Loading...
----------------------------------------------------------------------
JCICコラム「【2021年度上半期】海外サイバーセキュリティ・プライバシー政策動向の解説」(11/30配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム「【2021年度上半期】海外サイバーセキュリティ・プライバシー政策動向の解説」
・中国CAC、「ネットワークデータセキュリティ管理弁法」について意見募集
・米国CISA、連邦政府のサイバーセキュリティインシデントと脆弱性対応のプレイブックを発表
・英国NCSC、サイバーセキュリティ年次報告書を公表
・欧州ENISA、サイバーセキュリティに関する3件の報告書を立て続けに公開
・インド合同議会委員会(JPC)、「個人データ保護法案2019」の報告書案を採択
・英国政府、製品セキュリティおよび通信インフラ(PSTI)法案を公表
・米国BIS、中国や日本に所在する企業を含む27社を禁輸対象リストに追加
----------------------------------------------------------------------
【2】JCICコラム「【2021年度上半期】海外サイバーセキュリティ・プライバシー政策動向の解説」
----------------------------------------------------------------------
(2021年上半期に配信した本ニュースクリップのまとめをコラムにしました。以下、コラムの要旨です。)
今回のコラムでは、2021年度上半期(2021年4月~2021年9月)に配信した142件のJCIC海外ニュースのトレンドを分析し、下半期の政策動向を占う重要な出来事の解説を行う。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c
----------------------------------------------------------------------
【3】海外政策動向一覧(2021年11月14日~2021年11月26日)
----------------------------------------------------------------------
2021年11月14日 中国CAC、「ネットワークデータセキュリティ管理弁法」について意見募集
中国国家インターネット情報局(CAC)は、「ネットワークデータセキュリティ管理弁法」に関する意見募集を開始した。
ネットワークデータセキュリティ管理弁法は、中国サイバーセキュリティ法、データ安全法、個人情報保護法などを根拠とする行政法規としての制定が計画されている。ネットワークデータ処理活動の規制、データセキュリティの保護、サイバー空間における個人・組織の正当な権利・利益の保護、国家安全・公共利益の保護を目的とする。
本法は、中国の領域内におけるデータ処理活動の監督・管理に適用され、域外適用される。また、中国の領域内に影響する状況(中国領内に製品/サービスを提供する、中国領内の個人・組織の分析・評価を行う、中国領内の重要なデータを処理する)で、中国国内の個人・組織のデータを処理する国外の活動も適用対象となる。
個別の条項では定量指標を含む具体的な規則案が示された。第11条では、実害を伴うセキュリティインシデントの発生時にIT企業へ3営業日以内の情報開示義務を課しており、10万人以上の重要データ・個人情報に影響のあるインシデントについては、監督官庁への8時間以内の報告とインシデント対応後5営業日以内の報告書提出を求めている。その他、第13条ではプラットフォーマーへのサイバーセキュリティ評価申告義務が、中国国内・海外・香港について整理され、第23条および第24条では個人情報の削除と匿名化、大量の個人情報を扱う際のデータセキュリティ規程の遵守義務などが記載されている。
http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm
2021年11月16日 米国CISA、連邦政府のサイバーセキュリティインシデントと脆弱性対応のプレイブックを発表
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「国家のサイバーセキュリティ向上に関する大統領令(E.O. 14028)」に関連して、連邦政府のサイバーセキュリティインシデントと脆弱性対応のプレイブックを発表した。本プレイブックは、連邦民間執行部(FCEB)機関向けに、サイバーセキュリティインシデントと脆弱性対応を計画・実施するための標準プロセスと手順を提供する。CISAは、過去のインシデントから得た教訓を基に、業界のベストプラクティスを取り入れながら、連邦政府のサイバーセキュリティ対応のプラクティスを進化させていく狙いがあると述べている。標準プロセスは、インシデント対応と脆弱性対応のそれぞれについてフローチャート形式でまとめられており、脅威インテリジェンスなどの活用を前提とした実践的な内容となっている。
https://us-cert.cisa.gov/ncas/current-activity/2021/11/16/new-federal-government-cybersecurity-incident-and-vulnerability
https://www.cisa.gov/sites/default/files/publications/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf
2021年11月17日 英国NCSC、サイバーセキュリティ年次報告書を公表
英国の国家サイバーセキュリティセンター(NCSC)は、2020年9月から2021年8月までを対象とするサイバーセキュリティ年次報告書を公表した。
NCSCは本期間内に重大インシデントの対応を777件(前年は723件)支援したが、そのうち約20%が医療・保険分野とCovid-19ワクチンに関連していたとのこと。また、先駆的なアクティブサイバー防衛プログラムの成果により、国民保健サービス(NHS)になりすました442件のフィッシングキャンペーンや、NHSの公式アプリストア外における80種類の不正アプリ公開などを含む、230万件もの日常的なサイバー事案へ効率的に対応したと述べられている。
https://www.ncsc.gov.uk/collection/ncsc-annual-review-2021
2021年11月17日、22日、24日 欧州ENISA、サイバーセキュリティに関する3件の報告書を立て続けに公開
欧州ネットワーク情報セキュリティ庁(ENISA)は、特定トピックのサイバーセキュリティに関連した報告書3件を続けて公開した。
・サイバーセキュリティの支出に関する報告書:NIS投資レポート2021 (2021年11月17日)
NIS指令の下でサイバーセキュリティ投資がどのように発展したかを分析したレポート。
EU加盟国27か国すべてを対象とし、エッセンシャルサービス(OES)とデジタルサービスプロバイダ(DSP)のNIS予算の配分、サイバーセキュリティインシデントの経済的影響、事業者におけるサイバーセキュリティ組織構成などについての調査結果を示している。例えば、典型的なOES/DSPは、情報セキュリティにおよそ200万ユーロ(約2億6千万円)を費やし、これは情報セキュリティ予算全体の5%から10%に及ぶとのこと。
https://www.enisa.europa.eu/news/enisa-news/cybersecurity-spending-an-analysis-of-investment-dynamics-within-the-eu
https://www.enisa.europa.eu/publications/nis-investments-2021
・サイバーセキュリティの課題に対する先見性に関する報告書 (2021年11月22日)
将来的なサイバーセキュリティ課題に関する見通しを検討するための手法を紹介したレポート。
将来予測の手法を網羅的に扱うことは意図しておらず、ENISAの中核的なニーズに適した予測手法を中心に紹介している。
サイバーセキュリティ関係者向けのレポートだが、紹介されているトレンド分析やシナリオ解析などの手法は、業界やテーマを問わず広範囲に適用することも可能だと述べられている。
https://www.enisa.europa.eu/news/enisa-news/step-towards-foresight-on-emerging-cybersecurity-challenges
https://www.enisa.europa.eu/publications/foresight-challenges
・サイバーセキュリティのスキル不足とギャップへの対処に関する報告書 (2021年11月24日)
EU域内の高等教育の成果におけるサイバーセキュリティスキルの不足とギャップへの対処に関するレポート。
近年設立されたサイバーセキュリティ高等教育データベース(CyberHEAD)のデータを分析し、EUにおけるサイバーセキュリティスキル供給の現況を示している。例えば、サイバーセキュリティの高等教育プログラムや受講する学生の数が増加しており、今後2-3年は卒業生の数が倍増すると予想されるが、男女の割合をみると女子学生は全体の20%しか在籍していないという。
これらのデータの分析に基づいて、EUのサイバーセキュリティスキルの不足とギャップに対処するための5つの勧告を行っている。
https://www.enisa.europa.eu/news/enisa-news/higher-education-in-europe-understanding-the-cybersecurity-skills-gap-in-the-eu
https://www.enisa.europa.eu/publications/addressing-skills-shortage-and-gap-through-higher-education
2021年11月22日 インド合同議会委員会、「個人データ保護法案2019」の報告書案を採択
インド合同議会委員会(JPC)は、2019年に提出されたインド個人データ保護(PDP)法案に関連して行われた約2年間の審議を整理した報告書案を採択した。PDP法案は、本報告書と共に次の冬期国会に提出され審議される予定。
同法案は個人データを「(通常の)個人データ、センシティブな個人データ、重要な個人データ」の3カテゴリに分類している点などに特徴がある。インド国民のデータを扱う外国企業にも規制が適用される。
違反時の罰則は、15クロールピー(約2.6億円)またはデータ受託者の年間売上高の4%で、データ監査を怠った場合にも5クロールピー(約8千万円)または受託者の年間売上高の2%が課される。
報告書案では、インド国民のデータを保存する外国企業はまず政府の許可を得る必要があるとされているが、インド国民や国内企業がデータを保存する場合や国際的に利用する場合に許可が得られるかについては依然不明。
生体情報はセンシティブな個人データとして扱われることになるが、既に顔認証技術を使用中の企業への対応などは論点として残っている。
http://loksabhaph.nic.in/Committee/CommitteeInformation.aspx?comm_code=73&tab=1
https://pib.gov.in/PressReleasePage.aspx?PRID=1601695
2021年11月24日 英国政府、製品セキュリティおよび通信インフラ(PSTI)法案を公表
英国政府は、スマートホーム機器のセキュリティ向上を目的とした新しい規制として、製品セキュリティおよび通信インフラ(PSTI)法案を公表した。
スマートホーム機器などの製造企業に加え、海外からハイテク製品を輸入する英国企業にも適用される。スマートフォン、ルーター、セキュリティカメラ、ゲーム機、インターネット対応家電製品や玩具などが対象となる。
本法案では、推測しやすいデフォルトパスワード(passwordやadminなど)の使用を禁止する。また、新規製造デバイスは個体毎に固有のパスワードを付けねばならず、共通の工場出荷時設定に戻すことも禁止される。
加えて、メーカーは顧客への販売時にセキュリティパッチやアップデート適用に最低限必要な期間を伝えなければならず、こうしたサービスが含まれていない場合はその事実を開示する必要がある。
罰金額は最大1千万ポンド(約15億円)または企業の総売上高の4%とされ、継続的に違反した場合は1日あたり最大2万ポンド(約3百万円)が加算される。
https://www.gov.uk/government/news/new-cyber-laws-to-protect-peoples-personal-tech-from-hackers
https://www.gov.uk/government/collections/the-product-security-and-telecommunications-infrastructure-psti-bill-factsheets
2021年11月24日 米国BIS、中国や日本に所在する企業を含む27社を禁輸対象リストに追加
米国商務省産業安全保障局(BIS)は、米国国家安全保障または外交政策利益に反する活動に従事しているとして、27の外国企業/個人をエンティティリストに追加する規定を発行し、26日から施行した。
今回の施策は軍事技術や暗号技術の開発を支援する中国の量子コンピューティングへの取り組みに、米国の新興技術が使用されるのを防ぐことを目的としている。中国人民解放軍の軍事的近代化を支援する中国電子機器メーカーへの輸出も制限する。
追加の対象となったのは中国、パキスタン、シンガポール、そして日本に所在する外国企業/個人とロシアに拠点を置く1団体。これらの企業に米国の部材や技術を輸出する際には当局の許可が必要となり、申請には原則却下の方針が適用される。
日本企業として追加された「Corad Technology Japan K.K.」は、2019年にリストに追加された中国企業「Corad Technology Limited」の関連会社。Corad社がイランの軍事・宇宙計画や、北朝鮮のフロント企業との取引、中国の政府・防衛産業関連組織への米国・欧米諸国の技術販売などに関与していたことから追加された。
https://www.commerce.gov/news/press-releases/2021/11/commerce-lists-entities-involved-support-prc-military-quantum-computing
https://www.federalregister.gov/documents/2021/11/26/2021-25808/addition-of-entities-and-revision-of-entries-on-the-entity-list-and-addition-of-entity-to-the
----------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
2021年11月1日 CrowdStrike、ゼロトラストによるデータ保護のためSecureCircleを買収
2021年11月1日 ブロックチェーンセキュリティ技術のSollensys、金融サービスITプロバイダCeleritを買収
2021年11月2日 IBM、AIを利用した脅威検出製品を提供するReaQtaの買収計画を発表
2021年11月3日 SecureAuth社がAcceptto社を買収 AIを活用したパスワードレス認証の実現を強化
2021年11月8日 OpenTextがZix Corporationを買収 中小企業向けメールセキュリティプラットフォームを目指す
2021年11月8日 投資家グループがMcAfeeを買収 アドベントなど6社が共同出社した子会社によって全株取得
2021年11月15日 DomainTools、Passive DNSデータ市場のリーダーであるFarsight Securityを買収
2021年11月15日 サイバーセキュリティトレーニングを提供するImmersive Labs、サイバー研究会社Snap Labsを買収
2021年11月22日 世界第4位の小売業者Schwarz Group、イスラエルのクラウドサイバーセキュリティ会社XM Cyberを買収