----------------------------------------------------------------------
米国証券取引委員会、サイバーセキュリティに関する情報開示を強化する規則改正を提案（3/15配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISA、法人向けモバイル端末のゼロトラストガイダンス草案を公表
・米国証券取引委員会、サイバーセキュリティに関する情報開示を強化する規則改正を提案
・米国ホワイトハウス、デジタル資産の責任ある開発を確保するための大統領令を承認
・中国外交部、自国の関与を疑われている標的型攻撃グループの活動にコメント
・米国司法省、Kaseyaへの攻撃など複数のランサムウェア事件に関わった男の逮捕を発表
・ユーロポール、AI利用に関する「説明責任フレームワーク構想」を発表
・Google、サイバーセキュリティ企業Mandiantを約54億ドルで買収する計画を発表

----------------------------------------------------------------------
【2】海外政策動向一覧（2022年3月5日～2022年3月11日）
----------------------------------------------------------------------
2022年3月7日 米国CISA、法人向けモバイル端末のゼロトラストガイダンス草案を公表
米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、法人向けモバイル端末のゼロトラストガイダンスの草案を公表した。現在パブリックコメントを受け付けており、締め切りは2022年4月18日とされている。
2021年5月12日に署名された「国家サイバーセキュリティ向上に関する大統領令（E.O. 14028）」は、連邦一般行政部とその関連機関に対して政府情報資産を保護するためにゼロトラスト・アーキテクチャを採用することを要求していた。このガイダンスでは、モバイルデバイスとエンタープライズセキュリティの技術的な進化と多様な利用シーンにおける注意事項が強調されている。
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/07/cisas-zero-trust-guidance-enterprise-mobility-available-public

2021年3月9日 米国証券取引委員会、サイバーセキュリティに関する情報開示を強化する規則改正を提案
米国証券取引委員会（SEC）は、公開会社に対してサイバーセキュリティに関する情報開示を強化させるための規則改正を提案した。1934年証券取引法において報告義務の対象となる企業を登録企業と定め、サイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント報告規則を標準化し、より強力な情報開示を求める。
改正案では、登録企業は重大なサイバーセキュリティインシデントについて4営業日以内に現況報告するよう義務付けられる。報告様式はSECの標準様式であるForm 8-Kと指定されている。
また、登録企業は定期的な報告事項として、取締役会がサイバーセキュリティリスクの監視をどのように行っているか、経営者がサイバーセキュリティリスクをどのように評価および管理しているか、経営者がサイバーセキュリティの方針と手続きをどのように実施しているかについて情報を開示することを求められている。この定期報告はInline XBRLを使用して行う必要があり、専用の報告用フォームが用意される予定。
改正案についての意見募集は、SECのウェブサイトでの提案の公表後60日間、または連邦官報での提案の公表後30日間のいずれか長い方を期日として実施される。
https://www.sec.gov/news/press-release/2022-39
https://www.sec.gov/rules/proposed/2022/33-11038.pdf
https://www.sec.gov/files/33-11038-fact-sheet.pdf

2022年3月9日 米国ホワイトハウス、デジタル資産の責任ある開発を確保するための大統領令を承認
米国バイデン大統領は、デジタル資産とその基盤となる技術のリスクへの対処と潜在的な利益を活用するための政策方針を大統領令に署名した。
この大統領令は、消費者と投資家の保護、金融の安定、不正資金対策、世界の金融システムにおける米国のリーダーシップと競争力、金融包摂、責任あるイノベーションという6つの重点分野にわたるデジタル資産に関する国家政策を定めている。
財務省を中心に金融リスクの対応に関する政策提言を取りまとめるよう指示し、商務省に対してはデジタル資産関連技術で米国がリーダーシップを発揮するための枠組みの検討を指示した。
デジタル資産の責任ある導入の検討にあたっては、プライバシー、セキュリティ、不正利用対策、気候への悪影響の軽減を優先しつつ、技術の進歩を研究・支援する具体的な手段を講じる方針が掲げられている。デジタル資産導入が国益にかなうと判断された場合、米国中央銀行デジタル通貨（CBDC）発行の検討と研究開発の速やかな実施が計画されている。
https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/09/fact-sheet-president-biden-to-sign-executive-order-on-ensuring-responsible-innovation-in-digital-assets/

2022年3月9日 中国外交部、自国の関与を疑われている標的型攻撃グループの活動にコメント
フランスのサイバーセキュリティ監視機関は、中国政府の支援が疑われる標的型攻撃グループ「APT31」によるフランスの機関への攻撃が続いているとして警告を発した。また、米国のサイバーセキュリティ企業は、米国の少なくとも6つの州政府ネットワークが同じく中国の「APT41」によって攻撃されたという調査結果を発表した。
これに対して中国外交部は、中国政府は法秩序を重視し、サイバー攻撃に断固反対するというコメントを改めて表明するとコメントした。そのうえで、中国の研究所やセキュリティ機関が報告した10年にわたる米国国家安全保障局（NSA）によるサイバー攻撃の指摘に対する回答が得られていないとし、中国への批判が偽情報であると非難している。
https://www.mfa.gov.cn/web/fyrbt_673021/202203/t20220309_10650208.shtml

2022年3月9日 米国司法省、Kaseyaへの攻撃など複数のランサムウェア事件に関わった男の逮捕を発表
米司法省は、2021年7月のKaseyaへの攻撃など複数のランサムウェア事件に関わった男を逮捕したと発表した。男はウクライナ国籍で、ポーランドで拘束された後に米国への引き渡しを経て逮捕された。
2021年8月に発行された起訴状によると、複数の被害企業の内部ネットワークに不正アクセスし、コンピュータ上のデータを暗号化するためにSodinokibi/ REvilランサムウェアを展開したことが罪状とされる。また、コンピュータ関連の詐欺行為、他者のコンピュータへの損壊罪、マネーロンダリングの共謀でも起訴されていおり、全てに有罪判決を受けた場合は懲役115年の刑が科される。"
https://www.justice.gov/opa/pr/sodinokibirevil-ransomware-defendant-extradited-united-states-and-arraigned-texas

2022年3月10日 ユーロポール、AI利用に関する「説明責任フレームワーク構想」を発表
欧州刑事警察機構（ユーロポール）は、AI利用の透明性に関する原則を定めるための「説明責任フレームワーク構想」を発表した。
AP4AI(Accountability Principles for Artificial Intelligence) プロジェクトは、内部セキュリティ不正対策のためのAI利用について説明責任を果たす原則を作成することを目的に2021年に開始された。今回発表されたフレームワークはプロジェクトの成果となる説明責任フレームワークの構想を示したもの。
今回ユーロポールがEU市民に行ったヒアリング結果から、回答者の90%以上が警察はAIの使用方法とその結果について説明責任を追うことを求めていることが分かった。普遍的な説明体系を確立することが重要視されており、8割以上がフレームワークの策定を重要と回答したという。
https://www.europol.europa.eu/media-press/newsroom/news/new-accountability-framework-to-use-artificial-intelligence-in-transparent-and-accountable-manner
https://www.europol.europa.eu/cms/sites/default/files/documents/Accountability_Principles_for_Artificial_Intelligence_AP4AI_in_the_Internet_Security_Domain.pdf

----------------------------------------------------------------------
【3】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年3月1日　欧州の投資会社Investcorp、イタリアのセキュリティ企業HWGを買収
2022年3月3日　野村総研グループの豪ASG、同国のDXコンサルティング企業Velradaを買収
2022年3月5日　米国のセキュリティ企業Magna5、TCG Network Servicesの買収でMSP事業を強化
2022年3月8日　Google、サイバーセキュリティ企業Mandiantを約54億ドルで買収する計画を発表
2022年3月9日　HelpSystems、MDRソリューションのAlert Logicを買収