Loading...

Loading...

JCIC海外ニュースクリップ

------------------------------------------------------------------------
JCIC海外動向ニュースクリップ(2018/12/11)
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】2019年のセキュリティ4大脅威予測をISFが発表
【3】第1回JCIC年次会合「取締役から見たサイバーリスク」レポート
【4】海外政策動向一覧
【5】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・企業のサイバーセキュリティにおける2019年の4大脅威をISFが発表
・マリオット・インターナショナルの情報流出、1100億円の被害額と推定
・オーストラリア議会、世界でも特に厳しい暗号化データの解除を求める法案を可決
・インドのHCL Technologies社がIBMのAppscanやBigFixなどの事業を買収
・日本の国会で「改正サイバーセキュリティ基本法」が成立(参考情報)

------------------------------------------------------------------------
【2】企業のサイバーセキュリティにおける2019年の4大脅威をISFが発表
------------------------------------------------------------------------
400以上の組織が加盟する英国の非営利団体「ISF(Information Security Forum)」は、2019年に発生する可能性がある4つの脅威予測を発表した。企業が注意すべき4つの脅威は以下のとおりである。

1. ランサムウェアがますます洗練される
 今後のランサムウェアは、無差別に攻撃してくるのではなく、ターゲットを絞った高度な攻撃になるだろう。企業は、モバイル端末へのランサムウェアの脅威にも注意が必要である。

2. スマートデバイスの脆弱性
 スマートフォン、スマートテレビ、電話会議システムなどからサービス提供者などが秘密裏にデータを収集していることが問題になるだろう。企業が利用するスマートデバイスから顧客データが盗難された場合、企業は規制当局や顧客への説明責任が問われる。

3. 立法と現実のギャップ
 デジタル技術に疎い政策立案者によって、時代遅れで、技術の進歩に追いついていない法案が制定されるだろう。特にクラウド上のデータの場所を特定するような立法は、技術的に難しい問題となる。企業は、短期間でこのような立法への対応が求められる。

4. サプライチェーンのセキュリティ
 2019年は、サプライチェーンのセキュリティ上の欠陥に企業が気付く年になるだろう。サプライチェーンの中で、重要データがどこで、どのように利用されるかという点に企業は焦点を当てるべきである。

2019年は、日本国内でテレワークや電子決済などが普及し、今まで以上にデジタル技術に依存した社会になるはずである。また、「G20サミット」や「ラグビーワールドカップ」などの国際的イベントに世界中の注目が集まるため、一層サイバー攻撃に対する警戒を強める必要がある。JCICとしては、グローバルな視点で政策動向や企業動向を注視し、日本への示唆を今後も発信していきたい。

------------------------------------------------------------------------
【3】第1回JCIC年次会合「取締役から見たサイバーリスク」レポート
------------------------------------------------------------------------
11月28日、第1回JCIC年次会合として「取締役から見たサイバーリスク」と題したパネルディスカッションを行った。パネリストとして、慶應義塾常任理事の國領二郎先生、多くの社外取締役を務める野原佐和子氏、JCIC理事の与沢氏、JCIC主任研究員の上杉氏が登壇。モデレーターはJCICの藤沢理事が務め、約90分間にわたり取締役・経営層の視点からサイバーリスクについて議論した。

■数字でトップは動くのか
取締役会では、事業リスク全体の議論を必ず行うが、サイバーリスクだけが単独の議題として挙がることはあまりない。重要リスクの一つとしては捉えているが、現実化していないサイバーリスクに対して、いくら投資するという話になった途端に議論が停滞しがちである。ここまでリスクが投資によって減るというデータを見せたほうが良い、ヒヤリハットの情報も取締役に共有すべきという意見があった。

■取締役会で何を議論すればいいのか
サイバーリスクを単体で議論するのではなく、経営リスク全体の中の1つとして他のリスクと比較しながら議論する必要がある。例えば、J-SOX対応、内部通報制度などで多くの時間を割いて議論したように、今後、コーポレート・ガバナンス・コードの1つとしてルール化されれば、取締役会での議論が活発になるという発言があった。

■トップとのコミュニケーションのポイント
その組織に合わせたリスクコミュニケーションが必要である。例えば、大学の場合、財務的な損害額よりも、大学病院がダウンする、入学試験ができなくなるなど、身に染みてわかる事例で説明すると効果的である。また、他社と比較して当社はどのレベルなのか、他社と同様の事故が発生したら誰が最終判断するのかなど、身近な話題を用いると関心を得やすい。最後に、トップに説明する際は「素人に説明する」つもりでわかりやすく説明しなければ伝わらないことが強調された。

次回のニュースクリップでは、パネルディスカッション「セキュリティ人材不足は真実か? - ユーザー企業の視点より」のレポートをお伝えする。

------------------------------------------------------------------------
【4】海外政策動向一覧(2018年11月30日~12月7日)
------------------------------------------------------------------------
2018年11月30日 ENISA、組織間の相互依存関係を評価するプラクティス集を公表
欧州ネットワーク情報セキュリティ庁(ENISA)は、重要サービスオペレーター(OES)とデジタルサービスプロバイダー(DSP)のサイバーセキュリティに関する相互依存関係を評価するプラクティス集を公表した。
https://www.enisa.europa.eu/publications/good-practices-on-interdependencies-between-oes-and-dsps

2018年12月4日 ISFが2019年のセキュリティ4大脅威予測を発表
ISF(Information Security Forum)は、2019年に発生する可能性のある4つの脅威予測を発表した。「ランサムウェアがますます洗練される」、「スマートデバイスの脆弱性」、「法制度と現実のギャップ」、「サプライチェーンのセキュリティ」の4項目が挙げられている。
https://www.securityforum.org/news/top-4-security-threats-businesses-expect-2019/

2018年12月5日 英国MI6長官がロシアのサイバー攻撃などを警告
英国のインテリジェンス機関であるMI6のヤンガー長官は、講演の中でロシアのサイバー攻撃やフェイクニュースなどの活動を避難した。また、国家安全保障上の懸念から、次世代通信規格5Gを使った無線ネットワークにファーウェイ製の機器を導入しないよう決定すべきだと述べた。
https://www.sis.gov.uk/news/alex-younger-st-andrews-speech.html

2018年12月5日 マリオット・インターナショナルの情報流出、1100億円の被害額と推定
ブルームバーグのアナリストによると、マリオット・インターナショナルが約5億人の情報を盗難されたセキュリティ事故に関して、制裁金や法務関連費用などで推定1100億円の被害額が発生する可能性があるとしている。
https://www.bloomberg.com/news/articles/2018-12-05/marriott-cfo-calls-1-billion-estimate-on-cyber-breach-premature

2018年12月6日 オーストラリア議会、暗号化データの解除をIT企業に求める法案を可決
オーストラリア議会は、犯罪捜査の目的で暗号化データの解除をIT企業などに求める法案を可決した。警察当局が特定の機器やサービスにアクセスできるようIT企業などに命じることが可能になり、データの提供を怠った場合は最大8億円の罰金が科される。中国やベトナムと並ぶ、世界でも特に厳しい暗号化解除に関する法律であると言える。
https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6195

------------------------------------------------------------------------
【5】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
11月2日 英国のTimicoがMSP事業を提供する25sevenIT社を買収
11月5日 シマンテックがAppthority社とJavelin Networks社を買収
11月5日 投資会社のThoma BravoがアプリケーションセキュリティのVeracode社を買収
11月7日 アプリケーションセキュリティのCheckmarx社がDevSecOpsソリューションのCustodela社を買収
11月9日 ネットワークセキュリティのForeScout社が制御セキュリティのSecurityMattersを買収
11月16日 BlackBerryがエンドポイントセキュリティのCylance社を買収
11月16日 ベライゾンがVidder社のセキュアネットワーク製品部門を買収
11月28日 VIQ Solutions社が文書保護ソリューションを提供するNet Transcriptsを買収
12月5日 ConnectWise社がMSP事業を展開するSienna Group社を買収
12月6日 Huntington Ingalls Industries社がセキュリティソリューションを提供するG2社を買収
12月7日 インドのHCL Technologies社がIBMのAppscanやBigFixなどの事業を買収