----------------------------------------------------------------------
米国CISAら、OTサイバーセキュリティの原則とベストプラクティスを公開（10/8配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・欧州評議会、選挙のための身元認証における個人データ保護ガイドラインを発表
・米英当局、イランを背景とする攻撃グループによる政府関係者へのスピアフィッシングに警告
・米国連邦通信委員会、一連の顧客データ侵害を受けたT-mobile社への制裁金を確定
・米国CISAら、OTサイバーセキュリティの原則とベストプラクティスを公開

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2024年9月18日 欧州評議会、選挙のための身元認証における個人データ保護ガイドラインを発表
欧州評議会は、選挙への参加および有権者登録を行う際に個人データを保護するための新しいガイドラインを発表した。本ガイドラインは、特にバイオメトリクス情報や政治的意見、人種、民族的出身といったセンシティブな個人データの取り扱いに焦点を当てている。
また、新ガイドラインは、バイオメトリクス技術を用いて有権者を識別・認証する際の潜在的なリスクについても警告している。バイオメトリクスデータは、欧州評議会の「個人データの自動処理に関する個人の保護に関する条約」（ETS条約108号）によって特別なデータと定義されている。特に、有権者登録システムや認証プロセスにバイオメトリクス技術を導入する場合、データ管理者はETS条約108号を遵守することが求められている。これにより、データ管理者は原則やベストプラクティスを踏まえた適切な措置を講じることが必要である。
さらに、各国の規制当局に対しては、国ごとの政治的、制度的、文化的条件に合わせた正確なガイドラインを提供することを推奨している。これにより、各国は自国の状況に応じた個別の対応を行うことが可能となる。
https://www.coe.int/en/web/portal/-/new-guidelines-to-protect-voters-personal-data
https://rm.coe.int/tpd-2023-2rev6-processing-pd-in-vote-and-elections-en-final/1680b1511c

2024年9月27日 米英当局、イランを背景とする攻撃グループによる政府関係者へのスピアフィッシングに警告
米国連邦捜査局（FBI）と英国国家サイバーセキュリティセンター（NCSC）は、イラン革命防衛隊（IRGC）に関連するグループによるスピアフィッシング攻撃が増加している警告した。
主な標的は米英の政府関係者や重要インフラ関係者であり、プライベートアカウントとビジネスアカウントの双方に不正アクセス被害が発生しているという。攻撃者はソーシャルエンジニアリングの手法を駆使しており、電子メールやオンラインプラットフォーム上で標的からの信頼を得た上で、偽のログインページを使用して認証情報を窃取する手法を取っている。メッセージボックスへのアクセスやメール転送設定の改ざんによって情報を盗み出すことが目的とみられている。
NCSCは、リスクの高い個人は標的型メール攻撃へ警戒を高めるよう呼び掛けている。
https://www.ncsc.gov.uk/news/uk-us-issue-alert-cyber-actors-behalf-iranian-state-carry-targeted-phishing-attacks

2024年9月30日 米国連邦通信委員会、一連の顧客データ侵害を受けたT-mobile社への制裁金を確定
米国連邦通信委員会（FCC）は、T-mobile社に関連する一連の顧客データ侵害を受けた同社に対する制裁金を確定した。2021年から2023年にかけて発生したサイバー攻撃によるT-mobile社のセキュリティ侵害に対するFCCの調査結果に基づくもの。今回の通達では、インシデントの影響を受けた消費者の合計は、T-mobile社の現顧客780万人、元顧客および見込顧客の約4,000万人であるとされた。
T-mobile社は米国財務省に対して1,575万ドル（約23億円）の制裁金を支払うこととなる。加えて今後2年間で同額の1,575万ドルをサイバーセキュリティプログラムの強化に投資することが義務付けられている。具体的には、サイバー衛生の向上、ゼロトラストアーキテクチャの導入、多要素認証の実装といったサイバーセキュリティ対策の強化が求められ、データ漏洩防止策を充実させる。FCCは今回の裁定について、T-mobile社に義務付けられるサイバーセキュリティへの投資はモバイル通信業界全体のサイバーセキュリティ投資の模範となるとの見解を示している。
https://www.fcc.gov/document/t-mobile-required-change-business-practices-after-data-breaches-0
https://www.fcc.gov/document/t-mobile-required-change-business-practices-after-data-breaches

2024年10月1日 米国CISAら、OTサイバーセキュリティの原則とベストプラクティスを公開
米国サイバーセキュリティ・社会基盤安全保障庁（CISA）や豪州サイバーセキュリティセンター（ACSC）らは共同で、OT（オペレーショナル・テクノロジー）環境におけるサイバーセキュリティの原則とベストプラクティスを定義した文書を公開した。OT環境の設計・実装・管理の意思決定を行う組織に向け、重要インフラやサービスのセキュリティを確保し、ビジネスの継続性を維持するための指針を提供している。日本からは日本の内閣サイバーセキュリティセンター（NISC）や警察庁（NPA）が国際パートナーとして参加している。
OT環境は、産業制御システム（ICS）や重要インフラに関わるため、これらのシステムのセキュリティ対策は、国家安全保障に直結する重要な要素とされる。本ベストプラクティスは、これらの環境における脅威に対する防御を強化するための具体的なガイドラインを提供し、セキュリティリスクを軽減するための手法を詳述している。
https://www.cisa.gov/resources-tools/resources/principles-operational-technology-cyber-security
https://www.cyber.gov.au/about-us/view-all-content/publications/principles-operational-technology-cyber-security

----------------------------------------------------------------------
【3】9月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年9月5日 Airbus、ドイツの公共向けサイバーセキュリティ企業INFODASの買収完了、規制当局が承認
2024年9月5日 Palo Alto Networks、IBMのQRadar SaaS事業買収を完了
2024年9月12日 Mastercard、脅威インテリジェンスのRecorded Futureを26.5億ドル（約3735億円）で買収
2024年9月18日 スイス郵便、Open Systems AG社買収でサイバーセキュリティを強化
2024年9月24日 Swisscom、Vodafone Italiaを80億ユーロ（約1.3兆円）で買収しイタリアの子会社Fastwebへ統合
2024年9月26日 VISA、決済詐欺や金融犯罪のリスク対策を目的にAI企業Featurespaceを買収