Loading...
----------------------------------------------------------------------
JCICレポート「攻めのプラス・セキュリティ人材でDX with Securityの実現を」公開(7/13配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICレポート「攻めのプラス・セキュリティ人材でDX with Securityの実現を」公開
・韓国、科学技術通信部「2021年上半期 実践型サイバー危機対応訓練の実施結果報告書」をリリース
・中国CERT、「2021年サプライチェーンセキュリティリスクに関する調査報告書」をリリース
・中国国務院、DiDiのアプリ「滴滴出行」のサイバーセキュリティ法および国安保違反を通告
・米国ホワイトハウス、Kaseya社ランサムウェア事件で被害報告とCISA・FBIによる緩和策の実施を勧告
・オーストラリア政府、建設会社を標的にして電子メール詐欺を行うサイバー犯罪を警告
・英国ICO、年次調査を公開
・英国、GCHQのサイバー支援アプリのオープンソース化に関するケーススタディを公開
・米国CISA、2020年度のリスクおよび脆弱性評価の分析を発表
----------------------------------------------------------------------
【2】JCICレポート「攻めのプラス・セキュリティ人材でDX with Securityの実現を」公開
----------------------------------------------------------------------
(プラス・セキュリティ人材に関するレポートを作成しました。以下、レポートの抜粋です。)
JCICから、新たな概念として提示した「プラス・セキュリティ人材」。今、その必要性が認知され、「プラス・セキュリティ」に向けた施策や政策が多くの場で議論され始めている。本レポートは、プラス・セキュリティ人材育成の必要性に加えて、セキュリティ人材可視化の推進を掘り下げ、その必要性を訴えるものである。安全・安心な社会の実現および、安全を考慮した攻めのIT投資となるDX with Securityを実現し、競争力の高い企業になるためには、従来の「規制や禁止」による守りの実現だけでなく、「加速の推進役」となる、新たな考え方である「攻めのセキュリティ」が必須となる。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1a
----------------------------------------------------------------------
【3】海外政策動向一覧(2021年6月30日~2021年7月9日)
----------------------------------------------------------------------
2021年6月30日 韓国、科学技術通信部「2021年上半期 実践型サイバー危機対応訓練の実施結果報告書」をリリース
韓国では、企業230社・従業員98,599人を対象に、①APT攻撃、②DDoS攻撃、③模擬侵入が実施された。
①APT攻撃では、公共機関を装ったワクチン接種予約のハッキングメールを使用。訓練に2回以上参加した企業の対応力は、新規参加の企業に比べて高かった(マルウェア感染率4.2%減少 )。
②DDoS攻撃では、大企業は平均3分でDDoS攻撃を検出ができ、平均19分で対応した。一方、中小企業は平均9分で検出、平均22分で対応しており、大企業の対応力がやや高いと判明した。
③模擬侵入では、30社で合計114個の脆弱性を発見。クラウドセキュリティ認証を受けた事業者の検出及び防御率が高く、こうした認証がサイバー脅威への対応力を高めることが判明した。
https://www.msit.go.kr/bbs/view.do?sCode=user&mId=113&mPid=112&bbsSeqNo=94&nttSeqNo=3180455&formMode=&pageIndex=&searchCtgry=&searchCtgry2=&searchCtgry3=&RLS_YN=&searchOpt=&searchTxt=
2021年6月30日 中国CERT、「2021年のオープンソースソフトウェアのサプライチェーンセキュリティリスクに関する調査報告書」をリリース
中国CERTの報告書は、2015年~2020年に脆弱性リポジトリやオープンソースコミュニティなどに公開されたソフトウェアのセキュリティリスクを調査した結果であり、脆弱性動向や影響範囲分析、安全なエコシステムに向けた助言が含まれている。
中国CERTによると過去5年間の脆弱性数は増加傾向にあり、2018年の新規脆弱性数は7,563件と過去6年間で最多だった。なお、2020年は2019年から1,746件減少した。
今年発表された中国の国家政策「第14次5ヵ年計画要綱」と「2035年ビジョン」では、デジタル技術のオープンソースコミュニティの発展支援が含まれているほか、企業によるソースコードやアプリの開放が奨励されている。
https://www.cert.org.cn/publish/main/68/2021/20210630143431039414588/20210630143431039414588_.html
https://mp.weixin.qq.com/s/RiH0M9eZvCcuISbaeVQk1A
2021年7月4日 中国国務院、米国株式取引所に上場したDiDiのアプリ「滴滴出行」のサイバーセキュリティ法および国安保違反を通告
今年6月30日に米国取引所に上場した中国の配車サービス大手のDiDiのアプリに対するネットワークセキュリティ審査の開始が、7月2日にインターネット安全審査室から通知された。国家安全保障法と中国サイバーセキュリティ法を根拠とした同審査期間中は、ネットワークセキュリティの見直しとリスク拡大防止を理由に新規ユーザー登録の停止が命じられ、更に2日後の7月4日には、審査の結果、「滴滴出行」アプリには深刻な中国サイバーセキュリティ法違法と不正な個人情報の収集・利用があることが判明したとして、同アプリの販売停止が通告されたほか、DiDiに対する法的要求の遵守と是正が要請された。
http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm
http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm
2021年7月4日 米国ホワイトハウス、Kaseya社ランサムウェア事件で被害報告とCISA・FBIによる緩和策の実施を勧告
米国マイアミに本社を置くテクノロジー企業Kaseya社のネットワーク管理と遠隔制御ソフトウェアを狙ったランサムウェア攻撃のインシデント評価と対応、被害者支援をしていることがホワイトハウスから発表された。ホワイトハウスはFBI・CISAと協力支援しており、事件調査のためにバイデン大統領からは政府の全リソースが指示されているという。
システムが侵害された恐れがある場合は、直ちに政府のインターネット犯罪苦情処理センターまで報告するように要請しているほか、速やかにVSAサーバをシャットダウンし、CISA・FBIによる緩和策の実施とKaseya社からのガイダンスに従うように勧告している。
https://www.whitehouse.gov/briefing-room/statements-releases/2021/07/04/statement-by-deputy-national-security-advisor-for-cyber-and-emerging-technology-anne-neuberger-on-reporting-kaseya-compromises/
https://us-cert.cisa.gov/ncas/current-activity/2021/07/04/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-3rd-2021
2021年7月6日 オーストラリア政府、建設会社を標的にして電子メール詐欺を行うサイバー犯罪を警告
オーストラリア政府のサイバーセキュリティセンター(ACSC)は、建設会社を標的にして電子メール詐欺を行うサイバー犯罪を警告した。過去6ヶ月間、オーストラリア国内でビジネスメール侵害(BEC)詐欺を目的とした、建設業者や建設会社を標的にしたサイバー犯罪者が増加しているとのこと。緩和策として以下を推奨している。
・支払関連の要求を確認する
・電子メールアカウントのセキュリティ保護
・トレーニングと意識
https://www.cyber.gov.au/acsc/view-all-content/alerts/cybercriminals-targeting-construction-companies-conduct-email-scams
2021年7月7日 英国ICO、年次調査を公開
英国個人情報保護監督機関(ICO)は、個人情報に関する年次調査を公開した。2,000人以上の個人を対象に行った本調査では、データ保護や情報の自由についての個人の考えや、情報の権利をどのように利用するかなどの最近の変化が調査された。企業や組織が個人情報を保存して使用する方法に対する信頼と信頼のレベルを示しており、77%の人が自身の個人情報を保護することが不可欠であると答えている。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/07/ico-publishes-annual-tracking-research/
https://ico.org.uk/about-the-ico/research-and-reports/information-rights-research/
2021年7月7日 英国、GCHQのサイバー支援アプリのオープンソース化に関するケーススタディを公開
英国GCHQアナリストの自己開発プロジェクト「イノベーションタイム」から誕生したサイバー支援アプリ「CyberChef」のオープンソース化の経緯やチャレンジに関するケーススタディが公開された。
誰もが使えるようにアプリを共有することは社会のサイバーセキュリティへの関心を高め、GCHQ活動の説明と信頼構築に貢献できると考え、2016年11月にオープンソース化された。一方で、諜報機関がセキュリティアプリを提供してソース公開するには、リスク低減、公開や管理方法・組織外からの貢献受け入れについて、慎重な計画と実行が必要だった。また、制作者も匿名性の維持に注意したという。
https://www.gov.uk/government/case-studies/how-gchq-made-its-cyberchef-app-open-source
2021年7月8日 米国CISA、2020年度のリスクおよび脆弱性評価の分析を発表
米国安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2020年度に複数のセクターで37件のリスクおよび脆弱性評価(RVA)を実施し、その調査結果とインフォグラフィックを発表した。MITRE ATT&CKフレームワークを活用し、サイバー脅威アクターがCISAを代表する組織への攻撃を成功させる可能性のある攻撃経路のサンプルをATT&CKフレームワークにマッピングしている。また、インフォグラフィックは、5つの潜在的な攻撃手法の概要を示し、各戦術の最も成功した技術とその成功率を含んでいる。CISA は、分析とインフォグラフィックスを確認し、推奨される防御戦略を適用して、戦術や手法から保護することを推奨している。
https://us-cert.cisa.gov/ncas/current-activity/2021/07/08/cisa-releases-analysis-fy20-risk-and-vulnerability-assessments
https://www.cisa.gov/publication/rva
----------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
7月1日 米国BlueVoyantが英国を拠点とするサイバー調査・コンサルティング企業のMarclayを買収
7月1日 バラクーダネットワークスがXDRセキュリティのSkoutサイバーセキュリティを買収
7月6日 イギリス拠点のPixelHoldcoが北アイルランドのサイバーセキュリティ会社のCyphraを買収
7月7日 SophosがLinuxサーバーとクラウドコンテナセキュリティのプロバイダーであるCapsule8を買収
7月7日 ZeroFoxがダークウェブ脅威インテリジェンス企業であるVigilanteを買収