----------------------------------------------------------------------
米国FTC、児童オンラインプライバシー保護規則を改正する規則作成提案(1/21配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・ポール・モール・プロセス、商業的サイバー侵入能力のあり方に関する報告書を掲載
・米国FTC、児童オンラインプライバシー保護規則を改正する規則作成提案
・米国CISA、OT製品を調達する際のセキュリティ考慮事項を公表
・米国CISAおよびJCDC、AIサイバーセキュリティのコラボレーションプレイブックを公開
・NATO、海底重要インフラ防衛を目的とした「バルトセントリー」ミッションを開始
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年1月8日 ポール・モール・プロセス、商業的サイバー侵入能力のあり方に関する報告書を掲載
英仏政府の主導する国際イニシアティブ「ポール・モール・プロセス」は、商業的サイバー侵入能力の責任ある利用に関する報告書を公表した。ポール・モール・プロセスは、国家による商用スパイウェアの利用事案の増加などをうけ、商業的なサイバー侵害能力の責任ある利用のあり方を議論するため英仏が主導する形で2024年2月に発足した。商業的サイバー侵入ツール・サービスの適正な開発や売買の指針および政策の報告制を確立することを目指している。日本を含む25以上の国や機関、民間企業・市民団体等が広く参加している。
今回の報告書は、2024年8月から10月にかけて実施された商業的サイバー侵入能力の責任ある利用の事例に関する意見募集および有識者協議の結果をとりまとめたもの。ポール・モール・プロセスによる成果の位置づけであり、英仏両政府の政策的見解を示すものではない。
主要な意見として、現状の商業的サイバー侵入ツール・サービス市場におけるインセンティブ構造は不均衡であるとするものが多く寄せられており、政府等による高額な取引が望ましくない利用の慣行を助長していると指摘されている。また、商業的サイバー侵入能力の定義や範囲が不明瞭であり、セキュリティへの貢献よりも負の側面が過剰に強調されてしまっているという声もある。AI等の新興技術が当該市場に与える影響も懸念すべき課題として挙げられた。
また、政府や民間企業による実践についてもまとめられている。政府の責任ある実践としては、各国における指針の明確化、政府調達の見直し、輸出管理、不正取り締まり、国際協力などが挙げられ、民間については責任ある振る舞いの推奨、脆弱性管理、サプライリチェーン管理、顧客管理などに関連する施策が紹介された。その他の観点では、誤って巻き込まれた被害者への救済、脅威リサーチャーの保護、責任ある投資などについて触れられている。
今後、2025年年4月にパリで本報告書をもとにしたカンファレンスが開催される予定であり、その後には共同行動計画の策定などが予定されている。
https://www.gov.uk/government/publications/the-pall-mall-process-consultation-on-good-practices-summary-report
https://www.gov.uk/government/publications/the-pall-mall-process-declaration-tackling-the-proliferation-and-irresponsible-use-of-commercial-cyber-intrusion-capabilities/the-pall-mall-process-tackling-the-proliferation-and-irresponsible-use-of-commercial-cyber-intrusion-capabilities
2025年1月11日 米国FTC、児童オンラインプライバシー保護規則を改正する規則作成提案
米国連邦取引委員会(FTC)は、児童オンラインプライバシー保護規則(COPPA)の改正に関する規則作成提案を通知した。COPPAは、2000年に施行されたウェブサービスなどが13歳未満の児童の個人データを収集する際に保護者からの検証可能な合意を得ることを義務付ける規則。
今回の改正は、2019年に行われた同規則を対象とした意見募集から続く検討を反映したもので、規則改正は2013年以来となる。技術の進歩と児童のオンライン安全のベストプラクティスの変化を規則に反映させることを目的としており、主な改正事項は以下の通り。
・混合対象サービスの定義(児童と一般の両方を対象とするサービスに対する要件を定義する)
・個人情報の範囲の拡大(生体識別データや政府発行ID等を追加する)
・保護者の同意手続きの強化(第三者の広告サービス等に児童のデータを提供する場合、保護者からの追加のオプトイン同意を必須とする)
・サービス運営者の責任の強化(通知、情報セキュリティ、データの保持・削除規則などを明確化する)
・セーフハーバープログラムの透明性向上(FTCの承認における情報開示、評価基準、報告要件等を定める)
最終規定は官報掲載から60日後に発効する。規則の対象となる事業体は、発効日から原則として1年以内に改正内容に準拠する必要がある。
https://www.ftc.gov/terms/childrens-online-privacy-protection-act-coppa
https://www.ftc.gov/legal-library/browse/federal-register-notices/16-cfr-part-312-coppa-final-rule-amendments
https://www.ftc.gov/system/files/ftc_gov/pdf/coppa_sbp_1.16_0.pdf
2025年1月13日 米国CISA、OT製品を調達する際のセキュリティ考慮事項を公表
米国のサイバーセキュリティ・社会基盤安全保障庁(CISA)は、ファイブアイズ各国および欧州のパートナーと連携し、OT(運用技術)製品を調達する際に考慮すべきセキュリティ基準をまとめたガイドを公表した。
CISAは本ガイドの策定にあたり、多くのOT製品はセキュア・バイ・デザインの原則に基づいて設計されておらず、脆弱な認証、既知のソフトウェア脆弱性、制限されたログ、安全でないデフォルト設定およびパスワード、非セキュアなレガシープロトコルなどのリスクを抱えていると指摘する。これを受け、本ガイドでは、産業用オートメーションや制御システムを含むOT製品の購入プロセスにセキュリティを統合する方法が示されている。具体的には、調達プロセスにおいて優先すべきセキュリティ要素やメーカー選定基準について言及し、構成情報管理機能やベースライン製品におけるログ記録など計12の基準についてメーカーに尋ねるべき質問や考慮事項などを解説している。
https://www.cisa.gov/resources-tools/resources/secure-demand-priority-considerations-operational-technology-owners-and-operators-when-selecting
https://www.cyber.gov.au/resources-business-and-government/governance-and-user-education/secure-by-design/secure-demand-priority-considerations-operational-technology-owners-and-operators-when-selecting-digital-products
https://www.ncsc.gov.uk/news/help-selecting-secure-ot-products-face-cyber-threat
2025年1月14日 米国CISAおよびJCDC、AIサイバーセキュリティのコラボレーションプレイブックを公開
米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、官民サイバー防衛共同体(JCDC)と連携して、AIサイバーセキュリティのコラボレーションプレイブックを公開した。JCDCは、CISAが主催するサイバー防衛のアジェンダについて政府と民間が継続的な議論と対応を行うための枠組み。
この文書は、AIプロバイダー・開発者・利用者を含むAIコミュニティ向けに、インシデントや脆弱性に関する情報を自発的に共有する方法に関するガイダンスを提供している。特に積極的な情報共有によって運用コラボレーションを強化し、AIシステムの回復力を向上させる以下の事項について解説している。
・JCDCパートナーに、AIシステムに関連するインシデントや脆弱性に関する情報を自主的に共有する方法を指導する
・共有情報を受け取った後、CISAが取る可能性のあるアクションを説明する
・重要インフラ全体にわたるAIサイバーセキュリティのリスクに対する認識を高めるコラボレーションを促進し、AI技術のセキュリティとレジリエンスを強化する
https://www.cisa.gov/news-events/news/cisa-jcdc-government-and-industry-partners-publish-ai-cybersecurity-collaboration-playbook
2025年1月14日 NATO、海底重要インフラ防衛を目的とした「バルトセントリー」ミッションを開始
NATOは、海底重要インフラの保護強化を目的とした新たな防衛活動「バルトセントリー」ミッションを開始した。背景には、昨年末以降バルト海域においてロシア船籍を含む妨害行為とされる事件が相次ぎ、エネルギー供給ラインや通信ケーブルが被害を受けていることがある。
NATOはバルト海同盟国首脳会議を開催し、社会不安定化を狙ったサイバー攻撃や海底ケーブルの破壊工作を含む脅威が増加していると警鐘を鳴らした。同時に、戦略的地域における重要インフラを保護するため、監視と抑止を強化する必要性を強調した。新たな取り組みとして、海軍ドローン小艦隊の展開を含む先進技術の導入が発表されている。
また、米国では、国家安全保障副顧問(サイバー・新興技術担当)が北欧およびバルト諸国と会談を行い、海底ケーブル保護に関する協力関係の深化を議論した。この会談では、海底インフラが重要公共サービス、国際商取引、デジタル経済の基盤を支えるものであり、その安全性と回復力の確保が国際社会にとって不可欠であると再確認された。今後、共同声明の実施を通じてこの取り組みを具体化する必要性が改めて強調された。
https://www.nato.int/cps/en/natohq/news_232122.htm
https://abcnews.go.com/International/wireStory/nato-announces-new-mission-protect-undersea-cables-baltic-117650774
----------------------------------------------------------------------
【3】1月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年1月9日 Darktrace、セキュリティ調査プラットフォームのCado Securityを買収