自己紹介 富田達夫 独立行政法人情報処理推進機構 理事長 富士通株式会社代表取締役副社長株式会社富士通研究所代表取締役社長 会長を経て2016 年 1 月より現職 2015 年 6 月より2017 年 6 月まで情報処理学会会長博士 ( 情報学 ) 1

頼れるIT社会の安全安心を目指して

～IPAの取り組み～

独立行政法人

自己紹介

富田 達夫

独立行政法人情報処理推進機構 理事長 富士通株式会社 代表取締役副社長 株式会社富士通研究所 代表取締役社長、会長を 経て2016年1月より現職 2015年6月より2017年6月まで情報処理学会会長 博士（情報学）

本日の講演内容

1.

つながる世界の新たな脅威

2.

セキュリティに関するIPAの取り組み

3.

IT人材育成に関するIPAの取り組み

4. 安全に関するIPAの取り組み

5.

安全で安心なデジタル社会の実現に向けて

本日の講演内容

1.

つながる世界の新たな脅威

2. セキュリティに関するIPAの取り組み

3. IT人材育成に関するIPAの取り組み

4.安全に関するIPAの取り組み

5. 安全で安心なデジタル社会の実現に向けて

１．つながる世界の新たな脅威

つながる世界の実現

 膨大な数のセンサーが実世界の情報を収集  様々なものがインターネットにつながる  コンピューティング能力の向上、ディープラーニング等、AIの進化  情報が新たな価値を生み出す時代の到来 （参照）IPA「つながる世界の開発指針」 センサー ネットワーク 組込みシステム クラウド 情 報 収 集 フ ィ ー ド バ ッ ク ビッグデータ AI IoTデバイス数〔ガートナー予測〕 25億（2009年） 300億（2020年） データ量〔IDC予測〕 132EB（2005年） 4,400EB（2013年） 44,000EB（2020年） 日々生み出されるデータ 走行車 3.6TB/時 ジェット機 20TB/時

１．つながる世界の新たな脅威

様々な情報が活用される社会

ソフトウェアがドライブ

新たなビジネスの創出

既存ビジネスの破壊

厚生 予防医療 遠隔医療 IT診断 金融 ﾌｨﾝﾃｯｸ 電子決済 小売 在庫管理 自動化 ﾘｱﾙﾀｲﾑ ﾏｰｹﾃｨﾝｸﾞ 製造 第４次 産業革命 土木 環境ｾﾝｼﾝｸﾞ 橋梁健全性 地滑り監視 運輸 自動運転 農林 林の監視 農業工場 ６次産業 Convenience お 弁 当 セ ー ル ・・・ ・・・ ・・・ ・・・

INTERNET

１．つながる世界の新たな脅威

新たな脅威への拡がり

• 攻撃対象の増加、被害の深化、手口の巧妙化が進む

• 組織が各自で専門知識を持ち防御を固めることが必要

IoTの進展による拡がる脅威 社会インフラ _企業 インフラ マヒ 機密情報 顧客情報 機密情報 業務停止 （参照）IPA「つながる世界の開発指針」 財産 現金 身体や生命

IPA(情報処理推進機構)のご紹介

 日本のIT国家戦略を技術面、人材面から支える経済産業省所管の独立行政法人  誰もが安心してITのメリットを実感できる「 頼れるIT社会 」を目指しています ・ウイルス、不正アクセス等の届出機関 ・情報セキュリティの調査研究、普及啓発活動 ・標的型サイバー攻撃への情報共有・初動対応の実施 ● 情報セキュリティ ・国家試験「情報処理技術者試験」の実施機関 ・IT人材の育成・発掘・スキル明確のとりくみ。若手人材育成。 ● IT人材育成 ● 情報処理システムの信頼性向上 IPA 検 索

本日の講演内容

1.つながる世界の新たな脅威

2.

セキュリティに関するIPAの取り組み

3. IT人材育成に関するIPAの取り組み

4. 安全に関するIPAの取り組み

5. 安全で安心なデジタル社会の実現に向けて

２．セキュリティに関するIPAの取り組み

情報セキュリティ10大脅威 2017

昨年 順位 「個人」の10大脅威 順位 「組織」の10大脅威 昨年 順位 1位 インターネットバンキングや クレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位 2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位 3位 スマートフォンやスマートフォンアプリ を狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位 5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停 止 4位 4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えい とそれに伴う業務停止 2位 7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位 6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位 8位 情報モラル不足に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 ランク_外 10位 インターネット上のサービス を悪用した攻撃 9位 攻撃のビジネス化 （アンダーグラウンドサービス） ランク 外 ランク 外 IoT機器の不適切な管理 10位 インターネットバンキングや クレジットカード情報の不正利用 8位

２．セキュリティに関するIPAの取り組み

世界中でランサムウェア感染拡大

2017年5月14日 「IPA 重要なセキュリティ情報」として緊急告知 2017年5月22日 感染実演デモ公開（IPA安心相談窓口だより） 世界中で感染が拡大中のランサムウェア"Wanna Cryptor " ⇒Microsoft製品の脆弱性を悪用 YouTube：ランサムウェア「WannaCry （WannaCryptor）」感染実演デモ 図：感染した場合に表示される画面の一例 【出展】 IPA安心相談窓口だより https://www.ipa.go.jp/security/anshin/mgdayori20170515.html

２．セキュリティに関するIPAの取り組み

ランサムウェアの手口/影響

 手口/影響

• メールの添付ファイルやリンクからランサムウェア感染 • ウェブからランサムウェアに感染（脆弱性等を悪用） • 感染したPCだけではなく、共有サーバー等別の端末にも影響

 2016年の事例/傾向

• ランサムウェアの日本語化・被害拡大 • 検出されたランサムウェアの件数が2015年の9.8倍 • その中には日本語表記のランサムウェアを確認 • ランサムウェア復号ツールの登場 • 暗号化されたファイルを復号するツールが登場し、万が一 暗号化されてもファイルを復元できる可能性

２．セキュリティに関するIPAの取り組み

ランサムウェア対策

＜対策＞

定期的なバックアップ

脆弱性対策

システム管理者 PC・スマートフォン利用者 •情報リテラシーの向上 – 受信メール（添付ファイル・リンク） 、ウェブサイトの十分な確認 •被害の予防 – OS・ソフトウェアの更新 – セキュリティソフトの導入 – フィルタリングツールの活用 •被害を受けた後の対策 – バックアップからの復旧 PCだけではなく、共有サーバーも – 復元できるかの事前の確認 – 復元ツール･機能の活用 経営者 •組織としての対応体制の確立 – 問題に対応できる体制 （CSIRT等）構築 – 予算の確保 – セキュリティ対策の指示

２．セキュリティに関するIPAの取り組み

サイバー情報共有イニシアティブ（J-CSIP)

 標的型サイバー攻撃の情報共有と早期対応の場

２．セキュリティに関するIPAの取り組み

『高度標的型攻撃』対策に向けたシステム設計ガイド

 入口突破されても攻略されない

内部対策

を施す

• 高度標的型攻撃の全容と対策導出アプローチ 内容１ • 脅威の全体イメージ 内容2 • システム設計対策セット 内容３ • その他の活用場面 内容４ IPAのホームページでPDFデータ提供中 → https://www.ipa.go.jp/security/vuln/newattack.html システム 管理者向け

２．セキュリティに関するIPAの取り組み

標的型攻撃メールの例と見分け方

 IPAテクニカルウォッチ

「標的型攻撃メールの例と見分け方」

従業員 教育に

累計23万件ダウンロード

メールの見分け方

• 注意するときの着眼点

• 標的型攻撃メールの例

• 添付ファイルの種類と解説

https://www.ipa.go.jp/security/technicalwatch/20150109.html

２．セキュリティに関するIPAの取り組み

公表されないことが多い内部不正

 組織の事業の根幹を脅かす事件が報道。 公開事件は、氷山の一角  裁判に至らないもの、内部規定違反等も多く存在  組織内部で処理され、外部に公開されることは稀 （ 情報を公開したくない ）  会社の信用に関わる、風評被害が発生する恐れがある  関係者との調整がつかない  他の組織との情報共有が困難  自らの経験をもとに独自の対策 （出典）内部不正による情報セキュリティインシデント実態調査 報告書（2016年3月） ［Question］ 内部不正が発生し、 企業・組織内で解決 できた場合、その詳 細を外部に公開する か？ 公開しない理由 ・被害が拡大する可能性、 ・自組織への否定的な評 判への懸念 ・競合他社に利用される ・関係者との調整が困難 など

２．セキュリティに関するIPAの取り組み

内部不正防止ガイドライン

①対策の指針、ポイントを理解 リスクに対する対策立案のヒント ②具体的な実施策を立案 製品・ソリューションの利用等を検討 JNSA* 内部不正対策ソリューションガイド 組織における内部不正防止ガイドライン(IPA) *JNSA：（NPO） 日本ネットワークセキュリティ協会 （付録）「内部不正チェックシート」

２．セキュリティに関するIPAの取り組み

サイバーセキュリティ経営ガイドライン

本日の講演内容

1.つながる世界の新たな脅威

2. セキュリティに関するIPAの取り組み

3.

IT人材育成に関するIPAの取り組み

4. 安全に関するIPAの取り組み

5. 安全で安心なデジタル社会の実現に向けて

３. IT人材育成に関するIPAの取り組み

日本のIT人材の現状

 日本全体で人材不足の傾向であるが、情報サービス業は全産業に比べても 雇用人員が大幅に不足 過剰 （プラス） 不足 （マイナス） 現在のIT人材の推計 約116.9万人 リーマンショックの影響で、 過剰気味 IPA 「IT人材白書2017」より 情報サービス業 全産業

３. IT人材育成に関するIPAの取り組み

量的な不足と人材の偏り

♦ 不足感が8割～9割と、必要な人材が確保できていない IPA 「IT人材白書2017」より ♦ 日本では海外と比較してIT企業に人材が集中 ＩＴ企業 ユーザー企業

３. IT人材育成に関するIPAの取り組み

国家試験

情報処理技術者試験

 基礎知識から管理能力まで

 国家資格「登録セキスペ」の新設

412,757名 応募者数 290,826名 受験者数 82,549名 合格者数 28.4％ 合格率 28年度 28年 ITパスポート試験 85,214名 応募者数 76,976名 受験者数 36,557名 合格者数 47.5％ 合格率 初回試験_本年４月

３. IT人材育成に関するIPAの取り組み

新国家資格「情報処理安全確保支援士」

①人材の質の担保 ・「情報セキュリティスペシャリスト試験」をベースとした 新たな試験の合格者を登録 ・継続的な講習受講義務により、最新の知識・技能を維持 ②人材の見える化 ・資格保持者のみ資格名称を使用 ・登録簿の整備・登録情報の公開（希望しない者を除く） ③人材活用の安心感 ・国家資格として厳格な秘密保持義務、信用失墜行為の禁止義務 サイバーセキュリティに関する実践的な 知識・技能を有する専門人材を育成・確保 資格試験 2017年春 よりスタート

登録簿へ登録

（要申請） 登 録 情 報 の 公 開 資 格 名 称 の 使 用 講 習 受 講 企業における安全な情報システムの企画・設計・開発・運用を支援、 サイバーセキュリティ対策の指導・助言を実施 ■第１回(2017年4月1日)登録者数：4,172名(平均年齢40.5歳) ※経過措置対象者(「情報セキュリティスペシャリスト試験」または「テクニカルエンジニア(情報セキュリティ)」合格者) ■初回試験(2017年4月16日実施)応募者数：25,130名(平均年齢38.5歳)

2020年に登録者3万人が目標

【支援士の活動】 経過措置 期間限定 現在登録申請 受付中

マルウェアの感染により、変電所が 遠隔制御された結果、数万世帯で3 ～6時間にわたる大停電が発生。 ♦ 近年は社会インフラ・産業基盤に物理的なダメージを与えるサイバー攻撃の リスクが増大。海外においては、既に、他国家等からなされるサイバー攻撃に より、社会インフラ・産業基盤の安全が脅かされる事案が発生。 ♦ 社会インフラ・産業基盤における、サイバー攻撃に対する防護力を強化するこ とは、国家全体の喫緊の課題。 発電所の制御システムがウィルスに 感染。制御システムが約５時間にわ たって停止。 何者かが製鉄所の制御システムに 侵入し、不正操作をしたため、生産 設備が損傷。 大規模停電の発生 （ウクライナ、2015年） 原発の制御システム停止 （米国、2003年） 製鉄所の溶鉱炉損傷 （ドイツ、2014年） OT(制御技術）とIT（情報技術）の知見を結集させた 世界レベルのサイバーセキュリティ対策の中核拠点 「産業サイバーセキュリティセンター」を2017年4月に発足 ３. IT人材育成に関するIPAの取り組み

産業サイバーセキュリティセンター

社会インフラ・産業基盤を狙ったサイバー攻撃の増加

３. IT人材育成に関するIPAの取り組み

産業サイバーセキュリティセンター

 OT(制御技術）とIT（情報技術）の知見を結集させた

世界最高レベル

のサイバーセキュリティ対策の中核

拠点を2017年4月に開設

人材育成

調査・分析

制御システム

安全性・信頼性検証

３. IT人材育成に関するIPAの取り組み

セキュリティ・キャンプ

 セキュリティ界の「トップガン」を発掘・育成する事業

 平成１６年から実施し、５８１名を輩出

 22歳以下の大学・中高・高専生が対象  セキュリティを５日間集中的に合宿指導  講師陣は業界の第一線で活躍する技術者  中学生であった清水郁実氏（2015修了生）は、DEF CON2016（アメリカで 開催される世界最高峰のハッカーの祭典）本戦にチームで参加し8位入賞。

３. IT人材育成に関するIPAの取り組み

未踏

 新しいITの世界を創り出す「天才」を発掘・育成する事業

 平成１２年から実施し、延べ1,600名超を輩出

 25歳以下の若手クリエーターが対象  産学界の著名プロマネ８名が個別に年間指導  優秀な開発者をスーパークリエーターに認定  産学界でトップランナーとして活躍

クリエータ

製品化・事業化

PM

本日の講演内容

1.つながる世界の新たな脅威

2. セキュリティに関するIPAの取り組み

3. IT人材育成に関するIPAの取り組み

4. 安全に関するIPAの取り組み

5. 安全で安心なデジタル社会の実現に向けて

４．セーフティに関するIPAの取り組み

安全に関するIPAの取り組み

 安全安心なIoT製品・システム開発の促進事業

 重要インフラシステムのリスク分析・評価手法の普及と

障害情報の共有事業

 信頼性の高いシステムを実現するための体系整理・

普及事業

本日の講演内容

1.つながる世界の新たな脅威

2. セキュリティに関するIPAの取り組み

3. IT人材育成に関するIPAの取り組み

4. 安全に関するIPAの取り組み

5.

安全で安心なデジタル社会の実現に向けて

5. 安全で安心なデジタル社会の実現に向けて

IoT推進コンソーシアム

 IoT／ビッグデータ／人工知能時代に対応し、企業・業種の枠 を超えて産学官で利活用を促進するため、民主導の組織とし て平成27年10月に設立  IoT推進コンソーシアムの下に「IoT推進ラボ」を設置 （IOT推進ラボ）

5. 安全で安心なデジタル社会の実現に向けて

地方版IoT推進ラボ

 「IoT推進ラボ」の支援活動を地域にも展開

 IoTビジネスの創出を推進する地域の取組みを、

「地方版IoT推進ラボ」として選定

 「地方版IoT推進ラボ」のサポート

１． 「地方版IoT推進ラボ」マークの使用権付与 ２．メルマガ、ラボイベント等によるIoT推進ラボ会員への広報 ３．地域のプロジェクト・企業等の実現・発展に資するメンターの派遣 ■メンターの種類 ①イベント講師 ラボ開催のイベント等における講師を依頼する場合 ②定期メンター ラボの事業戦略・計画等の策定支援を定期的に依頼する場合 ③スポットメンター ラボ開催のイベント等における審査員やアドバイザ等を依頼する場合 5. 安全で安心なデジタル社会の実現に向けて

地方版

IoT推進ラボ

5. 安全で安心なデジタル社会の実現に向けて

ビジネス （製品・サービス） 利用者 安全で安心できるデジタル社会を実現 技術者

●

計画性をもって事業をデザインすることが重要

●

リスクを想定し、回避・軽減する

●

企画から参画し、スキルを持って開発に取り組む人材を育てる ３３