サイバーセキュリティ 2019(案)
※資料1-1 サイバーセキュリティ 2019(案)の全体概要
資料1-2 サイバーセキュリティ 2019(案)の概要
資料1-3 2019 年度に実施すべき施策に関する意見募集の結 果の概要
資料1-4 2019 年度に実施すべき施策に関する意見募集の結 果一覧
資料1-5 サイバーセキュリティ 2019(案)
1部 年次報告(2018年度) 2部 年次計画(2019年度)
2章 2018年度のサイバーセキュリティに関する情勢
1 経済社会の活力の向上及び持続的発展 2 国民が安全で安心して暮らせる社会の実現
3 国際社会の平和・安定及び我が国の安全保障への寄与 4 横断的施策
5 推進体制
1 サイバーセキュリティの基本的な枠組みに関する情勢(新戦略の策定経緯、基本法を一部改正する法律の経緯)
2 重要インフラ分野等におけるサイバーセキュリティに関する情勢 3 政府機関等におけるサイバーセキュリティに関する情勢 4 サイバー空間に係る国際的な動向
3章 2018年度のサイバーセキュリティ関連施策の取組実績と評価
2章 2019年度の各種施策一覧表 1 経済社会の活力の向上及び持続的発展
別添1 各府省庁における情報セキュリティ対策の総合評価・方針 別添2 2018年度のサイバーセキュリティ関連施策の実施状況 (一覧表) 別添3 政府機関等における情報セキュリティ対策に関する統一的な取組 別添4 重要インフラ事業者等における情報セキュリティ対策に関する取組等 別添5 サイバーセキュリティ関連データ集 別添6 担当府省庁一覧(2019年度計画) 別添7 用語解説
2 国民が安全で安心して暮らせる社会の実現
3 国際社会の平和・安定及び我が国の安全保障への寄与 4 横断的施策
5 推進体制
1.1新たな価値創出を支えるサイバーセキュリティの推進 1.2多様なつながりから価値を生み出すサプライチェーンの実現 1.3安全なIoTシステムの構築
2.1 国民・社会を守るための取組 2.2 官民一体となった重要インフラの防護 2.3 政府機関等におけるセキュリティ強化・充実 2.4 大学等における安全・安心な教育・研究環境の確保 2.5 2020年東京大会とその後を見据えた取組
2.6 従来の枠を超えた情報共有・連携体制の構築 2.7 大規模サイバー攻撃事態等への対処態勢の強化
3.1 自由、公正かつ安全なサイバー空間の堅持 3.2 我が国の防御力・抑止力・状況把握力の強化 3.3 国際協力・連携 4.1 人材育成・確保 4.2 研究開発の推進 4.3 全員参加による協働
別添
○ 2部の1章を新設し、新戦略の対処方針について国内外の関係者の理解を図るため、対処方針(積極的サイバー防御等)に沿って、取組を抽出し、そのポイントを整理
1 本章の位置づけ(一般(経営層等)への波及を期待、新戦略の理解と実践の参考)
2 変わりゆくサイバー空間とそれに伴う脅威の深刻化
2.1 新たなサイバーセキュリティ戦略の位置づけ(3年間の基本計画、我が国の基本的立場の明示)
(1)サイバーセキュリティを通じたサイバー空間の持続的発展(自律的な取組による「Society 5.0」の実現への寄与)
①サイバー空間における脅威による影響(業務・サービス障害、情報漏えい、金銭被害)
②サイバー空間における攻撃者優位の状況(攻撃者(時間、場所の無制約等)、防御側(完全なリスク除去不可能等))
③サイバー空間における脅威の影響が広がる可能性(イベント、裾野拡大(人、供給網、IoT)、先端技術(AI等))
2.3 主なトピック
(1)業務・機能・サービス障害(平昌大会関係、奈良県病院のシステム障害等)
(2)情報の毀損及び漏えい(大学等におけるフィッシングによる情報漏えい事案、国家の関与が疑われるAPT10等)
(3)金銭の窃取・搾取等(フィッシング詐欺の増加、脅迫メール、暗号資産等)
3 新戦略に基づく対処方針
3.1 持続的な発展のためのサイバーセキュリティ ~サイバーセキュリティエコシステム~
3.2 積極的サイバー防御 ~事前の能動的な取組~
3.3 2020年東京大会とその後を見据えた対処態勢の強化
1 持続的な発展のためのサイバーセキュリティ ~サイバーセキュリティエコシステム~
1.1 サービス提供者関連
(1)企業 (戦略マネジメント層育成、企業におけるサプライチェーン・リスク対策、情報開示手引き等)
(2)重要インフラ事業者等(安全基準等策定指針の改定及び浸透等)
1.2 全ての主体関連
2 積極的サイバー防御 ~事前の能動的な取組~
2.1 政府関係者の取組
3 2020年東京大会とその後を見据えた対処態勢の強化 1章 サイバー空間と実空間の一体化の進展に伴う動向と対処方針 1章 2019年度のトピックとなる取組
(1)意識・行動強化 (意識・行動強化プログラム等)
(2)IoT関連 (技術基準、国際標準化等)
1.3 国際協力・連携関連(法の支配の推進、能力構築支援等)
1.4 研究開発関連(研究・技術開発の取組方針等)
(3)身近にあるサイバー空間における脅威とその影響の拡大
2.2 従来の枠を超えた取組
2.2 新戦略で目指す姿とサイバー空間における脅威の状況
あらゆる企業が、自律的にサイバーセキュリティにも取り組む「デジタル企業」となり、新製品やサービス等を創出する姿
3.1 2020年東京大会における対処態勢 3.2 大規模サイバー攻撃事態等への対処態勢
(1)改定された統一基準群に基づく取組(未知の不正プログラム対応、IT資産管理の自動化等)
(2)政府調達におけるサプライチェーン・リスク対策(IT調達に係る申合せに基づく取組等)
(3)ボットネット対策(パスワード設定に不備のあるIoT機器の調査等)
(4)先行的防御を可能にするための取組(脅威情報の共有・活用の促進、攻撃誘引技術の活用等)
(1)情報共有連携体制(サイバーセキュリティ協議会)
(2)暗号資産(仮想通貨)に関する取組
(3)自動運転に関する取組
新設(一般(経営層等)向け)昨年度報告・計画に該当部分あり
(2)目指す企業経営とサイバーセキュリティの姿 ~DX with Cybersecurity~
1 策定の趣旨・背景
4 目的達成のための施策
2 サイバー空間に係る認識
3 本戦略の目的
4 目的達成のための施策
5 推進体制
新たな価値創出を支えるサイバーセキュリティ の推進
多様なつながりから価値を生み出すサプライ チェーンの実現
安全なIoTシステムの構築
横断的施策
• サイバー空間がもたらす人類が経験したことのないパラダイムシフト(Society5.0)
• サイバー空間と実空間の一体化の進展に伴う脅威の深刻化、2020年東京大会を見据えた新たな戦略の必要性
• 人工知能(AI)、IoTなど科学的知見・技術革新やサービス利用が社会に定着し、人々に豊かさをもたらしている。
• 技術・サービスを制御できなくなるおそれは常に内在。IoT、重要インフラ、サプライチェーンを狙った攻撃等により、国家の関与が 疑われる事案も含め、多大な経済的・社会的損失が生ずる可能性は指数関数的に拡大
• 基本的な立場の堅持(基本法の目的、基本的な理念(自由、公正かつ安全なサイバー空間)及び基本原則)
• 目指すサイバーセキュリティの基本的な在り方:持続的な発展のためのサイバーセキュリティ(サイバーセキュリティエコシステム) の推進。3つの観点(①サービス提供者の任務保証、②リスクマネジメント、③参加・連携・協働)からの取組を推進
内閣サイバーセキュリティセンターを中心に関係機関の一層の能力強化を図るとともに、同センターが調整・連携の主導的役割を担う。
経済社会の活力の向上
及び持続的発展 国際社会の平和・安定及び
我が国の安全保障への寄与 国民が安全で安心して
暮らせる社会の実現
国民・社会を守るための取組
官民一体となった重要インフラの防護 政府機関等におけるセキュリティ強化・充実 2020年東京大会とその後を見据えた取組
大学等における安全・安心な教育・研究環境の確保 従来の枠を超えた情報共有・連携体制の構築
全員参加による協働 研究開発の推進
人材育成・確保
~新たな価値創出を支える
サイバーセキュリティの推進~ ~「積極的サイバー防御」の推進による任務保証~
自由、公正かつ安全なサイバー空間の堅持
国際協力・連携
我が国の防御力・抑止力・状況把握力の強化
~自由、公正かつ安全なサイバー空間の堅持~
大規模サイバー攻撃事態等への対処態勢の強化
サイバーセキュリティ2019は、同戦略に基づく初めての年次報告とそれを反映した年次計画を統合したもの。各府省庁はこれに基づき、施策を着実に実施
<新戦略(2018年戦略)(平成30年7月27日閣議決定)の全体構成>
1
【サイバー空間と実空間の一体化・活動空間の拡張】(2018年戦略の概要資料)
サイバー空間 と実空間
健康・医療・介護 データ連携等 電子行政
マイナンバー制度 活用等
自動運転等移動
フィンテック等金融 スマートシティ等インフラ
ものづくり
コネクテッド・
インダストリーズ等
Society 5.0 の実現に向けた政府の主な体制図
サイバーセキュリティ 戦略本部
[2015年に設置]
〈戦略〉
・サイバーセキュリティ戦略
〈所管法令〉
・サイバーセキュリティ基本法
個人情報保護委員会
[2014年に設置]
〈所管法令〉
・個人情報の保護に関する法律
IT総合戦略本部
(高度情報通信ネットワーク 社会推進戦略本部)
[2001年に設置]
〈戦略〉・IT戦略(世界最先端デジタル 国家創造宣言等)
・官民データ活用推進基本計画
〈所管法令〉
・高度情報通信ネットワーク社会形成基本法
・官民データ活用推進基本法
参考:Society 5.0のしくみ(内閣府作成)
家電 スマホ
ロボット
自動車
・・・・・
サイバー空間
実空間(フィジカル空間)
連接・融合
連接・融合
一体化 サイバー空間 実空間(フィジカル空間)
健康・医療・介護 データ連携等 マイナンバー制度活用等電子行政
自動運転等移動
フィンテック等金融 インフラ
スマートシティ等
ものづくり
コネクテッド・
インダストリーズ等
日本経済再生本部(2012年に設置)
〈戦略〉・未来投資戦略
その他の本部等
(総合科学技術・イノベーション会議、
知的財産戦略本部等)
一体化が更に進展すると、今まで関わりのない分野にも影響を与える可能性
2
1部2章(サイバーセキュリティに係る情勢)
政府機関等に対する攻撃の高度化・巧妙化
政府機関において、マルウェア感染の疑いがある通信や標的型攻撃を引き続き検知しており、標的型攻撃は増加
(図表1)。標的型攻撃については、より巧妙化されたメールも確認されている。また、近年、ファイル添付型(不 審なファイルを添付)に代わってURL型(不審なURLを記載)の不審メールの比率が増加(図表2)。
サイバー攻撃による被害が深刻化する中、サイバー空間における攻撃者優位の状況(攻撃者:時間・場所の無制約や低コストかつ豊富な手段、防御側:限られた資 源、脆弱性の完全除去は不可能、攻撃者特定困難)も背景に、サイバー空間と実空間の一体化の進展により被害が拡大する可能性がある。
出典:国立研究開発法人 情報通信研究機構「NICTER」観測データ
観測された攻撃のうち、
0 20 40 60 80 100
2010 2011 2012 2013 2014 2015 2016 2017
(%) 94.8%
72.5%
75.1%
パソコン
スマートフォン
モバイル端末
・2018年平昌大会期間中に約550万件のサイバー攻撃との報道
・奈良県病院 約2日間にわたるカルテシステムの障害(2018/10)
⇒今後ますます現場のデジタル化が進む中、通信障害、交通混乱や停電等の 事態が発生する可能性
【サイバー攻撃による被害の主なトピック※1】
・大学におけるフィッシングによる情報漏えい(10大学での被害が報道)
・国家の関与が疑われるAPT10を非難(外務報道官談話 2018/12)
⇒今後個人情報やリアルデータ等の情報の価値が高まっていくにつれて、金銭 獲得や別の攻撃への悪用を目的に脅威が高まる可能性
・過去最大規模(前年比約2.5倍)のフィッシング詐欺(2018年)
・巧妙化する脅迫メール(実際に使用されたパスワードを記載したメール等)
・暗号資産の窃取(2018/1 約580億円相当、2018/8約1500万円相当、
2018/9約70億円相当)
⇒今後、低い労力で多くの利益を得ることを狙って、対策が不十分な分野や多 額の金銭を得られる対象に関する脅威が高まる可能性
業務・機能・サービス障害
情報の毀損及び漏えい
金銭の窃取・詐取等
国内における情報通信機器の保有状況推移(世帯)
(参考)平成30年版情報通信白書(総務省)
(注) モバイル端末にはスマートフォン を内数とし含めている
図表2 政府機関等に対する不審メールの傾向
(件)
図表1 政府機関における引き続き警戒を要する攻撃等の検知件数※4
【サイバー空間における脅威の影響が広がる可能性】
約半数がIoTを 狙っている
パケット数(億)
1年間で観測されたサイバー攻撃のパケット数
○国際的なイベントの開催に伴う脅威
最高度の注目を集めるため攻撃のターゲットとなるおそれのある国際イベントが開催予定
(G20(2019/6)、ラグビーワールドカップ(2019/9)、2020年東京オリンピック・パラリンピック競技大会(2020/7))
○サイバー空間利用の裾野拡大に伴う脅威
スマートフォンやIoT等の生活への普及・浸透やDX※2の進展に伴い、人間の脆弱性、供給網(サプライチェー ン)、IoT機器の問題に起因する脅威が広がるおそれ
○先端技術・サービスの利用拡大に伴う脅威
今後、AI、 Fintech※3、自動運転車等の先端技術・サービスの利用拡大が予想され、新たな脅威が生じ るおそれ
※4 既に攻撃手法に対応済みであるため攻撃としては失敗した通信、攻撃の前段階 で行われる調査のための行為にとどまり明らかに対応不要と判断できる通信等を 分析しノイズとして除去した上で、引き続き警戒を要するイベントについて集計
※5 URLやメールアドレスを入力する際に打ち間違うことを期待して、正規ドメインと紛らわしいドメインを所有しておく行為。
※1 2018年度を中心とした近年の事例をピックアップ
年度 2017年度 2018年度
マルウェア感染の疑い 169 111
標的型攻撃 57 66
タイポスクワッティング※5の疑い 0 5
※3 Finance(金融)とTechnology(技術)を組み合わせた造語。ブロックチェーンやビッグデータといった新たな技術を活用した革新的な金融サービス
※2 将来の成長、競争力強化のために、新たなデジタル技術を活用 して新たなビジネス・モデルを創出・柔軟に改変すること
0% 20% 40% 60% 80% 100%
2015年度 2016年度 2017年度 2018年度
URL型 URL型かつファイル添付型 ファイル添付型 その他
国外の動き(諸外国の戦略的取組)
米国 EU
中国 ・国家サイバー空間セキュリティ戦略(2016)
・サイバー空間主権確保
・新たな国家サイバー戦略(2018/9)
・連邦政府・重要インフラの保護、安全・信頼 のインターネット維持等
・国土安全保障省にサイバーセキュリティ・インフラストラク チャー・セキュリティ庁(CISA)を設置(2018/11)
・欧州NW・情報セキュリティ機関(ENISA)の権限 拡大等を含むサイバーセキュリティ法成立(2018/12)
・一般データ保護規則(GDPR)成立(2018/5 施行)
英国 ・国家サイバーセキュリティ戦略(2016)
・「防御」、「抑止」、「開発」を目的
3
128.8 256.6 545.1 1,281
1,504 2,121 0
500 1000 1500 2000
201320142015201620172018
545.1億
2,121億
3年間で3.9倍
IoT機器を狙った攻撃
(Webカメラ、ルータ等)
48%
2部2章(
2019
年度の各種施策一覧)新戦略の体系に沿って諸施策の目標や実施方針とともに、具体的な施策を網羅的に示したもの。
新戦略の対処方針に関する国内外の関係者の理解・浸透を図るため、その方針別に、「トピックとなる取組」を抽出し、その方向性と主な 施策例を示したもの。その概要は以下のとおり。
1.1 サービス提供者関連 1.2 全ての主体関連
2.1 政府関係者の取組
(1)意識・行動強化 (意識・行動強化プログラム等)
-人材育成や普及啓発に関する官民の様々な取組みを集約するポータルサイトの構築等
(2)IoT関連 (技術基準、国際標準化等)
-今後製品化されるIoT機器がパスワード設定の不備等により悪用されないようにする対策の推進等
2.2 従来の枠を超えた取組
(1)改定された統一基準群に基づく取組(未知の不正プログラム対応、IT資産管理の自動化等)
-脅威が深刻化するサイバー攻撃への対応及びクラウドサービス利用時の適切な情報セキュリティ対策の推進
(2)政府調達におけるサプライチェーン・リスク対策(IT調達に係る申合せに基づく取組等)
-サプライチェーン・リスク対応が必要な調達時の総合評価落札方式等、価格面だけでない総合的な評価を行う契約方式を採用する方針
(3)ボットネット対策(パスワード設定に不備のあるIoT機器の調査等)
-サイバー攻撃を受けてから対応するのではなく、先手を打って悪用されるおそれのあるIoT機器の能動的な調査と利用者への注意喚起
(4)先行的防御を可能にするための取組(脅威情報の共有・活用の促進、攻撃誘引技術の活用等)
ー実証環境を用いた標的型攻撃の解析や、フィッシング詐欺の攻撃手法分析、なりすましメールを防止する送信ドメイン認証技術等の推進
(1)情報共有連携体制(サイバーセキュリティ協議会)
-官民・業界を問わず多様な主体が連携し、サイバーセキュリティの確保に資する情報の共有と、サイバー攻撃による被害とその被害拡大の阻止
(2)暗号資産(仮想通貨)に関する取組
-自主規制機関と連携して暗号資産交換業者のサイバーセキュリティ対策の実施状況モニタリングし、利用者保護の確保を目指す
(3)自動運転に関する取組
-自動運転システムへの新たなサイバー攻撃手法、インシデント情報、対策技術を調査した上での、脅威を想定した能動的な対策の推進
4
1.3 国際協力・連携関連-自由、公正かつ安全なサイバー空間を堅持するための理念の発信と途上国向け能力構築支援
1.4 研究開発関連
-サプライチェーン全体の信頼確保に向けたICT機器・サービスのセキュリティの技術検証を行うための 推進体制の整備や、国内産業の育成・発展に向けた取組
3 2020年東京大会とその後を見据えた 対処態勢の強化
3.1 2020年東京大会における対処態勢
-サイバーセキュリティ対処調整センター及び情報共有システムのG20大阪 サミット等での運用による対処支援調整能力の向上と万全な対処態勢 確立を目指す
ー対処態勢やリスクマネジメントの取組によって得られた経験・ノウハウを、
大会後にもレガシーとして日本のサイバーセキュリティの確保に活用すべく、
大会に向けた準備の推進
3.2 大規模サイバー攻撃事態等への対処態勢
-内閣官房を中心とした情報の集約・共有、初動対処に係る訓練・演習
・見直しを通じて対処態勢の強化
ー各対処機関ではサイバー空間における情報収集・分析能力向上 ーサイバー攻撃の対象となり得る事業者での対処活動の支援強化
等 2 積極的サイバー防御 ~事前の能動的な取組~
1 持続的な発展のためのサイバーセキュリティ ~サイバーセキュリティエコシステム~
(1)企業(戦略マネジメント層育成、サプライチェーン・リスク対策、情報開示手引き等)
-デジタルトランスフォーメーション(DX)とサイバーセキュリティを一体的に進める戦略マネジメント層の育成等の推進
-サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)の具体化・実装の推進、徹底した中小企業の現場支援
(2)重要インフラ事業者(安全基準等策定指針の改定及び浸透等)
-自然災害に起因する重要インフラサービス障害の発生も可能な限り減らすための安全基準等を改善する取組の推進
(1部3章(主な政策の取組実績と評価)、
2部1章(トピックとなる取組)関連)
5
1.経済社会の活力の向上及び持続的発展
<実績>
経営層の意識改革を目的に、各省庁におけるセミナーや各種ガイドライン等の普及活動を実施
Society5.0の実現に必要なセキュリティ対策の全体像を示す業種横断的な施策となる「サイバー・フィジカル・セキュ リティ対策フレームワーク」を策定
安全なIoTシステムの構築に向け、パスワード設定等に不備のあるIoT機器を調査及び注意喚起する取組を実施
<評価>
業種横断的な指針の策定、安全なIoTシステムの構築については概ね当初の計画どおりに進捗。今後は、これらの取組がより効果的 なものとなるよう、普及に向けた活動や整備した内容の見直しが必要となる。また、経営層の意識改革等については、業種・業態や企 業の規模等によっては取組が十分とはいえないため、引き続き、各種取組を積極的に行っていくことが求められる。
2.国民が安全で安心して暮らせる社会の実現
<実績>
重要インフラ防護範囲の見直しを実施したほか、官民の枠を超えた訓練・演習の実施等、行動計画に基づく各施策を継続して 実施
政府機関等全体のセキュリティ対策強化に向け、統一基準群を改定したほか、CSIRT要員等の事案対処能力・
知識を向上させる取組や、府省庁対抗による競技形式のサイバー攻撃対処訓練を継続して実施
2020年東京大会に向け、脅威・事案情報の共有等を担うサイバーセキュリティ対処調整センターを構築 多様な主体が相互に連携し、施策の推進に係る協議を行うためのサイバーセキュリティ協議会を組織
<評価>
重要インフラ防護、政府機関等の対策強化、2020年東京大会のセキュリティ確保、従来の枠を超えた情報共有・連携体制の構築 等、各種取組は着実に進展。対処調整センターや協議会等、新たに取組を開始したものについては、今後の運用の中で、必要に応じ てルールやシステムの見直しを行い改善していくことが求められる。
6
3.国際社会の平和・安定及び我が国の安全保障への寄与
<実績>
法の支配の推進に寄与することを目指し、次会期国連政府専門家会合の方向性等を含め、国連におけるサイバーセキュリティに 関する議論に積極的に貢献
中国を拠点とするAPT10といわれるグループによるサイバー攻撃に関し、米英等による非難声明を支持する形で外務報道官談 話を発出
13の国と地域の間で二国間協議を開催するとともに、多国間対話等を通じ、各国との連携を強化。また、
事故対応等に係る国際連携の強化に向けた演習や能力構築支援を実施
<評価>
サイバー空間における法の支配の推進や国際協調・協力の深化については、着実に進展。今後は、引き続き、有志国と連携し、次 会期国連政府専門家会合への関与等を通じて、既に合意された規範について国際社会が実施するよう促していく必要がある。
4.横断的施策
<実績>
サイバーセキュリティ人材の育成・確保を強化すべく、産学官の関係機関の間で情報共有・施策間連携を図り、戦略マネジメ ント層や実務者層・技術者層の育成を推進
研究・技術開発に関する取組の具体化に向け、「我が国におけるサイバーセキュリティ研究・技術 開発の取組方針」を策定
「参加・連携・協働」の観点で、産学官民の有機的な連携に向け、「サイバーセキュリティ意識・行動強化プ ログラム」を決定。また、「サイバーセキュリティ月間」において、TVアニメ『約束のネバーランド』とタイアップを行 い、ポスターやWebバナーの作成、イベント「抗え。この世界(インターネット)の脅威に。」を開催
<評価>人材育成については、戦略マネジメント層及び実務者層・技術者層の育成等の取組が着実に進展している中、継続して人材の育 成・確保などを進めていく必要がある。研究開発については、新たに決定した研究・技術開発の取組方針に基づき、取組を推進して いくことが求められる。普及啓発については、意識・行動強化プログラムを踏まえた若年層に重点を置いたキャンペーンやイベントが前
年度と比較して大きな反響が得られたことも踏まえ、今後の検討を進めていくことが必要である。
7
5.推進体制
<実績>
内閣サイバーセキュリティセンターを中心に、関係機関とのパートナーシップに基づく国内外のインシデント及びサイバー攻撃に関す る情報の共有を推進するなど、関係機関の一層の能力強化を実施
新戦略の趣旨を国内外の関係者に向け効果的に発信することを目的に新戦略のカラー冊子を 制作。カラー冊子を活用するなどして、計78件のイベント等で、国内の関係者6,500名超、
国外の関係者1,500名超に対して新戦略の発信を実施
<評価>
新戦略の国内外の関係者への更なる浸透を図るため、引き続き、取り組むことが重要。その効果的な実施に向けて、十分な現状 把握の上で進めることが重要であり、関係機関との一層の連携の強化を図り、新戦略の発信等に取り組むことが求められる。
8
海外では投資家がサイバーセキュリティをビジネス上の大きな脅威と認識しており、経営 層のサイバーセキュリティへの関わりを重要視。
このため、内部統制の一環としてサイバーセキュリティ対策の在り方を示すとともに、経営 層のサイバーセキュリティへの関与状況も含めた取締役会の実効性評価を促進。
CGS研究会(第2期)<平成29年12月に第一回を開催し、平成31年4月までに16回開催>
直近のスケジュール: 第14回(2/12)ガイドライン骨子
第15回(3/15)ガイドラインとりまとめ素案
第16回(4/18)ガイドラインとりまとめ
実務者指針公表に向け最終調整中
グループ内部統制システムの在り方として、親会社の 取締役会レベルで、子会社も含めたグループ全体、更 には関連するサプライチェーンも考慮に入れてセキュ リティ対策を検討すべきと実務指針案に盛り込み
9
• 経営ガイドラインの重要10項目の実践事例に加え、セキュリティ担当者の日常業務におけ る悩みに対する具体的対応策を提示したプラクティス集を公開(2019年3月)。
• 2019年度に、サイバーセキュリティ経営ガイドラインをベースとして企業のセキュリティ対策状況を可 視化するツールを整備予定。
サイバーセキュリティ 経営ガイドライン
(METI、IPA)
サイバーセキュリティ経営ガイドラインVer2.0実践のための 経営プラクティス集
(IPA)
【第一章】
経営とサイバーセキュリティ
(経営者、
CISO
等向け)【第二章】
サイバーセキュリティ経営ガ イドライン実践のプラクティス
(
CISO
等、セキュリティ担当者 向け)【第三章】
サイバーセキュリティ対策を 推進する担当者の悩みと解 決のプラクティス
(セキュリティ担当者向け)
サイバーセキュリティ経営を実践するプラクティス集 対策状況の可視化
可視化ツール
経営ガイドライン付録Aの チェック項目
※上記の図はイメージ
(情報セキュリティベンチ マーク(IPA)の引用)
チェック項目の回答結果に応 じて、対策状況を可視化し、
他社の状況との比較
10
民間企業のサイバーセキュリティ対策の情報開示の促進のため、民間企業にとって参考と なり得る事例等をまとめた手引きを策定する。
活用主体 サイバーセキュリティ対策の情報開示に一定の関心のある民間企業の開示の実務担 当者等を想定。
対象とする 情報開示
企業が取ることが望ましい対策項目を記載した上で、その開示に当たっての留意事項等 について記載。
既に存在する開示の実例について、対策項目との関係性を明示して掲載する。
開示書類を通じた情報開示を取り扱う。
開示書類の読み手は、投資家、融資元、顧客・契約者・取引先、従業員、競合他社等を 含む、社会全体の広範なステークホルダーを想定。
目的 民間企業によるサイバーセキュリティ対策やその対策の情報開示の重要性の認識を促進 する。
民間企業にとって参考になり得るような既存の開示の実例を事例集として示す。
内容
11
• 2019年4月18日、『サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)Ver1.0』を 策定・公表。
• 2度にわたる英文パブコメに対して海外からも多数のコメントが寄せられ、国際的認知も進展。
• CPSFで示した『3層構造モデル』、『リスクベースアプローチ』、『マルチステークホルダーアプローチ』
に対する期待が大きい。
第2回パブリックコメント(英語表記含む)の結果 期間 : 2019 年 1 月 9 日~ 2 月 28 日
意見数: 国内 27 、海外 13 (米国 7 、欧州 6 ) から、
約 500 件 CPSFが示した『3層構造』、『6つの構成要素』
<主な意見>
• CPSF
の3
層構造モデル、リスクベースアプローチ、マ ルチステークホルダーアプローチ等に対する肯定 的な意見。•
データ保護、ソフトウェアセキュリティ等、CPSF
のより 具体的な活用方法を求める意見。構成要素
ソシキ ヒト モノ データ プロシージャ システム サイバー空間にお
けるつながり
【第3層】
フィジカル空間と サイバー空間のつながり
【第2層】
企業間のつながり
【第1層】
(守るべきもの)機能 セキュリティ
インシデント リスク源 対策要件
(構成要素ごと に整理)
CPSFにおけるリスク管理の考え方
12
• CPSFの具体的適用に向け、『データ区分に応じたセキュリティ対策』、『転写機能を持つ機器・シス テムに求められるセキュリティ対策』、『OSS(※)を含むソフトウェアの管理手法等』について、分 野横断的な議論を行うタスクフォース(TF)を設置。
• 分野別サブワーキンググループ(SWG)の議論と連携し、CPSFの産業界における実装を推進。
※OSS:Open SourceSoftwareの略
13
• 「Proven in Japan」では、2つの方向を追求し、セキュリティビジネスの成長を促進。
① 有効性確認等を通じ、日本発のサイバーセキュリティ製品のマーケット・インを促進
② IoT機器等の信頼性を高度に検証するハイレベル検証サービスの拡大
1.セキュリティ製品 の有効性検証
3.攻撃型を含めたハイレベルな検証サービス
攻撃型 検証等 攻撃型 検証等
<イメージ>
2.実環境における
試行検証
実環境
民間事業者等 のオフィス
お試し製品 提供と検証 お試し製品 提供と検証 ベンチャー等
信頼できる
セキュリティ製品・サービス
検証 環境
有効性 検証 有効性
検証 ベンチャー等の
セキュリティ製品
様々なIoT機器・システム等
・情報保全の髙信頼 検証サービス
事業者
世界に貢献する
高水準・高信頼の検証サービス
14
• サイバー攻撃の脅威は、資源・人材の限られる中小企業・地域も例外でない。
• サプライチェーン全体での対策を進めていくためには、各中小企業・地域の実態に応じた、徹底し た中小企業の現場支援と、地域を支えるコミュニティ形成が必要。
15
商工会議所等と連携した実態把握
地域での人材育成・コミュニティ形成促進 徹底した中小企業の現場支援
【事前支援】
・中小企業ガイドラインやセキュリティアクション(
6.7
万社 が自己宣言※)※2019
年2
月時点・登録セキスペの企業派遣・マネジメント支援
【事後支援】
・サイバーセキュリティお助け隊
【地域を支える人材の育成】
・高専機構等との産学官連携による人材育成推進
・産業サイバーセキュリティセンター(
ICSCoE
)の地域 へのアウトリーチ【地域コミュニティの形成】
・コラボレーションプラットフォームの地域展開
・地域の登録セキスペや
ICSCoE
修了生との連携 各地域の実態に応じた取組の推進
お助け隊チーム
• セキュリティ対策を始めるに当たって何をやればいいのかわからない、そういった悩みをもつ中小企業に 対し、専門家を派遣し、セキュリティポリシーの策定を支援。
• インシデントが発生してしまったが対処方法がわからない、そんな中小企業の事後対応を支援する 簡易保険の実現を目指し、サイバーセキュリティお助け隊による支援体制を構築。
中小企業 IPA
情報処理安全確保支援士
(登録セキスぺ)
主に事前支援(セキュリティ専門家派遣) 主に事後支援(サイバーセキュリティお助け隊)
・中小企業に専門家を派遣し、実践的なセ
キュリティ対策の定着につなげる。 ・中小企業がサイバー攻撃等で困った時の相談窓口、駆けつけ支援体制を構
・将来的な民間サービスとしての自走を目指し、今年度は8地域で実証。築。
・今年度の結果を踏まえ、来年度以降、全国展開を目指すための方策を実施。
教育 対策支援
(主にポリシー策定支援、
4回/1社)
中小企業
ITベンダー
・専門知見が必要な事案の対応、
駆けつけ支援、
・セキュリティ機器の設置及び監視
・普及啓発説明会の開催、
損保会社
・相談窓口設置、一次対応、
・簡易保険の在り方の検討
連携 相談
駆けつけ等の対応支援
特定 防御 検知 対応 復旧
16
17
2017年4月、IPAに産業サイバーセキュリティセンターを設置し、IT系・制御系に精通した専 門人材の育成を開始。
世界的にも限られている、制御系セキュリティにも精通する講師を招き、テクノロジー、マネジメ ント、ビジネス分野を総合的に学ぶ1年程度のトレーニングを実施。
〇 IT系・制御系に精通した専門人材の育成
〇 模擬プラントを用いた対策立案
〇 実際の制御システムの安全性・信頼性検証等
〇 攻撃情報の調査・分析
現場を指揮・指導するリーダーを育成
◀模擬プラント 全景
1年を通じた 集中トレーニング
7月 8月 9月 10月 11月 12月 1月 2月 3月 4月 5月 6月
開講式
ビジネス・マネジメント・倫理 プロフェッショナルネットワーク(含む海外)
プライマリー (レベル合わせ)
ベーシック
(基礎演習)
アドバンス (上級演習)
卒業 プロジェクト
中核人材育成プログラム- 年間スケジュール
修了式
第1期受講生
(平成29年7月~平成30年6月) 業界別構成
第2期受講生
(平成30年7月~令和元年6月)
業界別構成
76人 83人
一橋ビジネススクールICS協力
「デジタル・トランスフォーメーション 時代における人材育成プログラム」
• 経営層が示す戦略の下、事業継続と価値創出に係るリスクマネジメントを中心となって支える立場 である「戦略マネジメント層」の育成が急務。
• このため、2018年度においては、IPA産業サイバーセキュリティセンターや一橋ビジネススクールICS の協力で戦略マネジメント層向けのセミナー・カリキュラムを実施。
• 2019年度においても、引き続き、戦略マネジメント層を育成する取組を進める。
産業サイバーセキュリティセンター
「戦略マネジメント系セミナー」
•
平成30年11月~12月(全7回)•
17名(うち6名は部長以上)が参加•
前半は専門家からの講義、後半はケース討議(グ ループディスカッション)の2部構成で実施•
アンケート調査の結果、参加者の約9割が有意 義であったと回答•
平成30年9月~11月(全12日間※修了式除く)•
官民合わせて30社が参加•
DXに関するリテラシーが向上し、参加者間でのネッ トワークが構築18
【改定案】
(平成31年4月18日重要インフラ専門調査会にて承認)1.災害による障害の発生しにくい設備の設置及び管理
重要インフラサービスの提供に係る情報システム、データセンター等の設備に ついては、各種災害による障害が発生しにくい配置とする等、災害が発生した 場合であっても被害を低減できるような防止対策を事前に検討・実施すること により、適切な設備の設置及び管理を行う仕組みを構築する。
2.データ管理
システムのリスク評価に応じてデータの適切な保護や保管場所の考慮をはじ めとした望ましいデータ管理を行う。
また、事業環境の変化を捉え、インターネットを介したサービス(クラウドサー ビス等)を活用するなど新しい技術を利用する際には、国内外の法令や評価 制度等の存在について留意する。
(加えて、指針の関連文書である「重要インフラにおける機能保証の考え方 に基づくリスクアセスメント手引書」の別紙に、具体的な事象(脅威)の例及 びリスク源の例として「法令・政策の不認識」を追記する。)
3.その他
空港分野の追加等に伴い、所要の改正を行う。
重要インフラにおける情報セキュリティ確保に係る 安全基準等策定指針
重要インフラにおける機能保証の考え方に基づく リスクアセスメント手引書
安全基準等策定指針(平成30年4月4日本部決定)
改定の必要性の主な背景
・2018年は各地で複数の自然災害が発生し、重要インフラ事業者等に おいても、地震や台風によって、重要インフラサービスの停止等に繋がる被 害が発生した。災害による直接的な被害だけでなく、大規模停電に伴う 間接的な被害を受ける事態なども発生した。
・様々なデータの活用のために円滑なデータ流通が重要である一方、デー タ管理に関するルールの策定が世界各地で進められており、これらの国際 的な規制等の動向も踏まえた望ましいデータ管理の在り方を検討する必 要がある。
サイバーセキュリティ戦略(平成30年7月27日閣議決定)
4.2 国民が安全で安心して暮らせる社会の実現 4.2.2 官民一体となった重要インフラの防護 (1)行動計画に基づく主な取組
②重要インフラ事業者等における適切な対応を促進するため、国は、安 全基準等を策定するための指針を浸透させる取組を行うとともに、データ の管理の状況に関する調査や国際動向も踏まえた望ましいデータ管理
(略)を含め、安全基準等を改善する取組を継続的に推進する。
GDPR(一般データ保護規則)EU
サイバーセキュリティー法中国 FISMA(連邦情報セキュリティ米国 マネジメント法)
※出典:第6回官民データ活用推進戦略会議 合同会議 参考資料
●大規模停電
●空港ビル(設備停止) 等
●電力Webサイト:停電情報が更新できない
●鉄道Webサイト:運行状況が更新できない
●通信事業者 :データセンター停電
(一部サーバー5時間停止)
【2018年の災害に起因する重要インフラサービス
障害例及びシステム不具合等の事案】 【データ管理(国際動向)】
【指針及びリスクアセスメント手引書】
重要インフラサービスの安全かつ持続的な提供 の実現を図る観点から、分野毎に事業所管省 庁や業界団体等が作成する「安全基準等」にお いて規定が望まれる項目を整理・記載したもの
機能保証の考え方に基づくリスクアセスメントの
観点や具体的な作業手順等を記載したもの
19
不安がある(67.6%)
不安がある どちらかといえば
不安がある
どちらかといえば 不安はない 不安はない わからない
30%
40%
50%
60%
Windows Updateなど
によるセキュリティパッチの更新 セキュリティソフト・サービス
の導入・使用 不審な電子メールの
添付ファイルは開かない 怪しいと思われるウェブサイト にはアクセスしない
2018年 2017年
①個人:AIやIoTの「生活」への浸透に伴い、インターネット利用への不安感が拡大。一方、具体的な対策の実施に十分 に結びついていない。
②企業:中小企業では、特に規模の小さい企業ほど担当者が置かれない場合も多いなど、取組が遅れている。
2 現状 2 現状
を見据えつつ、産学官民の関係者が円滑かつ効果的に活動し、有機的に連携できるよう、本プログラムを策定。
・対策に関する情報が国民一人一人や中小企業に必ずしも行き届いていない、いわば「サイバーセキュリティのラストワンマイル」の状況。
・「3つの視点」から取組を推進:①継続的な実施、②対象に合わせた適切なツール・コンテンツの提供、③関係者間の連携の促進
<インターネットの利用に関連するトラブルへの不安感>
「2018年度情報セ キュリティの脅威に 対する意識調査」
(IPA)を元に作成
<セキュリティ対策の実施状況>
3 今後の取組の基本的な考え方 3 今後の取組の基本的な考え方
(2) 重点的な対象とその内容
・様々な対象に幅広く実施することを前提としつつ、以下の対象に ついて、重点的に取組を実施
①中小企業 中小企業のトラブル対応を支援する「サイバーセキュリティお助 け隊」の地域実証、 「SECURITY ACTION」活用の促進、中小企業支 援ネットワークによる啓発等
②若年層 無自覚なまま加害者になることを防ぐための リテラシー向上の取組、先端的人材育成施策の推進
③地域における取組の支援産学官連携型の 取組の活性化、高専学生によるボランティア活動等
(1) 基本的な対策の徹底
・個人や企業が取組の必要性を自覚し、
当たり前のこととして取組を講じる状態を 目指し、必要な対策を継続的に伝える
(取組の一例)
「インターネットを安全に利用 するための情報セキュリティ対策 9か条」(2015年2月 NISC・
IPA)の各種取組への浸透
(3) 情報発信・相談窓口の充実
(取組の一例)NISCにおけるSNSによる情報発信
・最新の脅威の情報・対策の適時かつ 迅速な発信や相談できる窓口の確保 等、自ら取り組むための環境を整備
4 具体的取組の推進 4 具体的取組の推進
①ポータルサイトによる取組の見える化・連携推進 ②ツール・コンテンツの共有 ③サイバーセキュリティ月間の推進 ④国際的連携の強化、⑤PDCAによる継続的改善
・NISCをはじめとした関係機関が連携し、ラストワンマイルに情報が行き着くよう配慮しつつ取組を推進 5 連携体制の強化
5 連携体制の強化
・官民の様々な取組を集約するポータルサイトを構築し、対象となる層や伝達手法の見える化及び連携を推進
・個別施策の実施状況に加え、個人や企業の対策の実施状況等を分析し、本プログラムの内容・効果の定期的な評価、見直しを実施
高専学生によるボランティア活動(提供:警察庁)
45.4% 44.1%
5割に達していない
(出典)インターネットの安全・安心に関する世論調査(内閣府、2018年11月)
20
21
今後製品化されるIoT機器がパスワード設定の不備等により悪用されないようにする対策として、
IoT機器の技術基準
※1にセキュリティ対策を追加するための省令改正を行う
※2。
※1 電気通信事業法では、電気通信事業者のネットワークに接続して使用する端末設備は、総務省令(端末設備等規則)で定める技術基準に適合しなければならな いこととされている。
※2 IoT機器のセキュリティ対策の内容は、情報通信審議会等に諮問して検討を実施(2018年2月~2019年1月)。
【端末設備等規則(省令)の改正概要】
インターネットプロトコルを使用し、電気通信回線設備を介して接続することにより、電気通信の 送受信に係る 機能を操作することが可能な端末設備について、最低限のセキュリティ対策とし て、以下の機能を具備することを技術基準
(端末設備等規則)に追加する。
① アクセス制御機能
※1(例えばアクセス制限をかけてパスワード入力を求め、正しいパスワードの入力時のみ制限を解除する機能のこと)② 初期設定のパスワードの変更を促す等の機能
③ ソフトウェアの更新機能
※1又は ①~③と同等以上の機能
※2※1 ①と③の機能は、端末が電源オフになった後、再び電源オンに戻った際に、出荷時の初期状態に戻らず電源オフになる直前の状態を維持できることが必要。
※2 同等以上の機能を持つものとしては、国際標準ISO/IEC15408に基づくセキュリティ認証(CC認証)を受けた複合機等が含まれる。
PCやスマートフォン等、利用者が随時かつ容易に任意のソフトウェアを導入することが可能な機 器については本セキュリティ対策の対象外とする。
【スケジュール】
本年3月1日に改正省令を公布。来年
(2020年)4月1日に改正省令を施行。
改正省令の運用方法や解釈等を定めるガイドラインも策定予定
(本年4月目途)。
22
サイバー攻撃に悪用されるおそれのある機器を調査 (※1) し、利用者への 注意喚起を行う取組「NOTICE (※2) 」を開始。
① NICTがインターネット上のIoT機器に容易に推測されるパスワードを入 力する等により、サイバー攻撃に悪用されるおそれのある機器を特定。
② 当該機器の情報を電気通信事業者に通知。
③ 電気通信事業者が当該機器の利用者を特定し、注意喚起を実施。
※1:サイバー攻撃に悪用されるおそれのあるIoT機器の調査等を実施するため、国立研究開発法人情報 通信研究機構法を平成30年5月に改正。
※2: National Operation Towards IoT Clean Environment
国連サイバー政府専門家会合(UNGGE)への参加
サイバー空間における国際法の適用、規範の形成に積極的に関与
2013年9月には、サイバー空間においても既存の国際法が適用されるとする報告書(第3会期)が提出された。
2015年9月の報告書(第4会期)では、2013年の報告書の内容を踏まえつつ、国家の責任ある行動規範に係る章において具体的なルールに係る勧 告が盛り込まれているほか、ICTの使用に対する国際法の適用に係る章において、「国家が国際法に従って、かつ、国連憲章で認められた形でとり 得る固有の権利に留意する」ことが明記された。
ただし、2016年~2017年の第5会期では、国際法の適用のあり方等についてコンセンサスを得られなかった。
2018年国連総会決議に基づき、2019年に第6会期が立ち上がる予定。
サイバーに関する新たなG7作業部会(G7伊勢志摩サイバーグループ)の立ち上げ
サイバーセキュリティ環境及びG7各国のサイバーセキュリティ関連政策に係る情報共有並びにG7の政策調整に関する議論とサイバー空間におけ る法の支配を促進するための国際的議論の加速を目的として設置。
2016年5月G7伊勢志摩サミットの首脳宣言及び附属文書において,以下を確認。
・国連憲章をはじめとする既存の国際法のサイバー空間への適用を確認するとともに,サイバー空間を通じた武力攻撃に対し,国連憲章第51条で認め られた個別的又は集団的自衛権が行使可能である。
2017年4月G7ルッカ外相会合の外相共同コミュニケ及び「サイバー空間における責任ある国家の行動に関するG7(ルッカ)宣言」において,
以下を確認。
・国際違法行為を行った国家に対して均衡性のある対抗措置をとり得る。
・事実を評価し,他の国家にサイバー行為を帰属させることについて国際法に従って独自の決定を自由に行うことができる。
2018年4月G7トロント外相会合の外相共同コミュニケ及び「G7伊勢志摩サイバーグループ会合議長報告書」において,以下を確認。
• 悪意のあるサイバー行為を阻止し,抑止し,妨げ,対抗するための措置を展開するために協働し,適時にコストを課すことで,悪意のあるサイバー行 為を行う者を抑止する。
サイバー犯罪条約の締約国の拡大・推進
迅速かつ効果的な捜査共助等の法執行機関間における国際連携の強化。
国境を越えるサイバー犯罪者の検挙に向けた国際協力の推進。
その他、GCSC、GCCS等、各種国際会議への参加
23
分類 名称 実施時期 実施組織
日
AS EA N
政策会議情報連絡演習
5月 NISC
机上演習
7月 NISC
CIIPワークショップ 7月 NISC
短期研修
ASEAN地域のサイバーセキュリティ対策強化のための政策能力向上 2月 JICA
サイバー攻撃防御演習
2月 JICA
日ASEAN・サイバーセキュリティ能力構築センター(AJCCBC)
9月~
総務省・ETDA(タイ) 制御システムに係るASEAN等向け日米サイバー共同演習9月
経産省日・ASEAN ISP向け情報セキュリティワークショップ 総務省
APTサイバーセキュリティ技術研修 10月 APT
(*1)情報共有
DAEDALUS
: サイバー攻撃アラートシステム通年
総務省TSUBAME
: インターネット定点観測システム通年 JPCERT/CC
組みは以下の通り。
日・ASEAN首脳会議(2016年9月7日)
安倍総理席上発言: 「サイバーセキュリティの確保のため、能力構築支援の方針を策定し、引き続きオールジャパンでASEANを支援していく」
議長声明: 「ASEAN諸国のサイバーセキュリティ確保の取組みに対する日本の積極的な支援の決意を歓迎」
日・ASEAN首脳会議(2018年11月14日)
安倍総理席上発言: 「本年9月、バンコクに日ASEANサイバーセキュリティ能力構築支援センターを構築するなど、サイバー分野でも協力していく」
議長声明: 「サイバーセキュリティを含む非伝統的安全保障上の課題及び伝統的犯罪に対処すべく、引き続き協力強化を決意。産業制御システムに係 る日米共同サイバーセキュリティ演習を東京で実施したことに関し、日本の産業サイバーセキュリティセンター(ICSCoE)を称賛。ARF会期間会合
並びに日ASEANサイバーセキュリティ能力構築支援センターの開設といった進捗を歓迎」
