報道資料
平成 23 年10月7日 内閣官房情報セキュリティセンター(NISC)
情報セキュリティ政策会議第27回会合の開催について
-標的型サイバー攻撃対策等について-
本日、「情報セキュリティ政策会議」(議長:内閣官房長官)の第27回会合が開催され、その 概要は以下のとおり。
標的型サイバー攻撃対策等について
官民連携の強化のための分科会の設置
情報セキュリティ対策推進会議(CISO 等連絡会議)に分科会を設置し、普及啓発・人材育 成専門委員会と連携しつつ、情報セキュリティ対策における官民連携の強化に向けた検討を 行うこととした。
情報セキュリティ政策会議議長から国民に対するメッセージとして、「情報セキュリティ対策 の強化について」を公表
最近の標的型サイバー攻撃の脅威の状況を踏まえ、情報セキュリティ政策会議議長(内閣 官房長官)から、情報セキュリティ対策の強化について、国民に対し直接呼びかけることとし た。
(別添) 会議資料一式
※ 本日の会議資料は、内閣官房情報セキュリティセンターのホームページにおいても公表する。
(http://www.nisc.go.jp/conference/seisaku/index.html)
情報セキュリティ政策会議 第 27 回会合
平成 23 年 10 月7日(金) 9時 30 分~9時 55 分 於:総理大臣官邸4階大会議室
<議事次第>
1 開会
2 討議
○ 標的型サイバー攻撃対策等について 3 閉会
<資料一覧>
資料1 三菱重工業等に対するサイバー攻撃事案について(経緯等)
資料2 官民連携の強化のための分科会の設置 資料3 情報セキュリティ対策の強化について 資料4 有識者構成員意見
(参考資料1)政府機関における標的型不審メール訓練について
(参考資料2)大規模サイバー攻撃事態等発生時の初動対処に係る訓練の実施 等について
(参考資料3)警察庁提出資料
(参考資料4)総務省提出資料
(参考資料5)経済産業省提出資料
三菱重工業等に対するサイバー攻撃事案について(経緯等)
三菱重工業等に対する攻撃(標的型攻撃によるウィルス感染)
○ 防衛装備品や原子力プラントを製造している三菱重工業のコンピュータがウ ィルスに感染し、情報が抜き取られた痕跡ありと報道(9/19 読売)。同社による と、本社、研究所等の約 80 台のサーバやパソコンが実際に感染し、一部のコン ピュータのシステム情報が流出した可能性があるものの、製品や技術に関する情 報の流出は確認されていない。
○ IHI、川崎重工業、三菱電機に対しても同様の攻撃があったと報道(9/21 各紙)。関係省庁からのヒアリング調査に対し各社は、現時点で重要な情報の漏 えいは確認されていない旨回答。
○ 政府においては、内閣官房において全府省庁の担当課長等を集め、「政府内の 迅速な情報共有」の徹底を指示(9/20)。
○ 経済産業省及び防衛省において、引き続き情報収集を実施中。また、警察は三 菱重工業からの被害届の提出(9/30)を受け、捜査中。
(参考)本年 9 月中旪の我が国政府機関等に対する攻撃(アクセス集中)
○ 中国のチャットサイトに我が国へのサイバー攻撃の呼びかけが掲載されたこ とを受け、内閣官房から全府省庁に対し関連情報を提供するとともに、事態への 警戒、事態発生の際の迅速な連絡を依頼(9/15)。
○ また、在中国日本国大使館から中国政府に対し「攻撃が発生することのないよ う、早急に適切な対策を講じることを求める」旨、申し入れを実施(9/15)。
○ 9 月 17 日から 18 日にかけ、人事院HP及び内閣府HP(政府インターネット テレビ等)が、アクセス集中により一時的に閲覧しづらい状態になった。システ ム侵入等の被害はなし。
資料1
官民連携の強化のための分科会の設置
情報セキュリティ政策会議 情報セキュリティ対策推進 会議(CISO
等連絡会議)分科会
普及啓発・ 人材育成 専門委員会連携 ○
CISO
等連絡会議幹事会構成員等から なる分科会を設置官民連携等を通じて企業等の情報セキュリ ティ対策を強化するため、以下検討を行う。 (i)政府としてとるべき方策、特に政府調 達等に際して調達先企業に求める情 報セキュリティ要件 (ii)政府と企業等との連絡・連携のあり方 (iii)産業界の取り組みに対する政府の協 力、情報提供のあり方 (iv)企業等におけるセキュリティ文化の啓 発、セキュリティ企業体質の涵養等 * CISO: Chief Information Security Officer (最高情報セキュリティ責任者)
資料 2
情報セキュリティ対策の強化について
平成 23 年 10 月 7 日 情報セキュリティ政策会議議長 内閣官房長官 藤村 修
情報通信技術の発展により、私たちは多大な経済的利益や生活の利便性を享 受していますが、その一方で、情報セキュリティ上の脅威も日常のものとなっ ています。こうした中、国の重要な情報を扱う企業がサイバー攻撃の対象とな り、不正なプログラムに感染するという事態が発生しました。
サイバー攻撃は、被害によっては国の安全や国民生活に深刻な事態をもたら す可能性があります。政府及び重要インフラ関連組織においては、これまで進 めてきた情報セキュリティ対策を更に高めてまいります。国の重要な情報を扱 い国の安全に深く係わる企業の皆様におかれても、今回の事態を契機に、企業 の情報セキュリティの一層の強化に努めてください。
情報セキュリティの確保においては、とりわけ早期の情報共有が重要です。
その観点に立ち、政府は今後、政府・民間双方向の情報共有等を通じた官民連 携の強化を進めてまいりますので、関係する皆様のご理解とご協力をお願いい たします。
情報セキュリティ上のリスクは、被害者となる恐れがあることはもちろんの こと、不正なプログラムに感染することで意図せずに加害者になってしまうこ ともあります。情報セキュリティ対策を講じることは、今や社会的な責務とも いえるものになっています。
企業等におかれては、攻撃に強いシステムの導入と、職場一人一人の情報セ キュリティ意識の向上等に努めるとともに、感染してしまった場合であっても、
被害を最小限にとどめる対策の実施が必要です。国民の皆様におかれては、自 分のパソコンやスマートフォン等について、そのセキュリティ関連ソフトウェ アを常に最新の状態に維持するなどの対策に努めてください。
情報セキュリティの確保は、安全で安心な国民生活の実現と国際競争の中で の継続的な発展に不可欠なものとなっています。官民の連携により世界最先端 の情報セキュリティの実現に努めてまいります。
資料3
有 識 者 構 成 員 意 見
①小野寺構成員意見
②村井構成員意見
資料4
情報セキュリティ政策会議へのコメント
2011年10月7日 KDDI株式会社 代表取締役会長 小野寺 正 1. 標的型不審メール訓練について
これまで多くの標的型メール演習が各国でなされており、結果2割程度の方はそれでも URLクリックや添付ファイルの開封を行ってしまうことが報告されています。訓練の意味は 十分にあると認識しますが、実際に標的型攻撃の被害に遭ってしまう場合のことを想定し、
標的型攻撃の早期検知、該URLのブロック、標的メールの添付ファイル削除などの実効 的な対策を情報システムの機能として実現することも重要であると考えます。
2. 標的型攻撃の技法について
多くの標的型攻撃には、USBメモリを用いてマルウェアを混入させる攻撃や、内部犯行 からマルウェアの感染を行う場合が報告されていますので、USBメモリなどのメディアの扱 い方に関する啓発(セキュリティマネジメント啓発の一環)、及び内部犯行を抑止できるよう な体制作り(重要な作業については、2人以上が関与するなど)が重要となります。今後、
政府統一基準などの見直しにおいて、このような案件についても取り入れていく必要があ ると考えます。
3. 攻撃情報共有等官民連携の枠組み構築について
標的型攻撃を、標的とされていない組織で検知することは難しいことから、標的型攻撃 は攻撃された組織において対応・対策を適切に実施することが必須となります。
一方、標的型メールとは異なり、DoS攻撃(多くはDDoS攻撃)は、政治的、社会的など の理由により、標的とされる組織(多くは政府機関)のシステムリソースを枯渇させます。こ のようなDoS攻撃では、事前に攻撃宣言(予告)を行った上で攻撃を行うことが多く、世の 中に攻撃を公開します。そのため、パブリックモニターなどを駆使することにより、このよう な攻撃宣言を迅速に把握し、攻撃に対して早期に備えるとともに、民間の通信事業者にお けるDoS攻撃の検知情報などを効果的に共有することにより、耐性の強い官民連携基盤 の構築が重要になると考えます。
以上
信頼できる日本とその新しい出発
慶應義塾大学 村井 純
1. Japanの信頼を情報セキュリティのテクノロジーとマネージメントで確立する
情報セキュリティは、テクノロジーとマネージメントの融合でのみ向上する。我が国の 状況はテクノロジー面での信頼性の底力とその品質管理などの基礎技術も定評がある。
しかし、この高度で急速に発展する情報環境を理解した上で、経営や管理上の意思決定 をすすめ、適切な評価をする情報セキュリティ分野でのBCP的なマネージメント力は 米国などに比べて経験が浅い。これは、行政システム、公共システムを中心とした社会 システムに加え、中小企業(SME)や医療・教育分野などのIT化の遅れが原因である。
そこで、これらの問題を解決することによって、我が国の国際的な信頼を情報セキュリ ティの技術のマネージメントの融合により推進することが大切だ。
2. 「日本製」の信頼をグローバル情報社会に展開する
インターネットによる情報社会はグローバルに連結している。その重要な責任を我が国 が担っていることは技術先進国として当然のことである。国際社会における経済政策の 議論や外交の場で、主として経済発展の深刻な課題の1つとしてイノベーションを生む 安全な情報化の推進が話題となっている。OECD、APECを始め、日米関係、日欧関係 の重要な経済政策の側面で、我が国からの情報関連の提案や強いメッセージが尐ない。
情報セキュリティ分野での新しい施策の提案は、国際社会での極めて強いメッセージと なる。省庁を超えた課題である情報セキュリティやプライバシ政策に関する力強い施策 の推進は、我が国の発展のみならず、国際社会への大きな貢献となる。
3. 情報セキュリティ時代の人材育成戦略を短期・中期・長期で推進する
IT戦略、情報セキュリティ戦略は、10年を超えたプロセスであるにもかかわらず、当 初からの課題である人材戦略は全く進展していない。そろそろ抜本的に見直すための施 策が必要である。標的型攻撃は、標的を決めて攻撃をする社会犯罪活動である。これに 対応するためには、技術的な対策だけでは全く不足していて、社会システム、制度、国 際状況などに関する分野横断的な知識と状況の分析が必要で、その上での、意思決定の 仕組みも必要となる。そのための経営者を対象とした情報セキュリティ教育の確立は短 期的な急務である。新しい技術に対応する高度情報処理技術者の育成が中期的な課題だ とすれば、センター入試の受験科目に存在しない情報の科学と社会を、新しい学習指導 要領で学んだ高校生が2016年に大学生となる。この事実に対する対策は、長期的課題 として取り組むべきである。
政府 機 関 に おけ る 標的 型 不審 メ ール 訓 練 につい て 政府は、本年 5 月に情報 セキュ リ ティ対 策推進 会議( C ISO 等 連絡会 議)に お い て 決定した 「政府機関に おける 情報セ キ ュ リ ティに 係る 年次報 告」 におい て 取り 組 みを推奨した「 標的型 不審 メ ール訓練 」を以下 の とお り 実施 する 。 1. 訓練 期間 平成 23 年 10 月~ 12 月 2. 訓練 対象 内閣官房 等 12 の 政府機 関 約 5 万名 3. 訓練内容 ① 訓練 対象者に対して、 標的 型 不審 メー ル を模擬 したメールを送付 。 ② 模擬 メー ル中の添付ファイルを開封す るな ど不 適切な 扱 いを した 場合は、 教育 コンテンツに 誘導。 ③ 参加府 省庁の CISO に個 別の 訓練結 果を通 知し、 府省庁 内に おい て 適切 な 教育指導 を 実施 。 ④CIS O 等 連絡会議にて訓練結果の 総評を 報告。
参考資料1
参考 ( 訓 練 の 実 施 イ メ ー ジ図)
●政府機関、民間企業等に対し、多数の攻撃元から 行われるサービス不能攻撃(
DD oS
攻撃)をはじめとす るサイバー攻撃事案が増加。 ●我が国においても、2 0 1 0
年9
月に政府機関等に対す るサイバー攻撃事案が発生。大規模なサイバー攻撃事案等の脅 威が現実化 ●「緊急事態に対する政府の初動対処体制について (平成
15
年11
月21
日閣議決定)」等に基づいた事態 対処訓練を継続的に実施。~背景~ ・内閣官房(安全保障・危機管理) ・各関係府省庁
・年1回ペース (第1回訓練をH23.3.9に実施) ・継続的に実施
・被害状況等、事態の迅速・的確な把握 ・被害拡大の防止・復旧 ・原因究明
~具体的な取組~ 実施回数参加機関
●各府省庁との連携に重点を置いた具体的な事態対 処訓練を実施。 対処内容
大規模なサイバー攻撃事案等の発 生時における政府及び関係機関に よる対処態勢の充実
大規模サイバー攻撃事態等発生時の初動対処に係る訓練の実施等について 1
参考資料2
サイバーイ ンテリジェンス対策に 係る警察の取組
サイバー インテリジェンス 情報共有 ネットワーク 警察庁 都道府県警察情報 集約分析 結果 警察
情報窃取の 標的となる おそれのある 全国約4,000 の事業者等
C CI指 定 事 業者等
ウ イ ル ス対策 ソ フト 提 供事 業 者 OS 提供事業者
情報提供情報共有・ 注意喚起
サイバーインテリジェンス 対策のための 不正プログラム対策協議会
新たな不正 プログラム・ 未知の脆弱性
海 外の 治 安情報 機関
情報交換
ウイルス対策ソフトの更新 又はOSの脆弱性解消 社会全体 への還元最新の 手口等
官民に お ける 機密情 報 の 窃取の未 然防 止を図る
【CCI】 Counter Cyber Intelligenceの略
不正プログラム等の分析
サ イバー フォース セ ンター
(技術部門の合計約140人)参考資料3
日本におけるサイバー攻撃等のリスクを軽減 するため、サイバー攻撃に関する情報収集 ネットワークを国際的に構築し、諸外国と連携 してサイバー攻撃発生の予知・即応を可能と する技術の確立を目指す。 スマートフォンのセキュリティに関する検討
国際連携によるサイバー攻撃予知・即応技術の研究開発
総務省の 主な 情報セキュリティ政策
◆スマートフォンのセキュリティに関して有識者・関係事業者による研究会を立ち上げ。 (2011
年10
月~2 0 1 2
年6
月目途) ◆近年、スマートフォンの普及が急速に進展。 ◆現状、大きな被害は確認されていないものの、スマートフォンをターゲットにしたマルウェアは増加傾向。 今後、被害が大きくなる可能性がある。 ◆スマートフォンの情報セキュリティ上の課題等を整理。 ◆利用者のセキュリティ意識向上策や、事業者において導入を検討すべきセキュリティ対策を取りまとめ。サイバー攻撃 予知・即応システム 我が国における サイバー攻撃のリスクを軽減
センサー 情報セキュリティ技術先進国 情報セキュリティ技術途上国
マルウェア収集 サーバ日本海外 マルウェア 感染PC等
検知 情報
感染活動 サイバー 攻撃マルウェア情報 セキュリティ上の事案情報 感染PC情報 共同研究開発 サイバー攻撃情報共有等
サイバー攻撃は国境を越えて発生することから、 情報収集ネットワークを国際的に構築し、サイバー攻撃に対応 研究開発 成果の展開
プロバイダ 内閣官房情報セキュリティセンター等
概要 背景
概要 検討課題
参考資料4
標的 型サ イ バー 攻 撃 に 対 す る 今 後 の 対 策
今月、標的型サイバー攻撃による被害拡大防止のた め、重工、重電等、重要インフラで利用される機器の製造 業者を中心に情報共有の場を構築。情報共有パートナーシップの構築 【メンバー】 【今後の予定】
構成員 (調整中)
三菱重工、IHI、川崎重工、富士重工、日立、東芝、 三菱電機、NEC、JPCERT/CC、(社)日本情報シス テム・ユーザー協会、(独)情報処理推進機構(IPA)、 経済産業省
重要インフラ等のセキュリティ検証施設を構築、セキュリ ティ検証に関し日米協力(※)を実施。 ※米国エネルギー省所管のアイダホ国立研究所では、重要インフラ等の制御 システムの実機に対して模擬サイバー攻撃を行うセキュリティ検証施設を保有 し、研究を実施。 本年9月、牧野副大臣とチュー米国エネルギー省長官との会談において、新 たに研究協力を行うことを確認。
重要インフラ等のセキュリティ強化
経済産業省としては、昨年12月以来、サイバーセキュリティと経済研究会(委員長:村井純慶應義塾大学教授)において、標 的型サイバー攻撃対策等について検討。本年8月、中間とりまとめを公表。これを踏まえ、下記の対策を実施。 本年10月以降 情報共有の場を構築 情報共有ルール等の整備
参加企業拡大、 情報共有パー トナーシップ本 格稼働
来年春以降
重要インフラ等 の制御システム に対して模擬 サイバー攻撃を 行い、セキュリ ティ検証を実施。 重要インフラ等のセキュリティ強化に向けた諸課題(セ キュリティ基準、評価手法等)を検討するため、今月、官民 によるタスクフォースを設置。来年春を目途に中間報告。
今年度中、情報共有ルール等の整備を実施。(委託調 査実施中)。来年春を目途に参加企業を拡大し、情報共 有パートナーシップ本格稼働。
【セキュリティ検証施設内のイメージ】 PLCPLCPLCPLC
