Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
EU各国でGDPR違反により制裁金を課す事例が相次ぐ(5/12配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
JCIC海外動向ニュースクリップ(2020/5/12)
----------------------------------------------------------------------

各位

今回の「海外の政策動向、M&A/IPO動向」を配信させていただきます。
本メールの配信先追加、配信先変更、配信停止をご希望の方は info@j-cic.com までご連絡ください。

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・EU各国でGDPR違反により制裁金を課す事例が相次ぐ
・基幹電力網の保護強化へ向け米大統領令
・医薬品開発企業等に注意促す 米英が合同アラート
・「自宅でテレワークをする時に気をつけるべきサイバーセキュリティ上のポイント」ENISAレポートより
・Zoom Video Communications社が暗号サービスを提供するKeybase社を買収

----------------------------------------------------------------------
【2】海外政策動向一覧(2020年4月18日~2020年5月8日)
----------------------------------------------------------------------
2020年4月30日 EU各国でGDPR違反により制裁金を課す事例が相次ぐ
ベルギー、オランダ、スウェーデンの当局がGDPR違反のため制裁金を課す決定を相次いで行った。ベルギーのデータ保護監督機関「APD」は、請求書の誤送付と個人データの不正開示を行った企業に対して5万ユーロ(日本円で約580万円相当)の制裁金を課した。オランダのデータ保護監督機関「AP」は、指紋認証による勤怠管理において従業員の同意を得なかった企業に対して72.5万ユーロ(日本円で約8300万円相当)の制裁金を課した。また、スウェーデンでは、国家サービスセンターが個人データ侵害を個人に通知するのが遅れたとして1.87万ユーロ(日本円で約220万円相当)の制裁金を課した。
https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_NL_.pdf
https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers
https://www.datainspektionen.se/nyheter/the-swedish-data-protection-authority-issues-fine-against-the-national-government-service-centre/

2020年5月1日 基幹電力網の保護強化へ向け米大統領令
米国トランプ大統領は5月1日、基幹電力網への有害活動を念頭に、関係省らに対し保護施策の強化を求める大統領令に署名した。基幹電力網への外国企業の参入を制限する内容。サイバー活動を含む有害活動の標的となっていることがその理由。外国敵対勢力が脆弱性を生成、悪用する事例が増加しつつあり、外資電子機器を無制限に採用することで、脆弱性の悪用余地が拡大し、国家安全保障上の脅威が増大すると指摘している。
https://www.whitehouse.gov/presidential-actions/executive-order-securing-united-states-bulk-power-system/

2020年5月5日 医薬品開発企業等に注意促す 米英が合同アラート
新型コロナウイルスに乗じたサイバー攻撃が医薬品研究機関等に向けられているとして、米CISA(Cybersecurity and Infrastructure Security Agency)と英NCSC(National Cyber Security Centre)が共同で警戒情報を発出した。医療機関や製薬企業、大学、研究所、自治体が主な攻撃対象。製薬企業、大学、研究所では、取引先を経由した侵入やリモートアクセスで用いられる製品の既知の脆弱性を悪用したサイバー攻撃が多発しており、研究データや知財の窃取が目的と推定される。また、複数の世界的保健機関や医療機関等でパスワードスプレイによる不正ログインが確認されたという。すでに周知済みの対策事項へのリンク集のほか、視覚的にまとめたPDFファイルも用意された。
https://www.us-cert.gov/ncas/alerts/AA20126A
https://www.cisa.gov/sites/default/files/publications/Joint_CISA_UK_Tip-COVID-19_Cyber_Threat_Exploitation_S508C.pdf

----------------------------------------------------------------------
【3】「自宅でテレワークをする時に気をつけるべきサイバーセキュリティ上のポイント」ENISAレポートより
----------------------------------------------------------------------
欧州ネットワーク情報セキュリティ庁(ENISA)は、「自宅でテレワークをする時に気をつけるべきサイバーセキュリティ上のポイント」をまとめている。皆様への参考情報として、本レポートの抄訳版を以下にまとめる。

「自宅でテレワークをする時に気をつけるべきサイバーセキュリティ上のポイント」

【1】サイバーセキュリティを担保するための雇用者・従業員へのアドバイス

【雇用者向けアドバイス】
1) 会社のVPNを確認、多くの場所から同時に接続できるようにしておく
2) お客さまにとって安全なビデオ会議ができるようにしておく(音声、映像両方)
3) すべてのビジネス・アプリケーションを、SSL、VPN、IPSec VPNなど暗号化されたチャネルを通じてのみアクセス可能にしておくこと
4) 申請サイトは多要素認証を利用して保護しておくこと
5) リモートアクセスのインターフェースをRDPなどでインターネットに直接さらさないこと
6) 会社のシステムにアクセスするときには相互認証を推奨
7) テレワークの際には社員(従業員)に会社のコンピュータ、デバイスを貸与すること。その際、アップデートされたセキュリティ・ソフト、セキュリティ・パッチを備えていること、定期的にパッチレベルのチェックをするよう社員に求めることを確認。代替のデバイスも用意しておくこと
8) 社員の個人所有のコンピュータやデバイスの利用(BYOD)にあたっては、NAC、NAPプラットフォームを使い、厳しくチェックすること(パッチチェック、設定チェックなど)
9) テレワーク時の技術的トラブルについてITサポートが適切に出来るかをチェックすること。
10) セキュリティ・インシデントや個人情報流出などに関する社の対応方針ができているか確認、社員がそれについての情報を適切に得ているかを確認すること
11) 雇用者によるスタッフに関するデータの取り扱いがEUのデータ保護法に遵守しているかを確認すること

【従業員向けアドバイス】
1) 個人のではなく会社のコンピュータを使うこと。ただし上記8)の通り、確認済みのコンピュータはその限りではない。可能な限り仕事とプライベートでは別のデバイスを使うこと。特に、コロナウィルス関連のメールには注意を払うこと
2) セキュアなネットワークを通じてインターネットにアクセスすること。オープンなネットワーク、無料のネットワークは避けること。最近の家庭のWifiネットワークはほぼセキュアだが、古いものはその限りではない。セキュアでないネットワークの場合、自分のトラフィックがこっそり見られる可能性があるし、乗っ取られることもありうる。暗号化はアクティベートさせること。会社とつながっているセキュアなネットワークを利用することでリスクはある程度少なくできる。
3) セキュアではない可能性がある接続で会社の機密情報を(メールなどで)やり取りすることは避けること
4) 仕事上のファイルをやり取りする場合は、出来る限り会社のイントラネットを使うこと。
5) コロナウィルスに言及するメールには特に注意すること。フィッシングメール、詐欺メールの可能性がある。メールの出元が疑わしい場合には、会社のセキュリティ担当者にコンタクトすること。
6) ローカル・ドライブなどの使っていないデータを暗号化すること。これは盗難やデバイスの紛失を防ぐ。
7) アンチウィルス、アンチマルウェアなどのソフトウェアをインストールし、完全にアップデートしておくこと
8) システム(オペレーティング・システムやアプリケーション、アンチウィルス・システム)をアップデートしておくこと
9) シェア・スペースで仕事している場合にはスクリーンをロックすること(ただしコワーキング、シェア・スペースは現時点では絶対に避けるべき。他の人との距離を十分に保つsocial distancingが今きわめて重要)
10) バーチャル・ミーティングのURLを、SNSやみんなが見られるところに開示しないこと。認証されていない第三者が入って来る可能性がある)

【2】新型コロナウィルスに関するフィッシング詐欺について
 フィッシング攻撃が実際に増えている現在、デジタル・セキュリティに関する意識レベルを上げておくことが重要。攻撃者たちは今の状況につけ込もうとしており、警戒が必要。

 信頼できそうな出元から来たメールでも、認証情報などを聞いてきたり、更新を勧めてきたりするものは疑ってかかること。信頼性を確かめること。メール中のリンクをクリックしたり、添付ファイルを開かないこと。

 知らない人からのメールには特に注意すること。リンクに接続したり、添付ファイルを開くことを勧めてくる場合にはさらに注意すること(疑いがある場合はセキュリティ担当者に電話すること)

 緊急性をイメージさせたり、深刻な結果を匂わせたりするメールはフィッシング詐欺の可能性が大いにあるので、要求に応じる前に他の手段で確認すること。

 知っている人からのメールでも、いつもとは違うことを依頼してくる場合には疑うこと、可能であれば電話して確認すること。

(原文)Tips for cybersecurity when working from home
https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home
*オリジナルは2020年3月24日にENISAよりプレスリリースとして公開。翻訳版の許諾に時間を要したため現時点でのご紹介となった。

----------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
4月7日 アクセンチュアが米国でOT/ITセキュリティを提供するRevolutionary Security社を買収
4月9日 投資会社Investcorp Technology PartnersがドイツのAvira社を買収
4月16日 SOARソリューションを提供するSwimlane社がインシデント管理のSyncurity社を買収
4月16日 金融向けソリューションを提供するAuriga社がS21sec社のセキュリティモジュールLDM事業を買収
4月30日 アクセンチュア、シマンテックのサイバーセキュリティサービス事業をブロードコムから買収完了
5月7日 Zoom Video Communications社が暗号サービスを提供するKeybase社を買収