Loading...
Loading...
------------------------------------------------------------------------
JCIC海外動向ニュースクリップ(2018/12/04)
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】JCICセキュリティ人材育成レポート
【3】JCICが国際組織「GLOBAL EPIC」に加盟
【4】海外政策動向一覧
【5】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・JCICセキュリティ人材育成レポートを限定公開
・GDPR違反でドイツ規制当局がアプリ提供会社に制裁金を科す
・Uberの情報流出に関し、英国とオランダ当局が約1.3億円の罰金を科す
・グーグルの位置情報追跡はGDPR違反と欧州7カ国の消費者団体が主張
------------------------------------------------------------------------
【2】JCICセキュリティ人材育成レポート
------------------------------------------------------------------------
JCICでは、第1回JCIC年次会合に合わせて、セキュリティ人材育成に関するレポート「セキュリティ人材不足の真実と今なすべき対策とは」を限定公開しました。本レポートは来年1月にJCICのホームページで一般公開する予定です。
本レポートでは、セキュリティ人材は、セキュリティを主たる業務とする「セキュリティ専門人材」と、本来の業務を担いながらITを利活用する中でセキュリティスキルも必要となる「プラス(+)・セキュリティ人材」に大別して考える必要があるとしています。そして、人材が大きく不足しているのは、プラス・セキュリティ人材であることを示すと共に、今後取るべき対策について提言をしております。
また、日本型人事異動を有効活用したプラス・セキュリティ人材の育成、セキュリティ人材見える化の取り組みの必要性についても日本政府や日本企業への示唆を示しております。
先週開催した人材育成のパネルディスカッションでも、カブドットコム証券、メルカリ、ベネッセホールディングス、慶應義塾大学からの登壇者から、本レポートの提言を裏付けるような取り組みが紹介されました。
ホワイトハッカーのような専門人材だけが大幅に不足していると広く社会一般に解釈されている現状に一石を投じ、従来とは異なる視点でJCICならではの提言としてまとめたレポートです。ぜひとも、ご一読いただき、JCICへフィードバックいただけますと幸いです。
■限定公開URL
https://www.j-cic.com/pdf/report/Human-Development(Plus-Security).pdf
------------------------------------------------------------------------
【3】JCICが国際組織「GLOBAL EPIC」に加盟
------------------------------------------------------------------------
先月、JCICは国際的な産官学連携を推進する団体である「GLOBAL EPIC」に加盟しました。GLOBAL EPICは、これまで対話を進めてきたオランダのサイバーセキュリティ組織 Hague Security Delta(HSD)がコア・メンバーとなって立ち上げた国際組織です。それぞれが自国での産官学連携を推進しようとする28の参加団体で構成されており、そのネットワークを国際的に広げる取り組みを行っています。今後、月例会合に参加し、将来的には年次会合への参加、相互訪問や現地インタビューなどを予定しております。
https://globalepic.org/HomePage
------------------------------------------------------------------------
【4】海外政策動向一覧(2018年11月22日~11月30日)
------------------------------------------------------------------------
2018年11月22日 GDPR違反でドイツ規制当局がアプリ提供会社に制裁金を科す
ドイツの規制当局であるバーデン・ヴュルテンベルク州データ保護局(LfDI)は、アプリ提供会社のKnuddels社に対して、GDPR違反のため約280万円の制裁金を科すと発表した。ユーザーのパスワードとメールアドレスを暗号化しない平文で保存していた結果、約33万件のアカウント情報が流出した。既にGDPR違反に関しては、フランスの企業が3か月以内のGDPR遵守を言い渡されたり、ポルトガルの病院が5600万円の制裁金が科されたりしている。
https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/
2018年11月26日 NIST、国際的なIoTセキュリティ標準化に関する報告書を公開
米国国立標準技術研究所(NIST)は、国際的なIoTセキュリティ標準化に関する報告書の最終版を公開した。IoTの定義、自動車や医療機器等のIoTアプリケーションの例、コア領域と関連するスタンダードなどがまとめられている。なお、先週発表されたENISAの「産業用IoTセキュリティのベストプラクティス集」では、この報告書を参考文献の1つとして引用している。
https://csrc.nist.gov/publications/detail/nistir/8200/final
2018年11月26日 ユーロポール、偽造品を配布する3.3万サイトを停止
ユーロポールは、各国との連携により偽造品や海賊版商品をオンライン販売する約3万3600件のドメインの停止(テイクダウン)を実施したと発表した。また、12人の容疑者を逮捕し、犯行で得たと見られる約1.3億円を凍結した。
https://www.europol.europa.eu/newsroom/news/operation-takes-down-over-33-600-internet-domains-selling-counterfeits-goods
2018年11月27日 Uberの情報流出に関し、英国とオランダ当局が約1.3億円の罰金を科す
英国とオランダの個人情報保護当局は、Uber Technologiesが2016年に大量の個人情報が流出した問題で、合計約1.3億円の罰金を科すと発表した(英国が約5600万円、オランダが約7700万円)。データ保護体制が不十分で、被害者への通知を怠るなど発覚後の対応も不適切だったと指摘した。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/11/ico-fines-uber-385-000-over-data-protection-failings/
https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-legt-uber-boete-op-voor-te-laat-melden-datalek
2018年11月27日 グーグルの位置情報追跡はGDPR違反と欧州7カ国の消費者団体が主張
消費者ロビー団体を統括する欧州消費者機構(BEUC)は、Googleが「位置情報の履歴」や「ウェブとアプリの行動履歴」を通じて利用者のデータを不適切に収集しているとして、ヨーロッパ当局に申し立てを行うと主張した。
https://www.beuc.eu/publications/consumer-groups-across-europe-file-complaints-against-google-breach-gdpr/html
2018年11月27日 チューリッヒ保険グループがWEFとサイバーセキュリティの協力で合意
チューリッヒ保険グループはは、世界経済フォーラム(WEF)とサイバーセキュリティに関する合意をした。サイバーセキュリティに関する官民の取り組みへの貢献を強化する。
https://www.zurich.com/en/corporate/media/news-releases/2018/2018-1127-01
2018年11月28日 米国司法省、ランサムウェア「SamSam」によるサイバー攻撃の容疑でイラン人2人を起訴と発表
米国司法省は、ランサムウェア「SamSam」を利用して米国の公共機関などに対するサイバー攻撃を行い、33億円以上の損失をもたらしたとして、2人のイラン人を起訴したと発表した。被害を受けたのは、アトランタ市、ニューアーク市、サンディエゴ港、コロラド市交通局などであった。この事件は、公共機関、医療機関、教育機関などがサイバーセキュリティを早急に強化することの必要性を示している。
https://www.justice.gov/opa/speech/deputy-attorney-general-rod-j-rosenstein-delivers-remarks-samsam-ransomware-press
2018年11月28日 ニュージーランド政府、5Gへのファーウェイ製品導入を禁止
ニュージーランドの通信大手スパーク社は、次世代通信規格5Gを使った無線ネットワークにファーウェイの機器を導入しないよう、政府から通告されたことを明らかにした。これを受けて、ニュージーランド政府通信保安局(GCSB)は、安全保障上の重大なリスクを特定したとスパーク社へ伝えたが、詳細は審査中のため明かせないと表明した。
https://www.sparknz.co.nz/news/GCSB_declines_Spark_proposal_Huawei/
https://www.gcsb.govt.nz/news/gcsb-statement/
2018年11月28日 ENISA、NIS指令に関連したセキュリティ監査などのガイドラインを公表
欧州ネットワーク情報セキュリティ庁(ENISA)は、NIS指令で定められたセキュリティ監査とセルフアセスメントに関するフレームワークを公表した。このフレームワークは、重要サービスオペレーター(OES)とデジタルサービスプロバイダー(DSP)に対するものである。
https://www.enisa.europa.eu/news/enisa-news/information-security-audit-and-self-assessment-frameworks-for-oes-and-dsps
------------------------------------------------------------------------
【5】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
11月2日 英国のTimicoがMSP事業を提供する25sevenIT社を買収
11月5日 シマンテックがAppthority社とJavelin Networks社を買収
11月5日 投資会社のThoma BravoがアプリケーションセキュリティのVeracode社を買収
11月7日 アプリケーションセキュリティのCheckmarx社がDevSecOpsソリューションのCustodela社を買収
11月9日 ネットワークセキュリティのForeScout社が制御セキュリティのSecurityMattersを買収
11月16日 BlackBerryがエンドポイントセキュリティのCylance社を買収
11月16日 ベライゾンがVidder社のセキュアネットワーク製品部門を買収
11月28日 VIQ Solutions社が文書保護ソリューションを提供するNet Transcriptsを買収