----------------------------------------------------------------------
中国全人代、改正国家機密保護法を採択を採択（3/12配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・中国全人代、改正国家機密保護法を採択 5月1日から施行
・米国CISA、大学のサイバーセキュリティクリニック支援ガイドを発行
・欧州議会、サイバーセキュリティ能力を強化する新規則「サイバー連帯法」に暫定合意
・米国CISA、オープンソースエコシステムの安全性を確保するための新たな取り組みを発表

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2024年2月27日 中国全人代、改正国家機密保護法を採択 5月1日から施行
中国全人代は国家機密保護法の改正案を採択し、5月1日から施行すると発表した。2010年4月以来となる同法の改定は、中国からみた内外情勢の変化と科学技術の発展によりもたらされる新たな課題への対処をめざす目的があると説明している。
科学技術の自立と改善が中国の国力と国家安全の礎という見解に基づき、国家機密・主権・発展利益の保護のために秘密保護技術の革新を支援するための新規定が追加された。また、国家機密保持規定に従ったシステム計画・構築・運用・維持・定期的なリスク評価の実施と監督体制を整えることが義務付けられた。さらに、セキュリティ製品と技術設備を「国家機密の保護における不可欠かつ重要な技術支援」と位置づけ、秘密保護規定と基準の遵守に関する抜き打ち検査や再検査の制度を定めている。
http://www.npc.gov.cn/npc/c2/c30834/202402/t20240228_434899.html
http://www.npc.gov.cn/npc/c2/c30834/202402/t20240228_434897.html
http://www.npc.gov.cn/npc/c2/c30834/202402/t20240228_434895.html

2024年2月28日 米国CISA、大学のサイバーセキュリティクリニック支援ガイドを発行
米国CISAは、大学のサイバーセキュリティクリニックの運営を支援するためのガイドを発行した。大学のサイバーセキュリティクリニックは、非営利団体・病院・地方自治体・中小企業・その他のリソースが不足している組織のデジタル保護体制を強化することを目的とした組織。多様な背景と学術的専門知識を持つ学生を訓練すると同時に、民間のサイバー防衛のための人材パイプラインを開拓している。
発行されたガイドでは、サイバーセキュリティクリニックがどのように利用者をサポートするかについての説明が記載されている。基本的な制度とパートナーシップの説明に加え、提供されるツールやサービス、助成金の仕組みなどについての情報が得られる。
CISAは、サイバーセキュリティクリニックが地方レベルで小規模組織のサイバーセキュリティ体制を強化する上で重要な役割を果たしていると評価し、より多くの大学が自組織にもクリニックを開設することを検討するよう勧めている。
https://www.cisa.gov/news-events/news/cisa-publishes-guide-support-university-cybersecurity-clinics
https://www.cisa.gov/sites/default/files/2024-02/Resources-for-Cybersecurity-Clinics-508c%20%281%29%20%281%29.pdf

2024年3月6日 欧州議会、サイバーセキュリティ能力を強化する新規則「サイバー連帯法」に暫定合意
欧州議会、EUのサイバーセキュリティ能力を強化するための新規則「サイバー連帯法」に暫定合意した。サイバー連帯法は、2023年4月に欧州委がサイバーセキュリティ法（CSA）の部分改正案とともに採択した新規則。EU諸国がサイバーセキュリティの脅威やインシデントをより迅速に検知し、準備・対応するための能力を確立することを目指すもの。
今回暫定合意された内容では、国境を越えたサイバーハブで構成される汎欧州インフラとして「サイバーセキュリティアラートシステム」を設立し、主要なサイバー脅威を素早く効果的に検知できるようにする。
さらに、サイバーセキュリティ緊急事態メカニズムを創設し、インシデント対応能力を強化する。重要インフラサービスへの脆弱性試験の実施が計画されているほか、重大もしくは大規模なサイバーセキュリティインシデントが発生した際に民間のインシデント対応サービスを登用した新たなEUサイバーセキュリティ予備軍が要請に応じて介入できるようにする。
https://www.consilium.europa.eu/en/press/press-releases/2024/03/06/cyber-solidarity-package-council-and-parliament-strike-deals-to-strengthen-cyber-security-capacities-in-the-eu/

2024年3月7日 米国CISA、オープンソースエコシステムの安全性を確保するための新たな取り組みを発表
米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、オープンソースソフトウェア（OSS）コミュニティのリーダーを招集した2日間のOSSセキュリティサミットの中で、オープンソースエコシステムの安全性を確保するための新たな取り組みを発表した。サミットでは、オープンソースの脆弱性への対応に関する机上演習やパッケージマネージャーのセキュリティに関するラウンドテーブルディスカッションが行われた。
CISAはパッケージリポジトリと緊密に連携し、パッケージリポジトリが遵守すべきセキュリティ原則の採用を促進していく考えを示した。これは、オープンソースセキュリティ財団（OpenSSF）のセキュリティ保護ソフトウェアリポジトリワーキンググループが2月に公開したベストプラクティス集で、セキュリティ成熟度の自己評価のための枠組みなどが解説されている。
https://www.cisa.gov/news-events/news/cisa-announces-new-efforts-help-secure-open-source-ecosystem
https://www.cisa.gov/news-events/alerts/2024/02/08/cisa-partners-openssf-securing-software-repositories-working-group-release-principles-package
https://repos.openssf.org/principles-for-package-repository-security

----------------------------------------------------------------------
【3】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年3月5日 イギリスのSaaSプロバイダHornetsecurity、フランスの電子メールセキュリティベンダVadeを買収
2024年3月5日 イスラエルCycode、AIを活用した静的コードセキュリティテストのスタートアップBearerを買収
2024年3月5日 CrowdStrike、データセキュリティポスチャ管理のFlow Securityを買収