Loading...
----------------------------------------------------------------------
JCICコメンタリー 「デジタル中国」:情報化・デジタル化を軸に中国の安全保障観を理解する(3/29配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコメンタリー 「デジタル中国」:情報化・デジタル化を軸に中国の安全保障観を理解する
・ウクライナ国防省、AI顔認識ソフトウェア「Clearview AI」の利用を開始
・米国ホワイトハウス、ロシアからの潜在的サイバー脅威への対処を呼びかける注意喚起
・FBIインターネット犯罪苦情センター、2021年度の年次報告書を発表
・イスラエル、ウクライナによる監視ソフトウェア「Pegasus」の購入を認めず
・サウジアラビア、個人情報保護法の施行を2023年3月17日に延期
・ENISA、健康データの管理に関する報告書を公表
----------------------------------------------------------------------
【2】JCICコメンタリー 「デジタル中国」:情報化・デジタル化を軸に中国の安全保障観を理解する
----------------------------------------------------------------------
(中国の情報化・デジタル化を軸に安全保障観をまとめたコメンタリーを作成しました。以下、抜粋です。)
中国は、中国国内にあるデータの管理を一層強化する傾向にある。
中国にとってデータは資源であり、国家として保護するべき対象であり、サイバー空間における主権、公共の利益や国家安全を保護するための国家政策の中心に据えられるべき重要事項なのである。
本稿は、中国のデジタル・情報・サイバーセキュリティに関する政策を知り、現在の中国の動向や安全保障観を理解することで、中国を含む海外事業に携わる、あるいは中国の政策やサイバーセキュリティ事情に関心を有する読者に新たな知見がもたらされることを期待するものとなる。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1b
----------------------------------------------------------------------
【3】海外政策動向一覧(2022年3月15日~2022年3月25日)
----------------------------------------------------------------------
2022年3月15日 ウクライナ国防省、AI顔認識ソフトウェア「Clearview AI」の利用を開始
ウクライナ国防省は、Clearview AI社のAI顔認識ソフトウェアの利用を開始した。Clearview AI社は、同社から技術提供の申し出を行ったことを明らかにしている。
ウクライナ国防省は同社の顔検索エンジンの無料利用が許可され、検問所審査におけるロシア工作員の特定、死者の身元確認、ソーシャルメディアの虚偽投稿の検証などへの活用が想定される。
Clearview AI社は、顔認証は指紋照合よりも簡単に死者を特定することができ、顔に損傷があっても機能するほか、家族と離ればなれになった難民の再会にも利用が期待できるという。
また、同社が保有する写真データベースは20億枚以上の画像を利用可能で、これまでウクライナで使用されてきた一般公開の画像検索エンジンよりも包括的であるとアピールしている。
一方で、ロシアのいう特別作戦活動に対しては同技術を提供していないこと、ジュネーブ条約に違反して使用されることは望まないことを強調した。
https://www.clearview.ai/highlights
https://www.reuters.com/technology/exclusive-ukraine-has-started-using-clearview-ais-facial-recognition-during-war-2022-03-13/
2022年3月21日 米国ホワイトハウス、ロシアからの潜在的サイバー脅威への対処を呼びかける注意喚起
米国ホワイトハウスは、ロシアからの潜在的サイバー脅威への対処を呼びかける注意喚起を行った。同時に企業が直ちに実行すべきサイバー防衛対策の手順を発表した。
米国政府はこれまでもCISAのShields Upキャンペーンなどを通じて民間企業への支援を行ってきた実績がある。しかし、前例のない経済制裁に対抗するロシアがサイバー攻撃を検討している可能性を示す情報をうけ、より大規模な勧告を発することにしたという。
対策手順のリストには、多要素認証の義務付け、継続的な脅威調査、データのオフラインバックアップ、緊急時の訓練と演習の実施などが含まれている。
米国外では、英国NCSCも本方針に支持を表明している。日本も経済産業省、総務省、警察庁、NISCが「現下の情勢を踏まえたサイバーセキュリティ対策の強化について」と題した注意喚起においてホワイトハウスの発表を参照している。
また、翌3月22日にはCISAが13,000人を超える業界関係者を対象に3時間の電話会議を開催した。会議内でCISAは、ロシアのサイバー攻撃の最新情報を提供するとともに、関係者からの質問に回答した。
そして、すべての重要インフラ事業者に対してShields Upに列挙されている緩和策を今すぐ実施するように呼びかけた。
https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/21/fact-sheet-act-now-to-protect-against-potential-cyberattacks/
https://www.ncsc.gov.uk/news/ncsc-supports-white-house-call-for-increased-precautions
https://www.npa.go.jp/cybersecurity/pdf/20220324press.pdf
https://www.cisa.gov/news/2022/03/21/statement-cisa-director-easterly-potential-russian-cyberattacks-against-united
https://www.cisa.gov/news/2022/03/22/readout-cisa-call-critical-infrastructure-partners-potential-russian-cyberattacks
2022年3月22日 FBIインターネット犯罪苦情センター、2021年度の年次報告書を発表
米国連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)は、2021年度の年次報告書を発表した。
IC3が2021年に報告をうけたサイバー犯罪は847,376件(2020年から7%増加)、推計被害総額は約69億ドル(約8,280億円)であった。犯罪の種類別では、ビジネスメール詐欺(BEC)、ランサムウェア、および暗号資産の犯罪利用関連が、報告件数の上位を占めた。特にビジネスメール詐欺(BEC)は、19,954件の報告があり、損失額は約24億ドル(約2,880億円)に及んだ。
https://www.fbi.gov/news/pressrel/press-releases/fbi-releases-the-internet-crime-complaint-center-2021-internet-crime-report
https://www.ic3.gov/Media/PDF/AnnualReport/2021_IC3Report.pdf
2022年3月23日 イスラエル、ウクライナによる監視ソフトウェア「Pegasus」の購入を認めず
イスラエル当局は、同国のNSOグループが開発した監視ソフトウェア「Pegasus」をウクライナ政府へ販売することを認めなかったことが明らかになった。Pegasusは、主に携帯電話等に仕込まれるスパイツールで、通話内容の傍受、テキストメッセージの盗聴、写真データなどの不正閲覧などが可能。販売元のNSOは、Pegasusは政府のクライアントが重大な犯罪者やテロリストを標的にするために使用するものであり、悪用された場合には調査すると述べている。
ウクライナ当局は2019年にもPegasusの利用許諾を求めたが、イスラエル国防省はNSOグループがウクライナと取引することを認めなかった。
ウクライナのゼレンスキー大統領は、ロシアによるウクライナ侵攻開始以来、ウクライナに武器を供給せずロシアに制裁を適用しないイスラエルの姿勢を批判している。
イスラエル当局は、サイバー製品の販売と輸出は国防輸出管理法に従って規制しているとコメントした。
https://www.theguardian.com/world/2022/mar/23/israel-ukraine-pegasus-spyware-russia
https://www.washingtonpost.com/technology/2022/03/23/urkraine-spyware-pegasus-russia/
2022年3月23日 サウジアラビア、個人情報保護法の施行を2023年3月17日に延期
サウジアラビア、個人情報保護法(PDPL)の試行を2023年3月17日に延期するとプレスリリース
サウジアラビアのデジタル化を推進するデータ・人工知能局(SDAIA)は、2022年3月23日に予定されていた同国PDPLの施行を、翌2023年の3月17日まで延期することを発表した。
この決定は、世論調査に参加した個人および国内外の公的・私的団体から寄せられた見解や意見に基づくものであり、PDPLの最終的な目標に適った修正を行うために必要な延期だと説明している。
サウジアラビアのPDPLは、個人のデータプライバシー確保、共有の規制、不正使用の防止を目的とし、直接または間接的に利用者を特定することにつながるあらゆる個人データを不当な収集や処理から保護することを規定している。保護すべきデータとしては、氏名、ID番号、住所、電話番号、個人記録、財務記録、画像、動画、その他の識別データが挙げられている。
SDAIAは、PDPLは同国のデジタル・イノベーション計画「ビジョン2030」を達成するための重要な柱であると述べており、民間ビジネスの成長や海外からの投資の呼び込みの狙いがあるとみられている。
https://twitter.com/SDAIA_SA/status/1506319750447644672?s=20&t=dzemw5HmT-L41YfkT8PoXw
https://saudigazette.com.sa/article/618514/SAUDI-ARABIA/SDAIA-postpones-implementing-Personal-Data-Protection-Law-for-a-year
2022年3月24日 ENISA、健康データの管理に関する報告書を公表
EUサイバーセキュリティ庁(ENISA)は、匿名化技術を用いた健康データの保護強化に関する報告書を公表した。
この報告書では、匿名化手法を適用することで個人データの保護レベルを向上する方法を例を交えて説明している。利用する匿名化手法は、対象となる個人データ、使用する技術、適用可能なパラメータなどを考慮したリスク影響評価に基づいて決定するアプローチが示されている。リスク影響評価項目は、患者の健康データの交換、臨床試験、患者から提供された健康データのモニタリング調査に基づいて検討されたという。
https://www.enisa.europa.eu/news/enisa-news/taking-care-of-health-data
https://www.enisa.europa.eu/publications/deploying-pseudonymisation-techniques
----------------------------------------------------------------------
【4】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年3月1日 欧州の投資会社Investcorp、イタリアのセキュリティ企業HWGを買収
2022年3月3日 野村総研グループの豪ASG、同国のDXコンサルティング企業Velradaを買収
2022年3月5日 米国のセキュリティ企業Magna5、TCG Network Servicesの買収でMSP事業を強化
2022年3月8日 Google、サイバーセキュリティ企業Mandiantを約54億ドルで買収する計画を発表
2022年3月9日 HelpSystems、MDRソリューションのAlert Logicを買収
2022年3月15日 SentinelOne、IDベース脅威検知サービスのAttivo Networksを買収
2022年3月16日 米国NortonLifeLockによる英国Avast買収、競争上の懸念から英当局が調査予定
2022年3月22日 米国Mission Critical Partners、政府機関向けマネージドサービスのRKVを買収
2022年3月23日 特別買収目的会社Mt. Rainier Acquisition、イスラエルのHUB Cyber Securityを約12億8000万ドルで買収