----------------------------------------------------------------------
米国NIST、サイバーセキュリティフレームワークの更新などに関する意見募集（3/1配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・オマーン政府、データ保護法を承認　翌年2月9日から施行
・米国CISA、他国からの影響力操作への準備と緩和策に関するインサイトを公開
・米国NIST、サイバーセキュリティフレームワークの更新などに関する意見募集
・欧州委員会、個人データ以外のデータ利用を規制する「データ法」の草案を発表
・欧州ENISA、CSIRT成熟度フレームワークの更新版を発行
・米国DHS、ICTサプライチェーンの評価に関する声明を発表

----------------------------------------------------------------------
【2】海外政策動向一覧（2022年2月9日～2022年2月25日）
----------------------------------------------------------------------
2022年2月9日 オマーン政府、データ保護法を承認　翌年2月9日から施行
オマーン政府は官報1429号にて同国データ保護法の承認を発表した。同法は2023年2月9日に施行される。運輸通信情報技術省が執行権限を持ち、施行規則の策定や実施も同省によって行われるものと定められている。
データ主体の権利は第3条に定められており、個人データの処理にはデータ主体の明示的な同意が必要であること、個人データの処理要求はデータ主体の書面による同意が必要であることなどが規定されている。データコントローラーとデータプロセッサーの義務は第4条に定められている。
罰則は第24条以降に記載されており、軽度の違反には2千オマーンリヤル（約60万円）以下の罰金、重度の違反には10万～50万オマーンリヤル（約3千万～1.5億円）の罰金が科せられる。
重度の違反の例としては第23条の越境データ規則への違反が挙げられている。第23条では、"個人データの管理者は、電子防衛センターの規約を害することのない範囲で、規則で定められた管理および手続きに従ってオマーンの国境を越えて個人データを転送することが許可される"と規定されている。
https://mjla.gov.om/legislation/decrees/details.aspx?Id=1397&type=L&mkt_tok=MTM4LUVaTS0wNDIAAAGCrSpn6EyY00otiIG2eUSZVlBCUmRj9wje_OD2YE5kxKk8sStBIpcbTUbAuWM_p-JtaOBjAGCpBDJCsfVHjd9pKjMYJ2yVwgJ8kI52lze47jkP
https://mjla.gov.om/Download.aspx?Path=royal/6-2022.pdf

2022年2月18日 米国CISA、他国からの影響力操作への準備と緩和策に関するインサイトを公開
米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、重要インフラを標的とする他国からの影響力操作への準備と緩和策に関するインサイトを公開した。
背景にある脅威として、攻撃者は誤情報・偽情報・悪意のリークなどの手段で世論を操作しており、社会の不安と分断が複数の重要インフラサービスに影響を与える可能性を挙げた。二極化の進展や世界的なパンデミックなどの社会的要因は、米国と同盟国の重要インフラに対する影響力操作のリスクと威力を高めているという認識を示している。
CISAは、すべての組織のリーダーに対し、インサイトを参照した対策の実践を推奨している。
具体的な対策内容としては「情報環境の評価」「脆弱性の特定・コミュニケーションチャネルの強化」「能動的なコミュニケーションへの関与」「インシデントレスポンス計画の策定」を挙げ、これらを包括したTRUST Modelを紹介している。
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/18/cisa-insights-foreign-influence-operations-targeting-critical
https://www.cisa.gov/sites/default/files/publications/cisa_insight_mitigating_foreign_influence_508.pdf

2022年2月22日 米国NIST、サイバーセキュリティフレームワークの更新などに関する意見募集
米国国立標準技術研究所（NIST）は、サイバーセキュリティフレームワーク（CSF）の更新とサプライチェーンガイダンスに関する意見募集を開始した。
CSFは2014年に初版が発表され、2018年に更新された。今回は2022年に予定されている2度目の更新に先だって、改善のための意見を広く募るもの。
NISTは、CSFとその他のNISTガイダンス（プライバシーフレームワーク、セキュアなソフトウェア開発フレームワーク、リスク管理フレームワークなど）や広く利用されているNIST以外のリソースとの整合性を高める方法を模索しているという。
また先日開始されたサプライチェーンのサイバーセキュリティを強化する国家イニシアチブ（NIICS）に基づき、サプライチェーンセキュリティリスク専用のフレームワークを策定する必要性について意見を求めている。
意見の提出期限は2022年4月25日で、提出された意見はNISTのウェブサイトなどに掲載される予定。具体的な質問事項は次の3点である。
1. CSFのコンテンツ変更のための参考意見：現在どのようにCSFを活用しているか。改善すべき部分や追加すべき要素は何かなど。
2. CSFと他のリソースとの関係および整合性：NISTが発行するその他のリスク管理フレームワークとの統合をどう進めるべきか。NIST以外が発行する文書との整合性をどう高めるか。より効果的な連携の方法についての考えなど。
3. サプライチェーンのサイバーセキュリティを向上させる方法：組織がサプライチェーンセキュリティリスク管理のために現在使用している標準やガイドラインは何か。サプライチェーンセキュリティリスク管理のために専用のフレームワークは必要かなど。
https://www.nist.gov/news-events/news/2022/02/nist-seeks-input-update-cybersecurity-framework-supply-chain-guidance
https://www.nist.gov/cyberframework/request-information-about-evaluating-and-improving-cybersecurity-resources

2022年2月23日 欧州委員会、個人データ以外のデータ利用を規制する「データ法」の草案を発表
欧州委員会は、「2030年デジタル目標」において重要な役割を担う「データ法」の草案を発表した。消費者と企業が自身のデータをどう扱うかに関して、より多くの管理権を与えるとともに、誰がどのような条件でデータにアクセスできるかを明確にする。施行日は規則が正式に発効する日から12ヶ月後とされている。
各条文の案は、データの共有、公的機関によるアクセスの条件、国際的なデータ転送、クラウドサービスの切替、相互運用性などについての規制内容が示されている。
規制内容の具体的な例としては「コネクテッドデバイスのメーカーが独占的に取得しているデータへのユーザーからのアクセスを許可し、こうしたデータを第三者と共有することでアフターマーケットなどのサービスにも使用できるようにすること」「不公正な契約条件から中小企業を保護すること。また、公正なデータ共有契約にむけたモデル契約条件を欧州委員会が開発すること」「公共の緊急事態やデータが独占状態にある場合において、公共機関が法的な命令に基づいて民間保有するデータにアクセスして使用することを可能にする」などが挙げられる。
また、第33条に規定された罰則の案文では、第2条（データ共有）、第3条（データを利用可能にする義務）、第5条（公共機関へのデータ提供）に定められた義務に違反する行為に対して、GDPR第83条の規定と同様「2千万ユーロ以下 もしくは事業者の場合前会計年度の全世界の年間総売上高の4％以下 のいずれか高い方」を上限に監督官庁が罰金を科すことが出来るとされている。
https://ec.europa.eu/commission/presscorner/detail/en/ip_22_1113
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0767

2022年2月23日 欧州ENISA、CSIRT成熟度フレームワークの更新版を発行
欧州連合サイバーセキュリティ庁（ENISA）は、国家CSIRTの能力を向上させる目的で2019年に開発された「CSIRT成熟度フレームワーク」の新しいバージョンを発行した。
本フレームワークは、欧州CSIRTネットワークのメンバーが自組織の成熟度を理解し、インシデント管理能力を向上させるために使用することが想定されている。
今回発表された新バージョンは、NIS指令の改定によってCSIRTに求められる事項の変化を考慮に入れた強化が行われている。「公共メディアポリシー」という尺度が追加され、その他44の尺度を対象に、オープンCSIRT財団のSIM3モデルに対応した見直しが行われた。
https://www.enisa.europa.eu/news/enisa-news/csirts-maturity-moving-to-the-next-level

2022年2月24日 米国DHS、ICTサプライチェーンの評価に関する声明を発表
米国国土安全保障省（DHS）は、情報通信技術（ICT）産業を支える重要なサプライチェーンの評価に関する声明を発表した。バイデン大統領が発令した「アメリカのサプライチェーンに関する大統領令（E.O.14017）」の一環として、ハードウェアおよびソフトウェア製品に関するサプライチェーンの現況を評価するプログラムが実施されていました。評価の対象となった課題やリスクは「ICT関連製造業の現状と関連課題」「ICTソフトウェアセクターの現状と関連リスク」「ICT産業の労働者の現状と関連リスク」「ICT産業基盤に影響を及ぼすサプライチェーンの横断的脆弱性」「ICT産業基盤サプライチェーンに対する外部リスク」などである。
評価の結果からはプリント基板（PCB）やディスプレイなど多くの製品の生産は、電子機器組立品とともに中国への集中が進んでいるが、光ファイバーケーブルなどの限られた製品については、未だ米国内の製造基盤を維持しているという傾向が明らかになったという。
また、ICTサプライチェーンが複雑化した結果、多くのOEMがファームウェア開発をサードパーティに委託しており、委託先の開発基準やセキュリティ基準の不透明さに起因するリスクが生じているという見解が示されている。ICT製造の外部委託は、米国内のICT産業における労働力低下の原因にもなっているという。
声明では、米国全土のICTサプライチェーンのレジリエンスを強化するためには、産業界の関係者、他国政府、国内外のパートナーと協力して、今回明らかになった課題へ対処するための措置が実施されることを期待すると述べられている。
https://www.dhs.gov/news/2022/02/23/joint-statement-secretaries-raimondo-and-mayorkas-assessment-critical-supply-chains
https://www.dhs.gov/sites/default/files/2022-02/ICT%20Supply%20Chain%20Report_0.pdf

----------------------------------------------------------------------
【3】2月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年2月1日　ForescoutがCyberMDXを買収　医療IoTの強化をめざす
2022年2月1日　Check Point、イスラエルのサイバーセキュリティ・スタートアップSpectralを買収
2022年2月1日　Xerox、カナダ大手ITサービスのPowerlandを買収　北米でのセキュリティサービスを強化
2022年2月3日　リモートデスクトップのKeeper Security、Glyptodonの買収でゼロトラストアクセスを強化
2022年2月9日　CyberCX、ニュージーランドでの事業拡大を目指しCyber Research NZを買収
2022年2月9日　米国HelpSystems、改ざん検知製品市場のリーダーTripwireを買収
2022年2月9日　カナダSSC、同国のAvanteを買収　カナダ最大のセキュリティ上場企業に
2022年2月23日　DarkTraceのCybersprint買収が合意、AIセキュリティの強化をめざす
2022年2月23日　Cloudflare、クラウドセキュリティのArea 1 Securityを買収
2022年2月24日　アイルランドのIntegrity360、英国のセキュリティサービス企業Caretowerを買収
2022年2月25日　Vodafone NZ、急成長のセキュリティ企業DEFENDの株式を60％取得