Loading...

Loading...

JCIC海外ニュースクリップ

----------------------------------------------------------------------
米国FBI、2023年度のインターネット犯罪報告書を発表(4/16配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国NIST、地域社会に根差すサイバーセキュリティ人材の育成に助成金
・米国FBI、2023年度のインターネット犯罪報告書を発表
・米国下院の超党派議連、包括的プライバシー連邦法案の草案を発表
・ベトナム政府、省庁や公的機関などに対するサイバーセキュリティの強化要請
・米国CISA、連邦政府機関に対してロシアの国家主導型サイバー脅威へ直ちに対処するよう指示

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2024年4月3日 米国NIST、地域社会に根差すサイバーセキュリティ人材の育成に助成金
米国国立標準技術研究所(NIST)は、地域社会に根差すサイバーセキュリティ人材の育成に総額360万ドル(約5.5億円)の助成金を交付することを発表した。NIST主導の官民学連携イニシアチブ「NICE」の監督の下、米国内でサイバーセキュリティ人材育成に取り組む15の州で18の教育機関・地域団体に対し、それぞれ20万ドル(約3千万円)が割り当てられる。
サイバーセキュリティ雇用市場のデータを分析する「CyberSeek」によると、2023年1月から2024年1月の期間に米国では約45万件のサイバーセキュリティに関連する求人があった。しかし、求人100件ごとに採用候補となる求職者はわずか82人にしか集まらなかったという。
助成金を受け取る各組織は、サイバーセキュリティ教育と人材開発を促進するためのパートナーシッププロジェクト(RAMPS)を実行し、地域企業や非営利団体の労働需要がNICEが掲げる目標と一致するよう努める。NISTは現在も、RAMPSの追加申請を15件まで受け付けている。
https://www.nist.gov/news-events/news/2024/04/nist-awards-36-million-community-based-cybersecurity-workforce-development

2024年4月4日 米国FBI、2023年度のインターネット犯罪報告書を発表
米国連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)は、2023年次のインターネット犯罪報告書を発表した。
2023年次の報告件数は、880,418件で、潜在的な損失は125億ドル(約1.9兆円)を超えた。2022年と比較すると、報告件数が10%近く増加し、損失額も22%増加した。
犯罪の種類別で損失額が最も大きかったのは、投資詐欺だった。2023年次の投資詐欺被害は45億7千万ドル(約7千億円)に達し、前年比で38%の増加となった。このうち、仮想通貨投資詐欺による損失が39億4千万ドル(約6千億円)を占め、前年比53%の増加であった。
また、2023年に最も頻繁に報告された犯罪は、実在の企業になりすました迷惑メール、テキストメッセージ、電話によって個人情報やログイン情報などを盗み出すフィッシング詐欺だった。フィッシング詐欺に関する報告は298,000件を超え、報告全体の約34%を占めた。
https://www.fbi.gov/contact-us/field-offices/sanfrancisco/news/fbi-releases-internet-crime-report
https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf

2024年4月5日 米国下院の超党派議連、包括的プライバシー連邦法案の草案を発表
米国下院の超党派議員連盟が、包括的プライバシー連邦法案の草案を発表した。この草案は、国家統一の強力なプライバシー基準を設定することで州法の継ぎ接ぎをなくすことを目指すもの。法案成立から180日後の発効を提案している。
草案の条文が規定する主な内容は、米国民に対して次の4点で個人の権利を保障するもの(1.データの管理能力、2.データプライバシー権の行使能力、3.市民権の保護、4.企業がデータに対してサイバーセキュリティ義務と説明責任を果たす)。
これらの権利に対して、例も挙げられている。
1.データの管理能力 -> 企業がプライバシーポリシーを変更した場合に個人はデータ処理を拒否することができる、企業が機微データを第三者に譲渡する前に個人の明示的な同意を必要とする、個人がターゲット広告をオプトアウトできるようにする
2.データプライバシー権の行使能力 -> 悪質業者によりプライバシー権の侵害を受けた場合に損害賠償を請求できるようにする
3.市民権の保護 -> 住宅・雇用・保険などを利用する権利を企業がアルゴリズムの決定に基づき審査することを個人がオプトアウトできるようにする
4.企業がデータに対してサイバーセキュリティ義務と説明責任を果たす -> データ窃取や漏洩を防ぐためセキュリティ基準への対応を企業に義務づける
https://energycommerce.house.gov/posts/committee-chairs-rodgers-cantwell-unveil-historic-draft-comprehensive-data-privacy-legislation
https://energycommerce.house.gov/posts/committee-chairs-rodgers-cantwell-unveil-historic-draft-comprehensive-data-privacy-legislation

2024年4月7日 ベトナム政府、省庁や公的機関などに対するサイバーセキュリティの強化要請
ベトナム政府は、省庁や公的機関などを対象とした「サイバーセキュリティの強化要請(No.33/CD-TTg)」にファム・ミン・チン首相が署名し、国家サイバーセキュリティを強化する方針を明らかにした。
首相自らが、大臣・閣僚・人民委員会などの長に対して安全確保業務を直接指揮し、管理下にある情報システムのサイバーセキュリティの確保状況を評価する。各責任者は4月30日までに評価結果を情報通信省(MIC)へ送付し、5月10日までに首相報告するように要請した。セキュリティの不備によって重大事故が発生した場合はこれらの長が責任を負う。あわせて、次の事項の実施も求められる。
・サイバーセキュリティ製品およびサービスに費やす予算の割合を年間IT計画などの予算総額の10%以上にすること
・四半期ごとに最終月の20日までにセキュリティの確保状況をMICに報告すること
・9月中に100%の情報システムの安全レベル提案書の承認を完了、12月中に提案に基づく計画を完全に実施すること
・情報システムの定期セキュリティ評価について、レベル2までは2年に1回以上、レベル3-4は年に1回、レベル5は半年に1回以上実施すること
https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Cong-dien-33-CD-TTg-2024-tang-cuong-bao-dam-an-toan-thong-tin-mang-605594.aspx

2024年4月11日 米国CISA、連邦政府機関に対してロシアの国家主導型サイバー脅威へ直ちに対処するよう指示
米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、ロシアの国家支援型サイバー攻撃グループが実施した一連の攻撃キャンペーンに対応するための緊急指令24-02を発令した。MicrosoftがMidnight Blizzardと呼称するこの攻撃グループは、Microsoft電子メールアカウントの侵害に成功し、連邦政府文民機関(FCEB)機関とMicrosoftの間の電子メール通信を窃取したとされる。Microsoftの報告によると、2024年2月はパスワードスプレーなどの攻撃キャンペーンの量が前月と比較して10倍程度増加したという。
この緊急指令は4月2日に発行され、連邦政府機関に対し、流出した電子メールの内容の分析、侵害された資格情報のリセット、Microsoft Azureの特権アカウントの認証方式が安全であることを確認するための追加の措置を講じることなどを義務付けている。各政府機関は、4月8日までに必要なすべての対策の実施状況をCISAに報告し、5月1日までに追加の進捗を報告する。さらに、必要に応じて対応完了まで週次で最新の状況報告を実施する必要がある。
https://www.cisa.gov/news-events/news/cisa-directs-federal-agencies-immediately-mitigate-significant-risk-russian-state-sponsored-cyber
https://www.cisa.gov/news-events/directives/ed-24-02-mitigating-significant-risk-nation-state-compromise-microsoft-corporate-email-system

----------------------------------------------------------------------
【3】4月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年4月1日 マイクロソフト社が出資するセキュリティ企業Rubrik、米国でIPOを申請
2024年4月4日 イスラエルのHUB Cyber​​ Security、イスラエル国防省などにサービスを提供するQPoint Technologiesを買収
2024年4月10日 クラウドセキュリティ保護サービスのWiz、イスラエルのGem Securityを3億5000万ドル(約690億円)で買収