----------------------------------------------------------------------
JCICコラム「なぜ今"DX with Security"を語るのか」（6/1配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム「なぜ今"DX with Security"を語るのか」
・英国ICO、400万件の違法なメールを送信したことでアメックスへの罰金を公開
・シンガポール個人情報保護局（PDPC）、よくあるデータ漏えい対策ハンドブックを公開
・FBI、サイバー犯罪者向けのウェブサイトの管理者であるロシアのハッカーへ30ヶ月の拘留を宣告
・欧州ENISA、ICT製品のサイバーセキュリティ認証スキーム候補に関する報告書を公開
・中国、国家コンピュータネットワーク緊急対応センター（CNCERT/CC）が「2020年 サイバーセキュリティ監視データ分析報告書」を公開
・ニュージーランド個人情報保護局、地方健康委員会のランサムウェア被害について警告
・国連総会、サイバー犯罪防止条約策定のためのアドホック委員会の立ち上げに関するロシアの決議案を採択
・米国運輸保安局（TSA）、パイプラインの所有者および運営者に対する新たなサイバーセキュリティ要件を発表

----------------------------------------------------------------------
【2】JCICコラム「なぜ今「DX with Security」を語るのか」
----------------------------------------------------------------------
（DX with Securityに関するコラムを作成しました。以下、レポートの抜粋です。）

DX推進には多くの課題が想定されるが、そのなかでも最大のものは「Cybersecurity対策」である。DX化を進めれば事業の多くがICT基盤に拠ることになり、ICTの障害やそれへの攻撃は事業継続に支障をきたすことになる。ICT製品には設計初期段階からセキュリティを考慮するという「Security by Design」が求められているが、事業そのものにも「DX with Security」が求められようになっている。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c

----------------------------------------------------------------------
【3】海外政策動向一覧（2021年5月20日～2021年5月28日）
----------------------------------------------------------------------
2021年5月20日 英国ICO、400万件の違法なメールを送信したことでアメックスへの罰金を公開
英国個人情報保護監督機関（ICO）は、アメリカン・エキスプレス・サービス・ヨーロッパ・リミテッド（アメックス）に対して、400万通以上のマーケティングメールを受け取りたくない顧客に送ったとして、90,000ポンド（日本円で約1400万円相当）の罰金を科した。ICOは、アメックスの顧客がオプトアウトしたにもかかわらずマーケティングメールを受信していると苦情を報告され調査を開始した。ICOは、2018年6月1日から2019年5月21日までの約12ヶ月間、4,098,841通がマーケティングメールであることを明らかにした。アメックスは、マーケティングではないと顧客の苦情を拒否し、マーケティングモデルを見直さなかったとされる。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/05/amex-fined-for-sending-four-million-unlawful-emails/

2021年5月24日 シンガポール個人情報保護局（PDPC）、よくあるデータ漏えい対策ハンドブックを公開
シンガポールPDPCが過去に扱った情報漏えい事件から、ICTシステムの管理やプロセスにおける最も一般的な5つの問題（1. プログラミングミス、2. コンフィグレーションミス、3. マルウェアとフィッシング、4. セキュリティと責任、5. アカウントとパスワード）についてを明らかにしたハンドブックが発行された。ハンドブックでは、実際にデータ漏洩が発生したケースと、ケースに対して組織が実施すべきグッドプラクティスが開設されている。
https://www.pdpc.gov.sg/news-and-events/announcements/2021/05/handbook-on-how-to-guard-against-common-types-of-data-breaches-now-available
https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/resource-for-organisation/how-to-guard-against-common-types-of-data-breaches-handbook.pdf

2021年5月24日 FBI、サイバー犯罪者向けのウェブサイトの管理者であるロシアのハッカーへ30ヶ月の拘留を宣告
米連邦捜査局（FBI）サンディエゴ支部は、盗用クレジットカード情報、個人情報、犯罪行為に使用するサービスなどを販売して、サイバー犯罪者向けのウェブサイト「DEER.IO」を運用したとして、ロシア国籍のハッカーが30ヶ月の拘留を宣告されたことを公表した。DEER.IOは、2013年10月から公開され、2020年3月に逮捕されるまで、約3,000のショップが立ち上がっており、売上高は1,700万ドルを超えていたとのこと。また、ゲームアカウントだけでなく、アメリカ人の個人情報も、名前、現在の住所、電話番号、社会保障番号も含めて販売されていたようである。
https://www.justice.gov/usao-sdca/pr/russian-hacker-sentenced-30-months-running-website-selling-stolen-counterfeit-and

2021年5月25日 欧州ENISA、ICT製品のサイバーセキュリティ認証スキーム候補に関する報告書を公開
ENISAは、欧州サイバーセキュリティ法（第48条2項）に基づく欧州委員会からの要請を受け、既存のICT製品のサイバーセキュリティ認証スキームに代わる後継の準備支援をしている。候補の「EUCCスキーム」はCC（コモンクライテリア）・ISO/IEC15408・ISO/IEC18045などをもとにしており、欧州サイバーセキュリティ法の要求事項（第49条1項、51条、52条、54条）を満たす。公開されたEUCCスキームに関する報告書は、認証維持の仕組み、不適合・不適格および脆弱性の取り扱い、新しいパッチ管理プロセスなどについて解説されている。
https://www.enisa.europa.eu/publications/cybersecurity-certification-eucc-candidate-scheme-v1-1.1

5月26日 中国、国家コンピュータネットワーク緊急対応センター（CNCERT/CC）が「2020年 サイバーセキュリティ監視データ分析報告書」を公開
中国CNCERT/CCが「2020年 サイバーセキュリティ監視データ分析報告書」を公開した。第2章は6分野（1. APT攻撃、2. データセキュリティ、3. 脆弱性、4. 悪意のあるプログラム、5. 不正対策、6. 産業用制御システムセキュリティ）について2020年の動きを総括。悪意あるコードの53.1%が米国から（上半期は57.4%）とされている。
第3章は、2021年に注意すべき6分野（1. APT攻撃、2. 個人情報保護、3. サプライチェーンセキュリティ、4. 重要情報インフラ、5. リモートコラボレーションのリスク、6. ビッグデータセキュリティ）について予測。各国のワクチンに関する情報の窃盗や、政府機関・重要情報インフラへのAPT攻撃の継続が予見されている。
*2020年上半期報告書については、2020年10/13配信のJCIC海外ニュースをご参照ください。
https://www.cert.org.cn/publish/main/46/2021/20210526121148344277777/20210526121148344277777_.html

2021年5月26日 ニュージーランド個人情報保護局、地方健康委員会のランサムウェア被害について警告
今年5月19日にニュージーランド・ワイカト地方の健康委員会（DHB）がランサムウェア攻撃の被害にあったことで患者や従業員の個人情報が漏えいした件について、同国の個人情報保護局は、2020年に同国健康省が実施したシステム監査の結果に対してDHBが適切な安全対策を実施していなかったことが原因であると警告した。なお、DHBではシステムダウンも発生しており、一部の手術のキャンセルや、COVID-19陰性証明の発行ができないことから2便のフライトがキャンセルされていた。
https://privacy.org.nz/publications/statements-media-releases/privacy-commissioner-calls-on-dhbs-to-address-it-vulnerabilities/
https://www.waikatodhbnewsroom.co.nz/2021/05/19/waikato-dhb-information-system-update/

2021年5月26日 国連総会、サイバー犯罪防止条約策定のためのアドホック委員会の立ち上げに関するロシアの決議案を採択
国連総会は、ロシアと赤道ギニアが共同で提案したサイバー犯罪防止条約策定のためのアドホック委員会の立ち上げに関する決議案を採択した。国際条約は、サイバー犯罪に対する国家レベルでの取り組みへ向けて動いている国々の基準を設定し、法執行機関が国境を越えてデータを共有する方法にも大きな影響を与える可能性がある。欧米諸国はこの国際条約が採択されることで、表現の自由が制限されかねないとして危惧を表明しているとのこと。
https://www.unodc.org/unodc/en/cybercrime/cybercrime-adhoc-committee.html

2021年5月27日 米国運輸保安局（TSA）、パイプラインの所有者および運営者に対する新たなサイバーセキュリティ要件を発表
米国国土安全保障省（DHS）の運輸保安局（TSA）は、パイプラインセクターの重要企業（所有者・運営者）に対するセキュリティ指令を発表し、現在の慣行を見直すとともに、サイバー関連のリスクに対処するためのギャップや改善策を特定し、その結果を30日以内にTSAおよび米国CISAに報告するように要求している。
加えて指令は、サイバーセキュリティインシデントが確認された、あるいは発生した可能性がある場合は米国CISAに報告することを義務付けているほか、24時間365日体制で対応可能な「サイバーセキュリティコーディネーター」の指定を義務付けている。
https://www.dhs.gov/news/2021/05/27/dhs-announces-new-cybersecurity-requirements-critical-pipeline-owners-and-operators

----------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
5月11日 CWSI、英国のサイバーおよびクラウドセキュリティプロバイダーAVRを買収
5月11日 Everbridge、サイバーセキュリティとDevOps環境全体のイベント管理(CEM)を拡大するためにxMattersを買収
5月11日 HelpSystems、脆弱性評価および管理ソフトウェアプロバイダーであるBeyond Securityを買収
5月13日 NCC Group、Iron Mountainの知的財産管理事業を買収
5月14日 Cisco Systems、脆弱性管理プラットフォームのKenna Securityを買収
5月14日 XDRソリューションを提供する米国FidelisサイバーセキュリティがCloudPassageを買収
5月25日 sumo logic、SOARソフトウェア製品のプロバイダーであるDF Labs S.p.A.を買収
5月25日 Zscaler、ディセプション技術を持つスタートアップ企業のSmokescreen社を買収を発表
5月27日 DocuSignがClause社のスマートアグリーメント事業を買収