Loading...
----------------------------------------------------------------------
NIST、サイバーセキュリティ戦略の6つの落とし穴に関する報告書を公開(3/28配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国 FBI、サイバー犯罪フォーラム「BreachForums」の管理者を逮捕
・インド パンジャブ州政府、4日にわたりインターネットを遮断
・米国 NIST、サイバーセキュリティ戦略の6つの落とし穴に関する報告書を公開
・米国 NSA、システム管理者向けのIAMのベストプラクティスガイドを発表
・欧州 ENISA、運輸機関におけるサイバー脅威に関してまとめた報告書を公開
・英国 ICO、情報公開義務に応答しないルイシャム評議会に執行通知
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年3月15日 米国 FBI、サイバー犯罪フォーラム「BreachForums」の管理者を逮捕
連邦捜査局(FBI)は、犯罪フォーラム「BreachForums」の所有者兼管理者でニューヨーク在住の20歳の男性(ユーザー名「Pompompurin」)を逮捕したことを発表した。同男性はアクセス機器詐欺の共謀罪で起訴されており、有罪になった場合は最高5年の懲役刑に処される。
「BreachForums」は、2022年に世界最大級のハッカーフォーラムだった「RaidForums」をFBI当局が押収した後に、同フォーラムの主要メンバーだったPompompurinが後継サイトとして立ち上げていた。司法省は逮捕された男性が2022年3月以降にサイトを運営していたことを明らかにした。BreachForumsは、336,800人のユーザー登録がある大規模フォーラムで、窃盗されたデータの販売や大企業の侵害に関与してきた。
https://www.justice.gov/opa/pr/justice-department-announces-arrest-founder-one-world-s-largest-hacker-forums-and-disruption
https://krebsonsecurity.com/2023/03/feds-charge-ny-man-as-breachforums-boss-pompompurin/
https://www.bleepingcomputer.com/news/security/alleged-breachforums-owner-pompompurin-arrested-on-cybercrime-charges/
2023年3月18日 インド パンジャブ州政府、4日にわたりインターネットを遮断
インドパンジャブ州政府は18日に、シーク教徒の主権国家設立を目指す分離主義者のアムリットパール・シンの逮捕作戦のため24時間のインターネット遮断を発表した。公序良俗維持法に基づき、遮断はその後3度延長された。同州の約 2,700 万人が影響を受けたこの動きは近年のインドで最も大規模なインターネット遮断の一つとなる。州内のすべての店舗、企業、大学、SMSやデジタル決済が麻痺した。パンジャブ州警察はインターネット遮断およびについて、「フェイクニュース」の拡散を阻止して法と秩序を維持する手段として正当化している。
https://us.cnn.com/2023/03/20/india/india-separatist-manhunt-internet-shutdown-intl-hnk
https://punjab.gov.in/
https://www.theguardian.com/world/2023/mar/21/punjab-internet-blackout-hunt-sikh-preacher-amritpal-singh-sandhu
2023年3月20日 米国 NIST、サイバーセキュリティ戦略の6つの落とし穴に関する報告書を公開
報告書はNISTによる調査結果に基づく、サイバーセキュリティの専門家の6つの人的要素の落とし穴を認識・克服することを目的としたもの。セキュリティコミュニティは技術に依存し、人間を十分に理解していないことが多く、セキュリティ専門家の多くが一般ユーザーに対して抱く誤解が却って侵害のリスクを高める可能性があるという。
6つの落とし穴は以下の通り:
①ユーザーは無知だと仮定している。良好な関係を築きながらユーザーが積極的かつ有能なセキュリティパートナーとなれるように導くこと。
②相手に合わせた言葉を使っていない。平易なメッセージ、情報提示形式の使い分けをすること。
③使い勝手の悪さが意図せず内部の脅威を生み出してしまう。最初に少人数のユーザーグループを設けて新ソリューションの試験運用をすること。
④セキュリティ意識が高すぎる。リスクベースアプローチの採用。ユーザーの能力を理解した上でサポートすること。
⑤遵守のために懲罰と否定的なメッセージを多用。脅威に適切に対応する従業員には積極的なインセンティブを提供すること。
⑥ユーザー中心の効果測定を考慮していない。ユーザーを中心としたデータを収集して根本原因を特定し、データを使ってソリューション改善を推進すること。
https://www.nist.gov/news-events/news/2023/03/your-cybersecurity-strategy-falling-victim-these-6-common-pitfalls
https://www.henrystewartpublications.com/csj/v6
2023年3月21日 米国 NSA、システム管理者向けのIAMのベストプラクティスガイドを発表
国家安全保障局(NSA)は、CISA庁と共に主導する官民のクロスセクターワーキンググループ「Enduring Security Framework(ESF)」の一環として、ID・アクセス管理(IAM)に対する脅威からシステムをより安全に保護するための実行可能なガイダンスを発表した。また、IAMの弱点が高度標的型攻撃(APT)グループにより頻繁に悪用されて壊滅的なデータ侵害に繋がっていること、そして、安全な基盤と設計を考慮せずにSSOを使用した場合に被害が悪化することを注意喚起した。
同文書は5つの領域(①IDとガバナンス、②ハードニング、③ID統合/SSO、④ 多要素認証、⑤IAM監査と監視)に関連する脅威に対抗するための緩和策に以下を推奨した:
・IAM能力とリスクの現状評価。
・安全なソリューションの選択、レイヤー化、統合、適切なコンフィギュレーションを設定。
・運用上発生するリスクを管理し得る適切なセキュリティレベルを維持。
・IAMの正しい使い方とリスクに対する意識の維持。
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3336001/esf-partners-nsa-and-cisa-release-identity-and-access-management-recommended-be/
2023年3月21日 欧州 ENISA、運輸機関におけるサイバー脅威に関してまとめた報告書を公開
同書はEUにおける運輸機関を狙うサイバー脅威の実態を調査分析した結果を欧州連合サイバーセキュリティ機関(ENISA)が初めてまとめたもの。2021年1月~2022年10月にわたる期間の航空、海上、鉄道、道路交通を標的としたサイバーインシデントをマッピングし、主要な脅威、アクター、トレンドを特定した。期間中に確認された主要な脅威*はランサムウェア攻撃(38%)で、最も大きな影響を与えた主体は国家支援アクター、サイバー犯罪者、およびハクティビストだった。
ENISAは今後もランサムウェアグループがOTオペレーションを標的する可能性が高いことを注意喚起した。また、ベラルーシ国鉄へのランサムウェア攻撃(2022年1月)を例に、ハクティビストによる非金銭目的のランサムウェア攻撃とDDoS攻撃の増加を予想した。
*次に多かったのは2021年の最重大脅威であったデータ関連の脅威(30%)。マルウェア(17%)、サービス妨害(DoS)および分散型サービス妨害(DDoS)および身代金要求型サービス妨害(RDoS)攻撃(16%)、フィッシング/スピアフィッシング(10%)、サプライチェーンアタック(10%)と続く。
https://www.enisa.europa.eu/news/understanding-cyber-threats-in-transport
https://www.enisa.europa.eu/publications/enisa-transport-threat-landscape
2023年3月22日 英国 ICO、情報公開義務に応答しないルイシャム評議会に執行通知
「2000年情報公開法」に基づく情報公開義務に応答しなかったとして、ICOはロンドンのルイシャム評議会に対して強制執行力のある通告を発行した。これは公的機関が法律を遵守していない場合にICOが規制するという新たなアプローチで、評議会は20営業日以上未解決の情報要請に対して、通告から6か月以内に回答することが求められる。また、通告から35日以内に今後の遅延改善のための行動計画の公開が課せられる。従わない場合に協議会は法廷侮辱罪に問われる。
2022年末時点でルイシャム評議会には338件の未回答(内221件が1年以上未回答)の公開要請があった*。
*最も古い未回答の要請は2020年12月3日にルイシャム評議会に提出された情報公開要請求だった。
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/03/ico-takes-action-against-lewisham-council-for-failing-to-respond-to-hundreds-of-freedom-of-information-requests/
https://ico.org.uk/action-weve-taken/enforcement/london-borough-of-lewisham/
----------------------------------------------------------------------
【3】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年3月 2日 Hewlett Packard Enterprise、イスラエルのセキュリティスタートアップAxisSecurityを5億ドル(約680億円)で買収
2023年3月 3日 韓国の投資会社EQTグループ、セキュリティコンサルティングファームSK Shieldusを買収
2023年3月 9日 イスラエルの投資銀行サービスA-Labs、HUB Cybersecurityへ2千万ドル(約27億円)のPIPE投資を確約
2023年3月 9日 カナダCalian Group、米国衛星通信事業者「ハワイパシフィックテレポート」を最大6,200万カナダドル(約61億円)で買収
2023年3月14日 Optiv、ClearSharkとその関連会社の買収で連邦政府向け事業を強化
2023年3月15日 Rapid7、ランサムウェア対策を手掛けるイスラエルMinerva Labsを約3,800万ドル(約51億円)で買収
2023年3月16日 米国ThreatLocker、仮想化技術に強みのHyperQubeの資産を買収
2023年3月20日 Mastercard、スウェーデンのサイバーセキュリティ企業のBaffin Bayを買収
2023年3月23日 米国連邦政府にサイバーセキュリティ・電子戦のサービスを提供するCastellum、Global Technologies Management Resourcesを買収