------------------------------------------------------------------------
海外サイバーセキュリティ・プライバシー政策動向の解説
------------------------------------------------------------------------
JCIC主任研究員 上杉謙二
2021年4月19日
JCICでは、海外の最新動向をまとめ、メルマガ形式で全会員とオブザーバー組織などに「JCIC海外ニュース」を毎週配信している。また、配信の翌月には、JCICのウェブサイト(
Link)に掲載し、広く閲覧できるようにしている。この海外ニュースでは、基本的にセキュリティ事故や脆弱性情報、技術情報は取り扱うことはせず、海外の政策動向を中心に配信することで、日本企業のビジネス視点での施策検討の一助となることを目的としている。
今回のコラムでは、2020年度(2020年4月~2021年3月)に配信した184件のJCIC海外ニュースの傾向を分類し、今後の動向に影響を与えうる記事を解説する。
JCIC海外ニュース内訳
2020年度のJCIC海外ニュースのカテゴリの内訳を以下のグラフに示す。
海外政府機関などによる「レポートの公表」が22%と最も多く、プライバシー保護などに関する「法制度関連」が20%と続いた。また、「ガイドラインの公表」が17%、サイバー攻撃情報や脆弱性などの「注意喚起」が17%、「政策動向」が16%となった。
図表1 JCIC海外ニュースのカテゴリ内訳
国別にみると、米国を取り上げたニュースが最も多く4割を占めた。続いて、EUが23%、英国10%、中国5%という内訳であった。今後は、アジア圏(中国、韓国、台湾、シンガポール、オーストラリア)のニュース記事にも注力していきたい。
図表2 JCIC海外ニュースの国別内訳
注目すべき動向と研究員コメント
1) 海外政府機関などによるレポートの公表
2020年9月11日国際サイバー能力指数、日本は9位
科学・国際情勢を研究するハーバード大学ベルファー・センターは、「国際サイバー能力指数2020(National Cyber Power Index 2020)」を発表。総合力は1位が米国、2位以降は中国、英国、ロシア、オランダと続き、日本は9位であった。
https://www.belfercenter.org/publication/national-cyber-power-index-2020
[研究員コメント]
日本は規範や産業、監視、防御の面では比較的高く評価されたが、情報管理や諜報、攻撃力の評価は低かった。2021年夏に見直しが予定されている「次期サイバーセキュリティ戦略」では、”攻撃者との非対称な状況の改善”や”攻撃者に対する抑止”という考え方が含まれる予定と発表されているが、より具体的な方針が明記されるのか注視したい。
2) プライバシー保護などに関する法制度関連
2020年10月16日ブリティッシュ・エアウェイズへのGDPR制裁金を約27億円までに減額
2020年10月30日マリオット・インターナショナルへの制裁金が約25億円までに減額
英国情報コミッショナーオフィス(ICO)は、ブリティッシュ・エアウェイズ(BA)とマリオットの顧客情報が流出したことがGDPRに抵触するとして制裁金を科した。両社の表明書の内容とCOVID-19による経済的影響の両方を考慮し、BAは89%減の約27億円、マリオットは約81%減の約25億円までに制裁金を減額した。
[研究員コメント]
GDPR違反時は、当該企業の全売上高の4%以下もしくは2000万ユーロ(約26億円)以下の制裁金がEU当局から科せられるとされていた。当局から違反の指摘を受けた場合でも、セキュリティ対応状況を丁寧に表明書(Representations)で説明することで、制裁金が見直される場合があるという教訓となった。
2020年6月25日国連欧州経済委員会、自動車セキュリティの新しい国連規制を採択
国連欧州経済委員会(UNECE)は、サイバーセキュリティとソフトウェアアップデートに関する2つの国連規制が採択されたことを発表。
https://www.unece.org/info/media/presscurrent-press-h/transport/2020/un-regulations-on-cybersecurity-and-software-updates-to-pave-the-way-for-mass-roll-out-of-connected-vehicles/doc.html
[研究員コメント]
今後、自動車メーカーなどは、以下4つの原則に従うことが求められる。
・車両サイバーリスク管理
・バリューチェーン(商流)におけるリスク軽減策
・車両のインシデント検知や対応
・ソフトウエア無線更新機能を用いたソフトウェアアップデート機能の実装
日本でも2022年7月以降の新型車で適用されることになっており、規制に順守していない場合、新車が主な市場で発売できなくなる可能性がある。
3) ガイドラインの公表
2020年8月11日 NIST、ゼロトラスト・アーキテクチャ文書の正式版を公開
米国国立標準技術研究所(NIST)は、性悪説に立った概念であるゼロトラスト・アーキテクチャ(ZTA)の定義などをまとめた文書「Zero Trust Architecture(SP800-207)」を公開した。
https://csrc.nist.gov/publications/detail/sp/800-207/final
[研究員コメント]
コロナ禍によって注目されたゼロトラスト・アーキテクチャは、明確な定義がないまま普及していたが、NISTが定義をまとめたことにより、世界中で共通認識が形成されつつある。過去にNISTが「クラウドコンピューティング」を定義したことにより、クラウドが一般ユーザーまで普及したように、本ガイドラインによりゼロトラストの理解が促進されることが期待される。
4) 注意喚起
2020年10月19日英国政府、オリンピックを標的にしたロシアからのサイバー攻撃を確認
英国の国家サイバーセキュリティセンター(NCSC)は、2020年に開催される予定であった東京五輪を妨害することを目的としたサイバー攻撃を確認したと発表した。ロシア軍参謀本部情報総局(GRU)の特殊技術センターが五輪大会の運営を妨害するために犯行に及んだとのこと。
https://www.gov.uk/government/news/uk-exposes-series-of-russian-cyber-attacks-against-olympic-and-paralympic-games
[研究員コメント]
標的となった組織は、大会関係者・組織、交通・物流サービスの他、大会スポンサーも含まれていた。コロナ禍により、リモートワークを行っている関係者も多いことから、セキュリティと利便性のバランスが崩れていることが懸念される。2021年夏の東京オリンピック・パラリンピック競技大会に向け、今一度、セキュリティ態勢を見直す必要があるだろう。
2020年12月13日米国国土安全保障省、政府機関ハッキングを受けて緊急指令を発令
米国国土安全保障省(DHS)は米国連邦行政機関に対するネットワークトラフィック管理ソフト「SolarWinds Orion」の即時利用停止を命じた。当該製品は、米国においてネットワーク管理に広く利用されており、行政機関システムからの情報流出といった重大な影響が発生した可能性が高いと指摘されている。
https://cyber.dhs.gov/ed/21-01/
[研究員コメント]
ITサプライチェーンのリスクが顕在化したケースが目立ってきている。SolarWinds Orionの他、Microsoft Exchange Server、Accellion FTAなどのソフトウェアの脆弱性を突かれた被害が相次いでいる。利用者がITサプライチェーン攻撃を防ぐことは困難であるため、常に情報を収集し、迅速に対策できるようにする必要がある。
5) 政策動向
2020年8月5日米国国務長官、米国資産を守るためのクリーンネットワーク拡大を発表
米国国務長官は、米国民のプライバシーと米国企業の機密情報を悪質な侵入行為から保護するクリーンネットワークプログラムを発表した。このプログラムの5つの取組みとして、クリーンキャリア(通信ネットワーク)、クリーンストア(アプリストア)、クリーンアプリ、クリーンクラウド、クリーンケーブル(海底ケーブル)を掲げ、30以上の国や地域がクリーンな国であると述べた。
https://www.state.gov/announcing-the-expansion-of-the-clean-network-to-safeguard-americas-assets/
[研究員コメント]
クリーンネットワークとは、5Gネットワークから中国企業を排除する動きであり、米中のデカップリング(分断)の一環であると考えられる。米国トランプ政権時代にポンペオ米国務長が打ち出した政策ではあるが、バイデン政権もデカップリングを進めるのか注視したい。
以上
