----------------------------------------------------------------------
米国土安全保障省、重要インフラ事業者のサイバーインシデント報告の調和に向けた勧告（9/26配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・ユーロポール、金融分野へのサイバー犯罪に関する報告書を公開
・米国国家安全保障局ら、ディープフェイクの脅威に関するサイバーセキュリティ情報シートを公開
・米国国防総省が「2023年サイバー戦略要約」を発表
・カナダ、サイバーセキュリティと電気通信法に関する改正法案を下院に提出
・米国土安全保障省、重要インフラ事業者のサイバーインシデント報告の調和に向けた勧告
・Cisco、Splunkを280億ドル（約4兆1000億円）で買収

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年9月11日 ユーロポール、金融分野へのサイバー犯罪に関する報告書を公開
ユーロポールは、「コインの裏側：EUにおける金融経済犯罪の分析」というテーマで初となる脅威評価レポートを公開した。
この報告書は、EU加盟国およびユーロポールのパートナーからユーロポールに提供された情報に基づいてい作成され、マネーロンダリング、汚職、詐欺、知的財産権犯罪、商品・通貨偽造など、EUに影響を及ぼすすべての金融・経済犯罪を分析している。レポートの主な調査結果は以下のとおり。
・EU域内で活動する犯罪ネットワークの70%は、活動資金を調達し、資産を隠すために何らかのマネーロンダリングを利用している
・EU域内で活動する犯罪ネットワークの60%以上が、違法な目的を達成するために腐敗した手段を使用している
・EU域内で活動する犯罪ネットワークの80%は、合法的なビジネス構造を犯罪活動に悪用している
・この分野の犯罪情勢は細分化されており、主要な関与者は多くの場合EU域外にいる
・犯罪者が使用する手法やツールは、技術的および地政学的な発展を利用して急速に進歩している
https://www.europol.europa.eu/media-press/newsroom/news/new-europol-report-shines-light-multi-billion-euro-underground-criminal-economy
https://www.europol.europa.eu/cms/sites/default/files/documents/The%20Other%20Side%20of%20the%20Coin%20-%20Analysis%20of%20Financial%20and%20Economic%20Crime%20%28EN%29.pdf

2023年9月12日 米国国家安全保障局ら、ディープフェイクの脅威に関するサイバーセキュリティ情報シートを公開
米国国家安全保障局（NSA）、連邦捜査局（FBI）、サイバーセキュリティ・インフラセキュリティ庁（CISA）は合同で、ディープフェイクの脅威、技術、使用傾向の概要を示すサイバーセキュリティ情報シート（CSI）「組織に対するディープフェイクの脅威の文脈化」を発表した。
ディープフェイクのような合成メディアからの脅威は指数関数的に増加しており、国家安全保障システム（NSS）、国防総省（DoD）、国防産業基盤（DIB）、国家重要インフラの所有者や運営者など、現代のテクノロジーや通信の利用者にとって、ますます大きな課題となっている。
合成メディアをめぐる社会的関心には、偽情報を広めるように設計された偽情報操作も含まれる。偽情報操作は、混乱、不安、不確実性を引き起こし、政治的、社会的、軍事的、経済的な問題について、大衆に影響を与える。
CISAらは、組織がディープフェイクの脅威に備え、識別し、防御し、対応するための推奨される手順とベストプラクティスについて、CSIを参考にするよう促している。
https://www.cisa.gov/news-events/alerts/2023/09/12/nsa-fbi-and-cisa-release-cybersecurity-information-sheet-deepfake-threats
https://media.defense.gov/2023/Sep/12/2003298925/-1/-1/0/CSI-DEEPFAKE-THREATS.PDF

2023年9月12日 米国国防総省が「2023年サイバー戦略要約」を発表
米国国防総省（DoD）が「2023年サイバー戦略要約」を発表した。
「2023年サイバー戦略」（5月議会提出）は、同省の新たな戦略的方向性として「2022年国家安全保障戦略」、「2022年国家防衛戦略」、「2023年国家サイバーセキュリティ戦略」の優先事項の運用を記載したもので、統合抑止力にサイバー能力を最大化し、国力の他の手段と協調してサイバー空間作戦を採用する方法が概説された。
今回の「サイバー戦略要約」は、長期にわたるサイバー空間での重要作戦（機密分類）の実施から得た教訓と、ロシア・ウクライナ戦争で利用されたサイバー作戦の観察結果を踏まえて、非機密情報を要約した初めての資料となった。
同省以外の機関を支援し、国防産業基盤を保護するためには、DoDのサイバーネットワークとインフラの防衛力、可用性、信頼性、回復力への投資や行動が重要となることを強調している。また、これに加えて同盟国、パートナー、産業界と緊密に協力する必要性があると訴えている。
https://www.defense.gov/News/Releases/Release/Article/3523199/dod-releases-2023-cyber-kstrategy-summary/
https://media.defense.gov/2023/Sep/12/2003299076/-1/-1/1/2023_DOD_Cyber_Strategy_Summary.PDF

2023年9月14日 カナダ、サイバーセキュリティと電気通信法に関する改正法案を下院に提出
カナダ政府は、、サイバーセキュリティと電気通信法に関する改正法案を下院に提出した。
規制当局との協力のもと、国家レベルでの専門職の発展と公共政策対話に取り組むカナダ技術士会が、同国下院の公共安全・国家安全常任委員会に対して、「サイバーセキュリティに関する法律、電気通信法の改正および他の法律の結果的改正（C-26）」に関する意見と勧告を提出した。
セキュリティとレジリエンス能力の強化を図ることが改正の目的で、重要な変更は次の2点となった。
1. カナダの電気通信システムのセキュリティを優先するための電気通信法の改正
2. 国家安全保障と公共の安全に不可欠な重要なサイバーシステムを保護するための重要サイバーシステム保護法の導入
また、カナダ技術司会は、立法プロセスにエンジニアを組み入れることで、エンジニアが持つ専門知識を活用した強固でレジリエンス力が高いサイバーセキュリティ対策の開発が可能になるとの意見を表明した。
https://engineerscanada.ca/public-policy/government-submissions
https://engineerscanada.ca/sites/default/files/government-submissions/SECU%20-%20Bill%20C-26%2C%20An%20Act%20respecting%20cyber%20security%2C%20amending%20the%20Telecommunications%20Act%20and%20making%20consequential%20amendments%20to%20other%20Acts%20.pdf

2023年9月19日 米国土安全保障省、重要インフラ事業者のサイバーインシデント報告の調和に向けた勧告を発表
米国国土安全保障省（DHS）は、連邦政府が国の重要インフラをより適切に保護するためにサイバーインシデントの報告を合理化し、調和させる方法に関する一連の実用的な推奨事項の概要を発表した。
これらの推奨事項は、重要インフラパートナーの負担を軽減し、連邦政府がサイバーインシデントの傾向をより適切に特定できるようにするための明確な道筋を提供するとともに、組織が攻撃を防止、対応、回復できるように支援する。
議会に提出された報告書による勧告は、画期的な「重要インフラのためのサイバーインシデント報告法（CIRCIA）」の要件である。主な勧告には、報告可能なサイバーインシデントのモデル定義、タイムライン、トリガーの確立、連邦機関が採用できるサイバーインシデント報告フォームのモデル作成、単一の報告ウェブポータルの可能性の評価を含むサイバーインシデントに関する情報の報告と共有の合理化などが含まれる。
https://www.dhs.gov/news/2023/09/19/dhs-issues-recommendations-harmonize-cyber-incident-reporting-critical

----------------------------------------------------------------------
【3】9月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年9月6日 仏THALES、投資顧問THOMA BRAVOからの米IMPERVA買収を36億ドル（5300億円）で完了
2023年9月6日 Check Point、 SaaSセキュリティスタートアップのAtmosecを買収
2023年9月13日 Check Point、セキュリティサービスエッジ（SSE）を展開するPerimeter 81 を買収
2023年9月19日 CrowdStrike、アプリケーションセキュリティ態勢管理（ASPM）のBionicを買収
2023年9月19日 Cisco、Splunkを280億ドル（約4兆1000億円）で買収
2023年9月20日 Watchguard、クラウドベースの脅威検出・対応サービスCyGlassを買収
2023年9月21日 Palo Alto Networks、企業向けセキュアブラウザを開発するイスラエルのTalonを6億ドル（約889億円）で買収予定