----------------------------------------------------------------------
米国FDA、医療機器のサイバーセキュリティに関するガイダンス改定案に意見募集（4/19配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・デンマークのデータ保護当局、GDPR違反を理由にDanske銀行へ約1.8億円の罰金
・中国外交部、インドの送電網に対するサイバー攻撃への関与を否定
・米国FDA、医療機器のサイバーセキュリティに関するガイダンス改定案に意見募集
・ユーロポールと米司法省、世界最大のハッカーフォーラムである「RaidForums」を押収
・米国NSAら、産業用制御システム等を狙う高度標的型攻撃ツールに関する共同勧告
・ENISA、EU加盟各国に脆弱性情報の連携開示を促す政策を提言
・IT投資会社Thoma Bravo、SailPoint買収とバラクーダの売却を立て続けに発表

----------------------------------------------------------------------
【2】海外政策動向一覧（2022年4月5日～2022年4月15日）
----------------------------------------------------------------------
2022年4月5日 デンマークのデータ保護当局、GDPR違反を理由にDanske銀行へ約1.8億円の罰金
デンマークのデータ保護局（DPA）であるDatatilsynetは、Danske銀行に対してGDPR違反を理由に1,000万クローネ（約1.8億円）の罰金を科した。個人データの保存と削除に係る規則を文書化していなかったことが違反にあたるとされた。
400を超える銀行システムに保存されている個人データは数百万人分に及ぶが、削除と保存に関する規則が整備されておらず、個人データの手動削除が行われていることも文書化できていなかった。
Datatilsynetは罰金とは別に、Danske銀行に対する刑事告発も行った。一方で、Danske銀行は違反の開示に積極的に協力した点を評価されている。
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/apr/danske-bank-indstilles-til-boede

2022年4月7日 中国外交部、インドの送電網に対するサイバー攻撃への関与を否定
中国外交部は、取り沙汰されていたインドの送電網に対するサイバー攻撃への関与を否定した。インド国内の配電制御を担う州給電指令所（SLDC）のうち7拠点が、2月にネットワークへの不正侵入をうけていた。
不正アクセスをうけた7つのSLDCは、紛争中のインドと中国の国境近くにあるラダックに位置し、過去にもサイバー攻撃の標的となっていた。
4月6日に米国のセキュリティ企業はこの侵害は中国国家安全部（MSS）と繋がりのある攻撃者による犯行であると指摘するレポートを発表していた。
レポートによると、今回の攻撃にはトロイの木馬「ShadowPad」が使用され、SLDCの資産に加えてインド国家緊急対応チームや物流会社のインド子会社にも影響を与えたという。
中国外交部は、中国はサイバー攻撃を奨励・支援・容認しないと反論した。また、サイバー空間には様々な攻撃者が存在しており、サイバーインシデントの調査や特徴づけにおいては完全かつ十分な証拠が必要であると述べた。そして、サイバー攻撃と政府を関連付けるには慎重を期すべきだと回答している。
加えて、レポートを発表した米企業に対して、サイバー攻撃の問題を利用して国際的な不和を招いて中国に汚水をかけるのではなく、米国政府のハッカーによる中国などへのサイバー攻撃にもっと注意を払い、各国間の対話と協力を促進する努力をすべきだとコメントした。
https://www.recordedfuture.com/continued-targeting-of-indian-power-grid-assets/
https://go.recordedfuture.com/hubfs/reports/ta-2022-0406.pdf
http://new.fmprc.gov.cn/web/fyrbt_673021/jzhsl_673025/202204/t20220407_10665432.shtml

2022年4月8日 米国FDA、医療機器のサイバーセキュリティに関するガイダンス改定案に意見募集
米国食品医薬品局（FDA）は、「医療機器のサイバーセキュリティに関するガイダンス」改定案へのパブリックコメント募集を開始した。本案は2018年改訂版のガイダンスの内容を更新するものとなる。
FDAは、ネットワーク接続機器や外部メディアの利用拡大、医療機器に関連した健康データ交換の頻繁化といった背景から、医療業界がサイバー攻撃の標的となる傾向が強くなっていると指摘している。臨床への影響が深刻なものとなることから、ガイダンスの更新が必要だと判断された。
ガイダンス更新案の目標は、医療機器メーカーが市販開始前の段階で製品にサイバーセキュリティの保護を取り入れて、製品の全ライフサイクルに渡ってセキュリティリスクを確実に管理できるようにすることにある。
脅威のモデル化、すべてのサードパーティ製ソフトウェアコンポーネントを含むソフトウェア部品表（SBOM）の要件、リスクの評価と管理、セキュリティテスト、脆弱性管理計画などの説明を参照することで、サイバー脅威に対して十分な耐性のある機器を製造することが可能になるとしている。また、勧告事項に従うことで機器メーカーは市販開始前の審査プロセスを効率化することが可能になる予定だという。
パブリックコメントは2022年7月7日まで受け付けられ、その後内容が最終化されることになる。
https://www.federalregister.gov/documents/2022/04/08/2022-07614/cybersecurity-in-medical-devices-quality-system-considerations-and-content-of-premarket-submissions
https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions
https://www.govinfo.gov/content/pkg/FR-2022-04-08/pdf/2022-07614.pdf

2022年4月12日 ユーロポールと米司法省、世界最大のハッカーフォーラムである「RaidForums」を押収
ユーロポールと米国の司法省は、世界最大のハッカーフォーラムである「RaidForums」の押収し、管理者であるポルトガル人（21歳）を逮捕したと発表した。
RaidForumsは2015年に運営が開始された。50万人以上のユーザーコミュニティを持ち、世界最大の違法マーケットプレイスの1つと目されていた。
マーケットでは漏洩データベースの情報やクレジットカード、認証情報など様々なデータが売買されていた。
ユーロポールは、スウェーデン、ルーマニア、ポルトガル、ドイツ、米国、英国など世界各国の法執行機関と連携して、1年間にわたる複雑な捜査を遂行したと述べている。
RaidForumsの管理者は、米国の要請によって1月31日に英国で逮捕された。身柄引き渡し手続きが終わるまでは英国で拘留され続けるとのこと。
https://www.europol.europa.eu/media-press/newsroom/news/one-of-world%E2%80%99s-biggest-hacker-forums-taken-down
https://www.justice.gov/opa/pr/united-states-leads-seizure-one-world-s-largest-hacker-forums-and-arrests-administrator

2022年4月13日 米国NSAら、産業用制御システム等を狙う高度標的型攻撃ツールに関する共同勧告
米国の国家安全保障局（NSA）は、産業用制御システム（ICS）のシステム監視とプロセス制御を担うSCADAを対象とする高度標的型攻撃（APT)ツールに関して勧告を発表した。
この勧告はNSAが米国のエネルギー省（DOE）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、連邦捜査局（FBI）と連携して共同で発表したもの。
これらのカスタム攻撃ツールを使うAPTグループは、標的としたICSのSCADAに対する完全なアクセスを可能とし、重要デバイスの制御や機能停止を実行されるおそれがあると警告されている。
影響を受ける可能性があるICS/SCADAのリストが提示されており、Schneider Electric PLC、OMRON Sysmac NEX PLC、OPC UAサーバが含まれている。
また、全ての重要インフラ組織が、潜在的なものも含め悪意あるAPT活動を検出し、緩和策を講じることを支援するための推奨事項を示している。代表的な推奨事項は次の通り。
ICS/SCADAの分離・通信制限、リモートアクセスへの多要素認証実装、敵対行為や横移動の監視、CISAによるオープンソースの産業用制御システムネットワークプロトコルパーサ（ICSNPP）の利用検討。
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/2997885/nsa-partners-with-doe-cisa-and-fbi-to-release-advisory-on-apt-cyber-tools-targe/
https://media.defense.gov/2022/Apr/13/2002976115/-1/-1/0/JOINT_CSA_APT_CYBER_TOOLS_TARGETING_ICS_SCADA_20220413.PDF
https://github.com/cisagov/ICSNPP

2022年4月13日 ENISA、EU加盟各国に脆弱性情報の連携開示を促す政策を提言
EUサイバーセキュリティ庁（ENISA）は、EU加盟各国を対象とする脆弱性情報連携開示（CVD）政策について提言をまとめた報告書を公表した。
ENISAは、脆弱性の特定は攻撃者による悪用を防ぐために不可欠であるが、自社の評判を気にして脆弱性を認めたがらないベンダーが存在すると指摘している。
CVD政策の枠組みでは、はじめに脆弱性発見者と協力し、ベンダーやICTインフラ所有者などと情報を共有する。その後、修正プログラムや他の解決策の準備が整った時点で、脆弱性情報が確実に一般公開されるよう規則や規則を国家として設ける。
ENISAはEU加盟19カ国に対して、次の提言を行った。
・まず、「倫理的ハッキング」と「ブラックハット」活動を明確に区別するため、具体的な基準を定義すること
・次に、脆弱性発見に携わるセキュリティ研究者に法的な保護を提供するため、刑法・サイバー犯罪指令を改正すること
・セキュリティ研究者がCVD研究に積極的に参加するためのインセンティブを開発すること
なお、欧州委員会によるNIS2指令の改正はEU諸国による国家的なCVD政策の実施を規定していることから、ENISAは今後、政策の確立を支援するガイドラインを策定する予定。
さらに、既存の国際的な脆弱性データベースを補完するEU脆弱性データベース（EUVDB）の開発・導入に向けた協議も開始される計画があるという
https://www.enisa.europa.eu/news/enisa-news/coordinated-vulnerability-disclosure-policies-in-the-eu
https://www.enisa.europa.eu/publications/coordinated-vulnerability-disclosure-policies-in-the-eu

----------------------------------------------------------------------
【3】4月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年4月4日　欧州の販売代理店Nuvias Group、東ヨーロッパにシェアをもつセキュリティ企業Netsafeを買収
2022年4月4日　米国安全保障へのサービスプロバイダTwoSixTechnologies、サイバーセキュリティと組込システムの大手RiverLoopSecurityを買収
2022年4月6日　ソフトウェア投資会社Turn/River Capital、イスラエルのサイバーセキュリティ企業Tufinを約5億7000万ドルで買収
2022年4月11日　Kaseya、MSP向けセキュリティ大手のDattoを62億ドルで買収
2022年4月11日　IT投資会社Thoma Bravo、SailPointを約6億9千万ドルで買収
2022年4月12日　IT投資会社Thoma Bravo、セキュリティ防御製品を扱うバラクーダネットワークスを他の投資会社KKRに売却