Loading...

Loading...

JCIC logo

JCIC海外ニュースクリップ

----------------------------------------------------------------------
JCICコラム「2020年中国のインターネット発展状況インフォグラフィクス」(5/11配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム「2020年中国のインターネット発展状況インフォグラフィクス」解説
・韓国インターネット振興院、セキュリティ分野へのAI技術適用を目標としたサイバーセキュリティ AIデータセットの構築を発表
・中国国家標準化委員会が「コネクテッド・カーのデータセキュリティ要件(草案)」の意見募集を開始
・クラウドセキュリティアライアンス、クラウドインシデント対応(CIR)フレームワークを公開
・米国DHS長官、中小企業にランサムウェアの攻撃から防御するよう要請
・Thoma BravoがProofpointを買収、アクセンチュアがフランスのOpenmindedの買収を公表
・英国大使館よりCyberUKのお知らせ:5月11・12日開催

----------------------------------------------------------------------
【2】JCICコラム「2020年中国のインターネット発展状況インフォグラフィクス」
----------------------------------------------------------------------
(中国のインターネット発展状況に関するコラムを作成しました。本内容は、5月のJCIC会合でもご紹介する予定です。以下、レポートの抜粋です。)

JCICでは、中国における昨今のインターネット空間における発展状況や動向への理解を深めることを目的として、中国国務院(CAC)の直轄機関である「中国インターネット・ネットワーク・インフォメーション・センター(CNNIC)」により作成された報告書と、2001年に設立された「中国CSIRT」により作成された報告書である以下2点のうち、特に日系企業の関心が高いと思われる情報を本資料に抜粋して紹介します。
・「第47回中国インターネット発展状況報告書」(CNNIC作成)
・「2020年上半期サイバーセキュリティ分析報告書」(中国CERT作成)

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c

----------------------------------------------------------------------
【3】海外政策動向一覧(2021年4月20日~2021年5月7日)
----------------------------------------------------------------------
2021年4月20日 韓国インターネット振興院、セキュリティ分野へのAI技術適用を目標としたサイバーセキュリティ AIデータセットの構築を発表
韓国インターネット振興院(KISA)は、科学技術情報通信部とともに官民連携で「サイバーセキュリティ AIデータセット構築」事業を推進すると発表した。サイバーセキュリティ分野にAI技術を適用し、より進化した脅威に対応することを目指す。AIデータセットの構築はその基盤となる。参加予定の企業は、データ収集、生成・加工、ラベリングなどのAIデータセット構築前の課題の遂行など、様々な産業分野での実証を通じてデータセットの品質と実効性確保に貢献する予定。
https://www.kisa.or.kr/notice/press_View.jsp?mode=view&p_No=8&b_No=8&d_No=2017

2021年4月26日 米国FBI、DHS、CISAがロシア対外情報庁のサイバー攻撃に対して共同声明を発表
米国FBI・国土安全保障省(DHS)・CISAは共同声明を発表し、ロシア対外情報庁(SVR)のサイバーアクター(APT29)は今後も政府系ネットワーク、シンクタンク、政策分析機関、情報技術企業を主なターゲットとして米国や外国の企業から情報を搾取していくものと分析した。CISAは、ユーザーや管理者に対して推奨策の実施を呼びかけており、FBIとDHSは、SVRのサイバーツール、目標、技術、能力など、ネットワーク保護に有用な情報を提供している。4月15日、ホワイトハウスはSolarWindsの不正アクセスについてSVRによる行為であると発表した。
https://us-cert.cisa.gov/ncas/alerts/aa21-116a
https://us-cert.cisa.gov/sites/default/files/publications/AA21-116A_Russian_Foreign_Intelligence_Service_Cyber_Operations_508C.pdf

2021年4月28日 韓国個人情報局、AIチャットボット「イルダ」開発会社に個人情報漏えいで課徴金・罰金処分
韓国の個人情報保護局(PIPC)は、AIチャットボット「イルダ」の開発会社であるSCATTER LABに対して合計約10億円(1億330万ウォン)の課徴金・罰金制裁を公表した。本事案の争点は、上記企業が別のサービス提供用に収集した個人情報を、本来と異なるサービス(AIボット)開発*を目的として、利用者への明示的な同意なしに使用したことであった。当該企業は、「サービス利用規約には、取得された情報が別のサービス開発に利用される場合がある」旨が記載されていると主張していたが、PIPCによって「AI開発企業は、開発とサービス提供で無分別に個人情報を処理すべきではない」という見解が示された。
*イルダは「カカオトーク」などの別サービス/アプリから収集されたカップルユーザによる10億件のプライベートな会話を使って開発・学習されていた。
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=7298#LINK

2021年4月28日 中国国家標準化委員会が「コネクテッド・カーのデータセキュリティ要件(草案)」の意見募集を開始
中国国家標準化委員会の「コネクテッド・カーのデータセキュリティ要件」草案にはネットワーク接続機能を備えた乗用車が収集したデータの送信、保存、越境におけるセキュリティ要件が規定されている。以下は主要要求:
・データ収集される主体の個別の同意がない限り、車両は個人情報を含むデータをネットワークや物理的なインターフェースを通じて車両外部に送信してはならない。但し、120万画素以下に変換され、顔や車両番号などの個人を特定可能な情報が消去された映像/画像データは対象外
・車両位置情報・追跡関連データは車載記憶装置やプラットフォームに7日を超えて保存してはならない
・カメラやレーダーなどのセンサーにより、道路、建物、地形、交通参加者などの車両外環境から収集したデータや、車両の位置・軌跡に関するデータの国外持ち出しは禁止
・車両走行状態や異常アラーム情報などのデータを国外に持ち出す場合は、データ輸出に関する各国関連規制に準拠すること
・車両がデータを暗号化して国外へ送信する場合、データフォーマットと暗号化方法の情報や、必要に応じてデータコンテンツを平文で当局に提供すること
http://www.cac.gov.cn/2021-04/29/c_1621273432655484.htm

2021年4月29日 米国NSA、運用技術のセキュリティ確保に関するサイバーセキュリティ勧告を発表
米国国家安全保障局(NSA)は、国家安全保障システム(NSS)、米国防総省(DOD)、防衛産業基地(DIB)の運営技術(OT)の所有者およびオペレータに向けたサイバーセキュリティ勧告を発表した。このガイダンスでは、OTセキュリティを改善する方法やシステムのサイバーセキュリティを制御する方法を評価し、安全なシステムに必要なリソースを把握、理解するための実用的な評価方法が記載されている。OTの所有者と管理者はシステムに対するリスクを評価し、その知識を使用して保有するリソースのネットワーク構成を変更し、悪意のあるアクティビティを現実的に監視および検出できるとのこと。
https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2589103/nsa-releases-cybersecurity-advisory-on-ensuring-security-of-operational-technol/

2021年5月1日 中国国務院、モバイルアプリによる違法・不正な個人情報の収集・利用に関して通知を公開
モバイルアプリによる個人情報の違法/過剰な収集や権利主張といった個人情報侵害を受けて、中国では今年5月1日より「モバイルアプリ必要個人情報取得範囲規定」が施行された。今回、中国で広く利用されているアプリに対して当該規定への順守状況を検査した結果が国務院により通知・公開された。例えば、百度(バイドゥ)入力やQQ入力といった入力ツール、百度マップ、テンセントマップ、北斗導航(中国版GPS)に対しては、本来のサービス提供に個人情報の取得(必要原則への違反)が指摘されている。インスタントメッセージ「連信」に対しては、ユーザーの通信相手に対してDM送信可能とする承認を誘導している点が指摘されている。
http://www.cac.gov.cn/2021-04/30/c_1621370239178608.htm

2021年5月4日 クラウドセキュリティアライアンス、クラウドインシデント対応(CIR)フレームワークを公開
クラウドセキュリティアライアンス(CSA)は、インシデントへ効果的に対応するために新しいガイドであるクラウドインシデント対応(CIR)フレームワークを公開した。CSAのCIRワーキンググループによって作成されたこのフレームワークは、クラウドサービスの顧客 が組織のセキュリティ要件を決定し、適切なレベルのインシデント保護を選択する方法が示されている。また、CIRフレームワークには、4 つのフェーズ(準備、検出と分析、封じ込めと回復、事後調査)に加えて、調整と情報共有に関するセクションも含まれており、クラウド利用者とクラウドサービスプロバイダー向けのものである。
https://cloudsecurityalliance.org/press-releases/2021/05/04/cloud-security-alliance-s-new-cloud-incident-response-framework-serves-as-transparent-common-blueprint-through-which-to-share-best-practices/
https://cloudsecurityalliance.org/artifacts/cloud-incident-response-framework/

2021年5月5日 米国DHS長官、中小企業にランサムウェアの攻撃から防御するよう要請
米国国土安全保障省(DHS)のマヨカス長官は、米国商工会議所主催のバーチャルイベントでランサムウェアの脅威の増大に対して積極的に対策するよう中小企業に促した。また、同省のサイバーセキュリティ・インフラセキュリティ庁(CISA)と米国シークレットサービスの専門家がパネルディスカッションに参加し、ベストプラクティスに関する詳細なガイダンスを共有し、あらゆる規模の企業や組織が利用できるサイバーセキュリティリソースを強調した。他にも、官民連携の対策組織「Ransomware Task Force」(RTF)が結成され、ランサムウェア撲滅のための提言がまとめられた。RTFのタスクフォースはAmazon、Cisco、FireEye、Microsoftなどの米国や英国の政府、学術機関など60以上の組織で構成されている。
https://www.dhs.gov/news/2021/05/05/secretary-mayorkas-urges-small-businesses-protect-themselves-against-ransomware
https://securityandtechnology.org/ransomwaretaskforce/

----------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
4月1日 デジタルサービス企業Wipro社がDevOpsサービスを提供する豪企業を117百万米ドル(約13億円)で買収
4月1日 カナダ企業Plurilockが、Auroraシステムコンサルティングを買収、生体認証技術の強化を目指す
4月6日 通信セキュリティ企業のAddSecure社がTelia Finland社の遠隔管理ソリューションであるAlerta事業を買収
4月6日 英国を拠点とするLogicalis社がサイバーセキュリティと規制コンプライアンスを専門とするAudeaを買収
4月7日 Information Analysis Incorporated社がサイバーセキュリティ、クラウド、データ分析サービスを提供するTellengerを買収
4月8日 StrikeForce Technologies社がサイバーセキュリティ事業を展開するCybersecurity Risk Solutions LLCを買収
4月8日 McNallyキャピタルがサイバーインテリジェンス、トレーニングサービス企業のOrbisオペレーションを買収
4月12日 Microsoft、ヘルスケア業界向けクラウド戦略を推進のためにクラウドと AI ソフトウェア企業であるNUANCEを買収
4月13日 1Passwordが企業秘密管理のSecretHubを買収
4月15日 Zscaler社がクラウドのアクセス権を管理するスタートアップTrustdome社を買収
4月15日 ドイツのサイバーセキュリティ企業CYAN AGがエクアドルの保険企業Seguros Equinoccialを買収
4月20日 仏ATOS、3社を立て続けに買収
- ドイツに拠点を置くデジタルアイデンティティ保護の暗号製品とソリューションを提供するcv cryptovision GmbH
- イギリスに拠点を置くAIビデオ分析ソフトウェアプロバイダーであるIpsotek
- カナダに拠点を置く製品ライフサイクル管理(PLM)システムインテグレーターであるProcessiaを買収
4月21日 Rapid7、デジタルフォレンジックとインシデント対応のオープンソースプロジェクトであるVelociraptorを買収
4月26日 米国のファンドThoma Bravoがサイバーセキュリティ企業Proofpointを約1.3兆円(123億ドル)で買収
4月29日 アクセンチュアがフランスのサイバーセキュリティ企業Openmindedの買収を公表