Loading...

Loading...

JCIC海外ニュースクリップ

------------------------------------------------------------------------
JCIC海外動向ニュースクリップ(2018/11/20)
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】第二回JCICアドホック会合レポート
【3】研究員コメント
【4】海外政策動向一覧
【5】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・第二回JCICアドホック会合レポート
・米国議会、サイバーセキュリティ庁の設置法案を可決
・ブリティッシュ・エアウェイズの顧客情報が最大13億円で売りに出される
・BlackBerryがエンドポイントセキュリティのCylance社を買収

------------------------------------------------------------------------
【2】第二回JCICアドホック会合レポート
------------------------------------------------------------------------
2018年11月15日(木)、JCICオフィスにて「第二回JCICアドホック会合」を開催しました。前回(10月25日)に引き続き、JCIC会員企業の方に参加いただき、活発な議論を行いました。

■自社で守らなければならないものとは
前回の議論では、「サイバーセキュリティは自社の存続を守るために不可欠である」という点について、多くの参加者の意見が一致しました。そこで、今回は「そもそも、自社で守らなければならないものは何か」という問いから議論を開始しました。
参加者からは、「製品やサービスも重要であるが、最も重要なのは自社ブランドであり、ブランドこそが守るべきものである」という考えが複数出ました。また、参加者からは「社会インフラや人命を守ることが自社の責任である」という説明があり、社会を守るための仕組みがデジタル技術に依存してきているためサイバーセキュリティが重要になってきているという意見がありました。

■他の経営リスクとは何が違うのか
次に、多種多様な経営リスクの内、サイバーリスクは他のリスクとどこが違うのかという点について意見交換を行いました。「自然災害などのリスクは目に見えるが、サイバーリスクは見えないため、経営者が自分事と捉えてくれない」、「他のリスクと違い、サイバー攻撃は人の悪意が背景にあるため予測が難しい」という意見が出ました。また、「経営者によって考え方が異なるため正解はない。多種多様な経営リスクの内、どれを優先するのかを最終的には経営者の責任で決めること」という意見もありました。

■経営者に響かせるために、どう伝えるべきか
そして、既にホラーストーリーへの耐性ができてしまっている経営者に対して、どうすればサイバーセキュリティを自分事として捉えてもらえるかということについて、事例やアイデアが共有されました。「相手に合わせたコミュニケーションやフォーマットが必要。例えば、上司がアナログ人間なら、新聞の切り抜きが有効である」、「謝罪を想定した記者会見訓練を社長に受けてもらっている」という事例が共有されました。また、「重要なことは、サイバー攻撃の手口の説明ではなく、自社がどのような影響を受けるのかという結果を伝えることがポイントである」、「破壊/停止/盗難/改ざんのどれが最も怖いかという分かりやすい話から入るのが良い」という意見が共有されました。

今後も、専門家や経営者との議論を重ね、何のためのサイバーセキュリティなのかという点を追求していきます。成果物として、新たにサイバーセキュリティ担当幹部を担うことになった方向けの手引き書にまとめる予定です。

------------------------------------------------------------------------
【3】研究員コメント
------------------------------------------------------------------------
米国の「サイバーセキュリティ庁」の設置法案が米国下院の満場一致で可決された。年内にもトランプ大統領が署名をし、正式承認される見込みだ。このサイバーセキュリティ庁は、米国国土安全保障省(DHS)を再編成して組織化される。国家的なリスク管理の一環として、サイバーセキュリティと重要インフラ保護を一元的に管理する体制となる。

一方、日本では10月末に笹川平和財団が「日本にサイバーセキュリティ庁の創設を」という政策提言を発表した。サイバー攻撃に一元的に対応する実務機関として、現行の内閣サイバーセキュリティセンター(NISC)を発展的に改編・強化し、内閣府外局に「サイバーセキュリティ庁」を設置するという趣旨である。経済産業省や総務省などが現在行っている研究開発・人材育成・国際連携の機能を、このサイバーセキュリティ庁に統合する内容になっている。

米国のサイバーセキュリティに関連する政府組織は、DHSの他、中央情報局(CIA)、連邦捜査局(FBI)、国防総省(DOD)、国家安全保障局(NSA)など多岐にわたる。米国のサイバーセキュリティ庁がどのように政府機関をリード・連携していくのかという点は、日本の政策に非常に参考になるはずであるため、今後の動向に注視したい。

------------------------------------------------------------------------
【4】海外政策動向一覧(2018年11月10日~11月16日)
------------------------------------------------------------------------
2018年11月12日 中国政府、ネット上のアカウント約9800件を摘発
中国の国家インターネット情報弁公室は、国家のイメージを損ねたり、デマを広げたりしたとして、ネット上のアカウント約9800件を摘発したと発表した。読売新聞によると、スマートフォン向けの無料通話アプリ「微信(ウィーチャット)」や中国版ツイッター・微博ウェイボーなどで開設されていたアカウントの多くが閉鎖されたとのこと。
https://www.yomiuri.co.jp/world/20181113-OYT1T50078.html

2018年11月13日 米国議会、サイバーセキュリティ庁の設置法案を可決
米国下院は満場一致で米国国土安全保障省(DHS)内に設置される「サイバーセキュリティ庁」の設置法案を可決した。トランプ大統領の署名をもって正式承認される。このサイバーセキュリティ庁は、既存の組織を再編成し、サイバーセキュリティとインフラ保護を一元的に管理する体制を構築する。
https://www.dhs.gov/news/2018/11/13/congress-passes-legislation-standing-cybersecurity-agency-dhs

2018年11月14日 ブリティッシュ・エアウェイズの顧客情報が最大13億円で売りに出される
英紙デーリー・テレグラフによると、ブリティッシュ・エアウェイズ(BA)のウェブサイトから盗難された約25万人分の顧客情報がネット上に売り出されているとのこと。1件あたり9~50USドル(1000~5700円)で売りに出されており、総額は最大で13億円にのぼる可能性がある。
https://www.telegraph.co.uk/technology/2018/11/13/stolen-details-nearly-400000-british-airways-customers-sale/

2018年11月15日 DHS、サプライチェーン・リスクマネジメント・タスクフォースの第一回会合を開催
米国国土安全保障省(DHS)は、10月30日に情報セキュリティに関するサプライチェーン・リスクマネジメント・タスクフォースの設立を発表し、11月15日に第一回会合を開催した。政府と民間企業がサプライチェーン保護に関するガイドラインなどを開発する予定である。TechCrunchの報道では、民間企業からアクセンチュア、シスコ、ファイアアイ、マイクロソフトなどが参加し、政府からはDHS、国防省、司法省などが参加したとのこと。
https://www.dhs.gov/news/2018/10/30/dhs-and-private-sector-partners-establish-information-and-communications-technology
https://techcrunch.com/2018/11/15/tech-giants-take-seats-on-homeland-securitys-new-supply-chain-task-force/

------------------------------------------------------------------------
【5】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
11月2日 英国のTimicoがMSP事業を提供する25sevenIT社を買収
11月5日 シマンテックがAppthority社とJavelin Networks社を買収
11月5日 投資会社のThoma BravoがアプリケーションセキュリティのVeracode社を買収
11月7日 アプリケーションセキュリティのCheckmarx社がDevSecOpsソリューションのCustodela社を買収
11月9日 ネットワークセキュリティのForeScout社が制御セキュリティのSecurityMattersを買収
11月16日 BlackBerryがエンドポイントセキュリティのCylance社を買収