----------------------------------------------------------------------
各国でIoTサプライチェーンのセキュリティガイドライン公開が相次ぐ（11/17配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・CISA、ICTサプライチェーンに関するパンデミックの教訓レポートを公開
・ENISA、IoTのサプライチェーン向けのセキュリティガイドラインを公開
・欧州データ保護委員会、シュレムスⅡ判決を受けて2つの勧告を採択
・ENISA、鉄道サイバーセキュリティレポートを公開
・英国NCSC、AIセキュリティ活用におけるガイダンスを再掲
・日本国内でも、IoTセキュリティのガイドライン公開が相次ぐ（参考情報）

----------------------------------------------------------------------
【2】海外政策動向一覧（2020年11月6日～2020年11月13日）
----------------------------------------------------------------------
2020年11月6日 CISA、ICTサプライチェーンに関するパンデミックの教訓レポートを公開
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、ICTサプライチェーンのレジリエンスを向上させるためのレポート「COVID-19パンデミックの教訓」を公開した。本レポートでは、製造業がリーン在庫モデルに依存していたため、ICT部品の在庫不足に陥り、納期遅延をもたらす結果となったとしている。推奨事項として、プロアクティブなリスク定量化作業、サプライチェーンの見える化、サプライヤーの地域的拡大や物流の代替手段確保などを挙げている。
https://www.cisa.gov/ict-scrm-task-force
https://www.cisa.gov/publication/ict-supply-chain-lessons-learned-covid-19

2020年11月9日 ENISA、IoTのサプライチェーン向けのセキュリティガイドラインを公開
欧州ネットワーク情報セキュリティ庁（ENISA）は、IoTのサプライチェーン向けのセキュリティに関するガイドラインを公開した。要件定義・設計から保守・廃棄までのIoTのサプライチェーンを保護するためのライフサイクル全体のガイドラインであり、IoTメーカー、開発者、サプライチェーンなどに関与するすべての利害関係者が、IoTセキュリティに関する意思決定を行う上で役に立つものである。
https://www.enisa.europa.eu/publications/guidelines-for-securing-the-internet-of-things

2020年11月11日 欧州データ保護委員会、シュレムスⅡ判決を受けて2つの勧告を採択
欧州データ保護委員会（EDPB）は、欧州から米国への個人情報移転のルールである「プライバシー・シールド」を無効とする判断（シュレムスⅡ判決）を受けて、EUのデータ保護基準に関する2つの勧告を採択した。1つ目の勧告は、データ移転時にEUレベルの個人データ保護の遵守を確実にする標準契約条項（SCC）などの移転ツールに関する勧告。2つ目は、監視行為に関する欧州必須保障（European Essential Guarantee）を更新する勧告。これらの勧告は12月10日までパブリックコメントを受付けている。
https://edpb.europa.eu/news/news/2020/european-data-protection-board-41st-plenary-session-edpb-adopts-recommendations_en
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries

2020年11月13日 ENISA、鉄道サイバーセキュリティレポートを公開
欧州ネットワーク・情報セキュリティ機関（ENISA）は、EU加盟国のサイバーセキュリティ対策実施レベルを調査したレポートを公開した。本レポートでは、各国の鉄道事業者のセキュリティ取組状況の統計データなどがまとめられており、欧州鉄道管理システム（ERTMS）についての重要な考慮事項や推奨事項が記載されている。また、2020年に英国、スウェーデン、スペインで発生したインシデントを含め、過去に欧州の鉄道事業者で発生したインシデントが整理されており、重要インフラ事業者にとって参考になる情報が含まれている。
https://www.enisa.europa.eu/publications/railway-cybersecurity

2020年11月13日 英国NCSC、AIセキュリティ活用におけるガイダンスを再掲
英国の国家サイバーセキュリティセンター（NCSC）は、AI需要の高まりを受けて昨年作成されたAIセキュリティのガイダンスを再度周知している。本ガイダンスは、セキュリティ領域のみならず、AI技術の実装を検討中の企業を広く支援することが可能な構成となっており、AIの定義と長所短所に始まり、原則をベースとした4つのセクションによって構成されている（1. AIニーズの明確化 2. データ利活用に係る分析 3. 運用時の必要技術・リソースの把握 4. AIツール利用が与える影響の分析）。
https://www.ncsc.gov.uk/collection/intelligent-security-tools
https://www.ncsc.gov.uk/blog-post/intelligent-security-tools-are-they-a-smart-choice-for-you

（参考情報）
2020年11月5日 経済産業省、IoTセキュリティ・セーフティ・フレームワーク（IoT-SSF）を公開
https://www.meti.go.jp/press/2020/11/20201105003/20201105003.html

2020年11月10日 セキュア IoT プラットフォーム協議会、IoTセキュリティ手引書 Ver1.0を公開
https://www.secureiotplatform.org/release/2020-11-10

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
11月2日 Ping Identity社がAPIデータセキュリティを提供するSymphonic Softwareを買収
11月3日 インテルがAI技術を活用したプラットフォーム最適化技術を持つSigOpt社を買収
11月5日 Hexagon AB社が産業システムのセキュリティ管理ソフトなどを提供するPAS Global社を買収
11月5日 ACRE社がビデオ監視のセキュリティ技術を持つRazberi Technologies社を買収
11月10日 Zix社がバックアップサービスを提供するイスラエルのCloudAlly社を買収
11月11日 バラクーダネットワークス社がセキュアアクセスを提供するFyde社を買収
11月12日 ManTech International社がサイバーセキュリティ企業のMinerva Engineering社を買収
11月12日 パロアルトネットワークス社がモニタリングサービスを提供するExpanse社を買収予定