平成26年２月24日内閣官房情報セキュリティセンター

(1)

情報セキュリティ政策会議の各専門委員会等の取組状況について

平成26年２月24日

内閣官房情報セキュリティセンター

資料 1-1

(2)

Ｚ

「政府機関の情報セキュリティ対策のための統一基準群」パブリックコメント版（案）について

2014年度

各府省庁順次運用開始第38回政策会議

3月下旬 1/23

（※「サイバーセキュリティ戦略」（平成25年6月情報セキュリティ政策会議決定）において決定された事項を踏まえ検討。）

◆毎年の改定により基準が複雑化・肥大化・形骸化 ◆脅威の高度化・多様化や技術進展などの環境変化現行の統一基準群の課題

スケジュール（予定）

1月下旬

パブリックコメント期間

2月下旬

第39回政策会議

（パブコメ終了版決定予定）

◆統一基準群の実効性の向上



各府省庁が直面する情報セキュリティリスクを踏まえて

CISO自らの判断で目標や実施計画を策定し、これに基づ

く対策の実施・評価・点検や、計画の見直しを行うよう求めることで、府省庁独自のPDCAサイクルによる自律的対策強化を図る。



定義や用語の明瞭化・簡潔化、冗長表現の排除、名宛人毎の遵守事項の集約化、形骸化した規定の見直し等により、分かりやすく、守られやすい基準作りを目指す。

◆新たな脅威・技術への対応



標的型攻撃から守るべき重点業務・情報を特定し、攻撃の早期検知や、侵入後の活動を困難化するため、内部対策をリスクに応じて計画的に講ずる。



情報システムの構築等の外部委託の際、委託先における不正機能の混入などを防止するための管理体制を求める。



私物スマートフォン等の業務使用について、責任者の設置及び安全管理措置の規定により、厳格な管理を求める。



ＳＮＳ、グループメールサービス等の利用に際して責任者の設置、なりすまし防止対策の実施、機密情報の取り扱いの禁止等を求める。



ＵＳＢメモリ等について、ウイルス混入や紛失等の脅威に対抗するための利用手順を定めるよう求める。



複合機等のネット接続機器について、国際規格への適合や適切な設定等、必要な対策を講ずるよう求める。

改定の方向性

（※）

1

(3)

「重要インフラの情報セキュリティ対策に係る第３次行動計画（案）」の検討状況について

これまでの取組み重要インフラの情報セキュリティ対策に係る第２次行動計画

１．安全基準等の整備及び浸透２．情報共有体制の強化３．共通脅威分析

４．分野横断的演習等

主な施策

社会・技術面での環境変化を踏まえた改善・補強が必要な箇所が存在１．重要インフラ事業者等のＰＤＣＡサイクルとの整合に基づく指針の見直し２．大規模ＩＴ障害発生時の対応体制の明確化

３．演習・訓練に係る関係主体の連携の在り方の模索４．環境変化・脅威に適切に対応するための取組

５．広報公聴、国際連携の強化に追加すべき基盤強化に資する取組等

主な課題

１．安全基準等の整備及び浸透

対策途上や中小規模の重要インフラ事業者等への情報セキュリティ対策の「成長モデル」の訴求

２．情報共有体制の強化

平時の体制の延長線上にある大規模ＩＴ障害対応時の情報共有体制の明確化

３．障害対応体制の強化

関係主体が実施する演習・訓練の全体像把握と相互連携による障害対応体制の総合的な強化

４．リスクマネジメント

重要インフラ事業者等におけるリスクに対する評価を含む包括的なマネジメントの支援

５．防護基盤の強化

関連国際標準・規格や参照すべき規程類の整理・活用・国際展開等

重要インフラの情報セキュリティ対策に係る第３次行動計画（案）

重要インフラ分野を現行の10分野から13分野に拡大（化学、クレジット及び石油の各分野を追加）

行動計画の要点として、「経営層に期待する在り方」等を示すとともに、PDCAサイクルに基づく事業者等の対策例とこれに関連する国の施策を一覧化

客観的な評価指標の提示とこれに基づく定期的な評価・改善の実施

施策群の構成と主要なポイント

「他に代替することが著しく困難なサービスを提供する事業が形成する国民生活及び経済活動の基盤であり、その機能が停止、低下又は利用不可能な状態に陥った場合に、

わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもの^※」との定義 ※サイバーセキュリティ戦略（平成25年6月10日情報ｾｷｭﾘﾃｨ政策会議決定）より抜粋

重要インフラ

重要インフラ防護に責任を有する政府と自主的な取組を進める重要インフラ事業者等との共通の行動計画^（注）（参考）第１次行動計画（平成17年12月13日情報ｾｷｭﾘﾃｨ政策会議決定）

第２次行動計画（平成21年2月3日情報ｾｷｭﾘﾃｨ政策会議決定）

行動計画の意義

 IT依存度の高まり → システム障害時の影響の広範囲化・対応の困難化

 複雑化・巧妙化するサイバー攻撃

環境の変化

（注）日本再興戦略-JAPAN is BACK-（平成25年6月14日閣議決定）及びサイバーセキュリティ戦略において今年度内に新たな行動計画を策定する方針を決定

第２次行動計画の基本的な骨格を維持しつつ、

第２次行動計画の課題等を踏まえた修正・補強

＜今後の予定＞パブリックコメント（１月下旬～２月中旬頃）を行った上で、次回会合にて決定いただく予定

2

(4)

「情報セキュリティ人材育成プログラム」の改訂の方向性について

情報セキュリティに係るリスクの深刻化に対応し、情報セキュリティ水準の向上を図るためには、

○人材の量的不足の解消に向け積極的な取組が必要であるとともに、教育だけでは得られない突出した能力を有する人材の確保も大きな課題。

○そのためには、社会全体で育成し活用するための仕組みが必要。

情報セキュリティ従事者約26.5万人うち質的不足約16万人さらに量的不足約8万人人材の量的・質的不足

サイバーセキュリティ戦略で示された課題

我が国の情報セキュリティの水準を高めるため、人材の「需要」と「供給」の好循環を形成する。

取組の方針

【需要】経営層の意識改革

○経営層の意識改革を促し、情報セキュリティを経営戦略として認識させるための取組を推進。

○製品・サービス調達における情報セキュリティの要件化等を通じ、投資意欲を喚起して、人材の需要を創出。

○経営層と実務者層の間をつなぐ実務者層のリーダー層が、経営戦略の視点から情報セキュリティの課題や方向性を考えコミュニケーションができる能力を育成。

⇒これら人材の雇用の受け皿も不可欠

【供給】人材の「量的拡大」と「質的向上」

○実務を担うボリュームゾーンに当たる既存の

IT

技術者に、情報セキュリティを必須能力として位置付ける。

①技術者に情報セキュリティを意識させるための取組 ②情報セキュリティ能力の評価基準・資格等の整備 ③情報セキュリティの実践的スキル向上のための取組

○グローバル化する脅威に対応できる、高度な人材や突出した能力を有する人材を育成・発掘。

①高度な専門性を持った情報セキュリティ人材育成のための高等教育の強化 ②最先端の分野で活躍する突出した人材の発掘及び更なる能力向上

○とりわけ、政府機関等においては、訓練・演習等による内部人材の育成、優秀な外部人材の登用に率先して取り組む。

さらに、調達における情報セキュリティの要件化等を通じ、我が国のセキュリティ水準の向上、人材の需要喚起につなげる。

3

(5)

環境の変化・サイバーセキュリティ戦略を踏まえ、より実践的な内容となるよう

「情報セキュリティ研究開発戦略」の見直しが必要

（研究開発の記述より抜粋・要約）

サイバー空間を取り巻くリスクの急激な変化に適切に対応できる創意工夫に満ちた情報セキュリティ技術

⇒ 我が国のサイバー防御能力の向上、経済成長につながる新産業創出、国際競争力の向上

① サイバー攻撃の検知・防御能力の向上

② 制御システム、ICチップなど社会システム等を保護するためのセキュリティ技術の確立

③ ビッグデータ（パーソナルデータ等）利活用等の新サービスのための技術開発

情報セキュリティを取り巻く環境の変化

(1)情報セキュリティリスクの深刻化

甚大化するリスク拡散するリスクグローバルリスク

情報窃取のための標的型攻撃、重要インフラ機能障害を引き起こす攻撃等、サイバー攻撃が複雑・巧妙化。

あらゆるものがインターネットに接続されることにより、制御システム等もサイバー攻撃の対象に。

世界各国の情報通信技術利用拡大に伴い、国境のないサイバー空間では、リスクもボーダレスに拡大。

「サイバーセキュリティ戦略」の策定

研究開発戦略の見直しの経緯

4

(6)

△ ×

【大課題】

セキュリティは実用性が重要。

サイバー攻撃が高度化・複雑化している中で、研究者による自由な研究などに加え、

より実践的・実用的な研究開発を推進することが重要ではないか。

そのためには関係者間で問題意識や情報流通につきより緊密な連携が求められるのではないか。（仮説）

5

(7)

課題と施策（１）サイバー攻撃の検知・防御能力の向上

【小課題（１）】

①現実の脅威や新たな攻撃などに対処する能力を高めるための研究開発の進め方はどうあるべきか。

②成果が実用化される研究開発を進めるにはどうすべきか。

【考えられる施策例（１）】

①研究開発に資するべく、現実の脅威に関するサイバー攻撃情報の流通や新たな攻撃の調査分析などを国内外の関係者が連携しつつ行うことはどうか。

例１）政府が保有するサイバー攻撃情報を、有効性を維持ししつつ開示可能な形に整え、

研究者等へ提供

例２）国際連携・国内関係機関間の連携などにより、仮想空間での新たな攻撃方法の

調査分析検知方法の研究

例３）不正プログラム分析や脆弱性研究の着実な実施の観点から

セキュリティ確保目的のフェアユースなリバースエンジニアリングの適法性の明確化

②ICTユーザの経営層などがサイバーセキュリティに関する脅威を認識するための施策を推進することが実用的な研究開発投資につながるのではないか。

例１）サイバーセキュリティを巡る国際情勢、政策、法律、事業戦略などの分析研究の促進例２）経営層が事業戦略にITを位置づけて、その基盤としてのセキュリティ対策の意義

（事業戦略への影響の認識）を理解させるための施策を促進

例３）事業戦略等とサイバーセキュリティの関係などに関する問題意識・情報も関係者間で

共有することを促進（IT・セキュリティ関連の研究部門と経営学の研究部門との連携など）

6

(8)

課題と施策（２）我が国の社会システム等を防護するためのセキュリティ技術の強化

【小課題（２）】

①社会インフラ等のセキュリティ向上のための研究開発はどうあるべきか

②情報セキュリティ技術は、安全保障、機微な情報の保護等の観点からも重要な技術であるところ、

どのようにコア技術を保持していくか。

【考えられる施策例（２）】

①社会インフラ等を構成する要素に関するセキュリティ技術開発の促進や評価制度の充実を進めていくことはどうか。

例１）ICチップのセキュリティ技術開発の促進

例２）ハードウェアセキュリティ（制御システム等）の評価技術の研究開発促進

②我が国の安全保障、危機管理、産業競争力強化、国際競争力等の観点も含めて、国内で保有するべき高度なサイバーセキュリティ技術（システム、ネットワーク等）の研究開発を促進すべきではないか。

例１）高度なサイバーセキュリティ技術を確保するためのICT基盤技術開発の一層の関係者間連携促進例２）国として保持すべき暗号等の基礎研究能力の維持・強化

図１日本における情報セキュリティ（ツール）のベンダーシェア

（経済産業省「平成23 年度企業・個人の情報セキュリティ対策促進事業」調査報告書（2012年3月））

7

(9)

課題と施策（３）産業活性化につながる新サービス等におけるサイバーセキュリティ研究開発

・サイバー攻撃の検知／防御

・認証／アクセス制御（追加）

・スマートフォン／クラウドのセキュリティ

・次世代ネットワークセキュリティ

コア技術

発展が期待される応用分野

（※例）

・セキュリティ理論体系化／調査研究

・標準化／評価／制度／環境整備

・暗号技術

基礎・理論

・制御システムセキュリティ（追加）

・セキュリティデバイス（追加）

・ソフトウェアの安全性確保

ハード・ソフトウェアセキュリティ

情報通信システム全体のセキュリティ向上

・プライバシーの保護／

パーソナルデータ利活用技術

・フォレンジック支援（データ管理・追跡）

個人情報等の柔軟管理

・在宅医療や介護医療などで、情報流通の変革によりセキュリテニーズが増加

医療・健康

・次世代インフラの安全

・安心を確保するためのセキュリティ技術

次世代インフラ

・ビッグデータ（パーソナルデータ等）利活用等の新サービスのためのセキュリティ対策技術（匿名化・暗号化）

ビッグデータ

適用フィードバック

・・・

セキュリティ品質を上流工程からどう組み込むか。

【小課題（3）】

産業活性化につながる研究開発とするには、将来のICT産業の発展の方向を見据えてサイバーセキュリティ技術の研究開発を促進すべきではないか。

【考えられる施策例（3）】

今後発展が期待される新たなビジネスにおいてサイバーセキュリティの程度を特に高めてセキュリティ品質を売りとするような取組を推進するのはどうか。

例１）オープンイノベーション（業態を超えた横連携）による研究開発の促進－発展が想定されるICT分野

で上流工程からセキュリティ設計を組み込むため、関係機関等が自組織を超えた連携を積極的に促進

例２）認証技術に依拠する社会システムの戦略的推進

例３）研究開発成果の活用によるベンチャー支援（研究開発成果に基づく製品の調達など）

8

平成26年２月24日 内閣官房情報セキュリティセンター

情報セキュリティ政策会議の各専門委員会等 の取組状況について