METI 経済産業省
経済産業省による情報セキュリティ関連 技術開発・研究開発の現状
経済産業省
商務情報政策局
情報セキュリティ政策室
2 METI 経済産業省
経済産業省の情報セキュリティに係る業務内容と主 要関係機関等
(独)産業技術 総合研究所
(AIST)
(独)産業技術 総合研究所
(AIST)
JPCERTコー ディネーション
センター JPCERTコー ディネーション
センター
(独)情報処理 推進機構(IPA)
(独)情報処理 推進機構(IPA)
早期警戒 パートナーシップ
基礎・要素技術
〜応用・実装
基準 基準 認証 認証 観測・警報・
観測・警報・
緊急対応緊急対応 技術開発技術開発
IT製品・暗号等の評価・
調査、ISMS、監査等
「情報処理に関する安
「情報処理に関する安 全の確保」に係る対策 全の確保」に係る対策
電 力 事 業
所管重要インフラに係る対策 所管重要インフラに係る対策
(財)日本情報 処理開発協会
(JIPDEC)
(財)日本情報 処理開発協会
(JIPDEC)
電力サイ バーテロ演
習等 法律に基づく
保安・安定供 給対策等
ガ ス 事 業
国際標準化活動・国際相互承認の推進
METI 経済産業省
早期警戒パートナー シップの構築
経済産業省の情報セキュリティ対策の全体像
組織的対策の推進
重要インフラ(電力・ガス)対策
•情報セキュリティマネジメントシステム(ISMS)適合性評価制度の 促進
•情報セキュリティ監査制度の推進
•企業における情報セキュリティガバナンスの確立及び普及
•リスク定量化等に関する研究等
•ウイルス・不正アクセス届出
•定点観測
•脆弱性情報流通
•ボット対策
•普及啓発(フィッシング対策等)
保安・安定供給対策、連絡体制構築、ガイドライン策定等 電力分野における情報セキュリティ対策促進事業の実施
事前予防策 事故対応策
個別対策
技術的対策の推進
•①IT製品、②暗号、③暗号製品の安全性についての第三者評価 等の推進
•PKI等を用いた電子認証基盤の構築
•情報セキュリティに係る技術開発及び研究開発を推進
4 METI 経済産業省
○情報セキュリティ技術の評価基盤の構築
・暗号技術等の評価(CRYPTREC等)
・ソフトウエア製品、情報システムの安全性評価(
ISO/IEC15408に基づく評価 制度の運用、評価手法の研究開発等) 等
○PKI等を用いた電子認証基盤の構築
・電子認証基盤を構築するための研究・実証実験 等
○ソフトウエア・情報システムの安全性・信頼性基盤の構築
・次世代暗号技術(量子暗号等)に関する研究開発
・フェイルセーフなセキュリティ技術
・セキュアアセットコントロール技術 等
○組織的情報セキュリティ対策を推進するための基盤の構築
・リスク定量化・投資対効果等に関する研究
・運用管理技術の開発 等
経済産業省の情報セキュリティに係る技術開発・研究開発(主なもの)
組織的対策の推進
技術的対策の推進
METI 経済産業省
情報セキュリティに対する意識は高まるも、進まぬ対策
¾ ウイルス対策ソフトやファイアウォールの導入はほぼ一巡したが、これら以外の情報セキュリティ対策は導 入が進んでいない。
¾ 我が国企業が情報セキュリティ投資を行う上で障害と感じる主な要因は、
①費用対効果が見えない(62.1%)
②どこまで行えばよいか基準が示されていない(53.4%)
91.8%
82.0%
89.9%
29.4%
33.8%
11.4%
0% 20% 40% 60% 80% 100%
ウイルス対策ソフトの 使用(クライアント用)
ウイルス対策ソフト の使用(サーバ用)
ファイアウォール の導入 セキュリティポリシー
の策定 アクセスログの取得
セキュリティ監査
大手・中堅企業*における情報セキュリティ対策の導入状況 大手・中堅企業*における情報セキュリティ投資の障害
組織的対策の推進(主なもの)
51.5%
62.1%
39.8%
19.6%
32.7%
53.4%
14.4%
18.3%
13.6%
0% 10% 20% 30% 40% 50% 60% 70%
コストがかかりすぎる 費用対効果が見えない 教育訓練が行き届かない 従業員への負担がかかりすぎる 対策を構築するノウハウが不足している どこまで行えばよいか基準が示されていない トップの理解が得られない 情報を資産として考える習慣がない 最適なツール・サービスがない
リスク定量化・投資対効果 等に関する研究
6 METI 経済産業省
技術的対策の推進(主なもの)
安心・安全なIT社会を実現するためには、安全なIT製品安全なIT製品を社会に広く普及させるとともに、より高度な本人認証 等を実現する電子認証基盤の整備、電子認証基盤の整備、また、それを支えるための技術開発、研究開発等技術開発、研究開発等を実施することが必要。
具体的には以下のような施策等を実施。
¾ 情報セキュリティ技術についての評価等情報セキュリティ技術 評価等を実施
9IT製品(OS、ルーター等) :国際標準ISO/IEC15408に基づいた第三者評価・認証制度を運用 9暗号(RSA、ミスティー等) :電子政府推奨暗号(平成15年2月選定)の安全性を監視
9暗号製品(ICカード等) :暗号製品の安全性評価基準の作成等
9セキュリティ評価技術の確立 :セキュリティに係る新しい評価技術の開発を推進(情報システム、暗号モジュール)
¾ 情報セキュリティ技術に係る技術開発・研究開発を推進技術開発・研究開発を推進 9アクセス制御技術、未知ウイルス予防技術
9フェイルセーフセキュリティ技術基盤整備 等
¾本人の確認及びやりとりされる情報が正しいことを電子的に証明する電子認証基盤の整備電子認証基盤の整備
¾次世代認証基盤の整備による横断的な認証基盤の実証実験
¾端末レベルでのセキュリティを確保するための高信頼性端末の電子認証に係る調査研究
¾電子認証フレームワークのあり方に係る調査研究 等
ISO/IEC 15408認証
暗号製品の評価 技術
電子認証基 盤の整備
ネットワーク ネットワーク
ネットワーク機器
PC
サーバ機器
PC
スキャナ
プリンタ モバイルPC
携帯電話 新技術の開発等 サーバ機器
暗号技術の安全性を 監視
端末レベルでの セキュリティ確保
METI 経済産業省
国際相互承認協定(CCRA
*)
¾ 国際標準ISO/IEC15408セキュリティ評価基準(Common Criteria)に 基づいて評価・認証した認証製品を8ヵ国間で、相互に承認
¾ 日本は、2003年10月に加盟
¾ さらに、13ヵ国が認証製品を受入
¾ 我が国IT製品の国際競争力強化に寄与 日 本 アメリカ
カナダ
イギリス
ドイツ
フランス ニュージー
ランド
オーストラリア
(認証国:CAP*1)
*:Commom Criteria Recognition Arrangement 2005年 3月現在
(受入国:CCP*2)
受入れ
8 METI 経済産業省
脆弱性の発見者
製品利用者 脆弱性関連情報
情報セキュリティ早期警戒パートナーシップ (参考)
•関係機関の効果的な連携により、情報セキュティ上の問題発生を抑制
•未公表の脆弱性情報を米英日の3拠点で共有する国際連携体制を整備
•脆弱性情報は、届出制度の運用開始後約1年で343件超を受領
•制度運用により、未対応の脆弱性情報の公表サイトが活動を停止
一般ユーザ(システム管理者、個人ユーザ等)
定点観測 ウイルス等の被害者
被害届出
海外各国のCSIRT (米国CERT/CCなど)
JPCERT/CC (調整機関)
調整
製品開発ベンダー
連携
ウイルス届出件数の月別推移
5 0
98 6 28 6
59
6 6 5 7
5 3 66 7 5438 26 9725 67 6
7 9 77 1 40 4 31 1 26
1 3 5 1 89 1 25
79 17 6
15 3 17 25 795
3 11
1 19 3 1 1 581 1 10
1 45 8 4 02 8
1 45 2 54 2 2 5 43 9
1 43 9 24 1 0
1 9 65 1 7 81
1 7 56 1 5 1 0 14 0 8 2 01 2 2 2 8 3
1 46 0
1 1 3 5 1 1 87
4 01 2
1 7 33 4 83 2
1 0 5 2 1 4 01 14 1 1
2 01 4 1 6 02
1 7 86 1 3 2 3 1 79 4
0 5 00 10 00 15 00 20 00 25 00 30 00 35 00 40 00 45 00 50 00 55 00 60 00
1 234 56 789 10 11 1 2 1 234 56 789 10 11 12 1 23 4567
(件数)
20 02年 2 0 0 2 年
( 2 0 ,3 5 2 件)
・月別の 届出総 件数は 、グラ フ上部 に記 載。
・白抜き部分 は、上記の うちパソ コン感染前 に発 見したケー ス (メール受 信・FDを受 け取っ たの み等)。
・網掛け 部分は 、パ ソコンに感 染が あったケース。
件数を中 段に記載。
独 立行 政 法 人 情 報 処 理推 進 機構 セキ ュリテ ィセン ター( I PA /ISE C) 2003 年
2 0 0 3 年
( 1 7 , 4 2 5 件)
2 0 0 4 年
( 2 6 , 7 8 9 件)
2004年
IPA (
受付機関
)脆弱性情報 等、対策の 公表
被害届出 情報
Telecom- ISAC Japan
