Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
欧州委員会、デジタル製品を対象とするセキュリティ規制草案を提出(9/20配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISA、サイバーインシデント報告要件に関する意見募集を開始
・米国上院議員団、性と生殖に関する情報のプライバシー規制強化を要求
・米国ホワイトハウス、連邦政府機関向けのソフトウェアセキュリティ規則を公開
・豪州当局、各国機関と共同でイラン政府の国家支援型サイバー脅威に対する勧告を公開
・欧州委員会、デジタル製品を対象とするセキュリティ規制草案を提出

----------------------------------------------------------------------
【2】海外政策動向一覧(2022年9月8日~2022年9月16日)
----------------------------------------------------------------------
2022年9月9日 米国CISA、サイバーインシデント報告要件に関する意見募集を開始
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)」における、対象事業者からのサイバーインシデント報告に関し、法制化過程の一環として規則制定案告示前に意見募集(RFI)をリリースした。
9月12日にRFIが連邦官報に掲載され、60日間の意見募集が行われる。重要インフラコミュニティおよびその他の一般市民から意見を募り、結果は規制案に反映される予定。また、CISAは公聴会を全米で開催する計画を明かしている。
https://www.cisa.gov/news/2022/09/09/cisa-welcomes-input-new-cyber-incident-reporting-requirements
https://www.cisa.gov/circia

2022年9月13日 米国上院議員団、性と生殖に関する情報のプライバシー規制強化を要求
パティ・マレー議員を筆頭とする米国上院議員団30名は、リプロダクティブ・ヘルス情報(性と生殖に関する健康の情報)について、プライバシー規制をより強化することを求める書簡に署名した。
書簡では、リプロダクティブ・ヘルス情報が法執行機関や中絶関連の民事および刑事訴訟において共有されないことを保証すべきだと主張されている。
6月24日に最高裁判所が州単位での中絶禁止を合憲としたことを受け、保健社会福祉省(HHS)は医療従事者が患者の中絶情報を法執行官などの第三者への開示する必要がないことを明確化するガイダンスを公開していた。
書簡を受け取ったHHSのべセラ長官は、患者のプライバシー権の強化は最優先事項として扱われると述べている。
https://www.help.senate.gov/imo/media/doc/Letter%20from%20Senator%20Murray%20et%20al.%20to%20Secretary%20Becerra%20re%20HIPAA%20Protections%20for%20Reproductive%20Health%20Information%20220913.pdf
https://www.healthcareinfosecurity.com/senators-seek-hipaa-changes-to-protect-reproductive-info-a-20086
https://reproductiverights.gov/

2022年9月14日 米国ホワイトハウス、連邦政府機関向けのソフトウェアセキュリティ規則を公開
米国ホワイトハウスは、米国のITサプライチェーンにおけるセキュリティ強化策の一環として、連邦政府機関向けのソフトウェアセキュリティ規則を定めた覚書を公開した。本件は、2021年5月のサイバーセキュリティに関する大統領令に由来している。
連邦政府機関は、使用するサードパーティソフトウェアのベンダーから自己証明書を取得することが義務付けられる。ベンダーは、自己証明書によってソフトウェア製品がNISTの定める最低限のソフトウェア開発安全基準を満たしていることを自らが保証する必要がある。
この他、各者に求められる行動とその期限の一覧が示されており、規則が対象とする全てのソフトウェア資産を90日以内に台帳化することなどが規定されている。
https://www.whitehouse.gov/omb/briefing-room/2022/09/14/enhancing-the-security-of-the-software-supply-chain-to-deliver-a-secure-government-experience/
https://www.whitehouse.gov/wp-content/uploads/2022/09/M-22-18.pdf

2022年9月15日 豪州当局、各国機関と共同でイラン政府の国家支援型サイバー脅威に対する勧告を公開
オーストラリア・サイバー・セキュリティ・センター(ACSC)は、イラン政府のイスラム革命防衛隊 (IRGC) に帰属するとされる高度標的型攻撃(APT)グループに関する共同勧告を公開した。ACSCの他に、米国FBI、CISA、NSA、CNMF、DoT、カナダCCCS、英国NCSCが執筆に関与している。
このAPTグループは、FortinetのVPN製品やMicrosoft Exchangeの既知の脆弱性を悪用し、身代金を要求するサイバー攻撃を主導しているとの分析が示されている。IRGCの攻撃目標は、米国の重要インフラや、英国、オーストラリア、カナダを含む、広範囲の組織に及ぶと見られている。
https://www.cyber.gov.au/acsc/view-all-content/advisories/iranian-islamic-revolutionary-guard-corps-affiliated-cyber-actors-exploiting-vulnerabilities-data-extortion-and-disk-encryption-ransom-operations
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/14/iranian-islamic-revolutionary-guard-corps-affiliated-cyber-actors
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3157562/iranian-cyber-actors-exploit-known-vulnerabilities-to-extort-us-critical-infras/

2022年9月16日 欧州委員会、デジタル製品を対象とするセキュリティ規制草案を提出
欧州委員会は、デジタル要素を含む製品を対象とするサイバーセキュリティ規則を定める「Cyber Resillience Act」の草案を提出した。
Cyber Resillience Actは、2021年9月に構想が発表されたもので、今回の草案でその詳細が示された形。提出された草案は今後欧州議会および理事会で審議される。
インターネットに接続する製品などを販売するベンダーは、利用者へのセキュリティサポートやソフトウェアの更新などに関する要件への準拠が求められることになる。
草案において、デジタル製品の設計・開発・生産におけるセキュリティ要件遵守は経営者の義務と定められている。また、悪用された脆弱性やインシデントの当局報告が必須となる。
法令に違反した場合、最大1,500万ユーロ(約21億円)またはグローバル売上高の最大2.5%を罰金として課されることになる。
EU幹部は、本規制への準拠のため欧州企業には合計290億ユーロ(約4.1兆円)程度の年間コストが見込まれるが、対策強化の効果でその10倍の2,900億ユーロ(41兆円)の被害を回避できると述べている。
https://ec.europa.eu/commission/presscorner/detail/en/ip_22_5374
https://www.reuters.com/technology/eu-proposes-rules-targeting-smart-devices-with-cybersecurity-risks-2022-09-15/

----------------------------------------------------------------------
【3】9月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年9月2日 英当局、米国NortonLifeLockによる英国Avastの60億ポンド(約9,900億円)での買収を承認
2022年9月6日 米国Cerberus Sentinel、南米全域にマネージドセキュリティサービスを提供するNLT Secureを買収
2022年9月7日 ドバイGulf Business Machines、サイバーインシデント対応サービスのCoordinates Middle Eastを買収
2022年9月12日 Google、サイバーセキュリティ企業Mandiantの約54億ドル(約7,700億円)での買収を完了
2022年9月14日 量子関連技術SaaSのSandboxAQ、暗号分析ソフトウェアベンダーのCryptosenseを買収