Loading...
----------------------------------------------------------------------
JCICレポート「社内のセキュリティリソースは「0.5%以上」を確保せよ」公開(3/22配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICレポート「社内のセキュリティリソースは「0.5%以上」を確保せよ」公開
・ロシア政府、国営のTLS認証局設立を発表
・米国バイデン大統領、サイバー攻撃発生時の当局報告義務を定めた法案に署名
・ドイツ情報セキュリティ庁、カスペルスキー社のソフトウェア使用に対して警告
・NIST、AIバイアスの識別と管理のための連邦政府基準「SP1270」を公開
・CISAとFBI、衛星通信のサイバーセキュリティ強化に関するアラートを公開
----------------------------------------------------------------------
【2】JCICレポート「社内のセキュリティリソースは「0.5%以上」を確保せよ」公開
----------------------------------------------------------------------
(3月18日の日本経済新聞朝刊にJCICのレポートが引用されました。以下、レポートの抜粋です。)
このレポートでは、DX with Security先進企業のための戦略策定の推奨アプローチとして、以下の内容を提案するものである。
・サイバーリスク数値化モデルを用いリスクを可視化せよ
・DX with Security 戦略を策定せよ
- ストーリーとして戦略を語るためのフレームワークを活用すべき
- セキュリティ投資額は、連結売上高の「0.5%以上」を投資すべき
- セキュリティ人材は、全従業員数の「0.5%以上」を確保すべき
・セキュリティKPIを設定し、定期的にモニタリングせよ
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1a
日本経済新聞朝刊「サイバー被害、株価揺らす 開示50日後で平均6.3%下落」(3月18日)
https://www.nikkei.com/article/DGKKZO59186910X10C22A3DTA000/
----------------------------------------------------------------------
【3】海外政策動向一覧(2022年3月11日~2022年3月16日)
----------------------------------------------------------------------
2022年3月11日 ロシア政府、国営のTLS認証局設立を発表
ロシア連邦デジタル発展・通信・マスコミ省は、ウクライナ侵攻に対する西側諸国からの制裁措置に起因するウェブサイトアクセスの問題に対処するため、ロシア国内の法人にTLS証明書を無償で発行する独自のTLS認証局(CA)を設立すると発表した。
TLS証明書の発行や更新を管轄する国内機関を運営し、利用者が州のサービスポータルでTLS証明書を取得できるようにするという。ロシア国内のすべての法人が利用可能で、申請から5営業日以内に証明書が届けられる。サービスポータルでは、証明書が発行されたすべてのドメインのリストを確認することもできる。
また、CAとCA業務を規制するための法律が近く採択される予定であることが発表された。同省は3月11日に、グローバルIT企業がロシアでの活動の停止または終了を宣言することを批判していた。
https://digital.gov.ru/ru/events/41451/
https://www.gosuslugi.ru/
https://knowledge.digicert.com/solution/Embargoed-Countries-and-Regions.html
2022年3月15日 米国バイデン大統領、サイバー攻撃発生時の当局報告義務を定めた法案に署名
米国ホワイトハウスは、バイデン大統領がサイバー攻撃発生時の当局報告義務などを定めた法案(H.R.2471 - Consolidated Appropriations Act, 2022)に署名したことを発表した。
米国の重要インフラ事業者は、サイバー攻撃の発生を認知してから72時間以内にサイバーセキュリティ・インフラセキュリティ庁(CISA)に報告することが義務付けられる。
また、ランサムウェアに対して身代金を支払った場合には24時間以内に報告することが求められる。
報告を怠った事業者には召喚状が発行され、召喚状に従わない場合は司法省への照会が行われることになる。
https://www.whitehouse.gov/briefing-room/speeches-remarks/2022/03/15/remarks-by-president-biden-at-signing-of-h-r-2471-consolidated-appropriations-act-2022/
https://www.congress.gov/bill/117th-congress/house-bill/2471/text
2022年3月15日 ドイツ情報セキュリティ庁、カスペルスキー社のソフトウェア使用に対して警告
ドイツ情報セキュリティ庁(BSI)は、ロシアのセキュリティ企業カスペルスキー社製ウイルス対策ソフトの使用に警告を発し、代替製品への置き換えを推奨した。
悪意のあるプログラムに関する情報提供と警告などを行うことを定めたBSI法の第7条に基づいた措置にあたる。ロシア軍の諜報活動やウクライナ侵攻の情勢を踏まえ、ロシア企業のソフトウェア製品は意図の有無によらず自社顧客に対する攻撃のツールとして悪用される可能性があるという認識に立っている。
カスペルスキー社は同日、ロシア国家および世界中のいかなる政府との関係を否定し、BSIの決定は同社製品の技術的分析に基づいていないと非難した。
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Warnungen-nach-Par-7/FAQ-Kaspersky/faq_node.html
https://www.bsi.bund.de/DE/Das-BSI/Auftrag/BSI-Gesetz/bsi-gesetz_node.html
https://www.kaspersky.com/about/press-releases/2022_kaspersky-statement-regarding-the-bsi-warning
2022年3月16日 NIST、AIバイアスの識別と管理のための連邦政府基準「SP1270」を公開
米国国立標準技術研究所(NIST)は、人工知能におけるバイアスの識別と管理のための連邦政府基準「NIST SP1270」を公開した。
AIバイアスによって生じる損害を識別することで管理能力を向上させることを目標に、AIの開発プロセスや学習データ以外にもバイアスの様々な要因を探ることを推奨している。
また、信頼できるAIの開発を支援する取り組みの一環として、NISTが開発中のAIリスク管理フレームワークに関連するガイダンスが提供されている。
https://www.nist.gov/news-events/news/2022/03/theres-more-ai-bias-biased-data-nist-report-highlights
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1270.pdf
2022年3月17日 CISAとFBI、衛星通信のサイバーセキュリティ強化に関するアラートを公開
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)と連邦捜査局(FBI)は、衛星通信(SATCOM)ネットワーク事業者などに対して、サイバーセキュリティの強化を促すアラートを共同公開した。
対策のための助言として多要素認証、暗号化の実装、監視の強化、インシデント対応計画などの緩和策の実施を推奨している。
欧州では、ウクライナ侵攻後に衛星通信へのサイバー攻撃による大規模通信障害が発生しており、米国でも衛星通信へのサイバー脅威が高まっていることが背景にある。
https://www.cisa.gov/uscert/ncas/alerts/aa22-076a
----------------------------------------------------------------------
【4】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年3月1日 欧州の投資会社Investcorp、イタリアのセキュリティ企業HWGを買収
2022年3月3日 野村総研グループの豪ASG、同国のDXコンサルティング企業Velradaを買収
2022年3月5日 米国のセキュリティ企業Magna5、TCG Network Servicesの買収でMSP事業を強化
2022年3月8日 Google、サイバーセキュリティ企業Mandiantを約54億ドルで買収する計画を発表
2022年3月9日 HelpSystems、MDRソリューションのAlert Logicを買収
2022年3月15日 SentinelOne、IDベース脅威検知サービスのAttivo Networksを買収
2022年3月16日 米国NortonLifeLockによる英国Avast買収、競争上の懸念から英当局が調査予定