第2次行動計画における共通脅威分析の施策

(1)

200 200 ９年度９年度共通脅威分析について共通脅威分析について

200９年７月７日

内閣官房情報セキュリティセンター（NISC）

資料５資料５

(2)

第2次行動計画における共通脅威分析の施策

拡大する共通脅威

第１次行動計画

分野Ａ分野Ｂ分野Ｃ

共通環境

共通要素

相互依存

NISC/ ^{有識者委員}

+ 研究機関

ＢＣＰ策定

分野Ａ分野Ｂ分野Ｃ

ＢＣＰ策定

脅威の調査・対策検討

脅威の調

査・対策検

討

第２次行動計画

重要インフラ

要望・

情報提供

・以下に資する基礎資料

①事業継続計画

②復旧優先順位

③重要インフラ連携対処

・安全基準等の指針成果

共有・活用ＮＩＳＣが2006年度より相互依存性に係る調査・分析を実施

（その他の脅威は個々の分野が独自に調査・分析）

ＮＩＳＣが2009年度より共通脅威全般に係る調査・分析を実施 [ 要点 ]

・重要インフラ各分野からのニーズ吸い上げ

・研究機関との連携による実効性向上

・判断材料として国内外関連研究・事例を調査

・情報保護のための守秘の合意の徹底

・重要インフラ事業者との問題共有、利害一致

脅威の調査・対策検討要望・情報提供（分野委員）

NISC/

有識者委員

・以下に資する基礎資料

①事業継続計画

②復旧優先順位

③重要インフラ連携対処

・安全基準等の指針成果共有・活用

要望・情報提供

(3)

重要インフラ分野Ａ重要インフラ分野Ｂ重要インフラ分野Ｃ

共通環境

重要インフラ分野Ｄ

：同時発生等

：ＩＴ障害共通のＩＴに関する環境

重要インフラ分野Ｂ

重要インフラ分野Ａ重要インフラ分野Ｃ

共通要素

重要インフラ分野Ｄ

：共通要素

：埋伏状態のＩＴ障害

・システムを構成するソフトウェアの脆弱性を突いた攻撃

・システムのキャパシティ限界を突いた攻撃や処理要求

・パンデミック等によるシステムの操作・管理要員不足

・経済情勢に伴う予算削減

他の分野重要インフラ分野Ｂ重要インフラ分野Ｃ

サービス/データ

相互依存 _{：波及経路}

：ＩＴ障害

・他の重要インフラ分野からの

*サービス提供の停止・低下

*データ送受信に不適切な現象発生

・他の重要インフラ以外の分野からの

* サービス提供の停止・低下

共通脅威のイメージ

重要インフラ分野共通に重要インフラ分野共通に起こりうる

起こりうる ITに関する脅威 IT に関する脅威想定される例

想定される例

重要インフラ分野Ａ

サービス/データサービス/データ

(4)

第２次行動計画の初年度の取組みとして、以下を目標とする。

１．重要インフラ分野におけるITに係る脅威の抽出・分類

２．本活動に協力可能な研究機関の把握と、それら研究機関との連携の準備

３．重要インフラの事業継続計画策定等に資することを目的とする共通脅威の調査・分析の実施第２次行動計画の初年度の取組みとして、以下を目標とする。

１．重要インフラ分野におけるITに係る脅威の抽出・分類

２．本活動に協力可能な研究機関の把握と、それら研究機関との連携の準備

３．重要インフラの事業継続計画策定等に資することを目的とする共通脅威の調査・分析の実施

2009 年度の目標

第２次行動計画期間においては、第１次行動計画で実施してきた、ある重要インフラ分野に IT 障害が生じた場合に他のどの重要インフラ分野に影響が波及するか、という相互依存性解析を継続するとともに、重要インフラ分野共通に起こりうる脅威が何であるかを把握するための検討を行う。

このため、従来行ってきた「静的相互依存性解析」や「動的相互依存性解析」の結果を踏まえ、

研究機関等との連携を深めつつ、内閣官房、重要インフラ所管省庁、重要インフラ事業者等が協力して活動を進める。

第２次行動計画期間においては、第１次行動計画で実施してきた、ある重要インフラ分野に IT 障害が生じた場合に他のどの重要インフラ分野に影響が波及するか、という相互依存性解析を継続するとともに、重要インフラ分野共通に起こりうる脅威が何であるかを把握するための検討を行う。

このため、従来行ってきた「静的相互依存性解析」や「動的相互依存性解析」の結果を踏まえ、

研究機関等との連携を深めつつ、内閣官房、重要インフラ所管省庁、重要インフラ事業者等が協力して活動を進める。

第 2 次行動計画より

2009年度の共通脅威分析の目標

(5)

第2次行動計画における共通脅威分析の施策

200 200 ９年度 ９年度 共通脅威分析について 共通脅威分析について

200９年 ７月 ７日

内閣官房 情報セキュリティセンター（NISC）

資料５ 資料 ５

第2次行動計画における共通脅威分析の施策

拡大する 共通脅威

第１次行動計画

共通 環境

共通 要素

相互 依存

NISC/ 有識者委員

+ 研究機関

第２次行動計画

重要 インフラ

重要 インフラ

・以下に資する基礎資料

①事業継続計画

②復旧優先順位

③重要インフラ連携対処

・安全基準等の指針 成 果

共有・活用 ＮＩＳＣが2006年度より相互依存性に係る調査・分析を実施

（その他の脅威は個々の分野が独自に調査・分析）

ＮＩＳＣが2009年度より共通脅威全般に係る調査・分析を実施 [ 要点 ]

・重要インフラ各分野からのニーズ吸い上げ

・研究機関との連携による実効性向上

・判断材料として国内外関連研究・事例を調査

・情報保護のための守秘の合意の徹底

・重要インフラ事業者との問題共有、利害一致

NISC/

有識者委員

共通環境

：同時発生等

：ＩＴ障害 共通のＩＴに関する環境

共通要素

：共通要素

：埋伏状態のＩＴ障害

・システムを構成するソフトウェアの 脆弱性を突いた攻撃

・システムのキャパシティ限界を突いた 攻撃や処理要求

・パンデミック等によるシステムの 操作・管理要員不足

・経済情勢に伴う予算削減

相互依存 ：波及経路

：ＩＴ障害

・他の重要インフラ分野からの

*サービス提供の停止・低下

*データ送受信に不適切な現象発生

・他の重要インフラ以外の分野からの

* サービス提供の停止・低下

共通脅威のイメージ

重要インフラ分野共通に 重要インフラ分野共通に 起こりうる

起こりうる ITに関する脅威 IT に関する脅威 想定される例

想定される例

第２次行動計画の初年度の取組みとして、以下を目標とする。

１．重要インフラ分野におけるITに係る脅威の抽出・分類

２．本活動に協力可能な研究機関の把握と、それら研究機関との連携の準備

３．重要インフラの事業継続計画策定等に資することを目的とする共通脅威の調査・分析の実施 第２次行動計画の初年度の取組みとして、以下を目標とする。

１．重要インフラ分野におけるITに係る脅威の抽出・分類

２．本活動に協力可能な研究機関の把握と、それら研究機関との連携の準備

３．重要インフラの事業継続計画策定等に資することを目的とする共通脅威の調査・分析の実施

2009 年度の目標

このため、従来行ってきた「静的相互依存性解析」や「動的相互依存性解析」の結果を踏まえ、

研究機関等との連携を深めつつ、内閣官房、重要インフラ所管省庁、重要インフラ事業者等が協 力して活動を進める。

このため、従来行ってきた「静的相互依存性解析」や「動的相互依存性解析」の結果を踏まえ、

研究機関等との連携を深めつつ、内閣官房、重要インフラ所管省庁、重要インフラ事業者等が協 力して活動を進める。

第 2 次行動計画より

2009年度の共通脅威分析の目標

１．重要インフラ分野におけるＩＴに係る脅威の抽出・分類

２．協力可能な研究機関の把握と連携準備

３．優先度の高い共通脅威の調査・分析

① 重要インフラ事業者等へのアンケート調査と集計結果の分析等を行い、脅威の対象範囲や、重要 インフラ事業者等の抱える課題を抽出・分類する。

② 国内のＩＴ障害事例を把握し、共通脅威分析の方向付け等に資する情報を蓄積する。

① １．で抽出・分類した脅威より、優先度の高い共通脅威を選定し、実態、背景、原因などを分析して、

各課題の特徴や有効な対策等を把握する。

② 共通脅威全般に関する国内外の研究・調査の動向を把握し、共通脅威分析の方向付けや新たな共 通脅威の発見等に資する情報を蓄積する。

③ 平成２０年度の相互依存性解析で作成した分野間のデータ送受信に係る分析ワークシートをブラッ シュアップし、重要インフラ事業者等の運用に資するよう実用性の向上を図る。

研究機関や研究者へのアンケート調査等により、調査・分析に必要な情報や専門的な意見の提供が 可能な、あるいは、近い将来共通脅威分析の業務の一端を担うことが可能な連携先を把握し、連携の 打診等を行う。

2009年度の共通脅威分析各目標の活動内容

2009年度共通脅威分析の全体スケジュール（案）

4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 2月 3月

２０１０年 ２００９年

200 200 ９年度９年度共通脅威分析について共通脅威分析について

200９年７月７日

内閣官房情報セキュリティセンター（NISC）

資料５資料５

拡大する共通脅威

共通環境

共通要素

相互依存

NISC/ ^{有識者委員}

重要インフラ

重要インフラ

・安全基準等の指針成果

共有・活用ＮＩＳＣが2006年度より相互依存性に係る調査・分析を実施

：ＩＴ障害共通のＩＴに関する環境

・システムを構成するソフトウェアの脆弱性を突いた攻撃

・システムのキャパシティ限界を突いた攻撃や処理要求

・パンデミック等によるシステムの操作・管理要員不足

相互依存 _{：波及経路}

重要インフラ分野共通に重要インフラ分野共通に起こりうる

起こりうる ITに関する脅威 IT に関する脅威想定される例

３．重要インフラの事業継続計画策定等に資することを目的とする共通脅威の調査・分析の実施第２次行動計画の初年度の取組みとして、以下を目標とする。

研究機関等との連携を深めつつ、内閣官房、重要インフラ所管省庁、重要インフラ事業者等が協力して活動を進める。

研究機関等との連携を深めつつ、内閣官房、重要インフラ所管省庁、重要インフラ事業者等が協力して活動を進める。

① 重要インフラ事業者等へのアンケート調査と集計結果の分析等を行い、脅威の対象範囲や、重要インフラ事業者等の抱える課題を抽出・分類する。

② 共通脅威全般に関する国内外の研究・調査の動向を把握し、共通脅威分析の方向付けや新たな共通脅威の発見等に資する情報を蓄積する。

③ 平成２０年度の相互依存性解析で作成した分野間のデータ送受信に係る分析ワークシートをブラッシュアップし、重要インフラ事業者等の運用に資するよう実用性の向上を図る。

研究機関や研究者へのアンケート調査等により、調査・分析に必要な情報や専門的な意見の提供が可能な、あるいは、近い将来共通脅威分析の業務の一端を担うことが可能な連携先を把握し、連携の打診等を行う。

２０１０年２００９年