我が国の情報セキュリティ最新事情 2017 年 8 月 9 日独立行政法人情報処理推進機構セキュリティセンター江口純一 Copyright 2017 独立行政法人情報処理推進機構 1

我が国の情報セキュリティ最新事情

2017年8月9日

独立行政法人情報処理推進機構

セキュリティセンター

江口 純一

IPA(情報処理推進機構)のご紹介

日本

の

IT国家戦略

を

技術面、人材面

から

支える経済産業省所管

の

独立行政法人

誰もが安心してIT

の

メリット

を

実感できる

「 頼れるIT社会 」

を

目指しています

・ウイルス、不正アクセス等の届出機関

・情報セキュリティの調査研究、普及啓発活動

・標的型サイバー攻撃への情報共有・初動対応の実施

● 情報セキュリティ

・国家試験「情報処理技術者試験」の実施機関

・IT人材の育成・発掘・スキル明確のとりくみ。若手人材育成。

● IT人材育成

● 情報処理システム

の

信頼性向上

IPA

検 索

Agenda

1. セキュリティセンターの使命と事業の支柱

2. 情報セキュリティの現状

・ 情報セキュリティ10大脅威

・ 【1位】標的型攻撃による情報流出

・ 【2位】ランサムウェアによる被害

・ 【6位】ウェブサイトの改ざん

・ 【8位】IoT機器の脆弱性の顕在化

3. 組織を守るために！

サイバーセキュリティ経営ガイドライン

4. 情報セキュリティ人材育成への取り組み

1. セキュリティセンター

【使命】

経済活動、国民生活を支える情報システムの安全性を確保すること

⑤普及啓発

情報セキュリティの普及、啓発

中小企業のセキュリティ対策強化

情報セキュリティ対策ベンチマーク

IPA/ISEC(セキュリティセンター)の使命と事業の支柱

①ウイルス・不正アクセス及び脆弱性対策

ウイルス・不正アクセスの届出・相談受付

脆弱性関連情報の届出受付・分析、提供

標的型サイバー攻撃への対応支援

重要インフラにおけるサイバーセキュリティ

対策強化

②セキュリティの第三者認証

IT製品のセキュリティ評価・認証制度（JISEC）

（コモンクライテリア）

暗号モジュール試験認証制度（JCMVP）

③暗号技術

暗号アルゴリズムの安全性監視活動

暗号世代交代の普及促進

④情報セキュリティの分析活動

情報セキュリティ関連の社会経済的分析

情報セキュリティ白書

意識調査、被害実態調査

⑥独法監視・監査

独法等の情報システムの監視の実施

助言型の情報セキュリティ監査の実施

J-CSIP ～情報共有の有効性～

•

8つのSIG（Special Interest Group）、115の参加組織

•

IPAとの間で秘密保持契約（NDA）を締結、各種関連機関とも連携

日本クレジット協会 ＋クレジット会社 〔２９組織〕

クレジット業界SIG

自動車関連 団体・企業 〔１０組織〕

自動車業界SIG

石油鉱業連盟 ＋鉱業会社 〔５組織〕

資源開発業界SIG

石油連盟 ＋石油会社 〔７組織〕

石油業界SIG

NDAを締結し、IPAが情報ハブとなり

組織間・SIG間での情報共有を実施

連携

連携

情報提供元の許可

する範囲内で連携

等 セプターカウンシル

C

4

_TAP

_{内閣サイバー}

セキュリティセンター

JPCERT/CC

重工・重電など 〔９組織〕

重要インフラ機器

製造業者SIG

電気事業連合会 ＋電力会社 〔１１組織〕

電力業界SIG

日本ガス協会 ＋ガス事業者 〔２６組織〕

ガス業界SIG

日本化学工業協会 ＋化学会社 〔１８組織〕

化学業界SIG

① 類似攻撃の早期検知と被害の低減

② 事前防御の実施（ブラックリストへの追加等）

③ 複数の攻撃情報を基にした横断的分析

情報共有の基本的な流れ

効果・目的（対策）

実績（件数）

項目

2012年度

2013年度

2014年度

2015年度

IPAへの情報提供件数

246件

385件

626件

1,092件

【参加組織】

検知した攻撃情

報を

_IPA

へ提供

【IPA】

分析、加工

（匿名化など）

情報共有

フィードバック、

横断的分析

標的型サイバー攻撃の脅威と対策

J-CSIP（サイバー情報共有イニシアティブ）

標的型サイバー攻撃の脅威と対策

サイバーレスキュー隊J-CRAT～早期対応の重要性～

この時間を如何に短縮できるか

定常

状態

インシデント

対応

インシデント発

生

J-CRAT：

Cyber Rescue and

Advice Team against

targeted attack of Japan

支援組織、民間事業者に

よる

対応

▲ ①発生攻撃の認知を支援

・標的型サイバー攻撃特別相談窓口

・サイバーレスキュー隊

インシデント

タイムライン

潜伏

被害

攻撃

発生

定常

状態

認知

実態

把握

初動

対応

対策

▲ ②被害状況の把握を支援

▲ ③対策計画への助言・進言

助言/早期対応支援

相談対応

対応状況

活動内容：

攻撃を検知できずに「潜伏被害」を受けている組織や、

検知した「インシデント発生」の状況や深刻度が認識できずにいる組織を支援

・

攻撃の把握

・

被害の分析

・

対策の早期着手

活動の目的：

標的型サイバー攻撃に対する相談対応、

事案によりレスキュー活動を実施することで、以下を達成する：

① 標的型サイバー攻撃被害の拡大防止、被害の低減を図る

② 攻撃の連鎖を解明、遮断する

公的機関

業界団体、

社団・財団

重要産業

関連企業

重要インフラ

事業者

情報発信

情報提供

支援相談

_{標的型サイバー攻撃}

特別相談窓口

事案、公開情報の

分析・収集

サイバーレスキュー隊 (

J-CRAT

)

サイバーレスキュー活動

支援内容

解析

公開情報検索

JPCERT/CC

情報提供

攻撃・被害

の把握

緊急対応

支援

レスキュー支援

J-CSIP

アンチウイルスベンダ

技術連携

情報提供

積極的な情報収集活動と、適切な情報の配布

暫定対策

助言

恒久対策

助言

通知

J-CRAT

標的型サイバー攻撃の脅威と対策

サイバーレスキュー隊J-CRAT～早期対応の重要性～

537 518 500 1000 相談件数 レスキュー件数

情報セキュリティ安心相談窓口

https://www.ipa.go.jp/security/anshin/

ウイルスおよび不正アクセスに関する技術的な相談を受け付ける窓口

電 話

03-5978-7509

（オペレータ対応は、平日10:00～12:00 および 13:30～17:00)

E-mail

anshin@ipa.go.jp

※このメールアドレスに特定電子メールを送信しないでください。

ＦＡＸ

03-5978-7518

郵 送

〒113-6591

東京都文京区本駒込2-28-8

文京グリーンコート センターオフィス16階

IPAセキュリティセンター 安心相談窓口

URL

https://www.ipa.go.jp/security/anshin/

2. 情報セキュリティの現状

・ 情報セキュリティ10大脅威

・ 【1位】標的型攻撃による情報流出

・ 【2位】ランサムウェアによる被害

・ 【6位】ウェブサイトの改ざん

・ 【8位】IoT機器の脆弱性の顕在化

情報セキュリティ10大脅威 2017

•

10大脅威とは？

–

2006年よりIPAが毎年発行している資料

–

「10大脅威選考会」約100名の投票により、

情報システムを取巻く脅威を順位付けして解説

https://www.ipa.go.jp/security/vuln/10threats2017.html

昨年

順位

「個人」の10大脅威

順位

「組織」の10大脅威

昨年

順位

1位

インターネットバンキングや

クレジットカード情報の不正利用

1位

標的型攻撃による情報流出

1位

2位

ランサムウェアによる被害

2位

ランサムウェアによる被害

7位

3位

スマートフォンやスマートフォンアプリ

を狙った攻撃

3位

ウェブサービスからの個人情報の窃取

3位

5位

ウェブサービスへの不正ログイン

4位

サービス妨害攻撃によるサービスの停止

4位

4位

ワンクリック請求等の不当請求

5位

内部不正による情報漏えい

とそれに伴う業務停止

2位

7位

ウェブサービスからの個人情報の窃取

6位

ウェブサイトの改ざん

5位

6位

ネット上の誹謗・中傷

7位

ウェブサービスへの不正ログイン

9位

8位

情報モラル不足に伴う犯罪の低年齢化

8位

IoT機器の脆弱性の顕在化

ランク

_外

10位

インターネット上のサービス

を悪用した攻撃

9位

攻撃のビジネス化

（アンダーグラウンドサービス）

ランク

外

情報セキュリティ10大脅威 2017

–

メールによるウイルス感染等により組織内部に侵入

–

組織の機密情報が流出

–

取引先や関連会社を踏み台にして本丸を狙うことも

【1位】標的型攻撃による情報流出

標的型攻撃とは？

特定の企業・組織を狙い撃ちするサイバー攻撃

標的の身辺を

事前に調査

し攻撃を仕掛ける

政府機関、業務関連会社等を

装ったメール

を送り付ける

ウイルス感染したＰＣを踏み台

にして組織内部に侵入

機密情報の外部送信や破壊、業務妨害等を行う

被害事例（2016年6月）

–

ＪＴＢから678万件の個人情報流出の可能性

•

取引先になりすましたメールの添付ファイルを開き、ウイルスに感染

•

遠隔操作により個人情報を保管しているサーバへと侵害が拡大

–

富山大学、標的型攻撃により研究成果等が外部流出の可能性

•

非常勤職員のPCがウイルスに感染

•

感染PC内には以下の情報が保存されていた

・個人に関する情報

富山大、他大学、試験研究機関所属、企業など（1,492名分）

・汚染水処理に関する研究成果等

公知のもの、公開を前提としたもの（機密情報はない）

標的型攻撃メールの傾向 （IPA：J-CSIP運用状況）

【出典】 IPA：サイバー情報共有イニシアティブ（J-CSIP） 運用状況 [2016年10月～12月]

・メール種別は

「添付ファイル」

がほとんど（９５％）

・添付ファイル種別は

「実行ファイル」

が８割

標的型サイバー攻撃の連鎖

・感染後長期潜伏され、攻撃素材が現れるのを待ち、巧妙な手口に活用される事例がありました。

①標的型攻撃メール

による感染

攻撃者

小規模組織

Bさん

Aさん

大規模組織

②Aさんになりす

ましたメール

③Bさんになりす

ましたメール

情報

窃取

情報

_窃取

攻撃間隔は

約半年

攻撃潜伏期

間が3年に及ぶものもあり

組織の対策

想定

脅威

マルウェア感染 （不正プログラム） 偵察・攻撃環境の準備 システム内部への不正アクセス （ハッカーによる攻撃）

入口対策

脆弱性対策(セキュリティパッチ適用)



エンドポイント(PC)へのパッチ適用



セキュリティ対策の基本であり、効果大



全端末に適用

することが侵入を防ぐ前提



利用者主導

による対策の為、漏れの可能性



サーバ機器等へのパッチ適用



互換性の問題

で適用できないケースの問題



システム停止が許容できない

運用上の事情

・・・・・

・・・・・

セキュリティ対策には

一長一短があり、

完全な対策は難しい

啓発活動による対策



不審メールを開かないための啓発



組織内での注意力・対策熱が上がる



1人でも感染すれば組織内に侵入



不審な添付ファイルの開封率０％が必須

バックドア通信の検知と抑止



プロキシサーバとFWの設定



正常な通信の流れを作る



ルール外の通信を試みるウイルスの検知と遮断

ウイルスを

封じ込める

内部対策（出口対策）

感染予防策



アクセス区画の整理



VLANを構築



VLAN間の通信を制限



侵食予防



VLAN毎に通信の監視



感染発覚時は、VLANを切り離す

早期発見のために

多 層 防 御

【2位】ランサムウェアによる被害

～ランサムウェアによる被害が急増～

ランサムウェアにより、PC内のファイルが暗号化され、

ファイル復元に身代金を要求される

日本語対応やスマートフォンを標的とする等、巧妙化

共有サーバのファイルまで暗号化されることも

ランサムウェアの国内の被害事例

神戸大学の業務用パソコン

₂

台がマルウェアに感染（

₂₀₁₆

年

₇

月）

そのうち

₁

台はランサムウェアに感染

→端末やネットワークストレージ上のファイルが暗号化された

ランサムウェアの脅威

パソコンの利用に制限をかけられる

・端末をロックされ、操作できなくなる

・ファイルを暗号化され、開けなくなる

制限解除のためのメッセージが表示される

・発生した事象や復旧方法（金銭の支払いの要求）など

が記載されている

ファイル暗号化型

端末ロック型

ランサムウェアに感染すると・・・

ランサムウェアの被害が急増

[出典]2016年年間セキュリティラウンドアップ(トレンドマイクロ)

ランサムウェアの脅威

メールからの感染

ウェブサイトからの感染

・メール本文に記載されたURLからアクセスすることで感染

・メールの添付ファイルを開くことで感染

・改ざんされた正規のウェブサイトを閲覧することで感染

・不正広告を閲覧することで感染

・ダウンロードしたファイルを開くことで感染

ランサムウェアの感染経路

ランサムウェアの影響範囲

1

2

5

6

3

ユーザAが

アクセスできる範囲

ユーザAが

アクセスできない範囲

4

ユーザAの端末

ユーザBの端末

ファイルサーバ

インターネット上の

クラウドサービス

ユーザAがアクセス

できる共有フォルダ

外付けHDD

1

_{感染端末内に保存されているファイル}

2

感染端末内のクラウドと同期する

フォルダ内のファイル

4

感染端末に接続されている外付けHDD内

のファイル

5

感染端末と共有しているフォルダ内の

ファイル

Wanna Cryptor(WannaCry)

–

2017年5月に日本で広く被害が確認されたMicrosoft

SMBサーバの脆弱性を悪用するランサムウェア

–

ネットワーク上に当該脆弱性が残る端末がないか探索

–

感染拡大を図る自己増殖型

–

感染経路は不明(5月時点)

Wanna Cryptor(WannaCry)の国内の被害事例

１

(

株

)

日立製作所

一部の社内システムにおいて不具合が発生。

_{メールの送受信等に影響。}

２

JR

東日本（高崎支社）

ネット閲覧専用のパソコンがウイルスに感染。

_{運行業務への影響はなかった。}

３ 東京急行電鉄

15

日朝、財務部門の社員のパソコンを起動したところ、

サイバー攻撃を受けたことを示す脅迫画面が表示。

運行業務への影響はなかった。

４ 川崎市上下水道局

インターネットに直接接続していたパソコン１台がウイルスに感染。

上下水道施設や市行政情報システム等への影響はなし。

５

富士市・富士宮市

消防指令センター

火災や救急などの出動現場からリアルタイムで動画を送るための

タブレット端末

1

台が感染。

生産ラインの管理などに使う工場設備の

PC

が感染。

ランサムウェアの対策

１．OSおよび利用ソフトウェアを最新の状態にする

２．ウイルス対策ソフトを導入する

３．メールの添付ファイルに注意する

４．重要なファイルを定期的にバックアップする

感染しないために・・・

感染してしまったときのために・・・

ランサムウェア感染による被害を防ぐため

ランサムウェアの対策

１．バックアップに使用する装置・媒体は、バックアップ時のみパソコンと接続する。

２．バックアップに使用する装置・媒体は複数用意し、バックアップする。

３．バックアップから正常に復元できることを定期的に確認する

通常時はランサムウェアの暗号化対象にならないように、

パソコンと接続しないでおく。

バックアップファイルが暗号化されてしまったり、失敗す

ることも考慮し、複数バックアップを取得。

バックアップから復元できなければ意味がない。

バックアップにおける留意事項

•

ＩＰＡテクニカルウォッチ

「ランサムウェアの脅威と対策」

–

ランサムウェアの脅威

–

ランサムウェアの感染事例

–

ランサムウェアへの対策

【紹介】 ランサムウェア対策の参考資料

ランサムウェアの脅威と対策 ～ランサムウェアによる被害を低減するために～

【6位】ウェブサイトの改ざん

～

気づかぬうちにウイルスをばら撒くウェブサイトに

～

ウェブサイトを改ざんされてウイルス感染に悪用される

サイト運営者はウイルス感染に加担した加害者側に

【IPA注意喚起】

学術組織を狙ったウェブサイト改ざんに注意

多くの学術組織

→セキュリティ対策が不十分なウェブサイトが相当数放置

→多数のウェブサイト改ざんを招いている

ウェブサイトの改ざん（手口/影響・事例/傾向）

手口/影響

ソフトウェアやウェブアプリケーションの脆弱性を悪用

リモート管理用のサービスからの侵入

ウイルス感染や

主義主張・自己顕示に悪用される

2016年の事例/傾向

動物園のHPが改ざん

•

「動物を自由にしろ」等のメッセージを表示、主義主張を目的と見られる

•

ウェブアプリケーションの脆弱性を悪用された可能性があった

CMSの脆弱性を悪用した攻撃の観測

•

CMS Joomla!の脆弱性修正版公開後、24時間内に攻撃が活性化

•

対策一覧

–

ウェブサイト運営者

•

情報リテラシーの向上

–

アカウント・パスワードの適切な管理

•

被害の予防

–

OS・サーバソフトウェアの更新

–

ウェブアプリケーションの脆弱性対策

–

管理用端末のOS・ソフトウェアの更新

–

管理用サービスの多要素認証を利用

–

管理用サービスへのアクセス制限

–

利用者に多要素認証の仕組みを提供

–

セキュリティを考慮したインフラ基盤

ウェブサイトの改ざん

（対策一覧）

ウェブサイト運営者は利用しているソフトウェアを

適切に管理し、安全な運用を

•

被害の早期検知

–

適切なログの取得と継続的な監視

–

改ざん検知

【8位】IoT機器の脆弱性の顕在化

～

IoT機器のボットネットを悪用した大規模なDDoS攻撃を観測

～

IoT機器の脆弱性が悪用され、ウイルス感染や不正利用

される

IoT機器におけるインシデント

2015年3月

5月

【日本】WebカメラやHEMS（住宅用エネルギー管理システム）

店舗や住宅内に設置されたWebカメラの

映像・音声を第三者が見聞き可能

スマートハウスが管理する情報を見られたり、

家庭内機器を遠隔操作

される可能性

2016年1月

【日本】大学や高等専門学校等

複合機やプリンターの設定不備による情報漏えいの可能性が指摘される

2015年4月

【アメリカ】医療向けのIoT機器メーカー“ホスピーラ社”

薬剤ライブラリや輸液ポンプの設定等を管理する サーバソフトの脆弱性が報告される

インターネット越しにサーバ上の

投与する薬や投薬量を改ざん

する事が可能

2016年10月

【アメリカ】インスリンポンプメーカー“Animas社”

インスリンポンプに脆弱性、治療情報漏えいや不正操作・妨害 の恐れ

2017年1月

【アメリカ】医療機器大手 “St. Jude Medical社”

心臓ペースメーカーに脆弱性、不正な遠隔操作の恐れ

2015年8月

【アメリカ】 世界最大級の 2 大ハッカーカンファレンス“Black Hat” “DEF CON”

Jeep Cherokeeの脆弱性を攻撃し、遠隔操作を成功させた事例が報告される

ファームウェアを改竄した車に対して攻撃コードを送りこむ

→

ブレーキ、ステアリング、エアコン等への干渉

が可能

2016年2月

【日本】自動車メーカー

IoT機器におけるインシデント

 ＩｏＴ機器が乗っ取られ、DDoS攻撃等への悪用が可能になっている

•

悪用された全てのＩｏＴ機器で

リモートアクセスが可能

•

ほぼ全てのＩｏＴで

初期パスワード

を使用

•

LAN内の他の機器にアクセスされる可能性もあり

 内部だけでなく、外部への攻撃にも悪用される

IoT機器におけるインシデント

 各国のネットワークカメラが閲覧できるサイト「Insecam」（ロシア）

報道によると利用者の意図しないままにインターネットに公開

設置場所の区市町村が特定され、閲覧できる状態に

⇒

日本国内の約4,300台のカメラの映像が公開される

•

医療機関や製造会社に設置された防犯カメラも対象に

•

IDやパスワードが設定されていない機器も確認

ネットワークカメラ一覧

【参考】

産経ニュース 2016年1月

【参考】 Censysに登録されている国内のNetwork Cameraの検索結果： 17,599台 （2017年5月時点調査）

IoT機器の脆弱性対策

IoT機器の利用者

•

情報リテラシーの向上

–

機器使用前に説明書を確認

•

被害の予防

–

不要な機能の無効化(telnet等)

–

外部からの不要なアクセスを制限

–

ソフトウェアの更新(自動化設定含む)

利用者は利用しているIoT機器の適切な管理を

IoT機器の開発者

•

被害の予防

–

セキュアプログラミングの適用

–

脆弱性の解消

–

ソフトウェア更新手段の自動化

–

分り易い取扱説明書の作成

–

迅速なセキュリティパッチの提供

–

不要な機能の無効化(telnet等)

–

安全なデフォルト設定

–

利用者への適切な管理の呼びかけ

3. 組織を守るために！

サイバーセキュリティ経営ガイドライン

http://www.meti.go.jp/policy/netsecurity/mng_guide.html

•

経営のリーダーシップによってサイバーセキュリティ対策を推進す

るため、

経営者が認識すべき

３原則

と、

経営者がセキュリティの

担当幹部（ＣＩＳＯ

*

_{等）に指示をすべき重要}

_１０項目

_{をまとめた}

もの。 2015年１２月に経済産業省とＩＰＡが策定。

•

ガイドラインの対象読者

 経営者を第一義的な読者として想定

 大企業及び中小企業（小規模事業者を除く）のうち、ＩＴに関

するシステムやサービス等を供給する企業、及び経営戦略上

ＩＴの利活用が不可欠である企業を想定。

＊CISO：最高情報セキュリティ責任者

（企業内で情報セキュリティを統括する担当幹部）

サイバーセキュリティ経営ガイドライン

経営者が認識すべき3原則

1. 経営者は、ＩＴ活用を推進する中で、サイバーセキュリティリスクを

認識し、

リーダーシップ

によって対策を進めることが必要

2. 自社は勿論のこと、

系列企業

やサプライチェーンの

ビジネスパート

ナー

、ＩＴシステム管理の

委託先

を含めたセキュリティ対策が必要

3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスク

や対策、対応に係る情報の開示など、関係者との

適切なコミュニ

ケーション

が必要

サイバーセキュリティ経営ガイドライン

ＣＩＳＯ等に指示すべき１０の重要事項

リーダーシップの

表明と体制構築

サイバーセキュリ

ティリスク管理の

枠組み構築

サイバー攻撃を

防ぐための事前

対策

サイバー攻撃を

受けた場合の

備え

1. サイバーセキュリティ

リスクの認識

、組織全体での対応の策定

2. サイバーセキュリティ

リスク管理体制

の構築

3. サイバーセキュリティ

リスクの把握

と実現するセキュリティレベ

ルを踏まえた目標と計画の策定

4. サイバーセキュリティ

対策フレームワーク構築（ＰＤＣＡ）

と対策

の開示

5. 系列企業や、サプライチェーンの

ビジネスパートナーを含めた

サイバーセキュリティ対策の実施及び状況把握

6. サイバーセキュリティ対策のための

資源（予算、人材等）確保

7. ＩＴシステム管理の

外部委託

範囲の特定と当該委託先のサイ

バーセキュリティ確保

8. 情報共有活動

への参加を通じた攻撃情報の入手とその有

効活用のための環境整備

9. 緊急時の対応体制

（緊急連絡先や初動対応マニュアル、Ｃ

ＳＩＲＴ）の整備、定期的。かつ実践的な演習の実施

10.被害発覚後の通知先や開示が必要な

情報の把握

、

経営者

5.サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドライン解説書

「サイバーセキュリティ経営ガイドライン」

の内容を補足し、重要な対策の実施手順

や検討のポイント等を具体的に説明する

解説書

https://www.ipa.go.jp/security/economics/

csmgl-kaisetsusho.html

＜参考＞

中小企業の情報セキュリティ対策ガイドライン

経営者が認識すべき「３原則」

経営者が、認識すべき３原則を認識し、

対策を進める必要がある

原則１

情報セキュリティ対策は経営者のリーダーシップで進める

原則２

委託先の情報セキュリティ対策まで考慮する

原則３

関係者との情報セキュリティに関するコミュニケーションは、

どんなときにも怠らない

中小企業の情報セキュリティ対策ガイドライン

経営者がやらなければならない「重要7項目の取組」

経営者は、自ら実践するか、実際に情報資産や

情報システムなどの管理を実践する管理者層に

対して指示することで、確実に実施することが必要

取組１

情報セキュリティに関する、組織全体の対応方針を定める

取組２

情報セキュリティ対策のための資源（予算、人材など）を確保する

取組３

担当者に必要と考えられる対策を検討させて実行を指示する

取組４

情報セキュリティ対策に関する定期・随時の見直しを行う

取組５

業務委託や外部サービスを利用する場合は、情報セキュリティに関する

責任範囲を明確にする

取組６

情報セキュリティに関する最新動向を収集する

取組７

緊急時の社内外の連絡先や被害発生時の対象について準備しておく

中小企業の情報セキュリティ対策ガイドライン

付録１

情報セキュリティ５か条

情報セキュリティ対策と言っても、

何をやれば良いのか分からない組織

⇒ ５か条を守るところから

①OSやソフトウェアは常に最新の状態にしよう！

ソフトウェアの欠陥である脆弱性は、ソフトウェアを更新して根本的に解消する

②ウイルス対策ソフトを導入しよう！

ウイルス対策ソフトを導入し、流行しているウイルスの感染を未然に防ぐ

③パスワードを強化しよう！

パスワードは「長く」「複雑に」「使いまわさない」！

④共有設定を見直そう！

共有設定を見直して、無関係な人に情報を覗き見られるトラブルを回避

⑤脅威や攻撃の手口を知ろう！

新聞やインターネット等から情報を収集し、被害に遭わないよう手口を事前に知る

中小企業の情報セキュリティ対策ガイドライン

付録１

情報セキュリティ５か条

【参考】

サイバーセキュリティ経営ガイドラインの重要１０項目と

新制度「SECURITY ACTION」

SECURITY ACTION

https://www.ipa.go.jp/security/security-action/

中小企業自らが情報セキュリティ対策に取り組むことを自己宣言す

る制度

「中小企業の情報セキュリティ対策ガイドライン」の実践をベースに2

段階の取組み目標を用意

1段階目（一つ星）

ガイドライン付録の「情報セキュリティ5か条」に取り組むことを宣言

2段階目（二つ星）

ガイドライン付録の「5分でできる！情報セキュリティ自社診断」で自社の状況を

把握したうえで、情報セキュリティポリシー（基本方針）を定め、外部に公開したことを宣言

ロゴマークをポスター、パンフレット、名刺、封筒、ウェブサイト等に無

償で使用でき、情報セキュリティ対策の取組みをアピール可能

申込方法：申込書をメール・FAXでIPAに送付

詳しい宣言方法

・お問合せ

SECURITY ACTION事務局（IPAセキュリティセンター内）

2. 情報セキュリティ人材育成への取り組み

国家試験 情報処理技術者試験

●

各種試験

を

活用

して

基礎知識

から

管理能力

まで

、スキルアップ

を

図ることができます。

2. 情報セキュリティ人材育成への取り組み

国家資格「情報処理安全確保支援士」

①人材の質の担保

・「情報セキュリティスペシャリスト試験」をベースとした

新たな試験の合格者を登録

・継続的な講習受講義務により、最新の知識・技能を維持

②人材の見える化

・資格保持者のみ資格名称を使用

・登録簿の整備・登録情報の公開（希望しない者を除く）

③人材活用の安心感

・国家資格として厳格な秘密保持義務、信用失墜行為の禁止義務

サイバーセキュリティに関する実践的な

知識・技能を有する専門人材を育成・確保

資格試験

2017年春

よりスタート

登録簿へ登録

（要申請）

登録情報

の

公開

資格名称

の

使用

講習受講

企業における安全な情報システムの企画・設計・開発・運用を支援、

サイバーセキュリティ対策の指導・助言を実施

■第１回(2017年4月1日)登録者数：

4,172

名(平均年齢40.5歳)

※経過措置対象者(「情報セキュリティスペシャリスト試験」または「テクニカルエンジニア(情報セキュリティ)」合格者)

【設立の目的】

【支援士の活動】

経過措置

期間限定

現在登録申請

受付中

人材・組織強化、技術、ノウハウ

を結集し、社会インフラ、及び産業基盤の

サイバーセキュリティ対策抜本的強化を図るために、

３つの事業

を柱に推進していく

3

つの

事業内

容

人材育成事業

中核となる

3事業

脅威情報の調査・

分析事業

制御システムの

安全性・信頼性検証事業

実際の制御システムの安全性・信頼

性に関するリスク評価・対策立案を

行う

※IPAセキュリティセンターと 連携して実施する事業

脅威情報を収集、新たな攻撃手法

など調査・分析

※IPAセキュリティセンターと 連携して実施する事業

自社システムのリスクを認識し、必要なセ

キュリティ対策を判断できる人材の育成

模擬プラントを用いた実践演習による、現

場で活きるスキルの醸成

国内外の有識者、専門家との連携を促進

企業等の経営層へ、サイバーセキュリティ

対策の必要性、人材活用についての啓発

2. 情報セキュリティ人材育成への取り組み

2017年4月に発足

「産業サイバーセキュリティセンター」

映像で知る情報セキュリティ

情報セキュリティの脅威と対策に関する映像

⇒YouTube

「IPAチャンネル」

22タイトル

⇒

10分程度の映像

で分かりやすく解説

YouTubeでいつでも試聴できます

主な動画ファイルを収納した

DVD-ROMも提供中

（10タイトル）お申込みが必要です

2017年4月に新作映像3本が加わりました。

・「偽警告」

・「標的型サイバー攻撃の組織的な対策」

・「中小企業向け情報セキュリティ対策」

＜この他の従来映像＞

標的型サイバー攻撃対策、内部不正と情報漏えい、

新入社員向け研修用、スマートフォンのセキュリティ、

SNSの心得、パスワード、ワンクリック請求 など