Loading...
----------------------------------------------------------------------
米国FTC、Apache Log4jの脆弱性への対応を怠った企業に対して法的措置の意向(1/11配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・G7内務・安全保障担当高官、ランサムウェアに関する臨時フォーラムを開催
・中国CAC、「145国家情報化計画」を発表
・米国NIST、オープンバンキング技術と先端標準のサイバーセキュリティ考慮事項の草案に意見募集
・中国の13省庁、サイバーセキュリティ審査弁法の改訂版を公開
・米国FTC、Apache Log4jの脆弱性への対応を怠った企業に対して法的措置の意向
・Google、イスラエルのSOARサービス企業Siemplifyを買収、Google Cloudへ統合予定
----------------------------------------------------------------------
【2】海外政策動向一覧(2021年12月20日~2022年1月7日)
----------------------------------------------------------------------
2021年12月22日 G7内務・安全保障担当高官、ランサムウェアに関する臨時フォーラムを開催
G7事務局は、12月15日から16日にかけてランサムウェア犯罪ネットワークに対処するための臨時フォーラムが開催されたことを報告した。
欧州評議会、欧州委員会、欧州連合サイバーセキュリティ庁(ENISA)、ユーロポール、インターポール、FATF(金融活動作業部会)、G7サイバー専門家グループ、国連薬物犯罪事務所(UNODC)などの組織から高官が参加した。
フォーラムでは、ランサムウェア犯罪の組織化、政策的介入、暗号通貨ロンダリング、レジリエンスの向上といった論点で議論が行われた。今後は優先分野を特定しつつ、連携を強化することが確認された。
https://www.g7uk.org/g7-interior-and-security-ministers-extraordinary-senior-officials-forum-on-ransomware/
2021年12月27日 中国CAC、「145国家情報化計画」を発表
中国国家インターネット情報局(CAC)は、2021年から2025年の期間を対象とする情報化分野振興の国家計画「145国家情報化計画(第14次5カ年計画)」を発表した。
デジタル中国の構築を掲げており、計画期間内にデジタル産業を世界最先端の水準に引き上げ、GDPに占める割合を10%とすることを目標としている。
また、中国のデジタルインフラ発展のために重要な10領域を掲げており、5GやAIなどの技術を応用するプロジェクトへの投資計画や、特定地域における実証実験の実施にも言及している。
指定10領域の具体的な対象は以下の通り。
(1)デジタルインフラシステム、(2)データ資源の高度な活用効率化、(3)デジタル生産力とイノベーションの発展、(4)先進的で安全なデジタル産業システムの育成、(5)産業のデジタルトランスフォーメーションと発展、(6)デジタル社会統治システムの構築、(7)デジタル行政サービスシステムの構築、(8)デジタル生活保護システムの構築、(9)デジタル分野におけるWin-Winの国際協力体制の拡大、(10)デジタル発展ガバナンスの標準化
http://www.cac.gov.cn/2021-12/27/c_1642205312620820.htm
http://www.cac.gov.cn/2021-12/27/c_1642205312337636.htm
http://www.cac.gov.cn/2021-12/27/c_1642205314518676.htm
2022年1月3日 米国NIST、オープンバンキング技術と先端標準のサイバーセキュリティ考慮事項の草案に意見募集
米国国立標準技術研究所(NIST)は、オープンバンキングのサイバーセキュリティ対策を整理した「NISTIR 8389」の草案に対して意見募集を開始した。
オープンバンキングは、消費者や中小企業と金融企業間の資金や情報の移動を実現するFinTech技術を意味しており、APIレベルでの悪用が懸念されている。
NISTIR 8389では、EU・豪州・インド・米国などのオープンバンキングのユースケースを紹介し、金融機関間のAPIセキュリティ対策を整理している。
https://csrc.nist.gov/publications/detail/nistir/8389/draft
2022年1月4日 中国の13省庁、サイバーセキュリティ審査弁法の改訂版を公開
中国国家インターネット情報局、国家安全部、工業情報化省など13の省庁は連名で、サイバーセキュリティ審査弁法の改訂版を公開した。同法は2022年2月15日より施行される予定。
現行のサイバーセキュリティ審査弁法は2020年6月1日に施行されて以来、重要インフラのサプライチェーンセキュリティを確保するために運用されてきた。
今回の改訂では、中国データセキュリティ法などの関連法案の要件を満たすよう内容が追加・修正されたという。具体的には、プラットフォーム事業者のデータ処理活動や国外での上場が国家安全保障に与える影響を審査されるようになる。
100万件以上の個人情報を保有する事業者が中国国外で上場する際は、サイバーセキュリティ審査の申告が必須となる。審査の結果、国家安全に影響を与えないと判断された場合にのみ、海外市場に上場するプロセスの継続が認められる。
なお、改訂版弁法は、香港市場に上場する場合に企業に対するサイバーセキュリティ審査適用を明記していないが、別の規定である「サイバーセキュリティ安全管理条例」は、香港上場のためのセキュリティ審査の申告を明確に要求している。
http://www.cac.gov.cn/2022-01/04/c_1642894602144070.htm
http://www.cac.gov.cn/2022-01/04/c_1642894602182845.htm
http://www.cac.gov.cn/2022-01/04/c_1642894602460572.htm
2022年1月4日 米国FTC、Apache Log4jの脆弱性への対応を怠った企業に対して法的措置の意向
米国公正取引委員会(FTC)は、昨年末に発見されたApache Log4jの脆弱性の悪用が広がることを懸念し、対応を怠った企業に対して法的措置をとる意向を示した。
Apache Log4jは人気のあるJava言語向けのロギングライブラリで、非常に多くのソフトウェアに採用されている。報告された脆弱性は悪用が容易で尚且つ深刻な被害をもたらす可能性があると評価されている。
過去にEquifax社が大規模な個人情報漏えいを起こした際の事案を引き合いに、消費者のデータ保護に合理的措置を講じなかった企業には、FTCの法的権限を活用した追求を行うとしている。
Equifax社は、既知の脆弱性への対処を怠ったために消費者1億4,700万人の個人情報を漏えいさせたとして、FTCや各州政府から訴訟され、解決のための費用として7億ドル(約800億円)を支払った。
またFTCは今回のLog4jに関する騒動は、重要なオープンソースソフトウェアが一部のボランティアの努力によって支えられているという構造的問題の一例に過ぎないとし、より根本的な問題への対処を検討する考えを示している。
https://www.ftc.gov/news-events/blogs/techftc/2022/01/ftc-warns-companies-remediate-log4j-security-vulnerability
----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細(一部先月末情報を含む)
----------------------------------------------------------------------
2021年12月20日 日本でサイバーセキュリティ教育事業を展開するGSX、マザーズへ新規上場【IPO情報】
2021年12月23日 インド発グローバルIT企業のWipro、米国のセキュリティコンサルティング企業Edgileを買収
2021年12月30日 米国MDR市場のリーダーFishtech Group、SIEMのリーダー企業Herjavec Groupと合併
2022年1月4日 Google、イスラエルのSOARサービス企業Siemplifyを買収、Google Cloudへ統合予定