2013 年 7 月 2 日情報化推進国民会議平成 24 年度情報化推進国民会議報告サイバー空間の脅威とその防御を考える～サイバーリスクに対して生活者、企業、国等はどう対処すべきか～１．はじめに近年の情報通信技術（IT）の発展と利用拡大、特にインターネットの普及によって、組織や国を超えたコンピュータ・ネットワークが実現し、70 年代から何度となく唱えられてきた高度情報化社会が現実のものになろうとしている。この拡大するサイバースペースは、電子商取引に象徴されるビジネスの革新や新製品・新サービスの創造の基盤となり、国境を超えたコミュニケーションや情報共有が容易にできる世界をもたらし、我々の生活を豊かにすると同時に、世界の社会経済の発展を支える重要なインフラとなっている。しかし、その一方で、ネットワーク社会の陰の部分も拡大している。デジタル化された個人情報の大量漏えい、特定個人に対する誹謗中傷による人権侵害、コンピュータ・ウイルスや不正アクセスによるなりすましや金銭詐取、情報窃取などのインシデントが増え、それに伴う経済的被害も増大している。特に近年、日本でも悪質なハッカー集団による大規模な DDoS1攻撃、標的型攻撃2メールによる防衛産業への不正侵入、オンライン・バンキングの利用者を狙ったフィッシング詐欺3による金銭詐取、加速的に普及しているスマートデバイス（スマートフォンやタブレット）の利用者をターゲットとした悪質なアプリケーションによる個人情報窃取などが発生しているほか、最近では、隣国の韓国では複数の主要テレビ局と銀行のコンピュータ・ネットワークが、サイバー攻撃によって使用不能な状態になる事件が起きている。また、情報セキュリティ政策会議では、2006 年の「第１次情報セキュリティ基本計画」の発表以降、３次にわたり包括的な情報セキュリティ戦略を策定してきたが、環境変化等もふまえ、第 4 次の戦略である「サイバーセキュリティ戦略」をこの 6 月に発表した。３月には警察庁が「平成 24 年中のサイバー犯罪の検挙状況等について」を公表し、サイバー犯罪の検挙件数が 7,334 件（前年比 27.7％増）で過去最高となるなど、サイバー犯罪が引き続き増加傾向にあることを明らかにしている。こうした現状も鑑み、情報化推進国民会議は、平成 24 年度の活動として、改めて情報化の陰の部分に焦点を当て、サイバーセキュリティ対策の在り方について検討することとした。検討に当たっては、情報化推進国民会議の中に有識者で構成する特別委員会を設置し、主に生活者やビジネスユーザが安心安全にネット利用できる社会づくりに向けた対策についてとりまとめることとした。 1 ２．検討体制と検討経過検討に際しては、情報化推進国民会議の中に「『サイバー空間の脅威とその防御を考える』特別委員会」を設置した。メンバ構成としては、委員長に中島洋氏（ＭＭ総研所長）、主査に前川徹氏（サイバー大学教授）と宮川晋氏（ＮＴＴコミュニケーションズ(株）先端 IP アーキテクチャセンタ担当部長）の２名を置くとともに、関連の有識者４名に委員として参画いただいた。特別委員会では、2012 年 10 月以降概ね 1 ヶ月ごとに計６回の会合を開催したほか、サイバーセキュリティ分野の有識者にヒアリングも行った。また必要に応じて電子メールなどネット上での情報交換・意見交換も行いながらとりまとめた。情報化推進国民会議（本委員会）では、2012 年 12 月に中間報告を、本年 6 月に最終報告を、それぞれ受けている。なお、2013 年 2 月には日本生産性本部が開催した「情報化シンポジウム・イン・東京」で中間とりまとめとして検討状況を発表している。３．検討対象サイバーセキュリティについて網羅的に検討しようとすると、その範囲は極めて広範にわたり、また検討の切り口も多様となり、かえって散漫な結果になりかねない。そのため、検討に際しては対象をある程度絞ることとした。まずＩＴの利用者として生活者とビジネスネスユーザ（一般企業のほかＩＴ利用者としての政府機関や自治体等を含む）の二者を想定し、各々の課題と対策について検討することとした。なお、この二者は一個人として見れば生活者でもありビジネスネスユーザでもあるという側面を持つことにも留意した。次に、この二者に望まれる対策には、もちろん自ら実施すべきものも多いが、ＩＴ事業者（セキュリティベンダやＩＳＰ(インターネット・サービス・プロバイダ)、サ－ビス提供事業者等）による製品・サービス面での対策や支援が必要であること、さらにわが国全体としてのセキュリティ政策の立案やその推進等を通じて生活者、ビジネスネスユーザ及びＩＴ事業者を底辺から支える立場としての国による役割と支援も不可欠と考えた。以上から、①生活者、②ビジネスユーザ、③ＩＴ事業者、そして④国の計４者生活者ビジネスユーザ（一般企業､自治体等）の立場を対象に検討することとした。（右製品やサービス面からの支援図参照）従って、昨今話題となっているいわゆる制御系システムのセキュリティＩＴ事業者（セキュリティベンダ、ＩＳＰ、サービス提供事業者等）や学会をはじめとした研究機関による支政策面からの支援援などは、その存在を認識しつつも今回国（政策立案・制度運用部門）検討の中心からは除外している。図：検討対象と相関 2 ４．検討結果 4-1 生活者としてのサイバーセキュリティ ※ここでの生活者とは、生活や趣味等のためにパソコンやスマートフォン等を利用している個人をイメージしている。次項で取り上げる「ビジネスユーザ」に対して「コンシューマ」と言うこともできる。 (1) 現状と課題ここ２～３年、サイバー攻撃に加えて、Ｇｍａｉｌ4などのアカウントの乗っ取り、フィッシングによる情報窃取に加えて、ＰＣ遠隔操作ウイルスによる誤認逮捕事件やポップアップ型ウイルス5 によるインターネットバンキング偽画面による情報窃取などが多発している。また直接の被害に遭うばかりでなく、場合によっては知らぬ間に犯罪に加担してしまう恐れも十分にあることから、生活者は、これまでとは異なった対応に迫られている。一方、パソコンやスマートフォン、タブレット端末、ゲーム機等が日常的に使用され、フェイスブックやツイッターなどのＳＮＳ6の利用者も急増しているが、サイバーセキュリティに対する生活者の意識や警戒心は必ずしも高くない。例えば以下のような問題がある。・複数のＷＥＢサイトやサービスで同じパスワードを使い回す。・ウイルス対策ソフトが最新の状態でない。・安心安全なスマートフォン向けのアプリケーションを選択できる目を持ち合わせていない。また、サポート期限が切れた古いハードウェアやソフトウェアが相変わらず利用されていることも懸念される。特に世界中に多くのユーザを抱えるＷｉｎｄｏｗｓＸＰが 2014 年 4 月にサポート終了予定となっていることは、今後のサイバーリスクを増大させる要因のひとつといえる。図：スマートフォン契約数の推移・予測スマホと携帯電話の総出荷台数および総出荷台数に占めるスマホ出荷台数比率の推移。2012 年度以降は予測値。（MM 総研が 2012 年 3 月に発表したデータを基に日経パソコン編集部が作成）。出所：情報盗難に詐欺…脅威増すウイルス、スマホどう守る？ 2013/2/26 日本経済新聞電子版 3 図：Android 向け不正プログラムの増加数（世界）出所：Trend Lａｂｓ 2012 年間セキュリティラウンドアップ Trend Micro Incorporated 注1）調査対象は、全国の15歳以上のPCインターネット利用者注2）Ｑ14で「被害にあったことはない」・「被害にあったかどうかわからない」と回答した人を対象注3）３本ある棒グラフは、上から12年10月調査、11年10月調査、 10年10月調査図：情報セキュリティ対策の実施状況 ※セキュリティパッチの更新やセキュリティソフトの導入・活用は 70%に留まる。(破線囲み部) 出所：次の資料を抜粋・加工 2012年度情報セキュリティの脅威に対する意識調査報告書 2012年12月独立行政法人情報処理推進機構（ＩＰＡ） (2) 生活者に望まれる取組み 1) サイバーセキュリティに対しては常に自ら守るという意識の維持、向上が不可欠まず始めに、前述したようなＰＣ遠隔操作やインターネットバンキング偽画面による情報窃取、アカウントの乗っ取りなどについては、自分にも起こりうることであり、決して他人事ではない、という強い警戒心を持つことが肝要である。しかも、受身ではなく、常に自ら守る意識を持つことで、サイバーセキュリティに対する意識を維持、向上させていくことができる。 2) 日常的な具体策以下の対策を普段から組み合わせて行うことが望ましい。 ① きちんとウイルス対策ソフトを導入し、常に最新の状態にしておくこと。 ② 各ＯＳのセキュリティを最新の状態に保つこと。「PDF Reader7」や「Flash Player8」などといったアプリケーションも、常に最新の状態に設定しておくこと。 ③ サポート期限の切れた（または期限を控えた）ハードウェアやソフトウェアは、脆弱性について専門業者に問い合わせ、対処すること。（例：家庭用の古いルーターや Windows ＸＰなど） ④ 複数のＷＥＢサイトやサービスで同じＩＤ、同じパスワードを使い回すことをやめ、定期的に変更すること。不審なＷＥＢサイトはもちろん、正規のサイトであっても普段と異なる不審な動作には注意すること。 ⑤ 身に覚えがないメールや添付ファイルを開封しない。また、そのようなメール本文中の URL には不用意にアクセスしないこと。 ⑥ 無料のパソコン用ソフトウェアやスマートフォンなどの無料アプリケーションは信頼できるサイトから入手すること。 ⑦ ＵＳＢメモリーの紛失等による情報漏えいの可能性があるので、情報を暗号化してその管理を徹底すること。 4 4-2 ビジネスユーザとしてのサイバーセキュリティ ※ここでのビジネスユーザとは、一般企業のほか政府機関や自治体なども含め、業務のためにパソコンやスマートフォン等を利用している組織や個人をイメージしている。 (1) 現状と課題最近のサイバー攻撃は、日本企業をターゲットにした標的型攻撃が急増するとともに、ますます巧妙化してきている。また、どの情報がどれだけ盗まれたのかよくわからない、被害規模を正確に判定できない、攻撃を受けていることすら認識していないといったケースも多く、従来のように、ファイアウォールがあっても万能ではなくなってきている。このように自社のセキュリティリスクの現状が正しく把握できていない背景には、経営者が情報の重要性を十分に理解していないことにも一因がある。一方、ビジネスユーザのセキュリティに対する意識は生活者と同様に、必ずしも高くない。セキュリティ対策はＩＴ部門がやるべきことで自分には関係ない、自分自身が巻き込まれることはない、という意識があることで攻撃されたり、攻撃者の踏み台にされる可能性はますます高くなりつつある。 ※ シマンテックのレポート「２０１２年上半期のセキュリティ現状」によれば、地域別の傾向としては、日本企業をターゲットとした標的型攻撃が急増している。国別ランキングで見ると、２０１１年は１０位だったものが、２０１２年（上半期）には、米国、英国についで３位に急浮上。２０１２年に世界で確認した標的型攻撃のうち、１７％は日本企業を対象にしたものだった。サイバー攻撃による被害を受けた場合、企業価値の低下や信用の失墜、競争力や事業継続性の低下といった経営危機に直ネットスーパー運営会社証券会社 ○不正アクセスを受け、顧客のクレジットカード情報1万2,191件を流出。 ○この分野で業界最大規模の実績を持っていたものの、約4ヵ月後に倒産。 ○約５万人分の個人情報が流出。 ○約５万人に１万円相当のギフト券を送付。損失は70億円以上であると発表。 ○社長、役員の減給、謝罪会見 ○金融庁による行政処分結することを恐れるあまり、その事実報告をためらう風潮が強い。そのことがインシデント情報9が民民、官官及び官民の間で有機的に共有されない大きな要因の１つになっている。クレジット情報処理会社（米国） ○不正アクセスを浮け、約4,000万件の個人情報流出。 ○ハッカーによる情報窃取が原因。 ○大量データ流出を受け、Visaと American Expressの2社との業務契約が打ち切りを表明したため、経営危機へ。京都府Ｕ市 ○住民台帳データ約22万人分の個人情報流出。 ○ｱﾙﾊﾞｲﾄ従業員が当該ﾃﾞｰﾀを不正にｺﾋﾟｰして名簿業者に販売、さらに他へ転売。 ○漏えいしたアルバイト従業員は住民に対する違法行為と認定。 ○一人あたり慰謝料１万円。図：情報セキュリティインシデントが経営に与える影響出所：情報セキュリティ月間キックオフ・シンポジウム資料「情報通信技術の新たな利活用とサイバーセキュリティ」 2013 年 2 月 1 日次に、昨今のビジネス環境の動向として以下３点を挙げる。第一に、ユーザのクラウド活用が浸透してきていることから、クラウドサービスが攻撃者の標的になる可能性が高くなってきている。第二に、使い慣れた個人所有のモバイル・デバイスを業務でも積極的に利用しようというＢＹＯＤ10のニーズが高まりつつあり、ＩＴの高度利用が進んでいる。しかし、その利用実態が進めば、個人所有のスマートフォンが攻撃を受けるケースが増え、会社の業務にも支障を及ぼす可 5 能性が高くなる。実際、モバイル・デバイスを標的としたマルウェア11も発見されている。その狙いは、個人情報のほか、取引先、顧客の連絡先、メール文面といった企業ビジネスの根幹にかかわる機密情報を盗んだり、ＳＮＳや電子メールなどに掲載された不正なリンク先をクリックさせることで、攻撃の糸口を作り出すことにある。第三に、大企業はもちろんだが、そのグループ会社やサプライチェーン12を含む取引先企業にも攻撃者の目は向けられている。その理由は、大規模企業の防御を突破するためにも、サプライチェーンの中でセキュリティに最も弱い部分（＝中小企業）を攻撃するからである。最後に、情報セキュリティ対策にかける費用については、２００５年の個人情報保護法や２００９年３月のＪ－ＳＯＸ13適用開始などの法令対応に一定のメドがついて、コンプライアンス重視のための投資がしにくくなってきたため漸減しつつある。それゆえ、経営者にセキュリティ対策の必要性を納得させ、継続的な投資を行っていくことは、多くの企業にとって容易なことではない。しかしながら、人材育成を含めたセキュリティ対策にしかるべき予算措置がとられないと、企業としての社会的責任を果たすことは難しい。 ※ 出典：ITR 「ＩＴ投資動向調査 2012」 (2) ビジネスユーザに望まれる取組み 1) 経営者によるサイバーリスクへの理解と社会構成員としての責務の認識企業はインターネット等を通じて様々なネットワークに繋がっている以上、セキュリティ対策を講じることは社会の構成員としての責務である。内部統制やコンプライアンス遵守のためにも、社員はもちろん、まずは経営トップがサイバーセキュリティの必要性を理解することが肝要である。よくセキュリティとコストはトレードオフの関係といわれるが、経営者がセキュリティにコストをかけないのは、適切な投資額が定量的に計算できない上、投資効果も明確に測定できないからである。組織の社会的信用やコンプライアンス維持の観点から、景気動向や業績に左右されないセキュリティ予算の計上が必要であるが、例えば「売上高の１％」というように基準を設けることが考えられる。 2)「インシデントは必ず発生する」という基本的なスタンスを持つこと「インシデントは必ず発生する」という認識を持ち、サイバー攻撃等が話題になった時にだけセキュリティ対策を見直すのではなく、常に攻撃を受けるかもしれないということを想定して自社を守る意識を醸成しておくことが不可欠である。また、サイバー攻撃を受けた場合は、ビジネスへの被害を最小限にとどめるための対策を講じるべきである。その意味で、サイバーセキュリティ対策の方向性は災害対策に似ており、企業の災害対策チームに情報セキュリティやサイバーセキュリティの専門家を組み入れ、サイバー攻撃の対応も一緒に担当させることも 1 つの方法と考える。 6 次に、サイバー攻撃等の被害を受けた場合の社内的な事実報告・情報共有については、情報提供者は匿名化する、攻撃により被害を受けた場合でも責任を咎められないなどの仕組みがないと、事実の報告はあがってこない。企業間や公的機関と企業等の間でも同様で、情報提供者は秘密保持契約等によって不利な立場にならないように十分配慮すること。 3) ビジネスユーザ（主としてＩＴ部門）がとるべき具体策個々の従業員の日常的な対策としては生活者の場合と同様だが、ＩＴ部門ではそれに加えて以下のような対策が必要である。 ① システムのアクセス権限やサーバの利用権限、ＩＤ・パスワード管理を再確認すること。 ② 社外への通信監視や遮断など出口対策14を行うこと。 ③ 社内の情報取り扱いルールを徹底すること。 ④ 定期的にデータのバックアップを取ること。適切なログの保存を行うこと。 ⑤ 自社リスクを客観的に評価できる環境を整備し、現状の可視化を行うこと。もしサイバー攻撃等が疑われる場合には、まず攻撃者を知ることから始める。自社のみで対応できる企業は少ないので、ＩＴ事業者等との日常的かつ緊密な協力関係のもとに、攻撃者は誰か、その意図は何か、何をターゲットにしているのか、外部へのアクセス経路はあるかなど攻撃者の手法や特徴を調査した上で、適切な対策をとるべきである。 4) サプライチェーンを含む取引先企業と中核企業が連携したセキュリティ対策の構築一般にサプライチェーンは多様な規模の企業から構成されるが、参加する企業のセキュリティの脆弱性が中核企業の攻撃につながる場合が多いことから、参加企業全体を含めたトータルなセキュリティ対策の構築と強化が急務となっている。さらに、サプライチェーンの構成企業は、直接の取引先を見るばかりでなく、生活者やエンドユーザなど製品やサービスの最終的な利用者の信頼確保も意図しながら、整合性のとれたセキュリティ対策をとるべきである。なお、セキュリティベンダ等の協力を得て、サプライチェーンのような特定の企業グループに最適なＩＴ機器やセキュリティサービスを提供してもらうことも望ましい。 5) 内部犯行の落とし穴への対応社員や同僚によるＵＳＢメモリーを介した機密情報等の窃取事件が増加しつつあることから、個人情報や機密情報がネットワークにつながっていなくても安心はできない。内部犯行を抑止する仕組みや社員のモラル向上策だけでなく、経営者による取り組みが何よりも重要となる。 ※シマンテックが世界的な規模で実施し、２０１３年２月に発表した「従業員による企業の知的財産のリスクに関する調査」によると、過去１２カ月に仕事を辞めた、または解雇された従業員の半数が企業の機密データを保持したままであり、４０% が新しい仕事にそれを利用しようと計画していることが明らかになった。 7 4-3 ＩＴ事業者としてのサイバーセキュリティ ※ここでのＩＴ事業者とは、主に情報セキュリティに関連した民間事業者をイメージしている。例えば、機器メーカはもとより、ウイルス対策ソフトなどを供給するセキュリティベンダ、電気通信事業者やいわゆるＩＳＰ（インターネット・サービス・プロバイダ）、広くはネットショッピング等のサービス提供事業者などを含む。 (1) 現状と課題ＩＴ事業者は、ハードでもソフトでもサービスでも、ユーザから見た使い勝手やセキュリティへの配慮、特に前項までで示したような生活者やビジネスユーザのセキュリティ意識の向上を含め、きめ細かな配慮ができているか再検証が必要である。例えば、機器の操作やサービスの利用に際して、ユーザにとって不用意に複雑なルールやわかりにくい説明が多い。分厚いマニュアルが渡されても読むことはほとんどない。だからといって、ソフトのインストール説明で散見される「アラームが出ても無視して“Yes”をクリック」では、利用者のセキュリティ意識を麻痺させてしまうことにもつながる。また、個人情報の取得許可の画面では、必要最小限の個人情報項目なのか疑わしくても、全てを承諾しないとサービスが受けられないため、疑問を持ちつつもクリックしていくことが恒常化しつつある。こうした状況では、ユーザは何も考えずにクリックしてしまい、リスクが高まることになる。さらに、ＩＣカード型乗車券の利用履歴が利用者の同意なく提携事業者側で見えることから提携サービスを停止したケースなどもあり、利用者側では対処できないセキュリティ上の脆弱さをサービス提供者自身が作り出してしまうこともある。また、業界としてインシデント情報や攻撃手口等の分析情報が共有できていないこと、国やユーザ企業との情報連携が十分にできていないことも課題といえる。特に大手のセキュリティベンダやＩＳＰの多くは、傘下企業や関連企業とは情報共有するものの、業界として情報共有するまでには至っていないのが実態である。その結果、例えば、ある脅威に対してセキュリティベンダのウイルス対策ソフトがいち早く対策をとったとしても、未対応のウイルス対策ソフトから感染が広がってしまう懸念が残る。わが国には小規模なＩＴ事業者も数多く存在することから、業界としての情報共有・連携を如何にして充実させていくかは、ＩＴ業界全体に期待される課題のひとつである。 8 (2) ＩＴ事業者に望まれる取組み 1) 安心安全な製品やサービスの開発・提供に更なる努力をＩＴ事業者全般の責務としては、セキュリティを十分考慮した上で、ユーザの立場に立ち安心安全な製品やサービスを引き続き開発・提供していく努力を求めたい。ユーザが意識しなくてもある程度業界側で安全が確保されている状態が望ましい。 ① ユーザに不用意に複雑な操作を要求しないＩＴ関連の機器の操作には、まだまだ複雑で分かりにくいものが多い。今後とも、シンプルで分かり易い操作方法の実現に努め、ユーザがＩＴを理解し主体的に活用できる環境つくりを目指すこと。 ② マニュアル類の動画化機器の操作マニュアルなどは、既にアニメーションや動画などを駆使した直感的な分かり易いものが存在するが、引き続きこのような対策を拡充していくことを望みたい。ネットによる動画配信であれば、視聴者の評価やアクセス状況を分析して分かり易いマニュアルに改善するなど品質の向上にもつなげられる。 ③ パソコン、携帯電話やスマートフォンの購入時にセキュリティ事項の説明を強化パソコンやスマートフォンを購入する者に対しては、現在でも引渡し時に簡単な操作説明等が行われているが、セキュリティ事項に関する説明を強化することを望む。 ④ サプライチェーン向けにサイバーセキュリティ対策を強化した製品やサービスの提供例えば、通信事業者によるネットワーク監視とトラフィック制御15が考えられる。わが国では憲法が保証する通信の秘密のため、通信事業者がインターネット上の通信を一律に監視したりそれに基づいたトラフィック制御を行うことはできない。しかし、ユーザの要請に基づくものであれば、それら監視・制御機能を提供することは可能である。イメージとしては、予めサプライチェーン側と合意した不審なパケットや異常なトラフィックをインターネット上で検出した場合に、ネットワーク側で必要な対応策を実施することが考えられる。 2) 業界としての情報共有や連携の強化「インシデント情報や攻撃手口の分析情報等に関する共同データベースの構築」や「アクセスしてはいけないＷＥＢサイトのブラックリストの情報共有」等を含む業界全体としての取り組みや先端的な防御技術の開発を望む。なおここから得られる共有情報は、国やその関連機関、ユーザ企業でも活用できるようにする。 9 4-4 国としてのサイバーセキュリティ ※ここでの国とは、情報セキュリティ関連施策を立案・運用する政府機関やその関連機関をイメージしている。なお、現業部門等で業務のためにパソコンやスマートフォン等を利用している部署は、4-2 項にある「ビジネスユーザ」として認識している。 (1) 現状と課題私たちの生活も企業の活動もインターネット、換言すればサイバー空間に大きく依存しているが、最近、政府機関や関連組織、防衛企業等へのサイバー攻撃が多発して、国家として企業としてサイバーセキュリティに対する危機意識の甘さが図らずも露呈した。不正アクセス禁止法（1999 年制定、2012 年改正）やＩＴ基本法（2000 年制定）、ウイルス作成罪を含む刑法･刑事訴訟法の一部改正（2011 年）はあったが、サイバーリスクに向けた法整備は十分とはいえない。また、国として誰がリーダーシップをとるのかも不明確で、迅速な情報共有も有機的な連携もできていない。昨年の夏にいわゆる政府ＣＩＯ（内閣情報通信政策監）が任命され、その権限等を規定する法案も今国会で成立したが、まだ本格的に機能しているとはいえない。海外から見ても、日本の窓口はどこなのか見えづらく、このままでは国際的な連携も国際的なルールづくりへの参画もおぼつかない。インシデントに関する情報共有については、関係する公的機関を中心にした体制は整っているものの、同様な取り組みを各省庁で別々に行っており、公的機関と民間企業が信頼関係を築けているとは言い難い。管轄名称概要経済産業省サイバー情報共有イニシアティブ（J-CSIP）総務省、（独）情報通信研究機構、テレコムアイザック推進会議（日本データ通信協会）の３者テレコムアイザック官民協議会警察庁サイバーインテリジェンス情報共有ネットワーク防衛省サイバー空間防衛隊（仮称） 2011 年 10 月設立。三菱重工、IHI、川崎重工、富士重工、日立製作所、東芝、NEC、三菱電機、富士通、ラックの計 10 社と、経済産業省、JPCERT/CC、（社）日本情報システム・ユーザー協会、（独）情報処理推進機構（IPA）で構成。 2002 年 7 月設立。総務省、日本テレコム（当時）、NEC、NTT コミュニケージョンズ、KDDI、IIJ、TTnet（当時）、nifty、TCA（電機通信事業者協会）、TSA（テレコムサービス協会）、JAIPA（日本インターネットプロバイダー協会）、NICT（情報通信研究機構）で発足。 2011 年 8 月設立。警察庁、インターネットイニシアティブ、NEC ネクサソリューションズ、エヌ・ティ・ティ・データ先端技術、セコムトラストシステムズ、日本アイ・ビー・エム、日本電気、日本電信電話、日立システムズ、三菱電機情報ネットワーク、ラックで構成。会員約 4800 社。 2013 年度末発足予定。防衛省・自衛隊のネットワークの監視及び事案発生時の対処を 24 時間体制で実施するとともに、各自衛隊に分散しているサイバー攻撃等に関する脅威情報の収集及び調査研究を一元的に行い、その成果を省全体で共有。表：主な省庁におけるインシデント情報の共有体制出所：各種資料を基に作成 10 セキュリティ人材については、その不足・育成・確保が懸念されている。独立行政法人情報処理推進機構（ＩＰＡ）の調査によれば、スキルが不足している社内向け情報セキュリティ専任者は約１３．７万人であるが、サイバーセキュリティの人材は、これまでの情報セキュリティ人材よりもはるかに専門性が高く、その育成や確保も極めて難しい状況図：情報セキュリティ人材の現状出所：情報セキュリティ人材の育成に関する基礎調査成果説明用資料にある。 2012年4月独立行政法人情報処理推進機構（ＩＰＡ）サイバーセキュリティのための人材育成や対策のための予算も十分とはいえない。わが国の情報セキュリティ対策に関する政府予算は概ね 300 億円前後で推移しているが、これはアメリカの予算額（6,000 億円超）と比較するとＧＤＰ比でも約１１倍の開きがあると言われる。今年度はかなりの予算積み増しが見られたものの、今後ますます高度化、複雑化が予想されるサイバーリスクに太刀打ちできるのか、依然として懸念が残る。表：わが国の情報セキュリティ関連の予算要求額出所：情報セキュリティ対策に関する平成 21 年度予算概算要求について平成 20 年 12 月 10 日内閣官房情報セキュリティセンター表：政府の情報セキュリティ予算について出所：情報セキュリティ政策会議第３４回会合（平成２５年５月２１日） 11 (2) 国に望まれる取組み 1) 国レベルでのサイバーリスクへの対処方針の明確化生活者の暮らしや企業活動を守るためには、国としてサイバー空間の安心安全を確保するための明確な戦略の策定とそれを実行するための体制作りが急務である。はじめに、国家安全保障の観点から、サイバー攻撃等政府、民間全体にとっての新たな脅威に対応できる有事関連法の整備を行うこと。またすべての省庁の上位に位置づける政府ＣＩＯ(内閣情報通信政策監) および各省庁のＣＩＯ補佐官の役割と機能について整合性を取りながら、わが国としての戦略を決定すること。次に、各省庁や関係機関の連携によりインシデント情報や分析情報等を共有しながら、迅速な対応策を決定し、わが国全体のセキュリティ政策を実行していくことが必要である。その際、同様な取り組みを別々に行うといった縦割組織の弊害に留意すること。なお、戦略を決定する際には経済のダイナミズムを考慮する必要がある。例えば、スマートフォンのアプリケーションの開発はインターネットを発達させ、そのダイナミズムは経済競争力の基にもなるが、サイバー犯罪にもつながる。しかし、規制ばかりでは経済が停滞してしまうので、経済発展の視点も加味して政策決定していくことが肝要である。 ※政府ＣＩＯ(内閣情報通信政策監)の役割今国会で成立した「内閣法等の一部を改正する法律」では、政府全体のＩＴ政策及び電子行政の推進の司令塔として、府省横断的な権限を有する内閣情報通信政策監（いわゆる政府ＣＩＯ）を設置するとともに、政府ＣＩＯをＩＴ総合戦略本部の本部員に加え、本部長がその事務の一部を政府ＣＩＯに行わせることができること等を規定している。セキュリティ対策は一国一企業では対応できない。国際間の法整備で抜け穴がないよう、統一された政府窓口を通じて国際連携した対応策とルールづくりに積極的に参画すべきである。また今国会で法案が成立したいわゆるマイナンバー制度は、個人番号カードを活用したインターネット上の本人認証の仕組みづくりなどを通じて、安心安全な社会のベースとすべきである。 2) 生活者のセキュリティレベル向上に向けた施策の実施とりわけ、普段からセキュリティに対する意識の低い生活者や企業のユーザを中心にして意識の底上げが必要と考える。各種メディアを活用して地道な啓発活動を展開するなど、国による支援や指導を強化すべきである。 ① パソコンやスマートフォンを初めて利用する人に対して、一定時間の講習を義務付けること。～操作方法や留意点、サイバー犯罪や情報漏えい等に巻き込まれないためのポイント等 ② 自治体と協力して学校や企業への出前セミナーを実施する。生活者向けには公民館や図書館等を活用し、講師にはＩＴコーディネーターやシニアボランティア等も活用すること。 ③ ウイルス感染やフィッシング、サイバー攻撃等の被害に対する統一的な相談窓口を設置すること。生活者でもアクセスしやすい、利用しやすいものにすること。 ④ 小中学校、高校の情報教育の時間の中で、サイバーセキュリティ対策の重要性やサイバー時代の情報倫理、情報リテラシー、個人情報保護の重要性等について教えること。 12 3) ビジネスユーザやＩＴ事業者のセキュリティレベル向上に向けた施策の実施 ① セキュリティ意識の低い企業の意識の底上げ。 ② 高度な脅威に晒されている企業のサイバーセキュリティ対策。～例えば、擬似攻撃メールを全社員に一斉に送り、適切に対処できるかを検証する「サイバー演習」の実施など ③ サイバークリーンセンター事業の活性化。 2006 年に開始したサイバークリーンセンター事業は、我が国のボット感染率を 2～ 2.5％（2006 年）から 0.6％（2010 年）に低下させ、日本を世界的に最もボット感染率の低い国とする等の実績と国内外での高い評価を残した。昨今のマルウェア感染手法やその他サイバー攻撃に利用される手法が高度化、複雑化している状況にも対応できるように活動内容を刷新し、活性化する。 ※ サイバークリーンセンター事業（2006 年 12 月開始）とは、総務省と経済産業省が共同で実施した、一般のインターネット利用者向けにボット対策を推進するプロジェクトであり、関係団体やインターネット・サービス・プロバイダ、セキュリティベンダが協力して、ボットに感染している一般のインターネット利用者への感染通知メールの送付、駆除ツールの配布、ボット駆除のための分析や情報提供等を行っていた。 ④ サイバー攻撃等により発生する損害に備えて、保険機構や紛争仲介機関を設置する。 ⑤ ＩＴ事業者の項でも触れた「インシデント情報や攻撃手口に関する分析情報等の共同データベースの構築」や「アクセスしてはいけないＷＥＢサイトのブラックリストの情報共有」等を含む業界全体としての取り組みや先端的な防御技術の開発。 ⑥ 内外のインシデント情報に関する報告の受付、攻撃の停止に向けた調整、脅威分析、再発防止のための対策検討や助言などを技術的な立場から行っている一般社団法人 JPCERT コーディネーションセンターや、企業のセキュリティインシデント対応チームの連合体である日本コンピュータセキュリティインシデント対応チーム協議会（略称：日本シーサート協議会）、ＩＴの中でも特にソフトウェア・情報システム分野の健全な発展を推進している独立行政法人情報処理推進機構（ＩＰＡ）など、既存の組織にも積極的な関与を求める。 4) 情報セキュリティ人材の育成・確保 2010 年 5 月に発表された政府の基本戦略である「国民を守る情報セキュリティ戦略」では、「2020 年までに世界最先端の『情報セキュリティ先進国』を実現する」としているが、そのためには以下に示すような情報セキュリティ人材の育成・確保と十分な予算措置が急務である。 ① 大学や大学院でサイバーセキュリティに関する高度な専門教育を実施し、資格制度を創設すること。 ② 防衛省や警察庁で集中的にサイバーセキュリティ要員の教育を行い、企業への出向・派遣・転籍等を通じての人材の底上げと確保を行うこと。 ③ 2012 年度に始まった「日本版ＣＴＦ16」等、セキュリティ技術に関する競技会を定期開催することで、高度な情報セキュリティ人材の育成に努めること。 ④「ＤＥＦＣＯＮＣＴＦ17」など世界各地で開催されるセキュリティ国際会議に積極的に 13 参加することで、米国の国防総省、国土安全保障省や銀行・防衛等のインフラ企業、大学・研究機関等のセキュリティ担当者等と最新の情報交換や人材交流を行っていくこと。５．まとめ生活者やビジネスユーザが安心安全にネット利用できる環境作りを主眼に、サイバーセキュリティ対策について検討した。以下に、各立場で特に強く望まれる取り組みをまとめる。 ① 生活者やビジネスユーザは、サイバー被害を受けるだけでなく、踏み台にされ加害者となる危険性が高まりつつあることを認識すべきである。このため、サイバーセキュリティを含むＩＴリテラシの向上に努め、能動的・主体的にＩＴを使いこなすのだという意識改革を求めたい。 ② 特にビジネスユーザにおいては、企業のトップがサイバーセキュリティの必要性を理解した上で対策に取り組むことを求めたい。また、サプライチェーンにおいては、セキュリティに対して投資余力のない小規模事業者等がセキュリティホールとなり中核企業の重要データの窃取等へと繋がる事件が多い。このため、サプライチェーンを構成する企業全体で足並みをそろえたトータルなセキュリティ対策が望まれる。 ③ ＩＴ業界においては、セキュリティ対策の強化のほか、生活者やビジネスユーザの能動的・主体的なＩＴ活用を促進する製品やサービスの開発・提供のため、今後とも継続的な努力が望まれる。 ④ 以上を底辺から支える国においては、国家レベルのサイバーセキュリティ対処方針を明確にし、これに基づく体制強化やセキュリティ人材の集中育成等を適正な予算配分により実行していくことを求めたい。生活者やビジネスユーザに対する支援としては、特に若年層や主婦層など情報倫理やＩＴリテラシの向上機会が不足する層を主な対象にして、継続的なセキュリティ啓発活動の推進を求めたい。さらにＩＴ業界と協調したサイバークリーンセンター事業の活性化や、官民による統一的な情報共有の推進を望む。ｻｲﾊﾞｰｾｷｭﾘﾃｨ意識の向上ビジネスユーザ生活者（一般企業､自治体等） <ＩＴの活用目的(例)> ・便利で快適な生活 <IT の活用目的(例)> ・生産性向上・分かり易い操作説明やサービス・ｾｷｭﾘﾃｨを強化した製品やサービス・IT 活用に関する啓発 (ｾｷｭﾘﾃｨ事項を含む) ＩＴ事業者（セキュリティベンダ、ＩＳＰ、サービス提供事業者等）・情報共有･連携・ｻｲﾊﾞｰｸﾘｰﾝｾﾝﾀｰ事業の活性化国（政策立案・運用部門）・国家ﾚﾍﾞﾙのｻｲﾊﾞｰｾｷｭﾘﾃｨ対処方針の明確化・ｾｷｭﾘﾃｨ人材の集中育成・予算の適正配分図：生活者やビジネスユーザのセキュリティレベル向上のため、各立場に望まれる取組 14 用語集 1 DDoS（Distributed Denial of Service）複数のネットワークに分散する大量のコンピュータが一斉に特定のサーバへパケットを送出し、通信路をあふれさせて機能を停止させてしまう攻撃。「分散 DoS」と訳されることもある。 2 標的型攻撃特定の個人や組織をターゲットに、社内の人間や取引先など関係者、公的機関を装って新作のウイルスをメールで送り、システムへの侵入経路を作って情報を抜き取る手口を使って攻撃 3 フィッシング詐欺「新規サービスへの移行のため、登録内容の再入力をお願いします」などと、金融機関などからの正規のメールや Web サイトを装い、偽のウェブサイトへ誘導して、暗証番号やクレジットカード番号などを詐取する詐欺。 4 Gmail 2004 年 4 月 1 日より提供を開始している Google 社によるフリーメールサービス。フリーメールでありながら、１GB というサービス開始当時としては大容量である点で話題を呼んだ。 5 ポップアップ型ウイルスある特定のウェブページを開いた時に、ウイルスを使って偽のウインドウを自動的に一番手前に表示し、暗証番号や合言葉などを入力させようとするもの。 6 ＳＮＳ（ソ－シャル・ネットワーキング・サービス）参加するユーザーが互いに自分の趣味、好み、友人、社会生活などのことを公開しあったりしながら、幅広いコミュニケーションを取り合うことを目的としたコミュニティ型の Web サイトのこと。代表的な SNS としては Facebook や Twitter、国内においては mixi を筆頭に GREE などがある。 7 ＰＤＦＲｅａｄｅｒＰＤＦ形式の文書ファイルを閲覧するためのアプリケーションソフトウェアの総称。PDF 形式は Adobe Systems が開発した文書フォーマットで、書式や画像、文書レイアウトなどをプラットフォームの種類に関わらず再現できるという特徴がある。 8 ＦｌａｓｈＰｌａｙｅｒ「Adobe Flash」で作成したコンテンツを Web ブラウザなどで再生するためのプラグインソフト。「Adobe Flash」で作成されたアニメーションはただ再生するだけでなくマウスやキーボードによる操作や入力フォームによる文字入力も可能。 9 10 インシデント情報日本では重大事故には至らなかったが、一歩間違えばその可能性のあった事態という意味で使われる。例としてはウイルスや不正アクセス、情報漏洩、迷惑メール送信、DDoS 攻撃など。ＢＹＯＤ（Bring Your Own Device）使い慣れた個人所有のスマートデバイスを持ち込んで業務で利用すること。企業側は端末購入費や通信費の一部などのコストを削減することができ、社員側は同種の端末を２台持つ必要がなくなり、業務効率を上げることができるというメリットがある。 15 11 マルウェア不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称。例としてはコンピュータ・ウイルス、ワーム、スパイウェア、トロイの木馬など。 12 サプライチェーン個々の企業の役割分担にかかわらず、原料の段階から製品やサービスが消費者の手に届くまでの全プロセスの繋がり。生産や調達などの体制を柔軟に対応することで、余剰在庫の削減など適正な生産体制を整えられる。 13 Ｊ－ＳＯＸ相次ぐ会計不祥事やコンプライアンスの欠如などを防止するため、米国のサーベンス・オクスリー法（SOX 法）に倣って整備された日本の法規制のこと。上場企業およびその連結子会社に、会計監査制度の充実と企業の内部統制強化を求めている。 14 出口対策これまでの「入り口対策」（ファイアウォール、ウイルス対策ソフト、ソフトウェアの更新等）に加えて、たとえ自社システムがウイルスやマルウェアに侵入されても、攻撃基盤の構築や情報の持ち出しを遮断して実害を防ごう、という考え方。 15 トラフィック制御音声や映像などの情報は通信路を通って相手側に送られるが、1 本の通信路は複数のユーザによって同時に利用される。このとき、同時に多数のユーザが大量の情報を伝送すると、混雑（輻輳）が発生し、場合によっては情報が失われることもある。このような混雑が発生しないように効率よく情報を流すこと（いわゆる交通整理）をいう。 16 日本版ＣＴＦＣＴＦは世界中で行われている旗取り合戦競技（Capture The Flag）で、セキュリティ技術と知見を競うコンテストの総称。クイズ的競技と、実際のサーバを用いた擬似的な攻防戦を行っている。予選会を経て、2013 年 2 月に第一回全国大会を開催。 17 ＤＥＦＣＯＮＣＴＦラスベガスで開催する世界最大級のセキュリティ会議で 20 年近い歴史がある。ＤＥＦＣＯＮ（Defense Readiness Condition）とは軍隊の作戦・戦闘の準備態勢のレベルのこと。ハッキングコンテストのほか、世界各地のセキュリティ技術者などによる講演、セキュリティの各種テクニックを教えるワークショップなども開催される。参加者は約 1 万 5 千人。ラスベガスのほか、EU やアジア、オセアニアや南米など各地でも頻繁に開催されている。 16