JCIC海外ニュースクリップ

----------------------------------------------------------------------
欧州ENISA、欧州サイバーセキュリティ認証スキームの適合性評価機関を認定(3/26配信)
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・欧州ENISA、欧州サイバーセキュリティ認証スキームの適合性評価機関を認定
・米国司法省、LockBitの開発者とされる男の米国への身柄引き渡しを発表
・中国CAC、「AI合成コンテンツ標示弁法」を交付 9月1日より施行
・英国NCSC、量子耐性暗号への移行に向けたガイダンスを発行

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年3月13日 欧州ENISA、欧州サイバーセキュリティ認証スキームの適合性評価機関を認定
欧州連合サイバーセキュリティ機関(ENISA)は、サイバーセキュリティ認証スキーム「EUCC(European Union Cybersecurity Certification Scheme)」の発効に伴い、EUCC証明書の発行のための評価と認証を実施する最初の適合性評価機関を正式に認定した。今回の発表は、第8回サイバーセキュリティ認証会議で行われ、フランスやドイツ、スペインなどの機関がリストに名を連ねた。また、EU加盟国は自国の国家サイバーセキュリティ認証機関を指定し、EUCCの適合性評価機関を欧州委員会に通知することが義務付けられた。
EUCCは、ENISAが主導して策定した共通認証フレームワークであり、EU加盟国間におけるサイバーセキュリティ認識の統一と、ICT製品およびサービスの信頼性確保を目的としている。これにより、製品やサービスの提供者は、サイバーセキュリティ水準の証明および市場への参入を支援する目的がある。
同制度は現時点では自主的な認証制度であるが、将来的にはeIDAS規則等、他の法的要件への準拠を証明する手段としての活用が期待されている。ENISAは、EUCCの枠組みが、サイバーセキュリティの透明性と信頼性を高める共通基盤となる可能性があるとしている。
https://www.enisa.europa.eu/news/european-cybersecurity-certification-celebrating-achievements-and-exploring-future-horizons

2025年3月13日 米国司法省、LockBitの開発者とされる男の米国への身柄引き渡しを発表
米国司法省は、イスラエル警察により2023年8月に逮捕されたLockBitランサムウェアの開発者とされる男の身柄が米国へ引き渡されたことを発表した。
この容疑者はロシアとイスラエルの二重国籍を有しており、訴状および提出された証拠書類、法廷での陳述に基づくと、2019年頃から2024年2月にかけてLockBitグループの主要開発者として活動していたとされる。イスラエル警察の捜査により、容疑者のコンピュータからはLockBitビルダーの複数バージョンのソースコードが保存されたダークウェブ上のリポジトリにアクセス可能な管理者資格情報が発見された。また、容疑者がサイバー犯罪フォーラムを通じて、LockBitの主要管理者との間でダイレクトメッセージを交わしていた事実も確認されている。
LockBitは過去数年間にわたり、世界各国の企業や行政機関を標的にした大規模なランサムウェア攻撃で知られており、今回の引き渡しはグローバルなサイバー犯罪対策の一環として重要な進展と位置づけられている。米国当局は今後、連邦裁判所での訴追を進める構えである。
https://www.justice.gov/usao-nj/pr/dual-russian-and-israeli-national-extradited-united-states-his-role-lockbit-ransomware

2025年3月14日 中国CAC、「AI合成コンテンツ標示弁法」を交付 9月1日より施行
中国国家インターネット情報弁公室(CAC)は、工業情報化省、公安省、国家ラジオテレビ総局と共同で「AI合成コンテンツ標示弁法」を公布し、2025年9月1日より施行すると発表した。本弁法は、生成AIによって作成されたコンテンツの識別と標示の明確化を図り、社会公益の保護を目的としたもの。
規定によれば、AI合成コンテンツには「明示的な標示」または「暗黙の標示」のいずれかの形式で識別情報を付すことが義務付けられる。明示的な標示とは、テキスト・音声・画像などを用いたユーザーが視認可能な標示を指し、暗黙の標示は、技術的手段によりコンテンツファイル内に埋め込まれる識別情報(例:隠しロゴ)を意味する。
また、サービス提供者には、関連する深層合成技術やアルゴリズム推薦の管理規定に適合した技術的対策を講じる義務が課される。さらに、いかなる組織または個人も、これらの表示を削除・改ざん・偽造・隠蔽する行為や、それを可能にするツール・サービスの提供が禁止される。
また、同日に国家サイバーセキュリティ標準化技術委員会が「AI合成コンテンツロゴサービスプロバイダーコーディングルール」に関するサイバーセキュリティ標準実務ガイドラインを正式承認しており、国内の技術基盤整備が進められている。
https://www.cac.gov.cn/2025-03/14/c_1743654685899683.htm

2025年3月20日 英国NCSC、量子耐性暗号への移行に向けたガイダンスを発行
英国国家サイバーセキュリティセンター(NCSC)は、将来の量子コンピューティングの脅威を見据え、、量子耐性暗号への移行に向けたガイダンスを発行した。
このガイダンスでは、主要セクターと組織(大規模組織の技術意思決定者やリスク所有者、産業用制御システムを含む重要な国家インフラシステムの運営者、特定のITシステムを持つ企業)が2035年までに量子耐性のある暗号化方式に移行するため、段階的に3つの期限を設けることを提案した。
具体的には、2028年までにITシステムの評価・移行計画を準備し、2031年までに優先度の高いシステムを量子暗号に切り替え、2035年までに全面的な移行を完了する必要があるとしている。
https://www.ncsc.gov.uk/news/pqc-migration-roadmap-unveiled

----------------------------------------------------------------------
【3】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年3月6日 米Armis、OT/ICSセキュリティソリューションのOTORIOを買収
2025年3月11日 米国ZehnTek、BossNine Technologies買収でサービスポートフォリオを強化
2025年3月19日 Google、クラウドセキュリティのWizと320億ドル(約4.8兆円)での買収合意を発表