----------------------------------------------------------------------
欧州議会、EUデータガバナンス法の承認を発表（5/24配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・欧州連合理事会、重要インフラセキュリティ対策を強化するNIS2指令をEU各国に適用へ
・米国司法省、開発したランサムウェアを提供してサイバー犯罪者から報酬を受け取った医師を起訴
・欧州議会、EUデータガバナンス法の承認を発表
・米英など、攻撃者の初期アクセスに悪用される脆弱性について共同勧告
・シンガポール、サイバーセキュリティの評価、研究、教育を担う国立センター「NiCE」を設立
・米国司法省、コンピューター犯罪取締法違反の告発に関する方針を改定

----------------------------------------------------------------------
【2】海外政策動向一覧（2022年5月7日～2022年5月20日）
----------------------------------------------------------------------
2022年5月13日 欧州連合理事会、重要インフラセキュリティ対策を強化するNIS2指令をEU各国に適用へ
欧州連合理事会と欧州議会は、EU全域の重要インフラセキュリティ対策を強化するNIS2指令を加盟各国に適用すること合意した。
NIS2指令は、2016年に成立した「ネットワークと情報システムのセキュリティに関する指令（NIS指令）」を改定し、対象分野の拡大やサイバーレジリエンスの強化などを行うもの。
エネルギー、運輸、医療、デジタルインフラなどの対象分野には、サイバーセキュリティに関するリスク管理措置と報告義務のベースラインが設定される。また、大規模なサイバーセキュリティインシデント対応における協力を促進するため、欧州サイバー危機連絡組織ネットワーク（EU-CyCLONe）を正式に設立する予定。
NIS2指令の施行にあたって、EU加盟国には共通のサイバーセキュリティ要件と対策実施が想定されている。今後、正式な承認から20日後に効力を発し、EU加盟各国は21カ月以内に自国の法律にNIS2指令の要件を取り込む必要がある。
https://www.consilium.europa.eu/en/press/press-releases/2022/05/13/renforcer-la-cybersecurite-et-la-resilience-a-l-echelle-de-l-ue-accord-provisoire-du-conseil-et-du-parlement-europeen/

2022年5月16日 米国司法省、開発したランサムウェアを提供してサイバー犯罪者から報酬を受け取った医師を起訴
米国司法省は、自身が作成したランサムウェアをサイバー犯罪者へ提供して報酬を受け取った容疑で、フランスとベネズエラの国籍を持つ心臓外科医を起訴したと発表した。
この医師が開発した「サノス（Thanos）」と呼ばれるランサムウェアは、ロシア語圏のハッカーフォーラムで流通していた。月額最大800ドル（約10万円）で利用可能なビルダーを使用することで、独自のカスタマイズが可能だったという。
また、ランサムウェアの作成のみならず、利用方法のトレーニング、脅迫ノウハウの提供、イランのAPTグループによる利用実績の宣伝などにも関与していた容疑がかけられている。
https://www.justice.gov/usao-edny/pr/hacker-and-ransomware-designer-charged-use-and-sale-ransomware-and-profit-sharing

2022年5月16日 欧州議会、EUデータガバナンス法の承認を発表
欧州議会は、EUデータガバナンス法が承認されたことを発表した。官報への掲載を経て発効し、15カ月後に適用される予定。
EUデータガバナンス法は、EUのデータ利活用戦略における重要法案であり、2020年11月25日の提案から1年以上にわたり議論された。
研究開発やイノベーションのための信頼できるデータ共有を目指しており、組織と個人がともに利用が可能なデータ仲介サービスが新しいビジネスモデルとして提案されている。
データ仲介サービスを利用することで、個人が自身のデータを管理し、信頼する企業と共有することが可能となり、企業間のデータ共有も支援されるとしている。
なお、EUデータガバナンス法を補完し、個人データ以外のデータ利用規則を定める「データ法」の草案も2022年2月に発表されている。
https://www.consilium.europa.eu/en/press/press-releases/2022/05/16/le-conseil-approuve-l-acte-sur-la-gouvernance-des-donnees/
https://data.consilium.europa.eu/doc/document/PE-85-2021-INIT/en/pdf

2022年5月17日 米英など、攻撃者の初期アクセスに悪用される脆弱性について共同勧告
米英および、カナダ、ニュージーランド、オランダのセキュリティ当局は、攻撃者が標的への初期アクセスを実行するため頻繁に悪用している脆弱性について共同勧告を発表した。
今回の取り組みに参加したのは、米国からCISA、NSA、FBI、カナダCCCS、ニュージーランドNCSC-NZおよびCERT NZ、オランダNCSC-NL、英国NCSC-UK。
勧告の背景には、不適切なセキュリティ設定やソフトウェアアップデートの不実施、安全でないクラウドの利用などが原因の不正アクセス被害が増えていることがある。
対策として、ゼロトラストモデルの採用や多要素認証の導入や、不正検知、パッチ管理といった運用について詳しく解説されている。
https://www.cisa.gov/uscert/ncas/alerts/aa22-137a
https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3033563/nsa-allies-issue-cybersecurity-advisory-on-weaknesses-that-allow-initial-access/
https://media.defense.gov/2022/May/17/2002998718/-1/-1/0/CSA_WEAK_SECURITY_CONTROLS_PRACTICES_EXPLOITED_FOR_INITIAL_ACCESS.PDF

2022年5月18日 シンガポール、サイバーセキュリティの評価、研究、教育を担う国立センター「NiCE」を設立
シンガポール・サイバーセキュリティ・エージェンシー（CSA）とシンガポール南洋理工大学は、サイバーセキュリティの評価、研究、教育を担う国立統合評価センター「NiCE」の設立を発表した。
NiCEは、シンガポール国内で製品評価と認証を振興するため産官学で持続可能なエコシステムを構築し、国内の製品評価人材のためにネットワークを支援する。
シンガポール南洋理工大学のセキュリティ保証に関する専門知識と、CSAの産学間連携によるイノベーション促進によって、シンガポールのサイバーセキュリティ市場成長を目指す。
NiCEのプロジェクトは、セキュリティ評価を通じてセキュリティ・バイ・デザインを推進するというCSAの目標に沿ったものである。CSAは既に、コモンクライテリアとサイバーセキュリティラベリングスキーム（CLS）を採用したプロセスを開始しており、それぞれ2019年と2020年にinfocomm製品が認証された。
https://www.csa.gov.sg/News/Press-Releases/ntu-singapore-and-csa-singapore-launch-joint-centre-for-cybersecurity-evaluation-research-and-education

2022年5月19日 米国司法省、コンピューター犯罪取締法違反の告発に関する方針を改定
米国司法省は、コンピュータ不正利用防止法（CFAA）違反の告発に関する方針を改定し、善意のセキュリティ調査を告発すべきではないと明確に示した。
善意のセキュリティ調査は、セキュリティの欠陥や脆弱性のテスト、調査、修正を目的としてコンピューターにアクセスし、個人また公共の被害を軽減し、セキュリティの安全性を促進する場合のことを指している。一方で、セキュリティ調査であると主張することが免罪符になるわけではないとも述べられている。
新方針はただちに有効になり、具体的な適用については刑事部のコンピュータ犯罪・知的財産セクション（CCIPS）に相談するよう検察官に助言している。
https://www.justice.gov/opa/pr/department-justice-announces-new-policy-charging-cases-under-computer-fraud-and-abuse-act

----------------------------------------------------------------------
【3】5月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年5月2日　米国の安全保障サービス企業TwoSixTechnologies、外国政府による影響工作を検出する製品を扱うThresher Venturesを買収
2022年5月4日　SentinelOne、Attivo Networks社を買収
2022年5月9日　マネージドサービスプロバイダThinkStack、信用組合向けソリューションを提供するEmergifiを買収
2022年5月17日　フランス電機大手THALES、サイバーセキュリティ企業2社の買収に最終合意
2022年5月18日　暗号技術開発のCipherloc、仮想CISOサービスを提供するSideChannel買収に合意