報道資料

平成 24 年11月 1 日 内閣官房情報セキュリティセンター（NISC）

情報セキュリティ政策会議第31回会合の開催について

本日、「情報セキュリティ政策会議」（議長：内閣官房長官）の第31回会合が開催され、その 概要は以下のとおり。

１．情報セキュリティに関する国際的取組について

情報セキュリティに関する国際連携が不可欠となる中、我が国の国際的取組状況を踏ま え、今後の在り方等について議論がなされた。

２．その他

「本年９月中旬の我が国政府機関等に対するサイバー攻撃について」、「政府機関の暗号 アルゴリズムに係る移行指針の改定」及び「情報セキュリティ 2012 に関する予算概算要求状 況について」について報告された。

（別添）会議資料一式

※ 本日の会議資料は、内閣官房情報セキュリティセンターのホームページにおいても公表する。

（http://www.nisc.go.jp/conference/seisaku/index.html）

報道資料

情報セキュリティ政策会議 第 31 回会合

平成 24 年 11 月１日(木) 17 時 30 分～18 時 10 分 於：中央合同庁舎第４号館４階共用第２特別会議室

＜議事次第＞

１ 開会

２ 討議

○ 情報セキュリティに関する国際的取組について

○ その他 ３ 閉会

＜資料目次＞

資料１－１ 情報セキュリティ分野における国際連携の強化（１）

資料１－２ 情報セキュリティ分野における国際連携の強化（２）

資料１－３ サイバー空間に関するブダペスト会議結果 資料１－４ 第５回日・ASEAN 情報セキュリティ政策会議結果

資料１－５ 情報セキュリティ国際キャンペーンの実施（24 年 10 月開催）

資料２ 本年９月中旬の我が国政府機関等に対するサイバー攻撃について 資料３－１ 政府機関の暗号アルゴリズムに係る移行指針の改定概要

資料３－２ 政府機関の情報システムにおいて使用されている暗号アルゴリズム SHA-1 及び RSA１０２４に係る移行指針

資料４ 情報セキュリティ２０１２に関する予算概算要求状況について

参考１ （警察庁提出資料）

参考２ （総務省提出資料）

参考３ （経済産業省提出資料）

参考４ （防衛省提出資料）

・情報通信は成長を支えるプラットフォーム

・社会経済活動におけるICTへの依存度の更なる高まり、様々なリスクの表面化

・グローバルな経済活動の拡大

安全・安心なICT利用環境・インフラの実現

・国境を越えたサイバー攻撃の高度化・多様化

ICT活用による経済成長の更なる促進

・国境を越えた情報の自由な流通の増大

国際連携による対応が必要

管理や規制を過度に行うことなく、「開放性」や「相互運用性」を確保し、情報の自由な流通が 保証された安全で信頼できるサイバー空間を構築する。

基本的方針

通信の秘密の保護

個人情報保護

知的財産権侵害対策

サイバー犯罪対策 サイバー攻撃対策

人権保護 表現の自由の確保

情報の自由な流通

自由で公正な経済活動

情報セキュリティ分野における国際連携の強化（１） 資料

1-1

特に国際連携により取り組むべき事項

・ サイバー攻撃に関する情報共有、CSIRT^（※）間協力

・ 情報セキュリティ対策に係るベストプラクティスの共有

・ 情報セキュリティ対策・技術に係る国際標準化の推進

・ ボットネット対策等によるクリーンなネットワーク環境作り

・ 意識啓発、人材育成

・ 情報セキュリティ対策のための先端的技術の研究開発

・ サイバー空間に関するルール作り（国際法の適用や国際行動規範作り）

・ サイバー犯罪条約の締約国の拡大

・ サイバー空間における信頼醸成措置の促進

・ サイバー犯罪の取締りのための、法執行機関同士の連携推進

・ 我が国のプレゼンス向上に向けたハイレベルによる情報発信

※コンピュータセキュリティインシデント対応チーム

（Computer Security Incident Response Team）の略

情報セキュリティ分野における国際連携の強化（２） 資料

1-2

開催日 場所 主催 参加者

概要

次回

2012年10月4日及び10月5日 ハンガリー・ブダペスト

ハンガリー政府

60カ国以上からの政府関係者、国際機関、民間セクター、学界、NGO 代表など600名以上が参加。日本からは、KDDI 小野寺正会長及び 今井治 外務省サイバー政策担当大使が講演を行った。

○経済成長と発展、社会的便益と人権、サイバーセキュリティ、国際安全保障、サイバ ー犯罪の５つのテーマに沿って議論が行われた。

○サイバー空間の社会・経済的便益性を認識し、こうした便益を損なわない形でサイバ ー空間の安全性を確保することのバランスについて重要性が確認された。また、その ための人材育成や官民連携、国際連携の重要性についても共通認識が得られた。

○表現の自由や情報の自由な流通の重要性につき強調するとともに、サイバー空間にお けるマルチステークホルダー構造の重要性、キャパシティ・ビルディングの必要性に ついて共通認識が得られた。

○既存（実空間）の法令や伝統的な規範はサイバー空間でも適用されることなどが確認 された。また、行動規範作りの進展及び必要性について再確認されるとともに、サイ バー犯罪条約の有効性についても多くの合意が得られた。

韓国がホスト国として2013年10月に開催予定

経緯 昨年11月英国政府が主体となって、幅広い層の参加者を得てサイ バー空間に関する包括的なテーマを取扱う「サイバー空間に関する ロンドン会議」を開催。ブダペスト会議はフォローアップ会合。

【オルバーン ハンガリー首相スピーチ】

サイバー空間に関するブダペスト会議結果 資料

1-3

平成24年10月10日・11日 東京

内閣官房情報セキュリティセンター、総務省、経済産業省

ASEAN加盟国^※(経済/通信所管省庁の局長・審議官級）※ミャンマーは今回先方都合により欠席

○ 日・ASEANにおける情報セキュリティ意識啓発の継続的取組に合意

本年から10月第2週に、日・ASEANが共同して行うこととなった情報セキュリティに関する意識啓発 について、その取組を評価するとともに、来年以降も継続することで合意。

○ 日・ASEANにおける情報セキュリティ関連情報共有体制の検討と連絡窓口確認の実施

情報セキュリティ・インシデント発生時の情報共有体制の整備のため、連絡窓口の明確化、

及び、連絡窓口確認(communication check)を本年末以降に行うことで合意

○ 情報セキュリティにおける一層の連携強化

情報共有に基づくサイバー攻撃予知・即応技術に関する研究開発の提案、CSIRT構築支援及び 連携強化等を含む、ASEANとの国際的な連携を強化していくことを確認。

2013年にフィリピンで開催予定

第１回（2009年2月東京）、第２回（2010年2月バンコク）、第３回（2011年3月東京）、第4回（2011年11月マレーシア）、 第5回（2012年10月東京）

開催日 場所

主催 参加者

概要

次回

第５回日・ASEAN情報セキュリティ政策会議結果 資料

1-4

標語（和） 標語（英） 提供国 10/1 PCから離れる

ときはロックし ましょう

Lock your computer with password

ラオス

10/2 パスワードは、

サイトごとに 異なるものを 使いましょう

Use Different Password for Different Services.

カンボジア

10/31 クリックの前に

一呼吸 THINK

BEFORE YOU CLICK !!!

フィリピン

情報セキュリティ上の脅威に世界で協力して取り組むため、２月の「情報セキュリティ月間」

に加え、10月に「情報セキュリティ国際キャンペーン」を実施し、国際連携の推進と国内に おける情報セキュリティ対策の一層の普及を図る。

情報セキュリティ国際キャンペーンの実施（24年10月開催） 資料

1-5

シンポジウム等

【意識啓発アニメーションの 提供】

ウェブサイトによ る広報（和英）

国際連携

情報発信

記者会見、

ＨＰ掲載

情報セキュリティ関連イベント（全国 で約1800件）の実施

国内での 意識啓発

初心者向けページ開設

ウェブによる広報 ポスター、バナー

米・英等の諸外国と連携した取り組み

・ウェブサイトのリンク

ASAEN各国と共同で作成した「今日 の一言」を日ASEANで同日に配信 ASEAN各国と連携した共同意識啓発活動 （和英）

・日ASEAN情報セキュリティ政策会議の開催等

【BOT対策等に関する 教材の翻訳・提供 】 諸外国との意識 啓発教材の共有

ミャンマー語 タイ語

カンボジア語

インドネシア語

○ 攻撃予告

• 9/13

• 9/19

○ 関連が疑われる障害の概要

•

総務省統計局、政府インターネットテレビ（内閣府）等のウェブサイトが一時閲覧しづらい 状態になったが、いずれも現在は閲覧が可能な状態

•

裁判所、文化庁等のウェブサイトが改ざんされ、一部は復旧、その他は復旧に向け作業中

（原因が判明している事案は、全て既知の攻撃手法によるものであり、高度な手法は見当 たらず）

攻 撃 事 案

１．各府省庁等において管理する情報システム等の再点検 ２．障害・事故等の発生に備えた体制の充実強化

３．平素からの情報収集の強化と情報共有の徹底 対

応 措 置

CISO等連絡会議幹事会（9/25)及びCISO等連絡会議（10/26)において、

各府省庁等に対し下記の対応措置を要請

本年９月中旬の我が国政府機関等に対するサイバー攻撃について 資料

2

政府機関の暗号アルゴリズムに係る移行指針の改定概要 資料

3-1

１ 経緯

①電子政府システム（入札・申請等）において電子署名等のために広く使用されているSHA-1及びRSA1024と 呼ばれる暗号方式の安全性の低下が指摘

②より安全な暗号方式（SHA-256及びRSA2048）への移行が必要であることから、「政府機関の情報システム において使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」を策定

（H20年4月22日 情報セキュリティ政策会議決定）

２ 政府機関における移行に向けた準備スケジュール







（H21年2月3日 情報セキュリティ政策会議決定）

３ 移行指針の改定概要



a. 「２０１４年９月下旬以降、早期に」新たな暗号方式に切替

b. 「２０１５年度末までに」従来の暗号方式によって発行された証明書の検証を終了

ただし、発行済み電子証明書の有効期間が残存し、やむを得ない場合は、「２０１９年度末まで」検証可

1

（参考） 政府機関における暗号移行スケジュール

【各府省庁】

情報システム

の対応期限 【認証局】電子証 明書の新たな暗 号への切替え

【認証局】新たな 暗号への切替え 日程の決定及び 告知開始

【内閣官房・総務省・経産省】 従来の暗号および新たな暗号の安全性について監視し、必要な情報を速やかに 各府省庁に提供

【各府省庁】 利用している暗号の急激な安全性の低下による影響が生じた場合、あらかじめ検討した緊急避難 的な対応を実施

【認証局】従来 の暗号の検証 停止期限

複数の暗号方式が混在 従来の暗号方式のみの使用

新たな暗号 方式のみの 使用

※発行済み電子証明書の有効期間 が残存し、その失効が制度や費用の 観点で困難であり又は合理的でない 場合は、2019年度末を超えない範囲 で従来の暗号の検証をしても良い。

切替えに向けた最終 検証・調整等の実施

【認証局】従来の 暗号を利用した 電子証明書の検 証停止

2014年3月31日▽ 2014年9月下旬▽ 2015年度末▽ 2019年度末▽

2

- 1 -

平成20年4月22日 情報セキュリティ政策会議決定 平成24年10月26日改定 情報セキュリティ対策推進会議決定

政府機関の情報システムにおいて使 用されている暗号アルゴリズム SHA-1及びRSA1024に係る移行指針

１ はじめに

近年、政府機関の情報システムにおいて使用されている一部の暗号アルゴ リズム（ハッシュ関数¹SHA-1 ²（以下「SHA-1」という。）及び公開鍵暗号方 式³RSA 1024 ⁴（以下「RSA1024」という。））の安全性低下が指摘されている。

一般的に、暗号アルゴリズムは、電子計算機の能力の向上などにより、安全 性が時間の経過とともに低下するものであるが、暗号技術検討会⁵などにおい ては、それら暗号アルゴリズムの安全性の低下により、近い将来に現実的な 問題が生じる可能性について指摘しているところである。

SHA-1 及び RSA1024 は、電子申請、電子入札等を行うための政府機関の

情報システムにおいて、その安全性及び信頼性を確保するための技術の一要 素として広く使用されている暗号アルゴリズムである。政府機関の情報シス テムの安全性及び信頼性を確保するためには、これらの暗号アルゴリズムに ついて、情報システムのライフサイクル等を踏まえつつ、適時により安全な ものに移行する必要がある。その際、関係する情報システム間における相互 運用性を確保する観点や政府機関全体の情報セキュリティ向上の観点から、

政府統一的な対応が必要である。

そこで、政府機関の情報システムにおいて使用されている暗号アルゴリズ

ムSHA-1及びRSA1024について、より安全な暗号アルゴリズムに移行する

ための指針を、以下のとおりとりまとめることとした。

２ 対象機関

内閣官房、内閣法制局、人事院、内閣府、宮内庁、公正取引委員会、国家

1 与えられたデータから固定ビット長の値を生成する関数。本指針では、一方向性（当該関数の演算の非 可逆性）及び衝突困難性（同一の数列を生成する異なるデータの発見困難性）の両性質を持つものとする。

2 ハッシュ関数SHAの一つ。与えられたデータから160ビットの値を生成する。

3 関連した２つの鍵（公開鍵と秘密鍵）を使用する暗号方式であり、一方の鍵（公開鍵又は秘密鍵）で暗 号化したデータは他方の鍵（秘密鍵又は公開鍵）でのみ復号できるようになっている。２つの鍵は、公開 鍵が与えられても、秘密鍵を導き出すことが計算上困難な特性を持っている。

4 公開鍵暗号方式の一つで、暗号アルゴリズムをRSA、鍵の長さを1024ビットとしたもの。

5 総務省政策統括官（情報通信担当）及び経済産業省商務情報政策局長の私的研究会として毎年度開催。

資料 3-2

- 2 -

公安委員会（警察庁）、金融庁、消費者庁、復興庁、総務省、法務省、外務省、

財務省、文部科学省、厚生労働省、農林水産省、経済産業省、国土交通省、

環境省及び防衛省とする。

３ 内容

(1) 情報システムの設計要件

情報システムにおける暗号アルゴリズムの用途を踏まえつつ、それぞれ の情報システムにおいて、以下のように設計を行う。

ア 政府認証基盤（GPKI）⁶及び電子認証登記所（商業登記認証局）⁷ (ｱ) 電子証明書⁸の発行に使用する暗号アルゴリズムを複数の中から選択

可能とする構成とし、使用する暗号アルゴリズムを特定の時期に切替 可能とする。

(ｲ) 電子証明書の検証に使用する暗号アルゴリズムを複数の中から選択

可能とする構成とし、それぞれの暗号アルゴリズムごとに、検証を行 う期間の開始及び終了時期を設定可能とする。

(ｳ) (ｱ)及び(ｲ)においては、以下の暗号アルゴリズムを含める。

a.電子証明書の発行及び検証に使用する暗号アルゴリズムについては、

ハ ッ シ ュ 関 数 SHA-1 及 び 公 開 鍵 暗 号 方 式 RSA2048 ⁹（ 以 下

「RSA2048」という。）の組合せ並びにハッシュ関数SHA-256 ¹⁰（以 下「SHA-256」という。）及びRSA2048の組合せ。

b.電子証明書の発行対象者¹¹の鍵ペア¹²に使用される暗号アルゴリズム については、RSA1024及びRSA2048。

イ 政府認証基盤に依存する情報システム

(ｱ) 文書ファイルへの電子署名及びその検証に使用する暗号アルゴリズ ムを複数の中から選択可能とする構成とし、暗号アルゴリズムごとに 電子署名及び検証を行う期間の開始及び終了時期を設定可能とする。

(ｲ) (ｱ)においては、以下の暗号アルゴリズムを含める。

a.ハッシュ関数については、SHA-1及びSHA-256。 b.公開鍵暗号方式については、RSA1024及びRSA2048。

6 Government Public Key Infrastructure：国民等と行政機関との間でやり取りされる文書ファイルにつ いて、内容が改ざんされていないことや、その文書ファイルが真にその名義人によって作成されたかを確 認できるようにするための仕組み。

7 商業登記に基づく電子認証制度に係る電子証明書を発行する認証局。

8 認証局により発行された電子署名の検証用公開鍵が真正であることを証明するデータ。

9 公開鍵暗号方式の一つで、暗号アルゴリズムをRSA、鍵の長さを2048ビットとしたもの。

10 ハッシュ関数SHAの一つ。与えられたデータから256ビットの値を生成する。

11 電子証明書を利用する実体（個人、組織等）をいう。いわゆる「エンドエンティティ」。

12 公開鍵暗号方式で使用する「秘密鍵」と「公開鍵」の対となる２つの鍵のこと。

- 3 -

ウ ア及びイ以外の情報システム

(ｱ) SHA-1 又は RSA1024 に対して現実的な脅威となる攻撃手法が示さ れた時点で、速やかに別の暗号アルゴリズムに変更する等の対応措置 を可能とする。

（例）

・ 暗号モジュール¹³を、交換できるようにコンポーネント化して構 成する。

・ 複数の暗号アルゴリズムを選択可能とする。

(ｲ) 複数の暗号アルゴリズムを導入する場合は、以下のものを含める。

a.ハッシュ関数に SHA-1 以外を導入する場合には、SHA-256 相当以 上の暗号強度を持つもの

b.公開鍵暗号方式にRSA1024以外を導入する場合には、RSA1152 ¹⁴相 当以上の暗号強度を持つもの。

(ｳ) SHA-1 及び RSA1024 以外の暗号アルゴリズムを導入した後は、新 たなアルゴリズムで電子署名を行うこととし、検証等暗号アルゴリズ ムの移行が完了するまでの間に必要となる場合においてのみSHA-1及

びRSA1024を使用することが可能な構造とする。

エ その他

新たな暗号アルゴリズムへの移行が完了する以前に、SHA-1 又は

RSA1024の安全性の低下による影響が発生する状況（発生が予測された

場合を含む。以下同じ。）に備え、緊急避難的に、電子証明書の失効、再 発行等を積極的に活用し、情報システムが提供する業務が継続して運用 できる構造とする。

(2) 計画等の策定

ア 各府省庁は、 (1)に定める暗号アルゴリズムの安全性向上に必要な対 応について、情報システム全体の更改前の部分的な実施も検討した上で、

情報システムごとの移行時期を踏まえ、必要となる対応を2008年度中 にとりまとめる。

イ 既に発行済みの電子署名付き文書ファイル及び電子証明書について、

暗号アルゴリズムの移行に伴い、失効、再発行等の対応が必要となる場 合に備え、それぞれの手続きごとに、当該対応に係る手順書の整備等必 要な措置を講ずる。

13 ハードウェア、ファームウェア及びソフトウェアにおいて、暗号化、復号、電子署名等の暗号化機能を 実装した構成要素のこと。

14 公開鍵暗号方式の一つで、暗号アルゴリズムをRSA、鍵の長さは1152ビットとしたもの。

- 4 -

ウ 新たな暗号アルゴリズムへの移行が完了する以前に、SHA-1 又は

RSA1024 の安全性の低下による影響が発生する状況に備え、情報シス

テムの停止等に伴う国民への影響を最小限とするために必要な措置を 講ずる。

(3) スケジュール

ア 各府省庁は、(2)アにおいて取りまとめた内容の概要について、 2008 年度中に内閣官房に報告する。

イ 内閣官房、総務省、法務省、経済産業省及び関係府省庁は、アの報告 等を基に、新たな暗号アルゴリズムへの切替時期並びに SHA-1 及び RSA1024の使用停止時期について、2008年度中に検討する。

ウ 内閣官房、総務省及び関係府省庁は、政府認証基盤と他の認証局との 相互接続に必要となる技術要件及び新たな暗号アルゴリズムへの移行 が完了する以前に安全性の低下による影響が発生する状況に備えた官 民共同の電子証明書の失効等の仕組みについて、2008 年度当初に検討 に着手する。

エ 内閣官房、総務省及び関係府省庁は、新たな暗号アルゴリズムに対応 した情報システムの相互運用性の検証を可能とする環境の整備につい て2008年度当初に検討に着手し、2009年度の構築を目指す。

オ 各府省庁は、上述の検討結果を踏まえ、原則として、2010 年度に新 規に構築（更改を含む。以下同じ。）する情報システムから３(1)の設計 要件を組み入れ、2013 年度までに各情報システムを当該要件に適合さ せるものとする。ただし、2009 年度に構築する情報システムについて は、３(1)ウの仕様を適用する。

カ 総務省及び経済産業省は、現在使用されているSHA-1及びRSA1024 並びに新たに使用する SHA-256 及び RSA2048 の安全性について監視 し、内閣官房は、必要な情報を速やかに各府省庁に提供する。

キ 総務省及び法務省は、2014 年 9 月下旬以降の早期に、政府認証基盤 及び電子認証登記所（商業登記認証局）において、電子証明書の発行に 使用する暗号アルゴリズムを SHA-256 及び RSA2048 の組合せに変更 するとともに、電子証明書の発行対象者の鍵ペアに使用される暗号アル ゴリズムをRSA2048に切り替える。

ク 総務省及び法務省は、2015 年度までに、政府認証基盤及び電子認証 登記所（商業登記認証局）において、暗号アルゴリズム SHA-1 又は

RSA1024 を用いた電子証明書の検証を終了する。ただし、発行済み電

子証明書の有効期間が2015年度末を超え、その検証の終了が制度や費 用の観点で困難であり又は合理的でない場合は、2019 年度を超えない 範囲で SHA-1 又は RSA1024 を用いた電子証明書の検証を行うことも

- 5 -

可能とする。

４ 本指針の見直し

本指針は、暗号技術検討会及び電子署名及び認証業務に関する法律の施行 状況に係る検討会¹⁵の検討状況のほか、各府省庁の対応状況等を踏まえ、必 要に応じて見直しを行う。

15 総務省政策統括官（情報通信担当）、法務省民事局長及び経済産業省商務情報政策局長の私的検討会とし て開催。

情報セキュリティ2012に関する予算概算要求状況について

（※）予算項目全体の一部として含まれている施策の内、予算が切り分けられない場合には計上していない。

資料4

３１５．５億円 ^（平成24年度当初予算：１７２．３億円）

平成

25

施策例及び概算要求額

○政府機関・情報セキュリティ横断監視・即応チーム（

GSOC

○サイバーテロ対策用資機材の増強等（警察庁） ５．８億円

○サイバー攻撃解析・防御モデル実践演習（総務省） １５．２億円

○早期警戒体制の強化及び重要インフラの安全性強化等（経済産業省） ２１．５億円

○大学等における情報セキュリティに関する教育（文部科学省） １．８億円

○ネットワーク監視態勢の強化（防衛省） １３３．３億円

○重要無線通信妨害対策の強化（総務省） ５９．０億円

○サイバー演習環境構築技術に関する研究（防衛省） １５．９億円

警察庁サイバーセキュリティ重点施策

警察庁では、平成２５年度に向けた体制整備等に関し、次の施策を検討・推進 施策

１

施策

２

施策

３

施策

４

 都道府県警察における体制の強化

 不正アクセス事犯の取締りの推進

 児童ポルノを始めとする違法情報の流通対策の推進

 不正アクセス対策のためのセキュリティ関連事業者との連携

 「サイバー攻撃対策隊」の新設

 「サイバー攻撃対策官」の新設

 サイバー攻撃に関する情報収集の対象拡大

 サイバー攻撃に関する情報の分析体制の強化

 サイバー攻撃の標的となるおそれのある事業者との情報共有の強化

 セキュリティ関連事業者との連携強化

 多国間協議への積極的な参画

 サイバー犯罪捜査に係る外国の捜査機関等との連携強化

 児童ポルノ対策のための国際連携の強化

 サイバー攻撃対策に係る国際連携の推進

 最新の技術情報の国際的な共有の促進

 サイバー犯罪条約の着実な運用とより効果的な捜査共助等の実施

 警察職員に係る教育・訓練の強化

 サイバーセキュリティ対策を担う人材の確保

 サイバー攻撃手法の巧妙化・複雑化に対応する技術力の強化

 情報通信技術の高度化に対応する情報技術解析体制の強化

 技術情報の収集の推進

 不正プログラム分析体制の強化

参考１

１．国際連携の推進

総務省の情報セキュリティ政策の動向

２．その他の取組

○ 新たなサイバー攻撃に対応可能な環境を実現するため、攻撃の解析 及び防御モデルの検討を行い、官民参加型の実践的な防御演習を実 施 。 【平成25年度概算要求額：15.2億円】

○ 本演習は、本年７月に立ち上げた「サイバー攻撃解析協議会」の活動

と連携。 サイバー攻撃解析・防御モデル実践演習

【時期】10月18日・19日 （ワシントン）

【出席者】

（日本）総務省、内閣官房情報セキュリティセンター、外務省、経済産業省 等

（米国）国務省、商務省、国土安全保障省、連邦通信委員会、

連邦取引委員会 等

○ インターネットの経済的側面に焦点を当てた政策全般について議論。

○ 情報セキュリティ分野では、前回会合で合意したサイバー攻撃の予知・即応 技術に関する研究開発（プロジェクト名：PRACTICE）についての協力を確認す るとともに、引き続き、情報交換をしていくことで合意。

○ スマートフォンやクラウドの情報セキュリティ確保の重要性を認識し、情報共 有を継続していくこと、及び意識啓発に関する協力を深めていくことで合意。

【時期】11月15日 （東京）

【出席者】（日本）総務省、内閣官房情報セキュリティセンター、経済産業省 （ＥＵ） 欧州委員会

サイバー攻撃の予知・即応技術、スマートフォンの情報セキュリティ対策等について議論を行う予定。

総務省 プロジェクト

米 国土安全保障省 プロジェクト

データベース

研究開発協力例（日米連携）

サイバー攻撃に関する データ（DDoSやマルウェアの

感染活動等の情報）を共有

※米国のほか、インドネシア等とも共有システムを構築。

インターネットエコノミーに関する日米政策協力対話（第４回局長級会合）

日ＥＵインターネット・セキュリティフォーラム

サイバー攻撃解析・防御モデル実践演習

参考２

１．ＣＳＩＲＴ間協力（サイバー攻撃に対する国際連携）

経済産業省の情報セキュリティに関する国際連携と意識啓発活動等

○重要インフラ等で活用されている制御システムのセキュリティについて、国際標準化・相互承認を目 指し、「技術研究組合制御システムセキュリティセンター」（現在、１３社にまで拡大）を通じた検証施 設構築等の事業を推進。今後、米国国土安全保障省等とも連携して取組を加速。

○サイバー攻撃は国境を越えて発生する中、日本国内のインターネット環境や海外に進出している日本 企業の安全を確保するためには、各国のサイバー攻撃発生時等の連絡窓口となるCSIRT（シーサー ト）間の協力体制を構築していくことが重要。

○経済産業省では、日本の窓口CSIRTであるJPCERT/CC（ジェーピーサートコーディネーションセン ター）を通じて、途上国のCSIRT構築支援や、アジア太平洋地域のCSIRTと連携したインターネット定 点観測等を実施。

途上国のCSIRT支援

2006年以降、アジア・アフリカ等途上国計２１か国に 対し、専門家派遣（のべ110人）や、分析能力を身に つけるための研修（のべ６０回以上）を実施し、CSIRT の新規構築や、構築後の運用を支援。

APCERT／TSUBAMEプロジェクト

•アジア太平洋地域のCSIRTコミュニティであるAPCERTにつ いて、JPCERT/CCが事務局を務め、現在は、議長も担当。

•各国CSIRTと協力し、ウイルスの感染活動等のセキュリティ 上の脅威となるトラフィックを観測するセンサー網を整備

（TSUBAMEプロジェクト）。観測情報の分析に基づき、注意 喚起などの情報発信を実施。

２．国際標準化の推進

※ＣＳＩＲＴ（Computer Security Incident Response Team）

各国の窓口CSIRTでは、サイバー攻撃発生等に際し、国内外の関係機関間で連絡をとりあい、被害の未然防止、拡大防止を図っている。

参考３

○サイバー攻撃の高度解析に向け、本年７月に設立した「サイバー攻撃解析協議会」では、協議会メン バーによる共同解析トライアルを経て、協議会内の情報共有ルールを整備。

○今後、協議会において、実際のサイバー攻撃で用いられたマルウェアの解析を進めるとともに、解析 結果の活用方法についても、年度末までに引き続き検討。

※ＣＴＦ（Capture the Flag）

情報システム内の目標データ（Flag）奪取を目指し、システム攻略の腕を競い合うコンテス ト。実際のサイバー攻撃で用いられる手法の学習を通じ、実践的なセキュリティ人材の養成 を目指すもので、米国で実施されているDEFCONが有名。

３．人材育成・意識啓発

○企業の現場等でセキュリティ業務に携わる人材の能力開 発を図るため、実践的な経験を積める場として、「CTFチャ レンジジャパン2012」を、来年2月に日本で初めて実施。

○国民の意識啓発を図るため、情報処理推進機構（IPA）は、

最新の脅威動向に基づく呼びかけ等を実施。

４．サイバー攻撃解析協議会

最新動向を捉えた「呼びかけ」の実施

IPAでは、届出により入手した「遠隔操作ウイルス」を調査し、１１月１日にその 結果と対策を発表。

ワンストップポータルサイト

ＩＰＡでは、平成２３年末に取りまとめた「不正アクセス防止対策に関する行 動計画」に基づき、３６の関係省庁・団体・社の情報をワンストップで提供する

ポータルサイト「ここからセキュリティ！」を本年９月から公開。 ＩＰＡの実施する呼びかけの例

意識啓発標語、ポスター、漫画コンテスト

ＩＰＡにおいて高校生以下を対象に募集。今年度受賞作品は１１月８日発表。

防衛省・自衛隊によるサイバー空間の安定的・効果的な利用に向けて（概要）

● サイバー空間の拡大に伴い、サイバー攻撃が行われた場合には社会活動の広範囲で甚大な被害が生じる 可能性。このため防衛大綱（平成22年12月17日閣議決定）において「サイバー空間の安定的利用に対する リスク」を安全保障上の課題として明記

● 防衛省・自衛隊としてこの安全保障上の課題に適切に対応していくため、サイバー空間の意義やリスク をあらためて整理し、取り組むべき施策の全体像・ポイントを示して、これらを一体的かつ整合的に推進 するための指針とするべく、本文書を策定

● サイバー空間の意義・性格

防衛省・自衛隊の活動を支える「インフラ」であると同時に、情報収集、攻撃、防御といった様々な活動 を行う陸・海・空・宇宙と同様の一つの「領域」。このため、サイバー空間の安定的利用は防衛省・自衛隊 の任務遂行に直結する重要な要素

● サイバー空間におけるリスク

サイバー攻撃は、目的、手法が多様であり、攻撃源の特定や抑止が困難といった特性が存在

また、防衛省・自衛隊のシステム／ネットワークは平素からサイバー攻撃を受けており、情報の窃取や指 揮統制・情報共有が妨げられるといった様々な危険が存在

基本認識

防 衛 省

参考４

● 防衛省・自衛隊の能力・態勢強化

- 防衛省・自衛隊として最先端の能力保有を追求

- 自身のシステム／ネットワーク防護能力の強化 （体制の整備、情報の収集・分析機能強化、被害生起時の回復機能の整備）

- 自衛隊の運用の検討にあたり、サイバー空間と陸・海・空・宇宙を一体的・有機的に活用するよう配意（実践的な訓練等 の推進）。武力攻撃への対処に際し自衛隊がこれを効果的に排除するため、相手方によるサイバー空間の利用を妨げることが 必要となる可能性にも留意

- 計画的・長期的に人材を育成・確保、職員一人一人の意識の涵養

● 民間も含めた国全体の取組への寄与

- 国全体のセキュリティ・レベル向上への取組に積極的に貢献 - 防衛産業等とも情報共有などの協力を推進

● 同盟国を含む国際社会との協力

- 米国との政策面の協議や情報共有、実践的な訓練といった各般の協力を推進 - 友好国や国際機関とも協力

基本方針 （取組のポイント）

サイバー空間のリスクに対応しつつ、その便益を最大限に活用 サイバー空間のリスクに対応しつつ、その便益を最大限に活用

（注：具体的な取組は別紙）

サイバー攻撃等の法的位置付けについては、サイバー攻撃と武力攻撃の関係を一概に述べることは困難であり、

何らかの事態が武力攻撃に当たるか否かは個別具体的な状況を踏まえて判断すべきものであるが、武力攻撃の 一環としてサイバー攻撃が行われた場合、自衛権発動の三要件（※）のうち、第一要件を満たすこととなるも のと考えられるところ。サイバー攻撃やそれへの対処の法的位置付けについては、国際社会における議論や自 衛隊の運用面に係る取組を踏まえ、引き続き検討。

（※）自衛権発動の三要件

①我が国に対する急迫かつ不正の侵害があること

②これを排除するために他の適当な手段がないこと

③必要最小限度の実力行使にとどまるべきこと

サイバー攻撃等の法的位置付け

（１） 防衛省・自衛隊の能力・態勢強化 ア 優先的に進めるべき施策

① 状況把握能力の向上と被害発生時の早期の復旧 （DII（防衛情報通信基盤）ネットワーク監視態勢強化）

② 隊員の練度の向上 （実践的シミュレーション環境での訓練の実施 など）

③ 早期警戒情報の入手 （サイバー攻撃の兆候の早期把握）とそれに伴う警戒態勢の強化 （サイバー防護分析装置の機 能向上、脅威情報の収集・分析機能の強化 など）

④ 体制の整備 （「サイバー空間防衛隊」（仮称）の新設、各自衛隊のシステム防護担当部隊の能力強化 など）

イ 充実・強化を図るべき施策

① 各システムにおける最新の防護システムの整備

② 各システム間の監視情報の集約 （効果的な対処を行うための統合監視機材の整備）

③ システムの脆弱性の低減 （定期的な脆弱性検査、端末レベルでの侵入防止システムの導入 など）

④ 人材の育成・確保 （部内外での教育、民間との人事交流、セキュリティ関連業務経験者の採用 など）

⑤ 研究開発の強化 （マルウェアの感染端末を探索し、駆除する技術の研究開発 など）

ウ 継続的に取り組むべき施策

（部隊練成、対処要領の整備、攻撃手法等の調査研究、職員の研修 など）

（２） 民間も含めた国全体の取組への寄与

① 組織の垣根を越えた協力の推進 （政府全体の取組への参画・支援、人材の派遣 など）

② 民間部門を含む国全体のセキュリティ・レベルの向上への貢献 （官民の情報共有、意見交換 など）

（３） 同盟国を含む国際社会との協力

① 米国との協力 （戦略的政策協議の推進、サイバー攻撃を取り入れた共同訓練の実施 など）

② その他の国・国際機関との連携 （情報共有 など）

具体的な取組 ^{（別 紙）}