----------------------------------------------------------------------
中国、個人情報の越境処理活動のセキュリティ認証仕様を公表（7/5配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国NIST、macOSを対象とするセキュリティガイダンスを公表
・中国、個人情報の越境処理活動のセキュリティ認証仕様を公表
・米国CYBER.ORG、障がいを持つ学生がセキュリティ教育を受けやすくする取り組み
・米国政府系研究所、共通脆弱性タイプ評価の2022年版トップ25を公開
・米国CISA、Exchange Onlineの認証方式切替ガイダンスを発表

----------------------------------------------------------------------
【2】海外政策動向一覧（2022年6月24日～2022年7月1日）
----------------------------------------------------------------------
6月24日 米国NIST、macOSを対象とするセキュリティガイダンスを公表
米国標準技術研究所（NIST）は、連邦政府機関がmacOS機器を利用する際に考慮すべきセキュリティガイダンス文書「NIST SP 800-219」を公表した。
今回のガイダンス文書はオープンソースプロジェクトの「macOS Security Compliance Project（mSCP）」を基にしており、組織の要求に合わせてセキュリティベースラインを作成することが可能。
macOS機器のセキュリティ設定の自動化やセキュリティ対策の評価などに活用できる資料等が提供される。
mSCPは、macOSのバージョンに依存しない形で設計されているが、大幅な変更が行われた際は更新の予定があるという。
https://www.nist.gov/publications/automated-secure-configuration-guidance-macos-security-compliance-project-mscp
https://github.com/usnistgov/macos_security#readme

6月24日 中国、個人情報の越境処理活動のセキュリティ認証仕様を公表
中国情報安全標準化技術委員会（TC260）は、国を跨ぐ個人情報の処理に関する実務規範「個人情報の越境処理活動に関するセキュリティ認証仕様」を公表した。
この文書は個人情報保護法（PIPL）の要件に基づいて行われる個人情報の越境処理活動を標準化することを目的とし、中国国外に越境する個人情報処理活動の基本要件及び個人情報主体の権益保護要件が規定されている。
越境処理活動が発生する場合、PIPL及び関連法規の遵守に加え、中国の認証機関による監督、定期検査などの受入が求められる。
なお、これらの要件は多国籍企業や子会社間の越境処理や、PIPLで定義される中国国外の個人情報取扱事業者にも適用される。
https://www.tc260.org.cn/front/postDetail.html?id=20220624175016
http://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=4568F276E0F8346EB0FBA097AA0CE05E

2022年6月27日 米国CYBER.ORG、障がいを持つ学生がセキュリティ教育を受けやすくする取り組み
米国の教育機関CYBER.ORGは、サイバーセキュリティ・インフラセキュリティ庁（CISA）からの助成金を通じて、視覚障害のある13～21歳の学生を対象とするキャリア開発プロジェクトを発表した。
サイバーセキュリティに関する主要課題を紹介するとともに、サイバーセキュリティのスキルを身につけ、キャリアの可能性を探る機会を与える。
米国では現在、約71万4千人のサイバーセキュリティ専門家が不足しており、多様な背景や能力を持つ次世代の学生を育成することへの投資がかつてないほど重要になっているという。
なお、CYBER.ORGが2017年にバージニア州視覚障害者局と協力して試験的に実施したプログラムに参加した学生の94％は、サイバーセキュリティに関連して大学進学や就職、資格取得といった成果を得ているという。
https://cyber.org/initiatives/project-access
https://www.businesswire.com/news/home/20220627005666/en/

2022年6月28日 米国政府系研究所、共通脆弱性タイプ評価の2022年版トップ25を公開
米国の国土安全保障システム工学開発研究所は、2022年版の「共通脆弱性タイプ評価（CWE）最も危険なソフトウェア脆弱性リスト Top25」を公開した。
国土安全保障システム工学開発研究所は、サイバーセキュリティ・インフラセキュリティ庁（CISA）の資金によって、MITRE社が運営している。
このリストには、National Vulnerability Database（NVD）のデータに基づき、ソフトウェアに深刻な脆弱性をもたらす不具合がランキング形式でまとめられている。
2022年のトップ25は、過去2年の合計37,899件のCVE情報によって決定され、「領域外メモリへの書き出し（CWE-787）」が最も危険な脆弱性タイプとなった。
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/28/2022-cwe-top-25-most-dangerous-software-weaknesses
https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html

2022年6月28日 米国CISA、Exchange Onlineの認証方式切替ガイダンスを発表
米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、連邦民間行政機関（FCEB）向けにMicrosoft Exchange Onlineの認証方式を切り替えるためのガイダンスを公表した。
Microsoftは、セキュリティ向上のために2022年10月1日を以てMicrosoft Exchange Onlineの基本認証方式を廃止する計画を発表している。
これに先立ってFCEB機関が基本認証方式からモダン認証方式への移行を終えられるよう、ガイダンスには作業手順等の情報が盛り込まれている。
CISAは、基本認証方式は大統領令14028号がFCEB機関に義務付けている多要素認証に対応していないことから、モダン認証方式へ移行して多要素認証を有効にするよう促している。
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/28/cisa-releases-guidance-switching-modern-auth-exchange-online
https://www.cisa.gov/sites/default/files/publications/switch-to-modern-authentication-in-exchange-online-062822-508.pdf

----------------------------------------------------------------------
【3】6月のM&A/IPO情報詳細
----------------------------------------------------------------------
2022年6月1日　米ReliaQuest、脅威インテリジェンスサービスのDigital Shadowsを1.6億ドル（約207億円）で買収
2022年6月2日　サイバーセキュリティ管理サービスのCerberus Sentinel、IAMソリューションのCreatrixを買収
2022年6月2日　Airbus、ドイツのDSI DS社を買収 宇宙システム向けの暗号技術を強化
2022年6月6日　IBM、サイバーセキュリティスタートアップRandoriの買収計画を発表
2022日6月7日　米Forescout、Cysiv社買収によりIoTデバイスの脅威対応を拡充へ
2022年6月8日　Entrust、オランダの電子署名・ID認証ベンダーEvidosを買収
2022年6月9日　DigiCert、DNSMadeEasyを買収
2022年6月14日　マイクロソフト、脅威インテリジェンス調査企業Miburoを買収
2022年6月14日　デジタルサポートサービスの米Ad Hoc社、連邦政府機関向け実績の多いCascades Technologiesを買収
2022年6月20日　マレーシアのサイバーセキュリティ企業Infoline Tec Group BhdがIPOを発表　7月13日にACE市場へ上場予定
2022年6月22日　Apollo Information Systems、米政府向けMSPのCyberDefenses Inc.を買収
2022年6月23日　ビル管理ソリューションのJohnson Controls、ゼロトラストセキュリティのTempered Networksを買収
2022年6月27日　ドイツSiemens、SaaS事業者のBrightlySoftwareを15億8000万ドル（約2,100億円）で買収
2022年6月30日　フィンランドWithSecure、F-Secureに消費者セキュリティ事業を分割し、全資産・負債を承継する計画
2022年6月30日　MSPのThrive、米Edge Technology Groupを買収　北米・英国での事業拡大とアジアでの導入を促進