----------------------------------------------------------------------
米国下院でソフトウェアサプライチェーンリスク管理を強化する法案が可決（10/26配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISA・FBI・EPA・NSA、米国の上下水道システム設備に対するサイバー脅威への共同アドバイザリを発表
・米国の金融犯罪執行機関がランサムウェア調査報告書を公開　2021年上半期の被害は約670億円
・EU国家通信当局、アテネでセキュリティ専門家を集めた会合を開催
・米国CISA・FBI・NSA、BlackMatterランサムウェアに関する共同アドバイザリを発表
・金融安定理事会、サイバーインシデント報告に関する報告書を公表
・米国下院でソフトウェアサプライチェーンリスク管理を強化する法案が可決
・米国消費者金融保護局、ビッグテック6社に対して決済サービスの消費者データ処理について報告を命令
・DENSO、自動車・IoTセキュリティ企業Dellferに対して私募ファンドのOption3と共同出資
・AWSセキュリティロードショー（無料オンラインイベント）情報の共有

----------------------------------------------------------------------
【2】海外政策動向一覧（2021年10月14日～2021年10月22日）
----------------------------------------------------------------------
2021年10月14日 米国CISA・FBI・EPA・NSA、米国の上下水道システム設備に対するサイバー脅威への共同アドバイザリを発表
米国サイバーセキュリティ・インフラセキュリティ庁（CISA）・連邦捜査局（FBI）・環境保護庁（EPA）・国家安全保障局（NSA）は、米国の上下水道システム（WWS）セクターに対して進行中のサイバー脅威に対する共同アドバイザリを発表した。
対象のサイバー脅威には、ランサムウェア攻撃などが含まれており、生活排水を浄水するWWS施設管理システムの安定稼働を脅かすものであるとしている。
このアドバイザリでは、WWSセクターの施設のレジリエンス向上とセキュリティの実践を支援するための対策案や関連資料が提供されている。
https://us-cert.cisa.gov/ncas/current-activity/2021/10/14/ongoing-cyber-threats-us-water-and-wastewater-systems-sector
https://us-cert.cisa.gov/ncas/alerts/aa21-287a

2021年10月15日 米国の金融犯罪執行機関がランサムウェア調査報告書を公開　2021年上半期の被害は約670億円
米国財務省配下の金融犯罪執行機関FinCENは、ランサムウェアに関連する事例と傾向をまとめた調査報告書を公開した。
本報告書は2020年のマネーロンダリング防止法に基づいて発行されたもので、2021年1月から2021年6月の銀行機密保護法報告書内でランサムウェア動向に関する財務傾向分析がまとめられている。
報告内容によると、2021年上半期のランサムウェア関連被害額は約670億円（5億9,000万米ドル）であり、これは2020年通期の総額約470億円（4億1,600万米ドル）を既に上回っている。
https://www.fincen.gov/news/news-releases/fincen-issues-report-ransomware-trends-bank-secrecy-act-data
https://www.fincen.gov/sites/default/files/2021-10/Financial%20Trend%20Analysis_Ransomware%20508%20FINAL.pdf

2021年10月18日 EU国家通信当局、アテネでセキュリティ専門家を集めた会合を開催
欧州連合（EU）各国の通信当局は、通信セキュリティを所管するECASECの第35回会合をギリシャのアテネで開催した。
会合には、合計250人以上の通信セキュリティ専門家が現地アテネとオンラインの両方から参加した。議題は、電子通信の枠組みにおけるEUと欧州各国の立法、サイバー脅威対応のグッドプラクティス、新しい技術への取り組みなどであった。
この他に、EUの各サイバーセキュリティ機関による「第1回通信セキュリティフォーラム」や、欧州連合サイバーセキュリティ機関（ENISA）とEuropol欧州サイバー犯罪センター（EC3）による「CSIRTと法執行機関のための第10回年次ワークショップ」などが同時に開催された。
https://www.enisa.europa.eu/news/enisa-news/eu-national-telecom-authorities-analyse-security-supervision-latest-security-threats
https://www.enisa.europa.eu/news/csirt-law-enforcement-cooperation-workshop-10-years-of-joint-efforts-against-cybercrime
https://www.europol.europa.eu/newsroom/news/csirt-%E2%80%93-law-enforcement-cooperation-workshop

2021年10月18日 米国CISA・FBI・NSA、BlackMatterランサムウェアに関する共同アドバイザリを発表
米国のセキュリティ関連当局CISA・FBI・NSAが、BlackMatterランサムウェアへの対応アドバイザリを共同発表した。
2021年7月以降、BlackMatterランサムウェアを使用するサイバー犯罪グループが、米国内の食農部門をはじめとする複数の重要インフラ事業者を狙った攻撃をしかけている。
今回のアドバイザリは、BlackMatterランサムウェアの戦術、技術、手順に関する情報を提供し、これらの脅威を防御・検出・対応するための緩和策を示している。
https://us-cert.cisa.gov/ncas/current-activity/2021/10/18/cisa-fbi-and-nsa-release-joint-cybersecurity-advisory-blackmatter
https://us-cert.cisa.gov/ncas/alerts/aa21-291a

2021年10月19日 金融安定理事会、サイバーインシデント報告に関する報告書を公表
金融安定理事会（FSB）は、サイバーインシデントの報告と対応に関する報告書「サイバー事象報告－既存のアプローチとより広い範囲での収斂に向けた今後のステップ」を公表した。
この報告書では、当局へのサイバーインシデント報告をグローバルに調和させることを念頭に、各国の規制監督対応を調査した結果が記載されている。
各国の規制対応に違いが見られる部分や当局間で情報を共有する際の課題とともに、国際的な調和へ向けた今後の取組みの方向性が示されている。
https://www.fsb.org/wp-content/uploads/R191021-1.pdf
https://www.fsa.go.jp/inter/fsf/20211021/20211021.html

2021年10月20日 米国下院でソフトウェアサプライチェーンリスク管理を強化する法案が可決
米国下院に提出された法案「2021年国土安全保障省ソフトウェアサプライチェーンリスク管理法案（DHS Software Supply Chain Risk Management Act of 2021）」が可決された。
この法案は、バイデン大統領が今年5月に発表した連邦政府のサイバーセキュリティを強化する大統領令（E.O. 14208）に基づいており、SolarWinds事案のようなインシデントの再発を防ぐ狙いがある。
法案が成立した場合、DHSの契約業者は、納品しようとするソフトウェアのコンポーネントを一覧化したソフトウェア部品表（SBOM）や、既知の脆弱性への対応の証明、新規の脆弱性への対応・修復の計画などの提出が義務付けられる。
https://ritchietorres.house.gov/media/press-releases/rep-torres-software-dhs-supply-chain-risk-management-act-2021-passes-us-house
https://www.congress.gov/bill/117th-congress/house-bill/4611

2021年10月21日 米国消費者金融保護局、ビッグテック6社に対して決済サービスの消費者データ処理について報告を命令
米国消費者金融保護局（CFPB）は、決済サービスを提供する大手6社（Google、Apple、Facebook、Amazon、Square、PayPal）に、自社サービスを利用する消費者のデータをどのように扱っているか報告するよう命じた。
この命令は米国消費者金融保護法第1022条(c)(4)に基づくもので、CFPBには消費者のリスクを監視するために情報提供を命じ、公共の利益にかなう場合に集計結果を公表する法的権限がある。
報告内容には、決済プラットフォームが消費者の財務データを地理的位置情報やネット閲覧データと組み合わせているか、第三者へのデータ売却の有無、消費者保護のメカニズムなどへの質問への回答と、自社システムの事業計画や実務に関する情報提供が含まれる。同局は今後AlipayとWeChat Payなどの中国の大手ハイテク企業の決済システムの実態についても調査を行う予定であるとしている。
https://www.consumerfinance.gov/about-us/newsroom/cfpb-orders-tech-giants-to-turn-over-information-on-their-payment-system-plans/
https://files.consumerfinance.gov/f/documents/cfpb_section-1022_directors-statement_2021-10.pdf

----------------------------------------------------------------------
【3】今月のM&A/IPO情報詳細
----------------------------------------------------------------------
10月4日　One Identity、アイデンティティアクセス管理（IAM）製品市場トップのOneLoginを買収
10月5日　サイバー保険等を扱うCoalition、サイバー保険市場を拡大するためAttuneを買収
10月5日　ブラジルの資産運用会社Patria Investments、セキュリティ企業のNeosecureとProteusを買収
10月6日　11:11 Systems、米国最大のクラウドIaaSプロバイダーの一社Green Cloud Defenseを買収
10月12日　欧州規模のDX企業Sopra Steriaがフランスのサイバーセキュリティ企業EVAグループを買収
10月12日　PaloAltoがNY株式市場からNASDAQへの市場変更を公表、10月25日からNASDAQでの取引を開始
10月13日　カナダのHerjavecグループが、北米でID・特権管理サービスを提供するSEGMENTECH社を買収
10月18日　Keysight Technologies、5Gとセキュリティを強化するためScalable NetworkTechnologiesを買収
10月19日　DENSO、自動車・IoTセキュリティ企業Dellferに対して私募ファンドのOption3と共同出資
10月19日　米国拠点のソフトウェア企業ヘルプシステムズが脅威インテリジェンスのPhishLabsを買収
10月21日　セキュリティ教育サービスを提供するKnowBe4、SecurityAdvisor社を買収
10月21日　保険会社HSB、Zeguroの中小企業向けセキュリティデジタルプラットフォームを買収