Loading...
----------------------------------------------------------------------
中国、データ分類と等級別取扱いガイドラインへの意見募集を開始(10/12配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国司法省、シカゴのサービス企業へのDDoS攻撃でトルコ国民を起訴
・中国CAC、情報サービスアルゴリズムに関するガバナンス強化のガイダンスを発行
・中国、データ分類と等級別取扱いガイドラインへの意見募集を開始
・米国ホワイトハウス、サイバーセキュリティ意識向上月間の開始にあたり大統領声明を発表
・ユーロポール、ウクライナにてランサムウェア常習犯2名を逮捕したと発表
・米国司法省、民事サイバー詐欺イニシアチブを発表
----------------------------------------------------------------------
【2】海外政策動向一覧(2021年9月29日~2021年10月8日)
----------------------------------------------------------------------
2021年9月29日 米国司法省、シカゴのサービス企業へのDDoS攻撃でトルコ国民を起訴
米国司法省は、シカゴ連邦裁判所がトルコのサイバー攻撃者を起訴したと公表した。容疑はシカゴの宿泊サービス企業へのDDoS攻撃の実行と説明されている。
起訴状によると、犯人は2017年8月にWireXボットネット(*)を使用して標的ウェブサイトに大量の通信データを送信、ホテル予約を実施できないようにしたとのこと。
(*)マルウェアに感染した大量のGoogleのAndroidデバイスで構成されたDDoS攻撃インフラ
https://www.justice.gov/usao-ndil/pr/federal-indictment-chicago-charges-turkish-national-directing-cyber-attack
2021年9月29日 中国CAC、情報サービスアルゴリズムに関するガバナンス強化のガイダンスを発行
中国国家インターネット情報局(CAC)は、科学技術部、工業情報技術省、公安部などと連名で、情報サービスアルゴリズムの包括的なガバナンス強化のガイダンスを発行した。
インターネットサービス企業で情報アルゴリズムは広く利用されているが、中国では「アルゴリズムは社会主義の中核的価値観を守るべき」という考えがガイダンス作成の背景にある。
ガイダンスではアルゴリズムは公正かつ透明であることが求められる。企業への要求としては、アルゴリズムの安全性を統制する組織を構築し、アルゴリズムの結果に責任を負うべきと記載されている。
中国は8月27日にも、商品推薦機能を規制するためのガイドライン案を発表し、推薦アルゴリズムに関する複数の要求事項を提案していた。
こうした推薦機能は、アリババの電子商取引市場「淘宝」、ByteDanceのショート動画「ドウイン(中国版TikTok)」、テンセントが出資する「快手」など、幅広いサービスに実装されている。
http://www.cac.gov.cn/2021-09/29/c_1634507915623047.htm
2021年9月30日 中国、データの分類と等級別取扱いのガイドラインへの意見募集を開始
情報セキュリティ標準化技術委員会(TC260)は、データの分類と等級別取扱いに関するガイドライン「サイバーセキュリティ基準実践ガイダンス」への意見募集を開始した。
本ガイドラインは、9月1日より施行されている中国データ安全法の「国家安全保障・公共利益・個人や組織の正当な権利・利益の保護」を目的とした作成された。データの分類と等級付けに関する原則、枠組み、および規則を提供するもので、データ処理業者がデータの分類と等級付けの保護作業を行う際の参考となる。
データは1級~5級に定義され、公共データ、個人情報、企業データという種別とそれぞれの数量を考慮する仕組みとなっており、危害を与える対象と危害の程度が等級付けの基準に考慮される。例えば2級の場合「侵害された場合に損害を被る、あるいは公共利益に軽微な損害を与えるが、国家の安全を脅かすことはないもの」と定義されている。なお、同委員会は9月23日に「重要データの識別に関するガイダンス(協議用)」も発表している。
https://www.tc260.org.cn/front/postDetail.html?id=20210930200900
https://www.tc260.org.cn/upload/2021-09-30/1633014582064034019.pdf
https://mp.weixin.qq.com/s/hxSXxm3MvECjD49Z55H_aw
2021年10月1日 米国ホワイトハウス、サイバーセキュリティ意識向上月間の開始にあたり大統領声明を発表
米国ホワイトハウスは、2021年10月1日にサイバーセキュリティ意識向上月間の開始にあたってバイデン大統領からの声明を発表した。
意識向上月間中は、30カ国を集めてサイバー犯罪との共闘や法執行機関の協力改善、暗号通貨の不正使用阻止や外交協力の加速などに取り組むと述べている。また、悪意あるサイバー活動を阻止するために、量子コンピューティングや人工知能などの新技術がもたらすリスクと機会の双方を管理していく姿勢を示した。
バイデン大統領は「サイバー脅威は全国民・企業・コミュニティに影響を与え得るからこそ国を挙げて脅威に立ち向かっている」とし、「サイバー防衛を近代化し、ソフトウェアサプライチェーンの強化などを行う大統領令(5月)」、「重要インフラ所有者と運営者が実施すべきサイバーセキュリティ事項を規定した国家安全保障の覚書(7月)」、「主要米企業のトップを集めた官民サイバーセキュリティパートナーシップの拡大(8月)」など現政権の取り組みを振り返った。
2021年10月4日 ユーロポール、ウクライナにてランサムウェア常習犯2名を逮捕したと発表
欧州警察機構(ユーロポール)は、複数の警察機構の支援によりウクライナで活動していたランサムウェア常習犯2名を逮捕したと発表した。
フランス国家憲兵隊、ウクライナ国家警察、米国FBIは、ユーロポールおよび国際刑事警察機構(インターポール)の協力のもと、共同捜査を行った。この結果9月28日にウクライナで、高額の身代金(6.5億円~90億円程度)を要求することで知られていたランサムウェアの常習犯を逮捕することに成功している。
合計7名に対する家宅捜索が行われた結果、2名が逮捕され、現金約4,200万円(37.5万米ドル)と高級車2台(2,800万円相当)が押収されたほか、約1.5億円(130万米ドル)の暗号資産が凍結された。
この犯罪グループは2020年4月以降、欧州と北米の大規模産業グループを対象に一連の標的型攻撃を行い、機密データの盗取と情報流出による恐喝をした疑いがある。
https://www.europol.europa.eu/newsroom/news/ransomware-gang-arrested-in-ukraine-europol%E2%80%99s-support?s=09
2021年10月5日 シンガポールCSA、国家サイバーセキュリティ戦略を更新
シンガポールのサイバーセキュリティ機関(CSA)は、サイバーセキュリティ戦略の更新を発表した。
シンガポールのサイバーセキュリティ戦略2021(「戦略2021」)は、サイバー脅威に対処し、サイバーセキュリティの全体的なレベルを上げ、サイバーセキュリティに関する国際的な規範と基準を前に進めるため、より積極的な姿勢を取るシンガポールの方針を示している。具体的には、以下の3つの戦略的柱と2つの基本要素で構成されている。
【3つの戦略的柱】
1. 回復力のあるインフラストラクチャを構築する
2. より安全なサイバー空間を実現する
3. 国際的なサイバー協力の強化を図る
【2つの基本要素】
1. 活気に満ちたサイバーセキュリティエコシステムを構築する
2. 堅牢な人材パイプラインを育成する
また翌10月6日には、IoTセキュリティの向上に向けた取り組みの推進を発表しており、個々のIoT機器の保護に加えてIoTシステムへのグローバルな脅威を積極的に監視する計画を示した。
https://www.csa.gov.sg/News/Press-Releases/singapore-updates-national-cybersecurity-strategy
https://www.csa.gov.sg/News/Press-Releases/csa-pushes-ahead-with-efforts-to-improve-iot-security
2021年10月6日 米国司法省、民事サイバー詐欺イニシアチブを発表
米司法省は、民事サイバー詐欺イニシアチブの立ち上げを発表し、民事詐欺の取締り、政府調達、機密情報や重要なシステムへの新たなサイバー脅威へ対抗することを宣言した。
本イニシアチブは、故意に欠陥のあるサイバーセキュリティ製品やサービスを提供したり、故意にサイバーセキュリティ対策の実行や手順を偽ったり、故意にサイバーセキュリティインシデントや侵害を監視・報告する義務に違反したりすることによって、米国の情報やシステムを危険にさらす者に責任を負わせるものである。官民の様々な機関のセキュリティ向上や正当な努力を行う企業が競争上不利にならないようにすることなどが狙いにある。
https://www.justice.gov/opa/pr/deputy-attorney-general-lisa-o-monaco-announces-new-civil-cyber-fraud-initiative
----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
10月4日 One Identity、アイデンティティアクセス管理(IAM)製品市場トップのOneLoginを買収
10月5日 サイバー保険等を扱うCoalition、サイバー保険市場を拡大するためAttuneを買収
10月5日 ブラジルの資産運用会社Patria Investments、セキュリティ企業のNeosecureとProteusを買収
10月6日 11:11 Systems、米国最大のクラウドIaaSプロバイダーの一社Green Cloud Defenseを買収