------------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2019/9/3）
------------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】米国のサイバー攻撃、イランのタンカー襲撃能力にダメージ
【3】海外政策動向一覧
【4】今月のM&A/IPO情報詳細

------------------------------------------------------------------------
【1】まとめ
------------------------------------------------------------------------
・米国によるイランへサイバー攻撃による影響が長期化したことに関する解説
・スウェーデン初のGDPR違反者は、顔認証で出席を記録していた高等学校
・アップル、Siriのプライバシー保護機能を強化
・IDマネジメントを提供するPing Identity社が上場予定【IPO情報】

------------------------------------------------------------------------
【2】米国のサイバー攻撃、イランのタンカー襲撃能力にダメージ
------------------------------------------------------------------------
8月28日のニューヨーク・タイムズの報道によると、米国のイランに対するサイバー攻撃によって、イランがペルシャ湾を通行する石油タンカーを襲撃するために用いていた重要なデータベースが消去され、イランのタンカー襲撃能力に大きなダメージを与える結果となったとのこと。当初トランプ大統領は、イランによる米国無人偵察機撃退への報復として物理的な軍事攻撃を計画していたが、被害者が多く出ることを懸念し、直前にサイバー攻撃による報復に切り替えた。サイバー攻撃の効果は一時的なものと見込まれていたが、予想よりも効果は長く続き、イランはデータ消失とオフライン状態からの回復を試みている段階であり、依然としてシステムを復旧できていないとのこと。

米国国防総省は、昨年9月に発表した新たなサイバー戦略において、「Defend Forward（一歩踏み込んだ防御）」という言葉を用い、米国を標的とする海外のサイバー攻撃者に対して、これまでの防御中心から、より積極的な対処も可能にする方針を示した。今回のイランに対する作戦は、「Defend Forward」の一環と考えられるが、予想以上に効果が長期化する結果となった。今回、米国高官がニューヨーク・タイムズに本件をリークしたことは、米国のサイバー防衛能力誇示とDefend Forwardによる抑止力を世界にアピールする狙いも見て取れる。

日本のメディアでは、本件についてほとんど報道されていないが、「Defend Forward」や「Active Defense（積極的なサイバー防衛）」の効果を読み解くことができる重要な事例と言えよう。一方、積極的なサイバー防衛を大義名分として、米国以外の様々な国などがサイバー攻撃能力を強化し、作戦が多発される可能性について、サイバーセキュリティに関わる方は理解しておく必要があるだろう。

（参考情報）https://www.nytimes.com/2019/08/28/us/politics/us-iran-cyber-attack.html

------------------------------------------------------------------------
【3】海外政策動向一覧（2019年8月21日～2019年8月30日）
------------------------------------------------------------------------
2019年8月21日 スウェーデン初のGDPR違反者は、顔認証で出席を記録していた高等学校
スウェーデンのシェルレフテオにある高校が、カメラによる顔認証技術を利用して生徒の出席状況を試験的に記録していたことに対して、データ保護当局（DPA）は20万スウェーデンクローナ（日本円で約220万円相当）の制裁金を科した。生徒の機微な情報を取り扱うことに対して、有効な同意を得ていなかったことが原因であるとのこと。
https://www.datainspektionen.se/nyheter/sanktionsavgift-for-ansiktsigenkanning-i-skola/

2019年8月23日 マスターカードの個人情報漏えいについて、ベルギーとドイツのDPAが調査
ベルギーとドイツヘッセン州のデータ保護当局（DPA）は、マスターカード社から大規模な個人情報漏えいの通知を受けたことを明らかにした。同社のロイヤルティプログラムに登録した顧客情報（名前、カード番号、メールアドレス、住所、Email、電話番号、性別、生年月日）が一定期間インターネット上で公開状態にあったとのこと。詳細については、ベルギーとドイツのDPAが調査する予定。
https://www.dataprotectionauthority.be/news/belgian-and-german-data-protection-authorities-collaborate-mastercard-data-breach

2019年8月26日 MITRE社が宇宙ISAC創設メンバーとして参画
米国ナショナルサイバーセキュリティセンター（NCC）は、米国政府支援の非営利研究機関であるMITRE社が、今年4月に立ち上げを公表したSpace ISAC（宇宙産業における情報共有分析組織）の創設メンバーになると発表した。MITRE社は、宇宙システムの安全性、セキュリティ、および信頼性に関する重要な専門知識を持つ組織として、政府および商業資産の両方に対する情報管理と意思決定支援の役割を担う。​
https://www.mitre.org/news/in-the-news/mitre-joins-space-isac-as-a-founding-member

2019年8月28日 アップル、Siriのプライバシー保護機能を強化
アップルは、Siri（音声アシスタント機能）の品質を評価するプロセスである「グレーディング」の一環として、ソフトウエアではなく人間に分析させていたことで、消費者からのプライバシーの侵害との指摘を受けていた。同社は、グレーディングの停止、録音データを保存しないこと、音声サンプルを聞くことができるのはAppleの従業員だけに限定することなどの対策を実施するとのこと。
https://www.apple.com/jp/newsroom/2019/08/improving-siris-privacy-protections/

------------------------------------------------------------------------
【4】今月のM&A/IPO情報詳細
------------------------------------------------------------------------
8月5日 CyberRisk Alliance（CRA）がセキュリティ情報配信のSC Mediaを買収
8月8日 半導体メーカーのBroadcomがシマンテックの企業向けセキュリティ事業を買収予定
8月20日 マカフィーがセキュリティプラットフォームを提供するNanoSecを買収
8月22日 MSP事業を提供するNuMSP社がNTConnections社を買収
8月22日 VMwareがエンドポイントセキュリティのCarbon Black社とソフト開発ツールのPivotal社を買収予定
8月26日 オランダのElastic N.V.社がスレットハンティング事業者のPerched社を買収
コンテンツデリバリーネットワーク（CDN）などを提供するCloudflare社が上場予定【IPO情報】
IDマネジメントを提供するPing Identity社が上場予定【IPO情報】