----------------------------------------------------------------------
米国NSA、「クラウドセキュリティ緩和戦略トップ10」を発表（3/19配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国NSA、「クラウドセキュリティ緩和戦略トップ10」を発表
・米国ODNI、米国情報コミュニティの2024年の年次脅威評価を発表
・韓国KISA、「主要国の宇宙サイバーセキュリティ政策動向調査分析報告書」を発表
・米国議会下院、中国ByteDance社に対しTikTok事業の売却を迫る法案を可決

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2024年3月7日 米国NSA、「クラウドセキュリティ緩和戦略トップ10」を発表
米国国家安全保障局（NSA）は、クラウド環境におけるセキュリティ脅威に対する10大緩和戦略を発表した。成熟したサイバー態勢を持つ組織を含め、設定ミスや放置された脆弱性、監視されていないクラウドシステムなどが攻撃者の標的になっているとして注意を促した。今回選ばれた実施すべき緩和策のトップ10は次の通り。
(1) クラウド共有責任モデルの堅持（2）安全なクラウドIAMの利用（3）安全なクラウド鍵管理の利用（4）クラウド環境のネットワークセグメンテーションと暗号化の実施（5）クラウド環境のデータセキュリティ（6）継続的インテグレーション／継続的デリバリー（CI/CD）環境の防御（7）インフラストラクチャ・アズ・コード（IaC）によるセキュアな自動デプロイメントの実践（8）ハイブリッドクラウドとマルチクラウド環境がもたらす複雑性への対応（9）クラウド環境におけるMSPからのリスクの軽減（10）脅威ハンティングのためのクラウドログの管理
また、多くのクラウドの侵害は設定ミスが原因であることから、ソフトウェアメーカーに対してセキュア・バイ・デザインやセキュア・バイ・デフォルトの原則の強化を求めた。
https://media.defense.gov/2024/Mar/07/2003407860/-1/-1/0/CSI-CloudTop10-Mitigation-Strategies.PDF

2024年3月11日 米国ODNI、米国情報コミュニティの2024年の年次脅威評価を発表
米国国家情報長官室（ODNI）は、米国情報コミュニティの2024年の年次脅威評価を発表した。発表されたレポートは、今後1年間で米国に対し最も直接的かつ深刻な影響を与えるおそれがある脅威を重点的に取り扱っている。
サイバーセキュリティのトピックでは、引き続き中国が米国政府・民間企業・重要インフラのネットワークに対する最大の脅威であると位置付けた。中国のサイバースパイ活動と監視・情報・通信技術の輸出が米国に対する攻撃的なサイバー作戦の脅威を高め、サイバー空間における情報の自由な流れの抑制していると分析した。
また、影響工作に関しては、中国共産党の目標達成を促進するために水面下で影響力を行使する態勢を世界規模で拡大しているとした。親中派のシナリオを普及させるとともに米国が推進するシナリオへ反論し、中国の国際的イメージ・市場参入・専門技術知識などの面で中国政府の国益の脅威となりえる米国や友好国の政策に対抗することを重視していると分析した。
https://www.odni.gov/index.php/newsroom/press-releases/press-releases-2024/3789-odni-releases-2024-annual-threat-assessment-of-the-u-s-intelligence-community
https://www.odni.gov/files/ODNI/documents/assessments/ATA-2024-Unclassified-Report.pdf

2024年3月13日 韓国KISA、「主要国の宇宙サイバーセキュリティ政策動向調査分析報告書」を発表
韓国インターネット振興院（KISA）が、他国の宇宙サイバーセキュリティ政策の分析結果をまとめた報告書「主要国の宇宙サイバーセキュリティ政策動向調査分析報告書」を発表した。宇宙空間のサイバーセキュリティ対策は遅れており、軌道上の資産や地上インフラとの通信システムなどに対して比較的容易にサイバー攻撃が成功するおそれがあるという現状認識に基づき、韓国の宇宙サイバーセキュリティ政策の方向性を検討するための示唆を得るために調査が行われた。米国・EU・日本・ドイツ・中国を対象に、それぞれの宇宙産業の発展・宇宙安全保障政策の動向・宇宙サイバーセキュリティ政策を比較し、分析を行っている。
セキュリティ戦略の統合運用とパートナーシップを強調する欧米からは、韓国の宇宙サイバーセキュリティ政策の策定において「EU宇宙戦略」と「米国宇宙優先順位フレームワーク」を参考にすべきであるとの見解を示している。
日本については米国との連帯が特徴であるとし「宇宙政策基本計画」において日本政府の宇宙安全保障確保の意志が強化されたとしている。また、経済産業省の「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」を引用し、民間事業者がセキュリティ対策を担う部分が多い日本では、政府は各ステークホルダーが検討すべき基本的なセキュリティ対策の検討指針を示すことを重視していると分析し、政府調達の基準としての活用を予定している点にも着目している。これをうけ、韓国も宇宙セキュリティ戦略を具体化し、国際協力や民間事業投資、産官学連携強化などを目的とした法的裏付けを行うべきだと示唆した。
https://www.kisa.or.kr/20301/form?postSeq=26&page=1

2024年3月13日 米国議会下院、中国ByteDance社に対しTikTok事業の売却を迫る法案を可決
米国議会下院は、中国ByteDance社が運営する動画共有アプリTikTokを「敵対国による安全保障上の脅威」と認定し、180日以内に米国内事業を売却しない場合にアプリ配信などを禁止する法案を可決した。法案は今後上院で審議されることになる。
TikTokの周CEOは、TikTok事業を守るために法的措置を含めた対応を検討中であるとコメントした。また、中国商務省も翌14日の記者会見で米国の姿勢が市場経済と公平競争の原則に反すると非難し、外国企業の不当な抑圧をやめない場合は中国の国益を守るためのあらゆる措置を講じると述べた。
https://edition.cnn.com/2024/03/13/politics/house-vote-tiktok-ban-bill/index.html
https://edition.cnn.com/2024/03/14/tech/china-reactions-tiktok-potential-ban-intl-hnk/index.html

----------------------------------------------------------------------
【3】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年3月5日 イギリスのSaaSプロバイダHornetsecurity、フランスの電子メールセキュリティベンダVadeを買収
2024年3月5日 イスラエルCycode、AIを活用した静的コードセキュリティテストのスタートアップBearerを買収
2024年3月5日 CrowdStrike、データセキュリティポスチャ管理のFlow Securityを買収
2024年3月7日 米国のテクノロジー企業のSHI International、セキュリティ企業のMootを買収