連携マップ作成作業部会報告書

(1)

連携マップ作成作業部会報告書

平成 22 年 3 月

(2)

0. 調査の目的と背景 ... 1

1. 情報セキュリティに関する状況の変化 ... 2

1.1. IT 環境の変化... 2

1.1.1. e ビジネスの状況 ... 2

1.1.2. デジタル情報家電における状況 ... 5

1.1.3. ＩＴ環境における新たな変化... 9

1.2. 情報セキュリティ分野の変化 ...10

1.2.1. 情報セキュリティにおける構造変化...10

1.2.2. 情報セキュリティに関する組織の変化 ...18

1.2.3. 情報セキュリティにおけるビジネス環境の変化 ...22

1.3. 情報セキュリティに関する時系列俯瞰図（連携マップ）...35

1.4. 課題...37

2. 連携成立要件のセオリー ...38

2.1. 連携の成立要件...38

2.2. 組織間連携事例...39

2.2.1. CSIRT ...39

2.2.2. Forum of Incident Response and Security Team (FIRST, www.first.org) ...44

2.2.3. TERENA CSIRT Task Force(TF-CSIRT,www.terena.org/activities/tf-csirt/)...44

2.2.4. 組織間連携オペレーション ...47

2.3. 課題...49

3. まとめ ...51

3.1. 総括...51

3.2. 今後の方向性 ...51

(3)

0. 調査の目的と背景

情報セキュリティ分野は、対応すべき脅威や関連する技術など、様々な側面において環境の変化が早い。また、近年の攻撃手法の高度化やそれに対応する対策の深化に伴い、情報セキュリティに係る専門分化や分業化が生じつつある。刻々と変化する状況を適時適切に把握し、新たに生起する課題に対して的確な対応を行うためには、関係する専門分野の知見を有する各主体が、

情報を共有し、かつ連携して対処していくことが重要である。

このため、｢セキュア･ジャパン 2009｣(平成 21 年 6 月 22 日情報セキュリティ政策会議決定)に基づき、内閣官房情報セキュリティセンター(以下､｢NISC｣)において、システム設計分野､ウイルス解析分野､CSIRT

¹

分野､ISP

²

分野等の各専門分野の情報共有スキームの役割と連携性を整理し、それぞれの目的・機能に応じた情報連携と情報交換モデルの検討を行い、この一環として「連携マップ」を作成する。

社会・経済における IT の役割が高度化・複雑化する中、IT セキュリティ上の問題の影響も従来の領域を超え広がりつつある。そこで、そうした影響が生じている多様な事業分野を対象に、関係組織の業務・役割に関する俯瞰的な相関マップを作成するとともに、各専門分野間の情報共有スキーム及び連携モデルの在り方や実現に係る課題について検討する。

具体的には、関連する事業分野をリストアップし、各専門分野においてどのような連携箇所があるかを点検した上で、連携マップ（本書では、情報セキュリティ関係者の特定と、その連携要件分析、問題の時系列変化をもって「連携マップ」とする）を作成する。また、従来連携が行われていなかった分野の連携による、新たな手法発見や情報セキュリティ対策に係る新スキームの提言も行う。

1 Computer Security Incident Response Team

2 Internet Service Provider

(4)

1. 情報セキュリティに関する状況の変化

「情報セキュリティ」は IT 環境と一体であり、IT やビジネスモデルと共に成長を続けている。IT 環境は社会・通信・経済等あらゆる分野に浸透しているため、情報セキュリティについても様々な組織が関与している。最近の傾向としては、情報セキュリティを単なるサイバー攻撃への対処ではなく、ビジネスのミッション（目的）の遂行に対する影響と必要対策コストの目線で考える場面が多く、

近年の経済危機も情報セキュリティに影響を及ぼしている。すなわち、サイバー犯罪を受けとめる側が組織縦割り式になっているので、組織の役割、目線、責任に応じて分解及び整理する必要がある。本質的な問題として、攻撃側の意図と受け止める側の問題認識が一致しているかどうかであり、必ずしも一致してないケースが多い。

サイバー犯罪

情報保全

インテリジェンス

国家安全保障テロリスト

サイバー攻撃インターネットセキュリティ

通信保全

セキュリティビジネス

法令遵守事業継続性

重要インフラ防護

監査誰が何の為にやってるか？影響はどんな形・範囲で出るか？

学術研究

どの立場で係わるか？組織目的は何か？

情報セキュリティ

事故・障害・災害

通信事業者（ＩＳＰ）サービス

経営判断ブラックマーケット

インテリジェンス経済

図 1-1 情報セキュリティ要素マップ

³

この章では、情報セキュリティに関する状況の変化を、情報セキュリティ分野を取り巻くＩＴ環境の観点と、情報セキュリティ分野自身の変化の観点から延べ、この変化を時系列で俯瞰する連携マップとして整理し、現状の課題についてまとめる。

1.1. IT 環境の変化

1.1.1. e ビジネスの状況

経済産業省「我が国の IT 利活用に関する調査研究事業」によると、日本における BtoB-EC 市場規模は 1998 年から着実に拡大してきたことがわかる。電子化率は 1998 年では 8.6％であった

3 第 1 回 MAP-WG 資料 MAP1-4 各作業部会の概要（p.33）

(5)

が、2008 年では 13.50％に達している。また、BtoC-EC 市場規模もまた拡を続けている。図には 2004 年を境に市場規模の大幅な減少が見られるが、これは自動車や不動産の販売で多く見られるようなネットワーク上で見積を行い対面や FAX で実際の契約を行う取引を 2005 年以降から EC 市場規模に算入していないためである。

8 .6

2 1 .6 3 4

4 6 7 7

1 0 2 1 3 9

1 4 6 .8

1 6 2 1 5 9

1.50%

3.80%

5.04%

6.99%

11.20%

14.70%

12.90% 12.60%

13.30% 13.50%

0 20 40 60 80 100 120 140 160 180

1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008

（兆円）

0 0.02 0.04 0.06 0.08 0.1 0.12 0.14 0.16

（％）

市場規模 EC化率

図 1-2 BtoB-EC 市場規模

⁴

6 5 0 3 ,3 6 0

8 ,2 4 0 1 4 ,8 4 0

2 6 ,8 5 0 4 4 ,2 4 0

5 6 ,4 3 0

3 4 ,5 6 0 4 3 ,9 1 0

5 3 ,4 4 0 6 0 ,8 9 0

0.02% 0.11%

0.26%

0.55%

1.02%

1.60%

2.10%

1.01%

1.25%

1.52%

1.80%

0 10,000 20,000 30,000 40,000 50,000 60,000 70,000

1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008

（億円）

0 0.005 0.01 0.015 0.02 0.025

（％）

市場規模 EC化率

図 1-3 BtoC-EC 市場規模

エラー! ブックマークが定義されていません。

4

http://www.meti.go.jp/policy/it̲policy/statistics/outlook/ie̲outlook.htm

(6)

このように、EC 市場は急速に拡大してきており、EC 市場の基盤となる EC サイトに関連する事業者は増大している。一般的な EC サイトであってもビジネス面での構造は複雑であり、そのすべてを把握する事業者は少ない。EC サイト構築・運用やインフラはシステム開発会社を通してアウトソーシングされる。販促に大きな役割を占める広告は、広告代理店が窓口となっている。商品については様々な業種が相乗りして販売を実施している。ネット金融は EC 事業者とユーザーの最初の契約に関係するが、決済情報がやり取りされるため、ネット金融系、商品系やインフラ系まで影響を及ぼすことになり、お互いに対する責任とリスクが増大している。リスクの中には訴訟問題も含まれ、脅威に意味が変わってきている。一方、セキュリティ関連の認定は利益を生むものではないため、EC 事業者はこれらの事業者にあまり積極的には関わろうとはしない。

セキュリティ会社

ＢＬＯＧサイト

検索サイトアフィリエイトサイト

決済代行会社

商品製造会社システム

開発会社

ＥＣ事業者

データセンターサーバー

監視会社

回線事業者カート

システム会社

運送業者

ＥＣサイト構築・運用系

カード会社

専用線回線事業者ネット銀行電子マネー

ポータルサイト比較サイト

問屋ＳＳＬ発行

事業者

セキュリティ認定事

業者個人情報認定事業

者広告代理店

アフィリエイト代理店

メディアレップ

配送センター

配送業者コンビニ

決済カード系

ネットワーク会社コンビニ系ネットワーク会社

倉庫業者サポートセ

ンター会社

保険会社

リース会社ソフト販売

会社

ハード販売会社

ハード開発会社

ソフト開発会社

ビル管理会社コンサル

会社

アライアンス先サイト

ネット金融系

インフラ系商品系

商社

認定系広告系

ドメイン販売会社

ドメイン発行機関

セキュリティ監査会社開発会社経由で

いつも接している

最初の契約時のみ

問題があった時だけ

いつも接している大体いつも接している

あまり関わりたくない

図 1-4 ＥＣサイトのビジネス構造

⁵

EC サイトにおける決済は、決済代行業者がフロントにあり、その裏側にクレジットカード決済センター、ネット銀行、コンビに、電子マネー、カード会社によるアライアンス関係が構築されている。

決済代行業者は EC サイトを積極的にこれらのアライアンス関係に紹介している。決済会社をお互いに紹介することによって、アライアンスを通して営業活動を強化し、EC サイトの売上を確保しよう

5 第 1 回 MAP-WG 片山構成員資料（p.3）

(7)

としている。また、携帯電話による決済も拡大してきている。

EC サイトにおける決済においては、トラブルが生じた場合、被害者が誰なのか不明確な状況にある。顧客としてのカード保有者個人には請求されないため、決済代行と決済センターが実際の被害者となる。EC サイトが保険会社に加入していれば損害は補填されるが、保険料が高額なため、中小規模の EC サイト業者は加入していない状況である。

カード会社A

カード会社B

カード会社C CAFIS

JCN

e-SCOTT

ECサイトA 決済代行

会社A

ECサイトB

ECサイトC

決済代行会社B

ECサイトD

ECサイト決済代行

クレジットカード

決済センターカード会社

カード会社D ネット銀行

コンビニ決済

電子マネー決済

その他の決済

この部分は EC サイト側からは存在が全く分からないようにラップされている。

図 1-5 インターネットでの決済業界の構造

⁶

1.1.2. デジタル情報家電における状況

家電業界では、従来から製品安全の観点から、設計時に考えうる全ての実質的な危険の削除、

製造工程の標準化等による製品品質の向上、誤解のない正しい表示に取り組んでおり、利用者の使用状況を考えた機能と安全性を考慮した製品の提供を目指してきている。

これまでの製品の特色はハードに主体が置かれていたが、家電製品の情報化・ネットワーク化が進展した結果、現在の製品開発はソフトウェアに主体が移っている。特にインターネット接続が可能となる製品については脆弱性について対策を取る必要があるが、設計・製造時に脅威の予測が困難であること、情報家電の出荷台数が莫大な数に及ぶこと、消費者の情報セキュリティリテラシィが低いこと等の理由があり、効果的な対策が難しいため、脆弱性によるリスクは今後さら

6第 1 回 MAP-WG 片山構成員資料（p.8）

顧客

(8)

に増大することが想定される。悪意を持つ者が脆弱性を利用して、なりすまし、覗き見、改ざん、

個人情報の奪取等を行うようになれば、家電メーカーには莫大な対策費用が必要となるだけでなく、ブランド価値の低下や訴訟問題に発展することも懸念される。

図 1-6 家電の課題の変化

⁷

家電のインタフェースは比較的単純なコントローラや機能から構成されているが、内部については組み込みソフトウェアが採用され、ネットワーク接続機能も拡張されているため、その内部構成は PC に近づいており、このため PC と同様のネットワーク越しの脅威にさらされるようになっている。情報家電の業界においてもセキュリティに関して基本的な考え方や課題を明確化していく必要がある。PC の場合と同様にユーザー、PC メーカー、ソフトメーカー、通信事業者、セキュリティベンダーのそれぞれが責任・役割を明確化した上で、脆弱性対応における各ステークホルダーと共通の課題認識を持ち、連携し対策にあたることが肝要だろう。

より具体的な検討課題としては、以下があげられる。

(1) 長期使用家電の脆弱性対応（製品ソフトウェア限界問題）

→ ソフトウェア更新が行えないことに関する問題

(2) 製品出荷後に新たに手法が公となったネットワーク攻撃への対応

→ 設計時の想定を超えて拡大・変化する脆弱性の問題

(3) ユーザー対応の指針（製品脆弱性の理解促進、未然予防策の徹底）

→ メーカー対応の限界

(4) 通信事業者、サービス事業者、セキュリティベンダーとの具体的連携

7 第 2 回 MAP-WG 再起構成員資料（p.3）

(9)

→ 未知の脆弱性への対応に向けた課題

図 1-7 情報家電の本質的課題

⁸

家電メーカーが製品のアップデートに対応する上でのリスクの所在について、更新可能期間・

更新不能期間に分け、PC のソフトウェアの場合を参考にして以下にまとめる。

表 1-1 製品ライフサイクルにおけるリスクの所在

⁹

(10)

デジタル情報家電における課題、課題解決の方向性、メーカーの立場を以下の表にまとめる。

長期に使用された情報家電の脆弱性対応については、基本的にメーカーからユーザーに告知するスタンスである。製品出荷後に新たに存在が公になったネットワーク越しの攻撃については、設計時点で既知の脆弱性については組み込みで対応できるが、設計時点の想定を超える未知の脅威については発見後の迅速な対応が難しく、専門家のサポートが必要となる。製品脆弱性の理解促進や予防策の徹底に関するユーザー対応の指針については、現在では各メーカーが個々に取り組んでいるため、今後はユーザーによる適切な製品利用方法と見なす範囲や告知内容について業界として統一感のある取り組みを進める必要があるだろう。通信事業者、サービス事業者、

セキュリティベンダーとの連携については、現時点では具体的な方向性は見えないが、ベンダー

から一定の保護サービスを有償提供することも考えられる。また、デジタル情報家電の製造過程

において不正なコードが組み込みソフトに混入されたまま配布されるケースもリスクの一つとして

捉えられる。例えば、指紋認証機能を組み込んだ USB メモリにルートキット（rootkit）的な隠蔽ファ

イルが混入されたケースが過去に報告されている。

(11)

表 1-2 情報家電の本質的課題とメーカーの立場

¹⁰

1.1.3. ＩＴ環境における新たな変化

ストレージコストの低減や分散処理技術の高度化、通信環境の充実など、安価な ICT 基盤が急速に整いつつあることを背景にして、クラウドコンピューティングに注目が集まっている。クラウドコンピューティングとは、ユーザーがインターネット上（クラウド＝雲）に分散するコンピューティング機能を利用するモデルである。クラウドコンピューティングにおいては、ユーザーは最低限の接続環境（クライアント端末、ブラウザー、インターネット接続環境）があれば、インターネット上のサーバー群が提供する多様なアプリケーションやデータストレージをサービスとして利用できる。クラウドサービスの現在の代表的な事業者としては、米国の Google、Amazon、Salesforce.com などがあげられる。今後この技術が普及した際の課題として、相互運用性とセキュリティの確保について議論がなされている。

現在のクラウドコンピューティングを利用した各種サービスにおいては、各クラウド事業者が独自の環境を構築し、ユーザーの囲い込みを図っている。このため、今後ユーザー側から複数の事業者の利用や事業者の変更、クラウドと従来システムの連携といったニーズが出てきた場合、事業者が個別に環境を構築している状況が、これらのニーズの障壁となる可能性がある。

また、クラウドコンピューティングにおけるセキュリティについても様々な課題が指摘されている。

クラウドコンピューティングの利用により、組織のデータやサービスを外部ネットワーク上に配置するため、外部環境及び外部事業者の管理下にある情報資産のセキュリティ確保の在り方が問わ

(12)

れることとなる。

特に重要インフラや政府機関等、サービスの信頼性・可用性が求められる部分におけるクラウドの普及動向は注目を集めている。

1.2. 情報セキュリティ分野の変化

情報セキュリティ分野における変化として、情報セキュリティにおける構造変化、情報セキュリティに関する組織の変化、および情報セキュリティに関する制度・基準の変化について整理し、これらを情報セキュリティに関する時系列鳥瞰図（マップ）として示す。

1.2.1. 情報セキュリティにおける構造変化 (1) 攻撃構造の推移

30 年間のセキュリティの変遷をたどると 1982 年頃に登場したウイルス、2000 年の DDoS 攻撃、

2005 年のボット攻撃、2006 年以後の標的型攻撃と攻撃のスキームは変遷を遂げている。

図 1-8 コンピューティングとセキュリティの変遷

¹¹

11 第 1 回 MAP-WG 高橋構成員資料（p2）

(13)

例えば、2001 年以降をさらに詳しく見ると、攻撃者の性質が単なる愉快犯から経済的な目的を持った経済犯にシフトしていることが分かる。2001 年当初はウイルス、ワームといった技術志向の攻撃が主体であったが、2005 年あたりからボットネット、フィッシング詐欺、Winny による情報漏えい等の攻撃が活発化しており、攻撃がより組織化、隠蔽化、複雑化していることが分かる。経済犯として目的が明確な攻撃が顕著になり、いわゆる犯罪マーケットが形成され、情報が頻繁に詐取されるようになっている。ワームのような以前の脅威については、インシデントの予兆は脆弱性情報の公開等によって得られていたが、現在は、局地的なインシデントの発生から読み取ることが必要になっている。

▲Botnet

▲プロパガンダDos

▲フィッシング（詐欺・ID等搾取）

▲スピアメール（標的型情報搾取攻撃）

▲政府HP改竄

攻撃組織化、隠蔽化、複雑化

インターネット社会基盤の定着

技術志向目的目的性（金、アジ）、犯罪マーケット、情報搾取

2001 2002 2003 2004

▲IIS/sadmind (2001年5月)

▲Code Red I (2001年7月)

▲Code Red II (2001年8月)

▲Nimda (2001年9月)

△Slapper (2002年9月)

▲Slammer (2003年1月)

▲Blaster (2003年8月)

▲Code Red III (2003年3月)

▲Nimda.E (2001年10月)

▲Sasser.A-F (2004年5月)

▲Welchia (2003年8月)

2005

△Linux Ramen (2001年1月)

△Linux Lion (2001年3月)

△Linux Adore

(2001年4月) △Santy

(2004年12月)

2006

▲Zotob.A-I (2005年8月)

△：Linux系システムを攻略するネットワークワーム

▲：Windows系システムを攻略するネットワークワーム

▲Sasser.A-F (2004年5月)

▲Witty (2004年3月)

NIRT

▲Winny情報漏洩

▲ネットワーム

▲サイバ犯罪の増加

愉快犯ーー→経済犯へ

Ｂｏｔと呼ばれる悪性なモノが密かに急拡大

ウイルス、ワームマルウエア（ドロッパ、バックドア、ダウンローダ等）

過去〜現在の傾向推移

影響の見えるマス被害型から、騒がれないような手法に変化２００７時点

図 1-9 攻撃構造と手法と影響の変化

¹²

最近のサイバー攻撃では、特定の組織あるいはグループを狙う標的型攻撃が増える傾向にある。標的型攻撃とは、特定の組織に所属する職員であるユーザーや、特定の属性を持つユーザーを標的にする意図で仕掛けられる攻撃のことである。この攻撃は攻撃対象のユーザや組織に対して個別化され、特徴づけられており、一般性には乏しい。このため、この攻撃は大多数のユーザーに共通する弱点への多重化された対策手法をすり抜けて、個々のユーザー自身に直接及びうる。近年の標的型攻撃は、ソーシャルエンジニアリング手法を用いた電子メールでの騙しに始まり、不正者が管理するウェブサイトへの誘導、脆弱性の攻撃といった一連の手法からなる。この過程において、ユーザーの PC 上で動作するソフトウェアの脆弱性が密かに攻略され、バックドアを開けられてしまう。

(14)

標的型攻撃のようなソーシャルエンジニアリングの要素を持った攻撃に対しては、従来のネットワーク境界での技術的な防御策だけでは対策は不十分である。既存のウイルス対策やメール・フィルタリングを潜り抜ける標的型攻撃に対しては、メールクライアントやブラウザーを扱うエンドユーザーの判断が、被害を未然に防止できるか否かを大きく左右する。

0

･･

Botnet

C&C BOT

BOT

･･

･･････

･･

攻撃兵器商店（特注可）

攻撃請負サービス

取得情報売買業者資金洗浄業者

①依頼主？

D.Ｗｅｂサーバinject改竄 A.騙しメール、B.フィッシュメール

新たな未検知ウイルスのダウンロード自由に侵入出来る状態を維持（バックドア）

ＤＤｏｓ恐喝、エストニアＤＤｏＳ攻撃等

Ａ国Ｂ国

Ｃ国Ｄ国Ｅ国

世界中の乗っ取りＰＣで構成

・全体構図解明と監視継続

・各専門分野の情報相関と連携

・専門組織機能の組織運用対策を導き出す要素は？

攻撃可能企業等リスト

④攻撃基盤

⑧情報搾取

⑥追跡回避技術

②攻撃組織基盤

⑨攻撃基盤

③地球規模

C&C

⑤騙し技術

様々な目的

カード犯罪業者スパムメール業者標的型攻撃俯瞰図

ダウンロードＳＶ

Ｅ国

リストＳＶ攻撃元の隠蔽手段を多用

⑦脅威の連続落し込み

Botnet

･･

コンテンツアップ端末(ftp)

･･

ftp ID PW搾取(GENO) SQLinject

C.urlリンクスパムメール

fast flux DNS（匿名性の確保）←Botnet C&C技術複数の１次攻撃手法と共通の２次攻撃構図

脅威の意味大きさは、搾取情報の意味価値と影響によって各組織・分野毎に異なる。

仲介組織（胴元）

情報確認等→

ランダムurl手法

図 1-10 最新のサイバー攻撃動勢と対処方針

¹³

従来の攻撃については被害者とそれに対する攻撃手法を明確に区分できたが、近年の複雑化する攻撃においては誰が被害者かが分かり難くなっている。例えば Gumblar と呼ばれる攻撃手法では、感染を受けた企業と、感染されたサイトを運用するホスティング業者及び金融機関が被害者である。攻撃の入り口となる改ざんサーバだけでなく、中継役を果たすダウンロードサーバー、

攻撃者が制御を行うサーバなどは、ひとつのホスト上にはなく、複数のサーバーに置かれている。

被害の多くでは保守委託業者の保守用 PC が最初に感染したことで FTP アカウントが取得されサイトが改ざんされてしまった。

(15)

図 1-11 Gumblar 被害の関係者

¹⁴

Gumblar 被害においては、関連する組織が企業内外で複数に分かれることから、原因究明が非常に難しい。多くの組織において、システムの運用形態はアウトソース・保守委託業者とホスティング業者などマルチベンダとなっており、インシデントの発生時、どこに問題があり、誰が被害者になり得るか、対策をどうするか等、全体を把握できている人がいないことが問題である。経営者や CISO（Chief Information Security Officer）が自社の Gumblar 対策状況について確認しようにも、

情報システム部門の人員が少なく多忙のため、関係組織から「問題ない」という報告を受けて終わっているのが実態と見られる。これらの問題に関して、情報システム部門が対応するのか、あるいは関連組織における戦力の再配分が必要なのかは、企業の状況次第で異なるが、組織として対応策を検討する必要がある。

また、このような事象発生時の技術専門部署の課題としては、リスクの高い事件・事故に協力を得ることが難しい、その事象に対して対応を実施した後の再発防止の設備にかける資金がない、

すなわち 2 度と事故は起こらないという前提になっていることが挙げられる。また、非常時に技術専門部署が組織間のコーディネーションを果たす場合は、事務局としての役割が多く、技術的な対応である解析等にかける時間の確保が難しいということもある。

14 第 1 回 MAP-WG 高橋構成員資料（p.11）

(16)

脆弱性と攻撃、ステークホルダーの役割は次の表のように整理される。表の赤いマスは攻撃が成功するシナリオ、緑色は攻撃が防がれるシナリオ、黄色は状況によっては攻撃が防がれるシナリオである。

表 1-3 脆弱性と攻撃の視点

¹⁵

(17)

(2) 被害の意味の変化

金銭を目的とした攻撃においては、「社会基盤がどのように変化したのか、そこでどういうビジネスがあるのか、そこにターゲットマーケットがあるのか、そこで何かをやることによって自分たちが金を得るための構図があるか」を把握する必要がある。このようなビジネス基盤やビジネスモデルの構図を見極めて攻撃をしてくるため、その変化が攻撃スキーム発生のスタートラインになる。

インターネットが家庭に普及し、ゲームもネット化し、携帯は必須アイテムである生活の中の社会基盤におけるビジネスモデルを想定する必要がある。私たちの社会と攻撃者の関係がその延長にいるとすれば、構図の変化を見ておけば、次の攻撃はどのように変化するか、我々は社会や組織を守る為にどういうように防御法をパラダイムシフトすれば良いのか予見できる。

攻撃者である経済犯らは、広範な事業を行い金融情報も多く持つ EC 事業者を狙って攻撃する傾向が見られる。攻撃者らはセキュリティが堅いカード会社を直接は狙わない（図 1-12 参照）。

監督官庁

ＥＣサイト

セキュリティベンダー官庁系

団体

Sier

ＯＳソフト

（有償）

警察

セキュリティ関連団体

回線事業者

ドメイン管理事業者カード会社決済代行

業者

メディア

カードブランド会社

プロバイダデータセンター

ネットワーク装置電子

マネーカード業界団体

ＯＳソフト

（無償）

学会系団体

プロバイダ業界団体

［官庁系］

［ＥＣ業者系］

［情報学術系］［セキュリティ業者系］

［インフラ業者系］

ネット銀行

金融情報を持っているので狙われている産業や消費者を守っている

犯罪者

セキュリティが堅いので狙わない

企業系団体

ターゲットが広く金融情報を多く持っているので狙っている

一番気をつけている逮捕されないと

思っている

気にしてない

実は一番技術を持っている

図 1-12 犯罪者と組織の関連性

¹⁶

EC サイトでは様々な対策により相当数の攻撃をブロックしているものの、サイトが攻撃を常時受け続けているという認識に欠け、多くの場合は攻撃に気付いていない。本来ならばどのような攻撃を受けているかを分析し対策を取る必要があるが、そのようなコストを払うよりも商品の販売に注力する傾向が EC サイトには強い。気付いたときには既にカード情報や会員情報が盗まれた後である事例も多い（図 1-13 参照）。

(18)

セキィリティが薄い部分

ＥＣサイト

国内犯罪者

国外

警察犯罪者

業界団体セキュリティ

ベンダ団体官庁計団体

ファイアウォール

本陣約10万人防衛線数千人規模

陣地防衛線数万人規模

ゲリラ戦で、

守りが薄いところしか攻めない

［攻撃側攻め手］

数千人くらい？

［防御側守り手］

１０万人以上

［防御側攻め手］

数百人以上

ポート・トラフィック監視

ＥＣサイトＥＣサイトＥＣサイトターゲットの

ＥＣサイトセキュリティ製品

連携なし

ウイルスソフトセキィリティ監査

実は本丸約10万人電子マネーネットバンクカード会社

金融情報

国内は年間千件くらいは撃破している

気がついていないが、かなりの数をブロックしているはず

一箇所でも金融情報が取られると、他のECサイトすべてで

「なりすまし」される国外は年間？件くらいは撃破している？

開発者が防衛開発者が防衛開発者が防衛開発者が防衛

攻撃要請

図 1-13 セキュリティの構図

¹⁷

EC 分野全体でも業界を挙げた情報セキュリティ対策の取り組みをこれまでに講じ続けている。

インターネット黎明期には第三者承認機関を利用した決済方式を採用しようと試みたものの、時期尚早であったためか普及には至らなかった。2000 年頃には決済時にカード裏の 3 桁のセキュリティコードを入力する手法が採用された。2003 年頃からは、カード会社に登録したパスワードと ID の一部を決済時に入力する３D セキュア方式が導入され始めている（図 1-14 参照）。

(19)

＜非対面販売での認証＞

・SET（Secure Electronic Transaction）

第三者承認機関を利用した決済 1990年代後半→普及せず収束

・セキュリティコード

カードの裏側にある３桁の数字を決済時に入力 2000年頃実際にカード普及し始めたのは2001年以降

・3Dセキュア

カード会社に登録したパスワードとID（一部）を決済時に入力 2001年頃ＶＩＳＡレギュレーションで紹介され、

国内では2003年以降で普及

・認証アシストサービス開始

決済時に入力された個人情報をカード会社に照会して確認 2002年〜

＜対面販売＞

・CAT （Credit Authorization Terminal）

日本独自のクレジットカードの端末の総称で、クレジット信用端末で裏側のネットワークはNTTデータがCAFISを運営。

1984年〜。その後1996年〜後半にかけてCCTへ以降。

・CCT （Credit Center Terminal）

国際標準の仕様に合わせたクレジットカードのネットワークの仕様 1996年にスタートし、このCCTの仕様に合わせた企業が立ち上がってきている。

・ICチップ搭載カード

海外からの技術導入で進められた企画で、端末でパスワードを入力 2004年頃ＥＭＶ準拠かつＣＣＴ対応での国内普及スタートフランスではこの仕様への変更で７０％の不正利用が防げたといわれている。

CAT SET CCT ３Dセキュア認証アシストセキュリティ

コード

1984 1996 2000 2001 2002

ICチップ

2004 営業開始

1960

図 1-14 クレジットカードのセキュリティの遍歴

¹⁸

EC 業界における最近のセキュリティ対策の動向としてはスコアリングの導入が挙げられる。これは決済代行会社が独自に提供を始めているソリューションで、不審な動き（利用するはずのない金額の利用など）をした場合には、なりすましと看做して、他のサイトでの決済をすべて受け付けないようスコアリングを行う仕組みである。

カード会社A

カード会社B

カード会社C CAFIS

ECサイトA ^決済代行_会社A

ECサイトB

ECサイトC

ECサイト決済代行

クレジットカード

決済センターカード会社

成りすまし犯人

決済代行会社がブロック

図 1-15 スコアリングシステムについて

¹⁹

(20)

(3)米国の動向

文献

²⁰

によると、米国では、情報セキュリティ分野の中でもインターネットを通じた攻撃が活性化している状況を背景に、サイバー攻撃防御（CND：Computer Network Defense）が大きな課題となっているとの見方がある。当該文献では、「一般的に、米国においては、政府・重要施設を中心としたサイバーセキュリティ対策に関心が高いのに対し、日本では、民間を中心とする（非サイバーの）情報セキュリティ対策に関心が高いように見受けられる」とし、その理由として、「米国においても、一般的に、『非サイバー』による事案は、日本以上に多いとされる。しかしながら、米国では、

サイバー攻撃等に係る被害がそれ以上に多く、特に、米国の連邦政府・重要施設は世界の中でも多く狙われており、これらを対象としたサイバーセキュリティ対策・政策に関心の重点がある。

一方、日本においては、官民ともに、相対的にサイバー攻撃等を受ける事例は少なく、このため、

システム障害も含め『非サイバー』の事案に相対的に関心がある。特に、プライバシー問題への関心が相対的に高いこともあり、非サイバーを中心とした個人情報保護対策に重点が置かれているように見える。」といった点を挙げている。

ただし、先に述べたとおり、日本でも、サイバー攻撃の変質が顕著になっており、今後、米国のような状況に変化する可能性も否定できない。特に、EC サイトに起きている事象を捉えれば、

CND の強化は、日本においても喫緊の課題といえる。

1.2.2. 情報セキュリティに関する組織の変化

情報セキュリティに係る脅威と問題が変わり、攻撃の多様化・高度化・複雑化が進むにつれて、

問題点として関心が持たれるテーマは、攻撃技術から組織業務への影響に移っている。このような現状にあっては、現在のサイバー脅威の特徴にあわせた対抗手段を持つような組織への組織変革が必要となる。

20 市川類「ニューヨークだより(IPA) 2010 年 3 月/米国連邦政府のサイバーセキュリティ政策を巡る動向」

http://www.ipa.go.jp/about/NYreport/201003.pdf

(21)

課題１：互助会的モデルのままでいいのか？

参考：この他の論点 ISP事業者の役割が変化

永遠のビギナー利用者に自己防衛を求めるやり方の限界課題２：サイバー脅威の特徴にあわせた対抗手段を持つような組織変革

2000 2004 2009 2010 ｔ

Winny 経済不況

ネットワークウイルス（影響の顕在化）

Botnet サイバエスピオナージ

ISMS,JSOX等

DDoS（EU,韓、米）

攻撃基盤技術

CND

FISMA IA

基本的な問題認識：情報セキュリティに係る脅威と問題の変質、攻撃の多様化・高度化・複雑化、攻撃技術中心から組織業務への影響問題点にテーマがシフト

脅威の見えない化（標的型攻撃、攻撃基盤の成長）

情報管理体制強化

▲ 2003 SQL Slammer Blaster・Sobig-F情報交換

▲ 2004 サッカーアジアカップ日本・中国決勝戦DDOS攻撃対応

▲ Blackhole IP連携対処（Antinny緊急対応）

▲2006CCCプロジェクト

（ボット対策）スタート

▲ 2002 T-ISAC-J 発足 ▲ 2009 RDB検討

スタート

▲ 2007重要インフラ分野別CEPTOAR設置

▲ 2009 CEPTOAR 協議会設置

〜2003

「おたく」的モデル組織内で一人が個別にがんばるモデル

〜2007 互助会的モデル全盛期

事業者間連携モデル1.0 事業者間連携モデル2.0

z各社個別孤軍奮闘対応 z情報連携なし

z 案件の増加に伴う汎用的な対応方針の需要増加 z コミュニティ活動の活発化

z 2006年以降コミュニティで対峙するような大規模なインシデントは発生していないよう

z 脅威そのものが少ない z 技術自体に特化 z 運用よりもコンピュー

タ科学

z 脅威が増加

z 脅威や影響が目立つ・見えやすい z マス脅威

各組織共通の問題として総意形成しやすい明日は我が身と思える

z 技術情報を組織運用に拡大

所感

特徴課題提起 T-ISAC-J 関連事象

▲ 2007 SoNAR-WG （CS、Abuse部門連携）発足

即応対応型即応対応型

本格対応型本格対応型

図 1-16 脅威の変化と組織モデル

²¹

このような背景のもとで、2006 年頃から、関連組織間のスキームが増え、新規の協議会等が新設される状況にある。

図 1-17 日本の現状俯瞰図

²²

21

第 1 回 DM-WG 有村構成員資料（p.5）

日本の情報セキュリティ政策は、内閣官房長官が議長を務める情報セキュリティ政策会議をトップとして、その事務局を務める内閣官房情報セキュリティセンターが政策全体の調整役となっている。内閣官房情報セキュリティセンターは、政府、重要インフラ、企業、個人それぞれの情報セキュリティ対策を推進しており、情報セキュリティ政策関連 4 省庁である警察庁、防衛省、総務省、

経済産業省と連携してこれらの政策を進めている。これらの情報セキュリティ関連 4 省庁は、関連団体と協力して政策を遂行・実施している。

日本における代表的な情報セキュリティ関連団体を以下に示す。

1) 独立行政法人情報処理推進機構セキュリティセンター

情報セキュリティに関わる各種の情報提供、届出受付を担当しており、脆弱性情報取扱体制、

不正アクセス・ウイルス受付制度、情報セキュリティ評価認証、教育コンテンツの提供、重要インフラセキュリティ対策に関する調査研究等を実施している。

2) 独立行政法人情報通信研究機構情報通信セキュリティ研究センター

ウイルス解析、セキュリティモニタリング、トレースバック、暗号関連技術開発等の研究開発、独立行政法人産業技術総合研究所情報セキュリティ研究センターでは、ソフトウェアセキュリティ、

ハードウェアに関連するセキュリティ、暗号関連技術、脆弱性対策関連技術等の研究開発を実施している。

3) 財団法人日本情報処理開発協会（JIPDEC）

JIPDEC は、情報セキュリティ関係機関として電子署名・認証センターと情報マネジメント推進センターを有する。電子署名・認証センターは、電子署名法における指定調査機関として、認定認証事業者の認定の可否に係る情報収集を実施している。情報マネジメント推進センターは ISMS 認証機関と要員認証事業者に関する申請を受け付け、認定を実施している。

4) 一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）

JPCERT/CC は、日本国内の情報セキュリティインシデントについて、報告の受付、対応の支援、

発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを技術的な立場から行う。さらには、脆弱性ハンドリングにおいては、日本の調整機関として、国外機関（CERT/CC、

CPNI 等）との調整、日本国内の製品供給者との調整を実施している。

5) Telecom-ISAC Japan

Telecom-ISAC Japan は、財団法人日本データ通信協会の下部組織として存在し、日本の主要な ISP（Internet Service Provider）が集まって、ISP にとって脅威となる情報セキュリティ関連情報を収集している。また、サイバー演習を実施し、ISP 各社が連携して情報セキュリティインシデントに対抗するための課題の抽出を行っている。

6) NPO 日本ネットワークセキュリティ協会（JNSA）

(23)

JNSA は、情報セキュリティ関係の企業が加盟する団体であり、情報セキュリティの普及啓蒙、

各種の情報収集を実施している。主な事業に、情報セキュリティ市場調査、情報セキュリティインシデント調査、インターネット安全教室、中小企業情報セキュリティ対策促進等がある。

7) 重要インフラ連絡協議会（CEPTOAR Council）

CEPTOAR Council は、内閣官房情報セキュリティセンターが事務局を務め、日本の重要インフラ

の情報セキュリティ関連情報の集約組織である分野別 CEPTOAR の連絡協議の場として創設さ

れ、重要インフラにとって脅威となる情報セキュリティ関連情報の収集を実施している。

(24)

1.2.3. 情報セキュリティにおけるビジネス環境の変化

以下に、情報セキュリティに影響を及ぼす制度・基準等の変化について記述する。

(1) 情報セキュリティ市場の変化

情報セキュリティにビジネス面を含めて大きな影響を与えたものとしては法制度が挙げられる。

情報セキュリティに関連する法制度である個人情報保護法やいわゆる

J‑SOX（金融商品取引法

および会社法）等の施行は、情報セキュリティ市場の動向に一定の影響を与えた。Winny 等ファイル共有ソフトによる影響及び個人情報保護法の成立を受け

2004、2005

年度には暗号製品やシステムセキュリティ管理製品、コンサルテーションや教育サービスの市場が拡大した。同様に、いわ

ゆる

J‑SOX

の施行により

2007

年度にはセキュリティ教育やアクセス管理製品の市場が拡大した。

なお 2008 年後半は成長率が鈍化しているが、同時期に深刻化した国際的な金融危機の影響を否定できない。

法施行により情報セキュリティ関連製品の成長率が前年度より上がっているため、規制法の制定により製品市場拡大に一定の効果が得られるとの推測も成り立つが、以下の点で問題がある。

1)

成長率の上昇は当該年度では明白であるが、長い期間で見た場合の効果は定かではない。

2) 2

つの法の施行により、一般企業におけるコンプライアンス意識が劇的に向上した反面、過剰な反応も見られ、多くの企業でこれらの法制度への対応のためのコストが増加している。内部統制に伴うコストの増加は、従来の情報セキュリティ投資の削減に向かう可能性もある。

3) 個人情報保護法およびいわゆる

J‑SOX

への対応製品は概ね国内でのみ利用可能な製品で

あり、情報セキュリティ産業の国際競争力の向上にはつながっていない。

(25)

0%

20%

40%

60%

80%

100%

2004年度 2005年度 2006年度 2007年度 2008年度

統合型アプライアンスアクセス管理製品アクセス制御製品システムセキュリティ管理製品

セキュアコンテンツ管理製品暗号製品セキュリティコンサルテーションセキュアシステム構築サービスセキュリティ運用・管理サービスセキュリティ教育

（成長率）

統合型アプライアンス

システムセキュリティ管理製品

暗号製品

アクセス管理製品セキュアコンテンツ

管理製品

アクセス制御製品セキュリティ

コンサルテーション

セキュリティ運用管理サービス

セキュリティ教育

セキュアシステム構築サービス

個人情報保護法施行を控えたポリシー策定、検査、

コンサル、教育ニーズの高まり

個人情報保護法施行による暗号や運用管理サービスの

需要増

コンプラインス、Ｊ-ＳＯＸ対応に向けたアクセス管理ニーズの増大個人情報漏漏洩、インシデントの

多発を受けた社員の意識向上

→ 教育需要の拡大

図 1-18 日本の情報セキュリティ市場と関連政策の動向

²³

(2) 情報セキュリティの関連制度・基準

① 情報セキュリティマネジメントシステム（ISMS）

情報セキュリティマネジメントシステム（ISMS）は、情報に対してどのような脅威があり、脅威にどういう影響があってリスクになるのか、そのリスクを低減するためのモデルとしてまとめられている。

ISMS のコントロールはセキュリティポリシーを規定するものであり、個人情報、機密情報等のオーナーシップ、情報のコントロール、アプリケーションのコントロールを対象として管理するものである。主に、経営・企画・総務・人事等が関わっているケースが多い。一方、サイトセキュリティとはアクセスコントロールに関するものであり、ネットワークやシステムインフラといった技術よりのコントロールを行うものであり、IT・技術系の担当者が関わっている。

ISMS は情報の機密性、情報・コンテンツの完全性、正しい情報に対する可用性を対象としているのに対し、サイトセキュリティは制御情報の機密性、制御情報の完全性及びシステム稼働率を対象としている。関与している担当と対照とする興味の間にコントロールギャップが存在している。

これらをマップの形で表現すると、図 1-19 のようになる。

23

JNSA「平成 16,17,19 年度情報セキュリティ市場調査報告書」を基に MRI が作成

(26)

図 1-19 ISMS とサイトセキュリティにおけるコントロールのギャップ

²⁴

② 情報セキュリティ格付制度 1) 情報セキュリティ格付の概要

情報セキュリティ格付とは、企業等の組織が取り扱う技術情報や営業秘密、個人情報等のセキュリティ水準に関して、情報漏洩、改ざん、サービス停止等、想定するビジネスリスクへの耐性の度合い（脅威に応じた管理策の水準、事故の起きにくさ）を示す格付機関の意見であり、評価に当たっては、(1)マネジメントの成熟度、(2)セキュリティ対策の強度、(3)コンプライアンスへの取り組みなどの観点で計測し、記号や数値で指標化するものであり、事故が起きないことを保証するものではない。

情報セキュリティ格付の目的とは、マネジメント成熟度に加え、これまで見えにくかった情報漏えい対策の強度を見える化することで、取引先間相互の信頼を構築することである。後を絶たない情報セキュリティ事故を背景に、社会・市場は認証制度に加え、実態に即してレベルを評価する制度が要請されている。しかし、情報セキュリティ対策の実施状況を詳細に公表することは、

情報セキュリティ対策の問題点を明らかにしてしまう危険性があることから、情報セキュリティ対策の詳細を明らかにせず、対策の実施状況のみを開示する方法として「情報セキュリティ格付」が有効である。産業構造審議会では、「情報セキュリティ基本問題委員会報告書」（07 年

5

月）にて、新たな三つの戦略のうち、企業が取り組むべき優先的・重点的課題に「民間格付けの必要性や促進」を盛り込んでおり、民間格付けについては３年以内に着手し早期実現を目指すとしている。

情報セキュリティのレベルに関する客観的評価指標、共通の枠組みが確立し、社会インフラとしての格付プラットホームが形成され、取引先・委託先の重複評価が解消される。n 対

n

の評価が解消されることで、発注者、受託者間の情報の非対称性の解消、調査コスト・工数の効率化が図られ、発注者、受託者双方にとって大きなメリットが期待でき、社会コスト削減にも貢献できる。

(27)

従来（各社が取引先を調査）

A社 B社

A

社のクライテリア

で評価

B

社のクライテリア

で評価

発注元発注元

各社個別に対応

受受託託企企業業

A社 B社

共通のクライテリアで評価格付結果の閲覧

情報セキュリティ格付情報セキュリティ格付

発注元発注元

受受託託企企業業

図 1-20 全体最適の基盤としての格付制度確立

²⁵

2) 格付の指標

情報セキュリティ格付では、評価軸に沿って計測した結果を記号や数値で指標化する。株式会社アイ・エス・レーティングの場合、「マネジメントの成熟度」、「セキュリティ対策の強度」、「コンプライアンスへの取り組み」等の観点に基づく

17

段階の格付符号を設定している（表 1-4 参照）。

また、取引先や消費者から求められる格付水準は情報資産の重要度に応じて異なることから、

その関係について、同社では図 1-21 のような見解を示している。

表 1-4 格付符号の表記法と定義

²⁶

格付符号の表記法と定義

（注）上記の格付けの各レベル内の位置が上位または下位ある場合は‘+’または‘−’

符号を付記する。また、添え字の“is”は、Information Securityの頭文字。なお、

AAAとＣには‘+,−’符号は付記しない。

25 第 3 回 MAP-WG 資料 MAP3-2 三好構成員資料（p.3）

26 第３回 MAP-WG 資料 MAP3-2 三好構成員資料（p.5）

連携マップ作成作業部会 報告書