一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■サイバーセキュリティ対策促進助成金、申請・受付開始

中小企業等を対象としたサイバーセキュリティ対策用の設備費を一部負担するサイバーセキュリティ対策促進助成金の受付が開始されました。

申請の前提条件としてIPAが実施しているSECURITY ACTIONの2段階目（★★二つ星）を宣言している必要があります。

■ランサムウェア「LockBit」被疑者の起訴

2024年２月に、日本を含む関係各国による国際共同捜査により、ランサムウェア攻撃グループLockBitの一員とみられる被疑者を外国捜査機関が検挙するという報道がありましたが、今年二回目となる「LockBit」被疑者の起訴が警察庁から発表されました。

ランサムウェアに関する被害は後を絶ちませんが、犯罪捜査機関による国際連携も進んでおり、今後の犯罪抑止に向けた明るいニュースと言えるでしょう。

■技術系CISOの4人に1人が報酬に不満

サイバーセキュリティ顧問会社IANS Research社とArtico Search社が"The Compensation, Budget and Satisfaction Benchmark for Tech CISOs, 2023-2024"を公開しました。これは660人のCISOを対象に実施した調査結果です。

同報告書によれば、技術系CISOの平均報酬総額は71万ドル、中央値は44万ドルであるとのことであり、最も稼いでいるのはサイバーセキュリティベンダーのCISOで、次にフィンテックおよびハードウェア/インフラストラクチャのCISOが続き、平均報酬は多額の株式を含めて80万ドルを超えているとのことです。

日本と比較すると非常に高給と考えられますが、調査対象の4分の1、約150人の技術系CISOが報酬に不満を抱いているとしています。

この理由として「セキュリティ予算と報酬の増加が鈍化する一方で、CISOへの圧力は急増している。この二項対立がCISOの燃え尽き症候群を助長し、孤立感を感じ、企業からの適切なサポートが得られなくなっていと感じており、CISOの不満が高まっている。」と、IANSの調査ディレクター、ニック・カコロフスキー氏は分析しています。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

・CISA 悪用された既知の脆弱性カタログ登録状況

　-　該当期間中の掲載はありませんでした。

・JPCERTコーディネーションセンター（JPCERT/CC）注意喚起

　-　該当期間中の掲載はありませんでした。