-----------------------------------------------------------------------
JCIC海外動向ニュースクリップ（2019/10/23）
-----------------------------------------------------------------------
[コンテンツ]
【1】まとめ
【2】オランダ「One Conference」参加レポート
【3】コメンタリー「なぜ、金融機関はサイバーリスク管理に「KRI」を用いるのか」
【4】海外政策動向一覧
【5】今月のM&A/IPO情報詳細

-----------------------------------------------------------------------
【1】まとめ
-----------------------------------------------------------------------
・オランダで開催されたカンファレンスにJCICが出席。日本国内との違いを解説
・サイバーリスク管理に関する「KRI」のコメンタリーをウェブ公開
・カリフォルニア州の消費者プライバシー法（CCPA）が成立。2020年1月に施行開始
・英国サイバーセキュリティ企業のソフォス社を投資会社のThoma Bravoが買収予定

-----------------------------------------------------------------------
【2】オランダ「One Conference」参加レポート
-----------------------------------------------------------------------
2019年10月にオランダ・ハーグで開催されたThe International One ConferenceにJCICより2名が出席した。全体テーマは"Keeping our Future Secure" "Be Innovative, Stay Alert!"で、サイバーセキュリティのポリシー、テクノロジーに限定せず、幅広いオーディエンスを想定したものだった。

(1)概要
本カンファレンスは2013年から開催されている。近年は規模拡大とともに産業育成の側面も有しており、新興企業の研究開発成果が披露される場ともなっている。

会を通じて言及が目立ったのが民主主義体制を脅かす情報操作的なふるまいへの言及と、技術の報じられ方に対する問題意識である。後者については、サイバーセキュリティにAIを活用するというテーマで行われたセッションでは、技術に関する情報は二次情報が主であり、実際と異なる説明や比喩が含まれ、過大な期待を招くことが指摘された。フィッシング対策に機械学習を活用する事例を紹介したセッションにおいても、技術の活用にあたっては実際に活用できるものを見極め、スモールパイロットで着手することが肝要だと締めくくられていた。

(2)主なセッションの内容
カンファレンスは司法・安全相の基調講演で開幕した（司法・安全省の下部組織National Cyber Security Centre （NCSC-NL）と経済・気候政策省がカンファレンスのスポンサーである）。会をとおして印象的だったのは、開催国のおかれた地理的条件に基づくリスク管理の重要性である。複数の講演が治水のリスク管理を例に挙げ、包括的取り組みの重要性を訴えていた。また、社会基盤である民主主義体制への介入・挑戦としてDisinformationに言及した講演も複数あった。問題認識は、容認しうるサイバーオペレーションを規定する国際規範形成のトレンドと一致するものだが、日本国内のサイバーセキュリティイベントでは取り上げられることの少ないテーマであり、このカンファレンスの特徴と感じられた。

併設イベントとしてCTF（Capture the Flag：セキュリティ技術者の競技会）が開催されたほか、Innovation Floorと銘打ったコーナーでは、ハーグ市内に拠点を置く14団体がセキュリティソリューションを紹介した。出展していたSIM-CI（災害時等の重要インフラシミュレーションシステム）は、都市インフラを描画し、インシデント発生時の情報を入力してインフラ寸断や交通などをシミュレートする。インフラコンポーネントのデータを入力するほか、API連携で外部システムのデータをインポートすることもできる。複数系統のインフラのシミュレーションを総合的に行えるため、カスケード障害のシミュレーションに強みを発揮するという。すでにハーグ市の治安、消防当局の訓練に使用された実績がある（https://sim-ci.com/）。

基調講演は「社会の安全としてのサイバーセキュリティ」「プライバシーとセキュリティを両立させる自治体の観点」「制御システムのセキュリティインシデント動向」など、社会にとってひろく課題となる問題を取り上げたものが多かった。

(3)日本企業が学ぶべきこと
個々のセッションの内容は既発表論文等が中心だったが、インフラとなって久しいインターネット上の脅威のとらえかたの相違点や、サイバーセキュリティへの取り組みの波及範囲の認識の広さに学べることが多いと感じた。

-----------------------------------------------------------------------
【3】コメンタリー「なぜ、金融機関はサイバーリスク管理に「KRI」を用いるのか」
-----------------------------------------------------------------------
（サイバーリスク管理のKRI（Key Risk Indicators）に関する調査結果をJCICウェブサイトに掲載しました。以下、コメンタリーの抜粋です。）

「KRI」という用語をご存知でしょうか。KRI とは、Key Risk Indicators の頭文字をとったもので、日本語では「重要リスク指標」と訳されます。
JCIC が国内の金融機関のセキュリティ責任者へのインタビューを行ったところ、「KRI」を用いてサイバーリスク管理を行っている事例が複数社ありました。デジタル技術への依存度が高い金融機関では、近年サイバーリスクが経営に与える影響が大きくなってきておりますが、なぜ、サイバーリスク管理に「KRI」を用いているのでしょうか。
本コラムでは、セキュリティ部門やリスク管理部門を想定読者とし、リスクをモニタリングする指標であるKRIとは何か、どのような効果が期待できるかを説明し、日本企業への示唆を示します。
また、「サイバーリスクに関するKRIの例」を一覧としてまとめ、参考資料として掲載しました。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1d

-----------------------------------------------------------------------
【4】海外政策動向一覧（2019年10月4日～2019年10月18日）
-----------------------------------------------------------------------
2019年10月10日 欧州委員会、5Gのリスク評価報告書を公開
欧州連合（EU）欧州委員会は、「5G」のネットワークセキュリティに関するリスク評価報告書を公開した。攻撃されるポイントが増加すること、主要サプライヤーに依存しすぎるリスクなどについて指摘されている。今後の予定として、12月31日までにリスクを監査するためのツールボックスについて合意する予定とのこと。
https://europa.eu/rapid/press-release_IP-19-6049_en.htm

2019年10月11日 カリフォルニア州の消費者プライバシー法（CCPA）が成立
米国カリフォルニア州知事は消費者プライバシー法（CCPA）に署名したと発表した。これによって、2020年1月の施行が正式に決まった。また、CCPAのルールを規定する施行規則の草案を公開し、パブリックコメントを12月6日までに受け付ける。12月上旬には、公聴会も予定されている。
https://www.oag.ca.gov/privacy/ccpa

2019年10月16日 サウジ石油施設へのドローン攻撃後、米国がイランに極秘のサイバー攻撃を実施
ロイター通信によると、サウジアラビアの石油施設がドローンによって攻撃を受けた後、攻撃に関与したとされるイランに対して米国が極秘のサイバー攻撃を実施していたとのこと。このサイバー攻撃により、ハードウェアに被害が出たとのことだが、詳細は明らかになっていない。
https://www.reuters.com/article/us-usa-iran-military-cyber-exclusive/exclusive-us-carried-out-secret-cyber-strike-on-iran-in-wake-of-saudi-oil-attack-officials-say-idUSKBN1WV0EK

-----------------------------------------------------------------------
【5】今月のM&A/IPO情報詳細
-----------------------------------------------------------------------
10月2日 フランスのITソリューション企業Atos社が電子認証技術のIDnomic社を買収完了
10月3日 オーストラリアのTesserent社がPS&C社のセキュリティ部門を買収予定
10月3日 ReliaQuest社が米国スタートアップのThreatcare社を買収
10月3日 フィッシング対策のKnowBe4社がTwist and Shout Media社を買収
10月11日 アリババクラウド社が中国のサイバーセキュリティ企業Chaitin Tech社を買収
10月14日 英国サイバーセキュリティ企業のソフォス社を投資会社のThoma Bravoが買収予定