一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■NIST、CUIを保護するためのガイドライン SP800-171r3最終版を公開

米国国立標準技術研究所（NIST）は、CUI(Controlled Unclassified Information)を保護するためのガイドライン最終版を公開しました。

・SP800-171 r3

　非連邦システムおよび組織における制御される非分類情報の保護

・SP800-171A r3

　制御される非分類情報のセキュリティ要件の評価

米国政府は機密情報についてCI(機密情報)と、CUI（機密情報以外の重要情報）に分類して管理しています。今回最終版が公開されたのは、CUIを扱う民間企業が実施すべきセキュリティ対策をまとめたガイドラインとなります。

日本の防衛装備庁は2023年度より、取引先の民間企業に対して新たに「防衛産業サイバーセキュリティ基準」への対応を求めるようになっており、このセキュリティ基準は、「SP800-171」とほぼ同じ内容となっています。防衛装備庁だけでなく、日本政府も「政府統一基準」にSP800-171を取り込む流れもあるため、最終版の公開は日本にも影響を与えることになると考えられます。

■米、証券取引委員会　データ侵害検知から30日以内に顧客へ通知することを義務化

米証券取引委員会(SEC)は、特定の金融機関による消費者の非公開個人情報の取り扱いについて規定するレギュレーションS-Pの改正を採択しました。

本改正は、ブローカー・ディーラー（資金調達ポータルを含む）、投資会社、登録投資アドバイザー、証券代行業者（以下、総称して「対象機関」）に適用され、消費者の金融情報の保護を近代化し、強化することを目的としています。

SECは2023年7月にも、上場企業に対し「重大なサイバーセキュリティインシデント」を発見後4日以内に開示するよう義務付けることを決議していました。

サイバー攻撃から消費者を保護するという観点ではSECの強硬な姿勢は評価されるべきでしょう。一方でサイバー攻撃者もSECの規制強化を悪用する動きも出てきており、「サイバー攻撃の被害に遭ったことをSECに報告してほしくなければ身代金を払え」という恐喝手段も登場していること、また企業にとって負担が増えるのも事実です。

規制が強化されることで、サイバー攻撃の被害が減少するのか?それとも、企業側の負担が増えるだけなのか?法律施行後の効果検証にしたいですね。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

・CISA 悪用された既知の脆弱性カタログ登録状況

　-　Google Chromium Visuals Use-After-Free Vulnerability

　-　Microsoft Windows MSHTML Platform Security Feature Bypass Vulnerability

　-　Microsoft DWM Core Library Privilege Escalation Vulnerability

　-　Google Chromium V8 Out-of-Bounds Memory Write Vulnerability

　-　D-Link DIR-605 Router Information Disclosure Vulnerability

　-　D-Link DIR-600 Router Cross-Site Request Forgery (CSRF) Vulnerability

・JPCERTコーディネーションセンター（JPCERT/CC）注意喚起

　-　Adobe AcrobatおよびReaderの脆弱性（APSB24-29）に関する注意喚起 (公開)

　-　2024年5月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)