----------------------------------------------------------------------
JCICコラム「【2022年度下半期】海外サイバーセキュリティ・プライバシー政策動向の解説」（5/16配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム「【2022年度下半期】海外サイバーセキュリティ・プライバシー政策動向の解説」
・欧州ENISA、「AIのサイバーセキュリティに関する基準」に関する評価報告書を公開
・米国司法省、ロシア連邦保安局配下のマルウェアネットワーク「Snake」の無力化を公表
・米国政府、Rockwell Automation Chinaのソフトウェアに対するセキュリティ調査を開始
・EU AI法案、生成AIの透明性に関する義務などを加えた修正案が欧州議会を通過

----------------------------------------------------------------------
【2】JCICコラム「【2022年度下半期】海外サイバーセキュリティ・プライバシー政策動向の解説」
----------------------------------------------------------------------
今回のコラムでは、2022年度下半期（2022年10月～2023年3月）に配信した143件のJCIC海外ニュースのトレンドを分析し、2023年度の政策動向を占う重要な出来事の解説を行う。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2023年4月27日 欧州ENISA、「AIのサイバーセキュリティに関する基準」に関する評価報告書を公開
欧州ENISA、「AIのサイバーセキュリティに関する基準」に関する評価報告書を公開した。この報告書では、EU AI法案とAIのサイバーセキュリティ標準とのギャップを明らかにし、「機密性・完全性・可用性」に加えて「AIの信頼性」の概念に基づく法的枠組みが提案された。現在審査中のAI法案の検討にも用いられる。
今後、適合性評価の基準やツール・能力に関係する規則を追加検討する可能性についても触れられている。また、その他の法制や標準化活動への反映の必要性にも言及があり、一例として「サイバーレジリエンス法案」が挙げられている。
報告書で提言された主な推奨事項は以下の通り。
1. 信頼性や攻撃の分類法など、標準化されたAI用語をサイバーセキュリティにも適用すること
2. ソフトウェアのサイバーセキュリティに関する既存の基準をAIにどう適用すべきかについて技術ガイダンスを作成すること
3. 機械学習の特異性、AIとハードウェア/ソフトウェアコンポーネントとの関連付けによるリスクの軽減、信頼性の高い評価基準、テスト手順を考慮すること
https://www.enisa.europa.eu/news/mind-the-gap-in-standardisation-of-cybersecurity-for-artificial-intelligence
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52021PC0206

2023年5月9日 米国司法省、ロシア連邦保安局配下のマルウェアネットワーク「Snake」の無力化を公表
米国司法省は、ロシア連邦保安局配下の「Turla」と呼ばれるグループが運営していたとされる高度なマルウェアネットワーク「Snake」の無力化が完了したと発表した。Snakeマルウェアは、ほぼ20年にわたりNATO加盟50カ国の数百にのぼるシステムから機密文書を窃取していたとされる。
「Operation MEDUSA」と名付けられたこの作戦では、FBIが作成した「PERSEUS」というツールを使用して、侵害されたデバイス上のSnakeに自己破壊プログラムを実行させることで無力化したという。一連の作戦は、米国（司法省、NSA、CISA）、英国、カナダ、オーストラリアの連携によって行われた。
https://www.justice.gov/opa/pr/justice-department-announces-court-authorized-disruption-snake-malware-network-controlled
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3389044/us-agencies-and-allies-partner-to-identify-russian-snake-malware-infrastructure/

2023年5月11日 米国政府、Rockwell Automation Chinaのソフトウェアに対するセキュリティ調査を開始
米国のオートメーション大手Rockwell Automationが、同社の中国拠点からの不正アクセスの可能性について米国政府から調査を受けていると報じられた。
大連にある同社施設のひとつから、米国の重要インフラや軍事施設などへのアクセスを可能にする脆弱性の有無が確認されているという。
調査は初期段階にあり、当該施設に勤務している従業員に着目しており、エネルギー省、国防省、司法省の商事訴訟部門など様々な関係者が調査対象になっているという。Rockwellの広報担当者は、ソフトウェアが侵害されたという報告はないとし、中国で製造されたコードも必ず米国での脆弱性試験を経て提供されていると説明した。
Rockwellは米軍や米国の重要インフラ事業者向けに広くサービスを提供しており、報道の翌日同社の株価は1%以上低下した。
https://www.wsj.com/articles/automation-giant-faces-u-s-government-probe-over-china-operations-e12c831f?mod=latest_headlines
https://www.reuters.com/technology/rockwell-automation-faces-us-government-probe-over-china-ops-wsj-2023-05-10/
https://au.investing.com/news/stock-market-news/rockwell-automation-facing-us-investigation-over-operations-in-china--wsj-432SI-2865106

2023年5月11日 EU AI法案、生成AIの透明性に関する義務などを加えた修正案が欧州議会を通過
生成AIの透明性に関する義務など13の修正が加えられたEU AI法案が欧州議会で可決された。AIの基礎モデルの提供者は、市場提供前に安全性の確認、データガバナンス、リスク軽減策を講じることなどが義務化される。
AI法案の原案は2021年に提案され、様々な修正を経て作成された草案が審議中だった。AIを高リスクAI、低リスクAIなどに分類し、リスクの程度によって規制を課すことを基本的な考え方としている。規則に違反した場合、最大3000万ユーロ（約44億円）もしくは前年度の全世界売上総額の最大6％の罰金が科されることになる。
これまで生成AIに関する具体的規則は盛り込まれていなかったが、昨今の生成AIの急速な普及を受け新たな規則が追加された。AIの透明性を確保するため、学習データの開示を企業に義務付けている。
https://www.reuters.com/technology/eu-lawmakers-committees-agree-tougher-draft-ai-rules-2023-05-11/
https://techcrunch.com/2023/05/11/eu-ai-act-mep-committee-votes/

----------------------------------------------------------------------
【4】5月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年5月10日 アイルランドのセキュリティ企業Integrity360、スウェーデンのNetsecureを買収
2023年5月11日 ベンチャーキャピタルのCrosspoint Capital、カナダのAbsolute Softwareを8.7億ドル（約1168億円）で買収