Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
JCICコメンタリー「なぜ情報セキュリティがDX推進にあたり不可欠なのか」を公開(7/6配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコメンタリー「なぜ情報セキュリティがDX推進にあたり不可欠なのか」を公開
・中国政府、「コネクテッド・カーのセキュリティガイドライン」の草稿を公開
・米国CISA、「BAD PRACTICES」のリストを作成
・CSIS、北東アジアのサイバーセキュリティの影響評価報告書を公表
・米国NIST、重要ソフトウェアの定義とソフトウェアカテゴリーリストを発表
・ユーロポール、サイバースペースに関するレポート「THE CYBER BLUE LINE」を発行
・欧州委員会、英国の妥当性決定を採択
・英国の国際戦略研究所、国家のサイバー能力と国家権力に関する評価レポートを公表
・国連機関のITU、サイバーセキュリティのグローバルランキングを発表
・米国と英国、ロシアの軍事諜報機関(GRU)からシステムを守るための共同勧告を発表

----------------------------------------------------------------------
【2】JCICコメンタリー「なぜ情報セキュリティがDX推進にあたり不可欠なのか」
----------------------------------------------------------------------
(情報セキュリティとDX推進に関するコメンタリーを作成しました。以下、レポートの抜粋です。)

本稿では、著者が経済産業省安全保障貿易審査課長時代、DXを進める際に情報セキュリティ対策が不可欠であると確信した事例を取り上げている。DXの企画立案段階から情報セキュリティ対策を、DXの具体的な実現方策の一部として検討を始めることにより、より効率的で効果的なものとすることができるようになる。こういったプラクティスが広く普及することが期待される。
(東海大学情報通信学部/国立情報学研究所客員教授 三角育生)

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1b

----------------------------------------------------------------------
【3】海外政策動向一覧(2021年6月21日~2021年7月2日)
----------------------------------------------------------------------
2021年6月21日 中国工業情報技術省科学技術局、「コネクテッド・カーのためのサイバーセキュリティ標準システムの構築に関するガイドライン」の草稿を公開
「新エネルギー産業車両開発計画(2021-2035年)」は2025年までのLv.4(高度自動運転車)の限定的商業化、2035年までの大規模商業化を目標としており、草稿は2023年末までのコネクテッド・カー向けサイバーセキュリティ標準システムの構築と、2025年までのより完全な標準システム形成によりコネクテッド・カー産業の発展支援を目指す。
①一般・共通②端末・設備③通信④データ⑤アプリサービスの安全⑥セキュリティ保証・サポートなどの6つの領域により構成された約100種類の関連規格の規定が予定されており、テスト要件、車載アプリのデータセキュリティや分類・等級付けなどの要件が提示される。
https://mp.weixin.qq.com/s/_kiHtB3p4E-lX1J0-fbRYA
https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/20216/9bfb6485ae044377866ece6cb39d0ba0.docx

2021年6月24日 米国CISA、「BAD PRACTICES」のリストを作成
米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、重要インフラストラクチャまたは国家重要機能(NCF)をサポートする組織において、非常にリスクの高い「Bad Practices」のリストを作成した。サイバーセキュリティの専門家は、多くの場合、ベストプラクティスに焦点を当てているが、組織の悪い習慣を止めることも同様に重要であると述べている。現在は、サポートされていない(または寿命が尽きた)ソフトウェアを使用、既知/固定/デフォルトのパスワードおよびクレデンシャルを使用などの2つがリストに記載されており、今後更新されていくとのこと。
https://www.cisa.gov/blog/2021/06/24/bad-practices
https://www.cisa.gov/BadPractices

2021年6月24日 米国シンクタンクCSIS、サイバーセキュリティを含む技術が北東アジアの地政学と国家安全保障に与える影響の評価報告書を公表
米国に本部を置く民間のシンクタンクCSIS(戦略国際問題研究所)の報告書によると、北朝鮮は約7千人のハッカーを擁し、中国企業と提携してAI研究と技術力強化を図っており、サイバー空間は北東アジアの地政学的な競争が日々繰り広げられている場所であるという。また、報告書によれば米国は、同盟国のシステム間で信頼と連携を築くことができるセキュリティ基盤が必要であり、同盟国のネットワークの周囲に安全な境界線を設けるだけではなく、侵害されたシステム間での情報共有を容易にする「ゼロトラスト」プロトコルを採用することが必要と考えているほか、能力を共同で開発・調達する場合やシステムを輸出する場合には、知的財産の取り扱いに関する透明性が必要と考えているという。
https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/210624_ISPChey_ScientificInnovations_NEAsia.pdf?GYKOD.iVyymXYLdR0nsHHP5xKYY6GYuH
https://www.csis.org/analysis/geopolitical-implications-scientific-innovation-trends-northeast-asia

2021年6月24日 米国NIST、大統領令に基づき重要ソフトウェアの定義とソフトウェアカテゴリーリストを発表
コロニアル・パイプライン事件を受けて今年5月12日に発令された「広範なサイバーセキュリティに関する大統領令 Sec.4」(5/18ニュース配信)に基づく取り組みで、ネットワーク保護に影響を与えるソフトウェアのカテゴリーが公開された。連邦政府によるソフトウェアサプライチェーンの形成を目的とし、連邦政府の見地から合理的なセキュリティ対策が施された製品が取得されることで、その効力がゆくゆくは民間に波及することを期待している。
ICAM管理、OS、コンテナ環境、ウェブブラウザ、エンドポイントセキュリティ、ネットワーク制御・保護、リモートスキャン、リモートアクセス、などが重要ソフトウェアに該当する。
https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity/critical-software-definition-explanatory
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

2021年6月25日 ユーロポール、サイバースペースに関するレポート「THE CYBER BLUE LINE」を発行
欧州刑事警察機構(ユーロポール)は、サイバースペースに関するレポート「THE CYBER BLUE LINE」を発行した。本レポートは、イースト・ロンドン大学の法医学サイバー心理学教授とユーロポールの欧州サイバー犯罪センター専門家・ステークホルダー管理責任者によって執筆され、昨今のサイバースペースにおける変化を強調し、課題の要約、サイバースペースにいるマルチステークホルダーの鼓舞、情報提供などに役立つとしている。「令状の証明」や「事実上の法の外」となる領域が存在する場合、集団的安全保障を実現することは次第に困難になると述べ、カメラ、自動ナンバープレート読み取り機、顔認識ソフトウェア、ドローン、IoTセンサー、犯罪前の介入などのテクノロジーが現実世界とサイバー空間で同時に作動することで警察活動が強化された時代において、「平和を守る」ことは複雑で多面的なタスクとなり、プライバシーや市民的自由の観点から倫理的な複雑さをはらんでいると述べている。
https://www.europol.europa.eu/newsroom/news/cyber-blue-line-%E2%80%93-new-law-enforcement-frontier
https://www.europol.europa.eu/europol-spotlight/cyber-blue-line

2021年6月28日 欧州委員会、英国の妥当性決定を採択
欧州委員会(EC)は、英国のEU一般データ保護規則(GDPR)と法執行指令の2つの妥当性を正式に採択したと発表した。「英国はEUを離脱したが、個人データを保護する法的体制はそのままである」と、欧州委員会のヴェラ・ジュロヴァ副大統領は声明で述べた。欧州委員会は、英国のデータ保護システムは、EU加盟国であったときに適用されるのと同じ規則を引き続き遵守し、GDPRおよび法執行指令の原則、権利、義務を法制度に「完全に組み込んだ」ことを明らかにした。
https://ec.europa.eu/commission/presscorner/detail/en/ip_21_3183

2021年6月28日 英国の国際戦略研究所、国家のサイバー能力と国家権力に関する評価レポートを公表
英国の国際戦略研究所(IISS)は、国家の役立つとのことサイバー能力と国家権力に関する評価レポートを公表した。本レポートは、サイバー機能を示すことにより、国の意思決定を支援することを目的としており、戦略的リスクを計算し、戦略的投資を決定する際に役立つとのこと。15か国を対象に分析を行い、大きく3つのレベルに分類されている。Tier Oneにはアメリカ、Tier Twoにはオーストラリア、カナダ、中国、フランス、イスラエル、ロシア、イギリスが含まれており、日本は、インド、インドネシア、イラン、マレーシア、北朝鮮、ベトナムと同様にTier Threeに分類されている。
次の7つのカテゴリーで各国の能力が評価されている。
・戦略と教義・ガバナンス、指揮統制
・コアサイバーインテリジェンス機能
・サイバーエンパワーメントと依存
・サイバーセキュリティとレジリエンス
・サイバースペースにおけるグローバルリーダーシップ
・攻撃的なサイバー能力
https://www.iiss.org/blogs/research-paper/2021/06/cyber-capabilities-national-power

2021年6月29日 国連機関のITU、サイバーセキュリティのグローバルランキングを発表
国連機関である国際電気通信連合(ITU)が第四回目のサイバーセキュリティのグローバルランキング「Global Cybersecurity Index(GCI)」を発表した。CGIによると、総合ランキングの1位が米国、2位が英国とサウジアラビア、3位がエストニアであった。日本は12位であり、2017年の前回調査と同じランキングであった。この調査は、ITUによるアンケート調査と机上調査で行われ、法整備/技術/組織/能力開発/協力の5つの観点でスコアを算出された。
https://www.itu.int/en/mediacentre/Pages/pr06-2021-global-cybersecurity-index-fourth-edition.aspx
https://www.itu.int/en/myitu/Publications/2021/06/28/13/22/Global-Cybersecurity-Index-2020

2021年7月1日 米国家安全保障局(NSA)・CISA・FBIおよび英国NCSC、ロシアの軍事諜報機関(GRU)からシステムを守るための共同勧告を発表
共同勧告は、ロシア軍参謀本部主要情報局(GRU)の第85主要特務センター(GTsSS)により大規模なブルートフォース攻撃が行われていることを警告し、システム管理者は勧告に示される侵害の指標を直ちに確認して、多要素認証の導入を始めとする緩和策を適用するよう推奨した。
勧告によると2019年半ば~2021年初頭の攻撃はエネルギー企業や防衛請負業者を含む世界中の政府機関や民間企業を標的にオープンソースPFのKubernetesクラスタが使用され、ブルートフォース攻撃により発見した有効な認証情報を既知の様々な脆弱性と組み合わせて、被害者のネットワークからデータを収集して流出させたという。
https://www.nsa.gov/What-We-Do/Cybersecurity/Advisories-Technical-Guidance/
https://www.nsa.gov/news-features/press-room/Article/2677750/nsa-partners-release-cybersecurity-advisory-on-brute-force-global-cyber-campaign/
https://www.ncsc.gov.uk/news/global-brute-force-campaign-advisory

----------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
6月1日 米国コロラド州のセキュリティ企業Coalfireが米国サンアントニオを拠点とするDenimグループを買収
6月2日 米国MicrosoftがファームウェアセキュリティのReFirm Lab社を買収
6月2日 FireEyeの製品事業をSymphony Technology Group(STG)が率いるコンソーシアムに売却
6月3日 機械学習を活用したサイバーセキュリティ企業SentinelOneがニューヨーク証券取引所へ上場予定【IPO情報】
6月7日 Deloitte & Touche LLPがクラウドセキュリティ管理のCloudQuest, Inc.を買収
6月8日 ベインキャピタルとクロスポイントキャピタルがネットワーク検出とIRのExtraHopを買収
6月14日 アクセンチュアがコンサルティングサービスなどを提供するドイツのumlaut社を買収
6月15日 サイバーセキュリティ管理サービスを提供するCerberus SentinelがGround Control ITを買収
6月15日 プラットフォームセキュリティベンダーのForcepointが脅威除去プラットフォームのDeep Secureを買収
6月15日 Deloitte & Touche LLPがデジタルリスク保護を提供するTerbium Labsを買収
6月22日 認証プラットフォームを提供するPingIdentityがボット検出会社SecuredTouchを買収
6月22日 MDRサービスを提供するPonduranceがBearing Cybersecurityを買収
6月24日 VISAがオープンバンキングプラットフォームであるTinkを買収
6月29日 アクセンチュアがスウェーデンを拠点とするサイバーディフェンスプロバイダーのSentorを買収
7月1日 米国BlueVoyantが英国を拠点とするサイバー調査・コンサルティング企業のMarclayを買収
7月1日 バラクーダネットワークスがXDRセキュリティのSkoutサイバーセキュリティを買収