Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
欧州委員会、米欧間の新たなデータプライバシーフレームワークに関する共同声明を発表(4/5配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国司法省、重要インフラへのサイバー攻撃作戦に関わったロシア政府職員4人を起訴
・欧州委員会、米欧間の新たなデータプライバシーフレームワークに関する共同声明を発表
・シンガポール当局、サイバーセキュリティ認証プログラムを開始
・欧州会計監査院、EUの機関や官庁などを対象とするサイバーセキュリティの勧告を公表
・NATO、事務総長が2021年の年次報告書を発表
・オーストラリア、2022年改正安全保障(重要インフラ保護)法案が可決
・米国CISAおよびFBI、中間選挙を前にフィッシング攻撃などへの注意喚起

----------------------------------------------------------------------
【2】海外政策動向一覧(2022年3月24日~2022年4月1日)
----------------------------------------------------------------------
2022年3月24日 米国司法省、重要インフラへのサイバー攻撃作戦に関わったロシア政府職員4人を起訴
米国司法省(DoJ)は、2012年から2018年の間に米国の重要インフラを標的にしたサイバー攻撃作戦に関与したロシア政府職員4人を起訴した。
このサイバー攻撃作戦は、世界で約135カ国、数百の企業や組織を対象としたもので、数千台のコンピュータを攻撃対象としていたという。
FBIは、連邦政府および国際的なパートナーと連携し、ロシアが重要インフラにもたらす深刻なサイバー脅威への対処に引き続き注力すると述べている。
https://www.justice.gov/usao-dc/pr/four-russian-government-employees-charged-two-historical-hacking-campaigns-targeting

2022年3月25日 欧州委員会、米欧間の新たなデータプライバシーフレームワークに関する共同声明を発表
欧州委員会は、米国と欧州の間で新たに大西洋横断データプライバシーフレームワークを採用することに大筋合意したと発表した。
従来のプライバシーシールドの枠組みによる個人データ移転は2020年7月にEU司法裁判所によって無効判決が下されていた。
新しい大西洋横断データプレイバシーフレームワークは、米国の諜報活動に対するEU市民のプライバシー保護に合意した点で画期的と評されている。
Googleらも本枠組みに賛意を示しており、大西洋を跨ぐ協力が活性化し、安全保障上の新たな脅威に対処するための措置が可能になると述べている。
https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087
https://blog.google/outreach-initiatives/public-policy/trans-atlantic-data-privacy-framework-building-long-term/

2022年3月30日 シンガポール当局、サイバーセキュリティ認証プログラムを開始
シンガポールサイバーセキュリティエージェンシー(CSA)は、優れたサイバーセキュリティプラクティスを実践した企業を表彰するサイバーセキュリティ認証プログラムを新たに開始した。
認証プログラムは、2つのサイバーセキュリティマーク(Cyber EssentialsとCyber Trust)から構成される。
Cyber Essentialsは、ITとサイバーセキュリティの専門知識やリソースが限られる傾向がある中小企業を対象としており、一般的なサイバー攻撃からシステムを保護するために必要なベースラインのセキュリティ対策に優先順位を付けるのに役立つと説明されている。
一方、Cyber Trustは多国籍企業などの大企業やデジタル化が進んだ企業を対象にしている。これらの企業はリスクレベルが高くサイバーセキュリティにより多くを投資する必要があるため、特定の製品やサービスのサイバーセキュリティ対策ではなく、組織レベルのサイバーセキュリティ対策を認証する制度として設計されている。
https://www.csa.gov.sg/News/Press-Releases/csa-launches-new-cybersecurity-certification-programme-to-recognise-enterprises-with-good-cybersecurity-practices

2022年3月30日 欧州会計監査院、EUの機関や官庁などを対象とするサイバーセキュリティの勧告を公表
欧州会計監査院は、EUの機関・官庁・団体(EUIBA)を対象とするサイバーセキュリティの勧告を公表した。
現在、EUIBAには情報セキュリティとサイバーセキュリティに関する法的枠組みがない。2016年のNIS指令とその改定案であるNIS2指令においても対象になっておらず、EUの機関等がサイバーセキュリティに費やした予算に関する包括的な情報もない。
欧州委員会が2020年12月に発表した「今後10年のデジタル時代のためのEUサイバーセキュリティ戦略」では、すべてのEU機関のためのサイバーセキュリティの共通ルールを提案すると約束されている。
欧州会計監査院が実施した調査の結果、全体としてEUIBAの準備レベルは脅威に見合っておらず、サイバーセキュリティの成熟度は組織ごとに大きく異なっていることが分かったという。EUIBAを狙ったサイバー攻撃が急増しているなかで、EUIBAは相互に強く結びついていることから、ある組織の脆弱性が他組織をセキュリティ上の脅威にさらす可能性があることを指摘した。
EUIBAのサイバーセキュリティについて、欧州委員会による法的拘束力のあるサイバーセキュリティ規則の導入をはじめ、CERT-EUのリソースの増加、CERT-EUとENISAが成熟度が低いEUIBAに支援を集中させることなどを提言している。
https://www.eca.europa.eu/en/Pages/DocItem.aspx?did=60922
https://www.enisa.europa.eu/news/enisa-news/securing-eu-institutions-bodies-and-agencies
https://www.eca.europa.eu/Lists/ECAReplies/COM-Replies-SR-22-05/COM-Replies-SR-22-05_EN.pdf

2022年3月31日 NATO、事務総長が2021年の年次報告書を発表
北大西洋条約機構(NATO)は、事務総長によって取りまとめられた2021年の年次報告書を発表した。
2021年はNATO加盟国およびパートナー国家の重要インフラとサプライチェーンを標的とする破壊的で悪質なサイバーキャンペーンが増加し、頻度はこれまで以上に高まった。
現状において、NATOの敵対国家や非国家主体による軍事と非軍事手段の組み合わせたハイブリッド戦の脅威は安全保障上の大きな課題であり、規模も拡大しているという認識が示されている。地域社会の分断や不安定化を目的とした敵対的な情報キャンペーンやサイバー攻撃も非軍事手段に分類される。特にサイバー攻撃は、北大西洋条約第3条に基づく集団的・国家的レジリエンスの強化課題の一つに位置づけられている。
これを踏まえ、効果的なサイバー防衛に必要なものは、政治、軍事、技術の各レベルで同盟国間の状況認識共有に努め、リアルタイムで侵入を検知、防止、対応する能力だという考えが示されている。その上で、ハイブリッド戦の脅威に対処するためにNATO加盟国が包括的サイバー防衛政策を承認したのは、今後10年間のNATOのサイバー防衛アプローチを定義する上で画期的な出来事であるとした。
実際に、NATOはハイブリッド戦への予防的取り組みを強化しており、2021年9月には、リトアニアの要請により対ハイブリッド支援チームが同国に配備された。軍事的手段と非軍事的手段を包括的に扱う予防的取組みを開始したほか、中国やロシアのハイブリッド戦の一環として行われるサイバー脅威の抑止と対抗措置に取り組んでいく姿勢を示している。
https://www.nato.int/cps/en/natohq/news_194034.htm
https://www.nato.int/nato_static_fl2014/assets/pdf/2022/3/pdf/sgar21-en.pdf

2022年3月31日 オーストラリア、2022年改正安全保障(重要インフラ保護)法案が可決
オーストラリア国会で2022年改正安全保障(重要インフラ保護)法案が可決した。SLACIP法案とも呼ばれる同法案は、2018年重要インフラ安全保障法(SOCI法)を改正するもの。まもなくオーストラリア総督による勅許が与えられ、その翌日からの施行が予定されている。
主な改正点は、責任主体が重要インフラリスク管理プログラムを作成・維持する義務が追加されたこと、国家的な重要システムの運用者へのより強力なサイバーセキュリティ対策義務が追加されたことである。内務大臣には国家的に重要なシステムを指定し、リスク管理プログラムへの準拠を要求する権限が認められた。さらに、深刻なサイバーセキュリティ事故が発生した際には、政府から産業界への支援活動がリスク管理プログラムよりも優先されると規定された。
https://www.homeaffairs.gov.au/reports-and-publications/submissions-and-discussion-papers/slacip-bill-2022
https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6833

2022年3月31日 米国CISAおよびFBI、中間選挙への干渉を企むフィッシング攻撃などへの注意喚起
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、FBIが発行した民間企業通知(PIN)を確認し、推奨緩和策の実践を求めた。
3月29日にFBIは、選挙関係者と州・地方政府関係者に対して、請求書の通知を装い関係者のログイン情報を取得しようとするフィッシングメールに備えるよう警告した。2022年の米国中間選挙に向けてサイバー攻撃グループが米国の選挙関係者へ今まで以上に激しい攻撃を展開する可能性が高いと警戒している。
過去のフィッシング攻撃対応の経験から、関係者が選挙運営に用いるメールシステムを積極的にモニタリングし、FBIと連携して対応にあたることで、被害の軽減と攻撃者の狙いや素性の特定が可能になると呼びかけている。
続く30日には、米国政府施設部門のパートナー企業に対してPINを発行し、地方政府機関に対するランサムウェア攻撃が業務サービスの中断や公共安全へのリスク、金銭的損失をもたらしていると警告した。2021年にはサイバーセキュリティに割り当てられるリソースに制約があるとみられる小規模な郡や自治体においてランサムウェア被害が多く発生したという。多くの国民が地方行政サービスに依存しており、重大なリスクとしての認識と対応を呼びかけている。
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/30/fbi-releases-pin-phishing-campaign-against-us-election-officials
https://www.ic3.gov/Media/News/2022/220329.pdf
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/31/fbi-releases-pin-ransomware-straining-local-governments-and-public
https://www.ic3.gov/Media/News/2022/220330.pdf

----------------------------------------------------------------------
【3】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年3月1日 欧州の投資会社Investcorp、イタリアのセキュリティ企業HWGを買収
2022年3月3日 野村総研グループの豪ASG、同国のDXコンサルティング企業Velradaを買収
2022年3月5日 米国のセキュリティ企業Magna5、TCG Network Servicesの買収でMSP事業を強化
2022年3月8日 Google、サイバーセキュリティ企業Mandiantを約54億ドルで買収する計画を発表
2022年3月9日 HelpSystems、MDRソリューションのAlert Logicを買収
2022年3月15日 SentinelOne、IDベース脅威検知サービスのAttivo Networksを買収
2022年3月16日 米国NortonLifeLockによる英国Avast買収、競争上の懸念から英当局が調査予定
2022年3月22日 米国Mission Critical Partners、政府機関向けマネージドサービスのRKVを買収
2022年3月23日 特別買収目的会社Mt. Rainier Acquisition、イスラエルのHUB Cyber Securityを約12億8000万ドルで買収
2022年3月20日 Perception PointがHysolateを買収、Prevention-as-a-Serviceの強化を目指す
2022年3月28日 元米国財務長官のプライベートファンドLiberty Strategic Capital、モバイルデバイスセキュリティのZimperiumを買収