グローバルX　BUG～サイバーセキュリティETFの評価

グローバルX　BUGの概要

グローバルXのBUG（サイバーセキュリティETF）は、システム、ネットワーク、アプリケーション、コンピュータ、モバイル機器への侵入や攻撃を防止するセキュリティ・プロトコルの開発・管理に携わる企業に投資します。対象となる証券は、新興国および先進国の証券で、サイバーセキュリティ活動に関連した収益の50％以上を占める証券を選定しています。

また、これらの証券に基づいてADRやGDRにも投資します。構成銘柄は時価総額で配分されていますが、それぞれにキャップが設定されているため、大企業への集中を抑え、他の企業へのエクスポージャーを高めています。サイバーセキュリティ企業の上位40社が最終的な指数です。半期ごとに再構成し、再加重しています。

グローバルX社のETF紹介ページ
https://globalxetfs.co.jp/funds/bug/

出所：ETF.comより　　2020/12/31時点　為替レートは、103.121で換算

グローバルX　BUGが取引できる証券会社

グローバルX　BUG～サイバーセキュリティETFが取引できる日本国内のネット証券会社です。SBI証券、マネックス証券、楽天証券で取扱いがあります。IG証券でCFDの取引はできません。

サイバーセキュリティへの投資の評価

（グローバルX社が2019年10月にBUGを設定した際のレポートをまとめて、翻訳しました）

世界がデジタル化するにつれ、貴重で機密性の高いデータを保護することがますます重要になってきています。テクノロジーは、有形のアイテムをデジタルの世界に持ち込み、手作業のプロセスを自動化することで生産性を向上させます。しかし、より多くのアイテムやプロセスが物理的な世界を離れてデジタルの領域に入ると、新しいタイプの犯罪への扉が開かれます。サイバー犯罪による被害は、2021年までに世界で年間6兆ドルに上る可能性があり、個人、企業、政府は莫大な費用をかけてサイバーセキュリティ企業と提携し、専有データを保護するための洗練されたソフトウェアやサービスを提供することになります。

ビッグデータの台頭

少し前までは、住所、健康記録、決算書などの重要な情報をアルファベット順に並べたファイルキャビネットに保管していました。その後、コンピュータとインターネットが登場し、新しいデジタルパラダイムが確立され、膨大な量の情報を1と0でキャプチャして保存するようになりました。一夜にして、テクノロジーはマウスをクリックするだけで簡単にデータを入手できるようになりました。しかし、それだけではありませんでした。

物理的な記録から古いデータをデジタル化することが最初の段階でしたが、今では、私たちが行うことは事実上すべてデジタルの痕跡を残しています：私たちが何を購入し、何を見て、誰と話して、どこに行くのかは、さまざまなプラットフォームによって捕捉されています。ある試算によると、世界では毎日25億バイト（2.5×1018）以上のデータが生成されており、過去2年間に生成された全データの90％に相当します。

この爆発的なデータ量をさらに加速させるために、以下のようなデジタル技術が登場しています。

1）食器洗い機からテレビまでの日常的な機器をインターネットに接続してデータを収集・伝送する「モノのインターネット」

2）安価で拡張性が高く効率的なデータインフラサービスを提供するクラウドコンピューティング

3）膨大なデータセットから洞察を発見できる機械学習や人工知能など、データの価値をこれまで以上に高めるデジタル技術の登場

新規に生成されるデータ量の予想

データの拡散＝サイバー脅威の拡散

しかし、より多くの価値あるデータが作成されるにつれて、サイバー犯罪者は、データを盗み、闇市場でデータを販売したり、身代金を要求して保持したり、個人情報を暴露したりすることにますます意欲的になってきています。最も一般的に、サイバー犯罪者はデジタル手段を使って、専有データやプライベートデータ、知的財産（IP）、金銭を盗むことを目的としています。しかし、テクノロジーの進化に伴い、サイバー脅威も同様に進化しています。例えば、モノのインターネットが日常的なモノをインターネットに接続することで、サイバー犯罪者が活動するための新たな手段が生まれます。ハッキングされた信号機、盗まれた車、操作された個人の健康機器などは、今やすべて可能性の範囲内にあります。

1つのサイバーセキュリティ企業が1日に1億件以上の脅威をブロックすることができます。しかし、たった1回の侵入で企業やユーザーに深刻な被害をもたらしてしまいます。2013年から14年にかけて、ヤフーは2つの攻撃で30億のアカウントすべてがハッキングされましたが、これは間違いなく21世紀で最悪のデータ侵害でした。侵害により、ユーザーの名前、メールアドレス、生年月日、電話番号、パスワード、セキュリティに関する質問などが暴露されました。少し厄介なことに、ヤフーは2017年に攻撃を確認していますが、これは実際に事件が起きてから3～4年後のことです。2017年には、米国最大級の信用情報機関であるEquifax（EFX）が、社会保障番号、生年月日、運転免許証番号など1億4,300万人の消費者に影響を与えるデータ侵害を発表しました。

2018年後半には、マリオット・インターナショナル（MAR）が、パスポート番号などの個人情報を含む5億件のアカウントが侵害されたデータ侵害を発表しました。通常、サイバー犯罪の犯人は外部の行為者である。ヤフーのケースでは、国家がスポンサーとなっている行為者が責任を負っていますが、これは珍しくありません。しかし、懸念されるのは外部の行為者だけではありません。個人的な利益や金銭的な利益を目的とした内部侵害も発生しますが、場合によっては単に人為的なミスが原因となることもあります。

サイバー攻撃の脅威

ソリューションのエコシステムが必要

サイバー脅威から身を守ることは業界の課題です。サイバーセキュリティサービスは、ゲートウェイ、アイデンティティ、電子メール、クラウド、ウェブセキュリティ、エンドポイントを含むネットワークのすべてのレベルを保護することに焦点を当てています。サイバーセキュリティ企業が不正な活動や悪意のある活動に対抗するために使用する技術は様々であり、以下のいずれか、あるいはより可能性の高いものを組み合わせて使用することができます。

• 認証と認可;権限を使用してユーザーの活動を識別し、認証するプロセス
• 暗号技術；数学的な関数が通信を安全にするためのプロセス
• 正当な利用パターンの自動分析；使用パターンの自動分析を使用して、異常な動作を管理者に警告します
• 侵入検知とリスク軽減；悪意のある行為者がシステムに侵入するのを防ぐためのプロアクティブなアプローチ
• データの完全性の検証；データが無傷であることを確認するための分析、および損害や変更の範囲を評価するための分析
• コンピュータ・フォレンジック；サイバー脅威や犯罪を追跡し、事象がどのように、なぜ発生したのかを特定する反応的なメカニズム

プロアクティブな防御メカニズムは、人工知能（AI）や機械学習（ML）のアプローチを含むように進化すると予想しています。AIとMLは、フィッシング検知に役立ち、偽のウェブサイトや正規のものに見せかけたリンクを認識することができます。視覚認識技術の進歩は、AIとMLが次世代のサイバーセキュリティ企業が潜在的な脅威を検知するのを支援できるもう一つの分野です。もちろん、AIやMLのメカニズムが進化するためには、トレーニング目的でマルウェアのような悪質なデータを含む大量のデータへのアクセスが必要です。

サイバーセキュリティへの支出の拡大が求められている

サイバーセキュリティは、IT支出の中で最も急速に成長している分野の1つです。米国の最高情報責任者（CIO）は一貫して、サイバーセキュリティを支出の最優先事項としてランク付けしています。セキュリティ関連のソフトウェア、ハードウェア、およびサービスへの世界の支出は、悪意のあるプログラムの登録数が過去最高の9億2500万件に達したことから、年末までに1,240億ドルに達する可能性があります。

同様に、サイバーセキュリティの導入に対する政府の支出も増え続けています。2018年5月に施行されたEUの一般データ保護規則（GDPR）では、個人データを安全性、保護、透明性を確保する方法で処理することを求めています。

米国ではサイバーセキュリティが優先課題となっており、規制当局はGDPRのような法整備に向けて取り組みを続けています。2019年の連邦予算には、サイバーセキュリティのための150億ドルが含まれており、2018年比で5億8,340万ドル（4.1％）の増加となっています。カリフォルニア州は2018年にデジタルプライバシー法を可決し、人々のデータに対するコントロールを認めている。このような法案は、企業側にサイバーセキュリティを迅速に強化し、潜在的な不祥事を回避するための緊迫感を生み出しています。

サーバー・セキュリティ関連支出額の予想

あらゆる産業におけるデジタルトランスフォーメーションは、サイバーセキュリティの能力がリアクティブなものではないことを暗示しています。プロアクティブなセキュリティは必須です。データ侵害の発生を防ぐことで、望ましくない経済的、政治的な影響を軽減することができます。日常的に何百万もの、ますます複雑化するサイバー脅威は、サイバーセキュリティ企業が自社のサービスに対する需要を継続的に増大させる機会であることを物語っています。世界中の企業、消費者、政府機関を保護するというサイバーセキュリティの中心的な役割を考えると、サイバーセキュリティは、より強固なセキュリティとプライバシーの対策やポリシーを活用できる立場にあるように思われます。

※グローバルX社のレポートを翻訳しました。

サイバーセキュリティETFの比較とおすすめポイント

サイバーセキュリティ業界に投資する方法はいくつかあります。もちろん、最新のセキュリティインシデントの恩恵を受ける可能性の高い個別銘柄を特定することも一つの方法です。あるいは、幅広いアプローチをとり、ETFMG Prime Cyber Security ETF (HACK)やグローバルＸ サイバーセキュリティ ETF（BUG）のようないくつかのサイバーセキュリティETFのうちの1つに投資することもできます。

サイバーセキュリティETFは４つ上場しています。他の主要なプレーヤーは、ETFMG Prime Cyber Security ETF (HACK)、First Trust Nasdaq CEA Cybersecurity ETF (CIBR)、iShares Cybersecurity and Tech ETF (IHAK)、Global X Cybersecurity ETF (BUG)です。CIBRは、30億ドル以上の運用資産（「AUM」）を持つ4つのETFの中で最大のものです。この点では、HACKも20億ドルの運用資産残高を有しています。

4つのETFはいずれも素晴らしいパフォーマンスとなっています。特に12月にソーラーウィンズのセキュリティ事件^※が発覚してからの好調さが際立っていました。4つのETFの中で、BUGは67％増と最も印象的な1年間のパフォーマンスを発揮しました。HACKは、4つのETFの中で最も印象的なパフォーマンスが少なく、36%上昇しました。

HACKとBUGのパフォーマンスの違いにはいくつかの理由があります。HACKの保有銘柄数は、BUGの27銘柄に対して59銘柄と2倍以上あり、結果的にHACKのボラティリティは低くなりますが、強気相場では大きな利益が出る可能性が低いことも意味しています。また、HACKはAUMベースでBUGの10倍の規模を持っています。資産規模が大きいため、HACKは機動性に欠け、優れたパフォーマンスを発揮することが難しくなっています。

※12月に起きた米政府や大企業が外国の利益に晒されたSolarWinds（SWI）のセキュリティ侵害事件を受けて、サイバーセキュリティ業界は2021年が旗振りの年になりそうです。次期大統領のジョー・バイデン氏は、「巨大なデータ侵害は米国に『重大なリスク』をもたらす」と述べ、国はそれに応じて対応すると述べています。今回の事件は、今年のサイバーセキュリティ業界の大半にとって、大きな盛り上がりを見せることになりそうです。

ガートナー社によると、ネットワークセキュリティ機器への支出は2020年には13％近く縮小すると予測されている。一方、クラウドセキュリティへの支出は33％の成長が見込まれています。

ネットワーク機器プロバイダーのシスコがHACKの上位保有銘柄の1つであるのに対し、CAGR80%以上の収益CAGRを誇るサイバーセキュリティ企業のモンスターであるCrowdStrike Holdings（CRWD）は、トップ10には入っていません。実際、HACKはCrowdStrikeを保有していますが、22位とかなり下位に位置しています。対照的に、他の3つのETF（BUG、CIBR、IHAK）はそれぞれCrowdStrikeを1位の保有銘柄として挙げています。

世界のセキュリティー関連セグメント別支出額予想

グローバルX　BUGの保有株式上位10銘柄

過去１年間のBUGのパフォーマンス推移

（競合となるHACK、CIBR、IHAKとの比較）