Loading...
----------------------------------------------------------------------
世界経済フォーラム(WEF)、グローバルリスク報告書2021年版を発表(1/26配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・CISA、クラウドサービスを標的とする攻撃者から防御するためのセキュリティ強化に関するアドバイサリーを公表
・FBI、在宅勤務する個人を狙った音声フィッシング(Vishing)への警戒を呼びかけ
・ENISA、医療機関向けクラウドサービスのセキュリティレポートを公表
・世界経済フォーラム(WEF)、グローバルリスク報告書2021年版を発表
・米国Walmart、イリノイ州BIPA違反に関する集団訴訟の和解金が約10億円に到達すると判明
・シンガポール、IoTセキュリティ評価スキーム(CLS)の対象拡大、及びサイバー攻撃対策ガイドラインの改正
----------------------------------------------------------------------
【2】海外政策動向一覧(2021年1月13日~2021年1月22日)
----------------------------------------------------------------------
2021年1月13日 CISA、クラウドサービスを標的とする攻撃者から防御するためのセキュリティ強化に関するアドバイサリーを公表
米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、クラウドサービスを標的とする攻撃者から防御するためのセキュリティ強化に関するアドバイサリーを公表した。このレポートは、CISAインシデント対応の取り組みからのみ得られたものであり、戦術、手法、および手順や、CISAが観測した侵入の痕跡(IOC)、潜在的な攻撃から保護、検出、対応するために組織がクラウド環境の構成を強化へ向けた推奨される緩和策を提供する。
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a
2021年1月14日 米国FBI、在宅勤務する個人を狙った音声フィッシング(Vishing)への警戒を呼びかけ
米国FBIは、在宅勤務者を狙う音声フィッシング(Vishing)による攻撃増加への注意を喚起した。VPNやその他の認証情報を得て企業のネットワークへのアクセス獲得を目的としており、FBIによれば、ソーシャルエンジニアリングや、VishingなどのVoIPサービスを利用して在宅勤務する社員を狙う手法は2020年から増加している。社員のアカウントは特権アクセス権へエスカレーションすることが可能であるため、一旦アクセス権限を獲得してしまえば、サイバー犯罪に大きく有利となる一方で、企業は財務上大きな打撃を受ける事になる。
https://assets.documentcloud.org/documents/20458329/cyber-criminals-exploit-network-access-and-privilege-escalation-bleepingcomputer-210115.pdf
2021年1月18日 ENISA、医療機関向けクラウドサービスのセキュリティレポートを公表
欧州ネットワーク情報セキュリティ機関(ENISA)は、ヘルスケアサービスのクラウドセキュリティレポートを公開した。このレポートは、クラウドサービスでさらにデジタル化するためのヘルスケア組織向けのサイバーセキュリティガイドラインを提供する。昨年初めに公開されたENISAの病院におけるサイバーセキュリティの調達ガイドラインに基づいて、クラウドサービスのサイバーセキュリティリスクを評価し、ヨーロッパのヘルスケアセクターに安全に統合するための優れたプラクティスを提供する。
https://www.enisa.europa.eu/news/enisa-news/securing-cloud-services-for-health
2021年1月19日 世界経済フォーラム(WEF)、グローバルリスク報告書2021年版を発表
世界経済フォーラム(WEF)は、世界の政府や企業など650の加盟機関・企業の意見を基に、世界が抱えるリスクをまとめた2021年度版「グローバルリスク報告書」を発表した。今回は初めて、短期的(0~2年)、中期的(3~5年)、長期的(5~10年)といったリスクに関する期間が含まれている。短期的なリスクとして、2つのテクノロジーリスク(サイバーセキュリティの失敗、デジタル不平等)がトップ10にランキングされた。また、中期的には、トップ10に3つのテクノロジーリスク(ITインフラの故障、サイバーセキュリティの失敗、テックガバナンスの失敗)が挙がった。更にレポートでは、パンデミックによって医療・経済・デジタルにおける格差は、更に悪化する恐れがあることを指摘している。
https://www.weforum.org/press/2021/01/the-world-needs-to-wake-up-to-long-term-risks
2021年1月20日 米国Walmart、イリノイ州BIPA違反に関する集団訴訟の和解金が約10億円に到達すると判明
イリノイ州バイオメトリック情報プライバシー保護法(BIPA)違反に関して、米国Walmartに対する集団訴訟の罰則金が1千万米ドル(約10億円)に達することが明らかとなった。これはWalmartが現金レジシフトの際に、従業員を特定・本人確認する目的で手のひら静脈スキャンを使用したことを受けたもので、書面による同意を得ずに静脈スキャンを強制したことがBIPAに違反するとして、2019年に約21,677人による集団訴訟が発生していた。
https://iapp.org/news/a/walmart-to-pay-illinois-employees-10m-in-bipa-settlement/
2021年1月21日 シンガポール、IoTセキュリティ評価スキーム(CLS)の対象拡大、及びサイバー攻撃対策ガイドラインの改正
シンガポールのサイバーセキュリティー庁(CSA)は、IoTセキュリティ評価スキーム(CLS)の導入対象をすべてのIoT機器へと拡大した。2020年に導入されたCLSは4段階の星印で評価する仕組みで、消費者がIoT機器を購入する際のセキュリティレベルの判断を容易にする。任意制度のため、申請・評価は企業の自由。今回の対応でこれまでWi-Fiルーターとスマートホームハブに限定されていた対象が、IPカメラ、スマートドアロックやプリンタなども対象となる。
また、シンガポールでは、2021年1月18日、金融管理庁(MAS、中央銀行に相当)が、金融機関のサイバー攻撃対策に関するガイドラインを改正した。サイバー攻撃の手口が巧妙化、多様化していることを受けた措置で、ITサービスのプロバイダーの信頼性を確認することなどが盛り込まれた。
https://www.csa.gov.sg/programmes/cybersecurity-labelling/updates
https://www.mas.gov.sg/news/media-releases/2021/mas-enhances-guidelines-to-combat-heightened-cyber-risks
----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
1月6日 アイルランドのSysnet Global Solutions社が米国のNuArxを買収
1月8日 Redhat社がコンテナセキュリティ企業Stackrox社を買収
1月12日 仏Atos社がサイバーセキュリティ企業In Fidem社を買収
1月12日 Huntress社、EDRセキュリティ会社のLevel Effect社を買収