Loading...
----------------------------------------------------------------------
JCICコラム「【2022年度上半期】海外サイバーセキュリティ・プライバシー政策動向の解説」(11/22配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム「【2022年度上半期】海外サイバーセキュリティ・プライバシー政策動向の解説」
・英国個人情報保護監督機関、学習記録データベースへの非正規アクセスを許可した教育省に警告
・米国CISA、サイバーセキュリティ教育プログラムの対象を全米のK-12学生へと拡大
・韓国国家情報院、国家サイバー安全保障基本法案の立法予告
・米海軍の技師、妻と共に機密情報を外国に売買した罪で約20年の懲役
・欧州委員会、サイバー防衛に関するEUの政策を提出
・豪政府、サイバー犯罪組織に対する共同作戦を常設
・米当局、イランの国家支援攻撃グループによる連邦機関ネットワーク侵入の詳細を公開
・米国国家安全保障局ら、顧客向けソフトウェアサプライチェーン安全確保ガイドラインを公開
・バヌアツ当局、サイバー攻撃によりネットワークサービスが11日以上の停止
----------------------------------------------------------------------
【2】JCICコラム「【2022年度上半期】海外サイバーセキュリティ・プライバシー政策動向の解説」
----------------------------------------------------------------------
2022年度上半期のニュースクリップを振り返るコラムを作成しました。
今回のコラムでは、2022年度上半期(2022年4月~2022年9月)に配信した137件のJCIC海外ニュースのトレンドを分析し、下半期の政策動向を占う重要な出来事の解説を行っています。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c
----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2022年11月6日 英国個人情報保護監督機関、学習記録データベースへの非正規アクセスを許可した教育省に警告
英国個人情報保護監督機関(ICO)は、同国の学習記録データベースへの非正規アクセスを許可した教育省(DfE)に対して警告文を発行した。
DfEは教育関係者が利用するための学習記録サービス(LRS)データベースを管理しているが、審査会社のTrustopiaに対して年齢確認を目的とするデータベースの常時使用に許可を出していた。
さらにTrustopiaはLRSデータベースを不正利用し、ギャンブル業者向けの顧客年齢確認サービスを開発し、他社に提供していたという。本来の目的に適った利用にはあたらず、個人情報保護法に抵触したとされる。
LRSデータベースには最大2,800万人の子供・若者の個人情報が保管されている。ICOの関係者は「今回は対象が政府機関であるため罰金は科されないが、本来であれば1,000万ポンド(約16億5千万円)程度の罰金に相当する重大な違反行為である。」とコメントした。
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/11/department-for-education-warned-after-gambling-companies-benefit-from-learning-records-database/
https://ico.org.uk/media/action-weve-taken/4022280/dfe-reprimand-20221102.pdf
2022年11月8日 米国CISA、サイバーセキュリティ教育プログラムの対象を全米のK-12学生へと拡大
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、K-12(年長組から高校まで)の学生が無償でサイバーセキュリティを学ぶための仮想環境「CYBER.ORG」の提供範囲を全米50州に拡大する計画を発表した。CYBER.ORGは当初ルイジアナ州から資金提供を受けていたが、現在はCISAのサイバーセキュリティ教育およびトレーニング支援プログラム (CETAP)の助成金によって運営されている。
サイバーイノベーションセンター(CIC)と共同で開発されたこのプログラムは、学生のためのサイバーセキュリティの実践的な能力開発を目的としている。
特に高校生向けに安全な仮想環境で現実のサイバー攻撃を体験し、防御する機会を提供する。CompTIAなどの国際資格対策にも有用であり、サイバーセキュリティ関連の職業への障壁を低くすると見込まれている。
https://www.cyberinnovationcenter.org/news/gov-edwards-cisa-director-celebrate-advancement-of-cybersecurity-education-with-cyberorg-range-expansion
https://cyber.org/range
https://niccs.cisa.gov/education-training/cybersecurity-teachers
2022年11月8日 韓国国家情報院、国家サイバー安全保障基本法案の立法予告
韓国国家情報院(NIS)は、 国家サイバー安全保障基本法の制定案を公表し、立法予告を行った。
NISは公表した立法理由と内容に対し、12月19日を期限にパブリックコメントを受け付けている。本法案には以下のような内容が提案されている。
・大統領直轄の国家サイバー安保委員会を設置する。20人以内の委員で構成し、国家安保室長を委員長とする。
・予防・対応措置には、サイバー脅威を抑止・無力化するために司法・経済・外交的制裁を「攻勢対応措置」に活用する。
・国会情報委員会にサイバー安保常設所委員会を設置し、政府によるサイバー安保業務を監督する
攻勢対応措置には積極的な対応措置を実施するという意味が含まれている。この他にも、中央行政機関の定期点検、訓練と専門人材確保、韓国国内に供給されるICT機器等がAPT攻撃に悪用された場合の行政処分など、サイバー攻撃への対応業務や情報共有・国際協力の実施等が盛り込まれている。
https://www.moleg.go.kr/lawinfo/makingInfo.mo?mid=a10104010000&lawSeq=70698&lawCd=0&lawType=TYPE5¤tPage=1&stYdFmt=&edYdFmt=&lsClsCd=&cptOfiOrgCd=
2022年11月9日 米海軍の技師、妻と共に機密情報を外国に売買した罪で約20年の懲役
米海軍の原子力技師とその妻が、機密情報漏えいなどの罪でそれぞれ約20年の禁固刑を宣告された。数千ドル相当の暗号通貨と引き換えに、原子力潜水艦の設計に関連する機密情報を外国に販売するために共謀したとして10月に逮捕されていた。二人は原子力潜水艦、特にバージニア級の戦艦に関する機密情報を暗号化された電子メールを介して取り引きしようとした。
実際には交渉相手は連邦捜査局(FBI)の捜査官で、一連のやり取りは覆面捜査であったため機密情報の漏えいはなかった。技師たちは最終的に3回以上の暗号資産の支払いを要求した。
機密情報のやり取りはSDカードを介して行われ、サンドイッチに挟んだカードを受け渡すなどの手口が用いられたという。
https://edition.cnn.com/2022/11/09/politics/navy-engineer-wife-conspiracy-submarine-sentence/index.html
2022年11月10日 欧州委員会、サイバー防衛に関するEUの政策を提出
欧州委員会は、欧州議会と欧州理事会に対し「サイバー防衛に関するEUの政策」を提出した。ロシアのウクライナ侵攻に伴う安全保障環境の悪化に対処し、EUの市民とインフラをより強力に保護するため、サイバー防衛に関するEUの政策と軍事機動力に関する行動計画の2点を提出した。
サイバー防衛に関するEUの政策は、EUと加盟国を支援する幅広い取り組みを網羅した4つの柱を中心に構築されている。それぞれの主題は次の通り。
・EUのサイバー防衛を強化するために共に行動する
・EUの防衛エコシステムを安全にする
・サイバー防衛能力への投資
・共通の課題に取り組むために協力する
https://ec.europa.eu/commission/presscorner/detail/en/ip_22_6642
2022年11月12日 豪政府、サイバー犯罪組織に対する共同作戦を常設
オーストラリア政府は、連邦警察と信号局が脅威となるランサムウェア犯罪グループを優先的に捜査する共同作戦を常設し、両者は継続的な協力を行うと発表した。信号局はオーストラリアの政府インテリジェンス機関の名称。
ランサムウェア犯罪グループへの対処優先度は、被害の可能性やと国益への脅威に基づいて決定される。捜査を通じて、攻撃グループの首謀者、関連組織、システムインフラを特定し、その所在地に関係なく攻撃グループの活動を混乱・停止するための活動を行うという。
https://ministers.ag.gov.au/media-centre/joint-standing-operation-against-cyber-criminal-syndicates-12-11-2022
2022年11月16日 米当局、イランの国家支援攻撃グループによる連邦機関ネットワーク侵入の詳細を公開
米国のFBIとCISAは、2022年6月から7月にかけて、イランの国家支援型攻撃グループが連邦民間行政機関(FCEB)のネットワークに不正侵入したとされる事案の詳細を共同公表した。
攻撃者はネットワークへのアクセス後、「XMRig」と呼ばれる暗号資産マイニングウェアを設置していた。攻撃の経路はLog4Shell脆弱性の修正プログラムが適用されていなかったVMWare Horizonサーバーだと見られている。Log4Shell脆弱性は、FCEB以外においても暗号資産マイニングやデータ盗難などに悪用された事例が複数ある。FBIとCISAは、本件への対応策を公開しており、各組織での適用を強く推奨している。
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/cisa-and-fbi-release-advisory-iranian-government-sponsored-apt
2022年11月17日 米国国家安全保障局ら、顧客向けソフトウェアサプライチェーン安全確保ガイドラインを公開
米国の国家安全保障局(NSA)がCISA、国家情報長官室(ODNI)と共同で主催する官民横断WG(ESF)は、3部構成のソフトウェアサプライチェーン安全確保ガイドラインの第三部「顧客向けガイダンス」を公開した。開発者向け(第一部)およびサプライヤ向け(第二部)のガイドラインは10月までに公開済。
今回のガイダンスは、ソフトウェアの安全性と完全性を確保する上で顧客が負うべき重要な責任は「ソフトウェアの取得、実装、運用フェーズにおける脅威の評価」、「セキュリティ要件におけるリスクプロファイルを定義すること」であると明示された。CISAは、ソフトウェアの利用者はサプライチェーンリスクマネジメント活動の評価のために本ガイダンスを活用することが可能だとしている。
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/17/cisa-nsa-and-odni-release-guidance-customers-securing-software
https://media.defense.gov/2022/Nov/17/2003116445/-1/-1/0/ESF_SECURING_THE_SOFTWARE_SUPPLY_CHAIN_CUSTOMER.PDF
2022年11月18日 バヌアツ当局、サイバー攻撃によりネットワークサービスが11日以上の停止
バヌアツ報道機関は、11月6日以降当局のネットワークがサイバー攻撃者に侵害され、全政府省庁・部門のオンラインサービスが停止したことを報告した。
学校、病院その他緊急の電子メール、オンラインデータベースも利用不能となり、約31万5千人が公共サービスの利用(税金支払いなど)を手作業で行うことを余儀なくされているという。
オーストラリアの新聞社は、本件はランサムウェア攻撃の影響であり、当局は身代金の支払いを拒否したと報じた。攻撃者の身元や金額は不明で、隣国のオーストラリアがネットワーク再構築の支援を続けているが、依然サービスにはアクセスできない状態が続いているとした。
https://www.bbc.com/news/world-asia-63632129
https://www.smh.com.au/world/oceania/australia-called-in-to-help-after-hackers-shut-down-vanuatu-government-systems-20221114-p5by7a.html
https://islandsbusiness.com/news-break/vanuatu-govt-network-paralysed-by-cyber-attack/
----------------------------------------------------------------------
【4】11月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年11月3日 1Password、スタートアップ企業のPassage買収でパスワードレス認証を強化
2022年11月3日 Gorilla Technology Group、ビデオ解析技術に強みのSeeQuestor Limitedを買収
2022年11月7日 セキュリティソリューション企業のHUMAN、悪性広告対応のclean.ioを買収
2022年11月17日 Palo Alto Networks、Cider Securityの買収でソフトウェアサプライチェーンセキュリティを強化