----------------------------------------------------------------------
世界経済フォーラム、サイバーリスクの取締役会ガバナンスの原則を公開（3/30配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国、FBIとCISAがマルウェア「TrickBot」に関して共同アドバイザリを発表
・米国法務省、犯罪を助長したとしてサイバー犯罪フォーラムの管理者2名に10年の実刑判決を通告
・世界経済フォーラム、サイバーリスクの取締役会ガバナンスの原則を公開
・中国CAC、「モバイルアプリの必要個人情報規定」を公布
・ENISA セキュリティインシデント報告の新たなガイドラインを発表
・SANS、2021年のセキュリティ啓発レポート「人間のサイバーリスクの管理」を公表
・IAPP、米国各州プライバシー法のオプトイン／オプトアウトまとめチャートを公表
・サイバーセキュリティトレーニングプラットフォーム提供企業のKnowBe4、IPOを実施し最大1億ドルを調達【IPO情報】

----------------------------------------------------------------------
【2】海外政策動向一覧（2021年3月17日～2021年3月26日）
----------------------------------------------------------------------
2021年3月17日 米国、FBIとCISAがマルウェア「TrickBot」に関して共同アドバイザリを発表
米国CISAとFBIは、交通違反の証明書を装ったフィッシングメールを使って被害者を誘い、マルウェア「TrickBot」をダウンロードさせる手口が使用されていることから、共同サイバーセキュリティ勧告を発表した。当局は「AA21-076A: TrickBot Malware」および「Fact Sheet: TrickBot Malware」を参照の上、具体的緩和策の策定と実施を推奨している。TrickBotは2016年に初めて確認されたトロイの木馬で、巧妙な手口を使用するサイバー犯罪者グループにより高度にモジュール化され運用開発されている。
https://us-cert.cisa.gov/ncas/current-activity/2021/03/17/cisa-fbi-joint-advisory-trickbot-malware-0
https://us-cert.gov/ncas/alerts/aa21-076a

2021年3月19日 米国法務省、犯罪を助長したとしてサイバー犯罪フォーラムの管理者2名に10年の実刑判決を通告
米国法務省は2名の外国籍者（ロシアおよびマケドニア）に対して、サイバー犯罪組織においてフォーラム管理者としての役割を果たしており、サイバー犯罪を助長したとして、10年の実刑判決を通告した。2名はそれぞれ異なる犯罪フォーラムの管理に関与しており、サイバー犯罪フォーラムの参加者や全アクセス権の付与の可否など、積極的に運営に関与していたと判断された。これらのフォーラムでは、盗まれた身分証明書、クレジットカードの侵害データ、マルウェア、詐欺関連の商品／サービスといった情報が大量に入手・販売されていた。
https://www.justice.gov/opa/pr/foreign-nationals-sentenced-roles-transnational-cybercrime-enterprise

2021年3月21日 世界経済フォーラム、サイバーリスクの取締役会ガバナンスの原則を公開
世界経済フォーラム（WEF）は、全米企業取締役協会やインターネット・セキュリティ・アライアンスと協力して、企業がサイバー攻撃に対してより強靭になるのを助けるために、サイバーリスクの取締役会ガバナンスの原則を作成した。この資料は、企業の取締役が組織のサイバーセキュリティ戦略を設定し、サイバーリスクの問題について利害関係者と関わりを持つ際の参考資料として作成されており、サイバーセキュリティ取締役会のガバナンスに関する以下6つのコンセンサスの原則が提供される。
1. サイバーセキュリティは戦略的なビジネスイネーブラー（成功要因）である
2. 経済的なドライバー（推進力）とサイバーセキュリティリスクの影響を理解する
3. サイバーリスク管理をビジネスニーズに合わせる
4. 組織設計がサイバーセキュリティをサポートしていることを確認する
5. サイバーセキュリティの専門家を取締役会のガバナンスに取り込む
6. 体系的なレジリエンスとコラボレーションを推奨する
https://www.weforum.org/press/2021/03/industry-leaders-create-first-unified-cybersecurity-guide-for-boards-of-directors
https://www.weforum.org/reports/principles-for-board-governance-of-cyber-risk

2021年3月22日 中国CAC、「モバイルアプリの必要個人情報規定」を公布
中国国務院（CAC）は、中国サイバーセキュリティ法に規定されるネットワーク運営者による個人情報の収集・使用する上での合法正、正当性、必要の原則に関し「モバイルアプリの必要個人情報規定」を公布した。
これにより、パッケージ化された機能／サービスに対して個人情報収集の同意を求め、ユーザーが同意しない場合はアプリの基本機能／サービスが利用できなくなるという問題の解決と個人情報の過剰収集活動の規制を目指す。39種類のアプリ（地図ナビゲーション、配車サービス、インスタントメッセージ、オンラインショッピングなど）について、必要な個人情報の範囲が明確にされた。
http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm
http://www.cac.gov.cn/2021-03/22/c_1617990996835955.htm

2021年3月22日 ENISA セキュリティインシデント報告の新たなガイドラインを発表
欧州ネットワーク情報セキュリティ庁（ENISA）は、国家通信セキュリティ当局によるセキュリティインシデントの報告を容易にするための新しいガイドラインを発表した。このガイドラインは、欧州電子通信コード（EECC）の第40条に基づく国境を越えた報告と年次要約報告の形式と手順について説明されており、セキュリティ当局がセキュリティインシデントをENISA、欧州委員会、その他のセキュリティ当局に報告する方法と時期に関する情報が含まれているとのこと。
https://www.enisa.europa.eu/news/enisa-news/when-how-to-report-security-incidents
https://www.enisa.europa.eu/publications/enisa-technical-guideline-on-incident-reporting-under-the-eecc

2021年3月23日 SANS、2021年のセキュリティ啓発レポート「人間のサイバーリスクの管理」を公表
サイバーセキュリティの研修などを行うSANS Instituteは、2021年のセキュリティ啓発レポート「人間のサイバーリスクの管理」を発表した。この年次報告書は、世界中から1,500人以上のセキュリティ啓発担当者のデータを分析し、組織が人間のリスクをどのように管理しているかをベンチマークすることで、セキュリティ専門家は、従業員の効果的な関与と人的リスクの管理を、データ主導型で決定することができるとのこと。
https://www.sans.org/security-awareness-training/sareport-2021

2021年3月23日 IAPP、米国各州プライバシー法のオプトイン／オプトアウトまとめチャートを公表
2021年までに提出された米国各州のプライバシー関連法（案）について、オプトインとオプトアウトの仕組みをまとめたチャートがIAPPにより発表された。このチャートでは、既に署名／施行された3種類の州法（カリフォルニア州消費者プライバシー法およびプライバシー権法、バージニア州消費者データ保護法）と、その他7州から提案されている法案の方式が比較されている。またチャートからは、15の州より公布（予定を含む）される20州法のうち、個人情報の販売については8割がオプトアウト方式が主流である一方で、州により年齢が異なる子どもの個人情報収集についてはオプトイン方式が主流であることがわかる。
https://iapp.org/media/pdf/resource_center/opt_in_vs_opt_out_state_privacy_bills_introduced_2021.pdf

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
3月2日 サイバーセキュリティ市場に集中した特別買収目的会社（SPAC）の米国企業NightDragonがIPOで300万米ドルを資金調達【IPO情報】
3月2日 PEファンドのTPGキャピタルが、PAMを始めとする認証セキュリティソリューション企業のThycoticを約1500億円で買収
3月2日 サイバーセキュリティリスク保険企業のQOMPLXが、特別買収目的会社（SPAC）の米国企業Tailwindと合併し、企業価値1500億円に
3月3日 カナダの先端技術企業Relay Medicalがトロントを拠点としたIoTサイバーセキュリティ企業Cybeats Technologiesを買収
3月4日 ID管理のOktaが競合のAuth0を約65億ドル（約7000億円）相当の株取引で買収する計画を発表
3月8日 ロンドンに拠点を置くサイバーセキュリティ企業Kape TechnologiesがイスラエルのIT企業Webseleneseを約1億5000万米ドルで買収
3月8日 ロンドンに拠点を置くSmith Micro Softwareが6600万米ドルでAvastのファミリーセーフティモバイル事業買収を発表
3月10日 米MSPプロバイダー Datto Holding Corpがイスラエルに拠点を置くサイバー脅威検出会社BitDamを買収
3月8日 米国McAfeeの法人向け事業、投資会社Symphony Technology Group（STG）への部門売却（約4350億円）を公表
3月15日 IronNet CybersecurityがLGL Systems Acquisition Corpと合併、NYSE上場【IPO情報】
3月15日 モバイルセキュリティのLookout社がSASE事業を展開するCipherCloud社を買収
3月15日 IAMのSailPointがGRCソリューションのERP Maestroを買収
3月16日 レコーデッド・フューチャーが脅威インテリジェンスを提供するGemini Advisoryを買収
3月17日 南アフリカのAcronis社がセキュリティソリューションを提供するSynapsys社を買収
3月18日 CrowdStrikeがログ解析のHumio社を買収
3月18日 リスク分析企業のQOMPLX社がサイバーセキュリティインテリジェンス企業であるHyperion Grayの買収を発表
3月18日 VMwareがクラウドネイティブアプリケーションセキュリティ向け企業であるMesh7の買収を発表
3月19日 サイバーセキュリティトレーニングプラットフォーム提供企業のKnowBe4、IPOを実施し最大1億ドルを調達【IPO情報】
3月22日 Fortinetがネットワークセキュリティのスタートアップ企業ShieldX社を買収