----------------------------------------------------------------------
米国CISA、AIレッドチームの評価検証フレームワークについての考察を発表（12/3配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・欧州ENISA、NIS2指令の影響評価レポートを公開
・米国CISA、AIレッドチームの評価検証フレームワークについての考察を発表
・英国ロンドン市議会、公共部門に対するサイバー攻撃の増加に注意喚起

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
欧州ENISA、NIS2指令の影響評価レポートを公開
欧州連合サイバーセキュリティ機関（ENISA）は、NIS2指令が加盟国のサイバーセキュリティ投資と組織の成熟度に及ぼす影響を評価したレポートを公開した。欧州各国の政策立案者に向けて、EU全体のサイバーセキュリティフレームワークの有効性を示す証拠を提供することを目的としている。評価のための調査は、すべてのEU加盟国から重要インフラと製造業者をはじめとする1,350の組織を対象に実施された。
主な調査結果として、以下の点が明らかになった。
〇情報セキュリティ投資の割合：情報セキュリティはEUにおけるIT投資全体の9%を占めており、2022年から1.9%増加した
〇ITおよび情報セキュリティ支出の増加：2023年、組織のIT支出の中央値は1,500万ユーロ（約24億円）に達し、情報セキュリティ支出は前年度調査の70万ユーロ（1.1億円）から140万（2.2億円）ユーロへと倍増した
〇サイバー攻撃への懸念：90%の組織が、2024年にサイバー攻撃が増加すると予測しており、攻撃規模やコストの増大を懸念している
〇NIS2指令の認知度：92%の対象組織が、NIS2指令の一般的な内容または具体的な規定を認識している
https://www.enisa.europa.eu/news/navigating-cybersecurity-investments-in-the-time-of-nis-2
https://www.enisa.europa.eu/publications/nis-investments-2024

2024年11月26日 米国CISA、AIレッドチームの評価検証フレームワークについての考察を発表
米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、AIを対象としたレッドチーム演習のフレームワークに関する考察を発表した。同庁は、AIレッドチーム演習が既存の「テスト、評価、検証、確認（TEVV）フレームワーク」に適合する必要があると主張している。使用される具体的なソフトウェアやツールには違いがあるが、AIのTEVVは戦略的および運用的な観点からソフトウェアTEVVに基づいて処理される必要があるとした。
この主張は、TEVVが40年以上にわたってソフトウェアの安全性とセキュリティを向上させるために使用されてきたという事実に基づいているという。AI TEVVとソフトウェア TEVVでは戦術的な実装と技術的な詳細に違いはあるが、戦略的および運用的な観点から見ると2つのプロセスは非常に似ており、この主張を裏付けるすべてのソフトウェアシステムに関する事実として以下の3点を挙げている。
1. ソフトウェアシステムは常に安全上のリスクを抱えている
2. ソフトウェアシステムには妥当性と信頼性のテストが必要
3. ソフトウェアシステムは基本的に確率的である
https://www.cisa.gov/news-events/news/ai-red-teaming-applying-software-tevv-ai-evaluations

2024年11月26日 英国ロンドン市議会、公共部門に対するサイバー攻撃の増加に注意喚起
ロンドン市議会の予算と事業計画を提案するGLA監督委員会は、、2024年における英国公共部門に対するサイバー攻撃の増加を受け、同市および英国の公共機関のサイバー脅威と課題についての会合を開催した。近年、ランサムウェア、フィッシング、DDoS攻撃の脅威が目立っており、公共機関が保有する個人情報や財務データが攻撃の主要な標的となっている。また、重要インフラサービスへの妨害攻撃も重大な懸案事項となっていることも背景にある。
会合では、最近の攻撃から得られた教訓や、サイバーセキュリティ戦略を成功させる上で障壁となる要因の分析（技術的要因・文化的要因）、公共部門が直面する最大の脅威、対策リソースと危機管理計画、GLAに対するサイバー攻撃がロンドンに及ぼす影響などについて議論された。公共部門のデジタル化と依存度の高まり、および国家支援アクターによる攻撃の増加に反して、予算の制約によるサイバーセキュリティへの投資制限や不十分なトレーニング、アクセス制御の欠如といった問題が生じていると指摘され、適切な態勢を整える必要があると注意喚起された。
https://www.london.gov.uk/rise-public-sector-cyber-attacks-and-what-can-be-done
https://www.london.gov.uk/who-we-are/what-london-assembly-does/london-assembly-work/london-assembly-committees/gla-oversight-committee?ac-29263=29259

----------------------------------------------------------------------
【3】11月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年11月1日 Kaseya、SaaS Alertsを買収しMSPサービスラインナップを強化
2024年11月6日 CrowdStrike、SaaSセキュリティサービスのAdaptive Shieldを買収
2024年11月7日 Malwarebytes、AzireVPNを買収しユーザープライバシー保護を強化
2024年11月20日 ITサービス企業N-able、サイバーセキュリティ企業Adluminを買収
2024年11月21日 クラウドセキュリティのWiz、アプリケーションセキュリティのDazzを4億5千万ドル（約695億円）で買収
2024年11月22日 EY、豪州のセキュリティコンサルティング会社J Group Consultingを買収