----------------------------------------------------------------------
米国、電力インフラのサイバーセキュリティ向上のための100日プランを開始（4/27配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国国家情報会議が2040年のトレンド予測でプライバシーの消失を予測
・米国FedRAMP、インシデント発生時のコミュニケーション手順書を公表
・英NCSCなど、Pulse Connect Secureのゼロデイ脆弱性に関する注意喚起を実施
・米国、電力インフラのサイバーセキュリティ向上のための100日プランを開始
・米国下院、サイバー外交法を可決
・欧州委員会、初の人工知能（AI）法規制案を公開
・FBI、サイバー犯罪者が個人情報を目的として偽の求人情報を使用していると警告
・仏ATOS、3社を立て続けに買収

----------------------------------------------------------------------
【2】海外政策動向一覧（2021年3月～2021年4月23日）
----------------------------------------------------------------------
2021年3月末 米国国家情報会議が2040年のトレンド予測でプライバシーの消失を予測
米国国家情報会議（DNI）が「GLOBAL TRENDS 2040」を3月に公開した。未来に備えるためにDNIから4年ごとに発行される予測で、以下のような未来像が示唆されている。
- アプリにアクセスするために、個人はより多くの個人情報を共有する必要がある
- 何千億の接続されたデバイスにより個人・組織・政府の脆弱性が増加する
- 地理的な境界線に基づいたサイバーセキュリティの施行は意味をなさなくなる
- プライバシーや匿名性は、選択的または政府の強制によって事実上消滅する
- 犯罪は特にデジタル監視により減少する一方で、新しい形態の差別が発生する
- 政府は法律を施行して安全を確保するために、データを利用して国民を監視／支配する
https://www.dni.gov/index.php/global-trends-home

2021年4月15日 米国FedRAMP、インシデント発生時のコミュニケーション手順書を公表
インシデント発生時に各関係者に対してタイムリーで明確なコミュニケーションをとることはFedRAMP認定サービスの継続的監視フェーズの重要な側面であるとして、この手順書では、FedRAMPの各関係者の役割と責任、およびセキュリティ・インシデントに関する情報を報告するための適切な時間枠について、段階的なガイダンスを提供している。また、インシデント計画の際に適応を受ける法令法規や、ガイドラインについて明記がされているほか一連の措置の一環として、CISA緊急指令への対応が含まれている。
https://www.fedramp.gov/2021-04-15-Incident-Communications-Procedures/

2021年4月20日 英NCSCなど、Pulse Connect Secureのゼロデイ脆弱性に関する注意喚起を実施
英国サイバーセキュリティーセンター（NCSC）は、Pulse Connect Secure（PCS）のリモートコード実行のゼロデイ脆弱性（CVE-2021-22893）に関して注意喚起を実施した。米国国土安全保障省（DHS）傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）も本脆弱性に対して、緊急指令（ED）21-03およびアラートAA21-110Aを発行した。FireEyeによると、APT攻撃者が脆弱性を悪用しているとのこと。修正パッチは、2021年5月上旬に公開される予定となっている。
https://www.ncsc.gov.uk/news/advice-on-pulse-connect-secure-rce-vulnerability
https://us-cert.cisa.gov/ncas/current-activity/2021/04/20/cisa-issues-emergency-directive-pulse-connect-secure

2021年4月20日 米国、電力インフラのサイバーセキュリティ向上のための100日プランを開始
米国エネルギー省（DOE）は、電力インフラのサイバーセキュリティ向上のための100日プランを開始したと発表した。DOEが主導し、電力業界との官民協力で技術向上を図る。このプランでは、「産業用制御システム（ICS）や運用技術（OT）ネットワークにおけるリアルタイムの状況認識や対応能力の展開、体制の強化などが含まれる。
https://www.energy.gov/articles/biden-administration-takes-bold-action-protect-electricity-operations-increasing-cyber-0

2021年4月20日 米国下院、サイバー外交法を可決
米国下院は、国務省に国際サイバースペース政策局の設置を義務付ける法案「サイバー外交法（Cyber Diplomacy Act）」を可決した。この法案では、サイバー外交大使の役割、国務長官に助言するために国際サイバースペース政策局の役割を定義している。この局では、サイバー空間での責任ある行動規範や米国の戦略を策定する業務を担う予定。
https://www.congress.gov/bill/117th-congress/house-bill/1251/text

2021年4月21日 欧州委員会、初の人工知能（AI）法規制案を公開
欧州委員会はEUレベルでのAI法規制と調整計画により、基本的権利・安全の保証およびAI開発における欧州の主導的地位強化をめざす。全世界の年間売上高の6％の罰金が示唆されている（第71条）ほか、リスクの高いAIシステムを管理するための規則や禁止事項が盛り込まれている。例えば人々の安全・生活・権利に対する明らかな脅威とみなされるAIシステムは受け入れられないリスクとなる。
なお、4月19日には米国FTCからも、3つの連邦法によるAI利用規制の注意喚起があった。北米や欧州の一部では、AI顔認識ソフト「Clearview AI」がSNSを無許可でスクレイピングして30億人以上の顔写真を収集した行為に対して違法と判断されている。
https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-european-approach-artificial-intelligence
https://ec.europa.eu/commission/presscorner/detail/en/ip_21_1682
https://www.ftc.gov/news-events/blogs/business-blog/2021/04/aiming-truth-fairness-equity-your-companys-use-ai?mkt_tok=MTM4LUVaTS0wNDIAAAF8j1sScNKeVcygtKR9smtijrRoNY3RDC6O9LZBr6T2C8KIsP61csYm_pu7d2UXLe-afNd6aQwLe0cox3NUOAZDJQVs1-HGqiouBRHn7iufYpWu

2021年4月21日 FBI、サイバー犯罪者が個人情報を目的として偽の求人情報を使用していると警告
米国連邦捜査局（FBI）は、サイバー犯罪者が個人情報を目的として偽の求人情報を使用していると警告を出した。攻撃者は、会社のウェブサイトを偽装し、オンライン求人掲示板に偽の求人を投稿することで、銀行口座やPIIなどの個人情報の搾取を目的として活動しているとのこと。FBIのインターネット犯罪苦情センター（IC3）によると、2020年には雇用詐欺の被害者が16,012人であり、合計で5,900万米ドル以上の損失が発生したと報告されている。
https://www.fbi.gov/contact-us/field-offices/elpaso/news/press-releases/fbi-warns-cyber-criminals-are-using-fake-job-listings-to-target-applicants-personally-identifiable-information

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
4月1日 デジタルサービス企業Wipro社がDevOpsサービスを提供する豪企業を117百万米ドル（約13億円）で買収
4月1日 カナダ企業Plurilockが、Auroraシステムコンサルティングを買収、生体認証技術の強化を目指す
4月6日 通信セキュリティ企業のAddSecure社がTelia Finland社の遠隔管理ソリューションであるAlerta事業を買収
4月6日 英国を拠点とするLogicalis社がサイバーセキュリティと規制コンプライアンスを専門とするAudeaを買収
4月7日 Information Analysis Incorporated社がサイバーセキュリティ、クラウド、データ分析サービスを提供するTellengerを買収
4月8日 StrikeForce Technologies社がサイバーセキュリティ事業を展開するCybersecurity Risk Solutions LLCを買収
4月8日 McNallyキャピタルがサイバーインテリジェンス、トレーニングサービス企業のOrbisオペレーションを買収
4月12日 Microsoft、ヘルスケア業界向けクラウド戦略を推進のためにクラウドと AI ソフトウェア企業であるNUANCEを買収
4月13日 1Passwordが企業秘密管理のSecretHubを買収
4月15日 Zscaler社がクラウドのアクセス権を管理するスタートアップTrustdome社を買収
4月15日 ドイツのサイバーセキュリティ企業CYAN AGがエクアドルの保険企業Seguros Equinoccialを買収
4月20日 仏ATOS、3社を立て続けに買収
- ドイツに拠点を置くデジタルアイデンティティ保護の暗号製品とソリューションを提供するcv cryptovision GmbH
- イギリスに拠点を置くAIビデオ分析ソフトウェアプロバイダーであるIpsotek
- カナダに拠点を置く製品ライフサイクル管理(PLM)システムインテグレーターであるProcessiaを買収
4月21日 Rapid7、デジタルフォレンジックとインシデント対応のオープンソースプロジェクトであるVelociraptorを買収