Loading...
------------------------------------------------------------------------
JCIC海外動向ニュースクリップ(2018/11/27)
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】研究員コメント
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・ENISA、制御システムセキュリティのベストプラクティス集を発表
・トランプ大統領が「サイバーセキュリティ庁」の設置法案に署名
・インターポールと世界経済フォーラム(WEF)が共同プロジェクトの推進に合意
------------------------------------------------------------------------
【2】研究員コメント
------------------------------------------------------------------------
欧州ネットワーク情報セキュリティ庁(ENISA)は、産業用IoT(インダストリアルIoT)のサイバーセキュリティに関するベストプラクティス集を発表した。制御システムの情報資産が整理され、資産価値を脅かす脅威と対策例が網羅されている。
また、この文書の特徴の1つに、既存のセキュリティガイドラインとのマッピングが挙げられる。世界の150個以上のIoTセキュリティガイドラインがカバーされており、ENISAの要求事項との関連が一覧でまとまっている。参照されているガイドラインの一部を以下に示す。
<IoTセキュリティガイドラインの例>
・欧州ネットワーク情報セキュリティ庁(ENISA):Baseline Security Recommendations for IoT
・米国国立標準技術研究所(NIST):SP 800 82r2 Guide to Industrial Control Systems Security
・米国電気電子学会(IEEE):Internet of Things (IoT) Security Best Practices
・クラウドセキュリティアライアンス(CSA):Security Guidance for Early Adopters of the Internet of Things
残念ながら、日本の組織が公表しているIoTセキュリティガイドラインは1つもENISAには参照されていなかった。国内で産業用IoTを利用する製造業やインフラ企業の多くはグローバル展開しているため、日本のガイドラインを網羅するだけでは十分ではなく、グローバルスタンダードの動向もカバーしなければならない。なお、グローバル動向を把握する上で、ENISAのガイドラインは非常に参考になる(特に巻末のスタンダード一覧、インシデント事例は一見の価値あり)。
現在、グローバルではIoTセキュリティの国際標準化について議論がされている。一方、日本独自のIoT認証マークを来年4月から発行するとの報道もある。欧州の視野に日本が含まれていないにもかかわらず、日本独自の認証マークを出すことは、更なるガラパゴス化につながる。グローバル化が避けられない現状、将来の日本のモノづくりに多大な影響を及ぼす可能性すらある。日本政府や日本企業は、国内で閉じた議論を行うのではなく、海外に対して積極的に情報を発信するとともに、海外と歩調を合わせた政策や対策を検討すべきである。
------------------------------------------------------------------------
【3】海外政策動向一覧(2018年11月16日~11月23日)
------------------------------------------------------------------------
2018年11月16日 トランプ大統領が「サイバーセキュリティ庁」の設置法案に署名
米国のトランプ大統領は、米国国土安全保障省(DHS)内に設置される「サイバーセキュリティ庁」の設置法案に署名した。同時にサイバーセキュリティ庁のホームページも公開された。
https://www.dhs.gov/CISA
2018年11月16日 米国国防総省(DOD)、ITセキュリティの不備を監査で指摘
米国国防総省(DOD)が行った監査の結果、最も不備があったのはITセキュリティであったと公表した。例えば、退職したり、ハッキング被害に遭ったデジタル証明書を破棄(Revoke)しない点が挙がっている。また、情報資産や機器の保管場所や状態が適切に管理されていないことも指摘された。
https://dod.defense.gov/News/Article/Article/1692189/the-biggest-audit-in-human-history-really/
2018年11月19日 ENISA、制御システムセキュリティのベストプラクティス集を発表
欧州ネットワーク情報セキュリティ庁(ENISA)は、制御システムセキュリティに関するベストプラクティス集を発表。制御システムの資産を定義し、資産を脅かす脅威と対策例が網羅されている。
https://www.enisa.europa.eu/news/enisa-news/cybersecurity-is-a-key-enabler-for-industry-4-0-adoption
2018年11月19日 インターポールと世界経済フォーラム(WEF)が共同プロジェクトの推進に合意
インターポールは、世界経済フォーラム(WEF)と共同でサイバー脅威を軽減するプロジェクトを進めることに合意したとツイッターで公開した。
https://twitter.com/INTERPOL_HQ/status/1064493190118559744
2018年11月20日 USTR、中国の知的財産侵害に関する報告書の中で日本へのサイバー攻撃を非難
米国通商代表部(USTR)は中国の知的財産侵害に関する第301条調査の報告書を発表し、改善が進んでいないことを指摘した。報告書の中では「Japan」という章を設け、中国のサイバー攻撃集団「APT10」が日本を標的にしていると非難した。また、日本政府は中国企業のファーウェイとZTEとを政府調達から除外することを検討しているとも記載されている。
https://ustr.gov/about-us/policy-offices/press-office/press-releases/2018/november/ustr-updates-section-301
2018年11月20日 EUサイバーセキュリティ認証フレームワーク会議を開催
欧州委員会(EC)と欧州ネットワーク情報セキュリティ庁(ENISA)は、EUサイバーセキュリティ認証フレームワーク会議(EU Cybersecurity Certification Framework)をベルギーのブリュッセルで開催した。EUの枠組みをベースにしたクラウドセキュリティ、IoTセキュリティに関する認証制度が議論された。
https://www.enisa.europa.eu/events/towards_certification_framework/towards_security_framework/
2018年11月22日 南北首脳会談前後に北朝鮮からのサイバー攻撃はなかったと発表
ソウル聯合ニュースによると、9月の南北首脳会談前後に北朝鮮からのサイバー攻撃はなかったと韓国政府は明らかにした。一部の報道では、サイバー攻撃があったとされたが、これを否定した形だ。また、韓国国家サイバー安全センターが発令する警報は、3月20日以降、最も低いレベルの「正常」が維持されているとした。
https://jp.yna.co.kr/view/AJP20181122001700882
------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
11月2日 英国のTimicoがMSP事業を提供する25sevenIT社を買収
11月5日 シマンテックがAppthority社とJavelin Networks社を買収
11月5日 投資会社のThoma BravoがアプリケーションセキュリティのVeracode社を買収
11月7日 アプリケーションセキュリティのCheckmarx社がDevSecOpsソリューションのCustodela社を買収
11月9日 ネットワークセキュリティのForeScout社が制御セキュリティのSecurityMattersを買収
11月16日 BlackBerryがエンドポイントセキュリティのCylance社を買収
11月16日 ベライゾンがVidder社のセキュアネットワーク製品部門を買収