----------------------------------------------------------------------
米国CISA、インターネット公開された管理インターフェイスへの対処を義務付け（6/20配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISA、インターネット公開された管理インターフェイスへの対処を義務付ける運用指令
・欧州議会、欧州AI法案に関する共通見解を採択　法案の最終検討へ
・米MITRE、「AIセキュリティのための良識ある規制の枠組み」を発表
・米国CISAおよび複数の国際パートナー、LockBitランサムウェアに関する共同アドバイザリを公開

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年6月13日 米国CISA、インターネット公開された管理インターフェイスへの対処を義務付ける運用指令
米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、インターネットに公開された管理インターフェイスへの対処を義務付ける運用指令を発出した。この運用指令には拘束力があり、連邦政府機関は規定された内容を実施する必要がある。
背景には、サイバー攻撃グループによる不適切な設定や脆弱なソフトウェアで動作するネットワーク機器等への不正アクセスが増加しているという課題がある。対象は連邦情報システムに関係するルーターやスイッチ、ファイアウォールなどのネットワーク機器のうち、管理インターフェースがインターネットに公開され、HTTPやSSHなどのプロトコルを通じた管理を行えるもの。ただし、WebAPIやクラウドサービスの管理インターフェースには適用されない。
CISAは、対象デバイスとインターフェースをスキャンし検出事項を各機関へ通知する予定。通知をうけた機関は、14日以内に管理インターフェースへのインターネットアクセスを削除するか、ゼロトラストアーキテクチャによる保護を行わなければならない。
https://www.cisa.gov/news-events/directives/binding-operational-directive-23-02

2023年6月14日 欧州議会、欧州AI法案に関する共通見解を採択　法案の最終検討へ
欧州議会、欧州AI法案に関する共通見解を採択した。今後は欧州議会、欧州連合理事会、欧州委員会がEU法案の内容を交渉する三者対話（トリローグ）の枠組みに進む。
採択されたAI法案は「高リスクのAIアプリケーション」を全面的に禁止する条文を含む。欧州議会は高リスクAIを「人々の健康、安全、基本的権利または環境に重大な危害を及ぼすAIシステム」と定義した。これには「有権者に影響を与えるために使用される可能性のあるシステム」や「4500万人以上のユーザを持つSNS企業が使用する推薦システム」などが該当する。また、性別や人種のような機微な情報を使用する生体分類システムや犯罪捜査システムの禁止についても議論された。
議会は今後、基盤となるAIモデルの提供者に対して、潜在的なリスクを評価・軽減した上で、欧州市場にリリースする前にEUのデータベースへの登録を義務付ける予定。また、ChatGPTのような生成AIシステムには、コンテンツがAIによって生成されたことの開示を義務化し、ユーザーがAI生成物を区別可能とすることを目指す。
https://multimedia.europarl.europa.eu/en/webstreaming/press-conference-by-roberta-metsola-ep-president-brando-benifei-and-dragos-tudorache-rapporteurs-on_20230614-1400-SPECIAL-PRESSER
https://www.europarl.europa.eu/news/en/press-room/20230609IPR96212/meps-ready-to-negotiate-first-ever-rules-for-safe-and-transparent-ai
https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.html

2023年6月14日 米MITRE、「AIセキュリティのための良識ある規制の枠組み」を発表
米国の非営利研究機関MITREは、AIセキュリティ規制について議論したレポート「AIセキュリティのための良識ある規制の枠組み」を発表した。
AI規制の潜在的な選択肢を検討し、AIの開発と利用を形作るためのガードレールを確立する方法を提唱することが目的とされている。
レポートの特徴として、AIがもたらすメリットを維持しながら安全性を担保するために、システム工学の高度な専門知識を適用するというアプローチをとっている。従来のソフトウェア保証要件に加えてAI保証要件を満たすことを求めるという基本提言に加え、業界別の固有ユースケースに基づいた保証の必要性にも言及している。また、検証の視点から、AIシステムの監査可能性や自動化されたAIセキュリティテストなどを検討することを求めている。
https://www.mitre.org/news-insights/publication/sensible-regulatory-framework-ai-security

2023年6月14日 米国CISAおよび複数の国際パートナー、LockBitランサムウェアに関する共同アドバイザリを公開
米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、連邦捜査局（FBI）とオーストラリア、カナダ、英国、フランス、ドイツ、ニュージーランド各国のセキュリティ機関と共同でLockBitランサムウェアに関するアドバイザリを公開した。
LockBitは、世界で最も多くの被害者を生んだランサムウェアのひとつであり、2023年現在も積極的に活動していしている。LockBitランサムウェアは、Ransomware-as-a-Service （RaaS）モデルで運用されている。アフィリエイターが募集され、多くの実行部隊が関与するため、観察される戦術・技術・手順（TTP）が多岐にわたると説明されている。
公開されたアドバイザリでは、LockBitランサムウェアによるインシデントで観察された事象を詳細に説明し、推奨されるセキュリティ対策が提示されている。
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a
https://www.cisa.gov/sites/default/files/2023-06/aa23-165a_understanding_TA_LockBit_0.pdf
https://www.ncsc.gov.uk/news/ncsc-international-partners-lockbit-ransomware-threat

----------------------------------------------------------------------
【3】6月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年6月 6日 AIソリューションを提供するBlattner Technologies、サイバーセキュリティ企業のJigsaw Security Enterpriseを買収
2023年6月 8日 blackpoint、MSP事業の技術開発のためベインキャピタルから1億9,000万ドル（約265億円）の成長投資
2023年6月13日 NSO退役軍人設立のセキュリティスタートアップKodem、ベンチャーキャピタル等から2,500万ドル（約35億円）の資金を調達
2023年6月13日 仏Thales、オセアニア地域で政府・防衛セクター向けの大手サイバーセキュリティ企業Tesserentを買収