Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
欧州ENISA、サプライチェーン脅威の展望に関する研究レポートを公開(8/11配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISA、脆弱性開示ポリシー(VDP)プラットフォームを発表
・欧州ENISA、サプライチェーンの脅威ランドスケープに関する研究レポートを公開
・Amazon、GDPR違反で7億4600万ユーロの罰金を科せられたことを公表
・米国NSAと米国CISA、Kubernetesセキュリティに関する新しいガイダンスを公開
・米国CISAに支援される教育機関、米国初の「K-12サイバーセキュリティ学習基準」を公表

----------------------------------------------------------------------
【2】海外政策動向一覧(2021年7月29日~2021年8月6日)
----------------------------------------------------------------------
2021年7月29日 米国CISA、脆弱性開示ポリシー(VDP)プラットフォームを発表
米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、米国内の民間企業向けに脆弱性開示ポリシー(VDP)プラットフォームを発表した。
VDPプラットフォームでは、各機関が脆弱性開示ポリシーの対象にあたるシステムとその概要を一覧化したウェブサイトが運営される。また、セキュリティ研究者や一般利用者はリスト上のWebサイトで発見した脆弱性を報告できるようになる。
これにより、各政府機関が独自の脆弱性管理システムを開発する必要がなくなるため、政府全体で1,000万ドルを超える大幅なコスト削減効果が見積もられている。
https://www.cisa.gov/blog/2021/07/29/cisa-announces-new-vulnerability-disclosure-policy-vdp-platform

2021年7月29日 欧州ENISA、サプライチェーン脅威の展望に関する研究レポートを公開
欧州ENISAは、2020年1月から2021年7月に発見されたサプライチェーン攻撃を研究し、今後の展望をまとめたレポートを発表した。
サプライチェーン攻撃が顧客に与える潜在的な影響はほぼ無限大であるため、サプライヤーを標的にして組織に侵入する手口が一般化しつつある。ENISAは、2021年には2020年の4倍のサプライチェーン攻撃が発生すると推定している。
調査期間内に報告されたインシデントの約66%は、顧客を侵害するためにソフトウェアサプライヤーのプログラムの改ざん・操作が狙われた。標的となった資産の約58%は、個人識別情報や知的財産を含む顧客データであった。
66%のサプライヤーが侵害を知らないもしくは報告をおこなっていなかった一方で、被害を受けた委託元企業が攻撃の発生原因を把握していなかったケースは9%未満であり、サプライヤーと委託元企業間にインシデント報告成熟度の差があるのが特徴という。
https://www.enisa.europa.eu/news/enisa-news/understanding-the-increase-in-supply-chain-security-attacks
https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks

2021年7月30日 Amazon、GDPR違反で7億4600万ユーロの罰金を科せられたことを公表
米Amazon.comは、EU一般データ保護規則(GDPR)に違反したことで、7億4600万ユーロ(約971億円)の罰金を科せられたことを公表した。ルクセンブルグのデータ保護当局(CNPD)が、Amazonに対してターゲット広告目的で顧客データを使用していたとして罰金を科したが、違反についての詳細は公開されていない。
https://www.compliancejunction.com/amazon-hit-with-record-e746-million-gdpr-fine/
https://iapp.org/news/a/tech-company-issued-888m-gdpr-fine/
https://www.itmedia.co.jp/news/articles/2108/02/news057.html

2021年8月3日 米国NSAと米国CISA、Kubernetesセキュリティに関する新しいガイダンスを公開
米国家安全保障局(NSA)と米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は連名で、サイバーセキュリティに関するテクニカルレポート「Kubernetes Hardening Guidance」を公開した。
コンテナ管理サービスのKubernetesは、データの盗難、計算資源の盗用、運用の妨害という3つの狙いから攻撃の標的にされている。本レポートではKubernetes環境に対する脅威の解説とリスクを最小限に抑えるための構成のガイダンスが提供されている。
推奨される主な対策として、脆弱性や構成ミスに対してのコンテナとポッドのスキャン、最小権限でのコンテナとポッドの実行、ネットワークの分離、ファイアウォール設定、強力な認証、ログ監査の実施などが挙げられている。
https://www.nsa.gov/News-Features/Feature-Stories/Article-View/Article/2716980/nsa-cisa-release-kubernetes-hardening-guidance/

2021年8月4日 米国CISAに支援される教育機関「CYBER.ORG」、米国初の「K-12サイバーセキュリティ学習基準」を公表
米国NICERCを前身とし、CISAからの助成金により支援されているサイバーセキュリティの人材育成組織「CYBER.ORG」は、幼稚園児から高校生までを対象としたサイバーセキュリティ学習基準を公表した。これは、全米50州でサイバーセキュリティ学習基準を揃えるという初の試みとなった。各州は2022年から2023年の学校年度でK-12サイバーセキュリティ学習基準を採用することができる。
本学習基準は、コンピュータシステム、デジタルシチズンシップ、セキュリティの3つのコアテーマを中心に構成されており、IoT技術からサイバー攻撃者の情報まで、サイバーセキュリティに関連する幅広いトピックをカバーする。米国の国家安全保障と競争力維持のために学生のサイバーセキュリティに関するリテラシーを向上させ、将来のサイバーセキュリティ人材の強固なパイプラインを構築する助けとする狙いがあるという。
https://cyber.org/news/cyberorg-releases-first-national-k-12-cybersecurity-learning-standards
https://cyber.org/sites/default/files/2021-08/K-12%20Cybersecurity%20Learning%20Standards.pdf

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
8月3日 Deloitte Risk & Financial AdvisoryがaeSolutionsからICT/OTサイバーセキュリティ業務(aeCyberSolutions)を買収
8月3日 SophosがRefactrを買収。セキュリティーオーケストレーション(SOAR)によるマネージドセキュリティサービス強化をめざす