------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2019/2/5）
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】「米国サイバーセキュリティ人材ギャップ最新レポート（CSIS）」の解説
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・CSIS（戦略国際問題研究所）が発表した「サイバーセキュリティ人材ギャップレポート」を解説
・ENISA、2018年脅威動向レポートを発表
・米国HSCC、医療機器セキュリティのライフサイクルガイドを発表
・スイス軍のサイバー防衛強化に関する新しい法律を承認
・フランス通信会社Orange社が英国のSecureData社を買収

------------------------------------------------------------------------
【2】「米国サイバーセキュリティ人材ギャップ最新レポート（CSIS）」の解説
------------------------------------------------------------------------
米国に本部を置く民間のシンクタンク「CSIS（戦略国際問題研究所）」は、1月29日に「サイバーセキュリティ人材ギャップ」と題したレポートを発表した（※）。要点は以下の通りである。

＜米国セキュリティ人材ギャップレポートの要点＞
・世界のセキュリティ人材は、2022年までに「180万人」不足すると予測されている。
・2019年1月時点での米国セキュリティ人材雇用数は「71.6万人」であるが、「31.4万人」が依然として不足しており、この不足数は今後拡大するであろう。
・特に雇用者は、セキュリティ設計や隠れた脆弱性を見つけることができる人材の不足を問題視している。現行の教育システムでは、そういった人材を育成できていないと考えていることから、「産」が求める人材と「学」が供給する人材にギャップが生じている。
・セキュリティ人材不足の課題解決のためには、基礎教育、演習による経験、ソフトスキル、パフォーマンス測定の標準化、既存人材の活用などの対策が政府・教育機関・雇用者に求められる。

このように、米国においても、セキュリティ人材不足は喫緊の課題となっており、日本の状況と変わりないことがわかる。特に、技術用語をビジネス用語に置き換える「ソフトスキルの重要性」、業界横断的な「パフォーマンス測定の標準化」、人材不足を補うために「既存人材の再教育の必要性」という点は、日米の課題解決アプローチの方向性が同じであり、相互に協力していくべき分野であると言えよう。

日本企業の場合、セキュリティ担当部門と現場を行き来する定期的な人事異動によって、セキュリティ人材不足を解消するアプローチがJCICでは有効であると考えている。今後、現場業務の中でセキュリティスキルも必要となる「プラス・セキュリティ人材」の重要性について積極的に発信していく予定である。

（※）https://www.csis.org/analysis/cybersecurity-workforce-gap

------------------------------------------------------------------------
【3】海外政策動向一覧（2019年1月26日～2019年2月1日）
------------------------------------------------------------------------
2019年1月28日 ENISA、2018年脅威動向レポートを発表
欧州ネットワーク情報セキュリティ庁（ENISA）は、2018年のサイバー脅威動向に関するレポートを発表した。上位の脅威として、「マルウェア」、「Webベースの攻撃」、「Webアプリケーションへの攻撃」などが挙げられ、それぞれの詳細な手法や対策が130ページを超える資料としてまとめられている。
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018

2019年1月28日 米国HSCC、医療機器セキュリティのライフサイクルガイドを発表
米国の医療・公衆衛生セクターカウンシル（HSCC）は、米国食品医薬品局（FDA）や民間企業などが共同で医療機器の開発・導入・サポートに関するセキュリティ・バイ・デザインのガイドラインを発表した。
https://healthsectorcouncil.org/hscc-releases-the-medical-device-and-health-it-joint-security-plan/
https://healthsectorcouncil.org/wp-content/uploads/2019/01/HSCC-MEDTECH-JSP-v1.pdf

2019年1月28日 米国司法省、ファーウェイが企業の機密情報を盗んだなどとして起訴
米国司法省は、ファーウェイの米国子会社がTモバイル社から機密情報を盗み出した上、情報を盗んだ社員にボーナスを払っていたなどとして、ファーウェイを起訴したと発表した。
https://www.justice.gov/opa/pr/chinese-telecommunications-device-manufacturer-and-its-us-affiliate-indicted-theft-trade

2019年1月28日 米国司法省、違法取引サイトを閉鎖
米国司法省とユーロポールは、ロシア語の違法取引サイト「xDedic」を閉鎖させた。このサイトでは、窃取した数千に及ぶ被害サーバのアクセス情報や認証情報を違法販売していた。
https://www.justice.gov/usao-mdfl/pr/xdedic-marketplace-website-involved-illicit-sale-compromised-computer-credentials-and

2019年1月28日 イタリアの仮想通貨取引所「Bitgrail」のCEOの過失に対して、個人資産の差し押さえ判決が下される
仮想通貨取引所「Bitgrail」に対するサイバー攻撃が2018年2月に発生し、約200億円が盗まれた事件に関して、イタリアの裁判所は同社のCEOに過失があったと判断し、同氏の個人資産の差し押さえを承認した。
https://medium.com/@bitgrailvictims/the-bitgrail-exchange-ruling-a-win-for-cryptocurrency-exchange-users-50df6c383571

2019年1月28日 タイ政府、サイバーセキュリティ法案の策定に着手
Nikkei Asian Reviewは、タイ政府がインターネットの通信を監視するサイバーセキュリティ法案の策定に着手していると報じた。サイバー脅威の発生可能性を監視するために、政府が全てのインターネット通信を検閲することが懸念されている。
https://asia.nikkei.com/Politics/Turbulent-Thailand/Thai-cybersecurity-bill-to-give-junta-license-to-snoop

2019年1月29日 欧州委員会、偽情報対策の進捗レポートを発表
欧州連合（EU）の欧州委員会は、昨年10月に署名された「偽情報に対する行動規範（Code of Practice on Disinformation）」に関する最初の報告書を発表した。偽アカウントの削除、フェイク情報を宣伝するサイトの制限などの進展があったが、今年の欧州議会選挙までにそれらの取り組みを一層強化する必要があるとした。
http://europa.eu/newsroom/rapid-failover/ip-19-746_en.pdf

2019年1月30日 米国司法省、北朝鮮によるボットネットの撲滅活動を発表
米国司法省は、北朝鮮のサイバー攻撃者が構築した「Joanap」と呼ばれるボットネット（マルウェア感染で乗っ取ったコンピューター）の撲滅に向けた大規模作戦を実施すると発表した。
https://www.justice.gov/usao-cdca/pr/justice-department-announces-court-authorized-efforts-map-and-disrupt-botnet-used-north

2019年1月30日 ENISA、IoT・スマートインフラのグッドプラクティスツールを発表
欧州ネットワーク情報セキュリティ庁（ENISA）は、IoT事業者やインダストリアルIoT、スマートインフラ事業者がリスクアセスメントに利用する際のグッドプラクティスツールを発表した。IoTセキュリティのチェックリストがオンラインで利用できる。
https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures/iot/good-practices-for-iot-and-smart-infrastructures-tool

------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
1月7日 アカマイ社がID管理サービスのJanrain社を買収
1月10日 アマゾンウェブサービスがクラウドバックアップを提供するCloudEndure社を買収
1月10日 防衛産業のParsons社がソリューションプロバイダーのOGSystems社を買収
1月10日 イスラエルのサイバーセキュリティ企業Radware社がインドのShieldSpuare社を買収
1月10日 セキュリティソリューションを提供するAGC Networks社がBlack Box社の買収を完了
1月14日 チェック・ポイント社がAPIセキュリティを提供するForceNock Security社を買収
1月15日 SOC事業を提供するArctic Wolf Networks社がRootSecure社を買収
1月15日 eメールセキュリティのZix社がクラウドセキュリティのAppRiver社を買収すると発表
1月16日 ERP向けサイバーセキュリティを提供するOnapsis社がVirtual Forge社を買収
1月17日 GMセキュリティテクノロジーズ社が1st Secure IT社を買収
1月17日 電子認証サービスを提供するデジサート・インク社がスイスのQuoVadis Groupを買収
1月23日 ネット広告詐欺対策のAdjust社がAIセキュリティのUnbotify社を買収
1月24日 MSPサービスを提供するNtiva社が同業のNetwork Alliance社を買収
1月29日 英国のソフォスがエンドポイントセキュリティのDarkBytesを買収
1月30日 CACI International社がセキュリティソリューションを提供するLGS Innovations社を買収
1月31日 スウェーデンのBaffin Bay Network者が米国のLoryka社を買収
2月1日 フランス通信会社Orange社が英国のSecureData社を買収