----------------------------------------------------------------------
米国SEC、重大なサイバーインシデントを4日以内に開示するよう義務付ける新規則（8/1配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国CISA、選挙コミュニティ支援のため地方選挙セキュリティアドバイザーを設立
・FBI長官、サイバー脅威サミットで人工知能に関するFBIの立場を表明
・中国公安局、武漢地震監視センターへのサイバー攻撃被害を外国政府を背景とする犯行と表明
・米国SEC、重大なサイバーインシデントを4日以内に開示するよう義務付ける新規則

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年7月25日 米国CISA、選挙コミュニティ支援のため地方選挙セキュリティアドバイザーを設立
米国CISAは、選挙コミュニティへの支援強化の一環で地方選挙セキュリティアドバイザー制度を設立した。
これまでは重要インフラ向けにセキュリティアドバイザーを配置していたが、今後は10の地方に専任の選挙セキュリティアドバイザーを設置する予定。
CISAは、選挙セキュリティアドバイザーは、州や地方の選挙管理者とCISAとの間にさらに強力な関係性を構築するのに役立ち、過去数年間にCISAが行ってきた地方支援の取り組みをより発展させるものになると述べた。
https://www.cisa.gov/news-events/news/cisa-establishes-regional-election-security-advisors-strengthen-front-line-support-election
https://www.cisa.gov/director-easterlys-remarks-national-association-state-election-directors-summer-conference

2023年7月26日 FBI長官、サイバー脅威サミットで人工知能に関するFBIの立場を表明
FBIのレイ長官は、主催したサイバー脅威サミットの基調講演で、サイバー犯罪者が人工知能を武器化しており、機械学習モデルが洗練されるにつれて生じる脅威もさらに深刻化すると警告した。一方で「捜査で収集した膨大なデータをトリアージして優先順位を付ける」など、捜査を支援するために人工知能を活用する方法を模索していることにも触れた。
また、外国情報監視法（FISA）第702条によってFBIに与えられた権限が世界中でサイバー犯罪を取り締まる能力の鍵であると述べた。その際、第702条が情報収集を許可しているのは外国の諜報監視対象者に関する情報のみであり、米国国民の情報収集は許可されていないと強調した。そして、米国民と経済をサイバー脅威から守る上での官民パートナーシップが重要であると訴え、協力を呼びかけた。
https://www.fbi.gov/news/stories/fbi-director-lays-out-bureau-s-stance-on-artificial-intelligence-at-cyber-threat-summit

2023年7月26日 中国公安局、武漢地震監視センターへのサイバー攻撃被害を外国政府を背景とする犯行と表明
中国公安局と武漢市危機管理局は、武漢地震監視センターが外国政府を背景とするハッカー集団によるサイバー攻撃を受けているとする公開声明を発表した。
調査は、中国の国家コンピューターウイルス緊急対応センターおよびセキュリティ企業360による監視結果に基づいている。
武漢地震監視センターの声明によると、地震データを迅速に収集するフロントエンドのネットワーク機器の一部にバックドアが埋め込まれていることが判明したことから、同センターは関連するネットワーク設備を遮断し、管轄の公安当局に被害を報告した。技術分析結果からは、地震速報ステーションが収集した震度データを不正に制御し、盗み出す技術が用いられたことが判明したという。軍事防衛施設は震度などの要因を考慮する必要があることから、地震の強さやマグニチュードなどのデータは国家安全保障と密接な関係がある。
一部の政府系メディアは、今回のサイバー攻撃について米国の情報機関を非難した。中国外交部は、同国のサイバーセキュリティを守るために必要な措置を講じるとコメントするに留まり、現段階では米国との関連性については明言していない。
https://www.mfa.gov.cn/fyrbt_673021/202307/t20230726_11118093.shtml
https://china.huanqiu.com/article/4DsrUzXedOz
https://www.globaltimes.cn/page/202307/1295064.shtml
https://mp.weixin.qq.com/s/dfrxMP4uT8807SZpOk1rlg

2023年7月26日 米国SEC、重大なサイバーインシデントを4日以内に開示するよう義務付ける新規則
米国SECは新たなサイバーセキュリティ規則を採択し、重大なサイバーインシデントの4日以内の開示やサイバーリスク管理に関する情報の年次開示を義務付ける。規則は、連邦官報への掲載から30日後に発効する。
新規則の下では、米国の上場企業は発生したサイバーインシデントが「重大」であると判断した時点から4日以内に開示しなければならない。また、インシデントの特徴、範囲、時期、影響または「合理的に起こりうる重大な影響」に関する詳細をForm 8-Kに従って開示することを求められる
さらに、サイバーリスク管理について、サイバー脅威のリスクに対する取締役会のガバナンス、重大なリスクの評価と管理における経営陣の役割と専門知識についての説明が求められこととなり、Form 10-Kに従った年次報告が義務付けられる。
なお、米国で事業を行う他国の非公開企業に対しても、重大なサイバーインシデントはForm 6-Kに、サイバーリスク管理情報についてはForm 20-Fに従い同等の開示を行うことを求めている。
https://www.sec.gov/news/press-release/2023-139
https://www.sec.gov/files/rules/final/2023/33-11216.pdf

----------------------------------------------------------------------
【3】7月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年7月6日 アラブ首長国連邦（UAE）の防衛企業EDGE Group、同国のサイバーセキュリティ企業OryxLabsを買収
2023年7月5日 ドイツのIT企業Bechtle、フランスのサイバーセキュリティ企業Apixitを買収 仏当局の承認待ち
2023年7月5日 米医療系サイバーセキュリティ企業のAnatomy IT、MarsdenAdvisors社の米国向けメディケア事業部門を買収
2023年7月10日 米大手Honeywell、イスラエルのOTサイバーセキュリティ企業SCADAfenceを買収
2023年7月10日 TPG、Forcepointの政府・重要インフラ関連の国際部門を24.5億ドル（約3,386億円）で買収する計画を発表
2023年7月19日 CISO Global、米国の諜報機関・特殊作戦コミュニティのメンバーが設立したSB Cyberを買収
2023年7月25日 仏Thales、米国のサイバーセキュリティ企業ImpervaをThoma Bravoから36億ドル（約5千億円）で買収