------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2018/12/18）
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】欧州委員会など、EUサイバーセキュリティ法の制定に合意
【3】第1回JCIC年次会合レポート「セキュリティ人材不足は真実か」
【4】海外政策動向一覧
【5】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・欧州委員会など、EUサイバーセキュリティ法の制定に合意
・米国議会、Equifaxの情報流出は回避できたという報告書を公開
・英国ICO、ロンドンの税金還付申請代行サービス会社に対して約2800万円の罰金を科すと発表
・アルテリア・ネットワークス株式会社が東証一部に上場【IPO情報】
・LINE株式会社が韓国のサイバーセキュリティ企業GrayHash社を買収

------------------------------------------------------------------------
【2】欧州委員会など、EUサイバーセキュリティ法の制定に合意
------------------------------------------------------------------------
JCICでは、約1年間にわたり日本語で入手しづらい海外サイバーセキュリティ動向を配信してきたが、先週発表された「EUサイバーセキュリティ法」の合意は、日本でも注目すべきニュースであることを強調したい。

まず、2017年9月にEUが「サイバーセキュリティ強化に向けた政策パッケージ」を公表し、EU内にサイバーセキュリティ庁を設置する構想やサイバーセキュリティ認証に関する規則案を発表した（注1）。その後、EUではIoTセキュリティに関するベストプラクティス集の公開（注2）や会議での議論を重ね、着々と準備を進めてきた。そして、先週、欧州委員会などがEUサイバーセキュリティ法の制定に関する政治的合意に達したのである。（この合意は、あくまでも政治的合意であり、今後正式な承認手続きを経る必要がある。）

EUサイバーセキュリティ法に関して日本が注目すべき点は、新たなサイバーセキュリティ認証制度である。EU内でネットワークに接続する製品などを販売する際に、安全の証を示すセキュリティ証明書の取得が求められる可能性がある。

現段階では、制裁金などの罰則規定は公表されておらず、法的強制力は未知数である。また、日々脅威が変化する中で何をもって安全というか不明瞭な点もある。しかし、GDPRが日本企業にインパクトを与えたように、将来的に大きな影響が出る可能性がある。引き続き、政策動向を注視し、日本企業への影響有無をいち早くお伝えしたい。

（注1）JCICレポート「諸外国におけるサイバーセキュリティの情報共有に関する調査」参照
https://www.j-cic.com/pdf/report/CybersecurityInformationSharingSurvey-20180309(JP).pdf

（注2）JCICニュースクリップ「ENISA、産業用IoTセキュリティのベストプラクティス集を発表（11/27配信）」参照
https://www.j-cic.com/news/20181127.html

------------------------------------------------------------------------
【3】第1回JCIC年次会合レポート「セキュリティ人材不足は真実か」
------------------------------------------------------------------------
11月29日、JCIC第1回年次会合第2日目に、「セキュリティ人材不足は真実か? - ユーザー企業の視点より」と題した人材育成セッションとして、パネルディスカッションを行った。パネリストとして、カブドットコム証券CIO常務執行役の阿部吉伸氏、メルカリCSO伊藤彰嗣氏、ベネッセホールディングスのコンプライアンス・セキュリティ本部部長を務める北川美千代氏、慶應義塾大学大学院の砂原秀樹教授が登壇。モデレーターはJCICの平山敏弘主任研究員が務め、約60分間にわたりユーザー企業や教育現場の視点からセキュリティ人材育成について議論した。

■本当にセキュリティ人材は不足しているか？
まず、最初のテーマでは、本当にセキュリティ人材は不足しているかについて議論を行った。ユーザー企業の生の声として、「圧倒的にセキュリティ人材は不足しているが、正確にはセキュリティの知見が足りない」、「セキュリティ専門人材より、マネジャーが大事」、「専門人材のような高度な人材をどう活かすかを心得ている人が欲しい」、「事業のデジタル化を進めるためのITがわかる人材が不足しており、セキュリティ人材の不足という議論まで至っていない」などの意見が出た。また、セキュリティ人材不足の影響もあり、システム開発のセキュリティレビューを何回も繰り返すことになり、結果としてビジネスのスピードが遅くなっているなどのリアルな発言もあった。
また、教育現場からの意見としては、「トップノッチはそれなりに育っている。しかし彼らと話せる人間がいない」、「足りないのは上と下。中間層はそれなりに供給されている」との声があった。

■セキュリティが専門でない人材をどう育成すべきか？
大学の状況として、「学生は今「セキュリティ」にとても敏感。講座は満員御礼であり、学部生は300人程度受講している。関心もあるし、就職に益すると思っている」との実態が聞けた。一方で、「課題としては、セキュリティを学んだ学生が社会で活躍しているのかが見えていないこと」も挙げられた。
企業においては、「資格取得を推奨していきたい」とスキルの向上を進めると共に、「人事制度のグレード制の中で、セキュリティ知識の要素も入れたい」など、セキュリティ担当者のキャリアパスについても積極的に取り組んでいる事例が紹介された。また、「セキュリティエンジニアを現在の8名から、2020年に14名に増やす予定」など、具体的なセキュリティ人材増強のプランについても紹介された。

■一般教養としてのセキュリティ
一般教養として、セキュリティ教育を進めるべきであるとの声も聴かれた。「知らないおじさんから飴はもらったらダメ程度の話」が一般には伝わっておらず、添付ファイルをクリックしてしまうのが現状である。そのため慶應義塾大学が主体となり、政府施策の一環で、広く教育の場で活用できるセキュリティ教材を制作したが、こういった取り組みが必要であるとの話があった。

■経営者教育
経営者教育はとても重要であり、経営者に対して「セキュリティは自分たちのこと」であり、「自分たちが責任を取らなければいけない」と理解させることが必要であるため、こちらも慶應義塾大学が主体となり、15分程度の啓発ビデオを作ろうとしている取り組みが紹介された。また、その他の意見としては、「無知な上司を持つほど不幸なことはない」など、マネジメント層のセキュリティ意識が組織や経営に直結しているとの話でセッションを締めくくった。

今回のセッションは、通常ではあまり聞くことのできなかった「ユーザー企業の現場責任者の方々の生の声」による活発な議論が行われ、60分という時間が大変短く感じられるセッションとなった。なお、会員企業の皆様には、より詳細な内容を後日共有する予定である。

次回のニュースクリップでは、パネルディスカッション「激動する国際環境とサイバーセキュリティ」のレポートをお伝えする。

------------------------------------------------------------------------
【4】海外政策動向一覧（2018年12月7日～12月14日）
------------------------------------------------------------------------
2018年12月7日 米国エネルギー商取引委員会、サイバーセキュリティ戦略レポートを公表
米国エネルギー商取引委員会は、セキュリティ事故の防止や対応に関するサイバーセキュリティ戦略レポートを公開した。脆弱性に対する効果的な保護策として、脆弱性管理プログラムの健全性など6つの優先事項が記載されている。
https://energycommerce.house.gov/news/suboversight-report-details-recommendations-for-addressing-cybersecurity-vulnerabilities/

2018年12月10日 欧州委員会など、EUサイバーセキュリティ法に合意
欧州議会、欧州連合理事会、欧州委員会は、EUサイバーセキュリティ法の制定に関する政治的合意に達した。欧州ネットワーク情報セキュリティ庁（ENISA）の権限強化、新たなサイバーセキュリティ認証制度の整備などが目的である。今後、正式な承認手続きを経て、発効される。
http://europa.eu/rapid/press-release_IP-18-6759_en.htm
https://www.enisa.europa.eu/news/enisa-news/eu-leaders-agree-on-ground-breaking-regulation-for-cybersecurity-agency-enisa/

2018年12月10日 米国議会、Equifaxの情報流出は回避できたという報告書を公開
米国議会の監視・行政改革委員会は、米国信用情報会社のエクイファックス（Equifax Inc.）が昨年9月にサイバー攻撃によって1.4億人分の情報流出した事件は、回避できるものだったという内容の報告書を公開した。具体的には、セキュリティパッチを即時に適用しなかった、機密情報を適切に保管していなかった点などが挙げられている。
https://oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf

2018年12月10日 米国行政管理予算局（OMB）、連邦政府機関に重要情報資産の保護プログラム適用を指示
米国行政管理予算局（OMB）は、連邦政府機関に重要情報資産の保護に関するプログラムを適用するよう指示する通達を出した。政府機関は、セキュアシステムのガイダンスであるNIST SP800-160の適用、プライバシーやセキュリティ要件の実装など、重要情報資産の保護プログラムを実施する必要がある。
https://www.whitehouse.gov/wp-content/uploads/2018/12/M-19-03.pdf

2018年12月12日 ENISA、セキュリティ目的の通信ブロックなどに関するガイドラインを公開
欧州ネットワーク情報セキュリティ庁（ENISA）は、通信会社やインターネット事業者に向けて、ネット中立性を確保しながら、セキュリティ目的で通信のブロッキングを行うためのガイドラインを発行した。セキュリティ対策を実施することが許可されているかどうかを判断する際のチェックリストなどが記載されている。
https://www.enisa.europa.eu/publications/guideline-on-assessing-security-measures-in-the-context-of-article-3-3-of-the-open-internet-regulation

2018年12月12日 米国国務長官がマリオット・インターナショナルの情報流出は中国が関与していると指摘
米国ポンペオ国務長官は、FOXテレビのインタビューで、世界最大手ホテルチェーンのマリオット・インターナショナルで発覚した顧客情報の大量流出に中国が関与していると指摘した。
https://www3.nhk.or.jp/nhkworld/en/news/20181213_26/

2018年12月12日 米国司法省、ビジネスメール詐欺でナイジェリア人を起訴と発表
米国司法省は、コネチカット州の企業や団体、教育機関などに対してCEOを騙る偽メールを大量に送信したとして、ナイジェリア人を45か月間拘留したと発表した。
https://www.justice.gov/usao-ct/pr/nigerian-national-sentenced-45-months-federal-prison-role-business-e-mail-compromise

2018年12月13日 英国ICO、ロンドンの税金還付申請代行サービス会社に対して約2800万円の罰金を科すと発表
英国の情報コミッショナーオフィス（ICO）は、税金還付申請代行サービスのTax Returned社が同意なしに約1500万通の広告メールを配信したとして、約2800万円の罰金を科すと発表した。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/12/london-company-fined-after-148m-spam-texts-sent/

------------------------------------------------------------------------
【5】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
12月5日 ConnectWise社がMSP事業を展開するSienna Group社を買収
12月6日 Huntington Ingalls Industries社がセキュリティソリューションを提供するG2社を買収
12月7日 インドのHCL Technologies社がIBMのAppscanやBigFixなどの事業を買収
12月12日 セキュリティサービスなどを提供するアルテリア・ネットワークス株式会社が東証一部に上場【IPO情報】
12月12日 LINE株式会社が韓国のサイバーセキュリティ企業GrayHash社を買収
12月12日 SOC事業を展開するArctic Wolf Networks社がリスク評価ツールを提供するRootSecure社を買収