------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2019/3/12）
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】英国ISFカンファレンス参加レポート
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・英国のISFカンファレンスにJCICがオブザーバー参加
・NIST、プライバシーフレームワークのドラフトを公開
・タイ、「サイバー戒厳令」と呼ばれるインターネットセキュリティ法が可決
・パスワードを使わない「WebAuthn」がウェブ標準化
・NTTセキュリティ株式会社が米国のWhiteHat Security社を買収

------------------------------------------------------------------------
【2】英国ISFカンファレンス参加レポート
------------------------------------------------------------------------
3月6、7日の二日間にわたり、英国の非営利団体「ISF（Information Security Forum）※」がロンドンで開催したSpringカンファレンスにJCICがオブザーバーとして参加した。約200名のCISOやセキュリティ責任者などがヨーロッパ各地から集まり、ISFの最新レポートの解説やサイバー演習、グループディスカッションが行われれた。今回は速報としてカンファレンスの概要をお伝えするが、詳細は後日会員向けに共有する。

＜主なプログラム＞
・サイバーリスクの定量化手法（想定損失額と発生確率による対応優先度付け、ソリューション導入による効果算出）
・脅威予測レポート解説（2021年に発生する9つのサイバー分野の脅威を予測）
・サイバー演習（9つのサイバー脅威から各チームに課題が出され、インシデント対応の演習を実施）
・グループディスカッション（過去、現在、未来のテクノロジーリスクに関する参加者同士の議論）
・英国政府関係諸機関の担当者によるパネルディスカッション（英国内閣府、国家警察署長協議会、国家サイバーセキュリティセンター、デジタル・文化・メディア・スポーツ省による議論）

ISFのカンファレンスでは極めて活発な議論が行われていた。ISFが一方的に調査レポートやツールを提供している訳ではなく、日頃から会員参加型の運営を重要視している。例えば、脅威予測レポートを作成する際、会員参加型のコミュニティで議論を重ねた上で公開し、その後に企業内でのコミュニケーションの効果的な手法などのアドバイスをISFが行っている。

概して、英国はサイバーセキュリティに関して日本人に近い考え方をしているように見受けられる。企業はトップダウンでサイバーセキュリティを進めるのではなく、経営者と現場責任者のコミュニケーションを重ね、一歩一歩、確立された方法論を用いて着実に課題を解決するアプローチを重視していた。今後もISFと情報連携体制を構築し、会員の皆様に有益な情報をお伝えしたい。

（※）https://www.securityforum.org/

------------------------------------------------------------------------
【3】海外政策動向一覧（2019年2月23日～2019年3月8日）
------------------------------------------------------------------------
2019年2月26日 英国金融業界のサイバー攻撃報告件数が5倍に急増
英国の金融規制当局である金融行為監督機構（FCA）に報告された情報流出の件数は、2017年の25件に比べ、2018年には5倍以上の145件になったと英国法律事務所のRPCが公開した。最も情報流出が多いのは投資銀行の34件であった。また、リテール銀行は昨年の1件から25件と急増した。報告件数が急増した一因は、EUのGDPR適用開始の影響とのことから、今まで過少申告していた恐れがある。
https://www.rpc.co.uk/press-and-media/data-breaches-reported-by-financial-services-firms-rise-480-percent-in-a-year-to-145/

2019年2月27日 NIST、プライバシーフレームワークのドラフトを公開
米国国立標準技術研究所（NIST）がプライバシーフレームワークのドラフトを公開した。NISTはRFI（情報提供依頼）を1月14日で締め切り、各企業からプライバシーリスク管理に関する80件近くの要望を受領した。これらの回答から重要なテーマをサマリ分析として公開した。要望の例として、個人情報取扱事業者が消費者向けに個人情報へのアクセスを可能にし、修正や削除ができるようにすべきなどの内容があった。
https://www.nist.gov/privacy-framework/working-drafts

2019年2月27日 TikTok、子供の個人情報の違法収集で約6.3億円の罰金
動画SNSのTikTokが、13歳未満の子供の個人情報を違法収集していたとして、米連邦取引委員会（FTC）との間で和解に合意した。報道によると、和解条件としてTikTokはFTCに対して罰金6.3億円を支払うとのこと。
https://newsroom.tiktok.com/musical-lys-agreement-with-ftc/
https://www.bloomberg.com/news/articles/2019-02-27/bytedance-s-tiktok-hit-with-5-7-million-fine-over-child-privacy

2019年2月28日 タイ、「サイバー戒厳令」と呼ばれるインターネットセキュリティ法が可決
ロイター通信によると、軍が実権を握るタイの国会において、国のサイバー機関に広範な権限を与えるサイバーセキュリティ法を採択した。満場一致で承認された同法は、危機的なサイバー脅威が予測された場合、軍主導の国家安全保障理事会がすべての手続きを独自の法律で行うことができるなどとしている。また、コンピュータやネットワークのアクセスや機器押収もでき、「司法の監視」と「権力濫用」の懸念が叫ばれている。
https://www.reuters.com/article/us-thailand-cyber/thailand-passes-internet-security-law-decried-as-cyber-martial-law-idUSKCN1QH1OB

2019年3月4日 パスワードを使わない「WebAuthn」がウェブ標準化
ウェブ標準化団体の「W3C」と認証技術推進の非営利団体「FIDOアライアンス」は、パスワードを利用しない「Web Authentication（WebAuthn）」をログイン用の正式なウェブ標準とすることを発表した。例えば、スマートフォンの指紋認証でSNSやクラウドサービスなどにログインすることが可能になる。
https://www.w3.org/2019/03/pressrelease-webauthn-rec.html

2019年3月4日 NIST、中小企業向けの情報提供サイトを開設
米国国立標準技術研究所（NIST）は、中小企業向けの情報提供サイトを公開した。管理職向けのコンテンツ、用語集、インシデント対応のガイドなどの基本情報を1つのポータルとしてまとまっている。
https://www.nist.gov/itl/smallbusinesscyber

2019年3月5日 英国DCMS、サイバーセキュリティ調査レポートを公開
英国政府のデジタル・文化・メディア・スポーツ省（DCMS）の最新レポートによると、英国大企業の取締役はサイバー攻撃の自社へのビジネス影響について全体の16%しか理解していないことが分かった。調査対象企業の96%がサイバーセキュリティ戦略を策定し、95％がインシデント対応計画を立てているにもかかわらず、定期的にテストをしている企業は57％に留まっている。
https://www.gov.uk/government/news/uk-boards-of-biggest-firms-must-do-more-to-be-cyber-aware

2019年3月5日 ファーウェイがベルギーにサイバーセキュリティ透明性センターを開設
中国の通信機器メーカーのファーウェイ社が、ベルギーのブリュッセルに「サイバーセキュリティ透明性センター（Cyber Security Transparency Centre）を開設した。主なセンターの役割は、研究開発や製品のショーケース、コミュニケーションの場、技術検証プラットフォームの3つである。一方、ファーウェイ社は米国国防権限法（NDAA）が米国憲法違反だとして、政府を提訴したと発表した。
https://www.huawei.com/en/press-events/news/2019/3/huawei-cyber-security-transparency-centre-brussels
https://www.huawei.com/en/press-events/news/2019/3/huawei-sues-the-us-government

2019年3月6日 米国レストランチェーンのSonic社がサイバー攻撃の被害で約5.5億円の補償金を支払う
米国レストランチェーンのSonic社がPOSシステムのセキュリティアップデートを怠り、サイバー攻撃によって顧客のクレジットカード情報が盗難された件で、米国航空クレジットカード連邦組合は約5.5億円の補償金を請求した。被害者に対して、一人当たり10ドルから40ドルまでの補償金が支払われる。
https://newsok.com/article/5624861/sonic-corp-sued-over-data-breach

2019年3月8日 米国NSA、リバースエンジニアリングツール「Ghidra」を公開
米国の国家安全保障局（NSA）は、RSA Conferenceにおいて、NSAで10年以上使用してきたリバースエンジニアリングツール「Ghidra」を無償で公開したと発表した。フォレンジック調査で広く用いられている「IDA Pro」に代わる強力なツールとして期待されている。
https://ghidra-sre.org/

------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
2月1日 フランス通信会社Orange社が英国のSecureData社を買収
2月4日 IPKeys Power Partners社が自動化技術を持つSigmaFlow社を買収
2月6日 HelpSystems社がSecureAuth社からセキュリティ事業を買収
2月7日 Haven Cyber Technologies社がスウェーデンのOnevinn社を買収
2月7日 クラウドセキュリティのCarbonite社がエンドポイントセキュリティのWebroot社を買収
2月12日 シマンテック社がSDP（ソフトウェア境界防御）技術のLuminate Security社を買収
2月15日 マイクロフォーカス社がUEBA（ユーザー行動分析）技術のインターセット社を買収
2月19日 パロアルトネットワークス社がオーケストレーション技術を持つDemisto社を買収
3月4日 米国メディアのコムキャスト社がAIセキュリティ技術を持つBluVector社を買収
3月5日 NTTセキュリティ株式会社が米国のWhiteHat Security社を買収
3月7日 ID認証サービスを提供するOkta社が企業向けクラウドサービスのAzuqua社を買収
近日予定 イスラエルのTufin Software Technologies社がニューヨーク証券取引所に上場予定【IPO情報】