----------------------------------------------------------------------
欧州委員会、コモンクライテリアに基づくEUサイバーセキュリティ認証スキームを採択（2/6配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・欧州ENISA、欧州共通データスペースに関する報告書を公開
・スペイン情報保護庁、オンライン上の子どもの安全を最優先事項とする指針を公表
・欧州委員会、コモンクライテリアに基づくEUサイバーセキュリティ認証スキームを採択
・欧州ENISA、サイバーセキュリティ評価市場に関するレポートを公開
・米国CISA長官、下院特別委員会で中国のサイバー脅威から国家を守るための取り組みについて発言

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2024年1月26日 欧州ENISA、欧州共通データスペースに関する報告書を公開
欧州サイバーセキュリティー庁（ENISA）は、データガバナンス法に登場するデータエコノミニーに向けた新概念「欧州共通データスペース」に関する報告書を公開した。報告書では、欧州共通データスペースにおいて個人データの保護をどのように設計するかについて考察されている。製薬領域で想定される2種類のユースケースをもとに、情報の悪用やデータ侵害、その他のセキュリティ脅威によるリスクを最小限に抑えながらデータを共有するための現実的な選択肢を検討。具体的には、データ管理者のための設計原則、データ保有者またはデータ仲介者がマスキング技術および汎化技術を実用的に展開する方法、適切な技術的・組織的保護に関する検討事項が紹介されている。
https://www.enisa.europa.eu/publications/engineering-personal-data-protection-in-eu-data-spaces

2024年1月29日 スペイン情報保護庁、オンライン上の子どもの安全を最優先事項とする指針を公表
スペイン情報保護庁（AEPD）は、インターネットおよびそのサービス利用における児童・青少年の効果的な保護を促進するための行動指針「未成年者・デジタルヘルス・プライバシーに関する世界戦略」を発表した。同戦略には、国内外の機関との協力を念頭に、（1）規制協力（2）国内および国際レベルでの未成年者の権利保障（3）違法かつ有害な行為に対する調査・制裁権限の行使 を軸とした10の重点行動目標と35の対策が含まれている。また、教育とデジタルヘルスやウェルビーイングに関する協調戦略についても言及している。
AEPDは、欧州データ保護委員会の未成年者に関するガイドラインの作成に参加し、未成年者向けサービスにおけるニューロデータと意識に相関した脳活動の取り扱いの規制、年齢確認システムを実装したアプリ制作を推進している。さらに、ペアレンタルコントロールツールや教育機関で使用されるツールを分析し、データ保護規制の遵守を確認するとともに、年齢に応じたプライバシーとデジタルヘルスに関する影響評価の実施を奨励するほか、デジタル研修や教材などを家庭に提供するという。
https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-agencia-presenta-su-estrategia-global-sobre-menores-salud-digital-y-privacidad

2024年1月31日 欧州委員会、コモンクライテリアに基づくEUサイバーセキュリティ認証スキームを採択
欧州連合サイバーセキュリティ庁（ENISA）によって起草されたコモンクライテリアに基づく欧州サイバーセキュリティ認証スキーム（EUCC）が、EUサイバーセキュリティ認証フレームワーク内の最初のスキームとして欧州委員会に採用された。
新しいスキームの下でICTサプライヤーは、EU域内の共通認識となる評価プロセスを経て、技術コンポーネント（チップ、スマートカード）・ハードウェア・ソフトウェアなどにEUCC認証を取得することができる。現在ENISAは、EUCCの他にも2つのサイバーセキュリティ認証スキーム（クラウドサービスに関するEUCS、5Gセキュリティに関するEU5G）に取り組んでいる。
https://www.enisa.europa.eu/news/an-eu-prime-eu-adopts-first-cybersecurity-certification-scheme

2024年1月31日 欧州ENISA、サイバーセキュリティ評価市場に関するレポートを公開
欧州連合サイバーセキュリティ庁（ENISA）は、サイバーセキュリティ評価市場に関するレポートを公開した。このレポートは、ICT製品およびクラウドサービスのサイバーセキュリティ評価市場の現状を明らかにすることを目的としたもの。調査は、過去5年間に評価されたICTソリューションと評価機関の数の推移に着目して行われた。また、規格、国家、民間、認証スキームなど、ICTソリューションのサイバーセキュリティを評価するさまざまな方法や主体も考慮されている。ICT製品については、スキームや評価方法の数が年々増加しているという結果が示された。
https://www.enisa.europa.eu/publications/cybersecurity-market-assessments

2024年1月31日 米国CISA長官、下院特別委員会で中国のサイバー脅威から国家を守るための取り組みについて発言
米国サイバーセキュリティ・インフラセキュリティ庁（CISA）の長官であるジェン・イースタリー氏が、米国と中国共産党の戦略的競争に関する下院特別委員会で中国がもたらすサイバー脅威から国家を守るためのCISAの取り組みについて発言した。「CISA、NSA、FBI、業界パートナーによって中国の悪質な活動が明らかになったことから、CISAはこの脅威が現実的かつ緊急であることを認識し、現在行動している」と述べた。
サイバーセキュリティによって国家安全保障は重大な岐路にあるとの見解を示し、緊急の呼びかけとして5点に言及した。
（1）サイバーセキュリティは国家安全保障の課題であるため、すべてのサイバーインシデント被害者は、個々に対する脅威が多数にとっての脅威であることを認識し、CISAまたはFBIに都度報告する必要がある。
（2）すべての重要インフラ事業者は、CISAとの関係を確立し、中国のサイバー攻撃者によって悪用されている脆弱性の特定と修復を支援するためのCISAの無料サービス、特に脆弱性スキャンプログラムに登録する必要がある。
（3）すべての重要インフラ事業者は、CISAのサイバーセキュリティパフォーマンス目標、およびサプライチェーン全体を対象とするサイバー衛生への必要な投資を推進するために、NSAおよびFBIとの共同勧告を参照し、サービスを利用する必要がある。
（4）すべての重要なインフラ事業者は、レジリエンスへの取り組みを倍増させる必要がある。攻撃の予測と対応の準備をし、重要なシステムの運用継続性をテストし、障害があっても動作し、迅速に回復して米国民にサービスを提供し続けることができることを確認する必要がある。
（5）最後に、すべての技術メーカーは、設計上安全な製品を構築、テスト、出荷する必要がある。セキュリティを優先し、責任あるイノベーションを推進するソフトウェア開発者たちにとって測定可能な注意基準とセーフハーバー規定に基づいたソフトウェア責任制度によって支えられる未来に向かって進まなければならない。
https://www.cisa.gov/news-events/news/opening-statement-cisa-director-jen-easterly

----------------------------------------------------------------------
【3】1月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年1月1日 防衛産業向けセキュリティ成熟度評価を手掛ける米Synagex、Ascentekの買収によりMSP事業を強化
2024年1月3日 SentinelOne、クラウドセキュリティ機能拡張のためPingSafeを買収
2024年1月3日 Airbus、AtoSのサイバーセキュリティ部門へ最大18億ユーロ（約2873億円）での買収を提案
2024年1月11日 IDソリューションの米HID、豪ZeroSSLの買収でPKIソリューションを強化
2024年1月16日 投資会社Accel-KKR、American Expressから金融サイバーセキュリティ企業Accertifyを買収
2024年1月25日 Zscaler、サイバーセキュリティスタートアップのAvalorを最大買収額3.5億ドル（約52億円）で交渉中
2024年1月26日 Option3、Onclave Networksを買収し、ゼロトラスサイバーセキュリティプラットフォームを開始
2024年1月31日 Ark Infotech、Slauth.io を買収し、AIベースのアイデンティティ管理ソリューションを強化