----------------------------------------------------------------------
米国証券取引委員会（SEC）、サイバーセキュリティ・リスク管理の不備で初の制裁金を科す（6/29配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国証券取引委員会（SEC）、サイバーセキュリティ・リスク管理の不備で初の制裁金を科す
・米国司法省、「Kelihos」マルウェアをウィルス対策ソフトの検知から回避するサービスを提供したとして、ロシア人へ有罪判決を下す
・米国コロラド州、消費者データのプライバシー法案を可決
・オーストラリア議会、ランサムウェアの身代金支払い報告の義務付けを検討
・欧州データ保護委員会（EDPB）と欧州データ保護監督官（EDPS）、公共の場で人の特徴を自動認識するAIなどの使用禁止を要請
・米国NIST、「AIの偏りに関するリスク低減アプローチ（NIST SP1270）」の提案と意見募集
・ENISA、共同サイバーユニットの提案を歓迎

----------------------------------------------------------------------
【2】海外政策動向一覧（2021年6月15日～2021年6月25日）
----------------------------------------------------------------------
2021年6月15日 米国証券取引委員会（SEC）、サイバーセキュリティ・リスク管理の不備で初の制裁金を科す
SECは不動産決済サービス会社のファースト・アメリカン・ファイナンシャル・コーポレーション（FAFC）に対して、取引所法違反による停止命令と、約5400万円（487,616米ドル）の支払いを命じた。サイバーセキュリティの脆弱性を原因とする初の制裁金となる。2019年5月24日にFAFCは、文書共有アプリの脆弱性が原因で社会保障番号や財務情報など機密性の高い個人データを含む顧客の画像8億枚以上を流出した。同社が公開する報告書の内容とは異なり、同社のセキュリティ担当者が事件の数ヶ月前に脆弱性を発見していたものの当該脆弱性は修正されず、また、上級役員にもこの事実が通知されていなかった。
https://www.sec.gov/news/press-release/2021-102?utm_medium=email&utm_source=govdelivery
https://www.sec.gov/litigation/admin/2021/34-92176.pdf

2021年6月16日 米国司法省、「Kelihos」マルウェアをウィルス対策ソフトの検知から回避するサービスを提供したとして、ロシア人へ有罪判決を下す
米国司法省は、ウイルス対策ソフトウェアの検知から「Kelihos」マルウェアを回避するために使用される暗号サービスを運営、提供したとしてロシア人に有罪判決を下した。このCrypt4Uと呼ばれるサービスは、攻撃者が米国企業の防御を回避し、サイバー攻撃を行うのを助ける役割をしたとされる。このロシア人は、ウェブサイト「crypt4u[.]com」、「fud[.]bz」を運営しており、マルウェアをアンチウイルスソフトウェアからバイパスするために設計された暗号化サービスを提供していたとのこと。「Kelihos」マルウェアは、迷惑メールの送信、アカウント資格情報の収集、サービス拒否攻撃の実行、ランサムウェアやその他のマルウェアの配布に使用されていたとされる。
https://www.justice.gov/usao-ct/pr/russian-national-convicted-charges-relating-kelihos-botnet

2021年6月16日 米国コロラド州、消費者データのプライバシー法案を可決
米国コロラド州は、消費者の個人情報を保護するための新しいデータプライバシー法案を可決した。この法律は2023年7月1日に発効する予定であり、現在は州知事の署名を待っている状態である。カリフォルニア州とバージニア州に次ぐ、プライバシー法を採用する3番目の州となる予定であり、この法律によって、コロラド州に居住する消費者は、個人データに対する以下の重要な権利を有することになる。
・個人データへのアクセス、コピーの取得、修正、削除の権利
・個人データの販売をオプトアウトする権利
・ターゲットを絞った広告やプロファイリングの目的で個人データを処理する権利
https://www.jdsupra.com/legalnews/2021-colorado-privacy-act-passes-and-4993635/
https://coloradosun.com/2021/06/17/colorado-consumer-data-privacy-law/

2021年6月21日 オーストラリア議会、ランサムウェアの身代金支払い報告の義務付けを検討
オーストラリア議会において、同国に拠点を置く組織がランサムウェア攻撃者に対して身代金の支払いを行う場合、オーストラリアのサイバーセキュリティセンター（ACSC）に報告することを義務付ける法案が提出された。このランサムウェアの身代金支払いに関する法案は、8月に下院で討論される予定である。身代金の支払い通知の義務は、米国のThe Institute for Security and Technology（IST）の「Ransomware Task Force（RTF）」にも含まれている。
https://www.bankinfosecurity.co.uk/australia-considers-mandating-ransom-payment-reporting-a-16926

2021年6月21日 欧州データ保護委員会（EDPB）と欧州データ保護監督官（EDPS）、公共の場で人の特徴を自動認識するAIなどの使用禁止を要請
EDPBとEDPSは、遠隔生体認証がもたらすリスクが極めて高いことを懸念し、いかなる状況においてもAIが公共空間で顔・歩行・指紋・DNA・音声・キーストローク・その他の生体・行動信号を使って人間を自動認識することは禁止するように要請した。また、欧州連合基本権憲章第21条（差別の禁止）に基づき、生体認証を使用するAIシステムが、民族・性別・政治的または性的指向などにより個人をクラスター分類することや、（一部の健康目的といった非常に限定された場合を除き）個人の感情推測や社会的スコアリングのためにAIを使用することは禁止されるべきであるという考えを示した。
https://edpb.europa.eu/news/news/2021/edpb-edps-call-ban-use-ai-automated-recognition-human-features-publicly-accessible_en

2021年6月21日 米国NIST、「AIの偏りに関するリスク低減アプローチ（NIST SP1270）」の提案と意見募集
NISTは「AIの偏りに関するリスク低減アプローチ（NIST SP1270）」の意見募集をする。期限は2021年8月5日まで。NISTによる文献調査からは、AIの目的や人々がAIを使用する背景の相違によって、AIシステム開発のあらゆる段階で偏りが生じるリスクがあることが明らかになった。こうした偏りが人々の生活や、AIに対する社会的信頼への損失といった悪質な影響を及ぼすことを懸念してNISTが提案するアプローチは、最初のAI構想から設計、リリースに至るまでのシステム開発のライフサイクルのさまざまな段階で発生し得る偏りを特定して意識的に管理するという取り組み。
https://www.nist.gov/news-events/news/2021/06/nist-proposes-approach-reducing-risk-bias-artificial-intelligence

2021年6月23日 ENISA、共同サイバーユニットの提案を歓迎
欧州ネットワーク情報セキュリティ庁（ENISA）は、大規模なサイバーインシデントや危機に対するEUの協調対応を確保するためのプラットフォームとして機能する新しい共同サイバーユニットを立ち上げる欧州委員会の提案を歓迎している。ENISAが共同サイバーユニットの構築を支援することは、サイバーセキュリティ法に定められた規定の強化として行われ、欧州連合（EU）内のより高い共通レベルのサイバーセキュリティを達成するための重要なステップであると述べている。共同サイバーユニットは、安全なデジタル経済と社会に貢献するためのEUサイバーセキュリティ戦略とEU安全保障連合戦略の具体的な成果物と考えられ、協力を促進し、既存のネットワークが最大限の活用されるよう、多くのサイバーセキュリティコミュニティを接続することを目的としている。
https://www.enisa.europa.eu/news/enisa-news/eu-boost-against-cyberattacks-eu-agency-for-cybersecurity-welcomes-proposal-for-the-joint-cyber-unit
https://digital-strategy.ec.europa.eu/en/policies/joint-cyber-unit

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
6月1日 米国コロラド州のセキュリティ企業Coalfireが米国サンアントニオを拠点とするDenimグループを買収
6月2日 米国MicrosoftがファームウェアセキュリティのReFirm Lab社を買収
6月2日 FireEyeの製品事業をSymphony Technology Group（STG）が率いるコンソーシアムに売却
6月3日 機械学習を活用したサイバーセキュリティ企業SentinelOneがニューヨーク証券取引所へ上場予定【IPO情報】
6月7日 Deloitte & Touche LLPがクラウドセキュリティ管理のCloudQuest, Inc.を買収
6月8日 ベインキャピタルとクロスポイントキャピタルがネットワーク検出とIRのExtraHopを買収
6月14日 アクセンチュアがコンサルティングサービスなどを提供するドイツのumlaut社を買収
6月15日 サイバーセキュリティ管理サービスを提供するCerberus SentinelがGround Control ITを買収
6月15日 プラットフォームセキュリティベンダーのForcepointが脅威除去プラットフォームのDeep Secureを買収
6月15日 Deloitte & Touche LLPがデジタルリスク保護を提供するTerbium Labsを買収
6月22日 認証プラットフォームを提供するPingIdentityがボット検出会社SecuredTouchを買収
6月22日 MDRサービスを提供するPonduranceがBearing Cybersecurityを買収
6月24日 VISAがオープンバンキングプラットフォームであるTinkを買収