----------------------------------------------------------------------
ENISA、サイバーセキュリティ認証市場調査に関する報告書を公開（4/13配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国司法省、DeepDotWeb管理者が有罪を認めたことを公表
・米国FBIとCISA、Fortinet FortiOSのぜい弱性悪用に関する共同勧告を実施
・スペイン、個人データ保護局（AEPD）が2020年度報告書を公開
・米国CISA、SAPシステムを狙う悪質なサイバー攻撃に関する注意喚起
・中国国務院、「モバイルアプリ必要個人情報取得範囲規定」の図解説明を公開
・ENISA、病院のサイバーセキュリティ調達を支援するオンラインツールを公開
・ENISA、サイバーセキュリティ認証市場調査に関する報告書を公開

----------------------------------------------------------------------
【2】海外政策動向一覧（2021年3月31日～2021年4月9日）
----------------------------------------------------------------------
2021年3月31日 米国司法省、DeepDotWeb管理者が有罪を認めたことを公表
米司法省は、インターネットユーザーをダークネットマーケットプレイスと結び付けたウェブサイトDeepDotWeb（DDW）を運営していたとして、イスラエル国籍の人物が有罪を認めたことを公表した。DDWでは、ダークネットに関する一般的な情報を提供するだけでなく、従来の検索エンジンではアクセスできない違法なDarknetマーケットプレイスへの直接リンクをユーザーに提供されており、これらのリンクを提供するために、800万米ドル以上を含む仮想通貨をキックバックとして受け取っていたとされる。
https://www.justice.gov/opa/pr/deepdotweb-administrator-pleads-guilty-money-laundering-conspiracy

2021年4月2日 米国FBIとCISA、Fortinet FortiOSのぜい弱性悪用に関する共同勧告を実施
米連邦捜査局（FBI）と米国国土安全保障省（DHS）傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、APT攻撃グループが既知のFortinet FortiOS脆弱性（CVE-2018-13379、CVE-2020-12812、CVE-2019-5591）を積極的に悪用している可能性を警告する共同サイバーセキュリティアドバイザリー（CSA）を発表した。APT攻撃グループは、これらの脆弱性をスキャンして、複数の政府、ビジネス、およびテクノロジーサービスネットワークにアクセスしている可能性があると述べている。このグループは、これまでに脆弱性を悪用して、ランサムウェアやサイト改ざん、情報漏洩などのキャンペーンを実施してきたとのこと。
https://us-cert.cisa.gov/ncas/current-activity/2021/04/02/fbi-cisa-joint-advisory-exploitation-fortinet-fortios
https://www.ic3.gov/Media/News/2021/210402.pdf

2021年4月6日 スペイン、個人データ保護局（AEPD）が2020年度報告書を公開
AEPDは、2020年の活動やトレンドなどをまとめた報告書を公開した。2020年に優先チャネルに寄せられた358件の要求の内、49件が緊急として処理された。29件は同局による緊急介入が行われ、86％がコンテンツ撤回を実現した。制裁決議件数は393件（前年比16％増）で、経済制裁は172件。内訳は、ビデオ監視（24％）、インターネットサービス（19％）、行政（10％）などクレーム処理数は11,215件／年で、最も多く寄せられた苦情は、インターネットサービス（16％）、滞納ファイルへの不適切な挿入（15％）、ビデオ監視（12％）に関するものであった。
https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-publica-su-memoria-2020

2021年4月6日 米国CISA、SAPシステムを狙う悪質なサイバー攻撃に関する注意喚起
SAPシステムはERP、顧客管理、SCMといった企業の重要な業務プロセスを管理していることから、古い／誤った設定を実行しているSAPシステムは、アプリケーションの完全制御につながる悪意のある攻撃を受けるリスクが高い。こうした場合には機微情報の流出、不正、重大なプロセスの中段、ランサムウェアなどの脅威にさらされるとして、CISAは企業のSAPオペレータに対して、システムレビューの実行を注意喚起した。
https://us-cert.cisa.gov/ncas/current-activity/2021/04/06/malicious-cyber-activity-targeting-critical-sap-applications

2021年4月7日 中国国務院、「モバイルアプリ必要個人情報取得範囲規定」の図解説明を公開
中国国務院（CAC）は、今年5月1日より施行予定の「モバイルアプリ必要個人情報取得範囲規定」について、モバイルアプリの種類ごとに、どの程度が必要とされる個人情報であるかの要求を理解する図解を公開した。当該規定では、アプリの種類ごとに異なる要求が合計39種類定義されており、規定が施行されると、ユーザーが非本質的な個人情報の収集に同意しないことを理由に、こうしたアプリの基本的な機能の利用を運営者が拒否することができなくなる。
http://www.cac.gov.cn/2021-04/07/c_1619372898054768.htm

2021年4月7日 ENISA、病院のサイバーセキュリティ調達を支援するオンラインツールを公開
欧州ネットワーク情報セキュリティ庁（ENISA）は、2020年に公表したガイドライン（Procurement Guidelines for Cybersecurity in Hospitals ）の利用を容易にするため、製品やサービスを調達する際に医療部門を支援するオンラインツールを公開した。オンラインツールは、サイバーセキュリティの目標を達成するためにガイドラインを補完するものとして開発され、医療機関が調達した資産や関連する脅威などを迅速に特定するために活用できるとのこと。
https://www.enisa.europa.eu/news/enisa-news/procurement-guidelines-for-cybersecurity-in-hospitals-new-online-tool-for-a-customised-experience
https://www.enisa.europa.eu/topics/critical-information-infrastructures-and-services/health/good-practices-for-the-security-of-healthcare-services/

2021年4月9日 ENISA、サイバーセキュリティ認証市場調査に関する報告書を公開
欧州ネットワーク情報セキュリティ庁（ENISA）は、ICT製品、ICTサービス、およびICTのサイバーセキュリティ認証に関する市場分析を可能にする方法論に関する調査を実施した。EUサイバーセキュリティ認証フレームワークの主な目的の1つは、ICT製品、ICTサービス、およびICTプロセスにおける信頼とサイバーセキュリティの信頼性を高め、EUサイバーセキュリティ市場のニーズに対応することであり、この調査は、これらのニーズを特定、収集、分析、および理解するための一連の方法論的ステップを提供することを目的としている。
この調査で提案された手順は、以下4つの主要なセクションに分かれている。
１）市場分析のコンテキスト
２）分析対象の範囲の特定
３）サイバーセキュリティ認証の戦略の影響評価
４）利用可能なオプションと戦略の特定
https://www.enisa.europa.eu/publications/cybersecurity-certification-market-study/

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
4月1日 デジタルサービス企業Wipro社がDevOpsサービスを提供する豪企業を117百万米ドル（約13億円）で買収
4月1日 カナダ企業Plurilockが、Auroraシステムコンサルティングを買収、生体認証技術の強化を目指す
4月6日 通信セキュリティ企業のAddSecure社がTelia Finland社の遠隔管理ソリューションであるAlerta事業を買収
4月6日 英国を拠点とするLogicalis社がサイバーセキュリティと規制コンプライアンスを専門とするAudeaを買収
4月7日 Information Analysis Incorporated社がサイバーセキュリティ、クラウド、データ分析サービスを提供するTellengerを買収
4月8日 StrikeForce Technologies社がサイバーセキュリティ事業を展開するCybersecurity Risk Solutions LLCを買収