------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2019/6/18）
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】米国、官民に対する政府インシデント対応支援の法案が下院で通過
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・民間企業に対する各国政府のインシデント対応支援の動向を解説
・ロシア、政府要請に従わないVPNプロバイダーを利用停止へ
・スペインのプロサッカーリーグがGDPR違反で25万ユーロの制裁金
・エンドポイントセキュリティなどを提供するクラウドストライク社がNasdaqに上場【IPO情報】

------------------------------------------------------------------------
【2】米国、官民に対する政府インシデント対応支援の法案が下院で通過
------------------------------------------------------------------------
6月11日、米国下院は「国土安全保障省サイバーインシデント対応チーム法案」を可決した。国土安全保障省（DHS）内の国家サイバーセキュリティ通信統合センター（NCCIC）の権限の下で「サイバーインシデント対応チーム（HIRTs；Hunt and Incident Response Teams）」を設立することを定めている。HIRTsは、政府機関だけではなく、民間企業や団体のインシデント対応支援も行う。NCCICは、サイバー攻撃に関する情報共有を目的とした機関であったが、今回の法案によりインシデント対応支援まで業務を拡大する計画である。なお、この法案は、今後上院で議論される。

また、英国NSCSでは、「中小企業向けインシデント対応ガイド」を6月12日に公開した。インシデントが発生している際に、英国政府の電話窓口に連絡すると、トリアージ（優先度付け）や応急措置のサポートなどを行う。同様の民間企業に対する政府の支援は、韓国、シンガポール、オーストラリアなどでも行われている。

日本では、6月11日に「サイバーセキュリティお助け隊」の実証事業に関する内容が経済産業省やIPAから公開された。中小企業におけるサイバー攻撃の実態や対策のニーズを把握し、その実態に合った支援体制の構築を進めることが目的。15府県を対象に各地域で100社～200社程度の企業の参加を呼びかけるという。

このように、各国で民間企業へのインシデント対応を国が支援する制度構築が進んでいる。国が対応を支援する制度が確立できれば、インシデントの情報共有がより進む可能性がある。今後、各国で具体的にどのような支援が何件行われ、民間企業がその支援を有益と評価するかについて動向を注視していきたい。また、民間企業が政府に何を求めるべきかという点も深掘りする必要がある。

（参考情報）
米国 DHS Cyber Incident Response Teams Act of 2019　https://www.congress.gov/bill/116th-congress/house-bill/1158/text
英国 Small Business Guide　https://www.ncsc.gov.uk/collection/small-business-guidance--response-and-recovery
サイバーセキュリティお助け隊　https://www.meti.go.jp/press/2019/06/20190611001/20190611001.html

------------------------------------------------------------------------
【3】海外政策動向一覧（2019年6月8日～2019年6月14日）
------------------------------------------------------------------------
2019年6月10日 ロシア、政府要請に従わないVPNプロバイダーを利用停止へ
ロシア連邦通信局（Roskomnadzor）は、VPNプロバイダー10社に対して、国の指定する接続禁止サイトやサービスへのアクセスを遮断するよう要請した。ロシアの報道によると、カスペルスキー社のVPNだけが政府要請に応じるが、残りの9社は要請を拒否する方針とのこと。当局は、要請に応じないVPNサービスへの接続を遮断する方針を明らかにしている。ロシアは、世界のインターネットから切り離された独自のインターネットを構築するため、より積極的な施策を行っている。
https://www.technologyreview.com/f/613652/russia-will-start-blocking-major-vpn-providers-from-next-month/

2019年6月11日 米国DHSで、官民に対する恒久的なインシデント対応支援チームを作る法案が下院で通過
米国下院は、国土安全保障省（DHS）内の国家サイバーセキュリティ通信統合センター（NCCIC）の権限の下で「サイバーインシデント対応チーム（HIRTs；hunt and incident response teams）」を設立する法案を可決した。この法案は、連邦機関と民間企業・団体へのサイバー攻撃の防止、軽減支援を目的としており、今後上院で議論される。
https://www.congress.gov/bill/116th-congress/house-bill/1158/text
https://www.cbo.gov/publication/55277

2019年6月12日 英国NCSC、中小企業向けのインシデント対応ガイドを公開
英国国家サイバーセキュリティセンター（NCSC）は、中小企業や団体がサイバー攻撃から身を守るためのガイダンスを発表した。重大インシデント発生時の対応事項や復旧方法などを10個のステップで示している。またNCSCは、インシデント発生時にはAction Fraud（インターネット犯罪や詐欺に関する情報収集と啓発を行う機関）に直ちに連絡することを推奨している。
https://www.ncsc.gov.uk/collection/small-business-guidance--response-and-recovery

2019年6月12日 スペインのプロサッカーリーグがGDPR違反で25万ユーロの制裁金
スペインのデータ保護監督機関AEPDは、スペインのプロサッカーリーグ「ラ・リーガ」のサッカーアプリが不正にユーザーのスマートフォンのマイクから音声収集していたことがGDPR違反にあたるとして、25万ユーロ（日本円で3060万円相当）の制裁金を科した。ラ・リーガは、視聴料を支払わないスポーツバーを特定するために、遠隔操作によってサッカー放映中に1分に1回マイクを起動し、不正の特定を試みていた。
https://uk.reuters.com/article/uk-soccer-spain-laliga/la-liga-fined-by-spains-data-protection-agency-idUKKCN1TC2RS

2019年6月13日 スーダン政府、抗議活動を鎮めるためにインターネットを完全に遮断
ロイター通信によると、軍が政府の実権を握るスーダンにおいて、民主的な選挙や自由を求める民衆の抗議活動を鎮めるために、インターネットの完全な遮断を行ったとのこと。昨年12月から4月にかけて、政府は通信会社にSNSの遮断を行うよう指示していたが、6月に入り抗議活動が激しくなったことを受けて、全てのインターネットを遮断した。
https://uk.reuters.com/article/uk-soccer-spain-laliga/la-liga-fined-by-spains-data-protection-agency-idUKKCN1TC2RS

------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
6月4日 WebセキュリティのImperva社がボットネット対策のDistil Networks社を買収
6月6日 リアルタイム検索技術のエラスティック社がEndgame社の買収を発表
6月6日 Cisco社が産業用IoTプラットフォームのSentryo社の買収を発表
6月12日 エンドポイントセキュリティなどを提供するクラウドストライク社がNasdaqに上場【IPO情報】
6月12日 インテル社がネットワーク製品やソフトウェアを提供するBarefoot Networksを買収
6月13日 パロアルトネットワークスがサーバレスセキュリティのPureSec社の買収を完了