2012 年度の情報セキュリティ政策の評価等
2013 年6月 27 日
内閣官房情報セキュリティセンター(NISC)
内容
Ⅰ はじめに ... 2
(1) 本文書の位置付け等 ... 2
Ⅱ 全体の評価等 ... 3
(1) 重点対応分野 ... 3
(2) その他の分野 ... 4
(3) 今後に向けた課題 ... 4
Ⅲ 各領域における評価等 ... 6 1 標的型攻撃に対する官民連携の強化等 ... 6 2 大規模サイバー攻撃事態に対する対処態勢の整備等 ... 7 3 政府機関等の基盤強化 ... 7 4 重要インフラの基盤強化 ... 9 5 情報通信技術の高度化・多様化への対応 ... 11 6 研究開発、産業振興の推進 ... 14 7 情報セキュリティ人材の育成 ... 14 8 情報セキュリティリテラシーの向上等 ... 16 9 制度整備 ... 17 10 国際連携の強化 ... 17
別添1 「情報セキュリティ 2012」に盛り込まれた施策の実施状況
別添2 各情報セキュリティ政策領域における評価に当たり考慮すべき現状 別添3 独立行政法人等の情報セキュリティ対策の現状について
Ⅰ はじめに
(1)本文書の位置付け等
本文書は、「国民を守る情報セキュリティ戦略」(以下「戦略」という。)及び 2012 年度 の年度計画である「情報セキュリティ 2012」(以下「2012 年度計画」という。)に基づき推 進された情報セキュリティ政策の評価等について取りまとめたものである。
評価等は、「情報セキュリティ政策の評価等の実施方針」(内閣官房情報セキュリティセ ンター)に基づき、「2012 年度計画」において示される取組の推進状況を把握しつつ、情 報セキュリティ政策が環境の変化に適合しているかどうか、また、種々の脅威に適切に対 処することが可能となっているかどうか等について検証する形で実施した。
Ⅱ 全体の評価等
(1)重点対応分野
「2012 年度計画」においては、以下の3分野について、特に重点的対応が必要とし、
具体的取組内容を列挙した。以下に示すとおり、これら重点対応分野の取組は着実に進 捗しており、概ね所期の成果を上げたと判断される。
① 国や国の安全に関する重要な情報を扱う企業等に対する高度な脅威への対応強化
「2012 年度計画」では、国や国の安全に関する重要な情報を扱う企業等(以下「国 等」という。)に対する標的型攻撃の脅威への対応が急務であるとし、官民連携の枠 組み構築による情報共有・分析検討の推進、CSIRT1等の機能を有する体制の構築と関 係機関を跨ぐ情報セキュリティ緊急対応要員の整備・充実・研究開発促進等の施策 を推進することとされた。
官民連携については、関係省庁において既存の枠組みの拡充が図られるとともに、
新たな分野に係る情報共有ネットワークが構築されるなど、取組が進展した。また、
2012 年6月、政府に情報セキュリティ緊急支援チームが設置されるとともに、2012 年度中に全ての省庁に CSIRT が設置されるなど、対処態勢の整備が進んだ。研究開 発においても着実に対応が進んでいる。
② スマートフォンの本格的な普及等新たな情報通信技術の広まりに伴うリスクの表 面化に対応した安全・安心な利用環境の整備
「2012 年度計画」では、スマートフォンやクラウドコンピューティング等におけ る情報セキュリティの確保が不十分な場合、これらに集積され、やりとりされる情 報が容易に窃取され、悪用されるリスクに晒されるとの認識のもと、スマートフォ ン利用者への情報セキュリティ上の必要な対策の幅広い周知、スマートフォンの技 術的対策の確立、フィルタリング技術のスマートフォンへの有効な導入方法の検討、
クラウドコンピューティングや SNS2、国民生活の安全に直結する制御システムにお ける一層の情報セキュリティの確保及び、M2M3に係る情報セキュリティの確保に取り 組むべきとされた。
利用者周知については、内閣官房、警察庁、総務省、文部科学省、経済産業省等 においてイベント開催やウェブページへの情報掲載等が幅広く行われた。技術的対 策の確立に向けては、官民連携の下、必要な提言や指針のとりまとめが行われた。
フィルタリングについては、無線 LAN 経由の通信やアプリケーションといったスマ
1 CSIRT:Computer Security Incident Response Team
2 SNS:Social Networking Service
ートフォンの特徴に適合したフィルタリングの検討が進んだ。クラウドコンピュー ティング等については、災害に備えた社会基盤としてのクラウドコンピューティン グ等の研究が進んだほか、国際標準化に向けた取組も進展している。M2M のセキュリ ティについては、基礎的調査研究とともに、重要な要素技術の研究等が進展してい る。
③ 国際連携の強化
「2012 年度計画」では、サイバーセキュリティの分野において、国際的な枠組み 作りへの取組が急速に進展しようとしていることから、ハイレベルによる戦略的な 情報発信を含め国際的な枠組み作りへの積極的な参画及び、国際連携の更なる構築 が重要であるとされた。
国際的枠組み作りへの参画については、日米首脳会談、日英首脳会談等における 共同声明において、サイバー空間に関する問題について連携を進化させることにつ いて一致した他、各種関係会合にハイレベルの参画を行った。枠組み作り以外の連 携強化としても、EU4 ,ASEAN5等各国・地域との間で連携が進んだ。とりわけ ASEAN 各国とは意識啓発の分野においてシンポジウム開催や共同ポスターを制作する等協 力関係の強化が進んだ。
(2)その他の分野
その他の分野の施策についても、詳細は「Ⅲ各領域における評価等」の記載に譲るが、
「2012 年度計画」に掲げられた 300 余りの施策6について、大多数が着実に推進されて おり、「2012 年度計画」において解決しようとしている課題への対応は概ね予定とおり 達成できたと判断できる。
なお、一部に限られているが、過去数年に亘り進展が進んでいない施策7、関係府省庁 の連携を更に強化した取組等が求められる施策8等、幾つかの施策については課題を残し しており、今後更なる取組推進を図る必要がある。
(3)今後に向けた課題
4 欧州連合(EU:European Union)
5 東南アジア諸国連合(ASEAN:Association of Southeast Asian Nations)
6 「情報セキュリティ 2012」の施策総数は 319 項目(再掲除く)であった。
7 リバースエンジニアリングの適法性明確化処置は検討が進められたものの法改正に至っ
2013 年6月 11 日に、「国民を守る情報セキュリティ戦略」に代わる新たな国家戦略と して、2013 年度から 2015 年度を対象期間とする「サイバーセキュリティ戦略」が決定 された。同戦略においては、サイバー空間が急速に拡大・浸透し、サイバー空間を取り 巻くリスクの甚大化、拡散及び、グローバル化が顕著に進むなど、リスクの深刻化が進 展していることから、今後、次元を変えた取組が必要になっているとの認識が示され、
様々な新たな課題が提示された。
2013 年度計画は「サイバーセキュリティ戦略」に基づいて策定される。この結果、大 幅な施策の入替え、内容変更等が行われることになるが、他方、継続される施策も多数 残ることになる。2013 年度計画においては、本評価も踏まえて施策が適切に選択され、
目標設定され、推進されることが必要である。
Ⅲ 各領域における評価等
1 標的型攻撃に対する官民連携の強化等
【総評】
官民の連携については、以下のとおり関係各省庁において情報共有の取組が進展した。
警察庁においては、情報窃取の標的となるおそれのある事業者との「サイバーインテリ ジェンス情報共有ネットワーク」及びウイルス対策ソフト提供事業者等との「サイバー インテリジェンス対策のための不正プログラム対策協議会」(2013 年3月、「不正プログ ラム対策協議会」に改称)に加えて、セキュリティ関連事業者と「サイバーインテリジ ェンス対策のための不正通信防止協議会」が設置された。経済産業省においては、重要 インフラ機器製造業を対象とした「サイバー情報共有イニシアティブ」に、電力業界、
ガス業界、化学産業、石油業界が加えられた。
政府機関における対処態勢については、各府省庁において、情報セキュリティ上の脅 威となる事案の発生に備え、インシデント情報の集約・責任者等への報告・関係機関と の連携等の機能を有する CSIRT 体制が整備された。また、常日頃からのサイバー攻撃に 関する情報の集約に加え、内閣官房を結節点とした各府省庁との情報共有が行われる等、
おおむね予定どおり取組が進められ、政府機関における標的型攻撃を始めとするサイバ ー攻撃への対応能力の強化が図られている。
攻撃手法の解析、対策技術の研究開発等については、「サイバー攻撃解析協議会」(総 務省・経済産業省)が発足し、高度解析に向けた情報共有ルールが策定されたほか、端 緒情報の早期把握等に資する情報収集や攻撃を受けたコンピュータの分析等を通じた実 態解明に係る取組(警察庁)が行われ、また、制御システムに特化したインシデントに 関する対応支援や、情報収集・共有のためのインフラ構築支援等(経済産業省)が図ら れるなど取組が進展した。
国際連携については、FIRST9等の会合に参加する等、国際連携の枠組みを通じた諸外 国との連携強化が図られた。
【課題】
上記のとおり、官民の連携は様々な分野で進展している。しかしながら、サイバー攻 撃の手法についてはますます巧妙化・高度化しており、これに対処するため、サイバー 攻撃の認知・解析能力等の大幅向上を図るとともに、インシデント発生時の対処態勢を 充実・強化し、各組織で発生しているサイバー攻撃について広く情報共有を行うことが 有効である。具体的には、GSOC で収集したインシデント情報や攻撃手法の分析結果等を 監視対象先の政府機関に加え、重要インフラ事業者等に提供するための仕組みを検討す
ることが望ましい。
また、対処態勢の整備においては、2012 年度末までにすべての府省庁で CSIRT 等の機 能を有する体制が整備されたことから、今後、内閣官房と各府省庁 CSIRT との間や、各 府省庁 CSIRT 間の相互の緊密な連携及び各府省庁の CSIRT 機能の維持・向上を図るため の取組を進めていく必要がある。標的型攻撃等を受けた際、被害を最小限に止め、迅速 かつ適切な対応が図られるよう、情報の集約・共有体制の充実や対処訓練の実施等、サ イバー攻撃への対応能力の更なる強化を図っていく必要がある。
2 大規模サイバー攻撃事態に対する対処態勢の整備等
【総評】
重要インフラ事業者がサイバー攻撃を受けたとの想定に基づく大規模サイバー攻撃事 態等対処訓練の実施や、標的型メール攻撃に関する不正プログラムの解析等によるサイ バー攻撃に係る脅威・手法の分析を推進するなど、大規模サイバー攻撃事態への対処態 勢の整備が進んでいる。
また、サイバー防護分析装置の機能強化として、情報収集機能、分析機能及び演習機 能の強化を実施するなど、防衛分野での体制の強化が進んでいる。
さらに、サイバー犯罪捜査に従事する警察職員への研修の実施や、諸外国関係機関と 情報交換等を通じたサイバー攻撃の主体・方法等に関する情報収集・分析の継続的な実 施等、サイバー犯罪の取締り、サイバー攻撃への対処に係る国際連携の強化等が進んで いる。
【課題】
目標とされた課題について着実に対応が進展しているが、一層複雑・巧妙化するサイ バー攻撃に的確に対応できるように、引き続き、脅威・手法の分析、対処訓練の実施や、
関係機関間における情報の集約・共有及び民間や諸外国等との連携を通じて対処態勢等 の更なる強化を図る必要がある。
3 政府機関等の基盤強化
【総評】
情報セキュリティ上の脅威となる事案が発生した際に機動的に対応するための取組に ついては、内閣官房において、政府として一体となって迅速・的確に対応すべき事態等
行うための情報セキュリティ緊急支援チーム(CYMAT)が設置されたほか、各府省庁にお いて CSIRT 等の機能を有する体制が整備されるなど、即応体制の整備が進んだ。さらに、
政府横断的な情報収集・分析システム(GSOC)のセンサー機能の向上等、情報の収集・
分析システムの充実・強化及び、サイバー空間におけるカウンターインテリジェンスに 関する情報の集約・共有に係る政府統一的な取組の強化が図られた。
効率的・継続的な情報セキュリティ対策の向上については、各府省庁の CISO10等で構 成する情報セキュリティ対策推進会議(CISO 等連絡会議)が開催され、情報の共有・連 携の強化が図られるとともに、各府省庁の「情報セキュリティ報告書」の作成を通じて、
情報セキュリティ対策の評価・改善が図られる等、各府省庁における情報セキュリティ 対策の維持・向上に向けた取組が進められている。また、各府省庁において、策定され た計画を踏まえたサーバの集約化が進められているほか、内閣官房において、希望する 府省庁の公開ウェブサーバに対する脆弱性検査11や 19 府省約 12 万人の職員を対象とし た標的型メール攻撃に対する教育訓練12が実施され、その結果について参加府省庁にフ ィードバックされた。さらに、情報システムの運用継続に向けた対処要件等に関する検 討が行われ、必要な情報システムについて運用継続に係る計画の見直しが図られたほか、
各府省庁においてなりすましによる被害を防止するための対策技術の導入に係る取組が 推進されるとともに、総務省においては、迷惑メール対策推進協議会と協力し、業界団 体等に対し迷惑メール対策技術の導入が推進される等、情報セキュリティ対策の向上が 図られた。
安全な暗号利用については、総務省・経済産業省において、「電子政府推奨暗号リスト」
を改め、「電子政府における調達のために参照すべきリスト(CRYPTREC 暗号リスト)」が 策定された。また、暗号の急激な安全性の低下に備えた緊急対応計画の発動要件や、対 応状況等を踏まえた暗号移行指針の改訂が情報セキュリティ対策推進会議で決定される 等、安全な暗号利用の推進に向けた取組が進められた。
利用環境の変化に伴う情報セキュリティの確保及び統一基準群の見直しについては、
総務省において、政府共通プラットフォームの設計・構築段階での情報セキュリティ監 査の実施や運用管理規程等の策定を行い、同システムの運用が開始され、内閣官房にお いては、同システムの情報セキュリティを確保し、適切に運用されるよう総務省に対し 必要な助言・支援が行われた。また、スマートフォン等のセキュリティ対策においては、
「スマートフォン・タブレット端末の使用手順雛形(官支給品編)」(内閣官房)を作成
10 最高情報セキュリティ責任者(CISO:Chief Information Security Officer)
11 最も危険性の高い「危険度高(CVSS 基本値:7.0~10.0)」の脆弱性は検出されていない など対策が進んでいると考えられる。詳細は、「政府機関における情報セキュリティに係る 年次報告(平成 24 年度版)」を参照のこと。
12 訓練メールを巧妙化されたことにより、開封率は昨年度より上昇した。これにより、訓 練メールを開封した際により多くの職員が“ヒヤリハット”を体験することができた。詳
し、各府省庁に共有されるとともに、BYOD13を導入する際に考慮すべきセキュリティ対 策についても検討が進められた。さらには、内閣官房において、守るべき重要な情報に ついて重点的に対策を講ずるため、リスク評価等のあり方について検討するとともに、
新たな技術や環境の変化等を踏まえ、「政府機関の情報セキュリティ対策のための統一基 準群」の見直しについて検討を行うなど、対応が進められた。
【課題】
標的型攻撃等への対策実施に当たっては、限られた予算・人員による対策を行う上で、
各府省庁の業務、保有情報の機微度等に応じた対策の強化を行うことが求められる。こ のため、各府省庁において、CISO の指揮の下、重点的に守るべき業務・情報を特定し、
メリハリをもって計画的に資源を投入・配分し、多重的な防御の仕組みを実現するとい った、最高情報セキュリティ責任者による情報セキュリティガバナンスを確立すること が不可欠である。
その実現に向けたリスク評価手法及び標的型攻撃等の対策(情報システム内部への侵 入等の攻撃シナリオとそれに対応する一連の情報システムの設計、監視強化等の対策の セット)を検討し、政府機関における統一的な仕組みを強化していく。
標的型攻撃等の脅威に対する対策については、情報システムの設計段階のみならず、
運用段階における監視等も重要であり、また、新たな脅威(新たな攻撃手法等)の監視・
把握、リスク評価手法や新たな脅威が顕在化した場合の対策の見直し、対策実施に係る 教育・訓練等も含めて、継続的に実施していく必要がある。
また、情報セキュリティの脅威となる事案が発生した際、更に迅速かつ的確に対応す るため、各府省庁に整備された CSIRT 相互の緊密な連携と機能の維持・向上を図るため の取組を継続的に図っていくことが必要である。
4 重要インフラの基盤強化
【総評】
東日本大震災発生時における IT システムの同時障害、政府関係機関や重要インフラ事 業者を含む我が国主要企業の IT システムに対するサイバー攻撃等の環境変化に対応し、
「重要インフラの情報セキュリティ対策に係る第2次行動計画(以下「第2次行動計画」
という。)の改定(4月 26 日)を行い、同計画に基づいて、重要インフラサービスの維 持、IT 障害発生時の迅速な復旧等の確保に向けた諸施策を着実に推進し、「2012 年度計 画」の目標に沿った一定の成果を挙げている。
安全基準等の整備浸透においては、東日本大震災において生じた複合的な障害におけ
る教訓やサイバー攻撃等の高度化等の環境変化を踏まえ、「重要インフラの情報セキュリ ティ確保に係る「安全基準等」策定にあたっての指針(第3版)」を改定(2月 22 日)
し、更に同指針対策編の改定(3月 26 日)を行うなど、対策の充実強化が図られた。
情報共有体制の強化については、重要インフラ所管省庁等との間での情報連絡・情報 提供を着実に行うとともに、セプターカウンシルにおいて標的型攻撃についての情報共 有体制を確立するなど、重要インフラ事業者にとって有用な情報の共有について充実強 化が図られた。
重要インフラ防護対策の向上では、共通脅威分析において、重要インフラ分野におけ る同時多発型 IT 障害時の復旧対応を調査・分析し、ベンダへの外部依存性に関する課題 やリスク軽減に向けたベストプラクティスが取りまとめられ、また、分野横断的演習に ついては、停電・通信障害等により重要インフラ各分野のサービスに影響が発生し、さ らに、その復旧後に便乗型の情報セキュリティ事案(標的型メールの受領や DDoS14攻撃 等)が多数発覚する事態を想定するなど、より実践的な演習を行うことで防護対策の向 上が図られた。また、電力・ガス等の個別重要インフラ分野を対象に、インフラ事業者、
ベンダの参画を得て、制御システムへの模擬サイバー攻撃の実施による演習を行った。
制御システムに関する情報セキュリティ上の課題への対応では、制御システムのサイ バーセキュリティ検証施設「制御システムセキュリティセンター」を構築し、評価・認 証手法に関する研究を行った。
更に、重要インフラ専門委員会等の場において、第2次行動計画に次ぐ、新しい行動 計画の策定に向けた検討を進め、より強固な重要インフラの基盤強化に向けた取り組み が進められた。
【課題】
目標とされた取組について着実に対応が進んでいるものの、重要インフラに対するよ り大きなサイバー攻撃発生リスクの高まりが懸念されることから、その防護能力を一層 強化する必要が生じている。
このため、まずは本年2月に改定された「安全基準等」策定にあたっての指針に基づ き、関係事業者等における安全基準策定/改定を促進させるとともに、新たな/改定後 の「安全基準等」に従った対策の実施を促す。また、セプター及びセプターカウンシル の活動を一層活発化させると共に訓練も実施することで、更に効果的な情報共有の実現 を図る。加えて、共通脅威分析や分野横断的演習により得られた知見・気づき等を活用 した対策の促進を図る。このほか、重要インフラの制御システムに係る情報セキュリテ ィの向上について、その重要性に鑑み更なる対策の強化を行う。
第2次行動計画については、これまで必要に応じた部分的見直しが積み重ねられてい るが、計画策定以来 4 年が経過したことから、行動計画全体について期間を通した成果
の検証を行うとともに、新たな分野における対応の必要性等も検討し、新たな行動計画 を策定する。
5 情報通信技術の高度化・多様化への対応
① 急速に普及が拡大している新たなサービスに係るセキュリティの確保
【総評】
スマートフォンについては、「スマートフォン・クラウドセキュリティ研究会」(総 務省)、「利用者視点を踏まえた ICT サービスに係る諸問題に関する研究会」(総務省)
等において官民連携した検討が行われ、技術的な課題等について提言や指針等の取 りまとめが行われるとともに、独立行政法人情報通信研究機構(NICT)や独立行政 法人情報処理推進機構(IPA)等においてスマートフォンを狙った攻撃の解析・分析 が進むなど技術面での対策が進んだ。これらは、内閣官房、警察庁、総務省、経済 産業省等主催の様々なイベントやコンテンツ掲載活動等において取り上げられ、国 民に対して広く普及・啓発が行われた。また、都道府県警察において、スマートフ ォン利用者等を狙ったサイバー犯罪の取り締まりが強化されたほか、米国、EU、ASEAN 等との国際的な対話等の場において、スマートフォンの情報セキュリティ及びプラ イバシーに関する双方の情報交換が行われ、犯罪捜査や国際連携についても進展が 見られるなど、対応が進んでいる。
クラウドコンピューティングについては、東日本大震災等の事例調査等による可 用性の検討や、災害発生時におけるクラウドサービスを用いて自治体の被災者支援 業務を行う研究、広域災害対応型クラウドの相互連携技術の研究等により、災害に 備えた社会基盤としてのクラウドコンピューティングの研究が進んだほか、日米イ ンターネットエコノミー政策対話内に設置されたクラウドコンピューティング WG において、SLA15について意見交換が行われた。また、我が国の研究開発成果や基準、
ガイドライン等の国際規格への反映に向け、国際標準化活動である ISO/IEC JTC/SC2716が主催する会合へ参画するなど、クラウドコンピューティングの国際標 準化に向けた取組が進展した。
IPv6 については、IPv6 技術検証協議会において行われた検証作業と対策手法の検 討結果を基に NICT において対策手法の実装と有効性の検証が行われ、これらの成果 は、「セキュリティ評価・対策検証部会最終報告書」として公開されるなど対応が進 んでいる。SNS については、その特性や、懸念される脅威、留意すべき事項等につ いてホームページから公開されるなど対応が進んでいる。
15 SLA:Service Level Agreement
16 ISO/IEC JTC1/SC27:International Organizaion for Standardiation / Internaional
【課題】
スマートフォンについては、様々な活動により対応が進んでいるものの、魅力的 なアプリケーションに見せかけた不正アプリケーションによって、個人情報等が窃 取される等の被害が増加している。また、利用者意識調査17では、セキュリティ対 策を必要性だと感じている人の割合が、様々な対策項目において前年と比べて低下 しており、技術的対策の強化と共に、利用者におけるリテラシーの強化が一層必要 である。
クラウドコンピューティングについては、業務システム、災害時の代替システム、
さらには個人向けストレージ等様々な用途で活用されており、近年ではビックデー タのインフラとしても注目を集めている。その様な中、クラウド事業者のインフラ そのものをターゲットとしたサイバー攻撃のリスクが懸念されており、引き続き国 際規格と我が国の基準やガイドラインの整合性を取りながら、クラウド事業者のセ キュリティ対策レベル向上に資する取組の推進が求められる。
IPv6 については、検証の結果新たな課題が発見された。IPv6 が普及するにつれて 今後も新たな課題が明らかになることが予想されるため、引続き検証等を通し速や かな対応策の提示が望まれる。
② M2M における情報セキュリティの在り方その他の対応
【総評】
研究開発の推進については、M2M 認証に用いる LSI18のセキュリティ技術の発展、
活用を図るため、機器間認証用モジュールに実装される LSI チップのセキュリティ 仕様を標準化するための研究開発が開始され、広域連携システムによるスマートコ ミュニティのセキュリティ検証を実施できる環境が構築されるなど、研究開発を推 進する環境が整備されつつある。また、省リソースデバイスにおける研究開発につ いては、スマートメータやセンサー等に実装可能な軽量暗号について、クラウド上 で高速に並列復号処理する実装法を世界で初めて開発すると共に、軽量暗号の分類 や安全性・実装性能に関する要件を定めた国際標準 ISO/IEC 29192-119の規格化を主 導したほか、PUF20技術の実装における安全性検証に世界で初めて成功するなど、要 素技術の研究開発において成果が出始めている。
17 別添2 スマートフォンに必要だと思うセキュリティ対策
18 LSI:Large Scale Integration
19 ISO/IEC 29192-1:International Organizaion for Standardiation / Internaional
【課題】
M2M のセキュリティについては、基礎的な調査研究が進められ、重要な要素技術 の研究や、研究環境の整備が進んでいる。今度様々な分野において要素技術の適用 が広がっていくと考えられるため、具体的な適用領域における実用化に向けた取り 組みが求められる。
③ 脅威の高度化・多様化に対するその他の対応
【総評】
情報セキュリティインシデントへの対応の強化については、組織内 CSIRT の構築 支援や、制御システムに係るインシデントに特化した早期警戒の強化等、官民連携 の強化が行われたほか、日米、日 EU、日 ASEAN との連携が強化されるなど、事前防 止・早期発見・早期対応の取組が進捗した。
ソフトウエアの脆弱性対策の取組については、脆弱性情報の収集・提供及びその 自動化等により効率化が図られたほか、開発者等に向けた脆弱性の発生を縮減する ための各種ツールの提供等により対策が進んだ。ただし、リバースエンジニアリン グの適法性明確化処置については、検討が進められたものの法改正には至っていな い。
安全な電子商取引の推進については、調査研究会の結果を取りまとめて公表する など進展が見られた。中小企業に対する情報セキュリティ対策支援については、セ ミナーの開催やガイドライン、ツールの提供等対応が進んでいる。
【課題】
脅威の高度化・多様化が進んでおり、企業・組織が単独でセキュリティ対策を講 ずるのが困難な状況になった。そのため、情報セキュリティインシデントへの対応 については、政府機関や情報セキュリティ関連事業者等が連携し、攻撃に関するイ ンシデントの認知・解析機能を向上させることにより対応能力を向上して、一般利 用者等への効果的な注意喚起を図ること等が求められる。また、ソフトウエアの脆 弱性に対する取組等については、脆弱性関連情報の収集や、各種インターネット定 点観測システムの連携等を推進するとともに、サイバー空間の脆弱度やマルウエア 感染度等の全体傾向等の可視化、一般利用者等への的確な発信等を行う仕組み等に ついて検討することが望まれる。
6 研究開発、産業振興の推進
【総評】
新たな防御モデルの確立については、標的型攻撃が組織内外のネットワークとの間で 行う異常な通信を検出するためのリアルタイム分析環境を整備し、検知エンジンのプロ トタイプ開発が行われるなど取組が進み、安全な通信環境の実現については、IPv6 技術 検証協議会における脅威対策手法の実装と有効性の検証や、新世代ネットワーク基盤技 術の研究においてテストベッドの実装が開始されるなど対応が進んだ。さらに、能動的 で信頼性の高い(ディペンダブルな)研究開発については、世界トップクラスの鍵生成 速度を達成した量子鍵配送を利用した認証技術のシステム実証を行うなど、国際競争力 のある取組が進められた。
情報セキュリティ産業の活性化については、上記のような研究開発が促進されること を通じて国際競争力の強化等が図られたほか、技術専門委員会の下に設置された「情報 セキュリティ技術開発を活用した産業活性化検討ワーキンググループ」において、我が 国の情報セキュリティ産業を活性化する方策について検討が行われ、複雑・巧妙化する サイバー攻撃に的確かつ迅速に対応するため、国際標準化や評価・認証を含んだ制度整 備等の課題等が整理されるなど、対応が進んでいる。
【課題】
「2012 年度計画」への対応は順調に進捗しているものの、十分な人材が確保できてい ない21等、「情報セキュリティ研究開発戦略22」を推進するために解決すべき幾つかの課 題は現時点で解決できていないため、引き続き対応を行うことが必要である。
また、サイバー攻撃の複雑・巧妙化に伴い、従来の情報セキュリティ対策のままでは、
有効な対策の立案・実施に遅れが生じ、効果が急低下する可能性がある。このため、変 化の激しい情勢に適切に対応できる、創意と工夫に満ちた情報セキュリティ技術を生み 出していくことが重要である。そのため、海外技術への依存度を低減し、産業競争力を 高め、サイバー攻撃の検知機能や高度解析等の向上に向けた技術の研究開発や実証実験 の加速、国際標準化や評価・認証を含んだ制度整備等を進めていくことが求められる。
7 情報セキュリティ人材の育成
【総評】
情報セキュリティ人材の育成については、「情報セキュリティ人材育成プログラムを踏
まえた 2012 年度以降の当面の課題等について」において提言された、企業等の情報セキ ュリティ担当者、情報セキュリティ産業人材、先端的な研究者・技術者、政府機関等の 情報セキュリティ担当者の四分類の人材の育成等において必要となる施策が着実に推進 された。
企業等の情報セキュリティ担当者、情報セキュリティ産業人材、先端的な研究者・技 術者の育成については、キャリアパス・モデルの普及やスキル、資格、教育プログラム の整理、経営層向けのセミナーの開催等により、企業における人材育成の支援を行うと ともに、複数大学や産学連携による高度で実践的な教育活動の支援や情報セキュリティ に係る競技会の実施等により、優秀な人材の発掘及び更なる能力の向上が図られるなど、
必要な取組が進んでいる。
政府機関等の情報セキュリティ担当者の育成については、人事ローテーションの工夫 や優秀な外部人材の活用等、情報セキュリティリスクに確実に対応できる職員の採用・
育成が進むとともに、職員に対する訓練・研修の充実や公務員採用時における情報セキ ュリティ関連素養の確認等により、政府職員全体の情報セキュリティ意識の啓発と能力 の底上げがなされた。
人材類型を跨ぐ横断的な取組としては、初等中等教育段階における情報に関する教育 の推進や教員の指導力の向上等、情報セキュリティ人材の基礎的資質を育成する教育の 充実が図られるとともに、インターンシップや課題解決型学習(PBL)23等における産学 連携の促進、情報セキュリティに関する資格及び教育プログラムの一層の普及等、情報 セキュリティ専門家育成に資する取組も実施された。
【課題】
情報セキュリティ人材については、様々な取組により対応が進んでいるものの、我が 国においては情報セキュリティ人材の存在価値がまだ十分に理解されているとは言えず、
人材が育成される環境の整備はまだ十分とは言えない。実際、国内における情報セキュ リティに従事する技術者約 26.5 万人中、16 万人あまりの人材に対しては更に何らかの 教育やトレーニングを行う必要があり、これを満たした上でも潜在的にはさらに約8万 人のセキュリティ人材が不足していると考えられている24。加えて、サイバー空間の拡 大・浸透に伴う情報通信技術の利活用の広がりにより、新たな課題に対応可能なセキュ リティ人材が必要になってくると考えられる。
このような状況を踏まえると、これまで実施してきた取組を引き続き実施していくと ともに、今後は、スキル標準の改善・活用やセキュリティレベルに対応した多様な資格 制度の在り方の検討等、情報セキュリティ人材育成を加速させるような取組が求められ る。
23 課題解決型学習(PBL:Project-Based Learning)
8 情報セキュリティリテラシーの向上等
【総評】
「情報セキュリティ普及・啓発プログラム」に基づく普及啓発については、「情報セキ ュリティ月間」において関連行事の開催、各府省庁・関係機関ホームページにおける周 知等従来の取組に加え、訴求すべき重点テーマを策定して、企業、一般国民等を対象と したシンポジウムの開催等を行ったほか、個人を対象とした情報セキュリティに関する 自己診断チェックリスト、高齢者層等を対象としたリーフレット・ポスターを作成し、
関係府省庁・業界団体等に対するメールや個別訪問等を通じて周知させるなど、充実・
強化が進んでいる。
また、普及啓発に関する国際連携については、2012 年から「情報セキュリティ国際キ ャンペーン」を実施し、ASEAN、欧米を始めとする諸国と国際連携を活用した行事や情報 セキュリティ対策に関する情報提供等を行うなど、取組が進んでいる。
個人情報保護に関する取組については、国際的な会合への出席等を通じ、国際的な取 組の把握と我が国の法制についての説明等を行うことにより、国際的な理解を求めるな ど取組が進み、サイバー犯罪取締りのための基盤整備については、官民連携による取組 の強化や国際捜査共助の迅速化が図られるなど対応が進んだ。また、犯罪抑止のための 広報啓発については、サイバーボランティア育成のためのモデルが作成され、情報セキ ュリティガバナンスについては、知見やベストプラクティスの共有が行われるなど、対 応が進んでいる。
他方、情報セキュリティに係る相談窓口については、情報セキュリティ・サポーター の育成・活用等の対応が進んでいるものの、消費者保護全般を担当する消費者庁との連 携までには至っていないなど、関係府省庁の連携強化が望まれる。また、スマートフォ ン等の情報セキュリティ対策については、様々な活動により対応が進んでいるものの課 題が残っており25、一層のリテラシー強化が必要である。
【課題】
「情報セキュリティ普及・啓発プログラム」に基づく普及啓発に関して目標とされた 取組は概ね順調に進捗している。
他方、スマートフォンについては、先に記載したとおり、技術的対策の進展と共に、
一層のリテラシーの強化が必要であるなど、急速に変化する環境の変化に対して、利用
者意識向上が追い付いていない。利用者が、若年層から高齢層といったあらゆる世代や、
個人、家庭、職場、公共施設等あらゆる場面等に拡大、浸透しており、今後は、情報通 信技術の利用主体の属性に応じたきめの細かい普及啓発を推進していく必要がある。ま た、消費者に対する窓口相談対応力の強化について、関係府省庁の密接な連携について 検討を進めていくことが求められる。
9 制度整備
【総評】
不正アクセス行為の禁止等に関する法律の一部を改正する法律(平成 24 年法律第 12 号)が 2012 年5月に施行され、フィッシング行為等が禁止及び処罰の対象とされた。ま た、「情報処理の高度化等に対処するための刑法等の一部を改正する法律」(平成 23 年法 律第 74 号)のうち、未施行であった接続サーバ保管の自己作成データ等の差押え等の規 定が 2012 年6月に施行されるなど、サイバー犯罪に対処するための法整備が進んでいる ところである。また、法執行機関においては、改正法令の施行に必要な体制の整備等を 進め、その円滑な施行に取り組んでいる。加えて、サイバー犯罪に対処するためには国 際連携が重要であるところ、これらの法改正を受け、2012 年7月にサイバー犯罪条約を 締結し、同年 11 月から我が国について同条約の効力が生じるなど、サイバー空間の安全 性・信頼性を向上させるための制度構築が着実に進んでいる。
【課題】
今後は、政府機関、自らも含め、各取組主体がその役割を最大限に発揮できるように するため、諸外国を含めた制度の調査・研究等により、新たな制度整備に向けた検討を 積極的に行うことが必要である。また、引き続き、改正された法制度の適切かつ効果的な 運用を図るとともに、サイバー犯罪に効果的に対処するための国際的な取組に寄与するとの 見地から、サイバー犯罪条約の国際的な普及、特にアジア諸国への普及に取り組んで行く必 要がある。
10 国際連携の強化
【総評】
二国間関係の強化については、米国、英国、インド等との協議の実施、アジア太平洋
たサイバー攻撃等の脅威に対する国際連携の強化が進められている。ハイレベルによる 戦略的な取組については、日米首脳会談での日米共同声明や、日英両国首相による日英 共同声明(共に 2012 年4月)等において、サイバー空間に関する問題について連携を進 化させる必要性について一致するなど、ハイレベルによる国際連携の強化が図られた。
ASEAN 各国とは、「日・ASEAN 共同情報セキュリティ意識啓発イニシアティブ」の取組を 実施し、「日・ASEAN 情報セキュリティシンポジウム」(2012 年 10 月、東京)の開催や共 同ポスターの作成等共同した取組を行うなど、協力関係の強化が進んだ。
多国間連携の推進については、重要インフラに関する会合である MERIDIAN26、環太平 洋地域における協力に関するフォーラムである APEC 等の国際会合への参画、ITU27・ ISO/IEC 等への出席を通じた情報セキュリティ分野での国際標準化への参画を通じて、
情報共有体制の強化等の国際協調が図られた。また、「サイバー空間に関するブダペスト 会議」(2012 年 10 月)では、経済成長と発展、社会的便益と人権、サイバーセキュリ ティ、国際安全保障、サイバー犯罪の 5 つのテーマに沿って議論が行われ、将来のサイ バー空間に関する国際的なコンセンサス獲得や、国際規範の作成に関する国際的な対話 が行われるなど、サイバー空間に関する国際規範作りに関して国際的な議論が進展した。
【課題】
グローバル化、ボーダレス化したサイバー攻撃等のリスクの増大への対応は我が国だけ では困難なため、継続的に連携の強化が推進されている米国、ASEAN との協議等、政府 一体となった関与により二国間連携や多国間連携の強化を進める必要がある。また、国 際的なルールづくりや信頼醸成措置等、サイバー空間に関する国際的な議論に対して、
2013 年以降開催される会合への参画を通じた国際的な対話への貢献や我が国の立場に 関する情報発信・意向の反映に対する働き掛け、取組の促進が必要である。
「情報セキュリティ2012」に盛り込まれた施策の実施 状況
Ⅳ 具体的な取組
1 標的型攻撃に対する官民連携の強化等 ア 官民の連携強化
該当項目 施策名 担当省庁 進捗状況
(ア) 官民の情報共有の更なる推進 内閣官房及び 関係府省庁
・情報セキュリティ対策推進会議の下に設けられ た官民連携強化のための分科会において、内閣官 房情報セキュリティセンター(NISC)は、①サイ バーインテリジェンス情報共有ネットワーク(警 察庁)、②サイバー情報共有イニシアティブ(経 産省)及び③テレコムアイザック官民協議会(総 務省)との間で情報共有を図ることとされてお り、①については既に定常的に情報共有を実施。
その他についても、必要に応じて連携を行ってい るが、2013年度においても更なる連携の強化に向 け関係省庁と調整を進めていく予定である。
(イ) サイバーインテリジェンス対 策 に係る官民の連携強化
警察庁 ・情報窃取の標的となるおそれのある事業者等と の「サイバーインテリジェンス情報共有ネット ワーク」及びウイルス対策ソフト提供事業者等と の「サイバーインテリジェンス対策のための不正 プログラム対策協議会」(2013年3月、「不正プ ログラム対策協議会」に改称)の枠組みを活用し てサイバー攻撃に係る情報共有を行い、官民の連 携強化を推進した。また、セキュリティ関連事業 者と「サイバーインテリジェンス対策のための不 正通信防止協議会」を設置(2012年8月)し、官 民の連携強化を推進した。
(ウ) サイバー情報共有イニシア ティブの強化
経済産業省 ・2012年4月に正式運用を開始した重要インフラ 機器製造業者SIG(9社)に続き、電力業界SIG(業界 団体1社+業界団体傘下企業10社)、ガス業界 SIG(5社)、化学産業SIG(7社)、石油業界SIG(7 社)の運用を開始した。
・サイバー攻撃に関して、情報の記述や交換方式 の標準化活動を進めている米MITREとの情報交換、
独Fraunhofer研究機構とマルウェア解析環境に関 する情報交換を実施した。
(エ) テレコムアイザック官民協議 会の連携強化
総務省 ・協議会を構成する各団体(総務省、独立行政法 人情報通信研究機構(NICT)、一般財団法人日本 データ通信協会テレコム・アイザック推進会議
(T-ISAC-J))のサイバー攻撃に関する取組につ いて、円滑な情報共有を図るため、会合の開催、
連絡体制の整備を実施した。
(オ) 平時からの情報共有体制の構 築
内閣官房及び 全府省庁
・内閣官房において、民間のCSIRT(Computer Security Incident Response Team)等との情報交 換会を行った(2012年7月)ほか、勉強会を開催
(2012年7月、11月)し、官民による情報共有を 図った。
別添1
イ 政府機関における対処態勢の整備
該当項目 施策名 担当省庁 進捗状況
(ア)a) CSIRT等の体制の整備及び連携 の強化
内閣官房及び 全府省庁
・各府省庁において、情報セキュリティ上の脅威 となる事案の発生に備え、インシデント情報の集 約、責任者等への報告、関係機関との連携等の機 能を有するCSIRT体制を整備した。これにより、夜 間等における連絡・対処体制の構築を図る等、遺 漏なく継続的な対策の実施に努めている。
(ア)b) CSIRT等の体制の整備及び連携 の強化
内閣官房及び 全府省庁
・内閣官房において、政府機関のCSIRT等間の連携 と機能の維持向上を図るため、各府省庁のCSIRTの 代表者で構成するPOC(Point of Contact)会合を 開催し、情報交換と昨今の情勢に関する認識の共 有を図る予定である。
(イ)a) 国の重要な情報を扱う企業等 の情報セキュリティ対策の推 進
内閣官房及び 全府省庁
・各府省庁において、「調達におけるセキュリ ティ要件の記載について」(2012年1月内閣官房 副長官通知)を踏まえ、国の安全に関する重要な 情報を国以外の者に扱わせる契約を締結する際に は、情報セキュリティ要件を定め、これを遵守す るよう契約の相手方に求める等、適宜必要な措置 を実施した。
(イ)b) 国の重要な情報を扱う企業等 の情報セキュリティ対策の推 進
内閣官房及び 全府省庁
・内閣官房において、国と直接契約関係にはなっ ていないが、国の安全に関する重要な情報を扱う 企業等に対する取組方策を検討した。
ただし、契約関係にない企業等の範囲が必ずしも 明確ではないことから、一般論としての検討に留 まっている。
(ウ) 標的型攻撃に係る教育訓練の 実施
内閣官房及び 関係府省庁
・内閣官房において、19の政府機関約12万人の職 員を対象に、標的型メール攻撃に係る教育訓練を 実施し、参加機関毎に報告書を作成して結果の フィードバックを行った。得られた知見について は、政府機関内で横断的に情報共有を行うととも に、得られた考察等を年次報告や次年度の教育訓 練の改善及び対策実施状況報告に反映し概要を公 表する予定である。
(エ) サイバー攻撃事態への対処に 資する情報の集約・共有の充 実
内閣官房及び 全府省庁
・「情報セキュリティ対策推進会議・危機管理関 係省庁連絡会議合同会議」(2010年12月)におけ る申合せに基づき、情報の集約・分析・共有を実 施しているほか、警察庁の「サイバーインテリ ジェンス情報共有ネットワーク」との間における 情報共有を行った。
また、GSOC(Government Security Operation Coordination team)において、センサー機能の向 上等機能強化を図る更新を行い、2013年度から運 用を開始する。
ウ 対応能力の向上に向けた攻撃手法の解析、対策技術の研究開発等
該当項目 施策名 担当省庁 進捗状況
(ア) サイバー攻撃高度解析機能の 整備
総務省及び経 済産業省
・巧妙化・複雑化するサイバー攻撃からの防御に 必要な高度解析を実施するため、総務省及び経済 産業省並びに、NICT、独立行政法人情報処理推進 機構(IPA)、T-ISAC-J、JPCERTコーディネーショ ンセンター(JPCERT/CC)の4団体からなる「サイ バー攻撃解析協議会」を2012年7月に発足。協議 会参加団体間のサイバー攻撃情報共有のあり方を 検討し、高度解析に向けた情報共有ルールの策定 を行った。
(イ) サイバー攻撃事案の実態解明 に係る情報収集・分析
警察庁 ・端緒情報の早期把握及び被害の拡大防止に資す る情報収集を推進するとともに、サイバー攻撃を 受けたコンピュータや不正プログラムの分析等を 通じて、サイバー攻撃事案の実態解明を推進し た。
(ウ) サイバー攻撃(インシデン ト)対応調整支援
経済産業省 ・制御システムに係るインシデントに特化した対 応調整支援体制の整備を行うと共に、CSIRT間連携 の枠組みを利用しながら、被害の発生及び拡大抑 止のための関係者間調整を実施した(インシデン ト件数5,606件)。そのうち、重要インフラ事業者 を主な対象としたインシデントに関する対応支援 は73件、制御システムに関する対応支援は8件で あった。
・標的型攻撃に関連するインシデントについて、
実際の被害組織のヒアリング・調査などの対応を 行い、標的型攻撃に係る対応の標準的な手法を検 討した。
・標的型攻撃などの高度な攻撃事例について、被 害組織のサーバログの解析などを実施し、実際の 攻撃の様相を把握するための支援を行った。
(エ) 新しい脅威・攻撃の分析・共 有
経済産業省 ・脅威と対策研究会を適時開催し(2012年5月、
2012年11月、2013年1月)、脅威分析・対策案の検 討を実施した。USENIX、FIRST TC(Forum of Incident Response and Security Teams
Tecinical Colloquium)等の会議の場で成果を発 表した。
(オ)a) 情報の収集・共有のためのイ ンフラ構築支援等
経済産業省 ・情報共有の枠組みにおいて、攻撃関連情報の管 理方法やシステム的な情報連携について検討を行 うとともに、情報連携の実証実験を行った。ま た、関係組織の技術者が同じ環境で解析や情報交 換を行うことができる環境を試験的に構築し、実 際のインシデント対応においても活用した。
(オ)b) 情報の収集・共有のためのイ ンフラ構築支援等
経済産業省 ・個人情報取扱事業者が取り組むべき技術的安全 管理措置に関しては、各技術的安全管理手法の有 効性等を検証し、個人情報の保護に関する法律に ついての経済産業分野を対象とするガイドライン の改定を検討した。検討結果を踏まえ、一部改正 に係る告示を行う。普及啓発については、告示を 踏まえ進めていく予定である。
(オ)c) 情報の収集・共有のためのイ ンフラ構築支援等
経済産業省 ・「情報セキュリティ安心相談窓口」による取扱 い件数は、11,950件(2012/1/1~2012/12/31)。
「標的型サイバー攻撃の特別相談窓口」による取 扱い件数は、46件(2012/1/1~2012/12/31)。
・重要インフラ事業者などを対象とした高度な標 的型攻撃の発生事例に関して、発生事業者へのヒ アリングなどを行い、攻撃に使用されたマルウエ アの分析、インシデント対応支援などを実施し た。
(カ) 標的型攻撃の対策技術に関す る研究開発
総務省 ・標的型攻撃によって組織内部に侵入したマル ウェアが、組織内外のネットワークとの間で行う 異常な通信を検出するため、組織内ネットワーク を流れる通信のリアルタイム分析環境をNICTにお いて整備するとともに、いくつかの異常通信検知 エンジンのプロトタイプ開発を行った。
(キ) 「新たな情報セキュリティ防 御モデル」の検討及び演習の 実施
総務省 ・標的型攻撃等の新たなサイバー攻撃に対処する ため、攻撃の解析、防御モデルの検討及び官民参 加型の実践的な防御演習に着手した。
エ 国際連携の強化
該当項目 施策名 担当省庁 進捗状況
(ア) 国際会議等への参加を通じた 連携の強化
内閣官房及び 関係府省庁
・FIRST会合(2012年6月、マルタ)やMERIDIAN会 合(2012年11月、ドイツ)に参加するなど国際連 携枠組みを通じて、諸外国との連携強化を推進し た。
