------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2019/2/26）
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】「消費者向けIoTセキュリティ標準」を欧州標準団体がリリース
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・欧州電気通信標準化機構の消費者向けIoTセキュリティ標準の解説
・レストラン大手Wendy'sの情報流出事件で約55億円の和解金
・パロアルトネットワークス社がオーケストレーション技術を持つDemisto社を買収

------------------------------------------------------------------------
【2】「消費者向けIoTセキュリティ標準」を欧州標準団体がリリース
------------------------------------------------------------------------
移動通信システムなどの国際標準を策定した欧州電気通信標準化機構（ETSI；European Telecommunications Standards Institute）は、インターネットに接続する家電、玩具、ホームセキュリティなどを対象にした「消費者向けIoTセキュリティ標準」を発表した。この要求事項を遵守すれば、IoT製品のGDPR準拠に役立つとのこと。13個の要求事項は以下の通り。

＜消費者向けIoTセキュリティ製品の要求事項＞
1)デフォルトパスワードを実装しない
2)脆弱性申告の手段を確立する
3)ソフトウェアアップデートの仕組み
4)機微情報の安全な保存
5)安全な通信経路
6)攻撃対象となるサービスや通信の最小化
7)ソフトウェアの完全性確保
8)個人情報の保護
9)障害時の柔軟な対応
10)テレメトリーデータの匿名化
11)個人情報削除の仕組み
12)機器の導入やメンテナンスの容易性
13)入力データの検証

上記の要求事項から、欧州はIoTサービス提供事業者にセキュリティ強化を求め、知識の乏しい消費者でも安全にIoTが利用できるように試みている。現時点では罰則などの規定はないが、今後はIoTセキュリティの認証制度を本格的に導入しようとしている。
一方、日本国内では、2月20日からIoT機器調査「NOTICE」を政府機関が開始した。これは、サイバー攻撃に悪用される恐れのあるIoT機器をリモートから調査し、消費者などに注意喚起を行う取り組みである。
欧州は「IoT製品自体にセキュリティ強化を求める」ことに対して、日本は直接IoT機器を調査し「消費者などに対応を求める」ものであるため、全く異なるアプローチと言える。PDCAで例えるなら、欧州は「Plan」から着手し、日本は「Check」を開始したことになる。社会全体のセキュアなIoT環境の構築のためには、将来的に両方のアプローチが必要になるだろう。

------------------------------------------------------------------------
【3】海外政策動向一覧（2019年2月13日～2019年2月22日）
------------------------------------------------------------------------
2019年2月13日 レストラン大手Wendy'sの情報流出事件で約55億円の和解金
米国ハンバーガーチェーン大手のウェンディーズは、2015年と2016年に国内1000店舗を超えるPOSシステムを標的としたサイバー攻撃を受け、顧客のクレジットカード情報などが盗難された。金融機関からの集団訴訟について、5000万ドル（約55億円）の和解に合意したと発表した。裁判所によって承認された場合、2019年末までに支払う予定。
https://www.wendys.com/news-release-detail?id=122705

2019年2月18日 オーストラリア首相、議会及び与野党へのサイバー攻撃で外国の関与を示唆
オーストラリアのモリソン首相は、2月上旬に明らかになった連邦議会のコンピューターシステムに対する不正アクセスについて「国家が悪意ある活動に関与していると見ている」と述べ、外国政府の関与を示唆した。
https://www.smh.com.au/politics/federal/australia-s-major-political-parties-hacked-in-sophisticated-attack-ahead-of-election-20190218-p50yi1.html

2019年2月18日 ドイツの重要インフラにおけるインシデント件数が増加
ドイツWELT紙の報道によると、ドイツ連邦情報技術安全保障局（BSI）は、重要インフラ事業者から2017年に145件、2018年下期だけで157件の重要インシデントの報告を受けたとのこと。ドイツ「ITセキュリティ法」によって、重要インフラ事業者はBSIへ重要インシデントの報告義務がある。しかし、報告する必要のない小規模な事業者や、企業評価に影響を危惧し報告しない事業者が多くあるため、実際の重要インシデントは報告数より大幅に上回っていると考えられている。
https://www.welt.de/politik/article188864277/Cyberangriffe-Wasser-und-Stromversorgung-im-Visier-internationaler-Hacker.html
https://www.helpnetsecurity.com/2019/02/19/cyber-attacks-critical-infrastructure-germany/

2019年2月18日 英国ICOと金融行動監視機構、協業のフレームワークに関する覚書を締結
英国の情報コミッショナーオフィス（ICO）と金融行動監視機構（FCA）は、FACが金融機関に対して消費者保護の規制を行い、金融マーケットの信頼性を維持する覚書を締結した。
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/02/the-ico-and-the-fca-sign-updated-memorandum-of-understanding/

2019年2月19日 欧州電気通信標準化機構が消費者向けIoTセキュリティ標準を公開
欧州電気通信標準化機構（ETSI）が消費者向けIoTセキュリティ標準を公開した。
https://www.etsi.org/newsroom/press-releases/1549-2019-02-etsi-releases-first-globally-applicable-standard-for-consumer-iot-security

2019年2月19日 スウェーデンの医療ケアホットラインの電話録音データがオンラインで公開状態
BBCニュースによると、スウェーデンの医療ホットラインの委託先であるMediCall社が記録した通話内容がセキュリティ対策を欠いたサーバーに保存されており、17万時間に上る通話内容を誰もがダウンロードできる状態だった。GDPRで求められるデータ保護当局への通報が行われたかは不明である。
https://www.bbc.com/news/technology-47292887

------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
2月1日 フランス通信会社Orange社が英国のSecureData社を買収
2月4日 IPKeys Power Partners社が自動化技術を持つSigmaFlow社を買収
2月6日 HelpSystems社がSecureAuth社からセキュリティ事業を買収
2月7日 Haven Cyber Technologies社がスウェーデンのOnevinn社を買収
2月7日 クラウドセキュリティのCarbonite社がエンドポイントセキュリティのWebroot社を買収
2月12日 シマンテック社がSDP（ソフトウェア境界防御）技術のLuminate Security社を買収
2月15日 マイクロフォーカス社がUEBA（ユーザー行動分析）技術のインターセット社を買収
2月19日 パロアルトネットワークス社がオーケストレーション技術を持つDemisto社を買収