Yahoo!ニュース

NIST SP800-171r3 最終版発行 05/13-05/19

大元隆志CISOアドバイザー

一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■NIST、CUIを保護するためのガイドライン SP800-171r3最終版を公開

米国国立標準技術研究所(NIST)は、CUI(Controlled Unclassified Information)を保護するためのガイドライン最終版を公開しました。

SP800-171 r3

 非連邦システムおよび組織における制御される非分類情報の保護

SP800-171A r3

 制御される非分類情報のセキュリティ要件の評価

米国政府は機密情報についてCI(機密情報)と、CUI(機密情報以外の重要情報)に分類して管理しています。今回最終版が公開されたのは、CUIを扱う民間企業が実施すべきセキュリティ対策をまとめたガイドラインとなります。

日本の防衛装備庁は2023年度より、取引先の民間企業に対して新たに「防衛産業サイバーセキュリティ基準」への対応を求めるようになっており、このセキュリティ基準は、「SP800-171」とほぼ同じ内容となっています。防衛装備庁だけでなく、日本政府も「政府統一基準」にSP800-171を取り込む流れもあるため、最終版の公開は日本にも影響を与えることになると考えられます。

■米、証券取引委員会 データ侵害検知から30日以内に顧客へ通知することを義務化

米証券取引委員会(SEC)は、特定の金融機関による消費者の非公開個人情報の取り扱いについて規定するレギュレーションS-Pの改正を採択しました。

本改正は、ブローカー・ディーラー(資金調達ポータルを含む)、投資会社、登録投資アドバイザー、証券代行業者(以下、総称して「対象機関」)に適用され、消費者の金融情報の保護を近代化し、強化することを目的としています。

・対象機関に対し、顧客情報への不正アクセスや不正利用を検知、対応、回復するためのインシデント対応プログラムの方針および手順を文書化し、実施、維持することを義務付ける
・対象機関に対し、機密性の高い顧客情報が許可なくアクセスまたは使用された、またはその可能性が高い影響を受けた個人に対して、適時に通知を提供するための手順を含めることを義務付ける
・レギュレーションS-Pの要求事項の対象となる情報の範囲を拡大する

SECは2023年7月にも、上場企業に対し「重大なサイバーセキュリティインシデント」を発見後4日以内に開示するよう義務付けることを決議していました。

サイバー攻撃から消費者を保護するという観点ではSECの強硬な姿勢は評価されるべきでしょう。一方でサイバー攻撃者もSECの規制強化を悪用する動きも出てきており、「サイバー攻撃の被害に遭ったことをSECに報告してほしくなければ身代金を払え」という恐喝手段も登場していること、また企業にとって負担が増えるのも事実です。

規制が強化されることで、サイバー攻撃の被害が減少するのか?それとも、企業側の負担が増えるだけなのか?法律施行後の効果検証にしたいですね。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

CISA 悪用された既知の脆弱性カタログ登録状況

 - Google Chromium Visuals Use-After-Free Vulnerability

 - Microsoft Windows MSHTML Platform Security Feature Bypass Vulnerability

 - Microsoft DWM Core Library Privilege Escalation Vulnerability

 - Google Chromium V8 Out-of-Bounds Memory Write Vulnerability

 - D-Link DIR-605 Router Information Disclosure Vulnerability

 - D-Link DIR-600 Router Cross-Site Request Forgery (CSRF) Vulnerability

JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 - Adobe AcrobatおよびReaderの脆弱性(APSB24-29)に関する注意喚起 (公開)

 - 2024年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事