• 検索結果がありません。

報道資料

N/A
N/A
Protected

Academic year: 2021

シェア "報道資料"

Copied!
37
0
0

読み込み中.... (全文を見る)

全文

(1)

情報セキュリティ政策会議第

28

回会合の開催について

-情報セキュリティ対策に関する官民連携の在り方等について-

本日、「情報セキュリティ政策会議」(議長:内閣官房長官)の第

28

回会合が開催され、その 概要は以下のとおり。

1.情報セキュリティ対策に関する官民連携の在り方について

「官民連携の強化のための分科会」における検討結果について報告された。

情報セキュリティ対策推進会議(

CISO

等連絡会議)に設置された「官民連携の強化のため の分科会」において、政府が講ずるべき情報共有等に関する対策を取りまとめた。

2.重要インフラ防護のための取組強化について

「重要インフラの情報セキュリティ対策に係る第2次行動計画」の見直しに着手することが報 告された。

重要インフラ専門委員会において、「重要インフラの情報セキュリティ対策に係る第2次行 動計画」を点検・見直しに着手し、年度内を目途に取りまとめることとされた。

3.情報セキュリティ月間について

2月の「情報セキュリティ月間」において、情報セキュリティに関する意識の向上のため、官 民連携を図りつつ、行事の開催や広報等の普及啓発活動を集中実施することが報告された。

(別添) 会議資料一式

※ 本日の会議資料は、内閣官房情報セキュリティセンターのホームページにおいても公表する。

(http://www.nisc.go.jp/conference/seisaku/index.html)

(2)

平成 24 年1月 24 日(火) 17 時 30 分~18 時 00 分 於:総理大臣官邸4階大会議室

<議事次第>

1 開会 2 討議

○ 情報セキュリティ対策に関する官民連携の在り方について

○ 重要インフラ防護のための取組強化について

○ 情報セキュリティ月間について

○ その他

3 閉会

<資料目次>

資料1 官民連携の強化のための分科会における検討結果の概要 資料1-1 情報セキュリティ対策に関する官民連携の在り方について 資料2 重要インフラ防護のための取組強化について

資料3 情報セキュリティ月間について

資料4 情報セキュリティ対策推進会議について(案)

資料5 今後の主なスケジュール(案)

参考1 平成23年度 標的型不審メール攻撃訓練結果の概要(中間報告)

参考2 平成23年度 公開ウェブサーバの脆弱性検査結果の概要 参考3 (警察庁提出資料)

参考4 (総務省提出資料)

参考5 (経済産業省提出資料)

(3)

10月14日以降、3回分科会を開催し、情報セキュリティ対策における官民連携の 強化策について検討。この間、企業等におけるセキュリティ対策、セキュリティオペ レーション事業者等との意見交換を実施。 ○国の安全に関する重要な情報を扱う契約に情報セキュリティ条項を定める。 ○各府省庁が CSIR T ( * )の機能を保有するよう求め、政府 CISO ( ** )を設置する。 ○企業等においても CSIR T の機能を保有する取組を促進する。 ○官民のネットワーク関係者間の情報共有をNISCにおいて実施する。 ○情報セキュリティ人材を育成していく機運を醸成するため、啓発活動を実施する。

*CSIRT:Computer Security Incident Response Team : 情報セキュリティインシデントに対処するための組織の総称**CISO:Chief Information Securit

経緯 報告事項

(4)

官民連携の強化のための分科会の設置 情報セキュリティ政策会議 情報セキュリティ対策推進 会議( CISO 等連絡会議) 分科会

普及啓発・ 人材育成 専門委員会

連携

○ CISO 等連絡会議幹事会構成員等から なる分科会を設置

官民連携等を通じて企業等の情報セキュリ ティ対策を強化するため、以下検討を行う。

(i)

政府としてとるべき方策、特に政府調達 などに際して調達先企業に求める情報 セキュリティ要件

(ii)

政府と企業等との連絡・連携のあり方

(iii)

産業界の取り組みに対する政府の協力、 情報提供のあり方

(iv)

企業等におけるセキュリティ文化の啓発、 セキュリティ企業体質の涵養等

*   CISO:   Chie f   Inf o rma tion   Security   Of ficer  

(最高情報セキュリティ責任者)

平成23年 10月 7日 情報セキュリティ政策会議 において設置方針の決定 10月14日 CISO 等連絡会議において 分科会を設置

(5)

情報セキュリティ対策に関する官民連携の在り方について

平成24年1月19日

情報セキュリティ対策推進会議

官民連携の強化のための分科会

(6)

1

つ い て 、 情 報 セ キ ュ リ テ ィ 対 策 推 進 会 議 ( 議 長 : 竹 歳 誠 内 閣 官 房 副 長 官 。 以 下

「CISO(Chief Information Security Officer)等連絡会議」という。)に「官民連携の強化のた めの分科会」を設置し、検討を行ってきた。今般、政府が講ずるべき情報共有等に関する 対策を取りまとめたので報告する。

Ⅰ.標的型攻撃に対して政府が講ずるべき情報共有等に関する対策

標的型攻撃は、特定の組織を標的にして執ように攻撃を敢行し、その組織の特性、運 用するネットワーク技術の特性に適合した高度で多様な手段を用いて、組織内の情報の 窃取、組織の業務妨害等の目的で行われる。また、目標に到達するため、複数の目標へ の攻撃を連携させることで攻撃の効果を高めることも試みられる。

従って、標的型攻撃に対処するためには、個々の組織において攻撃を速やかに察知し て適切な初動対処を実施するとともに、関連する組織間において脅威の情報を共有して 集団的な対策を講ずることが望ましい。高度な技術を用いて長期間に執ように攻撃を行う 主体は、攻撃に当たり相応のコストを払っていることから、そのコストに見合う攻撃対象が選 定される。すなわち、国や国の防衛等に関する情報を扱う企業が高度な脅威にさらされて いる。そのため、官民が連携を強化することが標的型攻撃に対する有効な手段であると考 えられる。

(7)

2

セ キ ュ リ テ ィ イ ン シ デ ン ト に 関 す る 緊 急 時 対 応 の 機 能 を 有 し た 専 門 的 な 部 隊 ( 以 下

「CSIRT(Computer Security Incidents Response Team)等」という。)を組織し、官民を含む 各組織内 CSIRT 等の間で、専門的、実務的な連携を図ることが必要である。

以上、当分科会は、官民における CSIRT 等 の整備と各 CSIRT 等の間での情報連携 の推進のため、以下の5分野について新たに9項目の対策を取りまとめた。

○5分野

(ⅰ)政府としてとるべき方策、特に調達等に際して調達先企業に求める情報セキュリティ要件 (ⅱ)政府と企業等との連絡・連携の在り方

(ⅲ)産業界の取組に対する政府の協力、情報提供の在り方

(ⅳ)企業等におけるセキュリティ文化の啓発、セキュリティ企業体質の涵養等 (ⅴ)その他

(8)

3

リティ要件」について

既に、情報処理に係る業務を府省庁の外部の事業者に委託する際には、「政府機関の 情報セキュリティ対策のための統一管理基準」において、「委託先に請け負わせる業務に おける情報セキュリティ対策、機密保持、情報セキュリティの侵害発生時の対処方法、情 報セキュリティ対策の履行状況の確認方法及び情報セキュリティ対策の履行が不十分で ある場合の対処方法を含む外部委託に伴う契約を取り交わすこと」、また、必要に応じて、

情報セキュリティ監査の受入れ等を当該契約に含めることを定めている。また、「委託先に おける情報セキュリティ対策の遵守方法及び管理体制に関する確認書等を提出させること」

も併せて定めており、さらに、再委託に際しては、再委託先にも情報セキュリティが十分確 保される措置を委託先に担保させている。

国の安全に関する重要な情報を扱う契約は、情報処理に係る業務の外部委託にとどま らないことから、一般の調達等に際しても情報セキュリティ対策を契約で担保することとした。

企業等に求める要件については、調達仕様書、契約書等で用いることができる標準的 なひな形を定める(付録1)。

ひな形を適用する契約は、国の安全に関する重要な情報を国以外の者に扱わせる契 約とし、各府省庁において判断するものとする。

●一般の調達等において、国の安全に関する重要な情報を扱う契約を締結 する際には、情報セキュリティ上必要な事項を遵守するよう求める。

(9)

4

なお、ここでいう「国の安全」とは、国家の構成要素である国土、国民及び統治体制が害 されることなく平和で平穏な状態に保たれていること、すなわち、国としての基本的な秩序 が平穏に維持されている状態をいう。

ひな形には、(1)組織内 CSIRT 等を整備すること、(2)経営の責任者の関与と責任を明確 にすることを企業等に求める事項として盛り込む。

また、調達契約を結んでいない、あるいは調達契約の及ばない「国の安全に関する重 要な情報を扱う企業等」に対して同様な取組を促す方策を引き続き検討する。

(10)

5

(ii) 「政府と企業等との連絡・連携の在り方」について

緊急時に異なる機関同士が円滑に連携するためには、日頃から直接対面して各担当 者間の人間関係を構築することが必要である。定期的な会合で意見交換を行うばかりでな く、日頃から技術的な相談を行ったり、共同で作業を行ったりするような機会を積極的に設 けることも必要である。

そのため、CSIRT、 SOC 事業者、(独)情報処理推進機構(以下「IPA」という。)及び政 府機関の担当者間でのインシデント対応のための連絡訓練や研修等を JPCERT コーディネ ーションセンター(以下「JPCERT/CC」という。)とも連携し、内閣官房情報セキュリティセンター

(以下「NISC」という。)の主催で定期的に実施することを検討する。

CSIRT

の横断組織である日本シーサート協議会や

JPCERT

コーディネー ションセンター、情報セキュリティ事業者(SOC(Security Operation

Center)事業者)、(独)情報処理推進機構と政府の調整役 CSIRT

である内閣 官房情報セキュリティセンターとの連携、情報交換の緊密化を図る。

(11)

6

警察庁、経済産業省及び総務省は、それぞれのネットワークの情報のうち、可能なもの は NISC 及び国内 CSIRT 等と共有することについて、それぞれのネットワークの参加者の 了解を得た上で情報共有を図る。NISC は、政府機関で共有している情報のうち、サイバ ーインテリジェンス情報共有ネットワーク、サイバー情報共有イニシアティブ(J-CSIP)及び テレコムアイザック官民協議会と共有することが適切と判断するものについて、提供元の政 府機関の了解を得た上で情報共有を図る。

NISC

は、警察庁のサイバーインテリジェンス情報共有ネットワーク、経 済産業省のサイバー情報共有イニシアティブ(J-CSIP)、総務省のテレコム アイザック官民協議会等と

NISC

が運用する府省庁間のインシデント情報 共有ネットワークとの情報連携の結節点の役割を果たす。

(12)

7

(iii) 「産業界の取組に対する政府の協力、情報提供の在り方」について

SOC 事業者は、契約に基づき顧客のネットワークを監視し、不審な通信、不審なシステ ムの挙動等のインシデントを検知して、顧客にインシデントの通報を行ったり、顧客のイン シデント対応を支援したり、自ら顧客のインシデント対応を実施することをその業務として いる。そのため、顧客の内部情報に接する機会も多く、通常は契約の中に秘密保持条項 を定めたり、秘密保持特約を締結したりして業務に当たっている。しかしながら、各 SOC 事業者の秘密保持に関する規定はまちまちであり、SOC 事業者間での情報共有への取 組も一様ではない。

SOC 事業者間で迅速に脅威に関する情報を共有することは、SOC 事業者全体の対処 能力を向上させ、ひいては社会全体の情報セキュリティ水準の向上に資するものと期待さ れる。このため、適切な情報共有が行えるような標準的な契約、ひな形約款の秘密保持条 項の策定に向けた検討を行い、各 SOC 事業者間、及び SOC 事業者と NISC との間での 情報共有の促進を図る。

●SOC事業者において、高度な対応を可能とするため、顧客の情報の一部 を連携する諸機関と共有できるような標準的な契約、ひな形約款の策定に 向けた検討を行う。

(13)

8

(iv) 「企業等におけるセキュリティ文化の啓発、セキュリティ企業体質の涵養等」

について

組織内 CSIRT 等は、まだ普及しているとは言い難く、CSIRT 等を担う人材も十分ではな い。CSIRT 等の要員に求められる能力及び技能を客観的に評価するために、国家資格等 を活用していくことなど、組織内 CSIRT 等の立ち上げを支援するための人材育成に係る 普及・啓発を行う。

とりわけ、組織の情報セキュリティ対策については、CSIRT 等の要員など情報セキュリテ ィ技術の専門家の育成と併せて、経営幹部や一般の従業員も含めたマネジメントスキルの 涵養が重要である。すなわち、日常業務における情報、情報機器の取扱い、不審メール の受信等のインシデントに接した際の報告、連絡等の最初期の動作などについて広く啓 発を行うことが必要であり、普及・啓発活動の一環として、多くの企業関係者等を対象とし たシンポジウム等を平成23年度の情報セキュリティ月間中(平成24年2月)に開催する。

●企業等における組織内

CSIRT

等の整備、情報セキュリティ人材の育成、

標的型攻撃等の最近の情報セキュリティに関する状況等について広く官民 で意見交換を行うためのシンポジウム等を開催する。

(14)

9

(v) その他

各府省庁の特性に応じて、整備される CSIRT 等の様態も一様とはならないが、(1) 「組織 内向けにインシデント対応の窓口の明確化・一元化」、(2) 「インシデントが発生している 情報システムの稼働・停止等の実施又は勧告」、(3) 「PoC (Point of Contact) の任命」、(4)

「情報システムの理解、情報システム部門との相互連携」、 (5) 「NISC への報告」を「府省 庁 CSIRT 等の必要5条件」とする。

現在も、行政府以外の立法府、司法府等にも CISO 等連絡会議のオブザーバとして NISC から情報提供を行っているが、CSIRT 等の整備等でも積極的に協力を行っていく。

CSIRT 等の整備や標的型攻撃への対策等について、次回の政府機関統一基準群の改 訂の際に遺漏なく取り入れていく。

●我が国の政府機関(行政府のみならず立法府、司法府も含む。)におい ては、インシデントに機動的に対応するため、組織内

CSIRT

等を整備する などして、標的型攻撃等に関する対策を遺漏なく継続的に実施する。

●NISCが政府機関の

CSIRT

等間の連携・調整を行う政府の調整役

CSIRT

となることを明確にし、標的型攻撃に関する対策も踏まえて政府統一基準 群を改訂する。

(15)

10

各府省庁の有する情報システムは、各府省庁自身が責任を持って情報セキュリテ ィ対策を実施するのが原則である。しかし、緊急時には、政府が一体となって対処 するため、政府

CISO

が迅速な判断を行う局面も考えられる。 また、この様な緊 急時等には、インシデントが発生している府省庁に対し、能力を持った者が組織を 超えて機動的に支援できるサイバーインシデント版の

DMAT (Disaster Medical

Assistant Team

災害急性期に活動できる機動性を持ったトレーニングを受けた医

療チーム) が必要となると思われる。

●政府として一元的に脅威に対処するため政府

CISO

を新たに設置し、

NISC

センター長をもって充てる。

●CSIRT等の要員の確保が困難な府省庁や、大規模なインシデント等によ り政府として迅速かつ的確に対応すべき事態が発生した際には、他の府省

庁の

CSIRT

等の要員による支援が可能となるよう、府省庁間協力のルール

作りと

NISC

の調整機能の整備を検討する。

(16)

11

分科会長 内閣審議官(情報セキュリティセンター 副センター長)

構成員 危機管理審議官

内閣参事官(情報セキュリティセンター)

警察庁 生活安全局情報技術犯罪対策課長 警備局警備企画課長

情報通信局情報管理課長 総務省 大臣官房企画課長

情報流通行政局情報セキュリティ対策室長 経済産業省 大臣官房情報システム厚生課長

商務情報政策局情報経済課情報セキュリティ政策 室長

防衛省 運用企画局情報通信・研究課情報保証室長 経理装備局装備政策課開発・調達企画室長 官民連携の強化のための分科会 構成員

(17)

12

調達における情報セキュリティ要件の記載について(案)

各府省庁大臣官房長等 殿 ( 別 記 )

内閣官房副長官

各府省庁においては、国の安全に関する重要な情報を国以外の者に扱わせることを内容 とする売買、貸借、請負その他の契約を行う際には、契約方式(一般競争、指名競争、随 意契約(秘密随契、少額随契を含む。))に関わらず、調達仕様書及びこれに基づき作成す る契約書(以下「調達仕様書等」という。)において、下記を参考として、当該契約の履 行に当たって必要な情報セキュリティ要件を記載すること。

【調達仕様書等に記載すべき情報セキュリティ要件】

○ 情報セキュリティを確保するための体制の整備

本調達に係る業務を行う事業者は、事業者組織全体のセキュリティを確保するとともに、

発注者から求められた当該業務の実施において情報セキュリティを確保するための体制を 整備すること。

本体制には、経営者が関与し、経営者の責任の明確化を図ること。

本体制における実務担当者には、「情報処理の促進に関する法律」(昭和45年法律第90号)

に基づき行われる情報処理技術者試験のうち、情報セキュリティに関する資格を有する者 若しくは同等の知識及び技能を有することを自ら証明出来る者を含むこととし、当該者に ついては、継続して新たな知識の補充を行うことに配慮すること。

○ 取り扱う府省庁の国の安全に関する重要な情報の秘密保持等

本調達に係る業務の実施のために[各府省庁名を記載]から提供する国の安全に関する 重要な情報その他当該業務の実施において知り得た国の安全に関する重要な情報について は、情報のライフサイクルの観点から管理方法を定め、その秘密を保持し、また当該業務 の目的以外に利用しないこと。

○ 情報セキュリティが侵害された場合の対処

本調達に係る業務の遂行において、定期的に情報セキュリティ対策の履行状況を報告す るとともに情報セキュリティが侵害され又はそのおそれがある場合には、直ちに発注者に 報告すること。これに該当する場合には、以下の事象を含む。

・受注者に提供し、又は受注者によるアクセスを認める[各府省庁名を記載]の情報の外 部への漏えい及び目的外利用

・受注者による[各府省庁名を記載]のその他の情報へのアクセス

また、被害の程度を把握するため、受注者は必要な記録類を契約終了時まで保存し、発 注者の求めに応じて成果物と共に発注者に引き渡すこと。

(18)

13

発注者が情報セキュリティ監査の実施を必要と判断した場合は、発注者がその実施内容

(監査内容、対象範囲、実施者等)を定めて、情報セキュリティ監査を行う(発注者が選 定した事業者による監査を含む。

受注者は、あらかじめ情報セキュリティ監査を受け入れる部門、場所、時期、条件等を

「情報セキュリティ監査対応計画書」等により提示すること。

また、受注者は自ら実施した外部監査についても発注者へ報告すること。

情報セキュリティ監査の実施については、これらに記載した内容を上回る措置を講ずる ことを妨げるものではない。

なお、「国の安全」とは、国家の構成要素である国土、国民及び統治体制が害されるこ となく平和で平穏な状態に保たれていること、すなわち、国としての基本的な秩序が平穏 に維持されている状態をいう。

※ 国の安全に関する重要な情報を国以外の者に扱わせることを内容とする補助事業等の 場合であっても、本通知による取扱いに準じ、当該補助事業等の履行に当たって必要な 情報セキュリティ要件を補助金等の交付の条件として記載し交付決定すること。

( 別 記 )

内閣総務官

内閣法制局総務主幹 人事院事務総局総括審議官 内閣府大臣官房長

宮内庁長官官房審議官

公正取引委員会事務総局官房総括審議官 警察庁長官官房長、警察庁情報通信局長 金融庁総務企画局総括審議官

消費者庁次長 総務省大臣官房長 法務省大臣官房長 外務省大臣官房長 財務省大臣官房長 文部科学省大臣官房長 厚生労働省大臣官房長 農林水産省大臣官房長 経済産業省大臣官房長

国土交通省大臣官房長、国土交通省総合政策局長 環境省大臣官房長

防衛省運用企画局長、防衛省経理装備局長

(19)

重要インフラ防護のための取組強化について 重要インフラ専門委員会において、「重要インフラの情報セキュリティ対策に係る第 2次行動計画」を点検し、早急に必要な見直しに着手、年度内を目途にとりまとめ。 重要インフラ防護のための情報セキュリティ対策について、早急に取組を強化・補強 すべき点を洗い出し、行動計画に反映する。 (強化・補強すべき点(例)) (1) 事業継続計画( BCP : Business   Con tinua tion   Plan )等の充実 東日本大震災における教訓を踏まえた、安全基準等の策定に当たっての指針(特にBCP) の一層の充実 (2) 環境変化を踏まえた安全基準の改善 標的型攻撃など最近の環境変化を踏まえて、制御システム等についての安全基準の検証を行い、 必要に応じて改定 (3) 情報共有体制の強化 平素からの情報収集・情報共有体制の充実

(20)

情報セキュリティ月間について 情報セキュリティに 関する意識の向上のた め 、官⺠連携を図りつつ、⾏事の開催や広報等の普及啓発活動を集中実施。 関連⾏事の開催 情報発信

官⺠連携の推進

全国ブロック別イベントキックオフ、ハーフタイムイベント 全国8ブロックにおい各ブロック

における基軸となる講演会等を開 催

その他官⺠による関連⾏事 バナー交換

⽉間⽤バナー、企業等バ ナーを相互のウェブサ

情報セキュリティの現状と対策 等に関するシンポジウム

キックオフイベント(2/2)

ハーフタイムイベント(2/16)

標的型メール攻撃対策等につ いての⾞座集会(政府機関 向け)

【主な⾏事】情報セキュリティに関する講習等(都道府県警察) ⼩中⾼校等を対象に、サイバー犯現状、 検挙事例等を説明e-ネット安⼼講座(総務省、⽂部科学省等) 保護者等を対象とした⼦供たちをネットトラブル から守るための講座

インターネット安全教室(経済産業省等) 家庭や学校におけるインタネット利⽤ 知識を学習

様々な関連⾏事を集中的に開催

⽉間周知⽤のポス ター、バナーを作成、 配布

ポスター、バナートップからのメッセージ

⽉間に関するトップメッセージ を、記者会⾒、HPへの掲載 を通じ周知

※イ

「国⺠を守る情報セキュリ ティサイト」に、初⼼者向け ページを開設

専⽤HPの更新

メールマガジン、ソーシャル ネットワーキングサービスを 通じ各種情報を提供

SNS、メルマガの活⽤ 各種媒体の活⽤

メールマガジン等において、相 互の取組等を紹介

イベント協⼒

イベントの共催、講師派遣 等

(21)

情報セキュリティ対策推進会議について

平成17年 7月14日 平成19年 4月23日 平成22年 7月22日

平成 年 月 日

情報セキュリティ政策会議決定

1 関係行政機関の最高情報セキュリティ責任者(CISO)等相互の緊密な連携

の下、政府機関における情報セキュリティ対策の推進を図るため、情報セキュ リティ政策会議(以下「政策会議」という。)に、情報セキュリティ対策推進 会議(以下「推進会議」という。)を置く。

2 推進会議は、議長、副議長、構成員及びオブザーバーをもって構成する。

議長は内閣官房副長官(事務)、副議長は内閣危機管理監とし、構成員及びオ ブザーバーは、政策会議議長の指定する官職にある関係行政機関の最高情報セ キュリティ責任者(CISO)等とする。

3 推進会議に幹事会を置く。幹事会は、関係機関の職員で議長の指定する官 職にある者によって構成する。

4 推進会議の庶務は、警察庁、総務省、経済産業省及び防衛省の協力を得て、

内閣官房において処理する。

5 前各項に掲げるもののほか、推進会議の運営に関する事項その他必要な事 項は、議長が定める。

附則

情報セキュリティ報告書専門委員会は、廃止する。

(22)

1月2月3月4月5月6月 情報セキュリティ政策会議 情報セキュリティ

2012

「国民を守る情報セキュ リティ戦略」の年度計画 評価等

2011

年度計画の実施状況評 政府統一基準群政府機関の情報セキュ リティ基準の年次改訂 年次報告 報セキリティ報告書

政府機関における情報 セキュリティ対策の進捗 状況 重要インフラ 第2次行動計画の 改訂

重要インフラにおける情 報セキュリティ対策の見 直し

今後の主なスケジュール(案) ★ 第 28 回 ★ 第 29 回

策定方針検討・骨子作成本文作成・パブコメ骨子 報告

有識者会合 本文作成・パブコメ決定 各府省庁の対策実施状況及び報告書の評価分析・本文作成公表

情報セキュリティ2011実施状況 調査・確認本評価 見直し内容検討・パブコメ決定技術動向等を踏まえた 中長期的な対応の検討

仮評価

(23)

10月14日以降、3回分科会を開催し、情報セキュリティ対策における官民連携の 強化策について検討。この間、企業等におけるセキュリティ対策、セキュリティオペ レーション事業者等との意見交換を実施。 ○国の安全に関する重要な情報を扱う契約に情報セキュリティ条項を定める。 ○各府省庁が CSIR T ( * )の機能を保有するよう求め、政府 CISO ( ** )を設置する。 ○企業等においても CSIR T の機能を保有する取組を促進する。 ○官民のネットワーク関係者間の情報共有をNISCにおいて実施する。 ○情報セキュリティ人材を育成していく機運を醸成するため、啓発活動を実施する。

*CSIRT:Computer Security Incident Response Team : 情報セキュリティインシデントに対処するための組織の総称**CISO:Chief Information Securit

経緯 報告事項

(24)

官民連携の強化のための分科会の設置 情報セキュリティ政策会議 情報セキュリティ対策推進 会議( CISO 等連絡会議) 分科会

普及啓発・ 人材育成 専門委員会

連携

○ CISO 等連絡会議幹事会構成員等から なる分科会を設置

官民連携等を通じて企業等の情報セキュリ ティ対策を強化するため、以下検討を行う。

(i)

政府としてとるべき方策、特に政府調達 などに際して調達先企業に求める情報 セキュリティ要件

(ii)

政府と企業等との連絡・連携のあり方

(iii)

産業界の取り組みに対する政府の協力、 情報提供のあり方

(iv)

企業等におけるセキュリティ文化の啓発、 セキュリティ企業体質の涵養等

*   CISO:   Chie f   Inf o rma tion   Security   Of ficer  

(最高情報セキュリティ責任者)

平成23年 10月 7日 情報セキュリティ政策会議 において設置方針の決定 10月14日 CISO 等連絡会議において 分科会を設置

(25)

重要インフラ防護のための取組強化について 重要インフラ専門委員会において、「重要インフラの情報セキュリティ対策に係る第 2次行動計画」を点検し、早急に必要な見直しに着手、年度内を目途にとりまとめ。 重要インフラ防護のための情報セキュリティ対策について、早急に取組を強化・補強 すべき点を洗い出し、行動計画に反映する。 (強化・補強すべき点(例)) (1) 事業継続計画( BCP : Business   Con tinua tion   Plan )等の充実 東日本大震災における教訓を踏まえた、安全基準等の策定に当たっての指針(特にBCP) の一層の充実 (2) 環境変化を踏まえた安全基準の改善 標的型攻撃など最近の環境変化を踏まえて、制御システム等についての安全基準の検証を行い、 必要に応じて改定 (3) 情報共有体制の強化 平素からの情報収集・情報共有体制の充実

(26)

情報セキュリティ月間について 情報セキュリティに 関する意識の向上のた め 、官⺠連携を図りつつ、⾏事の開催や広報等の普及啓発活動を集中実施。 関連⾏事の開催 情報発信

官⺠連携の推進

全国ブロック別イベントキックオフ、ハーフタイムイベント 全国8ブロックにおい各ブロック

における基軸となる講演会等を開 催

その他官⺠による関連⾏事 バナー交換

⽉間⽤バナー、企業等バ ナーを相互のウェブサ

情報セキュリティの現状と対策 等に関するシンポジウム

キックオフイベント(2/2)

ハーフタイムイベント(2/16)

標的型メール攻撃対策等につ いての⾞座集会(政府機関 向け)

【主な⾏事】情報セキュリティに関する講習等(都道府県警察) ⼩中⾼校等を対象に、サイバー犯現状、 検挙事例等を説明e-ネット安⼼講座(総務省、⽂部科学省等) 保護者等を対象とした⼦供たちをネットトラブル から守るための講座

インターネット安全教室(経済産業省等) 家庭や学校におけるインタネット利⽤ 知識を学習

様々な関連⾏事を集中的に開催

⽉間周知⽤のポス ター、バナーを作成、 配布

ポスター、バナートップからのメッセージ

⽉間に関するトップメッセージ を、記者会⾒、HPへの掲載 を通じ周知

※イ

「国⺠を守る情報セキュリ ティサイト」に、初⼼者向け ページを開設

専⽤HPの更新

メールマガジン、ソーシャル ネットワーキングサービスを 通じ各種情報を提供

SNS、メルマガの活⽤ 各種媒体の活⽤

メールマガジン等において、相 互の取組等を紹介

イベント協⼒

イベントの共催、講師派遣 等

(27)

1月2月3月4月5月6月 情報セキュリティ政策会議 情報セキュリティ

2012

「国民を守る情報セキュ リティ戦略」の年度計画 評価等

2011

年度計画の実施状況評 政府統一基準群政府機関の情報セキュ リティ基準の年次改訂 年次報告 報セキリティ報告書

政府機関における情報 セキュリティ対策の進捗 状況 重要インフラ 第2次行動計画の 改訂

重要インフラにおける情 報セキュリティ対策の見 直し

今後の主なスケジュール(案) ★ 第 28 回 ★ 第 29 回

策定方針検討・骨子作成本文作成・パブコメ骨子 報告

有識者会合 本文作成・パブコメ決定 各府省庁の対策実施状況及び報告書の評価分析・本文作成公表

情報セキュリティ2011実施状況 調査・確認本評価 見直し内容検討・パブコメ決定技術動向等を踏まえた 中長期的な対応の検討

仮評価

(28)

平成23年度 標的型不審メール攻撃訓練結果の概要(中間報告) 標的型不審メール攻撃訓練結果の概要(中間報告) 1.訓練期間: 平成23年10月~12月 2.訓練対象: 内閣官房等12の政府機関約6万名 3.訓練内容: ①訓練対象者に対して事前教育の実施。 ②訓練対象者に対して標的型不審メー ルを模擬したメールを2回送付。 ③模擬メール中の添付ファイルを開封もしく は、URLをクリックするなど不適切 な扱いをした場合は、教育コンテンツに誘導。 ④参加府省庁に個別の訓練結果を通知し、各 府省庁内において適切な事後教育指導 を実施。

参考1

(29)

平成23年度 標的型不審メール攻撃訓練結果の概要(中間報告) 標的型不審メール攻撃訓練結果の概要(中間報告) 1.訓練期間: 平成23年10月~12月 2.訓練対象: 内閣官房等12の政府機関約6万名 3.訓練内容: ①訓練対象者に対して事前教育の実施。 ②訓練対象者に対して標的型不審メー ルを模擬したメールを2回送付。 ③模擬メール中の添付ファイルを開封もしく は、URLをクリックするなど不適切 な扱いをした場合は、教育コンテンツに誘導。 ④参加府省庁に個別の訓練結果を通知し、各 府省庁内において適切な事後教育指導 を実施。

参考1

(30)

平成23年度 標的型不審メール攻撃訓練結果の概要(中間報告) 4.訓練結果: 今回の訓練における不審メールの開封率は以下のとおり。 ◆1回目(添付メール) 1 0 .1%(1.1%~23.8%) ◆2回目(リンクメール) 3 .1%(0.4%~ 6.1%) 5.結果分析: ①1回目の結果と比べ2回目の結果が良くな っていることから、標的型不審メール に対するセキュリティ意識は 向上したものと想定される。 ②ただし、この効果は一時的なものであり、 時間の経過とともに意識レベルは低下 するものと想定されるため、今後も 訓練を継続していくことが重要である。 6.課 題: 不審メールを開封した事例のほか、 ①不審メールの送信元に対し、メールを返信 する方法で差出人の確認をしている ケース ②メールの自動返信機能を設定することに より、攻撃者に対し、不在通知が自動 発信されたケース がみられた。 これらの事例では、組織で使用している有効 なアドレスを攻撃者に通知してしまう ことになり、攻撃者に次の攻撃に資す る組織内の情報を提供したことになる。 したがって、これらについても対策が必要となる。 対策としては、 ①差出人の確認については、電話等により行うこと ②自動返信の範囲を組織内に限定すること などが考えられる。

(中間報告) (中間報告) (中間報告) ※ 各府省庁からのリクエストにより、訓練方法をカスタマイズしているケースがある。

(31)

平成23年度 公開ウェブサーバの脆弱性検査結果の概要 1.検査期間:平成23年9月~12月 2.検査対象:政府機関における 公開ウェブサーバ(検査希望のあった11省庁、約330画面) 3.検査方法:対象とする公開ウェブサーバに インターネット経由でアクセス し、ツール及び 手動により検査を実施 4.検査内容:プラットフォームに関する検査 ウェブアプリケーションに関する検査 5.検査結果:検出された脆弱性のうち 緊急性の高いもの については、当該府省庁に対し 速報を発出し、 対策を実施済み又は実施中 検査結果 については、今後、 全府省庁に対して情報共有 を行い、政府機関 全体の情報セキュリティ対策の向上に活用する予定

脆弱性検査状況報告(概要)

検査方法イメージ図 検査実施公開ウェブサ

インターネット (インターネット経由で検査)

7 月 8 月 9 月 10 月 11 月 12 月 1 月

希望調査 検査実施 結果報告

検査工程

参考2

(32)

「脆弱性検査」結果 危険度「高」の検出結果(延べ14件) 脆弱性内容 原 因 想定される被害 1 S QLインジェクション ウェブアプリケーション

にお

いて、入力値チェッ クやエスケープ処理が徹底されていない データベ ースに格納されて いる情報の漏えい、 改ざん、破壊等の可能性 2 A pacheのRangeヘッダにおけ るサービス運用妨害 パッチ未適用 サービス運用妨害(DoS)により、サーバが停止 する可能性 3 サービス運用妨害 ハードスペックやソフトウェア設定において、シ ステム導入時に見積もった内容が実運用時の データ送信量に対し過少である可能性

サービス運用妨害(DoS)により、サーバが停止 する可能性 4 サ ポート対象外のOSを使用 - パッチ適用による対策が行えず、セキュリティ 侵害が発生する可能性 5 認証の迂回が可能 ウェブアプリケーションにおいて、ログイン処理 の成功、不成功にかかわらずアクセス可能な プログラムになっていた可能性

IDとパスワードを入力せずにログ イン後のペー ジにアクセスでき、情報漏えい等の可能性

(33)

情勢 政府機関や先端技術保有企業に 対するサイバーインテリジェンス事案が続発

(標的型メールの実例)(標的型メール攻撃の仕組み)

警察の取組

攻撃の発生状況や手口に関する情報収集・分析 外国治安情報機関等との緊密な情報交換 攻撃事案の実態解明、厳正な取締り

サイバーフォースセンター

情報窃取の標的となるおそれのある事業者 情報セキュリティ関連事業者先端技術を保有する全国約4千の事業者 との間でネットワークを構築し、サイバー 撃事案に関する情報の集約・分析・注意喚 不正プログラムや脆弱性に関する情報を イルス対策ソフト開発企業等に提供し、社 全体の情報セキュリティを向上

(サイバーインテリジェンス対策めの 不正プログラム対策協議会)

(サイバーインテリジェンス情報共有ネットワーク)

23年4~9月で約890件把握 関係省庁との連携 衆議院・参議院事務局等との連携官房長

が議長をめる会議 政府と企業等との連絡・連携の在り について検討 衆議院・参議院事務局がそれぞれ 本部を設置し、事実関係を調査。警 もオブザーバーとして積極的に参画(衆議院サーバ等ウイルス感染防 (参議院サイバー攻撃対策本部)

(情報セキュリティ政策会議

民間事業者・団体

警察庁・都道府県警察 関係機関

緊密に連携緊密に連携

サイバーインテリジェンス対策① 警察のサイバーインテリジェンス対策

(34)

①情報通信 ②金融 ③航空 ⑤電力 ⑥ガス ⑦政府・行政サービス ⑧医療 ⑨水道 ⑩物流

重要インフラ事業者等 (10分野)

サイバーテロの未然防止

警察のサイバーテロ対策 重要インフラ事業者等の基幹システム に対してサイバー攻撃が行われた場合、 国民生活や社会経済活動に甚大な支障 が生じるおそれがある。 サイバーテロの脅威

サイバーテロ対策協議会 重要インフラ事業者等との共同訓練

◆ サ イバーテロの予兆の把握

・サイバー攻撃の自動検知 ・海外治安情報機関との情報交換

◆ 重 要インフラ事業者等の管理者対策

・個別訪問の実施 ・サイバーテロ対策協議会の設立

◆ 訓 練の実施

・重要インフラ事業者等との共同訓練の実施

◆ 装 備資機材の整備

事案対処能力 の向上

(35)

● 「 テレコムアイザック官民協議会」の活用 総務省、(独)情報通信研究機構、テレコムアイザッ ク推進会議の3者の実務者級による日常的な情報共有 を実施

1.官民連携の強化 総務省における情報セキュリティに関する取組 ● サ イバー攻撃の観測情報を収集する nicter の公開 ● 出口対策技術の開発

2.研究開発の強化 ● サ イバー攻撃発生の予知・即応を可能とする 技術の研究開発に関する諸外国との連携

3.国際連携の強化 ● 「 災害に強い電子自治体に関する研究会」の開催 ● 「 地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」の見直しを検討 東日本大震災のよう大災害が発生した場合を含めた、 地方公共団体の情報セキュリティ対策及び業務継 続の確保について検討

4.地方公共団体における対策の強化

nicterによるリアルタイムネットワーク観測・分析 【可視化】

約14万の観測網

ウイルス ボット ワーム攻撃観測

(36)

サイバー空間に関する主な国際会議の参加者と議題・テーマ

主な会議各国の主な参加者(各省は東京からの参加者のみ)主な議題・テーマ G8ドービルサミット <2011年5月/仏ドービル>G8各国首脳 日本:菅総理(当時)(首脳宣言の第2項目「インターネット」) ・自由、民主主義、人権(表現の自由) ・イノベーション、経済成長、雇用 ・プライバシー保護、知的財産権、セキュリティ NewWorld2.0 (インターネット大臣級セミナー) <2011年10月/仏パリ> (仏政府主催)

仏:ベッソン産業・エネルギー・デジタル経済担当相 英:ベイジー文化・通信・創造産業担当相 その他:米電気通信庁長官、豪通信・デジタルエコノミー 相、露通信メディア相、ブラジル通信相、ケニア通信相 日本:山川総務審議官(総務省)

・インターネットと民主主義 ・イノベーション ・プライバシー保護 ・デジタルディバイド解消 ・ネットワークセキュリティの確保 ロンドン国際サイバー会議 <2011年11月/英ロンドン> (英政府主催)

英:キャメロン首相、ヘーグ外相、米:バイデン副大統領 その他:蘭外相、スウェーデン外相、インド通信相、露通 信メディア相、欧州委副委員長 日本:山根外務副大臣、内閣官房(安危、NISC)、警 察庁、総務省、経産省、防衛省

・経済成長と開発 ・社会的便益 ・国際安全保障 ・サイバー犯罪への取組 ・安全で信頼のおけるアクセスの確保 アヴィニヨン文化サミット2011 <2011年11月/仏アヴィニヨン> (仏政府主催)

仏:サルコジ大統領、ミッテラン文化・通信相 その他:スウェーデン司法相、欧州委副委員長 日本:近藤文化庁長官、総務省

・インターネット上の知的財産権の保護 インターネットの自由閣僚会合 <2011年12月/蘭ハーグ> (オランダ政府主催)

蘭:ローゼンタール外相、米:クリントン国務長官 その他:スウェーデン外相、エストニア外相、欧州委副委 員長、ケニア情報通信相、ガーナ通信相 日本:肥塚駐蘭大使、総務省

・インターネット上の人権保護と政府の役割 ・人権抑圧国家等で活動するブロガーの 支援 ・インターネットの自由のための企業責任

○ 各国は、首脳・閣僚が自らサイバー空間に関する国際会議に積極的に参加して、戦略的に情報発信。 ○ 議題・テーマは、「情報セキュリティ」のほか、「情報の自由な 流通」「人権(表現の自由)」「イノベーション」「プライ バシー」「知的財産権保護」など、多岐に渡っている。

(37)

経済産業省の主なサイバー攻撃対策  1 0/25 経済産業大臣より、重要インフラで 利用される機器の 製造業者等に対してセキュリ ティ対策の徹底を要請。  同日 サイ バー攻撃の未然防止 及び被害拡大防止のため、 サイ バー情報共有イニシアティブ(J-CSIP)を発足。

官民連携による情報共有

 1 2/28 原子力発電所の運転制御用コンピュータシステムにつ いて 、外部からのアクセス遮断を内容とする関係省令の改正 ( ※ )。合わせて、内部脅威 者対策につ いて検討中。

実態上、既に遮断されているが、法令上でも担保。

重要インフラ等のセキュリティ強化

第27回情報セキュリティ政策会議(10/7)の議論を踏まえ、官民連携等を通じ、各種サイバー攻撃対策を実施。引き続き、 内閣官房と連携し、効果的な対策を実施していく。

 1 /20 IPAが、三菱重工等に対するサイバー攻撃を踏まえた 分析と対策レ ポ ート を公表。業 界団体等約200、 当該団体を通 じ約3万社へ情報提供。

J-CSIP 参加企業

情報共有

特別相談窓口

情報ハブ(集約点)

J-CSIP:Ini tiative for Cyber Security Information sharing Partnership of J apan

ジェイ

 電力、ガス等個別分野のサイバ ー演習を24年度目途で実施。

2/14国土安全保障省の専門家を招待し、標的型攻撃に関するワークショ を開催。2/23IPA欧米韓の政府機関等の専門家を招待し、制御シス するシンポジウムを開催 インタネット安全教室等、普及啓発のための各種セミナー等を開催。

情報セキュリティ月間

( 参 考)サイバー演習の例

攻撃側防御側

攻撃側と防御側に別 れ、防御側において、 サービス維持・早期 復旧の演習

( 対 策例)

運転制御用 コンピュータオフィス系 ネットワーク

情報共有

年度内を目処に、情報共有 ルー ル等の整備 順次、 参加 企業を拡 大 。

IPA(独)情報処理推進機

参照

関連したドキュメント

国民の「知る自由」を保障し、

市場動向 等を踏まえ 更なる検討

ガイダンス: 5G 技術サプライヤと 5G サービスプロバイダは、 5G NR

連盟主催大会、地区大会及び練習試合を行うにあたり以下の事項、対策を講じる事を運営の基本とし、連盟ガイ ドライン( 2022.3

今後 6 ヵ月間における投資成果が TOPIX に対して 15%以上上回るとアナリストが予想 今後 6 ヵ月間における投資成果が TOPIX に対して±15%未満とアナリストが予想

■2019 年3月 10

・2月16日に第230回政策委員会を開催し、幅広い意見を取り入れて、委員会の更なる

「フェンオール」 )は、 2013 年 9 月~ 2020 年 10 月に製造した火災感知器および通信 用の中継器(計