Loading...
----------------------------------------------------------------------
EUサイバーセキュリティ戦略を発表 ~更なるレジリエンスの強化へ~(12/22配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・中国商務部 商用パスワード技術/品目の輸出入制限を通告
・ENISA、セキュリティ投資レポートを公開
・米国国土安全保障省、政府機関ハッキングを受けて緊急指令発令
・ENISA、AIセキュリティの脅威ランドスケープ報告書を公開
・データ保護委員会(DPC)、GDPR違反によりTwitter社に45万ユーロの罰金を科すことを発表
・NISTがIoTサイバーセキュリティに関するガイダンスのドラフトを発表
・EUサイバーセキュリティ戦略を発表
・CISA、ICTサプライチェーンのリスク管理タスクフォースのレポートをリリース
・Atos社がMotiv ICTセキュリティ社を買収
----------------------------------------------------------------------
【2】海外政策動向一覧(2020年12月2日~2020年12月18日)
----------------------------------------------------------------------
2020年12月2日 中国商務部 商用パスワード技術/品目の輸出入制限を通告
2020年1月より施行した「中国暗号法」「輸出管理法」等に基づき、中国商務部暗号管理局は、商用パスワードの輸入許可制、および輸出管理制限の実施を通告した。「商用パスワード輸入許可一覧」や「商用パスワード輸出管理一覧」に列挙されている品目/技術は、商務部に対する輸入/輸出許可申請が必要となる。これらの輸出入活動は税関による監督・検査の対象となり、法律違反が認められる場合には刑事責任が追及される。
※なお、12月8日に暗号管理局からパスワードアプリケーション評価に関する要求・ガイドラインが発表されている。
https://www.oscca.gov.cn/sca/xwdt/2020-12/02/content_1060787.shtml
https://sca.gov.cn/sca/xwdt/2020-12/08/content_1060792.shtml
2020年12月11日 ENISA、セキュリティ投資レポートを公開
欧州ネットワーク情報セキュリティ庁(ENISA)は、5カ国(フランス、ドイツ、イタリア、スペイン、ポーランド)にある251の組織を対象としたセキュリティ投資に関する調査レポートを公開した。2018年に発効されたNIS指令(重要インフラにセキュリティレベルの向上を求める指令)により、どのような影響があったのかを分析し、指標を提示している。このレポートでは、セキュリティ投資の傾向、投資内訳、人員数などが掲載されており、日本の組織にも役立つ内容になっている。
https://www.enisa.europa.eu/publications/nis-investments/
2020年12月13日 米国国土安全保障省、政府機関ハッキングを受けて緊急指令を発令
米国国土安全保障省(DHS)は緊急指令を発令し、管理下にあるサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)を通じて米国連邦行政機関に対するネットワークトラフィック管理ソフト「SolarWinds Orion」の即時利用停止を命じた。当該製品の特定のバージョンに悪意のあるバックドアが含まれていることが発覚しており、攻撃者による乗っ取りを可能としていた。当該製品は、米国においてネットワーク管理に広く利用されており、行政機関システムからの情報流出といった重大な影響が発生した可能性が高いと指摘されている。
https://cyber.dhs.gov/ed/21-01/
https://attack.mitre.org/tactics/TA0003/
2020年12月15日 ENISA、AIセキュリティの脅威ランドスケープ報告書を公開
欧州ネットワーク情報セキュリティ庁(ENISA)は、AIアプリケーションが当面するサイバーセキュリティ上の主要な課題についての報告書を公開した。デジタルトランスフォーメーションにおいては、AIが意思決定に係る重要な役割を担うことが多いことから、サイバーセキュリティの観点にたって以下を明確にすることが重要だと強調している。
・AIアプリのライフサイクル(要件分析~導入)の各段階におけるサービス範囲
・エコシステム全体からみたデータ保護のニーズと対象
・AIアプリの利用により発生し得る懸念事項や脆弱性、攻撃シナリオ
https://www.enisa.europa.eu/publications/artificial-intelligence-cybersecurity-challenges
https://www.enisa.europa.eu/news/enisa-news/enisa-ai-threat-landscape-report-unveils-major-cybersecurity-challenges
2020年12月15日 データ保護委員会(DPC)、GDPR違反によりTwitter社に45万ユーロの罰金を科すことを発表
アイルランドのデータ保護委員会(DPC)は、Twitter社に対して45万ユーロ(日本円で5700万円相当)の罰金を科すことを発表した。2019年1月に、「ツイートの保護」サービスを使用している際に、一部のユーザーの非公開のツイートが誤って公開されたことが明らかになった。その後のDPCの調査で、Twitter社がGDPRの第33条(1)および第33条(5)へ違反していることが判明した。違反通知を受け取った後、違反をDPCに期限内に通知しなかったこと、およびそれを適切に文書化できなかったため今回の判決に至った。
https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-twitter-inquiryhttps://www.compliancejunction.com/twitter-fined-e450k-by-irish-data-protection-authority-for-gdpr-breach/
2020年12月15日 NISTがIoTサイバーセキュリティに関するガイダンスのドラフトを発表
米国国立標準技術研究所(NIST)は、IoTサイバーセキュリティに関する4つ新しいガイダンスのドラフトを発表した。4つのドキュメント(NIST Special Publication(SP)800-213およびNIST Interagency Reports(NISTIR)8259B、8259C、および8259D)は、連邦政府が導入を検討しているIoT機器が情報システムにどのように統合できるかを検討する上での役立つ背景や推奨事項が記載されている。SP 800-213は、連邦政府機関向けのガイダンスであり、NISTIR 8259シリーズは、IoTデバイスメーカーがSP800-213のガイダンスを実装するためのガイダンスとなる。
https://www.nist.gov/news-events/news/2020/12/nist-releases-draft-guidance-internet-things-device-cybersecurity
2020年12月16日 EUサイバーセキュリティ戦略を発表 ~更なるレジリエンスの強化へ~
欧州連合(EU)などは、新しいEUサイバーセキュリティ戦略を発表した。この戦略では、サイバー脅威に対する欧州のレジリエンス強化により、信頼できるサービスやデジタルツールの恩恵を受けられるようにすることを目指す。また、EUがサイバー空間での国際基準や規格に関するリーダーシップを強化し、安全なサイバー空間の促進に向けた世界各地のパートナーとの協力を拡充する。さらに、物理的なレジリエンスにも対応するため、サイバー攻撃から犯罪や自然災害までインターネット内外のリスクに対応することを目指す。
https://ec.europa.eu/commission/presscorner/detail/en/ip_20_2391
2020年12月17日 CISA、ICTサプライチェーンのリスク管理タスクフォースのレポートをリリース
米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と情報通信技術(ICT)サプライチェーンリスク管理(SCRM)タスクフォースの政府および業界メンバーは、サプライチェーンに関するパートナーシップと分析の進捗状況に関する年次報告書を発表した。SCRMタスクフォースの2年目のレポートは、去年から継続した作業に基づいており、新しいワーキンググループであるワーキンググループ5は、最近、COVID-19パンデミックがICTサプライチェーンに与える影響に関する分析レポートを発表した。本レポートは、利害関係者がリスクを特定、把握し、協力してリスクに対処する上での理解と自己評価に役立つものである。
https://www.cisa.gov/news/2020/12/17/cisa-releases-ict-supply-chain-risk-management-task-force-year-2-report
https://www.cisa.gov/sites/default/files/publications/ict-scrm-task-force_year-two-report_508.pdf
----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
12月2日 WELL Health Technologies社がカナダのSource 44社を買収
12月7日 ノートンライフロック社がサイバーセキュリティ会社Avira社を買収
12月8日 フォーティネット社がSaaSプラットフォームを提供するPanopta社を買収
12月14日 ManTech社がTapestryテクノロジーズ社を買収
12月16日 Atos社がMotiv ICTセキュリティ社を買収