----------------------------------------------------------------------
JCICレポート「情報セキュリティ政策の礎を固める ～無謬主義を乗り越えて～ 」（6/6配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICレポート「情報セキュリティ政策の礎を固める ～無謬主義を乗り越えて～ 」
・中国CAC、米大手半導体メーカーマイクロン社製品のサイバーセキュリティ審査不合格を発表
・米国財務省、北朝鮮による不正なサイバー活動に関与した団体などを制裁
・オランダ政府、政府ウェブサイトの「security.txt」標準規格への準拠を必須化
・米国FTC、セキュリティカメラメーカーをプライバシー侵害などにより提訴
・Cisco Systems、生成AIを活用したサイバーセキュリティ強化のためArmorbloxを買収

----------------------------------------------------------------------
【2】JCICレポート「情報セキュリティ政策の礎を固める ～無謬主義を乗り越えて～ 」
----------------------------------------------------------------------
サイバーセキュリティ政策分野に詳しい三角育生氏が日本の同政策史をひもとくシリーズ。第4回は、内閣官房情報セキュリティセンター（NISC）総括担当内閣参事官などを歴任した関啓一郎氏をお迎えし、話をうかがいます。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1a

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2023年5月21日 中国CAC、米大手半導体メーカーマイクロン社製品のサイバーセキュリティ審査不合格を発表
中国国家インターネット情報弁公室（CAC）は、米大手半導体メーカーのマイクロン社の製品がサイバーセキュリティ審査において不合格になったと発表した。
今回の審査は本年3月に実施通達が出されていたもので、実施の理由についてCACは「中国国内で販売される製品のサイバーセキュリティ上の問題により、中国の重要情報インフラの安全が脅かされることを防ぐことが目的であり、国家安全の維持のために必要な措置」と説明していた。
審査結果には「同社製品には深刻なサイバーセキュリティ上の問題があり、中国の重要情報インフラのサプライチェーンへの潜在的なリスクと、中国の国家安全保障に影響を及ぼすことが判明した」と記載されている。さらに、サイバーセキュリティ法等に基づき、中国国内の重要情報インフラの運営者に対してマイクロン製品の購入中止が要請された。
http://www.cac.gov.cn/2023-05/21/c_1686348043518073.htm
http://www.cac.gov.cn/2023-03/31/c_1681904291361295.htm

2023年5月23日 米国財務省、北朝鮮による不正なサイバー活動に関与した団体などを制裁
米国財務省外国資産管理局（OFAC）は、悪意のあるサイバー活動へ関与することで北朝鮮政府への不正送金や違法な資金調達を支援したとして4つの団体と1人の個人を制裁対象とした。米国は、北朝鮮が大量破壊兵器や弾道ミサイル計画などの開発資金獲得のために不正なサイバー活動を実施し、暗号資産収益などを生み出すためにIT労働者を不正就労させていると主張している。
またOFACは、北朝鮮の代表的なサイバー教育機関の1つである平壌オートメーション大学が悪意のあるサイバー攻撃者の訓練を担当しており、訓練を受けた者が北朝鮮偵察総局 （RGB）のサイバー部隊で不正なサイバー活動に関与していると指摘している。
https://home.treasury.gov/news/press-releases/jy1498

2023年5月30日 オランダ政府、政府ウェブサイトの「security.txt」標準規格への準拠を必須化
オランダ政府のデジタルトラストセンターは、オランダ政府のウェブサイトは、5月25日以降「security.txt」標準規格に準拠する必要があると告知した。
「security.txt」は、ウェブサイトで発見された脆弱性の報告を受け付ける連絡先情報などを記載するファイルで、各サイトがそれぞれのsecurity.txtをアップロードすることで、倫理的ハッカーが脆弱性に対処するために適切な担当者や部門に速やかに連絡できるようにすることを目的とする標準規格。
オランダの地方自治体、州、中央政府、その他すべての行政機関で義務化され、公共部門の他の組織にもこの標準を早々に適用するよう促している。
https://www.digitaltrustcenter.nl/nieuws/securitytxt-verplicht-voor-overheid

2023年5月31日 米国FTC、セキュリティカメラメーカーをプライバシー侵害などにより提訴
米国連邦取引委員会（FTC）は、ホームセキュリティカメラメーカーのRing社をプライバシーとセキュリティに関する基本的な対策を行ったとして提訴した。訴状では消費者に次のような被害が発生したと記されている。
- 同社の従業員による不適切な監視が消費者のプライバシーを侵害した
- 消費者の同意なしに動画をアルゴリズムの訓練に使用された
- アカウント管理システムの脆弱性に対応せず、数年にわたり約5.5万人の動画やプロファイルが不正アクセスをうけた
FTCが連邦裁判所に提出した執行命令案は、消費者へ総額580万ドル（約8億円）の返金と違法に取得した映像から得られたデータ、モデル、アルゴリズムなどのデータプロダクトの削除を求めている。
https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-says-ring-employees-illegally-surveilled-customers-failed-stop-hackers-taking-control-users

----------------------------------------------------------------------
【4】5月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年5月10日 アイルランドのセキュリティ企業Integrity360、スウェーデンのNetsecureを買収
2023年5月11日 ベンチャーキャピタルのCrosspoint Capital、カナダのAbsolute Softwareを8.7億ドル（約1,168億円）で買収
2023年5月16日 IBM、イスラエルのデータセキュリティ体制管理 （DSPM）サービス企業Polar Securityを買収
2023年5月23日 米国のサイバーセキュリティ企業Meriplex、ペンシルバニア州を拠点とするMSPのSystems Solutionを買収
2023年5月31日 Cisco Systems、生成AIを活用したサイバーセキュリティ強化のためArmorbloxを買収 電子メールセキュリティを強化