----------------------------------------------------------------------
レポート「激動の時代に危機管理体制を構築して（日本のサイバーセキュリティ政策史第2回）」（2/28配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・ノルウェー警察、Lazarus Groupから586万ドルの暗号資産を押収
・オーストラリア政府、重要インフラリスク管理プログラムを開始
・米国保健福祉省、HIPAAの遵守と医療情報の漏洩に関する年次報告書を公開
・米国ロサンゼルス統一学区、ランサムウェア攻撃による生徒の個人情報漏洩を確認
・米国国家安全保障局、自宅ネットワークを安全に保つためのベストプラクティスを発表

----------------------------------------------------------------------
【2】JCICレポート「激動の時代に危機管理体制を構築して（日本のサイバーセキュリティ政策史第2回）」
----------------------------------------------------------------------
サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第2回は、「国民を守る情報セキュリティ戦略」を策定し、大規模サイバー攻撃事態等への初動体制構築、情報集約体制整備を進めた元内閣官房副長官補（安全保障・危機管理担当）、内閣官房情報セキュリティセンター（NISC）長の西川徹矢氏をお迎えし、話をうかがいます。政権交代、東日本大震災など歴史的な出来事や危機に直面する中でサイバーセキュリティ政策をどのように舵取りしたのか−−。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2023年2月16日 ノルウェー警察、Lazarus Groupから586万ドルの暗号資産を押収
ノルウェー警察は、北朝鮮の脅威アクターLazarus Groupから、568万ドル（約76億円）相当の暗号資産を押収した。この暗号資産は、2022年に行われたSky MavisとAxie Infinityの暗号資産ハッキングに関連したもの。ノルウェー警察がこれまでに行った暗号資産の押収では最大の規模となった。
なお、今回の捜査は米国FBIおよび司法省と協力して行われたという。
https://www.okokrim.no/rekordhoegt-kryptobeslag-i-axie-saka.6585492-549344.html
https://www.databreachtoday.com/norwegian-authorities-seize-586-million-from-lazarus-group-a-21250

2023年2月17日 オーストラリア政府、重要インフラリスク管理プログラムを開始
オーストラリア政府は、重要インフラサービスのレジリエンスとサイバーセキュリティを強化するためのリスク管理プログラム（CIRMP）を開始した。2023年2月17日から遵守義務が発生すると知らせた。
このプログラムでは、年次報告要件、規制要件とコンプライアンス、サイバーインシデント報告義務、政府による支援措置などに関連する規則が定められている。CIRMPを適用するまでに6か月の移行期間と12か月の支援期間が設けられる。
https://www.cisc.gov.au/legislative-information-and-reforms/critical-infrastructure/regulatory-obligations

2023年2月17日 米国保健福祉省、HIPAAの遵守と医療情報の漏洩に関する年次報告書を公開
米国保健福祉省（HHS）は、HIPAAの遵守と医療情報の漏洩に関する年次報告書を公開した。今回一般に公開された2つの報告書は、HHS傘下の市民権利局（OCR）が2021年に議会へ提出したもの。
報告書内のデータによれば、2017年から2021年の間にHIPAA違反に関する苦情は39%増加し、大規模な違反の報告は58%増加したという。500人以上の個人に影響する可能性がある違反の件数について、OCRは609件の通知を受け、延べ人数は3720万人だった。OCRに報告された侵害のうち、最も多い区分はハッキング被害で、報告された侵害の75%に及んだという。このうち、最も大規模な侵害は被害は約330万人に影響を与えている。
また、改善が必要な分野として、リスク分析と管理、情報システムに関連する活動のレビュー、監査、アクセスコントロールが挙げられた。
https://www.hhs.gov/about/news/2023/02/17/hhs-office-civil-rights-delivers-annual-reports-congress-hipaa-compliance-breaches-unsecured-protected-health-information.html

2023年2月22日 米国ロサンゼルス統一学区、ランサムウェア攻撃による生徒の個人情報漏洩を確認
米国のロサンゼルス統一学区（LAUSD）は、2022年9月にランサムウェア犯罪グループVice Societyによる攻撃を受け、元生徒を含む約2000人分の生徒のデータがダークウェブ上のサイトに公開されていたことを明らかにした。漏洩したデータには、特殊教育課程に在籍した生徒を特定できるような病歴、成績、懲戒処分記録をはじめ、運転免許証番号、社会保障番号なども含まれていたという。2023年1月の時点では一部学区の請負業者と委託先業者の従業員関連の情報を含むファイルのみ侵害されたと州当局へ報告していた。
LAUSDは現在もデータ復旧作業に取り組んでおり、セキュリティの専門家の支援を受け調査を継続している。
https://oag.ca.gov/system/files/LAUSD%20-%20Notification.pdf

2023年2月22日 米国国家安全保障局、自宅ネットワークを安全に保つためのベストプラクティスを発表
米国国家安全保障局（NSA）は、自宅ネットワークを安全に保つためのベストプラクティスをまとめたレポートを発表した。
NSAのサイバーセキュリティ技術ディレクターは、テレワーク勤務者の自宅のネットワークが機密情報を窃取するためのアクセスポイントとして国家支援アクターやサイバー犯罪者に利用される可能性があり、対策を推進する必要があると説明している。
レポートには、デバイスの保護、ワイヤレスネットワークのセグメント化、テレワーク時の機密性の確保などに関する推奨事項が示されている。また、在宅勤務者がインターネットを安全に利用するための助言なども記載されている。
https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3304674/nsa-releases-best-practices-for-securing-your-home-network/

----------------------------------------------------------------------
【4】2月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年2月1日 サイバーセキュリティコンサルティングを手がける仏監査系ファーム大手Almond、同業のAmossysを買収
2023年2月2日 秘密計算サービスのHUB Cyber Security、Mount Rainier Acquisitionとの合併後にNASDAQ上場を予定
2023年2月6日 米国を拠点とするMSPのMagna5がカナダのMSPのApogee IT Servicesの米国事業を買収
2023年2月13日 Accenture、ブラジルを拠点とするMorphus社を買収し、南米事業を拡大へ
2023年2月14日 Zscaler、SaaSセキュリティ事業を手がけるイスラエルのCanonic Security社を買収
2023年2月22日 TrendMicro、SOC関連技術を有するAnlyzを買収
2023年2月22日 サイバーセキュリティ企業のWorld Group、イスラエルのAI画像処理サービス企業INSTAVIEWを買収