Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
米国国務省、サイバーセキュリティ部局の新設を発表(11/2配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国商務省、監視行動や悪意あるサイバー活動に使用される品目の輸出規制を強化
・英国NCSC、英国における詐欺電話被害と米国のランサムウェア攻撃の影響に関する調査結果を紹介
・中国CAC、インターネットユーザーアカウント名称管理規定の改正案に対して意見募集を開始
・欧州委員会、日・EU相互十分性適合認定の共同レビュー会合を実施
・英国ICO、ビデオ会議サービス事業者に期待されるプライバシー保護対策に関して国際共同声明を発表
・米国国務省、サイバーセキュリティ部局の新設を発表
・米国NSAとCISA、5Gクラウド環境のサイバーセキュリティガイダンスを提供
・SASEサービスの米国Forcepoint社がCASB大手のBitglass社を買収

----------------------------------------------------------------------
【2】海外政策動向一覧(2021年10月20日~2021年10月28日)
----------------------------------------------------------------------
2021年10月20日 米国商務省、監視行動や悪意あるサイバー活動に使用される品目の輸出規制を強化
米国商務省産業安全保障局(BIS)は、監視行動や悪意あるサイバー活動に使用される可能性のある特定の品目の輸出、再輸出、国内の転送に関する規制を強化することを発表した。
新しい規制では、サイバーセキュリティ輸出のライセンス例外認定制度(ACE)が創設される。ほとんどの国との取引が現状通り継続される予定である一方、中国やロシアなどの武器輸出規制対象国との取引は原則禁止となる。
個別の取引に必要性が認められる場合、ACE制度のライセンス認定をうけることで例外的に承認を得ることができる。BISはこのスキームはワッセナー・アレンジメントの交渉結果と合致しているとの見解を示している。
この規制が米国の産業界とサイバーセキュリティコミュニティに与える影響について、パブリックコメントが募集される。
https://www.commerce.gov/news/press-releases/2021/10/commerce-tightens-export-controls-items-used-surveillance-private
https://www.federalregister.gov/documents/2021/10/21/2021-22774/information-security-controls-cybersecurity-items

2021年10月22日 英国NCSC、英国における詐欺電話被害と米国のランサムウェア攻撃の影響に関する調査結果を紹介
英国の国家サイバーセキュリティーセンター(NCSC)は、英国内の詐欺電話被害の統計と米国におけるランサムウェア攻撃の影響に関する調査結果を紹介した。
英国内の詐欺電話被害の統計では「過去3ヶ月間に約4,500万人が詐欺メール・電話の標的となった」「16歳~34歳はテキストメッセージの標的となりやすい」「75歳以上の6割が固定電話から不審な電話を受けた」といったデータが示されている。
米国のランサムウェアに関する調査では、米国企業のIT意思決定者300人を対象としたアンケートが行われ「64%の組織が過去12ヶ月間にランサムウェア被害に遭ったことがある」「被害者の83%は身代金を支払うしかないと感じている」「半数の組織がランサムウェアの攻撃を受けて収益の損失や風評被害を経験している」「42%の組織は実際に顧客を失った」という回答結果が得られたという。
NCSCはこうした詐欺被害やランサムウェアの影響を重く見ており、脅威を軽減するために取るべき行動を示したガイダンスを提供している。
https://www.ncsc.gov.uk/report/weekly-threat-report-22nd-october-2021?s=09
https://www.ncsc.gov.uk/guidance/suspicious-email-actions
https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks

2021年10月26日 中国CAC、インターネットユーザーアカウント名称管理規定の改正案に対して意見募集を開始
中国の国家インターネット情報局(CAC)は、オンラインアカウントデータの規制案を公表し、意見募集を開始した。この案は2015年3月1日より正式発効している「インターネットユーザーアカウント名称管理規定」を、昨今成立した中国サイバーセキュリティ法・個人情報保護法・インターネット情報サービス管理弁法などの法令放棄に基づき改正する草案にあたる。インターネット上のユーザアカウント情報を管理規制することで、より明快で良好なサイバー空間の構築を目指すという。
改正草案の規定は「インターネットユーザーがアカウントを登録する際には実名情報を提供させ本人確認を行う」「未成年者のユーザーには保護者の同意を得た上で住民票番号を提供させる」「ユーザーアカウントサービスはユーザーアカウント情報のページにIPアドレスに関する情報を目立つように表示する」「すべての行政区域のインターネット情報部門はユーザーアカウントサービスの運営者と利用者への監督管理を実施する」ことなどを求めている。
http://www.cac.gov.cn/2021-10/26/c_1636843202454310.htm

2021年10月26日 欧州委員会、日・EU相互十分性認定の共同レビュー会合を実施
欧州委員会は、GDPRの日・EU相互十分性認定についての共同レビュー会合を実施した。2019年1月23日に日本への十分性認定が通知された際に、認定日から2年以内その後は少なくとも4年ごとに日EU相互十分性の見直しを行うことが合意されており、今回はその初回会合にあたる。日本国内では、個人情報保護法第24条に基づくEU指定に関する見直し及びGDPR第45条に基づく我が国の十分性認定に係る見直しに相当する。EUからは欧州委員会、欧州データ保護局の関係者が、日本からは個人情報保護委員会をはじめとする関係当局の面々が集まった。EUと日本の間で採択された十分性決定の仕組みに基づき、仕組みの適用、データの保護、政府によるデータアクセスに至るまで広範な側面がレビューされ、大筋の合意が得られている。今回の会合の後、欧州委員会と個人情報保護委員会が双方の適合性についての報告書を発表することで見直しのプロセスを完了とすることが確認された。
また、個人情報保護委員会は、日米間の堅い協力関係がEUとの関係にも貢献すること、DFFTをグローバルに推進するための継続的な協力が不可欠であることなどを述べた。
https://ec.europa.eu/newsroom/just/items/724795/en
https://www.ppc.go.jp/enforcement/cooperation/cooperation/211026_review/

2021年10月27日 英国ICO、ビデオ会議サービス事業者に期待されるプライバシー保護対策に関して国際共同声明を発表
英国ICOは、2020年にビデオ会議(VTC)サービスの利用が急速拡大した一方で、プライバシー保護対策が追いついていないことを懸念し、同年7月に6つのデータ保護・プライバシー当局(豪州、カナダ、香港、中国、スイス、英国)と共同でVTC企業に向けた公開書簡に署名していた。この書簡では、VTC企業に対して主要なプライバシーリスクに対処するための指針を示したほか、大手5社に質問事項への回答を求めていた。
今回発表された国際共同声明は、Microsoft、Google、Cisco、Zoomの4社から得られた回答と、ICOと各国当局からの改善事項が示されている。VTCサービス各社の回答からは、プライバシーリスクを軽減するために実施している対策、プロセス、セーフガード、VTCサービスの設計・開発におけるプライバシー原則の考慮といった内容が公開された。改善事項には、暗号技術、データの二次利用、データを保管するデータセンターの地理的な位置に関する指摘が含まれている。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2021/10/joint-statement-on-global-privacy-expectations-of-video-teleconferencing-companies/
https://ico.org.uk/media/about-the-ico/documents/4018778/observations-following-statement-global-privacy-202110.pdf

2021年10月27日 米国国務省、サイバーセキュリティ部局の新設を発表
米国務省は、サイバーセキュリティ部局を省内に新設し、サイバースペースの安全確保とデジタル政策を担当させると発表した。
ブリンケン国務長官は、声明の中で「国民、ネットワーク、企業、および重要インフラを危険にさらすサイバー攻撃を防ぎたい」と述べている。また、偽情報との戦いや監視テクノロジーの誤用を減らすことにも触れている。その他、国家安全保障にとって重要な分野として、気候、国際的な公衆衛生、新しい技術、経済学、多国間外交を挙げ、これらの領域での能力と専門知識を今後数年間で獲得すると明言している。
https://www.state.gov/secretary-antony-j-blinken-on-the-modernization-of-american-diplomacy/

2021年10月28日 米国NSAとCISA、5Gクラウド環境のサイバーセキュリティガイダンスを提供
米国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、5Gをサポートするクラウド環境を安全に構築するためのサイバーセキュリティガイダンスを発表した。
本ガイダンスは全4部構成の第1部にあたるもので、サイバー攻撃がネットワーク全体を侵害することを防ぐため、5Gクラウド内における攻撃者の動きを検出することに重点を置いている。
特に、攻撃者が5Gクラウドシステムの脆弱性を悪用して初期アクセスを果たした後に、システム内を横移動して攻撃範囲を広げる動きを検知・防止するための推奨事項が提供されている。
https://www.cisa.gov/news/2021/10/28/nsa-and-cisa-provide-cybersecurity-guidance-5g-cloud-infrastructures
https://media.defense.gov/2021/Oct/28/2002881720/-1/-1/0/SECURITY_GUIDANCE_FOR_5G_CLOUD_INFRASTRUCTURES_PART_I_20211028.PDF

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
10月4日 One Identity、アイデンティティアクセス管理(IAM)製品市場トップのOneLoginを買収
10月5日 サイバー保険等を扱うCoalition、サイバー保険市場を拡大するためAttuneを買収
10月5日 ブラジルの資産運用会社Patria Investments、セキュリティ企業のNeosecureとProteusを買収
10月6日 11:11 Systems、米国最大のクラウドIaaSプロバイダーの一社Green Cloud Defenseを買収
10月12日 欧州規模のDX企業Sopra Steriaがフランスのサイバーセキュリティ企業EVAグループを買収
10月12日 PaloAltoがNY株式市場からNASDAQへの市場変更を公表、10月25日からNASDAQでの取引を開始
10月13日 カナダのHerjavecグループが、北米でID・特権管理サービスを提供するSEGMENTECH社を買収
10月18日 Keysight Technologies、5Gとセキュリティを強化するためScalable NetworkTechnologiesを買収
10月19日 DENSO、自動車・IoTセキュリティ企業Dellferに対して私募ファンドのOption3と共同出資
10月19日 米国拠点のソフトウェア企業ヘルプシステムズが脅威インテリジェンスのPhishLabsを買収
10月21日 セキュリティ教育サービスを提供するKnowBe4、SecurityAdvisor社を買収
10月21日 保険会社HSB、Zeguroの中小企業向けセキュリティデジタルプラットフォームを買収
10月25日 SASEサービスの米国Forcepoint社がCASB大手のBitglass社を買収
10月27日 ロシアのサイバーセキュリティ企業Softline、ロンドン市場でIPO
10月27日 Kasperskyが米国のSDNプロバイダBrain4netを買収、XDRプラットフォームの強化をねらう
10月28日 マネージドセキュリティサービスのCerberusSentinel、セキュリティコンサルティングのRED74を買収