Loading...
----------------------------------------------------------------------
米国バイデン大統領、量子コンピュータが及ぼすリスクに対する国家安全保障の覚書に署名(5/17配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・ユーロポール、ディープフェイクに関する報告書を公開
・インドCERT、サイバーインシデント報告の義務付けを含む指示
・韓国第20代大統領職引継委員会、デジタル政府プラットフォーム促進方針を発表
・米国証券取引所、暗号資産とサイバー執行部門の規模を約2倍に拡大
・米国バイデン大統領、量子コンピュータが及ぼすリスクに対する国家安全保障の覚書に署名
・米国NIST、サプライチェーンリスク管理のためのサイバーセキュリティガイドラインを改訂
・米国国務省、Contiランサムウェアグループの情報に1,000万ドルの報奨金を設定
・英国政府、スウェーデンおよびフィンランドとヨーロッパ安全強化宣言に署名
----------------------------------------------------------------------
【2】海外政策動向一覧(2022年4月28日~2022年5月13日)
----------------------------------------------------------------------
2022年4月28日 ユーロポール、ディープフェイクに関する報告書を公開
欧州刑事警察機構(ユーロポール)のイノベーションラボは、ディープフェイク犯罪対策について分析した報告書「Law enforcement and the challenge of deepfakes」を公開した。
この報告書では、CEOを騙る詐欺、証拠の改ざん、フェイクポルノ制作などディープフェイクの犯罪利用について概説されている。また、法執行機関がディープフェイクの悪用を検知・防止する上で直面する課題も分析し、実務担当者が今後10年間に直面する一連の課題としてまとめている。
https://www.europol.europa.eu/publications-events/publications/facing-reality-law-enforcement-and-challenge-of-deepfakes
https://www.europol.europa.eu/cms/sites/default/files/documents/Europol_Innovation_Lab_Facing_Reality_Law_Enforcement_And_The_Challenge_Of_Deepfakes.pdf
2022年4月28日 インドCERT、サイバーインシデント報告の義務付けを含む指示
インドでセキュリティインシデント対応を担当する国家機関CERT-Inは、情報技術法に基づく情報セキュリティ対策の実践とサイバーインシデント報告の義務を含む指示の内容を公表した。
この指示によって、政府機関やインターネットサービス事業者などはサイバーインシデントを認知してから6時間以内にCERT-Inに報告することが義務付けられる。
また、データセンターやネットワーク、クラウドサービス事業者は、正確な顧客データの登録と5年間の保存、ICTシステムクロックの同期、すべてのICTシステムのログを180日間保持することが要求されることになる。
https://www.pib.gov.in/PressReleasePage.aspx?PRID=1820904
https://www.cert-in.org.in/Directions70B.jsp
https://www.meity.gov.in/content/information-technology-act-2000
2022年5月2日 韓国第20代大統領職引継委員会、デジタル政府プラットフォーム促進方針を発表
韓国の第20代大統領職引継委員会は、デジタル政府プラットフォームの促進方針を発表した。ユン新大統領政府は、3年以内に汎政府的なデジタルプラットフォーム政府の枠組みを完成し、任期内に世界市場をリードする「すべてのデータが繋がる世界最高のデジタルプラットフォーム政府」を作ると述べている。
大統領引継委員会は、デジタルプラットフォーム政府を「すべてのデータが連結され、デジタルプラットフォームの上で国民・企業・政府が共に社会問題を解決し、新たな価値を創出する政府」と定義し、ビジョン達成にむけて5つの重点推進課題を設定した。それぞれの課題の内容は次の通り。
・短期で改善効果を体感できる「国民体感先導プロジェクト」の推進
・国民が一度提出した情報を再入力させない共通データ基盤の設置
・人工知能・データ駆動型の国政運営による公務員の働き方改革
・政府データとプラットフォームを活用した民間イノベーションエコシステムの創出、マイデータ(国民が主導的に個人情報を活用する仕組み)に関連した個人情報転送要求権の法制化と政府データ・APIの開放
・安全で信頼できる環境の保証(インターネットの分離とクラウドセキュリティ認証関連制度の改善、AI・ブロックチェーンなどを活用した最新セキュリティ技術の導入、中小企業のセキュリティ対策支援)
https://www.president.go.kr/ko/contents_view.php?id=history&code=94
2022年5月3日 米国証券取引所、暗号資産とサイバー執行部門の規模を約2倍に拡大
米国証券取引所(SEC)は、暗号資産とサイバー脅威関連の執行を担当する部門の規模を約2倍に拡大した。
旧サイバーユニットを、暗号資産市場とサイバー脅威からの投資家保護を担う部門に改編し、監督者、不正行為アナリストなどの役職を増強する。
新ユニットは「暗号資産・サイバーユニット」へと改名され、引き続きサイバー関連の脅威に対処していくほか、暗号資産取引、分散型金融(DeFi)、NFTなどに関する証券法違反の捜査にも注力する。
https://www.sec.gov/news/press-release/2022-78
2022年5月4日 米国バイデン大統領、量子コンピュータが及ぼすリスクに対する国家安全保障の覚書に署名
米国バイデン大統領は、量子コンピュータによって生じるリスクへの対策イニシアチブを示す国家安全保障の覚書に署名した。
量子コンピュータが米国のサイバーセキュリティ、経済、国家安全保障に及ぼすリスクを軽減する狙いがあり、量子暗号への移行にあたって各機関が実践すべき行動を指示している。
また、量子情報科学(QIS)における米国の競争優位性を維持するためのステップを明確にしている。耐量子暗号を含む量子関連技術に通じた次世代の科学者・技術者を確実に育成するため、あらゆるレベルの学校教育のカリキュラムにサイバーセキュリティの原理に関する教育を組み込むべきだとしている。
署名からから90日以内に、量子コンピュータの研究開発への資金投入、国家戦略としての技術保護義務化、量子耐性暗号への移行プログラム開発が命じられた。また、180日以内に、CISA長官の取りまとめにより量子コンピュータのリスクと量子耐性暗号移行の推奨事項を含む年次報告書を提出するよう要求している。年次報告書は以後毎年の作成が規定されている。
https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/04/national-security-memorandum-on-promoting-united-states-leadership-in-quantum-computing-while-mitigating-risks-to-vulnerable-cryptographic-systems/
https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/04/fact-sheet-president-biden-announces-two-presidential-directives-advancing-quantum-technologies/
2022年5月5日 米国NIST、サプライチェーンリスク管理のためのサイバーセキュリティガイドラインを改訂
米国国立標準技術研究所(NIST)は、連邦政府向けの情報システムと組織のサプライチェーンリスクマネージメントガイドラインNIST SP 800-161を改訂した。
改訂版となるRevision 1は、サプライチェーンのサイバーセキュリティリスクの特定、評価、対応に関する指針を示すものであり、大統領令14028「国家のサイバーセキュリティの向上」におけるソフトウェアサプライチェーンセキュリティを強化する条項に対するNISTの成果に位置づけられる。
サプライチェーンにおけるメーカー、ソフトウェア開発者、その他サービスプロバイダーの依存関係が考慮されており、製品への悪意あるコードの埋め込み、運送業者の人的リスクなど潜在的な脆弱性が考慮されている。
https://www.nist.gov/news-events/news/2022/05/nist-updates-cybersecurity-guidance-supply-chain-risk-management
https://doi.org/10.6028/NIST.SP.800-161r1
2022年5月6日 米国国務省、Contiランサムウェアグループの情報に1,000万ドルの報奨金を設定
米国国務省は、Contiランサムウェアグループのメンバーおよび場所の特定につながる情報に対して、1,000万ドル(約13億円)の報奨金を支払うと発表した。
Contiは過去2年間だけで数百件のインシデントを引き起こしており、2022年1月の時点で被害者が1,000人、身代金の支払い額が1億5,000万ドル(約195億円)を超えている。FBIは、Contiが現在最も大きな被害を生んでいるランサムウェア犯罪集団と推定している。
また、国務省は今回の発表のなかで直近の2022年4月にContiがコスタリカ政府に対して行ったランサムウェア攻撃に言及し、非難している。コスタリカでは財務省の納税システムが停止するなど深刻な影響が生じており、現在では大統領府から国家緊急事態宣言が発令されている。
なお、今回設定された報奨金は米国国務省の多国籍組織犯罪報酬プログラム(TOCRP)の下で用意される。
https://www.state.gov/reward-offers-for-information-to-bring-conti-ransomware-variant-co-conspirators-to-justice/
2022年5月11日 英国政府、スウェーデンおよびフィンランドとヨーロッパ安全強化宣言に署名
英国政府は、スウェーデンおよびフィンランドと共に、ヨーロッパの安全を保つために北欧の防衛力を強化する宣言に署名したと発表した。
今回の宣言では、情報共有の強化や合同軍事訓練の実施を通じて3カ国と北欧全体の安全保障を強化する狙いが示されている。
また、従来の脅威に関する協力を強化するだけでなく、ハイブリッド戦やサイバー脅威などの新しい地政学的課題に取り組むという。
https://www.gov.uk/government/news/prime-minister-signs-new-assurances-to-bolster-european-security-11-may-2022
----------------------------------------------------------------------
【3】5月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年5月2日 米国の安全保障サービス企業TwoSixTechnologies、外国政府による影響工作を検出する製品を扱うThresher Venturesを買収
2022年5月4日 SentinelOne、Attivo Networks社を買収
2022年5月9日 マネージドサービスプロバイダThinkStack、信用組合向けソリューションを提供するEmergifiを買収