Loading...
----------------------------------------------------------------------
NIST、連邦政府基準「SP800-53」改訂版を公開(9/29配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISA、イランが関連する米国を標的とした組織的サイバー攻撃活動を確認したと発表
・米国司法省、中国のサイバー攻撃者を起訴
・ブラジルのデータ保護法(LGPD)が発効
・NIST、連邦政府基準「SP800-53」改訂版を公開
----------------------------------------------------------------------
【2】海外政策動向一覧(2020年9月12日~2020年9月25日)
----------------------------------------------------------------------
2020年9月15日 米国CISA、イランが関連する米国を標的とした組織的サイバー攻撃活動を確認したと発表
米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、連邦捜査局(FBI)の協力を得て、イランを拠点とするサイバー攻撃者が、米国連邦政府機関やその他の米国を拠点とするネットワークを標的としていることを認識したと発表した。この攻撃者が、VPN製品のぜい弱性などを利用し、標的のネットワークへのアクセス後、数か月に渡り、ネットワークのアクセス権を維持し、データ搾取を試みていることを観測したと報告した。また、FBIは、この攻撃者は、ランサムウェアを被害者のネットワークに展開する意図もあると指摘している。
https://us-cert.cisa.gov/ncas/alerts/aa20-259a
2020年9月16日 米国司法省、中国のサイバー攻撃者を起訴
米司法省は、世界で100組織以上のシステムに不正侵入したとして、中国政府と関係のあるサイバー攻撃者(APT41)を含む7名を起訴した。政府機関、NPO団体、通信事業者、IT企業などが標的となり、システムの不正侵入後にランサムウェア攻撃や暗号資産の不正マイニングなどを行っていた。また、英国政府は米国の対応についての支持を表明している。
https://www.justice.gov/opa/pr/seven-international-cyber-defendants-including-apt41-actors-charged-connection-computer
https://www.gov.uk/government/news/uk-warns-of-chinese-global-cyber-attacks
2020年9月18日、ブラジルのデータ保護法(LGPD)が発効
ブラジルのプライバシー規制であるデータ保護法(Le Geral deProtecaode Dados Pessoais、「LGPD」)が2020年8月16日に遡って発効された。新型コロナウイルスの影響を受け、発効を延期する予定であったが、上院で延期提案が却下されたことから遡及的な発効となった。LGPDは、GDPRの影響を受けており、多くの部分において共通点がある。なお、罰則規定の適用は一年後の2021年8月1日からとなる。
https://www.csis.org/blogs/technology-policy-blog/brazils-data-protection-law
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm
2020年9月23日 NIST、連邦政府基準「SP800-53」改訂版を公開
米国国立標準技術研究所(NIST)は、米国連邦政府のセキュリティ・プライバシー保護のコントロールに関するガイドライン「NIST Special Publication 800-53」の改訂版(Revision 5)を正式リリースした。483ページに渡る文書では、制御システムやIoTのセキュリティ、サプライチェーンなど、あらゆるリスク管理に使用できるよう更新されており、単なるマイナーアップデートではなく、全面的な改訂版になっているとのこと。米国政府と取引のある民間企業なども本ガイドラインが一部採用されており、今後の影響があると見込まれる。なお、以前のバージョン(Revision 4)との比較資料は近日中に公開される。
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
https://www.nist.gov/blogs/cybersecurity-insights/next-generation-security-and-privacy-controls-protecting-nations
----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
9月1日 RSAがDell Technologiesから独立し、RSA Securityを設立
9月4日 セキュリティ教育サービスを提供するKnowBe4社が上場予定【IPO情報】
9月8日 MSSP事業を展開するCyberCX社がニュージーランドのInsomnia Security社を買収
9月8日 CyberRisk Alliance社がポッドキャストでニュースを提供するSecurity Weeklyを買収
9月10日 Secureworks社が脆弱性管理プラットフォームを提供するDelve社を買収
9月10日 ThreatConnect社がリスク分析製品を提供するNehemiah Securityを買収
9月16日 Check Point Software社がスタートアップのOdo Security社の買収意向を表明