----------------------------------------------------------------------
米国NIST、AIの信頼性を高めるためのリスク管理フレームワークを公表（2/7配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISA、K-12教育機関向けにサイバー脅威対策キットを公開
・米国FBI、Hiveランサムウェアグループのネットワークに侵入し、管理権を掌握
・米国NIST、AIの信頼性を高めるためのリスク管理フレームワークを公表
・英国NCSC、ロシアおよびイランの脅威アクターによる公的機関への高度標的型攻撃に注意喚起
・オランダデータ保護機関、パスポートデータの中央集中管理方式に警告
・英国ICO、GDPR違反でスコットランドの学校に導入された顔認証システムの停止を要請
・QUADシニアサイバーグループ、サイバーセキュリティ共同声明を発表

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年1月24日 米国CISA、K-12教育機関向けにサイバー脅威対策キットを公開
米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、K-12教育機関向けにサイバー脅威対策を強化するためのレポートおよびツールキットを公開した。
レポートにはK-12教育機関と学区内を対象にしたサイバーセキュリティ対策の推奨事項などがまとめられている。K-12教育機関に固有の脅威動向に注目した分析が行われており、教育機関のリーダーに指針を示している。特に、対策のためのリソースに制約があることを十分認識し、効果の大きい対策への集中的な投資や周囲とのコラボレーションを推進することが重要だとしている。
https://www.cisa.gov/protecting-our-future-partnering-safeguard-k-12-organizations-cybersecurity-threats
https://www.cisa.gov/news/2023/01/24/cisa-releases-report-k-12-schools-help-address-evolving-cybersecurity-threats

2023年1月26日 米国FBI、Hiveランサムウェアグループのネットワークに侵入し、管理権を掌握
米国司法省は、FBIを中心に実行されたHiveランサムウェアグループに対する壊滅作戦の成果を公表した。Hiveは、世界80カ国以上で病院や学校などへ1,500件以上の攻撃をしかけていたグループ。
2022年7月以降、FBIはHiveのネットワークへの潜入に成功し、奪取したランサムウェアの復号鍵を被害者へ配布しました。これによって1億3,000万ドル（約170億円）の身代金の支払いが阻止されたという。
FBIはその後もユーロポールなどの協力を得ながら作戦を継続し、2023年1月25日にHiveのネットワーク内のサーバやウェブサイトを管理下においたことを明かした。
司法省高官は、Hiveに関与したサイバー犯罪者を逮捕するまでインテリジェンスとパートナーシップを活用した捜査を継続するとコメントしている。
https://www.justice.gov/opa/pr/us-department-justice-disrupts-hive-ransomware-variant
https://www.fbi.gov/news/speeches/director-christopher-wrays-remarks-at-press-conference-announcing-the-disruption-of-the-hive-ransomware-group

2023年1月26日 米国NIST、AIの信頼性を高めるためのリスク管理フレームワークを公表
米国国立標準技術研究所（NIST）は、AIの信頼性を高めるためのガイダンス文書「AIリスク管理フレームワーク（AI RMF 1.0）」を公表した。
フレームワーク策定の背景には、米国議会の指示があり、AIに潜在するリスクは技術的・社会的な要因と相互に作用し、人々の生活に影響するという可能性への認識がある。
AI RMFは2部構成で、第1部は信頼できるAIシステムに求められる特性を概説している。セキュリティとレジリエンスの特性では、同じNISTのサイバーセキュリティフレームワークやリスク管理フレームワークにも言及されている。第2部では、組織がAIシステムのリスクに対処するための4つの機能（ガバナンス、マップ、測定、管理）を説明している。NISTは、コミュニティと協力して内容を定期的に更新する予定だとしている。
また、AI RMFの解説と実践方法について記載されたプレイブックも同時公開されている。
https://www.nist.gov/news-events/news/2023/01/nist-risk-management-framework-aims-improve-trustworthiness-artificial
https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf
https://pages.nist.gov/AIRMF/

2023年1月26日 英国NCSC、ロシアおよびイランの脅威アクターによる公的機関への高度標的型攻撃に注意喚起
英国国家サイバーセキュリティセンター（NCSC）は、ロシアの「SEABORGIUM」と呼ばれるグループとイランの「TA453」による高度標的型攻撃キャンペーンに対するアドバイザリを公開した。
英国をはじめとする複数の地域で、教育、防衛、政府機関、シンクタンク、政治家個人などが2022年の1年間を通じて標的になり続けていたと注意を呼びかけた。
これら2つのグループは、ビジネスSNSなどのオープンスペース上で偵察を行い、標的の興味関心を念入りに調査した後に接触する。その上で、会議やイベントへの招待メール、オンラインストレージへのリンクなどを介して不正プログラムをダウンロードするよう誘導する。NCSCは、巧妙なスピアフィッシングメールへの警戒を怠らないこと、メール自動スキャン機能の活用、メール転送の無効化、多要素認証の使用、デバイスとネットワークの最新化などを行うよう促した。
https://www.ncsc.gov.uk/news/spear-phishing-campaigns-targets-of-interest
https://www.ncsc.gov.uk/news/uk-cyber-experts-warn-of-targeted-phishing-attacks-from-actors-based-in-russia-and-iran

2023年1月30日 オランダデータ保護機関、パスポートデータの中央集中管理方式に警告
オランダデータ保護機関（DPA）は、政府の検討するパスポートデータの中央集中管理方式について警告をおこなった。
現在オランダではパスポートや身分証明書の申請先となる自治体が各々で個人情報を保管しているが、審議中の旅券法改正案を踏まえ中央データベースの創設と一元管理への移行を計画している。
DPAは、この計画は重大なプライバシーリスクを伴うものであると批判した。また、内務および王国関係事務次官へ宛てた書簡の中で、一か所に集められたパスポート写真、署名、指紋を一箇所はサイバー犯罪者にとって金鉱も同然であるとして旅券法改正案の撤回もしくは大幅な修正を要求した。
https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-centrale-database-paspoortgegevens-groot-risico
https://www.internetconsultatie.nl/biometrischegegevenspaspoortwet/document/8855

2023年1月31日 英国ICO、GDPR違反でスコットランドの学校に導入された顔認証システムの停止を要請
英国データ保護機関（ICO）は、スコットランドの中学校で給食の提供用に導入された顔認証システムがGDPRに抵触する形で運用されたとして、システムの停止とデータの削除を行うよう求めた。
ICOは、学校側は保護者と生徒に対して、PIN方式での本人確認を代替方法として提示できたにも関わらず、顔認証を用いた給食費決済システムの利用への同意を強要したとの見解を示した。システムから送信された電子メールには「顔認証システムは、無料の学校給食の対象者をふくめ、学校給食へのアクセスを必要とする全ての中学校生徒を認証するために使用される」と記載されていたという。
ICOは公的機関に対し、顔認証システムを使用する際は、利用者の十分な同意を得ることを求めている。
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/01/using-frt-in-schools
https://ico.org.uk/media/action-weve-taken/4023847/ico-letter-to-nac-appendix.pdf

2023年2月2日 QUADシニアサイバーグループ、サイバーセキュリティ共同声明を発表
QUADシニアサイバーグループ（米国、オーストラリア、インド、日本）は、インドのニューデリーで会合を行い、自由で開かれたインド太平洋を前進させるというグループのコミットメントを再確認した。
これによりクアッドパートナーは、サイバー空間の安全性を高め、インド太平洋地域のパートナーを含む全ての人のために機能する国際デジタル経済を育成するために協力することとなる。また、ランサムウェア対策イニシアチブ（CRI）の取り組みを支持し、情報共有とインテリジェンスの交換、政策と法的権限の枠組みに関するベストプラクティスの共有、法執行機関とサイバー当局の連携などに取り組む。
https://www.whitehouse.gov/briefing-room/statements-releases/2023/02/02/quad-senior-cyber-group-joint-cybersecurity-statement/

----------------------------------------------------------------------
【3】1月～2月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年1月10日 米国Cerberus Sentinel社、アルゼンチンのRAN Security買収で南米でのサービスを強化
2023年1月10日 ジョージア州を拠点とするSimeio、テキサス州のIAMサービス事業者PathMaker Groupを買収
2023年1月10日 侵入テストサービスを提供するNetSPI、nVisiumの買収でハイレベルな技術者を確保
2023年1月11日 Hack The Box、Carlyle主導のシリーズB資金調達で5,500万ドル（約70億円）を確保
2023年1月16日 バーレーンのセキュリティ企業Beyon Cyber​​、UAEのDTS Solutionから過半数の株式取得に合意
2023年1月18日 Abacus Group、Gotham SecurityおよびGoVanguardを買収　MSSPサービスなどを強化
2023年1月20日 米投資会社Thoma Bravo、デジタルフォレンジックサービスのMagnet Forensicsを買収
2023年1月31日 米国SentinelOne、KPMG米国法人との提携を発表
2023年2月 1日 サイバーセキュリティコンサルティングを手がける仏監査系ファーム大手Almond、同業のAmossysを買収
2023年2月 2日 秘密計算サービスのHUB Cyber Security、Mount Rainier Acquisitionとの合併後にNASDAQ上場を予定