----------------------------------------------------------------------
JCICコメンタリー「サイバーセキュリティを自分ゴト化する」（8/26配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコメンタリー「サイバーセキュリティを自分ゴト化する」
・豪州情報委員会、Optus社のデータ漏洩事案に関連する民事罰則措置を開始
・米国CISA、OTセキュリティ強化のための資産インベントリに関するガイダンスを発表
・大手DDoSサービスの開発者とされる人物を告訴
・韓国金融監査院、連続する金融機関へのランサムウェア攻撃で被害企業を調査

----------------------------------------------------------------------
【2】JCICコメンタリー「サイバーセキュリティを自分ゴト化する」
----------------------------------------------------------------------
サイバー攻撃は常に進化しており、企業の防御体制が整っていても、時間の経過とともに隙が生まれ、完全な防御は困難である。こうした状況において、社員一人ひとりがサイバーセキュリティを「自分ゴト」として捉えることが、企業の安全性を高める鍵となる。実際の情報セキュリティ事故は、些細な油断や意識の低下が原因となることが多く、堅牢な仕組みも人的ミスには脆弱である。リスクマネージャには、社員の意識改革を促す役割が求められる。本レポートでは、事故の心理的要因を分析し、社員の意識向上を図るための企業の取り組み事例を考察する。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1b

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2025年8月8日 豪州情報委員会、Optus社のデータ漏洩事案に関連する民事罰則措置を開始
豪州情報委員会（AIC）は、同国の通信事業者Optus社のデータ漏洩事案に関連する民事罰則手続きを豪州連邦裁判所に提起した。2019年から2022年の間に発生した同社の大規模な個人データ漏洩事案では、約950万人分のパスポート番号や社会保障番号などの機微な個人情報が不正アクセスにより流出したとされる。AICは、Optus社が合理的なデータ保護措置やリスク管理を怠り、個人情報保護に必要な法的義務を履行しなかったと主張している。
この民事罰則は、事件当時に施行されていた1988年プライバシー法に基づくものであり、各違反行為ごとに最大（約1億1千万円）の罰金が科される可能性がある。AICは特に、外部システムやサードパーティ利用に伴うセキュリティリスクを軽視したことが問題であると指摘した。さらに、約950万人に及ぶ個人のプライバシー侵害は深刻であり、AICはそれぞれの個人に対して1件の違反が成立すると主張している。
https://www.oaic.gov.au/news/media-centre/australian-information-commissioner-takes-civil-penalty-action-against-optus

2025年8月13日 米国CISA、OTセキュリティ強化のための資産インベントリに関するガイダンスを発表
米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、オーストラリア、カナダ、ドイツ、オランダ、ニュージーランドの各国機関と連携し、運用技術（OT）環境のセキュリティ強化を目的とした資産インベントリに関するガイダンスを公表した。本ガイダンスは、重要インフラを担うあらゆるOTシステムの所有者および運用者に対し、資産一覧表の作成と体系的な分類方法を提示することで、セキュリティ体制の整備を支援するものである。
CISAは、OT資産インベントリに補足的な分類を加えることが不可欠であるとし、これにより各組織は自社環境で特定すべき重要資産を明確化できるとした。さらに、適切なツールを活用することで、組織はミッションやサービス継続性に影響を及ぼし得るサイバーセキュリティインシデントに対して、防御体制を効果的に構築できると説明している。
CISAのサイバーセキュリティ担当者は声明で、「OTは国の重要インフラの基盤を支える要素であり、OTおよび産業用制御システムのセキュリティ確保はCISAにとって長年の優先事項であり、今後も引き続き最優先課題であり続ける」と述べている。
https://www.cisa.gov/news-events/news/cisa-and-partners-release-asset-inventory-guidance-strengthen-operational-technology-security
https://www.cisa.gov/resources-tools/resources/foundations-ot-cybersecurity-asset-inventory-guidance-owners-and-operators

2025年8月19日 米国司法省、大手DDoSサービスの開発者とされる人物を告訴
米国司法省（DoJ）は、分散型サービス妨害（DDoS）攻撃請負ボットネット「RapperBot」の開発および管理に関与したとされる人物の告訴を発表した。容疑者は少なくとも2021年以降、継続的に「RapperBot」を運用し、大規模なサイバー攻撃に利用した疑いがある。
DoJの発表によれば、「RapperBot」は米国政府機関、主要メディアプラットフォーム、ゲーム会社、大手テクノロジー企業を含む80か国以上の1万8千超の組織を標的としていたという。8月6日に当局にインフラが押収されて以来、悪意のある活動が活発化する兆候を見せていないため、現時点では他の運営者によって制御されるバックアップのC2サーバが存在する可能性は低いと思われている。
今回の法執行措置は、世界中の犯罪的なDDoS攻撃インフラの解体を目指す国際法執行機関による継続的な協調活動である「Operation PowerOFF」と連携して実施され、多くの民間企業（Akamai、Amazon Web Services、Cloudflare、Digital Ocean、Flashpoint、Google、PayPal、Unit 221B）が協力をした。
https://www.justice.gov/usao-ak/pr/oregon-man-charged-administering-rapper-bot-ddos-hire-botnet

2025年8月21日 韓国金融監査院、連続する金融機関へのランサムウェア攻撃で被害企業を調査
韓国金融当局の監査院は、同国の金融機関を標的に連続するランサムウェア攻撃を受けて、被害組織等における金融監督規定の順守実態の調査を開始した。
ランサムウェア被害により同国では、7月にSGIソウル保証保険から顧客情報が流出。今月には、ウェルカム金融グループ傘下の貸付業者から内部資料が流出した。後者に関しては、攻撃グループ「Qilin」が、顧客名・口座・住所などを含む約140万ファイル、合計約1TBの機密情報窃取の犯行を主張している。
金融当局は7月に、金融権侵害事故に対する態勢の点検と、事故発生時の課徴金制裁を含む制度改善を予告したほか、「政府レベルで金融業界のセキュリティ強化のための後続措置を推進する」と発表したばかりだった。
https://www.yna.co.kr/view/AKR20250820151800002
https://news.kbs.co.kr/news/pc/view/view.do?ncd=8332909
https://www.fsc.go.kr/no010101/85029

----------------------------------------------------------------------
【4】8月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年8月14日 アクセンチュア、豪州サイバーセキュリティ企業Cyber​​CXの買収に合意