----------------------------------------------------------------------
JCICコラム「品質・安全・サイバーセキュリティ」（12/24配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム「品質・安全・サイバーセキュリティ」
・欧州ENISAおよび欧州委、「EUにおけるサイバーセキュリティの現状に関する報告書」を公開
・豪州信号局、暗号アルゴリズムに関するガイドラインを公開
・米国WSJほか、米国政府が中国製TP-Linkルーターの禁止検討と報道
・中国国家CERT、米国による大規模サイバー攻撃を発表

----------------------------------------------------------------------
【2】JCICコラム：品質・安全・サイバーセキュリティ
----------------------------------------------------------------------
新しいJCICコラムを公開しました。概略は以下の通りです。

企業全体でのサイバーセキュリティ意識を高めるため、これまで日本企業が全社に徹底していた事項である、品質や安全についての取り組みに学んではどうだろうか？ここでは企業の５Ｓ運動に倣い、サイバーセキュリティを従業員が自分事とする方法を考察した。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2024年12月3日 欧州当局、「EUにおけるサイバーセキュリティの現状に関する報告書」を公開
欧州連合サイバーセキュリティ機関（ENISA）は欧州委員会と連名で「EUにおけるサイバーセキュリティの現状に関する報告書」を発表した。
本報告書は、NIS2指令第18条に基づきEUレベルで行われたリスクアセスメントの結果をもとに、EU全体のサイバーセキュリティ能力の現状を評価している。EUの政策立案者を主な対象とし、今後は2年ごとに同様の報告書が作成される予定である。
報告書では、EUが特に優先的に取り組むべき4つの分野として　次の4点 1）EUサイバーセキュリティ政策の実施（技術的・財政的支援の強化）、2）サイバー危機管理、3）サプライチェーンセキュリティ、4）スキルニーズの特定と人材強化 が挙げられている。
加えて、重要セクターの企業のサイバーセキュリティ能力向上、サイバーセキュリティ意識およびサイバー衛生の改善も重要事項として提言の一部に含められた。
https://www.enisa.europa.eu/news/eus-first-ever-report-on-the-state-of-cybersecurity-in-the-union
https://www.enisa.europa.eu/publications/2024-report-on-the-state-of-the-cybersecurity-in-the-union

2024年12月12日 豪州信号局、暗号アルゴリズムに関するガイドラインを公開
オーストラリア信号局（ASD）は、将来の量子を利用したサイバー攻撃に備えるために暗号アルゴリズムに関するガイドラインを公開した。米国NISTは11月に、耐量子暗号標準への移行に関する最初の公開草案の中で、既存の特定の暗号化アルゴリズムは2035年に禁止され、組織には耐量子暗号アルゴリズムを実装するための約10年の猶予が与えられると述べた。一方、ASDはNISTが示した2035年は遅すぎるとし、既存の暗号化アルゴリズムに2030年という終了期限を設定する準備ができていると述べた。エディンバラ・ネイピア大学の暗号学教授ビル・ブキャナン氏はブログ投稿で、オーストラリアはSHA-256、RSA、ECDSA、ECDHなどの脆弱な暗号アルゴリズムの終了日を2030年と設定することでNISTより一歩先を進んでいると書いている。
https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/ism/cyber-security-guidelines/guidelines-cryptography
https://billatnapier.medium.com/shock-news-sha-256-ecdsa-and-rsa-not-approved-in-australia-by-2030-3d1c286cad58

2024年12月18日 米国WSJほか、米国政府が中国製TP-Linkルーターの禁止検討と報道
米国のウォールストリートジャーナル（WSJ）紙は、米国政府がTP-Link社製品ルータの米国市場における圧倒的なシェアがもたらす「明白な国家安全保障上の問題」に対する調査を開始したと報じた。本調査は、超党派の中国問題特別委員会が8月に出した要請書簡を受けた動きだという。
WSJ紙によれば、商務省は今月になってTP-Link社を召喚し、同社の企業構造などの詳細を求めたという。司法省は、比較的低価格の同社のルーターについて販売価格規定に違反していないか調査を進めている。
TP-Linkは米メディアのCBSに対して「製品が米国のセキュリティ基準に準拠している」ことを強調した。同社はCISA庁のセキュアバイデザイン誓約に署名しており、その製品は米国防総省などの連邦政府機関でも使用されている。
https://www.wsj.com/politics/national-security/us-ban-china-router-tp-link-systems-7d7507e6
https://www.cbsnews.com/news/tp-link-router-china-us-ban/
https://www.scmp.com/tech/tech-war/article/3291446/us-probes-tp-link-china-founded-router-maker-dominating-american-market

2024年12月18日 中国国家CERT、米国による大規模サイバー攻撃を発表
中国の国家サイバーインシデント対応機関である「CNCERT/CC」は、米国による中国の先端技術組織に対する大規模なサイバー攻撃が2件発生したとするプレスリリースを公表した。攻撃の目的は企業秘密の窃取であると説明している
うち1件はソフトウェア更新サーバの侵害を通じ先端材料設計研究部門に保存されていた知財情報が窃取されたとするもので、もう1件は中国のスマートエネルギー大手とハイテク企業の情報がMicrosoft Exchangeの脆弱性侵害によって大量に持ち出されたとするものであった。
発表全文はCNCERTのアナウンスから確認が出来る。
https://www.cert.org.cn/publish/main/49/2024/20241218184234131217571/20241218184234131217571_.html

----------------------------------------------------------------------
【4】12月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年12月2日 米SIXGEN、諜報機関・防衛機関向けソフトウェア開発企業Kyrus Techを買収
2024年12月3日 米CyberProof、脅威管理・セキュリティ評価ソリューションのUSTを買収
2024年12月16日 Cisco、SnapAttackの買収意向を発表
2024年12月16日 Arctic Wolf、BlackBerryのAIエンドポイントセキュリティソリューションCylanceを買収
2024年12月18日 米OPSWAT、重要インフラ向けサービス強化のためスタートアップ企業Fend Incorporatedを買収