年6月をめどに認証機関の認定を開始する。
防衛関連企業から軍事機密情報が流出することを防ぐべく、DoDは重要情報の管理に特化した要件を定め、大小さまざまな事業者からなるサプライチェーンを包含するリスク管理策をとっている。これは包括的なセキュリティ対策を求めるアプローチと対比をなす考え方である。この取り組みはDoDのリスク観を反映したものであり、企業間の情報管理策を考えるうえでも参考にすることができる。
CUIに関して、NISTは6月19日にSP 800-171の第2版とSP 800-171Bを公開している。いずれも草案で、NISTは7月19日までコメントを受け付けている。SP 800-171の改定は、構成の組み換えが主な趣旨。SP 800-171BはAPT(Advanced Persistent Threat)への対応などを念頭に置いたセキュリティ対策事項からなり、CUIを扱う重要情報資産やプログラムに適用することを推奨する。CUIを扱う業務従事者に対するスクリーニングの強化と再実施、重要度の高い情報などを扱うシステムの操作を2名で実施することなどを挙げている。米国政府調達の動向は、日本の製造業などにも影響があるため、今後の動向を注視したい。
(参考情報)
2019 Federal Acquisition Conference https://www.pscouncil.org/AcquisitionConference/Recap/_Conference/AcquisitionConference/Federal_Acquisition_Conference_Recap.aspx
NIST Special Publication 800-171 Revision 1 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r1.pdf
NIST Updates SP 800-171 https://www.nist.gov/news-events/news/2019/06/nist-updates-sp-800-171-help-defend-sensitive-information-cyberattack
Request for Comments on Draft SP 800-171B https://csrc.nist.gov/CSRC/media/Publications/sp/800-171b/draft/documents/sp800-171B-and-dod-cost-estimate-request-for-comments.pdf
------------------------------------------------------------------------
【3】海外政策動向一覧(2019年6月15日~2019年6月28日)
------------------------------------------------------------------------
2019年6月18日 米国NIST、アクセス制御システムに関する考察ガイドを公開
米国国立標準技術研究所(NIST)は、Special Publication(SP)800-205を発表し、アトリビューション(認証におけるIDやパスワードなどの属性情報)ベースのアクセス制御に関するガイドを公開した。2014年に作成されたSP800-162の最新版であり、従来のロールベースのアクセス制御方法の代替を検討している機関に役立つとしている。このガイドでは、アクセス制御システムを確立する際に考慮すべき5分野(計画性、正確性、安全性、更新頻度、管理)に関する推奨事項を提供している。
https://csrc.nist.gov/news/2019/nist-publishes-sp-800-205
2019年6月20日 米国政府が、ICT調達に関する提言を作成
米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)とICT Supply Chain Risk Management(SCRM)タスクフォース(※1)のメンバーは、ワシントンD.Cで会合を開き、産業界や政府のステークホルダーがICTサプライチェーンにおいてより効果的なリスク管理を実現するために最初の提言の進捗を作成した。会議では、ICTの購入先をOEM(※2)と正規販売代理店のみとするなどの、偽造ICT調達を防ぐための政府取得規制案が満場一致で承認された。
(※1)ICTサプライチェーンに対するリスク管理を行う国内初の官民パートナーシップ
(※2)製造を発注した相手先のブランドで販売される製品を製造する企業
https://www.dhs.gov/cisa/news/2019/02/26/cisa-s-ict-supply-chain-risk-management-task-force-launches-work-streams
2019年6月21日フロリダ州リビエラビーチ市がランサムウェアの身代金を支払う
米国フロリダ州リビエラビーチ市が3週間前にランサムウェア(身代金要求ウイルス)に感染し、市のコンピュータが使用できなくなる被害に遭ったことに対し、同市議会はシステム復旧のために犯人の要求に応じて身代金65ビットコイン(約60万USドル=6400万円相当)を支払うことを満場一致で決めた。身代金には市の保険給付金が充てられる。また、同市議会は新しいコンピュータとハードウェアの導入に約100万ドル(1億700万円相当)を投入する決議も行った。フロリダ州レイクシティ市もランサムウェアの攻撃を受け、50万ドル(約5400万円相当)の身代金を支払う決定を下した。
https://www.cbsnews.com/news/ransomware-attack-florida-city-pays-600000-to-hackers-who-seized-its-computer-system/
2019年6月22日 米国CISA、イランのサイバーセキュリティの脅威に関する声明を発表
米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、イラン政権関係者などによる米国産業界や政府機関へのサイバー攻撃の増加を確認していること、イランのサイバー活動の監視と情報共有の必要性、米国と同盟国の安全のためにサイバーセキュリティパートナーとの連携を続けるとの声明を発表した。攻撃の特徴として、データを破壊するコンピュータウイルス「ワイパー」が増加し、データや金銭の盗用以上のことを狙っていると公表した。対策として、多要素認証などの基本的防御の強化、攻撃が疑われた場合の迅速な行動が重要であるとし、その他最良実施例も紹介している。一方、米国メディアの報道によると、米国はイランの諜報機関に対してサイバー攻撃作戦を行ったとのこと。
https://www.dhs.gov/cisa/news/2019/06/22/cisa-statement-iranian-cybersecurity-threats
https://www.nytimes.com/2019/06/22/us/politics/us-iran-cyber-attacks.html
2019年6月25日 NIST、IoTセキュリティに関するリスクレポートを公開
米国国立標準技術研究所(NIST)は、IoTのサイバーセキュリティとプライバシーのリスクに関するレポート(NISTIR 8228)を公開した。このレポートでは、IoTのリスクを軽減するための3つのゴールとして、端末のセキュリティ、データセキュリティ、個人のプライバシーを挙げている。
https://csrc.nist.gov/News/2019/nist-publishes-nistir-8228
2019年6月27日 仮想通貨取引所ビットゥルーで500万USドル(約5.4億円)分の仮想通貨が流出
シンガポールの仮想通貨取引所Bitrue(ビットゥルー)がサイバー攻撃によって約500万USドル(日本円で約5.4億円相当)の仮想通貨が流出したと発表した。今回のサイバー攻撃は同社システムの脆弱性が利用され、ユーザー約90人が攻撃の被害に遭った。なお、顧客資産は保険で補償されるとのこと。
https://twitter.com/BitrueOfficial
2019年6月27日 元EquifaxのCIOがインサイダー取引で有罪判決
米国信用情報会社エクイファックス(Equifax Inc.)は、2017年9月にサイバー攻撃によって1.4億人分の情報が流出した。当時のCIOは、流出情報が公開される前に自社株を売却し、株価下落による1000万円以上の損失を回避した。このインサイダー取引で元ICOは有罪判決となり、4ヶ月の刑務所入りと罰金などが科せられた。
https://www.justice.gov/usao-ndga/pr/former-equifax-employee-sentenced-insider-trading
------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
6月4日 WebセキュリティのImperva社がボットネット対策のDistil Networks社を買収
6月6日 リアルタイム検索技術のエラスティック社がEndgame社の買収を発表
6月6日 Cisco社が産業用IoTプラットフォームのSentryo社の買収を発表
6月12日 エンドポイントセキュリティなどを提供するクラウドストライク社がNasdaqに上場【IPO情報】
6月12日 インテル社がネットワーク製品やソフトウェアを提供するBarefoot Networksを買収
6月13日 パロアルトネットワークスがサーバレスセキュリティのPureSec社の買収を完了
6月18日 アクセンチュアがIoTセキュリティなどを提供するDeja vu Security社の買収を発表
6月19日 Onapsis社がSAPアプリケーションのセキュリティなどを提供するVirtual Forge社の買収を発表