----------------------------------------------------------------------
米国証券取引委員会、証券法などへの違反でSolarWinds社およびCISOを告発（11/21配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国証券取引委員会、証券法などへの違反でSolarWinds社およびCISOを告発
・英国NCSC、2023年の年次報告書を発表
・米国CISA、AIロードマップを発表
・SEMI台湾、半導体工場サイバーセキュリティリファレンスアーキテクチャを発表

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2023年11月10日 米国証券取引委員会、証券法などへの違反でSolarWinds社およびCISOを告発
米国証券取引委員会（SEC）は、サイバーセキュリティリスクに関連した詐欺防止規定と報告・内部統制規定違反でSolarWinds社および同社CISOのブラウン氏を告発した。
同社製品のSolarWinds Orionを標的としたサイバー攻撃「SUNBURST」への対応に関連して、1933年証券法と1934年証券取引法の詐欺防止規定、および証券取引法報告と内部統制規定の違反があるとして、ニューヨーク南部地区連邦裁判所に訴状を提出した。SolarWinds社とブラウン氏は、IPOから攻撃発覚までの間にサイバーセキュリティ対策に欠陥があることを認識していたにも関わらず対策を過大評価し、SECに提出した書類でも既知のリスクを過小評価または開示せず、結果として投資家を欺いたと主張している。
訴状はサイバーセキュリティにおけるCISOの役割を理由に、ブラウン氏に対して恒久的な差止命令による救済、予見利息を伴う遺贈、民事処罰、役員および取締役の資格停止を求めている。
https://www.sec.gov/news/press-release/2023-227

2023年11月14日 英国NCSC、2023年の年次報告書を発表
英国国家サイバーセキュリティセンター（NCSC）は、2022年9月1日から2023年8月31日の期間を対象とした年次報告書を発表した。今回の表紙とイラストは、AI画像ジェネレーターを使用して作成されたという。
脅威とリスクの章では、ロシアのサイバー脅威を取り上げ、レジリエンスの章では、英国の重要な国家インフラの保護や英国の次世代サイバー・セキュリティサービスについて言及している。また、Industry 100の取り組みとして日本との間に締結されたJapan-UK Cyber Partnershipもハイライトされている。
https://www.ncsc.gov.uk/collection/annual-review-2023
https://www.ncsc.gov.uk/files/Annual_Review_2023.pdf

2023年11月14日 米国CISA、AIロードマップを発表
米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、AIに関する初のロードマップを発表した。AIの安全な開発と実装を国土安全保障省（DHS）と政府全体の取り組みに追加した。
バイデン大統領は10月、世界規模でAI安全基準の採用を促進する大統領令を公布した。DHSは、米国のネットワークと重要インフラを保護し、AIが大量破壊兵器の製造に利用されるリスクを軽減、AI関連の知的財産に取り組むよう指示されていた。今回のCISAのロードマップはその一環として具体的な取り組みを推進するものと位置付けられる。CISAとしてのAIに対する責任あるアプローチの概要を示す5つの戦略的取り組み方針を概説している。
（1） AIを責任を持って使用して、CISAの使命をサポートする
（2） AIシステムを評価して保証する
（3） AIを悪意のある使用から重要なインフラストラクチャを保護する
（4） 重要なAIへの取り組みについて、省庁間、国際パートナー、一般の人々と協力し、コミュニケーションを図る
（5） 従業員のAI専門知識を拡大する
https://www.cisa.gov/news-events/news/dhs-cybersecurity-and-infrastructure-security-agency-releases-roadmap-artificial-intelligence
https://www.cisa.gov/ai

2023年11月16日 SEMI台湾、半導体工場サイバーセキュリティリファレンスアーキテクチャを発表
国際半導体製造装置材料協会（SEMI）の台湾支部は、半導体工場向けのサイバーセキュリティリファレンスアーキテクチャを発表した。
このアーキテクチャは、半導体を製造する工場が共通して実装すべき最小限のセキュリティ要件の実装を支援するもの。産業用制御システム向けのセキュリティの構造モデル「パデューモデル」をベースに、参照すべきセキュリティ標準や対策規格が対応付けられ、OSの仕様・ネットワークのセキュリティ・エンドポイントの保護・サイバーセキュリティのモニタリングという4つの要素から整理されている。企業のセキュリティ管理者によって、セキュリティ管理策の評価や改善の検討に活用することが期待されている。
台湾では、TSMCがSEMIが発行した半導体装置向けセキュリティ規格SEMI E187を調達要件に採用し、サプライヤーへ準拠を求めるなどSEMI規格による標準化が進んでいる。
https://semi.org/zh/Cybersecurity_Reference_Architecture_for_Semiconductor_Manufacturing_Environment
https://www.semi.org/zh/products-services/semitwn-semiconductor-cybersecurity-service

----------------------------------------------------------------------
【3】11月のM&A/IPO情報詳細
----------------------------------------------------------------------
2023年11月2日 アクセンチュア、スペインの大手サイバーセキュリティ企業Innotec Securityを買収
2023年11月14日 スイスのサイバーセキュリティ企業Boltonshield AG、同国のscanmeterを買収
2023年11月16日 SonicWall、Solutions Granted買収で米国向けのマネージドサービスを拡充
2023年11月16日 米国Yuengling’s Ice Cream、中小企業向けセキュリティサービスのReachOut Technologyを買収