----------------------------------------------------------------------
コメンタリー「英国のサイバーエコシステム」（11/5配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・コメンタリー「英国のサイバーエコシステム（英国視察報告）」
・米国保健福祉省、病理学研究所のランサムウェア被害で180万人への影響を発表
・米国SEC、サイバーセキュリティに関する重大な誤解を招く開示により4社を告発
・ファイブアイズ、共通セキュリティガイドライン「セキュアイノベーション」を発表
・米国CISA、重要インフラのセキュリティとレジリエンスに関連する国際戦略計画を発表

----------------------------------------------------------------------
【2】コメンタリー
----------------------------------------------------------------------
2024年5月に英国のInnovate-UKから招待を受け、樋田主任研究員が日本の視察団の一員として英国の組織と議論を交わしてきました。本コラムでは、英国のイノベーションの取り組みを説明し、政府としてスタートアップ企業への支援を行っている事例を紹介します。
https://www.j-cic.com/reports.html#org_ovrvw1b

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2024年10月18日 米国保健福祉省、病理学研究所のランサムウェア被害で180万人への影響を発表
米国保健福祉省（HHS）とコロラド州の病理学研究所Summit Pathologyの調査により、同研究所で4月に発生したランサムウェア攻撃の結果、180万人以上の患者の個人情報が漏洩したことが分かった。
このインシデントは、従業員がフィッシングメールの添付ファイルを開封したことが原因とされ、患者の氏名・住所・医療請求情報・診断情報・社会保障番号・支払い情報などの機密情報が含まれていたことが確認された。
犯行はMedusaランサムウェアグループによるものとされ、アメリカの医療機関が報告したものの中で最大規模のデータ漏洩のひとつとして注目されている。Summit Pathologyは事件発覚後、直ちにFBIへ報告し、24時間以内にITシステムの復旧を行った。また、影響を受けた患者に対しては、最大100万米ドルの保険金払い戻しを含むID盗難防止補償サービスを提供している。
同研究所では従業員へのセキュリティ研修を行っていたが、本件により患者データ保護の不備が問われており、現在8件の連邦集団訴訟が提起されている。
https://www.summitpathology.com/notice-of-data-breach/
https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

2024年10月22日 米国SEC、サイバーセキュリティに関する重大な誤解を招く開示により4社を告発
米国証券取引委員会（SEC）は、サイバーセキュリティに関するリスクやインシデントの開示において重大な誤解を招く内容を開示したとして、Unisys・Avaya・Check Point・Mimecastの4社を告発した。2020年のSolarWinds Orionソフトウェア侵害事件に関する調査の一環で指摘され、4社は制裁金として少なくとも99万米ドル（約1.5億円）から最大400万米ドル（約6億円）までの支払いに合意している。
SECによれば、これらの企業はサイバーセキュリティインシデントの発生を把握していながら、その影響の範囲や性質について適切に開示せず、情報公表を最小限に抑えた。SECは連邦証券法のもとで、リスク要因の開示において誤解を招く「半真実」の提供を禁じており、重大なサイバーセキュリティ侵害を過小評価することが投資家にとってリスクとなると指摘した。
https://www.sec.gov/newsroom/press-releases/2024-174

2024年10月28日 ファイブアイズ、共通セキュリティガイドライン「セキュアイノベーション」を発表
ファイブアイズ情報パートナーシップ加盟国である米国、英国、カナダ、オーストラリア、ニュージーランドは、テクノロジー業界を国家安全保障上の脅威から守るための共通セキュリティガイドライン「セキュアイノベーション」を発表した。この取り組みは、従来英国サイバーセキュリティセンター（NCSC）および国家保護安全局（NPSA）が独自に行っていたが、今回の発表によりファイブアイズ諸国全体で地域別に調整したバージョンが提供されることとなった。ガイドラインは、企業が現在直面する脅威への対応を強化し、ビジネス保護に必要な措置を特定することを目的としており、英国ではすでに500社以上のテクノロジー企業がカスタムアクションプランを作成し活用している。また、ガイドラインはNPSAの公式ウェブサイトに掲載され、各国の技術スタートアップがアクセス可能となっている。
https://www.ncsc.gov.uk/news/five-eyes-launch-shared-advice-tech-startups
https://www.npsa.gov.uk/secure-innovation

2024年10月29日 米国CISA、重要インフラのセキュリティとレジリエンスに関連する国際戦略計画を発表
米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、2025～2026年国際戦略計画を発表し、同庁初となる包括的な国際戦略の枠組みを示した。
この計画は、重要インフラのセキュリティとレジリエンスに関する国家安全保障覚書に基づいており、米国および国際パートナーが直面する脅威や課題に対応するための具体的目標が設定されている。計画には、CISAが目指すべき3つの主な目標が掲げられている。まず、米国が依存する海外インフラのレジリエンスを強化し、対外依存の安全性を高めること。次に、国際的なサイバー防衛の統合を強化し、脅威の早期探知と効果的な対策を講じる能力を向上させること。そして、国際活動における機関調整を統一し、協力の一貫性と効率性を確保することである。CISAはこの計画を通じて、国際的なサイバーセキュリティの強化と持続可能なインフラ防衛の基盤作りを目指すとしている。
https://www.cisa.gov/news-events/news/cisa-releases-its-first-ever-international-strategic-plan
https://www.cisa.gov/2025-2026-cisa-international-strategic-plan

----------------------------------------------------------------------
【4】10月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年10月 8日 Cloudflare、クラウドセキュリティのスタートアップ企業Kiveraを買収
2024年10月10日 Relyance AI、企業のAIイノベーション保護に向け3,200万ドル（約487億円）のシリーズB資金調達
2024年10月15日 Marlink、海事産業向けサイバーセキュリティソリューションのPort-ITを買収
2024年10月21日 Sophos、Secureworksを8億5,900万ドル（約1,300億円）で買収　投資会社Thoma Bravoが支援
2024年10月29日 Proofpoint、データセキュリティポスチャ管理（DSPM）のNormalyzeを買収