Loading...
----------------------------------------------------------------------
米国DHS、Log4jの脆弱性から学んだ教訓と提言をまとめた報告書を提出(7/19配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・英国NCSCとICO、ランサムウェア犯罪への支払い増を受けて法律家協会へ共同書簡
・米国エアロジェット・ロケットダイン社、セキュリティコンプライアンス違反で和解金支払い
・プエルトリコ政府、サイバーセキュリティ対策強化のため約10億円を投資する計画
・シンガポールCSA、制御システムセキュリティ人材育成のための奨学金制度を立ち上げ
・第9回世界インターネット会議が北京で開催
・機密データ漏洩事件で元CIA職員に最短80年の懲役判決
・米国DHS、Log4jの脆弱性から学んだ教訓と提言をまとめた報告書を提出
----------------------------------------------------------------------
【2】海外政策動向一覧(2022年7月8日~2022年7月15日)
----------------------------------------------------------------------
2022年7月8日 英国NCSCとICO、ランサムウェア犯罪への支払い増を受けて法律家協会へ共同書簡
英国国家サイバーセキュリティーセンター(NCSC)および英国個人情報保護監督機関(ICO)は、ランサムウェア攻撃の被害者が身代金を支払う事案が増えていることを受けて、法律家協会に宛てた共同書簡を提出した。
書簡では、一部の弁護士がICOからの制裁を軽減する目的で顧客に身代金支払いを薦めていた可能性があると述べられている。これを受けNCSCとICOは、身代金の支払いは推奨または容認されるものでもないという基本原則を改めて周知するよう法律家協会に求めている。また、ロシアへの制裁などの関連規則、公的なガイドラインなどにも留意すべきであるとしている。
ICO自身もセキュリティ規制当局として、直近のランサムウェアに関する情報や対応方法を含むガイダンスを発表している。
https://www.ncsc.gov.uk/news/solicitors-urged-to-help-stem-the-rising-tide-of-ransomware-payments
https://www.ncsc.gov.uk/files/Joint-ICO-and-NCSC-letter-to-The-Law-Society-and-The-Bar-Council-V1.pdf
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/security/ransomware-and-data-protection-compliance/#scenario-7
2022年7月8日 米国エアロジェット・ロケットダイン社、セキュリティコンプライアンス違反で和解金支払い
米国エアロジェット・ロケットダイン社は、連邦政府機関との契約におけるセキュリティ要件遵守の虚偽申告への訴訟について、900万ドル(約12億円)を支払うことで和解した。
2015年に同社の従業員であったブライアン・マーカス氏が不正請求防止法に則って内部告発を行っていた。マーカス氏は、エアロジェット社は予算と人員に不足の不足によってサイバーセキュリティ規制の遵守に問題が生じていたが、国防総省(DOD)と米国航空宇宙局(NASA)に対してと主張していた。今回の和解によってマーカス氏は261万ドル(約3.6億円)の配分金を受け取ることになる。
https://www.justice.gov/opa/pr/aerojet-rocketdyne-agrees-pay-9-million-resolve-false-claims-act-allegations-cybersecurity
2022年7月11日 プエルトリコ政府、サイバーセキュリティ対策強化のため約10億円を投資する計画
プエルトリコ政府は、相次ぐサイバー攻撃へ対抗するため、サイバーセキュリティ対策の強化に760万ドル(約10億円)を投資する計画を発表した。
予算は多州間情報共有・分析センター(MS-ISAC)が提供するサービスの購入に使用される予定で、セキュリティオペレーションセンター(SOC)の構築やエンドポイント保護の強化といった施策が計画されている。
https://www.cisecurity.org/about-us/media/media-mention/puerto-rico-announces-7-6m-cybersecurity-program
2022年7月12日 シンガポールCSA、制御システムセキュリティ人材育成のための奨学金制度を立ち上げ
シンガポールサイバーセキュリティ庁(CSA)は、制御システムセキュリティ人材育成を推進するために、CiMSプログラムと呼ばれる奨学金制度を立ち上げた。
CiMSプログラムを利用すると、シンガポール工科デザイン大学のMaster of Science in Security by Designコースに所属する有資格者は奨学金を受け取ることができる。
申請資格はシンガポール市民およびシンガポール永住権保持者に限られる。3年間で最大80名を対象に奨学金が支給される予定。
https://www.csa.gov.sg/News/Press-Releases/launch-of-a-new-csa-itrust-master-of-science-in-security-by-design-scholarship-(cims)-programme
https://itrust.sutd.edu.sg/capability-development/cims/
2022年7月12日 第9回世界インターネット会議が北京で開催
世界インターネット会議国際機構(WICIO)は、第9回世界インターネット会議を北京で開催した。WICIOは世界のインターネットの発展と促進を目標とする非営利社会団体で、中国共産党中央宣伝部副部長が理事を務めている。
2014年以降、習近平政権の掲げるスローガン「サイバー空間に運命共同体を共に築く」をテーマとした会議が毎年開催されている。
第9回会議でも習近平主席や中国共産党幹部から寄せられたコメントにおいて、WICIOをサイバー関連の国際交流と対話の場として活用し、インターネットガバナンスの合意形成を促進するという方針が語られている。
https://www.wicwuzhen.cn/
http://www.cac.gov.cn/2022-07/12/c_1659263622297747.htm
http://www.cac.gov.cn/2022-07/12/c_1659263609462861.htm
2022年7月13日 機密データ漏洩事件で元CIA職員に最短80年の懲役判決
米国連邦裁判所は、元CIA職員のジョシュア・シュルテ被告に対し、スパイ行為や不正アクセスをはじめとする9つの罪状で有罪判決を下した。
2017年3月、シュルテ被告は組織への個人的な恨みからCIAが開発したハッキングツールの情報などを内部告発サイト「ウィキリークス」に公開した。一連の文書は「Vault 7」と呼ばれ、8,700件以上の機密情報が含まれていた。
同被告は2017年8月に逮捕され、翌年7月に一度起訴されるも無効審理と判定されていた。2022年6月から再審理が開始されていた。
事件を担当した連邦検事局のダミアン・ウィリアムズ検事は、事件について「アメリカ史上、最も厚かましく有害なスパイ行為」と述べた。
https://www.justice.gov/usao-sdny/pr/statement-us-attorney-damian-williams-espionage-conviction-ex-cia-programmer-joshua
2022年7月14日 米国DHS、Log4jの脆弱性から学んだ教訓と提言をまとめた報告書を提出
米国国土安全保障省(DHS)は、2021年12月に判明したLog4jの一連の脆弱性に関連して、対応から得られた教訓と提言をまとめた報告書をバイデン大統領へ提出した。
この報告書は、2021年5月12日に発令された「国家のサイバーセキュリティ向上に関する大統領令 (E.O.14028) 」に基づいて設置されたサイバー安全審査委員会(CSRB)が作成したもの。
事実のまとめと分析に加え、19の具体的な改善提案が盛り込まれている。この中では、サイバーハイジーンの推進やより良いソフトウェアエコシステムの構築などが推奨されている。
DHSとCSRBは官民パートナーシップの下での対応強化にあたって透明性を重視しており、今後も可能な限りCSRBの報告書を一般公開していくという。
https://www.dhs.gov/news/2022/07/14/cyber-safety-review-board-releases-report-its-review-log4j-vulnerabilities-and
https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdf
----------------------------------------------------------------------
【3】7月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年7月5日 イスラエルのHUB Security、テルアビブ証券取引所からの上場廃止とナスダック上場申請を発表
2022年7月5日 スイスInfinigate、英国のNuvias Groupの買収によって欧州大で拠点を拡大
2022年7月6日 米国Cerberus Sentinel、アプリケーションセキュリティのCyberVikingを買収
2022年7月6日 SOARベンダーのSwimlane、米国外の市場拡大にむけ7,000万ドル(約95億円)を調達
2022年7月12日 フランスの電機大手THALES、オランダのIDサービスOneWelcomeを買収
2022年7月13日 クラウドビデオモニタリングのCloudastructure、IoTセキュリティのInfrastructureProvingGroundsを買収
2022年7月13日 米国Forescout、SOC-as-a-Serviceを提供するCysivを買収