----------------------------------------------------------------------
CISAと米NPO、若年女性のサイバーセキュリティキャリア支援に向けて提携（10/5配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・マカオ個人情報保護局、中国本土の個人情報保護法遵守を要請
・米国商務省、IaaS事業者へユーザーの身元確認を義務付ける大統領令への意見募集を開始
・米国CISA、組織を内部犯行の脅威から保護するためのツールを公開
・米国CISAとNSA、リモートアクセスVPNの選択及び堅牢化のガイダンスを公開
・中国外交部、日本の次期サイバーセキュリティ戦略案の記載に反感
・CISAと米NPO、若年女性のサイバーセキュリティキャリア支援に向けて提携

----------------------------------------------------------------------
【2】海外政策動向一覧（2021年9月10日～2021年9月24日）
----------------------------------------------------------------------
2021年9月15日 マカオ個人情報保護局、中国本土の個人情報保護法遵守を要請
マカオ個人情報保護局は、マカオと中国本土の間には人・経済・貿易の頻繁な交流があることから、本土に関連する業務に携わるマカオの機関および個人は、中国個人情報保護法の遵守に細心の注意を払う必要があると通達した。中国本土の自然人に製品やサービスを提供する場合をはじめ、中国本土以外においても中国個人情報保護法が適用されることを強調した。
ただし、マカオの個人データ保護法（PDPA）と中国の個人情報保護法の原則は類似しており、組織や個人がPDPAを遵守していれば、本件に伴う困難や法的リスクは小さいはずであると注釈を加えている。
https://www.gpdp.gov.mo/uploadfile/mfile/0915%20press%20%20-CN-for%20web.pdf

2021年9月24日 米国商務省、IaaS事業者へユーザーの身元確認を義務付ける大統領令への意見募集を開始
米国商務省は、IaaS（Infrastructure-as-a-Service）を提供するクラウドサービス事業者に対し、特定のユーザの身元確認を義務付ける大統領令13984に対する意見募集を開始した。この大統領令はトランプ大統領が退任直前に署名したいくつかの大統領令の一つで、バイデン大統領によって複数が撤回されたが、本件については適用を前提とした検討が開始された形となる。
商務省の担当者は、規制の目的は海外で活動する米国の技術を狙うサイバー攻撃者を根絶する事だと述べており、連邦政府のネットワーク、特にソフトウェアサプライチェーンを保護するためのバイデン政権の取組みの一環に位置づけている。
https://www.databreachtoday.com/us-commerce-officials-seek-comment-on-iaas-executive-order-a-17626
https://public-inspection.federalregister.gov/2021-20430.pdf

2021年9月28日 米国CISA、組織を内部犯行の脅威から保護するためのツールを公開
米国国土安全保障省（DHS）傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、組織の内部犯行リスクを軽減するための自己評価ツールを公開した。ツールに用意された一連の質問へ回答することで、リスクとなる行動への評価とフィードバックを受け取ることができる。CISAは、官民問わず本ツールの利用者は、内部犯行の脅威を理解し、自組織に適した予防・緩和のためのプログラムを作成するために役立つと述べている。
https://www.cisa.gov/news/2021/09/28/cisa-releases-new-tool-help-organizations-guard-against-insider-threats

2021年9月28日 米国CISAとNSA、リモートアクセスVPNの選択及び堅牢化のガイダンスを公開
米国CISAと米国家安全保障局（NSA）は、仮想プライベートネットワーク（VPN）のサイバーセキュリティ対策をまとめた情報シートを連名で公開した。本ガイダンスには、リモートアクセスVPNを選択する際の考慮事項およびVPNを侵害から保護するための堅牢化対策が詳しく説明されている。
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/2791320/nsa-cisa-release-guidance-on-selecting-and-hardening-remote-access-vpns/
https://media.defense.gov/2021/Sep/28/2002863184/-1/-1/0/CSI_SELECTING-HARDENING-REMOTE-ACCESS-VPNS-20210928.PDF

2021年9月28日 中国外交部、日本の次期サイバーセキュリティ戦略案の記載に反感
日本政府が9月27日に公表し、今後3年間の方針を示した『次期サイバーセキュリティ戦略（案）』において初めて「中国・ロシア・北朝鮮は、サイバー能力の構築・増強を行い、情報窃取等を企図したサイバー攻撃を行っているとみられている」、「外交的手段や刑事訴追等の手段も含め、然るべく対応していく」と記したことをうけて、中国外交部は次の通りコメントした。「サイバーセキュリティの問題で日本は、中国にとっての『近隣諸国からの脅威』を悪意を以て誇張し、事実を無視して中国を理由なく中傷・攻撃している。何者かに焦点をずらすのに協力せよと指示をうけているのか。情報の窃盗・盗聴に手を染め、同盟国も手を焼いている世界最大の「ハッカー帝国」がどの国であるか、日本にとっても明瞭であるはずだ。日本が深く反省し、近親諸国との信頼を相互に高め、地域の安定と平和に貢献することを期待している。中国は、引き続き自国のサイバーセキュリティに必要な措置を講じ、サイバーセキュリティを政治的に利用する不正行為に断固として対応する。」なお、次期サイバーセキュリティ戦略は9月28日に閣議決定された。
http://new.fmprc.gov.cn/web/fyrbt_673021/t1910524.shtml

2021年9月30日 CISAと米NPO、若年女性のサイバーセキュリティキャリア支援に向けて提携
米国CISAは、同じく米国のNPOであるGIRLS WHO CODE（GWC）との間で、サイバーセキュリティとテクノロジーの分野で若年女性のキャリア形成を支援するためのパートナーシップ締結を発表した。このパートナーシップを通じて、若い女性、特に有色人種の若い女性が、企業・NPO・政府機関などでより多くの実務経験を得るための具体的キャリアパスを、雇用主と協力して構築する。CISAのジェン・イースタリー長官は、サイバーセキュリティ分野に存在するジェンダーギャップは世界的なサイバー人材不足の原因になっており、より多くの女性を次世代のサイバー人材として育成することを最優先事項のひとつと述べている。
https://www.cisa.gov/news/2021/09/30/cisa-and-girls-who-code-announce-partnership-create-career-pathways-young-women

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
9月4日　サイバーセキュリティプロバイダーのExclusive Networks、フランスでIPOを予定
9月9日　Mastarcard、暗号資産に関するインテリジェンス企業CipherTraceを買収、デジタル資産分野の強化を目指す
9月13日　Booz Allen、デジタルフォレンジックおよびインシデント対応（DFIR）企業であるTracepointを買収
9月13日　英国Kape Technologies、英領バージン諸島に拠点を置くExpressVPNの買収を発表
9月13日　Tenable、クラウドセキュリティスタートアップのAccuricsを買収
9月16日　BitSight、米Moody'sとの提携およびVisibleRisk買収を発表、格付けプラットフォーム構築へ
9月17日　PwC、オタワに拠点を置くサイバーセキュリティコンサルティング会社Avalerisを買収
9月23日　LGエレクトロニクス、イスラエルの自動車サイバーリスク評価のCybellum社を買収
9月29日　Akamai Technologies、イスラエルのGuardicoreを買収しゼロトラストソリューション強化
9月29日　米国BlueVoyant、ビッグデータソリューションのConcanonを買収、SOC強化をめざす
9月30日　MSPのArctic Wolf社がHabitu8を買収、セキュリティ意識向上コンテンツを強化