Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
米国CISAら、日本を含む各国当局と共同でセキュア・バイ・デザイン原則ガイドの更新版を発表(10/24配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISAら、日本を含む各国当局と共同でセキュア・バイ・デザイン原則ガイドの更新版を発表
・米国財務省、アラブ首長国連邦とのサイバーセキュリティ協力覚書を締結
・米国FBI、美容整形外科医療機関を標的とするサイバー攻撃の増加傾向に警告
・米国CISA、NSA、FBI、MS-ISACがフィッシング攻撃に関する対策レポートを発表
・英国個人情報保護監督機関、Clearview AI社に対する罰金命令が控訴審で棄却

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年10月16日 米国CISAら、日本を含む各国当局と共同でセキュア・バイ・デザイン原則ガイドの更新版を発表
米国サイバーセキュリティ・インフラチャセキュリティ庁(CISA)は、国内外のパートナー17者とともに、「サイバーセキュリティ・リスクのバランスのシフト:セキュア・バイ・デザイン・ソフトウェア」の更新版を公開した。
このガイダンスは、ソフトウェアメーカーがセキュア・バイ・デザインの原則へのコミットメントを示し、顧客がセキュア・バイ・デザインの製品を求める方法を提案することを目的としている。作成にはCISAの他に、米国内から連邦捜査局(FBI)、国家安全保障局(NSA)、国外からオーストラリア、カナダ、英国、ドイツ、オランダ、ニュージーランドのサイバーセキュリティ当局(CERT NZ、NCSC-NZ)が参加した。また、チェコ、イスラエル、シンガポール、韓国、ノルウェー、アメリカ諸国機構CSIRTネットワーク、日本(JPCERT/CC、NISC)の各国当局が協力パートナーとして名が挙がっている。
NISCの鈴木センター長は、日本のサイバーセキュリティ戦略にはセキュリティ・バイ・デザインが重要な指針として組み込まれており、今回のガイダンスの更新を歓迎するコメントを寄せている。
https://www.cisa.gov/news-events/news/cisa-us-and-international-partners-announce-updated-secure-design-principles-joint-guide

2023年10月16日 米国財務省、アラブ首長国連邦とのサイバーセキュリティ協力覚書を締結
米国財務省およびアラブ首長国連邦(UAE)サイバーセキュリティ評議会は、サイバーセキュリティ協力に関する二国間覚書(MoU)が締結されたことを発表した。
2021年11月に米国財務副長官がアラブ首長国連邦を訪問した際に金融セクターの重要インフラを保護するための二国間パートナーシップ確立の必要性が議論され、今回のMoU締結のきっかけとなった。
国際金融の健全性を守るためにサイバーセキュリティーに関する協力を深めることを目的とし、具体的には以下の分野での協力を強化する。
・サイバー脅威およびインシデントに関する情報を含む、金融セクター関連情報の共有
・サイバーセキュリティ分野での協力を促進するためのスタッフの研修と調査訪問
・国境を越えたサイバーセキュリティ演習実施などの能力開発活動
https://home.treasury.gov/news/press-releases/jy1808

2023年10月17日 米国FBI、美容整形外科医療機関を標的とするサイバー攻撃の増加傾向に警告
米国連邦捜査局(FBI)は、美容整形外科医療機関を標的とするサイバー攻撃が増えているとして各所に警戒を促した。
個人情報や機密性の高い医療記録・写真などを不正に入手し、美容整形外科医療機関の関係者と患者の双方を恐喝する手口が増加しているという。攻撃の手口としては(1)フィッシング攻撃によってマルウェアへ感染させ、個人情報や医療情報の窃取を実行 (2)OSINT技術やソーシャルエンジニアリングを悪用して恐喝材料を強化 (3)家族、友人、同僚または一般へ暴露すると恐喝、身代金支払いを要求 という3段階をへるものが主に観測されている。
FBIは対抗策として、SNSアカウントを非公開化するなどプライバシー設定を強化する、友人リストのチェックや二要素認証の有効化をすること、複雑なパスワードによる保護、銀行口座や信用情報の動きを定期的に監視することなどを推奨している。
美容整形外科は医療分野内でも医師・患者ともに金銭的に裕福な可能性が高く、その医療記録も患者が隠したいと考えるセンシティブな情報であることが多い。さらに、美容整形外科は個人経営であることが多く、セキュリティへの投資が遅れている可能性があるとして注意を促している。
https://www.ic3.gov/Media/Y2023/PSA231017

2023年10月18日 米国CISA、NSA、FBI、MS-ISACがフィッシング攻撃に関する対策レポートを発表
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、多州間情報共有・分析センター(MS-ISAC)は共同で、フィッシング攻撃の手口と攻撃者の概要を示したレポートを公表した。
悪意のある攻撃者が広く利用しているフィッシング攻撃の戦術や手順などを概説し、セキュリティ担当者が対策を行うためのガイダンスを提供することを目的としている。第一段階である「攻撃サイクルを止める」では、全ての組織に適用可能なネットワーク保護担当者向けのガイダンスと、セキュア・バイ・デザインおよびセキュア・バイ・デフォルトの原則を重視したソフトウェア開発者向けのガイダンスが含まれている。この他、進化するフィッシングの脅威からサイバーリソースを保護するための中小企業向けのガイダンスなども含まれている。
https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-attack-cycle-phase-one

2023年10月19日 英国個人情報保護監督機関、Clearview AI社に対する罰金命令が控訴審で棄却
2021年に英国個人情報保護監督機関(ICO)が顔認識サービスを提供する米国企業のClearview AIに科した750万ポンド(約13.6億円)の罰金を争った控訴審において、ICOの訴えが棄却された。
Clearview AI社のオンライン顔認識データべースは警察機構向けの顔画像検索サービスに使用されているが、データベースを作成するためにウェブサイトやSNSから英国を含む各地の人々の画像を収集・使用したことに対してICOが訴えをおこしていた。
一審ではICOの主張が認められていたが、控訴審ではClearview AI社が英国内の人々の行動データの処理に従事していることを認めながらも、同社のサービスは英国外の北中南米地域の法執行機関によって使用されているため、ICOには罰金および強制措置を科す「管轄権」がないと結論づけられた。
https://www.bbc.com/news/technology-67133157
https://www.theregister.com/2023/10/19/uk_tribunal_agrees_with_clearview/
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2022/05/ico-fines-facial-recognition-database-company-clearview-ai-inc/

----------------------------------------------------------------------
【3】10月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年10月3日 KPMGカナダ、IDアクセス管理サービス拡大のためIMagosoftを買収
2023年10月4日 米国Magna5、マネージドサービスプロバイダのAdvanced Network Systemsを買収
2023年10月10日 セキュリティ監視サービスのArctic Wolf、SOAR製品を提供するRevelstokeの買収計画