Loading...
----------------------------------------------------------------------
JCICコラム「社会を揺るがす重大サイバー事案:社長はどう語り、政治家は何を問うのか」(2/8配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム「社会を揺るがす重大サイバー事案:社長はどう語り、政治家は何を問うのか」
・米国ITRC、2021年版データ侵害レポートを発表
・米国環境保護庁、上下水道セクターのサイバーレジリエンスを加速する行動計画を発表
・欧州ENISA、データ保護技術に関する報告書を新たに発表
・米国FBI、北京冬季五輪関連団体への悪質なサイバー行為による混乱に注意喚起
・米国FBI長官、1日2回のペースで中国政府によるサイバー諜報に対処していると説明
・ユーロポール、暗号資産の犯罪利用に関するレポートを公表
----------------------------------------------------------------------
【2】JCICコラム「社会を揺るがす重大サイバー事案:社長はどう語り、政治家は何を問うのか」
----------------------------------------------------------------------
(コロニアル・パイプラインCEOの発言について、コラムにまとめました。以下、コラムの要旨です。)
サイバー攻撃を受けて社会に大きな影響が出た場合、その総括の場で、経営トップは何をどう語り、政治家は何を経営トップに問うのか。
2021年5月に米ランサムウェア攻撃を受け、米国東海岸の燃料不足や価格の急騰など社会に大きな影響を及ぼしたコロニアル・パイプライン社。
発生から1ヵ月後にCEOが出席した米上院議会のヒアリングでのコミュニケーションを事例に、経営トップと政治家のあるべき姿について検討する。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c
----------------------------------------------------------------------
【3】海外政策動向一覧(2022年1月24日~2022年2月4日)
----------------------------------------------------------------------
2022年1月24日 米国ITRC、2021年版データ侵害レポートを発表
米国の個人情報盗難リソースセンター(ITRC)は、年次データ侵害レポートの2021年版を発表した。ITRCは、個人IDに関連した犯罪の被害者を支援するために設立された非営利団体。
レポートによると、2021年のデータ侵害の総数は1,862件であり、2020年と比較して68%以上増加しているという。
また、ランサムウェア関連のデータ漏洩が過去2年間で倍増しており、フィッシングを上回りデータ侵害の最大の原因となった。原因が明らかになっていないデータ漏洩の報告件数は607件で、2020年から190%以上増加している。
https://www.idtheftcenter.org/post/identity-theft-resource-center-2021-annual-data-breach-report-sets-new-record-for-number-of-compromises/
2022年1月27日 米国環境保護庁、上下水道セクターのサイバーレジリエンスを加速する行動計画を発表
米国環境保護庁(EPA)は、サイバー攻撃から水インフラを保護するための上下水道セクターの行動計画を発表した。2020年にホワイトハウスから発表された産業制御システム・サイバーセキュリティ・イニシアチブの一環の取り組み。
上下水道セクターのサイバー脅威を早期に検出することで分析と対処を迅速化する戦略を支援するため、政府全体でサイバー脅威データの速やかな共有を促進することが主眼の計画となっている。
具体的な行動としては、次のものが挙げられている。
・上下水道セクターのリーダーによるタスクフォースを設立する
・試験プロジェクトを実行し、インシデント監視の仕組みの実証と高速化を行う
・情報共有とデータ分析の仕組みを改善する
・水インフラのシステムへの技術サポートを提供する
https://www.epa.gov/newsreleases/epa-announces-action-plan-accelerate-cyber-resilience-water-sector
https://www.whitehouse.gov/briefing-room/statements-releases/2022/01/27/fact-sheet-biden-harris-administration-expands-public-private-cybersecurity-partnership-to-water-sector/
2022年1月27日 欧州ENISA、データ保護技術に関する報告書を新たに発表
EUサイバーセキュリティ庁(ENISA)は、データプライバシーデーに寄せてデータ保護技術に関する新しい報告書を発表した。
ENISAは、GDPRは個人の権利を強化するだけでなく企業がデジタル市場の機会を最大限に活用する目的があるとし、「プライバシー・バイ・デザイン」指向のデータ保護エンジニアリングに注目しているという。
同報告書は、特定のデータ保護の原則(GDPR第5条)を満たすために、適切な技術的・組織的措置を選択・展開・設定することを支援する。
管理者が最適な技術を評価する際に役立つよう設計されており、アクセス制御やプライバシー保護ストレージなどの従来のセキュリティ技術に加え、合成データなど新しい概念も扱っている。
https://www.enisa.europa.eu/news/enisa-news/promoting-data-protection-by-design-exploring-techniques
https://www.enisa.europa.eu/publications/data-protection-engineering
2022年1月31日 米国FBI、北京冬季五輪関連団体への悪質なサイバー行為による混乱に注意喚起
米国連邦捜査局(FBI)は、2月4日開会の北京冬季五輪の関連団体に対して、サイバー攻撃グループがイベントを妨害するために広範な活動を行う可能性があるとして注意を呼びかけた。
五輪参加者や旅行者に対しては、大会用モバイルアプリを使用することで、サイバー攻撃グループに個人情報を盗まれたり、不正プログラムをインストールされたりする可能性があると警告した。
また、イベント参加や滞在に必要なアプリにも同様に警戒が必要だという。FBIはすべての選手に対して、個人所有のデバイスは自宅に保管し、大会期間中は臨時の携帯電話を使用するように促した。
https://www.ic3.gov/Media/News/2022/220131.pdf
https://citizenlab.ca/2022/01/cross-country-exposure-analysis-my2022-olympics-app/
2022年2月1日 米国FBI長官、1日2回のペースで中国政府によるサイバー諜報に対処していると説明
米国FBI長官は、中国政府が関与がするサイバー諜報事案を2,000件以上調査し、1日に約2回のペースで新しい防諜ケースを立ち上げていると述べた。
「中国は米国の知財・イノベーション・経済安全保障に対する最大の脅威である」と名指しし、「中国からのサイバー攻撃は他のすべての主要国の攻撃を合わせたものよりも多い」と評価している。
また、「中国の国家支援型サイバー攻撃グループは多くの資金と高度なツールを持ち、しばしばサイバー犯罪者と手を組んでサイバー傭兵のように利用している」と付け加えた。
中国の目的について、中国政府の産業振興政策「中国製造2025」にも言及した。今後100年間の経済的成功の鍵となる10分野で成功するための技術を盗むためにあらゆる手段を講じ、一見無害に見える方法で複数の手段を一度に利用するだろうと説明した。
https://www.fbi.gov/news/speeches/countering-threats-posed-by-the-chinese-government-inside-the-us-wray-013122
https://www.fbi.gov/news/stories/director-wray-addresses-threats-posed-to-the-us-by-china-020122
2022年2月1日 ユーロポール、暗号資産の犯罪利用に関するレポートを公表
ユーロポールは、犯罪者による暗号資産の利用実態を分析したレポートを公開した。
このレポートは、暗号資産の不正利用に対処する法執行機関を支援するためにまとめられたもので、当局が直面する課題を整理し、事例と対応の詳細について情報を提供している。
作成にあたっては、ユーロポールに提供された最新の運用情報、EU重大組織犯罪脅威評価(SOCTA)2021のデータ、その他の公開情報をもとに、暗号資産の犯罪利用と変化傾向の分析が行われている。
https://www.europol.europa.eu/media-press/newsroom/news/digital-gold-rush-debunking-common-myths-criminal-use-of-cryptocurrencies
https://www.europol.europa.eu/publications-events/publications/cryptocurrencies-tracing-evolution-of-criminal-finances
----------------------------------------------------------------------
【4】2月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年1月31日 デジタル教育サービスのCengage Groupがサイバーセキュリティ教育企業Infosecを買収
2022年2月1日 ForescoutがCyberMDXを買収 医療IoTの強化をめざす
2022年2月1日 Check Point、イスラエルのサイバーセキュリティ・スタートアップSpectralを買収
2022年2月1日 Xerox、カナダ大手ITサービスのPowerlandを買収 北米でのセキュリティサービスを強化
2022年2月3日 リモートデスクトップのKeeper Security、Glyptodonの買収でゼロトラストアクセスを強化