Loading...
----------------------------------------------------------------------
JCICレポート 「AIとセキュリティ」の論点とリスクシナリオの整理(4/23配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICレポート 「AIとセキュリティ」の論点とリスクシナリオの整理
・韓国個人情報保護委員会、国外企業向けに「個人情報保護法適用ガイド」を発表
・欧州ENISA、サイバーレジリエンス法と主要国際標準の比較照合結果を報告
・OpenSSF、DHS・CISAと共同でグローバルなソフトウェアサプライチェーンプロジェクトを開始
・ユーロポール、国際的捜査によりフィッシングプラットフォームのLabHostを閉鎖
----------------------------------------------------------------------
【2】JCICレポート 「AIとセキュリティ」の論点とリスクシナリオの整理
----------------------------------------------------------------------
今回のレポートでは、AIとセキュリティの関係性について、情報セキュリティリスク評価の方法論を用いて体系的に整理した。
AIがもたらす新たな脅威や脆弱性を従来のセキュリティリスク分析の枠組みに組み込み、具体的なリスクシナリオと対策の方向性を示した。
また、中長期の視点を踏まえつつAIとセキュリティの両分野が統合的に発展するための提言をまとめた。
全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1a
----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2024年4月4日 韓国個人情報保護委員会、国外企業向けに「個人情報保護法適用ガイド」を発表
韓国個人情報保護委員会は、他国の企業を対象にした「個人情報保護法適用ガイド」を発表した。昨年承認された韓国改正個人情報保護法において国外事業者が見落としがちな適用基準と法的義務を明確化したもの。
同法の適用対象となる国外事業者の3つの類型として、(1)韓国の情報主体を対象に商品またはサービスを提供する者 (2)個人情報の処理が韓国の情報主体に影響を及ぼす者 (3)事業所が韓国の領土内に存在する者 を挙げている。韓国の情報主体とみなされる基準は、言語・通貨・サービスの提供形態および方式によって判断されるとしている。例として、韓国の情報主体の個人情報を収集してウェブサイトに公開している場合、情報主体に直接的かつ相当な影響を与えるとして(2)に該当する。
また、韓国国外の事業者が韓国の情報主体に対する個人情報処理者として韓国法人を明記している場合、同法人が適用対象となると説明している。国外事業者も韓国内の事業者と同様に、個人情報漏えいを認知した場合には72時間以内にその時点までに知り得た内容をもとに個人情報委員会へ報告し、情報主体に通知する義務があることを強調した。
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10056
2024年4月4日 欧州ENISA、サイバーレジリエンス法と主要国際標準の比較照合結果を報告
欧州ENISAは、サイバーレジリエンス法(CRA)と主要な国際標準とを比較照合したマッピング結果について報告した。CRAは製造業者がデジタル要素を含む製品をEU域内の市場に投入する際に遵守すべきサイバーセキュリティ要件を定義するための規制案で、2024年内に施行される予定。
今回の取り組みは、製造業者のCRAへの準拠を促進する目的で、CRAの必須要件を国際標準化機構(ISO)などの既存の製品サイバーセキュリティ規格との関係性を整理したもの。CRA要件と既存規格の要件をマッピングした上でギャップ分析が行われている。
分析結果から、すべてのCRA要件をカバーできる単一の既存規格は存在せず、複数のギャップに対処する必要があると結論づけられている。
https://www.enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping
2024年4月16日 OpenSSF、DHS・CISAと共同でグローバルなソフトウェアサプライチェーンプロジェクトを開始
オープンソースセキュリティ財団(OpenSSF)は、国土安全保障省(DHS)と傘下のサイバーセキュリティ・社会基盤安全保障庁(CISA)、および科学技術総局(S&T)と共同で、新たなオープンソースソフトウェアサプライチェーンのツールProtobomを発表し、提供を開始した。
Protobomは、システム管理者やソフトウェア開発コミュニティをはじめとする組織がソフトウェア部品表(SBOM)を作成することを支援する。また、標準的なSBOMフォーマット間のデータ変換を可能にする。
商用アプリケーションとオープンソースアプリケーションの双方を統合的に扱うことで可能であり、SBOMの導入を簡易かつ安価とすることで普及を促進する狙いがある。
https://openssf.org/press-release/2024/04/16/cisa-dhs-st-and-openssf-announce-global-launch-of-software-supply-chain-open-source-project/
https://openssf.org/projects/protobom/
2024年4月18日 ユーロポール、国際的捜査によりフィッシングプラットフォームのLabHostを閉鎖
欧州刑事警察機構(ユーロポール)は、19カ国の当局による国際的捜査により、LabHostとして知られる世界最大級のフィッシング・アズ・ア・サービスプラットフォームを閉鎖したと報告した。
英国のロンドン警視庁が主導し、ユーロポールの欧州サイバー犯罪センター(EC3)および同本部に設置された合同サイバー犯罪行動タスクフォース(J-CAT)が支援したという。
LabHostは、平均249ドル(約3万8千円)の月額料金で利用できる様々な不正サービスを提供し、数回のクリックで利用可能な容易さと柔軟なカスタマイズ性からサイバー犯罪者に重用されていた。
今回の捜査でタスクフォースは世界中で合計70の住所を捜索し、37人の容疑者を逮捕したという。逮捕者の中には、LabHostの創設者を含む運営幹部4人が含まれている。この成果を受けて、これまでオープンウェブ上で利用可能だったLabHostは閉鎖された。また、押収物の分析結果から、LabHostに関連したフィッシングドメインは少なくとも4万件にのぼり、世界中に約1万人のユーザーがいたことが判明した。
https://www.europol.europa.eu/media-press/newsroom/news/international-investigation-disrupts-phishing-service-platform-labhost
----------------------------------------------------------------------
【3】4月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年4月1日 マイクロソフト社が出資するセキュリティ企業Rubrik、米国でIPOを申請
2024年4月4日 イスラエルのHUB Cyber Security、イスラエル国防省などにサービスを提供するQPoint Technologiesを買収
2024年4月10日 クラウドセキュリティ保護サービスのWiz、イスラエルのGem Securityを3億5千万ドル(約690億円)で買収
2024年4月12日 イスラエルHUB Cyber Security、QPoint Technologiesの買収で多分野の機密情報保護能力を強化
2024年4月16日 データ保護ベンダーCommvault、クラウドサイバーレジリエンス企業Appranixを買収
2024年4月17日 米Armis、AI活用のセキュリティ優先度管理のスタートアップSilk Securityを1億5千万ドル(約230億円)で買収