Loading...
----------------------------------------------------------------------
米国SEC、投資運用業界のサイバーセキュリティ改革を提案(2/15配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・フィリピンNPC、国民の個人情報保護意識に関する全国調査を実施
・米国NIST、ソフトウェアとIoT製品のセキュリティラベルに関するガイダンスを発行
・中国工業情報化部、北京冬季五輪開幕式の「干渉・不具合・脆弱性ゼロ」達成を報告
・米国FBI、盗まれた暗号通貨5,500億円相当を押収
・米国SEC、投資運用業界のサイバーセキュリティ改革を提案
・各国サイバーセキュリティ当局、ランサムウェアの脅威に対する共同アドバイザリーを発表
・アイルランドICCLとEPIC、グローバル企業8社に対して同意スパムの停止を勧告
・米国HelpSystems、改ざん検知製品市場のリーダーTripwireを買収
----------------------------------------------------------------------
【2】海外政策動向一覧(2022年2月2日~2022年2月11日)
----------------------------------------------------------------------
2022年2月2日 フィリピンNPC、国民の個人情報保護意識に関する全国調査を実施
フィリピン国家プライバシー委員会(NPC)は、国民の個人情報保護意識を確認するために実施した全国調査の結果を公開した。調査は、2021年10月~11月にかけて全国の18歳以上の男女を対象にアンケート形式で行われた。
同国のデータプライバシー法への認知度は2017年の13%から2021年は25%に増加した。
NPCによる保護についての回答は満足度41%と信頼度36%という結果となった。満足度の高い層はインターネットにアクセスできる人が多い首都圏・ルソン島・都市部に集中しており、地方への意識浸透が課題としている。
また、SNSやテレビを通じた情報発信が国民(とりわけ18歳~29歳の若年層)の意識と知識の向上に寄与していることが判明した。
ただし、同国のインターネット利用者の大半は、情報セキュリティに関する認識が不足しており、SNSの適切な利用意識をもつ回答者はわずか9%に留まるという結果だった。
https://www.privacy.gov.ph/2022/02/npc-survey-ph-now-with-heightened-data-privacy-awareness-knowledge-driven-by-social-media-and-tv/
https://www.privacy.gov.ph/wp-content/uploads/2022/01/CONDUCT-OF-PRIVACY-SURVEY-Final-Report-v3.pdf
2022年2月4日 米国NIST、ソフトウェアとIoT製品のセキュリティラベルに関するガイダンスを発行
米国立標準技術研究所(NIST)は、ソフトウェアとIoT製品のセキュリティラベリングに関連する複数のガイダンスを発行した。
これらのガイダンスは、2021年5月12日発令された「国家のサイバーセキュリティ向上に関する大統領令 (E.O.14028) 」により、ソフトウェアサプライチェーンセキュリティの改善をNISTに指示したことを受けて作成されたもの。
実用的でメーカーや販売会社の負担にならないことを目指すとともに、ユーザビリティを重要な考慮事項として考慮するという。また、ラベリングプログラムは消費者が製品の安全性を知るためのガイドとすることを目的としている。
今回の取り組みでは、次の5つの文書が公開された。
・ソフトウェア脆弱性のリスクを軽減するための推奨事項(NIST SP800-218)
・ソフトウェアのサプライチェーンセキュリティに関するガイダンス
・消費者向けIoT製品のサイバーセキュリティラベリングに関する推奨基準
・消費者向けソフトウェアのサイバーセキュリティラベルの推奨基準
・ラベリングプログラム(パイロット版)のアプローチとフィードバックについて
https://www.nist.gov/news-events/news/2022/02/nist-issues-guidance-software-iot-security-and-labeling
https://www.nist.gov/itl/executive-order-improving-nations-cybersecurity
2022年2月5日 中国工業情報化部、北京冬季五輪開幕式の「干渉・不具合・脆弱性ゼロ」達成を報告
中国工業情報化部(MIIT)は、北京冬季五輪開幕式の安全保障業務で「干渉・不具合・脆弱性ゼロ」を達成した旨の報告を行った。
MIITが公開したレポートでは、無線の保護、情報通信の保証、サイバーセキュリティに関する成果が報告された。
無線の保護に関して、2月4日の開幕式が始まるまでの24時間は200人余りの無線保護人員を投入した体制で組み、48,000台以上の無線機器を正常に動作させたという。情報通信の保障については、開幕式のライブ中継のために中国国立競技場が5Gネットワークのフルカバレッジを実現したことに触れた。
サイバーセキュリティについては、24時間体制で17のネットワークのセキュリティ脅威を処理、4,000以上の不正なプログラムの送信元IPアドレスがブロックしたことを報告している。全体的に通信は安定し、重大なセキュリティ事故はなかったという。
https://www.miit.gov.cn/xwdt/gxdt/art/2022/art_1f0cc0a7ef5f4fcbb80aa8c3388b8e7e.html
2022年2月8日 米国FBI、盗まれた暗号通貨5,500億円相当を押収
米連邦捜査局(FBI)は、2016年の仮想通貨取引所Bitfinexへのハッキングで盗まれた暗号通貨のマネーロンダリングに関与した容疑者2名を逮捕したことを発表した。
法執行機関はこのハッキングに関連する暗号通貨119,754ビットコイン(約5,500億円相当)を押収した。
裁判資料によると、ハッカーがBitfinexのシステムに不正アクセスし、2,000件以上の不正取引によって収益をあげた。
容疑者は、盗み出したビットコインをマネーロンダリングするために共謀した容疑で訴えられている。
https://www.justice.gov/usao-dc/pr/two-arrested-alleged-conspiracy-launder-45-billion-stolen-cryptocurrency
2022年2月9日 米国SEC、投資運用業界のサイバーセキュリティ改革を提案
米国証券取引委員会(SEC)は、投資運用業界のサイバーセキュリティ対策を強化するための改革案を提案した。
サイバーハイジーンとインシデント報告の要件を強化し、脅威への対応やサイバー攻撃からの回復力に対する投資家からの信頼を向上させることを目指す。
改革案では、SECに登録する投資顧問会社やファンドなどの機関に対して4つの規則の遵守を求めている。
1. サイバーセキュリティ方針と手順を文書化したうえで適用し、実践すること
2. サイバーセキュリティに関連する必要な記録を管理すること
3. 投資顧問会社もしくは助言先ファンドが特定のセキュリティインシデントの対象となった場合、SECへ報告すること
4. セキュリティインシデントに関する情報をパンフレットとファンド登録書面を通じて開示すること
https://www.sec.gov/news/statement/gensler-statement-cybersecurity-reforms-020922
2022年2月9日 各国サイバーセキュリティ当局、ランサムウェアの脅威に対する共同アドバイザリーを発表
米国、英国をはじめとする各国のサイバーセキュリティ当局がランサムウェアの脅威に対する共同アドバイザリーを発表した。
ランサムウェアの戦術と技術は進化し続けており、世界中の組織に対して脅威が増加していることが活動の背景にある。
このアドバイザリーの作成に関わった当局は、米国のFBI、CISA、NSA、オーストラリアのACSC、英国のNCSCなど。文書はCISAのウェブサイトからダウンロードすることができる。
https://www.ncsc.gov.uk/news/joint-advisory-highlights-increased-globalised-threat-of-ransomware
https://www.cisa.gov/uscert/ncas/alerts/aa22-040a
https://www.cyber.gov.au/acsc/view-all-content/news/australia-joins-us-and-uk-warn-2021-ransomware-trends
2022年2月10日 アイルランドICCLとEPIC、グローバル企業8社に対して同意スパムの停止を勧告
アイルランド自由人権協会(ICCL)と電子プライバシー情報センター(EPIC)は、グローバルに事業を展開する大手企業8社に対して同意スパムによるデータ収集の停止と収集済データの削除を勧告した。
両者は、P&G、ユニリーバ、AT&T、Bank of America、Ford、GM、IBM、MastarCardに対して書簡を発行し、14日以内に「同意を得た」ことを根拠にデータを収集する同意スパムをやめ、同意を取得するためのポップアップにより収集された個人データを削除するように要請した。
2月2日には、ベルギーデータ保護局が、欧州のデジタル広告業界団体IABヨーロッパの「透明性と同意の枠組み(TCF」)をGDPR違反とする判決を下しており、本件もこの流れを受けた動きとみられる。
ICCLとEPICは各社に対し、TCFを通じて収集・処理されたデータを削除する「即時措置」を実施するように求めたほか、TCFに基づく同意スパムを米国内でも直ちに自粛すべきだという見解を示した。
https://www.iccl.ie/news/demand-to-ceos-of-worlds-biggest-advertisers-stop-unlawful-consent-spam-and-delete-the-data/#letter-to-advertisers
https://iabeurope.eu/all-news/iab-europe-to-appeal-belgian-data-protection-authority-ruling/
https://www.dataprotectionauthority.be/citizen/iab-europe-held-responsible-for-a-mechanism-that-infringes-the-gdpr
----------------------------------------------------------------------
【3】2月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年2月1日 ForescoutがCyberMDXを買収 医療IoTの強化をめざす
2022年2月1日 Check Point、イスラエルのサイバーセキュリティ・スタートアップSpectralを買収
2022年2月1日 Xerox、カナダ大手ITサービスのPowerlandを買収 北米でのセキュリティサービスを強化
2022年2月3日 リモートデスクトップのKeeper Security、Glyptodonの買収でゼロトラストアクセスを強化
2022年2月9日 CyberCX、ニュージーランドでの事業拡大を目指しCyber Research NZを買収
2022年2月9日 米国HelpSystems、改ざん検知製品市場のリーダーTripwireを買収
2022年2月9日 カナダSSC、同国のAvanteを買収 カナダ最大のセキュリティ上場企業に