----------------------------------------------------------------------
JCICコラム 「【2024年度】海外サイバーセキュリティ・プライバシー政策動向の解説」（5/27配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCICコラム 「【2024年度】海外サイバーセキュリティ・プライバシー政策動向の解説」
・米国下院、州自治体によるAI規制の制限を含む「The One Big Beautiful」法案を可決
・英国チャタムハウス、宇宙サイバーセキュリティを強化する枠組みに関する研究
・米国NIST、脆弱性の新評価指標「LEV」を提案
・韓国当局、SKテレコム社の大規模侵害を受け情報保護投資拡大について議論
・ユーロポール、国際パートナーと協力し情報窃取マルウェア「Lumma Stealer」を無力化

----------------------------------------------------------------------
【2】JCICコラム 「【2024年度】海外サイバーセキュリティ・プライバシー政策動向の解説」
----------------------------------------------------------------------
【2024年度】海外サイバーセキュリティ・プライバシー政策動向の解説
今回のコラムでは、2024年度（2024年4月～2025年3月）に配信した146件のJCIC海外ニュースのトレンドを分析し、2024年度の政策動向を占う重要な出来事の解説を行う。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1c

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2025年5月13日 米国下院、州自治体によるAI規制の制限を含む「The One Big Beautiful」法案を可決
米国下院予算委員会は、州自治体によるAI規制の制限を含む「The One Big Beautiful法案」を可決した。同法案は、減税措置や国境警備の強化といったトランプ大統領の主要政策を包含する広範な立法案であるが、中でも「州および自治体が独自のAI規制を実施することを10年間禁止する」条項が注目を集めている。
このAI条項は、技術革新の阻害を防止する意図のもと導入されたとされ、各州自治体はAIモデルやAIシステムに関する規制を定めることを10年間禁じられることになる。これにより、AIガバナンスの権限は連邦政府に一元化される見通しである。
同条項には批判も多く、40名の州司法長官から成る超党派連合は、企業による未完成で責任のないAI開発を懸念し、上院に対し本法案の否決を強く求めている。
https://docs.house.gov/meetings/IF/IF00/20250513/118261/HMKP-119-IF00-20250513-SD003.pdf
https://waysandmeans.house.gov/wp-content/uploads/2025/05/The-One-Big-Beautiful-Bill-Section-by-Section.pdf
https://coag.gov/press-releases/attorney-general-phil-weiser-bipartisan-ag-letter-congress-artificial-intelligence-regulations-5-16-25/

2025年5月15日 英国チャタムハウス、宇宙サイバーセキュリティを強化する枠組みに関する研究
英国のシンクタンクであるチャタムハウスは、宇宙空間におけるサイバーセキュリティの強化を目的とした新たな枠組みに関する研究論文を発表した。本論文では、NATO加盟国に対する宇宙資産へのサイバー攻撃リスクの高まりを背景に、これに対処するための協調的かつ積極的な戦略の必要性が強調されている。
提案された枠組みは、「緩和（Mitigation）」「適応（Adaptation）」「レジリエンス（Resilience）」の三層から成り立っており、これらを通じて宇宙基盤資産の防御を多層的に構築することを目的としている。
また、NATO内での防衛責任の変化に対応するためには、加盟国間で宇宙セキュリティに関する協力を強化し、長期的な安定性を確保することが不可欠であると論じている。その上で、NATOがその集団的抑止力と作戦上の回復力を維持するためには、加盟国が統一されたサイバーレジリエンス戦略を採用する必要があると強調した。
https://www.chathamhouse.org/2025/05/securing-space-based-assets-nato-members-cyberattacks/01-introduction

2025年5月19日 米国NIST、脆弱性の新評価指標「LEV」を提案
米国国立標準技術研究所（NIST）は、脆弱性管理の新たな指標として「LEV（Likely Exploited Vulnerabilities）」を提案するホワイトペーパー（CSWP41）を公表した。
NISTは、毎年公開される数万件の脆弱性のうち、実際に悪用されるのはごく一部であり、どの脆弱性が悪用されるかを予測することは企業の脆弱性対策の効率性と費用対効果を高める上で重要であると説明する。現在は、不正確な値を持つエクスプロイト予測スコアリングシステム（EPSS: Exploit Prediction Scoring System）や網羅的でない可能性のある既知の悪用脆弱性リスト（KEV:Known Exploited Vulnerabilities Catalog）などが利用可能であるが、今回提案されるLEVは、EPSSやKEVを補完する可能性があると述べている。
https://csrc.nist.gov/pubs/cswp/41/likely-exploited-vulnerabilities-a-proposed-metric/final

2025年5月22日 韓国当局、SKテレコム社の大規模侵害を受け情報保護投資拡大について議論
韓国科学技術情報通信部は、韓国インターネット振興院（KISA）および情報保護産業協会と共に、国内の情報セキュリティ投資の水準を先進国並みに引き上げる方策について協議を行った。本協議は、今月明らかとなったSKテレコム社（SKT）の大規模情報侵害を契機として実施され、需要拡大に対応するセキュリティ業界の成長戦略や制度・政策の改善策が主な議題となった。
2024年のSKTの情報保護投資額は約600億ウォン（約60億円）で、韓国大手通信KT社による投資額の約1218億ウォン（約127億円）の半分未満、LGグループの通信企業U+社の投資額約632億ウォン（約65億）に及ばず、事業規模に対する投資規模が小さい可能性が指摘された。さらに、KTおよびLG U+が2022年から2024年の間にそれぞれ約19％、約116％の投資増を記録した一方で、SKTは約4％の減少を示している点にも懸念が示された。なお、KTおよびLG U+も過去に大規模な情報流出事件を経験しており、KTは2012年および2014年に合計約2,000万人の個人情報が流出、LG U+は2023年に約30万件の顧客情報が不正取引サイトに掲載され、個人情報保護委員会より課徴金を科されている。
このような状況を踏まえ、韓国国会立法調査処は、SKTのセキュリティ投資の脆弱性を構造的問題と位置づけ、「情報通信網の利用促進及び情報保護等に関する法律」や「情報通信基盤保護法施行令」の改正を通じた制度的対応の必要性を説いた。
SKTのインフラネットワークセンター長は、日次ブリーフィングにおいて、現在進行中のセキュリティ診断結果に基づき中長期的な情報保護投資計画を策定中であり、従来を大幅に上回る投資が実施される方針を表明した。
https://www.msit.go.kr/bbs/view.do?sCodemPid=208&bbsSeqNo=94&nttSeqNo=3185826
https://www.nars.go.kr/report/view.do?cmsCode=CM0018&brdSeq=47567

2025年5月22日 ユーロポール、国際パートナーと協力し情報窃取マルウェア「Lumma Stealer」を無力化
ユーロポールは、マイクロソフトや日本のJC3らと協力し、世界最大級の情報窃取マルウェアである「Lumma Stealer」の基盤を無力化した。
Lumma Stealerは、サイバー犯罪者が侵入先の端末から認証情報、金融情報、個人情報などの機密データを自動的に収集するインフォスティーラーと呼ばれるタイプのマルウェアであり、盗まれたデータは専用のオンラインマーケットプレイスを通じて売買されていた。
マイクロソフトの報告によれば、2025年3月16日から5月16日の間に、全世界で394,000台を超えるWindows端末がLummaに感染していたことが確認されている。本件を受けて、国際的なサイバーセキュリティ連携体制の下、被害の拡大防止とインフラの解体に向けた追跡調査と技術的措置が実施された。被害者とLummaのC2（コマンド・アンド・コントロール）サーバとの通信を遮断するため、JC3を含む各国の捜査機関によって合計1,300以上のドメインが押収または移管された。そのうち少なくとも300のドメインは法的措置に基づいて対応され、最終的にすべてのドメインはマイクロソフトが管理するシンクホールサーバにリダイレクトされた。
https://www.europol.europa.eu/media-press/newsroom/news/europol-and-microsoft-disrupt-world%E2%80%99s-largest-infostealer-lumma

----------------------------------------------------------------------
【4】5月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年5月15日 Orca Security、クラウドセキュリティにエージェントAIを活用するOpusを買収
2025年5月15日 仏Ekinops、企業向けサイバーセキュリティソフトウェアプロバイダーOlfeoを買収
2025年5月21日 ProofPoint、コンプライアンス対応を支援するAI企業Nucleiを買収
2025年5月22日 Fortinet、イスラエルのSaaS保護スタートアップ企業Suridataを買収