Loading...
----------------------------------------------------------------------
米国ホワイトハウス、2025年度予算におけるサイバーセキュリティ投資の優先を指示(7/4配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国国土安全省、国土安全保障調達規則の改正に関する最終規則を発表
・英国国家サイバーセキュリティセンター、法律事務所向けのサイバー脅威レポートを発表
・米国CISA、クラウドサービスのガイダンスを公開
・米国ホワイトハウス、2025年度予算におけるサイバーセキュリティ投資の優先を指示
・米国カリフォルニア州の法律事務所、AIの訓練データ収集をめぐりOpenAIに集団訴訟
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年6月21日 米国国土安全省、国土安全保障調達規則の改正に関する最終規則を発表
米国国土安全保障省(DHS)は、国土安全保障調達規則(HSAR)の改正に関する最終規則を発表した。この最終規則は、機密情報以外の重要情報(CUI)の保護を目的に既存の条項の改定と新しい条項の追加を行うものである。
新条項は、一般的なCUI取り扱い要件、連邦情報システムに対する運用権限要件、インシデントの報告と活動の要件、政府関連ファイルおよび情報の無毒化という4つの要件を規定している。
連邦情報システムに対する運用権限要件では、請負業者の情報システムが政府に代わって運用されていると政府が判断した場合、その情報システムは連邦情報システムとみなされ、NIST SP 800–53の適用対象となる。それ以外の場合は、SP 800-171が適用される。
また、インシデントの報告要件では、個人識別情報 (PII)または機密個人識別情報 (SPII)に関係するインシデントは発見から1時間以内に報告することを求める。その他のインシデントは発見から8時間以内に報告する必要がある。
https://www.federalregister.gov/documents/2023/06/21/2023-11270/homeland-security-acquisition-regulation-safeguarding-of-controlled-unclassified-information
2023年6月22日 英国国家サイバーセキュリティセンター、法律事務所向けのサイバー脅威レポートを発表
英国国家サイバーセキュリティセンター(NCSC)は、法律事務所向けのサイバー脅威レポートを発表した。2018年に発行されたレポートの更新版にあたり、法律事務所、弁護士、法律実務家が現在のサイバーセキュリティ脅威を理解することを助ける目的がある。
実際のインシデントを扱ったケーススタディも含まれており、運送会社が被害を受けた際に、数週間にわたり引っ越し手続きができなくなり、680万ポンド(約12.5億円)の損害が生じた事例などが紹介されている。
https://www.ncsc.gov.uk/news/legal-firms-urged-to-strengthen-cyber-defences
https://www.ncsc.gov.uk/files/Cyber-Threat-Report_UK-Legal-Sector.pdf
2022年6月27日 米国CISA、クラウドサービスのガイダンスを公開
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、セキュアなクラウドビジネスアプリケーション(SCuBA)プロジェクトの一環で、クラウドビジネスアプリケーション環境のためのリファレンスアーキテクチャおよびテクニカルガイダンスを公開した。
SCuBAプロジェクトは、組織がクラウド中心のセキュリティとレジリエンスを実践できるように、一貫性があり効果的な管理が可能なセキュリティ構成を開発することを目標としている。
このガイドダンスは、具体的なクラウド製品・サービスがユーザーにデータを提供する範囲を理解し、潜在的なギャップの特定を支援する。組織が安全なアーキテクチャでクラウドを展開し、ゼロトラストフレームワークのための技術を導入するために活用されることを想定している。
https://www.cisa.gov/news-events/news/cisa-releases-cloud-services-guidance-and-resources
https://www.cisa.gov/resources-tools/services/secure-cloud-business-applications-scuba-project
2023年6月27日 米国ホワイトハウス、2025年度予算におけるサイバーセキュリティ投資の優先を指示
米国ホワイトハウスは、各省庁に対し、2025年度予算におけるサイバーセキュリティ投資を優先するよう指示した覚書を公表した。特に、耐用年数やサービス期間が終了して侵入に対して脆弱な状態にあるシステムの近代化へ優先的に取り組むよう指示をした。
管理予算局(OMB)と国家サイバー局長室(ONCD)が協力して国家サイバーセキュリティ戦略(NCS)に基づく5つの分野への各省庁の対応を検証し、潜在的なギャップと必要な解決策を特定する。また、各省庁から提出された予算の妥当性およびNCSや関連する政策との整合性について助言を行い、複数年の計画が効果的に実行されるよう支援する。
なお、NCSに基づく5分野の内容はそれぞれ「重要インフラの防衛」「脅威アクターの壊滅・解体」「セキュリティとレジリエンスを推進するための市場形成」「レジリエントな未来への投資」「共通の目標を追求するための国際的パートナーシップの構築」となっている。
https://www.whitehouse.gov/wp-content/uploads/2023/06/M-23-18-Administration-Cybersecurity-Priorities-for-the-FY-2025-Budget-s.pdf?trk=feed_main-feed-card_feed-article-content
https://www.whitehouse.gov/briefing-room/page/3/
2023年6月28日 米国カリフォルニア州の法律事務所、AIの訓練データ収集をめぐりOpenAIに集団訴訟
米国カリフォルニア州に拠点をおくクラークソン法律事務所は、AIの訓練データ収集をめぐりOpenAI社に集団訴訟を起こした。
ChatGPTのモデル学習用にインターネット上のSNSやブログの投稿などをスクレイピングした大量のユーザーデータを使用したことが広範な人々の著作権とプライバシーの侵害にあたると訴えている。インターネット上の公開データをAIの学習に使用することの合法性は曖昧な状態にあり、データの投稿者は企業が自らの利益のためにデータを使用することに事前同意していないと主張している。
また、収益を目的とする新製品の訓練のため更にデータが使用される可能性があること、13歳未満の子どもがツールを使用していないことの確認が不十分であることも問題だとしている。
同事務所は既に10名の原告団を抱えているが、AI開発のために情報が商業的に悪用された人々は弁護対象にあたるとし、引き続き集団訴訟への参加者を募っている。
https://www.washingtonpost.com/technology/2023/06/28/openai-chatgpt-lawsuit-class-action/
https://assets.bwbx.io/documents/users/iqjWHBFdfxIU/rIZH4FXwShJE/v0
----------------------------------------------------------------------
【3】6月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年6月 6日 AIソリューションを提供するBlattner Technologies、サイバーセキュリティ企業のJigsaw Security Enterpriseを買収
2023年6月 8日 blackpoint、MSP事業の技術開発のためベインキャピタルから1億9,000万ドル(約265億円)の成長投資
2023年6月13日 NSO退役軍人設立のセキュリティスタートアップKodem、ベンチャーキャピタル等から2,500万ドル(約35億円)の資金を調達
2023年6月13日 仏Thales、オセアニア地域で政府・防衛セクター向けの大手サイバーセキュリティ企業Tesserentを買収
2023年6月20日 エネルギー分野のリスクマネジメントを手がけるDNVグループ、フィンランドのセキュリティ企業を9,800万ユーロ(約154億円)で買収
2023年6月22日 英大手MSPのDaisy Corporate Services、同国のサイバーセキュリティサービスプロバイダーECSC Group plcを買収
2023年6月28日 Bitdefender、シンガポールを拠点とするHorangi Cyber Securityを買収