JCIC海外ニュースクリップ

----------------------------------------------------------------------
JCICコラム:サイバー情報開示の義務化がもたらすメリットとは(1/28配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム:サイバー情報開示の義務化がもたらすメリットとは
・米国司法省とFBI、中国政府支援のハッカーが使用するマルウェアを削除する国際作戦を実施
・米国バイデン大統領、退任直前に国家サイバーセキュリティを強化する2度目の大統領令に署名
・米国ホワイトハウス、バイデン元大統領署名の「AIの安全に関する大統領令」を撤回

----------------------------------------------------------------------
【2】JCICコラム:サイバー情報開示の義務化がもたらすメリットとは
----------------------------------------------------------------------
米国証券取引委員会(SEC)は2023年12月から、年次報告書におけるサイバーリスク管理等の開示を義務付けた。日本でもサイバーセキュリティに関する有価証券報告書での情報開示が義務化されることで、株主保護を実現するだけでなく、経営層の意識を向上させることができるのではないか。その結果として、日本企業全体のサイバーセキュリティ成熟度の向上が期待できるはずだ。本コラムでは、上場企業のサイバーセキュリティに関する取組みを有価証券報告書に統一フォーマットで記載することで、株主に対し投資判断や議決権行使に有用な情報を提供する必要性について論じる。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c
----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2025年1月14日 米国司法省とFBI、中国政府支援のハッカーが使用するマルウェアを削除する国際作戦を実施
米国司法省(DOJ)とFBIは、国際的なパートナーと協力して実施した数ヶ月にわたる法執行活動を発表した。「Mustang Panda」および「Twill Typhoon」として知られる中国政府が支援するハッカー集団が使用するとされるマルウェア「PlugX」を各国の感染端末から削除したという。
この国際的な作戦は、フランスの法執行機関と同国に拠点を置く民間セキュリティ企業Sekoia.ioが主導し、感染したデバイスからPlugXバージョンを削除するコマンドを特定した。FBIはこれらのパートナーと協力してコマンドをテストし、その有効性を確認、感染したコンピューターの正当な機能に影響を与えたり、コンテンツ情報を収集したりしていないことを確認した。FBIは、裁判所の認可のもと、被害者のインターネットサービスプロバイダーを通じて、米国内で影響を受けたPCの所有者に通知を行っている。
https://www.justice.gov/opa/pr/justice-department-and-fbi-conduct-international-operation-delete-malware-used-china-backed

2025年1月16日 米国バイデン大統領、退任直前に国家サイバーセキュリティを強化する2度目の大統領令に署名
米国バイデン元大統領は、任期最終週に「国家のサイバーセキュリティにおけるイノベーションの強化と促進に関する大統領令(EO 14144)」への署名を行った。2021年に署名された EO 14028に続き、敵対国からのサイバー脅威へ対処するため国家サイバーセキュリティを強化することを目的としたもの。トランプ新大統領は就任直後に複数の大統領令の撤回を行っているが、現在のところ本件は撤回リストには含まれていない。
本大統領令EO 14144の各条項は、ソフトウェアプロバイダーなどの説明責任向上、連邦政府のネットワークとシステムの管理強化、新技術の利用奨励、サプライチェーンの透明性と安全性確保などの方針を定めている。具体的な施策としては、政府システムおよび重要インフラシステムを対象に次のような規則を盛り込んでいる。
1.機械読み取り可能なサイバーセキュリティ認証の義務化とCISAによる検証一元化
2.重要インフラとしての宇宙システム目録作成と通信セキュリティ担保
3.2030年までに量子耐性暗号へ移行
4.アイデンティティとアクセス管理の強化
5.AI主導のサイバー防衛パイロットプログラムの作成と研究資金の提供
https://www.federalregister.gov/documents/2025/01/17/2025-01470/strengthening-and-promoting-innovation-in-the-nations-cybersecurity
https://www.reuters.com/technology/artificial-intelligence/biden-issue-executive-order-ensure-power-ai-data-centers-2025-01-14/
https://www.cnbc.com/2025/01/16/biden-administration-launches-cybersecurity-executive-order.html

2025年1月20日 米国ホワイトハウス、バイデン元大統領署名の「AIの安全に関する大統領令」を撤回
トランプ新大統領は、バイデン元大統領が2023年に署名した「AIの安全でセキュアな信頼性の高い開発と利用に関する大統領(EO 14110)」を撤回した。
EO 14110は、AI産業における米国の競争力の確保・AIによる市民の自由や国家安全保障に対する脅威の防止・国家的なAI統制アプローチの構築を目的としたもの。この中で、リスク抑制の観点から、AIシステム開発者に対して一般公開の前に安全性テストの結果を米国政府と共有するよう要求していた。この要求事項が民間セクターのAIイノベーションを妨げているとして、2024年共和党綱領ではEO 14110を撤回する方針を掲げられていた。
一方、同じくバイデン大統領によって署名されたAI関係の大統領令のうち、AIデータセンターとクリーン電力設備増設のために政府用地を貸与する大統領令は撤回されなかった。
https://www.whitehouse.gov/presidential-actions/2025/01/initial-rescissions-of-harmful-executive-orders-and-actions/
https://www.reuters.com/technology/artificial-intelligence/trump-revokes-biden-executive-order-addressing-ai-risks-2025-01-21/

----------------------------------------------------------------------
【4】1月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年1月9日 Darktrace、セキュリティ調査プラットフォームのCado Securityを買収
2025年1月15日 米セキュリティ企業AvePoint、MSPプラットフォームYdenticを買収
2025年1月17日 Thoma Bravo傘下のSailPoint、IPOを申請