Loading...
------------------------------------------------------------------------
JCIC海外動向ニュースクリップ(2018/10/16)
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】研究員コメント
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・全米取締役協会「来年度計画における4つの重要な質問」の解説
・ヒースロー空港、個人情報の紛失により約1800万円の罰金
・英国NCSC、学生向けのサイバー・スクール・ハブを開校
・投資会社のThoma BravoがクラウドセキュリティのImperva社を買収
------------------------------------------------------------------------
【2】研究員コメント
------------------------------------------------------------------------
2019年度の日本政府のサイバーセキュリティに関する予算概算要求が先日公開されたが、民間企業でも、今の時期から来年度の事業計画や予算策定に着手している企業が多いであろう。サイバーセキュリティは、日々脅威が増加・多様化している分野であるため、数ヶ月先の計画を策定することは非常に困難を極める。そこで今回は、計画策定や役員への上申の参考となる情報として、17,000人の取締役が参加するNPO法人である全米取締役協会(NACD)が企業役員に向けて発行した「2019年のサイバーセキュリティ計画における4つの重要な質問(※)」について触れる。
[来年度セキュリティ計画における役員が質問すべき4つの重要な事項]
1. 当社の現在のセキュリティ状況をどう評価しているか?
2. 当社のセキュリティレベルは業界標準と比べて劣っているのか?
3. 取引先(委託先、サプライチェーン等)のリスクは適切に管理できているのか?
4. 当社のセキュリティ投資は効果的か?
これらの質問の意図は、現状の課題と解決策を役員が理解し、どのような残存リスクがあるのかを把握することにある。サイバーセキュリティの責任者が的確に回答するためには、日ごろの社内外の情報収集と整理が欠かせない。この記事では役員の意思決定を促進するために、セキュリティ評価やパフォーマンスの定量化が効果的であると結論付けている。
現在、JCICでは役員会でどのようにサイバーリスクについて議論されているかという国内・海外事例を調査している。また、セキュリティ評価やパフォーマンスの定量化についても深掘りしている。今後、役員にサイバーリスクを的確に理解してもらうための日本企業への示唆をまとめていきたい。
(※)全米取締役協会(NACD)「2019年のサイバーセキュリティ計画における4つの重要な質問」
https://blog.nacdonline.org/posts/four-questions-cybersecurity-2019
------------------------------------------------------------------------
【3】海外政策動向一覧(2018年10月6日~10月12日)
------------------------------------------------------------------------
2018年10月8日 ENISA、電子署名等に関する初のインシデントレポートを公表
欧州ネットワーク情報セキュリティ庁(ENISA)は、eIDAS規則(欧州の電子署名等に関する規制)に関する初のインシデントレポートを発表した。2017年に13個のインシデントが発生したが、主な原因は人的ミスや取引先の過失であり、外部からのサイバー攻撃は1件のみであった。
https://www.enisa.europa.eu/news/enisa-news/enisa-publishes-annual-report-on-trust-services-security-incidents-2017/
2018年10月8日 ヒースロー空港、従業員情報を含んだUSBメモリの紛失により約1800万円の罰金を課される
英国の情報コミッショナーオフィス(ICO)は、重大な情報保護違反をしたヒースロー空港に対して、約1800万円の罰金を課すと発表した。ヒースロー空港では、パスワード保護されていないUSBメモリが社内で広く利用されていることや、十分な従業員教育を行っていないことも判明した。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/10/heathrow-airport-limited-fined-120-000-for-serious-failings-in-its-data-protection-practices/
2018年10月9日 米国国防総省、軍事システムのサイバーセキュリティに関する報告書を公表
米国国防総省(Department of Defense)は、兵器や装備品等の軍事システムのサイバーセキュリティに関する報告書を公表した。約180兆円の軍事システム予算を費やしているのにも関わらず、ほぼ全てのシステムに脆弱性が見つかった。
https://www.gao.gov/assets/700/694913.pdf
2018年10月10日 IMF、最新経済報告書でサイバーセキュリティの重要性を強調
IMF(国際通貨基金)は、「World Economic Outlook(世界経済見通し)」を発表した。この報告書の中では、世界経済成長に対する下振れリスクを指摘し、金融の安定化のためには、サイバーセキュリティの強化が必要であることを指摘した。
https://www.imf.org/ja/Publications/WEO/Issues/2018/09/24/world-economic-outlook-october-2018
2018年10月11日 米国NCCIC、サイバー犯罪で利用される無償ツールに関する注意喚起
米国土安全保障省(DHS)内の国家サイバーセキュリティ通信統合センター(NCCIC)は、英国、カナダ、オーストラリア、ニュージーランドと協力して、サイバー犯罪で利用される無償ツールに関する注意喚起を行った。対象となるツールは、JBiFrost、China Chopper、Mimikatz、PowerShell Empire、HUC Packet Transmitterの5種類。
https://www.us-cert.gov/ncas/current-activity/2018/10/11/NCCIC-Releases-Joint-Alert-Worldwide-Malicious-Activity-Using
2018年10月12日 英国NCSC、学生向けのサイバー・スクール・ハブを開校
英国の国家サイバーセキュリティセンター(NCSC)は、ロンドンのグロスターにサイバー・スクール・ハブを初めて開校した。この施設では、3Dプリンタ、バーチャルリアリティ、疑似サイバー攻撃環境等の最新設備が備わっており、学生はサイバーセキュリティの理解を深めることができる。
https://www.ncsc.gov.uk/news/gloucester-children-benefit-groundbreaking-cyber-hub
------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
10月3日 投資会社のThoma Bravoがエネルギー向けソリューションを提供するQuorum Software社に出資
10月3日 パロアルトネットワークス社がクラウドセキュリティのレッドロック社を買収
10月5日 サイバーセキュリティのログ分析等を提供するElastic社がナスダックに上場 【IPO情報】
10月10日 投資会社のThoma BravoがクラウドセキュリティのImperva社を買収
10月11日 豪州のOptus Cyber Security社がシングテル傘下のHivint社を買収