Loading...
----------------------------------------------------------------------
OWASP、「OWASP Top 10 2021」の草案を発表(9/14配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国証券取引委員会、証券会社の情報漏えい事案に合計75万ドルの制裁金
・米国CISA、マネージドサービスプロバイダーのリスクに関する考慮事項を公表
・OWASP、「OWASP Top 10 2021」の草案を発表
・欧州ENISA、中小企業に向けた「SecureSMEツール」を作成
・ニュージーランドCERT、同国の銀行や郵便局に対するDDoS攻撃の発生を報告
・英国ICO、G7データ保護・プライバシー関連当局会合を開催
----------------------------------------------------------------------
【2】海外政策動向一覧(2021年8月30日~2021年9月10日)
----------------------------------------------------------------------
2021年8月30日 米国証券取引委員会、証券会社の情報漏えい事案に合計75万ドルの制裁金
米国証券取引委員会(SEC)は、顧客情報を漏洩させた3つの証券会社グループ合計8社に対して、あわせて75万ドル(約8,250万円)の制裁金を科すことを発表した。
これらの企業は、いずれもクラウド上のメールサービスから顧客および取引先の個人情報を数千件規模で漏えいしており、セキュリティポリシーおよびセキュリティ対策に不備があったことを問題視された。
SECは、顧客情報を保護するための「Privacy of Consumer Financial Information (Regulation S-P)」ルール30への違反を理由に制裁金の支払いと是正を求め、証券会社は支払いと是正に合意したとのこと。
https://www.sec.gov/news/press-release/2021-169
https://jp.techcrunch.com/2021/09/05/2021-09-01-sec-fines-brokerage-firms-over-email-hacks-that-exposed-client-data/
2021年9月3日 米国CISA、マネージドサービスプロバイダーのリスクに関する考慮事項を公表
米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、「マネージドサービスプロバイダー(MSP)のリスクに関する考慮事項」を公表した。
MSPにITサポートをアウトソーシングしている政府や民間の組織を対象に、MSPの利用に伴うリスクを軽減するために考慮すべき事項がフレームワークとして整理されたドキュメントを提供している。
考慮事項は、以下の3段階の意思決定レベルと対応する役職別に分類されており、それぞれについて期待されるメリットと潜在的なリスクを比較検討するためのガイダンスが示されている。
(1)管理職および取締役会(戦略的意思決定)
(2)調達の専門家(運用上の意思決定)
(3)ネットワーク管理者、システム管理者、および最前線のサイバーセキュリティスタッフ(戦術的な意思決定)
https://www.cisa.gov/publication/risk-considerations-msp-customers
https://www.cisa.gov/sites/default/files/publications/cisa-insights_risk-considerations-for-msp-customers_508.pdf
2021年9月8日 OWASP、「OWASP Top 10 2021」の草案を発表
OWASP(The Open Web Application Security Project)は、Webアプリケーションに対する最新の脅威動向を順位付けした「OWASP Top 10 2021」の草案を発表した。
「OWASP Top 10」は、その時点でのWebアプリケーションに対するリスクの深刻性を上位10件までランキング化したもので、今回の2021年版は2017年版からの4年ぶりの更新となる。
2021年版の草案では、これまでのインジェクションに代わりアクセス権限の不備が1位となっている。この他、「セキュアでない設計」などの新たな3つのカテゴリの追加、既存の4つのカテゴリの名称とスコープ変更などが行われています。
https://owasp.org/Top10/
2021年9月8日 欧州ENISA、中小企業に向けた「SecureSMEツール」を作成
欧州ENISAによると、中小企業はEUの全企業の99%を占め、約1億人が雇用されているという。COVID-19の影響が継続するなか、多くの中小企業でクラウドサービスの導入やリモートワークが実現した一方、資金不足やセキュリティガイドラインの未整備などから、十分なセキュリティレベルを確保できていない場合が多い。
これを受け、ENISAは中小企業への支援を強化する目的で「SecureSMEツール」を作成した。中小企業が使いやすいように、サイバーセキュリティに関する推奨事項、ガイドライン、対策のヒントがシンプルかつユーザーフレンドリーな方法で提供されている。また、中小企業からの関心が高いトピックとして、従業員の保護、プロセス強化、技術的対策の強化、ENISA加盟国のサイバーセキュリティガイドライン等が紹介されている。
https://www.enisa.europa.eu/news/enisa-news/new-tool-is-another-step-towards-securing-the-digital-future-of-smes
2021年9月8日 ニュージーランドCERT、同国の銀行や郵便局に対するDDoS攻撃の発生を報告
ニュージーランドのNZ CERTは、同国の複数の組織を標的としたDDoS攻撃の発生を確認したと報告した。状況の監視を継続しつつ、被害組織と協力して対応中であると説明した。
攻撃を受けたウェブサイトの中には、オーストラリア・ニュージーランド銀行グループ(ANZ)のニュージーランドサイトも含まれていた。同銀行のTwitterアカウントは、オンラインサービスの障害発生状況を随時アップデートしており、10日時点では同銀行ウェブサイトはダウン状態、13日には復旧済みと報告された。
また、同国の郵便サービス(NZポスト)は、8日に一時的にサイトを停止し、NZ CERTがサイバー攻撃に対処していると発表した。NZポストによると、同社ウェブサイトの断続的な中断は、サードパーティ・サプライヤーの1社に問題があったためだという。
ニュージーランドでは、今年1月に中央銀行がサイバー攻撃を受け、深刻なデータ流出が発生しているほか、1年前にはニュージーランド証券取引所の運営会社が複数のサイバー攻撃を受けており、大規模な被害が相次いでいる。
https://twitter.com/CERTNZ/status/1435386080975474689?s=20
https://www.reuters.com/world/asia-pacific/new-zealand-banks-post-office-hit-by-outages-apparent-cyber-attack-2021-09-08/
https://www.anz.co.nz/
2021年9月9日 英国ICO、G7データ保護・プライバシー関連当局会合を開催
英国情報コミッショナーズオフィス(ICO)の主催により、G7データ保護・プライバシー関連当局会合が、9月7日から8日にかけて開催された。
この会合は、2021年4月28日にG7デジタル・テクノロジー大臣が発表した「信頼性のある自由なデータ流通に関する協力のためのロードマップ」と連携したもので、G7当局のカナダ、フランス、ドイツ、イタリア、日本、英国の個人情報保護員会/コミッショナーと米国の連邦取引委員会により構成される。
議題は、国際的なデジタル経済を支援するための規制の枠を超えた連携、オンライン追跡の未来、データ保護に沿ったAI設計、デジタル時代に相応しい救済措置、パンデミック下のイノベーションとデータ保護ストレステスト、政府のアクセスと国際的なデータフローなど多岐にわたり、個人データの越境とG7データ保護当局間の協力にむけたフレームワークづくり等について議論された。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/09/g7-data-protection-and-privacy-authorities-meeting-september-2021/
https://ico.org.uk/media/about-the-ico/documents/4018242/g7-attachment-202109.pdf
----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
9月4日 サイバーセキュリティプロバイダーのExclusive NetworksがフランスでIPOを予定
9月9日 Mastarcardが暗号通貨に関するインテリジェンス企業CipherTraceを買収、デジタル資産分野の強化を目指す