Loading...
Loading...
----------------------------------------------------------------------
JCICコラム「国家のトップが語るサイバーセキュリティ ①米国」を公開(9/28配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム「国家のトップが語るサイバーセキュリティ ①米国」
・英国NCSC、英米サイバーセキュリティリーダー会合の実施について報告
・欧州ENISA、サイバーセキュリティ認証のためのセクター別評価手法を開発
・サウジアラビア議会、個人情報保護法を承認
・中国工業情報化省、コネクテッド・カーのセキュリティ管理強化を通知
・豪州ACSC、年次サイバー脅威レポートを発表
・欧州ENISA、EU全体のレジリエンス強化について欧州議会代表団と意見交換
・カナダのケベック州、プライバシーに関する新たな州法を制定
----------------------------------------------------------------------
【2】JCICコラム「国家のトップが語るサイバーセキュリティ ①米国」
----------------------------------------------------------------------
(国家のトップが語るサイバーセキュリティに関するコラムを作成しました。以下、レポートの抜粋です。)
解決すべき課題に関し、トップの姿勢が方向性に大きく影響するのは企業でも国家でも同様だ。
サイバーセキュリティを各国の指導者がどう考えているかを、そのメッセージから探る。第1弾は米国。
2021年1月の就任から現在までのバイデン大統領のメッセージから、サイバーセキュリティをどうとらえているかを検討する。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c
----------------------------------------------------------------------
【3】海外政策動向一覧(2021年9月10日~2021年9月24日)
----------------------------------------------------------------------
2021年9月10日 英国NCSC、英米サイバーセキュリティリーダー会合の実施について報告
英国国家サイバーセキュリティセンター(NCSC)のリンディ・キャメロンCEOは、米国国土安全保障省(DHS)傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のジェン・イースターリー局長と対面会談し、ランサムウェアへの対抗をはじめとする優先対応事項について話し合った。また、民間セクターとの協力の必要性について、NCSCのインダストリー100スキームやCISAの合同サイバー防衛コラボレイティブなどの事例を交えつつ意見交換した。
https://www.ncsc.gov.uk/news/uk-and-us-cyber-security-leaders-meet-to-discuss-shared-threats-and-opportunities
2021年9月13日 欧州ENISA、サイバーセキュリティ認証のためのセクター別評価手法を開発
欧州ネットワーク情報セキュリティ庁(ENISA)は、EU共通の最適化されたサイバーセキュリティ認証スキームを導入するため、セクター別サイバーセキュリティ評価手法(SCSA評価手法)を開発した。SCSAの方法論は、セクター別のICTシステムに対する包括的なサイバーセキュリティ評価手法を示している。ISO/IEC 27000シリーズやISO/IEC 15408シリーズなど広く受け入れられている規格を参考にしつつ、欧州サイバーセキュリティ法への準拠をサポートするための保証要件の策定にも取り組んでいる。
https://www.enisa.europa.eu/news/enisa-news/risky-business-or-a-leap-of-faith-a-risk-based-approach-to-optimise-cybersecurity-certification
https://www.enisa.europa.eu/publications/methodology-for-a-sectoral-cybersecurity-assessment
2021年9月13日 サウジアラビア議会、個人情報保護法を承認
サウジアラビア議会は、個人情報保護法を承認し、2022年3月の施行を予定している。同法はデータ所有者に対して、個人データの収集が特定の目的を達成するための最小限のデータに限定されること及び個人データの処理が特定の期間に限定されることを要求する権利を保障する。また、ユーザーを直接もしくは間接的に識別する可能性のある個人データ(氏名、ID番号、住所、電話番号、個人記録、財務記録、画像、動画、その他の個人識別データ)が無許可に収集・処理されないよう保護する。
サウジアラビアのデジタル化を推進するSDAIA局は、個人情報保護法は同国のデジタル・イノベーション計画「ビジョン2030」を達成するための重要な柱であると述べており、民間ビジネスの成長や海外からの投資の呼び込みの狙いがあるとみられている。
https://iapp.org/news/a/saudi-arabia-approves-personal-data-protection-law/
https://english.aawsat.com/home/article/3190361/saudi-arabia-approves-new-personal-data-protection-system
https://www.saudi-expatriates.com/2021/09/saudiarabia-approves-personal-data-protection-law.html
2021年9月15日 中国工業情報化省、コネクテッド・カーのセキュリティ管理強化を通知
中国工業情報化省は、「新エネルギー自動車産業発展計画(2021-2035)」促進のため車載ネットワークとデータセキュリティの管理強化に関する17の要求事項を通知した。中国で急速に発展するコネクテッド・カー産業において、車載ネットワークセキュリティに関するリスクが顕著になっている。
本通知により、コネクテッド・カーの製造者は、車載ネットワーク全体のセキュリティアーキテクチャの設計、車載システムの通信セキュリティ、認証、アクセス制御の強化やサブドメイン分割などを実装し、スプーフィング、リプレイ、インジェクション、サービス拒否などの各種攻撃への対策を行うことが求められる。加えて、脆弱性の発見、検証、分析、修復、報告のための手順を明確化し、運用することが必要になる。
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2021/art_ba43080de41242e4ab6d6d5fa3218ff9.html
2021年9月16日 豪州ACSC、年次サイバー脅威レポートを発表
オーストラリアのサイバーセキュリティセンター(ACSC)は、2020-21会計年度の主要なサイバーセキュリティの脅威と動向に関する年次報告書を発表した。このレポートは、2020年7月1日から2021年6月30日までの会計年度を対象に、国防情報機構(DIO)、オーストラリア刑事情報委員会(ACIC)、オーストラリアのセキュリティ情報機関(ASIO)、内務省、民間パートナーの協力のもと、サイバー犯罪に関する統計データなどをまとめたものである。2020年から21年度の間に、ACSCは67,500件を超えるサイバー犯罪報告を受けており、これは前年度から13%近く増加している。主要なサイバーセキュリティ脅威トレンドとして「新型コロナ対応環境の悪用」「重要サービスとインフラの稼働妨害」「ランサムウェア」「セキュリティ脆弱性の素早い悪用」「ビジネス電子メール詐欺(BEC)」などが挙げられている。
https://www.cyber.gov.au/acsc/view-all-content/reports-and-statistics/acsc-annual-cyber-threat-report-2020-21
https://www.cyber.gov.au/sites/default/files/2020-09/ACSC-Annual-Cyber-Threat-Report-2019-20.pdf
2021年9月22日 欧州ENISA、EU全体のレジリエンス強化について欧州議会代表団と意見交換
欧州ネットワーク情報セキュリティ庁(ENISA)は、アテネのENISA本部への欧州議会代表団の訪問と意見交換の実施について報告した。2020年は、重大な影響を及ぼしたサイバーセキュリティインシデント報告が計949件あったというデータが示された。これにはNIS指令に基づく重要セクター内のインシデント742件が含まれる。2019年の重要セクター内のインシデントは432件であり、2020年の件数は2019年に比べて72%の増加したことになる。
https://www.enisa.europa.eu/news/enisa-news/european-parliament-delegation-visit-to-understand-how-to-strengthen-eu-resilience
2021年9月22日 カナダのケベック州、プライバシーに関する新たな州法を制定
デジタル時代への対応をめざし、ケベック州は個人情報保護の枠組みを更新する新しい州法「個人情報の保護に関する立法規定を近代化するための法律」(Bill 64)を制定した。カナダには連邦法として公的部門を規律するプライバシー法と民間部門を規律する個人情報保護および電子文書法(PIPEDA)が制定されているが、唯一のフランス語圏であるケベック州には個人情報保護を目的とする独自の州法が存在する。今回の近代化法はケベック州独自の州法に関するもので、個人情報の収集、使用、公開に関する同意要件の明確化や、個人情報へのアクセスに関する個人の権利の確立、罰金額の引き上げなどを定めている。新たな義務を遵守するための情報やツールは今後同州情報公開委員会により公開予定である。
http://www.assnat.qc.ca/en/travaux-parlementaires/projets-loi/projet-loi-64-42-1.html
----------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
9月4日 サイバーセキュリティプロバイダーのExclusive Networks、フランスでIPOを予定
9月9日 Mastarcard、暗号資産に関するインテリジェンス企業CipherTraceを買収、デジタル資産分野の強化を目指す
9月13日 Booz Allen、デジタルフォレンジックおよびインシデント対応(DFIR)企業であるTracepointを買収
9月13日 英国Kape Technologies、英領バージン諸島に拠点を置くExpressVPNの買収を発表
9月13日 Tenable、クラウドセキュリティスタートアップのAccuricsを買収
9月16日 BitSight、米Moody'sとの提携およびVisibleRisk買収を発表、格付けプラットフォーム構築へ
9月17日 PwC、オタワに拠点を置くサイバーセキュリティコンサルティング会社Avalerisを買収
9月23日 LGエレクトロニクス、イスラエルの自動車サイバーリスク評価のCybellum社を買収